基于安全虚拟化技术的医院信息系统远程安全访问技术的

1基于安全虚拟化技术的医院信息系统远程安全术的研究摘要随着近年来移动互联网应用的迅猛发展，基于智能终端的移动医院应用服务需求日益迫切，面向移动互联网的医疗和管理服务成为医院信息化建设的新的发展方向。在现有的移动互联网访问模式下，通过建立一种新的数据保护安全机制，在保证经由互联网安全地访问医院信息系统数据的前提下，实现临床医生和医院管理者远程实时访问信息系统，获取患者信息和医院运营数据，达到便捷、高效的医疗办公与管理决策的目的。本文围绕基于移动互联网的信息访问安全和基于虚拟化技术的安全边界防护技术展开讨论，并提出相应的解决方案。2近些年随着医院信息化建设步伐的加快，可以使医务人员便捷开展日常临床工作的各种应用软件和办公系统已经在医院的内部网络平台中得到广泛的使用。这类软件的开发与临床数据库的建立日臻成熟，逐渐形成了辅助临床工作人员高效诊疗的主要依据。与此同时，随着智能手机、和笔记本电脑等各种移动平台的应用普及，医务人员迫切希望能通过这些移动平台随时随地地访问医院信息系统，以提高业务办公效率、及时处置紧急事件、更加实时地对病患进行判断和诊疗，在这种需求下，移动医疗作为一种3新的诊疗模式，已经成为医院信息系统中一种不可或缺的业务内容，其发展趋势不可阻挡。阻碍移动医疗快速发展的一个重要因素就是安全。移动医疗应用模式使得医院信息系统从一个相对封闭的局部地理范围拓展到一个没有限制的外部环境，如何保护患者隐私信息和医院其它各种敏感数据不被泄漏和窃取，是开发和推广移动医疗应用首先要解决的问题。本文基于安全虚拟化技术提出一种移动医疗安全结构，为移动医疗提供层次化的安全保护。其主要思路是：首先，基于虚拟化技术实现医院信息系统的平台集中化，并对进出该平台的信息流进行安全控制，防止医院敏感信息外泄；其次，对应用操作和数据访问进行安全控制，保证平台运行安全，防止违规和越权访问；第三，对所有操作过程进行可视化审计，将有助于对非法访问和操作进行快速追踪，并形成有效威慑；第四，保证远程和移动通信安全，并实现对远程设备和移动设备的接入安全控制，保证移动医疗根据国际医疗卫生会员组织给出的定义：移动医疗(也称为或)，是通过使用移动通信技术—如移动电话、智能手机、移动网络和卫星通信等来提供医疗服务和信息。4目前，基于移动医疗概念的各类“移动医疗”已经在国内很多信息化程度比较高的大型三甲医院推广和使用。这些移动医疗应用基本可以分为两类：一类是面向广大患者开放使用的，主要是各医院为方便患者就医流程，为患者提供预约挂号、调阅检查报告、查看费用结算清单、浏览医院简介、查阅科室和专家出诊信息等基本功能；另一类是面向医院内部医护人员开放使用的，医护人员用等移动设备，通过医院内部的显然，这两类应用方式与历资料等。对移动医疗的定义不完全相符，并且与人们对移动医疗的期望也有较大差距。根据实际应用需求，移动医疗应该支持医护人员在医院之外的任何地方能够根据需要随时通过远程方式访问医院内部的应用和数据。移动医疗的应用现状与理想期望存在较大差距的根本原因在于：传统信息安全技术机制和安全功能还不能满足医院信息安全的现实要求。信息安全是指保证信息的保证信息的完整性、可用性、保密性、可靠性和可控性，其实质就是要保证信息系统及信息网络中的信息资源(包括硬件、软件、数据、人、物理环境及其基础设施)不因自然或人为的因素而遭到破坏、更改、泄露和非法占用。为了保证医院信息的安全，目前国内医院普遍采用的信息安全保护方式是采用内外网隔离机制。图所示为典型的医院5互联网网闸防火墙路由器图医院信息系统内外网隔离结构示意图医院这种内外网隔离机制目前在应用方式和服务质量方面都难以满足移动医疗的发展要求。首先，医院内外网隔离机制在防止内网敏感信息被泄露的同时，也削弱了移动医疗系统从互联网实时访问医院内网数据的相应功能；其次，大部分的医院为了适应院内人员远程访问医院信息系统的需要，通常在外网区域部署前置镜像服务器，通过网闸定时将内网数据复制到外网前置服务器，提供经由互联网的数据访问服务，但是这种方法既无法满足移动医疗的实时数据访问要求，也难以保证数据访问的完备性要求；即便采用(虚拟专用网络)方式实现从外部环境到医院信息系统的访问，也只是保证了访问内容在公网上传输过程的安全性，并不能对病毒、木马及黑客的传播和入侵进行有效防范。第三，不能防范内部人员的违规行为和非法操作，也不能阻止类似于企业进驻医院的外协人员的非法操作。方6面还存在进一步的风险隐患。在“移动医疗”模式中，的数据也在这些移动终端中处理，其访问医院应用过程中产生的大量数据也会临时存储或长期保存在移动终端设备中；一旦移动终端设备丢失，保存在其中的医疗数据就存在泄本文主要以虚拟化技术和信任链传递机制为基础，通过安全虚拟桌面系统为移动医疗提供数据安全保护能力。根据维基百科对虚拟化的定义：虚拟化是一种资源管理的技术，可以将计算机各种实体资源予以抽象、转换后呈现出来，解决实体结构间不可切割的问题，使用户可以通过比原本的组态更好的方式来应用这些资源。这些资源经过虚拟化后，新虚拟的部份是不受现有资源的架设方式、地域或物理状态所限制。虚拟化技术主要可以分为以下几类：平台虚拟化()，主要对计)，主要针对特定的系统资源，例如网络虚拟化、存储虚拟化、虚拟内存等等；应用程序虚拟化 ()，主要包括跨平台虚拟化，7利用虚拟化技术可以实现计算平台的集中化，这一能力为集中安全管控提供了技术基础。利用虚拟化技术实现用户终端的平台集中化，将大量分散的用户终端集中到少量几台服务器平台上，既能降低系统建设成本，又能简化系统安全边界，同时还可以在新的系统边界处加强对数据的安全保护。可信计算组织(，)定义如果一个实体的行为总是与预期一致，那么其运行可信。可信计算平台技术以密码技术为基础，通过内置安全芯片(可信平台模块)和信任链传递机制来保证计算平台的所谓信任链传递机制是指计算机从加电开始，从系统可信根开始引导，在调用下一级代码之前，系统当前的控制确认其完整性没有被破坏后，才将系统控制权交给下一级代码；这一过程不断重复下去，为了促进移动医疗的健康和快速发展，首先要保证移动医疗环境下的数据安全。为了避免传统的终端安全问题(比如丢失、木马感染等)导致的数据安全风险，本文提出一种以安全虚拟化技术为基础的移动医疗安全系统架构，8其核心思想是将应用业务处理从用户操作终端迁移到集中的虚拟化平台上，使得用户操作终端不再成为数据安全风险来源，从而有效提升数据安全保护效果，降低安全控制终终端认证移动终端安全保证用户应用标动态安全策安全安全隔离和数安全识关联模块略管理模块审计拓展据交换通信应用访问控制网络安全隔离平台可信资源安全可视化审安全连接设备准入信息流控保证模块管理模块计模块控制模块控制模块制模块可信虚拟化平台系统边界安全基于安全虚拟化的移动医疗技术框架通信加密体验保证图2基于安全虚拟化的移动医疗安全技术框架图移动医疗安全技术框架包括五个主要部分：信虚拟化平台。通过虚拟化技术将用户操作终端功能集中到虚拟桌面服务器中，用户操作终端只是作为虚拟桌面的输入输出设备，不再运行与医疗业务应用相关的任何程序，也不临时或长期保存与业务相关的数据，从而极大地减少终端风险来源数量。平台可信保证模块采用基于密码技术的信任链传递机制(白名单机制)对虚拟桌面服务器和虚拟桌面的程序调度和运行进行控制，有效阻止各种已知和未知的恶意代码在系统中传播和运行，并对用9户的应用操作进行规范和限制；资源安全管理模块对虚拟化资源进行安全管理，保证用户间的安全隔离，防止资源滥用，对剩余信息进行安全保护；可视化审计模块根据用户身份信息和操作时间对用户操作过程进行标记，对盗拍慑吓阻。。采用可信虚拟化平台后，应用客户端迁移到虚拟桌面中，系统的边界也随之从用户操作终端迁移到虚拟桌面，因此对系统边界的安全控制就更为集中和易行。设备准入控制模块对用户操作终端进行认证，禁止未经许可的用户终端设备连接虚拟桌面，并访问医院信息系统；安全连接控制模块基于用户身份分配和调度合适的虚拟桌面，保证不同用户、不同部门之间的安全隔离；信息流控制模块在系统边界处对用户在虚拟桌面和用户操作终端之间的数据复制进行安全控制，在保证用户正常业务操作的同时，保护医院内部数据不被非法复制到医院信息系统之外。。为了最大程度的阻止用户越权和违规访问医院信息系统中的应用服务和数据，系统必须要支持和采用细粒度的访问控制策略。用户应用标识关联模块能够基于单个用户身份对其动态资源进行关联，从而保证安全访问控制的精准性；动态安全策略管理模块根据系统的实时资源分配状态，将管理员制定的安全策略转换为实时的安全控制规则；安全审计模块则对用户访问业务应用的行为进行记录，为事件追溯提供支持。外网和医院信息系统以外的网络环境，必须要根据移动医疗的业务性质在网络层面对不同的业务访问方式进行安全隔离。安全隔离和数据交换模块采用目前的网闸机制，对内外网进行安全隔离，并在内外网之间实现数据的安全交换；内网拓展模块是在保持医院信息系统内外网隔离的基础上，将医院内网范围安全地延展到每个移动终端设备；安全通信模块则基于密码技术保证移动医疗在公网上获得与专网环境可类比的安全强度。保证。采用虚拟桌面技术后，用户操作终端本身不处理医疗相关业务，也不以任何方式保存医疗业务数据，因此移动终端本身的安全性不会对医院信息系统产生威胁，但是为了能够连接到医院信息系统，支持移动医疗应用，移动终端还必须支持终端认证和安全通信功能。终端认证模块需要根据系统安全边界中的设备准入控制模块要求，向系统提供相关的终端认证信息，以保证终端设备能够被允许连接到医院信息系统；通信安全模块则是为了保证终端设备与医院信息系统之间的通信在公共通信空间互联网或无线专网中的安全；此外，由于良好的操作体验是用户愿意遵循安全要求并主动采用安全措施虚拟桌面技术的移动医疗，一定要针对这些移动设备的操作习惯开发具有良好操作体验的客户端功能，比如通过“划指”方式(而非中传统的滚动条方式)进行图所示的移动医疗安全技术框架符合信息安全纵深防御思想，它通过系统边界安全控制和应用访问控制实现层次化的数据保护，禁止未经允许的人员和移动终端设备访问和连接医院信息系统，阻止内部和第三方外协人员的越权和非法访问，保证医院信息系统中的数据不会被非法泄露到外部环境，防止恶意代码对医院信息系统的运行破坏，并通过各种安全日志和可视化审计追踪能力帮助对非法操作行为进行威慑和责任认定。图所示的移动医疗安全技术框架可以有效简化系统的安全管理和日常运维工作，提高安全管理效率和安全效果。比如，系统安全管理人员无需或者不用花太多精力管理大量分散的用户操作终端，因为这些终端设备不再是系统的安全风险来源。采用图所示的移动医疗技术框架后，所有的医院应用客户端都安装和运行在虚拟桌面中，移动终端不再参与处理医疗业务，也不保存相关数据，因此医院信息系统的安全性不再与移动终端设备的安全性相关。即使移动设备丢失，医院信息系统可以禁止丢失的终端设备的连接和访问，最大程度地对风险进行有效控制。图所示的移动医疗安全技术框架在医院信息系统中是实际可行的。首先，相关技术在实现上已经没有障碍；其次，该技术框架并不试图打破目前医院信息系统的内外网隔离机制现状，因此完全没有安全管理方面的障碍。图中的安全虚拟桌面系统可以采用等虚拟化技术和信任链传递机制等关键技术实现。是系统内置的标准化虚拟机组件，目前已经被广泛应用在云计算和虚拟桌面技术实现中，相关产品也非常成熟；基于信任链传递机制实现的程序白名单技术在国内外也已经有了广泛支持和应用，同时系统在相当长时间内还将继续是医院信息系统的主流客户操作系统。安全虚拟桌面系统中的可视化审计功能可以有多种实现方式，比如虚拟桌面屏幕水印，虚拟桌面水印在系统层面将用户的当前操作状态用文字或其它方式显示在虚拟桌面的所有应用操作界面上，并且无需修改应用，一旦有用户通过违规盗拍屏幕的方式非法获取敏感信息，这些浮在应用之上的水印信息也会出现在照片中，并且可能会被当作安全证据。图所示为移动医疗安全技术架构下实现的一种应用方式。信医院服务医院服务器机房安全虚拟桌面系统应用安全网关虚拟桌面安全网关或应用访问控制则可以将现有的防火墙技术作为基础，将其与虚拟桌面系统管理平台相结合，通过实时获取虚拟桌面系统资源分配状态，对用户标识和安全访问控制策略进行一致性解释，并自动生成安全访问控制规则。如图中移动医疗安全技术框架中系统边界安全可以通过在虚拟桌面系统与用户操作终端之间的虚拟桌面安全网关实现，如图所示。在实现上，虚拟桌面安全网关受安全虚拟桌面系统控制，接受安全虚拟桌面系统管理平台的配置指令和实时资源分配状态信息，并根据这些指令和实时资源状态为用户分配虚拟桌面，控制用户到虚拟桌面的连接方式，控制用户在虚拟桌面系统和用户操作终端之间的文件复制行为，并根据配置信息和接入移动终端身份状态确定是否允许相关用户移动终端连接并访问虚拟桌面系统。为了保持医院信息系统的内外网隔离要求，移动医疗安全技术框架在实现上可以对内网和外网分开单独处理，外网外网安全虚拟桌面系统互联网应用安全网关防火墙路由器虚拟桌面安全网关虚拟桌面安全网关安全虚拟桌面系统应用安全网关应用服务器应用服务器图4面向医院内外网隔离要求的移动医疗结构示意图由于医院信息系统外网和互联网之间允许互连，因此图3实现方式对医院外网的移动业务没有任何安全管理限制，手机、PDA和笔记本电脑等移动终端设备通过互联网登录到外网的虚拟桌面安全网关，用远程桌面协议连接并访问被分配的虚拟桌面中，开展移动