劉陽,俞準(zhǔn),翁昌晶
1.中南大學(xué)湘雅醫(yī)學(xué)院附屬??卺t(yī)院(??谑腥嗣襻t(yī)院)信息管理處,海南 ???570208;
2.海南省醫(yī)學(xué)學(xué)術(shù)交流管理中心,海南 ???570200;
3.海南省人民醫(yī)院(海南醫(yī)學(xué)院附屬海南醫(yī)院)信息工程部,海南 ???570311
隨著互聯(lián)網(wǎng)+醫(yī)療業(yè)務(wù)應(yīng)用的不斷成熟和普及,物聯(lián)網(wǎng)在醫(yī)療行業(yè)中的應(yīng)用已經(jīng)成為了大勢所趨。借助物聯(lián)網(wǎng)和無線網(wǎng)絡(luò)的支撐,利用PDA、平板、移動推車、智能攝像頭、掃描采集設(shè)備、可穿戴設(shè)備等隨時隨地進(jìn)行生命體征數(shù)據(jù)采集、臨床數(shù)據(jù)查詢和錄入、呼叫通信、視頻探視和教學(xué)、藥械物流配送、標(biāo)識碼識別和環(huán)境感知、門禁和停車管理等,可以充分發(fā)揮物聯(lián)網(wǎng)技術(shù)在醫(yī)院智慧管理中的技術(shù)優(yōu)勢[1]。但是,隨著醫(yī)院物聯(lián)網(wǎng)終端數(shù)量和感知節(jié)點(diǎn)數(shù)量的不斷擴(kuò)容、相關(guān)應(yīng)用場景的大幅增加,在帶來便利的同時也對系統(tǒng)安全性和穩(wěn)定性提出更高的要求,應(yīng)用增加所帶來的安全隱患和安全威脅也持續(xù)凸顯。
智慧醫(yī)院物聯(lián)網(wǎng)是在互聯(lián)網(wǎng)+醫(yī)療的大背景下,將信息傳感設(shè)備與互聯(lián)網(wǎng)連接起來,實(shí)現(xiàn)智能化識別和管理的網(wǎng)絡(luò)。物聯(lián)網(wǎng)作為新一代信息技術(shù)的高度集成和綜合運(yùn)用,具有滲透性強(qiáng)、帶動作用大、綜合效益好的特點(diǎn),是繼計(jì)算機(jī)、互聯(lián)網(wǎng)、移動通信網(wǎng)之后信息產(chǎn)業(yè)發(fā)展的又一推動者[2]。
物聯(lián)網(wǎng)的系統(tǒng)架構(gòu)由下向上依次由感知層、網(wǎng)絡(luò)傳輸層、平臺層、應(yīng)用層構(gòu)成[3]。首先,感知層是由物聯(lián)網(wǎng)智能傳感器、醫(yī)療信息采集設(shè)備等組成的智能感知節(jié)點(diǎn)群,負(fù)責(zé)采集信息,由智能化網(wǎng)關(guān)統(tǒng)一進(jìn)行管理;第二層是與感知層相連的網(wǎng)絡(luò)傳輸層,可以采用傳統(tǒng)的有線網(wǎng)絡(luò)、WiFi、ZigBee、RFID、藍(lán)牙、NB-IoT等技術(shù)組成一體化的網(wǎng)路,負(fù)責(zé)合理高效的傳輸數(shù)據(jù);第三層是平臺層,是基于云計(jì)算、大數(shù)據(jù)技術(shù)的物聯(lián)網(wǎng)管理平臺,負(fù)責(zé)整個物聯(lián)網(wǎng)的管理;頂層是應(yīng)用層,依托PDA、PAD等移動設(shè)備承載,是在已有的數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)管理三層結(jié)構(gòu)基礎(chǔ)上,負(fù)責(zé)為用戶提供移動醫(yī)護(hù)、嬰兒防盜、輸液檢測、體征監(jiān)測等豐富的智慧醫(yī)院業(yè)務(wù)應(yīng)用。
物聯(lián)網(wǎng)的普及給醫(yī)院診療和管理工作帶來便利的同時,也引入了安全風(fēng)險(xiǎn)。物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)不僅保留了傳統(tǒng)網(wǎng)絡(luò)環(huán)境的安全風(fēng)險(xiǎn),而且還增加了由感知設(shè)備、掃描設(shè)備等亞終端帶來的新風(fēng)險(xiǎn)。在醫(yī)院的物聯(lián)網(wǎng)建設(shè)過程中,物聯(lián)網(wǎng)是與實(shí)際診療過程、實(shí)體感知節(jié)點(diǎn)產(chǎn)生關(guān)聯(lián)的,如果物聯(lián)網(wǎng)安全受到威脅,那么損失的可能不僅僅是信息資料,更有可能影響到醫(yī)療業(yè)務(wù)的正常開展,甚至是患者的生命安全。
2.1 感知層的安全風(fēng)險(xiǎn) 物聯(lián)網(wǎng)感知層的主要功能是實(shí)現(xiàn)對醫(yī)院診療環(huán)境和診療信息的采集、識別、控制,由感知設(shè)備以及網(wǎng)管組成。其風(fēng)險(xiǎn)主要是終端設(shè)備的安全風(fēng)險(xiǎn),包含物理攻擊、偽造或假冒攻擊、信號泄露與干擾、資源耗盡攻擊等[4]。
2.2 網(wǎng)絡(luò)傳輸層的安全風(fēng)險(xiǎn) 物聯(lián)網(wǎng)主要是將感知層采集的信息通過傳感器網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、互聯(lián)網(wǎng)進(jìn)行信息傳輸,由于物聯(lián)網(wǎng)中傳輸途徑會經(jīng)過各種不同的網(wǎng)絡(luò),因此會面臨比傳統(tǒng)網(wǎng)絡(luò)更寬的攻擊面,更容易遭受攻擊,包含網(wǎng)絡(luò)層協(xié)議漏洞威脅、亞終端設(shè)備的漏洞威脅、異構(gòu)網(wǎng)絡(luò)融合的問題、無線傳輸安全加密問題等[5]。
2.3 平臺層的安全風(fēng)險(xiǎn) 物聯(lián)網(wǎng)平臺由計(jì)算和存儲等資源組成的支撐業(yè)務(wù)應(yīng)用需求的管理平臺。對物聯(lián)網(wǎng)各種終端所收集上來的數(shù)據(jù)進(jìn)行整理、分析、反饋等操作,為整個物聯(lián)網(wǎng)提供終端管理、數(shù)據(jù)管理、運(yùn)營管理、安全管理。平臺的安全風(fēng)險(xiǎn)主要來自于底層云計(jì)算環(huán)境的安全威脅,對于三級公立或者民營醫(yī)療機(jī)構(gòu),由于醫(yī)院規(guī)模較大,所以多使用私有云+公有云的混合云架構(gòu)[6],包括云平臺安全、虛擬化安全、平臺底層軟件(操作系統(tǒng)、數(shù)據(jù)庫、中間件)安全、數(shù)據(jù)安全等。
2.4 應(yīng)用層的安全風(fēng)險(xiǎn) 醫(yī)院物聯(lián)網(wǎng)的應(yīng)用層主要是為醫(yī)務(wù)人員、管理人員提供的相關(guān)業(yè)務(wù)應(yīng)用服務(wù),包含移動醫(yī)護(hù)、體征感知、生命體征監(jiān)測等。應(yīng)用層的安全風(fēng)險(xiǎn)主要來自于應(yīng)用服務(wù)可用性的攻擊,包含惡意代碼攻擊、遠(yuǎn)程拒絕服務(wù)攻擊、DNS 緩存投毒(DNS Cache Poisoning,是指通過域名服務(wù)器記錄更改而導(dǎo)致惡意重定向流量的結(jié)果)等安全[7]。
智慧醫(yī)院網(wǎng)絡(luò)安全機(jī)制從理論上講包含醫(yī)療物聯(lián)網(wǎng)安全體系。在這個體系中,與物聯(lián)網(wǎng)各個層面的安全風(fēng)險(xiǎn)相對應(yīng),每一層面都有相應(yīng)的安全保障措施[8]。與此同時,各層面的安全措施有機(jī)聯(lián)動結(jié)合,并一體化管理運(yùn)行,從而構(gòu)成了物聯(lián)網(wǎng)安全體系。醫(yī)療物聯(lián)網(wǎng)安全體系架構(gòu)圖見圖1。
圖1 醫(yī)療物聯(lián)網(wǎng)安全體系架構(gòu)圖Figure 1 Architecture diagram of medical IoT security system
3.1 安全準(zhǔn)入控制對應(yīng)感知層安全措施 在醫(yī)院物聯(lián)網(wǎng)感知層,相關(guān)設(shè)備的接入安全需要通過身份認(rèn)證的手段,建立終端設(shè)備接入管控機(jī)制和資產(chǎn)應(yīng)用管控機(jī)制,是物聯(lián)網(wǎng)安全體系的首要安全保障內(nèi)容。
3.1.1 終端設(shè)備分類 物聯(lián)網(wǎng)終端設(shè)備根據(jù)用途和特點(diǎn)分為傳統(tǒng)終端和亞終端二大類。傳統(tǒng)終端主要指有線終端和移動終端;亞終端種類繁多,主要包括醫(yī)療環(huán)境傳感器設(shè)備[RFID (Radio Frequency Identification,無線射頻識別技術(shù),俗稱電子標(biāo)簽)、紅外感應(yīng)、定位系統(tǒng)、激光掃描設(shè)備等]、可穿戴健康監(jiān)測設(shè)備(智能手表、手環(huán)等)、智能化設(shè)備(導(dǎo)航機(jī)器人、物流機(jī)器人、智能攝像頭等)、門禁停車感應(yīng)器設(shè)備等[9]。
3.1.2 終端識別 物聯(lián)網(wǎng)終端設(shè)備的準(zhǔn)確識別是準(zhǔn)入控制技術(shù)的前提,需要識別其硬件編碼、網(wǎng)絡(luò)地址、特征指紋等信息,確定是否為授權(quán)可接入設(shè)備。與此同時,終端識別還可以為物聯(lián)網(wǎng)管理平臺提供資產(chǎn)可視化的能力,管理平臺通過終端識別可以發(fā)現(xiàn)和感知各種類型的物聯(lián)網(wǎng)資產(chǎn),根據(jù)資產(chǎn)類型,聯(lián)動漏洞管理和外部威脅情報(bào),進(jìn)行安全風(fēng)險(xiǎn)管理,建立終端資產(chǎn)應(yīng)用管控機(jī)制。
3.1.3 準(zhǔn)入控制 物聯(lián)網(wǎng)設(shè)備經(jīng)過識別后,通過MAC 地址(Medium/Media Access Control 地址,共6 個字節(jié)48位,采用十六進(jìn)制數(shù)表示的唯一標(biāo)識互聯(lián)網(wǎng)上每一個站點(diǎn)的標(biāo)識符,也稱為物理地址)、IP 地址(Internet Protocol Address 網(wǎng)際協(xié)議地址,是一種在Internet 上給主機(jī)編址的方式)、設(shè)備指紋等設(shè)備認(rèn)證方式對入網(wǎng)設(shè)備進(jìn)行管控,只有通過認(rèn)證的設(shè)備才允許接入到網(wǎng)絡(luò)中,防止前端設(shè)備的非法替換接入,建立終端設(shè)備接入管控機(jī)制。
3.2 威脅漏洞管理對應(yīng)網(wǎng)絡(luò)傳輸層安全措施 醫(yī)院物聯(lián)網(wǎng)接入的終端設(shè)備,特別是亞終端存在一定的脆弱性,在實(shí)踐過程中不易被發(fā)現(xiàn),其既有安全配置問題,如:缺省密碼、通用密碼、弱口令等問題,也有設(shè)備自身漏洞問題[10]。因此,定期或者實(shí)時利用脆弱性評估工具進(jìn)行漏洞識別,實(shí)現(xiàn)物聯(lián)網(wǎng)資產(chǎn)的安全威脅管理非常必要。
3.2.1 漏洞識別和漏洞修復(fù) 物聯(lián)網(wǎng)設(shè)備脆弱性威脅采集探針是漏洞識別的有效手段,包括專業(yè)的安全漏洞掃描探針、資產(chǎn)配置安全性檢查探針等。通過探針與態(tài)勢感知管理平臺的聯(lián)動,可以有效地識別漏洞,然后通過口令修改、固件升級、補(bǔ)丁更新、專家加固等方式,結(jié)合態(tài)勢感知管理平臺進(jìn)行集中調(diào)試和驅(qū)動,實(shí)現(xiàn)漏洞修復(fù)[11]。
3.2.2 威脅情報(bào)采集與關(guān)聯(lián) 根據(jù)物聯(lián)網(wǎng)內(nèi)部資產(chǎn)的特點(diǎn),依靠管理平臺的能力,將相關(guān)的情報(bào)篩選后進(jìn)行威脅管理分析,可以輔助管理平臺通過學(xué)習(xí)功能,提高對未知威脅的精準(zhǔn)發(fā)現(xiàn)能力。
3.3 態(tài)勢感知管理平臺對應(yīng)物聯(lián)網(wǎng)各層面的安全措施 在對醫(yī)院物聯(lián)網(wǎng)節(jié)點(diǎn)設(shè)備管控、終端接入、平臺應(yīng)用安全管理的基礎(chǔ)上,需要構(gòu)建統(tǒng)一的安全態(tài)勢感知管理平臺,與物聯(lián)網(wǎng)感知層、網(wǎng)絡(luò)傳輸層、平臺層、應(yīng)用層的安全防護(hù)策略聯(lián)動,一般部署在醫(yī)院內(nèi)網(wǎng)中,參照網(wǎng)絡(luò)安全等級保護(hù)2.0 的通用要求,從醫(yī)院內(nèi)外網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境等方面進(jìn)行安全加固[12]。實(shí)時感知醫(yī)院網(wǎng)絡(luò)、物聯(lián)網(wǎng)環(huán)境中的攻擊威脅、資產(chǎn)狀態(tài),做到設(shè)備可視、威脅可防、風(fēng)險(xiǎn)可控。
3.3.1 傳統(tǒng)網(wǎng)絡(luò)安全管理能力加固 在醫(yī)院傳統(tǒng)的內(nèi)外網(wǎng)環(huán)境中,利用特征匹配和白名單管理機(jī)制,對已知安全威脅和異常網(wǎng)絡(luò)流量進(jìn)行深度分析、檢測和告警,對未知安全威脅和僵尸網(wǎng)絡(luò)進(jìn)行精準(zhǔn)發(fā)現(xiàn),提高網(wǎng)絡(luò)安全監(jiān)測能力[13]。
3.3.2 WEB應(yīng)用安全 有效防護(hù)OWASP TOP10[是指非營利性組織OWASP(OWASP 是開放式Web應(yīng)用程序安全項(xiàng)目)發(fā)布的最具權(quán)威性的十大安全漏洞列表]的Web 安全風(fēng)險(xiǎn),降低用戶數(shù)據(jù)泄露的風(fēng)險(xiǎn),對醫(yī)院網(wǎng)站和互聯(lián)網(wǎng)服務(wù)平臺在安全訪問控制、主頁防篡改、監(jiān)事網(wǎng)絡(luò)攻擊等方面提供可靠的安全保障能力。
3.3.3 數(shù)據(jù)安全 對數(shù)據(jù)全生命周期的各種泄密途徑進(jìn)行全方位的監(jiān)督和防護(hù),實(shí)現(xiàn)數(shù)據(jù)庫的訪問行為控制、危險(xiǎn)操作阻斷、可疑行為審計(jì),實(shí)時監(jiān)視和記錄網(wǎng)絡(luò)上的數(shù)據(jù)活動,對數(shù)據(jù)庫操作行為進(jìn)行細(xì)顆粒度審計(jì)[14]。
在真實(shí)醫(yī)療場景中通過部署以下的安全系統(tǒng),構(gòu)建網(wǎng)絡(luò)安全體系為智慧醫(yī)院物聯(lián)網(wǎng)的運(yùn)行提供強(qiáng)有力的安全保障。
首先,通過在安全運(yùn)維管理中心部署物聯(lián)網(wǎng)接入網(wǎng)關(guān)(管理平臺部署于內(nèi)網(wǎng),探針部署于物聯(lián)網(wǎng)接入交換機(jī)),對醫(yī)院物聯(lián)網(wǎng)感知節(jié)點(diǎn)踐行自動發(fā)現(xiàn)和監(jiān)控,包含脆弱性檢測和準(zhǔn)入控制,通過對感知節(jié)點(diǎn)接入后的網(wǎng)絡(luò)行為進(jìn)行分析和阻斷。其二,在核心交換機(jī)旁路部署入侵檢測系統(tǒng),對認(rèn)證數(shù)據(jù)流進(jìn)行深度網(wǎng)絡(luò)入侵檢測、威脅防護(hù)、僵尸網(wǎng)絡(luò)發(fā)現(xiàn)、精細(xì)化流量控制等[15]。其三,在互聯(lián)網(wǎng)出口邊界部署抗拒絕服務(wù)系統(tǒng),對進(jìn)入醫(yī)院網(wǎng)絡(luò)的異常流量進(jìn)行清洗過濾,有效阻斷攻擊,保證合法流量的正常傳輸。其四,通過在安全運(yùn)維管理中心部署未知威脅分析系統(tǒng),依靠該系統(tǒng)具備的多種檢測技術(shù)并行執(zhí)行,在檢測醫(yī)院信息系統(tǒng)面臨的已知威脅中不斷學(xué)習(xí),有效監(jiān)測0day(軟件發(fā)行后的24 h 內(nèi)就出現(xiàn)破解版本或者說在最短時間內(nèi)出現(xiàn)相關(guān)破解的,稱為0day)攻擊和未知威脅。其五,通過在安全運(yùn)維中心部署醫(yī)院安全管理平臺,對資產(chǎn)管理、威脅識別、風(fēng)險(xiǎn)評估進(jìn)行智能研判和網(wǎng)絡(luò)安全態(tài)勢可視化管理。其六,在醫(yī)院網(wǎng)路的DMZ 區(qū)(Demilitarized zone 隔離區(qū),也稱非軍事化區(qū),是網(wǎng)絡(luò)環(huán)境中設(shè)立的緩沖區(qū))部署WAF (Web Application Firewall 應(yīng)用防護(hù)系統(tǒng),俗稱:應(yīng)用防火墻),為醫(yī)院提供網(wǎng)站及互聯(lián)網(wǎng)服務(wù)平臺的安全防護(hù)、訪問控制、主頁防篡改、僵尸網(wǎng)絡(luò)攻擊防護(hù)等能力[16]。其七,通過在醫(yī)院內(nèi)網(wǎng)服務(wù)器核心區(qū)部署數(shù)據(jù)庫審計(jì)和數(shù)據(jù)泄露防護(hù)系統(tǒng)DLP(Data Loss Prevention 數(shù)據(jù)防泄露或者數(shù)據(jù)泄露防護(hù)),對數(shù)據(jù)庫進(jìn)行實(shí)時監(jiān)控,記錄網(wǎng)絡(luò)中訪問數(shù)據(jù)庫的全部活動;對數(shù)據(jù)生命周期中的各種泄密途徑進(jìn)行全方位監(jiān)控和防護(hù),保證醫(yī)療敏感數(shù)據(jù)泄露行為事前能被發(fā)現(xiàn)、事中能被攔截、事后能被追溯。
5.1 效益分析 智慧醫(yī)院物聯(lián)網(wǎng)安全體系的構(gòu)建能夠保障醫(yī)療物聯(lián)網(wǎng)應(yīng)用的推廣使用,滿足醫(yī)院智慧化建設(shè)的長遠(yuǎn)發(fā)展要求。有效確保醫(yī)療數(shù)據(jù)的安全傳輸,醫(yī)療數(shù)據(jù)和患者隱私信息不被泄露、篡改,降低數(shù)據(jù)安全風(fēng)險(xiǎn)。推動醫(yī)院網(wǎng)絡(luò)安全從被動搜索向主動防御、從靜態(tài)檢測向動態(tài)感知的安全管理體系變革,全面提升醫(yī)院安全運(yùn)營和管理能力,有效降低醫(yī)院安全運(yùn)維成本、提升安全事件應(yīng)急響應(yīng)和處置效率,滿足政策合規(guī)性要求。
5.2 遺留問題和解決方法 首先,醫(yī)院安全建設(shè)分步零散的狀況,導(dǎo)致網(wǎng)絡(luò)安全的統(tǒng)籌規(guī)劃往往被忽視,所以堅(jiān)持網(wǎng)絡(luò)安全“三同步”原則十分必要。其二,不能正規(guī)化培養(yǎng)醫(yī)療網(wǎng)絡(luò)安全人才隊(duì)伍,網(wǎng)絡(luò)安全管理人員匱乏和安全管理人員身兼數(shù)職的情況普遍存在,因此提高網(wǎng)絡(luò)安全意識還需要各級管理者的觀念轉(zhuǎn)變。其三,業(yè)務(wù)應(yīng)用軟件開發(fā)的不規(guī)范所帶來的應(yīng)用系統(tǒng)自身安全缺陷需要被重視,解決此問題的方法除了依托第三方軟件測試和代碼審計(jì)服務(wù)的開展,更需要軟件開發(fā)企業(yè)的規(guī)范化軟件開發(fā)流程管理。
綜上所述,隨著信息技術(shù)的不斷進(jìn)步,物聯(lián)網(wǎng)技術(shù)為各類組織特別是醫(yī)療機(jī)構(gòu)的數(shù)字化轉(zhuǎn)型提供強(qiáng)有力的數(shù)字底座支撐,已經(jīng)成為未來經(jīng)濟(jì)發(fā)展的增長點(diǎn)。在發(fā)展的背景下,“沒有網(wǎng)絡(luò)安全,就沒有國家安全”的重要性日益凸顯。因此,持續(xù)推進(jìn)信息安全技術(shù)的創(chuàng)新應(yīng)用,加強(qiáng)物聯(lián)網(wǎng)安全體系建設(shè),促使醫(yī)院“以患者為中心”的服務(wù)能夠更加安全、穩(wěn)定、不掉線,是今后很長一段時間需要面臨的重點(diǎn)和難點(diǎn)。展望未來,醫(yī)療物聯(lián)網(wǎng)的安全穩(wěn)定運(yùn)行必將成為智慧醫(yī)院建設(shè)邁向成功的先決條件和安全基石。