浅谈互联网医院商用密码应用及数据安全防护建设研究

时间：2024-05-04

黄熠亮

【摘要】随着互联网医院建设的不断增多，互联网数据安全和信息化作为互为掣肘的两个部分，如何把控互聯网医院的网络安全，成为当前保障医疗信息化建设的重中之重。本文针对互联网医疗领域面临的安全建设挑战，基于国家安全领域相关法律法规和标准，通过商用密码应用和数据安全防护在技术层面上所具有的一定共通性，出于经济性、实用性和合规性的原则将两者结合，提出应用案例和解决方案。从技术层面对保障互联网医院网络安全、稳定运行，防范网络安全风险，维护网络数据安全进行初步探讨。

【关键词】互联网医院网络安全商用密码数据防护

一、互联网医院建设的基本情况

近年来，***总书记多次提出建设互联网医院的重要性，实现网上医疗、便利医疗的重要目的，让百姓少跑路，数据多跑路，使得互联网医疗真的成为便利老百姓的工具。全国上下贯彻党中央的指挥，目前已经基本实现以实体医院为依托的集咨询问诊、处方开药为一体的互联网医院体系。2020 年的疾病防控，加快了互联网医院政策体系完善和市场普及。互联网医院的建设数量、实体医院搭建互联网医院的需求，均大幅增加。在政策、需求的双轮驱动下，截至2020 年10月，官方数据显示全国目前已经拥有900多家互联网医院，可以远程覆盖和支持2.4万家医疗机构给5500多家二级以上的医院提供远程帮助。在这种特殊的形势下，如何保障互联网医院数据安全，正确处理好互联网医院数据不断扩张和数据安全的关系是网络体系安全势在必行的工作。

二、互联网医院开展商用密码应用及数据安全防护的必要性

2.1政策法规要求明确

2017年《网络安全法》颁布以来，我国出台了一系列安全领域法律法规，对网络运营者至关键信息基础设施运营者，在网络安全、数据保护方面提出要求。互联网医院同时属于网络安全等级保护测评第三级系统以及关键基础设施，因此必须严格遵循国家法律对“互联网+领域”相关规定，对互联网医院开展商用密码应用实施基本法层面的强制要求和技术标准，对“互联网+医疗”涉及的数据安全进行严格管控。

目前我国多部法律明确对数据安全进行了规定，规定中要求对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等，并严格执行信息安全和健康医疗数据保密规定;并提出在互联网医院的建设中医疗体系类的系统必须参照相关法律法规对数据实施第三级别的保护体系，严厉打击信息安全犯罪行为。此外，各级卫生健康部门均按照中央网信办要求，提高信息化建设中网络安全投入比例，推进商用密码应用的深度和广度。

2.2安全事件异常严峻

医疗技术信息作为国家战略安全的重要数据信息来源，随着全球化信息时代的到来，所面临的境外风险指数不断上涨。全球范围内针对医疗行业的网络攻击、黑客入侵、恶意代码、安全漏洞等各类网络安全事件异常突出。据统计近三年全球医疗行业比较典型的重大事件有：世界卫生组织在2020年至今遭受网络攻击数量同比增长5倍、中国医疗公司AI检测病毒技术被黑客窃取、11.9亿张机密医疗图像在公网暴露等[2]。据2019年外媒报道的一起医疗影像数据泄露事件，其中全球超7.37亿医疗数据泄露，波及 2000 多万人，波及52国[3]。因此在网络安全形势越发严峻趋势下，重点加强医疗行业的网络安全建设尤为重要，互联网医院需要加大网络安全技术保障力度，发挥商用密码在保护信息安全等方面不可替代的作用，从底层对系统、环境和数据进行安全保护。

2.3业务安全需求迫切

互联网医院本身处于互联网环境中，依托实体医疗机构将诊疗业务延伸至互联网端，与包括实体医疗机构、卫生健康行政部门管理平台、互联网医疗服务监管平台、医联体、医生、患者、药店药企、金融和保险机构、物流、第三方支付平台等之间的互联互通，增加了互联网业务的对外暴露面安全风险。互联网医院系统承载着大量的有价值的敏感数据，关乎社会的平稳运行。一旦遭到破坏、丧失功能或者数据泄露，或对关键信息基础设施安全，乃至数据安全、个人信息安全等带来严重后果。因此需要引起足够重视，针对数据保护方面提升安全要求，医疗数据信息涉及到国家安全，国民生计，与社会利息息息相关必须构建高等级的密码安全防护。通过基于商用密码技术的应用来保障互联网医疗平台在线签约、电子病历、医师认证、电子处方等业务的安全开展。

三、互联网医院系统主要存在的安全风险

互联网医院系统面向互联网提供服务，其可能面临的各类安全威胁较一般系统更为严峻，目前主要存在的安全风险有：

一是应用系统的安全漏洞导致的交叉扩散风险。在实际安全测评中发现互联网医院系统存在SQL注入、跨站脚本、权限旁路（包括垂直越权以及平行越权）等高危漏洞。恶意攻击者可能会利用这些漏洞对系统开展各类网络攻击。如：通过SQL注入漏洞获取重要业务数据，甚至注入漏洞获取服务器的控制权限;利用跨站脚本漏洞获取系统管理员的会话凭证，获取系统管理后台的访问权限;利用权限旁路漏洞通过遍历ID等攻击方式获取患者信息。同时互联网医院系统往往通过数据接口与医院前置机进行通信，前置机部署在医院内部网络，攻击者可能会以互联网医院系统设备作为跳板，对医院内部网络进行进一步的渗透攻击。

二是敏感信息保护措施不足造成的信息泄露风险。目前主要的互联网医院均使用云服务商提供的医疗SaaS服务，互联网医院作为SaaS云租户，云服务商数据安全防护水平不足或将引发信息泄露等多个问题。互联网医院系统存放了患者身份、就诊信息等医疗敏感数据，这些敏感数据往往在数据库中明文存储，同时互联网医院云平台与医院前置服务器基于互联网服务接口进行数据同步，存在服务接口未采取密码技术进行传输加密保护，增加了医疗数据系统被攻击和窃取的途径和风险。伴随《GB/T 35273-2020个人信息安全规范》[4]全面实施，互联网医院需提升数据安全防护能力，不断完善对个人医疗健康信息的保护措施。

三是技术层面管控手段缺乏引发的数据安全风险。医院互联网医院云平台中，多家互联网医院病例数据、健康档案等医疗数据汇聚在云服务商的数据库系统内，通过将此类数据汇聚整合分析可以推断出互联网医院所在区域的人口健康状况、疾病传播等信息，云服务商未建立完善的数据分级分类等安全管控手段，或将引发数据安全风险;此外，未实施电子签章措施可能造成医疗纠纷问题，根据《上海市互联网医院管理办法》规定所有在线诊断、处方必须有医师电子签名，未引入电子印章系统的互联网医疗服务闭环机制的缺失，可能造成医疗纠纷甚至影响患者人身安全。

四、互联网医院云平台密码应用及数据安全防护案例分析

本文针对互联网医院所面临的的安全问题，以某互联网医院为例，结合数据安全追踪和管理等相关技术进行分析。该互联网医院云平台简介：该平台以SaaS服务模式为各家医院提供应用软件服务，主要功能模块由患者端、医生APP、互联网医院管理后台平台组成，该平台部署在某IaaS云平台上，作为IaaS租户侧使用云平台提供虚拟服务器，服务器部署了CentOS操作系统以及 Oracle数据库系统，使用Tomcat中间件，应用基于JAVA技术开发，使用了IaaS云平台提供了堡垒机、入侵检测等通用安全服务。该平台尚未配备任何密码产品和密码服务。

某互联网医院云平台密码应用及数据安全防护实施拓扑图如下图1所示。

根据《信息系统密码应用基本要求》（GM/T 0054-2018）[5]在某互联网医院云平台部署密码应用：

1.在互联网医院云平台网络接入区内部署安全认证网关，该设备具有用于用户身份认证、传输保护功能。用户身份认证方面：安全认证网关对用户（医生、患者、运维人员）使用的SM2数字证书进行身份验证，验证通过后，安全认证网关的应用代理认证模块映射互联网医院系统中对应的用户信息，安全认证网关将应用系统返回的用户界面返回给用户端浏览器，用户可正常访问应用系统。传输保护方面，安全认证网关采用国密局认可的对称密码算法（SM4）对传输过程进行加密，启用SM3算法校验传输过程中的数据。

2.在互联网医院云平台网络接入区内部署IPSec VPN设备，该设备与医院的IPSec VPN设备之间建立加密隧道，加密隧道使用对称密码算法（SM4）以及杂凑密码算法（SM3）保障了通信过程中的保密性和完整性，IPSec VPN设备之间基于SM2数字证书完成双向身份鉴别。

3.在密码服务区部署电子签章系统服务器，为医生提供在线诊断、处方的电子签章、验章服务，保障医生签名的真实性、完整性和签章行为的不可否认性。

4.在密码服务区部署签名验签服务器，基于SM2/SM9算法，实现互联网系统用户关键操作行为的不可否认性和真实性。

5.医生配备智能密码钥匙（USBKey），主要提供电子签章、身份鉴别服务，智能密码钥匙分别存放用户身份数字证书以及电子印章数据。电子印章数据应遵循《安全电子签章密码技术规范》（GM/T 0031）[6]。系统运维人员使用智能密码钥匙通过安全认证网关进行身份认证，验证成功后，通过云服务商提供的堡垒机对操作系统以及数据库系统进行远程运维。

6.在密码服务区部署云服务器密码机，调用云服务器密码机对个人敏感信息经过对称密码算法（SM4）加密后存放在数据库中，利用HMAC-SM3算法对个人敏感信息进行计算，将得到的MAC值存放在数据库表中。应用系统、操作系统、数据库以及中间件访问日志采取保护措施，调用云服务器密码机使用HMAC-SM3算法对审计日志进行完整性保护。

数据安全防层面的部署：

1.在安全服务区内部署数据动态脱敏系统，根据实际业务需求，制定数据脱敏策略，应用系统调用动态脱敏系统服务接口，经敏感数据进行脱敏后展示。

2.部分数据由于业务需求，前端展示时未采取脱敏措施，部署数据水印系统，将数据水印嵌入互联网医院系统中存放重要数据的界面中，可对数据泄露源头进行溯源。

3.部署数据防泄露及审计系统，基于流量镜像方式对业务数据流进行实时检测，实现对数据库操作行为、可能的数据泄露事件进行实时监测、审计以及报警。

4.针对云平台的各类数据进行分级分类管理，将数据安全等级从高到低分为3级、2级、1级，基于数据安全性遭到破坏后的影响对象及影响程度，对涉及的各类数据进行定级，如将个人信息、患者医治相关记录、汇聚的医疗数据定为3级数据、将管理类数据（安全审计日志、配置信息等）定为2级数据、将公开数据定为1级数据。不同级别的数据采取不同的防护策略，针对3级数据应采取技术手段同时保障数据在传输、存储、使用过程中的保密性和完整性，针对2级数据如安全审计类数据，采取技术手段保障数据在传输、存储、使用过程中的完整性，同时通过基于安全标记级的访问控制手段，基于安全标记限制用户对不同级别数据的访问，通过密码技术对用户访问控制信息的完整性进行校验。

五、结束语

通过以上理论案例分析，就實施互联网医院安全举措，主要得出以下几点结论：

一是采取完善的密码技术，可降低应用程序安全漏洞所带来的安全风险。通过采取符合国家要求的（SM4）密码算法，使得攻击者解密获取明文数据难度大大增加，通过采用（SM3）密码算法对数据进行完整性保护，有效防护攻击者对数据的恶意篡改，以及个人数字证书对登录用户进行身份认证，降低攻击者对系统发起网络攻击的可能性。

二是采取多种敏感信息防护措施，可有效降低数据泄露的风险。通过部署的安全认证网关、IPSec VPN设备、云服务器密码机，保障数据在传输、存储过程中的完整性和保密性。以及部署的数据动态脱敏系统、数据防泄露及审计系统、数据水印系统，分别实现敏感数据保护、数据泄露事件实时监控、数据泄露情况的实时溯源。

三是加强互联网医院安全防护水平，采取数据分类分级保护措施可降低数据汇聚带来的安全风险，清晰界定医疗数据在不同阶段的访问控制权限。同时需要利用基于密码的数据识别、数字签名等技术手段，加强互联网医疗服务产生的数据可查询、可追溯以及互联网医疗体系中的实体身份可信。

面向“十四五”，关乎国计民生的医疗信息化建设任重道远，保障互联网医院安全成为其中关键考量。密码技术与数据安全工作同为网络安全环境建设的重要防线，意义重大，需要持续不断地加大创新应用，筑牢互联网医院网络安全坚实防线，保障智慧医疗新安全。

参考文献

[1]毛子骏，梅宏，肖一鸣，等.基于贝叶斯网络的智慧城市信息安全风险评估研究[J].现代情报，2020，40（5）：19-26，40.

[2]刘道远，孙科达，周君良，等.模糊综合评判法在电力企业网络信息安全评估中的应用[J].电信科学，2020，36（3）：34-41.

[3]王刚.SoS体系多维度分析在信息安全风险评估中的应用[J].微型电脑应用，2020，36（9）：56-59.

[4]孔姝睿，赵艳.基于Web的网络信息安全风险评估模型研究[J].信息与电脑，2020，32（9）：200-202.

[5]林燕.网络信息安全的风险评估及管理策略[J].信息系统工程，2020，（8）：56-57.

[6]张殿巍.人工智能在信息安全风险评估中的应用[J].智能城市，2020，6（3）：49-50.

[7]王逊.分析等保2.0对医院信息安全管理的新要求[J].科学与信息化，2021，（3）：117.

[8]赵计伟.数字化环境下医院信息安全建设分析[J].信息记录材料，2020，21（4）：68-69.