關于醫院信息系統安全的分析

伊向華，蔡雨蒙，劉云，張昕

（南京醫科大學醫學信息學與管理研究所 南京醫科大學第一附屬醫院，江蘇 南京 210029）

關于醫院信息系統安全的分析

伊向華，蔡雨蒙，劉云，張昕*

（南京醫科大學醫學信息學與管理研究所 南京醫科大學第一附屬醫院，江蘇 南京 210029）

隨著網絡信息技術的日益發展，醫院業務系統的運維工作也逐步進入信息化建設的時代，隨之而來的信息安全問題也逐漸凸顯。建立一個全方位的醫院信息系統安全體系是醫院工作正常運轉的重要保障。本文主要介紹醫院信息系統的概述，信息安全的簡介及信息安全的問題及對策。

醫院信息系統;信息安全;信息安全管理

0 引言

隨著IT信息科技的進步及網絡使用的大力普及，現代醫療環境信息化建設也隨之快速的變化。信息系統已經成為保障各大醫院正常運營的關鍵性因素，給醫院的運營帶來便利的同時，隨之而來的信息安全事件也時有發生。設備故障、系統缺陷、病毒破壞、黑客攻擊、人為錯誤或意外災害等原因導致系統運行速度下降甚至系統崩潰，嚴重影響醫院醫療活動的正常開展。因此，加強醫院信息系統的安全建設具有十分重要的意義。

1 醫院信息系統概述

醫院信息系統是利用計算機及其網絡通訊設備和技術，對醫院內外的相關信息進行自動收集、處理、存儲、傳輸和利用，為臨床、教學、科研和管理服務的應用信息系統[1]。醫院信息系統包含各類功能模塊和眾多業務應用，主要分為臨床服務類和醫療管理類。醫院各信息系統的普遍特點就是依賴性強，需要24小時無間斷的運行。隨著醫院信息化建設的逐步發展，醫院運行已基本實現無紙化辦公，所有的醫療活動都依靠系統來完成，所以保障醫院信息系統正常的運行是醫院正常運行的前提。

2 信息安全簡述

信息安全是指信息系統（包括硬件、軟件、數據、人、物理環境及其基礎設施）受到保護，不受偶然因素亦或人為的原因而受到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷，

最終實現業務連續性[2]。信息安全從理論上可以劃分為狹義安全和廣義安全兩個層次[3]：狹義安全是指以密碼論為基礎建立在計算機領域的研究；廣義的信息安全是從傳統的計算機安全出發延伸到信息安全，不再只是單純的技術層面問題，而是將技術、法律、管理等問題融為一體。

信息安全的五個目標是指：信息的保密性、完整性、可用性、可控性。保密性是指保障信息不被非授權的人獲取[4]；可用性是指保障信息在授權操作者需要的時候可以獲取到相關的信息并且能夠使用相關資產；完整性是指保障信息在傳輸、存儲、使用等過程中不被非法操作導致信息丟失、篡改、缺損；可控性是指保障信息本身的內容得到合法的控制和傳播。所有信息安全的技術都是為了保障系統一定的安全而工作，以上便是信息安全技術所要到達的核心目標。

3 信息安全問題分析

信息系統的安全威脅主要表現為以下幾點：非法用戶的惡意攻擊、合法用戶的不當操作、網絡系統設計的缺陷、物理環境的安全、網絡協議的弱點、應用程序設計的漏洞、管理層面的不規范等方面[5]。結合醫院目前信息化建設的現狀，主要將安全問題分為內部和外部兩個主要方面。

3.1 內部信息安全威脅

人為威脅：如醫院工作人員無意將帶有病毒的存儲設備連接到醫院的計算機時，可能會因病毒感染導致醫院內部專用網絡受到攻擊破壞，甚至會造成網絡的中斷或者癱瘓等影響；醫院工作人員在訪問互聯網和醫院內部專用網絡時使用同一臺計算機，如果訪問互聯網時計算機受到了病毒的感染，則很有可能將網絡病毒通過計算機傳播到醫院內部專用網絡中，造成醫院內部專用網絡受到病毒破壞；醫院工作人員利用職務之便，獲取病人等信息進行非法操作；醫院工作人員在對系統不熟悉的情況下，違規操作使用系統，也有可能會導致系統故障。

設備故障：如服務器故障、網絡交換機故障、存儲設備故障等造成醫院醫療業務系統處理速度緩慢甚至中斷。

3.2 外部信息安全威脅

醫院外部人員作為非授權用戶訪問醫院系統的數據庫獲取醫患信息等內容；外部人員使用未經授權認證的計算機連接進入醫院專用網絡，甚至做出篡改信息、病毒攻擊等違法破壞行為。

4 信息安全體系建設

隨著全國醫院信息化建設步伐的加快，醫院越來越多的業務操作依靠信息系統進行。所以建立一個全方位的信息安全體系是保障醫院正常運轉的必要前提。要保障醫院信息系統的安全運行，技術層面和管理層面的建設需雙管齊下。

4.1 技術層面的安全策略與建設

4.1.1 物理安全

物理安全是整個信息安全體系建設的基礎，中心機房的安全直接影響到醫院服務器是否能正常安全的穩定運行。中心機房地址的選擇要滿足采光、防塵、防潮等條件，燈光照明、空調溫濕度要配置齊全。必須配備7*24小時不間斷的冗余電源供應，保證突然斷電情況下的應急措施及時啟動[6]。同時要控制進出機房的人員權限，并監控和限制其活動范圍等操作。

4.1.2 設備安全

設備安全包括服務器、交換機、存儲、終端主機等設備的安全。醫院信息系統中的重要設備需盡可能的采用冗余方式配置，以提高系統的穩定性。針對關鍵重要設備可以統一部署日志審計系統，集中對網絡系統中的交換機和服務器等主機系統運行狀態、網絡流量、用戶行為等進行日志記錄和分析。部署多因子認證系統，提供兩種或兩種以上組合的身份鑒別技術，控制登錄網絡核心設備和服務

器。

4.1.3 網絡安全

網絡是整個信息化工作的“高速公路”,承載著所有業務系統。目前醫院醫療工作基本實現無紙化,醫療數據的傳遞依靠網絡系統[7]。醫院要做到內外網使用的計算機分開，防止網絡中的病毒傳播到醫院內部網絡中；通過合理控制上網權限、帶寬等方面來盡可能的保障網絡的安全。其次防火墻也是網絡安全保障的重要工具，在網絡邊界合理部署防火墻，可以有效監測惡意代碼和病毒的入侵。此外，通過安裝網絡監控管理軟件可以對整個網絡的運行情況進行實時監控。

4.1.4 數據安全

數據庫是存儲醫院所有信息的地方，是整個醫院信息系統的核心保護對象。除了在數據采集階段加強操作人員的責任與安全意識之外，還需在數據庫方面做好保障。建立一套規范的數據備份和恢復策略，是保障數據丟失的最有效地防范措施。所有的數據都要轉存到存儲設備中異地存放，以備需要時安全調取查詢。同時對數據庫的操作要保留操作日志，方便事后的追溯管理。

4.2 管理層面的安全策略與建設

4.2.1 完善各類管理制度

規章制度是規范日常工行為的指南和基準，完善、規范的制度是管理的基本保障，所以建立一套行之有效的制度是做好管理的第一步。制度應該進行定期或不定期的審核、檢查，進行適當的調整、修訂，以保障現行的管理制度是最大程度有效的。

4.2.2 人員安全管理

人員是整個醫院信息系統中最大的實體，人員的操作直接影響到系統的呈現結果。從人員的錄用過程就應嚴格規范，對被錄用人的身份、背景、資質、專業資格等方面進行審核。對于操作人員應進行規范的崗前培訓和教育，不僅培訓其正確操作系統的基本能力，還要對其進行安全教育，如學習《中華人民共和國計算機信息系統安全保護條例》[8]等法律法規。同時要嚴格規范離崗過程，及時終止離崗人員所有系統的操作權限。

4.2.3 加強應急演練

防患于未然是亙古不變的道理，就算是系統處于正常安全運行的狀態也要進行定期或不定期的系統應急演練。為提高醫院處理緊急網絡事故的能力，極大程度的預防和減少因應急工作不到位而導致的后果，安全時期的應急演練是一個重要手段。

5 結語

醫院信息系統的安全建設是一個循序漸進、逐步發展的過程，而且對于任何一個信息系統而言都不存在絕對的安全，只有相對的安全。只有運用好技術措施、把控好管理手段，不斷改善技術支持、完善相關管理制度，才能保證龐大的醫院信息系統安全、健康、穩定、高效地運行[9]。嚴格的管理制度、規范的操作，管理與技術相輔相成，才能形成有效的綜合預防。追查及應急響應的立體安全防護系統,建立一個全方位的醫院系統信息安全體系是保證醫院正常工作運轉的重大前提。

[1] 毛鳳生.淺談在醫院信息化中網絡安全的研究[J]. 網絡安全技術與應用. 2015(09).

[2] 徐巖.網絡安全技術防范措施研究與探討[J].科技傳播，2012（2）：138-139.

[3] 鄭之榮,周松柏.醫療行業信息安全發展形勢淺析及展望[J]. 中國數字醫學. 2011(08).

[4] 沈宮建,范曉薇,于潔,姜熳.淺談醫院信息安全的發展[J]. 醫療裝備. 2014(05).

[5] 王麗.新形勢下醫院信息安全所面臨的挑戰與對策分析[J]. 網絡安全技術與應用. 2015(01).

[6] 鞠鑫,戴春林,沈婷.蘇州市衛生信息中心信息安全等級保護建設實踐與應用[J]. 中國數字醫學. 2015(02).

[7] 朱曉曦.淺談現代醫院信息化建設[J]. 醫學信息(上旬刊). 2010(10).

[8] 翟亮,楊軍.醫院數字化信息系統的安全問題探討[J],軟件,2012,(06)：123-124.

[9] 張蓮萍,陳琦基.于動態網絡安全模型的中國數字化醫院信息安全體系建設[J]中國科技論壇2015(03).

Analysis of Hospital Information System Security

YI Xiang-hua, CAI Yu-meng, LIU Yun, ZHANG Xin
(Institute of Medical Informatics and Management, Nanjing Medical University, The First Affiliated Hospital of Nanjing Medical University, Nanjing 210029, China)

With the increasing development of network technology, hospital operation and maintenance is also gradually entered the era of information technology, and the attendant information security issues are gradually highlighted. To establish a comprehensive information security system of hospital system is the important premise to ensure the normal operation of the hospital. This paper introduces hospital information system mainly, brief introduction of the information security 、 the problems and counter measures of hospital information security.

Hospital information system； Information security； Information security management