关于医院信息系统数据安全问题及应对措施 【 摘 要 】 随着医院信息系统的发展和大规模应用，系统的安全性越来越受到重视。文章从多个角度阐述如何增强医院信息系统的安全性，具体包括硬件设备安全、防病毒技术、数据存储安全、数据库权限控制、数据加密、医院网络终端准入控制、安全数据交换技术等。 【 关键词 】 医院信息系统；数据加密；数据安全；安全数据交换 Problem on Data Safety in the Hospital Information System and Measure of the Solution Zhang Yang 1 Zhang Chang-qing 2 （1.School of Information ScienceTechnology, East China Normal University Shanghai 200241,China； 2.Hospital of Chinese Medicine of Lai Wu City ShandongLaiwu 271100） 【 Abstract 】 With the development of the hospital information system and the massive utilization，the security of the hospital information systems are increasingly regarded as a vital issueThe paper depicts how to enhance the security ability of the hospital information system from many aspects，including hardware equipment security，antivirus technology，data storage safety，database authority control，data encryption，The admission control in network terminal in hospital and secure dataexchange system，etc 【 Keywords 】 hospital information system; data encryption; data safety; secure data exchange 0 引言 目前医院信息系统(Hospital Information System，HIS）的应用越来越来普及，应用的范围也在迅速扩大，医院的管理水平和医疗质量得到了极大的提高。医院信息系统数据是医院赖以生存的宝贵财富，数据一旦丢失或出现问题，都会给医院带来巨大的损失，而且医院内部信息系统存在大量各种敏感的医疗数据，如患者的个人信息、诊断信息等。除此之外，还有许多医院的机密或核心业务数据内容，如药品库存等，因此保证医院信息系统数据的安全是极其重要的。随着使用人员的不断增多和使用范围的不断扩大，安全隐患也越来越多。另外，互联网的普及应用，使病毒广泛流传、外部黑客人侵等，重视和加强医院信息网络安全已经成为医院信息化建设的当务之急。 1 医院信息系统数据的安全风险分析 要使医院内部信息系统数据安全得到保障必须遵循三个原则：不得篡改、不得泄漏或丢失和不得破坏。 一般来说，医院内部网络面临的主要安全威胁。 1.1 病毒攻击 由于各种电脑外置设备的应用以及医院内部网络与互联网保持互通，所以医院内部信息系统不可避免地要遭到各种病毒的攻击。这些病毒有些是普通的、没有太大破坏性的，而有些却是能造成系统崩溃的高危险病毒。 1.2 人为威胁数据安全的情况分析 1.2.1恶意攻击 这是医院计算机网络所面临的最大威胁，黑客的攻击和计算机犯罪就属于这一类。攻击者一是为了刺探机密或核心业务数据内容，以达到不可告人的目的，如保密数据的窃取等；二是篡改核心业务数据内容，如修改药品库存、患者的医药费等，通过损害医院利益而使自己受益。此类攻击方式又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下截获、窃取、破译以获得的重要机密信息；恶意网络攻击技术含量高、危害大、防犯难，因此防范人为的恶意攻击将是医院网络安全工作的重点。 1.2.2人为误操作 数据库管理人员人为的误操作或是终端用户利用客户端软件的程序缺陷(BUG)有意或无意地违规操作数据造成对数据的暂时或永久性的破坏，这种情况最为常见，在所见案例中有90以上的数据破坏是由于人为误操作造成的。 1.3 不可预见的事故及灾害 这种情况比较少见，但具有随机性和不可预知性，危害巨大，比如存储器故障或服务器故障而导致的数据非人为性损坏，电源突然中断造成系统硬件故障或数据丢失等。 2 加强医院信息系统数据安全的措施 2.1 强化系统硬件设备建设 保障硬件设备安全的重要性随着医院信息系统的大规模应用，越来越为人所重视。由于这方面的技术防范手段相对成熟，一般由硬件供应厂商提供一揽子解决方案，作为院方要严格把关，确保系统达到技术要求。重点做到几个方面。 2.1.1增设相同的设备及线路 一般来说，硬件设备最好的安全保障就是增设相同的设备及线路。对于数据库服务器来说，通常是采用双机热备加RAID 5+Hot Spare的磁盘阵列柜。双机热备可以保证服务器硬件一旦损坏，将会在极短的时间内自动切换到另一台硬件中。而RAID 5+Hot Spare的实现方式只是增加了一个热备份概念。当磁盘阵列中的一块硬盘出现故障，RAID控制器会自动启用备份硬盘。并在几分钟之内，将数据写至新的硬盘之上。这样，就可以保证数据库服务器能够在极高的安全度下工作。 2.1.2 供电线路多路备份解决断电问题 供电线路多路备份解决断电问题，机房最好采用双路供电的方式，两个电源分别接在不同的地方，即使其中一条线路出了故障，服务器及网络设备也照样能够正常运行，不至于因为电源问题而导致意外情况的发生。 2.1.3增加异地备份 使用光纤或高速以太网，定时将数据库中的数据进行异地备份，以备不测。异地的最低要求是不同楼层之间，最好是在两栋楼之间。异地备份要求可以长期保存。这样在更大程度上避免各种不测可能造成的数据破坏。 2.2 医院信息系统数据安全防范机制 数据安全防范机制是指通过对数据操作过程中的安全规定、软件设计中的安全机制，以及对数据库中的数据内容加密等多种方法和手段达到防患于未然，使数据安全事故消灭在萌芽阶段。 2.2.1确保数据存储安全 虽然磁盘阵列和双机热备份技术已经形成了数据冗余，但不能代替离线备份，有必要制定安全可靠的备份计划。将隔年的数据转储存到备份数据库或磁盘、光盘，避免人为操作、硬盘损坏、病毒及黑客造成关键数据的永久丢失，保证数据的可用性、一致性和完整性。 2.2.2数据库权限控制 医院内部信息系统对每个数据库用户采用身份认证登入，使用者都有一定的用户权限，比如医生站的用户具有下医嘱的权限，药房人员具有增减药品库存的权限，而作为软件开发人员为了调试程序的方便也许要赋予更大的权限。做好数据库使用权限管理工作，既要防止用户利用自己的权限做工作以外的事，又要杜绝非法用户登入数据库。要做到这一点，除了对软件设计中的功能要求外，还要有完善的管理制度作保障。重点从几点着手解决。 （1）使用权限管理库：使用者首先用公用连接信息登录到权限管理库中，再通过权限库中的加密信息得到登录用户数据库的用户名与密码，并由程序自动连接到用户数据库中。这样可以保证黑客无法得到登录用户数据库的用户名和密码。同时，由于权限相关信息都为加密保存，即使非法用户能够登录该权限管理库，也无法修改表中的数据。同时，用户数据库的登录密码应该定期进行更换，密码长度保持在8位以上，必须包含数字与特殊字符。 （2）授权适当与动态分配权限：用户数据库每个用户仅授予相应的最小化权限，与其业务不相关权限一律收回，对于已经离岗的原工作人员以及其他不必要用户立即收回其用户权限，这项工作需要靠制度落实，实行定期检查；另外，在开发客户端程序中引入动态分配权限机制，具体而言，就是在用户登录程序，身份得到验证后，才被授予相应的数据库操作权限，并且该权限仅在本次登录中有效，一旦其退出登录，该用户权限即被收回。 2.2.3应用数据加密技术 权限管理是从制度上约束用户的使用权限，难免存在死角；另外，所有的数据都是以小数据包的方式在网络中进行传输，最终存储到数据库服务器中。数据在网络中传输时一般都是采用明码的方式，在这种方式下，黑客采用截获数据包的方式可以知道数据包的内容，并可以进行篡改；要从根本上去除各种隐患，必须还要采用数据加密技术。 数据库加密软件已经有多种商业化产品面世，以Oracle数据库为例，随着OracleEIOGR2的推出，提供了一种更加容易使用的加密方法称为透明数据加密技术TDE(Transparent Data Encryption)。其最大的特点是密钥的管理完全由数据库管理，不需要人为的干预，而且对列数据加、解密，不必将加密例程嵌套到现有应用程序中，显著降低了加密的成本和复杂性，只需使用几个简单的命令即可对机密应用程序数据进行加密。这样，对敏感数据列的操作只在客户端程序中通过正常的操作规程才能实现。但其带来的负面影响是：因数据库系统增加了加、解密过程，可能导致加密列无法正常索引，并且会使对数据库的访问速度变慢，所以在使用加密技术之前一定要做好严格、周密的测试，确定可行再做实施。 2.3 医院信息系统网络安全措施 数据安全与网络安全没有严格的界限，数据好比是存放在房间里的重要物品，那么网络就是进入这个房间的各种通道。要做好医院内部信息系统网络安全工作，既要有制度上的约束，同时在客户端需部署网络版的杀毒软件。除此之外，最关键的是要有软硬件技术作保证，以对整个网络实行全方位、多层次的安全防护。目前医院信息系统网络安全的技术研究主要集中在医院网络终端准入控制技术和网络隔离与安全数据交换技术两个方面，这两种技术目前已较成熟，在大型医院已逐步推广。 2.3.1实行医院网络终端准入控制 为保证用户终端的安全、阻止威胁入侵网络，对全院登入网络的用户实施终端准入控制，对全网采取接入认证，对用户的网络访问行为进行有效地控制，使得非法用户无法接入网络，杜绝各种可能导致整网不安全的行为，如非法使用外置存储器、不安装防火墙软件、私自修改注册表等。医院网络终端准入控制解决方案，对全院用户上网行为进行了有效的自动监控，为网络管理人员提供了有效、易用的管理工具和手段。 以H3C EDA(End user Admission Domination)为例简要介绍一下医院网络终端准入控制系统的结构及工作模式：H3C EDA安全产品组网体系，包括安全客户端、安全联动设备、安全策略服务器和第三方服务器。安全客户端是指安装了H3C iNode智能客户端的用户接入终端，负责身份认证的发起和安全策略的检查；安全联动设备是指网络中的交换机、路由器、VPN网关等设备。安全策略服务器则用于对用户终端的染毒情况、杀毒策略、系统补丁、软件使用情况进行集中管理，强制配置（强制病毒客户端升级、打补丁），确保全网安全策略的统一。第三方服务器是指补丁服务器、病毒服务器和安全代理服务器，被部署在隔离区中。 EDA解决方案可以支持有线、无线各种接入方式，除基于用户名和密码的身份认证外，EDA还支持身份与接入终端的MAC地址、 IP地址、所在VLAN（虚拟局域网）、接入设备IP、接入设备端口号等信息进行绑定，增强身份认