醫(yī)院信息安全管理與措施

楊棟，劉立輝，任志剛

解放軍251醫(yī)院 信息科，河北 張家口075100

醫(yī)院信息安全管理與措施

楊棟，劉立輝，任志剛

解放軍251醫(yī)院 信息科，河北 張家口075100

本文以層次分析的方法論述醫(yī)院的安全管理措施，說明清晰的管理架構和因地制宜的管理措施是信息安全管理所必須的。

醫(yī)院信息安全；信息安全管理；層次分析

1 醫(yī)院信息安全管理的層次解析

信息安全管理是指導和控制組織關于信息安全風險相互協(xié)調的活動，它是了解體系安全狀態(tài)、實現(xiàn)信息安全目標的重要關口，主要包括信息安全風險評估、風險管理和技術措施的控制。信息系統(tǒng)的復雜性、開放性和多樣性，對醫(yī)院的信息安全管理工作的復雜性、持續(xù)性和多樣性要求越來越高。對一個復雜系統(tǒng)的科學管理必然要求對系統(tǒng)進行合理的解析，以建立清晰的管理架構[1]。本文以層次分析的方法，將醫(yī)院的信息安全管理措施劃分為：物理層安全管理、網絡層安全管理、操作系統(tǒng)安全管理、應用系統(tǒng)安全管理，如圖1所示。

圖1 醫(yī)院信息安全管理措施

2 因地制宜制定管理措施

信息安全技術特別是網絡層以上的管理技術的進步，為醫(yī)院的信息安全管理提供了越來越強大的技術手段。但在實際管理過程中，安全管理技術措施的制定要因地制宜、綜合考慮：醫(yī)院信息系統(tǒng)面臨的安全風險、信息系統(tǒng)安全期望、信息系統(tǒng)的軟硬件情況、技術措施的技術成熟程度、技術措施實施的成本投入和技術措施的可維護性等多方面因素[2]。

3 物理層安全管理

物理安全的目的是保護工作站、網絡服務器和網絡設備等硬件實體和通信鏈路安全。在這一層次主要抓好中心機房、局域網計算機和互聯(lián)網計算機等設備管理制度。

3.1 中心機房管理

醫(yī)院中心機房放置了幾乎所有的核心設備 , 包括服務器、核心交換機等重要的信息設備,是醫(yī)院信息系統(tǒng)數(shù)據交換、處理、存貯的中心。要保證醫(yī)院信息系統(tǒng)能夠穩(wěn)定、安全地運行 ,其管理措施如下 ：配備 UPS 電源以保證發(fā)生斷電時機房設備的用電安全，并定期檢查蓄電池的狀態(tài),定期對蓄電池進行充放電操作；使用專用的空調設備，保證機房的恒溫恒濕；采取防雷防靜電措施；安裝監(jiān)控報警系統(tǒng)；嚴格門禁管理，禁止非工作人員隨意進出機房；服務器或重要設備設定管理員密碼并定期更新密碼；服務器或其他設備分別由專人負責維護管理；定期進行管理人員培訓[3]。

3.2 局域網計算機管理

在醫(yī)院信息系統(tǒng)使用的計算機，為保證信息安全：限制移動存儲介的隨意使用，一般不安裝 CD-ROM、軟盤驅動器，關閉不必要 USB 接口 ；同一臺計算機禁止同時連接不同的網絡；禁止在計算機安裝游戲；禁止用戶私自拆、裝計算機及其外接設備；計算機歸所在部門使用，不隨人員調動而搬遷。

3.3 對互聯(lián)網計算機管理

各部門為工作方便需要安裝在互聯(lián)網上使用的計算機，在互聯(lián)網上使用的計算機必須嚴格登記，與內網計算機完全物理隔離并禁止計算機在不同的網絡之間交叉使用。

4 網絡層安全管理

網絡層是醫(yī)院信息系統(tǒng)數(shù)據交換、傳輸?shù)闹饕d體。其結合醫(yī)院網絡架設，以局域網為主體，兼有互聯(lián)等其他網絡的特點，管理中側重局域網并兼顧外網，特別強調不同網絡間的嚴格物理隔離，其具體措施如下[4-5]。

4.1 保證局域網、互聯(lián)網的物理隔離

所謂“物理隔離”是指內部網不得直接或間接地連接公共網。當個別工作站需要連接兩種網絡時，可以通過計算機安裝 ViGap 隔離網閘，把一臺普通計算機分成兩臺虛擬計算機，使內、外網物理斷開，邏輯地相連，但必須保證登錄不同的網絡時使用不同的存儲介質。

4.2 局域網內MAC地址綁定

MAC地址是每塊網卡特有的一個單一地址，每塊網卡都不一樣，IP—MAC 綁定就是把 IP 和 MAC 綁在一起，可以避免 IP 盜用和非法訪問，同時也可以限制物理設備被隨意搬遷。

4.3 局域網內劃分VLAN

VLAN（Virtual Local Area Network，虛擬局域網）技術是允許物理連通的網絡更靈活的組網，其主要的優(yōu)點是：限制廣播域，節(jié)省了帶寬，提高了網絡處理能力；增強局域網的安全性，不同 VLAN 內的用戶相互訪問需要通過路由器或三層交換機等三層設備，加強了網絡訪問的安全控制 ；靈活構建虛擬工作組，用 VLAN 可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網絡構建和維護更方便靈活。

5 操作系統(tǒng)層安全管理

操作系統(tǒng)是所有應用系統(tǒng)的運行平臺，是用戶與信息系統(tǒng)交互平臺，操作系統(tǒng)安全是醫(yī)院信息系統(tǒng)安全運行的基礎。在這一層次面臨的主要風險是用戶的訪問控制、錯誤操作和網絡病毒。因此這一層次的管理重點是規(guī)范和限制用戶行為和網絡反病毒[6]。

5.1 通過域管理增強局域網計算機安全

目錄服務作為網絡操作系統(tǒng)的關鍵部分，提供在分布式網絡環(huán)境中實現(xiàn)集中管理的機制，管理分布式資源之間關系的認證和代理使各種資源能協(xié)調工作。通過域管理建立組安全策略，可以有效地提高局域網計算機的安全性，其主要措施如下：強制用戶進行操作系統(tǒng)登錄身份驗證；禁止普通用戶組修改登錄口令；禁止用戶組對控制面板對象進行訪問或修改;禁止普通用戶對注冊表進行訪問修改，防止用戶自行安裝或卸載軟件；統(tǒng)一用戶的網絡安全策略和 IE 安全策略，禁止用戶自行共享計算機資源。

5.2 使用IPD管理軟件統(tǒng)一管理局域網計算機

隨著局域網的不斷擴展，網絡計算機管理難度越來越大。IPD（Integrated Product Devlopment， 集 成 產 品 開 發(fā) ）提供了一種先進的局域網計算機管理思想。醫(yī)院引進 IPD管理軟件主要實現(xiàn)以下管理功能：統(tǒng)一局域網計算機的端口控制、外設管理；統(tǒng)一部署局域網計算機的網絡訪問策略，自動監(jiān)測網絡端口的使用情況；批量分發(fā)軟件或數(shù)據；局域網計算機操作系統(tǒng)補丁的自動更新，彌補操作系統(tǒng)漏洞；自動監(jiān)測局域網計算機進程，并自動禁止指定進程啟動，如游戲軟件進程；遠程桌面控制，方便管理維護；局域網計算機硬件情況統(tǒng)計[7]。

5.3 網絡殺毒

反病毒側重網絡殺毒，結合使用單機殺毒。醫(yī)院采用Micro Trend 產品作為網絡反病毒工具，其主要的任務 ：①清除局域網內計算機的病毒或惡意代碼 ；② 服務器病毒庫及時更新 ；③ 自動更新局域網內客戶端的病毒庫。對于單機、互聯(lián)網計算機和軍隊綜合信息網計算機必須安裝單機版反病毒軟件，并由使用人負責反病毒軟件的升級。

6 應用系統(tǒng)安全管理

醫(yī)院信息系統(tǒng)由眾多的應用系統(tǒng)組成，這些系統(tǒng)在軟硬件基礎、應用范圍和重要程度不盡相同，對于重要的業(yè)務系統(tǒng)如 ：HIS、LIS、PACS、OA 等應制定有針對性地安全管理策略。但不論系統(tǒng)的重要性如何，應用系統(tǒng)的安全管理包含以下3個方面。

6.1 軟件開發(fā)與引進的規(guī)范管理

隨著軟件工程項目日益復雜龐大，軟件開發(fā)導致的安全風險性也隨之增大。軟件開發(fā)與引進的規(guī)范管理可以有效減小軟件開發(fā)風險：在軟件項目開發(fā)全過程加強分析、設計、項目管理及質量管理；在可行性研究中應把項目的風險分析與風險處理作為一個重要的考慮范疇納入軟件開發(fā)的過程中；加強測試與維護是發(fā)現(xiàn)問題和規(guī)避風險的一個重要手段。

6.2 用戶安全管理

用戶是醫(yī)院信息系統(tǒng)的行為主體，統(tǒng)計表明 50% 以上的安全事故是人為操作造成的，因此，用戶管理對于信息系統(tǒng)的安全具有重要的意義。對用戶的管理主要體現(xiàn)在以下幾個方面。

（1）嚴格用戶授權管理 ：嚴格用戶授權的審批流程；嚴格控制用戶權限，特別是當用戶工作崗位發(fā)生變化時，及時調整用戶權限，以保證用戶只擁有與工作崗位相對應的權限；用戶登錄身份驗證，所有用戶應有唯一的識別碼（用戶 ID）并確保用戶口令安全 ；管理員權限的用戶口令應嚴格保密。

（2）用戶技能培訓：業(yè)務系統(tǒng)最經常發(fā)生的安全事故來自于用戶的錯誤操作，因此嚴格用戶技能培訓是避免用戶錯誤的首要措施。

（3）對用戶行為進行審計監(jiān)控：為防止用戶錯誤行為發(fā)生或阻止用戶錯誤操作，管理人員應靈活使用技術手段對用戶行為審計監(jiān)控，必要時直接制止用戶的錯誤行為。比如在業(yè)務系統(tǒng)中增加用戶特定行為日志，以詳細記錄執(zhí)行特定行為的用戶身份、時間、計算機、應用程序等信息，如果用戶行為會導致嚴重錯誤時應通過舉錯報警的方法制止其錯誤操作。

6.3 數(shù)據安全管理

信息系統(tǒng)的數(shù)據是醫(yī)院重要資產，數(shù)據中保存了大量患者的診療信息，凝結著全院醫(yī)務工作者的心血，對于保證醫(yī)療安全、提高醫(yī)療質量和學術科研水平，有著無可估量的價值。保證數(shù)據安全的管理措施如下[8]。

（1）數(shù)據備份是保證醫(yī)療信息數(shù)據安全的基本手段，也是醫(yī)院信息部門的基礎性工作。數(shù)據備份的意義首先在于對數(shù)據以某種方式加以額外的保留以便在系統(tǒng)遭受破壞或其他特定情況下能夠成功重新加以利用，即防止防范意外事件對系統(tǒng)破壞。在實際工作中，數(shù)據備份堅持以下原則：① 在不影響業(yè)務的情況下，數(shù)據備份盡量密集，減小數(shù)據恢復的時間成本 ；② 當數(shù)據結構需要調整時，需要備份數(shù)據 ；③ 冗余備份 ：在任何時間點都要有多個備份集 ；④ 備份集應脫離業(yè)務系統(tǒng)存儲，條件許可要異地存儲，存儲介質多樣化 ；⑤ 備份完成后應進行備份有效性驗證，如在備用機上進行恢復驗證，以確保備份集的有效性；⑥制定詳細的備份恢復預案，并經常演練。

（2）重要數(shù)據的保護。重要數(shù)據在做好備份的同時，需要采取進一部的技術手段有 ：① 數(shù)據加密，防止非授權用戶的不正當訪問 ；② 在數(shù)據庫中使用觸發(fā)器，阻止用戶錯誤造成的數(shù)據刪除和修改。

（3）歷史數(shù)據的轉儲。歷史數(shù)據是指已經完成不再發(fā)生變化的業(yè)務數(shù)據，如出院病人的住院病歷數(shù)據、住院病人的費用信息等。歷史數(shù)據是不斷累積增長的，如果不進行轉儲，一方面會增加業(yè)務系統(tǒng)的負擔；另一方面會使歷史數(shù)據存儲風險加大。因此業(yè)務系統(tǒng)的歷史數(shù)據應及時進行轉儲，轉儲后的數(shù)據在條件許可時要從業(yè)務系統(tǒng)中卸出。

總之，信息安全管理是復雜、動態(tài)和持續(xù)的系統(tǒng)管理，而安全管理的技術手段又是多種多樣且不斷進步的，這就要求信息安全管理要有的清晰的架構和因地制宜的技術措施運用。

[1] 賴妙芳．信息系統(tǒng)安全探討[J]．現(xiàn)代計算機(專業(yè)版),2009, 26(2):140-141．

[2] 王瑋,魯萬鵬,牟鑫．醫(yī)院信息系統(tǒng)中的安全運行保障[J]．中國醫(yī)療設備,2008,23(1):63-65．

[3] 曹宏偉,彭東亮,邱景,等．醫(yī)院信息系統(tǒng)安全管理與防范[J]．海軍醫(yī)學雜志, 2009,26(3):65-66．

[4] 陶劉強,成筠,周明,等．淺析軟件開發(fā)中的風險因素分析及管理[J]．福建電腦,2006,22(1):67-68．

[5] 梁昌明．ORACLE數(shù)據庫審計方法的探討[J]．中國醫(yī)療設備, 2008,23(4):55-57．

[6] 李麗娟．信息技術在醫(yī)院信息化管理中的應用[J]．醫(yī)學信息(上旬刊),2010,24(8):18-19．

[7] 張燕．淺析現(xiàn)代醫(yī)院信息化管理[J]．中國科技信息,2009,21(15): 176,189．

[8] 潘穗萍．醫(yī)院信息化管理中的問題[J]．中國醫(yī)藥導報,2007,28 (28):134-135．

Hospital Information Security Management and Measure ments

YANG Dong, LIU Li-hui, REN Zhi-gang
Information Department,The 251thHospital of PLA, Zhangjiakou Hebei 075000,China

This paper expounds on the hospital security management measurements using Analytic Hierarchy Process (AHP), and points out that unambiguous management structure and flexible management measurements are necessary for information security management.

hospital information security; information security management; AHP

R197.39

B

10.3969/j.issn.1674-1633.2011.06.023

1674-1633(2011)06-0070-03

2011-02-16

2011-04-03

作者郵箱：huawaishengfan@163．com