聶喆 屈盛 王文文

（解放軍第984醫(yī)院信息科，北京? 100094）

摘要：目前，我國多數(shù)大、中型醫(yī)院已經建成醫(yī)院信息系統(tǒng)，但是許多醫(yī)院的醫(yī)院信息系統(tǒng)運行的效率或效果不盡人意，因醫(yī)院信息系統(tǒng)故障而影響醫(yī)院正常工作的事件也時有發(fā)生，究其原因，主要在于缺乏對醫(yī)院信息系統(tǒng)風險的認識，尚未建立健全的醫(yī)院信息系統(tǒng)安全保障體系，“重建設，輕管理”是醫(yī)院信息系統(tǒng)管理的一大缺失。本文對醫(yī)院信息系統(tǒng)存在的安全風險進行系統(tǒng)的梳理，總結了機房環(huán)境與基礎設施、網絡安全、應用系統(tǒng)平臺、業(yè)務系統(tǒng)、支持系統(tǒng)、安全管理、病毒防范等7個方面存在的問題。針對醫(yī)院信息系統(tǒng)存在的安全問題，從建設安全保障管理體系與技術措施兩個方面提出了相應的解決辦法，旨在為醫(yī)院信息系統(tǒng)的安全管理提供保障。

關鍵詞：醫(yī)院信息系統(tǒng);故障;風險;對策

中圖分類號：R197? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：B? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?DOI：10.3969/j.issn.1006-1959.2020.08.004

文章編號：1006-1959（2020）08-0009-03

Abstract：At present， most large and medium-sized hospitals in China have built hospital information systems， but the efficiency or effectiveness of the operation of hospital information systems in many hospitals is unsatisfactory.Events that affect the normal work of hospitals due to hospital information system failures also occur from time to time. The reason is mainly due to the lack of understanding of the hospital information system risks， and has not established a sound hospital information system security guarantee system. "Heavy construction， light management" is a major lack of hospital information system management. This article systematically sorts out the security risks in the hospital information system， and summarizes the seven problems in the computer room environment and infrastructure， network security， application system platform， business system， support system， security management， and virus prevention. Aiming at the safety problems existing in hospital information systems， corresponding solutions were proposed from the aspects of building safety assurance management system and technical measures， aiming to provide guarantee for the safety management of hospital information systems.

Key words：Hospital information system;Failure;Risk;Countermeasure

醫(yī)院信息系統(tǒng)是比較復雜的信息系統(tǒng)之一，一個完善的醫(yī)院信息系統(tǒng)幾乎涵蓋了醫(yī)院所有的業(yè)務，其數(shù)據(jù)增長速度非?？?，而這些數(shù)據(jù)是醫(yī)院的重要資源，任何形式的數(shù)據(jù)丟失都會給醫(yī)院帶來無法估量的損失。計算機軟硬件故障、網絡故障、計算機病毒入侵、人為誤操作故障、資源不足等引起的系統(tǒng)災難都會給醫(yī)院業(yè)務的正常運行造成威脅[1]。對于醫(yī)院信息系統(tǒng)管理者而言，掌握醫(yī)院信息系統(tǒng)中存在的各種安全風險，并制訂相應的解決方案，是醫(yī)院信息系統(tǒng)建設的重要任務之一[2]。本文從建設安全保障管理體系與技術措施兩個方面總結了醫(yī)院信息系統(tǒng)的安全管理策略，旨在為醫(yī)院信息系統(tǒng)安全管理提供參考。

1系統(tǒng)安全的風險分析

1.1機房環(huán)境與基礎設施安全? ①機房環(huán)境的安全風險：包括空調損壞、火災、雷電襲擊事件。信息系統(tǒng)機房內設備較多，發(fā)熱量大，設備的運行對溫、濕度的要求較高，空調系統(tǒng)故障會直接影響設備的性能，適宜的溫度和濕度是機房設備正常工作的必要條件，空調系統(tǒng)損壞會帶來直接威脅。另一方面，機房電器設備過多，發(fā)生火災的危險性較高。同時，信息系統(tǒng)機房設備多為低壓設備，無論直擊雷還是感應雷都會造成安全風險。②電源系統(tǒng)風險：信息系統(tǒng)機房的主要設備包括服務器、交換機、存儲等，是全院信息系統(tǒng)的核心，這些設備是不能停機的。停電不僅會造成服務器等機房設備停機，業(yè)務中斷，還可能造成數(shù)據(jù)庫和操作系統(tǒng)崩潰。市電供應、UPS電源、傳輸線路、PDU等系統(tǒng)故障，都會產生安全風險。③網絡設備的安全風險：網絡設備包括如路由器、交換機等，這些設備是醫(yī)院信息系統(tǒng)的網絡系統(tǒng)的節(jié)點設備，分布于醫(yī)院信息系統(tǒng)機房和各樓群弱電豎井或接入機房內，由于這些設備所處位置的環(huán)境不一定完全符合其工作要求，可能會引起設備故障發(fā)生，對醫(yī)院信息系統(tǒng)存在較大的安全風險。④終端設備風險：由于終端設備數(shù)量多，使用頻率高，使用人員操作水平參差不齊，資源使用無限制，發(fā)生故障幾率較高。另外還有設備的配置文擋記錄不完整或修改不及時、設備運行的安全管理措施不規(guī)范等，也會造成系統(tǒng)故障。

1.2網絡安全風險? ①網絡邊界安全風險：醫(yī)院信息系統(tǒng)不可避免地要與外部網絡進行連接，以便于數(shù)據(jù)交換和信息交流，如醫(yī)療保險系統(tǒng)，銀行系統(tǒng)等，而外部網絡安全風險具有不可預知和不可控性。②醫(yī)院內部網絡安全風險：醫(yī)院信息系統(tǒng)具有用戶多，網絡信息點位分布分散，用戶層次不一等特點，非法用戶或終端接入（侵入）內部網絡，內部網絡終端通過有線或無線方式與外部網絡連接等，都對醫(yī)院內部網絡安全構成威脅。

1.3應用系統(tǒng)平臺的安全風險? ①操作系統(tǒng)的安全風險：醫(yī)院信息系統(tǒng)操作系統(tǒng)通常為UNIX、LINIUX、WINDOWS等，無論采用何種操作系統(tǒng)，都會存在漏洞，為病毒和非法入侵者提供了機會，對醫(yī)院信息系統(tǒng)構成了威脅。②數(shù)據(jù)庫系統(tǒng)的風險：醫(yī)院信息系統(tǒng)本質上講，是一個數(shù)據(jù)庫系統(tǒng)，其安全性、運行效率和穩(wěn)定性等與數(shù)據(jù)庫平臺本身直接相關。數(shù)據(jù)庫系統(tǒng)與所有系統(tǒng)軟件一樣，都存在自身安全漏洞的風險。

1.4業(yè)務系統(tǒng)安全風險? ①業(yè)務系統(tǒng)：醫(yī)院信息系統(tǒng)業(yè)務繁多，是一個非常復雜的信息系統(tǒng)。在系統(tǒng)開發(fā)中，存在需求分析不完善，在設計階段，存在結構、接口不規(guī)范，采用標準不統(tǒng)一等問題。這些問題，會給后期詳細設計和醫(yī)院信息系統(tǒng)的應用帶來潛在風險。②業(yè)務系統(tǒng)修改：隨著醫(yī)院信息系統(tǒng)的應用的深入，系統(tǒng)本身的問題會逐漸被發(fā)現(xiàn)，另一方面，需求也會不斷變化。為了解決發(fā)現(xiàn)的問題和滿足新的應用需求，需要對系統(tǒng)進行經常的完善和修改。在這個過程中，經常會出現(xiàn)新的問題。③用戶風險分析：用戶缺乏安全意識、操作不熟練、權限管理不嚴、口令長期不改等均會形成系統(tǒng)潛在風險。

1.5支持系統(tǒng)風險? 無論是硬件還是軟件，都有發(fā)生故障的風險存在，因為各醫(yī)院信息管理部門自身技術水平的局限性，不可能解決所有問題，這就需要有完善的售后服務保證。

1.6安全管理風險? 內部人員無意中泄露內部網絡結構、管理員用戶名及口令的風險;機房出入管理不嚴格，使入侵者能夠接近重要設備而帶來的信息安全風險;管理員失誤，如錯誤復制、刪除數(shù)據(jù)等非法數(shù)據(jù)操作等會造成風險。當網絡受到攻擊或出現(xiàn)其它安全威脅時（如內部人員違規(guī)操作等），無法及時進行實時檢測、監(jiān)護、報告和預警，即對網絡的可控性與可審查性造成潛在風險[3]。

1.7計算機病毒風險? 計算機病毒是信息系統(tǒng)的一大公害，醫(yī)院信息系統(tǒng)也不會幸免，計算機病毒的存在，對醫(yī)院信息系統(tǒng)的安全構成了嚴重威脅。

2安全保障體系管理與技術醫(yī)院信息系統(tǒng)安全保障體系應結合網絡、應用、數(shù)據(jù)庫、用戶等諸多方面進行安全規(guī)劃管理。

2.1安全保障體系的管理措施? 目前，在大、中型醫(yī)院，醫(yī)院信息系統(tǒng)已成為醫(yī)院臨床醫(yī)療和管理必不可少的工具。相關統(tǒng)計顯示，在網絡安全問題中，有60%是由于內部安全管理不善造成的。因此，建立一套有效的管理制度是必須的。①建立和完善醫(yī)院信息系統(tǒng)安全管理組織與制度;②建立檔案資料庫，保存技術資料，及時記錄和完善技術文擋，使得在問題發(fā)生時，能迅速獲得解決方法;③建立監(jiān)控體系;④建立應急管理措施和事故處理預案。

2.2安全保障體系技術措施

2.2.1硬件安全技術? ①機房環(huán)境與基礎設施包括機房、供電（市電供應與UPS）、空調、機房門禁與監(jiān)控、消防、防雷擊。機房、供電（市電供應與UPS）、空調均應采用冗余設計，即中心機房和災備機房，在高層建筑內，機房通常應該選擇在二、三層適中位置;市電雙路供應;中心機房（含弱電豎井）內設備采用雙路UPS供電;雙空調系統(tǒng)。醫(yī)院信息系統(tǒng)機房是醫(yī)院信息系統(tǒng)的核心，是全院網絡中樞，對于出入機房人員應當進行限制，并對出入機房人員和行為進行記錄，以便于進行安全問題追蹤，加強工作人員責任心。建設機房環(huán)境控制系統(tǒng)是解決機房安全管理的一個有效的手段，可以對機房供電、溫濕度、服務器運行狀態(tài)、消防等系統(tǒng)實現(xiàn)集中管理。防雷擊技術包括電源防雷和信號防雷：電源防雷其中中心機房、弱電豎井供電系統(tǒng)采用樓宇整體防雷接地。信號防雷：中心機房信號防雷擊可以采用純光纖接入技術;雙絞線布線時應避免部署在樓宇外側墻壁，以防感應雷襲擊;樓宇外部信號線纜接入樓內時，避免架空敷設，或者先熔接或轉接為室內光纖;對于可能帶來雷擊風險的外部線纜（如電信、移動、連通的通訊線纜）設計在獨立橋架中鋪設。弱電豎井信號防雷采用樓宇整體防雷接地或交換機端口防雷技術。②網絡與網絡設備包括網絡基礎架構，網絡設備等。網絡基礎架構應設計為雙網絡;核心交換機、匯聚交換機采用成對冗余配置，接入交換機、匯聚交換機采用雙上行連接，交換機設備本身配備雙電源模塊。③網絡安全管理設備包括網絡管理系統(tǒng)、內部網絡安全（如準入系統(tǒng)、安全審計系統(tǒng)等）、網絡邊界安全系統(tǒng)（如防火墻、防毒墻、入侵檢測、隔離網閘等）、終端桌面管理系統(tǒng)（如終端桌面管理系統(tǒng)、組策略）等。網絡管理系統(tǒng)作為一種輔助管理手段，可以有效提高管理效率。網絡內部安全，應建立準入機制，防止非法接入與外聯(lián)。醫(yī)院信息系統(tǒng)不可避免地要與外部網絡進行連接，以便于數(shù)據(jù)交換和信息交流，如醫(yī)療保險系統(tǒng)，銀行系統(tǒng)等。采用網絡邊界安全系統(tǒng)，可有效防止來自外部網絡的安全威脅。桌面管理系統(tǒng)可以對終端用戶使用的網絡資源和本地軟、硬件資源進行分配和限制，還可以進行遠程管理。④服務器與存儲設備：服務器采用雙機熱備技術、虛擬化技術、或主備配置;服務器設備本身配備雙CPU雙電源模塊等。存儲設備采用雙活技術、虛擬化技術、或主備配置措施。

2.2.2軟件安全技術? 醫(yī)院信息系統(tǒng)軟件安全包括操作系統(tǒng)安全、醫(yī)院信息系統(tǒng)的健壯性、數(shù)據(jù)庫業(yè)務連續(xù)性管理、數(shù)據(jù)庫安全管理、客戶端應用軟件安全、防病毒等方面。①操作系統(tǒng)：醫(yī)院信息系統(tǒng)服務器操作系統(tǒng)通常為UNIX、LINIUX、WINDOWS等，UNIX操作系統(tǒng)相對穩(wěn)定。無論采用何種操作系統(tǒng)，都會存在漏洞，及時安裝操作系統(tǒng)補丁是醫(yī)院信息系統(tǒng)管理人員的重要工作之一。②醫(yī)院信息系統(tǒng)的健壯性：在建設醫(yī)院信息系統(tǒng)的初期，要對醫(yī)院自身業(yè)務做全面了解，掌握醫(yī)院信息系統(tǒng)需求，選擇適合于醫(yī)院管理和業(yè)務要求的、成熟的系統(tǒng)系統(tǒng)，可以規(guī)避由于醫(yī)院信息系統(tǒng)不完善帶來的潛在風險。系統(tǒng)的完善和修改不可避免，這可以通過搭建測試環(huán)境，健全完善的測試手段來結解決。測試方法上包括黑盒測試和白盒測試。③數(shù)據(jù)庫業(yè)務連續(xù)性管理：數(shù)據(jù)庫本身的可靠運行是醫(yī)院信息系統(tǒng)業(yè)務連續(xù)性的重要一環(huán)，如：ORACLE數(shù)據(jù)庫的DATA GUARD技術、RAC技術等，都可以實現(xiàn)數(shù)據(jù)庫級的業(yè)務連續(xù)性保護。④數(shù)據(jù)庫安全管理：包括數(shù)據(jù)庫管理人員權限管理、數(shù)據(jù)備份、數(shù)據(jù)庫操作行為審計等。數(shù)據(jù)庫管理人員權限：數(shù)據(jù)庫操作對數(shù)據(jù)庫的安全運行至關重要，因此，要將數(shù)據(jù)庫管理權限授予具有數(shù)據(jù)庫操作資質和較強責任心的人員。數(shù)據(jù)備份：數(shù)據(jù)庫服務器硬件的冗余，可以避免硬件故障帶來的風險;數(shù)據(jù)庫軟件的冗余，為業(yè)務連續(xù)性提供了保證，但并不能完全保證數(shù)據(jù)的安全。醫(yī)院信息系統(tǒng)擁有大量的用戶，由于誤操作或其它原因造成的數(shù)據(jù)丟失不可避免，數(shù)據(jù)備份是解決這一問題的有效方法[4]?？梢岳脭?shù)據(jù)庫本身的備份功能（如ORACLE數(shù)據(jù)庫的閃回、rman、日志等），也可以結合第三方專用軟、硬件備份工具實現(xiàn)數(shù)據(jù)備份;數(shù)據(jù)庫審計：數(shù)據(jù)庫安全管理的另一個方面是數(shù)據(jù)庫訪問行為跟蹤，通常可以采用的技術有數(shù)據(jù)庫審計等。⑤客戶端應用軟件是醫(yī)院業(yè)務系統(tǒng)用戶界面，系統(tǒng)的設計既要滿足臨床醫(yī)療業(yè)務需要，又要對其訪問數(shù)據(jù)庫的權限進行限制。⑥防病毒：采用網絡版防病毒系統(tǒng)是常用技術，但要保證病毒庫的及時升級，在網絡邊界部署防毒墻也是預防計算機病毒危害的有效手段[5]。

3總結

醫(yī)院信息系統(tǒng)風險管理已日益成為人們關注的熱點，這些問題的良好解決，對計算機網絡和應用系統(tǒng)的平穩(wěn)運行起著極其重要的作用。各類醫(yī)院的業(yè)務情況有所差別，信息系統(tǒng)面臨的安全問題也有所不同。如軍隊醫(yī)院由于制度的要求，往往采取物理隔離措施，醫(yī)院網絡相對封閉，醫(yī)院信息系統(tǒng)面臨的安全風險主要來自于醫(yī)院內部，主要對策是做好內部網絡、信息系統(tǒng)安全防護和網絡準入控制。對于地方部分醫(yī)院，由于業(yè)務的需要，存在與銀行、互聯(lián)網等連接的情況，因此需要進行全面的安全規(guī)劃，加強邊界安全和入侵防護?？傊瑢τ卺t(yī)院來講，實施醫(yī)院信息系統(tǒng)等級保護是制度要求，更是客觀需要。在實際工作中，應將醫(yī)院信息系統(tǒng)風險管理作為一項重要的管理工作來抓，以保證醫(yī)院應用系統(tǒng)業(yè)務連續(xù)、穩(wěn)定、安全地運行。

參考文獻：

[1]王麗娜，趙利敏，張東軍.信息安全管理的建設在醫(yī)院信息化建設中的作用[J].電腦知識與技術，2017，13（2）：41-43.

[2]楊旋，周小甲.醫(yī)院信息系統(tǒng)安全等級保護定級與整改結果探討[J].中國醫(yī)療設備，2017，32（6）：166-169.

[3]唐江波.基于醫(yī)院信息安全等級保護的整改實踐[J].中國數(shù)字醫(yī)學，2018，13（11）：83-86.

[4]魏智，黃昊.醫(yī)院信息系統(tǒng)的數(shù)據(jù)備份及恢復的研究與應用[J].中國數(shù)字醫(yī)學，2018，13（8）：36-38，27.

[5]趙錦，屈弘，孫瑋.某醫(yī)院信息系統(tǒng)安全的策略及主要措施[J].醫(yī)療裝備，2017，30（12）：91-92.

收稿日期：2020-02-17;修回日期：2020-03-11

編輯/錢洪飛