信息系統(tǒng)安全技術在數(shù)字化醫(yī)院的應用

◆陳博 李晨 李林

（鄭州市骨科醫(yī)院 河南 450052）

數(shù)字化醫(yī)院是指將醫(yī)院信息系統(tǒng)與區(qū)域醫(yī)療信息平臺、遠程醫(yī)療系統(tǒng)、醫(yī)保系統(tǒng)、新農合系統(tǒng)、網上預約掛號系統(tǒng)等眾多外部系統(tǒng)通過衛(wèi)生系統(tǒng)專用網絡實現(xiàn)信息共享，方便不同地域的患者得到更好的醫(yī)療幫助，并且能享受醫(yī)保報銷的一項惠民工程。但是，隨著醫(yī)療行業(yè)信息化不斷發(fā)展，信息安全存在不少問題。很多醫(yī)院管理制度不夠標準，防范來自外部攻擊的技術手段較為落后，因此很容易導致患者信息泄露，更嚴重的可能會造成整個醫(yī)院業(yè)務癱瘓。因此，如何在保證各醫(yī)療機構之間業(yè)務安全穩(wěn)定的運行是當下亟待解決的問題。本文主要針對上述問題，參照公立醫(yī)院信息安全等級評審標準，對醫(yī)院的網絡安全建設，數(shù)據(jù)安全建設，管理體系以及虛擬化集群部署等方面進行研究，并提出相應的建議。

1 醫(yī)院網絡建設

在醫(yī)院傳統(tǒng)的網絡建設模式中，主要分為內網和外網兩個部分，并且內外網之間是要進行嚴格的物理隔離。內網承載著醫(yī)院重要數(shù)據(jù)平臺，關乎著醫(yī)院核心業(yè)務的正常開展。而數(shù)據(jù)中心又是內網的核心資產。因此，內網的安全防護重點是針對數(shù)據(jù)中心的安全防護。構建內網安全通道，要注意以下幾點：

（1）對重要網段采取技術手段防止地址欺騙，如APR 攻擊等。（2）對網絡設備和安全設備遠程管理地址進行限制。

（3）網絡交換機要設置超時處理功能，并且關閉HTTP、Telnet等在網絡中采用明文傳輸?shù)膮f(xié)議，使用SSH 進行遠程登錄。

（4）對網絡設備和安全設備日志信息和配置信息進行異地備份，并且進行熱備部署。

隨著醫(yī)院業(yè)務的不斷發(fā)展及移動醫(yī)療應用快速普及，內外網物理隔離的模式已經逐漸不適應醫(yī)療信息化的發(fā)展，更多時候為了方便患者就醫(yī)，需要一定程度的內外網信息安全交互。因此，醫(yī)院在開始信息化建設時，需要通過網閘或防火墻等安全設備把內網和外網隔離開，并在安全策略允許的范圍內可以進行有限的數(shù)據(jù)傳輸和交互。而此時最需要考慮的是一些通過Web 對外發(fā)布的業(yè)務，一旦遭受攻擊，不但對其原有的業(yè)務造成影響，更有可能讓服務器本身成為攻擊的跳板，對醫(yī)院內網發(fā)起攻擊，后果不堪設想。因此，對Web 應用的防護是外網安全防護的重中之重。在進行外部訪問控制時，應注意以下幾點：

（1）邊界訪問控制設備應設置嚴格的訪問控制策略，其精細度要達到端口級和協(xié)議級，并根據(jù)業(yè)務實際最小化需求進行設置；對常見的端口做一定的限制，防止網絡攻擊和惡意代碼傳播。

（2）對網絡設備和安全設備的設計記錄進行數(shù)據(jù)統(tǒng)計、查詢、分析及生成審計報表的功能，并對日志服務器及審計記錄進行保護。

（3）在需要臨時登錄Web 服務器時，管理員應采用兩種或兩種以上身份鑒別方式進行身份鑒別。

（4）在網絡邊界部署惡意代碼防護設備，并在網絡層面對惡意代碼進行檢測并清除。

網絡建設是數(shù)字化醫(yī)院建設的基礎，只有保證安全良好的網絡環(huán)境，才能保障各項業(yè)務正常有序地進行。而數(shù)據(jù)安全的防護，則是下一步關注的重點。

2 數(shù)據(jù)安全防護

數(shù)據(jù)安全是需要建立在可靠的加密算法和成熟的安全體系之上的一種主動的防范措施，其含義主要包括以下兩個方面：一是數(shù)據(jù)本身的安全，主要是指采用現(xiàn)代化密碼算法對數(shù)據(jù)進行主動保護，如數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向強身份認證等。二是數(shù)據(jù)防護的安全，主要是采用現(xiàn)代化信息存儲手段對數(shù)據(jù)進行主動防護，如通過磁盤陣列、數(shù)據(jù)備份、異地容災等手段保證數(shù)據(jù)的安全。

目前數(shù)據(jù)在安全方面存在的隱患主要有：業(yè)務數(shù)據(jù)的完整度在傳輸過程中受到損壞；數(shù)據(jù)存儲沒有經過加密處理；數(shù)據(jù)缺少備份等。因此需要在現(xiàn)有數(shù)據(jù)安全基礎上重點關注以下幾個方面：

（1）數(shù)據(jù)的完整性。不定期巡檢系統(tǒng)日志信息、管理數(shù)據(jù)以及重要業(yè)務數(shù)據(jù)等，驗證其在傳輸和存儲過程中數(shù)據(jù)完整度，并在完整性出現(xiàn)錯誤時采取必要的恢復措施。

（2）數(shù)據(jù)的保密性。對系統(tǒng)的日志信息、管理數(shù)據(jù)及業(yè)務數(shù)據(jù)等采用加密手段實現(xiàn)傳輸和存儲的保密性。

（3）備份和恢復：對于本地數(shù)據(jù)備份與恢復功能，至少每天一次完全數(shù)據(jù)備份，備份介質場外存放；對于異地數(shù)據(jù)備份，通過專用網絡將關鍵數(shù)據(jù)定時批量傳送至備用場地。

（4）網絡結構冗余設計。冗余技術設計是解決關鍵節(jié)點瞬時故障的方法，并提供可靠性較高的網絡設備、通信線路和數(shù)據(jù)處理系統(tǒng)，保證系統(tǒng)穩(wěn)定運行。

對于醫(yī)院而言，可靠的技術手段是保證患者的信息不泄露的前提，更應當建立嚴格的患者診療信息保護制度來保護公民的個人信息。定期開展患者診療信息安全自查工作，建立患者診療信息系統(tǒng)安全事故責任管理、追溯機制。

3 管理體系安全建設

對于目前大多數(shù)公立醫(yī)院的現(xiàn)狀而言，要組織開展網絡安全工作情況和網絡安全責任制落實，積極推進等級保護測評工作的正常進行，對部分薄弱的環(huán)節(jié)組織相關人員進行認真整改，做到“誰主管、誰負責、誰運營、誰負責”的原則，明確網絡安全保護責任，主動開展網絡安全自查工作。定期組織人員外出學習培訓，積極參加由公安部門、通信運營商、網絡設備廠商等組織的網絡安全宣講會，學習《網絡安全法》的法律法規(guī)，案例分析，提高學員的網絡安全防范意識和專業(yè)技巧。

根據(jù)國家網絡安全等級保護制度的要求，逐步規(guī)范醫(yī)院內部安全管理制度和操作流程，確定網絡安全責任人，落實網絡安全的職責。在基礎設施建設方面，根據(jù)等級測評要求，規(guī)范機房內的供配電系統(tǒng)，綜合布線系統(tǒng)，安防系統(tǒng)，空調系統(tǒng)及接地防雷系統(tǒng)，長年保持機房內的恒溫恒壓。在制度上，要求機房工作人員進行每周例行巡檢，并對每天巡檢的結果做好記錄。對于需要申請進入機房的人員進行嚴格把關，確保機房正常安全地運行。對于院內的信息系統(tǒng)安全方面，在網絡邊界及內部網絡設置多道防火墻。其中，邊界防火墻用于防御來自醫(yī)院外部計算機病毒和入侵行為，并有專職人員每天檢查是否有異常的數(shù)據(jù)包在內外發(fā)送傳輸；內部防火墻用于對內網的監(jiān)測和數(shù)據(jù)過濾，對于有潛在危害的物理主機和虛擬機進行及時病毒查殺或做硬盤格式化處理。另外，對于內網的所有電腦都安裝防病毒軟件和移動介質管理軟件。防病毒軟件可以做到實時更新軟件的病毒庫，并在后臺進行周期性病毒監(jiān)測查殺。而移動介質管理可以防止未經允許人員對重要資料的拷貝，而對于允許拷貝資料的電腦也只能在指定的工作區(qū)域內電腦中才能讀取。

根據(jù)《網絡安全法》及相關要求，醫(yī)院對現(xiàn)有的系統(tǒng)進行逐一排查，安裝防病毒軟件以及硬件防護設備，重點對門戶網站、移動PACS等重要的服務器增強防護措施。在服務器系統(tǒng)上配置復雜的策略口令，并定期對口令進行修改，規(guī)范用戶口令的使用；對重要信息設置敏感標記，根據(jù)數(shù)據(jù)的重要性進行分級處理；遵循組件最小化原則，關閉多余的服務，關閉135，445，3389 等危險端口，及時更新系統(tǒng)補丁，刪除惡意代碼防范軟件；對服務器遠程管理地址進行限制，設置空閑的會話鎖定時間和屏幕保護程序；定期對服務器中重要數(shù)據(jù)信息（應用程序文件、系統(tǒng)日志）進行備份和恢復測試；并將重要的數(shù)據(jù)傳送至異地備份，防止發(fā)生災難性破壞時本地數(shù)據(jù)不能恢復等情況。

醫(yī)院對于患者的個人信息采集、存儲、傳輸、應用和保護都進行嚴格的監(jiān)管和保密，嚴禁外來人員登錄醫(yī)院信息系統(tǒng)查詢、打印跟病人有關信息資料。對于需要上報的業(yè)務，按照上級部門的要求，由專人負責核對，并建立“衛(wèi)生專網”上報傳輸。

4 醫(yī)院虛擬化建設

網絡虛擬化技術被提出并作為一個單獨的概念而存在的時間不長，其技術很多與通信技術相關，典型的有虛擬局域網絡（Virtual Local Area Network，VLAN）、虛擬專用網絡（Virtual Private Network，VPN）、主動可編程網絡和虛擬重疊網絡。

4.1 虛擬化對網絡架構的要求

傳統(tǒng)的中心機房通常將二層網絡的范圍限制在接入層以下，以避免出現(xiàn)大范圍的二層廣播域。但會降低服務器資源利用率，浪費了大量的電力能源和機房資源，而虛擬化技術的引用大大緩解上述問題。網絡的虛擬化不僅提高了網絡的利用率，增加系統(tǒng)的可靠性，還會使得上層應用完全脫離于傳統(tǒng)網絡的束縛，真正實現(xiàn)無約束的硬件資源動態(tài)調度。

4.2 醫(yī)院網絡虛擬化設計

利用虛擬化技術對醫(yī)院網絡進行優(yōu)化時，應充分考慮醫(yī)院業(yè)務的具體特點。醫(yī)院24 小時服務的需求，要求醫(yī)院業(yè)務網絡必須具有高連續(xù)性，尤其是在業(yè)務高峰期更應維持業(yè)務的正常有效運轉；隨著數(shù)字化醫(yī)療儀器和更高分辨率的影像設備的使用，產生了越來越多的影像醫(yī)療數(shù)據(jù)，要求網絡具備高處理能力。由于門診、收費業(yè)務系統(tǒng)對網絡實時性、可靠性要求較高，因此在對其進行虛擬化時，可采用一虛多技術，滿足多用戶的同時訪問，降低訪問延時；由于PACS 中的數(shù)據(jù)內容復雜、數(shù)據(jù)量大、傳輸過程中需要占用更多的網絡帶寬，影像中心對網絡實時性要求不高但網絡流量大，因此在對PACS 的網絡進行虛擬化時，可采用多虛一技術，增大網絡帶寬，滿足大數(shù)據(jù)量信息的快速傳輸。

（1）核心層

核心層采用兩臺高性能數(shù)據(jù)中心級設備做橫向虛擬化后，完成全院數(shù)據(jù)處理。該設備作為網絡核心，與各大樓匯聚交換機、服務器區(qū)匯聚交換機、外聯(lián)區(qū)交換機通過光纖雙鏈路互聯(lián)整個網絡具有良好的可靠性和穩(wěn)定性。

（2）匯聚層

各樓宇匯聚曾以數(shù)據(jù)中心服務器匯聚交換機作為匯聚橫向虛擬化。匯聚設備與核心設備通過萬兆或者千兆互聯(lián)，與接入設備通過萬兆或者千兆互聯(lián)。匯聚層采用橫向虛擬化，可以增加網絡的穩(wěn)定性和可靠性，同時可以簡化網絡的拓撲，避免單點故障。匯聚層設備要求支持強大的Qos、ACL，可以配備豐富的網絡策略，有效控制網絡。

（3）接入層

網絡接入層按照功能分為設備網接入和數(shù)據(jù)網接入。在網絡設計中，接入層設備接入采用千兆光纖上聯(lián)，PACS 等大數(shù)據(jù)網接入建議采用萬兆光纖上聯(lián)。

虛擬服務器消除了單臺物理主機上只運行單個應用的限制，不僅節(jié)省數(shù)據(jù)中心空間、能耗和成本，還提升了醫(yī)療行業(yè)的整體效率，為醫(yī)療行業(yè)向智慧化轉型提供有力的技術支撐。

5 結束語

醫(yī)院的信息化建設是一個長期的工程，未來的建設將持續(xù)在安全預警、安全監(jiān)控、安全加固、安全審計、應急響應等方面不斷進行優(yōu)化。隨著國家醫(yī)改政策的不斷深入，醫(yī)院對信息化建設程度也會逐步提高，而信息化建設的成果也將惠及更多的人，使得患者及時得到診療，享受優(yōu)質、高效、便捷的醫(yī)療衛(wèi)生服務。