摘要:为医院日常业务流程、移动办公、数据共享分发,提供一套结合基于多策略的安全私有云盘应用方案,保障了核心关键数据的隐秘性和安全性,杜绝可能的敏感操作。医院现有存储设备利用虚拟化技术对现有存储集群进行隔离改造,构建了一套B/S、C/S联动的数据云盘应用系统,一方面为终端用户云端备份以及数据访问提供便利工具,另一方面为敏感数据的可控管理提供支持平台。自建安全私有云盘利用沙箱隔离技术阻断了风险进程的非法写入和用户的敏感操作,同时又为核心数据的管控提供了多种分发加解密策略,有效的提高了数据的安全保障。
1引言
当下医疗机构中部署的应用多达十几甚至几十项之多,庞大复杂的软件应用、网络分布部署、存储与服务器应用给医疗机构信息系统的可控带来了极大的挑战。同时,越来越多的医疗数据和病人信息接入到互联网,虽然给医疗数据的共享、复制和传播极大的便利,伴随而来的也有巨大的数据泄露风险,医院核心机密数据都处于暴露状态。除了安全性问题,建设成本的控制与投入、全周期的系统维护管理和信息日医院信息化建设带来了重重障碍。
为应对以上问题,利用私有云盘以及存储虚拟化管控解决数据安全等隐患开始逐步成为研究的重点。如肖激雷等人医院的数据中心,通过虚拟化技术整合各项资源,形成了具有计算池、存储池、网络池、医院私有云数据中心结构,不断降低了运维成本提高了资源利用率也为日常管理工作提供了更多便利。肖辉等人利用三方云盘作为私有云介质,将患者就医信息上传至云盘从而实现云盘功能注册、时段控制、加密授权、接口数据上传以及授权调用等,由此为实现无胶片、无纸化就医,病患就医数据的自掌握、数据的易存易取提供了便利,但是也带来了数据泄露等隐患。而在虚拟化技术应用方面,广昊等人利用基于虚拟化的移动医疗安全价格模型实现可靠的安全保护模式,架构主要包含了可信虚拟化平台、系统边界安全、应用访问控制、网络安全隔离和移动终端安全五个方面,实现了对非法连接的阻断、阻止了病*木马传播扩散并且具有可视化审计功能,医院移动医疗的安全需求。洪怀江等人在服务器端利用虚拟化架构和功能设计平台实现了快速恢复、业务连续稳定的虚拟化部署,有效地实现了整合资源、动态迁移、资源分配、合理管控等功能,提高了硬件资源的利用率和灵活性,也便于信息人员管控操作。袁琛早在年就总结到医疗行业安全问题涉及到数据交互、移动终端接入以及云盘应用等,利用虚拟化技术手段是比较可行的主要应对策略之一。
2主体结构设计
自建私有云盘的设计,一方面为用户访问关键核心数据提供了一套可控流程,另一方面为用户对所需数据的共享、备份提供跨时间、跨地域的解决方案。用户利用终端客户端构建的虚拟隔离沙箱环节对文件进行存取操作,阻断非可信进程的数据写入以及非法本地外设拷贝操作,同时利用多个维度的文件外发、文件审批、共享机制实现对核心数据访问的高度可控。
图1私有云盘主要系统架构
整个自建云盘的体系结构如图1所示,主要包含了Web安全管控平台、云盘服务器、终端客户端几大部分。其中Web安全管控平台作为整个系统的管理层级掌控整个私有云盘的安全级别配置和用户下发。云盘服务器是基于异构存储改造构建完成的,能够兼容各种新建和现有的存储介质,既包括传统的磁盘阵列、NAS、分布式文件系统等用户自行部署的私有存储介质,也包括基于互联网的公共云存储服务等。灵活的存储介质使系统能够基于各种应用需求进行灵活扩展,其部署成本和复杂度也得以大幅降低。每个终端用户都同时配备一个Web镜像平台账号,其文件内容为本机客户端的一份拷贝,为跨平台和地域访问提供了基础。
3系统功能角色概述
私有云盘的主要功能可从终端用户和安全管控平台管理员两个方面进行阐述。图2是终端用户用例图,主要描述终端用户涉及的相关功能模块。用户完成本地私有云盘的安装程序后,将能够使用云盘的基本功能:利用个人空间可以实现对文件的云端备份存取等,共享空间是用于浏览上级管理员下发、共享的数据文件,空间快照则是方便用户对自己账号内的数据、文档进行备份操作,便于追踪溯源文件版本。
图2终端用户用例图
在整个私有云盘系统体系中,所有的数据文件均是被加密算法强制加密保存至云盘的,终端程序一旦安装完成,本机用户无法强制退出该客户端或者关闭该进程的;同时,云盘内文件无法直接进行拷贝、复制等操作,从而有效地保障了云盘内数据的安全。如果云盘用户想要对文件进行敏感操作必须经过策略审批才作完成解密、外发等操作,图2中终端功能用例所包含的审批管理、外发文件等都是实现对服务器关键数据安全管控的主要功能组建,策略制定允许的情况下,终端用户也能对其他用户群的外发操作审批回复,从而保障了系统的灵活性。
图3描述的是作为系统核心的安全管控平台具备的相关功能组件。其中保镖策略、审批规则两大功能模块共同组成私有云盘安全文件管控的相关性定制功能。保镖策略分表可以对应用程序和数据文件两类内容制定相关策略,应用策略涵盖了目前主流应用如微软程序、办公软件、编程开发、图形图像、业务系统、通讯软件、游览器等等。针对不同分类下的应用策略制定包含一系列功能设置,如相关进程识别、允许访问的IP地址段、对安全网盘访问的读解密与写加密控制、是否允许打印、进程的继承权等等。文件归档策略主要是对处于客户端管控下的终端访问的文件是否进行归档备份进行策略控制,通过对不同后缀名的文件进行识别自动执行策略,能够有效地对各个本机文件进行云端备份、版本管理等操作。应用策略和文件归档策略都能够通过策略模板功能批量制定和实施,便于管理员根据不同用户分组进行规则下发。审批规则功能主要针对三类操作:外发审批、文件打印、邮件外发,进行规则制定。审批规则可以依据需求选择是由固定用户进行任一审批或设置多个审批用户实现逐级审批,不同的审批规则可以指定生效的用户群体,灵活性较高。
图3安全管控平台管理员用例图
除了私有云盘针对应用和文件外发的审批功能外,管理员平台还需有组织管理、系统配置、文件检索、日志审计等数据安全管控平台具备的常用功能。通过一系列的策略组合和审批规则,结合具有不同安全需求级别的具体应用场景,自建私有云盘系统能够起到很好的管控作用。
4结论
供医疗机构内部使用的私有云安全网盘设计方案,医院员工日常业务办公提供了一个类似于云盘的虚拟空间,从而方便地实现文件保存、版本管理、异地存取等功能;另一方面,对于部署了管控平台的终端机器可以实现多层次权限的文件分发管理,尤其是对于重要机密文件的流转控制以及多途径的安全操作管控手段。
私有云安全网盘设计方案提供了Web页面访问和终端客户端两种使用方式,有利于用户跨平台跨系统使用访问自己云盘的文件。管控安全平台则提供了诸如系统进程监控、多文件类型敏感自定义控制、文件外发多层权限管理等一系列途径,从而满足了对核心机密文件的访问控制。此外,平台的部署是医院现有存储设备进行的虚拟化异构改造,其过程大大地节省了成本,提高原有资源的利用率,使得该改造部署方案可以实现推广应用。未来的研究医院实际办公情况进一步结合,以期带来实质性的效益转化。
文章来源:《中国数字医学》杂志,作者及单位:徐骁李爱勤,湖南省儿童院。
戳这里!!!