醫療機構信息系統信息安全探討

唐辰

摘要：本文介紹了信息系統安全管理原則和國內醫療信息安全體系，就影響醫療機構信息系統安全的因素進行了較全面的分析，并提出了相應的安全策略，同時對醫療信息隱私保護措施提出了建議。

關鍵詞：信息安全；醫院信息系統；安全措施

隨著信息與網絡技術的不斷發展，我們進入了一個信息爆炸的時代，人們可以輕松便捷的通過網絡技術來進行各種活動。伴隨而來的信息安全問題也越發嚴重，也受到越來越多行業的關注，在網絡技術發展普及的同時，信息技術業在醫學領域得到廣泛的應用，同樣醫療機構信息系統的信息安全性在當今也同樣得到極大的重視。

1 信息系統安全管理的原則

信息系統安全的核心目標是為關鍵資產提供可用性、完整性和機密性[1]，所有安全控制、機制和防護措施的實現都是為了提供這些原則中的一個或多個。基于安全需求原則，醫療機構應根據其信息系統擔負的使命，積累的信息資產的重要性，可能受到的威脅及面臨的風險分析安全需求，按照信息系統等級保護要求確定相應的信息系統安全保護等級，遵從相應等級的規范要求，從全局上恰當地平衡安全投入與效果，做到技術和管理并重。

2 國內醫療信息安全體系

在醫療活動中，醫療機構為了診斷及科研等其他需要，經常使用醫療信息系統采集、發布大量的醫療相關數據，其中包含著患者的基本信息和敏感信息。如何有效的避免隱私信息的泄露也是越來越多醫療機構普遍遇到的問題。與此同時，衛生行政主管部門認識到了醫療機構信息系統安全的重要性，也逐年發布醫療信息保障管理辦法。2004年9月發布的《關于信息安全等級保護工作的實施意見》（公通字[2004]66號）進一步強調了開展信息安全等級保護工作的重要意義，規定了實施信息安全等級保護制度的原則、內容、職責分工、基本要求和實施計劃，部署了實施信息安全等級保護工作的操作辦法。2011年，信息安全等級保護已列入《三級綜合醫院評審標準》中信息化規范建設的重要考核依據與指標。2011年衛生部發布《衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知》，要求衛生行業“全面開展信息安全等級保護工作”。

3 醫院信息安全治理與風險管理

醫院系統信息安全風險管理的傳統措施是以邊界、安全域為主的思路和模式，采用被動的、防御型的技術手段，屬于應對型的安全建設模式[2]。近些年來，隨著安全技術的快速發展，醫院信息安全規劃與建設思路也在發生轉變，其防護重點逐漸轉向醫院信息系統數據內容、應用、用戶身份和行為等全方位的安全防護；安全治理觀念也逐漸轉變為主動防御的合規管理工作，同時加強醫院信息安全監控綜合分析。通過信息系統安全指標作為衡量依據，衡量安全建設績效推進醫院信息系統安全治理，從而以工具化、自動化的安全手段，應對不斷擴張的IT資產管理，有效落實安全管理要求。

醫院信息安全責任部門正確運用控制措施能降低醫院信息系統安全面臨的風險，控制主要分為三種類型：管理控制、技術控制和物理控制[3]。管理控制因為通常是面向管理的，所以經常被稱為“軟控制”，如安全文檔、風險管理、人員安全和培訓都屬于管理控制；技術控制也稱為邏輯控制由軟件或硬件組成，如防火墻、入侵檢測系統、加密、身份識別和認證機制；物理控制用來保護設備、人員和資源，保安、鎖、圍墻等都屬于物理控制。在實際建設和規劃中，醫院信息安全責任部門應正確以分層的方法綜合使用多個安全控制類型，為醫院信息平臺提供安全深度防御。由于入侵者在獲得訪問關鍵資產前將不得不穿越多個不同的保護機制，因此多層防御能夠將滲透成功率和威脅降低到最小，從而保障醫療機構信息系統安全。

4 醫院系統的安全風險分析及對策

4.1訪問控制安全 安全的根本所在是通過控制如何訪問信息資源來防范資源泄露或未經授權的修改。訪問控制是一種安全手段，控制用戶和系統如何與其他系統和資源進行通信和交互。訪問控制能夠保護系統和資源免受未經授權的訪問，并且在身份驗證過程成功結束之后確定授權訪問的等級。信息訪問控制的實現手段在本質上都處于技術性、物理性或行政管理性層面。同時需要注意，任何接口處是最應該實施安全控制的一個地方，需要層層縱深防御來實施訪問控制。訪問控制是防范醫療機構信息系統和資源被未授權訪問的第一道防線，系統使用用戶的訪問權限主要基于其身份、許可等級和/或組成員資格。訪問控制給予組織機構控制、限制、監控以及保護資源可用性、完整性和機密性的能力[4]。

4.2計算機及操作系統安全 計算機是系統內提供某類安全并實施系統安全策略的所有硬件、軟件和固件的組合，然而其并不僅限于操作系統，操作系統的主要風險包括系統漏洞和文件病毒等。醫療機構的信息安全責任部門需對帳戶、訪問、用戶權限等進行管理與控制，做好定期監視、審計和時間日志記錄和分析。可以采用通過修改注冊表，屏蔽客戶端操作系統無關的內容，限制訪問相關資源；還應及時下載系統補丁，盡可能關閉不需要的端口，以彌補系統漏洞而給醫院信息系統安全性帶來的各類隱患。醫療機構辦公計算機中的很多安全管理軟件會產生安全日志，應由信息安全主管部門對這些安全日志進行管理分析以不斷強化整體安全解決方案，例如針對于醫院可能發生的“統方”時間以及其他對醫院影響較大的安全事件，醫療機構主管部門應能夠及時發現、定位、報警以及事后審計。

4.3數據庫安全 數據庫是為收集到的數據提供結構化的機制，因為不同的醫療機構或信息收集部門處理不同類型的數據，需對信息執行的功能操作不同，所以每個醫院信息系統數據庫實現的結構化規范也不盡相同。它們的工作負載、數據之間的關系、性能需求和安全目標會有所差別。

數據庫安全包含系統運行安全和系統信息安全，數據庫系統的安全特性主要是針對數據而言的，包括數據獨立性、數據安全性、數據完整性、并發控制、故障恢復等幾個方面。醫療機構的信息系統數據庫防護手段主要包括事前診斷，事中控制和事后審計、分析、評估。

4.4物理和環境安全 在處理計算機安全并采取措施應對黑客、端口、病毒等問題時，很多醫院并沒有很認真對待系統所處的物理安全。如果不能為醫院信息系統所處的環境提供可靠的物理安全，那么系統信息安全只能是一句空話。

醫院信息系統應采取各種措施，如設置安防系統、攝像監控、入侵監測系統（IDS）以及要求員工保持高度的安全風險意識。醫院還應積極進行物理環境安全設施建造，并執行物理環境安全的規章制度。物理安全措施必須能夠應對物理破壞、入侵者、環境破壞、盜竊和故意破壞，醫院信息安全管理部門在考慮信息安全時，應主要關注的是攻擊者如何通過端口或無線接入點以未授權方式進入某個環境；當看待物理環境時，他們應關心的是攻擊者如何以武力方式進入環境，從而造成一些破壞。

5 醫療信息隱私保護

在醫院進行醫療過程中，患者疾病和醫療行為的信息會形成關于身體特征、健康狀況的客觀記錄。這些記錄既包括患者身體特征記錄、疾病診斷記錄以及其他與健康有關的情況，還包括這些情況當中蘊含的信息。信息泄露方式有兩種，身份泄露和屬性泄露[5]。患者因診療服務需要而被醫療機構及醫務人員合法獲悉，但其不愿意他人知悉的個人情況，即患者的隱私，包括姓名、性別、出生日期、家庭住址、聯系方式、收入情況，以及所患疾病、既往病史等信息。

5.1數據匿名化 保護患者的隱私和安全，確保在醫療信息系統中以及提供正常醫療服務以外的（例如醫療保險、醫療機構的某種研究）傳遞中使用的患者資料不向非授權用戶透露患者的身份信息。個性化匿名，不同敏感屬性值具有不同的隱私保護需求，對其提供不同粒度的隱私保護，在保證安全性的同時也能減少全局匿名化處理造成的信息損失[6]。

5.2加密和數字簽名 創建和管理數據存儲的加密密鑰，數據庫加密，加密數據庫表中的數據字段以保護患者檔案和醫療信息系統中處于使用狀態的關鍵系統數據[7]。由醫療信息系統的用戶創建數字簽名，確保臨床數據的不可否認性，例如診療記錄、報告和安全聲明等。

5.3身份認證和訪問控制 根據角色級別、用戶類型及其對醫療信息系統的重要性來選擇是否進行身份認證，對不同的用戶選擇恰當的身份認證手段[8]。訪問控制策略要有具體的時間和空間條件限制，保證具有訪問權限的用戶，只有在指定范圍內的時間、空間方位，才有權限訪問醫療信息系統。

5.4網絡通信的安全保障 醫療信息系統要使用安全設備實時監控網絡數據流、偵測并隔離危險的網絡行為，自動檢測并處理安全事件，降低使用風險，確保醫療業務數據通信的安全性。

5.5安全審計 對每個事務所涉及到的醫院信息系統、用戶、醫療工作人員、患者醫療信息數據的行為進行記錄，幫助安全人員審計系統的可靠性和安全性。

參考文獻：

[1]尚邦治.醫院信息系統安全問題[J].醫療設備信息，2004，（09）.

[2]武志紅.醫院信息系統的安全維護措施[J].中國醫學裝備，2009，（01）.

[3]蘇新寧.信息檢索理論與技術[M].北京：科學技術文獻出版社，2004.

[4]國家質量技術監督局發布.GBT18336·1-2001，信息技術，安全技術信息技術安全性評估準則，第1部分：簡介和一般模型[M].中國標準出版社，2001.

[5]張洪光.信息安全管理實用規則——ISOIEC 17799：2005介紹[J]. 中國質量認證，2006（10）：35-37.

[6]阮連軍.淺談醫院信息系統安全穩定運行[J].醫療裝備，2009，（02）.

[7]穆荔，張小莊，梁霞.醫院管理信息系統的管理[J].中華醫院管理雜志，2000，（03）.

[8]郇文娟.醫院應重視避免網絡災難[J].中華醫院管理雜志，1998，（11）.

編輯/楊倩