溫俊偉，高婧揚(yáng)

（1.電子科技大學(xué) 計(jì)算機(jī)學(xué)院，四川 成都 610054；2.成都中醫(yī)藥大學(xué)附屬醫(yī)院，四川 成都 610072）

0 引言

自2015年新一輪醫(yī)療體制改革正式開展以來(lái)，為有效發(fā)揮新型信息化醫(yī)院辦公體系職能，醫(yī)療衛(wèi)生系統(tǒng)正積極探索建設(shè)以新型信息網(wǎng)絡(luò)系統(tǒng)為核心的聯(lián)合醫(yī)療保障體系，該體系依托醫(yī)療信息網(wǎng)絡(luò)體系及全網(wǎng)信息平臺(tái)，融合多源醫(yī)療數(shù)據(jù)、聯(lián)網(wǎng)病人信息、共享病員資料，從而實(shí)現(xiàn)多級(jí)共享醫(yī)療信息、快速傳遞診斷成果、分析病理成因、自動(dòng)診斷等，為醫(yī)療系統(tǒng)的智能化、網(wǎng)絡(luò)化發(fā)展提供次時(shí)代的大數(shù)據(jù)分析技術(shù)。

從全球范圍內(nèi)看，醫(yī)療信息系統(tǒng)作為涉及國(guó)計(jì)民生的重要基礎(chǔ)平臺(tái)，正受到日益嚴(yán)峻的安全威脅，而醫(yī)療信息網(wǎng)絡(luò)作為醫(yī)療領(lǐng)域的骨干支撐，更容易遭受各種威脅與攻擊。可以說(shuō)，能否建立安全的醫(yī)療信息網(wǎng)絡(luò)，關(guān)系著我國(guó)基于大數(shù)據(jù)的聯(lián)合醫(yī)療保障體系能否順利建設(shè)與發(fā)展,尤其在信息傳輸這一關(guān)鍵環(huán)節(jié)上，必須打破以往只重視“末端”醫(yī)療院所的建設(shè)思想，以安全認(rèn)證協(xié)議為核心，實(shí)現(xiàn)醫(yī)療信息網(wǎng)絡(luò)的“源頭控制、全程防護(hù)、分層管控”。

1 醫(yī)改形勢(shì)下醫(yī)療信息網(wǎng)絡(luò)建設(shè)凸顯的安全問題

隨著我國(guó)醫(yī)療體制改革的不斷深入，持續(xù)加強(qiáng)醫(yī)療信息系統(tǒng)的現(xiàn)代化探索對(duì)醫(yī)療信息網(wǎng)絡(luò)建設(shè)機(jī)制的正常運(yùn)轉(zhuǎn)和持續(xù)發(fā)展具有重要意義。然而，先進(jìn)的跨平臺(tái)、多來(lái)源醫(yī)療信息網(wǎng)絡(luò)在提供方便快捷的醫(yī)療傳輸方式的同時(shí)，也凸顯出越來(lái)越嚴(yán)峻的安全問題。

1.1 醫(yī)療信息網(wǎng)絡(luò)安全建設(shè)理念相對(duì)落后

近年來(lái)，隨著越來(lái)越多的IT、信息技術(shù)在醫(yī)療領(lǐng)域被廣泛應(yīng)用，醫(yī)療信息網(wǎng)絡(luò)與互聯(lián)網(wǎng)技術(shù)的結(jié)合正變得越來(lái)越緊密，其面臨的安全問題則已經(jīng)到了不容忽視的地步。長(zhǎng)期以來(lái)，我國(guó)醫(yī)療信息系統(tǒng)的建設(shè)主要聚焦傳統(tǒng)意義上的信息傳輸和存儲(chǔ)，包括在此基礎(chǔ)上進(jìn)行的掛號(hào)、查詢和會(huì)診等行為，是一種較為簡(jiǎn)單的信息網(wǎng)絡(luò)架構(gòu)，存在著傳輸效率低、加密強(qiáng)度差、抗攻擊能力弱的問題。是一種典型的“腳重頭輕”、只重視“末端”防護(hù)的網(wǎng)絡(luò)防御模式[1]。

1.2 “安于現(xiàn)狀”問題較為突出

由于信息技術(shù)的發(fā)展，聯(lián)合醫(yī)療信息體制在傳播方式上呈現(xiàn)智能化、非接觸化的新特質(zhì)，因而會(huì)遇到很多隱私類威脅，將醫(yī)療網(wǎng)絡(luò)的弱點(diǎn)被進(jìn)一步放大。相較于存放于醫(yī)療信息鏈末端的加密信息的存儲(chǔ)與流轉(zhuǎn)，由于其載體可控，管理方便，且人防成效顯著，在相當(dāng)長(zhǎng)的時(shí)間內(nèi)，一直是重點(diǎn)建設(shè)方向。對(duì)傳輸鏈路的技防手段，則更新緩慢，很多設(shè)備一用就是10年，期間既不更換加密算法，也不加固加密硬件，僅靠不定期更換密鑰來(lái)維持保密新鮮度。這顯然是很危險(xiǎn)的舉措，自20世紀(jì)70年代公鑰密碼問世以來(lái)，短短40年，信息網(wǎng)絡(luò)的加密算法的形式與運(yùn)算量級(jí)已經(jīng)發(fā)生了翻天覆地的變化，從早期的RSA、DSA等算法，到近期業(yè)界較為流行的ECC算法，以及近期非常火熱的區(qū)塊鏈技術(shù)，其無(wú)論是加密強(qiáng)度，還是應(yīng)用效率，都有著質(zhì)的飛躍的區(qū)別[2]。

表1 不同加密算法的密鑰長(zhǎng)度對(duì)比Table.1 Key length comparison of different encryption algorithms

然而，由于不能精確評(píng)估加密算法與硬件環(huán)境等具體提供的防護(hù)能力，對(duì)其投入的回報(bào)無(wú)法以量化的方式衡量，因而一些醫(yī)療機(jī)構(gòu)基于各種理由，甚至出現(xiàn)了寧愿多安置鐵門鐵柜、多發(fā)布管理規(guī)定，也不愿意研發(fā)、更新傳輸加密設(shè)備的現(xiàn)象。種種跡象顯示，目前很多醫(yī)療單位對(duì)醫(yī)療信息網(wǎng)絡(luò)傳輸鏈路的加密工作認(rèn)識(shí)落后，“安于現(xiàn)狀、輕源重末”的現(xiàn)象較為突出[3]。

1.3 醫(yī)療信息安全體系不健全

信息安全體系是醫(yī)療信息網(wǎng)絡(luò)中不可或缺的環(huán)節(jié)，可以說(shuō)，信息安全體系建立的準(zhǔn)確、執(zhí)行的程度都直接影響醫(yī)療信息網(wǎng)絡(luò)工作的效率和穩(wěn)定性。目前，很多醫(yī)療單位對(duì)信息安全管理的認(rèn)識(shí)，對(duì)醫(yī)療院所建設(shè)的目標(biāo)理解還不到位，在預(yù)算相對(duì)緊缺的情況下，一些單位和機(jī)構(gòu)常會(huì)選擇忽視或者不嚴(yán)格遵循相關(guān)網(wǎng)絡(luò)安防的要求執(zhí)行[4]。另外，針對(duì)醫(yī)療院所體系建設(shè)的網(wǎng)絡(luò)安防預(yù)算支出通常未經(jīng)過(guò)專業(yè)人員或機(jī)構(gòu)的可行性論證，施工項(xiàng)目也沒有按照實(shí)際信息安全需求的順序進(jìn)行合理排序，這樣編制的預(yù)算通常缺乏科學(xué)性和準(zhǔn)確性，可操作性也不高。同時(shí)，一些醫(yī)療單位的預(yù)算執(zhí)行力不夠，使得預(yù)算和實(shí)際支出差距也較大，造成信息網(wǎng)絡(luò)建設(shè)預(yù)算缺乏合理性。

1.4 醫(yī)療信息網(wǎng)絡(luò)信息安全體系建設(shè)理念落后

雖然經(jīng)過(guò)數(shù)十年的發(fā)展，我國(guó)在大型企業(yè)建立信息網(wǎng)絡(luò)的安全體系這一理念已經(jīng)得到了極大的完善，然而相比攻擊者技術(shù)的進(jìn)步，其防護(hù)性仍然存在很多漏洞。根據(jù)ISO27001所定標(biāo)準(zhǔn)，一個(gè)完善且安全的信息網(wǎng)絡(luò)應(yīng)該同時(shí)具備有效性、加密性和完整性三個(gè)必備屬性[5]。一些研究者們根據(jù)實(shí)際情況進(jìn)一步提出了醫(yī)療信息網(wǎng)絡(luò)的安全要求，包括訪問控制、前向安全性、防假冒、反追蹤和抵御重放攻擊等內(nèi)容。

目前，大多數(shù)醫(yī)療信息網(wǎng)絡(luò)在規(guī)劃時(shí)將網(wǎng)絡(luò)的整體運(yùn)作性能作為資源分配的重要依據(jù)，通常只會(huì)有中繼和交換設(shè)備上的信息安全配置，并不另外設(shè)計(jì)基于專業(yè)信息安全設(shè)備與理論支撐的完整安全體系。這種建設(shè)規(guī)劃的問題主要體現(xiàn)在以下幾點(diǎn)：

（1）醫(yī)療信息網(wǎng)絡(luò)中承載的各類信息系統(tǒng)通常并不是同時(shí)建設(shè)的，如果在規(guī)劃階段不構(gòu)建統(tǒng)一的信安理念與醫(yī)療院所體系，則在后期實(shí)施過(guò)程中常會(huì)出現(xiàn)諸如網(wǎng)絡(luò)結(jié)構(gòu)混亂、功能劃分不全、醫(yī)療院所兼顧不暇、數(shù)據(jù)高密低存等問題。介時(shí)，出于穩(wěn)定性考慮，既無(wú)法對(duì)各個(gè)局域網(wǎng)的邊界節(jié)點(diǎn)加裝統(tǒng)一的加密設(shè)備、防火墻、入侵檢測(cè)等基本醫(yī)療院所設(shè)施，也無(wú)法對(duì)各個(gè)不同的信息系統(tǒng)按不同的業(yè)務(wù)功能進(jìn)行統(tǒng)一規(guī)劃和分區(qū)[6]。

（2）我國(guó)在建的醫(yī)療信息網(wǎng)絡(luò)大多在設(shè)計(jì)上沒有經(jīng)過(guò)嚴(yán)格的安全性證明，對(duì)其的醫(yī)療院所能力大多停留在理論階段。

（3）不能實(shí)施整體的信息安全體系布局，可能出現(xiàn)某些低密級(jí)系統(tǒng)被賦予高防護(hù)能力配置，高密級(jí)系統(tǒng)反而只能獲得較低醫(yī)療院所能力的現(xiàn)象，例如醫(yī)療財(cái)務(wù)系統(tǒng)與遠(yuǎn)程會(huì)診系統(tǒng)等，一些用戶單位為了工作方便，將高加密系統(tǒng)中傳輸與存儲(chǔ)的加密信息暴露于不合時(shí)宜的場(chǎng)合與使用者面前。

2 新型的醫(yī)療信息網(wǎng)絡(luò)安全體系研究

2.1 重新審視醫(yī)療信息網(wǎng)絡(luò)的安全管理模式

目前很多醫(yī)療單位仍然沿用醫(yī)改前的信息網(wǎng)絡(luò)，“內(nèi)外網(wǎng)互聯(lián)”的現(xiàn)象較為突出。醫(yī)改對(duì)醫(yī)療保障制度機(jī)制做出了明確要求，為適應(yīng)次世代信息化建設(shè)的需要，建立具備大數(shù)據(jù)分析能力的聯(lián)合醫(yī)療信息體系機(jī)制和規(guī)范的醫(yī)療信息保障網(wǎng)絡(luò)，就必須重新審視醫(yī)療信息網(wǎng)絡(luò)的安全管理模式[7]。我們認(rèn)為，在新模式下，醫(yī)療信息網(wǎng)絡(luò)建設(shè)過(guò)程中存在的“單打獨(dú)斗”模式將不復(fù)存在，全國(guó)所有醫(yī)療機(jī)構(gòu)必須建立完善的信息網(wǎng)絡(luò)安全共享管理模式，以迎接大數(shù)據(jù)這一趨勢(shì)所帶來(lái)的安全挑戰(zhàn)。此外，面對(duì)全新的醫(yī)療信息體系和信息傳輸關(guān)系，各醫(yī)療單位的網(wǎng)絡(luò)信息流轉(zhuǎn)既缺少上位法統(tǒng)馭，本級(jí)又沒有權(quán)威的法規(guī)制度規(guī)范，如何解決在未知安全環(huán)境下實(shí)施醫(yī)療大數(shù)據(jù)建設(shè)、醫(yī)療數(shù)據(jù)管理等醫(yī)療信息安全誰(shuí)來(lái)歸口等問題，就變得尤其迫切。若沒有相關(guān)制度的支撐，則在嚴(yán)峻的安全挑戰(zhàn)面前，一切醫(yī)療信息網(wǎng)絡(luò)都會(huì)遭遇“管理亂，防御弱，難更新”的困境[8]。

2.2 構(gòu)建新型醫(yī)療信息安全體系

目前全國(guó)各級(jí)醫(yī)療院所建設(shè)的醫(yī)療信息系統(tǒng)難以聯(lián)合、自成體系，衛(wèi)生力量自主部署、自己建設(shè)的問題較為突出。安防手段五花八門、安防裝備獨(dú)立發(fā)展等情況導(dǎo)致最終形成的醫(yī)療信息網(wǎng)絡(luò)存在資源共享難、管理難的特點(diǎn)。現(xiàn)行醫(yī)療信息安防體系整體可歸為狹長(zhǎng)的“樹”狀結(jié)構(gòu)，這其中以中國(guó)衛(wèi)生部、各省級(jí)衛(wèi)生醫(yī)療系統(tǒng)、各醫(yī)院信息安防系統(tǒng)及科研院所力量為“樹枝”散列開來(lái)，形成互不通聯(lián)的獨(dú)立式信息體系關(guān)系。這樣組建而來(lái)的各單位醫(yī)療信息網(wǎng)絡(luò)獨(dú)立性強(qiáng)、信息管理難，缺乏有效的聯(lián)合醫(yī)療信息體系組網(wǎng)機(jī)制，難以形成聯(lián)合醫(yī)療信息網(wǎng)絡(luò)的統(tǒng)一安全共享體系[9]。

此外，目前各類醫(yī)療信息網(wǎng)絡(luò)建設(shè)水平層次不齊，生成的醫(yī)療運(yùn)作網(wǎng)絡(luò)、醫(yī)院信息管理體系均不一致，且存在重“末端”，輕“源頭”的信安理念，導(dǎo)致醫(yī)療網(wǎng)絡(luò)信息安全管理規(guī)則也處于不健全、不科學(xué)的狀態(tài)。大量高價(jià)值醫(yī)療數(shù)據(jù)由于其所處系統(tǒng)網(wǎng)絡(luò)自身管理所能力較弱，又沒有合適的加密算法“護(hù)航”，導(dǎo)致“出生”便處于低共享、低信安監(jiān)管的狀態(tài)，極易發(fā)生“數(shù)據(jù)管理失控、建設(shè)重復(fù)拖沓”的情況；而一些數(shù)據(jù)價(jià)值較低的醫(yī)療單位，又存在建設(shè)規(guī)模過(guò)大，為圖工作便捷等導(dǎo)致醫(yī)療院所網(wǎng)絡(luò)安防硬件設(shè)備長(zhǎng)期閑置的現(xiàn)象，造成信安建設(shè)資源的浪費(fèi)。

當(dāng)前，我國(guó)醫(yī)療信息網(wǎng)絡(luò)的融合技術(shù)尚未實(shí)現(xiàn)，全國(guó)大數(shù)據(jù)體系建設(shè)尚處于起步階段，多源醫(yī)療數(shù)據(jù)尚無(wú)法實(shí)現(xiàn)自動(dòng)分析、智能挖掘、按級(jí)加密。醫(yī)療信息網(wǎng)絡(luò)的整體信息安全與安防能力建設(shè)還沒有一個(gè)統(tǒng)一的制度體系，這將嚴(yán)重阻礙我醫(yī)療信息網(wǎng)絡(luò)的統(tǒng)一建設(shè)計(jì)劃。因此，構(gòu)建由源而下、多措并舉的新型醫(yī)療信息安全體系就顯得尤為重要[10]。

2.3 建立以認(rèn)證協(xié)議為核心的信息安全新模型

健全的醫(yī)療網(wǎng)絡(luò)信息安全模式必須能夠保證醫(yī)療信息的安全性和完整性，目前的融合機(jī)制則要求給予醫(yī)療信息動(dòng)態(tài)信安規(guī)則，以防止信安資源的浪費(fèi)。除必要的安防設(shè)備與管控策略部署之外，在這里我們構(gòu)建基于密碼學(xué)原理的加密體制，結(jié)合外圍安防策略，共同建立新型安全模型。

首先，我們引入“群證明協(xié)議”的概念，并在醫(yī)療信息網(wǎng)絡(luò)中強(qiáng)調(diào)“認(rèn)證”的權(quán)威性，從信息的源頭進(jìn)行管理。任何用戶能夠接觸到何種基于其權(quán)限框架內(nèi)最高加密登記的醫(yī)療信息，取決于其所依附的證明者與驗(yàn)證者之間通過(guò)的是何種級(jí)別的認(rèn)證。當(dāng)認(rèn)證通過(guò)后，方可建立連接，實(shí)施通信。整個(gè)通信過(guò)程傳遞的信息均采用群證明加密算法進(jìn)行加密，證明者和驗(yàn)證者的密鑰不會(huì)出現(xiàn)在本次認(rèn)證過(guò)程中，從而完成了通信的隱私保護(hù)，從源頭對(duì)醫(yī)療信息進(jìn)行了安全控制。

圖1 一種合理的多用戶環(huán)境下的群證明協(xié)議模型Fig.1 A reasonable group certification protocol model under multiuser environment

其次，建立醫(yī)療信息網(wǎng)絡(luò)安全分層機(jī)制，將網(wǎng)絡(luò)中的醫(yī)療數(shù)據(jù)由管理部門進(jìn)行等級(jí)劃分，按照高級(jí)別采用高級(jí)算法、低級(jí)別采用一般算法的方式，分類加密存儲(chǔ)、傳輸。保證加密服務(wù)器的運(yùn)算效率始終處于健康狀態(tài)，當(dāng)用戶單位進(jìn)行醫(yī)療數(shù)據(jù)信息的接觸許可時(shí)，首先由驗(yàn)證者服務(wù)器判斷該信息處于什么級(jí)別的管理規(guī)則，隨后啟動(dòng)相應(yīng)認(rèn)證步驟。在動(dòng)態(tài)管控醫(yī)療信息的基礎(chǔ)上，降低安全風(fēng)險(xiǎn)，實(shí)現(xiàn)醫(yī)療信息的源頭加密，并可動(dòng)態(tài)分配加密服務(wù)資源，提升系統(tǒng)整體效率，有效降低開銷[11]。

2.4 健全醫(yī)療信息網(wǎng)絡(luò)建設(shè)機(jī)制

隨著全球范圍內(nèi)以新型大數(shù)據(jù)系統(tǒng)為核心的聯(lián)合醫(yī)療保障體系建設(shè)逐步推進(jìn)，醫(yī)療信息網(wǎng)絡(luò)的安全問題被提到了前臺(tái)，如何軟硬兼施，從源頭與設(shè)備環(huán)境著手，構(gòu)建核心模式帶動(dòng)外圍機(jī)制一起運(yùn)轉(zhuǎn)的良好模式。為達(dá)到這個(gè)要求，首先要統(tǒng)一認(rèn)識(shí)，制定信息網(wǎng)絡(luò)安全核算專業(yè)化標(biāo)準(zhǔn)，通過(guò)對(duì)權(quán)威部門對(duì)建設(shè)網(wǎng)絡(luò)信安環(huán)境需要的運(yùn)行成本結(jié)構(gòu)進(jìn)行全面分析，確定符合該網(wǎng)絡(luò)實(shí)際需要的醫(yī)療院所與信安建設(shè)標(biāo)準(zhǔn)；其次是加強(qiáng)醫(yī)療信息網(wǎng)絡(luò)保障及維護(hù)人員的安防和信安管理水平，在制定業(yè)務(wù)系統(tǒng)方案的初期引入統(tǒng)一安全管理標(biāo)準(zhǔn)，杜絕分批建設(shè)、重復(fù)建設(shè)等情況的發(fā)生。

2.5 實(shí)行醫(yī)療信息網(wǎng)絡(luò)信息安全體系分層架構(gòu)

建立醫(yī)療信息網(wǎng)絡(luò)安全體系分層架構(gòu)的關(guān)鍵在于如何構(gòu)建以信息安全新模型為核心、常規(guī)安防規(guī)則并舉的新安全體系。目前我國(guó)醫(yī)療系統(tǒng)正處于改革的攻堅(jiān)階段，各領(lǐng)域轉(zhuǎn)型、轉(zhuǎn)制效果明顯。各類醫(yī)院應(yīng)加快醫(yī)療信息網(wǎng)絡(luò)安全體系的理論研究與應(yīng)用開發(fā)，并借鑒鐵道部等信息化程度較高系統(tǒng)的建設(shè)經(jīng)驗(yàn)，構(gòu)建醫(yī)院-院所聯(lián)合開發(fā)研究新模式。在構(gòu)建分層架構(gòu)方面，重點(diǎn)從以下三個(gè)層面進(jìn)行：一是與病員相關(guān)的信息。實(shí)現(xiàn)病員數(shù)據(jù)的自動(dòng)評(píng)級(jí)，人工修正模式，自信息生成初期便統(tǒng)一分類，按照“重點(diǎn)病史”、“個(gè)人信息”、“診斷信息”等級(jí)別，分別添加強(qiáng)度不等的加密算法規(guī)則，進(jìn)行加密處理后統(tǒng)一存放至數(shù)據(jù)庫(kù)服務(wù)器，由證明者服務(wù)器對(duì)每次信息對(duì)話進(jìn)行認(rèn)證；二是與用戶相關(guān)的信息。對(duì)醫(yī)療信息網(wǎng)內(nèi)各級(jí)用戶按照院所級(jí)別與性質(zhì)進(jìn)行瀏覽權(quán)限劃分，明確其對(duì)應(yīng)的證明者屬性，區(qū)分醫(yī)院與人員、設(shè)備，并與存儲(chǔ)信息等級(jí)進(jìn)行對(duì)應(yīng)，信息輸出由證明者服務(wù)器認(rèn)證之后，經(jīng)常規(guī)醫(yī)療院所策略匹配合格后通過(guò)；三是與保障業(yè)務(wù)應(yīng)用相關(guān)的信息。按網(wǎng)絡(luò)規(guī)劃制定的涉及醫(yī)療系統(tǒng)內(nèi)各類業(yè)務(wù)系統(tǒng)相應(yīng)瀏覽權(quán)限，如財(cái)務(wù)系統(tǒng)、人員管理系統(tǒng)等，結(jié)合用戶權(quán)限統(tǒng)一劃分；四是結(jié)合常規(guī)安防體系。按照各級(jí)信息網(wǎng)絡(luò)規(guī)劃，制定常規(guī)醫(yī)療院所策略，并滿足系統(tǒng)資源按需調(diào)度，柔性重組的系統(tǒng)能力需求，在集成網(wǎng)絡(luò)基礎(chǔ)設(shè)施系統(tǒng)中全面加強(qiáng)以硬件醫(yī)療院所設(shè)備為建設(shè)需求基礎(chǔ)的支撐環(huán)境，結(jié)合前三層綜合構(gòu)建聯(lián)合各級(jí)醫(yī)療機(jī)構(gòu)、保障部門需求的信息安全體系分層架構(gòu)模式。

3 結(jié)論

隨著信息網(wǎng)絡(luò)和安全技術(shù)的快速發(fā)展和廣泛應(yīng)用，確保醫(yī)療業(yè)務(wù)網(wǎng)內(nèi)數(shù)據(jù)信息的可靠性、加密性、完整性等屬性就顯得越發(fā)重要。本文在分析了以往醫(yī)療保障信息網(wǎng)絡(luò)的信安規(guī)劃及安防建設(shè)體系的基礎(chǔ)上，重點(diǎn)研究了以認(rèn)證協(xié)議為核心的醫(yī)療信息網(wǎng)絡(luò)安全體系分層架構(gòu)模型的理論建設(shè)和可行性論證。相信隨著我國(guó)醫(yī)療信息技術(shù)的日趨成熟，基于聯(lián)合醫(yī)療體系的信息安全理論模型建設(shè)也將日益完善，并與其他加密技術(shù)的結(jié)合應(yīng)用也將會(huì)越來(lái)越受到重視。