夏國漢，周雷罡，潘蕾，郭丹

江西省藥品檢驗檢測研究院，國家藥品監(jiān)督管理局中成藥質(zhì)量評價重點實驗室，江西省藥品與醫(yī)療器械質(zhì)量工程技術研究中心，江西 南昌 330029

實驗室信息管理系統(tǒng)（laboratory information management system，LIMS）是現(xiàn)代信息技術與實驗室管理工作的結合，已經(jīng)廣泛應用于藥檢行業(yè)，LIMS 系統(tǒng)對比傳統(tǒng)的手工書寫，為藥檢管理工作帶來了極大便利。LIMS 是針對實驗室的整體環(huán)境而設計，實現(xiàn)實驗人員、儀器、樣品、方法、環(huán)境全面的資源管理的計算機系統(tǒng)。LIMS 在收樣、實驗室樣品流轉、報告書填寫、報告流轉等功能上已經(jīng)相當成熟，能夠提供完成整個檢驗流程的功能，帶動了傳統(tǒng)工作和管理模式升級，帶來效率與質(zhì)量的提升。同時LIMS 也給系統(tǒng)安全管理工作帶來了新的挑戰(zhàn)，安全問題產(chǎn)生的原因是計算機信息系統(tǒng)本身具有復雜性，因此極易遭到破壞。影響計算機信息系統(tǒng)安全的因素包括人為因素和客觀因素，人為因素是指某人或組織為了達到某種目的而對計算機系統(tǒng)進行的故意破壞。而客觀因素指的是自然界各種能夠對計算機系統(tǒng)產(chǎn)生影響的自然現(xiàn)象，如雷擊、水災、火災、地震等等，都有可能造成計算機運行過程無法充分發(fā)揮有效的作用，使計算機信息安全無法得到保障［1］。

1 LIMS 系統(tǒng)面臨的安全問題分析

1.1 信息系統(tǒng)實體安全的問題

計算機信息系統(tǒng)的硬件作為計算機系統(tǒng)的實體，其包括計算機內(nèi)自身的硬件和各種接口、各種相應的外部設備、計算機網(wǎng)絡的通信設備、線路和信道等［2］。實體安全就是確保服務器及其配套硬件設備不會受到物理傷害，因此需要有良好的機房環(huán)境。存放服務器的機房能夠防火、防盜、防水、防塵、防雷，有恒定的機房溫度、穩(wěn)定的電力供應等。服務器本身硬件故障，管理人員對服務器硬件誤操作等問題也會造成物理傷害。

1.2 軟件安全的問題

軟件安全是計算機信息系統(tǒng)安全的重要環(huán)節(jié)，因為只有計算機軟件系統(tǒng)的運行過程中的安全得到保證，才能完成對信息的正確處理，達到發(fā)揮系統(tǒng)各項功能的目的［1］。軟件安全也就是服務器安裝的操作系統(tǒng)能夠提供一個良好的支撐環(huán)境，管理服務器的內(nèi)部資源，LIMS 軟件能正常穩(wěn)定的運行。

LIMS 信息系統(tǒng)架構通常為B/S 模式。B/S 模式為客戶端統(tǒng)一采用瀏覽器作為接收請求和顯示結果的工具。用戶瀏覽器發(fā)出請求，后臺服務器處理完畢后，再通過服務器發(fā)給瀏覽器顯示，使用與安裝都比較簡便。B/S 結構的主要特點是分布性強、維護方便、開發(fā)簡單且共享性強、總體擁有成本低［3］，但是這種模式下需要服務器操作系統(tǒng)能夠不間斷的提供服務，所以對穩(wěn)定性要求很高。

1.3 網(wǎng)絡安全的問題

計算機網(wǎng)絡自身的結構特點導致了其脆弱性。計算機網(wǎng)絡技術自身的屬性，使其很容易受到來自自然界以及其他惡意犯罪人士的攻擊而遭到破壞，計算機系統(tǒng)的安全性有來自計算機犯罪、病毒以及系統(tǒng)故障等多方面的威脅，從而需要加強對計算機信息系統(tǒng)的安全保護［1］。

計算機網(wǎng)絡中的信息可能遭受來自病毒、木馬的威脅，如服務器未開啟防火墻、未安裝殺毒軟件、無IPS 入侵防御設備防護，開放不必要的共享端口、開啟遠程桌面以及訪問系統(tǒng)終端PC 存在的系統(tǒng)漏洞、病毒、木馬等。

1.4 信息數(shù)據(jù)安全的問題

計算機信息系統(tǒng)的信息安全是核心，系統(tǒng)使用中存在信息財產(chǎn)被故意或偶然的泄漏、更改、破壞或使信息被非法系統(tǒng)辨識、控制等問題，無法確保信息的保密性、完整性、可用性和可控性［4］。

如實驗過程中填寫的數(shù)據(jù)，能夠安全可靠的保存在LIMS 系統(tǒng)中。避免信息修改、刪除、盜用等各種違法犯罪現(xiàn)象，且不因故障而丟失數(shù)據(jù)。

1.5 安全管理的問題

安全管理包括提高安全意識，有效保障信息系統(tǒng)安全，以及提高技術水平，增強信息系統(tǒng)的技術防范能力［4］。

信息系統(tǒng)建成后往往存在安全制度缺失，管理不嚴，缺少執(zhí)行力度，安全意識跟不上信息技術變化，信息安全人力不足、技術存在一定的欠缺等問題。

2 LIMS 系統(tǒng)安全對策

2.1 保障信息實體安全的措施

制定機房服務器的安全管理制度。嚴格規(guī)定除系統(tǒng)管理人員外，如無必要其他人不得進入機房接觸、操作服務器；在選配服務器時采購主流品牌廠商服務器，硬件本身安全系數(shù)高、售后有保障；LIMS 系統(tǒng)服務器與數(shù)據(jù)庫服務器均有冗余備用服務器；規(guī)范機房管理人員的操作，做好服務器的巡檢登記工作，對服務器操作、維護須登記管理。服務器的磁盤均有冗余安全措施，采用RAID5+熱備的模式，RAID5 的磁盤陣列具有容錯功能，它使用奇偶校驗技術提供數(shù)據(jù)冗余信息，系統(tǒng)安全與可靠性得到很大改善［5］。機房配有市電與UPS 雙路電源，最大保障機房用電安全，做到信息實體的高安全性。

2.2 保障軟件安全的措施

服務器安裝企業(yè)版操作系統(tǒng)，其較為成熟與穩(wěn)定，但沒有一個操作系統(tǒng)是完全安全的，系統(tǒng)的安全漏洞會被不定期的發(fā)現(xiàn)。設置系統(tǒng)定時的訪問操作系統(tǒng)補丁服務器，并自動安裝系統(tǒng)補丁，保持操作系統(tǒng)是最新的［6］。同LIMS 系統(tǒng)廠家聯(lián)系溝通，及時更新廠家發(fā)布的補丁，堵上LIMS 系統(tǒng)的漏洞。終端電腦安裝企業(yè)版殺毒軟件，實現(xiàn)管控訪問LIMS 系統(tǒng)的終端電腦，給終端電腦操作系統(tǒng)打補丁，定期更新病毒庫，及時清除電腦上存在的電腦病毒，惡意捆綁軟件和插件等。只有確保U 盤安全的情況下，才能在特定的終端上使用。

2.3 保障網(wǎng)絡安全的措施

LIMS 系統(tǒng)服務器與終端均部署在內(nèi)部局域網(wǎng)，與互聯(lián)網(wǎng)物理隔離，最大程度的避免了來自互聯(lián)網(wǎng)的黑客攻擊，病毒、木馬的威脅。將系統(tǒng)服務器所在網(wǎng)段與訪問終端網(wǎng)段劃分不同VLAN 以隔離開［7］。在服務器網(wǎng)絡節(jié)點前部署物理防火墻，采用透明模式，所有訪問均需通過防火墻。依據(jù)最小化原則配置防火墻訪問控制策略，將共享、遠程桌面等高危端口阻擋在墻之外，只開啟系統(tǒng)訪問所必需的端口，配置只允許內(nèi)部網(wǎng)段訪問。防火墻上開啟Dos/DDos、IPS、防病毒等安全功能，定期檢查日志，查看安全風險［8］。

2019 年網(wǎng)絡上勒索病毒爆發(fā)，該病毒通過遠程加密用戶電腦文件，從而向用戶勒索贖金，用戶文件只能在支付贖金后才能打開。反病毒專家稱，國內(nèi)外尚無法破解該病毒。對此，應采取預防措施在病毒感染電腦之前將其打上補丁，通過反病毒軟件對掃描、風險利用攻擊、病毒、暴力破解等多種非法攻擊手段進行全面防護，阻止病毒進入內(nèi)網(wǎng)。

2.4 保障信息安全的措施

系統(tǒng)登錄密碼采用非對稱加密后傳輸至服務器驗證，設置系統(tǒng)登錄密碼復雜度，只有滿足數(shù)字、小寫字母、大寫字母才能通過系統(tǒng)驗證。

參照人員崗位要求在系統(tǒng)中配置角色、建立用戶，不同的角色與用戶擁有不同的操作數(shù)據(jù)權限，保護系統(tǒng)數(shù)據(jù)安全不被泄露、破壞。

做好數(shù)據(jù)庫備份。數(shù)據(jù)是信息管理系統(tǒng)的核心，其中系統(tǒng)數(shù)據(jù)庫承載了全部的用戶數(shù)據(jù)，保證其安全是重中之重［9］。通過數(shù)據(jù)庫軟件廠商工具，實現(xiàn)延遲秒級的數(shù)據(jù)庫備庫與主庫數(shù)據(jù)一致，做到了數(shù)據(jù)庫實時同步，且在主庫宕機后可以切換備庫為主數(shù)據(jù)庫，繼續(xù)為應用提供服務［10］。制定備份計劃，重要的數(shù)據(jù)庫表工作日每日備份，周末將數(shù)據(jù)庫全庫備份至專業(yè)的存儲設備，并且通過工具驗證備份的可用性，完整性。

2.5 保障安全管理的措施

依據(jù)我國信息與網(wǎng)絡安全方面的法律法規(guī)，結合本單位的實際情況，制定單位的網(wǎng)絡信息安全制度，高屋建瓴，做到統(tǒng)領全局，從制度上保證系統(tǒng)安全。其次，明確信息系統(tǒng)安全責任，落實到崗到人。如網(wǎng)絡信息安全管理部門在單位內(nèi)開展計算機信息安全教育指導工作，實現(xiàn)安全、正確的上網(wǎng)；使用LIMS 系統(tǒng)，不得進行破壞系統(tǒng)數(shù)據(jù)操作、不透露個人賬戶、口令、防止發(fā)生信息泄露風險［11］；宣傳貫徹信息與網(wǎng)絡安全法律法規(guī)知識，提高人員對信息安全意識。制定信息系統(tǒng)安全技術應急預案，在LIMS 系統(tǒng)發(fā)生故障后，及時處置，將系統(tǒng)故障影響降低到最低。

3 結語

由于計算機技術日新月異，所以沒有解決安全問題一勞永逸的措施，只有不斷的學習，提高自身的技術水平，重點培養(yǎng)網(wǎng)絡與信息化方面的人才，借助專業(yè)安全廠商技術力量，定期評估與檢測系統(tǒng)安全風險［12］，才能與時俱進，做好信息化系統(tǒng)安全工作。同時實驗室信息系統(tǒng)安全是一個系統(tǒng)工程，在此過程中，要全面創(chuàng)新傳統(tǒng)管理模式，逐步建立完整的管理框架、補充管理內(nèi)容、完善管理過程，通過大量管理實踐以及應用反饋逐步建立起新型管理模式［11］，形成以管理規(guī)范技術，以技術創(chuàng)新管理，相互促進，才能最大限度上解決信息系統(tǒng)威脅與安全問題。