医疗信息网络的安全问题研究

温俊伟，高婧扬

（1.电子科技大学 计算机学院，四川 成都 610054；2.成都中医药大学附属医院，四川 成都 610072）

0 引言

自2015年新一轮医疗体制改革正式开展以来，为有效发挥新型信息化医院办公体系职能，医疗卫生系统正积极探索建设以新型信息网络系统为核心的联合医疗保障体系，该体系依托医疗信息网络体系及全网信息平台，融合多源医疗数据、联网病人信息、共享病员资料，从而实现多级共享医疗信息、快速传递诊断成果、分析病理成因、自动诊断等，为医疗系统的智能化、网络化发展提供次时代的大数据分析技术。

从全球范围内看，医疗信息系统作为涉及国计民生的重要基础平台，正受到日益严峻的安全威胁，而医疗信息网络作为医疗领域的骨干支撑，更容易遭受各种威胁与攻击。可以说，能否建立安全的医疗信息网络，关系着我国基于大数据的联合医疗保障体系能否顺利建设与发展,尤其在信息传输这一关键环节上，必须打破以往只重视“末端”医疗院所的建设思想，以安全认证协议为核心，实现医疗信息网络的“源头控制、全程防护、分层管控”。

1 医改形势下医疗信息网络建设凸显的安全问题

随着我国医疗体制改革的不断深入，持续加强医疗信息系统的现代化探索对医疗信息网络建设机制的正常运转和持续发展具有重要意义。然而，先进的跨平台、多来源医疗信息网络在提供方便快捷的医疗传输方式的同时，也凸显出越来越严峻的安全问题。

1.1 医疗信息网络安全建设理念相对落后

近年来，随着越来越多的IT、信息技术在医疗领域被广泛应用，医疗信息网络与互联网技术的结合正变得越来越紧密，其面临的安全问题则已经到了不容忽视的地步。长期以来，我国医疗信息系统的建设主要聚焦传统意义上的信息传输和存储，包括在此基础上进行的挂号、查询和会诊等行为，是一种较为简单的信息网络架构，存在着传输效率低、加密强度差、抗攻击能力弱的问题。是一种典型的“脚重头轻”、只重视“末端”防护的网络防御模式[1]。

1.2 “安于现状”问题较为突出

由于信息技术的发展，联合医疗信息体制在传播方式上呈现智能化、非接触化的新特质，因而会遇到很多隐私类威胁，将医疗网络的弱点被进一步放大。相较于存放于医疗信息链末端的加密信息的存储与流转，由于其载体可控，管理方便，且人防成效显著，在相当长的时间内，一直是重点建设方向。对传输链路的技防手段，则更新缓慢，很多设备一用就是10年，期间既不更换加密算法，也不加固加密硬件，仅靠不定期更换密钥来维持保密新鲜度。这显然是很危险的举措，自20世纪70年代公钥密码问世以来，短短40年，信息网络的加密算法的形式与运算量级已经发生了翻天覆地的变化，从早期的RSA、DSA等算法，到近期业界较为流行的ECC算法，以及近期非常火热的区块链技术，其无论是加密强度，还是应用效率，都有着质的飞跃的区别[2]。

表1 不同加密算法的密钥长度对比Table.1 Key length comparison of different encryption algorithms

然而，由于不能精确评估加密算法与硬件环境等具体提供的防护能力，对其投入的回报无法以量化的方式衡量，因而一些医疗机构基于各种理由，甚至出现了宁愿多安置铁门铁柜、多发布管理规定，也不愿意研发、更新传输加密设备的现象。种种迹象显示，目前很多医疗单位对医疗信息网络传输链路的加密工作认识落后，“安于现状、轻源重末”的现象较为突出[3]。

1.3 医疗信息安全体系不健全

信息安全体系是医疗信息网络中不可或缺的环节，可以说，信息安全体系建立的准确、执行的程度都直接影响医疗信息网络工作的效率和稳定性。目前，很多医疗单位对信息安全管理的认识，对医疗院所建设的目标理解还不到位，在预算相对紧缺的情况下，一些单位和机构常会选择忽视或者不严格遵循相关网络安防的要求执行[4]。另外，针对医疗院所体系建设的网络安防预算支出通常未经过专业人员或机构的可行性论证，施工项目也没有按照实际信息安全需求的顺序进行合理排序，这样编制的预算通常缺乏科学性和准确性，可操作性也不高。同时，一些医疗单位的预算执行力不够，使得预算和实际支出差距也较大，造成信息网络建设预算缺乏合理性。

1.4 医疗信息网络信息安全体系建设理念落后

虽然经过数十年的发展，我国在大型企业建立信息网络的安全体系这一理念已经得到了极大的完善，然而相比攻击者技术的进步，其防护性仍然存在很多漏洞。根据ISO27001所定标准，一个完善且安全的信息网络应该同时具备有效性、加密性和完整性三个必备属性[5]。一些研究者们根据实际情况进一步提出了医疗信息网络的安全要求，包括访问控制、前向安全性、防假冒、反追踪和抵御重放攻击等内容。

目前，大多数医疗信息网络在规划时将网络的整体运作性能作为资源分配的重要依据，通常只会有中继和交换设备上的信息安全配置，并不另外设计基于专业信息安全设备与理论支撑的完整安全体系。这种建设规划的问题主要体现在以下几点：

（1）医疗信息网络中承载的各类信息系统通常并不是同时建设的，如果在规划阶段不构建统一的信安理念与医疗院所体系，则在后期实施过程中常会出现诸如网络结构混乱、功能划分不全、医疗院所兼顾不暇、数据高密低存等问题。介时，出于稳定性考虑，既无法对各个局域网的边界节点加装统一的加密设备、防火墙、入侵检测等基本医疗院所设施，也无法对各个不同的信息系统按不同的业务功能进行统一规划和分区[6]。

（2）我国在建的医疗信息网络大多在设计上没有经过严格的安全性证明，对其的医疗院所能力大多停留在理论阶段。

（3）不能实施整体的信息安全体系布局，可能出现某些低密级系统被赋予高防护能力配置，高密级系统反而只能获得较低医疗院所能力的现象，例如医疗财务系统与远程会诊系统等，一些用户单位为了工作方便，将高加密系统中传输与存储的加密信息暴露于不合时宜的场合与使用者面前。

2 新型的医疗信息网络安全体系研究

2.1 重新审视医疗信息网络的安全管理模式

目前很多医疗单位仍然沿用医改前的信息网络，“内外网互联”的现象较为突出。医改对医疗保障制度机制做出了明确要求，为适应次世代信息化建设的需要，建立具备大数据分析能力的联合医疗信息体系机制和规范的医疗信息保障网络，就必须重新审视医疗信息网络的安全管理模式[7]。我们认为，在新模式下，医疗信息网络建设过程中存在的“单打独斗”模式将不复存在，全国所有医疗机构必须建立完善的信息网络安全共享管理模式，以迎接大数据这一趋势所带来的安全挑战。此外，面对全新的医疗信息体系和信息传输关系，各医疗单位的网络信息流转既缺少上位法统驭，本级又没有权威的法规制度规范，如何解决在未知安全环境下实施医疗大数据建设、医疗数据管理等医疗信息安全谁来归口等问题，就变得尤其迫切。若没有相关制度的支撑，则在严峻的安全挑战面前，一切医疗信息网络都会遭遇“管理乱，防御弱，难更新”的困境[8]。

2.2 构建新型医疗信息安全体系

目前全国各级医疗院所建设的医疗信息系统难以联合、自成体系，卫生力量自主部署、自己建设的问题较为突出。安防手段五花八门、安防装备独立发展等情况导致最终形成的医疗信息网络存在资源共享难、管理难的特点。现行医疗信息安防体系整体可归为狭长的“树”状结构，这其中以中国卫生部、各省级卫生医疗系统、各医院信息安防系统及科研院所力量为“树枝”散列开来，形成互不通联的独立式信息体系关系。这样组建而来的各单位医疗信息网络独立性强、信息管理难，缺乏有效的联合医疗信息体系组网机制，难以形成联合医疗信息网络的统一安全共享体系[9]。

此外，目前各类医疗信息网络建设水平层次不齐，生成的医疗运作网络、医院信息管理体系均不一致，且存在重“末端”，轻“源头”的信安理念，导致医疗网络信息安全管理规则也处于不健全、不科学的状态。大量高价值医疗数据由于其所处系统网络自身管理所能力较弱，又没有合适的加密算法“护航”，导致“出生”便处于低共享、低信安监管的状态，极易发生“数据管理失控、建设重复拖沓”的情况；而一些数据价值较低的医疗单位，又存在建设规模过大，为图工作便捷等导致医疗院所网络安防硬件设备长期闲置的现象，造成信安建设资源的浪费。

当前，我国医疗信息网络的融合技术尚未实现，全国大数据体系建设尚处于起步阶段，多源医疗数据尚无法实现自动分析、智能挖掘、按级加密。医疗信息网络的整体信息安全与安防能力建设还没有一个统一的制度体系，这将严重阻碍我医疗信息网络的统一建设计划。因此，构建由源而下、多措并举的新型医疗信息安全体系就显得尤为重要[10]。

2.3 建立以认证协议为核心的信息安全新模型

健全的医疗网络信息安全模式必须能够保证医疗信息的安全性和完整性，目前的融合机制则要求给予医疗信息动态信安规则，以防止信安资源的浪费。除必要的安防设备与管控策略部署之外，在这里我们构建基于密码学原理的加密体制，结合外围安防策略，共同建立新型安全模型。

首先，我们引入“群证明协议”的概念，并在医疗信息网络中强调“认证”的权威性，从信息的源头进行管理。任何用户能够接触到何种基于其权限框架内最高加密登记的医疗信息，取决于其所依附的证明者与验证者之间通过的是何种级别的认证。当认证通过后，方可建立连接，实施通信。整个通信过程传递的信息均采用群证明加密算法进行加密，证明者和验证者的密钥不会出现在本次认证过程中，从而完成了通信的隐私保护，从源头对医疗信息进行了安全控制。

图1 一种合理的多用户环境下的群证明协议模型Fig.1 A reasonable group certification protocol model under multiuser environment

其次，建立医疗信息网络安全分层机制，将网络中的医疗数据由管理部门进行等级划分，按照高级别采用高级算法、低级别采用一般算法的方式，分类加密存储、传输。保证加密服务器的运算效率始终处于健康状态，当用户单位进行医疗数据信息的接触许可时，首先由验证者服务器判断该信息处于什么级别的管理规则，随后启动相应认证步骤。在动态管控医疗信息的基础上，降低安全风险，实现医疗信息的源头加密，并可动态分配加密服务资源，提升系统整体效率，有效降低开销[11]。

2.4 健全医疗信息网络建设机制

随着全球范围内以新型大数据系统为核心的联合医疗保障体系建设逐步推进，医疗信息网络的安全问题被提到了前台，如何软硬兼施，从源头与设备环境着手，构建核心模式带动外围机制一起运转的良好模式。为达到这个要求，首先要统一认识，制定信息网络安全核算专业化标准，通过对权威部门对建设网络信安环境需要的运行成本结构进行全面分析，确定符合该网络实际需要的医疗院所与信安建设标准；其次是加强医疗信息网络保障及维护人员的安防和信安管理水平，在制定业务系统方案的初期引入统一安全管理标准，杜绝分批建设、重复建设等情况的发生。

2.5 实行医疗信息网络信息安全体系分层架构

建立医疗信息网络安全体系分层架构的关键在于如何构建以信息安全新模型为核心、常规安防规则并举的新安全体系。目前我国医疗系统正处于改革的攻坚阶段，各领域转型、转制效果明显。各类医院应加快医疗信息网络安全体系的理论研究与应用开发，并借鉴铁道部等信息化程度较高系统的建设经验，构建医院-院所联合开发研究新模式。在构建分层架构方面，重点从以下三个层面进行：一是与病员相关的信息。实现病员数据的自动评级，人工修正模式，自信息生成初期便统一分类，按照“重点病史”、“个人信息”、“诊断信息”等级别，分别添加强度不等的加密算法规则，进行加密处理后统一存放至数据库服务器，由证明者服务器对每次信息对话进行认证；二是与用户相关的信息。对医疗信息网内各级用户按照院所级别与性质进行浏览权限划分，明确其对应的证明者属性，区分医院与人员、设备，并与存储信息等级进行对应，信息输出由证明者服务器认证之后，经常规医疗院所策略匹配合格后通过；三是与保障业务应用相关的信息。按网络规划制定的涉及医疗系统内各类业务系统相应浏览权限，如财务系统、人员管理系统等，结合用户权限统一划分；四是结合常规安防体系。按照各级信息网络规划，制定常规医疗院所策略，并满足系统资源按需调度，柔性重组的系统能力需求，在集成网络基础设施系统中全面加强以硬件医疗院所设备为建设需求基础的支撑环境，结合前三层综合构建联合各级医疗机构、保障部门需求的信息安全体系分层架构模式。

3 结论

随着信息网络和安全技术的快速发展和广泛应用，确保医疗业务网内数据信息的可靠性、加密性、完整性等属性就显得越发重要。本文在分析了以往医疗保障信息网络的信安规划及安防建设体系的基础上，重点研究了以认证协议为核心的医疗信息网络安全体系分层架构模型的理论建设和可行性论证。相信随着我国医疗信息技术的日趋成熟，基于联合医疗体系的信息安全理论模型建设也将日益完善，并与其他加密技术的结合应用也将会越来越受到重视。