常熟市區域衛生信息化建設中數據安全問題的探究

李斌，盛志華

1.常熟市第二人民醫院 信息處，江蘇常熟 215500；2.常熟市衛生局信息中心，江蘇 常熟 215500

常熟市區域衛生信息化建設中數據安全問題的探究

李斌1，盛志華2

1.常熟市第二人民醫院 信息處，江蘇常熟 215500；2.常熟市衛生局信息中心，江蘇 常熟 215500

區域衛生信息化建設中，信息安全始終貫穿其中。本文在對區域衛生信息化建設中各種安全因素分析的基礎上，深入探討保證數據的存儲、傳輸、應用等方面安全的具體方法和實例及效果。

區域衛生信息化；數據安全；數據存儲；數據傳輸

區域衛生信息化建設是一個涵蓋區域范圍內衛生醫療系統各個方面的大工程，它不僅是現有數據的簡單整合、匯總，還包括與多個業務系統的對接，以及實時業務數據的聯動。同時，由于大數據時代的到來，區域范圍內的衛生數據的大融合勢必帶來對數據安全問題的全新考驗。衛生信息系統一旦出現故障、黑客入侵或惡意破壞等，會給國家、醫院和廣大人民的利益帶來嚴重影響[1]。區域衛生信息中的數據，可以說是區域衛生信息化建設的核心，也是最具價值的部分。數據的增多使數據安全和隱私保護問題日漸突出，各類安全事件引起各單位信息管理人員的高度重視[2]。本文將重點討論數據的存儲、傳輸、應用管理等安全因素，并通過若干個實例展示應用效果。

1 區域衛生信息化建設中數據安全的幾個關鍵問題

1.1 數據的存儲

存儲工作在數據安全中是最底層的方面，屬于硬件范疇。如果數據中心的存儲出現故障，數據將直接丟失，從而給個人和各醫療機構造成不可彌補的損失[3]。數據的存儲安全主要從以下幾個方面進行考慮。

（1）存儲介質的冗余。區域衛生信息化過程中，必然會產生和收集大量的數據，對存儲器是個巨大的考驗。目前比較流行的方法是使用雙柜，雙柜中又有同步與異步之分，各有優勢。使用雙柜可以保證當一組存儲柜發生故障時，另一組可以較快的接替，有的甚至可以做到無縫對接（同步）。對業務不會產生過于明顯的中斷。

（2）數據庫管理。在大型數據庫的管理方案中，比較常見的是小型機+Oracle方案、Linux+Oracle等方案。也有采用X86系統+Oracle的，但不多見，較常應用于小型數據庫。在小型機+Oracle方案中，由于小型機的穩定性和Oracle數據庫的成熟和管理優勢，使數據庫的運行和管理等方面的表現讓人滿意，因此，如果在資金充裕的情況下，可以考慮這種方案。而Linux+Oracle方案中，部分版本的Linux系統不采用圖形界面，使得系統的穩定性相當可靠，這種方案也可以考慮。而X86系統由于它的不穩定性和兼容性問題，大型數據庫中較少采用此種方案。

在數據庫防災方面，可以選擇HA或是RAC來保證高可用，當數據庫服務器發生故障時，基于操作系統的HA或是RAC應立即啟動，實現“漂移”，將所有的資源和配置文件都交接到備用服務端，實現無縫對接，前臺業務不發生中斷。當故障排除后，該資源應可以自動“漂”回。

（3）容災及異地備份。容災，就是在災難發生時，在保證應用系統的數據盡量少丟失的情況下，維持系統業務的連續運行[4-5]。本地數據庫或是服務器自身的高可用，并不能保證數據及其內容的物理安全性的，數據必須在本機、本地和異地進行3地備份。數據中心機房還要在異地設立災備機房，當主機房發現災難性故障時，所有的主機房資源可通過網絡轉移，由災備機房接手，保證業務的連續性。

1.2 數據的傳輸

數據在傳輸的訪問通道、開始、過程、落地等幾個環節均易出現安全性問題，要傳的數據是否按照標準進行了轉換、傳輸過程是否加密、到達數據中心是否有對應的解密工作以及入庫的過程，均需引起注意。

（1）數據訪問通道的安全管理。現在的網絡環境非常發達，不光單位內部有網絡，單位外部也有大量的接入，比如城域范圍內的網絡接入，VPN撥號進入，U盤接入等情況。傳統的端級防護、單點布防安全解決方案能起到的作用甚微[6]。① 針對單位內部的網絡，首先要對網段進行劃分、管理，數據中心的網段必須與其他服務器分開，也需要在核心交換機上進行設定，僅允許某些可信網段進行訪問。同時還要使用堡壘機，對數據庫訪問的用戶和權限進行管理，并且記錄其中的操作行為，做到實時監控；② 對于城域網間的接入訪問和數據交換，中間建議使用網閘和前置機進行擺渡。物理隔離網閘是一種具有多種控制方式的固態開關讀寫介質，它連接于兩個獨立的主機系統之間，對傳輸數據進行安全保護[7]。確保對方獲取數據時并未直接對中心數據庫進行操作，而是通過一個可信中間的代理設備進行交換。而部分前置機可能還會提供B/S的方式進行數據交互，建議使用WAF（簡稱Web防火墻）結合邊界防火墻對頁面進行保護，防止篡改和SQL注入式攻擊等行為；③ 對于外部VPN撥號進入內網行為，建議使用帶有VPN管理功能的邊界防火墻進行管理，可以選擇SSL VPN和L2TP等方式，均帶通訊加密功能，可以防止數據在傳輸過程中被竊取或竊聽。

（2）數據的采集方式選擇。盡管數據采集工作與數據中心的數據本身沒有直接關系，但如果方式選擇不當，極可能將中心數據庫的地址或接口暴露出來，造成隱患，須引起注意。其中，應盡量采用“前置機+中間庫”的方式，將下級單位生產庫的數據采用某些技術手段導入到中間庫，再通過中間件傳輸到中心機房的前置機上，再通過中間件的服務寫入到中心數據庫。應避免中心數據庫直接與對方發生接觸。而區域衛生VPN與數據中心之間，需要架設防火墻，防止中心端網絡直接向各業務單位無限制開放。

（3）數據在傳輸過程中的保護。數據在傳輸過程中，如果不借助工具，將會以明文的方式進行傳輸，如果中間被人竊聽，數據將會被盜取。對數據進行加密是當前保護數據私密性的主流方法[8]。目前一般的平臺中間件，比如東方通，會提供消息隊列插件。這個插件是通過調用JMS（Java消息服務）插件，來訪問前置機數據庫中的數據，拆解轉換成Xml格式，通過自身的消息隊列管理功能，將這些Xml信息打包成隊列，一個隊列對應一條消息記錄，這些消息記錄都是加密的。接口中傳遞的數據也是一個薄弱環節，比較可靠的做法是將若干個接口再次封裝，組成一個服務，統一對外提供服務，這樣可避免接口的直接暴露；而接口中傳遞的數據，也需要進行加密，比如通用的BASE64加密算法，如果沒有對應的解碼算法，將是一堆亂碼。

（4）數據落地后的備份工作。數據采集盡量爭取做到只采一次。基于這個思路，數據落地后，在往主庫中寫的同時，也需要再寫一份到備份庫中，這個動作是同時發生的。這樣，當下級機構的前置機數據丟失時，可以保證在數據中心還有一份備份，保證采集結果可追溯。

1.3 數據應用管理

數據的應用環節是數據最容易泄露的環節，如何確保數據既被合理使用，又不外泄是需要重點考慮的問題。

（1）數據的查詢控制。數據即使不落地，仍有泄露的風險。在查詢過程中，截屏軟件或其他記錄軟件都可記錄下查詢出來的數據。所以，在無法限制數據查詢的前提下，增加查詢的合法性，即增加授權環節，可降低數據外泄的風險。目前比較流行的做法中，CA認證是最好的方式[9]，但是也有不足之處，最明顯的就是投入與使用范圍的局限性。首先是投入成本過大，不適宜廣泛推廣；其次是醫療機構的操作人員過多，口令牌的管理是一個難題。

比如：區域衛生信息化中最主要的數據就是EHR（電子健康檔案），如果醫生在就診時要調閱病人的健康檔案，那么就要為每個醫生配備一個CA，這筆投入將是非常龐大的，而且管理者并不能保證每個擁有CA口令牌的人都能遵守職業道德。而如果是通過健康卡（市民卡）或身份證的驗證方式來實現的，那么醫院端的壓力就沒有了，所有隱私泄露的風險將不再由醫院和醫務人員承擔，轉而由患者承擔個人的數據信息開放授權，當他們覺得需要給醫生提供信息時，就可以由其自行授權。

CA認證比較適用于數據共享等平臺，因為操作者數量有限，而涉及的對象僅僅是數據，使用CA是比較經濟有效的辦法。

（2）操作者權限管理主要考慮：① 硬件，使用堡壘機，根據不同的操作者進行分級管理，并且記錄每個賬號的登錄及使用情況，保證可以進行追溯；② 軟件層面，通過軟件自身的權限管理和分級功能，使不同的角色、權限用戶僅能看到自己該看的部分，減少數據外泄的風險；③ 制度的管理，通過加強管理來減少信息人員的非法操作行為。

2 應用實例

2.1 數據存儲的實例

存儲器方面，我局采用EMC VNX5700雙柜+Vplex機頭組成雙冗余存儲；備份方面，通過Commvault備份軟件+騰保帶庫組成備份平臺，利用Commvault自帶的MA（介質管理）進行備份管理，確保本地一份，異地機房有一份落地數據，帶庫中有一份備份數據；邊界管理方面采用邊界防火墻+網閘+WAF（Web防火墻）組成防護網；數據庫方面，針對數據庫服務器做高可用，將小型機劃分為若干個虛擬分區分組成集群，倆倆互備，通過HA保證高可用，當發生故障時，數據庫可實現自動“漂移”。

2.2 數據傳輸的實例

我市數據采集模式，鄉鎮一級統一為前置機+中間庫，市級醫院統一為前置機+CDA（HL7臨床文檔結構），數據傳輸使用東方通中間件提供的消息隊伍插件，數據中心有一個備份庫用于存放備份數據。接口中的實時數據，如慢病報卡，則通過BASE64加密方式對傳遞的信息進行加密。

2.3 數據應用管理的實例

在EHR數據查詢中，我市衛生系統采用健康卡（市民卡）或身份證授權方式，每個醫生站均配備三合一讀卡器，并且完成了對全市各級衛生信息系統的改造工作，只有刷卡才能讀出平臺上的數據。

在操作者權限管理中，硬件上通過堡壘機實現賬戶及權限的分級管理和監督；軟件上，通過強化平臺的權限和角色管理模塊的功能來加強信息的安全；制度上，通過不斷加強科室管理制度和思想教育來保障數據安全。

3 結論

在對區域衛生信息化建設中涉及到的數據安全問題進行初步研究，從數據的存儲、傳輸、應用等方面進行深入討論的基礎上，以常熟市區域衛生信息平臺為例，本文提出的數據存儲實例，經過3年的使用，邊界防護承受了大小近千次網絡攻擊，其中有300多次為大批量長時間的泛洪攻擊，未有數據在其間泄漏；存儲器運行穩定；異地備份策略在多次生產庫宕機或意外情況下，順利將數據庫及時還原；在幾次機房突發意外情況下，小型機資源順利通過集群實現了自動“漂移”。證明該方案是有效的、可靠的。

在數據傳輸實例中，目前通過該方案已進行了2年多的數據集成、1年半的區域檢驗外送、慢病報卡、傳染病報卡、學生體檢、市外轉診等服務，所有數據均未外泄，該方案有效保證了數據傳輸中的保密性。

在數據應用管理實例中，對內，通過堡壘機和區域衛生信息平臺共同構建了用戶權限和分級管理的目標；對外，通過授權的方式，最大限度的保護了公民的個人隱私，將公共服務與個人隱私保護較好地結合在一起。

本文結合自身的應用實踐總結了一些有益的經驗和措施，希望對即將進行或正在進行建設的單位有所幫助。

[1] 鞠鑫,戴春林,沈婷.蘇州市衛生信息中心信息安全等級保護建設實踐與應用[J].中國數字醫學,2015,(2):77-80.

[2] 胡坤,劉鏑,劉明輝.大數據的安全理解及應對策略研究[J].電信科學,2015,(2):112-117,122.

[3] 高睿.計算機數據丟失的預防及有效恢復探討[J].網絡安全技術與應用,2015,(3):132-135.

[4] 曹婷,王珅,陳芳.基于醫院信息系統容災措施的研究與實踐[J].中國數字醫學,2014,(8):100-103,106.

[5] 肖輝,張方,李漢民.醫院信息安全體系的構建[J].中國醫療設備,2015,30(1):139-140,147.

[6] 丁珂.大數據時代下的安全思考[J].科技致富向導,2014,(27):10.

[7] 黃洋.探究計算機網絡安全問題及其防范策略[J].網絡安全技術與應用,2015,(3):138-139.

[8] 薛矛,薛巍,舒繼武.一種云存儲環境下的安全存儲系統[J].計算機學報,2014,(43):987-998.

[9] 丁宏斌,肖革新.國家公共衛生數據中心安全建設研究[J].信息網絡安全,2011,(10):71-72,77.

Research on the Key Issues Concerning the Data Security in the Regional Hygienic Information Construction of Changshu City

LI Bin1, SHENG Zhi-hua2
1. Department of Information, Changshu No.2 People’s Hospital, Changshu Jiangsu 215500, China; 2. Information Center, the Public Health Bureau of Changshu City, Changshu Jiangsu 215500, China

The information security is a topic that runs throughout the process of the construction of regional healthcare informatization. Based on the analysis of various factors in the regional health informatization construction, the paper made an inquiry into the practical application of data storage, transmission, application, andetc. and examined the effects of the application on information security.

TP309；R197.324

C

10.3969/j.issn.1674-1633.2016.02.041

1674-1633(2016)02-0140-03

2015-04-16

2015-05-01

作者郵箱：116403424@qq.com

Abstract:: regional health care informatization; data security; data storage; data transmission