現(xiàn)階段醫(yī)院電子信息系統(tǒng)所面臨的安全問題及對策

湯淼

摘 要 計算機(jī)、互聯(lián)網(wǎng)技術(shù)促進(jìn)了分布式管理信息系統(tǒng)在醫(yī)療衛(wèi)生行業(yè)的普及和應(yīng)用，許多醫(yī)院已經(jīng)開發(fā)了病歷資料、病房、藥品、手術(shù)等自動化管理系統(tǒng)，提高了醫(yī)院信息化水平和診斷治療效果。隨著醫(yī)院電子信息系統(tǒng)規(guī)模的增大，系統(tǒng)面臨的安全風(fēng)險越來越嚴(yán)重，阻礙了系統(tǒng)的拓展和使用。論文詳細(xì)地分析了醫(yī)院電子信息系統(tǒng)面臨的安全問題，提出構(gòu)建嚴(yán)格的安全防御系統(tǒng)，保證系統(tǒng)安全，以便能夠進(jìn)一步提高系統(tǒng)的應(yīng)用效果。

【關(guān)鍵詞】醫(yī)院 信息系統(tǒng) 安全威脅 防御

1 引言

計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和數(shù)據(jù)庫技術(shù)的快速發(fā)展促進(jìn)了醫(yī)院電子信息系統(tǒng)的普及和應(yīng)用。目前，醫(yī)院在行政管理、診斷治療等方面已經(jīng)開發(fā)了OA系統(tǒng)、財務(wù)管理系統(tǒng)、人事管理系統(tǒng)、住院病房管理系統(tǒng)、藥品管理系統(tǒng)、醫(yī)院影像拍攝與存儲系統(tǒng)、患者病歷檔案管理系統(tǒng)等，為醫(yī)院行政管理提供了信息化支撐，并且能夠在診斷治療過程中，采集患者信息，提高醫(yī)護(hù)人員的工作效率和診療質(zhì)量，更好地為患者提供臨床咨詢、輔助診療和臨床決策服務(wù)，具有重要的作用和意義。為了提高患者、醫(yī)院行政管理人員、醫(yī)護(hù)人員使用的方便性，共享數(shù)據(jù)資源，醫(yī)院信息系統(tǒng)集成規(guī)模越來越大，各種系統(tǒng)采用的開發(fā)技術(shù)多種多樣，比如 JSP技術(shù)、ASP技術(shù)、ASP.NET技術(shù)等，隱藏的漏洞和風(fēng)險也越來越多，因此需要采用嚴(yán)格的安全防御系統(tǒng)，保證醫(yī)院信息系統(tǒng)的正常工作和運(yùn)行。

2 醫(yī)院電子信息系統(tǒng)面臨的安全問題現(xiàn)狀分析

2.1 醫(yī)院信息系統(tǒng)安全風(fēng)險評估處于初級階段

目前，醫(yī)院信息系統(tǒng)通常由醫(yī)院自己招聘的網(wǎng)絡(luò)管理團(tuán)隊(duì)進(jìn)行維護(hù)，而信息系統(tǒng)安全風(fēng)險評估技術(shù)涉及多學(xué)科知識，其不僅是一個技術(shù)性問題，也是一個管理學(xué)問題，而許多醫(yī)院的信息系統(tǒng)沒有進(jìn)行過風(fēng)險評估，因此無法及時、準(zhǔn)確地獲取醫(yī)院信息系統(tǒng)存在的安全漏洞和攻擊威脅風(fēng)險，不能夠及時地采取安全防范措施進(jìn)行預(yù)防和保護(hù)。

另外，醫(yī)院信息系統(tǒng)應(yīng)用背景復(fù)雜，包括藥品管理、醫(yī)學(xué)診斷、醫(yī)學(xué)治療等方面的知識，在醫(yī)院信息系統(tǒng)風(fēng)險評估過程中，風(fēng)險評估缺乏規(guī)范化的標(biāo)準(zhǔn)，導(dǎo)致風(fēng)險評估主體和客體不清晰，無法明確劃分參與者的工作內(nèi)容，并且承擔(dān)相關(guān)的角色，因此醫(yī)院風(fēng)險評估效果較差。

2.2 醫(yī)院電子信息系統(tǒng)攻擊技術(shù)逐漸增強(qiáng)

云計算、分布式移動和移動計算技術(shù)快速發(fā)展，其不但促進(jìn)了電子信息系統(tǒng)在醫(yī)院行業(yè)中的應(yīng)用，同時也提高了網(wǎng)絡(luò)黑客、木馬和病毒攻擊技術(shù)，網(wǎng)絡(luò)安全威脅更加智能化，尤其是網(wǎng)絡(luò)威脅更加隱蔽，潛伏的周期更長，給醫(yī)院信息系統(tǒng)帶來的安全威脅也更加嚴(yán)重，非常容易導(dǎo)致患者病歷資料丟失，無法長期跟蹤患者身體健康狀況，不能夠優(yōu)化患者治療方案，提供最佳的治療服務(wù)。

2.3 醫(yī)院電子信息系統(tǒng)操作人員安全意識薄弱

醫(yī)院電子信息系統(tǒng)用戶角色包括醫(yī)生、護(hù)士、行政管理人員和普通的患者，用戶通常為非計算機(jī)專業(yè)人員，在操作系統(tǒng)的過程中，不能夠嚴(yán)格按照醫(yī)院電子信息系統(tǒng)的操作規(guī)范進(jìn)行，時常攜帶含有病毒的優(yōu)盤、硬盤或網(wǎng)絡(luò)傳輸文件，隨意插拔，非常容易感染醫(yī)院網(wǎng)絡(luò)平臺內(nèi)的其他終端或系統(tǒng)，導(dǎo)致系統(tǒng)崩潰或數(shù)據(jù)資源被盜。

2.4 網(wǎng)絡(luò)攻擊和威脅形式呈現(xiàn)多樣化

傳統(tǒng)網(wǎng)絡(luò)攻擊和威脅多來源于黑客、病毒和木馬，并且由于醫(yī)院信息系統(tǒng)孤立存在，因此導(dǎo)致網(wǎng)絡(luò)攻擊威脅不能夠達(dá)到目的。近年來，由于移動互聯(lián)網(wǎng)、光纖網(wǎng)絡(luò)的快速發(fā)展和進(jìn)步，分布式管理系統(tǒng)基于互聯(lián)網(wǎng)連接在一起，登錄終端包括PC、iPad、iPhone等智能終端，因此網(wǎng)絡(luò)病毒傳播途徑越來越多，呈現(xiàn)多樣化。

2.5 電子信息系統(tǒng)網(wǎng)絡(luò)漏洞數(shù)量居高不下

醫(yī)院電子信息系統(tǒng)集成應(yīng)用軟件越來越多，各種軟件在開發(fā)和實(shí)現(xiàn)過程中采用技術(shù)種類不同、采用的開發(fā)工具也不盡相同，因此在集成和融合過程中，無法避免將會產(chǎn)生各種漏洞。隨著網(wǎng)絡(luò)攻擊技術(shù)的提高，電子信息系統(tǒng)的網(wǎng)絡(luò)漏洞將會成為入侵攻擊的選擇點(diǎn)，為電子信息系統(tǒng)的應(yīng)用帶來困難。

3 醫(yī)院電子信息系統(tǒng)安全防御技術(shù)探討

3.1 應(yīng)用層數(shù)據(jù)加密傳輸

醫(yī)院電子信息系統(tǒng)關(guān)聯(lián)的用戶在操作過程中，通常位于網(wǎng)絡(luò)的不同位置，比如內(nèi)網(wǎng)核心位置、內(nèi)網(wǎng)普通位置、外網(wǎng)位置等，因此為了保證應(yīng)用層數(shù)據(jù)信息輸入的安全性，可以采用 IPSec VPN和SSL VPN技術(shù)加密通信渠道，實(shí)現(xiàn)數(shù)據(jù)的加密傳輸。

3.2 數(shù)據(jù)傳輸控制

由于不同的用戶分屬于醫(yī)院行政管理部門、業(yè)務(wù)科室等，因此為了不同角色的用戶實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)器的安全存取控制，可以將醫(yī)院內(nèi)部網(wǎng)絡(luò)的IP地址進(jìn)行分段、分類管理。

具體地，醫(yī)院電子信息系統(tǒng)IP地址歸屬不同的子網(wǎng)、VLAN和VPN，并且與計算機(jī)的MAC地址、用戶名等進(jìn)行一一關(guān)聯(lián)，形成良好的映射關(guān)系。不但可以有效地控制網(wǎng)絡(luò)應(yīng)用的訪問和存取權(quán)限，同時也可以非常容易且方便地管理和監(jiān)測網(wǎng)絡(luò)中的所有用戶。同時采用ROST技術(shù)實(shí)施強(qiáng)制訪問控制，所有用戶（包括最高權(quán)限用戶）都無法訪問受保護(hù)的網(wǎng)絡(luò)資源。因此，醫(yī)院網(wǎng)絡(luò)設(shè)計過程中，IP地址劃分、VLAN設(shè)計和ROST技術(shù)，將是一項(xiàng)非常重要的工作。

3.3 服務(wù)器安全防護(hù)

醫(yī)院電子信息系統(tǒng)服務(wù)器在操作過程中，要構(gòu)建嚴(yán)格的防病毒體系，采用防火墻、入侵檢測控制、安全審計、訪問控制列表等，控制服務(wù)器操作系統(tǒng)用戶的權(quán)限和角色，使其能夠按照規(guī)則進(jìn)行操作，保證醫(yī)院信息化系統(tǒng)服務(wù)器不會受到網(wǎng)絡(luò)木馬、病毒和黑客的攻擊。

3.4 用戶角色控制

醫(yī)院電子信息系統(tǒng)用戶數(shù)目多，各個系統(tǒng)用戶具有不同的訪問權(quán)限，因此為了控制醫(yī)院電子信息系統(tǒng)的操作規(guī)程，系統(tǒng)在訪問權(quán)限控制過程中，采用角色權(quán)限進(jìn)行動態(tài)的調(diào)控，以便能夠靈活管理用戶，限制用戶的系統(tǒng)操作功能和服務(wù)器訪問權(quán)限，采用統(tǒng)一的訪問認(rèn)證系統(tǒng)和單點(diǎn)登錄認(rèn)證機(jī)制，保證用戶獲取系統(tǒng)服務(wù)器的授權(quán)，保證安全訪問系統(tǒng)的服務(wù)資源。

4 結(jié)束語

隨著云計算、移動計算、分布式計算技術(shù)的快速發(fā)展，醫(yī)院電子信息系統(tǒng)的種類也越來越多，比如開發(fā)和實(shí)現(xiàn)了患者病床護(hù)理系統(tǒng)、呼叫系統(tǒng)、臨床路徑管理系統(tǒng)等，因此醫(yī)院信息化安全防御也是一個重要的組成部分和關(guān)鍵環(huán)節(jié)，需要增加安全防御軟件和安全防御設(shè)備，構(gòu)建一個更加完善的、可靠的安全管理系統(tǒng)。醫(yī)院電子信息化系統(tǒng)是一個動態(tài)的、復(fù)雜的安全防御工程，其需要隨著網(wǎng)絡(luò)黑客、木馬和病毒技術(shù)的提高而增強(qiáng)，以便能夠不斷地適應(yīng)現(xiàn)代化醫(yī)院防御需求。

參考文獻(xiàn)

[1]朱玉林.計算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀與防御技術(shù)研究[J].信息安全與技術(shù)，2013，4（01）：27-28.

[2]呂劍，郭麗敏.基于網(wǎng)絡(luò)安全技術(shù)的醫(yī)院信息系統(tǒng)設(shè)計[J].信息與電腦：理論版，2010（09）.

[3]蘇玉召，趙妍.計算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006（05）：12-12.

[4]龔旭峰.醫(yī)院管理信息系統(tǒng)的安全的現(xiàn)狀與防御[J].信息與電腦：理論版，2010（11）.

作者單位

北京市順義區(qū)李遂社區(qū)衛(wèi)生服務(wù)中心 北京市 101300