胡建平  高晓飞  刘娟  谭亚奇  胡文生  孟群

摘要：随着移动互联网的发展，医院服务的互联网化是大势所趋，但是由于医疗行业的特殊性，其对安全性和专业性都提出了更高的要求。本文针对目前移动互联网医院面临的主要安全问题进行详细分析，提出建立一个统一的安全与监管平台，用以解决移动互联网医院的身份认证、机密性、抗抵赖、可审计等安全问题。平台使用成熟的数字证书体系以及SSL VPN协议作为技术基础，结合医院应用现状，设计新的安全保障体系和移动互联网医院安全流程，使用安全中间件和客户端控件相结合的方式打造安全环境，并辅以数据收集和监控体系，成功解决目前移动互联网医院的安全问题和监管诉求，从而促使移动互联网医院向着有序、安全、健康的方向发展。

 

关键词：数据安全；移动互联网医院；CA系统；SSL VPN；数据监管。

 

1 引言

2012年以来，随着智能手机和平板电脑的迅速普及，国内移动医疗产品遍地开花，目前已有千余医疗APP问世。无论是国内亦或是国际市场，移动互联网领域的投资渐入佳境，而其与传统领域结合催生的新兴行业也正改变原有的服务模式。与此同时作为关系国际民生及与人的健康、生命密切相关的特殊产品，医疗资源的安全性、公平性、以及专业性受到了互联网医疗应用的巨大冲击。因此，要保持互联网医疗业务快速良好发展，首先要解决好数据的安全问题。

1.1发展趋势

根据iiMedia Research数据[1]，中国2012年移动医疗（服务类）市场规模为18.6亿元，2014年中国移动医疗市场规模为28.4亿元，预计到2015年这一市场将达到42.3亿元，2017年将达到125.3亿元，年复合增长率达70%以上。2023年将冲破2000亿元大关。可以说无论是手机APP数量还是投资金额，在近两年都有了飞速的发展，医疗互联网行业已经成为创业和资本最热门的领域之一。

1.2应用方向

目前来看，医疗互联网的主要业务主要分布在以下4个方面：

1.2.1移动咨询服务

将医院现有的业务转移到移动互联网上，主要解决：在线挂号、在线候诊、在线问诊、缴费等问题，同时结合电子商务，进行电子处方交易和处方药监管配送。这种模式完全切入目前医院就诊的各个环节，以医院为基础拓展互联网服务。

1.2.2健康管理

针对普通民众越来越重视个人健康的趋势，进行可穿戴设备研发、亚健康管理、母婴健康管理、慢性病管理，甚至是建立全民健康档案，管理全部或某个领域的健康数据。

1.2.3健康金融

通过对医疗健康数据的整理和分析，可以为用户提供健康相关的金融服务，比如：医保实时报销、商保实施赔付，医疗贷款、健康投资等，甚至一些健康类的理财行为。

1.2.4预警与决策支持

通过对医疗健康数据的收集和分析，采用大数据手段，进行疫病预警及监控、医疗资源合理部署、医疗大数据分析等服务。

从互联网医疗可以开展的业务来看，某些业务虽然可以脱离医院存在，但是高质量的医疗资源和医疗数据都在医院内，只有介入医院数据才能提供更好的服务。如何便捷、安全、有序的使用医院内资源和数据，是医疗互联网能否健康发展的关键，因此需要权威机构建立统一的安全标准和进行有效的监管。打消医院开放数据的顾虑，促进行业进一步发展，为老百姓提供更加便捷和安全的医疗健康服务，做到“信息惠民”。

 

2 安全分析

据中国移动医疗年度数据报告，普通消费者最关注移动医疗APP的因素是“隐私和安全”（占42.9%），其次是“服务的质量”（占24.8%）；也就是说，在移动医疗领域，由于医疗行为的特殊性，消费者关注的因素已经发生了根本的变化，下面针对医疗APP典型的应用场景进行安全分析，逐步解决其中涉及的安全问题[2]。

2.1典型应用流程

图1以便捷就医为核心的移动医院方案

 

 

如图1所示，是一个典型的以便捷就医为核心的O2O互联网医疗移动医院方案，患者可以通过手机APP实现挂号、候诊、检查缴费、取检测报告、药品缴费、医患互动等环节，结合线下的服务，可以更加便捷的实现就医。以上线上流程基本覆盖了涉及医院的手机APP的所有应用流程（目前主流的APP只是实现了一部分功能或者没有涉及医院数据服务）。

2.2安全要求

根据便捷就医流程可以看到，要做到让患者安全公平的通过手机APP使用医院的服务，必须满足以下的安全要求：

2.2.1身份认证[3]

医院的身份认证：即用户使用的手机APP以及该手机APP上的数据来自于合法的医院或者第三方。

患者的身份认证：使用该手机APP进行操作的为患者本人或者患者授权的第三方。

医生的身份认证：在进行在线问诊、医患互动、开具电子病历/电子处方时，必须认证医生的身份，即：医院授权或者患者认可的医生才能对患者进行医疗服务，防止未经授权或者冒牌医生进行服务，避免医疗纠纷发生。

2.2.2数据机密性

传输机密性：在使用手机APP的过程中，手机APP与医院系统或第三方系统交互时，用户敏感数据必须加密传输，防止在传输过程中被窃取。

终端机密性：防止用户敏感数据在手机或者计算机上浏览时，通过截屏、木马、恶意软件等渠道泄漏数据。

2.2.3数据完整性

确保数据在传输过程中没有被篡改，即：医院发送的数据、网上传输的数据、用户看到的数据、审计记录的数据必须保持一致。

2.2.4抗抵赖

患者、医生通过手机APP相关系统进行的交互等相关操作必须进行抗抵赖处理，比如：医生开具的电子病历、电子处方、在线医嘱等，患者确认的缴费/支付、医疗结果确认等关键操作。

2.2.5数据分级保护

用户/医生在使用手机APP时，其通过手机APP进行医疗行为的权限必须是分级保护的，达到系统要求的安全级别才能进行相应等级的安全操作。比如：查看用户隐私/敏感信息，必须通过用户高级别的身份认证；在线开具病历或者医嘱的行为必须对医生进行高级别的身份认证，这样才能通过安全手段保障医疗行为的安全性和专业性，保障患者的基本权益。

2.2.6关键数据审计

院内关键数据的传输，患者、医生涉及到医疗安全，个人隐私信息等的相关操作，可以在安全环境下进行审计恢复，防止在医疗纠纷、事务回溯等操作时，由权威机构进行审计和取证，保障医院、医生、患者各方的利益。

 

3 系统设计

移动医疗发展到现在，为了更好地为患者服务，提高全民的健康管理水平，便捷就医，安全有序的让手机APP接入医院内部系统大势所趋。但是在开放院内数据资源之前，必须解决好上文所描述的安全问题，形成统一的安全管理和监管，下面就详细介绍一种利用已经成熟的信息安全技术结合相应的管理解决安全问题的方法。

3.1系统设计

3.1.1功能描述

图2国家级的移动互联网医院监管平台

 

如图2所示，建立国家级的移动互联网医院监管平台（以下简称平台），其主要功能包括以下几个方面：

（1）为医院、患者、医生建立统一的身份认证体系，首先通过平台为需要开展互联网医疗业务的医院或第三方机构颁发数字证书[4]，为医生发放统一管理的身份认证硬件，统一手机APP的用户管理。

（2）为各个互联网医院提供用户注册、认证、授权服务，实现医院之间的信息共享，建立全民健康管理体系。

（3）对医院、第三方APP公司、手机APP之间传输的信息进行监控，在平台上记录关键数据交换和操作的审计信息。

为了实现该平台，需要有国家级权威机构统一建立移动互联网医院标准，统一颁发数字证书监管医院，将用户信息、号源、处方等敏感信息统一管理资源共享，统一用户身份认真、授权、注册等，对医院或第三方APP采用统一的安全标准进行管理，并使用大数据技术对互联网医院进行实时监控，最终建立统一的数据平台，更好的服务于人民大众。

3.1.2平台网络拓扑

平台内部的网络拓扑如图3所示：

图3移动互联网医院监管平台网络拓扑

 

平台CA系统[5]：为医疗机构、医生、患者颁发数字证书，用来标识系统中每个实体的身份；

用户信息管理系统：平台对所有医院或第三方APP的用户进行统一的用户管理和授权，在移动互联网医院标准的规范下，明确达到一定级别的安全认证，才能进行相应的业务操作，保障患者的安全体系。同时通过统一的用户信息平台，实现医院之间用户信息的共享，保证医疗服务的公平性。

居民健康卡管理系统[6]：平台内的CA系统、用户信息系统和已有的居民健康卡系统进行打通，让用户在一个地方注册，可以在任何地方进行就医或者使用手机APP。

院内安全中间件：中间件由平台提供，部署在医院内部作为手机数据的接口，移动互联网医院内规定的敏感数据必须通过安全中间件进行传输，同时安全中间件对数据进行审计，从而完成对互联网医院的监管。

客户端控件（PC浏览器控件或手机APP控件）：负责与院内的安全中间件建立安全通道，保证数据的机密性和完整性，由平台统一提供，作为数据接口安装在手机APP或者浏览器中，保证用户环境的安全。同时客户端控件还具备敏感信息显示功能，防止木马、恶意软件、截屏软件在安全环境外获取敏感数据，保护用户隐私。

3.1.3安全机制

图4更清楚的说明安全中间件和安全控件是如何保证敏感数据安全传输，以及完成用户身份认证的。

图4安全中间件与控件之间的交互

 

安全中间件和控件分别通过安全中间件提供的网络接口向监管平台申请数字证书，双方持有各自的数字证书后，使用目前成熟的SSL VPN[7][8]协议建立安全通道，完成身份认证过程，安全通道建立完成后，客户端用户通过安全通道发送用户名和密码到监管平台完成身份认证，同时安全中间件获得该用户可以实现的授权级别，从而向用户提供相应的服务。

因此系统设计的核心思想是通过安全中间件和客户端控件在不安全的环境中，应用密码技术打造一个安全的环境，通过统一的CA系统和用户管理系统实现对用户、医生和业务的分级授权管理，同时安全中间件会对移动互联网医院使用的敏感数据进行监控和审计，最终将审计结果汇总到平台。

3.1.4应用示例

为了更好地说明系统的工作原理，下面以手机APP用户登录认证并查询处方信息为例，说明整个安全方案的运行流程：

（1）用户打开手机APP，手机APP加载控件并与安全中间件完成密钥交换，建立SSL VPN安全通道；在这个过程中需要验证双方的数字证书；如果手机APP没有数字证书，则可以通过手机APP从监管平台申请（新用户）或下载（已有用户）证书。

（2）用户输入用户名和密码，通过安全通道到监管平台进行身份认证。

（3）监管平台认证通过后，向安全中间件返回相应的用户信息和该用户的授权级别，安全中间件完成该用户在院内系统的注册。

（4）用户选择查看处方信息，安全中间件从医院核心系统获取处方信息并通过安全通道向客户端返回处方信息，在这个过程中由安全通道保证敏感信息的机密性和完整性。

（5）客户端控件在控件内显示处方信息，控件能够防范攻击者通过静态反汇编、字符串分析、导入导出函数识别、配置文件分析等手段获得有关安全控件保护实现方式的技术细节。

（6）在整个过程中，用户还可以通过手机APP完成基于居民健康卡的远程卡认证。

（7）用户所有使用的敏感信息均在安全中间件进行监控和审计。

3.2协议栈和接口

图5控件通讯协议栈

 

如图5所示，安全中间件与安全控件通讯的协议栈完全建立在SSL VPN协议之上，即：控件和中间件通讯的所有信息都必须通过VPN通道进行交互。

在SSL VPN协议之上，手机APP开发者可以调用两个接口：

3.2.1移动互联网医院标准规定的涉及敏感信息的业务，比如：电子病历，电子处方，用户个人隐私信息等，必须调用敏感信息接口进行传输，在客户端的显示也由控件统一处理，这样可以有效防止敏感信息通过安全通道泄露。

3.2.2信息传输接口：手机APP可以通过该接口传输任何信息，这些信息也受到安全通道的保护和监管平台的监控，但是可以由用户自行组织显示，开发特有业务。

 

4 管理机制

信息安全技术若要发挥作用，必须有完善的管理流程作为保证，对移动互联网医疗业务的安全监管管理流程如下：

4.1准备开展移动互联网医疗业务的医院或者第三方公司，必须首先向国家主管部门提交申请开通移动医疗业务的材料，并接受相应的考察和资质认定。

4.2国家主管部门根据提交材料审核该医院或者第三方公司是否具备开展移动互联网医疗业务的条件，审批通过则进入流程。

4.3审批不过则不允许开通移动互联网医疗业务。

4.4通过审批的医院或者第三方公司向安全监管平台申请密钥和数字证书，并购置通过认证的安全中间件产品。

4.5将申请的密钥和证书灌装到安全中间件中，并由移动应用开发商将客户端控件（浏览器控件或手机APP控件）集成到应用中。

4.6开发完成经过充分的联调测试后，发布手机APP版本，由用户下载使用。

4.7用户第一次使用该APP时，首先通过安全中间件进行用户注册并向安全监管平台申请用户的密钥和数字证书，以便客户端与安全中间件建立安全可信通道。

4.8注册完成后用户可以使用手机APP提供的各项功能。

4.9安全中间件记录移动互联网医疗相关的审计数据，定时上传到国家主管部门，由后台的大数据系统进行统一的监管和分析。

通过以上的流程，医院或者第三方APP公司在开发移动互联网医院相关业务之前，需要到管理机构进行申请和备案，在通过了审查和资质评定后才能开展相关业务，这样保证了移动互联网医院业务有序、安全的开放。

 

5 总结

从目前来看，移动互联网医疗目前处于一个无序发展的市场，在其高速发展的过程中隐藏着巨大的风险，特别是信息安全和服务质量的风险尤其巨大。本文从移动互联网医院的实际应用出发，分析了业务中的安全需求，提出了建立统一的移动互联网医院安全和监管平台的方案。其中，由管理机构建立国家级的CA中心、用户信息管理中心、居民健康卡管理中心，并将其联通，结合在医院中部署的安全中间件，在客户端部署的安全控件；采用信息安全领域成熟的PKI/CA体系和SSL VPN协议，解决在移动互联网医院应用中存在的身份认证、机密性、完整性、抗抵赖、安全审计等安全问题，同时，凭借平台的安全传输功能，对移动互联网医院传输的数据进行收集、监控和分析。

 

 

[参考文献]

[1] 中文互联网数据资讯中心.iiMedia Research:2012-2013年中国移动医疗市场年度报告[EB/OL][2013-05-05].  http://www.199it.com/archives/109442.html.

[2] 涂宏钢. 移动医疗APP功能需求调查分析和趋势判断[EB/OL][2013-07-07]. http://mt.sohu.com/20140707/n401899643.shtml.

[3] 冯登国. 网络安全原理与技术[M]. 北京：科学出版社,2013:1-379.

[4] 陈宽飞. 基于PKI的银行认证系统设计[D]. 成都：电子科技大学, 2012.

[5] 张利岩. PKI/CA电子认证技术在信息安全领域中的应用[J].科技风, 2008，21(5):35，43.

[6] 原卫生部. 居民健康卡应用规范[S]. 2012-02-29.

[7] IETF. RFC 6101 The Secure Sockets Layer(SSL) Protocol Version 3.0[S]. 2011-08.

[8] 国家密码管理局.GM/T 0024-2014 SSL VPN技术规范[S]. 2014-02-13.