【探索】混合云架构下医院信息系统外联安全管控实践

摘  要

2020年5月，医院正式启动基于混合云架构下信息系统外联安全管控实践。混合云架构下的公有云平台作为互联网接入区域，通过对DMZ进行整体云化，保障了信息系统外联的安全访问控制及安全风险规避^［9-10］。同时，医院采用软件定义网络（software defined network，SDN）和网络功能虚拟化（network function virtualization，NFV）等技术，打造出具备安全资源服务化交付、弹性伸缩和安全服务产品定制化等功能的安全管理方式，实现混合云架构下信息系统外联安全管控的整体防护和动态扩展^［11］。

混合云模式下的信息系统外联安全管控包括网络通信安全、云主机安全、应用安全、数据安全和全流程安全管控机制5个层面（图2）。其中，网络通信安全是信息系统外联安全管控的基础，确保所有外联链路的安全可靠；云主机是基于云计算技术提供计算和存储应用的虚拟服务器，其安全与否直接影响应用层及数据层的安全；应用和数据安全是医院顺利运营的重要保障；全流程安全管控机制能对网络通信、云主机、应用层和数据层提供持续安全防护。此外，医院依据国家网络安全等级保护2.0标准（以下简称等级保护2.0）的安全技术要求（覆盖安全管理中心、物理环境、通信网络、区域边界和计算环境）和安全管理要求（覆盖制度、机构、人员、建设和运维）^［12-14］，对混合云架构下的信息系统进行测评，确保其满足等级保护2.0三级要求^［15］。

（一）网络通信安全：为保证信息系统外联的安全可控，医院对互网络出入流量进行统一管控。通过明确VPC规划，制定互联网边界、混合云边界以及VPC应用边界的安全防护策略，实施以云资源为中心的加密传输、安全防护和网络访问控制等，收敛互联网资产暴露面^［16-17］，实现混合云架构下的网络通信安全。

1.VPC规划：VPC是公有云平台基于叠加网络技术和虚拟扩展局域网协议构建的逻辑隔离的虚拟网络环境^［18-19］。医院可根据实际需求自定义VPC，并配置边界安全防护规则，将不同功能属性的信息系统部署在不同类别VPC中，实现云资源的有效隔离和安全可控。目前，某医院VPC分为3类，其中，VPC1经物理专线与医院业务内网建立网络通信，通过混合云边界防护与核心信息系统（部署在医院业务内网的信息系统，如电子病历系统）进行安全数据交换，承接互联网医院和患者移动服务等方面的业务；VPC2和VPC3与核心信息系统不进行数据交换，无需与医院业务内网建立网络通信，可分别承接医院官方门户网站、图书馆网站等方面的业务和云资源个性化运维管理服务。

2.互联网边界防护：是针对公有云互联网南北向流量的安全访问控制，以防范来自互联网的恶意入侵。医院在互联网流量入口内嵌了分布式拒绝服务、互联网应用防火墙、云防火墙和原生负载均衡服务等安全产品，在流量出口部署了网络地址转换服务和云防火墙，通过各类安全产品融合联动，实现互联网边界安全防护的自动化闭环管理；通过充分利用云计算技术，实现安全产品的弹性扩容以及安全数据的整合分析。

3.混合云边界防护：主要针对公有云VPC与医院内网专有云平台之间数据交互的安全访问控制。根据VPC规划，在相应的云主机配置安全组规则和云防火墙，控制数据交互流量，同时，在医院业务内网部署下一代防火墙，实现双层异构防火墙的防护，确保各类VPC的网络安全隔离。

4.应用边界防护：针对VPC内承载各信息系统外联应用的云主机之间的东西向流量配置安全组规则，进行安全访问控制^［20］，以避免因某个应用的云主机被攻破，而导致该主机所在的VPC内的所有主机被牵连入侵的风险。在混合云架构下，物理设备不再是数据资源承载和调度的最小单元，因此，VPC内应用边界防护是确保各应用程序之间互不干扰，并能充分利用系统资源的关键。

（二）云主机安全：云主机具有即开即用、稳定可靠、安全运行和弹性伸缩等特点，能快速部署和自由搭配操作系统、内存和存储等资源。目前，医院外联信息系统主要由第三方服务商提供，服务商需要在云主机部署和更新应用程序，因此，云主机安全防护对数据安全、业务的连续性及合规要求具有重要意义。

1.访问控制与网络隔离：云主机的访问控制策略遵循最小授权原则，通过设置安全组策略对传输协议、地址和端口等进行细粒度控制，实现对云主机的出、入流量的严格控制。另外，通过借助VPC的网络隔离，每台云主机可设有独立的网络配置和IP地址，以降低其在公网环境下被攻击的风险。

2.云主机内部实时安全防护：云安全中心统一管理云主机内部的安全防护，通过采集云主机内各类数据，结合云平台全网威胁情报数据，开展多维度的关联分析，及时更新漏洞库和规则库，为云主机提供病毒查杀、漏洞修复、智能化主动防御和威胁告警与处置等功能。

3.运维审计：依托云原生堡垒机对云主机安全运维进行认证与管理，同时结合安全组策略，对云资产进行统一管理、集中运维和溯源审计，为云主机安全防护提供有力保障。

（三）应用安全：混合云架构下信息系统外联应用主要由第三方服务商提供，医院很难及时掌握应用程序代码的安全性。为确保各类应用安全可控，浙大一院通过采取应用分级、服务治理、身份认证、漏洞扫描和日志接入等举措，实现混合云架构下信息系统外联应用的安全可控。

1.应用分级：根据是否与核心信息系统存在数据交换、互联网边界出入口开放情况和服务人群等，将信息系统外联应用分为一般应用、重点应用和核心应用（表1）。医院可根据应用分级配置安全防护措施，如对与核心信息系统存在数据交换的重点和核心应用可部署VPC1，对于医院官方门户网站等一般应用部署VPC2，同时开通网页防篡改安全防护。

2.服务治理：针对重点应用与核心应用，医院要求统一接入服务安全治理平台，实施混合云边界安全访问控制，并进行数据服务标准化定义、数据字段精细化管理和数据交互安全管控。

3.身份认证：用户身份认证是应用层访问控制的核心环节，只有通过身份认证，用户才能访问系统。为避免弱密码、会话劫持和数据库语言注入等应用漏洞影响身份认证的有效性，医院基于“零信任”理念，将部分应用接入微信、支付宝和钉钉等第三方认证平台^［21］；对须采用独立用户认证的应用，医院统一规范和测试身份认证策略，包括密码安全策略、验证码校验方式和应用错误返回自定义页面等。此外，在数据传输方面，医院启用了云原生网站应用级入侵防御系统和安全套接层证书，并使用超文本传输安全协议对用户与应用之间的数据交互进行全链路数据加密。

4.漏洞扫描：按照应用级别设定漏洞扫描任务及其周期，定期自动检测操作系统、应用程序和数据库等方面的漏洞和弱点。

5.日志接入：将信息系统外联应用的业务日志统一接入云原生日志服务，实现业务日志的数据采集、数据存储、数据加工、查询与分析、告警、消费与投递等，同时结合日志审计服务对业务日志进行威胁情报检测。

（四）数据安全：

1.统一存储和访问控制：基于医疗数据安全及隐私保护的考虑，医院将外联信息系统的数据统一存储到专有云平台，云计算技术可赋予云存储数据的高可用性、强扩展性及高安全性等性能。另外，专有云平台能实现数据存储本地化管理和管控权限自主化，能避免因丢失数据控制权引起的数据泄露风险^［22-23］；同时，云原生数据库可提供关系型数据库、非关系型数据库、分析型数据库、对象存储服务和大数据存储等工具，满足分布式数据存储的需求。此外，数据统一存储有利于实施一体化数据存储和访问控制的安全策略，包括身份认证、权限管理、数据加密、资源监控、备份与恢复、数据容灾、数据库审计和数据库可视化运维等，以保障数据的机密性、完整性和有效性。

2.数据备份及异地容灾：在混合云平台嵌入数据管理软件，通过设置数据库自动备份策略，数据管理软件可按天全量备份数据，并将备份数据转储到对象存储服务进行多副本存储。另外，通过创建异地容灾备实例，利用数据传输服务实时同步主实例和异地容灾备实例，实现数据恢复点目标（recovery point objective， RPO）≈0 min，数据恢复时间目标（recovery time objective， RTO）<5 min。

3.高可用性和强扩展性：专有云平台数据库采用主实例+备实例的高可用模式，不仅实现了宕机自动检测和故障自动转移，还可实时监控数据库实例的相关性能，包括CPU、内存、磁盘和连接等。另外，分布式云存储具备水平可扩展和垂直可扩展的特性，其中，水平可扩展是通过增加数据存储服务器节点来实现数据的横向扩展，垂直可扩展是在数据存储服务器节点不变的情况下，扩展单节点的性能实现数据纵向扩展^［24］。

（五）全流程安全管控机制：混合云架构下信息系统外联安全管控贯穿于信息系统上线前、中、后，形成了一体化的全流程安全管控机制，主要包括系统需求评估、系统安全设计、安全策略配置及安全运营管理等环节（表2）。医院依托云安全中心建立了风险动态感知的可视化安全运营管理系统，实现了统一的云资产管理、漏洞修复及基线检查、安全配置检查、主动防御和威胁检测及告警等^［25-26］；同时，结合云安全服务，加强与专家团队协作，全方位提升混合云平台的安全防护能力及快速响应和处置能力。

自2020年5月浙大一院启动混合云架构下信息系统外联安全管控以来，截至2023年10月，浙大一院混合云架构下外联信息系统增至52个，包括患者移动服务平台、互联网医院、移动支付系统、员工办公自动化系统、电子签名服务和云影像系统等，混合云平台的网络流量入口日均请求数量超过1000万次，日均防护互联网入侵数量3万余次，累计发现并修复安全漏洞超过500个，未发生数据泄露等安全事故；同时，依托混合云架构下的数据异地容灾安方案，实现RPO≈0，RTO<5 min的数据恢复能力。另外，与传统网络架构相比，混合云架构下新增外联信息系统的部署和调试时间明显缩短，提高了安全运维效率。

在智慧医疗模式下，医院网络安全管理不可忽视。一旦信息系统遭到网络恶意攻击或出现意外中断等情况，都可能会造成医疗数据的丢失或泄漏。与传统网络架构下的安全管理模式相比^［27］，混合云架构下的网络安全管模式更为灵活和可靠，能够很好地应对信息系统的更新变化。浙大一院开展的混合云架构下信息系统外联安全管控基于等级保护2.0标准，在网络通信安全、云主机安全、应用安全和数据安全以及安全运营层面实行全栈安全管控，为医院信息系统的稳定运行提供了有力保障，其优势主要体现在安全产品服务化、主动防御和风险动态感知等方面。

（一）安全产品服务化：混合云架构下医院信息系统外联安全管控通过联合应用NFV和SDN等技术，可按需制定和部署安全产品和服务^［28］，解决了传统网络安全架构下的专用硬件安全设备部署成本高和升级困难等问题^［28-29］。

（二）主动防御：传统网络架构的防御技术无法提供智能高效的网络安全分析与预测，只能通过防火墙和访问控制等措施对已知安全风险进行被动监测及响应。而混合云架构下的安全防控可借助云平台对安全数据的互通共享和智能分析功能，全面评估和预测信息系统的安全状况^［30］，及时发现、预警系统漏洞和网络威胁，变被动响应为主动防御^［31］。

（三）风险动态感知：可视化安全运营管理系统通过与云平台深度融合，利用网络安全服务链等技术^［32］，有效促进了各类安全产品之间的协同合作，实现了混合云平台对安全风险的动态感知，形成从检测、告警到处置和防护的自动化闭环安全管控，解决了传统网络安全架构下安全设备相互孤立、外挂式部署和被动式处置的问题。

（四）数据安全存储：混合云架构下的分布式数据存储可实行统一的数据存储及访问控制策略，有效解决了传统网络安全架构下数据存储分散和容灾备份机制不完善等问题^［33］；另外，将数据存储于专有云可有效避免因数据控制权缺失等原因造成的医疗数据泄露及合规性挑战^［34］。

（五）节约成本：混合云架构下的一体化安全管理机制，能借助云上安全产品的虚拟化技术及弹性伸缩能力，以及安全产品服务的高效联动和可视化运营，降低医院外联信息系统的安全建设及运维成本，提高安全管理效率^［35］。

综上，混合云架构下医院外联信息系统安全管控是一项持续改进的工程，医院在相关安全项目建设过程中，需不断提升医务人员的信息安全风险意识，加大对信息系统安全配套产品和服务及技术人员的投入，以及监督相关规章制度的落实。另外，云计算本身可能会引入了新的安全问题^［36］，比如跨虚拟机攻击、虚拟机逃逸和直接内存访问攻击等，且当前云主机之间东西向流量的安全管控措施偏弱，可能会造成恶意流量横向传播风险^［37］。医院应加强与云计算服务厂商的交流合作，定期组织相关安全专家服务团队对安全防护方案和策略进行核验和更新，为云上资产及关键业务提供24 h保障，提高医院安全运营管理能力。此外，混合云架构下医院外联信息系统的安全管理要求较高，相关信息管理人员不仅要熟悉混合云网络结构，还需掌握云原生安全相关的各类技术，以便及时应对可能出现的安全风险和威胁。因此，医院应结合自身业务特点和信息化技术架构体系，引进或培养专职信息安全管理人员。

利益冲突  所有作者均声明不存在利益冲突

作者贡献声  明沈亮：实施研究、论文设计与撰写、统计分析、论文修改；周敏：研究指导、论文修改、工作支持