基于遠(yuǎn)程影像診斷的醫(yī)院信息安全系統(tǒng)設(shè)計(jì)及安全性研究

閔浩蔡冬 楊濤

（湖州市中心醫(yī)院，浙江湖州 313000）

在滿足遠(yuǎn)程影像會(huì)診系統(tǒng)的功能性要求的基礎(chǔ)上，進(jìn)行安全性設(shè)計(jì)成為現(xiàn)階段系統(tǒng)開(kāi)發(fā)和創(chuàng)新的主要任務(wù)。結(jié)合以往的系統(tǒng)管理經(jīng)驗(yàn)，遠(yuǎn)程影像診斷系統(tǒng)運(yùn)行過(guò)程中遭受的外部攻擊，以破壞網(wǎng)絡(luò)、主機(jī)和應(yīng)用程序?yàn)橹?。在設(shè)計(jì)醫(yī)院信息安全系統(tǒng)時(shí)，應(yīng)結(jié)合各類攻擊形式和破壞原理，分別采取針對(duì)性的應(yīng)對(duì)措施，例如啟用身份認(rèn)證，或提高安全配置等。探究保障醫(yī)院遠(yuǎn)程影像診斷系統(tǒng)信息安全的可行性措施，成為“智慧醫(yī)療”發(fā)展背景下的一項(xiàng)重要研究課題。

1 醫(yī)院遠(yuǎn)程影像診斷系統(tǒng)web 應(yīng)用程序的開(kāi)發(fā)

1.1 應(yīng)用程序設(shè)計(jì)。遠(yuǎn)程影像診斷系統(tǒng)的使用者有三類，分別是普通醫(yī)生、專家和管理員。面向不同的使用者，該系統(tǒng)提供的應(yīng)用功能也存在差異。（1）普通醫(yī)生。完成注冊(cè)的醫(yī)生，輸入用戶名及登錄口令后可以進(jìn)入該系統(tǒng)，在“個(gè)人中心”中查詢會(huì)診資料。如果需要遠(yuǎn)程醫(yī)療服務(wù)，需要醫(yī)生在線填寫(xiě)會(huì)診申請(qǐng)單，然后發(fā)送至該平臺(tái)上。由后臺(tái)自動(dòng)匹配符合要求的專家，并等待響應(yīng)。在會(huì)診申請(qǐng)通過(guò)后，進(jìn)入準(zhǔn)備遠(yuǎn)程影像診斷的程序。（2）專家。在接收到系統(tǒng)發(fā)送的申請(qǐng)消息后，通過(guò)網(wǎng)絡(luò)視頻與現(xiàn)場(chǎng)醫(yī)生取得聯(lián)系，并共同完成病情交流和遠(yuǎn)程診斷。（3）管理員。負(fù)責(zé)處理會(huì)診申請(qǐng)，并審查醫(yī)生填寫(xiě)的會(huì)診申請(qǐng)單是否規(guī)范。在遠(yuǎn)程會(huì)診結(jié)束后，將有關(guān)資料整理、歸檔。遠(yuǎn)程影像診斷系統(tǒng)結(jié)構(gòu)如圖1 所示。

圖1 遠(yuǎn)程影像診斷系統(tǒng)結(jié)構(gòu)組成

1.2 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)。遠(yuǎn)程影像診斷系統(tǒng)的運(yùn)行對(duì)網(wǎng)絡(luò)要求極高，只有保證網(wǎng)絡(luò)信號(hào)傳輸質(zhì)量，才能為遠(yuǎn)程診斷的專家提供高清的現(xiàn)場(chǎng)圖片或視頻資料。因此，對(duì)該系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)也要進(jìn)行優(yōu)化設(shè)計(jì)。分析數(shù)據(jù)庫(kù)服務(wù)器和遠(yuǎn)程診斷服務(wù)器的信息傳輸，具有數(shù)據(jù)流量大、質(zhì)量要求高的特點(diǎn)。因此，在數(shù)據(jù)庫(kù)服務(wù)器和FTP 服務(wù)器之間，以及遠(yuǎn)程診斷服務(wù)器和Web 服務(wù)器之間，選擇用光纖代替普通的線纜，除了提高通信效率外，對(duì)降低信號(hào)損耗、保證通信質(zhì)量也有積極幫助。另外，F(xiàn)TP 服務(wù)器和Web 服務(wù)器，經(jīng)互聯(lián)網(wǎng)與客戶端的遠(yuǎn)程診斷工作站、醫(yī)院信息系統(tǒng)（HIS）相連，也是充分利用互聯(lián)網(wǎng)開(kāi)放程度高、通信容量大的特點(diǎn)，提高了信息傳輸效率。網(wǎng)絡(luò)結(jié)構(gòu)組成如圖2 所示。

圖2 遠(yuǎn)程影像診斷系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)

1.3 系統(tǒng)模塊設(shè)計(jì)。遠(yuǎn)程影像診斷系統(tǒng)的功能模塊主要分為4 部分，各個(gè)模塊的功能如下：

1.3.1 登錄/注冊(cè)模塊。對(duì)于首次登錄該系統(tǒng)的用戶，需要從該模塊完成注冊(cè)。除了閱讀并同意服務(wù)條款外，還要填寫(xiě)個(gè)人詳細(xì)信息或上傳相關(guān)的資格證書(shū)。填寫(xiě)完畢后提交系統(tǒng)，等待管理員審核。對(duì)于完成注冊(cè)的用戶，輸入對(duì)應(yīng)的賬戶和密碼后，可進(jìn)入到遠(yuǎn)程影像診斷系統(tǒng)的主頁(yè)面。在進(jìn)行web 應(yīng)用程序進(jìn)行驗(yàn)證時(shí)，需要根據(jù)目錄在web.config 文件中進(jìn)行如下設(shè)置：

1.3.2 會(huì)診模塊。提供會(huì)診查詢、會(huì)診申請(qǐng)、會(huì)診審核等功能。以會(huì)診申請(qǐng)為例，申請(qǐng)醫(yī)生首先要從系統(tǒng)提供的專家選項(xiàng)中，選擇進(jìn)行會(huì)診的專家。然后填寫(xiě)會(huì)診申請(qǐng)單，包括病人的病例、申請(qǐng)描述等。填寫(xiě)完畢后，提交系統(tǒng)等待審核。

1.3.3 會(huì)診實(shí)時(shí)交流模塊。采用基于RTP/RTCP 協(xié)議的音頻交流，或基于UDP 協(xié)議的視頻交流，由醫(yī)生和專家在會(huì)診過(guò)程中進(jìn)行實(shí)時(shí)交流。

1.3.4 管理員模塊。系統(tǒng)管理員可通過(guò)“會(huì)員管理”功能，新增或刪除會(huì)員，以及設(shè)置會(huì)員權(quán)限，進(jìn)行會(huì)員資料的更新維護(hù)等。也可通過(guò)“會(huì)診管理”功能，查詢會(huì)診業(yè)務(wù)，并對(duì)會(huì)診影像資料進(jìn)行管理。

2 醫(yī)院遠(yuǎn)程影像診斷系統(tǒng)應(yīng)用的安全性

2.1 遠(yuǎn)程影像診斷系統(tǒng)威脅建模。遠(yuǎn)程影像診斷系統(tǒng)的運(yùn)行離不開(kāi)互聯(lián)網(wǎng)的支持，而互聯(lián)網(wǎng)作為完全開(kāi)放的環(huán)境，不可避免的會(huì)存在惡意訪問(wèn)或病毒木馬，從而給該系統(tǒng)的運(yùn)行構(gòu)成了威脅，甚至導(dǎo)致醫(yī)院信息泄露。為了有效應(yīng)對(duì)各類威脅，針對(duì)這些攻擊的形式、威脅的類型建立模型?？偨Y(jié)來(lái)看，不法分子對(duì)遠(yuǎn)程影像診斷系統(tǒng)的供給方式主要分為5 個(gè)步驟，如圖3 所示。

圖3 遠(yuǎn)程影像診斷系統(tǒng)的攻擊方法

具體來(lái)說(shuō)，攻擊者首先會(huì)開(kāi)展調(diào)查，確定需要攻擊的目標(biāo)。然后開(kāi)展目標(biāo)的安全等級(jí)評(píng)估，并根據(jù)其防御等級(jí)確定攻擊和破壞手段。利用系統(tǒng)存在的漏洞，或者將木馬植入到正常文件中進(jìn)行滲透的方式，達(dá)到破壞系統(tǒng)安全防護(hù)系統(tǒng)的目的。進(jìn)入該系統(tǒng)后，攻擊者通過(guò)提高自身權(quán)限的方式，獲取瀏覽、下載、刪除信息的權(quán)限，進(jìn)行破壞行為。最后，攻擊者通過(guò)維護(hù)訪問(wèn)來(lái)掩飾個(gè)人蹤跡，或者通過(guò)拒絕服務(wù)的方式阻止管理員正常登錄該系統(tǒng)。

2.2 遠(yuǎn)程影像診斷系統(tǒng)所面對(duì)的攻擊。根據(jù)攻擊方式的不同，又可分為針對(duì)網(wǎng)絡(luò)的攻擊、針對(duì)主機(jī)的攻擊，以及針對(duì)應(yīng)用程序的攻擊3 種類型。a.攻擊網(wǎng)絡(luò)。在信息傳輸過(guò)程中，通過(guò)假冒接收者或惡意攔截的方式，獲取正在傳輸?shù)男畔?，造成信息泄露?；蛘呤遣捎肈oS 攻擊，向服務(wù)器發(fā)送大量請(qǐng)求，導(dǎo)致服務(wù)器無(wú)法做出響應(yīng)，甚至導(dǎo)致服務(wù)器癱瘓，無(wú)法正常接收網(wǎng)絡(luò)中的信息。b.攻擊主機(jī)。比較常用的是植入木馬程序，或者利用系統(tǒng)漏洞滲透病毒的方式。主機(jī)受到攻擊后，除了會(huì)導(dǎo)致用戶的賬戶信息和個(gè)人隱私泄露外，還會(huì)收集存儲(chǔ)到系統(tǒng)中的其他有價(jià)值的信息。c.攻擊應(yīng)用程序。包括篡改數(shù)據(jù)、網(wǎng)絡(luò)竊聽(tīng)、越權(quán)操作等。

2.3 遠(yuǎn)程影像診斷系統(tǒng)安全系統(tǒng)設(shè)計(jì)思路。用戶通過(guò)瀏覽器登錄Web 網(wǎng)站的形式訪問(wèn)遠(yuǎn)程影像診斷系統(tǒng)。為防止第三方非法訪問(wèn)，在登錄界面要求用戶進(jìn)行身份驗(yàn)證。除了輸入匹配的用戶名和密碼外，還會(huì)提供由4 個(gè)數(shù)字或字母隨機(jī)組合的驗(yàn)證碼，要求用戶手動(dòng)輸入。為保障病人隱私和重要數(shù)據(jù)，該系統(tǒng)還針對(duì)敏感數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)。敏感數(shù)據(jù)包括系統(tǒng)賬號(hào)及密碼信息，以及會(huì)診信息（如病人資料、專家聯(lián)系方式等）。用戶輸入的密碼，經(jīng)過(guò)加密轉(zhuǎn)換為散列值的方式，與系統(tǒng)數(shù)據(jù)庫(kù)中存儲(chǔ)的密碼散列值對(duì)比，兩者匹配成功即可順利登陸。這樣不法分子就無(wú)法通過(guò)竊取登錄記錄的方式獲取真正的密碼。在Web 服務(wù)器和瀏覽器之間，啟用防火墻，保證醫(yī)院內(nèi)網(wǎng)的安全性，有效防止來(lái)自外部互聯(lián)網(wǎng)的非法訪問(wèn)和惡意入侵。在Web 服務(wù)器中，提供驗(yàn)證輸入、用戶授權(quán)等一系列安全配置，杜絕違規(guī)操作。同時(shí)，設(shè)置異常報(bào)警系統(tǒng)，Web 應(yīng)用程序檢測(cè)到未經(jīng)授權(quán)進(jìn)行資料下載，或者有未經(jīng)身份驗(yàn)證的用戶請(qǐng)求頁(yè)面等行為，則自動(dòng)向管理員告警，對(duì)異常請(qǐng)求進(jìn)行專門處理。該系統(tǒng)運(yùn)行期間產(chǎn)生的敏感數(shù)據(jù)，經(jīng)過(guò)加密處理后被存儲(chǔ)到數(shù)據(jù)庫(kù)的敏感數(shù)據(jù)專區(qū)中。定期自動(dòng)進(jìn)行敏感數(shù)據(jù)備份，以便于隨時(shí)調(diào)用。整個(gè)流程如圖4 所示。

圖4 遠(yuǎn)程影像診斷系統(tǒng)安全系統(tǒng)運(yùn)行流程

3 醫(yī)院遠(yuǎn)程影像診斷系統(tǒng)的安全性要求

3.1 Asp.net 管道。在Asp.net 應(yīng)用程序中，從接收到客戶端發(fā)送的請(qǐng)求開(kāi)始，一直到該請(qǐng)求被系統(tǒng)接收并作出響應(yīng)為止，整個(gè)過(guò)程都需要借助于專門的通道來(lái)完成，Asp.net 管道的運(yùn)行流程如圖5 所示。

圖5 Asp.net 管道的運(yùn)行流程

用戶從客戶端或者瀏覽器上，向其他客戶端發(fā)送Asp.net 頁(yè)面或資源的HTTP 請(qǐng)求。從該請(qǐng)求發(fā)出后，瀏覽器的安全設(shè)置被激活，從而啟動(dòng)在線保護(hù)功能，防止第三方攔截信息。用戶發(fā)出的請(qǐng)求，通過(guò)端口80 進(jìn)入到如服務(wù)器，服務(wù)器的IIS 系統(tǒng)對(duì)該請(qǐng)求包含的授權(quán)文件進(jìn)行安全掃描。若掃描發(fā)現(xiàn)可疑文件，則將其原路退回。若掃描通過(guò)，則作出響應(yīng)。同時(shí)該響應(yīng)原路返回至用戶的客戶端。

3.2 身份認(rèn)證。在Asp.net 管道的中間層IIS 中，提供了兩項(xiàng)基本服務(wù)，即身份認(rèn)證和創(chuàng)建訪問(wèn)令牌。用戶點(diǎn)擊“身份認(rèn)證”選項(xiàng)后，進(jìn)入到二級(jí)頁(yè)面，默認(rèn)為實(shí)名訪問(wèn)，用戶也可勾選“匿名訪問(wèn)”，保護(hù)賬戶和密碼的安全。同時(shí)，選擇“允許IIS 控制密碼”，在重新登錄系統(tǒng)時(shí)，必須要進(jìn)行身份驗(yàn)證。若連續(xù)3 次驗(yàn)證不通過(guò)，則將該訪問(wèn)用戶IP 地址鎖定，杜絕了惡意訪問(wèn)帶來(lái)的安全隱患。

3.3 安全配置。在Asp.net 的配置文件中，也設(shè)計(jì)了大量的安全設(shè)置，比較常用的是基于Web.config 的資源鎖定配置。對(duì)于遠(yuǎn)程影像診斷系統(tǒng)運(yùn)行中產(chǎn)生的重要數(shù)據(jù)，Web 應(yīng)用程序會(huì)為其自動(dòng)創(chuàng)建一個(gè)Web.config 文件，并啟動(dòng)該文件中的默認(rèn)安全設(shè)置。為了防止不法分子篡改、竊取這些數(shù)據(jù)，在Web.config 文件的安全配置后，設(shè)置了HttpHandler 保護(hù)程序。對(duì)于非授權(quán)用戶瀏覽、下載、刪除文件時(shí)，該保護(hù)程序自動(dòng)啟動(dòng)，禁止一切操作行為，并返回錯(cuò)誤頁(yè)面。

4 結(jié)論

醫(yī)院遠(yuǎn)程影像診斷系統(tǒng)在推廣應(yīng)用中，能否保障系統(tǒng)運(yùn)行安全和信息安全，將會(huì)直接決定該系統(tǒng)應(yīng)用價(jià)值的發(fā)揮。針對(duì)該系統(tǒng)網(wǎng)絡(luò)、主機(jī)和應(yīng)用程序的攻擊，是威脅信息安全的主要形式?；诖?，通過(guò)優(yōu)化Asp.nei 的安全配置，以及啟動(dòng)身份認(rèn)證模式，將會(huì)顯著提高該系統(tǒng)應(yīng)對(duì)惡意訪問(wèn)、非法入侵的能力，為遠(yuǎn)程影像診斷系統(tǒng)的更好應(yīng)用提供保障。