常熟市区域卫生信息化建设中数据安全问题的探究李斌1,盛志华2 1.常熟市第二人民医院 信息处,江苏常熟 215500;2.常熟市卫生局信息中心,江苏 常熟 215500 [摘 要]区域卫生信息化建设中,信息安全始终贯穿其中。本文在对区域卫生信息化建设中各种安全因素分析的基础上,深入探讨保证数据的存储、传输、应用等方面安全的具体方法和实例及效果。 [关键词]区域卫生信息化;数据安全;数据存储;数据传输 区域卫生信息化建设是一个涵盖区域范围内卫生医疗系统各个方面的大工程,它不仅是现有数据的简单整合、汇总,还包括与多个业务系统的对接,以及实时业务数据的联动。同时,由于大数据时代的到来,区域范围内的卫生数据的大融合势必带来对数据安全问题的全新考验。卫生信息系统一旦出现故障、黑客入侵或恶意破坏等,会给国家、医院和广大人民的利益带来严重影响[1]。区域卫生信息中的数据,可以说是区域卫生信息化建设的核心,也是最具价值的部分。数据的增多使数据安全和隐私保护问题日渐突出,各类安全事件引起各单位信息管理人员的高度重视[2]。本文将重点讨论数据的存储、传输、应用管理等安全因素,并通过若干个实例展示应用效果。 1 区域卫生信息化建设中数据安全的几个关键问题1.1 数据的存储 存储工作在数据安全中是最底层的方面,属于硬件范畴。如果数据中心的存储出现故障,数据将直接丢失,从而给个人和各医疗机构造成不可弥补的损失[3]。数据的存储安全主要从以下几个方面进行考虑。 (1)存储介质的冗余。区域卫生信息化过程中,必然会产生和收集大量的数据,对存储器是个巨大的考验。目前比较流行的方法是使用双柜,双柜中又有同步与异步之分,各有优势。使用双柜可以保证当一组存储柜发生故障时,另一组可以较快的接替,有的甚至可以做到无缝对接(同步)。对业务不会产生过于明显的中断。 (2)数据库管理。在大型数据库的管理方案中,比较常见的是小型机+Oracle方案、Linux+Oracle等方案。也有采用X86系统+Oracle的,但不多见,较常应用于小型数据库。在小型机+Oracle方案中,由于小型机的稳定性和Oracle数据库的成熟和管理优势,使数据库的运行和管理等方面的表现让人满意,因此,如果在资金充裕的情况下,可以考虑这种方案。而Linux+Oracle方案中,部分版本的Linux系统不采用图形界面,使得系统的稳定性相当可靠,这种方案也可以考虑。而X86系统由于它的不稳定性和兼容性问题,大型数据库中较少采用此种方案。 在数据库防灾方面,可以选择HA或是RAC来保证高可用,当数据库服务器发生故障时,基于操作系统的HA或是RAC应立即启动,实现“漂移”,将所有的资源和配置文件都交接到备用服务端,实现无缝对接,前台业务不发生中断。当故障排除后,该资源应可以自动“漂”回。 (3)容灾及异地备份。容灾,就是在灾难发生时,在保证应用系统的数据尽量少丢失的情况下,维持系统业务的连续运行[4-5]。本地数据库或是服务器自身的高可用,并不能保证数据及其内容的物理安全性的,数据必须在本机、本地和异地进行3地备份。数据中心机房还要在异地设立灾备机房,当主机房发现灾难性故障时,所有的主机房资源可通过网络转移,由灾备机房接手,保证业务的连续性。 1.2 数据的传输 数据在传输的访问通道、开始、过程、落地等几个环节均易出现安全性问题,要传的数据是否按照标准进行了转换、传输过程是否加密、到达数据中心是否有对应的解密工作以及入库的过程,均需引起注意。 (1)数据访问通道的安全管理。现在的网络环境非常发达,不光单位内部有网络,单位外部也有大量的接入,比如城域范围内的网络接入,VPN拨号进入,U盘接入等情况。传统的端级防护、单点布防安全解决方案能起到的作用甚微[6]。① 针对单位内部的网络,首先要对网段进行划分、管理,数据中心的网段必须与其他服务器分开,也需要在核心交换机上进行设定,仅允许某些可信网段进行访问。同时还要使用堡垒机,对数据库访问的用户和权限进行管理,并且记录其中的操作行为,做到实时监控;② 对于城域网间的接入访问和数据交换,中间建议使用网闸和前置机进行摆渡。物理隔离网闸是一种具有多种控制方式的固态开关读写介质,它连接于两个独立的主机系统之间,对传输数据进行安全保护[7]。确保对方获取数据时并未直接对中心数据库进行操作,而是通过一个可信中间的代理设备进行交换。而部分前置机可能还会提供B/S的方式进行数据交互,建议使用WAF(简称Web防火墙)结合边界防火墙对页面进行保护,防止篡改和SQL注入式攻击等行为;③ 对于外部VPN拨号进入内网行为,建议使用带有VPN管理功能的边界防火墙进行管理,可以选择SSL VPN和L2TP等方式,均带通讯加密功能,可以防止数据在传输过程中被窃取或窃听。 (2)数据的采集方式选择。尽管数据采集工作与数据中心的数据本身没有直接关系,但如果方式选择不当,极可能将中心数据库的地址或接口暴露出来,造成隐患,须引起注意。其中,应尽量采用“前置机+中间库”的方式,将下级单位生产库的数据采用某些技术手段导入到中间库,再通过中间件传输到中心机房的前置机上,再通过中间件的服务写入到中心数据库。应避免中心数据库直接与对方发生接触。而区域卫生VPN与数据中心之间,需要架设防火墙,防止中心端网络直接向各业务单位无限制开放。 (3)数据在传输过程中的保护。数据在传输过程中,如果不借助工具,将会以明文的方式进行传输,如果中间被人窃听,数据将会被盗取。对数据进行加密是当前保护数据私密性的主流方法[8]。目前一般的平台中间件,比如东方通,会提供消息队列插件。这个插件是通过调用JMS(Java消息服务)插件,来访问前置机数据库中的数据,拆解转换成Xml格式,通过自身的消息队列管理功能,将这些Xml信息打包成队列,一个队列对应一条消息记录,这些消息记录都是加密的。接口中传递的数据也是一个薄弱环节,比较可靠的做法是将若干个接口再次封装,组成一个服务,统一对外提供服务,这样可避免接口的直接暴露;而接口中传递的数据,也需要进行加密,比如通用的BASE64加密算法,如果没有对应的解码算法,将是一堆乱码。 (4)数据落地后的备份工作。数据采集尽量争取做到只采一次。基于这个思路,数据落地后,在往主库中写的同时,也需要再写一份到备份库中,这个动作是同时发生的。这样,当下级机构的前置机数据丢失时,可以保证在数据中心还有一份备份,保证采集结果可追溯。 1.3 数据应用管理 数据的应用环节是数据最容易泄露的环节,如何确保数据既被合理使用,又不外泄是需要重点考虑的问题。 (1)数据的查询控制。数据即使不落地,仍有泄露的风险。在查询过程中,截屏软件或其他记录软件都可记录下查询出来的数据。所以,在无法限制数据查询的前提下,增加查询的合法性,即增加授权环节,可降低数据外泄的风险。目前比较流行的做法中,CA认证是最好的方式[9],但是也有不足之处,最明显的就是投入与使用范围的局限性。首先是投入成本过大,不适宜广泛推广;其次是医疗机构的操作人员过多,口令牌的管理是一个难题。 比如:区域卫生信息化中最主要的数据就是EHR(电子健康档案),如果医生在就诊时要调阅病人的健康档案,那么就要为每个医生配备一个CA,这笔投入将是非常庞大的,而且管理者并不能保证每个拥有CA口令牌的人都能遵守职业道德。而如果是通过健康卡(市民卡)或身份证的验证方式来实现的,那么医院端的压力就没有了,所有隐私泄露的风险将不再由医院和医务人员承担,转而由患者承担个人的数据信息开放授权,当他们觉得需要给医生提供信息时,就可以由其自行授权。 CA认证比较适用于数据共享等平台,因为操作者数量有限,而涉及的对象仅仅是数据,使用CA是比较经济有效的办法。 (2)操作者权限管理主要考虑:① 硬件,使用堡垒机,根据不同的操作者进行分级管理,并且记录每个账号的登录及使用情况,保证可以进行追溯;② 软件层面,通过软件自身的权限管理和分级功能,使不同的角色、权限用户仅能看到自己该看的部分,减少数据外泄的风险;③ 制度的管理,通过加强管理来减少信息人员的非法操作行为。 2 应用实例2.1 数据存储的实例 存储器方面,我局采用EMC VNX5700双柜+Vplex机头组成双冗余存储;备份方面,通过Commvault备份软件+腾保带库组成备份平台,利用Commvault自带的MA(介质管理)进行备份管理,确保本地一份,异地机房有一份落地数据,带库中有一份备份数据;边界管理方面采用边界防火墙+网闸+WAF(Web防火墙)组成防护网;数据库方面,针对数据库服务器做高可用,将小型机划分为若干个虚拟分区分组成集群,俩俩互备,通过HA保证高可用,当发生故障时,数据库可实现自动“漂移”。 2.2 数据传输的实例 我市数据采集模式,乡镇一级统一为前置机+中间库,市级医院统一为前置机+CDA(HL7临床文档结构),数据传输使用东方通中间件提供的消息队伍插件,数据中心有一个备份库用于存放备份数据。接口中的实时数据,如慢病报卡,则通过BASE64加密方式对传递的信息进行加密。 2.3 数据应用管理的实例 在EHR数据查询中,我市卫生系统采用健康卡(市民卡)或身份证授权方式,每个医生站均配备三合一读卡器,并且完成了对全市各级卫生信息系统的改造工作,只有刷卡才能读出平台上的数据。 在操作者权限管理中,硬件上通过堡垒机实现账户及权限的分级管理和监督;软件上,通过强化平台的权限和角色管理模块的功能来加强信息的安全;制度上,通过不断加强科室管理制度和思想教育来保障数据安全。 3 结论在对区域卫生信息化建设中涉及到的数据安全问题进行初步研究,从数据的存储、传输、应用等方面进行深入讨论的基础上,以常熟市区域卫生信息平台为例,本文提出的数据存储实例,经过3年的使用,边界防护承受了大小近千次网络攻击,其中有300多次为大批量长时间的泛洪攻击,未有数据在其间泄漏;存储器运行稳定;异地备份策略在多次生产库宕机或意外情况下,顺利将数据库及时还原;在几次机房突发意外情况下,小型机资源顺利通过集群实现了自动“漂移”。证明该方案是有效的、可靠的。 在数据传输实例中,目前通过该方案已进行了2年多的数据集成、1年半的区域检验外送、慢病报卡、传染病报卡、学生体检、市外转诊等服务,所有数据均未外泄,该方案有效保证了数据传输中的保密性。 在数据应用管理实例中,对内,通过堡垒机和区域卫生信息平台共同构建了用户权限和分级管理的目标;对外,通过授权的方式,最大限度的保护了公民的个人隐私,将公共服务与个人隐私保护较好地结合在一起。 本文结合自身的应用实践总结了一些有益的经验和措施,希望对即将进行或正在进行建设的单位有所帮助。 [参考文献] [1] 鞠鑫,戴春林,沈婷.苏州市卫生信息中心信息安全等级保护建设实践与应用[J].中国数字医学,2015,(2):77-80. [2] 胡坤,刘镝,刘明辉.大数据的安全理解及应对策略研究[J].电信科学,2015,(2):112-117,122. [3] 高睿.计算机数据丢失的预防及有效恢复探讨[J].网络安全技术与应用,2015,(3):132-135. [4] 曹婷,王珅,陈芳.基于医院信息系统容灾措施的研究与实践[J].中国数字医学,2014,(8):100-103,106. [5] 肖辉,张方,李汉民.医院信息安全体系的构建[J].中国医疗设备,2015,30(1):139-140,147. [6] 丁珂.大数据时代下的安全思考[J].科技致富向导,2014,(27):10. [7] 黄洋.探究计算机网络安全问题及其防范策略[J].网络安全技术与应用,2015,(3):138-139. [8] 薛矛,薛巍,舒继武.一种云存储环境下的安全存储系统[J].计算机学报,2014,(43):987-998. [9] 丁宏斌,肖革新.国家公共卫生数据中心安全建设研究[J].信息网络安全,2011,(10):71-72,77. Research on the Key Issues Concerning the Data Security in the Regional Hygienic Information Construction of Changshu City LI Bin1, SHENG Zhi-hua2 Abstract:The information security is a topic that runs throughout the process of the construction of regional healthcare informatization. Based on the analysis of various factors in the regional health informatization construction, the paper made an inquiry into the practical application of data storage, transmission, application, andetc. and examined the effects of the application on information security. [中图分类号]TP309;R197.324 [文献标志码]C doi:10.3969/j.issn.1674-1633.2016.02.041 [文章编号]1674-1633(2016)02-0140-03 收稿日期:2015-04-16 修回日期:2015-05-01 Abstract:: regional health care informatization; data security; data storage; data transmission |