陆军军医大学第一附属医院又名西南医院，是一所现代化综合性“三级甲等”医院。近年来随着远程问诊、互联网医疗等新型服务模式的不断丰富，医院业务相关人员、设备和数据的流动性增强。网络边界逐渐模糊化，导致攻击平面不断扩大。医院信息化系统已经呈现出越来越明显的“零信任”化趋势。零信任时代下的医院信息化系统，需要为这些不同类型的人员、设备提供统一的可信身份服务，作为业务应用安全、设备接入安全、数据传输安全的信任基础。

本方案主要建设目标是为陆军军医大学第一附属医院内外网建立一套基于“可信身份接入、可信身份评估、以软件定义边界”的零信任安全体系，实现医院可信内部/外部人员、可信终端设备、可信接入环境、资源权限安全。全面打破原有的内外网边界使得业务交互更加便利，医疗网络更加开放、安全、便捷，为医院全内外网业务协作提供安全网络环境保障。

根据对陆军军医大学第一附属医院安全现状和需求分析，采用基于零信任安全架构的身份安全解决方案，为医院构建零信任体系化的安全访问控制，满足医院内外部资源安全可信诉求。总体架构设计如下：

图1 陆军军医大学第一附属医院总体架构设计图

面向互联网医疗的应用场景，通过与可信终端安全引擎、零信任安全防护体系核心组件、零信任安全防护体系支撑组件结合，为医院设备、医护人员和应用提供动态访问控制、持续认证、全流程传输加密。

1.终端安全引擎

在院内外公共主机、笔记本电脑、医疗移动设备等终端设备中，安装可信终端安全引擎，由统一设备管理系统与院内资产管理系统对接，签发设备身份证书。医院用户访问院内资源时，首先进行设备认证，确定设备信息和运行环境的可信，通过认证后接入院内网络环境，自动跳转到用户身份认证服务。

院内资源访问过程中，引擎自动进行设备环境的信息收集、安全状态上报、阻止异常访问等功能，通过收集终端信息，上报访问环境的安全状态，建立“医护人员+医疗设备+设备环境”可信访问模型。

2.零信任安全网关

为避免攻击者直接发现和攻击端口，在医院DMZ区部署零信任安全认证网关，提供对外访问的唯一入口，采用先认证后访问的方式，把HIS、LIS、PACS等临床应用系统隐藏在零信任网关后面，减少应用暴露面，从而减少安全漏洞、入侵攻击、勒索病毒等传统安全威胁攻击面。

零信任安全网关与可信终端建立SSL网络传输数据加密通道，提供零信任全流程可信安全支撑（代码签名、国密SSL安全通信、密码应用服务等），确保通信双方数据的机密性、完整性，防止数据被监听获取，保证数据隐私安全。

3.安全策略决策服务

安全策略决策服务对医院用户账号、终端、资源接入进行访问策略评估和管理，并对接入医院用户和医疗设备进行角色授权与验证，实现基于院内用户及设备的基础属性信息以及登录时间、登录位置、网络等环境属性做细粒度授权，基于风险评估和分析，提供场景和风险感知的动态授权，并持续进行身份和被访问资源的权限认证。

4.统一身份信任管理

统一身份信任管理分为统一身份管理模块、统一设备管理模块、统一资源管理模块、统一威胁情报管理模块四个部分。统一身份管理模块实现用户面向各业务系统的统一身份访问，解决信息化系统集中管理难、用户使用不便、认证授权不安全等问题。统一设备管理模块提供面向各类终端设备的统一管理、身份核验以及终端环境检测、终端接入应用安全管理等功能。统一资源管理模块提供对资源的可信签名和资源的统一管理等功能。统一威胁情报管理模块可实现对网络流量实时监控，用户行为收集分析，终端设备漏洞扫描及服务端设备运行环境和运行状态安全监控，并针对重大事件进行主动告警等功能。

5.密码基础设施

密码基础设施分为证书服务模块、密码服务模块和实名核验服务模块三个部分。证书服务模块主要是针对医院用户、医疗终端设备进行证书签发，保证用户和设备的合法性。密码服务模块主要针对统一身份信任管理和零信任安全网关在传输、存储过程中的数据进行签名操作，保证数据的完整性、可追溯以及抗抵赖性。实名核验服务模块用于证书签发时对用户身份的核验工作，保障用户身份的真实性。

1.用户管理方面价值

解决医院当前面对医疗访问群体多样化的问题，建立统一的身份管理，减轻了运维成本。

2.设备管理方面价值

将医疗设备进了统一管理，保障了设备接入的安全管控，对接入设备进行了有效的身份鉴别。

3.权限管控价值

1）隐藏医疗应用系统，无权限用户不可视也无法连接；对有权限的业务系统可连接但无法知悉真实应用地址，减少黑客攻击暴露面。

2）以访问者身份为基础进行最小化按需授权，避免权限滥用。

4.访问安全价值

1）采用了“用户+设备+环境”多重认证方式，即保证了认证的安全，还不影响用户使用体验。

2）通过感知环境状态，进行持续认证，随时自动处理各种突发安全风险，时刻防护医院业务系统。

5.数据安全价值

1）进行了全链路信道安全，消除了医疗数据传输安全风险。

2）对患者数据进行了隐私保护，解决了数据内部泄露问题。

1.围绕设备证书建立设备信任体系

在传统数字证书框架中，增加针对设备信任的评估环节，以设备证书作为零信任安全体系的基石。

2.自动化授权体系

零信任访问控制区建立的一整套自动化授权体系，可根据用户属性、用户行为、终端环境、访问流量等多维度数据，自动对用户权限进行实时变更，从而保障内部系统安全性。

3.基于设备信任最小化攻击平面

在任何网络连接建立时，首先进行设备认证，能够有效阻止非法设备的连接、嗅探、漏洞扫描等恶意行为，既能最小化系统的暴露平面，又可以灵活适应一人多设备、多人共用设备、物联网设备等不同场景。

4.以信任的持续评估驱动用户认证

通过信任的持续评估驱动认证机制的动态调整，根据动态的信任评估结果反馈调整用户认证机制。

5.海量的应用加密通道支撑

逻辑虚拟化技术的深入推进，支持海量的应用加密通道。

1）通过SSL 多实例技术，实现同一台设备上支持多个SSL 服务，实例之间通过密码卡实现密钥物理隔离。

2）基于高性能网络协议栈，实现海量的TCP/SSL 连接支持，通过算法和代码流程的优化，不断提高每秒新建连接数。

3）吞吐率、并发连接数和每秒新建连接数等网关指标做到业界领先。

在项目的实施阶段,首先要明确医疗内部和外部的访问者身份，实现医院人员的统一身份管理。在此阶段，需要对内外部用户身份目录进行梳理，由于医院系统用户涉及医生、患者、临聘人员、其他医疗机构人员等多方用户，所以需要整合多部门的用户信息，保证用户信息的实时性、同步性和一致性。另外，由于医院业务系统数据存储方式多样，项目组根据不同业务系统数据结构编写了大量针对性的数据清洗脚本，进行身份数据统一收集、清洗、整理、加密。

其次，对医院信息科进行调研，将需要接入医院网络进行应用数据传输的医疗终端及手持设备，如：PC、智能手机、平板以及患者随身佩戴的小型监测设备等物联网设备信息收集汇总和统一管理。由于医院没有资产管理系统，未对设备进行统一管理，为此数字认证临时开发了一套在线设备信任凭证在线签发系统，自助采集设备基本信息、自助签发下载设备信任凭证。另外，在集成可信终端安全引擎模块前，针对医院各类终端存在时间跨度久且种类繁多的特点，在各类、各版本操作系统进行多次软件兼容性测试等工作，解决与医院各类终端适配问题。

然后，集成医院现有的各类业务系统，接入零信任安全网关，通过API代理统一对外提供服务。医院物理场所开放、网络多样，各类网络基础设施的物理安全无法统一保障，在院内各医疗服务网络出口前端部署应用安全网关后，为传输的业务数据进行加密保护，有效防止攻击者窃取、篡改、插入或删除敏感数据。

最后，通过分析医院的访问需求，制定可信的安全策略，管控访问内容和访问权限。在可信身份服务的基础上综合评估设备安全风险、访问行为频率、以及发生访问请求的时间地点等因素，进行持续风险评估和动态授权，保障各项医疗服务被医院各类用户同时访问的安全性。在制定安全策略时，遵循“动态最小权限”原则，结合医院实际业务需求，通细粒度的动态访问控制，应对医院诊疗业务中的精细化安全管理风险。

引入零信任体系后，在进行远程医疗访问、内部业务访问、互联网访问时，原有访问流程不变，将因网络安全架构改变而对用户造成的影响降至最小。

以往医院针对不同用户及需求分配内网和外网访问权限，但内外网部分应用需要进行数据共享，无法对内外网进行严格意义的完全隔离，因此在数据共享过程中即存在严重安全隐患。在引入零信任体系后，所有用户、设备、应用和服务等身份都被抽象成主体身份，不再通过内外网区分安全域，都需要通过主体身份的属性进行动态认证和鉴权，上述安全问题迎刃而解。

以上案例由CSA大中华区会员单位数字认证提供