基于網(wǎng)絡(luò)安全的醫(yī)院信息安全設(shè)計改造與分析

李錚, 魏星, 佟明澤*, 王悅

(1.天津市第四中心醫(yī)院 網(wǎng)絡(luò)信息科, 天津 300140；2.華北理工大學(xué) 信息工程系, 河北 唐山 063210)

0 引言

醫(yī)療信息化的快速發(fā)展，讓醫(yī)院發(fā)生了很多的變化，諸如：(1)在系統(tǒng)的建設(shè)和應(yīng)用方面，從單機(jī)、單用戶應(yīng)用發(fā)展到部門級、全院級管理信息系統(tǒng)應(yīng)用。(2)從以財務(wù)、藥品和管理為中心的發(fā)展，開始集中向以病人信息為中心的臨床業(yè)務(wù)支持和電子病歷應(yīng)用。(3)微信、支付寶等快捷支付方式深入民生行業(yè)，使得醫(yī)療信息化系統(tǒng)從局限在醫(yī)院內(nèi)部的應(yīng)用，逐步走向開放的互聯(lián)網(wǎng)。(4)國家區(qū)域醫(yī)療建設(shè)的規(guī)劃，對區(qū)域醫(yī)療信息化多接口的應(yīng)用，提出了前所未有的高要求。隨著HIS(醫(yī)院信息系統(tǒng))、RIS(放射科管理系統(tǒng)) 、LIS(實驗室信息系統(tǒng))、CIS(企業(yè)形象識別系統(tǒng))等系統(tǒng)的應(yīng)用深入整合，醫(yī)療系統(tǒng)可以獲得更加高效、快捷和便民的信息化服務(wù)，然而，這也給現(xiàn)代化醫(yī)院信息安全帶來了新的挑戰(zhàn)，且信息安全維護(hù)過程中還存在技術(shù)人員不足、管理手段需要強(qiáng)化、安全建設(shè)意識薄弱等問題[1]，如何防止醫(yī)院臨床及藥品信息等核心數(shù)據(jù)的信息泄密，以及如何監(jiān)管和審核針對核心資產(chǎn)的操作等都是值得研究的課題，這些問題實際上與核心數(shù)據(jù)安全建設(shè)思路以及安全管理制度的不足有關(guān)，單純靠底層的網(wǎng)絡(luò)安全產(chǎn)品無法解決上述問題[2-3]。在此基礎(chǔ)上，本文基于網(wǎng)絡(luò)安全的醫(yī)院信息安全設(shè)計需求，從意愿信息系統(tǒng)安全現(xiàn)狀、需求等角度出發(fā)，對醫(yī)院信息安全系統(tǒng)進(jìn)行了設(shè)計與改造，結(jié)果有助于提升醫(yī)院信息安全防護(hù)能力，更方便、快捷和安全的為廣大醫(yī)務(wù)工作者以及病患服務(wù)。

1 醫(yī)院信息系統(tǒng)安全現(xiàn)狀

在國內(nèi)的大多數(shù)醫(yī)院中，各種不同的角色都會用到信息系統(tǒng)，其參與的業(yè)務(wù)、操作地點、操作時間、信息資產(chǎn)和業(yè)務(wù)數(shù)據(jù)等都不相同，具體用戶概況,如表1所示。

表1 醫(yī)院信息系統(tǒng)的用戶概況

其中，角色主要包括病人、門診醫(yī)師和信息管理員。

由于醫(yī)院信息系統(tǒng)中的角色多樣化、業(yè)務(wù)繁雜等特點，在使用過程中不可避免的受到內(nèi)部或者外部威脅[4]。(1)內(nèi)部威脅，主要包括醫(yī)務(wù)工作者或者管理人員將個人電腦接入醫(yī)院網(wǎng)絡(luò)系統(tǒng)中，有可能造成系統(tǒng)感染病毒而影響整個醫(yī)院的網(wǎng)絡(luò)癱瘓和無法正常使用等情況；在使用Internet和可訪問的業(yè)務(wù)網(wǎng)絡(luò)時，有可能將病毒引入；內(nèi)部人員之間的互訪造成數(shù)據(jù)流失或者存在潛在的篡改就診病人的數(shù)據(jù)信息等隱患。(2)外部威脅，外部人員勾結(jié)內(nèi)部人員進(jìn)入醫(yī)院系統(tǒng)，或者外部人員通過非授權(quán)手段網(wǎng)絡(luò)入侵而強(qiáng)行接入醫(yī)院業(yè)務(wù)，造成醫(yī)保、社保等信息曝光，病人隱私等也無法得到保障，會給整個醫(yī)院的正常運(yùn)行造成嚴(yán)重傷害。

2 醫(yī)院信息系統(tǒng)安全需求

雖然目前各個醫(yī)院都建立了自身的安全防護(hù)系統(tǒng)，如在電腦上置入殺毒軟件、IP(互聯(lián)網(wǎng)協(xié)議地址)和MAC地址(媒體訪問控制地址)綁定等操作，但是大部分都僅限于主機(jī)安裝，而無法做到整個醫(yī)院系統(tǒng)的全覆蓋，且由于很多殺毒軟件需要定期更新和安裝補(bǔ)丁等，各科室的工作人員無法做到及時有效地更新而影響正常殺毒效果，無法做到從根本上解決安全威脅。此外，由于在進(jìn)行IP地址和MAC地址的綁定操作過程中，存在工作量大、操作不方便等問題，最終造成安全防護(hù)失效；部分醫(yī)院安裝的IDS(入侵檢測系統(tǒng))入侵檢測系統(tǒng)在使用過程中還存在檢測作用缺失、內(nèi)部網(wǎng)絡(luò)部署不及時等問題[5]，在數(shù)據(jù)庫審計上也無法做到定位到人，在追究責(zé)任時，由于許多主機(jī)為公共設(shè)備，只可以查到IP地址而無法追蹤到具體的負(fù)責(zé)人，致使整體的安全防御措施和防御效果較差。

為了提升醫(yī)院信息安全防護(hù)能力，切實做好病人、醫(yī)務(wù)工作者和管理人員等的信息安全，做到數(shù)據(jù)保密性、可用性和安全性，主要的安全需求在于：(1)身份認(rèn)證和訪問控制；(2)信息資產(chǎn)安全；(3)網(wǎng)絡(luò)通信安全[6]。

3 醫(yī)院信息系統(tǒng)安全設(shè)計

在了解到醫(yī)院信息安全系統(tǒng)的需求基礎(chǔ)上，有針對性地對信息安全系統(tǒng)進(jìn)行了設(shè)計與改造。綜合考慮醫(yī)院系統(tǒng)安全現(xiàn)狀和需求后，主要從6個方面進(jìn)行安全設(shè)計與改造。

(1) 物理安全策略，對現(xiàn)存的醫(yī)院信息系統(tǒng)中的硬件設(shè)施進(jìn)行安全設(shè)計，包括作為醫(yī)院信息處理中心的中心機(jī)房安全維護(hù)(控制溫度和濕度的同時，需要同時控制好人員流動，對中心機(jī)房進(jìn)行抗磁、防雷等設(shè)置)、作為醫(yī)院信息系統(tǒng)核心的服務(wù)器(設(shè)計成雙服務(wù)器，主服務(wù)器和從服務(wù)器協(xié)同工作，同時配置穩(wěn)定性高的UPS電源等)、作為醫(yī)生和護(hù)士使用的PC設(shè)備組成的工作站(對工作站做好溫度、濕度控制，規(guī)范光盤使用，對于使用軟件客戶端的用戶進(jìn)行行為與設(shè)備監(jiān)控)、所有接入醫(yī)院信息系統(tǒng)的硬件接口(路由器、交換機(jī)和集線器等)[7]。

(2) 身份認(rèn)證，對于醫(yī)院信息系統(tǒng)進(jìn)行升級和改造過程中，需要在原有“用戶名+口令”身份認(rèn)證的基礎(chǔ)上將工作站IP地址、MAC地址等與用戶進(jìn)行綁定，避免由于移動介質(zhì)等普及造成的信息泄露和病毒感染造成系統(tǒng)癱瘓等問題，信息系統(tǒng)管理員通過整體配置實現(xiàn)身份認(rèn)證與IP地址等綁定，可以最大限度保障安全性，在確定使用者的合規(guī)和安全性后，才允許進(jìn)行下一步的操作。

(3) 訪問控制，傳統(tǒng)的訪問模式是角色訪問+靜態(tài)授權(quán)模式，而隨著醫(yī)院信息系統(tǒng)數(shù)據(jù)繁雜程度等提升，會出現(xiàn)無意或者有意的越權(quán)使用等行為，如果不能對這些行為進(jìn)行控制和規(guī)范，如使用者在醫(yī)院外部使用信息系統(tǒng)或者管理者無法對訪問權(quán)限進(jìn)行控制，這些都會一定程度上影響整體信息系統(tǒng)的安全性。在此基礎(chǔ)上，本文設(shè)計了一種角色訪問控制模式(TLRBAC模型)，即在時間和空間環(huán)境共同制約的前提下運(yùn)行訪問控制，克服了傳統(tǒng)角色訪問控制的弊端，更加有利于醫(yī)院信息系統(tǒng)的安全穩(wěn)定運(yùn)行。TLRBAC模型的訪問控制原理示意圖，如圖1所示。

圖1 TLRBAC模型的訪問控制原理示意圖

由圖1可見，對主體的直接權(quán)限指派主要包括主體集、角色集、功能集、會話集和權(quán)限集，各個不同的角色之間相互銜接，在這個過程中同時受到TL環(huán)境因素約束集的限制，該模型的建立可以實現(xiàn)主體用戶和醫(yī)院信息系統(tǒng)功能之間的聯(lián)系[8]，在方便訪問和操作的同時提升信息系統(tǒng)安全性。

(4) 授權(quán)策略，由于醫(yī)院信息系統(tǒng)中的子應(yīng)用系統(tǒng)較多，同時受到不同功能模塊的影響，在授權(quán)方面變得異常復(fù)雜，因此，新型基于網(wǎng)絡(luò)安全的醫(yī)院信息安全設(shè)計的授權(quán)主要考慮從分布式和層次化授權(quán)角度進(jìn)行。在分布式授權(quán)方面，在職能部門中按照訪問控制權(quán)限分別授權(quán)，模式從傳統(tǒng)管理員統(tǒng)一分配模式演變?yōu)槎嗖块T內(nèi)部靈活分配授權(quán)，這樣可以保證在子系統(tǒng)用戶主體發(fā)生變動時有相應(yīng)的分布式授權(quán)單位進(jìn)行操作，提升了授權(quán)的靈活性與實效性[9]。在層次化授權(quán)方面，將傳統(tǒng)一次性授權(quán)變更為分層授權(quán)模式，分布式環(huán)境下不同主體用戶進(jìn)行角色層級劃分，然后按照角色類型進(jìn)行逐級授權(quán)，可以有效避免由于一次性授權(quán)繁重的工作和可能出現(xiàn)的錯誤進(jìn)行糾正，適應(yīng)于現(xiàn)代化醫(yī)院信息安全系統(tǒng)的使用[10]。

(5) 終端主機(jī)安全防護(hù)，這部分的防護(hù)工作主要針對醫(yī)院信息系統(tǒng)中涵蓋醫(yī)護(hù)工作站的PC設(shè)備，由于這些設(shè)備在使用過程中會接入醫(yī)院內(nèi)網(wǎng)，在使用過程中會由于種類和數(shù)量較多而影響醫(yī)院業(yè)務(wù)效率，安全風(fēng)險較大；此外，由于使用者的網(wǎng)絡(luò)技能水平各不相同，需要對相關(guān)使用人員進(jìn)行信息安全培訓(xùn)，營造良好的安全可靠的信息系統(tǒng)安全使用環(huán)境。對于終端主機(jī)，還需要安裝網(wǎng)管軟件和安全防護(hù)軟件、定期進(jìn)行軟件升級和設(shè)置惡意代碼防范、安裝漏洞掃描系統(tǒng)等。如果發(fā)現(xiàn)在使用過程中存在主機(jī)信息安全系統(tǒng)違規(guī)行為，可以按照終端主機(jī)違規(guī)處理流程進(jìn)行處理,如圖2所示。

圖2 終端主機(jī)違規(guī)處理流程

主要包括警告、自動修復(fù)和連入網(wǎng)絡(luò)，每一步都對應(yīng)相應(yīng)的操作策略，如警告部分需要通知用戶采取相應(yīng)措施等[11]。

(6) 網(wǎng)絡(luò)通信防護(hù)，醫(yī)院信息系統(tǒng)中的財務(wù)數(shù)據(jù)、醫(yī)務(wù)人員的就診記錄和病人的個人數(shù)據(jù)等都是信息化建設(shè)中的關(guān)鍵數(shù)據(jù)，為了防范數(shù)據(jù)流失、數(shù)據(jù)篡改等行為，在傳統(tǒng)基于系統(tǒng)漏洞、木馬危害等設(shè)計的防護(hù)軟件的基礎(chǔ)上，進(jìn)一步制定了身份認(rèn)證和訪問控制，并加強(qiáng)了對實時監(jiān)控網(wǎng)絡(luò)流量、偵測和隔離的能力，包括安裝入侵檢測系統(tǒng)和安全策略服務(wù)器等[12]。入侵檢測系統(tǒng)和安全策略服務(wù)器聯(lián)動,如圖3所示。

圖3 入侵檢測系統(tǒng)和安全策略服務(wù)器聯(lián)動示意圖

攻擊者發(fā)起攻擊后轉(zhuǎn)入IDS中，經(jīng)過檢測并通報安全試件，安全管理平臺定位到攻擊者并進(jìn)行處理，然后下發(fā)身份認(rèn)證和安全事件解決策略，并進(jìn)一步安全接入交換機(jī)對用戶進(jìn)行訪問控制策略和執(zhí)行安全策略，在下發(fā)身份認(rèn)證和安全時間解決策略后可以對非法行為進(jìn)行隔離、控制和刪除，從而保障信息系統(tǒng)檢測安全后重新正常使用。

4 總結(jié)

由于醫(yī)院信息系統(tǒng)中的角色多樣化、業(yè)務(wù)繁雜等特點，在使用過程中不可避免的受到內(nèi)部或者外部威脅。雖然目前各個醫(yī)院都建立了自身的安全防護(hù)系統(tǒng)，如在電腦上置入殺毒軟件、IP和MAC地址綁定等操作，但是大部分都僅限于主機(jī)安裝，而無法做到整個醫(yī)院系統(tǒng)的全覆蓋，且由于很多殺毒軟件需要定期更新和安裝補(bǔ)丁等，各科室的工作人員無法做到及時有效地更新而影響正常殺毒效果，無法做到從根本上解決安全威脅。在了解到醫(yī)院信息安全系統(tǒng)的需求基礎(chǔ)上，有針對性地對信息安全系統(tǒng)進(jìn)行了設(shè)計與改造。主要從物理安全策略、身份認(rèn)證、訪問控制、授權(quán)、終端主機(jī)安全防護(hù)和網(wǎng)絡(luò)通信防護(hù)6個方面進(jìn)行安全設(shè)計與改造，新型基于網(wǎng)絡(luò)安全的醫(yī)院信息安全防護(hù)系統(tǒng)可以更加方便、快捷的使用且安全防護(hù)能力明顯提高。