智慧醫院物聯網安全體系構建與思考

劉陽，俞準，翁昌晶

1.中南大學湘雅醫學院附屬海口醫院(海口市人民醫院)信息管理處，海南 ?？?570208；

2.海南省醫學學術交流管理中心，海南 ?？?570200；

3.海南省人民醫院(海南醫學院附屬海南醫院)信息工程部，海南 ?？?570311

隨著互聯網+醫療業務應用的不斷成熟和普及，物聯網在醫療行業中的應用已經成為了大勢所趨。借助物聯網和無線網絡的支撐，利用PDA、平板、移動推車、智能攝像頭、掃描采集設備、可穿戴設備等隨時隨地進行生命體征數據采集、臨床數據查詢和錄入、呼叫通信、視頻探視和教學、藥械物流配送、標識碼識別和環境感知、門禁和停車管理等，可以充分發揮物聯網技術在醫院智慧管理中的技術優勢[1]。但是，隨著醫院物聯網終端數量和感知節點數量的不斷擴容、相關應用場景的大幅增加，在帶來便利的同時也對系統安全性和穩定性提出更高的要求，應用增加所帶來的安全隱患和安全威脅也持續凸顯。

1 醫療物聯網概述和基本架構

智慧醫院物聯網是在互聯網+醫療的大背景下，將信息傳感設備與互聯網連接起來，實現智能化識別和管理的網絡。物聯網作為新一代信息技術的高度集成和綜合運用，具有滲透性強、帶動作用大、綜合效益好的特點，是繼計算機、互聯網、移動通信網之后信息產業發展的又一推動者[2]。

物聯網的系統架構由下向上依次由感知層、網絡傳輸層、平臺層、應用層構成[3]。首先，感知層是由物聯網智能傳感器、醫療信息采集設備等組成的智能感知節點群，負責采集信息，由智能化網關統一進行管理；第二層是與感知層相連的網絡傳輸層，可以采用傳統的有線網絡、WiFi、ZigBee、RFID、藍牙、NB-IoT等技術組成一體化的網路，負責合理高效的傳輸數據；第三層是平臺層，是基于云計算、大數據技術的物聯網管理平臺，負責整個物聯網的管理；頂層是應用層，依托PDA、PAD等移動設備承載，是在已有的數據采集、數據傳輸、數據管理三層結構基礎上，負責為用戶提供移動醫護、嬰兒防盜、輸液檢測、體征監測等豐富的智慧醫院業務應用。

2 醫療物聯網的安全風險

物聯網的普及給醫院診療和管理工作帶來便利的同時，也引入了安全風險。物聯網安全風險不僅保留了傳統網絡環境的安全風險，而且還增加了由感知設備、掃描設備等亞終端帶來的新風險。在醫院的物聯網建設過程中，物聯網是與實際診療過程、實體感知節點產生關聯的，如果物聯網安全受到威脅，那么損失的可能不僅僅是信息資料，更有可能影響到醫療業務的正常開展，甚至是患者的生命安全。

2.1 感知層的安全風險 物聯網感知層的主要功能是實現對醫院診療環境和診療信息的采集、識別、控制，由感知設備以及網管組成。其風險主要是終端設備的安全風險，包含物理攻擊、偽造或假冒攻擊、信號泄露與干擾、資源耗盡攻擊等[4]。

2.2 網絡傳輸層的安全風險 物聯網主要是將感知層采集的信息通過傳感器網絡、無線網絡、互聯網進行信息傳輸，由于物聯網中傳輸途徑會經過各種不同的網絡，因此會面臨比傳統網絡更寬的攻擊面，更容易遭受攻擊，包含網絡層協議漏洞威脅、亞終端設備的漏洞威脅、異構網絡融合的問題、無線傳輸安全加密問題等[5]。

2.3 平臺層的安全風險 物聯網平臺由計算和存儲等資源組成的支撐業務應用需求的管理平臺。對物聯網各種終端所收集上來的數據進行整理、分析、反饋等操作，為整個物聯網提供終端管理、數據管理、運營管理、安全管理。平臺的安全風險主要來自于底層云計算環境的安全威脅，對于三級公立或者民營醫療機構，由于醫院規模較大，所以多使用私有云+公有云的混合云架構[6]，包括云平臺安全、虛擬化安全、平臺底層軟件(操作系統、數據庫、中間件)安全、數據安全等。

2.4 應用層的安全風險 醫院物聯網的應用層主要是為醫務人員、管理人員提供的相關業務應用服務，包含移動醫護、體征感知、生命體征監測等。應用層的安全風險主要來自于應用服務可用性的攻擊，包含惡意代碼攻擊、遠程拒絕服務攻擊、DNS 緩存投毒(DNS Cache Poisoning，是指通過域名服務器記錄更改而導致惡意重定向流量的結果)等安全[7]。

3 醫療物聯網安全體系的構建

智慧醫院網絡安全機制從理論上講包含醫療物聯網安全體系。在這個體系中，與物聯網各個層面的安全風險相對應，每一層面都有相應的安全保障措施[8]。與此同時，各層面的安全措施有機聯動結合，并一體化管理運行，從而構成了物聯網安全體系。醫療物聯網安全體系架構圖見圖1。

圖1 醫療物聯網安全體系架構圖Figure 1 Architecture diagram of medical IoT security system

3.1 安全準入控制對應感知層安全措施 在醫院物聯網感知層，相關設備的接入安全需要通過身份認證的手段，建立終端設備接入管控機制和資產應用管控機制，是物聯網安全體系的首要安全保障內容。

3.1.1 終端設備分類 物聯網終端設備根據用途和特點分為傳統終端和亞終端二大類。傳統終端主要指有線終端和移動終端；亞終端種類繁多，主要包括醫療環境傳感器設備[RFID (Radio Frequency Identification，無線射頻識別技術，俗稱電子標簽)、紅外感應、定位系統、激光掃描設備等]、可穿戴健康監測設備(智能手表、手環等)、智能化設備(導航機器人、物流機器人、智能攝像頭等)、門禁停車感應器設備等[9]。

3.1.2 終端識別 物聯網終端設備的準確識別是準入控制技術的前提，需要識別其硬件編碼、網絡地址、特征指紋等信息，確定是否為授權可接入設備。與此同時，終端識別還可以為物聯網管理平臺提供資產可視化的能力，管理平臺通過終端識別可以發現和感知各種類型的物聯網資產，根據資產類型，聯動漏洞管理和外部威脅情報，進行安全風險管理，建立終端資產應用管控機制。

3.1.3 準入控制 物聯網設備經過識別后，通過MAC 地址(Medium/Media Access Control 地址，共6 個字節48位，采用十六進制數表示的唯一標識互聯網上每一個站點的標識符，也稱為物理地址)、IP 地址(Internet Protocol Address 網際協議地址，是一種在Internet 上給主機編址的方式)、設備指紋等設備認證方式對入網設備進行管控，只有通過認證的設備才允許接入到網絡中，防止前端設備的非法替換接入，建立終端設備接入管控機制。

3.2 威脅漏洞管理對應網絡傳輸層安全措施 醫院物聯網接入的終端設備，特別是亞終端存在一定的脆弱性，在實踐過程中不易被發現，其既有安全配置問題，如：缺省密碼、通用密碼、弱口令等問題，也有設備自身漏洞問題[10]。因此，定期或者實時利用脆弱性評估工具進行漏洞識別，實現物聯網資產的安全威脅管理非常必要。

3.2.1 漏洞識別和漏洞修復 物聯網設備脆弱性威脅采集探針是漏洞識別的有效手段，包括專業的安全漏洞掃描探針、資產配置安全性檢查探針等。通過探針與態勢感知管理平臺的聯動，可以有效地識別漏洞，然后通過口令修改、固件升級、補丁更新、專家加固等方式，結合態勢感知管理平臺進行集中調試和驅動，實現漏洞修復[11]。

3.2.2 威脅情報采集與關聯 根據物聯網內部資產的特點，依靠管理平臺的能力，將相關的情報篩選后進行威脅管理分析，可以輔助管理平臺通過學習功能，提高對未知威脅的精準發現能力。

3.3 態勢感知管理平臺對應物聯網各層面的安全措施 在對醫院物聯網節點設備管控、終端接入、平臺應用安全管理的基礎上，需要構建統一的安全態勢感知管理平臺，與物聯網感知層、網絡傳輸層、平臺層、應用層的安全防護策略聯動，一般部署在醫院內網中，參照網絡安全等級保護2.0 的通用要求，從醫院內外網絡、安全區域邊界、安全計算環境等方面進行安全加固[12]。實時感知醫院網絡、物聯網環境中的攻擊威脅、資產狀態，做到設備可視、威脅可防、風險可控。

3.3.1 傳統網絡安全管理能力加固 在醫院傳統的內外網環境中，利用特征匹配和白名單管理機制，對已知安全威脅和異常網絡流量進行深度分析、檢測和告警，對未知安全威脅和僵尸網絡進行精準發現，提高網絡安全監測能力[13]。

3.3.2 WEB應用安全 有效防護OWASP TOP10[是指非營利性組織OWASP(OWASP 是開放式Web應用程序安全項目)發布的最具權威性的十大安全漏洞列表]的Web 安全風險，降低用戶數據泄露的風險，對醫院網站和互聯網服務平臺在安全訪問控制、主頁防篡改、監事網絡攻擊等方面提供可靠的安全保障能力。

3.3.3 數據安全 對數據全生命周期的各種泄密途徑進行全方位的監督和防護，實現數據庫的訪問行為控制、危險操作阻斷、可疑行為審計，實時監視和記錄網絡上的數據活動，對數據庫操作行為進行細顆粒度審計[14]。

4 結果

在真實醫療場景中通過部署以下的安全系統，構建網絡安全體系為智慧醫院物聯網的運行提供強有力的安全保障。

首先，通過在安全運維管理中心部署物聯網接入網關(管理平臺部署于內網，探針部署于物聯網接入交換機)，對醫院物聯網感知節點踐行自動發現和監控，包含脆弱性檢測和準入控制，通過對感知節點接入后的網絡行為進行分析和阻斷。其二，在核心交換機旁路部署入侵檢測系統，對認證數據流進行深度網絡入侵檢測、威脅防護、僵尸網絡發現、精細化流量控制等[15]。其三，在互聯網出口邊界部署抗拒絕服務系統，對進入醫院網絡的異常流量進行清洗過濾，有效阻斷攻擊，保證合法流量的正常傳輸。其四，通過在安全運維管理中心部署未知威脅分析系統，依靠該系統具備的多種檢測技術并行執行，在檢測醫院信息系統面臨的已知威脅中不斷學習，有效監測0day(軟件發行后的24 h 內就出現破解版本或者說在最短時間內出現相關破解的，稱為0day)攻擊和未知威脅。其五，通過在安全運維中心部署醫院安全管理平臺，對資產管理、威脅識別、風險評估進行智能研判和網絡安全態勢可視化管理。其六，在醫院網路的DMZ 區(Demilitarized zone 隔離區，也稱非軍事化區，是網絡環境中設立的緩沖區)部署WAF (Web Application Firewall 應用防護系統，俗稱：應用防火墻)，為醫院提供網站及互聯網服務平臺的安全防護、訪問控制、主頁防篡改、僵尸網絡攻擊防護等能力[16]。其七，通過在醫院內網服務器核心區部署數據庫審計和數據泄露防護系統DLP(Data Loss Prevention 數據防泄露或者數據泄露防護)，對數據庫進行實時監控，記錄網絡中訪問數據庫的全部活動；對數據生命周期中的各種泄密途徑進行全方位監控和防護，保證醫療敏感數據泄露行為事前能被發現、事中能被攔截、事后能被追溯。

5 討論

5.1 效益分析 智慧醫院物聯網安全體系的構建能夠保障醫療物聯網應用的推廣使用，滿足醫院智慧化建設的長遠發展要求。有效確保醫療數據的安全傳輸，醫療數據和患者隱私信息不被泄露、篡改，降低數據安全風險。推動醫院網絡安全從被動搜索向主動防御、從靜態檢測向動態感知的安全管理體系變革，全面提升醫院安全運營和管理能力，有效降低醫院安全運維成本、提升安全事件應急響應和處置效率，滿足政策合規性要求。

5.2 遺留問題和解決方法 首先，醫院安全建設分步零散的狀況，導致網絡安全的統籌規劃往往被忽視，所以堅持網絡安全“三同步”原則十分必要。其二，不能正規化培養醫療網絡安全人才隊伍，網絡安全管理人員匱乏和安全管理人員身兼數職的情況普遍存在，因此提高網絡安全意識還需要各級管理者的觀念轉變。其三，業務應用軟件開發的不規范所帶來的應用系統自身安全缺陷需要被重視，解決此問題的方法除了依托第三方軟件測試和代碼審計服務的開展，更需要軟件開發企業的規范化軟件開發流程管理。

綜上所述，隨著信息技術的不斷進步，物聯網技術為各類組織特別是醫療機構的數字化轉型提供強有力的數字底座支撐，已經成為未來經濟發展的增長點。在發展的背景下，“沒有網絡安全，就沒有國家安全”的重要性日益凸顯。因此，持續推進信息安全技術的創新應用，加強物聯網安全體系建設，促使醫院“以患者為中心”的服務能夠更加安全、穩定、不掉線，是今后很長一段時間需要面臨的重點和難點。展望未來，醫療物聯網的安全穩定運行必將成為智慧醫院建設邁向成功的先決條件和安全基石。