武漢健康信息化安全保障體系建設(shè)方案

武漢健康信息化

安全保障體系建設(shè)方案

2017年10月

目錄

1.概述......................................................................1

1.1.項目背景...............................................................1

1.2.項目目標(biāo)..............................................................1

2.開放互連環(huán)境下的安全需求分析................................................3

2.1.安全風(fēng)險分析..........................................................3

2.1.L醫(yī)院的信息安全風(fēng)險分析...............................................3

2.1.2.區(qū)域協(xié)同醫(yī)療安全風(fēng)險分析............................................3

2.1.3.互聯(lián)網(wǎng)醫(yī)療服務(wù)安全風(fēng)險分析........................................................................................5

2.2.新技術(shù)應(yīng)用的信息安全需求................................................6

2.2.1.云計算的安全需求......................................................6

2.2.2.大數(shù)據(jù)的安全需求..............................................................................................................7

223物聯(lián)網(wǎng)的安全需求.......................................................7

2.2.4.移動互聯(lián)網(wǎng)的安全需求..................................................8

2.3.區(qū)域醫(yī)療服務(wù)關(guān)鍵安全需求...............................................10

2.3.1.應(yīng)用安全需求........................................................10

2.3.2,網(wǎng)絡(luò)安全需求........................................................12

2.3.3.數(shù)據(jù)安全需求........................................................12

3.方案采用技術(shù)分析..........................................................15

3.1.身份認(rèn)證技術(shù).........................................................15

3.2.數(shù)字簽名與驗簽技術(shù)...................................................16

3.3.數(shù)字信封技術(shù).........................................................18

3.4.安全二維碼及賦碼技術(shù).................................................18

3.5.數(shù)據(jù)加解密技術(shù).......................................................19

3.6.云安全傳輸技術(shù).......................................................20

3.7.安全追溯技術(shù).........................................................22

3.8.網(wǎng)絡(luò)加密技術(shù)..........................................................23

武漢市智慧醫(yī)療信息安全解決方案

3.9.數(shù)據(jù)的加解密技術(shù)...........................................................24

3.10.客戶端采用的技術(shù)..........................................................24

4.總體設(shè)計..........................................................................25

4.1.設(shè)計原則....................................................................25

4.2.設(shè)計依據(jù)與行業(yè)標(biāo)準(zhǔn).........................................................26

4.3.總體架構(gòu)....................................................................28

4.4.系統(tǒng)邏輯結(jié)構(gòu)................................................................28

4.5.系統(tǒng)組成....................................................................29

4.6.網(wǎng)絡(luò)架構(gòu).....................................................................31

5.詳細(xì)設(shè)計..........................................................................33

5.1.云安全月艮務(wù)中心.............................................................33

5.1.1.結(jié)構(gòu)與組成................................................................................................................................33

5.1.1.1.CLA安全支撐子平臺.....................................................33

5.1.1.2.云密碼服務(wù)子平臺.......................................................40

5.1.1.3.云安全傳輸子平臺.......................................................44

.云安全追溯監(jiān)管子平臺.....................................................47

5.1.2.安全服務(wù)性能............................................................................................................................50

5.2.機構(gòu)端安全設(shè)計..............................................................52

5.2.1.總體設(shè)計思路............................................................................................................................52

5.2.2.系統(tǒng)組成.....................................................................................................................................54

.安全認(rèn)證和安全賦碼設(shè)備..................................................54

S.2.2.2.IPSecVPN網(wǎng)絡(luò)密碼機設(shè)備.................................................54

5.3.客戶端安全設(shè)計..............................................................56

5.3.1.總體設(shè)計思路............................................................................................................................56

5.3.2.客戶端系統(tǒng)組成.......................................................................................................................57

6.安全應(yīng)用..........................................................................58

6.1.業(yè)務(wù)架構(gòu)圖...................................................................58

6.2.身份認(rèn)證應(yīng)用.................................................................59

武漢市智慧醫(yī)療信息安全解決方案

6.3.電子簽名應(yīng)用.................................................................60

6.3.1.簽約服務(wù)....................................................................................................................60

6.3.2.醫(yī)患互動......................................................................................................................61

6.3.3.醫(yī)學(xué)電子文書醫(yī)生簽名............................................................................................62

6.3.4.知情同意書患者簽名................................................................................................63

6.4.安全二維碼應(yīng)用..............................................................63

6.4.1.預(yù)約掛號應(yīng)用.............................................................................................................63

6.4.2.電子處方應(yīng)用.............................................................................................................65

6.4.3.檢驗檢查單應(yīng)用.........................................................................................................66

6.5.數(shù)據(jù)加解密與傳輸安全應(yīng)用....................................................67

6.5.1.B2B數(shù)據(jù)傳輸...........................................................................................................67

.移動公共衛(wèi)生............................................................67

.雙向轉(zhuǎn)診................................................................69

.遠(yuǎn)程會診................................................................70

.統(tǒng)一支付................................................................71

6.5.2.B2C數(shù)據(jù)交互..............................................................................................................72

65.2.1.健康監(jiān)測&可穿戴.........................................................72

6.S.2.2.藥品服務(wù).................................................................73

6.5.23.遠(yuǎn)程影像APP.............................................................................................................................73

6.6.武漢安全服務(wù)全場景典型應(yīng)用..................................................74

6.6.1.健康武漢APP.............................................................................................................74

6.6.2.遠(yuǎn)程醫(yī)療.....................................................................................................................75

6.6.3.家醫(yī)簽約.....................................................................................................................76

6.6.4.電子服務(wù)券應(yīng)用.........................................................................................................77

6.6.5.居民健康檔案.............................................................................................................81

7.應(yīng)用開發(fā)安全接口規(guī)范.............................................................85

7.1.SSLVPN客戶端接口設(shè)計.......................................................85

7.2.CLA客戶端接口設(shè)計..........................................................85

7.2.1.云KEY手機端注冊服務(wù)接口設(shè)計.............................................................................85

III

武漢市智慧醫(yī)療信息安全解決方案

7.2.2.云KEY客戶端接口設(shè)計...............................................86

.接口概述................................................................86

7.2.2.2.接口定義................................................................86

7.3.CLA服務(wù)端接口設(shè)計..........................................................88

7.3.1.CLA密鑰注冊管理接口設(shè)計............................................88

.接口概述................................................................88

.接口定義................................................................89

7.3.2.安全應(yīng)用服務(wù)端接口設(shè)計..............................................90

.接口概述.................................................................90

73.2.2.常用類介紹...............................................................91

7.4.云密碼系統(tǒng)接口設(shè)計..........................................................92

7.4.1.打開設(shè)備S_OpenDevice........................................................................................................92

7.4.2.關(guān)閉設(shè)備S_CloseDevice.........................................................................................................92

7.4.3.獲取設(shè)備信息S_GetDevicelnfo............................................................................................92

7.4.4.獲取私鑰使用權(quán)限S_GetPrivateKeyAccessRight.............................................................92

7.4.5.生成會話密鑰用內(nèi)部ECCS_GenerateKeyWithlPK_ECC.....................92

7.4.6,導(dǎo)入明文會話密鑰S'mportKey..........................................................................................93

7.4.7.銷毀會話密鑰S_DestroyKey.................................................................................................93

8.系統(tǒng)部署..........................................................................94

8.1.云安全服務(wù)中心部署..........................................................94

8.1.1.CLA安全支撐平臺部署..................................................94

8.1.2,安全應(yīng)用追溯子平臺部署...............................................94

8.1.3.云密碼服務(wù)子平臺部署.................................................95

8.1.4.SSL密碼機應(yīng)用安全網(wǎng)關(guān)的部署.........................................95

8.2.機構(gòu)端部署...................................................................97

8.2.1.安全認(rèn)證和安全賦碼設(shè)備..............................................97

8.2.2.IPSec網(wǎng)絡(luò)加密機.....................................................98

8.3.客戶端部署...................................................................99

8.3.1.概述..................................................................99

IV

武漢市智慧醫(yī)療信息安全解決方案

8.3.2.CLA客戶端、SSL客戶端、密碼服務(wù)客戶端............................100

9.安全設(shè)備參考..............................................................101

9.1.云安全服務(wù)中心設(shè)備參考....................................................101

9.1.1.CIA安全支撐子平臺設(shè)備參考.........................................101

,基本架構(gòu)...............................................................101

.功能及性能.............................................................101

9.1.2.云密碼服務(wù)子平臺設(shè)備參考...........................................102

9.1.2.1.云服務(wù)器密碼機的基本構(gòu)架..............................................102

9.1.2.2.云服務(wù)器密碼機加密保護(hù)對象............................................104

9.1.2.3.云服務(wù)器密碼機功能及性能（單臺）.....................................105

9.1.3.SSL加密機參考.......................................................105

9.1.3.1.SSLVPN加密機產(chǎn)品系統(tǒng)架構(gòu)...........................................105

9.1.3.2.SSLVPN密碼機主要功能...............................................106

9.1.3.3.支持國密算法SSLVPN...............................................................................................................106

9.1.3.4.高強的用戶認(rèn)證技術(shù)與動態(tài)認(rèn)證功能模塊添加...............................107

.用戶認(rèn)證模板...........................................................108

.基于應(yīng)用的訪問策略控制.................................................108

.客戶終端接入掃描與終端流量控制.........................................109

.創(chuàng)新的虛擬實體路由協(xié)議VERP..............................................................................................109

9.1.3.9.支持用戶自注冊與在線審核...............................................110

0.頁面自定義功能支持快速客戶化..........................................110

1.完備的系統(tǒng)管理方式....................................................110

2.豐富的日志與統(tǒng)計報表工具..............................................111

3.雙機與多機熱備........................................................111

4.真實與虛擬應(yīng)用發(fā)布，完美支持“云”計算................................112

5.簡便易用，快速部署....................................................113

9.1.3.16.與其它產(chǎn)品結(jié)合后的創(chuàng)新應(yīng)用.........................................114

9.1.3.17.產(chǎn)品技術(shù)參數(shù)（單組）...............................................114

9.2.機構(gòu)端設(shè)備參考.............................................................115

V

武漢市智慧醫(yī)療信息安全解決方案

9.2.1.IPSec網(wǎng)絡(luò)加密機...................................................115

.IPSec網(wǎng)絡(luò)加密機基本構(gòu)架................................................115

.IPSecVPN加密機功能....................................................116

.統(tǒng)一的管理平臺.........................................................116

.提供統(tǒng)一密鑰管理和分發(fā)系統(tǒng).............................................117

.審計與統(tǒng)計功能.........................................................117

.支持算法...............................................................118

.加密與認(rèn)證.............................................................118

.安全與易用性...........................................................119

.管理配置...............................................................119

0.日志管理..............................................................119

1.設(shè)備性能參數(shù)..........................................................120

10.系統(tǒng)安全性設(shè)計與高可靠性設(shè)計.............................................121

10.1.系統(tǒng)安全性設(shè)計......................................................121

10.1.1.多維一體的安全體系設(shè)計...........................................121

10.1.2.基于云架構(gòu)的安全服務(wù)平臺.........................................121

10.1.3.CLA無證書系統(tǒng)安全性設(shè)計..........................................121

10.2.系統(tǒng)高可靠性設(shè)計...................................................122

10.2.1.主機層可靠性設(shè)計.................................................123

10.2.2.平臺層可靠性設(shè)計.................................................125

10.2.3.數(shù)據(jù)層可靠性設(shè)計.................................................128

11.實施步驟...............................................................129

12.保障措施...............................................................130

13.項目建設(shè)預(yù)算...........................................................131

13.1.項目一期云安全服務(wù)中心（CLA）預(yù)算....................................131

13.2.項目二期云服務(wù)平臺建設(shè)（SSLVPN和IPSEC）...........................................................132

13.3.項目三期區(qū)域醫(yī)療協(xié)同機構(gòu)端預(yù)算.......................................133

13.4.客戶端套件用戶授權(quán)預(yù)算...............................................134

1.概述

1.1.項目背景

為貫徹落實黨中央、國務(wù)院決策部署，國家衛(wèi)生計生委主任李斌在2017年全

國基層衛(wèi)生工作會議上提出，要創(chuàng)造性落實新形勢下黨的衛(wèi)生與健康工作方針，

充分認(rèn)識“以基層為重點”的重大意義和深刻內(nèi)涵，按照“十三五”期間推進(jìn)實

施基層衛(wèi)生工作“兩縱三橫”路線圖和抓好“兩個加強、三個提升”工作總體部

署，有力加強基層信息化建設(shè)，力爭實現(xiàn)“信息通”，有效發(fā)揮信息化在推動優(yōu)

質(zhì)資源縱向流動、轉(zhuǎn)變服務(wù)模式和改善服務(wù)感受等方面的作用。

2017年1月，國家衛(wèi)生計生委印發(fā)《“十三五”全國人口健康信息化發(fā)展規(guī)

劃》(國衛(wèi)規(guī)劃發(fā)(2017)6號)，提出“打造信息化助力分級診療就醫(yī)新秩序,

構(gòu)建互聯(lián)網(wǎng)+健康醫(yī)療服務(wù)新模式，引導(dǎo)優(yōu)質(zhì)醫(yī)療資源下沉到基層、到農(nóng)村、到

家庭”，將“基層信息化能力提升工程”作為“十三五”期間全民健康信息化建

設(shè)五大重點工程之一，切實發(fā)揮信息化在基層改革中的支撐引領(lǐng)作用。國家衛(wèi)生

計生委統(tǒng)計信息中心在其2017年工作要點中提出全力推進(jìn)基層衛(wèi)生信息化建設(shè)

和居民健康卡應(yīng)用。

結(jié)合以上背景，擬結(jié)合《依托居民電子健康檔案的信息化惠民模式和典型經(jīng)

驗研究》課題，開展基層健康信息惠民試點示范項目建設(shè)，通過圍繞居民健康卡

及居民電子健康的基層信息化創(chuàng)新應(yīng)用體系建設(shè)，實現(xiàn)基層醫(yī)療服務(wù)能力的提升,

促進(jìn)分級診療。

1.2.項目目標(biāo)

以“融合、創(chuàng)新、提升、惠民”為指導(dǎo)，結(jié)合市政府“三通”要求，以支撐

家庭醫(yī)生簽約服務(wù)和醫(yī)聯(lián)體信息資源互連互通為重點，在武漢市現(xiàn)有市、區(qū)兩級

人口健康信息平臺及電子病歷、電子健康檔案、人口數(shù)據(jù)庫基礎(chǔ)上，建設(shè)全市健

康醫(yī)療大數(shù)據(jù)中心及互聯(lián)網(wǎng)+共享應(yīng)用服務(wù)平臺；以新一代信息技術(shù)“武裝”家

庭醫(yī)生，統(tǒng)籌建設(shè)“數(shù)字家醫(yī)”、健康武漢APP、遠(yuǎn)程醫(yī)療、雙向轉(zhuǎn)診、基層公

衛(wèi)和醫(yī)療服務(wù)一體化云業(yè)務(wù)等五大系統(tǒng)，支撐醫(yī)療聯(lián)合體和全市醫(yī)療機構(gòu)資源共

武漢市智慧醫(yī)療信息安全解決方案

享；加強以可視化健康畫像為代表的健康醫(yī)療大數(shù)據(jù)和人工智能技術(shù)應(yīng)用，推進(jìn)

“互聯(lián)網(wǎng)+”在健康醫(yī)療服務(wù)中的深度融合和創(chuàng)新服務(wù)，加強政府部門對基層醫(yī)

療機構(gòu)的業(yè)務(wù)監(jiān)管，提升基層醫(yī)療衛(wèi)生機構(gòu)服務(wù)能力，提高人民群眾健康醫(yī)療服

務(wù)獲得感，打造具有“武漢特色”健康信息惠民新模式。

醫(yī)療改革是全社會普遍關(guān)注的焦點問題。2009年初，國務(wù)院常務(wù)會議審議并

通過《關(guān)于深化醫(yī)藥醫(yī)療體制改革的意見》和2012年國家衛(wèi)計委《衛(wèi)生部國家

中醫(yī)藥管理局關(guān)于加強醫(yī)療信息化建設(shè)的指導(dǎo)意見》，湖北省印發(fā)了《深化醫(yī)藥

醫(yī)療體制改革2016年重點工作任務(wù)》、《關(guān)于進(jìn)一步深化醫(yī)藥醫(yī)療體制改革試點

工作的通知》等文件，文件指出醫(yī)療信息化重點是以搭建Intemet+遠(yuǎn)程醫(yī)療體系、

Internet+轉(zhuǎn)診智能平臺、Internet+分級診療政策為依托，強基層、惠民生，實現(xiàn)首

診在基層，會診在網(wǎng)絡(luò)，一般治療在當(dāng)?shù)?。推進(jìn)這項改革試點，一是要著力夯實

Internet+遠(yuǎn)程醫(yī)療體系“基石”。然而醫(yī)療云平臺的共享性與經(jīng)濟(jì)性，就像一把

雙刃劍，在開放平臺的過程中，數(shù)據(jù)的傳輸、存儲、使用都面臨著泄露或篡改的

可能性。因此安全問題的解決已成為云服務(wù)能否得到用戶認(rèn)可的關(guān)鍵因素，也是

當(dāng)前云計算應(yīng)用落地的重要因素。

目前大部分省市醫(yī)療衛(wèi)生機構(gòu)、醫(yī)院和社區(qū)衛(wèi)生服務(wù)中心（站）等信息系統(tǒng)

安全保障基本以傳統(tǒng)安全防御措施為主，即防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)

等傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備構(gòu)筑的靜態(tài)防御體系。但基于可信安全防御體系及數(shù)據(jù)傳

輸過程中的安全幾乎是空白。由于防火墻等安全設(shè)備主要基于已知威脅的攻擊特

征、安全策略配置等技術(shù)進(jìn)行基本防御，而且新型網(wǎng)絡(luò)攻擊技術(shù)自動化程度和攻

擊效率也在不斷提高，導(dǎo)致傳統(tǒng)安全的防御體系很容易被攻破。通過對“棱鏡門”、

“泄密門”等各種愈演愈烈的安全事件分析發(fā)現(xiàn)，目前黑客攻擊手段主要是對網(wǎng)

絡(luò)數(shù)據(jù)的捕獲造成信息泄露，對網(wǎng)絡(luò)帳號的破解造成系統(tǒng)入侵，進(jìn)行身份欺騙、

行為欺騙攻入系統(tǒng)，木馬植入等手段攻擊內(nèi)部的其他重要信息系統(tǒng)，篡改和竊取

系統(tǒng)的重要數(shù)據(jù)。

因此可信安全防御體系是區(qū)域衛(wèi)生信息化建設(shè)健康有序發(fā)展的核心保障。

在武漢市探索開展互聯(lián)網(wǎng)+健康醫(yī)療相關(guān)應(yīng)用信息安全保障機制研究。以安

全二維碼的方式，實現(xiàn)基于國密算法生成及驗證機制，并應(yīng)用于本項目居民-家庭

醫(yī)生-醫(yī)療機構(gòu)角色之間基于互聯(lián)網(wǎng)的協(xié)同應(yīng)用。

2

武漢市智慧醫(yī)療信息安全解決方案

2.開放互連環(huán)境下的安全需求分析

2.1.安全風(fēng)險分析

2.1.1.醫(yī)院的信息安全風(fēng)險分析

醫(yī)院的信息系統(tǒng)通常是一個僅供內(nèi)部終端訪問的網(wǎng)絡(luò)系統(tǒng)，這個內(nèi)網(wǎng)系統(tǒng)與

Internet相聯(lián)，部分內(nèi)部主機可以訪問Internet。在這樣的網(wǎng)絡(luò)環(huán)境中，面臨的

主要信息安全風(fēng)險包括：

1）隱私泄露

獲取信息特別是患者個人信息以及醫(yī)院內(nèi)部的管理數(shù)據(jù)，是攻擊者入侵醫(yī)院

信息系統(tǒng)的主要目的。信息系統(tǒng)數(shù)據(jù)傳輸、存儲存在漏洞或者訪問權(quán)限劃分不合

理，都有可能造成信息泄露。

2）非授權(quán)訪問

由于網(wǎng)絡(luò)隔離措施不夠完善或訪問權(quán)限不合理都可能造成非授權(quán)訪問。非授

權(quán)訪問也是信息泄露的一個主要原因。

3）身份仿冒

如果認(rèn)證機制不夠強大，還會有身份仿冒的風(fēng)險。惡意用戶以其他用戶身份

登錄系統(tǒng)，訪問被仿冒用戶有權(quán)訪問的信息，或以被仿冒用戶身份進(jìn)行操作，都

會造成信息泄露甚至導(dǎo)致用戶經(jīng)濟(jì)損失。

2.1.2.區(qū)域協(xié)同醫(yī)療安全風(fēng)險分析

區(qū)域協(xié)同醫(yī)療不是一個具體的醫(yī)療實體，而且是一種醫(yī)療服務(wù)的交付機制。

區(qū)域醫(yī)療通過信息技術(shù)手段，將一定區(qū)域內(nèi)的醫(yī)療資源整合在一起，以最便捷的

方式向患者提供醫(yī)療保健服務(wù)。這種將一定區(qū)域內(nèi)的醫(yī)療資源通過信息化平臺整

合在一起的方式就是區(qū)域醫(yī)療信息化。區(qū)域醫(yī)療信息平臺是在一定區(qū)域范圍內(nèi)，

在標(biāo)準(zhǔn)化建設(shè)成果和互通共享基礎(chǔ)上,為醫(yī)療服務(wù)提供者、衛(wèi)生管理機構(gòu)、患者、

3

武漢市智慧醫(yī)療信息安全解決方案

醫(yī)療支付方以及醫(yī)藥產(chǎn)品供應(yīng)商等機構(gòu)提供以數(shù)字化形式存儲、傳遞衛(wèi)生行業(yè)數(shù)

據(jù)，支持醫(yī)療服務(wù)、公共衛(wèi)生以及衛(wèi)生行政管理的工作流程的業(yè)務(wù)和技術(shù)平臺，

衛(wèi)生部制定的《全國衛(wèi)生信息化發(fā)展規(guī)劃綱要2003-2010年》中，明確提出了我

國的區(qū)域醫(yī)療衛(wèi)生信息化的工作目標(biāo)：區(qū)域化衛(wèi)生信息系統(tǒng)包括電子政務(wù)、醫(yī)保

互通、社區(qū)服務(wù)、雙向轉(zhuǎn)診、居民健康檔案、遠(yuǎn)程醫(yī)療、網(wǎng)絡(luò)健康教育與咨詢，

實現(xiàn)預(yù)防保健、醫(yī)療服務(wù)和衛(wèi)生管理一體化的信息化應(yīng)用系統(tǒng)。

區(qū)域醫(yī)療信息平臺是一個通過廣域網(wǎng)連接的多層架構(gòu)多平臺互聯(lián)的信息系

統(tǒng)。各平臺有各自的運行管理機制，平臺之間通過網(wǎng)絡(luò)互聯(lián)互通。在這樣一個復(fù)

雜的多平臺系統(tǒng)中，任何一個環(huán)節(jié)存在安全隱患，都會對整個威脅整個平臺系統(tǒng)

的正常運行。這些安全隱患主要包括：

1）身份的可靠性風(fēng)險

區(qū)域醫(yī)療信息平臺涉及醫(yī)療機構(gòu)、公共衛(wèi)生機構(gòu)及行政機構(gòu)等，平臺用戶類

型多樣，包括區(qū)域醫(yī)療機構(gòu)、衛(wèi)生行政部門、患者多類用戶，傳統(tǒng)的“用戶名+

口令碼”的弱認(rèn)證方式的弊端逐漸凸顯，很容易導(dǎo)致內(nèi)部重要醫(yī)療數(shù)據(jù)的外泄，

甚至導(dǎo)致醫(yī)院信息系統(tǒng)遭受破壞性攻擊。因此，確保業(yè)務(wù)參與各方身份真實可靠,

建立高安全性的身份驗證機制是保證區(qū)域醫(yī)療信息平臺安全應(yīng)用的關(guān)鍵。

2）電子化診療數(shù)據(jù)真實性和完整性風(fēng)險

真實性主要體現(xiàn)在實時性和不可篡改性，也就是能夠?qū)崟r記錄從各種臨床信

息系統(tǒng)采集來的診療信息和醫(yī)護(hù)人員記錄的主客觀信息，應(yīng)具備符合《電子簽名

法》要求的數(shù)字簽名，記錄的內(nèi)容應(yīng)具備防篡改功能和不可抵賴性，即使因某種

原因需要修改，應(yīng)詳細(xì)記錄修改人和修改時間。因此，建立醫(yī)療數(shù)據(jù)的完整性保

護(hù)機制，使用技術(shù)手段保證醫(yī)療數(shù)據(jù)在電子病歷等業(yè)務(wù)系統(tǒng)中產(chǎn)生、存儲、再利

用的整個生命周期過程完整、準(zhǔn)確。

3）醫(yī)學(xué)電子文書的法律效力風(fēng)險

目前，很多醫(yī)院和患者都對諸如電子病歷的各類醫(yī)學(xué)電子文書持審慎的懷疑

態(tài)度，關(guān)鍵問題是糾結(jié)于醫(yī)學(xué)電子文書的法律效力，一旦發(fā)生醫(yī)患糾紛鬧上法庭,

都擔(dān)心電子病歷等醫(yī)學(xué)電子文書不能成為呈堂證供而敗訴。因此，醫(yī)學(xué)電子文書

內(nèi)容和時間的合法性已經(jīng)成為制約電子病歷發(fā)展的重要因素，有必要從法律角度

出發(fā)，依托現(xiàn)有的技術(shù)手段確保電子病歷內(nèi)容和時間的法律效力。

4

武漢市智慧醫(yī)療信息安全解決方案

4）信息交互傳輸和存儲安全風(fēng)險

在不同層級的信息平臺之間，存在信息交互。這些信息包括診療、健康服務(wù)

或教學(xué)過程中的音視頻內(nèi)容和文本內(nèi)容。這些內(nèi)容有很大可能會涉及患者的隱私。

因此需要注意加以保護(hù)，防止隱私信息被竊聽或泄露?；颊唠[私信息的安全風(fēng)險,

主要存在于兩個環(huán)節(jié)，一個是在不同層級信息平臺之間進(jìn)行數(shù)據(jù)傳輸，另一個是

在遠(yuǎn)程醫(yī)療信息資源中心數(shù)據(jù)存儲。數(shù)據(jù)傳輸過程中有可能被竊聽，而數(shù)據(jù)存儲

過程中有可能被非法訪問。

2.1.3.互聯(lián)網(wǎng)醫(yī)療服務(wù)安全風(fēng)險分析

互聯(lián)網(wǎng)醫(yī)療服務(wù)是將云計算和云存儲技術(shù)應(yīng)用于醫(yī)療服務(wù)的交付過程，理論

上云計算和云存儲面臨的安全風(fēng)險都會引入到云醫(yī)療的過程中。在基于傳統(tǒng)信息

技術(shù)的醫(yī)療信息系統(tǒng)中所面臨的安全風(fēng)險，在云醫(yī)療中仍然存在。這里僅討論因

為云計算技術(shù)的引入所引發(fā)的安全風(fēng)險。

服務(wù)劫持病毒傳播

云計算與傳統(tǒng)信息技術(shù)的最大區(qū)別在于引入了虛擬化技術(shù)，信息系統(tǒng)在架構(gòu)

上增加了虛擬化層，原本靜態(tài)分配的資源變成了動態(tài)分配，原本獨享資源被多個

信息系統(tǒng)共享。新增的虛擬化層不僅向攻擊者暴露了新的攻擊面，物理資源的動

態(tài)分配和共享，還產(chǎn)生的新的脆弱性。主要包括：

1）明文遷移風(fēng)險

5

武漢市智慧醫(yī)療信息安全解決方案

為了提高物理資源的利用效率，虛擬機在業(yè)務(wù)高峰和低谷之間切換時可能需

要在不同的物理主機上遷移，這種遷移過程如果是明文的，虛擬機的信息就有可

能在遷移過程中被竊聽，從而造成關(guān)鍵信息的泄露。

2）配置錯誤風(fēng)險

虛擬化層增加了很多配置選項，這些配置項的配置如果不恰當(dāng)，也有可能成

為新的脆弱性。

3）殘余數(shù)據(jù)風(fēng)險

物理資源在動態(tài)分配時，勢必會存在舊的存儲資源被釋放的情況。如果由于

前一租戶釋放的資源中沒有將原有的數(shù)據(jù)清空，后一個租戶有可能獲得這些數(shù)據(jù),

則殘余數(shù)據(jù)可能造成數(shù)據(jù)泄露。

4）邊界弱化風(fēng)險

虛擬化技術(shù)的采用，原有的物理邊界被突破，因此原有基于物理邊界的防護(hù)

措施都趨于弱化或消失。

5）監(jiān)控盲區(qū)風(fēng)險

虛擬交換技術(shù)使得在同一個虛擬交換機上兩個虛擬機之間可以直接實現(xiàn)網(wǎng)絡(luò)

傳輸，傳輸數(shù)據(jù)不需要經(jīng)過物理的網(wǎng)絡(luò)交換機，也就不再被原有的網(wǎng)絡(luò)管理機制

所監(jiān)控，從而造成監(jiān)控盲區(qū)。

2.2.新技術(shù)應(yīng)用的信息安全需求

2.2.1.云計算的安全需求

1）網(wǎng)絡(luò)虛擬化的安全需求

網(wǎng)絡(luò)虛擬化后，不同的業(yè)務(wù)流可能會跑在相同的物理鏈路上，比如掛號數(shù)據(jù)、

社保數(shù)據(jù)、病人病歷數(shù)據(jù)都通過相同的物理設(shè)備和鏈路來承擔(dān)，而僅采用虛擬邏

輯隔離來保障安全。

不同的業(yè)務(wù)流安全等級要求都可能不同，要求各個網(wǎng)絡(luò)設(shè)備要有良好的技術(shù)

來完全隔離各個業(yè)務(wù)流；并且可以針對高安全要求的業(yè)務(wù)流進(jìn)行加密傳輸。

2）基于公網(wǎng)進(jìn)行數(shù)據(jù)傳輸?shù)陌踩枨螅?/p>

6

武漢市智慧醫(yī)療信息安全解決方案

醫(yī)療云模式下有幾種醫(yī)療需要通過公網(wǎng)進(jìn)行數(shù)據(jù)傳輸：一是一些基層偏遠(yuǎn)的

醫(yī)療機構(gòu)，需要通過公網(wǎng)接入傳輸數(shù)據(jù)；二是醫(yī)療專家通過公網(wǎng)移動接入查看病

人數(shù)據(jù)；三是病人自身登錄系統(tǒng)查看數(shù)據(jù)，或者進(jìn)行掛號付費等操作。

其接入方式主要涉及以下幾類

全，基層和云平臺都需要硬件VPN設(shè)備建立隧道，并且數(shù)據(jù)加密傳輸（國密算法,

防止境外破解）；

等），要求通過證書認(rèn)證+電子簽名、要求終端提前在云平臺注冊，并根據(jù)角色更

改訪問權(quán)限。

https

隧道協(xié)議。

2.2.2.大數(shù)據(jù)的安全需求

1）醫(yī)療行業(yè)數(shù)據(jù)記錄的安全需求

鑒于醫(yī)療行業(yè)大數(shù)據(jù)業(yè)務(wù)所涉及數(shù)據(jù)記錄的敏感性，醫(yī)療行業(yè)數(shù)據(jù)記錄自身

應(yīng)帶有安全機制；安全機制應(yīng)能夠保證：確保數(shù)據(jù)完整、明確人員責(zé)任、保護(hù)患

者隱私、具有訪問權(quán)限。

2）醫(yī)療行業(yè)數(shù)據(jù)管理系統(tǒng)的安全需求

醫(yī)療行業(yè)大數(shù)據(jù)業(yè)務(wù)的海量數(shù)據(jù)全集關(guān)涉國家戰(zhàn)略安全，要求醫(yī)療行業(yè)數(shù)據(jù)

管理系統(tǒng)的安全機制應(yīng)當(dāng)滿足國家信息安全等級保護(hù)制度與標(biāo)準(zhǔn)；安全機制應(yīng)能

夠保證：標(biāo)識唯一、嚴(yán)禁篡改、嚴(yán)控權(quán)限、操作追溯、備份防損。

3）醫(yī)療行業(yè)數(shù)據(jù)應(yīng)用業(yè)務(wù)系統(tǒng)的安全需求

醫(yī)療行業(yè)大數(shù)據(jù)業(yè)務(wù)的應(yīng)用系統(tǒng)承載醫(yī)療數(shù)據(jù)的采集和發(fā)布，要求醫(yī)療行業(yè)

數(shù)據(jù)應(yīng)用業(yè)務(wù)系統(tǒng)帶有安全機制；安全機制應(yīng)能夠保證：身份標(biāo)識、權(quán)限分級、

操作留痕、中繼安全。

2.2.3.物聯(lián)網(wǎng)的安全需求

1）網(wǎng)絡(luò)信息安全需求

7

武漢市智慧醫(yī)療信息安全解決方案

醫(yī)療物聯(lián)網(wǎng)應(yīng)用還存在環(huán)境復(fù)雜多變、異構(gòu)物理設(shè)備、遠(yuǎn)距離多樣式無線通

信、大規(guī)模部署、海量數(shù)據(jù)融合、復(fù)雜事件處理、綜合運維管理等諸多仍未克服

的障礙。這些容易導(dǎo)致醫(yī)療物聯(lián)網(wǎng)不穩(wěn)定，數(shù)據(jù)丟失，數(shù)據(jù)錯誤，甚至醫(yī)療物聯(lián)

網(wǎng)奔潰等問題，會給患者就醫(yī)以及醫(yī)囑執(zhí)行帶來隱患。

2）應(yīng)用安全需求

大部分的物聯(lián)網(wǎng)都是通過事先部署節(jié)點然后進(jìn)行網(wǎng)絡(luò)連接的，連接后各個節(jié)

點是沒有人員監(jiān)控的，當(dāng)用戶利用物聯(lián)網(wǎng)進(jìn)行業(yè)務(wù)往來時就存在了安全問題，因

此提供出一個統(tǒng)一、強大的安全管理平臺就成為了一個新的問題。

3）隱私安全需求

目前醫(yī)療物聯(lián)網(wǎng)無法對物體進(jìn)行感知交互的數(shù)據(jù)保密性、可靠性、完整性，

以及未經(jīng)授權(quán)不能進(jìn)行身份識別和跟蹤等。例如：電子病歷記錄了病人的基本信

息和診療信息，這都屬于病人的隱私，必須嚴(yán)格保證其數(shù)據(jù)安全，否則將會威脅

病人的合法權(quán)益，對醫(yī)院和病人造成不利影響。

2.2.4.移動互聯(lián)網(wǎng)的安全需求

Internet醫(yī)療的各種新興應(yīng)用在突破時空限制、促進(jìn)信息共享、給人們帶來

便捷就醫(yī)服務(wù)新體驗的同時，也隨之帶來了許多新生問題亟待關(guān)注、跟蹤研究和

逐步予以解決。在信息安全上主要體現(xiàn)在信息標(biāo)準(zhǔn)與信息安全、宏觀立法兩個層

面的問題：

一是信息標(biāo)準(zhǔn)與信息安全問題。如醫(yī)療機構(gòu)內(nèi)部業(yè)務(wù)應(yīng)用系統(tǒng)與外部移動醫(yī)

療APP應(yīng)用；電子病歷和電子處方交換共享所必須的電子簽名與可信認(rèn)證技術(shù)規(guī)

范問題；醫(yī)療機構(gòu)對外開放共享數(shù)據(jù)所需的統(tǒng)一醫(yī)學(xué)電子文檔格式規(guī)范、信息加

密與安全傳輸規(guī)范等問題。

二是宏觀立法問題。如電子病歷和電子處方的法律效力問題；居民個人健康

信息隱私保護(hù)立法問題等。

互聯(lián)網(wǎng)醫(yī)療環(huán)境是一個更加開放的互聯(lián)網(wǎng)絡(luò)環(huán)境，它對信息安全的技術(shù)、強

度、適應(yīng)性、便捷性等提出了更高的要求。具體需求如下：

1）可靠身份認(rèn)證需求

8

武漢市智慧醫(yī)療信息安全解決方案

患者和醫(yī)師通過互聯(lián)網(wǎng)就醫(yī)和行醫(yī)，在網(wǎng)上或到醫(yī)院掛號、就醫(yī)，醫(yī)療機構(gòu)

必須能夠通過對患者和醫(yī)師身份進(jìn)行可靠認(rèn)證，防止偽造、假冒事件發(fā)生，而且

必須能夠支持網(wǎng)上和跨地區(qū)認(rèn)證，實現(xiàn)居民網(wǎng)上就醫(yī)和跨地區(qū)就醫(yī)。

2）數(shù)據(jù)完整性和防篡改需求

要實現(xiàn)電子處方購藥、醫(yī)保結(jié)算和異地結(jié)算，必須為結(jié)算數(shù)據(jù)、電子處方和

紙質(zhì)處方等提供完整性檢驗和防篡改措施，防止假冒、偽造、抵賴等事件發(fā)生。

在就醫(yī)和結(jié)算環(huán)節(jié)采用數(shù)字簽名和對簽名的驗簽來實現(xiàn)醫(yī)療結(jié)算數(shù)據(jù)的完整性保

護(hù)和防抵賴。

3）“院墻外”跨區(qū)域身份認(rèn)證需求

基于CA或CLA技術(shù)可以實現(xiàn)“院墻內(nèi)”的強身份認(rèn)證和醫(yī)療電子文檔的數(shù)

字簽名。但不同醫(yī)療機構(gòu)采用了不同CA簽發(fā)的數(shù)字證書，而由于我國眾多CA

機構(gòu)都自成體系，難以跨越多個CA機構(gòu)實現(xiàn)互通互認(rèn)，因此，必須采用新的認(rèn)

證機制實現(xiàn)跨區(qū)域身份認(rèn)證，保障互聯(lián)網(wǎng)醫(yī)療環(huán)境下用戶身份安全可靠。

4）“院墻內(nèi)”與“院墻外”責(zé)任隔離需求

“院墻內(nèi)”采用CA或CLA技術(shù)對醫(yī)療電子文檔進(jìn)行數(shù)字簽名，實現(xiàn)了“院

墻內(nèi)”醫(yī)療電子文檔的防篡改、抗抵賴安全要求，可以通過責(zé)任認(rèn)定來明確責(zé)任。

在互聯(lián)網(wǎng)醫(yī)療環(huán)境中，其醫(yī)療行為和診療結(jié)果也必須具有可靠的數(shù)字簽名。該簽

名與“院墻內(nèi)”數(shù)字簽名不同，一是應(yīng)用環(huán)境不同，需要互聯(lián)互認(rèn)；二是責(zé)任主

體不同，互聯(lián)網(wǎng)醫(yī)療過程中發(fā)生的醫(yī)療事件不應(yīng)由“院墻內(nèi)”負(fù)責(zé)。

5）跨區(qū)數(shù)據(jù)安全交互與共享要求

互聯(lián)網(wǎng)醫(yī)療需要實體醫(yī)療機構(gòu)分享醫(yī)療數(shù)據(jù)，這就對醫(yī)療數(shù)據(jù)安全提出新的

要求。哪些數(shù)據(jù)可以共享？哪些數(shù)據(jù)屬于隱私需要授權(quán)分享？哪些數(shù)據(jù)只能由專

業(yè)機構(gòu)使用？如何在不同醫(yī)療機構(gòu)之間進(jìn)行安全的數(shù)據(jù)交換？這些問題需要互聯(lián)

網(wǎng)醫(yī)療中得到解決。使用數(shù)據(jù)加密進(jìn)行隱私數(shù)據(jù)的機密性保護(hù)和安全可信交換，

使用訪問控制實現(xiàn)對隱私數(shù)據(jù)授權(quán)的授權(quán)訪問。

6）密碼算法的安全性需求

在互聯(lián)網(wǎng)醫(yī)療安全認(rèn)證系統(tǒng)中，密碼算法是整個系統(tǒng)的安全性基礎(chǔ)，如果算

法得不到安全性保證，系統(tǒng)的實現(xiàn)便失去意義，其安全性無從談起。為了保護(hù)國

家信息安全，國家密碼管理部門制定了密碼管理政策，對安全產(chǎn)品、系統(tǒng)所采用

9

武漢市智慧醫(yī)療信息安全解決方案

的密碼算法有明確要求。必須采用國產(chǎn)專有的密碼算法實現(xiàn)各種安全環(huán)節(jié)，密碼

設(shè)備的使用必須符合國家密碼管理局的要求。使用國家密碼管理局審定和認(rèn)可的

密碼算法，使用國家密碼管理局批準(zhǔn)使用的密碼卡或加密機等密碼設(shè)備。

7）用戶去介質(zhì)使用密碼服務(wù)的安全需求

醫(yī)師和患者必須攜帶和使用介質(zhì)進(jìn)行操作，非常不便；醫(yī)師和患者數(shù)量很多,

用戶采購介質(zhì)費用巨大；用戶應(yīng)用平臺環(huán)境復(fù)雜，經(jīng)常硬件介質(zhì)出現(xiàn)故障或者兼

容性問題，維護(hù)工作不堪重負(fù)。因此用戶需要去介質(zhì)安全使用客戶端密碼服務(wù)。

8）密碼設(shè)備的安全性需求

互聯(lián)網(wǎng)醫(yī)療安全認(rèn)證系統(tǒng)的關(guān)鍵部位必須使用國家密碼管理局審定的密碼設(shè)

備作為密碼保存和密碼運算的設(shè)備，如密碼機和密碼卡等。需確保密碼設(shè)備的物

理安全、密鑰等敏感數(shù)據(jù)的安全、

9）訪問控制安全需求

互聯(lián)網(wǎng)醫(yī)療安全認(rèn)證系統(tǒng)需要防止非授權(quán)訪問，確保不被未授權(quán)的用戶和管

理員訪問和使用，必須具備一定的訪問控制功能。另外針對密鑰生成、系統(tǒng)初始

化及備份恢復(fù)等關(guān)鍵操作，需要具備更強的管理和保護(hù)功能。

10）系統(tǒng)運行安全需求

互聯(lián)網(wǎng)醫(yī)療安全認(rèn)證系統(tǒng)在運行過程中，必須防止黑客和病毒的攻擊和破壞,

采取有效措施，保證系統(tǒng)長期、安全、穩(wěn)定地運行，為應(yīng)用系統(tǒng)提供高效、可靠

的服務(wù)。系統(tǒng)產(chǎn)生的數(shù)據(jù)必須具有完備的備份措施，保證數(shù)據(jù)的安全可靠。

11）移動互聯(lián)安全需求

用戶移動終端通過Internet訪問各醫(yī)療機構(gòu)、衛(wèi)計委平臺數(shù)據(jù)是運行在公開的

環(huán)境里，必然涉及到數(shù)據(jù)傳輸?shù)谋Ｃ苄?，如何做到?shù)據(jù)在互聯(lián)網(wǎng)環(huán)境下傳輸保密

性是保障數(shù)據(jù)安全的關(guān)鍵環(huán)節(jié)。

2.3.區(qū)域醫(yī)療服務(wù)關(guān)鍵安全需求

2.3.1,應(yīng)用安全需求

區(qū)域醫(yī)療協(xié)同平臺匯總?cè)腥嗣竦慕】敌畔?，作為?zhàn)略性的資源數(shù)據(jù)，群眾

10

武漢市智慧醫(yī)療信息安全解決方案

的健康信息數(shù)據(jù)的安全關(guān)系到社會穩(wěn)定、區(qū)域安全、人民生活等方方面面，小到

個體的個人隱私，大到國家政策制定執(zhí)行。因此如何實現(xiàn)平臺所匯集的數(shù)據(jù)的安

全保障該是平臺建設(shè)的重中之重。需要實現(xiàn)對數(shù)據(jù)在用戶訪問、授權(quán)、認(rèn)證及數(shù)

據(jù)傳輸、存儲、計算等方面進(jìn)行加密處理，Internet用戶訪問云端數(shù)據(jù)要進(jìn)行數(shù)

據(jù)隔離，防止非法訪問未經(jīng)授權(quán)數(shù)據(jù)及數(shù)據(jù)泄密。

1）密碼算法的安全性需求

在Internet醫(yī)療安全認(rèn)證系統(tǒng)中，密碼算法是整個系統(tǒng)的安全性基礎(chǔ)，如

果算法得不到安全性保證，系統(tǒng)的實現(xiàn)便失去意義，其安全性無從談起。為了保

護(hù)國家信息安全，國家密碼管理部