基于网络安全的医院信息安全设计改造与分析

李铮, 魏星, 佟明泽*, 王悦

(1.天津市第四中心医院 网络信息科, 天津 300140；2.华北理工大学 信息工程系, 河北 唐山 063210)

0 引言

医疗信息化的快速发展，让医院发生了很多的变化，诸如：(1)在系统的建设和应用方面，从单机、单用户应用发展到部门级、全院级管理信息系统应用。(2)从以财务、药品和管理为中心的发展，开始集中向以病人信息为中心的临床业务支持和电子病历应用。(3)微信、支付宝等快捷支付方式深入民生行业，使得医疗信息化系统从局限在医院内部的应用，逐步走向开放的互联网。(4)国家区域医疗建设的规划，对区域医疗信息化多接口的应用，提出了前所未有的高要求。随着HIS(医院信息系统)、RIS(放射科管理系统) 、LIS(实验室信息系统)、CIS(企业形象识别系统)等系统的应用深入整合，医疗系统可以获得更加高效、快捷和便民的信息化服务，然而，这也给现代化医院信息安全带来了新的挑战，且信息安全维护过程中还存在技术人员不足、管理手段需要强化、安全建设意识薄弱等问题[1]，如何防止医院临床及药品信息等核心数据的信息泄密，以及如何监管和审核针对核心资产的操作等都是值得研究的课题，这些问题实际上与核心数据安全建设思路以及安全管理制度的不足有关，单纯靠底层的网络安全产品无法解决上述问题[2-3]。在此基础上，本文基于网络安全的医院信息安全设计需求，从意愿信息系统安全现状、需求等角度出发，对医院信息安全系统进行了设计与改造，结果有助于提升医院信息安全防护能力，更方便、快捷和安全的为广大医务工作者以及病患服务。

1 医院信息系统安全现状

在国内的大多数医院中，各种不同的角色都会用到信息系统，其参与的业务、操作地点、操作时间、信息资产和业务数据等都不相同，具体用户概况,如表1所示。

表1 医院信息系统的用户概况

其中，角色主要包括病人、门诊医师和信息管理员。

由于医院信息系统中的角色多样化、业务繁杂等特点，在使用过程中不可避免的受到内部或者外部威胁[4]。(1)内部威胁，主要包括医务工作者或者管理人员将个人电脑接入医院网络系统中，有可能造成系统感染病毒而影响整个医院的网络瘫痪和无法正常使用等情况；在使用Internet和可访问的业务网络时，有可能将病毒引入；内部人员之间的互访造成数据流失或者存在潜在的篡改就诊病人的数据信息等隐患。(2)外部威胁，外部人员勾结内部人员进入医院系统，或者外部人员通过非授权手段网络入侵而强行接入医院业务，造成医保、社保等信息曝光，病人隐私等也无法得到保障，会给整个医院的正常运行造成严重伤害。

2 医院信息系统安全需求

虽然目前各个医院都建立了自身的安全防护系统，如在电脑上置入杀毒软件、IP(互联网协议地址)和MAC地址(媒体访问控制地址)绑定等操作，但是大部分都仅限于主机安装，而无法做到整个医院系统的全覆盖，且由于很多杀毒软件需要定期更新和安装补丁等，各科室的工作人员无法做到及时有效地更新而影响正常杀毒效果，无法做到从根本上解决安全威胁。此外，由于在进行IP地址和MAC地址的绑定操作过程中，存在工作量大、操作不方便等问题，最终造成安全防护失效；部分医院安装的IDS(入侵检测系统)入侵检测系统在使用过程中还存在检测作用缺失、内部网络部署不及时等问题[5]，在数据库审计上也无法做到定位到人，在追究责任时，由于许多主机为公共设备，只可以查到IP地址而无法追踪到具体的负责人，致使整体的安全防御措施和防御效果较差。

为了提升医院信息安全防护能力，切实做好病人、医务工作者和管理人员等的信息安全，做到数据保密性、可用性和安全性，主要的安全需求在于：(1)身份认证和访问控制；(2)信息资产安全；(3)网络通信安全[6]。

3 医院信息系统安全设计

在了解到医院信息安全系统的需求基础上，有针对性地对信息安全系统进行了设计与改造。综合考虑医院系统安全现状和需求后，主要从6个方面进行安全设计与改造。

(1) 物理安全策略，对现存的医院信息系统中的硬件设施进行安全设计，包括作为医院信息处理中心的中心机房安全维护(控制温度和湿度的同时，需要同时控制好人员流动，对中心机房进行抗磁、防雷等设置)、作为医院信息系统核心的服务器(设计成双服务器，主服务器和从服务器协同工作，同时配置稳定性高的UPS电源等)、作为医生和护士使用的PC设备组成的工作站(对工作站做好温度、湿度控制，规范光盘使用，对于使用软件客户端的用户进行行为与设备监控)、所有接入医院信息系统的硬件接口(路由器、交换机和集线器等)[7]。

(2) 身份认证，对于医院信息系统进行升级和改造过程中，需要在原有“用户名+口令”身份认证的基础上将工作站IP地址、MAC地址等与用户进行绑定，避免由于移动介质等普及造成的信息泄露和病毒感染造成系统瘫痪等问题，信息系统管理员通过整体配置实现身份认证与IP地址等绑定，可以最大限度保障安全性，在确定使用者的合规和安全性后，才允许进行下一步的操作。

(3) 访问控制，传统的访问模式是角色访问+静态授权模式，而随着医院信息系统数据繁杂程度等提升，会出现无意或者有意的越权使用等行为，如果不能对这些行为进行控制和规范，如使用者在医院外部使用信息系统或者管理者无法对访问权限进行控制，这些都会一定程度上影响整体信息系统的安全性。在此基础上，本文设计了一种角色访问控制模式(TLRBAC模型)，即在时间和空间环境共同制约的前提下运行访问控制，克服了传统角色访问控制的弊端，更加有利于医院信息系统的安全稳定运行。TLRBAC模型的访问控制原理示意图，如图1所示。

图1 TLRBAC模型的访问控制原理示意图

由图1可见，对主体的直接权限指派主要包括主体集、角色集、功能集、会话集和权限集，各个不同的角色之间相互衔接，在这个过程中同时受到TL环境因素约束集的限制，该模型的建立可以实现主体用户和医院信息系统功能之间的联系[8]，在方便访问和操作的同时提升信息系统安全性。

(4) 授权策略，由于医院信息系统中的子应用系统较多，同时受到不同功能模块的影响，在授权方面变得异常复杂，因此，新型基于网络安全的医院信息安全设计的授权主要考虑从分布式和层次化授权角度进行。在分布式授权方面，在职能部门中按照访问控制权限分别授权，模式从传统管理员统一分配模式演变为多部门内部灵活分配授权，这样可以保证在子系统用户主体发生变动时有相应的分布式授权单位进行操作，提升了授权的灵活性与实效性[9]。在层次化授权方面，将传统一次性授权变更为分层授权模式，分布式环境下不同主体用户进行角色层级划分，然后按照角色类型进行逐级授权，可以有效避免由于一次性授权繁重的工作和可能出现的错误进行纠正，适应于现代化医院信息安全系统的使用[10]。

(5) 终端主机安全防护，这部分的防护工作主要针对医院信息系统中涵盖医护工作站的PC设备，由于这些设备在使用过程中会接入医院内网，在使用过程中会由于种类和数量较多而影响医院业务效率，安全风险较大；此外，由于使用者的网络技能水平各不相同，需要对相关使用人员进行信息安全培训，营造良好的安全可靠的信息系统安全使用环境。对于终端主机，还需要安装网管软件和安全防护软件、定期进行软件升级和设置恶意代码防范、安装漏洞扫描系统等。如果发现在使用过程中存在主机信息安全系统违规行为，可以按照终端主机违规处理流程进行处理,如图2所示。

图2 终端主机违规处理流程

主要包括警告、自动修复和连入网络，每一步都对应相应的操作策略，如警告部分需要通知用户采取相应措施等[11]。

(6) 网络通信防护，医院信息系统中的财务数据、医务人员的就诊记录和病人的个人数据等都是信息化建设中的关键数据，为了防范数据流失、数据篡改等行为，在传统基于系统漏洞、木马危害等设计的防护软件的基础上，进一步制定了身份认证和访问控制，并加强了对实时监控网络流量、侦测和隔离的能力，包括安装入侵检测系统和安全策略服务器等[12]。入侵检测系统和安全策略服务器联动,如图3所示。

图3 入侵检测系统和安全策略服务器联动示意图

攻击者发起攻击后转入IDS中，经过检测并通报安全试件，安全管理平台定位到攻击者并进行处理，然后下发身份认证和安全事件解决策略，并进一步安全接入交换机对用户进行访问控制策略和执行安全策略，在下发身份认证和安全时间解决策略后可以对非法行为进行隔离、控制和删除，从而保障信息系统检测安全后重新正常使用。

4 总结

由于医院信息系统中的角色多样化、业务繁杂等特点，在使用过程中不可避免的受到内部或者外部威胁。虽然目前各个医院都建立了自身的安全防护系统，如在电脑上置入杀毒软件、IP和MAC地址绑定等操作，但是大部分都仅限于主机安装，而无法做到整个医院系统的全覆盖，且由于很多杀毒软件需要定期更新和安装补丁等，各科室的工作人员无法做到及时有效地更新而影响正常杀毒效果，无法做到从根本上解决安全威胁。在了解到医院信息安全系统的需求基础上，有针对性地对信息安全系统进行了设计与改造。主要从物理安全策略、身份认证、访问控制、授权、终端主机安全防护和网络通信防护6个方面进行安全设计与改造，新型基于网络安全的医院信息安全防护系统可以更加方便、快捷的使用且安全防护能力明显提高。