聶喆 屈盛 王文文

（解放軍第984醫(yī)院信息科，北京? 100094）

摘要：目前，我國多數(shù)大、中型醫(yī)院已經(jīng)建成醫(yī)院信息系統(tǒng)，但是許多醫(yī)院的醫(yī)院信息系統(tǒng)運行的效率或效果不盡人意，因醫(yī)院信息系統(tǒng)故障而影響醫(yī)院正常工作的事件也時有發(fā)生，究其原因，主要在于缺乏對醫(yī)院信息系統(tǒng)風(fēng)險的認識，尚未建立健全的醫(yī)院信息系統(tǒng)安全保障體系，“重建設(shè)，輕管理”是醫(yī)院信息系統(tǒng)管理的一大缺失。本文對醫(yī)院信息系統(tǒng)存在的安全風(fēng)險進行系統(tǒng)的梳理，總結(jié)了機房環(huán)境與基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全、應(yīng)用系統(tǒng)平臺、業(yè)務(wù)系統(tǒng)、支持系統(tǒng)、安全管理、病毒防范等7個方面存在的問題。針對醫(yī)院信息系統(tǒng)存在的安全問題，從建設(shè)安全保障管理體系與技術(shù)措施兩個方面提出了相應(yīng)的解決辦法，旨在為醫(yī)院信息系統(tǒng)的安全管理提供保障。

關(guān)鍵詞：醫(yī)院信息系統(tǒng);故障;風(fēng)險;對策

中圖分類號：R197? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：B? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?DOI：10.3969/j.issn.1006-1959.2020.08.004

文章編號：1006-1959（2020）08-0009-03

Abstract：At present， most large and medium-sized hospitals in China have built hospital information systems， but the efficiency or effectiveness of the operation of hospital information systems in many hospitals is unsatisfactory.Events that affect the normal work of hospitals due to hospital information system failures also occur from time to time. The reason is mainly due to the lack of understanding of the hospital information system risks， and has not established a sound hospital information system security guarantee system. "Heavy construction， light management" is a major lack of hospital information system management. This article systematically sorts out the security risks in the hospital information system， and summarizes the seven problems in the computer room environment and infrastructure， network security， application system platform， business system， support system， security management， and virus prevention. Aiming at the safety problems existing in hospital information systems， corresponding solutions were proposed from the aspects of building safety assurance management system and technical measures， aiming to provide guarantee for the safety management of hospital information systems.

Key words：Hospital information system;Failure;Risk;Countermeasure

醫(yī)院信息系統(tǒng)是比較復(fù)雜的信息系統(tǒng)之一，一個完善的醫(yī)院信息系統(tǒng)幾乎涵蓋了醫(yī)院所有的業(yè)務(wù)，其數(shù)據(jù)增長速度非?？?，而這些數(shù)據(jù)是醫(yī)院的重要資源，任何形式的數(shù)據(jù)丟失都會給醫(yī)院帶來無法估量的損失。計算機軟硬件故障、網(wǎng)絡(luò)故障、計算機病毒入侵、人為誤操作故障、資源不足等引起的系統(tǒng)災(zāi)難都會給醫(yī)院業(yè)務(wù)的正常運行造成威脅[1]。對于醫(yī)院信息系統(tǒng)管理者而言，掌握醫(yī)院信息系統(tǒng)中存在的各種安全風(fēng)險，并制訂相應(yīng)的解決方案，是醫(yī)院信息系統(tǒng)建設(shè)的重要任務(wù)之一[2]。本文從建設(shè)安全保障管理體系與技術(shù)措施兩個方面總結(jié)了醫(yī)院信息系統(tǒng)的安全管理策略，旨在為醫(yī)院信息系統(tǒng)安全管理提供參考。

1系統(tǒng)安全的風(fēng)險分析

1.1機房環(huán)境與基礎(chǔ)設(shè)施安全? ①機房環(huán)境的安全風(fēng)險：包括空調(diào)損壞、火災(zāi)、雷電襲擊事件。信息系統(tǒng)機房內(nèi)設(shè)備較多，發(fā)熱量大，設(shè)備的運行對溫、濕度的要求較高，空調(diào)系統(tǒng)故障會直接影響設(shè)備的性能，適宜的溫度和濕度是機房設(shè)備正常工作的必要條件，空調(diào)系統(tǒng)損壞會帶來直接威脅。另一方面，機房電器設(shè)備過多，發(fā)生火災(zāi)的危險性較高。同時，信息系統(tǒng)機房設(shè)備多為低壓設(shè)備，無論直擊雷還是感應(yīng)雷都會造成安全風(fēng)險。②電源系統(tǒng)風(fēng)險：信息系統(tǒng)機房的主要設(shè)備包括服務(wù)器、交換機、存儲等，是全院信息系統(tǒng)的核心，這些設(shè)備是不能停機的。停電不僅會造成服務(wù)器等機房設(shè)備停機，業(yè)務(wù)中斷，還可能造成數(shù)據(jù)庫和操作系統(tǒng)崩潰。市電供應(yīng)、UPS電源、傳輸線路、PDU等系統(tǒng)故障，都會產(chǎn)生安全風(fēng)險。③網(wǎng)絡(luò)設(shè)備的安全風(fēng)險：網(wǎng)絡(luò)設(shè)備包括如路由器、交換機等，這些設(shè)備是醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)的節(jié)點設(shè)備，分布于醫(yī)院信息系統(tǒng)機房和各樓群弱電豎井或接入機房內(nèi)，由于這些設(shè)備所處位置的環(huán)境不一定完全符合其工作要求，可能會引起設(shè)備故障發(fā)生，對醫(yī)院信息系統(tǒng)存在較大的安全風(fēng)險。④終端設(shè)備風(fēng)險：由于終端設(shè)備數(shù)量多，使用頻率高，使用人員操作水平參差不齊，資源使用無限制，發(fā)生故障幾率較高。另外還有設(shè)備的配置文擋記錄不完整或修改不及時、設(shè)備運行的安全管理措施不規(guī)范等，也會造成系統(tǒng)故障。

1.2網(wǎng)絡(luò)安全風(fēng)險? ①網(wǎng)絡(luò)邊界安全風(fēng)險：醫(yī)院信息系統(tǒng)不可避免地要與外部網(wǎng)絡(luò)進行連接，以便于數(shù)據(jù)交換和信息交流，如醫(yī)療保險系統(tǒng)，銀行系統(tǒng)等，而外部網(wǎng)絡(luò)安全風(fēng)險具有不可預(yù)知和不可控性。②醫(yī)院內(nèi)部網(wǎng)絡(luò)安全風(fēng)險：醫(yī)院信息系統(tǒng)具有用戶多，網(wǎng)絡(luò)信息點位分布分散，用戶層次不一等特點，非法用戶或終端接入（侵入）內(nèi)部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)終端通過有線或無線方式與外部網(wǎng)絡(luò)連接等，都對醫(yī)院內(nèi)部網(wǎng)絡(luò)安全構(gòu)成威脅。

1.3應(yīng)用系統(tǒng)平臺的安全風(fēng)險? ①操作系統(tǒng)的安全風(fēng)險：醫(yī)院信息系統(tǒng)操作系統(tǒng)通常為UNIX、LINIUX、WINDOWS等，無論采用何種操作系統(tǒng)，都會存在漏洞，為病毒和非法入侵者提供了機會，對醫(yī)院信息系統(tǒng)構(gòu)成了威脅。②數(shù)據(jù)庫系統(tǒng)的風(fēng)險：醫(yī)院信息系統(tǒng)本質(zhì)上講，是一個數(shù)據(jù)庫系統(tǒng)，其安全性、運行效率和穩(wěn)定性等與數(shù)據(jù)庫平臺本身直接相關(guān)。數(shù)據(jù)庫系統(tǒng)與所有系統(tǒng)軟件一樣，都存在自身安全漏洞的風(fēng)險。

1.4業(yè)務(wù)系統(tǒng)安全風(fēng)險? ①業(yè)務(wù)系統(tǒng)：醫(yī)院信息系統(tǒng)業(yè)務(wù)繁多，是一個非常復(fù)雜的信息系統(tǒng)。在系統(tǒng)開發(fā)中，存在需求分析不完善，在設(shè)計階段，存在結(jié)構(gòu)、接口不規(guī)范，采用標準不統(tǒng)一等問題。這些問題，會給后期詳細設(shè)計和醫(yī)院信息系統(tǒng)的應(yīng)用帶來潛在風(fēng)險。②業(yè)務(wù)系統(tǒng)修改：隨著醫(yī)院信息系統(tǒng)的應(yīng)用的深入，系統(tǒng)本身的問題會逐漸被發(fā)現(xiàn)，另一方面，需求也會不斷變化。為了解決發(fā)現(xiàn)的問題和滿足新的應(yīng)用需求，需要對系統(tǒng)進行經(jīng)常的完善和修改。在這個過程中，經(jīng)常會出現(xiàn)新的問題。③用戶風(fēng)險分析：用戶缺乏安全意識、操作不熟練、權(quán)限管理不嚴、口令長期不改等均會形成系統(tǒng)潛在風(fēng)險。

1.5支持系統(tǒng)風(fēng)險? 無論是硬件還是軟件，都有發(fā)生故障的風(fēng)險存在，因為各醫(yī)院信息管理部門自身技術(shù)水平的局限性，不可能解決所有問題，這就需要有完善的售后服務(wù)保證。

1.6安全管理風(fēng)險? 內(nèi)部人員無意中泄露內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令的風(fēng)險;機房出入管理不嚴格，使入侵者能夠接近重要設(shè)備而帶來的信息安全風(fēng)險;管理員失誤，如錯誤復(fù)制、刪除數(shù)據(jù)等非法數(shù)據(jù)操作等會造成風(fēng)險。當網(wǎng)絡(luò)受到攻擊或出現(xiàn)其它安全威脅時（如內(nèi)部人員違規(guī)操作等），無法及時進行實時檢測、監(jiān)護、報告和預(yù)警，即對網(wǎng)絡(luò)的可控性與可審查性造成潛在風(fēng)險[3]。

1.7計算機病毒風(fēng)險? 計算機病毒是信息系統(tǒng)的一大公害，醫(yī)院信息系統(tǒng)也不會幸免，計算機病毒的存在，對醫(yī)院信息系統(tǒng)的安全構(gòu)成了嚴重威脅。

2安全保障體系管理與技術(shù)醫(yī)院信息系統(tǒng)安全保障體系應(yīng)結(jié)合網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)庫、用戶等諸多方面進行安全規(guī)劃管理。

2.1安全保障體系的管理措施? 目前，在大、中型醫(yī)院，醫(yī)院信息系統(tǒng)已成為醫(yī)院臨床醫(yī)療和管理必不可少的工具。相關(guān)統(tǒng)計顯示，在網(wǎng)絡(luò)安全問題中，有60%是由于內(nèi)部安全管理不善造成的。因此，建立一套有效的管理制度是必須的。①建立和完善醫(yī)院信息系統(tǒng)安全管理組織與制度;②建立檔案資料庫，保存技術(shù)資料，及時記錄和完善技術(shù)文擋，使得在問題發(fā)生時，能迅速獲得解決方法;③建立監(jiān)控體系;④建立應(yīng)急管理措施和事故處理預(yù)案。

2.2安全保障體系技術(shù)措施

2.2.1硬件安全技術(shù)? ①機房環(huán)境與基礎(chǔ)設(shè)施包括機房、供電（市電供應(yīng)與UPS）、空調(diào)、機房門禁與監(jiān)控、消防、防雷擊。機房、供電（市電供應(yīng)與UPS）、空調(diào)均應(yīng)采用冗余設(shè)計，即中心機房和災(zāi)備機房，在高層建筑內(nèi)，機房通常應(yīng)該選擇在二、三層適中位置;市電雙路供應(yīng);中心機房（含弱電豎井）內(nèi)設(shè)備采用雙路UPS供電;雙空調(diào)系統(tǒng)。醫(yī)院信息系統(tǒng)機房是醫(yī)院信息系統(tǒng)的核心，是全院網(wǎng)絡(luò)中樞，對于出入機房人員應(yīng)當進行限制，并對出入機房人員和行為進行記錄，以便于進行安全問題追蹤，加強工作人員責(zé)任心。建設(shè)機房環(huán)境控制系統(tǒng)是解決機房安全管理的一個有效的手段，可以對機房供電、溫濕度、服務(wù)器運行狀態(tài)、消防等系統(tǒng)實現(xiàn)集中管理。防雷擊技術(shù)包括電源防雷和信號防雷：電源防雷其中中心機房、弱電豎井供電系統(tǒng)采用樓宇整體防雷接地。信號防雷：中心機房信號防雷擊可以采用純光纖接入技術(shù);雙絞線布線時應(yīng)避免部署在樓宇外側(cè)墻壁，以防感應(yīng)雷襲擊;樓宇外部信號線纜接入樓內(nèi)時，避免架空敷設(shè)，或者先熔接或轉(zhuǎn)接為室內(nèi)光纖;對于可能帶來雷擊風(fēng)險的外部線纜（如電信、移動、連通的通訊線纜）設(shè)計在獨立橋架中鋪設(shè)。弱電豎井信號防雷采用樓宇整體防雷接地或交換機端口防雷技術(shù)。②網(wǎng)絡(luò)與網(wǎng)絡(luò)設(shè)備包括網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，網(wǎng)絡(luò)設(shè)備等。網(wǎng)絡(luò)基礎(chǔ)架構(gòu)應(yīng)設(shè)計為雙網(wǎng)絡(luò);核心交換機、匯聚交換機采用成對冗余配置，接入交換機、匯聚交換機采用雙上行連接，交換機設(shè)備本身配備雙電源模塊。③網(wǎng)絡(luò)安全管理設(shè)備包括網(wǎng)絡(luò)管理系統(tǒng)、內(nèi)部網(wǎng)絡(luò)安全（如準入系統(tǒng)、安全審計系統(tǒng)等）、網(wǎng)絡(luò)邊界安全系統(tǒng)（如防火墻、防毒墻、入侵檢測、隔離網(wǎng)閘等）、終端桌面管理系統(tǒng)（如終端桌面管理系統(tǒng)、組策略）等。網(wǎng)絡(luò)管理系統(tǒng)作為一種輔助管理手段，可以有效提高管理效率。網(wǎng)絡(luò)內(nèi)部安全，應(yīng)建立準入機制，防止非法接入與外聯(lián)。醫(yī)院信息系統(tǒng)不可避免地要與外部網(wǎng)絡(luò)進行連接，以便于數(shù)據(jù)交換和信息交流，如醫(yī)療保險系統(tǒng)，銀行系統(tǒng)等。采用網(wǎng)絡(luò)邊界安全系統(tǒng)，可有效防止來自外部網(wǎng)絡(luò)的安全威脅。桌面管理系統(tǒng)可以對終端用戶使用的網(wǎng)絡(luò)資源和本地軟、硬件資源進行分配和限制，還可以進行遠程管理。④服務(wù)器與存儲設(shè)備：服務(wù)器采用雙機熱備技術(shù)、虛擬化技術(shù)、或主備配置;服務(wù)器設(shè)備本身配備雙CPU雙電源模塊等。存儲設(shè)備采用雙活技術(shù)、虛擬化技術(shù)、或主備配置措施。

2.2.2軟件安全技術(shù)? 醫(yī)院信息系統(tǒng)軟件安全包括操作系統(tǒng)安全、醫(yī)院信息系統(tǒng)的健壯性、數(shù)據(jù)庫業(yè)務(wù)連續(xù)性管理、數(shù)據(jù)庫安全管理、客戶端應(yīng)用軟件安全、防病毒等方面。①操作系統(tǒng)：醫(yī)院信息系統(tǒng)服務(wù)器操作系統(tǒng)通常為UNIX、LINIUX、WINDOWS等，UNIX操作系統(tǒng)相對穩(wěn)定。無論采用何種操作系統(tǒng)，都會存在漏洞，及時安裝操作系統(tǒng)補丁是醫(yī)院信息系統(tǒng)管理人員的重要工作之一。②醫(yī)院信息系統(tǒng)的健壯性：在建設(shè)醫(yī)院信息系統(tǒng)的初期，要對醫(yī)院自身業(yè)務(wù)做全面了解，掌握醫(yī)院信息系統(tǒng)需求，選擇適合于醫(yī)院管理和業(yè)務(wù)要求的、成熟的系統(tǒng)系統(tǒng)，可以規(guī)避由于醫(yī)院信息系統(tǒng)不完善帶來的潛在風(fēng)險。系統(tǒng)的完善和修改不可避免，這可以通過搭建測試環(huán)境，健全完善的測試手段來結(jié)解決。測試方法上包括黑盒測試和白盒測試。③數(shù)據(jù)庫業(yè)務(wù)連續(xù)性管理：數(shù)據(jù)庫本身的可靠運行是醫(yī)院信息系統(tǒng)業(yè)務(wù)連續(xù)性的重要一環(huán)，如：ORACLE數(shù)據(jù)庫的DATA GUARD技術(shù)、RAC技術(shù)等，都可以實現(xiàn)數(shù)據(jù)庫級的業(yè)務(wù)連續(xù)性保護。④數(shù)據(jù)庫安全管理：包括數(shù)據(jù)庫管理人員權(quán)限管理、數(shù)據(jù)備份、數(shù)據(jù)庫操作行為審計等。數(shù)據(jù)庫管理人員權(quán)限：數(shù)據(jù)庫操作對數(shù)據(jù)庫的安全運行至關(guān)重要，因此，要將數(shù)據(jù)庫管理權(quán)限授予具有數(shù)據(jù)庫操作資質(zhì)和較強責(zé)任心的人員。數(shù)據(jù)備份：數(shù)據(jù)庫服務(wù)器硬件的冗余，可以避免硬件故障帶來的風(fēng)險;數(shù)據(jù)庫軟件的冗余，為業(yè)務(wù)連續(xù)性提供了保證，但并不能完全保證數(shù)據(jù)的安全。醫(yī)院信息系統(tǒng)擁有大量的用戶，由于誤操作或其它原因造成的數(shù)據(jù)丟失不可避免，數(shù)據(jù)備份是解決這一問題的有效方法[4]?？梢岳脭?shù)據(jù)庫本身的備份功能（如ORACLE數(shù)據(jù)庫的閃回、rman、日志等），也可以結(jié)合第三方專用軟、硬件備份工具實現(xiàn)數(shù)據(jù)備份;數(shù)據(jù)庫審計：數(shù)據(jù)庫安全管理的另一個方面是數(shù)據(jù)庫訪問行為跟蹤，通?？梢圆捎玫募夹g(shù)有數(shù)據(jù)庫審計等。⑤客戶端應(yīng)用軟件是醫(yī)院業(yè)務(wù)系統(tǒng)用戶界面，系統(tǒng)的設(shè)計既要滿足臨床醫(yī)療業(yè)務(wù)需要，又要對其訪問數(shù)據(jù)庫的權(quán)限進行限制。⑥防病毒：采用網(wǎng)絡(luò)版防病毒系統(tǒng)是常用技術(shù)，但要保證病毒庫的及時升級，在網(wǎng)絡(luò)邊界部署防毒墻也是預(yù)防計算機病毒危害的有效手段[5]。

3總結(jié)

醫(yī)院信息系統(tǒng)風(fēng)險管理已日益成為人們關(guān)注的熱點，這些問題的良好解決，對計算機網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的平穩(wěn)運行起著極其重要的作用。各類醫(yī)院的業(yè)務(wù)情況有所差別，信息系統(tǒng)面臨的安全問題也有所不同。如軍隊醫(yī)院由于制度的要求，往往采取物理隔離措施，醫(yī)院網(wǎng)絡(luò)相對封閉，醫(yī)院信息系統(tǒng)面臨的安全風(fēng)險主要來自于醫(yī)院內(nèi)部，主要對策是做好內(nèi)部網(wǎng)絡(luò)、信息系統(tǒng)安全防護和網(wǎng)絡(luò)準入控制。對于地方部分醫(yī)院，由于業(yè)務(wù)的需要，存在與銀行、互聯(lián)網(wǎng)等連接的情況，因此需要進行全面的安全規(guī)劃，加強邊界安全和入侵防護?？傊瑢τ卺t(yī)院來講，實施醫(yī)院信息系統(tǒng)等級保護是制度要求，更是客觀需要。在實際工作中，應(yīng)將醫(yī)院信息系統(tǒng)風(fēng)險管理作為一項重要的管理工作來抓，以保證醫(yī)院應(yīng)用系統(tǒng)業(yè)務(wù)連續(xù)、穩(wěn)定、安全地運行。

參考文獻：

[1]王麗娜，趙利敏，張東軍.信息安全管理的建設(shè)在醫(yī)院信息化建設(shè)中的作用[J].電腦知識與技術(shù)，2017，13（2）：41-43.

[2]楊旋，周小甲.醫(yī)院信息系統(tǒng)安全等級保護定級與整改結(jié)果探討[J].中國醫(yī)療設(shè)備，2017，32（6）：166-169.

[3]唐江波.基于醫(yī)院信息安全等級保護的整改實踐[J].中國數(shù)字醫(yī)學(xué)，2018，13（11）：83-86.

[4]魏智，黃昊.醫(yī)院信息系統(tǒng)的數(shù)據(jù)備份及恢復(fù)的研究與應(yīng)用[J].中國數(shù)字醫(yī)學(xué)，2018，13（8）：36-38，27.

[5]趙錦，屈弘，孫瑋.某醫(yī)院信息系統(tǒng)安全的策略及主要措施[J].醫(yī)療裝備，2017，30（12）：91-92.

收稿日期：2020-02-17;修回日期：2020-03-11

編輯/錢洪飛