基于可信计算的医院数据安全交互平台设计和应用

时间：2024-05-04

谭鸿智

(湖南省常德市第一中医医院,湖南常德 415000)

0 引言

随着众多医改政策的不断发布和落实,医疗信息化的重点落在了一病例信息化的各项临床信息信息化项目,以及以医联体为主体的卫生信息共享系统。而随着各种新型网络技术在医院中的普及以及互联网医院的不断发展,大数据等新兴技术也逐渐成了医院内不可分割的一部分。目前我国现行的网络数据安全保护体系对数据安全保护提出了明确要求,网络安全事件的激增和勒索软件病毒的扩散给医院数据的安全性带来了挑战。大型医院信息系统多,数据量大。因此,怎样在保证数据传输的安全性的基础上,实现医院内外部数据的流畅传输,是目前网络技术工作者面临的一大挑战。

1 医院数据安全交互平台的构建

1.1 医院数据安全交互平台的意义

通常大型医院都会使用将医院内网与外网物理隔绝的方式,将涉及病人隐私信息的数据存储在内网中实现数据安全。但随着社会和经济的发展,有相当一部分的医院信息系统中的数据需要上传到互联网中进行开放。一般来说,医院内网与互联网的数据交互是通过安全认证的U盘进行数据传输,但这种方法同样存在传输效率过低、安全保障性差等缺点,无法满足医院日渐巨大的数据交互问题。可信的数据交互平台可以解决医院多个孤立网络中不同企业系统之间的连接问题,保证数据的安全高效交换[1]。

1.2 医院数据安全交互平台的架构

可信数据交互平台总体架构由安全管理中心、分类系统前端和可信数据交互组件3个模块组成。安全管理中心由系统管理、安全管理和安全审计3个模块组成。主要负责系统配置、策略管理、策略接口的提供、策略信息的接收以及与安全审核的交互。在不使用分级系统安全管理中心的分级系统中,分级系统前端可以对交叉资质接入业务进行安全标识,并负责提供从接入服务到资格认证的接口。可信数据交互组件用于为多层企业系统提供交互接口,并根据管理中心的指令检查和仲裁需要交互的服务,并提供数据流控制、访问控制、身份验证、日志检查等功能。

1.3 构成医院数据安全交互平台的技术

目前,许多系统既不使用安全管理中心,也不识别系统中的主体和对象。因此,很难通过分类系统识别它们,也很难识别它们在网络运行中的行为。可信数据交互平台使用特定的平台安全标签技术,为没有安全标签的多级系统提供连接服务,并为多级组件数据化提供基础。

与传统的标签不同,可信数据交互平台可以提供基于主题和对象信息、访问控制权、应用程序协议等的多维标记。此外,经过一定的延迟后,多维标记可以自动替换,允许动态标记。多维动态标签技术可以有效地保护对象和标签使用的对象,避免身份变更问题[2]。

系统前端为与公司数据的交互提供了通用接口,并支持将数据格式转换为不同的标准协议。应用层协议将交互数据流与应用层的攻击类型库和安全授权规则进行比较,以过滤源位置的数据包,并防止目标服务器上的应用层攻击。

可信数据交互平台允许基于可信网络登录后进行数据交换。本系统中的可信连接模块通过可信身份管理,为网络中的安全终端设备建立可信身份,保证对终端设备的安全可靠访问。受信任的终端可以通过可信交换与分级系统前端相互访问,未经授权的用户不能访问互连前端,确保只有具有合法身份并经安全管理员批准且符合适用安全策略的终端才能访问系统数据[3]。

不同系统之间的数据交换是通过交互平台中的多个交互组件进行的,使用专用的硬件和通信协议,以安全、可控的方式隔离业务交互。

2 医院数据安全交互平台的安全性分析

在实践中,数据交互平台的安全不仅会受到恶意攻击的威胁,还会受到数据安全的威胁。鉴于数据安全是指通过可信数据非法闯入内网系统窃取敏感数据的外部用户,或非法对外披露敏感内部数据的内部员工,恶意攻击外部用户进入可信数据交互组件以共计网络系统[4]。因此,受信任的数据交互平台针对这两个主要领域可能包含的不确定性采取以下几种预防措施。

2.1 保障数据安全

平台系统组件系统之间的数据传输通过可信网络连接进行。可信网络连接的安全功能可以避免交换源被仿冒的风险,整个从源到目标的交换都建立在一个可以防止恶意数据交换的信任机制上。安全标记用于验证数据的合法性,并对可信数据交互组件的访问级别进行分类。安全链路组件通过分析安全功能来确定数据是否可以通过组件传输到另一端,并且在没有安全标记的情况下不会释放数据。此外,安全令牌具有不同的访问级别,连接组件将识别安全令牌的访问级别,从而避免访问级别溢出现象,并确保数据交换以可控和可管理的方式进行。通过配置可传输文件类型的黑白名单,平台的可信数据交互平台可以只允许传输内联网应用程序生成的记录文件,禁止传输文件、可执行文件和脚本文件,使用不可逆算法对平台上内网数据文件中的敏感信息进行加密,并使用应用系统对通过外部网络交换的文件进行加密,以防止数据被更改。

2.2 防范恶意攻击

数据交互平台的所有组件都有扩展模块,其中数据交互通过云端执行,数据完整性检查在应用程序和设备上执行。这提供了针对恶意脚本、特洛伊木马和病毒的主动保护,并基于最低权限限制应用程序操作。机密数据交互平台只能通过管理平台集中配置。关于提供可信数据交互平台的指令降低了攻击的可能性。只有当外部用户通过外部防火墙且入侵监控系统未检测到时,才可能对受信任的数据交互平台进行攻击。另外在平台系统的网络前端,只有内网前端提供管理服务器,并会关闭所有其他未使用的服务端口,以防止外部用户攻击文件服务器。

3 医院数据安全交互平台的目前应用和发展方向

3.1 医院数据安全交互平台的应用

考虑到在建设医院加护平台时跨网安全交换数据的重要性,通过对医院数据交换方法的深入研究,结合医院系统的业务特点,采用双机自动备份的方法,建立了内网与互联网之间可靠的数据交互平台。交互类型有文件级交互和应用程序级交互。文件级交互通常用于异步数据传输,应用程序级交互通常用于紧急需求。文件级交互过程如下:Internet分类系统前端负责收集查询文件并将其传输到内网分类系统前端,以获取交互组件的可靠数据。

由于医院业务系统的多样性,信息交互安全平台在大型医院得到了广泛的应用。为了实现数据共享和互操作,不同系统之间原有的交互模式逐渐发展成为统一的信息集成平台。因此,研究设计可靠的应用级交互和交互需求,可以加强医院信息集成平台之间的深度集成,并进一步提高应用程序级别的请求响应能力,使各业务线系统更健康、更敏感。同时,医院业务对实时性的要求也很高。后续可以对内部和外部交互的实时性进行研究,并建立适当的交互回退机制,以确保内部和外部交互服务的连续性。

3.2 医院数据安全交互平台未来的展望

一个安全高效的数据交换解决方案具有良好的示范效果。医院的多个系统都需要在内网和互联网之间交换信息,但是由于数据安全的考量,医院需要按照安全策略隔离两个网络。但随着业务发展的需要,数据传输对信息系统的交互效率和服务质量产生了很大的影响。使用可信平台进行数据交互、访问控制、标记控制、对评估系统主机和来宾的多级访问,通过对应用日志和其他一些技术和方法的运用,解决不同系统之间的数据操作性问题,必将改善医院的门诊服务和互动能力,从而提高医院的整体服务水平。