醫(yī)院信息網(wǎng)絡(luò)的風(fēng)險(xiǎn)及對(duì)策

■ 趙向榮 陳敏蓮 黃 海 胡珊珊

1 醫(yī)院信息網(wǎng)絡(luò)安全存在的風(fēng)險(xiǎn)

醫(yī)院信息網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)主要來(lái)自網(wǎng)絡(luò)本身以及系統(tǒng)本身，因此對(duì)于信息安全隱患和漏洞的定義要從系統(tǒng)與網(wǎng)絡(luò)兩個(gè)方面入手。

1.1 系統(tǒng)方面的風(fēng)險(xiǎn)

1.1.1 醫(yī)院信息網(wǎng)絡(luò)與信息系統(tǒng)存在風(fēng)險(xiǎn)。由于 TCP/IP 網(wǎng)絡(luò)協(xié)議與常用的windows操作系統(tǒng)、SQL數(shù)據(jù)庫(kù)和某些通用應(yīng)用軟件自身的缺陷，安全漏洞及隱患必然存在于醫(yī)院業(yè)務(wù)系統(tǒng)中，這些安全問(wèn)題可能直接導(dǎo)致醫(yī)院業(yè)務(wù)系統(tǒng)停止運(yùn)行，將會(huì)引發(fā)災(zāi)難性的故障。這種安全風(fēng)險(xiǎn)來(lái)自外網(wǎng)也可能來(lái)自?xún)?nèi)網(wǎng)，因此需要對(duì)操作系統(tǒng)、業(yè)務(wù)軟件及網(wǎng)絡(luò)建設(shè)進(jìn)行安全加固，只有不斷更新安全建設(shè)才能得到安全保障。

1.1.2 信息系統(tǒng)內(nèi)部黑客和系統(tǒng)誤用風(fēng)險(xiǎn)。對(duì)于所有內(nèi)部網(wǎng)絡(luò)，都會(huì)存在未經(jīng)授權(quán)即可訪問(wèn)數(shù)據(jù)中心的風(fēng)險(xiǎn)，一旦數(shù)據(jù)中心在內(nèi)部網(wǎng)絡(luò)被公開(kāi)，那么所有人都能夠通過(guò)各種攻擊、入侵方式獲得想要的數(shù)據(jù)信息，這是非常危險(xiǎn)的，一旦發(fā)生將會(huì)存在各種災(zāi)難。因此必須將數(shù)據(jù)中心與信息辦公內(nèi)網(wǎng)隔離開(kāi)，需要授權(quán)才能夠訪問(wèn)。

1.1.3 系統(tǒng)日志審計(jì)分析風(fēng)險(xiǎn)。缺乏對(duì)重要業(yè)務(wù)系統(tǒng)的日志、重要應(yīng)用日志和關(guān)鍵系統(tǒng)日志、關(guān)鍵網(wǎng)絡(luò)設(shè)備日志的審計(jì)機(jī)制，在出現(xiàn)故障的時(shí)候，將無(wú)法排查，出現(xiàn)安全事件的時(shí)候沒(méi)有依據(jù)可以追溯，無(wú)法解決安全問(wèn)題，所以一旦發(fā)生安全事故將會(huì)帶來(lái)無(wú)法挽回的災(zāi)難，所以應(yīng)該實(shí)施統(tǒng)一的日志管理并且經(jīng)常備份日志。

1.1.4 系統(tǒng)安全管理風(fēng)險(xiǎn)。整體系統(tǒng)缺乏集中統(tǒng)一的安全管理中心，分權(quán)對(duì)各安全支撐系統(tǒng)實(shí)施集中統(tǒng)一的監(jiān)控與策略；缺乏對(duì)安全產(chǎn)品的集中控管，包括集中控制、集中配置、集中報(bào)警、集中日志存儲(chǔ)和分析，并且授權(quán)專(zhuān)人管理。

1.1.5 來(lái)自?xún)?nèi)部或者外部拒絕服務(wù)攻擊風(fēng)險(xiǎn)。DDOS分布式拒絕服務(wù)攻擊有許多種方式，例如TCPSYN、UDP洪水、TCPLAND等，這些攻擊都將使應(yīng)用服務(wù)器在很短的時(shí)間內(nèi)創(chuàng)建大量的客戶(hù)端鏈接，占用大量的帶寬，直到耗盡系統(tǒng)資源，此時(shí)系統(tǒng)性能?chē)?yán)重下降，正常業(yè)務(wù)無(wú)法維持，應(yīng)用系統(tǒng)陷入癱瘓壯態(tài)。要防御這種攻擊就必須部署強(qiáng)大的防火墻以及分布式虛擬化服務(wù)器系統(tǒng)。

1.2 網(wǎng)絡(luò)方面的風(fēng)險(xiǎn)

1.2.1 來(lái)自外部網(wǎng)絡(luò)的風(fēng)險(xiǎn)。醫(yī)院的信息系統(tǒng)通常會(huì)與Internet連接，必然存在各種不同級(jí)別的外部互聯(lián)網(wǎng)入侵風(fēng)險(xiǎn)。醫(yī)療信息化的安全需要跟隨安全技術(shù)的革新才能有效防御最新的安全入侵技術(shù)，如果停留在原地不動(dòng)，那么永遠(yuǎn)得不到相對(duì)的信息安全保障，會(huì)對(duì)信息化醫(yī)療業(yè)務(wù)帶來(lái)災(zāi)難性的打擊。

1.2.2 互聯(lián)網(wǎng)病毒、木馬威脅風(fēng)險(xiǎn)。病毒及木馬的傳播途徑有許多種，目前病毒已成為計(jì)算機(jī)信息系統(tǒng)的重要威脅之一。

另外，在醫(yī)療信息系統(tǒng)中，有些非常重要的業(yè)務(wù)系統(tǒng)，如HIS、LIS、醫(yī)囑等對(duì)醫(yī)院的正常運(yùn)營(yíng)起到支持的業(yè)務(wù)系統(tǒng)需要單獨(dú)隔離，獨(dú)立專(zhuān)網(wǎng)管理，做到與互聯(lián)網(wǎng)完全隔離，或者經(jīng)過(guò)專(zhuān)人授權(quán)才能夠訪問(wèn)，降低業(yè)務(wù)系統(tǒng)被破壞的風(fēng)險(xiǎn)。

內(nèi)部辦公人員上互聯(lián)網(wǎng)時(shí)違反醫(yī)院規(guī)定，上班時(shí)間炒股、玩游戲等需要進(jìn)行限制，尤其是一些上班時(shí)間看電影、迅雷下載，占用了網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)擁堵，影響了正常的醫(yī)院信息化業(yè)務(wù)。

2 解決方案

通過(guò)設(shè)置多個(gè)安全支撐系統(tǒng)來(lái)形成對(duì)系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)庫(kù)、數(shù)據(jù)的立體動(dòng)態(tài)安全保護(hù)，安全措施可以采取以下方式。

2.1 服務(wù)器端的數(shù)據(jù)安全方案

2.1.1 服務(wù)器虛擬化。服務(wù)器端通過(guò)VM的服務(wù)器虛擬化技術(shù)建立成一個(gè)由2臺(tái)高端服務(wù)器組成的云集群，然后許多如HIS、LIS等業(yè)務(wù)系統(tǒng)通過(guò)虛擬化操作系統(tǒng)來(lái)工作。這樣可以有效對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行實(shí)時(shí)備份，也可以防止因?yàn)槲锢矸?wù)器故障而中斷業(yè)務(wù)，更方便業(yè)務(wù)系統(tǒng)今后的遷移工作。

2.1.2 SAN存儲(chǔ)架構(gòu)。建設(shè)多套 SAN 架構(gòu)存儲(chǔ)網(wǎng)絡(luò)，為 HIS、PACS、OA 系統(tǒng)提供了大容量、高速度的磁盤(pán)存儲(chǔ)，選用可擴(kuò)展的存儲(chǔ)器，可通過(guò)存儲(chǔ)的擴(kuò)展來(lái)支持存儲(chǔ)需求的增長(zhǎng)。運(yùn)用RAID5、LanFree 等網(wǎng)絡(luò)技術(shù)，保證了數(shù)據(jù)的可靠和高效。

2.2 網(wǎng)絡(luò)安全策略方案

2.2.1 建立安全的數(shù)據(jù)中心。整體網(wǎng)絡(luò)中的關(guān)鍵設(shè)備均使用兩臺(tái)實(shí)現(xiàn)雙機(jī)熱備份結(jié)構(gòu)，重要的數(shù)據(jù)采用集群方式存放，網(wǎng)絡(luò)結(jié)構(gòu)上建設(shè)一個(gè)DMZ區(qū)的數(shù)據(jù)中心，這是典型的安全信息網(wǎng)絡(luò)結(jié)構(gòu)，DMZ數(shù)據(jù)中心的服務(wù)器對(duì)于外部（UNTRUST）和內(nèi)部（TRUST）區(qū)域的訪問(wèn)均通過(guò)防火墻進(jìn)行策略隔離，這樣外部和內(nèi)部訪問(wèn)DMZ均經(jīng)過(guò)防火墻進(jìn)行過(guò)濾。在防火墻下方部署兩臺(tái)認(rèn)證網(wǎng)關(guān)設(shè)備，這個(gè)設(shè)備對(duì)外部訪問(wèn)內(nèi)部的數(shù)據(jù)進(jìn)行第二次的攻擊防御，只有兩道門(mén)都打開(kāi)的情況下，外部才能訪問(wèn)到DMZ區(qū)域的服務(wù)器數(shù)據(jù)。

2.2.2 核心交換虛擬化集群。網(wǎng)絡(luò)核心設(shè)備通過(guò)IRF2智能集群技術(shù)使兩臺(tái)核心交換機(jī)形成虛擬化的統(tǒng)一集群，任何一臺(tái)核心交換機(jī)損壞，不會(huì)中斷網(wǎng)絡(luò)業(yè)務(wù)。防火墻開(kāi)啟DDOS防御、LAND攻擊、IP欺騙等各項(xiàng)入侵攻擊防御技術(shù)，所有的業(yè)務(wù)網(wǎng)絡(luò)，通過(guò)VLAN劃分進(jìn)行業(yè)務(wù)隔離，互不影響。

2.2.3 專(zhuān)網(wǎng)設(shè)置。使用專(zhuān)用網(wǎng)絡(luò)和互聯(lián)網(wǎng)物理隔絕，醫(yī)院的查房系統(tǒng)，可采用先進(jìn)的平板電腦形成專(zhuān)用系統(tǒng)，可以完全免疫外部程序病毒的入侵干擾，并對(duì)其加專(zhuān)用物理網(wǎng)絡(luò)，可以完善的保護(hù)查房系統(tǒng)的信息安全以免信息外漏以及系統(tǒng)被入侵。

2.2.4 網(wǎng)關(guān)認(rèn)證。網(wǎng)絡(luò)出口處部署認(rèn)證網(wǎng)關(guān)設(shè)備，任何醫(yī)院內(nèi)部的辦公人員需要上網(wǎng)時(shí)，均通過(guò)PPPOE認(rèn)證才能連接互聯(lián)網(wǎng)，PPPOE是一種極其安全的接入方式，可以完全免疫ARP攻擊、MAC地址攻擊等局域網(wǎng)內(nèi)部攻擊病毒。只有獲得了PPPOE認(rèn)證所用的賬戶(hù)密碼，才能接入到互聯(lián)網(wǎng)。

2.2.5 上網(wǎng)行為管理。部署上網(wǎng)行為管理設(shè)備，可以有效的對(duì)網(wǎng)絡(luò)中入侵、攻擊、非法上網(wǎng)等行為進(jìn)行記錄、截取、通告等操作，這樣可以有效的攔截非法的訪問(wèn)信息，以及對(duì)醫(yī)院內(nèi)部關(guān)鍵數(shù)據(jù)泄密的用戶(hù)進(jìn)行行為記錄和跟蹤，做到有依據(jù)可以查詢(xún)。同時(shí)上網(wǎng)行為管理設(shè)備還可以對(duì)用戶(hù)的行為進(jìn)行阻斷，例如禁止上班時(shí)間炒股、玩游戲、看視頻等應(yīng)用。

2.3 醫(yī)院的網(wǎng)絡(luò)安全需要有力的“管理”手段

2.3.1 安全管理。安全設(shè)備的部署和使用是必須的，但是最主要的工作是“安全管理”，任何安全產(chǎn)品都應(yīng)該在“管理”的理念下發(fā)揮作用。很多安全事件的發(fā)生，都是人為的疏忽，欠缺的是對(duì)行為的管理。好的安全策略和制度加上對(duì)人的管理才能保證網(wǎng)絡(luò)的安全，為了提高網(wǎng)絡(luò)安全性，管理上重點(diǎn)應(yīng)做以下工作：

全面合理的劃分 VLAN，采用基于端口的虛擬局域網(wǎng)技術(shù)合理的利用了網(wǎng)絡(luò)基礎(chǔ)設(shè)施，隔離的廣播域增加網(wǎng)絡(luò)的安全，加強(qiáng)了網(wǎng)絡(luò)管理手段。

建立網(wǎng)絡(luò)信息庫(kù)，嚴(yán)格 IP 地址的管理，應(yīng)用好IP、MAC、PORT 端口綁定技術(shù)對(duì)全院的計(jì)算機(jī)終端接入網(wǎng)絡(luò)的情況進(jìn)行管理，建立完善的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，隨時(shí)對(duì)新增電腦進(jìn)行監(jiān)控，做到?jīng)]有授權(quán)無(wú)法進(jìn)入內(nèi)部任何網(wǎng)絡(luò)。

全面控制計(jì)算機(jī)外圍設(shè)備的使用，對(duì)計(jì)算機(jī)外圍設(shè)備的使用情況進(jìn)行控制，采用各種技術(shù)手段禁止和限制使用光驅(qū)、軟驅(qū)、USB外設(shè)、無(wú)線共享、并行接入等外圍設(shè)備。

進(jìn)行網(wǎng)絡(luò)優(yōu)化管理，對(duì)不同的應(yīng)用分配不同的帶寬，對(duì)異常流量及時(shí)發(fā)現(xiàn)和報(bào)警；對(duì)非關(guān)鍵業(yè)務(wù)的流量，例如網(wǎng)絡(luò)視頻、P2P下載等進(jìn)行合理的控制，對(duì)外發(fā)的敏感信息進(jìn)行審查，防止醫(yī)院內(nèi)部資料泄密。

2.3.2 建立網(wǎng)絡(luò)管理制度。讓員工養(yǎng)成良好的操作習(xí)慣，杜絕因人為誤操作帶來(lái)的事故風(fēng)險(xiǎn)。登錄密碼與身份認(rèn)證的管理，使用技術(shù)手段強(qiáng)制規(guī)范登錄密碼，相關(guān)網(wǎng)絡(luò)設(shè)備采用SSH的方式進(jìn)行安全加密登錄。

對(duì)于醫(yī)院的信息網(wǎng)絡(luò)安全，通過(guò)查找網(wǎng)絡(luò)中存在的安全風(fēng)險(xiǎn)、漏洞以及不安全的配置，然后采用相應(yīng)技術(shù)措施堵塞這些弱點(diǎn)、漏洞，從各個(gè)方面最大限度地避免遭受攻擊和入侵。同時(shí)，對(duì)當(dāng)前的網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，一旦監(jiān)測(cè)到攻擊行為或違規(guī)操作，能夠及時(shí)做出應(yīng)對(duì)措施，包括記錄操作日志、系統(tǒng)自動(dòng)報(bào)警甚至阻斷非法鏈接，保障醫(yī)療信息系統(tǒng)的安全、高效、穩(wěn)定的不間斷運(yùn)行。

[1]王世偉.醫(yī)學(xué)計(jì)算機(jī)與信息技術(shù)應(yīng)用基礎(chǔ)[M].北京：清華大學(xué)出版社，2008：40-43.

[2]沙琨,李載程,王曄,等.軍隊(duì)醫(yī)院信息網(wǎng)絡(luò)安全現(xiàn)狀分析[J].解放軍醫(yī)院管理雜志, 2011(3)：243-244.