侯磊對現(xiàn)代化醫(yī)院信息系統(tǒng)安全策略的討論

刁浩白

摘要：現(xiàn)代化醫(yī)院信息系統(tǒng)的建設(shè)目的旨在加強醫(yī)院業(yè)務(wù)管理水平、提高醫(yī)療服務(wù)能力，重點是系統(tǒng)的穩(wěn)定。目前，隨著醫(yī)院信息系統(tǒng)和第三方應(yīng)用軟件及數(shù)據(jù)庫產(chǎn)生的交叉，給系統(tǒng)的安全性帶來了諸多風(fēng)險和不穩(wěn)定因素，也給醫(yī)院信息安全造成極大挑戰(zhàn)。該文從信息系統(tǒng)安全層面、物理安全層面、訪問授權(quán)控制層面、終端主機和網(wǎng)絡(luò)通信防護(hù)以及容災(zāi)策略等幾個層面提出一些方法和討論。

關(guān)鍵詞：醫(yī)院信息系統(tǒng)；安全策略；信息安全管理

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2017）17-0012-02

醫(yī)院信息系統(tǒng)，即HIS已被國際學(xué)術(shù)界公認(rèn)為醫(yī)療信息學(xué)的一部分。我國從20世紀(jì)80年代初期開始研制開發(fā)自己的醫(yī)院信息管理系統(tǒng)，主要分三個部分：①以管理為對象的醫(yī)院管理信息系統(tǒng)（（Hospital manager Information System，HMIS）；②以病人為核心的臨床信息系統(tǒng)（Clinical Information System，CIS）；③醫(yī)院分析決策支持系統(tǒng)（OLPA）及辦公自動化系統(tǒng)（OA）。

該系統(tǒng)涉及計算機和網(wǎng)絡(luò)通訊、管理學(xué)和信息學(xué)等多門學(xué)科，有較大規(guī)劃和建設(shè)難度，在保證數(shù)據(jù)安全穩(wěn)定的前提下還要保證通訊暢通和快速，且要求操作人員具備一定計算機水平和信息安全基礎(chǔ)理論知識。

標(biāo)準(zhǔn)化信息安全管理主要表現(xiàn)在安全技術(shù)和安全標(biāo)準(zhǔn)兩方面。信息安全標(biāo)準(zhǔn)是對國際上的CC系列標(biāo)準(zhǔn)、ISO27000系列標(biāo)準(zhǔn)以及國內(nèi)等級保護(hù)和風(fēng)險評估等標(biāo)準(zhǔn)作出研究。但由于客觀因素的影響，這些標(biāo)準(zhǔn)在具體實施時候都發(fā)現(xiàn)存在著一定局限性。而在醫(yī)院信息管理中，系統(tǒng)安全和網(wǎng)絡(luò)安全將始終貫穿于整個系統(tǒng)周期，因此，在現(xiàn)代醫(yī)院信息系統(tǒng)中體系化的安全策略就顯得尤其重要。本文從以下7個方面對醫(yī)院信息系統(tǒng)的安全設(shè)計和實施開展討論：

1醫(yī)院信息系統(tǒng)安全需求分析

1.1醫(yī)院信息系統(tǒng)的識別

對系統(tǒng)中各類信息資產(chǎn)，包括主機系統(tǒng)、系統(tǒng)和應(yīng)用軟件、物理環(huán)境、業(yè)務(wù)數(shù)據(jù)、輔助設(shè)施等進(jìn)行資產(chǎn)識別和描述。

表1為基于表現(xiàn)形式的信息資產(chǎn)分類方法之一。

1.2對用戶身份的認(rèn)證和訪問的控制需求

根據(jù)用戶的角色級別、類型及其重要性判斷是否需要身份認(rèn)證，并通過設(shè)定來監(jiān)管用戶有權(quán)限訪問系統(tǒng)的時間和空間，并且必須在限定的設(shè)備、網(wǎng)絡(luò)接口來使用。同時，根據(jù)分布式環(huán)境特點，按權(quán)限最小化分配和權(quán)限分離原則做好動態(tài)授權(quán)。

1.3信息資產(chǎn)的安全需求

在硬件方面，要確保信息資產(chǎn)處在安全和環(huán)境適宜的物理環(huán)境中，提供設(shè)備的不間斷供電，做好關(guān)鍵設(shè)備的合理冗余；軟件方面，保證系統(tǒng)應(yīng)用軟件安全可靠性，以及后臺服務(wù)程序、系統(tǒng)進(jìn)程、注冊表關(guān)鍵值等的安全性。

1.4網(wǎng)絡(luò)通信的安全需求

系統(tǒng)管理員要及時發(fā)現(xiàn)并隔離異常的網(wǎng)絡(luò)行為，對網(wǎng)絡(luò)數(shù)據(jù)流做好實時監(jiān)控，定時查看安全日志；及時有效地處理網(wǎng)絡(luò)故障，通過降低網(wǎng)絡(luò)風(fēng)險確保數(shù)據(jù)通信的穩(wěn)定與安全。

2物理安全策略分析

2.1做好中心機房安全維護(hù)

依照規(guī)范要求加強對機房溫度和濕度的控制；加強門禁制度管理；在備好大功率UPS的基礎(chǔ)上采用多路供電保證供電穩(wěn)定和連續(xù)；做好避雷和抗磁干擾措施。

2.2做好服務(wù)器安全維護(hù)

在醫(yī)院信息系統(tǒng)的運行中，服務(wù)器作為系統(tǒng)核心設(shè)備起著主導(dǎo)作用。因此，除了配備7×24不間斷工作電源外還要設(shè)置好冗余，采取多機容錯和熱備份等方案。

2.3工作站安全維護(hù)

工作站作為醫(yī)院信息系統(tǒng)的一個獨立模塊，分布較多，本身不保存數(shù)據(jù)。因此要最大程度地做好工作站電腦的散熱、防塵、防潮等措施。嚴(yán)格做好光驅(qū)和USB接口的屏蔽，裝好網(wǎng)管軟件客戶端。

2.4硬件接口設(shè)備管理維護(hù)

把交換機、路由器、集線器等網(wǎng)絡(luò)設(shè)備都需放在專用的機柜中，并鎖好，同時建立完善的設(shè)備管理制度，并對外來筆記本等移動PC和接入網(wǎng)絡(luò)終端的端口做好流水登記。

3身份認(rèn)證策略

1）利用工作站的IP和MAC地址、VLAN以及所接入交換機的物理接口做綁定，結(jié)合用戶名和口令登錄進(jìn)行身份驗證，保證登錄合法性。

2）安裝安全管理軟件和網(wǎng)絡(luò)管理軟件，通過網(wǎng)絡(luò)安全管理軟件客戶端驗證信息到醫(yī)院安全服務(wù)器來判斷是否為系統(tǒng)合法主機；檢查系統(tǒng)補丁的安裝和病毒庫升級；禁止有未經(jīng)允許的自啟動程序等。通過上述幾個手段，就能夠基本保證非法用戶和外來主機縱然有登錄賬號和IP地址，或者做了MAC修改也不能登陸醫(yī)院信息系統(tǒng)，杜絕外來主機非法接入。

4訪問控制與授權(quán)策略分析

面對當(dāng)前信息系統(tǒng)分布式和復(fù)雜化的發(fā)展趨勢，傳統(tǒng)基于角色的訪問控制策略和靜態(tài)授權(quán)模式已不能適應(yīng)，如何設(shè)計基于時間和空間對訪問行為合法性的控制策略就顯得重要。

4.1時間和空間因素

職工上崗醫(yī)院信息管理員要為其分配身份和權(quán)限，如該用戶離職，要及時取消其用戶口令和密碼及其他相關(guān)權(quán)限。還應(yīng)針對用戶登錄時的工作時間和崗行使訪問控制。

4.2訪問控制策略的實現(xiàn)

訪問控制策略主要從登錄者的身份認(rèn)證、對其訪問控制和操作權(quán)限的控制這三個方面來管理。

4.2.1身份認(rèn)證

根據(jù)系統(tǒng)用戶的職責(zé)和權(quán)限采取包括用戶名和密碼在內(nèi)的身份認(rèn)證、動態(tài)口令認(rèn)證、USB令牌等其他識別認(rèn)證。

4.2.2入網(wǎng)訪問控制

分為用戶名識別驗證、用戶口令識別驗證、用戶賬戶默認(rèn)權(quán)限檢查。其中的默認(rèn)權(quán)限檢查要依據(jù)時間、空間的約束規(guī)則通過網(wǎng)絡(luò)對用戶登錄地址和時間做到可控，以防止冒用和濫用角色權(quán)限。

4.2.3操作權(quán)限控制

操作權(quán)限控制是針對網(wǎng)絡(luò)非法操作的一種保護(hù)方式。醫(yī)院信息部門管理員依據(jù)信息系統(tǒng)用戶的職責(zé)，遵循用戶使用時間和空間的要求，完成對用戶和用戶組賦予訪問網(wǎng)絡(luò)服務(wù)器中的目錄和子目錄、文件及內(nèi)容的權(quán)限。

5終端主機安全防護(hù)策略分析

1）利用系統(tǒng)用戶設(shè)置來實現(xiàn)基本安全認(rèn)證：如操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)中的身份認(rèn)證等，并根據(jù)最小權(quán)限的原則對用戶權(quán)限進(jìn)行合理分解，做好更改系統(tǒng)默認(rèn)用戶和密碼，刪除Guest等不必要的用戶和屏蔽敏感和不需用的端口等。

2）對一些重要文件設(shè)置屬性為只讀，加強主客體訪問控制管理，在各用戶和客體文件間構(gòu)建訪問權(quán)限映射集，并在主機端安裝監(jiān)控軟件實現(xiàn)對系統(tǒng)資源的訪問監(jiān)控和審計。包括客戶端信息收集、后臺服務(wù)進(jìn)程和系統(tǒng)進(jìn)程檢測、注冊表關(guān)鍵鍵值檢測、系統(tǒng)補丁和防毒軟件檢測與修復(fù)、CPU占用率和內(nèi)存使用情況、開放和連接遠(yuǎn)端地址的端口檢測以及各類的入侵攻擊，同時，做好日志備份。

3）對于操作系統(tǒng)僅安裝需要組件部分和必須的應(yīng)用程序，安裝防惡意代碼軟件并及時更新代碼庫，尤其注意防惡意代碼產(chǎn)品應(yīng)具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫。

4）定期對主機漏洞掃描，如發(fā)現(xiàn)主機有異常，可參照以下流程處理。（以主機存在系統(tǒng)漏洞舉例）

首先，向問題客戶端機器發(fā)出警告，再根據(jù)信息提示從醫(yī)院病毒庫服務(wù)器更新版本和修復(fù)漏洞。最后，安全檢查合格后，將該主機接入網(wǎng)絡(luò)。

6網(wǎng)絡(luò)主動防御策略分析

把設(shè)備與安全策略服務(wù)器聯(lián)動，保證網(wǎng)絡(luò)通信數(shù)據(jù)合法有效。做好網(wǎng)絡(luò)流量情況的監(jiān)控，如通過安裝IDS（入侵檢測系統(tǒng)）設(shè)備來對異常流量發(fā)出包括源和目的IP的預(yù)警等。首先將IDS與安全策略服務(wù)器聯(lián)動，由IDS監(jiān)控網(wǎng)絡(luò)流量，并且把受到攻擊的類型、源和目的IP地址等基本信息傳輸?shù)桨踩呗苑?wù)器，再由該服務(wù)器對安全事件進(jìn)行分析后通過對攻擊者定位再由安全策略服務(wù)器下發(fā)解決策略結(jié)果從而達(dá)到從根源上解決網(wǎng)絡(luò)攻擊的目的。

7容災(zāi)備份策略分析

7.1基于主機層的容災(zāi)

通過備份軟件的模擬在主、從服務(wù)器中分別安裝軟件，實現(xiàn)數(shù)據(jù)備份。此方式管理成本和后期成本較大。

7.2基于存儲層的容災(zāi)

通過預(yù)先配置好主、從磁盤陣列，一旦主磁盤陣列發(fā)生故障，由醫(yī)院網(wǎng)絡(luò)管理員手工實現(xiàn)由備份磁盤陣列到主磁盤陣列的快速切換，待主磁盤陣列修復(fù)后再切換回去。此方式的過程為主從關(guān)系臨時置換，無法做到數(shù)據(jù)自動交互，因此，在較大程度上影響了數(shù)據(jù)庫讀寫。

7.3基于網(wǎng)絡(luò)層的容災(zāi)

通過在信息系統(tǒng)服務(wù)器和磁盤陣列存儲設(shè)備間增加虛擬控制器，當(dāng)系統(tǒng)數(shù)據(jù)流到達(dá)虛擬化控制器時，控制器同步將數(shù)據(jù)復(fù)制，分別存放于兩臺磁盤陣列中，從而實現(xiàn)數(shù)據(jù)的實時同步。特點體現(xiàn)為：故障零時間恢復(fù)；實現(xiàn)故障自動切換；可兼容不同類型（iSCSI/FC）和第三方存儲設(shè)備；實現(xiàn)鏡像后的讀數(shù)據(jù)性能為最高磁盤陣列性能，無需安裝第三方軟件，不對主機及存儲設(shè)備增加負(fù)擔(dān)和產(chǎn)生性能上的損耗；從未來醫(yī)療業(yè)務(wù)的擴展等長遠(yuǎn)目標(biāo)看，更適合統(tǒng)一管理，對醫(yī)院數(shù)據(jù)信息整合存儲（兼容HIS，PACS，LIS，OA，WEB），保證了醫(yī)院信息系統(tǒng)各種業(yè)務(wù)的不中斷。