楊棟，劉立輝，任志剛

解放軍251醫(yī)院 信息科，河北 張家口075100

醫(yī)院信息安全管理與措施

楊棟，劉立輝，任志剛

解放軍251醫(yī)院 信息科，河北 張家口075100

本文以層次分析的方法論述醫(yī)院的安全管理措施，說(shuō)明清晰的管理架構(gòu)和因地制宜的管理措施是信息安全管理所必須的。

醫(yī)院信息安全；信息安全管理；層次分析

1 醫(yī)院信息安全管理的層次解析

信息安全管理是指導(dǎo)和控制組織關(guān)于信息安全風(fēng)險(xiǎn)相互協(xié)調(diào)的活動(dòng)，它是了解體系安全狀態(tài)、實(shí)現(xiàn)信息安全目標(biāo)的重要關(guān)口，主要包括信息安全風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理和技術(shù)措施的控制。信息系統(tǒng)的復(fù)雜性、開(kāi)放性和多樣性，對(duì)醫(yī)院的信息安全管理工作的復(fù)雜性、持續(xù)性和多樣性要求越來(lái)越高。對(duì)一個(gè)復(fù)雜系統(tǒng)的科學(xué)管理必然要求對(duì)系統(tǒng)進(jìn)行合理的解析，以建立清晰的管理架構(gòu)[1]。本文以層次分析的方法，將醫(yī)院的信息安全管理措施劃分為：物理層安全管理、網(wǎng)絡(luò)層安全管理、操作系統(tǒng)安全管理、應(yīng)用系統(tǒng)安全管理，如圖1所示。

圖1 醫(yī)院信息安全管理措施

2 因地制宜制定管理措施

信息安全技術(shù)特別是網(wǎng)絡(luò)層以上的管理技術(shù)的進(jìn)步，為醫(yī)院的信息安全管理提供了越來(lái)越強(qiáng)大的技術(shù)手段。但在實(shí)際管理過(guò)程中，安全管理技術(shù)措施的制定要因地制宜、綜合考慮：醫(yī)院信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)、信息系統(tǒng)安全期望、信息系統(tǒng)的軟硬件情況、技術(shù)措施的技術(shù)成熟程度、技術(shù)措施實(shí)施的成本投入和技術(shù)措施的可維護(hù)性等多方面因素[2]。

3 物理層安全管理

物理安全的目的是保護(hù)工作站、網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)設(shè)備等硬件實(shí)體和通信鏈路安全。在這一層次主要抓好中心機(jī)房、局域網(wǎng)計(jì)算機(jī)和互聯(lián)網(wǎng)計(jì)算機(jī)等設(shè)備管理制度。

3.1 中心機(jī)房管理

醫(yī)院中心機(jī)房放置了幾乎所有的核心設(shè)備 , 包括服務(wù)器、核心交換機(jī)等重要的信息設(shè)備,是醫(yī)院信息系統(tǒng)數(shù)據(jù)交換、處理、存貯的中心。要保證醫(yī)院信息系統(tǒng)能夠穩(wěn)定、安全地運(yùn)行 ,其管理措施如下 ：配備 UPS 電源以保證發(fā)生斷電時(shí)機(jī)房設(shè)備的用電安全，并定期檢查蓄電池的狀態(tài),定期對(duì)蓄電池進(jìn)行充放電操作；使用專用的空調(diào)設(shè)備，保證機(jī)房的恒溫恒濕；采取防雷防靜電措施；安裝監(jiān)控報(bào)警系統(tǒng)；嚴(yán)格門禁管理，禁止非工作人員隨意進(jìn)出機(jī)房；服務(wù)器或重要設(shè)備設(shè)定管理員密碼并定期更新密碼；服務(wù)器或其他設(shè)備分別由專人負(fù)責(zé)維護(hù)管理；定期進(jìn)行管理人員培訓(xùn)[3]。

3.2 局域網(wǎng)計(jì)算機(jī)管理

在醫(yī)院信息系統(tǒng)使用的計(jì)算機(jī)，為保證信息安全：限制移動(dòng)存儲(chǔ)介的隨意使用，一般不安裝 CD-ROM、軟盤驅(qū)動(dòng)器，關(guān)閉不必要 USB 接口 ；同一臺(tái)計(jì)算機(jī)禁止同時(shí)連接不同的網(wǎng)絡(luò)；禁止在計(jì)算機(jī)安裝游戲；禁止用戶私自拆、裝計(jì)算機(jī)及其外接設(shè)備；計(jì)算機(jī)歸所在部門使用，不隨人員調(diào)動(dòng)而搬遷。

3.3 對(duì)互聯(lián)網(wǎng)計(jì)算機(jī)管理

各部門為工作方便需要安裝在互聯(lián)網(wǎng)上使用的計(jì)算機(jī)，在互聯(lián)網(wǎng)上使用的計(jì)算機(jī)必須嚴(yán)格登記，與內(nèi)網(wǎng)計(jì)算機(jī)完全物理隔離并禁止計(jì)算機(jī)在不同的網(wǎng)絡(luò)之間交叉使用。

4 網(wǎng)絡(luò)層安全管理

網(wǎng)絡(luò)層是醫(yī)院信息系統(tǒng)數(shù)據(jù)交換、傳輸?shù)闹饕d體。其結(jié)合醫(yī)院網(wǎng)絡(luò)架設(shè)，以局域網(wǎng)為主體，兼有互聯(lián)等其他網(wǎng)絡(luò)的特點(diǎn)，管理中側(cè)重局域網(wǎng)并兼顧外網(wǎng)，特別強(qiáng)調(diào)不同網(wǎng)絡(luò)間的嚴(yán)格物理隔離，其具體措施如下[4-5]。

4.1 保證局域網(wǎng)、互聯(lián)網(wǎng)的物理隔離

所謂“物理隔離”是指內(nèi)部網(wǎng)不得直接或間接地連接公共網(wǎng)。當(dāng)個(gè)別工作站需要連接兩種網(wǎng)絡(luò)時(shí)，可以通過(guò)計(jì)算機(jī)安裝 ViGap 隔離網(wǎng)閘，把一臺(tái)普通計(jì)算機(jī)分成兩臺(tái)虛擬計(jì)算機(jī)，使內(nèi)、外網(wǎng)物理斷開(kāi)，邏輯地相連，但必須保證登錄不同的網(wǎng)絡(luò)時(shí)使用不同的存儲(chǔ)介質(zhì)。

4.2 局域網(wǎng)內(nèi)MAC地址綁定

MAC地址是每塊網(wǎng)卡特有的一個(gè)單一地址，每塊網(wǎng)卡都不一樣，IP—MAC 綁定就是把 IP 和 MAC 綁在一起，可以避免 IP 盜用和非法訪問(wèn)，同時(shí)也可以限制物理設(shè)備被隨意搬遷。

4.3 局域網(wǎng)內(nèi)劃分VLAN

VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）技術(shù)是允許物理連通的網(wǎng)絡(luò)更靈活的組網(wǎng)，其主要的優(yōu)點(diǎn)是：限制廣播域，節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理能力；增強(qiáng)局域網(wǎng)的安全性，不同 VLAN 內(nèi)的用戶相互訪問(wèn)需要通過(guò)路由器或三層交換機(jī)等三層設(shè)備，加強(qiáng)了網(wǎng)絡(luò)訪問(wèn)的安全控制 ；靈活構(gòu)建虛擬工作組，用 VLAN 可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡(luò)構(gòu)建和維護(hù)更方便靈活。

5 操作系統(tǒng)層安全管理

操作系統(tǒng)是所有應(yīng)用系統(tǒng)的運(yùn)行平臺(tái)，是用戶與信息系統(tǒng)交互平臺(tái)，操作系統(tǒng)安全是醫(yī)院信息系統(tǒng)安全運(yùn)行的基礎(chǔ)。在這一層次面臨的主要風(fēng)險(xiǎn)是用戶的訪問(wèn)控制、錯(cuò)誤操作和網(wǎng)絡(luò)病毒。因此這一層次的管理重點(diǎn)是規(guī)范和限制用戶行為和網(wǎng)絡(luò)反病毒[6]。

5.1 通過(guò)域管理增強(qiáng)局域網(wǎng)計(jì)算機(jī)安全

目錄服務(wù)作為網(wǎng)絡(luò)操作系統(tǒng)的關(guān)鍵部分，提供在分布式網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)集中管理的機(jī)制，管理分布式資源之間關(guān)系的認(rèn)證和代理使各種資源能協(xié)調(diào)工作。通過(guò)域管理建立組安全策略，可以有效地提高局域網(wǎng)計(jì)算機(jī)的安全性，其主要措施如下：強(qiáng)制用戶進(jìn)行操作系統(tǒng)登錄身份驗(yàn)證；禁止普通用戶組修改登錄口令；禁止用戶組對(duì)控制面板對(duì)象進(jìn)行訪問(wèn)或修改;禁止普通用戶對(duì)注冊(cè)表進(jìn)行訪問(wèn)修改，防止用戶自行安裝或卸載軟件；統(tǒng)一用戶的網(wǎng)絡(luò)安全策略和 IE 安全策略，禁止用戶自行共享計(jì)算機(jī)資源。

5.2 使用IPD管理軟件統(tǒng)一管理局域網(wǎng)計(jì)算機(jī)

隨著局域網(wǎng)的不斷擴(kuò)展，網(wǎng)絡(luò)計(jì)算機(jī)管理難度越來(lái)越大。IPD（Integrated Product Devlopment， 集 成 產(chǎn) 品 開(kāi) 發(fā) ）提供了一種先進(jìn)的局域網(wǎng)計(jì)算機(jī)管理思想。醫(yī)院引進(jìn) IPD管理軟件主要實(shí)現(xiàn)以下管理功能：統(tǒng)一局域網(wǎng)計(jì)算機(jī)的端口控制、外設(shè)管理；統(tǒng)一部署局域網(wǎng)計(jì)算機(jī)的網(wǎng)絡(luò)訪問(wèn)策略，自動(dòng)監(jiān)測(cè)網(wǎng)絡(luò)端口的使用情況；批量分發(fā)軟件或數(shù)據(jù)；局域網(wǎng)計(jì)算機(jī)操作系統(tǒng)補(bǔ)丁的自動(dòng)更新，彌補(bǔ)操作系統(tǒng)漏洞；自動(dòng)監(jiān)測(cè)局域網(wǎng)計(jì)算機(jī)進(jìn)程，并自動(dòng)禁止指定進(jìn)程啟動(dòng)，如游戲軟件進(jìn)程；遠(yuǎn)程桌面控制，方便管理維護(hù)；局域網(wǎng)計(jì)算機(jī)硬件情況統(tǒng)計(jì)[7]。

5.3 網(wǎng)絡(luò)殺毒

反病毒側(cè)重網(wǎng)絡(luò)殺毒，結(jié)合使用單機(jī)殺毒。醫(yī)院采用Micro Trend 產(chǎn)品作為網(wǎng)絡(luò)反病毒工具，其主要的任務(wù) ：①清除局域網(wǎng)內(nèi)計(jì)算機(jī)的病毒或惡意代碼 ；② 服務(wù)器病毒庫(kù)及時(shí)更新 ；③ 自動(dòng)更新局域網(wǎng)內(nèi)客戶端的病毒庫(kù)。對(duì)于單機(jī)、互聯(lián)網(wǎng)計(jì)算機(jī)和軍隊(duì)綜合信息網(wǎng)計(jì)算機(jī)必須安裝單機(jī)版反病毒軟件，并由使用人負(fù)責(zé)反病毒軟件的升級(jí)。

6 應(yīng)用系統(tǒng)安全管理

醫(yī)院信息系統(tǒng)由眾多的應(yīng)用系統(tǒng)組成，這些系統(tǒng)在軟硬件基礎(chǔ)、應(yīng)用范圍和重要程度不盡相同，對(duì)于重要的業(yè)務(wù)系統(tǒng)如 ：HIS、LIS、PACS、OA 等應(yīng)制定有針對(duì)性地安全管理策略。但不論系統(tǒng)的重要性如何，應(yīng)用系統(tǒng)的安全管理包含以下3個(gè)方面。

6.1 軟件開(kāi)發(fā)與引進(jìn)的規(guī)范管理

隨著軟件工程項(xiàng)目日益復(fù)雜龐大，軟件開(kāi)發(fā)導(dǎo)致的安全風(fēng)險(xiǎn)性也隨之增大。軟件開(kāi)發(fā)與引進(jìn)的規(guī)范管理可以有效減小軟件開(kāi)發(fā)風(fēng)險(xiǎn)：在軟件項(xiàng)目開(kāi)發(fā)全過(guò)程加強(qiáng)分析、設(shè)計(jì)、項(xiàng)目管理及質(zhì)量管理；在可行性研究中應(yīng)把項(xiàng)目的風(fēng)險(xiǎn)分析與風(fēng)險(xiǎn)處理作為一個(gè)重要的考慮范疇納入軟件開(kāi)發(fā)的過(guò)程中；加強(qiáng)測(cè)試與維護(hù)是發(fā)現(xiàn)問(wèn)題和規(guī)避風(fēng)險(xiǎn)的一個(gè)重要手段。

6.2 用戶安全管理

用戶是醫(yī)院信息系統(tǒng)的行為主體，統(tǒng)計(jì)表明 50% 以上的安全事故是人為操作造成的，因此，用戶管理對(duì)于信息系統(tǒng)的安全具有重要的意義。對(duì)用戶的管理主要體現(xiàn)在以下幾個(gè)方面。

（1）嚴(yán)格用戶授權(quán)管理 ：嚴(yán)格用戶授權(quán)的審批流程；嚴(yán)格控制用戶權(quán)限，特別是當(dāng)用戶工作崗位發(fā)生變化時(shí)，及時(shí)調(diào)整用戶權(quán)限，以保證用戶只擁有與工作崗位相對(duì)應(yīng)的權(quán)限；用戶登錄身份驗(yàn)證，所有用戶應(yīng)有唯一的識(shí)別碼（用戶 ID）并確保用戶口令安全 ；管理員權(quán)限的用戶口令應(yīng)嚴(yán)格保密。

（2）用戶技能培訓(xùn)：業(yè)務(wù)系統(tǒng)最經(jīng)常發(fā)生的安全事故來(lái)自于用戶的錯(cuò)誤操作，因此嚴(yán)格用戶技能培訓(xùn)是避免用戶錯(cuò)誤的首要措施。

（3）對(duì)用戶行為進(jìn)行審計(jì)監(jiān)控：為防止用戶錯(cuò)誤行為發(fā)生或阻止用戶錯(cuò)誤操作，管理人員應(yīng)靈活使用技術(shù)手段對(duì)用戶行為審計(jì)監(jiān)控，必要時(shí)直接制止用戶的錯(cuò)誤行為。比如在業(yè)務(wù)系統(tǒng)中增加用戶特定行為日志，以詳細(xì)記錄執(zhí)行特定行為的用戶身份、時(shí)間、計(jì)算機(jī)、應(yīng)用程序等信息，如果用戶行為會(huì)導(dǎo)致嚴(yán)重錯(cuò)誤時(shí)應(yīng)通過(guò)舉錯(cuò)報(bào)警的方法制止其錯(cuò)誤操作。

6.3 數(shù)據(jù)安全管理

信息系統(tǒng)的數(shù)據(jù)是醫(yī)院重要資產(chǎn)，數(shù)據(jù)中保存了大量患者的診療信息，凝結(jié)著全院醫(yī)務(wù)工作者的心血，對(duì)于保證醫(yī)療安全、提高醫(yī)療質(zhì)量和學(xué)術(shù)科研水平，有著無(wú)可估量的價(jià)值。保證數(shù)據(jù)安全的管理措施如下[8]。

（1）數(shù)據(jù)備份是保證醫(yī)療信息數(shù)據(jù)安全的基本手段，也是醫(yī)院信息部門的基礎(chǔ)性工作。數(shù)據(jù)備份的意義首先在于對(duì)數(shù)據(jù)以某種方式加以額外的保留以便在系統(tǒng)遭受破壞或其他特定情況下能夠成功重新加以利用，即防止防范意外事件對(duì)系統(tǒng)破壞。在實(shí)際工作中，數(shù)據(jù)備份堅(jiān)持以下原則：① 在不影響業(yè)務(wù)的情況下，數(shù)據(jù)備份盡量密集，減小數(shù)據(jù)恢復(fù)的時(shí)間成本 ；② 當(dāng)數(shù)據(jù)結(jié)構(gòu)需要調(diào)整時(shí)，需要備份數(shù)據(jù) ；③ 冗余備份 ：在任何時(shí)間點(diǎn)都要有多個(gè)備份集 ；④ 備份集應(yīng)脫離業(yè)務(wù)系統(tǒng)存儲(chǔ)，條件許可要異地存儲(chǔ)，存儲(chǔ)介質(zhì)多樣化 ；⑤ 備份完成后應(yīng)進(jìn)行備份有效性驗(yàn)證，如在備用機(jī)上進(jìn)行恢復(fù)驗(yàn)證，以確保備份集的有效性；⑥制定詳細(xì)的備份恢復(fù)預(yù)案，并經(jīng)常演練。

（2）重要數(shù)據(jù)的保護(hù)。重要數(shù)據(jù)在做好備份的同時(shí)，需要采取進(jìn)一部的技術(shù)手段有 ：① 數(shù)據(jù)加密，防止非授權(quán)用戶的不正當(dāng)訪問(wèn) ；② 在數(shù)據(jù)庫(kù)中使用觸發(fā)器，阻止用戶錯(cuò)誤造成的數(shù)據(jù)刪除和修改。

（3）歷史數(shù)據(jù)的轉(zhuǎn)儲(chǔ)。歷史數(shù)據(jù)是指已經(jīng)完成不再發(fā)生變化的業(yè)務(wù)數(shù)據(jù)，如出院病人的住院病歷數(shù)據(jù)、住院病人的費(fèi)用信息等。歷史數(shù)據(jù)是不斷累積增長(zhǎng)的，如果不進(jìn)行轉(zhuǎn)儲(chǔ)，一方面會(huì)增加業(yè)務(wù)系統(tǒng)的負(fù)擔(dān)；另一方面會(huì)使歷史數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)加大。因此業(yè)務(wù)系統(tǒng)的歷史數(shù)據(jù)應(yīng)及時(shí)進(jìn)行轉(zhuǎn)儲(chǔ)，轉(zhuǎn)儲(chǔ)后的數(shù)據(jù)在條件許可時(shí)要從業(yè)務(wù)系統(tǒng)中卸出。

總之，信息安全管理是復(fù)雜、動(dòng)態(tài)和持續(xù)的系統(tǒng)管理，而安全管理的技術(shù)手段又是多種多樣且不斷進(jìn)步的，這就要求信息安全管理要有的清晰的架構(gòu)和因地制宜的技術(shù)措施運(yùn)用。

[1] 賴妙芳．信息系統(tǒng)安全探討[J]．現(xiàn)代計(jì)算機(jī)(專業(yè)版),2009, 26(2):140-141．

[2] 王瑋,魯萬(wàn)鵬,牟鑫．醫(yī)院信息系統(tǒng)中的安全運(yùn)行保障[J]．中國(guó)醫(yī)療設(shè)備,2008,23(1):63-65．

[3] 曹宏偉,彭東亮,邱景,等．醫(yī)院信息系統(tǒng)安全管理與防范[J]．海軍醫(yī)學(xué)雜志, 2009,26(3):65-66．

[4] 陶劉強(qiáng),成筠,周明,等．淺析軟件開(kāi)發(fā)中的風(fēng)險(xiǎn)因素分析及管理[J]．福建電腦,2006,22(1):67-68．

[5] 梁昌明．ORACLE數(shù)據(jù)庫(kù)審計(jì)方法的探討[J]．中國(guó)醫(yī)療設(shè)備, 2008,23(4):55-57．

[6] 李麗娟．信息技術(shù)在醫(yī)院信息化管理中的應(yīng)用[J]．醫(yī)學(xué)信息(上旬刊),2010,24(8):18-19．

[7] 張燕．淺析現(xiàn)代醫(yī)院信息化管理[J]．中國(guó)科技信息,2009,21(15): 176,189．

[8] 潘穗萍．醫(yī)院信息化管理中的問(wèn)題[J]．中國(guó)醫(yī)藥導(dǎo)報(bào),2007,28 (28):134-135．

Hospital Information Security Management and Measure ments

YANG Dong, LIU Li-hui, REN Zhi-gang
Information Department,The 251thHospital of PLA, Zhangjiakou Hebei 075000,China

This paper expounds on the hospital security management measurements using Analytic Hierarchy Process (AHP), and points out that unambiguous management structure and flexible management measurements are necessary for information security management.

hospital information security; information security management; AHP

R197.39

B

10.3969/j.issn.1674-1633.2011.06.023

1674-1633(2011)06-0070-03

2011-02-16

2011-04-03

作者郵箱：huawaishengfan@163．com