浅谈医院信息化建设中的安全性问题-高峰

浅谈医院信息化建设中的安全性问题高峰【摘要】近年来，随着医院信息化的迅猛发展，医院信息系统覆盖面越来越广，应用也越来越深入，当前医院信息化建设面临的一个突出现象是：应用系统越来越多，数据量越来越大，整个医院的运营对信息系统的依赖越来越深；而与此同时，信息管理的复杂性越来越高。鉴于信息系统对医疗业务持续运行的重要性，建设安全、稳定、可靠的信息系统将是医院信息化建设的重要目标。在本文中笔者结合本院实际建设情况，从信息系统的基础设施的安全性、数据安全性、应用安全性三个方面，阐述安全性问题对建设稳定、可靠信息系统的重要意义。【关键字】单点故障、容灾、审计医院信息管理系统为医院的正常运营和科学化、精细化管理提供技术保障，在提高工作效率、获取和保存医疗信息、改进医疗服务质量诸方面起到了非常重要的作用。医院信息系统安全防护措施的制定和实施是保证医院信息系统的稳定性、可靠性、安全性、可用性的利器。然而，信息安全依然是医院信息化建设的短板，严重影响和制约了医院信息化进程。在医院日常医疗服务业务对信息系统的依赖性越来越强的背景下，一旦系统宕机将严重影响医院日常的医疗服务，引发医患矛盾。稳定、可靠的信息系统依赖于安全、可靠的底层基础设施，包括网络、主机、操作系统等；同时，目前的医院信息系统都基于数据大集中的应用系统，数据库安全、数据安全是信息系统稳定、可靠运行的核心；另外，在应用系统使用过程中，如何确保应用过程的安全，也是系统稳定、可靠的重要保障。一、基础设施安全在不安全、不稳定的基础设施上建设出稳定、可靠的信息系统是绝对不可能的事情。基础设施包括了网络设备、服务器、操作系统等。我院在网络改造项目中通过以下技术手段加强了基础设施安全，提高运行的稳定性。1、网络安全核心交换机采用网络核心虚拟化的形式，将两台核心交换机虚拟成一台，在前端看到的是一台虚拟的核心交换机。但在实际运行中，两台核心在做负载均衡的工作；当一台交换机故障时，另一台可以继续正常运行。核心交换机到接入交换机之间的关键线路采用线路冗余备份的方案，当一条网络线路出现故障时能够自动切换到另一条备份路径传输数据。形成“双机双链路”的基础网络架构。随着网上预约、数据上报等网上医疗应用的蓬勃发展，医院信息系统内部网络想与外部网络完全隔绝几乎是不可能的了。在这种开放的网络环境下，我院采取以下措施来加强网络安全，维护内部应用系统的稳定性运行：（1）在网络边界处，设置防火墙，划分为不同的安全区域，外部访问内部应用的服务需要通过WEBService之类的代理完成，并配置防火墙策略，采用点对点结合L4Port规则加强安全。（2）在安全级别不同的两个网络之间，如信任网络和非信任网络，部署安全隔离网闸进行内外网数据交互，安全隔离网闸可以在保证安全的前提下，使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据。（3）部署能及时发现威胁，又能实时阻止威胁的入侵防御系统。（4）部署防病毒网关，检测进出网络内部的数据，以保护进出数据的安全。2、主机安全服务器等主机设备是医院信息系统最核心的设备，主机安全直接影响信息系统的稳定运行。我院利用数据中心建设项目，对中心机房核心设备进行了整改，采用如下技术手段加强主机安全。（1）双机群集核心数据库服务器采用双机群集配置，消除服务器单点故障。Oracle、DB2数据库可以采用RAC或pureScale技术实现Active-Active（双活）群集，我院使用的是SQLServer数据库，因此采取Active-Standby（主备）群集；（2）负载均衡与虚拟化三层结构中的应用服务器，可以使用诸如F5之类的负载均衡设备，消除单点故障；也可以将应用服务器进行虚拟化，选择Vmware、Hyper-V之类的虚拟化解决方案，在消除物理应用服务器的单点故障的同时，可以更好的实现灵活性。我院采取了Vmware的虚拟化解决方案。（3）日志记录与审计主机的安全事件、系统日志需要进行全面的安全审计，及时了解系统运行情况，针对异常事件可以及时进行处理。我院采用了思福迪LogBase等设备进行全面的日志记录与审计，该设备可以实现对信息系统中各类主机、数据库、应用和设备的安全事件、用户行为、系统状态的实时采集、实时分析、异常报警、集中存储和事后分析，支持分布式、跨平台的统一智能化日志管理及审计设备，可以对各类网络设备、安全设备、操作系统、WEB服务、中间件、数据库和其它应用进行全面的安全审计。二、数据安全数据是医院多年积累下来的保贵财富，是医院信息化潮流真正的主题，医院已经把关键数据视为正常运营的基础，一旦遭遇数据损坏，那么整体工作会陷入瘫痪，带来难以估量的损失。因此确保数据安全是医院信息系统安全、可靠运行的基石。数据安全就是要维护医院数据的：机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。数据安全有两方面的含义：一是数据本身的安全，主要是指采用现代密码算法对数据进行主动保护，如数据保密、数据完整性、双向强身份认证等，二是数据防护的安全，主要是采用现代信息存储手段对数据进行主动防护，如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全等。如何有效的防止数据在录入、处理、统计或打印中由于硬件故障、断电、死机、人为的误操作、程序缺陷、病毒或黑客等造成的数据库损坏或数据丢失现象；如何防范某些敏感或保密的数据被不具备资格的人员或操作员阅读，而造成数据泄密等后果，是数据安全防护的重要方面。1、数据存储安全防护技术随着医院产生的数据越来越多，医院一般都会采用多种安全防护措施来确保数据的安全，下面简单介绍几种常用和流行的数据安全防护技术：（1）磁盘阵列磁盘阵列是数据安全防护的基本手段，作为数据库服务器，为更好地平衡安全、性能、成本，保存事务日志的磁盘一般采用Raid10配置，保存核心数据的磁盘采用Raid5或Raid6配置,同时配置一个全局热备用（Hot-Spare）硬盘，以防短时间内磁盘柜中的硬盘连续损坏。（2）数据备份为确保数据安全，医院信息系统数据库应工作在归档模式（Oracle）或完全日志模式（SQLServer）,采用数据库完全备份、差异备份、事务日志备份相结合的方式进行数据库备份。（3）双活存储容灾不论采用数据库群集，还是Vmware、Hyper-V之类软件创建的虚拟化群集，都是基于共享存储的工作模式，群集虽然消除了服务器单点故障，但共享存储仍是一个潜在的单点故障。为此，需要对群集中的共享存储进行容灾配置，以消除共享存储的单点故障。共享存储的容灾的方式很多，这里着重介绍基于存储虚拟化技术的容灾，其代表产品有EMCVplex、IBMSVC等。相比其它存储容灾技术，不但数据丢失容忍量（RPO）为零（即不允许数据丢失），且业务系统恢复时间（RTO）接近于零；通过虚拟化存储设备的数据镜像功能，可以实现了数据异地实时同步，保证了在同一时间点、不同物理地点有双份业务数据分开存储；同时系统可以连接异构存储，有利于利旧；并且两套存储都工作在Active-Active（双活）模式，提高了设备利用率；还有就是进行容灾演练时不需要停机或停机时间很短，提高了系统的可用性；以虚拟化为基础，为过渡到云平台打下了坚实的基础。（4）数据加密对数据库中数据加密可以对数据库存储的内容实施有效保护。通过数据库存储加密等安全方法实现了数据库数据存储保密和完整性要求，使得数据以密文方式存储并在密态方式下工作，确保了数据安全，如医院信息系统中的密码字段、重要患者的敏感信息，均需要考虑加密存储。2、数据访问安全防护技术（1）数据访问权限控制数据库权限一旦失控，将会造成严重的后果。黑客可能通过客户端，直接进入数据库篡改数据。因此必须严格控制数据库权限，用户数据库的登录密码应该定期进行更换，密码应符合复杂性要求（如长度在8位以上，包含数字与特殊字符等）。数据访问应遵循最小权限原则，只赋予每一个合法操作主体最小的权限，保护数据以及功能避免受到错误或者恶意行为的破坏。（2）数据审计数据审计可以及时发现非法的数据库访问，并发送警告。除之前提到的思福迪数据库审计设备外，现在业内广泛使用的横渡防统方系统，本质上也是数据库审计的一种应用模式。三、应用安全基础设施、数据安全做得再好，如果应用跟不上，漏洞百出、不具备足够的安全性，整个医院信息系统的安全性、可靠性、稳定性同样无从保证。1、系统登录限制如访问IP段的限制，登录时间段的限制，连接数的限制，特定时间段内登录次数的限制等，它们就如同应用系统第一道防护大门。2、程序资源访问控制对程序资源的访问进行安全控制，在客户端上，为用户提供和其权限相关的用户界面，仅出现和其权限相符的菜单、操作按钮等。3、功能性安全功能性安全会对程序流程产生影响，如用户在操作业务记录时，是否需要审核，上传附件不能超过指定大小等。这些安全限制已经不是入口级的限制，而是程序流程内的限制，在一定程度上影响程序流程的运行。4、数据域安全数据域安全包括两个层次，其一是行级数据域安全，即用户可以访问哪些业务记录；其二是字段级数据域安全，即用户可以访问业务记录的哪些字段；5、数字证书医生的登录名、密码及个人电子签名等信息可以保存在类似于U盘的加密存储设备中，用户在登录系统时，将该类设备连接在计算机中。由程序读取加密存储的用户登录信息进行登录。程序在运行时，该设备也需要一直连接在计算机中。如果该设备从计算机中拿下，程序将进入锁定状态或者退出。6、虚拟化应用安全随着信息化的高速发展和社会生活节奏的加快，移动办公、远程访问应用成为提高工作效率的不二选择，但随之而来的数据保密等安全性问题需要慎重考虑。远程虚拟化应用应该做到：（1）无真实数据传输：公网上进行传输时，采用专有虚拟通信协议，服务器与客户端之间传输的只是客户端的键盘、鼠标动作以及显示屏幕变化的刷新部分信息，不是真正意义上的应用交互所产生的数据包。也就是说公网上传输的不是用户实际数据，从根本上保证数据安全。（2）用户数据安全：客户端不保存数据，保证移动设备丢失情况下数据不外泄。（3）设备准入控制：可根据用户名、客户端的唯一标识（如MAC地址、设备ID）对设备的接入进行管理，大大降低非法访问产生的风险。7、患者隐私保密首先，我们应对患者信息的查阅进行分级权限进行。应根据医院内固定的工作流程和要求，对有必要接触病人信息的人员设定工作权限，同时对患者的信息依据敏感程度进行分级，如患者的家庭地址、联系电话等基本信息，应与其诊疗信息分离。基本信息应严格控制查阅权限，减少患者信息的泄漏。要加大对信息技术应用的管理，如限制批量打印，禁止拷贝患者基本信息等。对院内需要公开的患者信息，也应采取适当的措施进行脱敏，重要数据资料要遵守国家有关保密制度的规定，从数据输入、处理、存储、输出严格审查和管理，不允许通过医院信息系统非法扩散。综上所述，通过以上安全技术措施的实施，整体提高了网络、业务数据、应用系统的安全性，减少了系统的单点故障，显著提高了业务系统运行的稳定性，确保了系统的持续、稳定运行，为医院业务顺利开展提供了有力的技术保障。由此可见，信息安全对建设稳定、可靠的信息系统的重要意义。作者单位：中山大学光华口腔医学院·附属口腔医院科室（部门）：信息科联系方式：13060602552@163.com