上海市儿童医院 上海 200333
摘要:本文主要针对网络安全等级保护2.0下的医院移动应用安全提出建设思路。通过大量阅读相关文献,针对医院移动应用安全的安全风险分析,基于网络安全等级保护第三级移动互联安全扩展要求,提出医院移动应用安全建设思路。通过基于移动应用安全建设框架建设,有效的为医院移动应用信息系统提供了动态的、综合的保护,成功抵御不断出现的安全威胁与风险,保证医院移动应用信息系统长期稳定可靠的运行。
关键词:医院移动应用安全建设
正文:
伴随着临床信息化,医院正逐步地实现无纸化、无胶片化和无线化,医院移动应用技术的不断成熟和普及。《全国医院信息化建设标准与规范》(试行)中定义了如下医院内部移动应用场景:移动查房、移动护理、移动药事、移动术前访视、移动物流。另外,众多医院推出了“互联网医院”和医院公众号等便民服务,充分发挥医疗信息系统的效能,突出数字化医院的技术优势,随着医院快速推广移动应用的同时,不可避免地引入了大量新的安全问题,首先从医院移动应用的基本架构谈起,逐步了解医院移动应用及其安全防护问题。
一、医院移动应用基本架构
医院移动应用系统的基本结构包括:
(1)移动终端:处于移动医疗系统的用户端,多在医院办公场所外部使用,也支持医院办公场所内部使用;
(2)通信网络:位于移动终端与医院网络之间,以移动蜂窝网络、Wi-Fi等无线网络连接移动终端,以互联网/专网或局域网等方式接入医院办公网络;
(3)移动接入区:处于医院网络边界侧,一般包括互联网边界防护设备,如防火墙、接入认证网关、移动应用支撑平台(用于实现医疗系统Web页面向WAP或移动应用APP的转化),应用前置系统(用于接入区与服务区进行医疗应用或数据同步),以及安全隔离与交换设备,如网闸等;
(4)服务端:指医院的核心服务区域,包括医院医疗办公系统,以及对移动应用和移动内容进行管理的移动应用系统。
二、医院移动应用安全风险
随着移动智能终端的普及,越来越多的医疗系统从传统的PC模式向移动终端模式发展和迁移。医院在快速开发和推广APP应用系统的同时,不可避免地引入了新的安全风险,如用户敏感信息泄露以及医院内部网络被渗透等。
组成部分 | 面临安全风险的要素 | 主要安全风险 |
移动终端 | 硬件、操作系统、应用软件及数据 | 1、非授权用户访问 2、授权用户恶意访问 3、应用服务漏洞 4、应用程序渗透 5、移动终端丢失或被盗 |
通信网络 | 通信网络自身、信息传输过程 | 1、意外中断 2、传输信息被非法窃听、截获或者修改 3、恶意攻击破坏 |
移动接入区 | 网络接入设备、移动应用支撑系统、应用前置系统 | 1、非授权用户访问 2、授权用户恶意访问 3、恶意软件访问 |
服务端 | 业务应用系统和信息数据 | 1、非授权用户访问 2、授权用户恶意访问 3、恶意软件访问 4、信息泄漏 |
移动应用面临的安全风险
(1)非授权访问风险:目前部分医院缺少对无线网络接入的控制措施,可能导致中间人攻击和AP攻击等情况发生。
(2)信息泄露风险:传统的控制手段无法对智能设备进行控制,智能设备可连接网络获取资源,甚至可通过智能设备内部应用程序收集获取医院敏感信息。
(3)数据遗失风险:多数智能设备使用者会将自己的个人信息和资料存放在智能设备中,设备一旦遗失,相关资料将有可能落入别人手中。
(4)病毒感染风险:智能终端同样会存在病毒问题,病毒会对移动终端的系统和应用造成影响,而传统的防病毒软件无法对其进行防护和管理,一旦设备在外面感染病毒,可能会传播到医院内部网络。
(5)移动应用风险:医院App 应用上线之前缺乏相应的安全检测机制,很可能由于应用程序的漏洞导致风险带入到医院内部网络。
三、网络安全等级保护要求
网络安全等级保护针对移动互联安全要求标准在2017年出台的《网络安全等级保护要求第3部分:移动互联安全扩展要求》(GA/T 1390.3-2017)进行了明确。网络安全等级保护三级针对移动互联安全扩展要求如下:
(1)移动互联安全扩展要求包括:无线接入点的物理位置、移动终端管控、移动应用管控、移动应用软件采购和移动应用软件开发等方面;
(2)应保证有线网络与无线网络边界之间的访问和数据流通过无线接入安全网关设备;
(3)无线接入设备应开启接入认证功能,并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证;
(4)移动终端应接受移动终端管理服务端的设备生命周期管理、设备远程控制,如:远程锁定、远程擦除等;
(5)应具有软件白名单功能,应能根据白名单控制应用软件安装、运行;
(6)应保证移动终端安装、运行的应用软件来自系统管理者指定证书签名或可靠分发渠道。
四、医院移动应用安全建设框架
基于网络安全等级保护移动互联安全扩展要求,建设医院移动应用系统的安全框架包括:
(1)移动终端安全:移动终端在基本配置上应支持如下安全客户端的安装和运行,包括VPN客户端、移动设备管理客户端、移动应用管理客户端、移动内容管理客户端和移动安全应用支撑客户端等,支持数字证书的安装与使用,具备身份鉴别、数据安全存储、安全防护、运行环境隔离等安全功能;
(2)通信安全:应通过构建VPN隧道满足移动终端从公共无线网接入医院网络的传输安全要求;
(3)接入安全:应在医院网络边界侧构建接入区,以满足移动终端安全接入要求,以及与医院网络核心服务区的安全隔离,包括接入认证网关和移动设备管理平台,支持移动终端设备的接入认证和安全管理等;
(4)服务端安全:在保护服务端原有安全措施的基础上,需配备移动应用管理平台和移动内容管理平台,分别对移动应用和移动内容实施安全控制管理。
五、移动APP安全建设要点
移动APP安全管理措施要点:
(1)移动互联信息安全产品采购和使用符合国家的有关规定;
(2)应对移动业务应用软件开发者进行资格审查;
(3)应要求移动应用软件开发商提供软件设计文档和使用指南;
(4)要求软件开发使用的工具来源可靠;
(5)自行开发移动应用软件需要制定对应的准则和规范,包括测试、发布和版本控制等规范;
(6)移动安全服务商的选择需要符合国家的有关规定并签订安全相关的协议,明确约定相关责任。
移动APP安全防护技术措施:
传统网络的防护技术在移动APP安全上可以适用部分,如身份识别与访问控制、数据加密、数据脱敏、数据备份等,以下列出的是基于移动APP特点所提出的技术要求:
(1)移动终端应安装、注册并运行终端管理客户端软件;
(2)医院内部移动应用尽量确保数据不落地,终端设备需要的数据集中存储,只在需要的时候终端通过访问服务器获取数据;
(3)移动终端管理所安装的应用可以通过终端管理服务端进行设备安全管控;
(4)应具有软件白名单功能,根据白名单控制应用软件安装、运行;
(5)应具有应用软件权限控制功能,控制应用软件对移动终端资源的访问;
(6)应具有接受移动终端管理服务器推送的移动应用软件管理策略,并根据该策略对软件实施管控的能力;
(7)医护人员不具备在虚拟手机平台上安装APP程序的权限,防止员工随意安装不经过授权的应用甚至恶意病毒应用;
(8)所有工作APP部署和更新都不需要用户手工干预,管理员集中在WEB控制台操作,所有用户的工作区即可更新;
(9)医护人员可使用个人移动设备访问医院数据,保留移动操作系统用户体验。
综上所述,本文通过分析目前医院移动应用系统的安全风险,依据网络安全等级保护2.0针对移动互联安全扩展要求,提出了针对医院移动应用安全风险的解决建议。