基于虚拟化的移动医疗安全技术研究
1 引言
医院日常工作所使用的各种应用软件和办公系统已经成为辅助临床工作人员高效诊疗的主要依据。随着智能手机、PDA和笔记本电脑等各种移动平台的应用普及,医务人员迫切的需要通过移动平台随时随地访问医院信息系统,以提高业务办公效率,及时处置紧急事件,更加高效、准确地对病患进行判断和诊疗。因此,移动医疗作为一种新的诊疗模式,已经成为医院信息系统业务拓展中一项不可或缺的内容,也是未来医疗方式的发展方向。
移动医疗发展的一个重要瓶颈就是安全。如何保护患者隐私,确保医院各种敏感数据不被泄漏和窃取,是开发和推广移动医疗应用首先要解决的关键问题。
本文基于虚拟化技术提出了一种移动医疗安全结构,为移动医疗系统提供多层次、多角度的全方位安全保护。其核心思想是:将应用业务处理从用户操作终端迁移到集中的虚拟化平台上,用户操作终端不再运行与医疗业务应用相关的任何程序,也不保存与业务相关的数据,从而极大地减少终端风险来源的数量;系统的边界也随之从用户操作终端迁移到虚拟桌面,对系统边界的安全控制就更为集中和易行,使用户操作终端不再成为数据安全风险来源,从而有效提升数据安全保护效果,降低安全控制难度;对所有操作过程进行可视化审计,对非法访问和操作进行快速追踪,并形成有效威慑;保证远程和移动通信安全,实现对远程设备和移动设备的接入安全控制,保证移动医疗环境可信。
2 移动医疗及其风险现状
目前,基于移动医疗概念开发推广的各类“移动医疗App”大多数仅支持患者挂号和医护人员查看病人病历资料等功能。这与人们对移动医疗的期望有着较大的差距,面对实际应用的要求,移动医疗应该支持医护人员在任何地方能够根据需要随时通过远程方式访问医院内部的应用和数据。
移动医疗的应用发展现状与理想期望存在较大差距的根本原因在于:传统信息安全技术机制和安全功能还不能满足医院信息安全的现实要求。目前国内医院普遍采用的信息安全保护方式是采用内外网隔离机制,见图1。
图1 医院信息系统内外网隔离结构示意图
而目前所使用的内外网隔离机制存在诸多局限。首先,它削弱了从互联网实时访问医院内网数据的相应能力;其次,大部分的医院为了适应院内人员远程访问医院信息系统的需要,通常在外网区域部署前置镜像服务器,通过网闸定时将内网数据复制到外网前置服务器,提供经由互联网的数据访问服务,但是这种方法既无法满足移动医疗的实时数据访问要求,也难以防御恶意软件。第三,不能防范内部人员、IT企业服务进驻人员的违规行为和非法操作。
此外,传统的移动医疗应用软件在终端中运行,相关的数据也在终端中处理,其访问业务系统过程中产生的大量数据也会存储在移动终端设备中,一旦移动终端设备丢失,保存在其中的医疗数据就存在泄露的风险。
3 基于虚拟化的移动医疗安全系统架构
为了构建安全的移动医疗系统,提出了一种以虚拟化技术为基础的移动医疗安全系统架构,其主要由可信虚拟化平台、系统边界安全防护、应用访问控制、网络安全隔离、移动终端安全保证五部分组成。如图2所示。
图2 基于虚拟化的移动医疗安全技术框架
3.1 可信虚拟化平台 主要利用可信计算技术对虚拟服务器和桌面的程序调度和运行进行控制,阻止恶意代码的传播和运行;对虚拟化资源安全管理,保证用户间的安全隔离,防止资源滥用;根据用户身份信息和操作时间对用户操作过程标记,做到对盗拍行为的威慑吓阻。
3.2 系统边界安全 主要对终端认证,禁止未授权终端连接虚拟桌面或访问医院信息系统;基于用户身份分配和调度虚拟桌面,保证不同用户、不同部门之间的安全隔离;在系统边界处对用户在虚拟桌面和用户操作终端之间的数据复制进行安全控制,在保证正常业务操作的同时,保护内部数据不被非法复制到医院信息系统之外。
3.3 应用访问控制 主要基于单个用户身份对其动态资源进行关联,从而保证安全访问控制的精准性;根据系统的实时资源分配状态,将管理员制定的安全策略转换为实时的安全控制规则;对用户访问业务应用的行为进行记录,为事件追溯提供支持。
3.4 网络安全隔离 主要采用网闸机制,对内外网进行安全隔离,并在内外网之间实现数据的安全交换;基于密码技术实现安全通讯,保证移动医疗在公网上获得与专网环境可类比的安全强度。
3.5 移动终端安全保证 主要向系统提供相关的终端认证信息,以防止非授权访问;保证终端设备与医院信息系统之间的通信在公共通信空间中的安全。
4 系统实现和应用
安全虚拟桌面系统采用KVM等虚拟化技术和Windows信任链传递机制等关键技术实现。可视化审计功能可以有多种实现方式,比如虚拟桌面屏幕水印,一旦有用户通过违规盗拍屏幕的方式非法获取敏感信息,水印信息也会出现在照片中,可被当作安全证据。图3所示为移动医疗安全技术架构实现的一种应用方式。
图3 移动医疗安全技术框架应用实例
为了保持医院信息系统的内外网隔离要求,移动医疗安全技术框架在实现上可以对内网和外网分开单独处理,如图4所示。由于医院信息系统外网和互联网之间允许互连,因此移动终端设备通过互联网登录到外网的虚拟桌面安全网关,用远程桌面协议连接并访问被分配的虚拟桌面中,开展移动医疗业务。
图4 面向医院内外网隔离要求的移动医疗结构示意图
5 结语
在虚拟化技术为基础的安全体系保障下的移动医疗,不仅能够满足医护人员随时随地的访问医院信息系统的要求,而且没有应用移动设备在空间上的位移给医院系统带来新的安全风险;该研究方案同时支持面向医院内网和外网业务的移动医疗应用,并且不与现有的医院内外网隔离要求冲突,与医院安全管理规定保持兼容和一致性,在技术和管理两个层面都具备良好的实用性和推广价值。
(来源:《中国数字医学》杂志2016年第11期,作者:广昊 郭幽燕 韩向非 陈洁 孙毅 赵宇,单位:首都医科大学附属北京安贞医院)