闵浩蔡冬 杨涛

（湖州市中心医院，浙江湖州 313000）

在满足远程影像会诊系统的功能性要求的基础上，进行安全性设计成为现阶段系统开发和创新的主要任务。结合以往的系统管理经验，远程影像诊断系统运行过程中遭受的外部攻击，以破坏网络、主机和应用程序为主。在设计医院信息安全系统时，应结合各类攻击形式和破坏原理，分别采取针对性的应对措施，例如启用身份认证，或提高安全配置等。探究保障医院远程影像诊断系统信息安全的可行性措施，成为“智慧医疗”发展背景下的一项重要研究课题。

1 医院远程影像诊断系统web 应用程序的开发

1.1 应用程序设计。远程影像诊断系统的使用者有三类，分别是普通医生、专家和管理员。面向不同的使用者，该系统提供的应用功能也存在差异。（1）普通医生。完成注册的医生，输入用户名及登录口令后可以进入该系统，在“个人中心”中查询会诊资料。如果需要远程医疗服务，需要医生在线填写会诊申请单，然后发送至该平台上。由后台自动匹配符合要求的专家，并等待响应。在会诊申请通过后，进入准备远程影像诊断的程序。（2）专家。在接收到系统发送的申请消息后，通过网络视频与现场医生取得联系，并共同完成病情交流和远程诊断。（3）管理员。负责处理会诊申请，并审查医生填写的会诊申请单是否规范。在远程会诊结束后，将有关资料整理、归档。远程影像诊断系统结构如图1 所示。

图1 远程影像诊断系统结构组成

1.2 网络结构设计。远程影像诊断系统的运行对网络要求极高，只有保证网络信号传输质量，才能为远程诊断的专家提供高清的现场图片或视频资料。因此，对该系统的网络结构也要进行优化设计。分析数据库服务器和远程诊断服务器的信息传输，具有数据流量大、质量要求高的特点。因此，在数据库服务器和FTP 服务器之间，以及远程诊断服务器和Web 服务器之间，选择用光纤代替普通的线缆，除了提高通信效率外，对降低信号损耗、保证通信质量也有积极帮助。另外，FTP 服务器和Web 服务器，经互联网与客户端的远程诊断工作站、医院信息系统（HIS）相连，也是充分利用互联网开放程度高、通信容量大的特点，提高了信息传输效率。网络结构组成如图2 所示。

图2 远程影像诊断系统的网络结构

1.3 系统模块设计。远程影像诊断系统的功能模块主要分为4 部分，各个模块的功能如下：

1.3.1 登录/注册模块。对于首次登录该系统的用户，需要从该模块完成注册。除了阅读并同意服务条款外，还要填写个人详细信息或上传相关的资格证书。填写完毕后提交系统，等待管理员审核。对于完成注册的用户，输入对应的账户和密码后，可进入到远程影像诊断系统的主页面。在进行web 应用程序进行验证时，需要根据目录在web.config 文件中进行如下设置：

1.3.2 会诊模块。提供会诊查询、会诊申请、会诊审核等功能。以会诊申请为例，申请医生首先要从系统提供的专家选项中，选择进行会诊的专家。然后填写会诊申请单，包括病人的病例、申请描述等。填写完毕后，提交系统等待审核。

1.3.3 会诊实时交流模块。采用基于RTP/RTCP 协议的音频交流，或基于UDP 协议的视频交流，由医生和专家在会诊过程中进行实时交流。

1.3.4 管理员模块。系统管理员可通过“会员管理”功能，新增或删除会员，以及设置会员权限，进行会员资料的更新维护等。也可通过“会诊管理”功能，查询会诊业务，并对会诊影像资料进行管理。

2 医院远程影像诊断系统应用的安全性

2.1 远程影像诊断系统威胁建模。远程影像诊断系统的运行离不开互联网的支持，而互联网作为完全开放的环境，不可避免的会存在恶意访问或病毒木马，从而给该系统的运行构成了威胁，甚至导致医院信息泄露。为了有效应对各类威胁，针对这些攻击的形式、威胁的类型建立模型。总结来看，不法分子对远程影像诊断系统的供给方式主要分为5 个步骤，如图3 所示。

图3 远程影像诊断系统的攻击方法

具体来说，攻击者首先会开展调查，确定需要攻击的目标。然后开展目标的安全等级评估，并根据其防御等级确定攻击和破坏手段。利用系统存在的漏洞，或者将木马植入到正常文件中进行渗透的方式，达到破坏系统安全防护系统的目的。进入该系统后，攻击者通过提高自身权限的方式，获取浏览、下载、删除信息的权限，进行破坏行为。最后，攻击者通过维护访问来掩饰个人踪迹，或者通过拒绝服务的方式阻止管理员正常登录该系统。

2.2 远程影像诊断系统所面对的攻击。根据攻击方式的不同，又可分为针对网络的攻击、针对主机的攻击，以及针对应用程序的攻击3 种类型。a.攻击网络。在信息传输过程中，通过假冒接收者或恶意拦截的方式，获取正在传输的信息，造成信息泄露。或者是采用DoS 攻击，向服务器发送大量请求，导致服务器无法做出响应，甚至导致服务器瘫痪，无法正常接收网络中的信息。b.攻击主机。比较常用的是植入木马程序，或者利用系统漏洞渗透病毒的方式。主机受到攻击后，除了会导致用户的账户信息和个人隐私泄露外，还会收集存储到系统中的其他有价值的信息。c.攻击应用程序。包括篡改数据、网络窃听、越权操作等。

2.3 远程影像诊断系统安全系统设计思路。用户通过浏览器登录Web 网站的形式访问远程影像诊断系统。为防止第三方非法访问，在登录界面要求用户进行身份验证。除了输入匹配的用户名和密码外，还会提供由4 个数字或字母随机组合的验证码，要求用户手动输入。为保障病人隐私和重要数据，该系统还针对敏感数据进行重点保护。敏感数据包括系统账号及密码信息，以及会诊信息（如病人资料、专家联系方式等）。用户输入的密码，经过加密转换为散列值的方式，与系统数据库中存储的密码散列值对比，两者匹配成功即可顺利登陆。这样不法分子就无法通过窃取登录记录的方式获取真正的密码。在Web 服务器和浏览器之间，启用防火墙，保证医院内网的安全性，有效防止来自外部互联网的非法访问和恶意入侵。在Web 服务器中，提供验证输入、用户授权等一系列安全配置，杜绝违规操作。同时，设置异常报警系统，Web 应用程序检测到未经授权进行资料下载，或者有未经身份验证的用户请求页面等行为，则自动向管理员告警，对异常请求进行专门处理。该系统运行期间产生的敏感数据，经过加密处理后被存储到数据库的敏感数据专区中。定期自动进行敏感数据备份，以便于随时调用。整个流程如图4 所示。

图4 远程影像诊断系统安全系统运行流程

3 医院远程影像诊断系统的安全性要求

3.1 Asp.net 管道。在Asp.net 应用程序中，从接收到客户端发送的请求开始，一直到该请求被系统接收并作出响应为止，整个过程都需要借助于专门的通道来完成，Asp.net 管道的运行流程如图5 所示。

图5 Asp.net 管道的运行流程

用户从客户端或者浏览器上，向其他客户端发送Asp.net 页面或资源的HTTP 请求。从该请求发出后，浏览器的安全设置被激活，从而启动在线保护功能，防止第三方拦截信息。用户发出的请求，通过端口80 进入到如服务器，服务器的IIS 系统对该请求包含的授权文件进行安全扫描。若扫描发现可疑文件，则将其原路退回。若扫描通过，则作出响应。同时该响应原路返回至用户的客户端。

3.2 身份认证。在Asp.net 管道的中间层IIS 中，提供了两项基本服务，即身份认证和创建访问令牌。用户点击“身份认证”选项后，进入到二级页面，默认为实名访问，用户也可勾选“匿名访问”，保护账户和密码的安全。同时，选择“允许IIS 控制密码”，在重新登录系统时，必须要进行身份验证。若连续3 次验证不通过，则将该访问用户IP 地址锁定，杜绝了恶意访问带来的安全隐患。

3.3 安全配置。在Asp.net 的配置文件中，也设计了大量的安全设置，比较常用的是基于Web.config 的资源锁定配置。对于远程影像诊断系统运行中产生的重要数据，Web 应用程序会为其自动创建一个Web.config 文件，并启动该文件中的默认安全设置。为了防止不法分子篡改、窃取这些数据，在Web.config 文件的安全配置后，设置了HttpHandler 保护程序。对于非授权用户浏览、下载、删除文件时，该保护程序自动启动，禁止一切操作行为，并返回错误页面。

4 结论

医院远程影像诊断系统在推广应用中，能否保障系统运行安全和信息安全，将会直接决定该系统应用价值的发挥。针对该系统网络、主机和应用程序的攻击，是威胁信息安全的主要形式。基于此，通过优化Asp.nei 的安全配置，以及启动身份认证模式，将会显著提高该系统应对恶意访问、非法入侵的能力，为远程影像诊断系统的更好应用提供保障。