醫(yī)療機構信息系統(tǒng)信息安全探討

唐辰

摘要：本文介紹了信息系統(tǒng)安全管理原則和國內醫(yī)療信息安全體系，就影響醫(yī)療機構信息系統(tǒng)安全的因素進行了較全面的分析，并提出了相應的安全策略，同時對醫(yī)療信息隱私保護措施提出了建議。

關鍵詞：信息安全；醫(yī)院信息系統(tǒng)；安全措施

隨著信息與網(wǎng)絡技術的不斷發(fā)展，我們進入了一個信息爆炸的時代，人們可以輕松便捷的通過網(wǎng)絡技術來進行各種活動。伴隨而來的信息安全問題也越發(fā)嚴重，也受到越來越多行業(yè)的關注，在網(wǎng)絡技術發(fā)展普及的同時，信息技術業(yè)在醫(yī)學領域得到廣泛的應用，同樣醫(yī)療機構信息系統(tǒng)的信息安全性在當今也同樣得到極大的重視。

1 信息系統(tǒng)安全管理的原則

信息系統(tǒng)安全的核心目標是為關鍵資產提供可用性、完整性和機密性[1]，所有安全控制、機制和防護措施的實現(xiàn)都是為了提供這些原則中的一個或多個?；诎踩枨笤瓌t，醫(yī)療機構應根據(jù)其信息系統(tǒng)擔負的使命，積累的信息資產的重要性，可能受到的威脅及面臨的風險分析安全需求，按照信息系統(tǒng)等級保護要求確定相應的信息系統(tǒng)安全保護等級，遵從相應等級的規(guī)范要求，從全局上恰當?shù)仄胶獍踩度肱c效果，做到技術和管理并重。

2 國內醫(yī)療信息安全體系

在醫(yī)療活動中，醫(yī)療機構為了診斷及科研等其他需要，經(jīng)常使用醫(yī)療信息系統(tǒng)采集、發(fā)布大量的醫(yī)療相關數(shù)據(jù)，其中包含著患者的基本信息和敏感信息。如何有效的避免隱私信息的泄露也是越來越多醫(yī)療機構普遍遇到的問題。與此同時，衛(wèi)生行政主管部門認識到了醫(yī)療機構信息系統(tǒng)安全的重要性，也逐年發(fā)布醫(yī)療信息保障管理辦法。2004年9月發(fā)布的《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）進一步強調了開展信息安全等級保護工作的重要意義，規(guī)定了實施信息安全等級保護制度的原則、內容、職責分工、基本要求和實施計劃，部署了實施信息安全等級保護工作的操作辦法。2011年，信息安全等級保護已列入《三級綜合醫(yī)院評審標準》中信息化規(guī)范建設的重要考核依據(jù)與指標。2011年衛(wèi)生部發(fā)布《衛(wèi)生部辦公廳關于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》，要求衛(wèi)生行業(yè)“全面開展信息安全等級保護工作”。

3 醫(yī)院信息安全治理與風險管理

醫(yī)院系統(tǒng)信息安全風險管理的傳統(tǒng)措施是以邊界、安全域為主的思路和模式，采用被動的、防御型的技術手段，屬于應對型的安全建設模式[2]。近些年來，隨著安全技術的快速發(fā)展，醫(yī)院信息安全規(guī)劃與建設思路也在發(fā)生轉變，其防護重點逐漸轉向醫(yī)院信息系統(tǒng)數(shù)據(jù)內容、應用、用戶身份和行為等全方位的安全防護；安全治理觀念也逐漸轉變?yōu)橹鲃臃烙暮弦?guī)管理工作，同時加強醫(yī)院信息安全監(jiān)控綜合分析。通過信息系統(tǒng)安全指標作為衡量依據(jù)，衡量安全建設績效推進醫(yī)院信息系統(tǒng)安全治理，從而以工具化、自動化的安全手段，應對不斷擴張的IT資產管理，有效落實安全管理要求。

醫(yī)院信息安全責任部門正確運用控制措施能降低醫(yī)院信息系統(tǒng)安全面臨的風險，控制主要分為三種類型：管理控制、技術控制和物理控制[3]。管理控制因為通常是面向管理的，所以經(jīng)常被稱為“軟控制”，如安全文檔、風險管理、人員安全和培訓都屬于管理控制；技術控制也稱為邏輯控制由軟件或硬件組成，如防火墻、入侵檢測系統(tǒng)、加密、身份識別和認證機制；物理控制用來保護設備、人員和資源，保安、鎖、圍墻等都屬于物理控制。在實際建設和規(guī)劃中，醫(yī)院信息安全責任部門應正確以分層的方法綜合使用多個安全控制類型，為醫(yī)院信息平臺提供安全深度防御。由于入侵者在獲得訪問關鍵資產前將不得不穿越多個不同的保護機制，因此多層防御能夠將滲透成功率和威脅降低到最小，從而保障醫(yī)療機構信息系統(tǒng)安全。

4 醫(yī)院系統(tǒng)的安全風險分析及對策

4.1訪問控制安全 安全的根本所在是通過控制如何訪問信息資源來防范資源泄露或未經(jīng)授權的修改。訪問控制是一種安全手段，控制用戶和系統(tǒng)如何與其他系統(tǒng)和資源進行通信和交互。訪問控制能夠保護系統(tǒng)和資源免受未經(jīng)授權的訪問，并且在身份驗證過程成功結束之后確定授權訪問的等級。信息訪問控制的實現(xiàn)手段在本質上都處于技術性、物理性或行政管理性層面。同時需要注意，任何接口處是最應該實施安全控制的一個地方，需要層層縱深防御來實施訪問控制。訪問控制是防范醫(yī)療機構信息系統(tǒng)和資源被未授權訪問的第一道防線，系統(tǒng)使用用戶的訪問權限主要基于其身份、許可等級和/或組成員資格。訪問控制給予組織機構控制、限制、監(jiān)控以及保護資源可用性、完整性和機密性的能力[4]。

4.2計算機及操作系統(tǒng)安全 計算機是系統(tǒng)內提供某類安全并實施系統(tǒng)安全策略的所有硬件、軟件和固件的組合，然而其并不僅限于操作系統(tǒng)，操作系統(tǒng)的主要風險包括系統(tǒng)漏洞和文件病毒等。醫(yī)療機構的信息安全責任部門需對帳戶、訪問、用戶權限等進行管理與控制，做好定期監(jiān)視、審計和時間日志記錄和分析?？梢圆捎猛ㄟ^修改注冊表，屏蔽客戶端操作系統(tǒng)無關的內容，限制訪問相關資源；還應及時下載系統(tǒng)補丁，盡可能關閉不需要的端口，以彌補系統(tǒng)漏洞而給醫(yī)院信息系統(tǒng)安全性帶來的各類隱患。醫(yī)療機構辦公計算機中的很多安全管理軟件會產生安全日志，應由信息安全主管部門對這些安全日志進行管理分析以不斷強化整體安全解決方案，例如針對于醫(yī)院可能發(fā)生的“統(tǒng)方”時間以及其他對醫(yī)院影響較大的安全事件，醫(yī)療機構主管部門應能夠及時發(fā)現(xiàn)、定位、報警以及事后審計。

4.3數(shù)據(jù)庫安全 數(shù)據(jù)庫是為收集到的數(shù)據(jù)提供結構化的機制，因為不同的醫(yī)療機構或信息收集部門處理不同類型的數(shù)據(jù)，需對信息執(zhí)行的功能操作不同，所以每個醫(yī)院信息系統(tǒng)數(shù)據(jù)庫實現(xiàn)的結構化規(guī)范也不盡相同。它們的工作負載、數(shù)據(jù)之間的關系、性能需求和安全目標會有所差別。

數(shù)據(jù)庫安全包含系統(tǒng)運行安全和系統(tǒng)信息安全，數(shù)據(jù)庫系統(tǒng)的安全特性主要是針對數(shù)據(jù)而言的，包括數(shù)據(jù)獨立性、數(shù)據(jù)安全性、數(shù)據(jù)完整性、并發(fā)控制、故障恢復等幾個方面。醫(yī)療機構的信息系統(tǒng)數(shù)據(jù)庫防護手段主要包括事前診斷，事中控制和事后審計、分析、評估。

4.4物理和環(huán)境安全 在處理計算機安全并采取措施應對黑客、端口、病毒等問題時，很多醫(yī)院并沒有很認真對待系統(tǒng)所處的物理安全。如果不能為醫(yī)院信息系統(tǒng)所處的環(huán)境提供可靠的物理安全，那么系統(tǒng)信息安全只能是一句空話。

醫(yī)院信息系統(tǒng)應采取各種措施，如設置安防系統(tǒng)、攝像監(jiān)控、入侵監(jiān)測系統(tǒng)（IDS）以及要求員工保持高度的安全風險意識。醫(yī)院還應積極進行物理環(huán)境安全設施建造，并執(zhí)行物理環(huán)境安全的規(guī)章制度。物理安全措施必須能夠應對物理破壞、入侵者、環(huán)境破壞、盜竊和故意破壞，醫(yī)院信息安全管理部門在考慮信息安全時，應主要關注的是攻擊者如何通過端口或無線接入點以未授權方式進入某個環(huán)境；當看待物理環(huán)境時，他們應關心的是攻擊者如何以武力方式進入環(huán)境，從而造成一些破壞。

5 醫(yī)療信息隱私保護

在醫(yī)院進行醫(yī)療過程中，患者疾病和醫(yī)療行為的信息會形成關于身體特征、健康狀況的客觀記錄。這些記錄既包括患者身體特征記錄、疾病診斷記錄以及其他與健康有關的情況，還包括這些情況當中蘊含的信息。信息泄露方式有兩種，身份泄露和屬性泄露[5]?；颊咭蛟\療服務需要而被醫(yī)療機構及醫(yī)務人員合法獲悉，但其不愿意他人知悉的個人情況，即患者的隱私，包括姓名、性別、出生日期、家庭住址、聯(lián)系方式、收入情況，以及所患疾病、既往病史等信息。

5.1數(shù)據(jù)匿名化 保護患者的隱私和安全，確保在醫(yī)療信息系統(tǒng)中以及提供正常醫(yī)療服務以外的（例如醫(yī)療保險、醫(yī)療機構的某種研究）傳遞中使用的患者資料不向非授權用戶透露患者的身份信息。個性化匿名，不同敏感屬性值具有不同的隱私保護需求，對其提供不同粒度的隱私保護，在保證安全性的同時也能減少全局匿名化處理造成的信息損失[6]。

5.2加密和數(shù)字簽名 創(chuàng)建和管理數(shù)據(jù)存儲的加密密鑰，數(shù)據(jù)庫加密，加密數(shù)據(jù)庫表中的數(shù)據(jù)字段以保護患者檔案和醫(yī)療信息系統(tǒng)中處于使用狀態(tài)的關鍵系統(tǒng)數(shù)據(jù)[7]。由醫(yī)療信息系統(tǒng)的用戶創(chuàng)建數(shù)字簽名，確保臨床數(shù)據(jù)的不可否認性，例如診療記錄、報告和安全聲明等。

5.3身份認證和訪問控制 根據(jù)角色級別、用戶類型及其對醫(yī)療信息系統(tǒng)的重要性來選擇是否進行身份認證，對不同的用戶選擇恰當?shù)纳矸菡J證手段[8]。訪問控制策略要有具體的時間和空間條件限制，保證具有訪問權限的用戶，只有在指定范圍內的時間、空間方位，才有權限訪問醫(yī)療信息系統(tǒng)。

5.4網(wǎng)絡通信的安全保障 醫(yī)療信息系統(tǒng)要使用安全設備實時監(jiān)控網(wǎng)絡數(shù)據(jù)流、偵測并隔離危險的網(wǎng)絡行為，自動檢測并處理安全事件，降低使用風險，確保醫(yī)療業(yè)務數(shù)據(jù)通信的安全性。

5.5安全審計 對每個事務所涉及到的醫(yī)院信息系統(tǒng)、用戶、醫(yī)療工作人員、患者醫(yī)療信息數(shù)據(jù)的行為進行記錄，幫助安全人員審計系統(tǒng)的可靠性和安全性。

參考文獻：

[1]尚邦治.醫(yī)院信息系統(tǒng)安全問題[J].醫(yī)療設備信息，2004，（09）.

[2]武志紅.醫(yī)院信息系統(tǒng)的安全維護措施[J].中國醫(yī)學裝備，2009，（01）.

[3]蘇新寧.信息檢索理論與技術[M].北京：科學技術文獻出版社，2004.

[4]國家質量技術監(jiān)督局發(fā)布.GBT18336·1-2001，信息技術，安全技術信息技術安全性評估準則，第1部分：簡介和一般模型[M].中國標準出版社，2001.

[5]張洪光.信息安全管理實用規(guī)則——ISOIEC 17799：2005介紹[J]. 中國質量認證，2006（10）：35-37.

[6]阮連軍.淺談醫(yī)院信息系統(tǒng)安全穩(wěn)定運行[J].醫(yī)療裝備，2009，（02）.

[7]穆荔，張小莊，梁霞.醫(yī)院管理信息系統(tǒng)的管理[J].中華醫(yī)院管理雜志，2000，（03）.

[8]郇文娟.醫(yī)院應重視避免網(wǎng)絡災難[J].中華醫(yī)院管理雜志，1998，（11）.

編輯/楊倩