智慧醫(yī)院物聯(lián)網(wǎng)安全體系構(gòu)建與思考

劉陽，俞準(zhǔn)，翁昌晶

1.中南大學(xué)湘雅醫(yī)學(xué)院附屬?？卺t(yī)院(?？谑腥嗣襻t(yī)院)信息管理處，海南 ?？?570208；

2.海南省醫(yī)學(xué)學(xué)術(shù)交流管理中心，海南 ?？?570200；

3.海南省人民醫(yī)院(海南醫(yī)學(xué)院附屬海南醫(yī)院)信息工程部，海南 ?？?570311

隨著互聯(lián)網(wǎng)+醫(yī)療業(yè)務(wù)應(yīng)用的不斷成熟和普及，物聯(lián)網(wǎng)在醫(yī)療行業(yè)中的應(yīng)用已經(jīng)成為了大勢所趨。借助物聯(lián)網(wǎng)和無線網(wǎng)絡(luò)的支撐，利用PDA、平板、移動推車、智能攝像頭、掃描采集設(shè)備、可穿戴設(shè)備等隨時隨地進(jìn)行生命體征數(shù)據(jù)采集、臨床數(shù)據(jù)查詢和錄入、呼叫通信、視頻探視和教學(xué)、藥械物流配送、標(biāo)識碼識別和環(huán)境感知、門禁和停車管理等，可以充分發(fā)揮物聯(lián)網(wǎng)技術(shù)在醫(yī)院智慧管理中的技術(shù)優(yōu)勢[1]。但是，隨著醫(yī)院物聯(lián)網(wǎng)終端數(shù)量和感知節(jié)點(diǎn)數(shù)量的不斷擴(kuò)容、相關(guān)應(yīng)用場景的大幅增加，在帶來便利的同時也對系統(tǒng)安全性和穩(wěn)定性提出更高的要求，應(yīng)用增加所帶來的安全隱患和安全威脅也持續(xù)凸顯。

1 醫(yī)療物聯(lián)網(wǎng)概述和基本架構(gòu)

智慧醫(yī)院物聯(lián)網(wǎng)是在互聯(lián)網(wǎng)+醫(yī)療的大背景下，將信息傳感設(shè)備與互聯(lián)網(wǎng)連接起來，實(shí)現(xiàn)智能化識別和管理的網(wǎng)絡(luò)。物聯(lián)網(wǎng)作為新一代信息技術(shù)的高度集成和綜合運(yùn)用，具有滲透性強(qiáng)、帶動作用大、綜合效益好的特點(diǎn)，是繼計(jì)算機(jī)、互聯(lián)網(wǎng)、移動通信網(wǎng)之后信息產(chǎn)業(yè)發(fā)展的又一推動者[2]。

物聯(lián)網(wǎng)的系統(tǒng)架構(gòu)由下向上依次由感知層、網(wǎng)絡(luò)傳輸層、平臺層、應(yīng)用層構(gòu)成[3]。首先，感知層是由物聯(lián)網(wǎng)智能傳感器、醫(yī)療信息采集設(shè)備等組成的智能感知節(jié)點(diǎn)群，負(fù)責(zé)采集信息，由智能化網(wǎng)關(guān)統(tǒng)一進(jìn)行管理；第二層是與感知層相連的網(wǎng)絡(luò)傳輸層，可以采用傳統(tǒng)的有線網(wǎng)絡(luò)、WiFi、ZigBee、RFID、藍(lán)牙、NB-IoT等技術(shù)組成一體化的網(wǎng)路，負(fù)責(zé)合理高效的傳輸數(shù)據(jù)；第三層是平臺層，是基于云計(jì)算、大數(shù)據(jù)技術(shù)的物聯(lián)網(wǎng)管理平臺，負(fù)責(zé)整個物聯(lián)網(wǎng)的管理；頂層是應(yīng)用層，依托PDA、PAD等移動設(shè)備承載，是在已有的數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)管理三層結(jié)構(gòu)基礎(chǔ)上，負(fù)責(zé)為用戶提供移動醫(yī)護(hù)、嬰兒防盜、輸液檢測、體征監(jiān)測等豐富的智慧醫(yī)院業(yè)務(wù)應(yīng)用。

2 醫(yī)療物聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)

物聯(lián)網(wǎng)的普及給醫(yī)院診療和管理工作帶來便利的同時，也引入了安全風(fēng)險(xiǎn)。物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)不僅保留了傳統(tǒng)網(wǎng)絡(luò)環(huán)境的安全風(fēng)險(xiǎn)，而且還增加了由感知設(shè)備、掃描設(shè)備等亞終端帶來的新風(fēng)險(xiǎn)。在醫(yī)院的物聯(lián)網(wǎng)建設(shè)過程中，物聯(lián)網(wǎng)是與實(shí)際診療過程、實(shí)體感知節(jié)點(diǎn)產(chǎn)生關(guān)聯(lián)的，如果物聯(lián)網(wǎng)安全受到威脅，那么損失的可能不僅僅是信息資料，更有可能影響到醫(yī)療業(yè)務(wù)的正常開展，甚至是患者的生命安全。

2.1 感知層的安全風(fēng)險(xiǎn) 物聯(lián)網(wǎng)感知層的主要功能是實(shí)現(xiàn)對醫(yī)院診療環(huán)境和診療信息的采集、識別、控制，由感知設(shè)備以及網(wǎng)管組成。其風(fēng)險(xiǎn)主要是終端設(shè)備的安全風(fēng)險(xiǎn)，包含物理攻擊、偽造或假冒攻擊、信號泄露與干擾、資源耗盡攻擊等[4]。

2.2 網(wǎng)絡(luò)傳輸層的安全風(fēng)險(xiǎn) 物聯(lián)網(wǎng)主要是將感知層采集的信息通過傳感器網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、互聯(lián)網(wǎng)進(jìn)行信息傳輸，由于物聯(lián)網(wǎng)中傳輸途徑會經(jīng)過各種不同的網(wǎng)絡(luò)，因此會面臨比傳統(tǒng)網(wǎng)絡(luò)更寬的攻擊面，更容易遭受攻擊，包含網(wǎng)絡(luò)層協(xié)議漏洞威脅、亞終端設(shè)備的漏洞威脅、異構(gòu)網(wǎng)絡(luò)融合的問題、無線傳輸安全加密問題等[5]。

2.3 平臺層的安全風(fēng)險(xiǎn) 物聯(lián)網(wǎng)平臺由計(jì)算和存儲等資源組成的支撐業(yè)務(wù)應(yīng)用需求的管理平臺。對物聯(lián)網(wǎng)各種終端所收集上來的數(shù)據(jù)進(jìn)行整理、分析、反饋等操作，為整個物聯(lián)網(wǎng)提供終端管理、數(shù)據(jù)管理、運(yùn)營管理、安全管理。平臺的安全風(fēng)險(xiǎn)主要來自于底層云計(jì)算環(huán)境的安全威脅，對于三級公立或者民營醫(yī)療機(jī)構(gòu)，由于醫(yī)院規(guī)模較大，所以多使用私有云+公有云的混合云架構(gòu)[6]，包括云平臺安全、虛擬化安全、平臺底層軟件(操作系統(tǒng)、數(shù)據(jù)庫、中間件)安全、數(shù)據(jù)安全等。

2.4 應(yīng)用層的安全風(fēng)險(xiǎn) 醫(yī)院物聯(lián)網(wǎng)的應(yīng)用層主要是為醫(yī)務(wù)人員、管理人員提供的相關(guān)業(yè)務(wù)應(yīng)用服務(wù)，包含移動醫(yī)護(hù)、體征感知、生命體征監(jiān)測等。應(yīng)用層的安全風(fēng)險(xiǎn)主要來自于應(yīng)用服務(wù)可用性的攻擊，包含惡意代碼攻擊、遠(yuǎn)程拒絕服務(wù)攻擊、DNS 緩存投毒(DNS Cache Poisoning，是指通過域名服務(wù)器記錄更改而導(dǎo)致惡意重定向流量的結(jié)果)等安全[7]。

3 醫(yī)療物聯(lián)網(wǎng)安全體系的構(gòu)建

智慧醫(yī)院網(wǎng)絡(luò)安全機(jī)制從理論上講包含醫(yī)療物聯(lián)網(wǎng)安全體系。在這個體系中，與物聯(lián)網(wǎng)各個層面的安全風(fēng)險(xiǎn)相對應(yīng)，每一層面都有相應(yīng)的安全保障措施[8]。與此同時，各層面的安全措施有機(jī)聯(lián)動結(jié)合，并一體化管理運(yùn)行，從而構(gòu)成了物聯(lián)網(wǎng)安全體系。醫(yī)療物聯(lián)網(wǎng)安全體系架構(gòu)圖見圖1。

圖1 醫(yī)療物聯(lián)網(wǎng)安全體系架構(gòu)圖Figure 1 Architecture diagram of medical IoT security system

3.1 安全準(zhǔn)入控制對應(yīng)感知層安全措施 在醫(yī)院物聯(lián)網(wǎng)感知層，相關(guān)設(shè)備的接入安全需要通過身份認(rèn)證的手段，建立終端設(shè)備接入管控機(jī)制和資產(chǎn)應(yīng)用管控機(jī)制，是物聯(lián)網(wǎng)安全體系的首要安全保障內(nèi)容。

3.1.1 終端設(shè)備分類 物聯(lián)網(wǎng)終端設(shè)備根據(jù)用途和特點(diǎn)分為傳統(tǒng)終端和亞終端二大類。傳統(tǒng)終端主要指有線終端和移動終端；亞終端種類繁多，主要包括醫(yī)療環(huán)境傳感器設(shè)備[RFID (Radio Frequency Identification，無線射頻識別技術(shù)，俗稱電子標(biāo)簽)、紅外感應(yīng)、定位系統(tǒng)、激光掃描設(shè)備等]、可穿戴健康監(jiān)測設(shè)備(智能手表、手環(huán)等)、智能化設(shè)備(導(dǎo)航機(jī)器人、物流機(jī)器人、智能攝像頭等)、門禁停車感應(yīng)器設(shè)備等[9]。

3.1.2 終端識別 物聯(lián)網(wǎng)終端設(shè)備的準(zhǔn)確識別是準(zhǔn)入控制技術(shù)的前提，需要識別其硬件編碼、網(wǎng)絡(luò)地址、特征指紋等信息，確定是否為授權(quán)可接入設(shè)備。與此同時，終端識別還可以為物聯(lián)網(wǎng)管理平臺提供資產(chǎn)可視化的能力，管理平臺通過終端識別可以發(fā)現(xiàn)和感知各種類型的物聯(lián)網(wǎng)資產(chǎn)，根據(jù)資產(chǎn)類型，聯(lián)動漏洞管理和外部威脅情報(bào)，進(jìn)行安全風(fēng)險(xiǎn)管理，建立終端資產(chǎn)應(yīng)用管控機(jī)制。

3.1.3 準(zhǔn)入控制 物聯(lián)網(wǎng)設(shè)備經(jīng)過識別后，通過MAC 地址(Medium/Media Access Control 地址，共6 個字節(jié)48位，采用十六進(jìn)制數(shù)表示的唯一標(biāo)識互聯(lián)網(wǎng)上每一個站點(diǎn)的標(biāo)識符，也稱為物理地址)、IP 地址(Internet Protocol Address 網(wǎng)際協(xié)議地址，是一種在Internet 上給主機(jī)編址的方式)、設(shè)備指紋等設(shè)備認(rèn)證方式對入網(wǎng)設(shè)備進(jìn)行管控，只有通過認(rèn)證的設(shè)備才允許接入到網(wǎng)絡(luò)中，防止前端設(shè)備的非法替換接入，建立終端設(shè)備接入管控機(jī)制。

3.2 威脅漏洞管理對應(yīng)網(wǎng)絡(luò)傳輸層安全措施 醫(yī)院物聯(lián)網(wǎng)接入的終端設(shè)備，特別是亞終端存在一定的脆弱性，在實(shí)踐過程中不易被發(fā)現(xiàn)，其既有安全配置問題，如：缺省密碼、通用密碼、弱口令等問題，也有設(shè)備自身漏洞問題[10]。因此，定期或者實(shí)時利用脆弱性評估工具進(jìn)行漏洞識別，實(shí)現(xiàn)物聯(lián)網(wǎng)資產(chǎn)的安全威脅管理非常必要。

3.2.1 漏洞識別和漏洞修復(fù) 物聯(lián)網(wǎng)設(shè)備脆弱性威脅采集探針是漏洞識別的有效手段，包括專業(yè)的安全漏洞掃描探針、資產(chǎn)配置安全性檢查探針等。通過探針與態(tài)勢感知管理平臺的聯(lián)動，可以有效地識別漏洞，然后通過口令修改、固件升級、補(bǔ)丁更新、專家加固等方式，結(jié)合態(tài)勢感知管理平臺進(jìn)行集中調(diào)試和驅(qū)動，實(shí)現(xiàn)漏洞修復(fù)[11]。

3.2.2 威脅情報(bào)采集與關(guān)聯(lián) 根據(jù)物聯(lián)網(wǎng)內(nèi)部資產(chǎn)的特點(diǎn)，依靠管理平臺的能力，將相關(guān)的情報(bào)篩選后進(jìn)行威脅管理分析，可以輔助管理平臺通過學(xué)習(xí)功能，提高對未知威脅的精準(zhǔn)發(fā)現(xiàn)能力。

3.3 態(tài)勢感知管理平臺對應(yīng)物聯(lián)網(wǎng)各層面的安全措施 在對醫(yī)院物聯(lián)網(wǎng)節(jié)點(diǎn)設(shè)備管控、終端接入、平臺應(yīng)用安全管理的基礎(chǔ)上，需要構(gòu)建統(tǒng)一的安全態(tài)勢感知管理平臺，與物聯(lián)網(wǎng)感知層、網(wǎng)絡(luò)傳輸層、平臺層、應(yīng)用層的安全防護(hù)策略聯(lián)動，一般部署在醫(yī)院內(nèi)網(wǎng)中，參照網(wǎng)絡(luò)安全等級保護(hù)2.0 的通用要求，從醫(yī)院內(nèi)外網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境等方面進(jìn)行安全加固[12]。實(shí)時感知醫(yī)院網(wǎng)絡(luò)、物聯(lián)網(wǎng)環(huán)境中的攻擊威脅、資產(chǎn)狀態(tài)，做到設(shè)備可視、威脅可防、風(fēng)險(xiǎn)可控。

3.3.1 傳統(tǒng)網(wǎng)絡(luò)安全管理能力加固 在醫(yī)院傳統(tǒng)的內(nèi)外網(wǎng)環(huán)境中，利用特征匹配和白名單管理機(jī)制，對已知安全威脅和異常網(wǎng)絡(luò)流量進(jìn)行深度分析、檢測和告警，對未知安全威脅和僵尸網(wǎng)絡(luò)進(jìn)行精準(zhǔn)發(fā)現(xiàn)，提高網(wǎng)絡(luò)安全監(jiān)測能力[13]。

3.3.2 WEB應(yīng)用安全 有效防護(hù)OWASP TOP10[是指非營利性組織OWASP(OWASP 是開放式Web應(yīng)用程序安全項(xiàng)目)發(fā)布的最具權(quán)威性的十大安全漏洞列表]的Web 安全風(fēng)險(xiǎn)，降低用戶數(shù)據(jù)泄露的風(fēng)險(xiǎn)，對醫(yī)院網(wǎng)站和互聯(lián)網(wǎng)服務(wù)平臺在安全訪問控制、主頁防篡改、監(jiān)事網(wǎng)絡(luò)攻擊等方面提供可靠的安全保障能力。

3.3.3 數(shù)據(jù)安全 對數(shù)據(jù)全生命周期的各種泄密途徑進(jìn)行全方位的監(jiān)督和防護(hù)，實(shí)現(xiàn)數(shù)據(jù)庫的訪問行為控制、危險(xiǎn)操作阻斷、可疑行為審計(jì)，實(shí)時監(jiān)視和記錄網(wǎng)絡(luò)上的數(shù)據(jù)活動，對數(shù)據(jù)庫操作行為進(jìn)行細(xì)顆粒度審計(jì)[14]。

4 結(jié)果

在真實(shí)醫(yī)療場景中通過部署以下的安全系統(tǒng)，構(gòu)建網(wǎng)絡(luò)安全體系為智慧醫(yī)院物聯(lián)網(wǎng)的運(yùn)行提供強(qiáng)有力的安全保障。

首先，通過在安全運(yùn)維管理中心部署物聯(lián)網(wǎng)接入網(wǎng)關(guān)(管理平臺部署于內(nèi)網(wǎng)，探針部署于物聯(lián)網(wǎng)接入交換機(jī))，對醫(yī)院物聯(lián)網(wǎng)感知節(jié)點(diǎn)踐行自動發(fā)現(xiàn)和監(jiān)控，包含脆弱性檢測和準(zhǔn)入控制，通過對感知節(jié)點(diǎn)接入后的網(wǎng)絡(luò)行為進(jìn)行分析和阻斷。其二，在核心交換機(jī)旁路部署入侵檢測系統(tǒng)，對認(rèn)證數(shù)據(jù)流進(jìn)行深度網(wǎng)絡(luò)入侵檢測、威脅防護(hù)、僵尸網(wǎng)絡(luò)發(fā)現(xiàn)、精細(xì)化流量控制等[15]。其三，在互聯(lián)網(wǎng)出口邊界部署抗拒絕服務(wù)系統(tǒng)，對進(jìn)入醫(yī)院網(wǎng)絡(luò)的異常流量進(jìn)行清洗過濾，有效阻斷攻擊，保證合法流量的正常傳輸。其四，通過在安全運(yùn)維管理中心部署未知威脅分析系統(tǒng)，依靠該系統(tǒng)具備的多種檢測技術(shù)并行執(zhí)行，在檢測醫(yī)院信息系統(tǒng)面臨的已知威脅中不斷學(xué)習(xí)，有效監(jiān)測0day(軟件發(fā)行后的24 h 內(nèi)就出現(xiàn)破解版本或者說在最短時間內(nèi)出現(xiàn)相關(guān)破解的，稱為0day)攻擊和未知威脅。其五，通過在安全運(yùn)維中心部署醫(yī)院安全管理平臺，對資產(chǎn)管理、威脅識別、風(fēng)險(xiǎn)評估進(jìn)行智能研判和網(wǎng)絡(luò)安全態(tài)勢可視化管理。其六，在醫(yī)院網(wǎng)路的DMZ 區(qū)(Demilitarized zone 隔離區(qū)，也稱非軍事化區(qū)，是網(wǎng)絡(luò)環(huán)境中設(shè)立的緩沖區(qū))部署WAF (Web Application Firewall 應(yīng)用防護(hù)系統(tǒng)，俗稱：應(yīng)用防火墻)，為醫(yī)院提供網(wǎng)站及互聯(lián)網(wǎng)服務(wù)平臺的安全防護(hù)、訪問控制、主頁防篡改、僵尸網(wǎng)絡(luò)攻擊防護(hù)等能力[16]。其七，通過在醫(yī)院內(nèi)網(wǎng)服務(wù)器核心區(qū)部署數(shù)據(jù)庫審計(jì)和數(shù)據(jù)泄露防護(hù)系統(tǒng)DLP(Data Loss Prevention 數(shù)據(jù)防泄露或者數(shù)據(jù)泄露防護(hù))，對數(shù)據(jù)庫進(jìn)行實(shí)時監(jiān)控，記錄網(wǎng)絡(luò)中訪問數(shù)據(jù)庫的全部活動；對數(shù)據(jù)生命周期中的各種泄密途徑進(jìn)行全方位監(jiān)控和防護(hù)，保證醫(yī)療敏感數(shù)據(jù)泄露行為事前能被發(fā)現(xiàn)、事中能被攔截、事后能被追溯。

5 討論

5.1 效益分析 智慧醫(yī)院物聯(lián)網(wǎng)安全體系的構(gòu)建能夠保障醫(yī)療物聯(lián)網(wǎng)應(yīng)用的推廣使用，滿足醫(yī)院智慧化建設(shè)的長遠(yuǎn)發(fā)展要求。有效確保醫(yī)療數(shù)據(jù)的安全傳輸，醫(yī)療數(shù)據(jù)和患者隱私信息不被泄露、篡改，降低數(shù)據(jù)安全風(fēng)險(xiǎn)。推動醫(yī)院網(wǎng)絡(luò)安全從被動搜索向主動防御、從靜態(tài)檢測向動態(tài)感知的安全管理體系變革，全面提升醫(yī)院安全運(yùn)營和管理能力，有效降低醫(yī)院安全運(yùn)維成本、提升安全事件應(yīng)急響應(yīng)和處置效率，滿足政策合規(guī)性要求。

5.2 遺留問題和解決方法 首先，醫(yī)院安全建設(shè)分步零散的狀況，導(dǎo)致網(wǎng)絡(luò)安全的統(tǒng)籌規(guī)劃往往被忽視，所以堅(jiān)持網(wǎng)絡(luò)安全“三同步”原則十分必要。其二，不能正規(guī)化培養(yǎng)醫(yī)療網(wǎng)絡(luò)安全人才隊(duì)伍，網(wǎng)絡(luò)安全管理人員匱乏和安全管理人員身兼數(shù)職的情況普遍存在，因此提高網(wǎng)絡(luò)安全意識還需要各級管理者的觀念轉(zhuǎn)變。其三，業(yè)務(wù)應(yīng)用軟件開發(fā)的不規(guī)范所帶來的應(yīng)用系統(tǒng)自身安全缺陷需要被重視，解決此問題的方法除了依托第三方軟件測試和代碼審計(jì)服務(wù)的開展，更需要軟件開發(fā)企業(yè)的規(guī)范化軟件開發(fā)流程管理。

綜上所述，隨著信息技術(shù)的不斷進(jìn)步，物聯(lián)網(wǎng)技術(shù)為各類組織特別是醫(yī)療機(jī)構(gòu)的數(shù)字化轉(zhuǎn)型提供強(qiáng)有力的數(shù)字底座支撐，已經(jīng)成為未來經(jīng)濟(jì)發(fā)展的增長點(diǎn)。在發(fā)展的背景下，“沒有網(wǎng)絡(luò)安全，就沒有國家安全”的重要性日益凸顯。因此，持續(xù)推進(jìn)信息安全技術(shù)的創(chuàng)新應(yīng)用，加強(qiáng)物聯(lián)網(wǎng)安全體系建設(shè)，促使醫(yī)院“以患者為中心”的服務(wù)能夠更加安全、穩(wěn)定、不掉線，是今后很長一段時間需要面臨的重點(diǎn)和難點(diǎn)。展望未來，醫(yī)療物聯(lián)網(wǎng)的安全穩(wěn)定運(yùn)行必將成為智慧醫(yī)院建設(shè)邁向成功的先決條件和安全基石。