2025第七届智慧医院建设与发展大会投稿论文

基于软件定义边界的零信任平台在医院应用研究

陈建明 银琳通讯作者 凌翔 吴龙强 范年丰

中山大学附属第三医院

摘要：目的 基于软件定义边界架构的零信任访问控制安全体系，有效解决医疗数字化转型带来的医院内外网数据交互、流转、共享过程中的安全风险。方法 结合远程办公、远程运维、数据防泄密、内外网交互等场景，通过动态信任机制、精准权限管控、全局行为审计等技术，探索医疗行业零信任技术的应用实践。结果 基于软件定义边界架构，建立了高安全、轻体验、易部署的医院零信任平台防护体系。结论 本文中设计的基于软件定义边界架构的零信任平台使得医院访问控制更加精细有效，适用于医院不同业务访问场景。

关键词：零信任；软件定义边界；医疗

前言：零信任架构是由Forrester Research的分析师约翰·金德维格（John Kindervag）在2010年正式提出[1]，2020年8月12日，NIST发布了《零信任架构》的正式版本，零信任逐步开始按照业界所认知的三条技术路线持续发展：软件定义边界（Soft Defined Perimeter, SDP）、身份与访问管理（Identity and Access Management, IAM）、微隔离（Micro-Segmentation, MSG）[2]。零信任的核心思想是在默认情况下业务访问过程中的任何人、终端、应用均不可信，在授权前对每一次接入网络和访问网络资源的人、终端、应用进行验证[3]。默认不受信、最小权限原则、持续动态访问控制和授权，以及持续安全防护等原则使得零信任技术近年来在各行各业中广泛应用。由于医疗行业网络的封闭性，零信任技术的应用处于起步阶段，大多医院使用零信任产品来替换传统的虚拟专用网络(virtual private network, VPN) 产品，也有医院尝试搭配堡垒机运维、急救诊疗等场景探索[4]。本文从医院的信息化发展现状以及业务访问实际场景出发，探讨基于SDP架构的零信任技术在医院的建设实践，供各级医疗卫生机构参考。

一、 医疗业务网络安全面临挑战

随着云计算、大数据等新兴技术的快速发展，医院业务架构和网络环境发生了重大变化[5]。一方面网络安全边界逐渐模糊化，另一方面快速增长的数字化办公需求也让医院办公网络更加复杂，远程诊疗、分级诊疗、一院多区协同办公等办公场景越来越普遍，如何确保多样化办公场景下的医院数据安全，成为医院数字化转型的必答题。数据泄露的根本因素是“人”，医院数据安全的风险主要来自于“人访问业务”的场景。如何让“正确的人” 通过“正确的方式”访问到“正确的业务和数据”，是业务数据保护的关键[6]。由于办公场景的多样化，要使医院的数据充分流转、利用起来会带来较大的安全风险，如果进行严格的数据访问控制则又无法最大化的发挥数据作为生产要素的价值。因此，在搭建医院网络架构时不仅需要考虑信息安全体系如何建设，同时也需要考虑接入终端、业务访问角色、网络环境、业务系统的多样化，在保证业务连续性、数据流转率以及网络安全性的前提下尽可能地优化用户体验以及改进运维效率，以便更好得支撑医院的数字化转型进程以及业务的快速稳定运转。

1.1网络安全风险

受疫情、业务上云等因素影响，同时为了提升便利性，医院开始尝试开放一部分业务在互联网访问，最常见的是OA、订餐等系统，尽管这些系统需要做身份认证才能访问后端数据，但是由于应用端口的暴露、系统本身的漏洞以及攻击技术和手段的不断提升，这些可以从互联网访问的院内业务系统仍然给医院带来了极大的网络安全风险。

1.2数据泄露风险

无论是互联网访问还是医院内网访问业务，都存在通过终端、外设、截屏、录屏等将医患数据外发的手段。以我院为例：

（1）我院是一个多院区一体化协同办公医院，由院本部（天河院区）、萝岗院区、粤东院区和肇庆院区组成，同时对外向精准医学研究院等外部机构提供数据支持，在数据访问、流转、存储、管理等方面缺乏有效的防护手段；

（2）我院的大量行政办公人员、临床科研人员、院领导由于其工作的特殊性，需要同时具备院内、院外便捷办公的条件，财务数据、科研数据、病例讨论数据、医院信息等敏感数据存在大量个人下载、拷贝、外发、院外访问等难点；

（3）我院的第三方外包运维团队、科研人员每天都有从院外访问院内敏感数据或核心业务系统的需求，通过VPN、堡垒机等设备仅能做粗略的网络策略管控和行为审计，在接入终端安全检测、用户权限细粒度管控、数据不出医院等方面传统技术手段无法实现。

二、 医院基于软件定义边界的零信任平台架构设计

2.1整体架构设计

该零信任平台以软件定义边界做为技术路线，结合桌面云VDI架构，在互联网、医院外网、医院内网环境下构建多样化场景的业务访问安全体系，在充分利用医院数据要素的基础上分密级保护医院数据安全，详细技术架构见图1。

2.2平台部署方式

该平台部署组件包括零信任控制中心、零信任代理网关和桌面云集群。零信任控制中心和代理网关通过旁路的方式部署在医院的外网安全管理域中，并将相关的业务端口通过互联网出口防火墙映射，保证设备能上外网，该部署方式不改变医院的主体网络架构和拓扑，不参与业务流量选路，只有在设备故障或直连线路故障时才会影响业务流量走向。桌面云集群由三台高性能服务器组成，三台服务器采用超融合的技术架构通过业务交换机接入医院内网核心交换机，同时通过虚拟化的方式部署桌面云管理端，利用桌面云管理端配置好业务网络、存储网络和管理网络，使桌面云管理端可以访问外网零信任控制中心和代理网关，以实现与零信任系统的单点登录效果。

2.3技术实现方式

虚拟桌面基础架构VDI是通过服务器为用户部署专用虚拟机，能针对临床的不同使用者分配其所要求的操作系统和医疗信息系统，使用者通过远程协议对系统访问，用户的终端数据存放在数据中心的专属服务器,优势是集中存储和运算[7]。为了减少硬件的投入，采用了混合磁盘进行整合，降低成本的同时获得较高的数据吞吐性能，将日常频繁使用的数据存储在高速的SSD硬盘中，提高访问效率，同时支持Windows XP、7、10等多种常见桌面云操作系统，同时支持云终端、笔记本、PC、智能终端等多种类型接入终端。同时，零信任SDP理念设计了最小数据访问模型，通过对身份、终端、网络、权限、业务和数据的访问风险建模，实现让“正确的人”通过“正确的终端”在“任意网络位置”基于“正确的权限”访问。该模型将人（身份）、终端、网络位置、访问权限、业务、数据等这些分散的安全单元串了起来[8]。

三、 应用效果

我院从2022年开始尝试桌面云建设，于2023年开始建设零信任平台，经过网络架构的不断调整搭建起了以零信任SDP架构和桌面云VDI架构为核心的零信任平台，解决医院业务访问过程的三大场景：①企业微信H5应用安全无感知访问，②跨院区无边界办公，③第三方机构安全便捷接入。

3.1企微H5应用安全无感知访问

实现过程：发布应用至企业微信工作台（OA为例）；将OA地址映射至零信任网关，零信任网关地址对外发布；从互联网访问OA，数据转发至零信任网关；零信任网关通过oauth2认证接口向企业微信获取用户登录信息，实现单点登录；零信任网关代理访问内网OA应用；OA返回数据给零信任网关；零信任网关将数据加密返回给企业微信。

3.2跨院区无边界办公

实现过程：在总院数据中心部署一套桌面云服务器，按需创建win7、10、11、麒麟、统信等虚拟桌面。总院办公人员使用桌面云终端或PC客户端通过院内网络访问，肇庆院区、萝岗院区和粤东院区办公人员使用PC客户端通过院区间专线网络接入虚拟桌面，当办公人员存在跨院区办公情况时，使用个人账号就可以随时随地接入个人桌面，无需特定终端。整个访问过程仅传输图像与指令，实现数据集中存储在数据中心的安全效果。

3.3第三方机构安全便捷接入

实现过程：第三方机构接入根据业务和数据重要性分密级访问，外包运维人员访问低密级业务（堡垒机等）需通过零信任身份认证并检测终端环境是否安全；药品供应商访问中密级业务（共享文件应用等）需通过零信任身份认证后在沙箱空间访问，数据在本地进行透明加密，无法被转发和拷贝；精准医学研究院访问高密级业务（EMR等）需经过零信任身份认证后通过虚拟桌面访问，保证数据集中存储不落地。

四、结束语

未来，为顺应新一轮科技革命和产业变革趋势，实施数字化转型已成为各行各业的共识，医疗行业也不例外，国家卫生健康委员会在《关于深入推进“互联网+医疗健康”、“五个一”服务行动的通知》中对推进数字化转型的案例进行了推荐[9]。数字化转型对医院的快速发展是巨大的机遇，与此同时医院信息化应用场景复杂，数据价值高，安全防护手段薄弱，转型过程中的网络安全问题也是巨大的挑战。在医院数字化转型过程中，网络安全是先锋官，打造具有安全基因的信息系统，建立具有实战能力的安全运营团队，前瞻性地强化新技术应用安全保护措施将对医院未来的网络安全指明了方向同时也提出了更高的要求。医院在构建完善的鉴黑技术防护体系的同时，也需探索鉴白的技术路线实现方式，以此来达到降本增效的目标。

参考文献

[1] 中国信息通信研究院安全研究所,腾讯科技(深圳)有限公司,卫生信息安全与新技术应用专业委员会,等 .2019健康医疗行业网络安全观测报告 [R/OL].(2019-07-30) [2023-11-27].

[2]Scott Rose,Oliver Borchert. Zero Trust Architecture(2020年)[EB/OL].

[3]中国信息通信研究院.网络安全先进技术与应用发展系列报告——零信任技术(Zero Trust)[R/OL].(2020-08-12)[2022-07-10].

[4]许明，包国峰.医院零信任网络安全分析及框架体系设计[J].中国卫生信息管理杂志 , 2022,19(06):884-888.

[5]连斐.云计算时代下数字医院的信息安全[J].网络安全技术与应用,2024,(05):99-101.

[6]韩雪峰,王希涛.零信任在医院信息系统中的设计与应用[J].中国卫生信息管理杂志,2023,20(06):964-968.

[7]王育合,李明,杨金奎,等.医疗桌面云系统的构建与应用分析[J].西南军医,2021,23(01):93-95.

[8]蒋宁,范纯龙,张睿航,等.基于模型的零信任网络安全架构[J].小型微型计算机系统,2023,44(08):1819-1826.DOI:10.20009/j.cnki.21-1106/TP.2023-0168.

[9]关于深入推进“互联网+医疗健康”“五个一”服务行动的通知[J].中华人民共和国国家卫生健康委员会公报,2020,(12):37-44.