王培蘭 王金亮 周素月 杜 婧 王子民 王龍基 賈曉清

醫(yī)院體檢信息的網(wǎng)絡(luò)安全管理*

王培蘭①王金亮②*周素月①杜 婧①王子民①王龍基①賈曉清①

目的：設(shè)計(jì)醫(yī)院體檢信息的網(wǎng)絡(luò)安全訪問(wèn)管理方案，實(shí)施醫(yī)院體檢信息的網(wǎng)絡(luò)安全管理。方法：按照訪問(wèn)體檢信息系統(tǒng)的用戶來(lái)源和網(wǎng)絡(luò)連接方式，將數(shù)據(jù)訪問(wèn)的管理方案分為局域網(wǎng)安全管理、互聯(lián)網(wǎng)安全管理和專網(wǎng)安全管理。結(jié)果：利用防病毒軟件、虛擬局域網(wǎng)(VLAN)管理、單向數(shù)據(jù)傳輸、隔離網(wǎng)閘和安全網(wǎng)關(guān)多因素認(rèn)證機(jī)制等技術(shù)手段，加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制。結(jié)論：針對(duì)不同的網(wǎng)絡(luò)環(huán)境和用戶，采用適當(dāng)?shù)陌踩芾矸桨福軌蛱岣哚t(yī)院體檢信息的訪問(wèn)安全性。

體檢信息；網(wǎng)絡(luò)安全；訪問(wèn)控制

目前，許多醫(yī)院已在健康體檢工作中應(yīng)用專門的體檢信息管理系統(tǒng)，實(shí)現(xiàn)體檢數(shù)據(jù)從手工紙質(zhì)操作到網(wǎng)絡(luò)信息化操作的轉(zhuǎn)變[1-2]。體檢信息管理系統(tǒng)是健康體檢醫(yī)學(xué)的重要技術(shù)支撐手段，通過(guò)對(duì)體檢部門的工作流程進(jìn)行規(guī)范、系統(tǒng)的信息化管理，可以顯著減少工作人員的手工錄入操作，提高工作效率，增加體檢信息的利用率，為體檢者提供更優(yōu)質(zhì)的服務(wù)[3-4]。體檢信息系統(tǒng)能夠幫助醫(yī)院或體檢管理部門更快捷方便地獲取和掌握體檢大數(shù)據(jù)，通過(guò)統(tǒng)計(jì)分析相關(guān)信息，改進(jìn)業(yè)務(wù)流程，提高服務(wù)質(zhì)量，提供決策管理支持和健康管理服務(wù)[5-6]。

隨著新醫(yī)改的推進(jìn)和大眾健康意識(shí)的不斷增強(qiáng)，各級(jí)衛(wèi)生部門和群眾對(duì)健康體檢的需求更加多元化。體檢人員和管理者需要更方便、全面和持續(xù)地了解體檢信息和相關(guān)服務(wù)，對(duì)體檢信息管理系統(tǒng)的訪問(wèn)需求也隨之增多。為此，有些醫(yī)院針對(duì)不同用戶提供了體檢結(jié)果網(wǎng)上發(fā)布、健康咨詢和區(qū)域共享等服務(wù)，得到用戶的肯定和歡迎[7-8]。然而，在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，如何保證體檢信息的安全性，防止體檢者的個(gè)人隱私泄露，防范不良意圖的網(wǎng)絡(luò)攻擊等，是體檢信息系統(tǒng)管理者必須考慮的重要問(wèn)題。為此，本研究針對(duì)醫(yī)院體檢信息管理系統(tǒng)，分析其數(shù)據(jù)訪問(wèn)的功能模塊和面臨的網(wǎng)絡(luò)安全性問(wèn)題，設(shè)計(jì)安全訪問(wèn)機(jī)制和管理方案。

1 醫(yī)院體檢信息管理系統(tǒng)

1.1 系統(tǒng)概況

體檢信息管理系統(tǒng)的功能基本涵蓋了體檢中心的各項(xiàng)日常業(yè)務(wù)活動(dòng)，包括體檢預(yù)約、人員登記、計(jì)價(jià)收費(fèi)、檢查、檢驗(yàn)、醫(yī)生工作站、結(jié)果發(fā)布、統(tǒng)計(jì)分析和報(bào)表等，能夠完成體檢人員基礎(chǔ)信息、體檢信息的采集、存儲(chǔ)與匯總分析。系統(tǒng)建有獨(dú)立的數(shù)據(jù)庫(kù)和應(yīng)用服務(wù)器，采用瀏覽器與服務(wù)器(browser/ server，B/S)架構(gòu)，數(shù)據(jù)庫(kù)管理使用Oracle11g，應(yīng)用服務(wù)器使用Tomcat6.0。系統(tǒng)通過(guò)醫(yī)院內(nèi)部局域網(wǎng)與醫(yī)院信息系統(tǒng)(hospital information system，HIS)、實(shí)驗(yàn)室信息系統(tǒng)(laboratory information system，LIS)和影像歸檔及傳輸系統(tǒng)(picture archiving and communication systems，PACS)等多個(gè)信息系統(tǒng)實(shí)現(xiàn)無(wú)縫連接，其費(fèi)用、檢驗(yàn)及檢查等功能模塊能夠與醫(yī)院其他系統(tǒng)進(jìn)行數(shù)據(jù)交互和共享。

1.2 數(shù)據(jù)訪問(wèn)流程

體檢數(shù)據(jù)的訪問(wèn)功能模塊主要包括受檢者個(gè)人查詢模塊、體檢工作模塊和系統(tǒng)管理模塊。受檢者個(gè)人查詢模塊允許受檢者查詢自己某次體檢的具體數(shù)據(jù)，也可查看某時(shí)間段內(nèi)個(gè)人生理參數(shù)的變化情況。體檢工作模塊由體檢工作人員使用，完成日常業(yè)務(wù)操作，不僅可以根據(jù)受檢者ID號(hào)查詢受檢個(gè)人的體檢結(jié)果，還能通過(guò)組合條件查詢，如單位、性別、年齡及生理參數(shù)等指標(biāo)，統(tǒng)計(jì)查詢特定人群的體檢結(jié)果。系統(tǒng)管理員則登錄專用的系統(tǒng)管理模塊，對(duì)受檢者個(gè)人資料、體檢醫(yī)生信息以及系統(tǒng)的功能參數(shù)進(jìn)行維護(hù)。

用戶分為受檢者、工作人員和管理員3類。受檢者個(gè)人登錄系統(tǒng)后，通過(guò)查詢界面發(fā)出對(duì)體檢信息數(shù)據(jù)的查詢請(qǐng)求，體檢信息數(shù)據(jù)庫(kù)根據(jù)請(qǐng)求內(nèi)容，返回相應(yīng)的查詢結(jié)果。工作人員登錄到系統(tǒng)后，可以完成體檢相關(guān)信息的錄入、修改和查詢統(tǒng)計(jì)等。管理員則可對(duì)系統(tǒng)中所有用戶的信息進(jìn)行管理，包括對(duì)用戶的查詢、新增、刪除和修改等操作。體檢信息系統(tǒng)的數(shù)據(jù)訪問(wèn)流程如圖1所示。

1.3 網(wǎng)絡(luò)安全需求

圖1 體檢信息數(shù)據(jù)訪問(wèn)流程示圖

信息安全是所有信息管理系統(tǒng)必須面對(duì)的重要問(wèn)題。除了硬件故障、系統(tǒng)崩潰和軟件設(shè)計(jì)缺陷等系統(tǒng)安全問(wèn)題外，體檢信息管理系統(tǒng)還需要處理的一類安全問(wèn)題是在終端訪問(wèn)服務(wù)器過(guò)程中可能出現(xiàn)的非法操作、惡意攻擊和信息泄露風(fēng)險(xiǎn)等[9]。體檢信息系統(tǒng)每日處理大量個(gè)人信息、就診記錄及費(fèi)用結(jié)算等敏感數(shù)據(jù)，而訪問(wèn)系統(tǒng)的用戶身份復(fù)雜，網(wǎng)絡(luò)環(huán)境不完全可控，某些情況下系統(tǒng)甚至需要跨網(wǎng)運(yùn)行，所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不容忽視。因此，有必要針對(duì)不同的用戶和網(wǎng)絡(luò)環(huán)境，設(shè)計(jì)有效可行的解決方案，為訪問(wèn)體檢信息系統(tǒng)數(shù)據(jù)提供足夠的安全保障。

2 醫(yī)院體檢信息管理系統(tǒng)設(shè)計(jì)

按照訪問(wèn)系統(tǒng)的用戶來(lái)源和網(wǎng)絡(luò)連接方式，可以將數(shù)據(jù)訪問(wèn)的管理方案分為3種類型，即局域網(wǎng)安全管理、互聯(lián)網(wǎng)安全管理和專網(wǎng)安全管理。

2.1 局域網(wǎng)安全管理

體檢信息管理系統(tǒng)的數(shù)據(jù)庫(kù)和應(yīng)用服務(wù)器都架設(shè)在醫(yī)院內(nèi)部的局域網(wǎng)上，系統(tǒng)的局域網(wǎng)安全防護(hù)措施由HIS的管理員統(tǒng)一配置，包括防病毒軟件、安全網(wǎng)關(guān)和虛擬局域網(wǎng)(virtual local area network，VLAN)管理、數(shù)據(jù)庫(kù)容災(zāi)備份系統(tǒng)等，其安全措施可有效控制廣播風(fēng)暴、病毒傳播以及非法用戶訪問(wèn)，并能夠簡(jiǎn)化系統(tǒng)管理員的網(wǎng)絡(luò)管理工作，降低系統(tǒng)管理成本。

局域網(wǎng)用戶包括體檢中心工作人員、系統(tǒng)管理員和醫(yī)院其他部門的工作人員。系統(tǒng)針對(duì)各類用戶的不同角色，為其賦予相應(yīng)的用戶權(quán)限，限制其在系統(tǒng)內(nèi)的業(yè)務(wù)操作。訪問(wèn)系統(tǒng)的每個(gè)用戶都要進(jìn)行身份驗(yàn)證，不同角色的用戶登錄后的功能界面也不盡相同。

體檢中心工作人員參與體檢信息的錄入、采集及分析等數(shù)據(jù)生成和統(tǒng)計(jì)業(yè)務(wù)，其用戶訪問(wèn)權(quán)限較高，根據(jù)其體檢工作角色完成體檢數(shù)據(jù)的增刪改操作。系統(tǒng)管理員既可根據(jù)需要對(duì)體檢信息進(jìn)行查詢修改，又可處理工作人員的基本信息和用戶權(quán)限，并對(duì)系統(tǒng)的功能模塊作維護(hù)處理。醫(yī)院其他工作人員則按照各自的崗位性質(zhì)擁有相應(yīng)的工作權(quán)限，其工作人員也可能是健康體檢業(yè)務(wù)的受檢者，需要具備以受檢個(gè)人身份訪問(wèn)系統(tǒng)數(shù)據(jù)的權(quán)限。

2.2 互聯(lián)網(wǎng)安全管理

醫(yī)院的醫(yī)療網(wǎng)絡(luò)本身屬于非涉密計(jì)算機(jī)網(wǎng)絡(luò)，主要處理與醫(yī)院診療業(yè)務(wù)相關(guān)的信息，與涉密網(wǎng)絡(luò)之間應(yīng)采取物理隔離措施。按照醫(yī)院安全管理規(guī)定，醫(yī)療網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間也需要物理隔離，以確保醫(yī)療信息的網(wǎng)絡(luò)安全。由于體檢信息管理系統(tǒng)的服務(wù)器以及交換機(jī)等網(wǎng)絡(luò)設(shè)備與醫(yī)院醫(yī)療網(wǎng)絡(luò)是物理連接的，不允許體檢系統(tǒng)再與互聯(lián)網(wǎng)進(jìn)行物理連接。因此，為滿足互聯(lián)網(wǎng)用戶的體檢信息查詢、健康咨詢和隨訪服務(wù)等需求，安全管理方案需要在互聯(lián)網(wǎng)上建設(shè)獨(dú)立的體檢信息系統(tǒng)。

在安全隔離區(qū)內(nèi)，新建一套互聯(lián)網(wǎng)專用體檢信息系統(tǒng)。其架構(gòu)與醫(yī)院局域網(wǎng)內(nèi)體檢信息管理系統(tǒng)的基本架構(gòu)相同，采用同樣的數(shù)據(jù)庫(kù)表結(jié)構(gòu)和應(yīng)用服務(wù)器管理模式。在構(gòu)建新系統(tǒng)的過(guò)程中，醫(yī)院數(shù)據(jù)庫(kù)管理員負(fù)責(zé)從醫(yī)院體檢信息數(shù)據(jù)庫(kù)中提取與互聯(lián)網(wǎng)用戶相關(guān)的表數(shù)據(jù)，并導(dǎo)入到隔離區(qū)域的專用數(shù)據(jù)庫(kù)。當(dāng)新建系統(tǒng)接入互聯(lián)網(wǎng)后，其相關(guān)設(shè)備不再與醫(yī)院醫(yī)療網(wǎng)絡(luò)進(jìn)行物理連接，其所有網(wǎng)絡(luò)安全防護(hù)措施均按照醫(yī)院現(xiàn)有的互聯(lián)網(wǎng)管理規(guī)定執(zhí)行，包括配置防火墻、防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)(intrusion detection system，IDS)、安全審計(jì)系統(tǒng)等。對(duì)于醫(yī)院局域網(wǎng)體檢信息管理系統(tǒng)所有與互聯(lián)網(wǎng)用戶相關(guān)的新增數(shù)據(jù)，管理員都要通過(guò)增量備份的方式導(dǎo)出，并以光盤刻錄形式或通過(guò)數(shù)據(jù)單向傳輸系統(tǒng)等工具，定期或者按需將其導(dǎo)入互聯(lián)網(wǎng)的體檢信息系統(tǒng)，供互聯(lián)網(wǎng)用戶使用?；ヂ?lián)網(wǎng)安全管理框架如圖2所示。

圖2 互聯(lián)網(wǎng)安全管理拓?fù)鋱D

體檢信息系統(tǒng)的互聯(lián)網(wǎng)用戶包括系統(tǒng)管理員、體檢工作人員以及受檢單位和個(gè)人。系統(tǒng)管理員負(fù)責(zé)維護(hù)系統(tǒng)、更新數(shù)據(jù)和管理等工作，并為工作人員、受檢單位和個(gè)人授予相應(yīng)權(quán)限。體檢工作人員主要完成隨訪工作，根據(jù)受檢者的體檢信息提供健康指導(dǎo)。受檢單位和個(gè)人則利用系統(tǒng)管理員提供的用戶名和密碼，通過(guò)互聯(lián)網(wǎng)登錄系統(tǒng)，進(jìn)行權(quán)限范圍內(nèi)的數(shù)據(jù)查詢和統(tǒng)計(jì)，并可以與體檢工作人員在線交流，獲取與體檢相關(guān)的健康教育和咨詢服務(wù)。

2.3 專網(wǎng)安全管理

在日常工作中，醫(yī)院的醫(yī)療網(wǎng)絡(luò)還會(huì)與外部的業(yè)務(wù)專網(wǎng)進(jìn)行數(shù)據(jù)共享和傳輸，包括地方基本醫(yī)療保險(xiǎn)網(wǎng)絡(luò)、費(fèi)用支付專線等，其業(yè)務(wù)專網(wǎng)既能夠與醫(yī)院的醫(yī)療網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換，訪問(wèn)醫(yī)院的體檢信息系統(tǒng)。地方基本醫(yī)療保險(xiǎn)網(wǎng)絡(luò)是為地方醫(yī)療保險(xiǎn)的各項(xiàng)業(yè)務(wù)工作提供信息交互、處理及決策的綜合運(yùn)行管理平臺(tái)，通過(guò)網(wǎng)絡(luò)運(yùn)營(yíng)商提供的基于虛擬專用網(wǎng)(virtual private network，VPN)技術(shù)的專線，將醫(yī)保經(jīng)辦機(jī)構(gòu)與各級(jí)醫(yī)療機(jī)構(gòu)相互連接。醫(yī)療機(jī)構(gòu)的掛號(hào)、收費(fèi)、住院結(jié)算及醫(yī)保管理等功能均需與醫(yī)保網(wǎng)絡(luò)進(jìn)行頻繁的數(shù)據(jù)交換。醫(yī)院體檢信息管理系統(tǒng)可以借助醫(yī)院醫(yī)療網(wǎng)絡(luò)與地方醫(yī)保網(wǎng)絡(luò)之間的信息交互安全解決方案，實(shí)現(xiàn)對(duì)體檢信息的專網(wǎng)安全管理。

在專網(wǎng)的邊界部署網(wǎng)絡(luò)隔離與信息交互設(shè)備(隔離網(wǎng)閘)。隔離網(wǎng)閘采用1臺(tái)內(nèi)網(wǎng)主機(jī)、1臺(tái)外網(wǎng)主機(jī)和1個(gè)基于ASIC芯片技術(shù)硬件電子開(kāi)關(guān)設(shè)備的3主機(jī)結(jié)構(gòu)設(shè)計(jì)，在醫(yī)院局域網(wǎng)與醫(yī)保專網(wǎng)之間建立安全隔離區(qū)。在內(nèi)外網(wǎng)發(fā)生數(shù)據(jù)交互時(shí)，數(shù)據(jù)首先傳輸?shù)礁綦x網(wǎng)閘的內(nèi)外網(wǎng)主機(jī)上。隔離網(wǎng)閘利用直接內(nèi)存讀寫方式，讀取內(nèi)外網(wǎng)主機(jī)上的數(shù)據(jù)，其讀寫控制權(quán)不受外界影響和控制。而硬件電子開(kāi)關(guān)不含操作系統(tǒng)，只允許進(jìn)行文件級(jí)的數(shù)據(jù)擺渡，不接受任何網(wǎng)絡(luò)通訊指令，使外部攻擊無(wú)法使用傳輸控制協(xié)議與Internet協(xié)議(transmission control protocol/internet protocol，TCP/IP)等網(wǎng)絡(luò)協(xié)議通過(guò)安全隔離區(qū)。隔離網(wǎng)閘能夠?qū)崿F(xiàn)L3—7層的訪問(wèn)控制，保證了系統(tǒng)具有極高的抗攻擊能力。

傳統(tǒng)的網(wǎng)絡(luò)認(rèn)證方式主要使用PKI數(shù)字證書、用戶名與口令等基于用戶身份的認(rèn)證機(jī)制，這些方式只能確認(rèn)用戶的身份合法性，卻不能鑒別用戶所使用軟硬件的合法性，對(duì)非法木馬等遠(yuǎn)程控制類程序無(wú)能為力。而利用安全網(wǎng)關(guān)的多因素身份認(rèn)證機(jī)制，可以實(shí)現(xiàn)對(duì)專網(wǎng)用戶的嚴(yán)格訪問(wèn)控制。多因素認(rèn)證機(jī)制包括源和目的IP地址訪問(wèn)控制、源和目的TCP端口范圍訪問(wèn)控制、訪問(wèn)IP與媒體訪問(wèn)控制(media access control，MAC)地址綁定控制、用戶名與口令或通用串行總線鑰匙(universal serial bus，USB Key)數(shù)字證書認(rèn)證等措施，能夠有效防止非授權(quán)者訪問(wèn)所導(dǎo)致的安全風(fēng)險(xiǎn)。

在專網(wǎng)與醫(yī)院局域網(wǎng)之間的DMZ區(qū)域，部署隔離網(wǎng)閘和安全網(wǎng)關(guān)，可以實(shí)現(xiàn)醫(yī)院體檢信息管理系統(tǒng)與專網(wǎng)之間的網(wǎng)絡(luò)物理隔離以及體檢信息的安全擺渡，其拓?fù)浣Y(jié)構(gòu)如圖3所示。

圖3 專網(wǎng)安全連接拓?fù)鋱D

3 結(jié)語(yǔ)

醫(yī)院體檢信息管理系統(tǒng)既是醫(yī)院信息系統(tǒng)的組成部分，又有其特定的用戶群體，具有運(yùn)行管理的相對(duì)獨(dú)立性。因此，其網(wǎng)絡(luò)安全管理一方面可以依托醫(yī)院局域網(wǎng)的整體解決方案，在統(tǒng)一管理的基礎(chǔ)上提高效率、降低成本；另一方面也要根據(jù)不同用戶的具體網(wǎng)絡(luò)環(huán)境，采取有針對(duì)性的防護(hù)措施，滿足對(duì)體檢信息的安全管理需求。

[1]張紅君，夏慧，葉藝，等.數(shù)字化體檢中心系統(tǒng)架構(gòu)的設(shè)計(jì)與實(shí)現(xiàn)[J].中國(guó)數(shù)字醫(yī)學(xué)，2014，9(2)：51-53.

[2]陸燕琴，傅蓉.基于.NET的軍衛(wèi)體檢系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2016，33(6)：87-91.

[3]遲琳琳，高關(guān)心，王顯榮.基于HIS的健康體檢信息系統(tǒng)的設(shè)計(jì)與應(yīng)用[J].中國(guó)醫(yī)療設(shè)備，2011，26(5)：80-81.

[4]劉曉燕，劉薇，劉莉莉.依托網(wǎng)絡(luò)平臺(tái)改進(jìn)實(shí)現(xiàn)體檢流程再造[J].現(xiàn)代醫(yī)院管理，2012，10(4)：38-39.

[5]黎偉強(qiáng).醫(yī)院體檢信息系統(tǒng)應(yīng)用中的管理規(guī)范問(wèn)題[J].醫(yī)療衛(wèi)生裝備，2011，32(11)：131-132.

[6]蔡鋒，張虎軍，張超群.個(gè)性化健康管理服務(wù)系統(tǒng)[J].北京生物醫(yī)學(xué)工程，2009，28(5)：521-523.

[7]譚偉鋒.基于B/S模式的體檢信息系統(tǒng)開(kāi)發(fā)與應(yīng)用[J].醫(yī)學(xué)信息學(xué)雜志，2016，37(4)：20-22.

[8]唐德春.區(qū)域性體檢信息管理系統(tǒng)的研發(fā)與應(yīng)用[J].中國(guó)數(shù)字醫(yī)學(xué)，2011，6(3)：27-29.

[9]常朝娣，陳敏.大數(shù)據(jù)時(shí)代醫(yī)療健康數(shù)據(jù)治理方法研究[J].中國(guó)數(shù)字醫(yī)學(xué)，2016，11(9)：2-5.

Network security management of health examination information in hospital/

WANG Peilan, WANG Jin-liang, ZHOU Su-yue, et al//
China Medical Equipment,2017,14(9):131-134.

Objective: To design the management plan of network security access of health examination information in hospital and implement network security management about health examination information of hospital. Methods: The management plans of data access were divided into security management of local area network, security management of internet and security management of private network according to the source of user and connection mode of network of information system of health examination. Results: The anti-virus software, management of virtual local area network(VLAN), single-track data transmission, isolation network switch, multi-factor authentication mechanism of security gateway and other technique means were used to strengthen access control of network. Conclusion: Aiming at various user and network environment, the adopted plan of appropriate security management can enhance the access safety of health examination information in hospital.

Health examination information; Network security; Access control

Department of Outpatient, Chinese PLA General Hospital, Beijing 100853, China.

1672-8270(2017)09-0131-04

R-058

A

10.3969/J.ISSN.1672-8270.2017.09.037

2017-06-09

解放軍總醫(yī)院臨床科研扶持基金(2013PC_GLCX-3001)“醫(yī)院工作人員健康管理系統(tǒng)研究”

①解放軍總醫(yī)院門診部 北京 100853

②庫(kù)爾勒市第二人民醫(yī)院骨科 新疆 庫(kù)爾勒 841000

*通訊作者：m13565749596@163.com

王培蘭,女,(1963- ),碩士，副主任醫(yī)師。解放軍總醫(yī)院門診部，從事臨床研究和健康管理工作。