医院信息系统安全管理问题浅析

[摘 要] 本文从中心机房、主机系统、数据库和网络安全几个方面，探讨了医院信息系统的安全管理问题；以期对促进医院信息系统的安全、稳定运行有所帮助。

[关键词] 医院信息系统；安全；管理

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 01. 024

[中图分类号] R197.324 [文献标识码] A [文章编号] 1673 - 0194（2013）01- 0039- 01

伴随信息技术的快速发展，医院信息化水平得到了大幅提升，医院信息系统得到广泛应用；但医疗服务的特殊性决定了医院信息系统需要24小时不间断运行，这就对医院信息系统的安全管理提出了更高要求。如何做好医院信息系统的安全管理，是一个值得我们深入思考与探讨的话题。

1 医院信息系统中心机房的安全管理

中心机房的安全是整个医院信息系统安全的关键，信息系统主要核心硬件设备全部存在于机房，有必要对其进行科学规范化的管理。

1.1 配置精密空调，保持机房温湿度恒定。由于设备长时间、大功率运行，很容易导致机房环境温度升高，进而影响设备性能；通过安装精密空调将设备运行环境温度保持在25℃左右，湿度控制在35%～55%，保证设备以最佳性能运转。

1.2 独立配置电控装置，保持不间断供电。中心机房24小时不间断用电，消耗电量大，长时间工作也很容易出现线路问题；因此，最好配置有三相四线电源的双路供电系统，并安装40kW左右的UPS电源，保证突然断电情况下中心机房设备不断电。

1.3 三级防雷装置，防止涌浪电和感应电。多雷区域发生雷击很容易导致线路产生涌浪电和感应电，传入中心机房造成服务器故障。最好采用联合接地系统，地板下铺设铜线或铜条，并与接地线相连，接地电阻要求不大于0.5欧姆。

1.4 安装报警器、进水感应器等保证机房安全。安装报警器、进水感应器是为了防止非工作人员非法进入或机房进水情况下能自动报警，方便值班人员及时处理；报警器的选择最好选用红外线报警器。

2 医院信息系统主机系统的安全管理

医院信息系统的主机系统主要包括操作系统、主服务器、磁盘阵列柜和光纤交换机等，是医院信息处理安全的核心，可以采取以下措施保障其安全：

2.1 主服务器的选择。主服务器采购前，需要充分做好调研，充分比较小型机和PC服务器在性能上的优缺点。小型机相对来说无论在稳定性，还是安全性上都要胜PC服务器一筹，最好选择小型机作为医院信息系统主服务器。

2.2 操作系统的选择。在操作系统选择上最好采用UNIX系统，UNIX系统最大的好处是安全、稳定，是当前为世人所公认的安全操作系统，能有效防止多种病毒侵入，保证医院信息系统的安全性。

2.3 磁盘阵列的设计。磁盘阵列柜的设计，最好采用双阵列镜像、双通道和双电源冗余技术，这样可以保证任何一个磁盘损坏、电源损坏或者通道损坏都不影响到医院的正常业务，保证医院信息数据处理的完整性和安全性。

2.4 光纤交换机使用。使用光纤交换机能够实现双冗余对称方式，分别与主机、磁盘阵列柜相连，不论是光纤交换机故障，还是光纤连接线故障，都不会影响到医院信息系统数据的正常处理。

3 医院信息系统数据库的安全管理

数据库是医院信息系统所有信息数据的“中心”，可以采取以下几项措施来保障数据库安全：

3.1 数据库的选择。保障医院信息系统数据的安全，数据库的选择非常重要。比较分析发现，Oracle 10G作为核心数据库完全可以满足医院日常业务需求，但需要配备专门的技术人员来保障数据库的日常管理和维护。

3.2 分级管理数据库。采用权限分级的方式管理数据库，能够有效防止越权访问和非法修改数据；设置明确的数据库用户管理权限，对每个用户的访问、修改权限进行明确定义，如分为系统管理员、分离系统管理员和一般应用系统管理员等权限。

3.3 数据、系统容灾备份。医院信息系统存储设备损坏故障，对医院信息系统来说是灾难性的。有必要采用备份和容灾相结合的技术，在发生存储设备损坏或者机房灾难时，数据和系统容灾备份体系可以在10分钟内恢复系统运行。

4 医院信息系统网络安全的管理

网络是医院信息系统的神经，所有数据交换全部靠网络传输，其安全是医院信息系统安全的基本条件。

4.1 物理联接方面。医院信息系统的网络拓扑结构要优先采用星型方式，核心交换机可以使用两台设备做双机均衡，实现关键业务的网络冗余和链路冗余。主交换机和各楼层之间、各幢建筑物之间采用全双光纤方式连接。特别是关键大楼、业务量大的区域，保证医院信息系统稳定性。尽量保证整个医院信息系统网络结构不超过3层，切实保障网络通讯快速、安全。

4.2 子网划分方面。多个VLAN的划分，能够有效防止病毒扩散和广播风暴发生。由于每个VLAN中数据安全级别基本相同，可以有效减少对不同段的访问权限限制；在VLAN接口下使用ACL防止病毒侵入，如禁止一些常见病毒端口，防止病毒进入内网。同时，采用OSPF邻居相互校验MD5加密方式，保证加入网络的路由器有效，从而避免非法或伪造路由信息进入网络。

4.3 建立专用日志服务器。专用日志服务器的使用，能够及时发现网络中出现的问题和报错，保证故障发生后有足够的信息进行参考、排查。日志服务器中可以使用Kiwi_Syslogd日志服务软件，保证每一条日志都发送到日志服务器上，并打开标记时间和密码加密，同时打开系统LOG功能等，配以LOG日志服务器，可以大大增加安全性。

4.4 使用专门的网络管理软件。通过使用专门的网络管理软件，实时查看、监控医院信息系统的网络运行状况，如发现故障或者非法侵入，能够及时帮助网络管理维护人员查明故障、原因，及时排除故障，提高网络运行维护效率。