刘阳,俞准,翁昌晶
1.中南大学湘雅医学院附属海口医院(海口市人民医院)信息管理处,海南 海口 570208;
2.海南省医学学术交流管理中心,海南 海口 570200;
3.海南省人民医院(海南医学院附属海南医院)信息工程部,海南 海口 570311
随着互联网+医疗业务应用的不断成熟和普及,物联网在医疗行业中的应用已经成为了大势所趋。借助物联网和无线网络的支撑,利用PDA、平板、移动推车、智能摄像头、扫描采集设备、可穿戴设备等随时随地进行生命体征数据采集、临床数据查询和录入、呼叫通信、视频探视和教学、药械物流配送、标识码识别和环境感知、门禁和停车管理等,可以充分发挥物联网技术在医院智慧管理中的技术优势[1]。但是,随着医院物联网终端数量和感知节点数量的不断扩容、相关应用场景的大幅增加,在带来便利的同时也对系统安全性和稳定性提出更高的要求,应用增加所带来的安全隐患和安全威胁也持续凸显。
智慧医院物联网是在互联网+医疗的大背景下,将信息传感设备与互联网连接起来,实现智能化识别和管理的网络。物联网作为新一代信息技术的高度集成和综合运用,具有渗透性强、带动作用大、综合效益好的特点,是继计算机、互联网、移动通信网之后信息产业发展的又一推动者[2]。
物联网的系统架构由下向上依次由感知层、网络传输层、平台层、应用层构成[3]。首先,感知层是由物联网智能传感器、医疗信息采集设备等组成的智能感知节点群,负责采集信息,由智能化网关统一进行管理;第二层是与感知层相连的网络传输层,可以采用传统的有线网络、WiFi、ZigBee、RFID、蓝牙、NB-IoT等技术组成一体化的网路,负责合理高效的传输数据;第三层是平台层,是基于云计算、大数据技术的物联网管理平台,负责整个物联网的管理;顶层是应用层,依托PDA、PAD等移动设备承载,是在已有的数据采集、数据传输、数据管理三层结构基础上,负责为用户提供移动医护、婴儿防盗、输液检测、体征监测等丰富的智慧医院业务应用。
物联网的普及给医院诊疗和管理工作带来便利的同时,也引入了安全风险。物联网安全风险不仅保留了传统网络环境的安全风险,而且还增加了由感知设备、扫描设备等亚终端带来的新风险。在医院的物联网建设过程中,物联网是与实际诊疗过程、实体感知节点产生关联的,如果物联网安全受到威胁,那么损失的可能不仅仅是信息资料,更有可能影响到医疗业务的正常开展,甚至是患者的生命安全。
2.1 感知层的安全风险 物联网感知层的主要功能是实现对医院诊疗环境和诊疗信息的采集、识别、控制,由感知设备以及网管组成。其风险主要是终端设备的安全风险,包含物理攻击、伪造或假冒攻击、信号泄露与干扰、资源耗尽攻击等[4]。
2.2 网络传输层的安全风险 物联网主要是将感知层采集的信息通过传感器网络、无线网络、互联网进行信息传输,由于物联网中传输途径会经过各种不同的网络,因此会面临比传统网络更宽的攻击面,更容易遭受攻击,包含网络层协议漏洞威胁、亚终端设备的漏洞威胁、异构网络融合的问题、无线传输安全加密问题等[5]。
2.3 平台层的安全风险 物联网平台由计算和存储等资源组成的支撑业务应用需求的管理平台。对物联网各种终端所收集上来的数据进行整理、分析、反馈等操作,为整个物联网提供终端管理、数据管理、运营管理、安全管理。平台的安全风险主要来自于底层云计算环境的安全威胁,对于三级公立或者民营医疗机构,由于医院规模较大,所以多使用私有云+公有云的混合云架构[6],包括云平台安全、虚拟化安全、平台底层软件(操作系统、数据库、中间件)安全、数据安全等。
2.4 应用层的安全风险 医院物联网的应用层主要是为医务人员、管理人员提供的相关业务应用服务,包含移动医护、体征感知、生命体征监测等。应用层的安全风险主要来自于应用服务可用性的攻击,包含恶意代码攻击、远程拒绝服务攻击、DNS 缓存投毒(DNS Cache Poisoning,是指通过域名服务器记录更改而导致恶意重定向流量的结果)等安全[7]。
智慧医院网络安全机制从理论上讲包含医疗物联网安全体系。在这个体系中,与物联网各个层面的安全风险相对应,每一层面都有相应的安全保障措施[8]。与此同时,各层面的安全措施有机联动结合,并一体化管理运行,从而构成了物联网安全体系。医疗物联网安全体系架构图见图1。
图1 医疗物联网安全体系架构图Figure 1 Architecture diagram of medical IoT security system
3.1 安全准入控制对应感知层安全措施 在医院物联网感知层,相关设备的接入安全需要通过身份认证的手段,建立终端设备接入管控机制和资产应用管控机制,是物联网安全体系的首要安全保障内容。
3.1.1 终端设备分类 物联网终端设备根据用途和特点分为传统终端和亚终端二大类。传统终端主要指有线终端和移动终端;亚终端种类繁多,主要包括医疗环境传感器设备[RFID (Radio Frequency Identification,无线射频识别技术,俗称电子标签)、红外感应、定位系统、激光扫描设备等]、可穿戴健康监测设备(智能手表、手环等)、智能化设备(导航机器人、物流机器人、智能摄像头等)、门禁停车感应器设备等[9]。
3.1.2 终端识别 物联网终端设备的准确识别是准入控制技术的前提,需要识别其硬件编码、网络地址、特征指纹等信息,确定是否为授权可接入设备。与此同时,终端识别还可以为物联网管理平台提供资产可视化的能力,管理平台通过终端识别可以发现和感知各种类型的物联网资产,根据资产类型,联动漏洞管理和外部威胁情报,进行安全风险管理,建立终端资产应用管控机制。
3.1.3 准入控制 物联网设备经过识别后,通过MAC 地址(Medium/Media Access Control 地址,共6 个字节48位,采用十六进制数表示的唯一标识互联网上每一个站点的标识符,也称为物理地址)、IP 地址(Internet Protocol Address 网际协议地址,是一种在Internet 上给主机编址的方式)、设备指纹等设备认证方式对入网设备进行管控,只有通过认证的设备才允许接入到网络中,防止前端设备的非法替换接入,建立终端设备接入管控机制。
3.2 威胁漏洞管理对应网络传输层安全措施 医院物联网接入的终端设备,特别是亚终端存在一定的脆弱性,在实践过程中不易被发现,其既有安全配置问题,如:缺省密码、通用密码、弱口令等问题,也有设备自身漏洞问题[10]。因此,定期或者实时利用脆弱性评估工具进行漏洞识别,实现物联网资产的安全威胁管理非常必要。
3.2.1 漏洞识别和漏洞修复 物联网设备脆弱性威胁采集探针是漏洞识别的有效手段,包括专业的安全漏洞扫描探针、资产配置安全性检查探针等。通过探针与态势感知管理平台的联动,可以有效地识别漏洞,然后通过口令修改、固件升级、补丁更新、专家加固等方式,结合态势感知管理平台进行集中调试和驱动,实现漏洞修复[11]。
3.2.2 威胁情报采集与关联 根据物联网内部资产的特点,依靠管理平台的能力,将相关的情报筛选后进行威胁管理分析,可以辅助管理平台通过学习功能,提高对未知威胁的精准发现能力。
3.3 态势感知管理平台对应物联网各层面的安全措施 在对医院物联网节点设备管控、终端接入、平台应用安全管理的基础上,需要构建统一的安全态势感知管理平台,与物联网感知层、网络传输层、平台层、应用层的安全防护策略联动,一般部署在医院内网中,参照网络安全等级保护2.0 的通用要求,从医院内外网络、安全区域边界、安全计算环境等方面进行安全加固[12]。实时感知医院网络、物联网环境中的攻击威胁、资产状态,做到设备可视、威胁可防、风险可控。
3.3.1 传统网络安全管理能力加固 在医院传统的内外网环境中,利用特征匹配和白名单管理机制,对已知安全威胁和异常网络流量进行深度分析、检测和告警,对未知安全威胁和僵尸网络进行精准发现,提高网络安全监测能力[13]。
3.3.2 WEB应用安全 有效防护OWASP TOP10[是指非营利性组织OWASP(OWASP 是开放式Web应用程序安全项目)发布的最具权威性的十大安全漏洞列表]的Web 安全风险,降低用户数据泄露的风险,对医院网站和互联网服务平台在安全访问控制、主页防篡改、监事网络攻击等方面提供可靠的安全保障能力。
3.3.3 数据安全 对数据全生命周期的各种泄密途径进行全方位的监督和防护,实现数据库的访问行为控制、危险操作阻断、可疑行为审计,实时监视和记录网络上的数据活动,对数据库操作行为进行细颗粒度审计[14]。
在真实医疗场景中通过部署以下的安全系统,构建网络安全体系为智慧医院物联网的运行提供强有力的安全保障。
首先,通过在安全运维管理中心部署物联网接入网关(管理平台部署于内网,探针部署于物联网接入交换机),对医院物联网感知节点践行自动发现和监控,包含脆弱性检测和准入控制,通过对感知节点接入后的网络行为进行分析和阻断。其二,在核心交换机旁路部署入侵检测系统,对认证数据流进行深度网络入侵检测、威胁防护、僵尸网络发现、精细化流量控制等[15]。其三,在互联网出口边界部署抗拒绝服务系统,对进入医院网络的异常流量进行清洗过滤,有效阻断攻击,保证合法流量的正常传输。其四,通过在安全运维管理中心部署未知威胁分析系统,依靠该系统具备的多种检测技术并行执行,在检测医院信息系统面临的已知威胁中不断学习,有效监测0day(软件发行后的24 h 内就出现破解版本或者说在最短时间内出现相关破解的,称为0day)攻击和未知威胁。其五,通过在安全运维中心部署医院安全管理平台,对资产管理、威胁识别、风险评估进行智能研判和网络安全态势可视化管理。其六,在医院网路的DMZ 区(Demilitarized zone 隔离区,也称非军事化区,是网络环境中设立的缓冲区)部署WAF (Web Application Firewall 应用防护系统,俗称:应用防火墙),为医院提供网站及互联网服务平台的安全防护、访问控制、主页防篡改、僵尸网络攻击防护等能力[16]。其七,通过在医院内网服务器核心区部署数据库审计和数据泄露防护系统DLP(Data Loss Prevention 数据防泄露或者数据泄露防护),对数据库进行实时监控,记录网络中访问数据库的全部活动;对数据生命周期中的各种泄密途径进行全方位监控和防护,保证医疗敏感数据泄露行为事前能被发现、事中能被拦截、事后能被追溯。
5.1 效益分析 智慧医院物联网安全体系的构建能够保障医疗物联网应用的推广使用,满足医院智慧化建设的长远发展要求。有效确保医疗数据的安全传输,医疗数据和患者隐私信息不被泄露、篡改,降低数据安全风险。推动医院网络安全从被动搜索向主动防御、从静态检测向动态感知的安全管理体系变革,全面提升医院安全运营和管理能力,有效降低医院安全运维成本、提升安全事件应急响应和处置效率,满足政策合规性要求。
5.2 遗留问题和解决方法 首先,医院安全建设分步零散的状况,导致网络安全的统筹规划往往被忽视,所以坚持网络安全“三同步”原则十分必要。其二,不能正规化培养医疗网络安全人才队伍,网络安全管理人员匮乏和安全管理人员身兼数职的情况普遍存在,因此提高网络安全意识还需要各级管理者的观念转变。其三,业务应用软件开发的不规范所带来的应用系统自身安全缺陷需要被重视,解决此问题的方法除了依托第三方软件测试和代码审计服务的开展,更需要软件开发企业的规范化软件开发流程管理。
综上所述,随着信息技术的不断进步,物联网技术为各类组织特别是医疗机构的数字化转型提供强有力的数字底座支撑,已经成为未来经济发展的增长点。在发展的背景下,“没有网络安全,就没有国家安全”的重要性日益凸显。因此,持续推进信息安全技术的创新应用,加强物联网安全体系建设,促使医院“以患者为中心”的服务能够更加安全、稳定、不掉线,是今后很长一段时间需要面临的重点和难点。展望未来,医疗物联网的安全稳定运行必将成为智慧医院建设迈向成功的先决条件和安全基石。