醫(yī)院面臨的信息安全問題與應(yīng)對分析

穆成歡

（寧波市中醫(yī)院信息科，浙江 寧波 315010）

近些年，信息安全在醫(yī)院信息化持續(xù)發(fā)展的今天顯得格外重要。維護(hù)醫(yī)療秩序，確保醫(yī)療救治工作，提高醫(yī)院工作效率，對于加強(qiáng)醫(yī)院信息安全管理意義重大。根據(jù)國家信息安全等級保護(hù)制度，醫(yī)院信息安全從5 個維度分析，主要涉及物理環(huán)境、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全、應(yīng)用安全等方面[1]。經(jīng)研究發(fā)現(xiàn)，現(xiàn)醫(yī)院面臨諸多信息安全問題，導(dǎo)致醫(yī)院信息系統(tǒng)面臨安全風(fēng)險，若不重視醫(yī)院網(wǎng)絡(luò)信息的安全防護(hù)，那么醫(yī)院的各項(xiàng)信息安全都無法得到保障，這對于醫(yī)院的運(yùn)行和管理有著很大的隱患[2]。本文以醫(yī)療信息系統(tǒng)存在的問題，通過基礎(chǔ)設(shè)施、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)存儲、軟件應(yīng)用和管理方面進(jìn)行分析，分別描述當(dāng)前醫(yī)院信息系統(tǒng)存在的風(fēng)險和問題，并尋找采取相應(yīng)的應(yīng)對措施。

1 醫(yī)院信息安全問題分析

1.1 基礎(chǔ)設(shè)施安全 醫(yī)院信息系統(tǒng)的基礎(chǔ)設(shè)施安全包括了整體機(jī)房安全和信息設(shè)備安全，是承載醫(yī)院信息系統(tǒng)的基礎(chǔ)條件。首先醫(yī)院難免會經(jīng)歷停電，如果停電時間過長，壓力會集中在UPS 系統(tǒng)上，長期負(fù)載會導(dǎo)致UPS 故障[3]。另外中心機(jī)房的環(huán)境會很大程度影響設(shè)備的運(yùn)行情況，機(jī)房的溫度、濕度、塵埃、照明等因素影響機(jī)房內(nèi)設(shè)備的使用壽命和運(yùn)行狀態(tài)。然而，信息安全人員一般常將重點(diǎn)關(guān)注在機(jī)房的信息設(shè)備上，機(jī)房的環(huán)境容易忽視，溫度過高，濕度過大，粉塵過多，機(jī)房環(huán)境雜亂，將各種雜物堆放，設(shè)備的堆疊放置等因素都會對機(jī)房的安全產(chǎn)生巨大影響，也影響了機(jī)房設(shè)備的可靠性。

1.2 服務(wù)器終端安全 服務(wù)器作為醫(yī)院信息系統(tǒng)運(yùn)行的環(huán)境，終端主機(jī)作為實(shí)現(xiàn)醫(yī)院信息化平臺的媒介，其重要性不言而喻。醫(yī)院服務(wù)器和網(wǎng)絡(luò)設(shè)備是承載業(yè)務(wù)系統(tǒng)的重要基礎(chǔ)設(shè)施，服務(wù)器安全直接影響到全院業(yè)務(wù)安全[4]。當(dāng)前醫(yī)院服務(wù)器操作系統(tǒng)主要以linux 系統(tǒng)和windows 系統(tǒng)為主，終端主機(jī)的操作系統(tǒng)大部分均以windows 操作系統(tǒng)為主。在目前的網(wǎng)絡(luò)環(huán)境下，服務(wù)器終端面臨的安全問題也是多種多樣的，主要包括身份鑒別、訪問控制、安全審計(jì)、入侵防范和惡意代碼防范[5]。黑客通過一般互聯(lián)網(wǎng)、U 盤的形式利用蠕蟲、病毒、木馬等工具對現(xiàn)有的主機(jī)環(huán)境進(jìn)行破壞，利用服務(wù)器操作系統(tǒng)的漏洞對其進(jìn)行攻擊。

1.3 網(wǎng)絡(luò)安全 隨著醫(yī)療業(yè)務(wù)的拓展以及各個系統(tǒng)之間數(shù)據(jù)的不斷交互，醫(yī)療系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)也變得越來越復(fù)雜，網(wǎng)絡(luò)規(guī)模也逐漸擴(kuò)大，趨于覆蓋整個醫(yī)療環(huán)境。但還有部分醫(yī)院的網(wǎng)絡(luò)結(jié)構(gòu)存在問題，網(wǎng)絡(luò)設(shè)備和安全設(shè)備等已經(jīng)使用較長時間，呈老化狀態(tài)[6]，單鏈路的網(wǎng)絡(luò)環(huán)境使醫(yī)院的可靠性受到了影響，當(dāng)出現(xiàn)某臺設(shè)備故障時將直接對醫(yī)院的業(yè)務(wù)產(chǎn)生影響；未做訪問控制策略也會對醫(yī)院的安全造成巨大的隱患，這也就意味著網(wǎng)絡(luò)環(huán)境沒有限制，即同時訪問內(nèi)外網(wǎng)系統(tǒng)，這也大大加增加了醫(yī)院的系統(tǒng)感染外網(wǎng)病毒的風(fēng)險；隨意地接入各種未知設(shè)備會使醫(yī)院的網(wǎng)絡(luò)結(jié)構(gòu)變得更加混亂，例如未經(jīng)規(guī)劃而隨意地接入了交換機(jī)后，可能導(dǎo)致醫(yī)院網(wǎng)絡(luò)產(chǎn)生環(huán)路。隨意接入的家用路由器由于未關(guān)閉默認(rèn)開啟的DHCP 功能，導(dǎo)致醫(yī)院的網(wǎng)絡(luò)環(huán)境中可能會存在各種干擾的DHCP 服務(wù)，影響醫(yī)院網(wǎng)絡(luò)的正常運(yùn)行；醫(yī)院網(wǎng)絡(luò)結(jié)構(gòu)問題還包括隨意的端口映射引起的DOS 侵入等黑客攻擊。

1.4 數(shù)據(jù)存儲安全 在當(dāng)今的醫(yī)療環(huán)境下，隨著信息化技術(shù)的全面普及，醫(yī)院信息的存儲方式也趨于無紙化，數(shù)據(jù)的存儲安全成為了信息安全的核心內(nèi)容。數(shù)據(jù)存儲有著真實(shí)性高、速度快、數(shù)量大、種類多等特點(diǎn)。而醫(yī)院的數(shù)據(jù)存儲安全也存在著諸多的隱患。數(shù)據(jù)的丟失會影響醫(yī)院業(yè)務(wù)的正常運(yùn)行，對醫(yī)院造成巨大的損失。而數(shù)據(jù)資料的外泄，困擾的不僅僅是患者的隱私，醫(yī)院的聲譽(yù)也會受到影響。在醫(yī)院的日常管理工作中，數(shù)據(jù)庫的安全管理問題往往被忽視，這就為不法分子創(chuàng)造了便利條件[7]。

1.5 軟件應(yīng)用安全 在當(dāng)前的網(wǎng)絡(luò)環(huán)境下，運(yùn)維管理者往往將安全防護(hù)的重心放在網(wǎng)絡(luò)和操作系統(tǒng)層面，通過防護(hù)外界對操作系統(tǒng)的攻擊實(shí)現(xiàn)系統(tǒng)防護(hù)，從而忽略了應(yīng)用本身存在的漏洞。而與安全相關(guān)的程序缺陷可以被惡意程序利用，使程序宿主機(jī)器受到侵害[8]。攻擊者經(jīng)常通過軟件的漏洞攻擊醫(yī)院系統(tǒng)，而在web 應(yīng)用中常常出現(xiàn)XSS 攻擊，攻擊者通過植入代碼到web 頁面中盜取用戶賬號信息，控制醫(yī)院數(shù)據(jù)，盜取醫(yī)院重要數(shù)據(jù)等；SQL 注入是將SQL命令插入web 表單，通過欺詐服務(wù)器執(zhí)行惡意SQL命令，攻擊一旦成功輕則獲取網(wǎng)站敏感信息，重則植入木馬，控制服務(wù)器。此外，軟件應(yīng)用安全威脅還包括錯誤的安全配置和失效的身份認(rèn)證等。

1.6 管理安全 醫(yī)院信息系統(tǒng)的安全管理包括機(jī)房管理、設(shè)備管理、軟件管理、數(shù)據(jù)管理、人員管理、系統(tǒng)管理、操作管理、備份管理、配置管理、應(yīng)急預(yù)案等。醫(yī)院安全管理的建立和完善，可以使醫(yī)院在突發(fā)事件的處理上更好。而醫(yī)院當(dāng)前存在的安全管理問題主要為信息化安全制度不完善、審計(jì)不全面、疏于巡檢、訪問控制不細(xì)致、權(quán)限分配不合理、缺乏信息安全培訓(xùn)、文檔資料不積累等。另外部分醫(yī)院對內(nèi)部醫(yī)護(hù)人員的網(wǎng)絡(luò)安全教育較少，在出現(xiàn)問題后將所有責(zé)任歸結(jié)于網(wǎng)絡(luò)科技公司[9]。上述問題會導(dǎo)致醫(yī)院系統(tǒng)面臨異常時，無法盡快恢復(fù)到現(xiàn)有的狀態(tài)，并造成資料的缺失和數(shù)據(jù)的錯誤，給醫(yī)院的工作帶來影響。

2 醫(yī)院信息安全應(yīng)對策略

2.1 基礎(chǔ)設(shè)施安全 首先是對機(jī)房場地的選擇。選擇機(jī)房的場地應(yīng)為相對獨(dú)立的區(qū)域，保證周圍沒有噪音污染，沒有水源，沒有粉塵污染，且避開磁場。另外在建設(shè)網(wǎng)絡(luò)中心機(jī)房時，要選擇使用不間斷的供電電源，保證網(wǎng)絡(luò)服務(wù)[10]。為方便信息技術(shù)人員的日常巡檢和運(yùn)維，建議機(jī)房選擇距離辦公室較近的區(qū)域，當(dāng)出現(xiàn)緊急狀況時方便信息技術(shù)人員第一時間趕到現(xiàn)場。信息機(jī)房的建材需選擇抗靜電的地板，選擇的吊頂材料應(yīng)具備一定的防水，防火等效果，拆裝方便，并且具有一定強(qiáng)度。作為墻體的建筑材料，必須滿足防火、耐雨、防震等效果。其次是對機(jī)房的整體監(jiān)測。需安排專人對機(jī)房進(jìn)行監(jiān)控和維護(hù)，并在機(jī)房安裝環(huán)境監(jiān)控系統(tǒng)，監(jiān)控機(jī)房的溫度，濕度，煙感等情況；通過安裝電子門禁對出入機(jī)房的人員進(jìn)行記錄；通過安裝監(jiān)控攝像頭對機(jī)房人員的行為進(jìn)行監(jiān)控記錄。最后是對機(jī)房設(shè)備的安全管理。機(jī)房的設(shè)備應(yīng)按相應(yīng)的區(qū)域進(jìn)行安裝上架，且設(shè)備的間隔保持1 U 的空間，防止設(shè)備應(yīng)無法充分散熱導(dǎo)致的設(shè)備故障，并且需在機(jī)房配置UPS，防止因斷電導(dǎo)致系統(tǒng)癱瘓。

2.2 服務(wù)器終端安全 安裝殺毒軟件是對服務(wù)器終端安全最基礎(chǔ)也是最有效的應(yīng)對方案。安裝殺毒軟件不僅可以防止網(wǎng)絡(luò)環(huán)境中大部分病毒對主機(jī)的攻擊，也可以對系統(tǒng)中已存在的惡意軟件和病毒進(jìn)行清理。一些簡單的，常用的密碼常常容易遭到暴力破解，對密碼的選擇，需要根據(jù)等保要求，選擇具有一定復(fù)雜程度的密碼，密碼的復(fù)雜度需滿足有數(shù)字，大小寫字母以及特殊符號的8 位以上字符串；對服務(wù)器而言，增強(qiáng)安全性的方式可以通過修改默認(rèn)的用戶名。對于服務(wù)器主機(jī)存在的安全漏洞，常通過漏洞掃描技術(shù)對系統(tǒng)內(nèi)存在的漏洞進(jìn)行探查，并根據(jù)存在的系統(tǒng)漏洞進(jìn)行相應(yīng)修補(bǔ)。服務(wù)器的操作也需要進(jìn)行相應(yīng)的規(guī)范。通過堡壘機(jī)或集中管理平臺對服務(wù)器操作系統(tǒng)進(jìn)行統(tǒng)一管理，能夠及時更新補(bǔ)丁，并實(shí)行統(tǒng)一的登陸賬號密碼管理和訪問控制入口[11]。

2.3 網(wǎng)絡(luò)安全 醫(yī)院的網(wǎng)絡(luò)架構(gòu)采用核心、匯聚、接入的結(jié)構(gòu)，為保障網(wǎng)絡(luò)穩(wěn)定，首先需對核心交換層選擇使用雙核心機(jī)構(gòu)，匯聚交換層則采用雙匯聚結(jié)構(gòu)[12]；其次是對邊界的路由器或防火墻的高可用性配置；最后是優(yōu)化系統(tǒng)的網(wǎng)絡(luò)質(zhì)量，配置相應(yīng)的QOS 以減少傳輸延時、減少數(shù)據(jù)丟包率、延時抖動等。內(nèi)外網(wǎng)隔離技術(shù)減少了醫(yī)院網(wǎng)絡(luò)受到外界的攻擊，可以通過核心交換機(jī)或防火墻配置的訪問控制策略實(shí)現(xiàn)網(wǎng)絡(luò)的邏輯隔離，也可以通過使用網(wǎng)閘設(shè)備來實(shí)現(xiàn)物理隔離。對于必須要訪問外網(wǎng)的設(shè)備，可在內(nèi)外網(wǎng)的安全域邊界設(shè)置訪問控制策略，配置到具體端口，禁用不必要的端口[13]。為防止外來人員接入醫(yī)院的網(wǎng)絡(luò)，入網(wǎng)規(guī)范管理設(shè)備可以允許經(jīng)過認(rèn)證的設(shè)備接入醫(yī)院網(wǎng)絡(luò)，而未經(jīng)認(rèn)證的設(shè)備無法訪問；針對DHCP 攻擊的防范措施可以通過使用固定的IP 地址，該方式不僅可以防止接收DHCP 服務(wù)器下發(fā)的地址分配，防止IP 地址的變更，還可以方便醫(yī)院信息人員通過IP 地址定位使用人員。

2.4 數(shù)據(jù)存儲安全 數(shù)據(jù)安全對醫(yī)院的重要性可謂不言而喻，為防止數(shù)據(jù)泄露，侵犯患者的隱私權(quán)，可以對醫(yī)院的主機(jī)限制U 盤、移動硬盤等存儲媒介接入，只有經(jīng)過審核的存儲媒介才能接入醫(yī)院主機(jī)，不僅可以防止醫(yī)院信息數(shù)據(jù)外泄，還能防止外來病毒擴(kuò)散到醫(yī)院網(wǎng)絡(luò)。還可以采用數(shù)據(jù)庫核查技術(shù)，對訪問數(shù)據(jù)庫的行為進(jìn)行安全核查[14]，保證數(shù)據(jù)的安全性。另外內(nèi)外網(wǎng)隔離也可以使醫(yī)院內(nèi)網(wǎng)的信息系統(tǒng)數(shù)據(jù)無法通過互聯(lián)網(wǎng)的方式對外傳播。對醫(yī)院的信息系統(tǒng)進(jìn)行數(shù)據(jù)備份能夠防止醫(yī)院數(shù)據(jù)丟失，當(dāng)出現(xiàn)主系統(tǒng)存儲故障時可以通過備份系統(tǒng)還原數(shù)據(jù)，保障醫(yī)院業(yè)務(wù)工作正常進(jìn)行。對于醫(yī)院的核心業(yè)務(wù)，不僅需要通過本地備份，還需要使用異地備份。以免因地震、火災(zāi)、水災(zāi)等因素破壞機(jī)房后導(dǎo)致的數(shù)據(jù)丟失。在保證內(nèi)部的數(shù)據(jù)不丟失的情況下，對數(shù)據(jù)的審計(jì)也至關(guān)重要。醫(yī)院內(nèi)很多數(shù)據(jù)的傳輸涉及到醫(yī)生和患者的信息安全和個人隱私等，在這個過程中，進(jìn)行關(guān)鍵數(shù)據(jù)審計(jì)工作，及時對數(shù)據(jù)讀取使用進(jìn)行回溯，防止醫(yī)療糾紛的出現(xiàn)[15]，并可以對醫(yī)院內(nèi)員工的操作行為進(jìn)行監(jiān)督。當(dāng)出現(xiàn)網(wǎng)絡(luò)安全惡意行為或操作失誤時，可以通過回調(diào)審計(jì)日志對員工的行為進(jìn)行追責(zé)。

2.5 軟件應(yīng)用安全 為避免因軟件應(yīng)用而導(dǎo)致的系統(tǒng)故障，對軟件應(yīng)用的處理方式需采用測試、修復(fù)、審計(jì)和防護(hù)。測試即軟件應(yīng)用系統(tǒng)的測試，主要通過對測試軟件的加密機(jī)制，用戶的認(rèn)證機(jī)制等內(nèi)容。在代碼測試前建議開發(fā)人員提前對代碼進(jìn)行掃描，減少代碼的出錯率。在測試階段通過安全測試執(zhí)行，通過安全漏洞檢測，檢查軟件的跨站攻擊，sql 注入等漏洞，并形成漏洞檢測報告，并對相應(yīng)的漏洞進(jìn)行修復(fù)，確保軟件系統(tǒng)在交付時經(jīng)過全面的測試流程。軟件在開發(fā)和使用的過程中如果有完善的軟件測試機(jī)制在一定程度上可以降低軟件的安全隱患問題[16]。修復(fù)即對系統(tǒng)的軟件漏洞進(jìn)行修復(fù)，在現(xiàn)有的業(yè)務(wù)環(huán)境中，當(dāng)檢測到業(yè)務(wù)系統(tǒng)存在系統(tǒng)漏洞，應(yīng)提前做好好必要的安全測試，確保不會和系統(tǒng)中已有的應(yīng)用程序相沖突，保障其正常運(yùn)行[17]，修復(fù)后再次測試并記錄報告。審計(jì)是檢測相關(guān)的安全事件，辨別該事件是否需要記錄，或報警，對存在威脅的日志發(fā)出報警，并形成安全審計(jì)報告過程。安全審計(jì)能夠震懾潛在的攻擊者，收集遭到破壞的證據(jù)并提供有價值的日志，確保遭到攻擊后找出事故的原因。

防護(hù)即通過使用安全設(shè)備和訪問控制策略實(shí)現(xiàn)的安全防護(hù)。在醫(yī)院的信息系統(tǒng)中，通常通過防火墻，WEB 應(yīng)用防護(hù)、入侵防御系統(tǒng)等安全設(shè)備對網(wǎng)絡(luò)中的漏洞掃描、漏洞攻擊等惡意行為進(jìn)行阻斷；通過訪問控制策略，僅開放使用的服務(wù)端口，拒絕所有其他端口，減少安全隱患。

2.6 管理安全

2.6.1 人員管理 人員管理的內(nèi)容分為兩種，一是對人員的培訓(xùn)，為加強(qiáng)信息安全人員的技術(shù)水平和操作水平，在面臨應(yīng)急故障時能盡快排查故障原因，減少系統(tǒng)中斷時間；另外對醫(yī)院的各職工進(jìn)行安全意識培訓(xùn)，普及信息安全事故導(dǎo)致的危害，認(rèn)識信息安全的重要性，并定期對員工進(jìn)行考核，考核的基本內(nèi)容包括對信息安全認(rèn)知及技術(shù)的考核，從而保證每位工作人員在工作過程中都能履行其保護(hù)醫(yī)院信息安全的責(zé)任[18]，從而減少人為因素引起的信息安全事故。二是對人員職責(zé)和權(quán)限的合理分配，只有分配合理的權(quán)限，員工按照自己的職責(zé)根據(jù)流程執(zhí)行工作，不僅能防止越權(quán)事件的發(fā)生，還能提高工作的效率。

2.6.2 設(shè)備管理 保障設(shè)備管理的主要方式為巡檢，巡檢分為日常、月度和季度巡檢。日常巡檢需要每天關(guān)注機(jī)房設(shè)備的運(yùn)行狀態(tài)并記錄，對安全審計(jì)的設(shè)備實(shí)時關(guān)注，及時處理日常的安全問題；月度巡檢需要記錄服務(wù)器狀態(tài)，所有安全設(shè)備的運(yùn)行狀態(tài)，以及對設(shè)備的版本進(jìn)行等；季度巡檢需要檢查所有的網(wǎng)絡(luò)設(shè)備和安全設(shè)備運(yùn)行狀態(tài)，并對該設(shè)備的配置備份到本地。此外，網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等也需要通過漏洞掃描的方式來檢查自身存在的問題，提高對黑客攻擊和病毒攻擊的防御力。

2.6.3 文檔管理 在醫(yī)院工作過程中，由于工作內(nèi)容不會是一成不變的，復(fù)雜的工作內(nèi)容和工作量，隨著時間的推移會逐漸的遺忘當(dāng)初的工作內(nèi)容和工作思維，因此對系統(tǒng)操作內(nèi)容和原因的記錄尤為重要。通過制定相關(guān)的文檔管理制度，對工作中配置產(chǎn)生的變更進(jìn)行審核管理和記錄，加強(qiáng)了檔案管理工作的標(biāo)準(zhǔn)化、程序化、規(guī)范化[19]，當(dāng)信息系統(tǒng)出現(xiàn)故障時能夠更有效的尋找故障原因，并提供了豐富的臺賬資料，有利于總結(jié)信息安全的歷史趨勢。

2.6.4 應(yīng)急預(yù)案 為保證處理應(yīng)急事件的能力，醫(yī)療機(jī)構(gòu)應(yīng)安排每年兩次以上的應(yīng)急演練，通過模擬網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫、存儲等設(shè)備故障，提高對突發(fā)事件的認(rèn)識和處理流程，熟練面對突發(fā)事件的應(yīng)對措施，當(dāng)醫(yī)院真正發(fā)生突發(fā)事件時可按應(yīng)急預(yù)案處置，最大限度的避免影響醫(yī)院業(yè)務(wù)。

3 總結(jié)

隨著醫(yī)院的信息化安全快速的發(fā)展，當(dāng)今醫(yī)院存在的問題也日益嚴(yán)峻，對醫(yī)院的信息化發(fā)展造成巨大的安全隱患，甚至?xí)绊懻５臉I(yè)務(wù)使用。因此，只有高度重視信息安全問題，全方位、多角度地考察網(wǎng)絡(luò)安全漏洞和弱點(diǎn)。有針對性的對當(dāng)前存在的問題采取相應(yīng)的措施，結(jié)合醫(yī)院的安全體系和規(guī)章制度，應(yīng)對面臨的風(fēng)險，保證醫(yī)院系統(tǒng)的穩(wěn)定運(yùn)行和業(yè)務(wù)的正常使用。