數據不落地環境下的數據與訪問安全實踐研究

摘要：針對醫院信息系統的運維需求，文章通過在醫院的實踐構建了一個安全可管理的環境，利用云計算技術和虛擬桌面創新技術，搭建了一套運維審批桌面集群。實現了所有終端數據的集中存儲和統一運算處理。采用零信任安全策略，為運維人員提供了隨時隨地安全接入的平臺，強化了流程審批和數據管理，打造了安全便捷的運維操作空間。通過虛擬桌面、零信任架構和單點登錄等技術的協同，實現了數據在院內的閉環流動，做到數據不落地、不泄露。提高了運維人員的操作性、便捷性，解決了醫院數據防丟失、防泄露以及防止未授權訪問等遠程運維的痛點問題。

關鍵詞：云計算；虛擬桌面；數據安全；零信任架構；移動辦公

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2024）31-0088-03

開放科學（資源服務）標識碼（OSID） ：

0 引言

隨著計算機和互聯網技術的快速發展，醫院信息化程度不斷加深，進一步推動醫院網絡規模日益龐大。由此，在帶來業務方便性的同時，也隨之帶來了新的網絡安全風險與挑戰[1]。隨著臨床實踐與運維技術的深度融合，國家在醫療行業便民舉措的推廣，醫院數據安全和訪問權限的管理問題也日益凸顯。為確保醫院數據資產的安全，為醫院構建無數據落地環境下的數據與訪問安全，確保數據資產和運維核心業務的完整性和保密性，已經成為信息化建設中不可或缺的考量與挑戰。

1 現狀分析

隨著醫療業務便民發展的需求，醫療數據開放面逐漸增大。醫院由早期的內、外網物理隔離，逐漸過渡到內網、非安全系統與安全系統之間的緩沖區（DMZ） 、互聯網的網絡架構。隨著醫院終端設備的增多和網絡架構的復雜化，信息安全的難題愈發嚴峻，包括信息泄露的風險、運維成本的攀升以及業務操作的局限性。每當有新系統上線或需要維護時，內外網的數據交換與傳輸是必不可少的環節。根據醫院的管理規定，信息部門需逐一處理運維人員的訪問和運維數據使用的權限申請，審批過程煩瑣，運維數據的傳輸往往依賴于信息部門管理通過移動存儲介質人工完成，占用了大量的人力。盡管各業務系統能夠記錄產生的數據和操作行為，但是這種記錄僅限于事后的審計，無法實現對操作的全程監控。遇到信息系統緊急問題，醫院業務部門希望運維人員能夠通過互聯網遠程介入的方式快速地響應來處理各類問題。

1.1 辦公體驗不佳

在醫療信息化的基礎建設中，臨床各終端主要是使用傳統的計算機終端（PC）運行各類業務系統。隨著醫療服務需求的增長，這些計算機終端上的應用程序數量相應增加，對處理器、內存和存儲空間的需求也越來越高。然而，醫院的計算機采購均是普通辦公電腦，雖然也會根據需求逐步提高配置，但性能難以充分滿足運維人員所需要的高效工具的性能需求。運維人員更傾向于選擇使用公司或個人配置的性能強大的便攜式筆記本，方便他們快速開展運維工作。

1.2 運維工作煩瑣

出于網絡安全的考慮，醫院規定各信息系統運維人員必須在醫院內網進行操作，準入機制要求是禁止接入便攜式筆記本電腦。項目上線期，在內網的計算機終端安裝運維軟件及配置環境等工作會占用運維人員大量的時間，向內網拷貝相關軟件需醫院信息主管部門審批并協助拷貝，整體增加了操作的煩瑣性，從而影響項目進度。項目進入運維期，運維工程師頻繁的人員變更導致信息主管部門承擔了額外的培訓和交接任務。項目結束后，運維工程師使用的計算機終端中遺留的運維關鍵信息和成果難以及時、有效地處理，增加了醫院信息主管部門數據清理的復雜度。

1.3 數據管控風險

在信息系統的運維過程中，運維人員不可避免地要操作信息系統數據庫，接觸大量的患者信息等敏感數據，由于個人設備的管控難題，醫院信息主管部門難以控制私自下載數據、越界遠程訪問服務器，以及數據泄露等問題，這些問題是醫院在數據安全管理上的難點和風險點。如果因管控不力，造成因外接設備引發終端或者服務器感染病毒或惡意軟件，導致信息系統的癱瘓、數據丟失或者敏感信息的泄露，都將會給醫院帶來嚴重的影響。

2 基于數據不落地場景下的數據安全與訪問安全實踐

醫院在追求數據不落地的零信任云計算架構中，尋找對網絡安全、運維體驗、數據保護及統一管理的綜合解決方案。本次通過時間，實現一個既安全又便捷的數字化工作環境，防止關鍵運維信息的泄露，支持運維人員實現移動辦公，優化業務訪問的流暢度，同時確保運維操作的高效管理。

2.1 體系架構設計

本體系架構以政策法規與有效管理為指導的建設原則，以此作為基礎框架設計的依據，確保業務需求與安全策略的無縫對接。遵循政策法規、融合先進技術以及保障數據安全是醫療機構在網絡建設過程中必須遵循的三個核心要素。只有在這三個方面都做好充分準備和應對措施，才能確保醫療機構在網絡化、數字化進程中始終保持安全穩定的發展態勢。

1） 遵循政策法規：《中華人民共和國網絡安全法》和《網絡安全等級 保護基本要求（GB/T 22239- 2019） 》（等保 2.0） 等系列標準是我國各行業、 各領域開展網絡安全工作的法律依據和策略標準，醫院網絡安全防護必須以此為參考[2]。醫療機構在網絡建設中必須嚴格遵守這些規定，確保業務操作符合法律要求。同時，針對醫療衛生領域的特殊性，還需要遵循等級保護標準和網絡管理規定，構建符合醫療行業特點的安全防護體系。這不僅能夠保障患者信息的安全，還能避免因違反法規而帶來的法律風險。

2） 融合先進技術：融合先進技術是提升網絡安全水平的關鍵。隨著移動互聯網的普及，移動辦公已成為醫療機構不可或缺的一部分。然而，移動辦公也帶來了新的安全挑戰。因此，醫療機構需要結合移動辦公功能，實現遠程辦公的便捷與安全。一體化身份管理與認證機制的應用，能夠確保用戶身份的合法性和權限的合理性，防止未經授權的訪問和操作。而行為分析技術和嚴謹的安全審計體系的應用，能夠實時監控網絡行為，及時發現并處置潛在的安全威脅，為網絡安全保駕護航。

3） 保障數據安全：無論是在內部網絡還是公共互聯網環境下，運維操作的數據都不應保存在本地，通過加密傳輸、云存儲等方式，確保數據始終處于安全的院內環境中。針對敏感數據的訪問和使用，醫療機構需要制定嚴格的管理制度和操作規范，確保數據的合法、合規使用。同時，為防范醫療機構數據丟失或損壞的風險，應提前建立完善的數據備份和恢復機制。

2.1.1 安全運維平臺基礎建設

根據規劃醫院本次整合了8臺實體服務器，利用云計算和虛擬化技術，構建了功能強大的虛擬桌面資源池。服務器集群采用了N+1配置，確保每個節點都能被其他節點監控。一旦某個主機出現故障，故障轉移機制會立刻啟動，在其他健康的服務器上恢復虛擬桌面服務，確保業務持續運行。在存儲的管理上，利用虛擬化存儲技術，將服務器內置硬盤整合成一個統一的、高效率的存儲池。這種方法能夠有效降低成本，無須額外增加外部存儲，能夠實現高端存儲系統的性能及保障數據安全性。在網絡構建上，應用了端口聚合技術，將多個網絡接口匯聚，提升了網絡帶寬和故障抵抗力。每臺服務器均配置有6個千兆以太網接口和2 個萬兆光纖接口，其中的業務網由2個千兆網口負責，管理網由另外2個千兆網口承擔，剩下的2個萬兆光纖接口連接存儲網絡，高可用性地設計構建一套運維桌面資源池架構，確保系統的穩定運行。在后端集中管理和運行虛擬化桌面資源池，整合了傳統PC的計算力量與存儲空間，為運維人員提供一個云端運維工作平臺。這個資源池具備動態調配的特性，能夠根據運維用戶的實際需求分配計算與存儲資源。運維人員只須根據實際需求進行申請，經醫院信息主管部門審批后即可通過多樣化的設備接入，如智能手機、個人計算機或平板電腦（只須確保設備聯網）。這種虛擬化桌面讓運維人員只能看到顯示的圖像和執行的指令，數據全程保留在后端，確保數據不直接在前端展示。并且虛擬桌面還配備了屏幕水印和操作錄制功能，進一步加強了數據安全性的保障，防止信息泄露。

信息主管部門負責分發統一的運維工作站，采用的是在服務器虛擬化集群中創建一個基礎的虛擬工作站模板，這個模板中預先配置了各項目運維所需要的操作系統相關軟件。在實施的時候能夠迅速并大規模地向各終端推送部署運維工作站，確保了運維環境的快速搭建。虛擬桌面分發流程如圖1所示。一旦后期有任何運維環境的調整需求，比如添加新的運維軟件、系統的升級等，都是由管理員后臺管控，在模板中統一進行。防止了運維用戶在工作站上隨意安裝軟件，有效維護醫院內部網絡環境的安全性和工作的操作效率。

2.1.2 零信任平臺建設

醫院傳統的外部接入方式大多數是采用虛擬私有網絡（VPN） 建立內、外網通信。為滿足運維工程師對安全、靈活的遠程辦公需求，此次選擇了零信任安全架構（SDP） 構建訪問平臺。具體的業務訪問流程如圖2所示。

零信任的意思是“從不信任，持續驗證”，即默認不信任內外網的任何人或是設備，實時驗證接入終端的安全與可靠性[3]。零信任平臺的核心是由零信任代理網關和零信任控制中心組成，零信任的一個重要理念是先認證后連接，采用網絡隱身技術隱藏的訪問資產，必須通過認證才能發起訪問連接通信[4]。控制中心負責對運維用戶的身份驗證、權限分配、策略管理與分發等。通過評估接入者的身份、設備狀態、環境因素以及行為模式，依據提前設定的策略規則，決定接入者的準入權限，發送指令給代理網關執行放行或阻斷的操作。運維用戶的外網認證分發流程圖如圖3 所示。安全代理網關對HTTPS的代理訪問和SSL隧道代理訪問，確保信息傳輸的安全。采用了SPA單包授權技術，只有通過驗證的用戶才能建立連接，確保平臺免受攻擊。

零信任功平臺的實施有五個關鍵層面：用戶認證的可靠性、終端與應用程序的可信度、安全的連接途徑、數據保護的穩固性以及權限管理的可靠性。在用戶申請接入時，系統會對設備環境和防病毒狀態進行合規性篩查。在用戶連接期間，零信任平臺會啟用訪問隧道的加密技術，實施多因素身份驗證措施。在用戶接入業務系統后，平臺會持續地監控環境變化，維護訪問安全，始終確保信息的無縫安全流轉。

2.1.3 統一身份認證建設

在遠程運維的環境中，引入了零信任架構的接入認證機制，采用了一體化的認證系統。用戶只需在零信任平臺上進行一次認證，即可實現虛擬桌面與零信任平臺之間的無縫單點登錄。該平臺融合了桌面云技術和零信任安全架構，確保了權限控制與身份驗證的一致性，實現了便捷的單點登錄。

3 建設成效

醫院在各類信息技術的推動下，進入到快速發展階段。無論是醫院的各類信息系統，或者是工作人員數量都十分龐大，為了讓桌面云技術在醫院信息化建設中發揮更好的作用，應該從設計應用環節進行規范，提升設計合理性[5]。通過本次以零信任理念為核心構建的云桌面平臺，實現了數據在云端的安全流轉，確保醫院數據安全和網絡訪問安全，實現了安全與效率的雙重保障。有效縮小了業務暴露面，抵御來自互聯網的潛在威脅。實現了運維工程師通過安全的遠程方式接入醫院內網進行操作，傳輸到外網用戶的僅僅只是處理后的視覺信息，如畫面和圖像，而核心的業務數據始終保留在內網，不會有任何泄露的風險。確保數據不落地。本方案提升了運維效率，提高了數據的安全性，降低了運維成本。

4 結束語

本文基于醫院信息化建設基礎，通過融合并強化現有的安全防護體系，借助虛擬化桌面與零信任架構的融合創新，打造出了一個更為便捷、安全且高效的運維操作空間。此次建設不僅確保了醫療運維團隊能夠隨時隨地順利執行工作任務，還顯著提升了系統的安全性與運維人員的日常管理效率。未來，將根據運維人員的實際需求持續拓展系統的使用場景與覆蓋范圍，以滿足更多元化的運維需求。

參考文獻：

[1] 李夢悅，陳敏.基于零信任架構的醫院網絡安全防護研究[J]. 中國數字醫學，2021，16（9）：106-109.

[2] 孟曉陽，王辰超，朱衛國.醫院網絡安全防護策略實踐與探討[J].中國衛生信息管理雜志，2020，17（3）：290-295.

[3] 樓文彥.基于零信任聯動云桌面的醫院內外網隔離方案[J]. 網絡安全技術與應用，2023（5）：112-114.

[4] 許明，包國峰.醫院零信任網絡安全分析及框架體系設計[J]. 中國衛生信息管理雜志，2022，19（6）：884-888.

[5] 沈瀟.關于桌面云技術應用于醫院信息系統的實現與效益分析[J].中國新通信，2019，21（14）：106.

【通聯編輯：光文玲】