淺談醫院網絡信息管理系統安全性

孫硯立

（天津長征醫院，天津 300120）

淺談醫院網絡信息管理系統安全性

孫硯立

（天津長征醫院，天津 300120）

經過多年的不懈努力，全國各級醫院都建立起了大大小小的各種醫院信息管理系統（HIS）。無論是兩層架構，還是有中間件的三層架構。無論是傳統的客戶端型，還是基于瀏覽器的BS型。硬件方面無論是采用小型機還是各種服務器。各種運行模式都已日臻完善。醫院信息系統對醫院的日常工作起著不可獲缺的安全保障作用，猶如我們人類對空氣的依賴。平常雖可“視而不見”，一旦醫院信息網絡的某一環節出錯，哪怕是短暫的數十分鐘的停斷，都會造成患者的情緒急躁不穩，醫生及財會收費人員的無所適從。將直接影響醫院的正常醫療秩序。醫院多年的HIS系統運行數據是廣大醫護技人員辛勞、智慧的結晶，是多年知識經驗的積累。通過對HIS運行多年數據的挖掘、再提取，可從多個角度提供給醫院領導做決策參考。HIS系統已深深融入了醫院管理里的各個環節之中，醫院信息系統的安全運行也成醫院正常運轉的必要保證了。下面，本人結合自己的工作，從幾個方面探討一下如何加強HIS系統安全性的。

Windows Server200x系列的操作系統以其良好的易操作界面，取代了較早的UNIX系統，成為了市場上的成熟網絡服務器運行平臺，基本上是各家醫院的網絡信息管理系統的首選基礎平臺。在早期，大多數醫院的信息管理系統的起始規劃是由HIS廠家制定的，而HIS廠家所關心的大多是其數據庫軟件能否高效順利的運行。而服務器操作系統的安全配置是一項較復雜的網絡技術，權限的配置過嚴，很多軟件不能正常運行，影響正常的醫療工作。配置過松，又會造成游戲泛濫、亂插U盤、易被非法入侵的混亂局面。以上這些恰恰又是多數HIS廠家所忽略的，筆者曾經歷過早期的Windows Server主域或備份域服務器只運行數據庫軟件，卻疏忽了用戶登錄、活動目錄安全、權限分配等這些其本而重要的工作。這也不符合微軟所推薦的由獨立域服務器來運行數據庫軟件這一原則的。在有數百個客戶端的醫院信息管理系統中，不設域主控服務器、組策略的其中也不鮮見。

隨著醫院信息化管理的不斷發展，信息化安全越來越被提到意識日程里了，也逐步受到各級領導的重視了。加強醫院信息化管理首先也是醫院的形象的問題，如南京市兒童醫院患兒死亡事件中，就有醫生玩電腦游戲的爭論。試想一下，若患者攜有病之軀來醫院就診，醫院電腦屏幕上到處是小游戲，這怎么體現對患者的尊重，這從側面也體現出一個醫院的管理水平。其次，醫院重要數據的敏感性，如患者個人隱私（如病歷、影像圖片）等，醫院也是有義務保密的。

首先是整個操作系統的安全，包括服務器操作系統和客戶端操作系統。微軟從Win2000開始推出了其實現安全技術的關鍵組件組策略，熟悉Win95/98/NT的用戶對其龐大復雜的注冊表功能還記憶猶新，Windows系統的注冊表實際上是一個龐大的二進制數據庫，其包含了大量的計算機硬軟件信息和數據，若用戶手工配置每臺計算機的注冊表，將是一個十分困難與煩雜的工作。組策略技術因此應運而生，它可幫助醫院信息管理人員以成組的方式對計算機系統進行配置，有效地控制客戶端用戶對桌面設置和應用程序的訪問，也可禁止用戶對客戶端電腦的修改，如IP地址等。極大減輕了管理員在客戶端維護方面的日常事務工作。若醫院從專業角度或盡快容易上手方面來講，也可采用桌面管理監控軟件（如威盾，萊恩塞克等），這些軟件可有效地記錄電子文檔的拷貝、及打印，做到事后有據可查。計算機客戶端硬件數量也可有效地管理，防止硬件設備私下挪用、竊取，造成財產損失。可對客戶端屏幕進行監控錄像，了解職工的實際工作情況，提高工作效率。

數據庫系統是醫院信息管理系統的核心基礎部分，此部分安全設置與管理維護也可以說是整個系統的重中之重。首先是數據庫口令密碼的設置問題，筆者發現許多醫院數據庫密碼都有問題。以SQLServer為例，首先系統管理員SA是一特殊的作為內置管理員的登陸用戶，在默認情況下，它應指派給數據庫固定服務器角色sysadmin，不可以更改角色，系統可根據需要增加賬戶，加入固定服務器角色sysadmin，以供在特殊情況下、或其他系統管理員忘記口令密碼時使用。但是，在大多數情況下，SA卻作為了HIS應用程序訪問數據庫的普通用戶來使用了，（參見下面的INI文件）。其次數據庫的口令密碼HIS應用程序是要讀取的，供應用程序訪問數據庫使用。以Powerbuilder為例，開發程序要用到其INI文件，INI文件要置于應用程序目錄下。具體如下：

這里面LogPass 是明碼，即為數據庫的口令密碼，源代碼通過如下語句來提取的，

很顯然，只有通過加密、解密這兩個自己開發的函數才能使INI文件不致于泄露數據庫口令密碼。這種函數一般由HIS開發商來做，在筆者所在城市，在醫療市場覆蓋率達70%的一HIS廠家的數據庫系統幾乎全為一個固定的手機號碼，這是一明顯安全漏洞。建議醫院信息部門自己或請第三方以HIS廠商規定的格式寫解加密函數，以動態連接庫的方式提供給HIS廠家，從基礎加強醫院管理系統的安全。

醫院應加強自己內部信息人員的培訓與管理，計算機技術可能是所有技術領域中發展最為迅猛、日益更新的一種技術，其創新讓人迎接不暇。條件許可的情況下，醫院信息人員應多參加一些外面公司的培訓與講座，以了解國內外醫院信息管理系統最新發展動態，以適應不斷發展的醫療新形勢。關于人員的管理問題，His系統開發人員不應常駐醫院，前期工程實施期間，HIS廠家技術服務人員應嚴格遵守醫院的規章制度。各部門即使有開發需求一定要通過醫院信息主管部門，留檔以備將來維護升級使用。無論是院方還是HIS方的人員，做數據修改或系統升級，一定要小心，要在備份庫上反復測試。如前幾年某國內大機場的軟件維護人員修改配置文件失誤，造成幾個小時的系統宕機，給機場造成聲譽和金錢方面的重大損失。再有醫院信息人員的素質問題，醫院是事業單位，大家考外語、拼職稱這無可厚非。但我們所使用的畢竟是微軟、思科的東西，這些公司的培訓和認證也應受到重視，畢竟這些在工作中是非常實用的。以微軟的SQL SERVER數據庫為例，一位微軟推廣專家曾講過：衡量一個數據庫管理員（DBA）專業水平的高低其中之一是看他了解SQL Server的系統對象和 DBCC 指令符的多少。當然這有失偏頗，但反過來確實醫院的信息人員又掌握多少呢。醫院的信息系統簡單的來講，猶如一部汽車，平時應作到按時保養維護，用起來才不至于半路拋錨。醫院的數據庫系統也是如此，經過長時間的運轉，維護人員也需要為其檢查健康，了解其運行效能如何。最簡單的是通過性能監視器，比較直觀，猶如醫生手中的聽診器。如筆者曾見過配置為16個CPU 和8G內存的服務器，經過數月的運行，隨著數據庫漸漸增大，在高峰期，客戶端反應巨慢，提示服務器內存不足，HIS系統面臨癱瘓。通過性能監視器發現CPU遠未達到峰值，而內存峰值始終始終徘徊在2G多一點。經咨詢HIS廠家才知，原是64位服務器誤裝32位操作系統所致，更換64位Windows Server系統后，整個系統運行暢快如初。

SQL Server數據庫維護的一重要利器就是DBCC（Database Console Command）工具程序，它能完成T-SQL語句所不能執行的工作。首先對數據庫、索引等的維護工作，如 DBCC shrinkdatabase 的作用為收縮指定數據庫中的數據文件大小，DBCC dbreindex功能為重建索引等。其次對數據庫現有狀態的檢查與修復，如DBCC checkdb等。再有可收集與顯示數據庫的各類信息如：DBCC showcontig show_statistic等用于顯示指定的表的數據和索引的碎片信息等供數據庫維護人員判斷系統運行的狀態。

服務器與數據庫的備份。9.11中，美國世貿大廈遭恐怖分子撞擊轟然倒塌，化為一片瓦礫。眾多商業公司資料蕩然無存，損失慘重。然而卻有一家公司做了數據的異地備份工作，公司重要信息如財會資料、客戶信息等通過光纖電纜實時備份到了異地服務器里了，災難后沒有像別的公司一樣陷入癱瘓的境地。業務因此很快得以恢復。按我們國內醫院的物質條件來講，實在不行，可通過網絡交替向別的房間進行數據庫的完整備份和增量備份，增量備份可為1或2小時，這樣盡量縮小因軟硬件災難事故后的損失。若無備份服務器，每星期可以刻錄光盤對數據進行異地保存。

服務器硬件的容錯技術。醫院的工作流程與其他單位如科研設計、銀行、高速公路收費等不同。是一個連續不斷，前后關聯的流程。如患者必須先掛號，然后經醫生確診后才能取藥治療等。環環相扣，缺一不可。不像科研設計單位，每人一臺電腦工作站，安裝有二維、三維的圖形設計及有限元結構分析等軟件，由工程師獨立使用。也不像高速公路收費站，一旦站內的服務器損壞后，換上相同軟件配置的服務器后，收費站可立刻恢復運行。而醫院則不同，要求7×24小時不間斷業務流程，只要網絡服務器損壞后，盡管重新換上相同配置的服務器，無論如何，醫療業務流程是無法銜接的。如前一臺服務器中交費而未取藥的患者，在新服務器中因沒有任何醫療業務信息，而不能接續前面的流程，將給醫院造成極大的醫療秩序混亂。因此，醫院信息管理的另一重要工作是服務器硬件容錯。容錯簡單的來講就是通過增加的硬件冗余來提高整個系統的可靠性，較新型的服務器中都是利用雙通道方式實現雙內存雙CPU配置來提高單服務器可靠性的，不過，要進一步提高硬件系統得可靠性，就要采取雙機容錯或更高級的集群服務器容錯方式了。北京豪威公司的DataWare NT Cluster for NT軟件是一款Windows平臺下的雙機容錯管理軟件，在主服務器發生故障后，其可自動將任務切換到另一臺處于備份工作狀態的服務器上。筆者所在醫院就經歷過這樣的事例，下午2點多，網絡突然經歷了2、3 min的中斷，備份服務器已自動接管了硬件發生故障的主服務器的所有工作的，整個醫院依然工作依舊，秩序井然。機房工作人員倒是事后驚出了一身冷汗，可見，服務器容錯技術是保證醫院醫療業務工作不停頓的一項關鍵技術。

數據庫數據的遷移與數據刪除。隨著時間的不斷推移，數據的日積月累，數據庫的容量肯定是越來越大。這樣就帶來一系列的問題，高峰時間，掛號、收費反應較慢，隨著全民醫保工作的展開，醫保患者逐步增多，醫保患者的費用分割是要與社保中心數據服務器交互進行的，這樣也會影響醫保數據的上傳、下載的速度。這樣的話，患者就醫流程就可能不流暢，勢必將要醫院的醫療秩序。若再算上財務及有關部門要查詢歷史數據的話，那么數據庫的遷移與數據刪減就不可避免。首先是備份庫的建立，可選一線淘汰下來服務器安裝數據庫，可將在前文中提到的備份好的xxx.Bak文件用任務計劃自動執行批處理命令拷入備份服務器內，然后再通過數據庫軟件SQL Server代理的計劃作業方式自動執行數據庫恢復工作。這樣，周而復使，備份服務器的數據與正式庫只相差2、3 h，也就是增量備份的間隔時間。可充分滿足其他科室的大數據量查詢和信息中心自己的數據測試使用。一般情況下，醫院都是以年度存檔保存數據的，考慮一定時間重疊度用delete加where條件限制語句刪除一些數據表。與中心數據庫有關的硬軟維護應盡量安排在夜間患者較少的時區內進行，做好周密嚴謹的操作步驟，考慮到一切可能發生的意外情況，要求有備機、備件、數據庫備份。一旦發生故障，可迅速返回原正常狀態。

現今的醫療工作中，很多是離不開互聯網的，如資料查詢、流行病上報等。雖然威盾等桌面管理軟件的特長也在對外網的防范和管理上，如其可很好地防范通過MSN、QQ、郵件、FTP等互聯網方式泄密，但是我們還是建議內外網物理分開的。這是因為流行最廣的微軟Windows系統是一個非常龐大軟件系統，雖然微軟官方不斷發布補丁程序，WindowsServer2003也自帶了可在服務器和客戶端上運行的防火墻功能，能防御內外網的攻擊。但是要保證其沒有漏洞是幾乎不可能的。一旦接入外網（Internet），這些漏洞往往可能給不法黑客用戶提供可乘之機，也可能使在互聯網上流行的病毒在局域網內泛濫，給醫院信息系統造成安全隱患。軟硬件技術結合的第三方專業防護墻雖然安全性能較高，抗攻擊能力較強，但需要的設備多、造價高，不是一般醫院所能承受的。

醫院中的網絡設備，如各樓層設備間位置（包括內交換機，光纖設施等），信息中心人員必須非常清楚。系統內的所有設備，即使最前面的客戶端電腦設備，一般人也不要輕易更換，應有信息中心的人員現場指導。這并不是小題大做，筆者幾年前曾經歷這樣一件事故，醫政人員早晨調配門診醫生，將醫生工作站電腦搬走，而將與電腦相連的較長網線一端連在墻上的面板上，一端丟棄于地上。不幸的事隨后發生了，后來上班的醫生卻將地上的網線隨手又插進了墻上另外的端口里，形成了網絡短路。8：30左右，災難就這樣發生了。中心機房的電話鈴聲驟起，用戶根本無法登錄，服務器相應速度奇慢，性能監視器網絡流量已達峰值。一直2、3個小時，數千患者不能掛號、看病、交費，擁擠在樓道和大廳里，一片混亂。機房人員根本無從下手，開始只是懷疑計算機病毒發作，后來切斷所有的網絡，再層層開啟，用逐步排除法才找到了事故的關鍵所在。千里之堤，潰于蟻穴。網絡的安全性要從小事，從基礎做起。各樓層的網絡設備間及里面的設備、線路連接，機房人員應諳熟于胸，一旦有事，不要慌張，要從容應對。

機房的建設也是不容忽視的，首先應選則有機房裝修資質的正規公司進行裝修。做好基本的防塵、防靜電、防水、防火、防雷擊措施。供電方式應有市電、UPS供電兩種電源，有條件的醫院應備有柴油發電機組，以備應急之需。關于UPS的使用問題，UPS設備盡量不要與機房設備放在一起，因UPS設備中含有多組電池組，有燃爆的危險性。應另設避免陽光直射的房間放置。UPS所帶電池組的總功率計算時應考慮出冗余，以防止其中的一組出現故障。還有要注意UPS設備的定期保養，如電池組進過3至6個月時間的使用后，應充、放電一次。另外中心機房的門禁體統與電視監控系統也是也是加強安全防范的重要手段。

醫院信息計算機管理系統（HIS）以病人為中心,以醫院信息綜合管理智能化科學化為目的。該系統的建立，將大大提高醫院現有的管理水平。系統長期平穩安全地運行，更是醫院為實現國家提出的人人享有基本衛生醫療服務做出的基礎關鍵保證。本人水平有限，所涉略的知識比較比較膚淺，算做是拋磚引玉，與廣大同行互相探討，以便在以后的工作中互相促進、相互提高。

（本文編輯：紀云霞）

R-1

A

10.3969/j.issn.1674-070X.2010.10.026.059.03

2010－09－30

孫硯立（1966－）男，天津人，本科，研究方向：現從事醫院信息數據庫編程及維護。