胡曉捷

摘要：本文分析了醫(yī)院信息系統(tǒng)(HIS)面臨的安全威脅和主要安全攻擊方法，由此提出HIS安全體系和網(wǎng)絡(luò)安全模型，并且在網(wǎng)絡(luò)層面上給出了完整的技術(shù)解決方案。

關(guān)鍵詞：醫(yī)院信息系統(tǒng)；HIS安全體系；內(nèi)網(wǎng)

引論

醫(yī)院信息系統(tǒng)(HospitaI Information Svstem，HIS)是利用計算機網(wǎng)絡(luò)和通信設(shè)備，為醫(yī)院各部門提供病人診療信息和行政管理信息的收集、存儲、處理、提取和交換能力，并滿足授權(quán)用戶功能需求的管理信息系統(tǒng)。醫(yī)院是信息流高度密集的單位；醫(yī)院的組織管理結(jié)構(gòu)非常嚴謹。對其中任何一部分業(yè)務(wù)流程的改變，都可能引起連鎖反應(yīng)，牽一發(fā)而動全身；不同體制的醫(yī)院的管理模式也有很大不同。因此，HIS是當今世界企業(yè)級信息系統(tǒng)中處理邏輯最為復(fù)雜的一類。

廣義的HIS的網(wǎng)絡(luò)拓撲一般分為內(nèi)網(wǎng)(醫(yī)保系統(tǒng))、專網(wǎng)(行政系統(tǒng))和外網(wǎng)(醫(yī)院網(wǎng)站)三個部分，形成了內(nèi)網(wǎng)核心數(shù)據(jù)層、內(nèi)網(wǎng)辦公業(yè)務(wù)層、外網(wǎng)公眾服務(wù)層和網(wǎng)間信息交換層四個相對獨立的網(wǎng)絡(luò)安全管理域，信息安全與管理的技術(shù)手段相當復(fù)雜。

以作者所在單位上海市普陀區(qū)中心醫(yī)院為例，HIS、RIS、PACS等系統(tǒng)投入運營多年，每天成百上千臺計算機同時運行，成為醫(yī)院提供醫(yī)療服務(wù)的業(yè)務(wù)平臺。隨著醫(yī)院HIS應(yīng)用的不斷深入，網(wǎng)絡(luò)安全形勢日益嚴峻。現(xiàn)有的安全技術(shù)手段逐漸暴露出局限性，需要從規(guī)章制度、技術(shù)和管理等層面加強HIS的信息安全保障。

我院信息系統(tǒng)和網(wǎng)絡(luò)的維護由醫(yī)院信息科實施。信息科是醫(yī)院的行政職能科室，下設(shè)病案室、計算中心、圖書館三個部門。計算中心現(xiàn)有技術(shù)人員10人，擁有軟件自主研發(fā)能力，學(xué)術(shù)氛圍濃厚。根據(jù)醫(yī)院授權(quán)已制訂《普陀區(qū)中心醫(yī)院HIS系統(tǒng)管理安全操作規(guī)范》、《普陀區(qū)中心醫(yī)院醫(yī)保前置機管理規(guī)范》、《普陀區(qū)中心醫(yī)院應(yīng)急預(yù)案制度》、《中心機房管理制度》等規(guī)章制度，建立了定期安全檢測、口令管理、人員培訓(xùn)與管理、策略管理、備份管理、日志管理等一系列管理方法和長效機制。

1HIS安全威脅

HIS面臨的安全攻擊指危及醫(yī)院信息安全的任何行為。HIS安全機制指設(shè)計用于檢測、防止或從安全攻擊中恢復(fù)的一種機制。Hls安全服務(wù)指加強醫(yī)院各部門數(shù)據(jù)處理和信息傳送安全性的一種服務(wù)，目標是對抗安全攻擊。它們利用一種或多種安全機制來提供該服務(wù)。本文的工作在于提出HIS安全體系結(jié)構(gòu)和部署策略，并在網(wǎng)絡(luò)層面上介紹了HIS安全體系的技術(shù)實現(xiàn)。

就安全攻擊方法而言，根據(jù)信息安全層次分析HIS的安全威脅?？梢詮臋C房環(huán)境和物理層、網(wǎng)絡(luò)層、操作系統(tǒng)和數(shù)據(jù)庫層、應(yīng)用層及管理層五個層面著手。

(1)機房環(huán)境和物理層

我院機房分布在住院部、住院二部、門診樓、急診樓四處。機房網(wǎng)絡(luò)設(shè)備、硬件設(shè)施可能遭受地震、水災(zāi)、火災(zāi)等自然災(zāi)害以及人為操作失誤和各種針對計算機的破壞行為。

(2)網(wǎng)絡(luò)層

作為事實標準的TCP／IP協(xié)議并非專為安全通信設(shè)計，這一先天不足致使網(wǎng)絡(luò)通信存在大量安全隱患。協(xié)議漏洞造成預(yù)攻擊探測、竊聽、篡改、IP欺騙、重放、拒絕服務(wù)攻擊(包括同步潮水攻擊SYN FLOOD和PING FLOOD)、分布式拒絕服務(wù)攻擊(DOS)和堆棧溢出等。

網(wǎng)絡(luò)環(huán)境下病毒、蠕蟲、木馬和流氓軟件的傳播快速、隱蔽，嚴重威脅系統(tǒng)安全。病毒的傳播破壞文件和系統(tǒng)可用性；木馬潛伏在系統(tǒng)內(nèi)并截獲用戶輸入的密碼、鍵盤動作等重要信息，并將這些信息發(fā)送出去。2008年末ARP木馬爆發(fā)曾導(dǎo)致我院局域網(wǎng)性能顯著下降。

(3)操作系統(tǒng)和數(shù)據(jù)庫層

操作系統(tǒng)設(shè)計時疏漏或預(yù)留的安全漏洞、用戶配置不當、多余的系統(tǒng)服務(wù)、脆弱的基于口令的身份鑒別機制，都使惡意用戶的攻擊變得輕而易舉。醫(yī)院醫(yī)保前置機和數(shù)據(jù)庫服務(wù)器采用Windows2000／XP／2003操作系統(tǒng)，健壯性、安全性較差。醫(yī)院使用的Or-acle數(shù)據(jù)庫系統(tǒng)可以從端口尋址。院內(nèi)聯(lián)網(wǎng)的計算機，任何人只要有合適的SQL查詢工具，就能和數(shù)據(jù)庫系統(tǒng)直接連接，并能繞開操作系統(tǒng)的安全機制，如果誤用就會嚴重危及數(shù)據(jù)安全。

(4)應(yīng)用層

應(yīng)用層的安全風(fēng)險有：來自內(nèi)部和外界對業(yè)務(wù)系統(tǒng)的非授權(quán)訪問、由于用戶名和口令等身份標志泄漏造成的系統(tǒng)管理權(quán)限喪失、用戶提交的業(yè)務(wù)信息被監(jiān)聽或修改、用戶對成功提交的事務(wù)進行事后抵賴、偽裝成系統(tǒng)服務(wù)以騙取用戶口令、操作不當或外界攻擊引起的系統(tǒng)崩潰、網(wǎng)絡(luò)病毒的傳播或其他軟硬件原因造成的系統(tǒng)損壞、HIS程序開發(fā)遺留的安全漏洞等。

(5)管理層

責權(quán)不明、管理混亂、人員管理和安全管理制度不健全及缺乏可操作性都可能引起管理層安全風(fēng)險。

2HIS安全體系結(jié)構(gòu)

網(wǎng)絡(luò)安全遵循“木桶原理”，系統(tǒng)的安全強度等于它最薄弱環(huán)節(jié)的安全強度。據(jù)統(tǒng)計，在所有的HIS信息安全事件中。超過70％發(fā)生在內(nèi)網(wǎng)。因此，HIS系統(tǒng)必須建立在一個完備的多層次的網(wǎng)絡(luò)安全體系之上，消除瓶頸。

完整的HIS安全體系由五部分構(gòu)成：可信的基礎(chǔ)安全設(shè)施、安全技術(shù)支撐平臺、容錯與恢復(fù)系統(tǒng)、安全管理保障體系和信息安全系統(tǒng)。如圖1所示。

3HIS安全體系的部署和安全審計

根據(jù)HIS網(wǎng)絡(luò)安全要求設(shè)計的HIS安全模型如圖2：

HIS網(wǎng)絡(luò)安全模型給出了HIS安全體系部署的邏輯框架，部署的過程是一個復(fù)雜的系統(tǒng)工程。是整個HIS應(yīng)用得以實現(xiàn)的前提保證。

HIS安全審計是在醫(yī)院網(wǎng)絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外網(wǎng)和內(nèi)網(wǎng)用戶的入侵和破壞，而運用各種技術(shù)手段實時監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、收集安全事件，以便集中報警、分析、處理。安全審計方案主要有：

(1)日志審計。通過SNMP、SYSLOG、OPSEC或其他日志接口從路由器、交換機、服務(wù)器、醫(yī)保前置機應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備中收集日志，進行統(tǒng)一管理、分析和報警；

(2)主機審計。在服務(wù)器、醫(yī)保前置機安裝“威盾”客戶端，審計安全漏洞、合法或非法操作，監(jiān)控聯(lián)網(wǎng)行為；

(3)網(wǎng)絡(luò)審計。通過旁路和串接的方式捕獲網(wǎng)絡(luò)數(shù)據(jù)包，進行協(xié)議分析和還原。網(wǎng)絡(luò)審計包括了網(wǎng)絡(luò)漏洞掃描產(chǎn)品、防火墻和IDS／IPS安全審計、互聯(lián)網(wǎng)行為監(jiān)控等類型的產(chǎn)品。

4HIS安全體系的技術(shù)實現(xiàn)

(1)內(nèi)網(wǎng)與外網(wǎng)的物理隔離

內(nèi)網(wǎng)涉及醫(yī)保、財務(wù)和電子病歷信息。必須與外網(wǎng)實現(xiàn)完全的網(wǎng)絡(luò)隔離和設(shè)備隔離。內(nèi)網(wǎng)與外網(wǎng)的隔離采用物理隔離網(wǎng)閘。物理隔離網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。這兩個獨立主機系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在基于協(xié)議的

數(shù)據(jù)包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令，因而從物理上隔離、阻斷了具有潛在攻擊可能的一切連接。

(2)內(nèi)網(wǎng)中劃分VLAN

虛擬局域網(wǎng)(VLAN)是一種采用交換機將局域網(wǎng)內(nèi)的主機邏輯地而不是物理地劃分為一個個網(wǎng)段。從而實現(xiàn)虛擬工作組的技術(shù)。在一個交換網(wǎng)絡(luò)中，VLAN提供了網(wǎng)段和部門科室的彈性組合機制。醫(yī)院可根據(jù)不同的業(yè)務(wù)性質(zhì)將各部門劃分成不同的VLAN。

(3)網(wǎng)絡(luò)邊界安裝防火墻

防火墻是一類防范措施的總稱。它使內(nèi)網(wǎng)與Internet之間或者內(nèi)網(wǎng)與其他外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪來保護內(nèi)部網(wǎng)絡(luò)。由于防火墻劃定了網(wǎng)絡(luò)邊界和服務(wù)，因此更適合于相對獨立的網(wǎng)絡(luò)。任何關(guān)鍵性的服務(wù)器，都建議放在防火墻之后。

(4)專網(wǎng)用戶采用VPN技術(shù)訪問內(nèi)網(wǎng)

虛擬專網(wǎng)技術(shù)(VPN)目前主要采用IPSec協(xié)議，有比較成熟的產(chǎn)品。例如與路由器或防火墻集成的硬件VPN模塊，組建方便快捷。內(nèi)網(wǎng)與衛(wèi)生局、醫(yī)保局的涉密信息往來。彼此間應(yīng)該采用VPN技術(shù)相連，以保證通信安全。

(5)入侵監(jiān)測

防火墻雖然能抵御網(wǎng)絡(luò)外部安全威脅，但對從網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊無能為力。實時入侵監(jiān)測技術(shù)動態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動并做出及時響應(yīng)：能監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)流，從中檢測出攻擊行為并給予相應(yīng)處理；還能檢測到繞過防火墻的攻擊。

(6)漏洞掃描

解決網(wǎng)絡(luò)層安全問題，首先要弄清網(wǎng)絡(luò)中存在哪些安全隱患和薄弱環(huán)節(jié)。面對醫(yī)院大型網(wǎng)絡(luò)的復(fù)雜性，僅僅依靠技術(shù)人員的經(jīng)驗是不現(xiàn)實的。解決方案是獲取一種能自動探測網(wǎng)絡(luò)安全漏洞、并提出評估和建議的網(wǎng)絡(luò)安全掃描工具。

(7)數(shù)據(jù)庫服務(wù)器和醫(yī)保前置機的安全設(shè)置

現(xiàn)有的網(wǎng)絡(luò)設(shè)備以及操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)都有一套自身的安全機制。路由器、交換機應(yīng)配置好協(xié)議和訪問控制列表：數(shù)據(jù)庫服務(wù)器應(yīng)關(guān)閉無關(guān)的系統(tǒng)服務(wù)和端口，并采用服務(wù)器分片備份網(wǎng)絡(luò)數(shù)據(jù)。如門診部用一臺服務(wù)器、住院部用一臺服務(wù)器、影像系統(tǒng)用一臺服務(wù)器，按時定期做好數(shù)據(jù)備份。發(fā)生系統(tǒng)故障，能盡快回滾事務(wù)、恢復(fù)系統(tǒng)。

每臺醫(yī)保前置機都安裝了“威盾”遠程控制軟件客戶端。USB端口和光驅(qū)被自動禁用。通過設(shè)定對應(yīng)賬戶權(quán)限(管理員賬戶和來賓賬戶)，控制用戶訪問特定數(shù)據(jù)。每個用戶(醫(yī)生、護士、管理人員等)在整個系統(tǒng)中具有唯一的賬號。禁止用戶對無關(guān)文件進行讀寫，以防非法用戶侵入網(wǎng)絡(luò)。

5小結(jié)

信息安全的核心實際上是管理。只有建立和執(zhí)行完善的管理制度，安全技術(shù)才能發(fā)揮其應(yīng)有的作用。醫(yī)院信息安全涉及范圍廣、技術(shù)難度大、各部門之間協(xié)調(diào)復(fù)雜。合理的管理制度和有效的技術(shù)方案的結(jié)合是解決問題的關(guān)鍵。信息科網(wǎng)絡(luò)管理人員必須熟悉醫(yī)院業(yè)務(wù)流程、深入掌握信息系統(tǒng)和網(wǎng)絡(luò)安全技術(shù)，不斷積累經(jīng)驗、完善自己的知識結(jié)構(gòu)，才能從容應(yīng)對網(wǎng)絡(luò)安全管理，確保醫(yī)院信息系統(tǒng)平穩(wěn)有序地運行。