互聯(lián)互通評測中集成平臺如何滿足三級等保
CHIMA發(fā)布的《2019-2020年中國醫(yī)院信息化狀況調查報告》(公開版)顯示,醫(yī)院信息安全建設的重要性日益凸顯。而作為醫(yī)院系統(tǒng)互聯(lián)互通關鍵樞紐的集成平臺,不僅承載醫(yī)療機構內部的大部分業(yè)務,還需要開放接口給院外,和大量系統(tǒng)有千絲萬縷的聯(lián)系。因此集成平臺的安全性倍受醫(yī)療機構的重視。
1.備份與恢復
測評關鍵點:數(shù)據(jù)備份、容災措施
1.1 數(shù)據(jù)備份:
集成平臺中消息日志是非常重要的,其中包括消息統(tǒng)計跟蹤日志和消息內容日志。以日均門診量5000左右的三甲醫(yī)院為例,每天的消息日志(包含消息內容和跟蹤統(tǒng)計數(shù)據(jù))大概有10-20G。一般情況下,在線數(shù)據(jù)至少要保存1個月的消息內容日志和1年的跟蹤日志,需要的數(shù)據(jù)存儲空間建議在1-2T。離線數(shù)據(jù)至少要保存半年以上的消息內容,建議預留存儲空間在10T以上。
1.2 容災措施:
除了對關鍵數(shù)據(jù)進行備份,集成平臺也應具備高可用的容災方案,通過冗余策略避免在關鍵節(jié)點出現(xiàn)單點故障。針對于不同規(guī)模和集成需求的醫(yī)療機構,容災方式一般會有冷備、熱備、雙(多)活、集群和云原生等方案,這些方案有著各自的優(yōu)劣(見圖1),具體如下:
冷備方案:技術上的實現(xiàn)相對簡單,但在實際應用時,無法在主服務器故障時自動切換備用應用服務器,而是需要手動執(zhí)行切換過程,這可能會導致醫(yī)療業(yè)務中斷一定時間;另外單點故障的問題仍然存在。
熱備方案:熱備方案是目前多數(shù)醫(yī)院使用或關注的災備方案,而在三級等保的具體實施中,也建議“主要網(wǎng)絡設備、服務器雙機熱備份”。理想狀況下,集成平臺中間件內置主備容災環(huán)境,主備服務同時在線,能實現(xiàn)服務無感知切換(亞秒級別切換時間),無需依托任何外部高可用技術 (如Windows故障轉移) 并且能做到統(tǒng)一配置管理,統(tǒng)一監(jiān)控管理,統(tǒng)一數(shù)據(jù)管理,大幅提升易用性。
雙(多)活方案:該方案中部署的各臺服務器沒有主備之分,均是獨立部署,能同時運行項目處理業(yè)務,提升了資源的整體利用率,解決了熱備方案中備機常年處于閑置狀態(tài)的問題,在保證高可用的同時也解決了單臺服務器處理的性能瓶頸問題。
不過,雙活或多活方案中仍然存在著管理監(jiān)控不統(tǒng)一以及同步性問題。任何一臺引擎上的配置修改都需要手動同步到其他引擎服務器上。同時該方案也不適用于對消息處理順序有要求的項目,因為消息被平均分發(fā)到多臺服務器后,消息原本的處理順序無法得到保證。
集群方案:該方案根據(jù)醫(yī)院平臺的業(yè)務特點在產(chǎn)品設計時就原生實現(xiàn)的集群架構,并非單機系統(tǒng)部署在多臺虛擬機上形成的“集群”(其核心仍是單機架構)。針對如三級醫(yī)院、醫(yī)院集團等業(yè)務量大,對于高可用性和實時性都有較強需求的醫(yī)療機構,能夠保證集成平臺的高性能及日常運行的長久穩(wěn)定。然而,集群方案對資源利用率仍無法突破傳統(tǒng)架構束縛。
容器化云原生方案:該方案基于最新容器編排技術Kubernetes (K8s)的PaaS層云原生分布式集群架構,通過容器化技術來提供高可用、高并發(fā)、高性能、低延遲的云平臺,充分展現(xiàn)微服務和云原生的特性及優(yōu)勢,真正發(fā)揮PaaS云計算環(huán)境下的動態(tài)調動、彈性延展、精細化資源配置等特性,更好地支撐超大規(guī)模云計算,而這些能力也都是傳統(tǒng)IT架構的引擎在部署到云環(huán)境時所無法實現(xiàn)的。不過,該方案對醫(yī)院信息部門運維人員的有一定的技術能力要求且整體價格偏高。
2. 安全審計
測評關鍵點:審計日志備份
審計日志記錄了集成平臺操作的用戶以及用戶的一些重要行為,應對審計記錄進行保護和定期備份,避免受到未預期的刪除、修改或覆蓋等。
集成平臺需提供審計日志的具體內容,內容要全面并且覆蓋全部用戶,建議日志記錄的內容至少應包括登錄登出、增刪查改等操作行為、操作人員和操作時間等。
同時,參照2017年6月1號發(fā)布的《中華人民共和國網(wǎng)絡安全法》第二十一條(三)項規(guī)定:采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施,并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月。因此建議審計日志至少備份6個月,同時能夠還原指定時間范圍的日志數(shù)據(jù),以便監(jiān)管部門調取。
3. 通信完整性和保密性
測評關鍵點:安全認證、加密算法
這項等保測評要求可分為傳輸安全和消息內容安全。
3.1 傳輸安全
為滿足通信的保密性,集成平臺需具備SSL/TLS安全認證、X.509證書并采用HTTPs進行加密傳輸,保證傳輸過程中的安全性。
3.2 消息內容安全
為保證消息內容安全,對各類加密算法的支持也是三級等保建設時的技術關注重點。三級等保測評中要求應用系統(tǒng)應采用校驗碼技術或密碼技術保證重要數(shù)據(jù)在傳輸過程中的完整性和保密性。完整性主要是通過哈希(Hash)算法來進行驗證,例如國密算法中的SM3就能提供數(shù)據(jù)完整性的算法,而AES、DES等國際算法和國密算法SM4則是提供數(shù)據(jù)保密性的加密算法(其項目中的數(shù)據(jù)交換具體示例如圖2所示),建議醫(yī)療機構在對集成平臺選型時,需多留意加密算法的支持能力。
4. 入侵和惡意代碼防范
測評關鍵點:集成平臺定期升級更新
在對于安裝集成平臺的主機,一般都會通過安全類公司來進行漏洞掃描等安全防范的測試和評估,評估報告會從如下幾個方面進行分類和統(tǒng)計:主機風險等級列表、主機分布信息、漏洞風險分類信息、漏洞風險分布情況、脆弱的帳號口令列表。
根據(jù)評估報告,醫(yī)療機構可以在檢測出漏洞后積極和廠商聯(lián)系,與廠商技術人員確認后進行漏洞修補、補丁安裝、停止服務等。同時建議集成平臺能針對漏洞主動進行定期更新和升級,如果由于其他原因不能及時安裝補丁,考慮在對應系統(tǒng)的網(wǎng)絡邊界、路由器、防火墻上設置嚴格的訪問控制策略,例如對防火墻的規(guī)則設定中,選擇只開放需要用到的端口,以保證網(wǎng)絡的動態(tài)安全。
結語
集成平臺連接大量院內院外系統(tǒng),其內部信息安全的重要性不言而喻。一個符合三級等保技術要求的集成平臺能助力醫(yī)療機構在平臺的安全建設過程中少走彎路,在體驗集成平臺為互聯(lián)互通帶來的便捷的同時,為平臺的信息安全保駕護航。