公共云端医院信息系统的安全策略研究

2017-11-10肖增敏朱娴

市场周刊 2017年10期

肖增敏，朱娴

公共云端医院信息系统的安全策略研究

肖增敏，朱娴

随着云计算时代的来临，医院信息系统也在向云端迁徙。但医疗行业对安全和可靠性有着极高的要求，加之相关法律条规的约束，云端医院信息系统的安全就变得尤为重要。本文以微软的Azure公共云为例，在充分分析云端医院信息系统安全性的特点及面临的挑战的基础上，阐述医院与云服务提供商之间进行安全合作的必要性，并有针对性地提出在部署云端医院信息系统时应采取的安全策略，从而为医院信息系统向云端的迁徙提供安全方面的帮助。

医院信息系统；云计算；安全

一、引言

近年来，随着亚马逊A W S云、微软A zure云、阿里云等公共云的蓬勃发展，云计算时代的到来得到了广泛的认可。2015年国务院印发《关于促进云计算创新发展培育信息产业新业态的意见》中提出要增强云计算服务能力，大力发展公共云计算服务，引导企业采用安全可靠的云计算解决方案。相比于传统数据中心的部署方案，云计算在低成本、高可扩展性、高可靠性、高通用性、虚拟化、按需计费等方面有着明显的优势，从而使得各行各业都在向云端进行大迁徙。在过去近二十年的信息化浪潮影响下，基于本地数据中心的传统医院信息系统得到了广泛部署和使用，面对国家卫生事业的发展，传统数字化医院建设模式、应用模式和管理模式等已有许多地方不能适应新形势、新任务和新技术发展的要求，饱受低可靠性、低可扩展性、高管理复杂度及高管理成本等方面的折磨。云计算以其独有的特点很好地弥补了本地医院信息系统的不足，为医院带来了工作效率、信息共享和数据收集与分析等多方面能力的提升。

与本地医院信息系统相比，云端医院信息系统放弃了对系统物理设施的直接控制，其数据及应用程序都存放于云端，带来优势的同时也在系统的安全性方面带来了挑战。特别对于医疗卫生行业而言，医院信息系统数据安全性（如患者的隐私数据）及应用安全性（如系统高可使用性）尤其重要，这就需要云端医院信息系统在部署时充分考虑云端在安全性方面的特点，从而有针对性地采取措施，在保障云端医院信息系统优势的同时，满足云端医院信息系统在安全性方面的需求。

针对云端医院信息系统安全问题，有些学者是针对私有云以及混合云的研究，更多的学者是从公共云安全角度进行的研究。这些研究包括了数据信息及隐私安全、系统平台建设、财务安全等方面。现有研究各自从不同角度探讨了云端医院信息系统安全问题，为数字化医院进一步的安全提升奠定了基础。新的安全隐患来自于新技术的应用，本文在前人研究的基础上，站在公共云架构的基础上，从整体上识别安全隐患的来源并提出在系统建设和管理过程有针对性的防范和杜绝安全隐患的有效策略。

二、云端医院信息系统部署的安全威胁及挑战

在本地医院信息系统的部署中，应用程序直接运行在基于本地物理机器的本地操作系统（或基于本地物理机器之上的虚拟机的本地操作系统）中，所有机器（或虚拟机）工作在本地局域网（或通过V P N等设施相连的多个本地局域网中），相应的数据也存放于本地机器（或虚拟机）和本地存储系统（数据库、专门的存储系统）中，医院自己（或外包）的IT系统管理人员负责所有物理设施及软件的部署、配置、优化及维护。

而在云端医院信息系统的部署中，服务器端的应用软件及数据都运行在云端（比如微软的A zure云），不同的云端服务器及存储系统工作在云端不同的虚拟网络中，所有对云端医院信息系统的访问都要以某种方式通过互联网（除非使用专线连接服务，比如A zure中的E xp ressRoute服务）进行。本地用户（如医生）使用本地的客户端远程连接到云端的服务器上，医院的IT系统管理人员一方面负责管理本地的客户端机器及网络，另一方面对云端医院信息系统本身及使用的资源进行管理和监控。

由于云端医院信息系统与本地医院信息系统相比，在管理方式及使用方式上有很大的不同，其在安全性方面带来了一些新的威胁和变化，引入了新的潜在攻击者和攻击接口。在云端医院信息系统中，由于本地的客户端机器及网络的部署及使用方式和本地医院信息系统基本相同，所以安全关注的焦点主要在于云端部署的应用程序和数据。

三、潜在的攻击者及攻击方式

云端医院信息系统中的云端应用和数据面临着大量的潜在攻击者，见图1所示。这些潜在攻击者包括互联网用户、云主机管理员、其他云用户、云物理设施管理员以及医院管理员。

图1 潜在攻击者及攻击方式

（一）互联网用户

除非使用专线连接，所有用户及管理员对云端医院信息系统的访问都需要经由互联网，这就使得互联网上的潜在攻击者能够攻击在互联网上传输的数据和云端医院信息系统暴露给互联网的接口。

（二）云主机管理员

这里的云主机管理员指的是云服务提供商负责管理虚拟机主操作系统或虚拟机管理器（H y p ervisor）的人员。由于云端医院信息系统所工作的虚拟机运行在主操作系统和虚拟机管理器之中，同时由于实现的需要，主操作系统和虚拟机管理器往往具有比云端医院信息系统所工作的虚拟机更高级的权限，这就使得云主机管理员能够接触云端医院信息系统中的数据及逻辑，并对其产生影响。一方面，云服务提供商的云主机管理员可能出于能力的不足或疏忽，产生误操作，另一方面，云服务提供商的云主机管理员可能出于报复或利益的目的（或其账户权限被黑客攻破），故意进行破坏或盗取数据。

（三）其他云用户

在云端，用户租赁的是云服务提供商的虚拟基础设施（I-aaS）。不同云用户使用的虚拟基础设施往往共享底层的物理或逻辑资源。这就使得同一云端的其他用户可能经由这些共享的资源攻击云端医院信息系统。典型的攻击方式包括拒绝服务攻击、数据泄露及篡改。

（四）云物理设施管理员

与本地医院信息系统相比，云端医院信息系统失去了对系统使用的物理设施（包括物理机器、网络设备、存储设备等）的控制。所使用的物理设施受云服务提供商的控制。考虑到云端医院信息系统的高安全性需求，系统必须考虑到这些物理设施被恶意用户接触到所产生的威胁。比如，更换的物理硬盘中残存的数据在丢弃前如果未被及时清理，就可能泄露系统中患者的隐私信息。

（五）医院管理员

云端医院信息系统的管理员不但对系统本身的逻辑和数据具有管理的权限，而且对云端系统所使用的资源有极高的处置权。恶意的管理员可能处于报复或利益的目的进行破坏（删除虚拟机器）或盗取篡改数据，能力不足的管理员可能产生误操作。由于医院管理员具有云端资源的极高权限，其权限也会成为其他黑客的攻击目标。在其他行业，已经有多起云管理员权限被盗取所导致的勒索或攻击案例。

四、对云服务提供商的信任与防备

与本地医院信息系统相比，云端医院信息系统将基础的物理设施及底层平台软件置于云服务提供商的控制之下，医院失去了对底层系统的控制权。这就使得一方面医院要对云服务提供商充分信任，与云服务提供商一起保证云端医院信息系统的安全；另一方面，医院要对云服务提供商可能导致的安全问题有所防备，做好深层安全防御机制，力图在出现问题时将危害降到最低。

公共云服务提供商（比如微软、亚马逊、阿里、谷歌）往往具备强大的技术和经济实力，他们在安全管理、防御及响应方面具有无可比拟的专业优势，这就使得他们所提供的公共云计算环境比本地数据中心或企业自己的私有云计算环境更加的安全可靠。也正是因为这样的原因，才使得公共云端医院信息系统具有强大的吸引力。云服务提供商控制着云端医院信息系统的底层部分（如物理设施、操作系统等），医院控制着云端医院信息系统的高层部分（如应用逻辑、数据、用户认证授权等）。在保证云端医院信息系统的安全性方面，云服务提供商与医院应该互相合作，各尽其职。医院应在对云服务提供商的安全能力做充分的尽职调查的基础上，定期地对云服务提供商的安全服务进行审查，从而建立对云服务提供商充分信任。

所谓百密一疏，公共云服务提供商也可能因为人为或技术的失误给他们的用户带来安全威胁。特别是考虑到医院信息系统在安全性方面的高要求，这就要求云端医院信息系统在构建时要充分考虑底层云计算环境的安全遭到破坏的情况，在系统与底层环境的接口处建立逐层的防御机制，将系统的重要数据置于受用户控制的安全机制保护之中，在默认配置下达到最大的安全性。同时，重复利用云技术环境提供的分布式多站点冗余恢复机制，建立安全事故的快速响应制度及响应团队，从而在发生安全问题时，将损失降到最低。

五、云端医院信息系统的安全策略

针对云端医院信息系统面临的安全威胁，医院需要从多个角度采取不同的安全策略，以保证系统的高安全性和高可用性。云端医院信息系统与本地医院信息系统一样，大体可以分为三个部分：前端用户界面（G U I方式或者W E B方式）、后端系统逻辑、后台数据存储。不同的部分在安全方面的策略有所不同，以微软A zure云为例（见图2），具体的安全策略可以从网络部署、数据存储、身份认证授权等角度来阐述。

图2 微软云安全策略

（一）网络安全

网络安全是传统安全策略的核心，同样，云端的网络安全也至关重要。云端医院信息系统应采取的网络安全策略包括：

1.子网隔离策略：不同的系统功能按类别分别部署到不同的子网（SU B N E T）中，子网之间通过防火墙（N S G）和白名单来限制进出子网的流量，保证只有业务逻辑需要的流量才能进出子网；

2.流量加密策略：所有虚拟机器及云服务之间的通信都进行加密（如SSL加密），医院本地终端和云端医院信息系统之间的访问必须经由V P N管道，并同时使用HTT P S安全通信协议；

3.D M Z隔离策略：在云端虚拟网络的对外接口部分构建D M Z隔离区域，在其中部署网关、I DS等网络安全设备，以防御外部网络攻击；

4.流量路由策略：定义流量路由策略，保证只有前端可以接受来自外部的流量，同时所有部分都不能主动发起对外部的链接。后台的存储只能有由端逻辑访问。

（二）数据安全

数据是系统的核心资产，云端数据的安全策略应包括：

1.静态加密存储：所有静态存储的数据应加密。加密的密钥应保存在密钥仓库中，并保证除特定的安全管理员外无人可以提取出密钥，包括云服务提供商的员工。要定义规范的密钥更新流程，在不影响医院信息系统使用的前提下自动定期更新密钥；

2.静态完整性保护：对系统中的关键数据应进行签名的机制进行完整性保护，以防御对其的恶意修改；

3.最短明文期的数据使用策略：对加密的关键数据的解密应仅在真实使用的时候进行，并在使用后立即销毁明文数据。

（三）身份安全

随着云计算时代的来临，传统以网络安全为核心的安全策略已经过时，而以身份认证授权为核心的新安全策略开始被广泛采用。以身份认证为基础，基于角色进行访问控制，结合身份审计，构建了一套全面的云身份安全机制。

1.身份认证：安全可靠的身份认证是云身份安全机制的基石。如果对用户身份的认证存在漏洞，那么以身份为基础的安全堡垒就会变得脆弱不堪。实际上，已经发生的多起云安全攻击就是以盗取身份为切入点的。著名的C odeS p aces倒闭事件就是其云代码托管系统的A W S云管理账户被攻破导致的。传统以密码为核心的身份认证已经变得越来越脆弱，逐渐被新的认证机制所取代。一方面，云端医院信息系统应采用新的多重身份验证机制，结合离线认证、设备认证、生物认证等手段，对管理员等高权限用户进行保护，增强其安全性；另一方面，云端医院信息系统也要采用联盟认证、单点登录（SS O）等机制，在保障用户身份安全的同时保证用户具有良好的使用体验。

2.访问控制：基于用户的角色，对用户的权限进行细分，从而只赋予用户需要的权限，是基于角色的访问控制策略的基本思想。部署在A zure上的云端医院信息系统可以采用其提供的基于角色的访问控制机制，结合A zure A D，对使用云端医院信息系统的不同用户定义不同的角色和权限集，从而避免过度的权限分配，减少系统内用户攻击系统的可能，降低其权限被盗取后对系统的破坏。

3.身份审计：对系统用户（尤其是高权限用户，如医院管理员）的行为进行监控和记录，结合人工智能等自动化审计和检测机制，可以有效地探测潜在或正在进行的攻击行为，并对发生的攻击进行追查。云端医院信息系统可以充分利用A zure提供的审核和检测机制，通过安全中心面板等功能有效地审计系统用户的行为，保障系统的安全性。

六、总结与展望

本文从潜在攻击者及云服务提供商两个角度论述了云端医院管理信息系统的安全问题，并从网络安全、数据安全以及身份安全三个角度提出了相应的安全策略，为云端医院信息系统的安全部署提供了借鉴。伴随着云时代的到来，对云端医院信息系统的安全保护将是一项长期复杂而又关键的任务。未来随着对云安全性的日益重视，越来越多的新安全策略将会随着人工智能等尖端技术在云端的使用而涌现。

[1] 高英，周怡.漫步云端，畅享云服务[J].上海信息化，2015，(02)：56-59.

[2] 马锡坤，王大勇，韩雄,等.基于云计算的数字化医院建设模式的研究[J].中国医学装备，2014，11(11)：27-30.

[3] 罗志宏.计算机云计算技术在医院信息化中的应用[J].中国新通信，2017，(10)：149.

[4] 曾毅.医院信息化系统安全与防御措施研究[J].网络空间安全，2016，(07)：91-92,95.

[5] 周钰，王文明，刘云，等.私有云存储在医院的建设与应用[J].医疗卫生装备，2017，(04)：68-70.

[6] 肖激雷，董建成.医院私有云数据中心应用探讨[J].医学信息学杂志，2016，(12)：30-33.

[7] 张卓奇，郭卫斌.混合云存储环境下的数据访问隐私保护方案[J].计算机工程与设计，2014，35(7)：2317-2320,2355.

[8] 陈彬彬.基于云计算的医院信息系统数据安全技术的应用探讨[J].数字技术与应用，2016，(09)：199,201.

[9] 黄鑫，沈翔柏．基于云存储的PACS医学影像安全传输系统[J].航天医学与医学工程，2015,28(5):366-369.

[10] 邓小争.基于云计算的医院数据安全保护关键技术探讨[J].计算机光盘软件与应用，2014，(09):145-146.

[11] 马锡坤，史兆荣，王与荣，等.基于云计算的医院信息基础平台建设[J].医学研究生学报，2013,26(7):738-740.

[12] 姚琴，王华琼，方亚洲，等.基于云计算平台的个人健康管理系统[J].中国数字医学，2012,7(1):55-58.