醫(yī)院信息安全體系的構(gòu)建

肖輝，張方，李漢民

武漢大學(xué)中南醫(yī)院 信息中心，湖北 武漢430071

醫(yī)院信息安全體系的構(gòu)建

肖輝，張方，李漢民

武漢大學(xué)中南醫(yī)院 信息中心，湖北 武漢430071

為了推進(jìn)以電子病歷（EMR）為核心的臨床信息系統(tǒng)建設(shè)，實(shí)現(xiàn)基于EMR的醫(yī)院信息平臺(tái)與各類業(yè)務(wù)應(yīng)用系統(tǒng)的動(dòng)態(tài)整合、信息數(shù)據(jù)共享的目標(biāo)，本文從醫(yī)院信息安全體系建設(shè)、網(wǎng)絡(luò)安全管理等多方面構(gòu)建醫(yī)院信息平臺(tái)的綜合信息安全保障體系，確保平臺(tái)承載業(yè)務(wù)信息的安全可靠及業(yè)務(wù)服務(wù)的連續(xù)運(yùn)行。

電子病歷；醫(yī)院信息化；網(wǎng)絡(luò)安全；數(shù)據(jù)共享

醫(yī)院是一個(gè)信息和技術(shù)密集型的行業(yè)，其信息系統(tǒng)除了要滿足高效的內(nèi)部自動(dòng)化辦公需求以外，醫(yī)院的業(yè)務(wù)系統(tǒng)如醫(yī)院信息系統(tǒng)（HIS）、辦公系統(tǒng)（OA）等連接著Internet、醫(yī)保網(wǎng)和高校等，訪問(wèn)人員比較復(fù)雜，因此如何保證醫(yī)院網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)安全顯得尤為重要[1]。

1 醫(yī)院信息安全體系設(shè)計(jì)

在醫(yī)院信息化建設(shè)過(guò)程中，信息安全設(shè)計(jì)首先要對(duì)來(lái)自網(wǎng)絡(luò)內(nèi)部和外部的各種安全風(fēng)險(xiǎn)進(jìn)行分析，制定與各類信息系統(tǒng)安全需求相應(yīng)的安全目標(biāo)和安全策略，以此作為系統(tǒng)配置、管理和應(yīng)用的基本安全框架，形成符合HIS的合理、完善的信息安全體系[2-4]。

1.1 計(jì)算機(jī)安全訪問(wèn)控制

主要是對(duì)應(yīng)用系統(tǒng)的文件、數(shù)據(jù)庫(kù)等資源訪問(wèn)的控制，避免越權(quán)非法使用。主要包括：① 權(quán)限控制：對(duì)于不同用戶的授權(quán)原則是其能夠完成工作的最小化授權(quán)，并在用戶之間形成相互制約的關(guān)系；② 賬號(hào)管理：嚴(yán)格限制默認(rèn)賬戶的訪問(wèn)權(quán)限，重命名默認(rèn)賬戶，修改默認(rèn)口令；及時(shí)刪除多余的、過(guò)期的賬戶，避免共享賬戶的存在。

1.2 區(qū)域邊界訪問(wèn)控制

為了防范外部網(wǎng)絡(luò)攻擊和入侵，應(yīng)用防火墻可以解決各類專線接口（如醫(yī)保、農(nóng)合等）與外部網(wǎng)絡(luò)連接的安全問(wèn)題[5-6]。將防火墻部署于出口節(jié)點(diǎn)與核心交換機(jī)之間，可以起到抗攻擊、包過(guò)濾和劃分安全域的作用。

1.3 入侵防御系統(tǒng)

在各區(qū)域邊界，防火墻起到了協(xié)議過(guò)濾的主要作用，根據(jù)安全策略偏重在網(wǎng)絡(luò)層判斷數(shù)據(jù)包的合法流動(dòng)，但面對(duì)越來(lái)越廣泛的基于應(yīng)用層內(nèi)容的攻擊行為，防火墻并不擅長(zhǎng)處理應(yīng)用層數(shù)據(jù)。因此需要其他具備檢測(cè)新型的混合攻擊和防護(hù)能力的設(shè)備和防火墻配合，共同防御來(lái)自應(yīng)用層到網(wǎng)絡(luò)層的多種攻擊類型，建立安全防護(hù)體系，進(jìn)行多層次、多手段的檢測(cè)和防護(hù)。入侵防護(hù)系統(tǒng)（IPS）是安全防護(hù)體系中重要的一環(huán)，它能夠及時(shí)識(shí)別網(wǎng)絡(luò)中發(fā)生的入侵行為并實(shí)時(shí)報(bào)警同時(shí)進(jìn)行有效攔截防護(hù)[7]。

1.4 防病毒網(wǎng)關(guān)

采用透明接入方式，在最接近病毒發(fā)生源安全邊界處進(jìn)行集中防護(hù)，對(duì)夾雜在網(wǎng)絡(luò)交換數(shù)據(jù)中的各類網(wǎng)絡(luò)病毒進(jìn)行過(guò)濾，可以對(duì)網(wǎng)絡(luò)病毒、蠕蟲、混合攻擊、端口掃描、間諜軟件、P2P軟件帶寬濫用等各種廣義病毒進(jìn)行全面的攔截，有效防止病毒從其他區(qū)域傳播到內(nèi)部其他安全域中。

1.5 WEB應(yīng)用防火墻

醫(yī)院外網(wǎng)數(shù)據(jù)中心的互聯(lián)網(wǎng)服務(wù)器區(qū)對(duì)外提供WEB服務(wù)，這使得醫(yī)院外網(wǎng)信息系統(tǒng)中服務(wù)器很容易成為黑客的攻擊目標(biāo)，因此需要使用WEB應(yīng)用防火墻。WEB應(yīng)用防火墻部署于服務(wù)器區(qū)防病毒網(wǎng)關(guān)之后，主要阻止基于WEB的攻擊、入侵、滲透和注入等威脅，如CC攻擊、目錄遍歷等,同時(shí)做網(wǎng)頁(yè)防篡改，維護(hù)WEB頁(yè)面的安全。

1.6 業(yè)務(wù)審計(jì)系統(tǒng)

應(yīng)用層安全審計(jì)是對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)行為的審計(jì)，需要與應(yīng)用系統(tǒng)緊密結(jié)合，業(yè)務(wù)審計(jì)系統(tǒng)旁掛于服務(wù)器區(qū)核心交換機(jī)上，針對(duì)內(nèi)網(wǎng)服務(wù)器區(qū)監(jiān)控基于數(shù)據(jù)庫(kù)的所有操作及服務(wù)器的大部分操作，同時(shí)可針對(duì)數(shù)據(jù)庫(kù)的所有操作過(guò)程做回放。應(yīng)用系統(tǒng)審計(jì)功能記錄系統(tǒng)重要安全事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等，并保護(hù)好審計(jì)結(jié)果，阻止非法刪除、修改或覆蓋審計(jì)記錄。同時(shí)能對(duì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表。

2 對(duì)醫(yī)院網(wǎng)絡(luò)進(jìn)行集中的安全管理

我院對(duì)中心機(jī)房核心網(wǎng)絡(luò)交換機(jī)進(jìn)行匯聚擴(kuò)容，以解決網(wǎng)絡(luò)故障隱患，規(guī)避因網(wǎng)絡(luò)引起的大范圍醫(yī)院業(yè)務(wù)中斷。

2.1 網(wǎng)絡(luò)架構(gòu)建設(shè)

在物理架構(gòu)上實(shí)現(xiàn)了整個(gè)網(wǎng)絡(luò)架構(gòu)的高度冗余、容錯(cuò)能力,在網(wǎng)絡(luò)平臺(tái)架構(gòu)中或業(yè)務(wù)關(guān)鍵節(jié)點(diǎn)不存在設(shè)備或線路單點(diǎn)故障。

我院網(wǎng)絡(luò)架構(gòu)主要分為5個(gè)部分：① 內(nèi)網(wǎng)區(qū)-業(yè)務(wù)區(qū)域：內(nèi)部業(yè)務(wù)系統(tǒng)、服務(wù)器及存儲(chǔ)服務(wù)器所屬的網(wǎng)絡(luò)域；② 內(nèi)網(wǎng)區(qū)-科室訪問(wèn)內(nèi)部應(yīng)用：此區(qū)域?yàn)闃I(yè)務(wù)終端所處的網(wǎng)絡(luò)域，各科室業(yè)務(wù)終端中能訪問(wèn)內(nèi)部業(yè)務(wù)平臺(tái)；③ 外網(wǎng)區(qū)：臨床、行政普通辦公區(qū)，用于用戶訪問(wèn)互聯(lián)網(wǎng)；④ 外部接入?yún)^(qū)域：第三方接入域，如：新農(nóng)合、省醫(yī)保、市醫(yī)保及銀醫(yī)一卡通等；⑤ 外網(wǎng)網(wǎng)站區(qū)：醫(yī)院門戶網(wǎng)站所處的網(wǎng)絡(luò)域，與其他網(wǎng)絡(luò)域物理隔離。

邏輯架構(gòu)上實(shí)現(xiàn)整個(gè)信息化基礎(chǔ)架構(gòu)平臺(tái)的合理區(qū)域化劃分，盡量合理的設(shè)計(jì)和規(guī)劃安全區(qū)域，調(diào)整邏輯架構(gòu)，在網(wǎng)絡(luò)骨干設(shè)備間實(shí)現(xiàn)三層架構(gòu)，避免因?yàn)椴煌收隙饘?duì)業(yè)務(wù)產(chǎn)生大范圍影響。

2.2 綜合網(wǎng)絡(luò)運(yùn)維管理

我院采購(gòu)綜合網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)，該系統(tǒng)是一個(gè)平臺(tái)級(jí)的系統(tǒng)，提供網(wǎng)絡(luò)及安全設(shè)備管理、各類主機(jī)、數(shù)據(jù)庫(kù)、中間件等服務(wù)管理、IP地址資源管理等功能。

（1）能夠采用多種算法自動(dòng)生成整個(gè)動(dòng)態(tài)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，迅速搜索整個(gè)網(wǎng)絡(luò)內(nèi)的所有節(jié)點(diǎn)，自動(dòng)勾畫出設(shè)備之間的冗余連接、均衡負(fù)載連接、鏈路相關(guān)流量，鏈路等級(jí)、物理帶寬情況。

（2）可以直接了解網(wǎng)絡(luò)拓?fù)渲懈骶€路流量和設(shè)備狀況的屬性，如網(wǎng)絡(luò)設(shè)備系統(tǒng)CPU、MEM，連續(xù)運(yùn)行時(shí)間集中展現(xiàn)，并可實(shí)時(shí)監(jiān)控和報(bào)警。另外，可針對(duì)網(wǎng)絡(luò)運(yùn)行狀況，生成用戶自定義報(bào)表。

（3）系統(tǒng)能對(duì)實(shí)時(shí)業(yè)務(wù)告警事件作出及時(shí)反應(yīng)，并可深入顯示告警相關(guān)的業(yè)務(wù)通道，在拓?fù)鋱D中以相應(yīng)鏈路變色、節(jié)點(diǎn)閃爍等形式提示；告警信息未確認(rèn)則以某種方式保持對(duì)用戶的提示。系統(tǒng)能實(shí)現(xiàn)的告警有：聯(lián)通性測(cè)試、ping告警、負(fù)載告警、流量告警、SNMP告警、端口狀態(tài)告警等，并能更改告警顯示信息，告警延時(shí)及輪詢間隔。

（4）可實(shí)時(shí)查看交換機(jī)用戶連接信息、交換機(jī)VLAN分布表、路由表、APR表、IP地址表、CDP表、TCP連接表、UDP連接表、Remote Ping、SNMP連接測(cè)試、Remote TraceRT監(jiān)控。直接在拓?fù)浣Y(jié)構(gòu)上實(shí)時(shí)監(jiān)控多個(gè)端口的流量情況，可以同時(shí)監(jiān)視總流量、幀流量、廣播流量、丟包率、錯(cuò)包率和平均幀大小。

3 完善信息安全管理制度

目前我院主要完成以下制度建設(shè)[8]：

（1）加強(qiáng)用戶密碼管理。對(duì)于系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員，分別擁有各自的密碼，以便明確責(zé)任。做好普通用戶的密碼保管，定期提醒更換密碼。

（2）做好數(shù)據(jù)備份與故障恢復(fù)。每日檢查備份日志，確保數(shù)據(jù)的本地和異地備份順利完成。定期開展信息系統(tǒng)應(yīng)急演練，做好極端情況的手工處理，保證醫(yī)療流程不中斷。

（3）針對(duì)醫(yī)院終端設(shè)備進(jìn)行策略管控，即根據(jù)醫(yī)院現(xiàn)有的終端訪問(wèn)需求，作以下安全區(qū)域劃分：① 內(nèi)網(wǎng)終端：指的是醫(yī)院內(nèi)部?jī)H需訪問(wèn)內(nèi)部應(yīng)用系統(tǒng)的用戶；② 外網(wǎng)終端：指的是醫(yī)院內(nèi)部少量用戶僅需訪問(wèn)Internet，可以通過(guò)認(rèn)證和訪問(wèn)策略限制，不允許其訪問(wèn)內(nèi)網(wǎng)；③ 內(nèi)外網(wǎng)共享終端：針對(duì)醫(yī)院領(lǐng)導(dǎo)和信息部門用戶，可訪問(wèn)內(nèi)網(wǎng)應(yīng)用系統(tǒng)和Internet，對(duì)此類用戶終端安全性要求嚴(yán)格定義，需通過(guò)信息部門認(rèn)證許可后方可接入網(wǎng)絡(luò)。

4 結(jié)語(yǔ)

在醫(yī)院的信息化建設(shè)過(guò)程中，信息安全的建設(shè)雖然只是一個(gè)很小的部分，但其重要性不容忽視。便捷、開放的網(wǎng)絡(luò)環(huán)境，是醫(yī)院信息化建設(shè)的基礎(chǔ)，在數(shù)據(jù)傳遞和共享的過(guò)程當(dāng)中，只有數(shù)據(jù)的安全性得到切實(shí)地保障，才能保障醫(yī)院信息化業(yè)務(wù)的正常運(yùn)行。

[1] 衛(wèi)生部文件.《電子病歷基本規(guī)范（試行）》（衛(wèi)醫(yī)政發(fā)〔2010〕24號(hào)）[S].

[2] 王琳.電子病歷在我院的應(yīng)用[J].中國(guó)醫(yī)療設(shè)備,2013,28(4): 98-99.

[3] 龐才濱,陳國(guó)耿.我院電子病歷的安全管理對(duì)策[J].中國(guó)醫(yī)院, 2014,(2):65-66.

[4] 馬辰.醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全分析與防范[J].醫(yī)療裝備,2009, (7):35-36.

[5] 王云志,李金余,楊玲.醫(yī)院信息化建設(shè)中的網(wǎng)絡(luò)安全分析與防護(hù)[J].醫(yī)療衛(wèi)生裝備,2009,(6):34-36.

[6] 黃威.淺談醫(yī)院信息系統(tǒng)的安全問(wèn)題[J].科技創(chuàng)新導(dǎo)報(bào),2011, (3):230.

[7] 雍維林,沈洪超.淺談醫(yī)院信息網(wǎng)絡(luò)的安全[J].航空航天醫(yī)藥, 2010,(5):807-808.

[8] 毛曄沁.醫(yī)院網(wǎng)絡(luò)安全的技術(shù)實(shí)現(xiàn)與改進(jìn)[J].信息安全與技術(shù), 2011,(6):47-48.

Construction of Hospital Information Security System

XIAO Hui, ZHANG Fang, LI Han-min
Information Center, Zhongnan Hospital of Wuhan University, Wuhan Hubei 430071, China.

In order to promote the construction of clinical information system with electronic medical record as its core and realize the dynamic consolidation and imaging data sharing of clinical information platform and all kinds of business application based on electronic medical records, a comprehensive information security system from the aspects of hospital information system construction, internet security management and so on is introduced in this paper, thus ensuring the reliability and continuous operation of business services information on the platform.

electronic medical record; hospital information ; network security; data sharing

TP393.08；R197.324

C

10.3969/j.issn.1674-1633.2015.01.047

1674-1633(2015)01-0139-03

2014-07-18

2014-08-17

院內(nèi)基金（2011A05）。

李漢民，武漢大學(xué)中南醫(yī)院信息中心副主任。

作者郵箱：zhangfang19860218@163.com