安全資訊

CHIMA發(fā)布的《2019-2020年中國醫院信息化狀況調查報告》（公開(kāi)版）顯示，醫院信息安全建設的重要性日益凸顯。而作為醫院系統互聯(lián)互通關(guān)鍵樞紐的集成平臺，不僅承載醫療機構內部的大部分業(yè)務(wù)，還需要開(kāi)放接口給院外，和大量系統有千絲萬(wàn)縷的聯(lián)系。因此集成平臺的安全性倍受醫療機構的重視。

1.備份與恢復

測評關(guān)鍵點(diǎn)：數據備份、容災措施

1.1 數據備份：

集成平臺中消息日志是非常重要的，其中包括消息統計跟蹤日志和消息內容日志。以日均門(mén)診量5000左右的三甲醫院為例，每天的消息日志（包含消息內容和跟蹤統計數據）大概有10-20G。一般情況下，在線(xiàn)數據至少要保存1個(gè)月的消息內容日志和1年的跟蹤日志，需要的數據存儲空間建議在1-2T。離線(xiàn)數據至少要保存半年以上的消息內容，建議預留存儲空間在10T以上。

1.2 容災措施：

除了對關(guān)鍵數據進(jìn)行備份，集成平臺也應具備高可用的容災方案，通過(guò)冗余策略避免在關(guān)鍵節點(diǎn)出現單點(diǎn)故障。針對于不同規模和集成需求的醫療機構，容災方式一般會(huì )有冷備、熱備、雙（多）活、集群和云原生等方案，這些方案有著(zhù)各自的優(yōu)劣（見(jiàn)圖1），具體如下：

冷備方案：技術(shù)上的實(shí)現相對簡(jiǎn)單，但在實(shí)際應用時(shí)，無(wú)法在主服務(wù)器故障時(shí)自動(dòng)切換備用應用服務(wù)器，而是需要手動(dòng)執行切換過(guò)程，這可能會(huì )導致醫療業(yè)務(wù)中斷一定時(shí)間；另外單點(diǎn)故障的問(wèn)題仍然存在。

熱備方案：熱備方案是目前多數醫院使用或關(guān)注的災備方案，而在三級等保的具體實(shí)施中，也建議“主要網(wǎng)絡(luò )設備、服務(wù)器雙機熱備份”。理想狀況下，集成平臺中間件內置主備容災環(huán)境，主備服務(wù)同時(shí)在線(xiàn)，能實(shí)現服務(wù)無(wú)感知切換（亞秒級別切換時(shí)間），無(wú)需依托任何外部高可用技術(shù) (如Windows故障轉移) 并且能做到統一配置管理，統一監控管理，統一數據管理，大幅提升易用性。

雙（多）活方案：該方案中部署的各臺服務(wù)器沒(méi)有主備之分，均是獨立部署，能同時(shí)運行項目處理業(yè)務(wù)，提升了資源的整體利用率，解決了熱備方案中備機常年處于閑置狀態(tài)的問(wèn)題，在保證高可用的同時(shí)也解決了單臺服務(wù)器處理的性能瓶頸問(wèn)題。

不過(guò)，雙活或多活方案中仍然存在著(zhù)管理監控不統一以及同步性問(wèn)題。任何一臺引擎上的配置修改都需要手動(dòng)同步到其他引擎服務(wù)器上。同時(shí)該方案也不適用于對消息處理順序有要求的項目，因為消息被平均分發(fā)到多臺服務(wù)器后，消息原本的處理順序無(wú)法得到保證。

集群方案：該方案根據醫院平臺的業(yè)務(wù)特點(diǎn)在產(chǎn)品設計時(shí)就原生實(shí)現的集群架構，并非單機系統部署在多臺虛擬機上形成的“集群”(其核心仍是單機架構)。針對如三級醫院、醫院集團等業(yè)務(wù)量大，對于高可用性和實(shí)時(shí)性都有較強需求的醫療機構，能夠保證集成平臺的高性能及日常運行的長(cháng)久穩定。然而，集群方案對資源利用率仍無(wú)法突破傳統架構束縛。

容器化云原生方案：該方案基于最新容器編排技術(shù)Kubernetes (K8s)的PaaS層云原生分布式集群架構，通過(guò)容器化技術(shù)來(lái)提供高可用、高并發(fā)、高性能、低延遲的云平臺，充分展現微服務(wù)和云原生的特性及優(yōu)勢，真正發(fā)揮PaaS云計算環(huán)境下的動(dòng)態(tài)調動(dòng)、彈性延展、精細化資源配置等特性，更好地支撐超大規模云計算，而這些能力也都是傳統IT架構的引擎在部署到云環(huán)境時(shí)所無(wú)法實(shí)現的。不過(guò)，該方案對醫院信息部門(mén)運維人員的有一定的技術(shù)能力要求且整體價(jià)格偏高。

2. 安全審計

測評關(guān)鍵點(diǎn)：審計日志備份

審計日志記錄了集成平臺操作的用戶(hù)以及用戶(hù)的一些重要行為，應對審計記錄進(jìn)行保護和定期備份，避免受到未預期的刪除、修改或覆蓋等。

集成平臺需提供審計日志的具體內容，內容要全面并且覆蓋全部用戶(hù)，建議日志記錄的內容至少應包括登錄登出、增刪查改等操作行為、操作人員和操作時(shí)間等。

同時(shí)，參照2017年6月1號發(fā)布的《中華人民共和國網(wǎng)絡(luò )安全法》第二十一條（三）項規定：采取監測、記錄網(wǎng)絡(luò )運行狀態(tài)、網(wǎng)絡(luò )安全事件的技術(shù)措施，并按照規定留存相關(guān)的網(wǎng)絡(luò )日志不少于六個(gè)月。因此建議審計日志至少備份6個(gè)月，同時(shí)能夠還原指定時(shí)間范圍的日志數據，以便監管部門(mén)調取。

3. 通信完整性和保密性

測評關(guān)鍵點(diǎn)：安全認證、加密算法

這項等保測評要求可分為傳輸安全和消息內容安全。

3.1 傳輸安全

為滿(mǎn)足通信的保密性，集成平臺需具備SSL/TLS安全認證、X.509證書(shū)并采用HTTPs進(jìn)行加密傳輸，保證傳輸過(guò)程中的安全性。

3.2 消息內容安全

為保證消息內容安全，對各類(lèi)加密算法的支持也是三級等保建設時(shí)的技術(shù)關(guān)注重點(diǎn)。三級等保測評中要求應用系統應采用校驗碼技術(shù)或密碼技術(shù)保證重要數據在傳輸過(guò)程中的完整性和保密性。完整性主要是通過(guò)哈希(Hash)算法來(lái)進(jìn)行驗證，例如國密算法中的SM3就能提供數據完整性的算法，而AES、DES等國際算法和國密算法SM4則是提供數據保密性的加密算法（其項目中的數據交換具體示例如圖2所示），建議醫療機構在對集成平臺選型時(shí)，需多留意加密算法的支持能力。

4. 入侵和惡意代碼防范

測評關(guān)鍵點(diǎn)：集成平臺定期升級更新

在對于安裝集成平臺的主機，一般都會(huì )通過(guò)安全類(lèi)公司來(lái)進(jìn)行漏洞掃描等安全防范的測試和評估，評估報告會(huì )從如下幾個(gè)方面進(jìn)行分類(lèi)和統計：主機風(fēng)險等級列表、主機分布信息、漏洞風(fēng)險分類(lèi)信息、漏洞風(fēng)險分布情況、脆弱的帳號口令列表。

根據評估報告，醫療機構可以在檢測出漏洞后積極和廠(chǎng)商聯(lián)系，與廠(chǎng)商技術(shù)人員確認后進(jìn)行漏洞修補、補丁安裝、停止服務(wù)等。同時(shí)建議集成平臺能針對漏洞主動(dòng)進(jìn)行定期更新和升級，如果由于其他原因不能及時(shí)安裝補丁，考慮在對應系統的網(wǎng)絡(luò )邊界、路由器、防火墻上設置嚴格的訪(fǎng)問(wèn)控制策略，例如對防火墻的規則設定中，選擇只開(kāi)放需要用到的端口，以保證網(wǎng)絡(luò )的動(dòng)態(tài)安全。

結語(yǔ)

集成平臺連接大量院內院外系統，其內部信息安全的重要性不言而喻。一個(gè)符合三級等保技術(shù)要求的集成平臺能助力醫療機構在平臺的安全建設過(guò)程中少走彎路，在體驗集成平臺為互聯(lián)互通帶來(lái)的便捷的同時(shí)，為平臺的信息安全保駕護航。