互联网医院安全架构
互联网医院将原本在医院内部流通的医嘱、处方、检查检验等信息与诊疗相关数据放到了互联网环境中,患者数据更加集中,更易获得。互联网医院与保险机构、药企、健康管理中心、物流配送等第三方机构进行数据共享,患者数据在各机构之间流转。患者数据涉及患者隐私和利益,一旦泄露不仅影响患者对互联网医院的信任,也将对实体医院形象造成严重影响,甚至面临监管部门的处罚。
互联网医院所依托的实体医院和企业作为互联网医院网络运营者,采集和控制患者数据,承担着数据防护的职责。在数据防护方面,由于医疗数据的复杂性,脱敏、加密等技术难以落实,分级分类管理也缺乏明确的标准,数据安全管理成为了互联网医院网络安全建设的难点。面对不可控的互联网环境和多机构的数据共享,患者身份认证信息丢失、第三方机构数据保管不当、互联网医院系统被攻击都可能导致患者数据泄露。如何明确各方职责,界定数据泄露责任,进一步增加了数据管理的难度。在立法方面,我国目前尚未出台统一的保护隐私信息的法律法规,对保护患者医疗信息、个人隐私的规定都是碎片化的,缺乏实质性的立法,互联网医疗医疗信息安全面临巨大挑战。
由此上述严峻问题,我司互联网医院提出“互联网医院安全体系”。
硬安全(硬件安全)
推动、完善医院三级等保建设。做好内外网数据隔离、服务端口备案、黑白名单管理、应急措施防控、紧急备份还原等强制手段。
提供互联网医院对内网安全影响最小化解决办法。
软安全(软件安全)
架构安全
平台采用多租户技术(multi-tenancy technology),从顶层设计杜绝软件设计上的漏洞。 -- 多租户技术
多租户是一种软件架构技术,它是在探讨与实现如何于多用户的环境下共用相同的系统或程序组件,并且仍可确保各用户间数据的隔离性。 多租户简单来说是指一个单独的实例可以为多个组织服务。多租户技术特点:1.多个租户共享平台。2.租户之间数据隔离。3.租户之间发布更新互不影响。4.签订合约租户无线扩展。
应用安全
- 边界安全
执行边界安全是保护微服务的一种非常传统的方法。 这意味着单个微服务不安全;访问微服务的层必须是受信任的。
对Web应用程序的访问是安全的,并且Web应用程序自由地调用微服务层。各个微服务彼此自由交互。
有一些与微服务相关的特性和要求使得边际的安全性不足。
1.由于各种原因,应在每个服务执行认证或授权。
2.每个细粒度的服务是一个小团队的责任。 这可能意味着保证数据的安全性也是他们的责任。
- 用户名和密码
在这种方法中,每个微服务将使用BasicAuthentication进行保护。 有几种方法来实现这一点。
1.最终用户凭据。 在这种情况下,每个微服务需要最终用户的用户名和密码来执行认证或授权。 当应用程序调用微服务或微服务调用另一个微服务时,它必须传递最终用户的用户名和密码。 这种方法有很多安全隐患。
2.每个微服务都应该有权访问最终用户凭证存储。
3.用户名和密码必须由每个服务被存储在存储器或会话,以便当一个微服务正在呼叫另一个微服务时使用。
4.受信任的子系统凭据。 用户名和密码用于受信任的子系统(例如,系统中的每个实体都有一个凭据集)。这种方法的缺点是最终用户是未知的,因此不能执行授权。如果一个实体更新凭证,会发生什么? 如果凭据保存在文件中,则应在每个实例中更新此文件。
- 双向SSL
在此安全机制中,系统中的每个实体都有一个证书(公共和私有)密钥对,并使用双向SSL彼此通信。在正常的SSL场景中,服务器由客户端进行身份验证,但在双向SSL中,双方都彼此进行身份验证。 与最终用户用户名和密码方法相比,这是一个更好的方法,因为风险很小。
然而,这种方法的一些缺点在下面给出。
1.每个微服务都需要一个证书,所以当更新证书时,更新需要在所有实例中进行。
2.最终用户不能在此模式下授权或认证。
3.它具有与可信子系统模式类似的优点和缺点。
- OAuth 2.0和OpenID Connect
微服务可以使用OAuth 2.0以及OpenID连接来验证和授权用户。有一个IdP提供方向请求方提供OAuth 2.0令牌。 例如,应用程序获得OAuth 2.0访问令牌,并且访问此令牌用于调用MSA中的所有服务。 它也可以用于微服务之间的通信。 使用短寿命访问,令牌简化并提高整个系统的安全性。 使用OpenID连接,可以检索最终用户的身份,允许微服务执行授权本身。
然而,这种方法的缺点是对IdP额外方的调用。
- 自包含JWT令牌
自包含JWT令牌是在令牌本身内具有授权信息,即令牌由发行者签名,并且所有各方可以验证令牌的有效性。 这意味着微服务不需要调用外部方来验证访问令牌并获得JWT令牌。消除了验证接入令牌并获得承载令牌的附加呼叫。 它具有OAuth2.0的所有优点,但不具有短寿命标记的缺点。
数据安全
- 数据备份
提供多种备份机制:主从数据备份、定时脚本备份、定时数据文件备份、定时数据快照备份
- 分布式存储
采用NOSQL分布式数据库,除高性能优势外,对数据容灾与备份同样提供了高可靠性的保障。
- 数据加密/脱敏
数据存储磁盘加密(保护静止的数据)、使用SSL/TLS 协议(保护传输中的数据)、共享/开放数据脱敏(保护隐私、敏感数据)
- 数据权限管理
平台提供角色数据权限,实现同样接口同样入参不同角色数据不同。
业务安全
- 针对恶意用户行为施行行为轨迹监管并提交黑名单处理。
- 退号随机释放防止黄牛抢号。
安全意识
- 通过患者宣教、系统提醒等手段增强患者自身安全意识。
推荐阅读:
聊平台,先谈主数据
聊平台,再谈元数据
聊平台,需谈数据元
医院信息集成平台(ESB)数据集成建设方案
【技术选型】你的公司,你的项目真的适合微服务吗?
【划划重点】论大数据中主数据的重要性
【视频问诊】ffmpeg+HLS直播与回放技术
【远程医疗】智能导诊技术方案
加微信:wonter 发送:技术Q
医疗微信群:
加微信:wonter 发送:医疗Q
更多文章关注公众号: