醫院體檢信息的網絡安全管理*

王培蘭 王金亮 周素月 杜 婧 王子民 王龍基 賈曉清

醫院體檢信息的網絡安全管理*

王培蘭①王金亮②*周素月①杜 婧①王子民①王龍基①賈曉清①

目的：設計醫院體檢信息的網絡安全訪問管理方案，實施醫院體檢信息的網絡安全管理。方法：按照訪問體檢信息系統的用戶來源和網絡連接方式，將數據訪問的管理方案分為局域網安全管理、互聯網安全管理和專網安全管理。結果：利用防病毒軟件、虛擬局域網(VLAN)管理、單向數據傳輸、隔離網閘和安全網關多因素認證機制等技術手段，加強網絡訪問控制。結論：針對不同的網絡環境和用戶，采用適當的安全管理方案，能夠提高醫院體檢信息的訪問安全性。

體檢信息；網絡安全；訪問控制

目前，許多醫院已在健康體檢工作中應用專門的體檢信息管理系統，實現體檢數據從手工紙質操作到網絡信息化操作的轉變[1-2]。體檢信息管理系統是健康體檢醫學的重要技術支撐手段，通過對體檢部門的工作流程進行規范、系統的信息化管理，可以顯著減少工作人員的手工錄入操作，提高工作效率，增加體檢信息的利用率，為體檢者提供更優質的服務[3-4]。體檢信息系統能夠幫助醫院或體檢管理部門更快捷方便地獲取和掌握體檢大數據，通過統計分析相關信息，改進業務流程，提高服務質量，提供決策管理支持和健康管理服務[5-6]。

隨著新醫改的推進和大眾健康意識的不斷增強，各級衛生部門和群眾對健康體檢的需求更加多元化。體檢人員和管理者需要更方便、全面和持續地了解體檢信息和相關服務，對體檢信息管理系統的訪問需求也隨之增多。為此，有些醫院針對不同用戶提供了體檢結果網上發布、健康咨詢和區域共享等服務，得到用戶的肯定和歡迎[7-8]。然而，在復雜的網絡環境中，如何保證體檢信息的安全性，防止體檢者的個人隱私泄露，防范不良意圖的網絡攻擊等，是體檢信息系統管理者必須考慮的重要問題。為此，本研究針對醫院體檢信息管理系統，分析其數據訪問的功能模塊和面臨的網絡安全性問題，設計安全訪問機制和管理方案。

1 醫院體檢信息管理系統

1.1 系統概況

體檢信息管理系統的功能基本涵蓋了體檢中心的各項日常業務活動，包括體檢預約、人員登記、計價收費、檢查、檢驗、醫生工作站、結果發布、統計分析和報表等，能夠完成體檢人員基礎信息、體檢信息的采集、存儲與匯總分析。系統建有獨立的數據庫和應用服務器，采用瀏覽器與服務器(browser/ server，B/S)架構，數據庫管理使用Oracle11g，應用服務器使用Tomcat6.0。系統通過醫院內部局域網與醫院信息系統(hospital information system，HIS)、實驗室信息系統(laboratory information system，LIS)和影像歸檔及傳輸系統(picture archiving and communication systems，PACS)等多個信息系統實現無縫連接，其費用、檢驗及檢查等功能模塊能夠與醫院其他系統進行數據交互和共享。

1.2 數據訪問流程

體檢數據的訪問功能模塊主要包括受檢者個人查詢模塊、體檢工作模塊和系統管理模塊。受檢者個人查詢模塊允許受檢者查詢自己某次體檢的具體數據，也可查看某時間段內個人生理參數的變化情況。體檢工作模塊由體檢工作人員使用，完成日常業務操作，不僅可以根據受檢者ID號查詢受檢個人的體檢結果，還能通過組合條件查詢，如單位、性別、年齡及生理參數等指標，統計查詢特定人群的體檢結果。系統管理員則登錄專用的系統管理模塊，對受檢者個人資料、體檢醫生信息以及系統的功能參數進行維護。

用戶分為受檢者、工作人員和管理員3類。受檢者個人登錄系統后，通過查詢界面發出對體檢信息數據的查詢請求，體檢信息數據庫根據請求內容，返回相應的查詢結果。工作人員登錄到系統后，可以完成體檢相關信息的錄入、修改和查詢統計等。管理員則可對系統中所有用戶的信息進行管理，包括對用戶的查詢、新增、刪除和修改等操作。體檢信息系統的數據訪問流程如圖1所示。

1.3 網絡安全需求

圖1 體檢信息數據訪問流程示圖

信息安全是所有信息管理系統必須面對的重要問題。除了硬件故障、系統崩潰和軟件設計缺陷等系統安全問題外，體檢信息管理系統還需要處理的一類安全問題是在終端訪問服務器過程中可能出現的非法操作、惡意攻擊和信息泄露風險等[9]。體檢信息系統每日處理大量個人信息、就診記錄及費用結算等敏感數據，而訪問系統的用戶身份復雜，網絡環境不完全可控，某些情況下系統甚至需要跨網運行，所面臨的網絡安全風險不容忽視。因此，有必要針對不同的用戶和網絡環境，設計有效可行的解決方案，為訪問體檢信息系統數據提供足夠的安全保障。

2 醫院體檢信息管理系統設計

按照訪問系統的用戶來源和網絡連接方式，可以將數據訪問的管理方案分為3種類型，即局域網安全管理、互聯網安全管理和專網安全管理。

2.1 局域網安全管理

體檢信息管理系統的數據庫和應用服務器都架設在醫院內部的局域網上，系統的局域網安全防護措施由HIS的管理員統一配置，包括防病毒軟件、安全網關和虛擬局域網(virtual local area network，VLAN)管理、數據庫容災備份系統等，其安全措施可有效控制廣播風暴、病毒傳播以及非法用戶訪問，并能夠簡化系統管理員的網絡管理工作，降低系統管理成本。

局域網用戶包括體檢中心工作人員、系統管理員和醫院其他部門的工作人員。系統針對各類用戶的不同角色，為其賦予相應的用戶權限，限制其在系統內的業務操作。訪問系統的每個用戶都要進行身份驗證，不同角色的用戶登錄后的功能界面也不盡相同。

體檢中心工作人員參與體檢信息的錄入、采集及分析等數據生成和統計業務，其用戶訪問權限較高，根據其體檢工作角色完成體檢數據的增刪改操作。系統管理員既可根據需要對體檢信息進行查詢修改，又可處理工作人員的基本信息和用戶權限，并對系統的功能模塊作維護處理。醫院其他工作人員則按照各自的崗位性質擁有相應的工作權限，其工作人員也可能是健康體檢業務的受檢者，需要具備以受檢個人身份訪問系統數據的權限。

2.2 互聯網安全管理

醫院的醫療網絡本身屬于非涉密計算機網絡，主要處理與醫院診療業務相關的信息，與涉密網絡之間應采取物理隔離措施。按照醫院安全管理規定，醫療網絡與互聯網之間也需要物理隔離，以確保醫療信息的網絡安全。由于體檢信息管理系統的服務器以及交換機等網絡設備與醫院醫療網絡是物理連接的，不允許體檢系統再與互聯網進行物理連接。因此，為滿足互聯網用戶的體檢信息查詢、健康咨詢和隨訪服務等需求，安全管理方案需要在互聯網上建設獨立的體檢信息系統。

在安全隔離區內，新建一套互聯網專用體檢信息系統。其架構與醫院局域網內體檢信息管理系統的基本架構相同，采用同樣的數據庫表結構和應用服務器管理模式。在構建新系統的過程中，醫院數據庫管理員負責從醫院體檢信息數據庫中提取與互聯網用戶相關的表數據，并導入到隔離區域的專用數據庫。當新建系統接入互聯網后，其相關設備不再與醫院醫療網絡進行物理連接，其所有網絡安全防護措施均按照醫院現有的互聯網管理規定執行，包括配置防火墻、防病毒系統、入侵檢測系統(intrusion detection system，IDS)、安全審計系統等。對于醫院局域網體檢信息管理系統所有與互聯網用戶相關的新增數據，管理員都要通過增量備份的方式導出，并以光盤刻錄形式或通過數據單向傳輸系統等工具，定期或者按需將其導入互聯網的體檢信息系統，供互聯網用戶使用。互聯網安全管理框架如圖2所示。

圖2 互聯網安全管理拓撲圖

體檢信息系統的互聯網用戶包括系統管理員、體檢工作人員以及受檢單位和個人。系統管理員負責維護系統、更新數據和管理等工作，并為工作人員、受檢單位和個人授予相應權限。體檢工作人員主要完成隨訪工作，根據受檢者的體檢信息提供健康指導。受檢單位和個人則利用系統管理員提供的用戶名和密碼，通過互聯網登錄系統，進行權限范圍內的數據查詢和統計，并可以與體檢工作人員在線交流，獲取與體檢相關的健康教育和咨詢服務。

2.3 專網安全管理

在日常工作中，醫院的醫療網絡還會與外部的業務專網進行數據共享和傳輸，包括地方基本醫療保險網絡、費用支付專線等，其業務專網既能夠與醫院的醫療網絡進行數據交換，訪問醫院的體檢信息系統。地方基本醫療保險網絡是為地方醫療保險的各項業務工作提供信息交互、處理及決策的綜合運行管理平臺，通過網絡運營商提供的基于虛擬專用網(virtual private network，VPN)技術的專線，將醫保經辦機構與各級醫療機構相互連接。醫療機構的掛號、收費、住院結算及醫保管理等功能均需與醫保網絡進行頻繁的數據交換。醫院體檢信息管理系統可以借助醫院醫療網絡與地方醫保網絡之間的信息交互安全解決方案，實現對體檢信息的專網安全管理。

在專網的邊界部署網絡隔離與信息交互設備(隔離網閘)。隔離網閘采用1臺內網主機、1臺外網主機和1個基于ASIC芯片技術硬件電子開關設備的3主機結構設計，在醫院局域網與醫保專網之間建立安全隔離區。在內外網發生數據交互時，數據首先傳輸到隔離網閘的內外網主機上。隔離網閘利用直接內存讀寫方式，讀取內外網主機上的數據，其讀寫控制權不受外界影響和控制。而硬件電子開關不含操作系統，只允許進行文件級的數據擺渡，不接受任何網絡通訊指令，使外部攻擊無法使用傳輸控制協議與Internet協議(transmission control protocol/internet protocol，TCP/IP)等網絡協議通過安全隔離區。隔離網閘能夠實現L3—7層的訪問控制，保證了系統具有極高的抗攻擊能力。

傳統的網絡認證方式主要使用PKI數字證書、用戶名與口令等基于用戶身份的認證機制，這些方式只能確認用戶的身份合法性，卻不能鑒別用戶所使用軟硬件的合法性，對非法木馬等遠程控制類程序無能為力。而利用安全網關的多因素身份認證機制，可以實現對專網用戶的嚴格訪問控制。多因素認證機制包括源和目的IP地址訪問控制、源和目的TCP端口范圍訪問控制、訪問IP與媒體訪問控制(media access control，MAC)地址綁定控制、用戶名與口令或通用串行總線鑰匙(universal serial bus，USB Key)數字證書認證等措施，能夠有效防止非授權者訪問所導致的安全風險。

在專網與醫院局域網之間的DMZ區域，部署隔離網閘和安全網關，可以實現醫院體檢信息管理系統與專網之間的網絡物理隔離以及體檢信息的安全擺渡，其拓撲結構如圖3所示。

圖3 專網安全連接拓撲圖

3 結語

醫院體檢信息管理系統既是醫院信息系統的組成部分，又有其特定的用戶群體，具有運行管理的相對獨立性。因此，其網絡安全管理一方面可以依托醫院局域網的整體解決方案，在統一管理的基礎上提高效率、降低成本；另一方面也要根據不同用戶的具體網絡環境，采取有針對性的防護措施，滿足對體檢信息的安全管理需求。

[1]張紅君，夏慧，葉藝，等.數字化體檢中心系統架構的設計與實現[J].中國數字醫學，2014，9(2)：51-53.

[2]陸燕琴，傅蓉.基于.NET的軍衛體檢系統的設計與實現[J].計算機應用與軟件，2016，33(6)：87-91.

[3]遲琳琳，高關心，王顯榮.基于HIS的健康體檢信息系統的設計與應用[J].中國醫療設備，2011，26(5)：80-81.

[4]劉曉燕，劉薇，劉莉莉.依托網絡平臺改進實現體檢流程再造[J].現代醫院管理，2012，10(4)：38-39.

[5]黎偉強.醫院體檢信息系統應用中的管理規范問題[J].醫療衛生裝備，2011，32(11)：131-132.

[6]蔡鋒，張虎軍，張超群.個性化健康管理服務系統[J].北京生物醫學工程，2009，28(5)：521-523.

[7]譚偉鋒.基于B/S模式的體檢信息系統開發與應用[J].醫學信息學雜志，2016，37(4)：20-22.

[8]唐德春.區域性體檢信息管理系統的研發與應用[J].中國數字醫學，2011，6(3)：27-29.

[9]常朝娣，陳敏.大數據時代醫療健康數據治理方法研究[J].中國數字醫學，2016，11(9)：2-5.

Network security management of health examination information in hospital/

WANG Peilan, WANG Jin-liang, ZHOU Su-yue, et al//
China Medical Equipment,2017,14(9):131-134.

Objective: To design the management plan of network security access of health examination information in hospital and implement network security management about health examination information of hospital. Methods: The management plans of data access were divided into security management of local area network, security management of internet and security management of private network according to the source of user and connection mode of network of information system of health examination. Results: The anti-virus software, management of virtual local area network(VLAN), single-track data transmission, isolation network switch, multi-factor authentication mechanism of security gateway and other technique means were used to strengthen access control of network. Conclusion: Aiming at various user and network environment, the adopted plan of appropriate security management can enhance the access safety of health examination information in hospital.

Health examination information; Network security; Access control

Department of Outpatient, Chinese PLA General Hospital, Beijing 100853, China.

1672-8270(2017)09-0131-04

R-058

A

10.3969/J.ISSN.1672-8270.2017.09.037

2017-06-09

解放軍總醫院臨床科研扶持基金(2013PC_GLCX-3001)“醫院工作人員健康管理系統研究”

①解放軍總醫院門診部 北京 100853

②庫爾勒市第二人民醫院骨科 新疆 庫爾勒 841000

*通訊作者：m13565749596@163.com

王培蘭,女,(1963- ),碩士，副主任醫師。解放軍總醫院門診部，從事臨床研究和健康管理工作。