◆刘世杰



浅析互联网时代医院移动接入的风险与等级保护的新对策

◆刘世杰

（大连医科大学附属二院信息中心 辽宁 116027）

本文主要讨论以医院系统为例，在存在多种移动接入方式的环境下，移动接入终端的种类、接入方式方法、接入的目的、可能面临的风险威胁，分析了部分等级保护新标准中关于移动互联安全的测评内容、测评方法。

移动互联；VPN；信息安全；等级保护

0 引言

随着时代的发展，基于互联网的移动接入使用越来越多，体现出接入终端多种多样、接入线路多种多样、使用目的多种多样的特点。国家也根据这种移动终端接入的变化特点，在等级保护2.0体系中推出了有针对性的标准。

而医院的医疗系统虽然在规模上、投入上可能无法与大型金融机构、跨国公司相比，但是其面对的服务对象、管理和访问需求等等确是有过之而无不及。包括基于互联网的患者访问、医院人员远程办公需要、远程维护需求等等。

所以本文以某医院的系统为例，在需求、用户群体、接入方式等等几个方面进行分析，分析其接入方式方法、地点、风险等等，并依照新的《信息安全技术 网络安全等级保护基本要求 第3部：移动互联安全扩展要求》进行对比分析，具有典型意义。

1 医院中移动接入的应用需求分析

在医院系统中接入需求多种多样，由于其系统的特殊性，主要需求移动接入的人员分为以下几类：

（1）患者群体。此类群体需要访问医疗系统的资源，主要有两种需求，第一是医疗信息的获取需求；第二是挂号、预约等需求；

（2）医院管理人员。此类群体主要是要远程访问医院的HIS系统，主要是医院的管理者，需要随时了解院内相关信息，并处理相关公文；

（3）医护人员群体。由于医疗技术的发展，医疗设备的小型化、移动化，很多医疗设备要与院内相关系统进行连接。除此之外，电子巡房、电子病历等技术的应用也越来越依靠PAD等移动电子设备完成；

（4）远程维护管理人员群体。由于医疗系统信息化进程起步较晚，通常本院人员数量和技术人员水平不能满足要求，在这种情况下，需要例如HIS系统开发者、数据库技术人员进行远程维护；

（5）移动支付。移动支付放在远程接入中稍显牵强，但是随着支付宝、微信支付等在医院支付系统中的使用，由于支付宝等系统是远程连接医院内部系统的开放端口，且很多情况下未提供给医院其服务器地址，在本文中，作为特殊的“移动接入”进行讨论。

由此可见，医院系统的移动接入需求很多，而且每种需求的目的、接入地点、工作方式都有不同，基本可以涵盖现有网络的移动接入技术类型。下文将就几种接入需求的实现手段进行分析。

2 各群移动接入技术手段和安全风险研究

本章节将就上文列出的移动接入需求进行分析，主要针对其实现手段、接入位置进行分析思考，并分析可能出现的安全风险。

2.1患者群体

患者群体接入主要是查询医疗信息、进行相关等级等目的，其接入地点根据不同医院各不同，但是查询信息，基本在互联网接入，由于是网站或者公众号功能不做讨论。但是以挂号、排号为例，有的医院是可以在互联网接入，有的则是必须在本院接入，还有的是两者兼备。而这种接入通常采用手机终端，以手机短信作为认证手段，受到DDOS攻击的可能性较低，同时由于信息重要程度较低，短信认证基本可以满足安全需要。但是，在院内接入时需要防止无线网络的干扰或劫持，针对这种情况，部分医院安装了无线网络屏蔽系统。

图1 医疗系统远程接入示意图

2.2医院管理人员

医院的院长等领导人员，由于其工作需要和工作的特殊性，经常需要在远程查看医院运行情况或进行审批操作，通常是远程访问医院的HIS系统。如图1，此种访问需要通过互联网，由于其地点不固定，通常采用VPN的方式进行访问。VPN主要分为PPTP、L2TP、IPSec、SSL VPN 4种。建立在PPTP，L2TP技术上基于客户端的VPN方案对于安全性要求较低的远程接入用户来说是一个不错的选择，但是它们的认证和加密算法是相对薄弱的，所以IPSec或SSL VPN为基础基于客户端的VPN或以 SSL VPN为基础的基于Web VPN方案对于安全性要求较高的远程接入连接是比较合适的，他们都运用了有效的认证和加密算法。

除此之外，应该注意，用户名密码被盗的话，再好的VPN加密手段也没用，所以建议医院应使用双因子手段（如动态令牌、手机短信等）对远程接入用户进行认证。

2.3医护人员

医护人员的接入需求地点主要是院内，其使用的部分移动医疗设备、PAD需要通过院内的无线网络接入。目前，大量医院内部布置有无线接入内网，注意，此内网是与整个医院内网连接，并不是为患者提供上网服务的。由于是较新技术，安全上还存在很多问题，大多数医院仅采取了划分区域、强化防火墙策略、隐藏SSID、登陆用户名密码限制等策略，因此还存在很多问题。依照《信息安全技术网络安全等级保护基本要求第3部：移动互联安全扩展要求》中三级标准要求，无线网关设备作为边界防护基本都有购置；但是入侵防范中对非授权接入设备的管理、安全审计中对移动终的行为审计；设备和计算功能中移动终端管控等等项目均大量存在不足，主要原因在于设备价格、实施难度等方面。但是无线网络接入是安全中重要一环，举个最简单的例子，采用全网隔离，本地网络终端管理得再好，有一个不受控的移动终端接入就可以全网与互联网通信，其所带来的风险威胁可见一斑。

2.4远程维护管理人员

由于医疗行业的信息化建设发展较晚，所以在人员和技术上都有所不足，这样难以避免地会使用外来的技术服务，例如远程的HIS系统的更改、布置；数据库系统的更改维护等等。这种接入由于技术服务公司众多，地点不固定，费用等等问题，很难使用专线等技术手段实现，好一点的医院使用VPN进行这种远程维护的连接，而有的甚至改掉防火墙，在服务器上直接安装远程服务客户端的，而系统集成公司为了维护方便，也有可能在系统上安装类似后门。在这种情况下，无论是HIS系统的管理员账号、数据库账号，都是对远程维护人员开放的，如果没有有效手段后果无法想象。

因此在使用远程的维护服务时，应注意以下风险：

（1）远程接入本地的位置：不能直接连入服务器区域内部，需要经过各种安全设备，除了避免病毒感染外，还需要避免其越权访问。

（2）验证信息丢失：如果用户名、密码被窃取，不法分子无论是修改应用系统，还是盗取系统内患者信息都会引起严重后果，既然在等级保护中有明文要求，需要进行双因子认证，远程管理更加需要进行。

（3）用户数据被窃听：在传输过程中，由于客户端使用环境的不确定性、不安全性，用户数据极易被非法窃听，造成信息的失窃。这样就不仅限于管理信息，也可能会涉及一些敏感数据。而且存在用户在传递信息时被非法篡改，造成其他损失。这样就需要严格数据加密保障机制，并验证数据的有效性、完整性等。此项目在《信息安全技术 网络安全等级保护基本要求 第3部：移动互联安全扩展要求》中多次提出“国产算法进行加密”。

（4）无操作记录风险：虽然很多医院系统购置了堡垒机，但是很多情况下，或者为了方便，或者嫌速度慢，或者是设备功能限制，远程维护人员不通过堡垒机进行登录，而是直接操作服务器或者数据库，造成了无监管、无记录，这样后果非常严重，一旦发生问题无法追责和确定问题点。

本文讨论的都是技术风险和技术手段，而在限制远程管理人员时，还必须要考虑使用管理手段进行约束如保密协议，安全承诺等方式、方法。

2.5移动支付

移动支付放在本文讨论似有不妥，但是却又是不得不说的安全问题，在这里，其安全并不是指支付者连接恶意无线网络进行支付，被窃取支付信息，而是指在医院开通移动支付的情况下，医院信息系统本身的安全性。

在考察几家开通了移动支付的医院之后，我发现了一个非常难以想象的问题，某支付平台需要开放数据库相关管理端口，并提供公网IP，而不提供远程连接的IP等相关信息。当然，由于是全网服务，目前无法指定远程连接对象。对于有技术基础的人都明白这意味着什么，而由于其需要进行资金操作，院方所提供用户的权限当然不低，由此可带来的风险可想而知。因此，国家应尽快出台相关政策，确定企业用户支付平台的技术标准。

3 结束语

移动接入作为当前技术热点，随着接入终端、接入业务的变化，也在不断地进步，形式多样化、业务多样化是必然趋势，作者也在不断的加深学习中。而新的标准《信息安全技术网络安全等级保护基本要求第3部：移动互联安全扩展要求》的推出，更是为我们医院信息化管理人员的工作提出了新的要求，新的课题，同时也给了我们明确的方向。

此文仅是作者在工作中的根据所执行项目的实际情况总结出的一些经验，希望文章能够对大家的工作有所帮助，也希望能够抛砖引玉，得到其他兄弟单位的指导和帮助。

[1]GB/T 22239-2008 信息系统安全等级保护基本要求[S].

[2]GB/T 25058-2010 信息安全等级保护实施指南[S].

[3]韦衍恒.基于改进目录服务技术的动态VPN 的研究与实现[D].西南交通大学, 2011.

[4]倪彦彪. MPLS VPN 在电信支撑网中的研究与实现[D]. 北京邮电大学, 2010.

[5]Liao W H, Su S C. A Dynamic VPN Architecture for Private Cloud Computing[C]//Utility and Cloud Computing (UCC), 2011 Fourth IEEE International Conference on. IEEE, 2011.