韓蓉，吳俊

南通市腫瘤醫(yī)院 信息科，江蘇 南通 226000

醫(yī)院信息系統(tǒng)（HIS）是對(duì)醫(yī)院醫(yī)療、財(cái)務(wù)、物資、藥房、行政管理等信息進(jìn)行采集、傳輸、處理、統(tǒng)計(jì)和存儲(chǔ)的計(jì)算機(jī)應(yīng)用系統(tǒng)[1]。隨著醫(yī)院信息化的普及，各家醫(yī)院的HIS已涉及醫(yī)院的每個(gè)部門，涵蓋醫(yī)院日常工作的每個(gè)環(huán)節(jié)。HIS是7×24 h不間斷運(yùn)行的，一旦網(wǎng)絡(luò)癱瘓或數(shù)據(jù)丟失，將會(huì)給醫(yī)院和病人造成不可估量的損失。因此，建立一套科學(xué)有效的醫(yī)院信息安全防護(hù)體系對(duì)HIS正常高效運(yùn)行是十分重要的。本文嘗試結(jié)合P2DR（Protection Policy Detection Response)理論，探討實(shí)現(xiàn)HIS安全的策略和方法。

1 動(dòng)態(tài)網(wǎng)絡(luò)安全模型P2DR

1985年，美國國防部發(fā)布了可信計(jì)算機(jī)安全評(píng)估準(zhǔn)則 TCSEC（Trusted Computer System Evaluation Criteria）。這個(gè)準(zhǔn)則的發(fā)布對(duì)操作系統(tǒng)及數(shù)據(jù)庫等方面的安全發(fā)展起到了很大的推動(dòng)作用，被稱為信息安全的里程碑[2]。但是，TCSEC是基于主機(jī)/終端環(huán)境的靜態(tài)安全模型建立起來的標(biāo)準(zhǔn)，已經(jīng)不能完全適應(yīng)當(dāng)前的技術(shù)需要。因此，針對(duì)日益嚴(yán)重的網(wǎng)絡(luò)信息安全問題和越來越突出的安全需求，美國ISS（安氏）公司率先提出了動(dòng)態(tài)安全模型PDR（Protection Detection Response）。PDR模型通過防護(hù)（Protection）、檢測（Detection）和響應(yīng)（Response）三位一體來保障動(dòng)態(tài)網(wǎng)絡(luò)系統(tǒng)安全性。PDR模型，見圖1。隨后安氏公司在PDR模型的基礎(chǔ)上增加了策略（Policy）,也就是P2DR模型，見圖2。

圖1 PDR模型

圖2 P2DR模型

從圖2 可以看出它是一個(gè)動(dòng)態(tài)、周期性的過程，是一種動(dòng)態(tài)/風(fēng)險(xiǎn)模型，特點(diǎn)是動(dòng)態(tài)性和適時(shí)性。防護(hù)、檢測和響應(yīng)組成了一個(gè)完整和動(dòng)態(tài)的安全循環(huán)，通過安全策略指導(dǎo)保證系統(tǒng)安全。該模型的核心思想是系統(tǒng)防護(hù)時(shí)間大于檢測時(shí)間與響應(yīng)時(shí)間之和，則認(rèn)為系統(tǒng)安全；系統(tǒng)檢測時(shí)間與響應(yīng)時(shí)間之和越小，則系統(tǒng)越安全。所以要使系統(tǒng)安全可靠就要努力降低系統(tǒng)檢測和響應(yīng)時(shí)間，同時(shí)還要根據(jù)安全策略定時(shí)對(duì)系統(tǒng)進(jìn)行安全檢測，并及時(shí)修復(fù)和解決系統(tǒng)存在的安全漏洞。

目前，基于P2DR模型的網(wǎng)絡(luò)安全設(shè)計(jì)在電子商務(wù)、銀行信息安全系統(tǒng)、公安戶籍管理信息系統(tǒng)等方面均得到廣泛的應(yīng)用，并取得比較理想的防護(hù)效果[3]。

2 醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全分析

HIS網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng)，內(nèi)網(wǎng)一般包括HIS、實(shí)驗(yàn)室信息系統(tǒng)（LIS）、電子病歷（EMR）、影像存儲(chǔ)與傳輸系統(tǒng)（PACS）等業(yè)務(wù)系統(tǒng)，根據(jù)P2DR安全模型的指導(dǎo)思想，不同區(qū)域采取不同安全保護(hù)措施。其中核心業(yè)務(wù)區(qū)由醫(yī)院業(yè)務(wù)系統(tǒng)的HIS、EMR、LIS、PACS、數(shù)據(jù)庫服務(wù)器組成，主要安全問題是數(shù)據(jù)庫安全，重點(diǎn)是研究如何防范病毒侵入或外來移動(dòng)設(shè)備的接入以及外來非法用戶的侵入。外網(wǎng)指醫(yī)院網(wǎng)絡(luò)向其他外部單位（如各縣市醫(yī)保中心、市衛(wèi)生局、物價(jià)局、銀行等）開放的一個(gè)出口。外網(wǎng)區(qū)域由于連接的外網(wǎng)單位的安全防范措施各不相同，存在安全隱患——如果邊界區(qū)域沒有防范好，其他單位的病毒和攻擊很容易侵入醫(yī)院網(wǎng)絡(luò)中。

3 P2DR模型在醫(yī)院信息安全中的應(yīng)用

3.1 防護(hù)功能（Protection）實(shí)現(xiàn)

3.1.1 軟件防護(hù)

HIS安全防護(hù)的重點(diǎn)是訪問控制、加密、認(rèn)證等。①訪問控制主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法占用，HIS主要通過設(shè)立用戶權(quán)限口令來阻止非法登錄訪問HIS資源；② 加密技術(shù)的基本思想是通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性[4]。HIS在數(shù)據(jù)傳輸時(shí)采用數(shù)據(jù)加密技術(shù)，在數(shù)據(jù)發(fā)送方和接受方給以一些特殊的信息用于加/解密信息；③ 醫(yī)院認(rèn)證系統(tǒng)能對(duì)操作員用戶名/密碼、登錄終端、登錄時(shí)間進(jìn)行認(rèn)證，HIS中對(duì)不同的用戶設(shè)置不同的權(quán)限、不同的安全策略，這樣能保證系統(tǒng)與網(wǎng)絡(luò)資源的安全。現(xiàn)在在EMR中應(yīng)用非常廣泛的數(shù)字簽名是實(shí)現(xiàn)唯一身份認(rèn)證非常有效的方法，該方法僅次于指紋認(rèn)證系統(tǒng)。通過唯一身份認(rèn)證能對(duì)用戶的并發(fā)行為加以控制，便于網(wǎng)絡(luò)系統(tǒng)對(duì)用戶數(shù)據(jù)訪問的統(tǒng)一管理[3]；④ 內(nèi)網(wǎng)管理軟件，通過內(nèi)網(wǎng)管理軟件可以及時(shí)掌握終端使用情況，及時(shí)制止人為誤操作可能產(chǎn)生的安全隱患，防患于未然。

3.1.2 硬件防護(hù)

HIS的安全防護(hù)還有防火墻安全、防病毒攻擊、終端防護(hù)管理。① 醫(yī)院網(wǎng)絡(luò)有多個(gè)邊界，為確保外網(wǎng)訪問控制和保護(hù)內(nèi)網(wǎng)訪問，對(duì)于出口處的防火墻，在上面建立DMZ（內(nèi)網(wǎng)和外網(wǎng)均不能直接訪問的區(qū)域）網(wǎng)段；② 在所有計(jì)算方面安全威脅中，計(jì)算機(jī)病毒最為嚴(yán)重，發(fā)生頻率高、損失大、潛伏性強(qiáng)、覆蓋面廣。醫(yī)院通過建立各自動(dòng)更新服務(wù)網(wǎng)站，保證醫(yī)院各終端能進(jìn)行病毒庫及時(shí)升級(jí)，避免受到病毒攻擊；③ 醫(yī)院終端分布范圍廣、數(shù)量龐大，通過限制醫(yī)院各終端USB接口，嚴(yán)格控制非法軟件安裝，利用MAC地址綁定的辦法，嚴(yán)禁外來電腦私入醫(yī)院網(wǎng)絡(luò)。

3.2 檢測功能（Detection）實(shí)現(xiàn)

3.2.1 防火墻檢測

在網(wǎng)絡(luò)安全循環(huán)過程中，入侵檢測是非常重要的一個(gè)環(huán)節(jié)，它幫助系統(tǒng)有效對(duì)付網(wǎng)絡(luò)攻擊，增強(qiáng)系統(tǒng)管理員的安全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性[5]。防火墻本身具備入侵檢測功能，服務(wù)于整個(gè)網(wǎng)絡(luò)系統(tǒng)，同時(shí)根據(jù)需要配置入侵檢測的特征庫設(shè)置檢測到入侵行為之后的動(dòng)作，進(jìn)行安全事務(wù)處理。

3.2.2 數(shù)據(jù)庫安全檢測（審計(jì)）

HIS數(shù)據(jù)庫存儲(chǔ)著患者檢查檢驗(yàn)結(jié)果、疾病診斷、疾病治療方案、病人處方、醫(yī)療費(fèi)用等敏感信息，它是HIS中最核心、最重要的部分，這些信息的非法訪問和修改將會(huì)造成重大的醫(yī)療糾紛及經(jīng)濟(jì)損失。通過對(duì)數(shù)據(jù)庫操作的痕跡進(jìn)行詳細(xì)記錄和審計(jì)，使數(shù)據(jù)的所有者對(duì)數(shù)據(jù)庫訪問活動(dòng)有據(jù)可查，及時(shí)掌握數(shù)據(jù)庫的使用情況，并對(duì)存在的安全隱患進(jìn)行調(diào)整和改進(jìn)，是安全事件追蹤分析和責(zé)任追究數(shù)據(jù)庫安全檢測運(yùn)用的必要手段。數(shù)據(jù)庫安全審計(jì)系統(tǒng)通過對(duì)特定行為進(jìn)行邏輯描述，找出可疑行為的發(fā)起人員（Who）；根據(jù)對(duì)所有操作和訪問行為細(xì)粒度的客觀記錄進(jìn)行追溯，找出可疑人員所在科室、所在房間、使用的主機(jī)等物理訪問位置（Where），根據(jù)行為使用訪問數(shù)據(jù)協(xié)議進(jìn)行分析，找出可疑人員使用的工具（Way）、時(shí)間（When）；根據(jù)對(duì)非正常訪問的邏輯特征，系統(tǒng)進(jìn)行阻斷和告警（Work），并通過對(duì)可疑行為相關(guān)特征地深度分析，找出可疑人員的行為目的（What）；從這6大類入手，對(duì)敏感數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)各類行為（FTP、TELNET、HTTP）進(jìn)行有效審計(jì)和追溯，對(duì)違規(guī)操作進(jìn)行及時(shí)控制。

3.3 響應(yīng)功能（Response）實(shí)現(xiàn)

當(dāng)信息系統(tǒng)出現(xiàn)故障和安全問題時(shí)，及時(shí)恢復(fù)和響應(yīng)是非常重要的環(huán)節(jié)，在系統(tǒng)安全中占有最重要的地位[6-7]。要解決好響應(yīng)問題，就要制訂好應(yīng)急響應(yīng)方案，在發(fā)現(xiàn)信息系統(tǒng)故障和不安全因素后，安全系統(tǒng)需要及時(shí)反應(yīng)：①報(bào)告：無論系統(tǒng)的自動(dòng)化程度多高，都需要管理員知道是否有安全事件發(fā)生；② 記錄：必須將所有的情況記錄下來，包括安全事件的各個(gè)細(xì)節(jié)以及系統(tǒng)的反映；③ 反應(yīng)：進(jìn)行相應(yīng)的處理以阻止安全隱患的進(jìn)一步蔓延；④ 恢復(fù)：清除故障隱患，及時(shí)提供容災(zāi)備份系統(tǒng)，使業(yè)務(wù)能夠連續(xù)運(yùn)行。

醫(yī)院數(shù)據(jù)庫的安全備份非常重要，一般有本地磁盤冗余陣列（RAID5方式）、異地備份、磁帶備份等多種備份策略，一旦某設(shè)備出現(xiàn)錯(cuò)誤，能及時(shí)報(bào)警，對(duì)發(fā)生的錯(cuò)誤事件，日志能自動(dòng)將所有情況記錄下來。為此各大醫(yī)院均采用雙機(jī)熱備份方式實(shí)現(xiàn)系統(tǒng)集群，一旦某臺(tái)機(jī)器發(fā)生故障，另外一臺(tái)機(jī)器通過自動(dòng)接管服務(wù)器變成主服務(wù)器，整個(gè)過程切換一般不超過1 min，這樣可以將系統(tǒng)中斷時(shí)間降到最低，使醫(yī)院業(yè)務(wù)能夠連續(xù)運(yùn)行。因此醫(yī)院系統(tǒng)容災(zāi)備份與恢復(fù)是HIS安全響應(yīng)過程中極其重要的一部分[8]。

3.4 策略功（Policy）能實(shí)現(xiàn)

安全策略是安全管理的核心，要實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全循環(huán)過程，必須首先制定醫(yī)院的安全策略，所有的防護(hù)、檢測、響應(yīng)都要依據(jù)安全策略實(shí)施，醫(yī)院安全策略為安全管理提供管理方向和支持手段。

在安全策略實(shí)現(xiàn)上，主要按照最小授權(quán)的原則，一般只開放業(yè)務(wù)應(yīng)用需要的端口，同時(shí)為了保障業(yè)務(wù)系統(tǒng)的最高優(yōu)先級(jí)，在做好相應(yīng)的QOS（Quality Of Service）的同時(shí)，對(duì)內(nèi)部人員訪問核心數(shù)據(jù)進(jìn)行必要的限制等措施。同時(shí)在允許的規(guī)則中起用日志審計(jì)功能。按照縱深防御原則，網(wǎng)絡(luò)安全防護(hù)系統(tǒng)應(yīng)該是一個(gè)多層次的安全系統(tǒng)，避免網(wǎng)絡(luò)中的“單點(diǎn)失效”，網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的過程中關(guān)鍵的部分需要采用備份網(wǎng)絡(luò)設(shè)備、主機(jī)和數(shù)據(jù)庫，以防設(shè)備失效和數(shù)據(jù)丟失[9]。

再好的防護(hù)措施也不能保證萬無一失，針對(duì)醫(yī)院這一特殊應(yīng)用客戶，還要制定合理的應(yīng)急預(yù)案，我院規(guī)定：如果網(wǎng)絡(luò)故障超過15 min，則啟動(dòng)本地系統(tǒng)程序，所有數(shù)據(jù)均暫時(shí)存放本地硬盤，這樣可以不間斷地進(jìn)行掛號(hào)、收費(fèi)、取藥，減少病人排隊(duì)等待時(shí)間，等網(wǎng)絡(luò)故障解決后，數(shù)據(jù)自動(dòng)上傳，保證醫(yī)療數(shù)據(jù)完整安全。

本文將P2DR模型的理論應(yīng)用于HIS安全，希望能為HIS安全防護(hù)提供有益的參考。醫(yī)院信息安全是一項(xiàng)復(fù)雜的工程，需要全面考慮，P2DR模型在HIS安全的應(yīng)用只是醫(yī)院信息安全建設(shè)中的一部分，建立嚴(yán)格的安全管理制度、使用成熟的安全技術(shù)才是解決HIS安全的根本。不可能有一套通用的HIS安全模型，具體問題還要結(jié)合實(shí)際具體分析應(yīng)用。

[1]王玉珍,賀瀅,馬婧,等.醫(yī)院信息系統(tǒng)安全保障體系存在的風(fēng)險(xiǎn)分析[J].醫(yī)療衛(wèi)生裝備,2007,28(6):38-39.

[2]劉志.基于P2DR動(dòng)態(tài)安全模型的SHTERM產(chǎn)品設(shè)計(jì)與實(shí)現(xiàn)[D].北京:北京郵電大學(xué),2008.

[3]馮毅.基于P2DR模型的網(wǎng)銀安全體系方案設(shè)計(jì)[J].中國科技信息,2011,(14):104-105.

[4]范春雨.醫(yī)院信息系統(tǒng)安全及對(duì)策[J].科技創(chuàng)新導(dǎo)報(bào),2010,(1):215-216.

[5]黃澤斌.基于P2DR模型的安全解決方案研究[J].計(jì)算機(jī)與信息技術(shù),2007,(2):79-80.

[6]楊雪梅.基于P2DR模型的關(guān)鍵應(yīng)用信息系統(tǒng)防御體系[J].計(jì)算機(jī)與應(yīng)用化學(xué),2010,27(8):1154-1156.

[7]阿孜古麗.醫(yī)院數(shù)據(jù)庫數(shù)據(jù)安全維護(hù)的分析及策略[J].中國醫(yī)療設(shè)備,2011,26(6):87,69.

[8]靳燕,王建珍.實(shí)現(xiàn)系統(tǒng)安全的技術(shù)方案分析[J].電腦開始與應(yīng)用,2010,23(7):20-22.

[9]李結(jié)松.辦公網(wǎng)絡(luò)安全策略研究及技術(shù)實(shí)現(xiàn)[J].計(jì)算機(jī)與現(xiàn)代化,2012,(3):101-102.