唐辰

摘要：本文介紹了信息系統(tǒng)安全管理原則和國內(nèi)醫(yī)療信息安全體系，就影響醫(yī)療機構(gòu)信息系統(tǒng)安全的因素進行了較全面的分析，并提出了相應(yīng)的安全策略，同時對醫(yī)療信息隱私保護措施提出了建議。

關(guān)鍵詞：信息安全；醫(yī)院信息系統(tǒng)；安全措施

隨著信息與網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，我們進入了一個信息爆炸的時代，人們可以輕松便捷的通過網(wǎng)絡(luò)技術(shù)來進行各種活動。伴隨而來的信息安全問題也越發(fā)嚴重，也受到越來越多行業(yè)的關(guān)注，在網(wǎng)絡(luò)技術(shù)發(fā)展普及的同時，信息技術(shù)業(yè)在醫(yī)學(xué)領(lǐng)域得到廣泛的應(yīng)用，同樣醫(yī)療機構(gòu)信息系統(tǒng)的信息安全性在當今也同樣得到極大的重視。

1 信息系統(tǒng)安全管理的原則

信息系統(tǒng)安全的核心目標是為關(guān)鍵資產(chǎn)提供可用性、完整性和機密性[1]，所有安全控制、機制和防護措施的實現(xiàn)都是為了提供這些原則中的一個或多個。基于安全需求原則，醫(yī)療機構(gòu)應(yīng)根據(jù)其信息系統(tǒng)擔(dān)負的使命，積累的信息資產(chǎn)的重要性，可能受到的威脅及面臨的風(fēng)險分析安全需求，按照信息系統(tǒng)等級保護要求確定相應(yīng)的信息系統(tǒng)安全保護等級，遵從相應(yīng)等級的規(guī)范要求，從全局上恰當?shù)仄胶獍踩度肱c效果，做到技術(shù)和管理并重。

2 國內(nèi)醫(yī)療信息安全體系

在醫(yī)療活動中，醫(yī)療機構(gòu)為了診斷及科研等其他需要，經(jīng)常使用醫(yī)療信息系統(tǒng)采集、發(fā)布大量的醫(yī)療相關(guān)數(shù)據(jù)，其中包含著患者的基本信息和敏感信息。如何有效的避免隱私信息的泄露也是越來越多醫(yī)療機構(gòu)普遍遇到的問題。與此同時，衛(wèi)生行政主管部門認識到了醫(yī)療機構(gòu)信息系統(tǒng)安全的重要性，也逐年發(fā)布醫(yī)療信息保障管理辦法。2004年9月發(fā)布的《關(guān)于信息安全等級保護工作的實施意見》（公通字[2004]66號）進一步強調(diào)了開展信息安全等級保護工作的重要意義，規(guī)定了實施信息安全等級保護制度的原則、內(nèi)容、職責(zé)分工、基本要求和實施計劃，部署了實施信息安全等級保護工作的操作辦法。2011年，信息安全等級保護已列入《三級綜合醫(yī)院評審標準》中信息化規(guī)范建設(shè)的重要考核依據(jù)與指標。2011年衛(wèi)生部發(fā)布《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》，要求衛(wèi)生行業(yè)“全面開展信息安全等級保護工作”。

3 醫(yī)院信息安全治理與風(fēng)險管理

醫(yī)院系統(tǒng)信息安全風(fēng)險管理的傳統(tǒng)措施是以邊界、安全域為主的思路和模式，采用被動的、防御型的技術(shù)手段，屬于應(yīng)對型的安全建設(shè)模式[2]。近些年來，隨著安全技術(shù)的快速發(fā)展，醫(yī)院信息安全規(guī)劃與建設(shè)思路也在發(fā)生轉(zhuǎn)變，其防護重點逐漸轉(zhuǎn)向醫(yī)院信息系統(tǒng)數(shù)據(jù)內(nèi)容、應(yīng)用、用戶身份和行為等全方位的安全防護；安全治理觀念也逐漸轉(zhuǎn)變?yōu)橹鲃臃烙暮弦?guī)管理工作，同時加強醫(yī)院信息安全監(jiān)控綜合分析。通過信息系統(tǒng)安全指標作為衡量依據(jù)，衡量安全建設(shè)績效推進醫(yī)院信息系統(tǒng)安全治理，從而以工具化、自動化的安全手段，應(yīng)對不斷擴張的IT資產(chǎn)管理，有效落實安全管理要求。

醫(yī)院信息安全責(zé)任部門正確運用控制措施能降低醫(yī)院信息系統(tǒng)安全面臨的風(fēng)險，控制主要分為三種類型：管理控制、技術(shù)控制和物理控制[3]。管理控制因為通常是面向管理的，所以經(jīng)常被稱為“軟控制”，如安全文檔、風(fēng)險管理、人員安全和培訓(xùn)都屬于管理控制；技術(shù)控制也稱為邏輯控制由軟件或硬件組成，如防火墻、入侵檢測系統(tǒng)、加密、身份識別和認證機制；物理控制用來保護設(shè)備、人員和資源，保安、鎖、圍墻等都屬于物理控制。在實際建設(shè)和規(guī)劃中，醫(yī)院信息安全責(zé)任部門應(yīng)正確以分層的方法綜合使用多個安全控制類型，為醫(yī)院信息平臺提供安全深度防御。由于入侵者在獲得訪問關(guān)鍵資產(chǎn)前將不得不穿越多個不同的保護機制，因此多層防御能夠?qū)B透成功率和威脅降低到最小，從而保障醫(yī)療機構(gòu)信息系統(tǒng)安全。

4 醫(yī)院系統(tǒng)的安全風(fēng)險分析及對策

4.1訪問控制安全 安全的根本所在是通過控制如何訪問信息資源來防范資源泄露或未經(jīng)授權(quán)的修改。訪問控制是一種安全手段，控制用戶和系統(tǒng)如何與其他系統(tǒng)和資源進行通信和交互。訪問控制能夠保護系統(tǒng)和資源免受未經(jīng)授權(quán)的訪問，并且在身份驗證過程成功結(jié)束之后確定授權(quán)訪問的等級。信息訪問控制的實現(xiàn)手段在本質(zhì)上都處于技術(shù)性、物理性或行政管理性層面。同時需要注意，任何接口處是最應(yīng)該實施安全控制的一個地方，需要層層縱深防御來實施訪問控制。訪問控制是防范醫(yī)療機構(gòu)信息系統(tǒng)和資源被未授權(quán)訪問的第一道防線，系統(tǒng)使用用戶的訪問權(quán)限主要基于其身份、許可等級和/或組成員資格。訪問控制給予組織機構(gòu)控制、限制、監(jiān)控以及保護資源可用性、完整性和機密性的能力[4]。

4.2計算機及操作系統(tǒng)安全 計算機是系統(tǒng)內(nèi)提供某類安全并實施系統(tǒng)安全策略的所有硬件、軟件和固件的組合，然而其并不僅限于操作系統(tǒng)，操作系統(tǒng)的主要風(fēng)險包括系統(tǒng)漏洞和文件病毒等。醫(yī)療機構(gòu)的信息安全責(zé)任部門需對帳戶、訪問、用戶權(quán)限等進行管理與控制，做好定期監(jiān)視、審計和時間日志記錄和分析。可以采用通過修改注冊表，屏蔽客戶端操作系統(tǒng)無關(guān)的內(nèi)容，限制訪問相關(guān)資源；還應(yīng)及時下載系統(tǒng)補丁，盡可能關(guān)閉不需要的端口，以彌補系統(tǒng)漏洞而給醫(yī)院信息系統(tǒng)安全性帶來的各類隱患。醫(yī)療機構(gòu)辦公計算機中的很多安全管理軟件會產(chǎn)生安全日志，應(yīng)由信息安全主管部門對這些安全日志進行管理分析以不斷強化整體安全解決方案，例如針對于醫(yī)院可能發(fā)生的“統(tǒng)方”時間以及其他對醫(yī)院影響較大的安全事件，醫(yī)療機構(gòu)主管部門應(yīng)能夠及時發(fā)現(xiàn)、定位、報警以及事后審計。

4.3數(shù)據(jù)庫安全 數(shù)據(jù)庫是為收集到的數(shù)據(jù)提供結(jié)構(gòu)化的機制，因為不同的醫(yī)療機構(gòu)或信息收集部門處理不同類型的數(shù)據(jù)，需對信息執(zhí)行的功能操作不同，所以每個醫(yī)院信息系統(tǒng)數(shù)據(jù)庫實現(xiàn)的結(jié)構(gòu)化規(guī)范也不盡相同。它們的工作負載、數(shù)據(jù)之間的關(guān)系、性能需求和安全目標會有所差別。

數(shù)據(jù)庫安全包含系統(tǒng)運行安全和系統(tǒng)信息安全，數(shù)據(jù)庫系統(tǒng)的安全特性主要是針對數(shù)據(jù)而言的，包括數(shù)據(jù)獨立性、數(shù)據(jù)安全性、數(shù)據(jù)完整性、并發(fā)控制、故障恢復(fù)等幾個方面。醫(yī)療機構(gòu)的信息系統(tǒng)數(shù)據(jù)庫防護手段主要包括事前診斷，事中控制和事后審計、分析、評估。

4.4物理和環(huán)境安全 在處理計算機安全并采取措施應(yīng)對黑客、端口、病毒等問題時，很多醫(yī)院并沒有很認真對待系統(tǒng)所處的物理安全。如果不能為醫(yī)院信息系統(tǒng)所處的環(huán)境提供可靠的物理安全，那么系統(tǒng)信息安全只能是一句空話。

醫(yī)院信息系統(tǒng)應(yīng)采取各種措施，如設(shè)置安防系統(tǒng)、攝像監(jiān)控、入侵監(jiān)測系統(tǒng)（IDS）以及要求員工保持高度的安全風(fēng)險意識。醫(yī)院還應(yīng)積極進行物理環(huán)境安全設(shè)施建造，并執(zhí)行物理環(huán)境安全的規(guī)章制度。物理安全措施必須能夠應(yīng)對物理破壞、入侵者、環(huán)境破壞、盜竊和故意破壞，醫(yī)院信息安全管理部門在考慮信息安全時，應(yīng)主要關(guān)注的是攻擊者如何通過端口或無線接入點以未授權(quán)方式進入某個環(huán)境；當看待物理環(huán)境時，他們應(yīng)關(guān)心的是攻擊者如何以武力方式進入環(huán)境，從而造成一些破壞。

5 醫(yī)療信息隱私保護

在醫(yī)院進行醫(yī)療過程中，患者疾病和醫(yī)療行為的信息會形成關(guān)于身體特征、健康狀況的客觀記錄。這些記錄既包括患者身體特征記錄、疾病診斷記錄以及其他與健康有關(guān)的情況，還包括這些情況當中蘊含的信息。信息泄露方式有兩種，身份泄露和屬性泄露[5]?；颊咭蛟\療服務(wù)需要而被醫(yī)療機構(gòu)及醫(yī)務(wù)人員合法獲悉，但其不愿意他人知悉的個人情況，即患者的隱私，包括姓名、性別、出生日期、家庭住址、聯(lián)系方式、收入情況，以及所患疾病、既往病史等信息。

5.1數(shù)據(jù)匿名化 保護患者的隱私和安全，確保在醫(yī)療信息系統(tǒng)中以及提供正常醫(yī)療服務(wù)以外的（例如醫(yī)療保險、醫(yī)療機構(gòu)的某種研究）傳遞中使用的患者資料不向非授權(quán)用戶透露患者的身份信息。個性化匿名，不同敏感屬性值具有不同的隱私保護需求，對其提供不同粒度的隱私保護，在保證安全性的同時也能減少全局匿名化處理造成的信息損失[6]。

5.2加密和數(shù)字簽名 創(chuàng)建和管理數(shù)據(jù)存儲的加密密鑰，數(shù)據(jù)庫加密，加密數(shù)據(jù)庫表中的數(shù)據(jù)字段以保護患者檔案和醫(yī)療信息系統(tǒng)中處于使用狀態(tài)的關(guān)鍵系統(tǒng)數(shù)據(jù)[7]。由醫(yī)療信息系統(tǒng)的用戶創(chuàng)建數(shù)字簽名，確保臨床數(shù)據(jù)的不可否認性，例如診療記錄、報告和安全聲明等。

5.3身份認證和訪問控制 根據(jù)角色級別、用戶類型及其對醫(yī)療信息系統(tǒng)的重要性來選擇是否進行身份認證，對不同的用戶選擇恰當?shù)纳矸菡J證手段[8]。訪問控制策略要有具體的時間和空間條件限制，保證具有訪問權(quán)限的用戶，只有在指定范圍內(nèi)的時間、空間方位，才有權(quán)限訪問醫(yī)療信息系統(tǒng)。

5.4網(wǎng)絡(luò)通信的安全保障 醫(yī)療信息系統(tǒng)要使用安全設(shè)備實時監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流、偵測并隔離危險的網(wǎng)絡(luò)行為，自動檢測并處理安全事件，降低使用風(fēng)險，確保醫(yī)療業(yè)務(wù)數(shù)據(jù)通信的安全性。

5.5安全審計 對每個事務(wù)所涉及到的醫(yī)院信息系統(tǒng)、用戶、醫(yī)療工作人員、患者醫(yī)療信息數(shù)據(jù)的行為進行記錄，幫助安全人員審計系統(tǒng)的可靠性和安全性。

參考文獻：

[1]尚邦治.醫(yī)院信息系統(tǒng)安全問題[J].醫(yī)療設(shè)備信息，2004，（09）.

[2]武志紅.醫(yī)院信息系統(tǒng)的安全維護措施[J].中國醫(yī)學(xué)裝備，2009，（01）.

[3]蘇新寧.信息檢索理論與技術(shù)[M].北京：科學(xué)技術(shù)文獻出版社，2004.

[4]國家質(zhì)量技術(shù)監(jiān)督局發(fā)布.GBT18336·1-2001，信息技術(shù)，安全技術(shù)信息技術(shù)安全性評估準則，第1部分：簡介和一般模型[M].中國標準出版社，2001.

[5]張洪光.信息安全管理實用規(guī)則——ISOIEC 17799：2005介紹[J]. 中國質(zhì)量認證，2006（10）：35-37.

[6]阮連軍.淺談醫(yī)院信息系統(tǒng)安全穩(wěn)定運行[J].醫(yī)療裝備，2009，（02）.

[7]穆荔，張小莊，梁霞.醫(yī)院管理信息系統(tǒng)的管理[J].中華醫(yī)院管理雜志，2000，（03）.

[8]郇文娟.醫(yī)院應(yīng)重視避免網(wǎng)絡(luò)災(zāi)難[J].中華醫(yī)院管理雜志，1998，（11）.

編輯/楊倩