胡曉捷

摘要：本文分析了醫(yī)院信息系統(tǒng)(HIS)面臨的安全威脅和主要安全攻擊方法，由此提出HIS安全體系和網(wǎng)絡安全模型，并且在網(wǎng)絡層面上給出了完整的技術解決方案。

關鍵詞：醫(yī)院信息系統(tǒng)；HIS安全體系；內(nèi)網(wǎng)

引論

醫(yī)院信息系統(tǒng)(HospitaI Information Svstem，HIS)是利用計算機網(wǎng)絡和通信設備，為醫(yī)院各部門提供病人診療信息和行政管理信息的收集、存儲、處理、提取和交換能力，并滿足授權用戶功能需求的管理信息系統(tǒng)。醫(yī)院是信息流高度密集的單位；醫(yī)院的組織管理結構非常嚴謹。對其中任何一部分業(yè)務流程的改變，都可能引起連鎖反應，牽一發(fā)而動全身；不同體制的醫(yī)院的管理模式也有很大不同。因此，HIS是當今世界企業(yè)級信息系統(tǒng)中處理邏輯最為復雜的一類。

廣義的HIS的網(wǎng)絡拓撲一般分為內(nèi)網(wǎng)(醫(yī)保系統(tǒng))、專網(wǎng)(行政系統(tǒng))和外網(wǎng)(醫(yī)院網(wǎng)站)三個部分，形成了內(nèi)網(wǎng)核心數(shù)據(jù)層、內(nèi)網(wǎng)辦公業(yè)務層、外網(wǎng)公眾服務層和網(wǎng)間信息交換層四個相對獨立的網(wǎng)絡安全管理域，信息安全與管理的技術手段相當復雜。

以作者所在單位上海市普陀區(qū)中心醫(yī)院為例，HIS、RIS、PACS等系統(tǒng)投入運營多年，每天成百上千臺計算機同時運行，成為醫(yī)院提供醫(yī)療服務的業(yè)務平臺。隨著醫(yī)院HIS應用的不斷深入，網(wǎng)絡安全形勢日益嚴峻?，F(xiàn)有的安全技術手段逐漸暴露出局限性，需要從規(guī)章制度、技術和管理等層面加強HIS的信息安全保障。

我院信息系統(tǒng)和網(wǎng)絡的維護由醫(yī)院信息科實施。信息科是醫(yī)院的行政職能科室，下設病案室、計算中心、圖書館三個部門。計算中心現(xiàn)有技術人員10人，擁有軟件自主研發(fā)能力，學術氛圍濃厚。根據(jù)醫(yī)院授權已制訂《普陀區(qū)中心醫(yī)院HIS系統(tǒng)管理安全操作規(guī)范》、《普陀區(qū)中心醫(yī)院醫(yī)保前置機管理規(guī)范》、《普陀區(qū)中心醫(yī)院應急預案制度》、《中心機房管理制度》等規(guī)章制度，建立了定期安全檢測、口令管理、人員培訓與管理、策略管理、備份管理、日志管理等一系列管理方法和長效機制。

1HIS安全威脅

HIS面臨的安全攻擊指危及醫(yī)院信息安全的任何行為。HIS安全機制指設計用于檢測、防止或從安全攻擊中恢復的一種機制。Hls安全服務指加強醫(yī)院各部門數(shù)據(jù)處理和信息傳送安全性的一種服務，目標是對抗安全攻擊。它們利用一種或多種安全機制來提供該服務。本文的工作在于提出HIS安全體系結構和部署策略，并在網(wǎng)絡層面上介紹了HIS安全體系的技術實現(xiàn)。

就安全攻擊方法而言，根據(jù)信息安全層次分析HIS的安全威脅?？梢詮臋C房環(huán)境和物理層、網(wǎng)絡層、操作系統(tǒng)和數(shù)據(jù)庫層、應用層及管理層五個層面著手。

(1)機房環(huán)境和物理層

我院機房分布在住院部、住院二部、門診樓、急診樓四處。機房網(wǎng)絡設備、硬件設施可能遭受地震、水災、火災等自然災害以及人為操作失誤和各種針對計算機的破壞行為。

(2)網(wǎng)絡層

作為事實標準的TCP／IP協(xié)議并非專為安全通信設計，這一先天不足致使網(wǎng)絡通信存在大量安全隱患。協(xié)議漏洞造成預攻擊探測、竊聽、篡改、IP欺騙、重放、拒絕服務攻擊(包括同步潮水攻擊SYN FLOOD和PING FLOOD)、分布式拒絕服務攻擊(DOS)和堆棧溢出等。

網(wǎng)絡環(huán)境下病毒、蠕蟲、木馬和流氓軟件的傳播快速、隱蔽，嚴重威脅系統(tǒng)安全。病毒的傳播破壞文件和系統(tǒng)可用性；木馬潛伏在系統(tǒng)內(nèi)并截獲用戶輸入的密碼、鍵盤動作等重要信息，并將這些信息發(fā)送出去。2008年末ARP木馬爆發(fā)曾導致我院局域網(wǎng)性能顯著下降。

(3)操作系統(tǒng)和數(shù)據(jù)庫層

操作系統(tǒng)設計時疏漏或預留的安全漏洞、用戶配置不當、多余的系統(tǒng)服務、脆弱的基于口令的身份鑒別機制，都使惡意用戶的攻擊變得輕而易舉。醫(yī)院醫(yī)保前置機和數(shù)據(jù)庫服務器采用Windows2000／XP／2003操作系統(tǒng)，健壯性、安全性較差。醫(yī)院使用的Or-acle數(shù)據(jù)庫系統(tǒng)可以從端口尋址。院內(nèi)聯(lián)網(wǎng)的計算機，任何人只要有合適的SQL查詢工具，就能和數(shù)據(jù)庫系統(tǒng)直接連接，并能繞開操作系統(tǒng)的安全機制，如果誤用就會嚴重危及數(shù)據(jù)安全。

(4)應用層

應用層的安全風險有：來自內(nèi)部和外界對業(yè)務系統(tǒng)的非授權訪問、由于用戶名和口令等身份標志泄漏造成的系統(tǒng)管理權限喪失、用戶提交的業(yè)務信息被監(jiān)聽或修改、用戶對成功提交的事務進行事后抵賴、偽裝成系統(tǒng)服務以騙取用戶口令、操作不當或外界攻擊引起的系統(tǒng)崩潰、網(wǎng)絡病毒的傳播或其他軟硬件原因造成的系統(tǒng)損壞、HIS程序開發(fā)遺留的安全漏洞等。

(5)管理層

責權不明、管理混亂、人員管理和安全管理制度不健全及缺乏可操作性都可能引起管理層安全風險。

2HIS安全體系結構

網(wǎng)絡安全遵循“木桶原理”，系統(tǒng)的安全強度等于它最薄弱環(huán)節(jié)的安全強度。據(jù)統(tǒng)計，在所有的HIS信息安全事件中。超過70％發(fā)生在內(nèi)網(wǎng)。因此，HIS系統(tǒng)必須建立在一個完備的多層次的網(wǎng)絡安全體系之上，消除瓶頸。

完整的HIS安全體系由五部分構成：可信的基礎安全設施、安全技術支撐平臺、容錯與恢復系統(tǒng)、安全管理保障體系和信息安全系統(tǒng)。如圖1所示。

3HIS安全體系的部署和安全審計

根據(jù)HIS網(wǎng)絡安全要求設計的HIS安全模型如圖2：

HIS網(wǎng)絡安全模型給出了HIS安全體系部署的邏輯框架，部署的過程是一個復雜的系統(tǒng)工程。是整個HIS應用得以實現(xiàn)的前提保證。

HIS安全審計是在醫(yī)院網(wǎng)絡環(huán)境下，為了保障網(wǎng)絡和數(shù)據(jù)不受來自外網(wǎng)和內(nèi)網(wǎng)用戶的入侵和破壞，而運用各種技術手段實時監(jiān)控網(wǎng)絡環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、收集安全事件，以便集中報警、分析、處理。安全審計方案主要有：

(1)日志審計。通過SNMP、SYSLOG、OPSEC或其他日志接口從路由器、交換機、服務器、醫(yī)保前置機應用系統(tǒng)和網(wǎng)絡安全設備中收集日志，進行統(tǒng)一管理、分析和報警；

(2)主機審計。在服務器、醫(yī)保前置機安裝“威盾”客戶端，審計安全漏洞、合法或非法操作，監(jiān)控聯(lián)網(wǎng)行為；

(3)網(wǎng)絡審計。通過旁路和串接的方式捕獲網(wǎng)絡數(shù)據(jù)包，進行協(xié)議分析和還原。網(wǎng)絡審計包括了網(wǎng)絡漏洞掃描產(chǎn)品、防火墻和IDS／IPS安全審計、互聯(lián)網(wǎng)行為監(jiān)控等類型的產(chǎn)品。

4HIS安全體系的技術實現(xiàn)

(1)內(nèi)網(wǎng)與外網(wǎng)的物理隔離

內(nèi)網(wǎng)涉及醫(yī)保、財務和電子病歷信息。必須與外網(wǎng)實現(xiàn)完全的網(wǎng)絡隔離和設備隔離。內(nèi)網(wǎng)與外網(wǎng)的隔離采用物理隔離網(wǎng)閘。物理隔離網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關讀寫介質(zhì)連接兩個獨立主機系統(tǒng)的信息安全設備。這兩個獨立主機系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在基于協(xié)議的

數(shù)據(jù)包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令，因而從物理上隔離、阻斷了具有潛在攻擊可能的一切連接。

(2)內(nèi)網(wǎng)中劃分VLAN

虛擬局域網(wǎng)(VLAN)是一種采用交換機將局域網(wǎng)內(nèi)的主機邏輯地而不是物理地劃分為一個個網(wǎng)段。從而實現(xiàn)虛擬工作組的技術。在一個交換網(wǎng)絡中，VLAN提供了網(wǎng)段和部門科室的彈性組合機制。醫(yī)院可根據(jù)不同的業(yè)務性質(zhì)將各部門劃分成不同的VLAN。

(3)網(wǎng)絡邊界安裝防火墻

防火墻是一類防范措施的總稱。它使內(nèi)網(wǎng)與Internet之間或者內(nèi)網(wǎng)與其他外部網(wǎng)絡之間互相隔離、限制網(wǎng)絡互訪來保護內(nèi)部網(wǎng)絡。由于防火墻劃定了網(wǎng)絡邊界和服務，因此更適合于相對獨立的網(wǎng)絡。任何關鍵性的服務器，都建議放在防火墻之后。

(4)專網(wǎng)用戶采用VPN技術訪問內(nèi)網(wǎng)

虛擬專網(wǎng)技術(VPN)目前主要采用IPSec協(xié)議，有比較成熟的產(chǎn)品。例如與路由器或防火墻集成的硬件VPN模塊，組建方便快捷。內(nèi)網(wǎng)與衛(wèi)生局、醫(yī)保局的涉密信息往來。彼此間應該采用VPN技術相連，以保證通信安全。

(5)入侵監(jiān)測

防火墻雖然能抵御網(wǎng)絡外部安全威脅，但對從網(wǎng)絡內(nèi)部發(fā)起的攻擊無能為力。實時入侵監(jiān)測技術動態(tài)地監(jiān)測網(wǎng)絡內(nèi)部活動并做出及時響應：能監(jiān)控網(wǎng)絡的數(shù)據(jù)流，從中檢測出攻擊行為并給予相應處理；還能檢測到繞過防火墻的攻擊。

(6)漏洞掃描

解決網(wǎng)絡層安全問題，首先要弄清網(wǎng)絡中存在哪些安全隱患和薄弱環(huán)節(jié)。面對醫(yī)院大型網(wǎng)絡的復雜性，僅僅依靠技術人員的經(jīng)驗是不現(xiàn)實的。解決方案是獲取一種能自動探測網(wǎng)絡安全漏洞、并提出評估和建議的網(wǎng)絡安全掃描工具。

(7)數(shù)據(jù)庫服務器和醫(yī)保前置機的安全設置

現(xiàn)有的網(wǎng)絡設備以及操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)都有一套自身的安全機制。路由器、交換機應配置好協(xié)議和訪問控制列表：數(shù)據(jù)庫服務器應關閉無關的系統(tǒng)服務和端口，并采用服務器分片備份網(wǎng)絡數(shù)據(jù)。如門診部用一臺服務器、住院部用一臺服務器、影像系統(tǒng)用一臺服務器，按時定期做好數(shù)據(jù)備份。發(fā)生系統(tǒng)故障，能盡快回滾事務、恢復系統(tǒng)。

每臺醫(yī)保前置機都安裝了“威盾”遠程控制軟件客戶端。USB端口和光驅(qū)被自動禁用。通過設定對應賬戶權限(管理員賬戶和來賓賬戶)，控制用戶訪問特定數(shù)據(jù)。每個用戶(醫(yī)生、護士、管理人員等)在整個系統(tǒng)中具有唯一的賬號。禁止用戶對無關文件進行讀寫，以防非法用戶侵入網(wǎng)絡。

5小結

信息安全的核心實際上是管理。只有建立和執(zhí)行完善的管理制度，安全技術才能發(fā)揮其應有的作用。醫(yī)院信息安全涉及范圍廣、技術難度大、各部門之間協(xié)調(diào)復雜。合理的管理制度和有效的技術方案的結合是解決問題的關鍵。信息科網(wǎng)絡管理人員必須熟悉醫(yī)院業(yè)務流程、深入掌握信息系統(tǒng)和網(wǎng)絡安全技術，不斷積累經(jīng)驗、完善自己的知識結構，才能從容應對網(wǎng)絡安全管理，確保醫(yī)院信息系統(tǒng)平穩(wěn)有序地運行。