基于安全虚拟化技术的医院信息系统远程安全访问技术的.docx

1、基于安全虚拟化技术的医院信息系统远程安全访问技术的基于安全虚拟化技术的医院信息系统远程安全访问技术的研究摘要 随着近年来移动互联网应用的迅猛发展，基于智能终端的移动医院应用服务需求日益迫切，面向移动互联网的医疗和管理服务成为医院信息化建设的新的发展方向。在现有的移动互联网访问模式下，通过建立一种新的数据保护安全机制，在保证经由互联网安全地访问医院信息系统数据的前提下，实现临床医生和医院管理者远程实时访问信息系统，获取患者信息和医院运营数据，达到便捷、高效的医疗办公与管理决策的目的。本文围绕基于移动互联网的信息访问安全和基于虚拟化技术的安全边界防护技术展开讨论，并提出相应的解决方案。关键词 移动

2、医疗；虚拟化；信任链传递；数据保护Study of Remote Security Access Technology of Hospital Information System Based on Secure Virtualization TechnologyGuo You-yan1，Han Xiang-fei1，Chen Jie1，Zhao Yu1 ，Sun Yi1， Guang Hao2(1 Capital Medical University, Beijing Anzhen Hospital;2 General Hospital of Chinese Armed Police )Ab

3、stract With the rapid development of Internet applications mobile in recent years, based on intelligent terminal of mobile hospital application service demand increasingly urgent for the service of medical treatment and management of the mobile Internet has become a new direction of development of h

4、ospital information construction. Based on the existing mobile Internet access patterns and develop a new mobile handheld hospital application and data security protection mechanism, so that clinicians and hospital administrators can at any time anywhere remote real-time access to hospital informati

5、on system, access to relevant patient information and hospital operations data. Achieve convenient and efficient medical office and management decisions while ensuring the safety of hospital information system data access through the internet. The security of information access based on mobile Inter

6、net and the security boundary protection technology based on virtualization technology are discussed, and the corresponding solutions are proposed. Keyword Mobile health; Virtualization; Trust transit; Data protection1 引言近些年随着医院信息化建设步伐的加快，可以使医务人员便捷开展日常临床工作的各种应用软件和办公系统已经在医院的内部网络平台中得到广泛的使用。这类软件的开发与临床数

7、据库的建立日臻成熟，逐渐形成了辅助临床工作人员高效诊疗的主要依据。与此同时，随着智能手机、PDA和笔记本电脑等各种移动平台的应用普及，医务人员迫切希望能通过这些移动平台随时随地地访问医院信息系统，以提高业务办公效率、及时处置紧急事件、更加实时地对病患进行判断和诊疗，在这种需求下，移动医疗作为一种新的诊疗模式，已经成为医院信息系统中一种不可或缺的业务内容，其发展趋势不可阻挡。阻碍移动医疗快速发展的一个重要因素就是安全。移动医疗应用模式使得医院信息系统从一个相对封闭的局部地理范围拓展到一个没有限制的外部环境，如何保护患者隐私信息和医院其它各种敏感数据不被泄漏和窃取，是开发和推广移动医疗应用首先要解

8、决的问题1。本文基于安全虚拟化技术提出一种移动医疗安全结构，为移动医疗提供层次化的安全保护。其主要思路是：首先，基于虚拟化技术实现医院信息系统的平台集中化，并对进出该平台的信息流进行安全控制，防止医院敏感信息外泄；其次，对应用操作和数据访问进行安全控制，保证平台运行安全，防止违规和越权访问；第三，对所有操作过程进行可视化审计，将有助于对非法访问和操作进行快速追踪，并形成有效威慑；第四，保证远程和移动通信安全，并实现对远程设备和移动设备的接入安全控制，保证移动医疗环境可信。2 移动医疗及其风险现状根据国际医疗卫生会员组织HIMSS给出的定义：移动医疗mHealth（也称为m-health或mob

9、ile health），是通过使用移动通信技术如移动电话、智能手机、3G移动网络和卫星通信等来提供医疗服务和信息2。目前，基于移动医疗概念的各类“移动医疗APP”已经在国内很多信息化程度比较高的大型三甲医院推广和使用。这些移动医疗应用基本可以分为两类：一类是面向广大患者开放使用的，主要是各医院为方便患者就医流程，为患者提供预约挂号、调阅检查报告、查看费用结算清单、浏览医院简介、查阅科室和专家出诊信息等基本功能；另一类是面向医院内部医护人员开放使用的，医护人员用PDA等移动设备，通过医院内部的WiFi查看病人病历资料等。显然，这两类应用方式与HIMSS对移动医疗的定义不完全相符，并且与人们对移动

10、医疗的期望也有较大差距。根据实际应用需求，移动医疗应该支持医护人员在医院之外的任何地方能够根据需要随时通过远程方式访问医院内部的应用和数据。移动医疗的应用现状与理想期望存在较大差距的根本原因在于：传统信息安全技术机制和安全功能还不能满足医院信息安全的现实要求。信息安全是指保证信息的保证信息的完整性、可用性、保密性、可靠性和可控性，其实质就是要保证信息系统及信息网络中的信息资源（包括硬件、软件、数据、人、物理环境及其基础设施）不因自然或人为的因素而遭到破坏、更改、泄露和非法占用3。为了保证医院信息的安全，目前国内医院普遍采用的信息安全保护方式是采用内外网隔离机制。图1所示为典型的医院信息系统内外

11、网隔离架构：图1 医院信息系统内外网隔离结构示意图医院这种内外网隔离机制目前在应用方式和服务质量方面都难以满足移动医疗的发展要求。首先，医院内外网隔离机制在防止内网敏感信息被泄露的同时，也削弱了移动医疗系统从互联网实时访问医院内网数据的相应功能；其次，大部分的医院为了适应院内人员远程访问医院信息系统的需要，通常在外网区域部署前置镜像服务器，通过网闸定时将内网数据复制到外网前置服务器，提供经由互联网的数据访问服务，但是这种方法既无法满足移动医疗的实时数据访问要求，也难以保证数据访问的完备性要求；即便采用VPN（虚拟专用网络）方式实现从外部环境到医院信息系统的访问，也只是保证了访问内容在公网上传输

12、过程的安全性，并不能对病毒、木马及黑客的传播和入侵进行有效防范。第三，不能防范内部人员的违规行为和非法操作，也不能阻止类似于IT企业进驻医院的外协人员的非法操作。此外，传统的“移动医疗APP”方式在数据安全保护方面还存在进一步的风险隐患。在“移动医疗APP”模式中，客户端应用需要在手机、PDA等移动终端中运行，相关的数据也在这些移动终端中处理，其访问医院应用过程中产生的大量数据也会临时存储或长期保存在移动终端设备中；一旦移动终端设备丢失，保存在其中的医疗数据就存在泄露的风险。3 关键技术本文主要以虚拟化技术和信任链传递机制为基础，通过安全虚拟桌面系统为移动医疗提供数据安全保护能力。3.1 虚拟

13、化技术根据维基百科对虚拟化的定义4：虚拟化是一种资源管理的技术，可以将计算机各种实体资源予以抽象、转换后呈现出来，解决实体结构间不可切割的问题，使用户可以通过比原本的组态更好的方式来应用这些资源。这些资源经过虚拟化后，新虚拟的部份是不受现有资源的架设方式、地域或物理状态所限制。虚拟化技术主要可以分为以下几类：平台虚拟化（Platform Virtualization），主要对计算机和操作系统的虚拟化；资源虚拟化（Resource Virtualization），主要针对特定的系统资源，例如网络虚拟化、存储虚拟化、虚拟内存等等；应用程序虚拟化（Application Virtualization

14、），主要包括跨平台虚拟化，虚拟器等。利用虚拟化技术可以实现计算平台的集中化，这一能力为集中安全管控提供了技术基础。利用虚拟化技术实现用户终端的平台集中化，将大量分散的用户终端集中到少量几台服务器平台上，既能降低系统建设成本，又能简化系统安全边界，同时还可以在新的系统边界处加强对数据的安全保护5。3.2 信任链传递机制可信计算组织（Trusted Computing Group，TCG）定义如果一个实体的行为总是与预期一致，那么其运行可信6。可信计算平台技术以密码技术为基础，通过内置安全芯片TPM（可信平台模块）和信任链传递机制来保证计算平台的行为可信。所谓信任链传递机制是指计算机从加电开始，从

15、系统可信根开始引导，在调用下一级代码之前，系统当前的控制状态需要对其进行验证，确认其完整性没有被破坏后，才将系统控制权交给下一级代码；这一过程不断重复下去，最终保证了系统状态总是符合预期，即运行可信。4 基于安全虚拟化技术的移动医疗系统架构为了促进移动医疗的健康和快速发展，首先要保证移动医疗环境下的数据安全。为了避免传统的终端安全问题（比如丢失、木马感染等）导致的数据安全风险，本文提出一种以安全虚拟化技术为基础的移动医疗安全系统架构，其核心思想是将应用业务处理从用户操作终端迁移到集中的虚拟化平台上，使得用户操作终端不再成为数据安全风险来源，从而有效提升数据安全保护效果，降低安全控制难度。如图2

16、所示： 图2 基于安全虚拟化的移动医疗安全技术框架图2移动医疗安全技术框架包括五个主要部分：1、 可信虚拟化平台。通过虚拟化技术将用户操作终端功能集中到虚拟桌面服务器中，用户操作终端只是作为虚拟桌面的输入输出设备，不再运行与医疗业务应用相关的任何程序，也不临时或长期保存与业务相关的数据，从而极大地减少终端风险来源数量。平台可信保证模块采用基于密码技术的信任链传递机制（白名单机制）对虚拟桌面服务器和虚拟桌面的程序调度和运行进行控制，有效阻止各种已知和未知的恶意代码在系统中传播和运行，并对用户的应用操作进行规范和限制；资源安全管理模块对虚拟化资源进行安全管理，保证用户间的安全隔离，防止资源滥用，对

17、剩余信息进行安全保护；可视化审计模块根据用户身份信息和操作时间对用户操作过程进行标记，对盗拍行为进行威慑吓阻。2、 系统边界安全。采用可信虚拟化平台后，应用客户端迁移到虚拟桌面中，系统的边界也随之从用户操作终端迁移到虚拟桌面，因此对系统边界的安全控制就更为集中和易行。设备准入控制模块对用户操作终端进行认证，禁止未经许可的用户终端设备连接虚拟桌面，并访问医院信息系统；安全连接控制模块基于用户身份分配和调度合适的虚拟桌面，保证不同用户、不同部门之间的安全隔离；信息流控制模块在系统边界处对用户在虚拟桌面和用户操作终端之间的数据复制进行安全控制，在保证用户正常业务操作的同时，保护医院内部数据不被非法复

18、制到医院信息系统之外。3、 应用访问控制。为了最大程度的阻止用户越权和违规访问医院信息系统中的应用服务和数据，系统必须要支持和采用细粒度的访问控制策略。用户应用标识关联模块能够基于单个用户身份对其动态资源进行关联，从而保证安全访问控制的精准性；动态安全策略管理模块根据系统的实时资源分配状态，将管理员制定的安全策略转换为实时的安全控制规则；安全审计模块则对用户访问业务应用的行为进行记录，为事件追溯提供支持。4、 网络安全隔离。移动医疗涉及到医院信息系统内网、外网和医院信息系统以外的网络环境，必须要根据移动医疗的业务性质在网络层面对不同的业务访问方式进行安全隔离。安全隔离和数据交换模块采用目前的网

19、闸机制，对内外网进行安全隔离，并在内外网之间实现数据的安全交换；内网拓展模块是在保持医院信息系统内外网隔离的基础上，将医院内网范围安全地延展到每个移动终端设备；安全通信模块则基于密码技术保证移动医疗在公网上获得与专网环境可类比的安全强度。5、 移动终端安全保证。采用虚拟桌面技术后，用户操作终端本身不处理医疗相关业务，也不以任何方式保存医疗业务数据，因此移动终端本身的安全性不会对医院信息系统产生威胁，但是为了能够连接到医院信息系统，支持移动医疗应用，移动终端还必须支持终端认证和安全通信功能。终端认证模块需要根据系统安全边界中的设备准入控制模块要求，向系统提供相关的终端认证信息，以保证终端设备能够

20、被允许连接到医院信息系统；通信安全模块则是为了保证终端设备与医院信息系统之间的通信在公共通信空间(互联网或无线专网)中的安全；此外，由于良好的操作体验是用户愿意遵循安全要求并主动采用安全措施的一个充分条件，因此在手机、PDA等移动设备上采用基于虚拟桌面技术的移动医疗，一定要针对这些移动设备的操作习惯开发具有良好操作体验的客户端功能，比如通过“划指”方式（而非Windows中传统的滚动条方式）进行页面浏览。图2所示的移动医疗安全技术框架符合信息安全纵深防御思想，它通过系统边界安全控制和应用访问控制实现层次化的数据保护，禁止未经允许的人员和移动终端设备访问和连接医院信息系统，阻止内部和第三方外协人

21、员的越权和非法访问，保证医院信息系统中的数据不会被非法泄露到外部环境，防止恶意代码对医院信息系统的运行破坏，并通过各种安全日志和可视化审计追踪能力帮助对非法操作行为进行威慑和责任认定。图2所示的移动医疗安全技术框架可以有效简化系统的安全管理和日常运维工作，提高安全管理效率和安全效果。比如，系统安全管理人员无需或者不用花太多精力管理大量分散的用户操作终端，因为这些终端设备不再是系统的安全风险来源。采用图2所示的移动医疗技术框架后，所有的医院应用客户端都安装和运行在虚拟桌面中，移动终端不再参与处理医疗业务，也不保存相关数据，因此医院信息系统的安全性不再与移动终端设备的安全性相关。即使移动设备丢失，

22、医院信息系统可以禁止丢失的终端设备的连接和访问，最大程度地对风险进行有效控制。5 系统实现和应用图2所示的移动医疗安全技术框架在医院信息系统中是实际可行的。首先，相关技术在实现上已经没有障碍；其次，该技术框架并不试图打破目前医院信息系统的内外网隔离机制现状，因此完全没有安全管理方面的障碍。图2中的安全虚拟桌面系统可以采用KVM等虚拟化技术和Windows信任链传递机制7等关键技术实现。KVM是Linux系统内置的标准化虚拟机组件，目前已经被广泛应用在云计算和虚拟桌面技术实现中，相关产品也非常成熟；基于Windows信任链传递机制实现的程序白名单技术在国内外也已经有了广泛支持和应用，同时Wind

23、ows系统在相当长时间内还将继续是医院信息系统的主流客户操作系统。安全虚拟桌面系统中的可视化审计功能可以有多种实现方式，比如虚拟桌面屏幕水印，虚拟桌面水印在系统层面将用户的当前操作状态用文字或其它方式显示在虚拟桌面的所有应用操作界面上，并且无需修改应用，一旦有用户通过违规盗拍屏幕的方式非法获取敏感信息，这些浮在应用之上的水印信息也会出现在照片中，并且可能会被当作安全证据。图3所示为移动医疗安全技术架构下实现的一种应用方式。图3 移动医疗安全技术框架应用实例应用访问控制则可以将现有的防火墙技术作为基础，将其与虚拟桌面系统管理平台相结合，通过实时获取虚拟桌面系统资源分配状态，对用户标识和安全访问控

24、制策略进行一致性解释，并自动生成安全访问控制规则。如图3中的应用安全网关。移动医疗安全技术框架中系统边界安全可以通过在虚拟桌面系统与用户操作终端之间的虚拟桌面安全网关实现，如图3所示。在实现上，虚拟桌面安全网关受安全虚拟桌面系统控制，接受安全虚拟桌面系统管理平台的配置指令和实时资源分配状态信息，并根据这些指令和实时资源状态为用户分配虚拟桌面，控制用户到虚拟桌面的连接方式，控制用户在虚拟桌面系统和用户操作终端之间的文件复制行为，并根据配置信息和接入移动终端身份状态确定是否允许相关用户移动终端连接并访问虚拟桌面系统。为了保持医院信息系统的内外网隔离要求，移动医疗安全技术框架在实现上可以对内网和外网

25、分开单独处理，如图4所示：图4 面向医院内外网隔离要求的移动医疗结构示意图由于医院信息系统外网和互联网之间允许互连，因此图3实现方式对医院外网的移动业务没有任何安全管理限制，手机、PDA和笔记本电脑等移动终端设备通过互联网登录到外网的虚拟桌面安全网关，用远程桌面协议连接并访问被分配的虚拟桌面中，开展移动医疗业务。在医院信息系统推行移动医疗的难点在于面向医院内网的移动医疗应用。目前大多数医院信息系统为了保护数据安全，从管理和技术层面都严格要求医院内外网安全隔离，因此通过互联网实现面向内网的移动医疗应用必然与这一要求相冲突。为了满足面向医院内网的移动医疗业务要求，可以采用运营商为专网拓展推出的无线

26、VPDN方案。无线 VPDN业务是基于CDMA 1X/EVDO、LTE/eHRPD高速分组数据网络，利用L2TP隧道技术为客户构建的与公众互联网隔离的虚拟专用网络。无线VPDN可以支持用户从外部访问内网，同时又与互联网隔离，避免内网遭到来自互联网的攻击。在图4结构中，可以通过无线VPDN方式实现移动终端设备与医院内网之间的通信，并与互联网完全隔离，从而保证与医院内外网隔离要求的一致性。5 结束语以安全虚拟化技术为基础实现移动医疗，不仅能够满足医护人员随时随地的访问医院信息系统的要求，而且没有应用移动设备在空间上的位移给医院系统带来新的安全风险；该研究方案同时支持面向医院内网和外网业务的移动医疗

27、应用，并且不与现有的医院内外网隔离要求冲突，与医院安全管理规定保持兼容和一致性，在技术和管理两个层面都具备良好的实用性和推广价值。参考文献1 聂海鑫.移动医疗安全问题及解决方案J.信息安全与技术,2014(7).2 罗永刚,孙军,司子瑾.移动医疗应用中的信息风险分析J.中国数字医学,2013,8(10):15-17.3 葛小玲 郭罗军 刘枭雄等.基于移动互联网的掌上医院信息安全策略与实践J.中国数字医学,2015,6(4)12-14.4 崔泽永,赵会群.基于KVM的虚拟化研究及应用J.计算机技术与发展,2011,21(6):108-111. 5 吉晨, 李小强, 柳倩. 地理信息系统中的结构化数据保护方法J. 信息网络安全, 2015(11):71-76.6 TCG. https:/www.trustedcomputinggroup.org/home.7 李晓勇,韩臻,沈昌祥.Windows环境下信任链传递及其性能分析J.计算机研究与发展,2007,44(11):1889-1895.