基于零信任网络的医院线上业务交互设计

1、    基于零信任网络的医院线上业务交互设计    翁鹏翔摘要：随着物联网、移动服务、云计算等新技术的发展和应用，人们在享受互联网服务带来的便利同时，网络安全问题也开始渗透到生活的方方面面。为了更安全更充分的利用互联网发展所带给医疗行业的便利，提出了使用零信任网络模型来构建医院线上业务，解决现有网络安全防护上存在的架构不合理、内部安全策略容易失控，乃至于潜在的信息泄露等诸多问题，实现可信任、可追溯、可控的业务交互。关键词：网络安全;零信任;内外网交互;访问控制;数据资源保护：tp309.2        ：a：10

2、09-3044（2020）24-0063-02abstract： with the development of iot， mobile services， cloud computing and other new technologies， people enjoy the convenience brought by internet services， while network security issues have begun to penetrate into all aspects of life. in order to make more secure and full

3、use of the convenience brought by the development of the internet to the medical industry， a zero trust network model is proposed to build the online business of the hospital， to solve many problems existing in the existing network security protection such as unreasonable structure， easy to lose con

4、trol of internal security strategy， and even potential information leakage， to achieve a trusted， traceable and controllable business interaction.key words：network security; zero trust; intranet and external network interaction; access control; data resource protection1 从传统基于区域的架构到零信任网络零信任网络的概念，最早是在

5、2010年由研究机构forrester的时任首席分析师金德维格所提出，在数年的发展中，各行各业对具体如何实现适合自己业务的安全的零信任网络，都有自己不同的理解和侧重，但大都遵循了“永不信任，始终验证”的原则，概括来说，零信任网络认为无论是内部或外部的网络，都始终充满了威胁，不能仅仅依靠网络设备的边界来判断网络的安全与否，所有经过的网络流量，都应当被视为不可靠需要验证的，且访问控制策略可以动态调整。在传统的医院内外网业务网络安全架构中，一般是基于區域的安全模型建立的，通过防火墙或其他安全设备将网络分解为不同用途的区域，特定区域内的用户、设备、服务和应用程序间可以相对自由的通信，然而由于安全设备的

6、成本及实际业务逻辑划分等原因，通常受信域被划分得相当宽泛，甚至只是简单的区分为内网，外网，dmz区域，从好的地方来看，这种网络架构设计简单，维护成本低廉，受信任区域内应用程序或设备可以方便地互联互通来实现各类需求。传统基于区域的网络架构在有着互联互通方便，设计简单及维护成本低廉的同时，也因此带来了包括过于宽泛的信任域，网络安全边界模糊等一系列问题，零信任网络相比传统的基于区域信任网络的基础上，将服务器根据ip，功能用途，操作系统等类别分为了被称作“微分段”的更细粒度的组，并通过搭配相应的分组协议，实现组内服务和组间服务的互通，在解决传统的基于区域网络架构下可能存在的不同区域间子网互通需求的同时

7、，提供了更加可靠和灵活的网络边界控制。2 在不安全的网络中实现安全的业务交互在经典的医院线上业务交互中，通常可以把这个过程抽象为这么样的一个模型，用户通过第三方服务发起交易请求这个请求可能是预约挂号，可能是线上缴费，在当今时代下，这个交易请求还有可能是互联网医院的线上看诊，到第三方提供服务的服务器上，再由第三方服务器根据用户的请求，向医院的接口服务器发起请求并等待医院接口服务返回处理好的业务数据，而在医院接口服务器处理第三方发来的请求这个过程中，很有可能会涉及访问内网的数据库或者其他的资源，在完成这一系列过程后，第三方服务把处理好的请求结果反馈到用户。这个始于用户，途径第三方服务，医院接口服务

8、，最后终于用户的交易请求便完成了它的生命周期。在前一段所描述的线上交互过程中，几乎每一个阶段都有一个关于“我”的问题，“我”是谁？“我”应该信任谁？“我”可以做什么？在零信任网络中，每一个试图证明我是我的请求都应当被仔细从多个方面进行验证后才可以授权，而一些敏感的请求，比如线上问诊，充值缴费等需要更加严苛的验证，但同时，作为医院的业务来说，我们又希望用户在使用医院线上服务的时候有着良好的体验，不会受到太多由于安全验证而带来的干扰，甚至希望这个过程是透明的，仅有必要的时候，才会打扰用户的操作。当用户首次注册第三方平台所提供服务的时候，验证过程实际上已经开始了，由于医疗行业的特殊性，不能仅要求用户

9、提供简单的信息即可完成注册，而需要验证持有者是用户本人，随着人脸识别技术的发展，这个问题非常容易就能得到解决，而在用户完成注册后，第三方平台需要根据已经与医院对接好的规则为用户生成一个唯一的id，生成id的规则可能会包含用户在医院内的就诊卡id，用户登录第三方平台时按照已经确定的函数生成带有平台代码的uuid，用户的身份证号，用户的地理位置等，生成的用户id将会作为这个用户的在系统内的唯一标识符而伴随着用户发起的每个请求的全周期。我们假设这个用户在完成注册之后，想通过第三方平台发起一次预约挂号的请求，当他选好想挂号的医生和时间段，点击“立即预约”按钮之后，一个新的验证过程开始了，第三方服务器将

10、这个用户的请求报文用md5计算后，添加在请求的末尾，作为报文未被篡改的证明，并将用户的id和当前时间作为密钥加密报文，通过https协议经医院防火墙发向医院的接口服务器，在经过防火墙的时候，防火墙会扫描此https请求是否符合一般性约定，如具有有效的证书，有效的字段，有效的报文头，并来自可信的ip，随后，医院的接口服务器会根据约定好的规则为这个用户生成临时密钥并解密此报文，验证解密后报文的md5值，审核此次操作发起人是否有响应的权限，如一切无误，便执行此操作并返回结果。真实世界里，为了实现整个预约挂号的业务，通常医院内部的接口服务器并不是独立的一台，很大可能上还需要访问医院内网中医院信息系统的

11、数据库来确定是否具有可挂号的号源，并把这个用户挂号的请求写入数据库中，而这种数据库一般都需要更高等级的保护，不能允许其他应用程序或服务随意增删查改，传统网络条件下，可能会通过配置访问控制规则，或者在数据库内分配数据库用户来解决这个问题，这些问题，在网络中存在多个需要高等级保护数据资源的时候，就显得尤为麻烦和不可靠，在零信任网络中，为了解决此类验证和配置的问题，我们将网络分为控制平面和数据平面，网络中除去验证，转发，审计等功能的部分外，都可以视作是属于数据平面的部分。为了控制访问者实际可以使用的资源，对受限制资源的访问首先要经过控制平面的身份验证和授权，在控制平面上可以设置上文所述的精细的访问策

12、略控制，一旦访问者通过了控制平面的认可，控制平面便可以通过反向代理技术建立一条加密的临时转发通道，连通访问者和要访问的资源，有一点类似于sdn（软件定义网络），对访问者来说，整个过程是透明的，在访问没有得到授权的时候，访问者仅能看到控制平面返回的访问禁止信息，因此很好地保护了内部服务器的信息，潜在的恶意访问者也不能根据服务器的返回信息收集到内部服务器的特征信息。3 没有绝对安全的系统没有绝对安全的系统一直是业界的共识，任何一个软件都有可能存在bug的可能，而使用軟件的人也很可能存在着或有意或无意的非常规操作，很多时候数据是一个单位最重要的资产，相对于可控的软件流程，人员是真实世界里最薄弱的一环

13、，一个拥有高级权限的管理人员却使用了弱密码就有可能使所有的安全防范措施毁于一旦，因此零信任网络基于“始终验证，从不信任”的原则，对各种行为场景建立数据安全防护策略保障数据安全，对不同敏感级别的数据使用不同等级的验证策略，配合风险控制策略，做到主动感知用户的异常操作，尽最大可能确保数据安全。数据安全仍然任重而道远。参考文献：1 焦仃.为什么说“零信任”将成为网络安全流行框架之一j.计算机与网络，2018，44（4）：54-55.2 王蒙蒙，刘建伟，陈杰，等.软件定义网络：安全模型、机制及研究进展j.软件学报，2016，27（4）：969-992.3 王叔野，李刚.基于反向代理技术的web防火墙j.教育技术导刊，2009，8（7）：148-149.4 俞华.医院内外网融合的网络架构配置实践j.中国数字医学，2017，12（3）：94-96.5 胡外光，吕书建，凌科峰.零信任