療養(yǎng)院信息管理系統(tǒng)的安全管理

張瑢，王方聚，魏永堂

療養(yǎng)院信息管理系統(tǒng)的安全管理

張瑢，王方聚，魏永堂

物理安全；軟件安全；療養(yǎng)院信息管理系統(tǒng)（SIS）

隨著當今各行各業(yè)信息化的程度的日益提高，療養(yǎng)院也毫不例外。療養(yǎng)院應(yīng)用療養(yǎng)院信息管理系統(tǒng)（下面簡稱SIS系統(tǒng)）可以對院內(nèi)各部門的人流、物流、財流進行綜合管理，對在醫(yī)療活動各階段中產(chǎn)生的數(shù)據(jù)進行采集、存儲、處理、提取、傳輸、匯總加工生成各種信息，從而為療養(yǎng)院的整體運行提供全面的自動化管理及各種服務(wù)的信息系統(tǒng)。它是一個綜合性系統(tǒng)，涵蓋了計算機技術(shù)、通信技術(shù)和管理技術(shù)等眾多學(xué)科。面對這樣一個復(fù)雜系統(tǒng)，如何保證它的安全運行，成為當前療養(yǎng)院管理者面臨的一個現(xiàn)實問題?？蓺w納為其安全管理兩大方面。

1 SIS系統(tǒng)的物理安全及管理

物理安全是指SIS網(wǎng)絡(luò)系統(tǒng)中對各通信、計算機設(shè)備及相關(guān)設(shè)施的物理保護，免于人為或自然的破壞、丟失等[1，2]。

1.1 服務(wù)器的安全這就要求選擇好中心機房的地點，按照標準安裝防靜電地板，所有的插座的地線要嚴格接地，配備可連續(xù)工作8 h以上的不間斷電源（UPS），服務(wù)器要單獨放置，無特殊情況不要接觸服務(wù)器，注意防盜、防火、防潮、防塵、夏日防雷擊和防高溫。

1.2 網(wǎng)絡(luò)通信設(shè)備的安全交換機的安全尤為重要，最好將交換機和服務(wù)器一起放在專門機柜內(nèi)，這種機柜本身帶有多個散熱風(fēng)扇，并且可以上鎖，前面板是透明玻璃，可以在外面清楚的看到各個指示燈工作情況。集線器由于一般都是在機房外的環(huán)境工作，沒有特別的房間放置，所以最好將其放入專用的柜子內(nèi)防塵和防止其他部門的人員誤碰墥損壞。此外光纖和網(wǎng)線的物理安全也很重要，對于關(guān)鍵的部分，最好在布線時多放一根做冗余，無論是在地下還是在建筑物內(nèi)走線，都要外加套管，以減慢線材的老化和防止鼠咬。

1.3 工作站的安全工作站由于工作在各個科室和病區(qū)，所以環(huán)境相差很大。在選定工作站的物理位置時，要最大程度上給予計算機一個相對適宜的工作環(huán)境，如散熱、防潮、防塵等。在制度上加強對使用者和其它工作人員的管理，嚴格要求按照規(guī)定使用。嚴格規(guī)范軟盤和光驅(qū)的使用，嚴禁短時間內(nèi)頻繁開關(guān)機，在機器的外殼和USB接口處貼上帶記號的不干膠封條，防止私自拆卸主機外殼和外接USB活動硬盤等危險行為。

1.4 可能接入SIS系統(tǒng)的硬件接口的安全加強對每個可能接入SIS系統(tǒng)的硬件接口的管理，除了采取交換機和HUB都放入柜中加鎖以外，更要在制度上嚴格管理，嚴禁外來筆記本、移動PC、無線網(wǎng)卡等設(shè)備的接入，這是對SIS系統(tǒng)致命的威脅因素，發(fā)現(xiàn)后要嚴肅處理同時給予經(jīng)濟處罰。

2 SIS系統(tǒng)的軟件安全及管理

SIS系統(tǒng)軟件安全涉及操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)庫、應(yīng)用程序等諸多方面。根據(jù)破壞的性質(zhì)，可以分為非致命性和致命性兩大類[2，3]。

2.1 非致命性的不安全因素

2.1.1 擅自更改工作站操作系統(tǒng)的關(guān)鍵文件常見的有操作人員由于好奇心理，更改操作系統(tǒng)的關(guān)鍵文件，致使操作系統(tǒng)進入不了Windows操作系統(tǒng)，機器癱瘓了。

2.1.2 更改工作站的原有配置SIS系統(tǒng)中各個站點的配置文件被非法更改，出現(xiàn)了這種問題將導(dǎo)致機器可以進入Windows，但是進入不了SIS系統(tǒng)。

2.1.3 非法刪除SIS應(yīng)用程序或快捷方式用戶的反映和前面一樣，能進入操作系統(tǒng)，但是進入不了SIS系統(tǒng)。

2.1.4 修改網(wǎng)絡(luò)協(xié)議的類型例如在SIS系統(tǒng)中工作站和服務(wù)器間使用的是TCP/IP協(xié)議，若非法將其改為NetBEUI協(xié)議，則無法進入SIS系統(tǒng)所在的局域網(wǎng)，用戶反映連接不上服務(wù)器。

2.1.5 修改數(shù)據(jù)庫客戶端和服務(wù)器端的連接方式用戶非法進入數(shù)據(jù)庫客戶端和服務(wù)器連接方式的設(shè)置程序，更改原先的連接方式，結(jié)果是可以接入局域網(wǎng)，也可以運行SIS應(yīng)用程序，但是連接不上數(shù)據(jù)庫，或者看到不正確的結(jié)果。

以上提及的幾個方面的安全問題都可以通過在每個工作站加裝限制軟件，限制用戶只能運行指定的SIS系統(tǒng)的應(yīng)用程序?；蛘咴诠ぷ髡镜谋镜嘏渲蒙?，做一個SIS系統(tǒng)的應(yīng)用程序的快捷方式，將其加入啟動文件夾，以減少進入SIS系統(tǒng)的人工操作步驟，保障系統(tǒng)的安全運行。在采取技術(shù)措施外，還要嚴格管理制度，防止有人利用控制軟件的漏洞非法進入工作站系統(tǒng)的內(nèi)部，引起上述安全問題。

2.2 致命性的不安全因素

2.2.1 服務(wù)器停機由于服務(wù)器是一個復(fù)雜的系統(tǒng)，而且每天24 h都在不停運行。從概率的基本原理我們知道：盡管每天服務(wù)器出現(xiàn)故障不能正常工作是一個小概率事件，但是一直不停地重復(fù)這個事件的話，只要次數(shù)足夠多，就總會變成必然事件。這樣在理論上服務(wù)器在未來的某個時刻停機的可能性就非常大。所以為了保證服務(wù)器端的可靠運行，就必須采取冗余備份措施，例如用兩臺服務(wù)器加一磁盤陣列柜做RAID5組成雙機熱備系統(tǒng)，兩臺服務(wù)器一臺為主服務(wù)器，另一臺為備份用，兩者通過跳線聯(lián)接，只要備份服務(wù)器超過規(guī)定時間間隔收不到從主服務(wù)器傳來的信號，就會隨時接管其所有的服務(wù)功能，而對客戶端來說，因為這個過程非常短，一般根本就感覺不到此現(xiàn)象。

2.2.2 針對Win2000或WinXP下的病毒由于工作站的機器一般都是運行Win2000或WinXP操作系統(tǒng)，故此類病毒對服務(wù)器端無影響，工作站中毒后常見的現(xiàn)象是運行速度變慢，頻繁出現(xiàn)非法操作、死機或藍屏，若所有工作站都累及，系統(tǒng)即癱瘓。解決的方法首先要嚴格管理制度，嚴堵病毒可能侵入的缺口，同時在機房內(nèi)選一臺管理用機器安裝具備網(wǎng)絡(luò)殺毒功能的防病毒軟件，如瑞星、江民等，在每天系統(tǒng)空閑時定時殺毒。

2.2.3 針對NT的病毒致使服務(wù)器速度變慢，出現(xiàn)一些莫名其妙的問題，如系統(tǒng)時間被病毒惡意修改，造成SIS系統(tǒng)工作混亂；破壞程度高的病毒甚至刪除服務(wù)器NT操作系統(tǒng)的系統(tǒng)文件，或者不停的使NT執(zhí)行與SIS系統(tǒng)無關(guān)的服務(wù)，使系統(tǒng)資源耗盡，導(dǎo)致服務(wù)器最后停機。解決的方法與查殺針對Win2000或WinXP工作站下的病毒相同，在機房內(nèi)安裝有殺毒軟件的機器上將服務(wù)器的磁盤映射成本地磁盤查殺。

2.2.4 超級用戶密碼的安全超級用戶（Administrator）的密碼，屬于SIS系統(tǒng)中的核心機密。有了該密碼，只要以Administrator的用戶名在SIS系統(tǒng)的任何一臺機器上登陸，就可以直接對服務(wù)器上的文件執(zhí)行更改、刪除操作，所以要嚴格保護該密碼，并且密碼位數(shù)要足夠長，定期更換，使黑客軟件破解的難度加大，此外，從安全起見，要嚴禁非系統(tǒng)管理人員接近服務(wù)器，以防止密碼的泄露。

2.2.5 數(shù)據(jù)庫的安全由于數(shù)據(jù)庫中的數(shù)據(jù)，直接對應(yīng)到每一筆現(xiàn)實中的現(xiàn)金交易行為，所以總有一些人出于獵奇或不可告人的目的試圖刪除或篡改記錄。這種不安全因素既有來自SIS內(nèi)部的，也有外部的，但以前者居多。所以要建立每人用自已的用戶名和密碼，操作結(jié)束后及時退出的制度，每人妥善保管自己的用戶名和密碼等帳號信息，責(zé)任到人。每天在夜間系統(tǒng)空閑時定時備份，除了備份在服務(wù)器的另一個磁盤分區(qū)以外，起碼還要同時在非服務(wù)器所在建筑物的異地機器上做同樣的備份。

2.2.6 私自安裝其他軟件如游戲軟件，往往成為病毒入侵的著陸點。若安裝黑客軟件，開放服務(wù)器不該開放的端口，更會給系統(tǒng)留下安全隱患。

2.2.7 通過醫(yī)保接口等的外部安全隱患早期的SIS系統(tǒng)是一個封閉的局域網(wǎng)，不存在外界攻擊的現(xiàn)象。但是隨著網(wǎng)絡(luò)的發(fā)展，SIS系統(tǒng)必須和醫(yī)療保險部門的服務(wù)器連通。一般療養(yǎng)院和醫(yī)保部門都是通過點對點通信，因此要對與醫(yī)保相連的接口進行數(shù)據(jù)過濾和病毒監(jiān)控，因為從這個接口進入的黑客攻擊和病毒足以令系統(tǒng)癱瘓。解決的首要措施是將SIS系統(tǒng)加裝防火墻，同時對與醫(yī)保部門相連的機器進行實時病毒監(jiān)控。防火墻具有對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描的功能，這樣能夠過濾掉一些黑客攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以禁止特定端口流出通信，封鎖特洛伊木馬，防止來自不明入侵者的所有通信。

2.2.8 通過遠程醫(yī)療咨詢系統(tǒng)接口的遠程攻擊遠程醫(yī)學(xué)在近幾年內(nèi)飛速發(fā)展，在未來的幾年內(nèi)，SIS系統(tǒng)也會增加遠程醫(yī)療的接口。最初的遠程醫(yī)療是通過點對點連接來傳送數(shù)據(jù)的，但是隨著業(yè)務(wù)的發(fā)展，系統(tǒng)的信息量也越來越大，遠程醫(yī)療咨詢的內(nèi)容從開始的文本、心電圖形一直到現(xiàn)在的CT、MRI圖像和超聲心動圖等實時視頻，故現(xiàn)今的遠程醫(yī)療咨詢系統(tǒng)接口都是通過Internet與對方相連，這樣一來從系統(tǒng)安全的角度來看，整個SIS系統(tǒng)就暴露在Internet中，自然就少不了病毒木馬和黑客對網(wǎng)絡(luò)的滲透。面對這些咄咄逼人的潛在威脅，一定要在本地的SIS系統(tǒng)和Internet相連的部分加裝防火墻，關(guān)閉服務(wù)器中所有不必要開放的端口。此外Internet內(nèi)大量的黑客隨時都可能嘗試或截獲合法用戶的口令并冒名頂替，企圖以合法的用戶身份進入局域網(wǎng)，故必須進行用戶的身份確認。在用戶身份認證中要運用加密技術(shù)來保證合法用戶口令的安全，常見的加密方式有對稱密鑰加密和公用密鑰加密兩種。

總之，療養(yǎng)院信息管理系統(tǒng)是一個新生事物，如何更好更安全利用它，是每一個療養(yǎng)院管理者都要面臨的新課題。衛(wèi)生部2002年新版《醫(yī)院信息系統(tǒng)基本功能規(guī)范》的出臺，為SIS系統(tǒng)的規(guī)范化管理提供了統(tǒng)一的制度標準。療養(yǎng)院信息管理系統(tǒng)的安全與否，關(guān)鍵在于療養(yǎng)管理者制定嚴格科學(xué)的使用制度，在使用中發(fā)現(xiàn)漏洞且要及時處理。同時也需要院方與SIS的開發(fā)商加強交流，共同探討出現(xiàn)的問題，一方面可以參考開發(fā)商的合理化建議，另一方面可以將軟件本身的問題反饋給開發(fā)商，削除SIS系統(tǒng)本身軟件中的BUG。筆者相信，隨著信息安全技術(shù)的不斷提高，SIS系統(tǒng)必將成為現(xiàn)代化療養(yǎng)院不可缺少的重要基礎(chǔ)設(shè)施與支撐環(huán)境，為療養(yǎng)院信息化建設(shè)發(fā)揮越來越重要的作用。

[1]中華人民共和國衛(wèi)生部.醫(yī)院信息系統(tǒng)基本功能規(guī)范[S].2001-04-27.

[2]李小華.醫(yī)院信息系統(tǒng)安全措施的實施與體會[J].實用醫(yī)學(xué)雜志，2002，7（8）:790.

[3]龔尚福.Internet安全與防火墻技術(shù)[J].現(xiàn)代電子技術(shù)，2001，12（1）:38.

[2011-08-25收稿，2011-09-20修回]

TP393.07

B

264001山東煙臺，濟南軍區(qū)煙臺療養(yǎng)院信息科（張瑢，王方聚，魏永堂）

[本文編輯：羨秋盛]