王文华 张大鹏 孟方明 王卫鹏
(山东省医学影像学研究所信息中心 山东省济南市 250022)
随着信息科学技术的飞速发展以及互联网新技术的不断进步和蓬勃发展,各行各业已经离不开网络,在此背景下会产生大量的数据。尤其是在医疗行业中,医院所使用信息系统的集成度不断提高,HIS、PACS 系统数据库会存储大量病人数据。如何做到数据存储的安全,成为医疗行业信息系统安全的一大重点工作。
近年来,个人的隐私信息已成为人们越来越关心的方面,人们对它的重视程度也开始越来越高,这里所指的个人隐私信息是指通过计算机网络以电子及其以另外方式记录的能够独立或者结合其他个人隐私信息从而来识别特定私人身份信息或者是来反映特定的私人活动情况的各种隐私信息[1],这里主要包括私人的姓名、当事人的出生年月日、个人证件件号码、个人指纹虹膜等生物信息、个人的地址信息、手机号、邮箱、通话记录、银行以及APP 的账号和密码、私人财产的信息、银行的个人征信、医院住院门诊信息所推导出的健康状况等等[2]。
目前来看,这个网络世界似乎在表面上表现得非常平静,但是实际上它其实并不平静,平静仅仅只是一个假象。在当前信息安全威胁中,信息数据的泄露目前已经成为全世界人类活动范围内算是最高发的安全事件,并且就目前来看它的事态一直保持在上升的趋势[3]。
从2013年雅虎的用户信息泄露到2019年4月第三方Facebook应用程序数据泄露5.4 亿条记录。个人信息数据的泄露事件从未停止,我们应当怎样保证数据信息的安全面临着更为严峻的挑战。依据深信服发布的数据显示目前来看企业、机构所失陷的主机在 2019年度一直在持续上升中,在 2019年12月达到了最高峰,统计的有56 万台主机和服务器被感染了[4]。
从当前Risk Based Security 发布的信息数据泄露报告来看,仅仅在2019年上半年被黑客或者是企业内部人员泄露出来的 41 亿条数据中竟然有 32 亿条的信息数据泄露于 8 起泄露事件有关,数据泄露竟然占到了总数的 78%。
在中央电视台2009年度315 晚会中,节目曝光了私人隐私数据泄露产业链,个人信息安全事件又一次被推入众人的视界,引起广大人民的关注。自从来到了网络时代后,数据信息的安全保护工作难度将大大提高。我们受所到来自网络安全方面的威胁越来越严重,例如网络上数据信息窃贼、来自于黑客的入侵、广大的病毒发布者,更如甚者就是来自于公司内部的恶意泄密者[5]。如何保证数据信息的安全,目前已经成为各行各业尤其是医疗行业信息化系统的建设中最为首要的问题。
一个掌握数据企业的核心资产就是数据,假如数据遭到黑客的泄露,那会对这个企业,乃至用户的造成莫大的损失,只有做好数据的保护工作,才能避免在遭受到攻击的时候发生数据泄露。在医院的信息系统中存在着大量的病人个人信息,同时也有珍贵的影像资料以及患者的治疗信息,因此医院的信息安全、数据安全成为保护的当务之急[6]。
工作站要安装杀毒软件,严禁连接外网,杜绝优盘等移动介质的使用,随着木马病毒的不断升级演变,移动存储介质(优盘、移动硬盘等)已经成为木马病毒最为主要的传播方式[7]。工作站连接着内外服务器,一旦通过移动介质感染木马,整个网络都可能别感染。
数据传输过程中采用加密传输方法,目前常用的加密算法主要有对称加密(DES 3DES AES)以及非对称加密(RSA)[8],采用加密技术将数据进行传输可以很好地防止数据信息在传输过程中被窃听。
目前绝大部分的数据存储在数据库中,数据在存储过程中采用加密的方式进行存储,可以有效地防止数据泄露以后被还原,同时在数据的展示过程中采用脱敏的方式进行展示。
采用入侵防范技术,在医疗信息系统网络的网络关键节点处部署入侵检测设备和技术[9],可以做到检测并同时防止或者限制从内外部网络发起的攻击。同时应该做到当检测到有网络攻击行为时,应当记录下攻击源IP、攻击的类型、攻击的目标、攻击所发生时间,从而能做到在发生重大网络入侵行为时自动提供报警。入侵检测技术将会根据病毒所采取的入侵方式对计算机系统进行有效的保护,阻挡计算机恶意病毒的入侵,保证防火墙实施工作,,提高信息系统的安全性。入侵检测技术在病毒的入侵过程中进行安全性的扫描,对病毒的入侵采取措施进行阻挡,可以有效提高网络的安全性,阻挡黑客的入侵,保证数据的安全。
采用防火墙技术,防火墙可以做到跨越边界的访问和数据流通过防火墙时候根据配置规则做到限制[10]。同时可以做到访问控制,在防火墙配置的时候应当删除配置中多余或者说基本无效的访问控制规则,从而做到并保证系统中访问控制规则数量的最小化。
医院的网络必须严格采用内外网隔离制度进行。从信息的安全管理角度看,内网和外网相互隔离,对内网总体来说是安全的,这样做的好处是既不会受到来自外部黑客进攻,也不会造成数据泄密;但用户使用互联网需要内外网无缝连接,因此使用内外网是没有办法的办法,其适用范围要最小化[11]。
医院所用的远程会诊等链接内部服务器的网站要采用VPN(虚拟专用网)登陆的方式。在医院的网络中心搭建VPN 服务器的方式来实现VPN 的功能。VPN 指的是应用在现实网络(或物理网络)基础上的一种功能性网络[12]。VPN 可以利用较低成本的公用网络用用作自己医院的骨干网,同时VPN 又可以克服公共网络缺乏安全保密的弱点,在当前VPN 私密网络中,位于公共网络两端的网络在公共网络进行信息的传输时,它的信息都必须经过安全处理才可以传输,从而保证数据信息的完整性、真实性以及私有性。
良好的网络状态需要工作人员的不断维护,按照一月一次的频率对杀毒软件服务器进行杀毒软件病毒库的更新,同时分享杀毒软件的日志,查看是否有攻击行为并且对攻击行为进行分析,在防火墙中增加策略,屏蔽来自攻击地址的IP,将这些IP 地址加入到配置黑名单中。按照一个季度一次通过漏洞扫描攻击对系统内的服务器、网络设备、信息系统进行扫描,对出现的漏洞及时封堵。只有做好安全防护工作,才能将信息泄漏问题扼杀在摇篮之中[13],另外要做到每半年一次的网络安全基线检查。
医院应当建立完善的网络安全维护制度,同时应当完善网络安全管理制度[14],一整套完整的规章制度有利于形成完整的网络安全监察规范,往往数据安全的泄漏来自于工作人员的粗心大意,同时医院应当建立完善的网络安全应急预案,坚持每半年一次的网络安全应急演练与网络安全的攻防演练,才能做到有备无患。从制度上落实数据安全。
在信息系统飞速发展之下,保护数据安全现在已成成为每一个应尽的责任。任何人任何单位都应当采取多种措施和手段,多管齐下[15],来保证数据的安全,当然保护数据安全也不是一朝一夕就可以实现的,这肯定是一个漫长而又艰辛的过程,同时保护数据安全也是一个系统性的过程。需要任何人的共同参与才能形成数据安全的环境。