醫(yī)院信息系統(tǒng)數(shù)據(jù)安全防范及策略探討

林 耀，趙 蕾

（解放軍第九六七醫(yī)院 遼寧 大連 116041）

1 引言

醫(yī)院信息系統(tǒng)作為醫(yī)院醫(yī)療信息的基礎(chǔ)設(shè)施之一，為醫(yī)院醫(yī)療服務(wù)、行政管理、日常運(yùn)行發(fā)揮著重要的作用，其中涉及了信息數(shù)據(jù)收集處理、存儲傳輸?shù)榷鄠€功能。當(dāng)前，隨著科技的發(fā)展，醫(yī)院的信息化建設(shè)水平也在不斷提高，該系統(tǒng)的應(yīng)用越發(fā)廣泛，功能也日漸豐富，數(shù)量持續(xù)增加。在此背景下，該系統(tǒng)的應(yīng)用也面臨了更多的安全風(fēng)險，數(shù)據(jù)安全受到威脅，導(dǎo)致系統(tǒng)運(yùn)行受到影響，為保證系統(tǒng)持續(xù)發(fā)展，必須要提高系統(tǒng)安全性，解除數(shù)據(jù)安全威脅。

2 醫(yī)院信息系統(tǒng)數(shù)據(jù)安全概述

2.1 系統(tǒng)功能

為了提高醫(yī)院信息系統(tǒng)數(shù)據(jù)安全性，該系統(tǒng)必須要具備以下幾個功能：（1）具備用戶名和口令識別功能，以及權(quán)限管控、數(shù)據(jù)信息加密和審計等功能；（2）系統(tǒng)權(quán)限劃分合理；（3）具備數(shù)據(jù)表查看、建立、修改等權(quán)限；（4）具備記錄用戶具體操作功能；（5）具備審計功能，準(zhǔn)確記錄數(shù)據(jù)庫服務(wù)器和系統(tǒng)命令使用情況，同時對風(fēng)險類型進(jìn)行事前評測，了解系統(tǒng)中可能存在的風(fēng)險，進(jìn)而及時采取措施解決[1]。

2.2 安全評價

醫(yī)院信息系統(tǒng)數(shù)據(jù)安全性評價主要體現(xiàn)在以下幾方面：（1）完整性。系統(tǒng)中存儲的信息數(shù)據(jù)要保證全面完整，不會因?yàn)榘踩L(fēng)險出現(xiàn)變化，并保證系統(tǒng)和數(shù)據(jù)不會被損壞、修改。數(shù)據(jù)完整性主要包括內(nèi)容、參照、數(shù)據(jù)域和用戶自定義等方面的完整要求。（2）可靠性。系統(tǒng)運(yùn)行要保證正常穩(wěn)定，全部功能得以應(yīng)用，不會因?yàn)楣收匣蛉藶槭д`導(dǎo)致數(shù)據(jù)丟失[2]。為保證數(shù)據(jù)可靠，醫(yī)院需采取數(shù)據(jù)備份和恢復(fù)方式，系統(tǒng)可自動預(yù)警，并進(jìn)行修復(fù)，保證數(shù)據(jù)安全。（3）保密性。系統(tǒng)管理需由合法授權(quán)人員實(shí)現(xiàn)，其可以獲取加密信息，信息獲取后，人員根據(jù)需求固定使用，不可外泄。

3 醫(yī)院信息系統(tǒng)數(shù)據(jù)安全威脅因素

3.1 主動威脅

主動威脅是指對數(shù)據(jù)安全產(chǎn)生最大威脅的因素，其包括內(nèi)外部非法數(shù)據(jù)的訪問。此類威脅類型如下所示。

（1）惡意訪問。該行為是出于特定目的，為獲取系統(tǒng)授權(quán)下，采用非法手段訪問系統(tǒng)數(shù)據(jù)信息，這類行為實(shí)施者一般為內(nèi)部人員，通過關(guān)鍵指令猜測、植入木馬等手段獲取訪問權(quán)限，規(guī)避系統(tǒng)安全管理程序，非法獲取資源。有些惡意訪問人員出于利益因素，越權(quán)獲取關(guān)鍵信息，將其傳輸給他人。

（2）篡改數(shù)據(jù)。該行為通常是指數(shù)據(jù)庫中與核心業(yè)務(wù)有關(guān)的信息被非法篡改，該行為的實(shí)施人也是出于特定目的。例如藥房人員為平賬篡改庫存信息，改變醫(yī)保藥品目錄，或是未經(jīng)同意隨意篡改病患信息等行為不僅導(dǎo)致他人合法權(quán)益被侵害，同時也影響了了醫(yī)療機(jī)構(gòu)與醫(yī)療工作者良好的社會形象。

（3）服務(wù)干擾。該行為通常是使用非法手段干擾系統(tǒng)運(yùn)行環(huán)境，影響系統(tǒng)正常運(yùn)行。比如，應(yīng)用網(wǎng)絡(luò)數(shù)據(jù)阻塞系統(tǒng)網(wǎng)絡(luò)通道，重新編排數(shù)據(jù)，通過干擾新系統(tǒng)，阻礙系統(tǒng)運(yùn)行，甚至導(dǎo)致系統(tǒng)癱瘓。

3.2 被動威脅

被動威脅是指由于設(shè)備故障或是人為操作失誤導(dǎo)致的數(shù)據(jù)威脅。其中，人為操作失誤是醫(yī)院人員由于疏忽誤操作，或是由于客戶端漏洞無意導(dǎo)致數(shù)據(jù)被破壞。例如操作人員清理系統(tǒng)時不慎清除需要保存的信息，或是將病人數(shù)據(jù)混淆，導(dǎo)致診療信息混亂等。而設(shè)備故障則是因?yàn)樵O(shè)備硬件問題導(dǎo)致的系統(tǒng)非常規(guī)運(yùn)行，其主要是指網(wǎng)絡(luò)故障和服務(wù)器故障，前者會導(dǎo)致醫(yī)院網(wǎng)絡(luò)整體使用出現(xiàn)問題，這一現(xiàn)象多是由于交換機(jī)或網(wǎng)線出現(xiàn)問題產(chǎn)生的，需要檢測設(shè)備狀態(tài)，若是交換機(jī)出現(xiàn)問題導(dǎo)致網(wǎng)絡(luò)無法正常運(yùn)行，需要及時啟動備用設(shè)備保證網(wǎng)絡(luò)運(yùn)行；后者問題表現(xiàn)多樣，主板、硬盤或其他部件都可能出現(xiàn)故障，維修人員需要查找問題原因并采取相應(yīng)的解決措施。

4 醫(yī)院信息系統(tǒng)數(shù)據(jù)安全防范策略概述

4.1 建立數(shù)據(jù)安全保障體系

（1）建立網(wǎng)絡(luò)平臺。醫(yī)院信息系統(tǒng)遵循專網(wǎng)專用原則，首先需要建立健全病毒防范體系，設(shè)置內(nèi)部專用網(wǎng)絡(luò)平臺系統(tǒng)，并保證系統(tǒng)建設(shè)和運(yùn)行安全、穩(wěn)定，實(shí)現(xiàn)數(shù)據(jù)共享交換。我院信息系統(tǒng)嚴(yán)格落實(shí)內(nèi)外網(wǎng)物理隔離、并通過安裝網(wǎng)絡(luò)版局域網(wǎng)管理軟件和單機(jī)U盤封控軟件結(jié)合的方式禁用U盤等移動載體，使病毒、木馬的流通渠道從根本上被切斷。同時，選擇能覆蓋各醫(yī)療區(qū)域的點(diǎn)位集中安裝專用的服務(wù)器、交換機(jī)等設(shè)施，避免因錯接線路引發(fā)網(wǎng)絡(luò)廣播風(fēng)暴。

（2）正確處理數(shù)據(jù)備份。由于醫(yī)院服務(wù)特殊，其需要建立完備的數(shù)據(jù)備份和動態(tài)存儲全天候數(shù)據(jù)庫恢復(fù)機(jī)制，利用實(shí)際動態(tài)數(shù)據(jù)存儲將數(shù)據(jù)威脅消除，恢復(fù)數(shù)據(jù)庫內(nèi)容[3]。通常會應(yīng)用冗余與工作日志配合的方法來恢復(fù)數(shù)據(jù)，同時定期監(jiān)測審計系統(tǒng)，以保證數(shù)據(jù)完整有效。可通過雙活容災(zāi)系統(tǒng)，建立主備機(jī)房服務(wù)器集群建立業(yè)務(wù)資源池，如條件不具備也可設(shè)立備用服務(wù)器或服務(wù)器集群，若是某一虛擬服務(wù)器或服務(wù)器集群由于各種原因發(fā)生故障無法提供服務(wù)，虛擬主機(jī)會實(shí)現(xiàn)自動遷移，繼續(xù)提供服務(wù)。

（3）建立數(shù)據(jù)庫管理和安全保障體系。該體系的建立是為了保證醫(yī)療數(shù)據(jù)不會外泄，對于機(jī)密醫(yī)療數(shù)據(jù)，醫(yī)院需要采取強(qiáng)制存儲控制值，并處理標(biāo)識數(shù)據(jù)，與數(shù)據(jù)庫管理系統(tǒng)授權(quán)機(jī)制結(jié)合，針對不同用戶配置相應(yīng)的訪問權(quán)限。同時，醫(yī)院也會授權(quán)一些患者系統(tǒng)查詢權(quán)限，利用子系統(tǒng)提供相應(yīng)的服務(wù)，為患者提供病歷查詢、繳費(fèi)、掛號等服務(wù)。此外，網(wǎng)絡(luò)環(huán)境下，醫(yī)院還需要建立數(shù)據(jù)安全保障體系，通過建立安全風(fēng)險評估機(jī)制對醫(yī)院信息系統(tǒng)其中可能出現(xiàn)的風(fēng)險進(jìn)行評估和關(guān)聯(lián)，并制定應(yīng)急預(yù)案，降低醫(yī)院損失。我院針對不同崗位的醫(yī)院工作人員如醫(yī)生、護(hù)士、收款員、藥品、物資及行政管理人員等設(shè)置了不同權(quán)限，如需增加或修改權(quán)限必須由科室負(fù)責(zé)人及分管領(lǐng)導(dǎo)審批。同時定期對人員權(quán)限進(jìn)行審核，對崗位調(diào)動或離職的工作人員權(quán)限及時進(jìn)行更改或凍結(jié)。并通過數(shù)據(jù)庫行為管控系統(tǒng)對私自更改用戶權(quán)限或提取敏感醫(yī)療數(shù)據(jù)等行為進(jìn)行記錄和審計。

4.2 建立硬件設(shè)備安全保障體系

（1）設(shè)置密碼。為保護(hù)電腦內(nèi)部資料，我院計算機(jī)嚴(yán)格禁止移動載體接入，并統(tǒng)一設(shè)置電腦密碼，啟動自動屏保功能，屏保退出時需輸入相應(yīng)的密碼，不同科室、診室密碼不同，具有獨(dú)立性。

（2）殺毒軟件。殺毒軟件能夠有效防止病毒入侵，可以安裝單機(jī)或企業(yè)版殺毒軟件，避免病毒造成終端系統(tǒng)崩潰或攻擊服務(wù)器。我院統(tǒng)一安裝了企業(yè)版殺毒軟件，并定期更新病毒庫，定期對電腦進(jìn)行掃描，可對所用終端進(jìn)行監(jiān)控，清除病毒及木馬，以保證系統(tǒng)安全。

（3）容錯和冗余。醫(yī)院信息系統(tǒng)需要為硬件社會提供容錯和冗余功能。例如我院采用SAN網(wǎng)絡(luò)傳輸與鏈路聚合用于交換機(jī)單點(diǎn)故障屏蔽，為醫(yī)院信息系統(tǒng)提供業(yè)務(wù)持續(xù)進(jìn)行保障。同時，在磁盤陣列設(shè)置Hot-Spare硬盤、RAID策略等，定對機(jī)房進(jìn)行安全巡視，檢查磁盤陣列運(yùn)行情況，并及時更換故障硬盤，避免數(shù)據(jù)丟失，確保數(shù)據(jù)完整。

4.3 我院在信息系統(tǒng)數(shù)據(jù)安全防范方面的幾種具體做法

下面介紹一下我院的具體做法，僅供大家參考：

4.3.1 服務(wù)器群集的設(shè)置

圖1 服務(wù)器群集設(shè)置示意圖

如圖1所示，共有4臺服務(wù)器構(gòu)成服務(wù)器群集，通過虛擬機(jī)管理平臺（VCenter）管理醫(yī)院各項業(yè)務(wù)所需的虛擬服務(wù)器（如HIS服務(wù)器、PACS服務(wù)器、LIS服務(wù)器等），如某一虛擬服務(wù)器因系統(tǒng)故障意外關(guān)閉，則虛擬機(jī)管理平臺會自動重啟服務(wù)器以保證服務(wù)不間斷。如某一服務(wù)器出現(xiàn)硬件故障造成癱瘓，則可通過自動或手動方式將其掛載的虛擬服務(wù)器轉(zhuǎn)移至其他物理主機(jī)。

各虛擬服務(wù)器數(shù)據(jù)均集中儲存于磁盤陣列中，物理服務(wù)器通過SAN網(wǎng)絡(luò)與磁盤陣列連接，確保了數(shù)據(jù)的高速穩(wěn)定傳輸。磁盤陣列采用Raid5策略，如有個別硬盤損壞，只需更換新硬盤并加入陣列即可，不會造成數(shù)據(jù)的丟失。

4.3.2 核心交換機(jī)的設(shè)置

圖2 核心交換機(jī)設(shè)置示意圖

如圖2所示，大型物理服務(wù)器一般有4個（或更多）以太網(wǎng)接口，接入核心交換機(jī)的1～4網(wǎng)口，通過鏈路聚合，即將多個數(shù)據(jù)信道合成一個邏輯鏈路，實(shí)現(xiàn)出/入流量在各成員端口中的負(fù)荷分擔(dān)，在實(shí)現(xiàn)數(shù)據(jù)高速傳輸?shù)耐瑫r避免了因交換機(jī)單點(diǎn)故障造成的服務(wù)中斷。核心交換機(jī)5網(wǎng)口設(shè)置為端口鏡像，將與服務(wù)器連接的1～4網(wǎng)口inbound、outbound方向的數(shù)據(jù)全部鏡像至5網(wǎng)口，并連接至行為管控系統(tǒng)，實(shí)現(xiàn)對全部數(shù)據(jù)庫行為的監(jiān)控和記錄，如有非法統(tǒng)計敏感醫(yī)療數(shù)據(jù)或增刪、更改數(shù)據(jù)表或用戶權(quán)限等危險行為，則會實(shí)時告警。6～10網(wǎng)口接入各科室，并未在不同區(qū)域設(shè)置VLAN，在拓展局域網(wǎng)IP地址資源的同時避免了大范圍網(wǎng)絡(luò)廣播風(fēng)暴的出現(xiàn)。

5 結(jié)語

近年來，我國各大醫(yī)院廣泛應(yīng)用信息系統(tǒng)，系統(tǒng)安全風(fēng)險也受到各界關(guān)注。為了保證醫(yī)院信息系統(tǒng)數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)安全管理工作，需要對其安全威脅進(jìn)行深入分析，當(dāng)前，醫(yī)院信息系統(tǒng)數(shù)據(jù)安全威脅可以分為主動和被動兩種，對此，本文提出建立網(wǎng)絡(luò)平臺、正確處理數(shù)據(jù)備份并建立數(shù)據(jù)庫管理和安全保障體系、建立硬件設(shè)備安全保障體系等措施，以提高醫(yī)院數(shù)據(jù)安全性，確保醫(yī)院信息系統(tǒng)能夠安全穩(wěn)定運(yùn)行。