夏國漢，周雷罡，潘蕾，郭丹

江西省藥品檢驗(yàn)檢測(cè)研究院，國家藥品監(jiān)督管理局中成藥質(zhì)量評(píng)價(jià)重點(diǎn)實(shí)驗(yàn)室，江西省藥品與醫(yī)療器械質(zhì)量工程技術(shù)研究中心，江西 南昌 330029

實(shí)驗(yàn)室信息管理系統(tǒng)（laboratory information management system，LIMS）是現(xiàn)代信息技術(shù)與實(shí)驗(yàn)室管理工作的結(jié)合，已經(jīng)廣泛應(yīng)用于藥檢行業(yè)，LIMS 系統(tǒng)對(duì)比傳統(tǒng)的手工書寫，為藥檢管理工作帶來了極大便利。LIMS 是針對(duì)實(shí)驗(yàn)室的整體環(huán)境而設(shè)計(jì)，實(shí)現(xiàn)實(shí)驗(yàn)人員、儀器、樣品、方法、環(huán)境全面的資源管理的計(jì)算機(jī)系統(tǒng)。LIMS 在收樣、實(shí)驗(yàn)室樣品流轉(zhuǎn)、報(bào)告書填寫、報(bào)告流轉(zhuǎn)等功能上已經(jīng)相當(dāng)成熟，能夠提供完成整個(gè)檢驗(yàn)流程的功能，帶動(dòng)了傳統(tǒng)工作和管理模式升級(jí)，帶來效率與質(zhì)量的提升。同時(shí)LIMS 也給系統(tǒng)安全管理工作帶來了新的挑戰(zhàn)，安全問題產(chǎn)生的原因是計(jì)算機(jī)信息系統(tǒng)本身具有復(fù)雜性，因此極易遭到破壞。影響計(jì)算機(jī)信息系統(tǒng)安全的因素包括人為因素和客觀因素，人為因素是指某人或組織為了達(dá)到某種目的而對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行的故意破壞。而客觀因素指的是自然界各種能夠?qū)τ?jì)算機(jī)系統(tǒng)產(chǎn)生影響的自然現(xiàn)象，如雷擊、水災(zāi)、火災(zāi)、地震等等，都有可能造成計(jì)算機(jī)運(yùn)行過程無法充分發(fā)揮有效的作用，使計(jì)算機(jī)信息安全無法得到保障［1］。

1 LIMS 系統(tǒng)面臨的安全問題分析

1.1 信息系統(tǒng)實(shí)體安全的問題

計(jì)算機(jī)信息系統(tǒng)的硬件作為計(jì)算機(jī)系統(tǒng)的實(shí)體，其包括計(jì)算機(jī)內(nèi)自身的硬件和各種接口、各種相應(yīng)的外部設(shè)備、計(jì)算機(jī)網(wǎng)絡(luò)的通信設(shè)備、線路和信道等［2］。實(shí)體安全就是確保服務(wù)器及其配套硬件設(shè)備不會(huì)受到物理傷害，因此需要有良好的機(jī)房環(huán)境。存放服務(wù)器的機(jī)房能夠防火、防盜、防水、防塵、防雷，有恒定的機(jī)房溫度、穩(wěn)定的電力供應(yīng)等。服務(wù)器本身硬件故障，管理人員對(duì)服務(wù)器硬件誤操作等問題也會(huì)造成物理傷害。

1.2 軟件安全的問題

軟件安全是計(jì)算機(jī)信息系統(tǒng)安全的重要環(huán)節(jié)，因?yàn)橹挥杏?jì)算機(jī)軟件系統(tǒng)的運(yùn)行過程中的安全得到保證，才能完成對(duì)信息的正確處理，達(dá)到發(fā)揮系統(tǒng)各項(xiàng)功能的目的［1］。軟件安全也就是服務(wù)器安裝的操作系統(tǒng)能夠提供一個(gè)良好的支撐環(huán)境，管理服務(wù)器的內(nèi)部資源，LIMS 軟件能正常穩(wěn)定的運(yùn)行。

LIMS 信息系統(tǒng)架構(gòu)通常為B/S 模式。B/S 模式為客戶端統(tǒng)一采用瀏覽器作為接收請(qǐng)求和顯示結(jié)果的工具。用戶瀏覽器發(fā)出請(qǐng)求，后臺(tái)服務(wù)器處理完畢后，再通過服務(wù)器發(fā)給瀏覽器顯示，使用與安裝都比較簡便。B/S 結(jié)構(gòu)的主要特點(diǎn)是分布性強(qiáng)、維護(hù)方便、開發(fā)簡單且共享性強(qiáng)、總體擁有成本低［3］，但是這種模式下需要服務(wù)器操作系統(tǒng)能夠不間斷的提供服務(wù)，所以對(duì)穩(wěn)定性要求很高。

1.3 網(wǎng)絡(luò)安全的問題

計(jì)算機(jī)網(wǎng)絡(luò)自身的結(jié)構(gòu)特點(diǎn)導(dǎo)致了其脆弱性。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)自身的屬性，使其很容易受到來自自然界以及其他惡意犯罪人士的攻擊而遭到破壞，計(jì)算機(jī)系統(tǒng)的安全性有來自計(jì)算機(jī)犯罪、病毒以及系統(tǒng)故障等多方面的威脅，從而需要加強(qiáng)對(duì)計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)［1］。

計(jì)算機(jī)網(wǎng)絡(luò)中的信息可能遭受來自病毒、木馬的威脅，如服務(wù)器未開啟防火墻、未安裝殺毒軟件、無IPS 入侵防御設(shè)備防護(hù)，開放不必要的共享端口、開啟遠(yuǎn)程桌面以及訪問系統(tǒng)終端PC 存在的系統(tǒng)漏洞、病毒、木馬等。

1.4 信息數(shù)據(jù)安全的問題

計(jì)算機(jī)信息系統(tǒng)的信息安全是核心，系統(tǒng)使用中存在信息財(cái)產(chǎn)被故意或偶然的泄漏、更改、破壞或使信息被非法系統(tǒng)辨識(shí)、控制等問題，無法確保信息的保密性、完整性、可用性和可控性［4］。

如實(shí)驗(yàn)過程中填寫的數(shù)據(jù)，能夠安全可靠的保存在LIMS 系統(tǒng)中。避免信息修改、刪除、盜用等各種違法犯罪現(xiàn)象，且不因故障而丟失數(shù)據(jù)。

1.5 安全管理的問題

安全管理包括提高安全意識(shí)，有效保障信息系統(tǒng)安全，以及提高技術(shù)水平，增強(qiáng)信息系統(tǒng)的技術(shù)防范能力［4］。

信息系統(tǒng)建成后往往存在安全制度缺失，管理不嚴(yán)，缺少執(zhí)行力度，安全意識(shí)跟不上信息技術(shù)變化，信息安全人力不足、技術(shù)存在一定的欠缺等問題。

2 LIMS 系統(tǒng)安全對(duì)策

2.1 保障信息實(shí)體安全的措施

制定機(jī)房服務(wù)器的安全管理制度。嚴(yán)格規(guī)定除系統(tǒng)管理人員外，如無必要其他人不得進(jìn)入機(jī)房接觸、操作服務(wù)器；在選配服務(wù)器時(shí)采購主流品牌廠商服務(wù)器，硬件本身安全系數(shù)高、售后有保障；LIMS 系統(tǒng)服務(wù)器與數(shù)據(jù)庫服務(wù)器均有冗余備用服務(wù)器；規(guī)范機(jī)房管理人員的操作，做好服務(wù)器的巡檢登記工作，對(duì)服務(wù)器操作、維護(hù)須登記管理。服務(wù)器的磁盤均有冗余安全措施，采用RAID5+熱備的模式，RAID5 的磁盤陣列具有容錯(cuò)功能，它使用奇偶校驗(yàn)技術(shù)提供數(shù)據(jù)冗余信息，系統(tǒng)安全與可靠性得到很大改善［5］。機(jī)房配有市電與UPS 雙路電源，最大保障機(jī)房用電安全，做到信息實(shí)體的高安全性。

2.2 保障軟件安全的措施

服務(wù)器安裝企業(yè)版操作系統(tǒng)，其較為成熟與穩(wěn)定，但沒有一個(gè)操作系統(tǒng)是完全安全的，系統(tǒng)的安全漏洞會(huì)被不定期的發(fā)現(xiàn)。設(shè)置系統(tǒng)定時(shí)的訪問操作系統(tǒng)補(bǔ)丁服務(wù)器，并自動(dòng)安裝系統(tǒng)補(bǔ)丁，保持操作系統(tǒng)是最新的［6］。同LIMS 系統(tǒng)廠家聯(lián)系溝通，及時(shí)更新廠家發(fā)布的補(bǔ)丁，堵上LIMS 系統(tǒng)的漏洞。終端電腦安裝企業(yè)版殺毒軟件，實(shí)現(xiàn)管控訪問LIMS 系統(tǒng)的終端電腦，給終端電腦操作系統(tǒng)打補(bǔ)丁，定期更新病毒庫，及時(shí)清除電腦上存在的電腦病毒，惡意捆綁軟件和插件等。只有確保U 盤安全的情況下，才能在特定的終端上使用。

2.3 保障網(wǎng)絡(luò)安全的措施

LIMS 系統(tǒng)服務(wù)器與終端均部署在內(nèi)部局域網(wǎng)，與互聯(lián)網(wǎng)物理隔離，最大程度的避免了來自互聯(lián)網(wǎng)的黑客攻擊，病毒、木馬的威脅。將系統(tǒng)服務(wù)器所在網(wǎng)段與訪問終端網(wǎng)段劃分不同VLAN 以隔離開［7］。在服務(wù)器網(wǎng)絡(luò)節(jié)點(diǎn)前部署物理防火墻，采用透明模式，所有訪問均需通過防火墻。依據(jù)最小化原則配置防火墻訪問控制策略，將共享、遠(yuǎn)程桌面等高危端口阻擋在墻之外，只開啟系統(tǒng)訪問所必需的端口，配置只允許內(nèi)部網(wǎng)段訪問。防火墻上開啟Dos/DDos、IPS、防病毒等安全功能，定期檢查日志，查看安全風(fēng)險(xiǎn)［8］。

2019 年網(wǎng)絡(luò)上勒索病毒爆發(fā)，該病毒通過遠(yuǎn)程加密用戶電腦文件，從而向用戶勒索贖金，用戶文件只能在支付贖金后才能打開。反病毒專家稱，國內(nèi)外尚無法破解該病毒。對(duì)此，應(yīng)采取預(yù)防措施在病毒感染電腦之前將其打上補(bǔ)丁，通過反病毒軟件對(duì)掃描、風(fēng)險(xiǎn)利用攻擊、病毒、暴力破解等多種非法攻擊手段進(jìn)行全面防護(hù)，阻止病毒進(jìn)入內(nèi)網(wǎng)。

2.4 保障信息安全的措施

系統(tǒng)登錄密碼采用非對(duì)稱加密后傳輸至服務(wù)器驗(yàn)證，設(shè)置系統(tǒng)登錄密碼復(fù)雜度，只有滿足數(shù)字、小寫字母、大寫字母才能通過系統(tǒng)驗(yàn)證。

參照人員崗位要求在系統(tǒng)中配置角色、建立用戶，不同的角色與用戶擁有不同的操作數(shù)據(jù)權(quán)限，保護(hù)系統(tǒng)數(shù)據(jù)安全不被泄露、破壞。

做好數(shù)據(jù)庫備份。數(shù)據(jù)是信息管理系統(tǒng)的核心，其中系統(tǒng)數(shù)據(jù)庫承載了全部的用戶數(shù)據(jù)，保證其安全是重中之重［9］。通過數(shù)據(jù)庫軟件廠商工具，實(shí)現(xiàn)延遲秒級(jí)的數(shù)據(jù)庫備庫與主庫數(shù)據(jù)一致，做到了數(shù)據(jù)庫實(shí)時(shí)同步，且在主庫宕機(jī)后可以切換備庫為主數(shù)據(jù)庫，繼續(xù)為應(yīng)用提供服務(wù)［10］。制定備份計(jì)劃，重要的數(shù)據(jù)庫表工作日每日備份，周末將數(shù)據(jù)庫全庫備份至專業(yè)的存儲(chǔ)設(shè)備，并且通過工具驗(yàn)證備份的可用性，完整性。

2.5 保障安全管理的措施

依據(jù)我國信息與網(wǎng)絡(luò)安全方面的法律法規(guī)，結(jié)合本單位的實(shí)際情況，制定單位的網(wǎng)絡(luò)信息安全制度，高屋建瓴，做到統(tǒng)領(lǐng)全局，從制度上保證系統(tǒng)安全。其次，明確信息系統(tǒng)安全責(zé)任，落實(shí)到崗到人。如網(wǎng)絡(luò)信息安全管理部門在單位內(nèi)開展計(jì)算機(jī)信息安全教育指導(dǎo)工作，實(shí)現(xiàn)安全、正確的上網(wǎng)；使用LIMS 系統(tǒng)，不得進(jìn)行破壞系統(tǒng)數(shù)據(jù)操作、不透露個(gè)人賬戶、口令、防止發(fā)生信息泄露風(fēng)險(xiǎn)［11］；宣傳貫徹信息與網(wǎng)絡(luò)安全法律法規(guī)知識(shí)，提高人員對(duì)信息安全意識(shí)。制定信息系統(tǒng)安全技術(shù)應(yīng)急預(yù)案，在LIMS 系統(tǒng)發(fā)生故障后，及時(shí)處置，將系統(tǒng)故障影響降低到最低。

3 結(jié)語

由于計(jì)算機(jī)技術(shù)日新月異，所以沒有解決安全問題一勞永逸的措施，只有不斷的學(xué)習(xí)，提高自身的技術(shù)水平，重點(diǎn)培養(yǎng)網(wǎng)絡(luò)與信息化方面的人才，借助專業(yè)安全廠商技術(shù)力量，定期評(píng)估與檢測(cè)系統(tǒng)安全風(fēng)險(xiǎn)［12］，才能與時(shí)俱進(jìn)，做好信息化系統(tǒng)安全工作。同時(shí)實(shí)驗(yàn)室信息系統(tǒng)安全是一個(gè)系統(tǒng)工程，在此過程中，要全面創(chuàng)新傳統(tǒng)管理模式，逐步建立完整的管理框架、補(bǔ)充管理內(nèi)容、完善管理過程，通過大量管理實(shí)踐以及應(yīng)用反饋逐步建立起新型管理模式［11］，形成以管理規(guī)范技術(shù)，以技術(shù)創(chuàng)新管理，相互促進(jìn)，才能最大限度上解決信息系統(tǒng)威脅與安全問題。