伊向华,蔡雨蒙,刘云,张昕
(南京医科大学医学信息学与管理研究所 南京医科大学第一附属医院,江苏 南京 210029)
关于医院信息系统安全的分析
伊向华,蔡雨蒙,刘云,张昕*
(南京医科大学医学信息学与管理研究所 南京医科大学第一附属医院,江苏 南京 210029)
随着网络信息技术的日益发展,医院业务系统的运维工作也逐步进入信息化建设的时代,随之而来的信息安全问题也逐渐凸显。建立一个全方位的医院信息系统安全体系是医院工作正常运转的重要保障。本文主要介绍医院信息系统的概述,信息安全的简介及信息安全的问题及对策。
医院信息系统;信息安全;信息安全管理
随着IT信息科技的进步及网络使用的大力普及,现代医疗环境信息化建设也随之快速的变化。信息系统已经成为保障各大医院正常运营的关键性因素,给医院的运营带来便利的同时,随之而来的信息安全事件也时有发生。设备故障、系统缺陷、病毒破坏、黑客攻击、人为错误或意外灾害等原因导致系统运行速度下降甚至系统崩溃,严重影响医院医疗活动的正常开展。因此,加强医院信息系统的安全建设具有十分重要的意义。
医院信息系统是利用计算机及其网络通讯设备和技术,对医院内外的相关信息进行自动收集、处理、存储、传输和利用,为临床、教学、科研和管理服务的应用信息系统[1]。医院信息系统包含各类功能模块和众多业务应用,主要分为临床服务类和医疗管理类。医院各信息系统的普遍特点就是依赖性强,需要24小时无间断的运行。随着医院信息化建设的逐步发展,医院运行已基本实现无纸化办公,所有的医疗活动都依靠系统来完成,所以保障医院信息系统正常的运行是医院正常运行的前提。
信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然因素亦或人为的原因而受到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,
最终实现业务连续性[2]。信息安全从理论上可以划分为狭义安全和广义安全两个层次[3]:狭义安全是指以密码论为基础建立在计算机领域的研究;广义的信息安全是从传统的计算机安全出发延伸到信息安全,不再只是单纯的技术层面问题,而是将技术、法律、管理等问题融为一体。
信息安全的五个目标是指:信息的保密性、完整性、可用性、可控性。保密性是指保障信息不被非授权的人获取[4];可用性是指保障信息在授权操作者需要的时候可以获取到相关的信息并且能够使用相关资产;完整性是指保障信息在传输、存储、使用等过程中不被非法操作导致信息丢失、篡改、缺损;可控性是指保障信息本身的内容得到合法的控制和传播。所有信息安全的技术都是为了保障系统一定的安全而工作,以上便是信息安全技术所要到达的核心目标。
信息系统的安全威胁主要表现为以下几点:非法用户的恶意攻击、合法用户的不当操作、网络系统设计的缺陷、物理环境的安全、网络协议的弱点、应用程序设计的漏洞、管理层面的不规范等方面[5]。结合医院目前信息化建设的现状,主要将安全问题分为内部和外部两个主要方面。
3.1 内部信息安全威胁
人为威胁:如医院工作人员无意将带有病毒的存储设备连接到医院的计算机时,可能会因病毒感染导致医院内部专用网络受到攻击破坏,甚至会造成网络的中断或者瘫痪等影响;医院工作人员在访问互联网和医院内部专用网络时使用同一台计算机,如果访问互联网时计算机受到了病毒的感染,则很有可能将网络病毒通过计算机传播到医院内部专用网络中,造成医院内部专用网络受到病毒破坏;医院工作人员利用职务之便,获取病人等信息进行非法操作;医院工作人员在对系统不熟悉的情况下,违规操作使用系统,也有可能会导致系统故障。
设备故障:如服务器故障、网络交换机故障、存储设备故障等造成医院医疗业务系统处理速度缓慢甚至中断。
3.2 外部信息安全威胁
医院外部人员作为非授权用户访问医院系统的数据库获取医患信息等内容;外部人员使用未经授权认证的计算机连接进入医院专用网络,甚至做出篡改信息、病毒攻击等违法破坏行为。
随着全国医院信息化建设步伐的加快,医院越来越多的业务操作依靠信息系统进行。所以建立一个全方位的信息安全体系是保障医院正常运转的必要前提。要保障医院信息系统的安全运行,技术层面和管理层面的建设需双管齐下。
4.1 技术层面的安全策略与建设
4.1.1 物理安全
物理安全是整个信息安全体系建设的基础,中心机房的安全直接影响到医院服务器是否能正常安全的稳定运行。中心机房地址的选择要满足采光、防尘、防潮等条件,灯光照明、空调温湿度要配置齐全。必须配备7*24小时不间断的冗余电源供应,保证突然断电情况下的应急措施及时启动[6]。同时要控制进出机房的人员权限,并监控和限制其活动范围等操作。
4.1.2 设备安全
设备安全包括服务器、交换机、存储、终端主机等设备的安全。医院信息系统中的重要设备需尽可能的采用冗余方式配置,以提高系统的稳定性。针对关键重要设备可以统一部署日志审计系统,集中对网络系统中的交换机和服务器等主机系统运行状态、网络流量、用户行为等进行日志记录和分析。部署多因子认证系统,提供两种或两种以上组合的身份鉴别技术,控制登录网络核心设备和服务
器。
4.1.3 网络安全
网络是整个信息化工作的“高速公路”,承载着所有业务系统。目前医院医疗工作基本实现无纸化,医疗数据的传递依靠网络系统[7]。医院要做到内外网使用的计算机分开,防止网络中的病毒传播到医院内部网络中;通过合理控制上网权限、带宽等方面来尽可能的保障网络的安全。其次防火墙也是网络安全保障的重要工具,在网络边界合理部署防火墙,可以有效监测恶意代码和病毒的入侵。此外,通过安装网络监控管理软件可以对整个网络的运行情况进行实时监控。
4.1.4 数据安全
数据库是存储医院所有信息的地方,是整个医院信息系统的核心保护对象。除了在数据采集阶段加强操作人员的责任与安全意识之外,还需在数据库方面做好保障。建立一套规范的数据备份和恢复策略,是保障数据丢失的最有效地防范措施。所有的数据都要转存到存储设备中异地存放,以备需要时安全调取查询。同时对数据库的操作要保留操作日志,方便事后的追溯管理。
4.2 管理层面的安全策略与建设
4.2.1 完善各类管理制度
规章制度是规范日常工行为的指南和基准,完善、规范的制度是管理的基本保障,所以建立一套行之有效的制度是做好管理的第一步。制度应该进行定期或不定期的审核、检查,进行适当的调整、修订,以保障现行的管理制度是最大程度有效的。
4.2.2 人员安全管理
人员是整个医院信息系统中最大的实体,人员的操作直接影响到系统的呈现结果。从人员的录用过程就应严格规范,对被录用人的身份、背景、资质、专业资格等方面进行审核。对于操作人员应进行规范的岗前培训和教育,不仅培训其正确操作系统的基本能力,还要对其进行安全教育,如学习《中华人民共和国计算机信息系统安全保护条例》[8]等法律法规。同时要严格规范离岗过程,及时终止离岗人员所有系统的操作权限。
4.2.3 加强应急演练
防患于未然是亘古不变的道理,就算是系统处于正常安全运行的状态也要进行定期或不定期的系统应急演练。为提高医院处理紧急网络事故的能力,极大程度的预防和减少因应急工作不到位而导致的后果,安全时期的应急演练是一个重要手段。
医院信息系统的安全建设是一个循序渐进、逐步发展的过程,而且对于任何一个信息系统而言都不存在绝对的安全,只有相对的安全。只有运用好技术措施、把控好管理手段,不断改善技术支持、完善相关管理制度,才能保证庞大的医院信息系统安全、健康、稳定、高效地运行[9]。严格的管理制度、规范的操作,管理与技术相辅相成,才能形成有效的综合预防。追查及应急响应的立体安全防护系统,建立一个全方位的医院系统信息安全体系是保证医院正常工作运转的重大前提。
[1] 毛凤生.浅谈在医院信息化中网络安全的研究[J]. 网络安全技术与应用. 2015(09).
[2] 徐岩.网络安全技术防范措施研究与探讨[J].科技传播,2012(2):138-139.
[3] 郑之荣,周松柏.医疗行业信息安全发展形势浅析及展望[J]. 中国数字医学. 2011(08).
[4] 沈宫建,范晓薇,于洁,姜熳.浅谈医院信息安全的发展[J]. 医疗装备. 2014(05).
[5] 王丽.新形势下医院信息安全所面临的挑战与对策分析[J]. 网络安全技术与应用. 2015(01).
[6] 鞠鑫,戴春林,沈婷.苏州市卫生信息中心信息安全等级保护建设实践与应用[J]. 中国数字医学. 2015(02).
[7] 朱晓曦.浅谈现代医院信息化建设[J]. 医学信息(上旬刊). 2010(10).
[8] 翟亮,杨军.医院数字化信息系统的安全问题探讨[J],软件,2012,(06):123-124.
[9] 张莲萍,陈琦基.于动态网络安全模型的中国数字化医院信息安全体系建设[J]中国科技论坛2015(03).
Analysis of Hospital Information System Security
YI Xiang-hua, CAI Yu-meng, LIU Yun, ZHANG Xin
(Institute of Medical Informatics and Management, Nanjing Medical University, The First Affiliated Hospital of Nanjing Medical University, Nanjing 210029, China)
With the increasing development of network technology, hospital operation and maintenance is also gradually entered the era of information technology, and the attendant information security issues are gradually highlighted. To establish a comprehensive information security system of hospital system is the important premise to ensure the normal operation of the hospital. This paper introduces hospital information system mainly, brief introduction of the information security 、 the problems and counter measures of hospital information security.
Hospital information system; Information security; Information security management