关于医院信息系统数据安全问题及应对措施

【 摘 要 】 随着医院信息系统的发展和大规模应用，系统的安全性越来越受到重视。文章从多个角度阐述如何增强医院信息系统的安全性，具体包括硬件设备安全、防病毒技术、数据存储安全、数据库权限控制、数据加密、医院网络终端准入控制、安全数据交换技术等。

【 关键词 】 医院信息系统；数据加密；数据安全；安全数据交换

Problem on Data Safety in the Hospital Information System and Measure of the Solution

Zhang Yang 1 Zhang Chang-qing 2

（1.School of Information Science＆Technology, East China Normal University Shanghai 200241,China；

2.Hospital of Chinese Medicine of Lai Wu City ShandongLaiwu 271100）

【 Abstract 】 With the development of the hospital information system and the massive utilization，the security of the hospital information systems are increasingly regarded as a vital issue．The paper depicts how to enhance the security ability of the hospital information system from many aspects，including hardware equipment security，antivirus technology，data storage safety，database authority control，data encryption，The admission control in network terminal in hospital and secure data—exchange system，etc．

【 Keywords 】 hospital information system; data encryption; data safety; secure data exchange

0 引言

目前医院信息系统(Hospital Information System，HIS）的应用越来越来普及，应用的范围也在迅速扩大，医院的管理水平和医疗质量得到了极大的提高。医院信息系统数据是医院赖以生存的宝贵财富，数据一旦丢失或出现问题，都会给医院带来巨大的损失，而且医院内部信息系统存在大量各种敏感的医疗数据，如患者的个人信息、诊断信息等。除此之外，还有许多医院的机密或核心业务数据内容，如药品库存等，因此保证医院信息系统数据的安全是极其重要的。随着使用人员的不断增多和使用范围的不断扩大，安全隐患也越来越多。另外，互联网的普及应用，使病毒广泛流传、外部黑客人侵等，重视和加强医院信息网络安全已经成为医院信息化建设的当务之急。

1 医院信息系统数据的安全风险分析

要使医院内部信息系统数据安全得到保障必须遵循三个原则：不得篡改、不得泄漏或丢失和不得破坏。

一般来说，医院内部网络面临的主要安全威胁。

1.1 病毒攻击

由于各种电脑外置设备的应用以及医院内部网络与互联网保持互通，所以医院内部信息系统不可避免地要遭到各种病毒的攻击。这些病毒有些是普通的、没有太大破坏性的，而有些却是能造成系统崩溃的高危险病毒。

1.2 人为威胁数据安全的情况分析

1.2.1恶意攻击

这是医院计算机网络所面临的最大威胁，黑客的攻击和计算机犯罪就属于这一类。攻击者一是为了刺探机密或核心业务数据内容，以达到不可告人的目的，如保密数据的窃取等；二是篡改核心业务数据内容，如修改药品库存、患者的医药费等，通过损害医院利益而使自己受益。此类攻击方式又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下截获、窃取、破译以获得的重要机密信息；恶意网络攻击技术含量高、危害大、防犯难，因此防范人为的恶意攻击将是医院网络安全工作的重点。

1.2.2人为误操作

数据库管理人员人为的误操作或是终端用户利用客户端软件的程序缺陷(BUG)有意或无意地违规操作数据造成对数据的暂时或永久性的破坏，这种情况最为常见，在所见案例中有90％以上的数据破坏是由于人为误操作造成的。

1.3 不可预见的事故及灾害

这种情况比较少见，但具有随机性和不可预知性，危害巨大，比如存储器故障或服务器故障而导致的数据非人为性损坏，电源突然中断造成系统硬件故障或数据丢失等。

2 加强医院信息系统数据安全的措施

2.1 强化系统硬件设备建设

保障硬件设备安全的重要性随着医院信息系统的大规模应用，越来越为人所重视。由于这方面的技术防范手段相对成熟，一般由硬件供应厂商提供一揽子解决方案，作为院方要严格把关，确保系统达到技术要求。重点做到几个方面。

2.1.1增设相同的设备及线路

一般来说，硬件设备最好的安全保障就是增设相同的设备及线路。对于数据库服务器来说，通常是采用双机热备加RAID 5+Hot Spare的磁盘阵列柜。双机热备可以保证服务器硬件一旦损坏，将会在极短的时间内自动切换到另一台硬件中。而RAID 5+Hot Spare的实现方式只是增加了一个热备份概念。当磁盘阵列中的一块硬盘出现故障，RAID控制器会自动启用备份硬盘。并在几分钟之内，将数据写至新的硬盘之上。这样，就可以保证数据库服务器能够在极高的安全度下工作。

2.1.2 供电线路多路备份解决断电问题

供电线路多路备份解决断电问题，机房最好采用双路供电的方式，两个电源分别接在不同的地方，即使其中一条线路出了故障，服务器及网络设备也照样能够正常运行，不至于因为电源问题而导致意外情况的发生。

2.1.3增加异地备份

使用光纤或高速以太网，定时将数据库中的数据进行异地备份，以备不测。异地的最低要求是不同楼层之间，最好是在两栋楼之间。异地备份要求可以长期保存。这样在更大程度上避免各种不测可能造成的数据破坏。

2.2 医院信息系统数据安全防范机制

数据安全防范机制是指通过对数据操作过程中的安全规定、软件设计中的安全机制，以及对数据库中的数据内容加密等多种方法和手段达到防患于未然，使数据安全事故消灭在萌芽阶段。

2.2.1确保数据存储安全

虽然磁盘阵列和双机热备份技术已经形成了数据冗余，但不能代替离线备份，有必要制定安全可靠的备份计划。将隔年的数据转储存到备份数据库或磁盘、光盘，避免人为操作、硬盘损坏、病毒及黑客造成关键数据的永久丢失，保证数据的可用性、一致性和完整性。

2.2.2数据库权限控制

医院内部信息系统对每个数据库用户采用身份认证登入，使用者都有一定的用户权限，比如医生站的用户具有下医嘱的权限，药房人员具有增减药品库存的权限，而作为软件开发人员为了调试程序的方便也许要赋予更大的权限。做好数据库使用权限管理工作，既要防止用户利用自己的权限做工作以外的事，又要杜绝非法用户登入数据库。要做到这一点，除了对软件设计中的功能要求外，还要有完善的管理制度作保障。重点从几点着手解决。

（1）使用权限管理库：使用者首先用公用连接信息登录到权限管理库中，再通过权限库中的加密信息得到登录用户数据库的用户名与密码，并由程序自动连接到用户数据库中。这样可以保证黑客无法得到登录用户数据库的用户名和密码。同时，由于权限相关信息都为加密保存，即使非法用户能够登录该权限管理库，也无法修改表中的数据。同时，用户数据库的登录密码应该定期进行更换，密码长度保持在8位以上，必须包含数字与特殊字符。

（2）授权适当与动态分配权限：用户数据库每个用户仅授予相应的最小化权限，与其业务不相关权限一律收回，对于已经离岗的原工作人员以及其他不必要用户立即收回其用户权限，这项工作需要靠制度落实，实行定期检查；另外，在开发客户端程序中引入动态分配权限机制，具体而言，就是在用户登录程序，身份得到验证后，才被授予相应的数据库操作权限，并且该权限仅在本次登录中有效，一旦其退出登录，该用户权限即被收回。

2.2.3应用数据加密技术

权限管理是从制度上约束用户的使用权限，难免存在死角；另外，所有的数据都是以小数据包的方式在网络中进行传输，最终存储到数据库服务器中。数据在网络中传输时一般都是采用明码的方式，在这种方式下，黑客采用截获数据包的方式可以知道数据包的内容，并可以进行篡改；要从根本上去除各种隐患，必须还要采用数据加密技术。

数据库加密软件已经有多种商业化产品面世，以Oracle数据库为例，随着OracleEIOGR2的推出，提供了一种更加容易使用的加密方法称为透明数据加密技术TDE(Transparent Data Encryption)。其最大的特点是密钥的管理完全由数据库管理，不需要人为的干预，而且对列数据加、解密，不必将加密例程嵌套到现有应用程序中，显著降低了加密的成本和复杂性，只需使用几个简单的命令即可对机密应用程序数据进行加密。这样，对敏感数据列的操作只在客户端程序中通过正常的操作规程才能实现。但其带来的负面影响是：因数据库系统增加了加、解密过程，可能导致加密列无法正常索引，并且会使对数据库的访问速度变慢，所以在使用加密技术之前一定要做好严格、周密的测试，确定可行再做实施。

2.3 医院信息系统网络安全措施

数据安全与网络安全没有严格的界限，数据好比是存放在房间里的重要物品，那么网络就是进入这个房间的各种通道。要做好医院内部信息系统网络安全工作，既要有制度上的约束，同时在客户端需部署网络版的杀毒软件。除此之外，最关键的是要有软硬件技术作保证，以对整个网络实行全方位、多层次的安全防护。目前医院信息系统网络安全的技术研究主要集中在医院网络终端准入控制技术和网络隔离与安全数据交换技术两个方面，这两种技术目前已较成熟，在大型医院已逐步推广。

2.3.1实行医院网络终端准入控制

为保证用户终端的安全、阻止威胁入侵网络，对全院登入网络的用户实施终端准入控制，对全网采取接入认证，对用户的网络访问行为进行有效地控制，使得非法用户无法接入网络，杜绝各种可能导致整网不安全的行为，如非法使用外置存储器、不安装防火墙软件、私自修改注册表等。医院网络终端准入控制解决方案，对全院用户上网行为进行了有效的自动监控，为网络管理人员提供了有效、易用的管理工具和手段。

以H3C EDA(End user Admission Domination)为例简要介绍一下医院网络终端准入控制系统的结构及工作模式：H3C EDA安全产品组网体系，包括安全客户端、安全联动设备、安全策略服务器和第三方服务器。安全客户端是指安装了H3C iNode智能客户端的用户接入终端，负责身份认证的发起和安全策略的检查；安全联动设备是指网络中的交换机、路由器、VPN网关等设备。安全策略服务器则用于对用户终端的染毒情况、杀毒策略、系统补丁、软件使用情况进行集中管理，强制配置（强制病毒客户端升级、打补丁），确保全网安全策略的统一。第三方服务器是指补丁服务器、病毒服务器和安全服务器，被部署在隔离区中。

EDA解决方案可以支持有线、无线各种接入方式，除基于用户名和密码的身份认证外，EDA还支持身份与接入终端的MAC地址、 IP地址、所在VLAN（虚拟局域网）、接入设备IP、接入设备端口号等信息进行绑定，增强身份认证的安全性。对于要接入网络的用户，EDA解决方案首先要对其进行身份认证，通过用户名和密码确定用户是否合法，身份认证通过后的用户进行终端的安全认证，根据网络管理员定制的安全策略进行包括病毒库的更新情况、系统补丁安装情况、软件的黑白名单、U盘外设使用情况等内容的安全检查，根据检查结果，EDA对用户网络准入进行授权和控制。通过安全认证后，隔离状态被解除，用户可以正常使用网络，与此同时，EDA可以对用户终端运行情况和网络使用情况进行审计和监控。如果安全认证未通过，则继续隔离用户，直到用户完成相关修复操作后通过安全认证为止。医院网络分为线接入和无线接入两部分，根据EDA的部署效果，有线部分采用802.1x认证，无线部分采用portal认证该解决方案使得非授权用户无法联入医院内网，可以有效地阻止黑客的入侵。类似的产品还有网络接入控制Net Access Control NAC)系统。实行医院网络终端准入控制系统费用昂贵，需要增加额外的网络基础没施，有时甚至需要更新现有的网络设备,并且，实施前要登记联入设备的网卡MAC地址、IP地址等大量的准备工作，日后设备增加、日常管理工作必须实时跟进，因此、医院方面要根据实际情况实施。

2.3.2应用医院安全数据交换系统

考虑安全和保密的要求，我国的HIS多数运行于医院内部网络中，与互联网和其他公共信息网络没有连接。目前，由于医院内远程会诊、诊疗信息共享、设备升级等要求越来越迫切，医院信息系统与互联网及其他公共信息网络连接势在必行，网络隔离与安全数据交换技术能保证内外网进行安全信息交换。网络隔离与安全交换系统的基本理念是在切断内、外部网络间直接连接的同时，结合访问控制、身份鉴别等安全机制。实现不同安全等级网络间安全的数据交换。其技术特征如下：(1)通过在切断直接连接的网络间建立对用户透明的逻辑“连接”，把客户/服务器连接划分为2个完全独立的安全连接，并通过特殊协议实现2个连接之间的数据安全交换；(2)根据RFC规范对协议进行细粒度检查；(3)实施多种安全策略和防护措施，包括内容过滤、认证与授权、访问控制等附加安全功能。随着该技术的推广应用和信息技术的不断发展，安全数据交换技术也必将得到日益完善。

3 总结

文章重点从多个层面全面分析、总结了防范医院数据安全事故发生的多种最新措施和手段，其各有侧重点，在应用中相互结合，就可以构成一个强大的防护网保障医院数据的安全。但是，医院信息化建设安全管理不是一劳永逸的，医院管理层要高度重视，在有技术上的保证之后，还要建设一支技术过硬管理队伍，主管人员和操作人员必须共同努力，确保医院信息系统安全可靠运行。

参考文献

[1] 任俭．医院信息安全[J]．中国卫生信息管理杂志，2006，(3)：25—26．

[2] 黄平. 医院信息系统数据安全研究与实践[J]．医院管理杂志，2011，（4）：310—312.

[3] 叶萍. 医院信息化建设风险与数据安全管理[J]．医学信息学杂志，2010，（6）：21—23.

[4] 马锡坤. 医院网络终端准入控制方案[J]．中国医疗设备，2011，（11）：30—32.

[5] 黄影. 基于HIS的安全数据交换系统的研究与实现[J]．中国医疗设备，（9）：45—47.

作者简介：

张洋（1991-），男，华东师范大学通信工程系，曾发表多篇论文。

张常青（1967-），男， 莱芜市中医医院，副主任技师，从事医学影像技术工作。