互聯(lián)互通評(píng)測(cè)中集成平臺(tái)如何滿足三級(jí)等保
CHIMA發(fā)布的《2019-2020年中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告》(公開版)顯示,醫(yī)院信息安全建設(shè)的重要性日益凸顯。而作為醫(yī)院系統(tǒng)互聯(lián)互通關(guān)鍵樞紐的集成平臺(tái),不僅承載醫(yī)療機(jī)構(gòu)內(nèi)部的大部分業(yè)務(wù),還需要開放接口給院外,和大量系統(tǒng)有千絲萬(wàn)縷的聯(lián)系。因此集成平臺(tái)的安全性倍受醫(yī)療機(jī)構(gòu)的重視。
1.備份與恢復(fù)
測(cè)評(píng)關(guān)鍵點(diǎn):數(shù)據(jù)備份、容災(zāi)措施
1.1 數(shù)據(jù)備份:
集成平臺(tái)中消息日志是非常重要的,其中包括消息統(tǒng)計(jì)跟蹤日志和消息內(nèi)容日志。以日均門診量5000左右的三甲醫(yī)院為例,每天的消息日志(包含消息內(nèi)容和跟蹤統(tǒng)計(jì)數(shù)據(jù))大概有10-20G。一般情況下,在線數(shù)據(jù)至少要保存1個(gè)月的消息內(nèi)容日志和1年的跟蹤日志,需要的數(shù)據(jù)存儲(chǔ)空間建議在1-2T。離線數(shù)據(jù)至少要保存半年以上的消息內(nèi)容,建議預(yù)留存儲(chǔ)空間在10T以上。
1.2 容災(zāi)措施:
除了對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行備份,集成平臺(tái)也應(yīng)具備高可用的容災(zāi)方案,通過冗余策略避免在關(guān)鍵節(jié)點(diǎn)出現(xiàn)單點(diǎn)故障。針對(duì)于不同規(guī)模和集成需求的醫(yī)療機(jī)構(gòu),容災(zāi)方式一般會(huì)有冷備、熱備、雙(多)活、集群和云原生等方案,這些方案有著各自的優(yōu)劣(見圖1),具體如下:
冷備方案:技術(shù)上的實(shí)現(xiàn)相對(duì)簡(jiǎn)單,但在實(shí)際應(yīng)用時(shí),無法在主服務(wù)器故障時(shí)自動(dòng)切換備用應(yīng)用服務(wù)器,而是需要手動(dòng)執(zhí)行切換過程,這可能會(huì)導(dǎo)致醫(yī)療業(yè)務(wù)中斷一定時(shí)間;另外單點(diǎn)故障的問題仍然存在。
熱備方案:熱備方案是目前多數(shù)醫(yī)院使用或關(guān)注的災(zāi)備方案,而在三級(jí)等保的具體實(shí)施中,也建議“主要網(wǎng)絡(luò)設(shè)備、服務(wù)器雙機(jī)熱備份”。理想狀況下,集成平臺(tái)中間件內(nèi)置主備容災(zāi)環(huán)境,主備服務(wù)同時(shí)在線,能實(shí)現(xiàn)服務(wù)無感知切換(亞秒級(jí)別切換時(shí)間),無需依托任何外部高可用技術(shù) (如Windows故障轉(zhuǎn)移) 并且能做到統(tǒng)一配置管理,統(tǒng)一監(jiān)控管理,統(tǒng)一數(shù)據(jù)管理,大幅提升易用性。
雙(多)活方案:該方案中部署的各臺(tái)服務(wù)器沒有主備之分,均是獨(dú)立部署,能同時(shí)運(yùn)行項(xiàng)目處理業(yè)務(wù),提升了資源的整體利用率,解決了熱備方案中備機(jī)常年處于閑置狀態(tài)的問題,在保證高可用的同時(shí)也解決了單臺(tái)服務(wù)器處理的性能瓶頸問題。
不過,雙活或多活方案中仍然存在著管理監(jiān)控不統(tǒng)一以及同步性問題。任何一臺(tái)引擎上的配置修改都需要手動(dòng)同步到其他引擎服務(wù)器上。同時(shí)該方案也不適用于對(duì)消息處理順序有要求的項(xiàng)目,因?yàn)橄⒈黄骄职l(fā)到多臺(tái)服務(wù)器后,消息原本的處理順序無法得到保證。
集群方案:該方案根據(jù)醫(yī)院平臺(tái)的業(yè)務(wù)特點(diǎn)在產(chǎn)品設(shè)計(jì)時(shí)就原生實(shí)現(xiàn)的集群架構(gòu),并非單機(jī)系統(tǒng)部署在多臺(tái)虛擬機(jī)上形成的“集群”(其核心仍是單機(jī)架構(gòu))。針對(duì)如三級(jí)醫(yī)院、醫(yī)院集團(tuán)等業(yè)務(wù)量大,對(duì)于高可用性和實(shí)時(shí)性都有較強(qiáng)需求的醫(yī)療機(jī)構(gòu),能夠保證集成平臺(tái)的高性能及日常運(yùn)行的長(zhǎng)久穩(wěn)定。然而,集群方案對(duì)資源利用率仍無法突破傳統(tǒng)架構(gòu)束縛。
容器化云原生方案:該方案基于最新容器編排技術(shù)Kubernetes (K8s)的PaaS層云原生分布式集群架構(gòu),通過容器化技術(shù)來提供高可用、高并發(fā)、高性能、低延遲的云平臺(tái),充分展現(xiàn)微服務(wù)和云原生的特性及優(yōu)勢(shì),真正發(fā)揮PaaS云計(jì)算環(huán)境下的動(dòng)態(tài)調(diào)動(dòng)、彈性延展、精細(xì)化資源配置等特性,更好地支撐超大規(guī)模云計(jì)算,而這些能力也都是傳統(tǒng)IT架構(gòu)的引擎在部署到云環(huán)境時(shí)所無法實(shí)現(xiàn)的。不過,該方案對(duì)醫(yī)院信息部門運(yùn)維人員的有一定的技術(shù)能力要求且整體價(jià)格偏高。
2. 安全審計(jì)
測(cè)評(píng)關(guān)鍵點(diǎn):審計(jì)日志備份
審計(jì)日志記錄了集成平臺(tái)操作的用戶以及用戶的一些重要行為,應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)和定期備份,避免受到未預(yù)期的刪除、修改或覆蓋等。
集成平臺(tái)需提供審計(jì)日志的具體內(nèi)容,內(nèi)容要全面并且覆蓋全部用戶,建議日志記錄的內(nèi)容至少應(yīng)包括登錄登出、增刪查改等操作行為、操作人員和操作時(shí)間等。
同時(shí),參照2017年6月1號(hào)發(fā)布的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條(三)項(xiàng)規(guī)定:采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。因此建議審計(jì)日志至少備份6個(gè)月,同時(shí)能夠還原指定時(shí)間范圍的日志數(shù)據(jù),以便監(jiān)管部門調(diào)取。
3. 通信完整性和保密性
測(cè)評(píng)關(guān)鍵點(diǎn):安全認(rèn)證、加密算法
這項(xiàng)等保測(cè)評(píng)要求可分為傳輸安全和消息內(nèi)容安全。
3.1 傳輸安全
為滿足通信的保密性,集成平臺(tái)需具備SSL/TLS安全認(rèn)證、X.509證書并采用HTTPs進(jìn)行加密傳輸,保證傳輸過程中的安全性。
3.2 消息內(nèi)容安全
為保證消息內(nèi)容安全,對(duì)各類加密算法的支持也是三級(jí)等保建設(shè)時(shí)的技術(shù)關(guān)注重點(diǎn)。三級(jí)等保測(cè)評(píng)中要求應(yīng)用系統(tǒng)應(yīng)采用校驗(yàn)碼技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性和保密性。完整性主要是通過哈希(Hash)算法來進(jìn)行驗(yàn)證,例如國(guó)密算法中的SM3就能提供數(shù)據(jù)完整性的算法,而AES、DES等國(guó)際算法和國(guó)密算法SM4則是提供數(shù)據(jù)保密性的加密算法(其項(xiàng)目中的數(shù)據(jù)交換具體示例如圖2所示),建議醫(yī)療機(jī)構(gòu)在對(duì)集成平臺(tái)選型時(shí),需多留意加密算法的支持能力。
4. 入侵和惡意代碼防范
測(cè)評(píng)關(guān)鍵點(diǎn):集成平臺(tái)定期升級(jí)更新
在對(duì)于安裝集成平臺(tái)的主機(jī),一般都會(huì)通過安全類公司來進(jìn)行漏洞掃描等安全防范的測(cè)試和評(píng)估,評(píng)估報(bào)告會(huì)從如下幾個(gè)方面進(jìn)行分類和統(tǒng)計(jì):主機(jī)風(fēng)險(xiǎn)等級(jí)列表、主機(jī)分布信息、漏洞風(fēng)險(xiǎn)分類信息、漏洞風(fēng)險(xiǎn)分布情況、脆弱的帳號(hào)口令列表。
根據(jù)評(píng)估報(bào)告,醫(yī)療機(jī)構(gòu)可以在檢測(cè)出漏洞后積極和廠商聯(lián)系,與廠商技術(shù)人員確認(rèn)后進(jìn)行漏洞修補(bǔ)、補(bǔ)丁安裝、停止服務(wù)等。同時(shí)建議集成平臺(tái)能針對(duì)漏洞主動(dòng)進(jìn)行定期更新和升級(jí),如果由于其他原因不能及時(shí)安裝補(bǔ)丁,考慮在對(duì)應(yīng)系統(tǒng)的網(wǎng)絡(luò)邊界、路由器、防火墻上設(shè)置嚴(yán)格的訪問控制策略,例如對(duì)防火墻的規(guī)則設(shè)定中,選擇只開放需要用到的端口,以保證網(wǎng)絡(luò)的動(dòng)態(tài)安全。
結(jié)語(yǔ)
集成平臺(tái)連接大量院內(nèi)院外系統(tǒng),其內(nèi)部信息安全的重要性不言而喻。一個(gè)符合三級(jí)等保技術(shù)要求的集成平臺(tái)能助力醫(yī)療機(jī)構(gòu)在平臺(tái)的安全建設(shè)過程中少走彎路,在體驗(yàn)集成平臺(tái)為互聯(lián)互通帶來的便捷的同時(shí),為平臺(tái)的信息安全保駕護(hù)航。