常熟市區(qū)域衛(wèi)生信息化建設(shè)中數(shù)據(jù)安全問(wèn)題的探究

李斌，盛志華

1.常熟市第二人民醫(yī)院 信息處，江蘇常熟 215500；2.常熟市衛(wèi)生局信息中心，江蘇 常熟 215500

常熟市區(qū)域衛(wèi)生信息化建設(shè)中數(shù)據(jù)安全問(wèn)題的探究

李斌1，盛志華2

1.常熟市第二人民醫(yī)院 信息處，江蘇常熟 215500；2.常熟市衛(wèi)生局信息中心，江蘇 常熟 215500

區(qū)域衛(wèi)生信息化建設(shè)中，信息安全始終貫穿其中。本文在對(duì)區(qū)域衛(wèi)生信息化建設(shè)中各種安全因素分析的基礎(chǔ)上，深入探討保證數(shù)據(jù)的存儲(chǔ)、傳輸、應(yīng)用等方面安全的具體方法和實(shí)例及效果。

區(qū)域衛(wèi)生信息化；數(shù)據(jù)安全；數(shù)據(jù)存儲(chǔ)；數(shù)據(jù)傳輸

區(qū)域衛(wèi)生信息化建設(shè)是一個(gè)涵蓋區(qū)域范圍內(nèi)衛(wèi)生醫(yī)療系統(tǒng)各個(gè)方面的大工程，它不僅是現(xiàn)有數(shù)據(jù)的簡(jiǎn)單整合、匯總，還包括與多個(gè)業(yè)務(wù)系統(tǒng)的對(duì)接，以及實(shí)時(shí)業(yè)務(wù)數(shù)據(jù)的聯(lián)動(dòng)。同時(shí)，由于大數(shù)據(jù)時(shí)代的到來(lái)，區(qū)域范圍內(nèi)的衛(wèi)生數(shù)據(jù)的大融合勢(shì)必帶來(lái)對(duì)數(shù)據(jù)安全問(wèn)題的全新考驗(yàn)。衛(wèi)生信息系統(tǒng)一旦出現(xiàn)故障、黑客入侵或惡意破壞等，會(huì)給國(guó)家、醫(yī)院和廣大人民的利益帶來(lái)嚴(yán)重影響[1]。區(qū)域衛(wèi)生信息中的數(shù)據(jù)，可以說(shuō)是區(qū)域衛(wèi)生信息化建設(shè)的核心，也是最具價(jià)值的部分。數(shù)據(jù)的增多使數(shù)據(jù)安全和隱私保護(hù)問(wèn)題日漸突出，各類安全事件引起各單位信息管理人員的高度重視[2]。本文將重點(diǎn)討論數(shù)據(jù)的存儲(chǔ)、傳輸、應(yīng)用管理等安全因素，并通過(guò)若干個(gè)實(shí)例展示應(yīng)用效果。

1 區(qū)域衛(wèi)生信息化建設(shè)中數(shù)據(jù)安全的幾個(gè)關(guān)鍵問(wèn)題

1.1 數(shù)據(jù)的存儲(chǔ)

存儲(chǔ)工作在數(shù)據(jù)安全中是最底層的方面，屬于硬件范疇。如果數(shù)據(jù)中心的存儲(chǔ)出現(xiàn)故障，數(shù)據(jù)將直接丟失，從而給個(gè)人和各醫(yī)療機(jī)構(gòu)造成不可彌補(bǔ)的損失[3]。數(shù)據(jù)的存儲(chǔ)安全主要從以下幾個(gè)方面進(jìn)行考慮。

（1）存儲(chǔ)介質(zhì)的冗余。區(qū)域衛(wèi)生信息化過(guò)程中，必然會(huì)產(chǎn)生和收集大量的數(shù)據(jù)，對(duì)存儲(chǔ)器是個(gè)巨大的考驗(yàn)。目前比較流行的方法是使用雙柜，雙柜中又有同步與異步之分，各有優(yōu)勢(shì)。使用雙柜可以保證當(dāng)一組存儲(chǔ)柜發(fā)生故障時(shí)，另一組可以較快的接替，有的甚至可以做到無(wú)縫對(duì)接（同步）。對(duì)業(yè)務(wù)不會(huì)產(chǎn)生過(guò)于明顯的中斷。

（2）數(shù)據(jù)庫(kù)管理。在大型數(shù)據(jù)庫(kù)的管理方案中，比較常見(jiàn)的是小型機(jī)+Oracle方案、Linux+Oracle等方案。也有采用X86系統(tǒng)+Oracle的，但不多見(jiàn)，較常應(yīng)用于小型數(shù)據(jù)庫(kù)。在小型機(jī)+Oracle方案中，由于小型機(jī)的穩(wěn)定性和Oracle數(shù)據(jù)庫(kù)的成熟和管理優(yōu)勢(shì)，使數(shù)據(jù)庫(kù)的運(yùn)行和管理等方面的表現(xiàn)讓人滿意，因此，如果在資金充裕的情況下，可以考慮這種方案。而Linux+Oracle方案中，部分版本的Linux系統(tǒng)不采用圖形界面，使得系統(tǒng)的穩(wěn)定性相當(dāng)可靠，這種方案也可以考慮。而X86系統(tǒng)由于它的不穩(wěn)定性和兼容性問(wèn)題，大型數(shù)據(jù)庫(kù)中較少采用此種方案。

在數(shù)據(jù)庫(kù)防災(zāi)方面，可以選擇HA或是RAC來(lái)保證高可用，當(dāng)數(shù)據(jù)庫(kù)服務(wù)器發(fā)生故障時(shí)，基于操作系統(tǒng)的HA或是RAC應(yīng)立即啟動(dòng)，實(shí)現(xiàn)“漂移”，將所有的資源和配置文件都交接到備用服務(wù)端，實(shí)現(xiàn)無(wú)縫對(duì)接，前臺(tái)業(yè)務(wù)不發(fā)生中斷。當(dāng)故障排除后，該資源應(yīng)可以自動(dòng)“漂”回。

（3）容災(zāi)及異地備份。容災(zāi)，就是在災(zāi)難發(fā)生時(shí)，在保證應(yīng)用系統(tǒng)的數(shù)據(jù)盡量少丟失的情況下，維持系統(tǒng)業(yè)務(wù)的連續(xù)運(yùn)行[4-5]。本地?cái)?shù)據(jù)庫(kù)或是服務(wù)器自身的高可用，并不能保證數(shù)據(jù)及其內(nèi)容的物理安全性的，數(shù)據(jù)必須在本機(jī)、本地和異地進(jìn)行3地備份。數(shù)據(jù)中心機(jī)房還要在異地設(shè)立災(zāi)備機(jī)房，當(dāng)主機(jī)房發(fā)現(xiàn)災(zāi)難性故障時(shí)，所有的主機(jī)房資源可通過(guò)網(wǎng)絡(luò)轉(zhuǎn)移，由災(zāi)備機(jī)房接手，保證業(yè)務(wù)的連續(xù)性。

1.2 數(shù)據(jù)的傳輸

數(shù)據(jù)在傳輸?shù)脑L問(wèn)通道、開(kāi)始、過(guò)程、落地等幾個(gè)環(huán)節(jié)均易出現(xiàn)安全性問(wèn)題，要傳的數(shù)據(jù)是否按照標(biāo)準(zhǔn)進(jìn)行了轉(zhuǎn)換、傳輸過(guò)程是否加密、到達(dá)數(shù)據(jù)中心是否有對(duì)應(yīng)的解密工作以及入庫(kù)的過(guò)程，均需引起注意。

（1）數(shù)據(jù)訪問(wèn)通道的安全管理?，F(xiàn)在的網(wǎng)絡(luò)環(huán)境非常發(fā)達(dá)，不光單位內(nèi)部有網(wǎng)絡(luò)，單位外部也有大量的接入，比如城域范圍內(nèi)的網(wǎng)絡(luò)接入，VPN撥號(hào)進(jìn)入，U盤(pán)接入等情況。傳統(tǒng)的端級(jí)防護(hù)、單點(diǎn)布防安全解決方案能起到的作用甚微[6]。① 針對(duì)單位內(nèi)部的網(wǎng)絡(luò)，首先要對(duì)網(wǎng)段進(jìn)行劃分、管理，數(shù)據(jù)中心的網(wǎng)段必須與其他服務(wù)器分開(kāi)，也需要在核心交換機(jī)上進(jìn)行設(shè)定，僅允許某些可信網(wǎng)段進(jìn)行訪問(wèn)。同時(shí)還要使用堡壘機(jī)，對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的用戶和權(quán)限進(jìn)行管理，并且記錄其中的操作行為，做到實(shí)時(shí)監(jiān)控；② 對(duì)于城域網(wǎng)間的接入訪問(wèn)和數(shù)據(jù)交換，中間建議使用網(wǎng)閘和前置機(jī)進(jìn)行擺渡。物理隔離網(wǎng)閘是一種具有多種控制方式的固態(tài)開(kāi)關(guān)讀寫(xiě)介質(zhì)，它連接于兩個(gè)獨(dú)立的主機(jī)系統(tǒng)之間，對(duì)傳輸數(shù)據(jù)進(jìn)行安全保護(hù)[7]。確保對(duì)方獲取數(shù)據(jù)時(shí)并未直接對(duì)中心數(shù)據(jù)庫(kù)進(jìn)行操作，而是通過(guò)一個(gè)可信中間的代理設(shè)備進(jìn)行交換。而部分前置機(jī)可能還會(huì)提供B/S的方式進(jìn)行數(shù)據(jù)交互，建議使用WAF（簡(jiǎn)稱Web防火墻）結(jié)合邊界防火墻對(duì)頁(yè)面進(jìn)行保護(hù)，防止篡改和SQL注入式攻擊等行為；③ 對(duì)于外部VPN撥號(hào)進(jìn)入內(nèi)網(wǎng)行為，建議使用帶有VPN管理功能的邊界防火墻進(jìn)行管理，可以選擇SSL VPN和L2TP等方式，均帶通訊加密功能，可以防止數(shù)據(jù)在傳輸過(guò)程中被竊取或竊聽(tīng)。

（2）數(shù)據(jù)的采集方式選擇。盡管數(shù)據(jù)采集工作與數(shù)據(jù)中心的數(shù)據(jù)本身沒(méi)有直接關(guān)系，但如果方式選擇不當(dāng)，極可能將中心數(shù)據(jù)庫(kù)的地址或接口暴露出來(lái)，造成隱患，須引起注意。其中，應(yīng)盡量采用“前置機(jī)+中間庫(kù)”的方式，將下級(jí)單位生產(chǎn)庫(kù)的數(shù)據(jù)采用某些技術(shù)手段導(dǎo)入到中間庫(kù)，再通過(guò)中間件傳輸?shù)街行臋C(jī)房的前置機(jī)上，再通過(guò)中間件的服務(wù)寫(xiě)入到中心數(shù)據(jù)庫(kù)。應(yīng)避免中心數(shù)據(jù)庫(kù)直接與對(duì)方發(fā)生接觸。而區(qū)域衛(wèi)生VPN與數(shù)據(jù)中心之間，需要架設(shè)防火墻，防止中心端網(wǎng)絡(luò)直接向各業(yè)務(wù)單位無(wú)限制開(kāi)放。

（3）數(shù)據(jù)在傳輸過(guò)程中的保護(hù)。數(shù)據(jù)在傳輸過(guò)程中，如果不借助工具，將會(huì)以明文的方式進(jìn)行傳輸，如果中間被人竊聽(tīng)，數(shù)據(jù)將會(huì)被盜取。對(duì)數(shù)據(jù)進(jìn)行加密是當(dāng)前保護(hù)數(shù)據(jù)私密性的主流方法[8]。目前一般的平臺(tái)中間件，比如東方通，會(huì)提供消息隊(duì)列插件。這個(gè)插件是通過(guò)調(diào)用JMS（Java消息服務(wù)）插件，來(lái)訪問(wèn)前置機(jī)數(shù)據(jù)庫(kù)中的數(shù)據(jù)，拆解轉(zhuǎn)換成Xml格式，通過(guò)自身的消息隊(duì)列管理功能，將這些Xml信息打包成隊(duì)列，一個(gè)隊(duì)列對(duì)應(yīng)一條消息記錄，這些消息記錄都是加密的。接口中傳遞的數(shù)據(jù)也是一個(gè)薄弱環(huán)節(jié)，比較可靠的做法是將若干個(gè)接口再次封裝，組成一個(gè)服務(wù)，統(tǒng)一對(duì)外提供服務(wù)，這樣可避免接口的直接暴露；而接口中傳遞的數(shù)據(jù)，也需要進(jìn)行加密，比如通用的BASE64加密算法，如果沒(méi)有對(duì)應(yīng)的解碼算法，將是一堆亂碼。

（4）數(shù)據(jù)落地后的備份工作。數(shù)據(jù)采集盡量爭(zhēng)取做到只采一次?；谶@個(gè)思路，數(shù)據(jù)落地后，在往主庫(kù)中寫(xiě)的同時(shí)，也需要再寫(xiě)一份到備份庫(kù)中，這個(gè)動(dòng)作是同時(shí)發(fā)生的。這樣，當(dāng)下級(jí)機(jī)構(gòu)的前置機(jī)數(shù)據(jù)丟失時(shí)，可以保證在數(shù)據(jù)中心還有一份備份，保證采集結(jié)果可追溯。

1.3 數(shù)據(jù)應(yīng)用管理

數(shù)據(jù)的應(yīng)用環(huán)節(jié)是數(shù)據(jù)最容易泄露的環(huán)節(jié)，如何確保數(shù)據(jù)既被合理使用，又不外泄是需要重點(diǎn)考慮的問(wèn)題。

（1）數(shù)據(jù)的查詢控制。數(shù)據(jù)即使不落地，仍有泄露的風(fēng)險(xiǎn)。在查詢過(guò)程中，截屏軟件或其他記錄軟件都可記錄下查詢出來(lái)的數(shù)據(jù)。所以，在無(wú)法限制數(shù)據(jù)查詢的前提下，增加查詢的合法性，即增加授權(quán)環(huán)節(jié)，可降低數(shù)據(jù)外泄的風(fēng)險(xiǎn)。目前比較流行的做法中，CA認(rèn)證是最好的方式[9]，但是也有不足之處，最明顯的就是投入與使用范圍的局限性。首先是投入成本過(guò)大，不適宜廣泛推廣；其次是醫(yī)療機(jī)構(gòu)的操作人員過(guò)多，口令牌的管理是一個(gè)難題。

比如：區(qū)域衛(wèi)生信息化中最主要的數(shù)據(jù)就是EHR（電子健康檔案），如果醫(yī)生在就診時(shí)要調(diào)閱病人的健康檔案，那么就要為每個(gè)醫(yī)生配備一個(gè)CA，這筆投入將是非常龐大的，而且管理者并不能保證每個(gè)擁有CA口令牌的人都能遵守職業(yè)道德。而如果是通過(guò)健康卡（市民卡）或身份證的驗(yàn)證方式來(lái)實(shí)現(xiàn)的，那么醫(yī)院端的壓力就沒(méi)有了，所有隱私泄露的風(fēng)險(xiǎn)將不再由醫(yī)院和醫(yī)務(wù)人員承擔(dān)，轉(zhuǎn)而由患者承擔(dān)個(gè)人的數(shù)據(jù)信息開(kāi)放授權(quán)，當(dāng)他們覺(jué)得需要給醫(yī)生提供信息時(shí)，就可以由其自行授權(quán)。

CA認(rèn)證比較適用于數(shù)據(jù)共享等平臺(tái)，因?yàn)椴僮髡邤?shù)量有限，而涉及的對(duì)象僅僅是數(shù)據(jù)，使用CA是比較經(jīng)濟(jì)有效的辦法。

（2）操作者權(quán)限管理主要考慮：① 硬件，使用堡壘機(jī)，根據(jù)不同的操作者進(jìn)行分級(jí)管理，并且記錄每個(gè)賬號(hào)的登錄及使用情況，保證可以進(jìn)行追溯；② 軟件層面，通過(guò)軟件自身的權(quán)限管理和分級(jí)功能，使不同的角色、權(quán)限用戶僅能看到自己該看的部分，減少數(shù)據(jù)外泄的風(fēng)險(xiǎn)；③ 制度的管理，通過(guò)加強(qiáng)管理來(lái)減少信息人員的非法操作行為。

2 應(yīng)用實(shí)例

2.1 數(shù)據(jù)存儲(chǔ)的實(shí)例

存儲(chǔ)器方面，我局采用EMC VNX5700雙柜+Vplex機(jī)頭組成雙冗余存儲(chǔ)；備份方面，通過(guò)Commvault備份軟件+騰保帶庫(kù)組成備份平臺(tái)，利用Commvault自帶的MA（介質(zhì)管理）進(jìn)行備份管理，確保本地一份，異地機(jī)房有一份落地?cái)?shù)據(jù)，帶庫(kù)中有一份備份數(shù)據(jù)；邊界管理方面采用邊界防火墻+網(wǎng)閘+WAF（Web防火墻）組成防護(hù)網(wǎng)；數(shù)據(jù)庫(kù)方面，針對(duì)數(shù)據(jù)庫(kù)服務(wù)器做高可用，將小型機(jī)劃分為若干個(gè)虛擬分區(qū)分組成集群，倆倆互備，通過(guò)HA保證高可用，當(dāng)發(fā)生故障時(shí)，數(shù)據(jù)庫(kù)可實(shí)現(xiàn)自動(dòng)“漂移”。

2.2 數(shù)據(jù)傳輸?shù)膶?shí)例

我市數(shù)據(jù)采集模式，鄉(xiāng)鎮(zhèn)一級(jí)統(tǒng)一為前置機(jī)+中間庫(kù)，市級(jí)醫(yī)院統(tǒng)一為前置機(jī)+CDA（HL7臨床文檔結(jié)構(gòu)），數(shù)據(jù)傳輸使用東方通中間件提供的消息隊(duì)伍插件，數(shù)據(jù)中心有一個(gè)備份庫(kù)用于存放備份數(shù)據(jù)。接口中的實(shí)時(shí)數(shù)據(jù)，如慢病報(bào)卡，則通過(guò)BASE64加密方式對(duì)傳遞的信息進(jìn)行加密。

2.3 數(shù)據(jù)應(yīng)用管理的實(shí)例

在EHR數(shù)據(jù)查詢中，我市衛(wèi)生系統(tǒng)采用健康卡（市民卡）或身份證授權(quán)方式，每個(gè)醫(yī)生站均配備三合一讀卡器，并且完成了對(duì)全市各級(jí)衛(wèi)生信息系統(tǒng)的改造工作，只有刷卡才能讀出平臺(tái)上的數(shù)據(jù)。

在操作者權(quán)限管理中，硬件上通過(guò)堡壘機(jī)實(shí)現(xiàn)賬戶及權(quán)限的分級(jí)管理和監(jiān)督；軟件上，通過(guò)強(qiáng)化平臺(tái)的權(quán)限和角色管理模塊的功能來(lái)加強(qiáng)信息的安全；制度上，通過(guò)不斷加強(qiáng)科室管理制度和思想教育來(lái)保障數(shù)據(jù)安全。

3 結(jié)論

在對(duì)區(qū)域衛(wèi)生信息化建設(shè)中涉及到的數(shù)據(jù)安全問(wèn)題進(jìn)行初步研究，從數(shù)據(jù)的存儲(chǔ)、傳輸、應(yīng)用等方面進(jìn)行深入討論的基礎(chǔ)上，以常熟市區(qū)域衛(wèi)生信息平臺(tái)為例，本文提出的數(shù)據(jù)存儲(chǔ)實(shí)例，經(jīng)過(guò)3年的使用，邊界防護(hù)承受了大小近千次網(wǎng)絡(luò)攻擊，其中有300多次為大批量長(zhǎng)時(shí)間的泛洪攻擊，未有數(shù)據(jù)在其間泄漏；存儲(chǔ)器運(yùn)行穩(wěn)定；異地備份策略在多次生產(chǎn)庫(kù)宕機(jī)或意外情況下，順利將數(shù)據(jù)庫(kù)及時(shí)還原；在幾次機(jī)房突發(fā)意外情況下，小型機(jī)資源順利通過(guò)集群實(shí)現(xiàn)了自動(dòng)“漂移”。證明該方案是有效的、可靠的。

在數(shù)據(jù)傳輸實(shí)例中，目前通過(guò)該方案已進(jìn)行了2年多的數(shù)據(jù)集成、1年半的區(qū)域檢驗(yàn)外送、慢病報(bào)卡、傳染病報(bào)卡、學(xué)生體檢、市外轉(zhuǎn)診等服務(wù)，所有數(shù)據(jù)均未外泄，該方案有效保證了數(shù)據(jù)傳輸中的保密性。

在數(shù)據(jù)應(yīng)用管理實(shí)例中，對(duì)內(nèi)，通過(guò)堡壘機(jī)和區(qū)域衛(wèi)生信息平臺(tái)共同構(gòu)建了用戶權(quán)限和分級(jí)管理的目標(biāo)；對(duì)外，通過(guò)授權(quán)的方式，最大限度的保護(hù)了公民的個(gè)人隱私，將公共服務(wù)與個(gè)人隱私保護(hù)較好地結(jié)合在一起。

本文結(jié)合自身的應(yīng)用實(shí)踐總結(jié)了一些有益的經(jīng)驗(yàn)和措施，希望對(duì)即將進(jìn)行或正在進(jìn)行建設(shè)的單位有所幫助。

[1] 鞠鑫,戴春林,沈婷.蘇州市衛(wèi)生信息中心信息安全等級(jí)保護(hù)建設(shè)實(shí)踐與應(yīng)用[J].中國(guó)數(shù)字醫(yī)學(xué),2015,(2):77-80.

[2] 胡坤,劉鏑,劉明輝.大數(shù)據(jù)的安全理解及應(yīng)對(duì)策略研究[J].電信科學(xué),2015,(2):112-117,122.

[3] 高睿.計(jì)算機(jī)數(shù)據(jù)丟失的預(yù)防及有效恢復(fù)探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015,(3):132-135.

[4] 曹婷,王珅,陳芳.基于醫(yī)院信息系統(tǒng)容災(zāi)措施的研究與實(shí)踐[J].中國(guó)數(shù)字醫(yī)學(xué),2014,(8):100-103,106.

[5] 肖輝,張方,李漢民.醫(yī)院信息安全體系的構(gòu)建[J].中國(guó)醫(yī)療設(shè)備,2015,30(1):139-140,147.

[6] 丁珂.大數(shù)據(jù)時(shí)代下的安全思考[J].科技致富向?qū)?2014,(27):10.

[7] 黃洋.探究計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題及其防范策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015,(3):138-139.

[8] 薛矛,薛巍,舒繼武.一種云存儲(chǔ)環(huán)境下的安全存儲(chǔ)系統(tǒng)[J].計(jì)算機(jī)學(xué)報(bào),2014,(43):987-998.

[9] 丁宏斌,肖革新.國(guó)家公共衛(wèi)生數(shù)據(jù)中心安全建設(shè)研究[J].信息網(wǎng)絡(luò)安全,2011,(10):71-72,77.

Research on the Key Issues Concerning the Data Security in the Regional Hygienic Information Construction of Changshu City

LI Bin1, SHENG Zhi-hua2
1. Department of Information, Changshu No.2 People’s Hospital, Changshu Jiangsu 215500, China; 2. Information Center, the Public Health Bureau of Changshu City, Changshu Jiangsu 215500, China

The information security is a topic that runs throughout the process of the construction of regional healthcare informatization. Based on the analysis of various factors in the regional health informatization construction, the paper made an inquiry into the practical application of data storage, transmission, application, andetc. and examined the effects of the application on information security.

TP309；R197.324

C

10.3969/j.issn.1674-1633.2016.02.041

1674-1633(2016)02-0140-03

2015-04-16

2015-05-01

作者郵箱：116403424@qq.com

Abstract:: regional health care informatization; data security; data storage; data transmission