災害與突發事件ICU大數據平臺的安全設計

羅福強，李 瑤，范展源

(四川大學錦城學院，四川 成都 611731)

災害與突發事件ICU大數據平臺的安全設計

羅福強，李 瑤，范展源

(四川大學錦城學院，四川 成都 611731)

基于四川省“災害與突發公共衛生事件重癥救護大數據平臺”建設項目展開研究。由于項目涉及到醫療機構、醫生、病人等大量醫療信息的網絡傳輸，對系統安全性的設計顯得尤為重要。從系統、程序資源訪問控制、功能性、數據域四個層次分析了現有的安全模型，找出了其中的限制與不足之處。根據現有的安全隱患，設計了新的基于云計算架構的應用系統的安全模型。該模型以成熟的虛擬化技術為基礎，以追求高可用性、可伸縮性、安全性為目標，具有三重安全保障機制。以此模型提出項目的安全解決方案，確保項目的順利實施。通過項目的運行檢測，結果表明該安全設計方案可以保障平臺信息不會輕易泄漏，從而保護用戶的權益。

突發公共衛生事件；重癥救治；大數據；安全模型；云計算架構；安全設計方案

0 引 言

“災害與突發公共衛生事件重癥救護大數據平臺”是一個集云計算技術、大數據技術、移動互聯技術以及物聯網技術為一體的新型智能系統，是一個為重癥傷病人員提供咨詢、搶救、運送、手術、監護、康復、心理干預等全方位服務的大數據軟件系統，也是一個整合不同級別、不同區域的醫療資源為一體,實現重癥救護統一指揮和調度的集成系統，還是一個各級政府、醫療機構、醫生、病人、公眾在參與重癥救護時的開放信息互動平臺。這個平臺的定位就決定它必須運行在互聯網中并能及時通信，另一方面，對于系統中的信息又要做到絕對的安全，這就對平臺的安全性提出了挑戰。

1 傳統的安全模型分析

通常，一個應用系統安全性問題[1]可按粒度從粗到細的順序劃分為以下4個層次。

(1)系統級安全[2]。實現辦法包括：訪問IP段的限制、登錄時間段的限制、連接數的限制、特定時間段內登錄次數的限制等。這是應用系統第一道防護大門。

(2)程序資源訪問控制安全。對程序資源的訪問進行安全控制[3]，在客戶端上為用戶提供與其權限相關的用戶界面，如只出現與其權限相符的菜單或操作按鈕；在服務端則對URL請求的資源或業務服務類方法的調用進行訪問控制。

(3)功能性安全。功能性安全會對程序流程產生影響，如針對用戶的操作記錄是否需要審核，對上傳的附件是否要限制其大小，等等。這些安全限制已經不是一般的限制，而是業務流程內的限制，在一定程度上影響了業務流程的運行。

(4)數據域安全[4]。數據域安全包括兩個層次：一是行級數據域安全，即用戶可以訪問哪些數據記錄，一般以用戶的崗位角色或所在單位為條件進行過濾；二是字段級數據域安全，即用戶可以訪問數據記錄的哪些字段。

在以上四個層次的安全問題中，不同應用系統的系統級安全關注點往往差異很大。該項目對上述的安全問題均有較高要求。

傳統的應用系統關注系統級安全，通常在Windows平臺上進行開發，其網絡通信限于局域網之內，與互聯網物理隔離。這種系統架構一般被認為是最有安全保證的架構。實際上，因為設計考慮不周，系統經常遭受中間人攻擊[5]，因此同樣存在安全問題。此外，整個系統通常由用戶組織力量進行運營和維護，受資金、技術、人力資源的限制，常常出現一些意想不到的災難性問題，例如，服務器物理損壞、設備被盜、機房火災等。為了保證整個系統正常運營，不得不承受高昂的運維代價。

隨著Internet的普及，基于B/S的Web應用系統的安全性解決方案發生了重大變革，如圖1所示。在圖1中，左邊是傳統的基于C/S的應用系統的安全模型，右邊是傳統的基于B/S的Web應用系統的安全模型[6]。

圖1 傳統的應用系統安全模型的變革

在基于B/S的Web應用系統的安全模型中，位于最底層的傳輸層直接借助Internet通信，出于加強安全設計的考慮，引入諸如IPSec、SSL協議進行鏈路加密或引入VPN[7]技術，以避免數據傳輸之中的安全隱患。

網絡的安全從原來依靠物理隔離轉變為依靠互聯網與內網之間的防火墻隔離。之后，借助開源的Linux并以此為基礎構建的B/S系統架構，可有效解決Windows總是不令人放心的安全疑慮。

最上層的Web應用系統在設計時通常更加重視Internet技術本身的安全隱患，因此所采用的安全機制與手段往往更加豐富，例如數據加密、身份認證、權限管理等。

在傳統Web應用系統的安全模型之中，其安全性得到了很大的保障，但是應用系統以網站的形式部署在物理操作系統平臺之上的網站服務器中，例如部署到Apache中，這種部署方式的主要安全隱患是在突發尖峰時刻無法有效應對大規模的訪問請求，從而造成拒絕服務攻擊。傳統的解決方案是盡可能多地準備鏡像服務器，通過服務集群來提高整個系統的并發訪問能力，但常常收效甚微。

2 基于云計算架構的應用系統的安全模型

為了解決傳統Web應用系統存在的安全隱患，文中設計了一種全新的基于云計算架構的安全模型[8]，如圖2所示。

圖2 基于云計算架構的應用系統的安全模型

在基于云計算架構的應用系統的安全模型中，首先利用虛擬化技術將傳統的物理網絡系統、物理存儲系統、物理服務器硬件系統分別抽象為虛擬網絡[9]、虛擬存儲和虛擬服務器[10]。然后借助云計算平臺(例如OpenStack)將這些資源分配用戶。用戶在云計算平臺上部署自己的系統，包括客戶操作系統、安全檢測工具和應用系統等。

相對兩種傳統模型來說，基于云計算架構的安全模型以成熟的虛擬化技術為基礎，以追求高可用性、可伸縮性、安全性為目標，具有無可比擬的優勢。

高可用性保證云服務器可以在其物理系統發生故障時可動態遷移到其他物理系統而不影響其中的應用系統的正常運行。

可伸縮性[11]提供彈性計算、彈性存儲功能，可根據用戶并發訪問的規模進行自動擴展，能有效地解決突發尖峰時刻可能出現的系統拒絕服務的問題。

安全性機制首先以傳統物理傳輸安全、網絡安全和操作系統安全為基礎，然后提供了專門針對云計算架構而設計的安全策略[12]，例如OpenStack平臺借助Keystone的令牌控制機制實現系統的安全性。最后授權給用戶的云服務器本身還可以像傳統物理服務器一樣，構建屬于云服務器自身的安全解決方案，包括操作系統的安全、專業級的安全檢測工具和應用系統安全機制等。

因此，基于云計算架構的應用系統的安全模型事實上具有三重安全保障機制。

3 本項目的安全解決方案

本項目的目標是要實現當災害與突發公共衛生事件發生并造成重大人員傷亡時的傷病數據采集、現場篩檢、轉運、導航、入院、治療、護理、康復、出院的全流程管理，還要實現四川省范圍內所有重癥救治資源的統一調度與管理，包括救災單兵設備、救護車、醫務人員、各級各類ICU中心、床位、血液、藥器、醫療設備等所有可統一調度的資源。因此，決定采用基于云計算架構的應用系統的安全模型。

(1)以阿里云的安全性為基礎。

本項目選擇阿里云平臺，主要依據是：阿里云是一個經過淘寶網和阿里巴巴電子商務平臺運營實踐證明的成熟可靠的公有云，不存在傳統安全模型中的安全隱患問題，同時還可以借助阿里云的安全解決方案和技術團隊來規避Internet本身存在的安全性問題。阿里云允許根據業務規模的增長自動擴展云服務器的配置[13]，能有效應對尖峰時刻的大規模并發訪問問題。

安全解決模型如圖3所示。

圖3 本項目的安全解決模型

(2)以開源的LAMP技術的安全性為依托。

本項目在阿里云基礎上安裝和配置云服務器。云服務器采用開源的LAMP技術(即Linux、Apache、MySQL和PHP)。這些開源的軟件不僅解決了軟件知識產權問題，還具備比傳統Windows+C#+ASP.NET+SQL Server技術更經濟的優勢。更重要的是，LAMP技術是經國內外多達上百萬個網站測試證明是安全可靠的技術，具有公認的安全性。除此之外，在云服務器之中，還可以安裝和配置各種安全防護與檢測工具，提供防火墻、防木馬、防病毒等功能。

總之，本項目的底層技術架構就以Ubuntu Linux操作系統為基礎，再搭配Apache和PHP的Web服務器技術以及MySQL數據庫技術，最終通過構造服務器集群來打造大規模災害與突發公共衛生事件的重癥救護的SaaS[14]平臺(即“軟件即服務”)。

(3)系統架構的安全設計。

本項目以LAMP技術為基礎，系統采用云計算架構，結合多租戶[15]的設計思想，最終打造一個能提供SaaS功能的大數據平臺。每一個租戶代表一個獨立的重癥醫學科(即各級醫院的ICU中心)。

首先，在數據存儲方面，每個租戶擁有獨立的數據庫，該數據庫可獨享一臺云服務器中的計算、存儲和網絡性能。獨立的數據存儲架構確保了每個租戶的數據資源具有完全的封閉性，也為ICU中心的正常運營奠定了安全性基礎。創建租戶時系統自動創建屬于該租戶的數據庫、自動完成該數據庫表的初始化。此外，系統預設向Hadoop和HBase的大數據平臺遷移數據的接口。

其次，在系統管理方面，每個租戶擁有獨立的系統管理員和后臺管理系統。每個租戶(即ICU中心)的系統管理員由租戶內部指定，其他內部工作人員的賬戶管理、角色分配、系統權限管理均由屬于租戶的系統管理員統一管理。這種架構確保了每個ICU中心內部業務的獨立性。

最后，在技術實現方面，引入開源的Laravel和ArgularJS架構，用流行的SOA(即面向服務的架構)思想、按RESTful風格進行代碼實現。這種全新的云計算設計模式決定了最終用戶(無論是醫務人員還是傷病患者及親屬)可使用任何設備(包括臺式計算機、筆記本電腦、平板電腦和智能手機)在任何時間訪問本系統平臺且安全可靠。

(4)數據域與功能性安全設計。

在數據域安全層面上，首先借助Linux的強制訪問控制機制實現數據庫文件級的安全，其次引入加密技術將系統中敏感信息加密存儲，以確保在發生極端安全災難的情況下的信息泄露問題。

在功能性安全層面上，整個系統的可操作功能劃分為兩個類別，即前臺業務和后臺管理。前臺業務主要面向租房內部的醫務工作人員開放，由后臺管理員進行權限管理。系統提供靈活的根據崗位角色的權限分配機制，以確保ICU中心內部員工在工作上的獨立性。

(5)日志記錄的安全性設計。

為了確保在發生不可預測的安全性問題時能通過追溯來鎖定安全事件的源頭，提供了完善的日志記錄功能，通過分析這些日志記錄即可尋找安全解決方法。

詳細的日志記錄包括系統級的日志記錄，也包括重癥救治業務級的日志記錄。整個系統除了能記錄系統的運行狀態之外，還能記錄每個操作人員的操作。所有日志記錄保存到HBase數據庫之中，借助Mahout數據挖掘功能可以做到系統發生的所有事件均可追溯相關責任人。

(6)ICU業務流程的安全性設計。

根據ICU業務的管理流程進行嚴格設計，提供業務審核機制，不僅確保ICU中心內部的每一項工作業務按規定進行，還直接提升了ICU中心的工作質量。

4 結束語

隨著互聯網的發展，越來越多的企業或部門依托網絡進行宣傳或傳遞信息。對于醫院來說，為了更好地整合資源、更方便地服務群眾，建立一個災害與突發公共衛生事件重癥救護大數據平臺很有必要，那么系統的安全性則成了必須要考慮的問題。文中提出的大數據平臺安全性設計方案從各個方面分析了系統的安全性，并提出了相應的設計方案用以提高安全性，保障平臺信息不會輕易泄漏，保護用戶的權益。同時該設計方案也可為其他系統的安全性設計提供參考。

[1] 朱琳彤.物聯網安全模型分析與研究[D].南京:南京理工大學,2013.

[2] 曹利峰.面向多級安全的網絡安全通信模型及其關鍵技術研究[D].鄭州:解放軍信息工程大學,2013.

[3] 劉 暢.資源訪問控制網關管理系統的設計與實現[D].北京:北京郵電大學,2012.

[4] 馮志偉.網絡安全設備聯動策略的研究與應用[D].北京:華北電力大學,2014.

[5] 于 波.針對無線網絡中間人攻擊的檢測與防御[D].北京:北京郵電大學,2015.

[6] 宋 旭.Web應用安全確保技術研究與應用[D].成都:電子科技大學,2013.

[7] 楊 鐸.基于MPLS VPN技術的組網的設計與實現[D].長春:吉林大學,2014.

[8] Fernandes D A B,Soares L F B,Gomes J V.Security issues in cloud environments:a survey[J].International Journal of Information Security,2014,13(2):113-170.

[9] Amaldi E. On the computational complexity of the virtual network embedding problem[J].Electronic Notes in Discrete Mathematics,2016,52:213-220.

[10] 葉可江,吳朝暉,姜曉紅,等.虛擬化云計算平臺的能耗管理[J].計算機學報,2012,35(6):1262-1285.

[11] 楊靖琦.云化業務平臺可伸縮性研究[D].北京:北京郵電大學,2014.

[12] Safa N S,Solms R V,Furnell S.Information security policy compliance model in organizations[J].Computers & Security,2016,56:70-82.

[13] 吳 麗,余文春.基于多服務器最優配置的云計算利潤最大化技術研究[J].計算機應用研究,2015,32(1):194-197.

[14] Tsai W T,Bai Xiaoying,Huang Yu.Software-as-a-service (SaaS):perspectives and challenges[J].Science China Information Sciences,2014,57(5):1-15.

[15] 顧平莉.SaaS應用中多租戶若干關鍵技術研究[D].北京:北京郵電大學,2012.

Safety Design of ICU Big Data Platform for Disaster and Sudden Event

LUO Fu-qiang,LI Yao,FAN Zhan-yuan

(Jincheng College of Sichuan University，Chengdu 611731,China)

The research is based on the project of “the big-data platform of intensive care for disaster and emergency public health event”.Because the project involves the medical institutions and doctors,patients and other large medical information network transmission,the design of system security is particularly important.The existing security model is analyzed from four levels including the system,program resource access control,function and data domain,finding out their limits and shortcomings.Then according to the existing safety problems,a new security model of application system is designed based on cloud computing.The model is based on the mature of virtualization technology,in pursuit of high availability,scalability,security as the goal,with a triple security mechanism.It has offered a whole security design scheme to ensure the smooth implementation of the project.The test through the project shows that the security design can make the platform information will not be easy to leak,thus protecting the rights and interests of users.

sudden public health event;intensive care;big data;security model;cloud computing architecture;security design scheme

2015-09-20

2015-12-24

時間：2016-09-18

2015年四川省第一批科技支撐項目(2015SZ0056)

羅福強(1970-)，男，副教授，研究方向為物聯網、云計算和大數據。

http://www.cnki.net/kcms/detail/61.1450.TP.20160918.1707.018.html

TP302

A

1673-629X(2016)10-0069-04

10.3969/j.issn.1673-629X.2016.10.015