医院信息系统信息安全对策

　医院信息系统信息安全对策 (pdf)　

    摘要：  确保医院信息系统的信息安全已显得越来越重要。访问口令限制不严、网络访问随意性大、数据库访问无检测、客户端硬盘访问无封锁、数据库用户控制不严等均给信息安全构成威胁，信息安全可以从数据库层、网络层、桌面层、应用层等进行多层次防护。

    关键词：  信息安全；医院信息系统

    医院的信息化建设正由管理信息系统（MIS）向临床信息系统（CIS）迈进，与“数字化医院”的目标又接近了一步。随着医院信息系统应用软件的不断增加和升级，确保信息安全已显得越来越重要，“多层次防护”正是确保信息安全的对策。

    1  医院信息系统安全问题

    目前医院信息系统（HIS）硬件和系统软件的配置已具有较高的安全级别，但是，HIS还存在着以下安全问题需要解决。

    1.1  访问口令限制不严  现有HIS一般采取用户连接信息简单加密的方式以限制其他非法用户获取数据库口令。但是在C/S模式下的客户端仍然存放着直接访问数据库的用户名和密码，可以被简单破解或侦听到。

    1.2  网络访问随意性大  医院网络可随意互访，信息流通和共享畅通无阻，在任何一个网络点，均可随意访问整个网络的资源，数据很易被非法窃取。

    1.3  数据库访问无监测  现有HIS中，很少有对数据库访问的用户进行监测、存档和登记工作，即使数据库的关键数据被窃取或破坏时，也无从查起。

    1.4  客户端硬件访问无封锁  现有的客户端均带有USB等硬件接口，可随意接入移动硬盘等外部设备，将危害信息安全的软件流入医院的内部网络。

    1.5  数据库用户控制不严  目前很多HIS在数据库用户上没有做严格的权限区分，往往只设1～2个用户便可以访问整个数据库所有信息，这对信息安全是很不利的。

　　2  医院信息系统安全对策

    从信息安全角度来看，HIS有以下几个层次：数据库层：监控数据库的运行状况；网络层：限制用户的网络访问；桌面层：确定客户端的程序执行范围；应用层：在应用程序端控制用户对数据库的访问。

    2.1  数据库层安全对策  目前很多HIS的单一用户就可访问整个数据库，为了改变这个情况，可对数据库用户划分为超级用户、门诊用户、住院用户、接口用户和管理用户。超级用户可以访问整个数据库的内容，因此，必须严加管理，一般只允许医院信息科主管1～2人掌握。除非进行系统级的维护需要使用外，一般不允许其他任何人员使用。建立门诊用户、住院用户分别只能访问自用数据的设置，并且对该用户及口令的连接配置信息进行二进制级别加密，用户口令保密级别与超级用户相同。对于接口用户如LIS、PACS、RIS，则只能访问有限的几张接口表。管理用户可以根据管理性质来设定一些相应的权限，如备份数据库、数据库锁管理、访问数据库中需要的表式等。如医院有多个管理员，则可在设定基本用户的基础上，再给每个管理员建立一个自用用户。使用技术手段，建立用户操作跟踪和记录，有良好的审核制度。

    2.2  网络层安全对策  在网络层可以建立一个有序可循的网络，使客户端的网络访问只能在一定的限定条件下进行。例如，在原有的医院环境下，导医台工作站是位于医院相对开放的场所，一旦有人用笔记本电脑在导医台工作站的网点，就可侵入医院网络，并可通过各种操作和软件工具窃取和破坏医院的信息数据。一般情况下，可采用交换机的端口与工作站的MAC地址绑定的策略，使固定的线路只能允许固定的工作站访问。这样一来，某一工作站只能用本站点的本机器的网线连接处工作，如果机器更换地方，将不能进入网络，以防止用户随意登录，在很大程度上防止了外来侵入对信息安全的损害。2.3  桌面层安全对策  目前客户端一般安装Windows XP和Windows 2000，用户可以使用其中任何程序，这给信息安全造成很大的隐患，给非法用户提供了一定的信息窃取平台。客户端工作站作为医院信息的操作空间，必须对工作站的应用程序做一明确设定。例如，门诊收费工作站，可以通过应用程序和操作系统的设置让该工作站在启动后，立即进入HIS程序的登录界面，而不能操作其他部分，当该用户退出系统，则直接退出操作系统关机。现有用户客户端均有USB等硬件接口，客户端很容易接入外部的USB和移动硬盘，这就会将危害信息安全的软件侵入医院网络。因此，必须严格限制客户端的不明USB、移动硬盘等设备的接入，以切断非法用户入侵网络的源头和途径，提升医院信息的安全等级。

    2.4  应用层安全对策  为防止数据的用户及口令从应用端泄露出去，这就需要采用相关的措施来阻止。可以根据医院实际情况选择以下方法来实施。

    2.4.1  对连接信息进行复杂加密  目前在用的许多C/S系统的连接信息文件是透明的或仅仅做了简单的字符级加密，很容易被非法用户获取，对安全造成重大威胁，所以很有必要对用户连接信息进行更复杂的加密。一般可以采用二进制算法进行加密，如果需要变更，则由医院信息主管将加密后的连接文件再次覆盖到客户端。

    2.4.2  采用三层结构体系的信息系统  在传统的C/S模式中，由于客户端需要直接连接服务器，其连接信息肯定存在于客户端应用程序中，非法操作者总想通过各种办法来获取这些连接信息，比如对文件进行解密或对程序进行反编译，甚至使用工具对网络数据进行窃取等。但是通过三层结构体系的应用系统来说就不存在着这些问题，因为它的客户端不直接连接数据库，连接信息是放在中间层服务器上，一切数据库的读写操作由中间层应用服务器完成，从物理位置上来说非法操作者一般难以接近，所以其安全性就有了一个质的提高。

    3  结论

    不管HIS是否已经受到这些危及安全的攻击，不管这些攻击是否已经产生了比较严重的后果，这些攻击对HIS的威胁总是存在的。一旦HIS受到攻击，就会造成无法估量的损失。所以，在任何时候，对HIS进行连续不断的保护是非常必要的。而对于攻防技术发展和网络安全实践的研究分析表明，单一的安全保护往往效果不理想，最佳途径就是采用多层次安全防护措施，对HIS进行全方位的保护。在现有的网络环境及新技术和新设备不断涌现的情况下，信息安全是一个相对的状态，信息安全是一个过程，是一个防范、监控、实施和不断改进的过程。

　　（1.杭州创业软件股份有限公司，浙江杭州 310012；2.苏州市立医院，江苏苏州 215002）