医院网络信息安全防护系统设计与应用

医院网络信息安全防护系统设计与应用

[摘要]目的:基于浏览器与服务器(B/S)模式,设计医院网络信息安全防护系统,从可靠性和安全性角度改进现有的医院网络信息系统。方法:通过网络信息安全管理平台、Web控制台以及与处理中心的运行与管理,实现网络信息安全防护功能,并对比分析防护系统应用前后信息安全隐患或事件发生数及准确预警数和有效解决数。结果:系统能快速处理和响应不同用户的系列操作,相较于传统客户机与服务器(C/S)架构,可极大提升医院网络信息系统的安全。安全防护系统应用前共发生45起信息安全隐患或事件,系统应用后仅发生19起;应用后系统准确预警、有效解决信息安全隐患或事件占比显著高于应用前,其差异有统计学意义(x2=4.140,x2=4.160;P<0.05)。结论:基于B/S模式的医院网络信息安全防护系统能保证医院网络信息的可靠性和安全性,提高网络信息管理的工作效率,实现网络信息安全管理的系统化、流程化和规范化防护目标。

[关键词]网络信息安全;浏览器与服务器(B/S)模式;医院网络信息系统;安全防护体系

近年来,随着互联网的快速发展与Web技术的推广和应用,计算机在社会各领域中均发挥着举足轻重的作用。医疗机构的电子病历信息、门诊信息以及设备管理信息等构成了医院动态的智能信息平台,可实现在线病案检索、门诊收费、查询和报表、系统维护、医疗质量统计及医疗评价等,能进一步完善医疗服务、医学教学研究及对外交流传播等工作[1-3]。医疗机构作为供给医疗卫生服务的主体,其发展重点在于综合管理,而信息平台建设与服务情况直接关联医疗机构的工作质量和效率[4]。为此,构建基于庞大和复杂的系统结构与网络环境下的信息安全防护体系,有效保障信息平台运作的有效性和稳定性,及时清除数据服务过程中出现的各类故障与缺陷是目前信息安全防护研究的重点[5]。本研究基于浏览器与服务器(browser/server,B/S)模式,结合杭州市第七人民医院实际,设计出一种医院信息安全防护管理系统,从可靠性和安全性角度改进现有的医院网络信息系统,为医院顺利运营保驾护航。

1医院网络信息安全防护系统需求

医院信息网络安全防护涵盖计算机安全、通信安全、数据安全、密码安全以及信息论与数论等专业知识与技术,医院网络信息系统的平台保护应做到不因意外或偶然的外部因素影响系统运行,无论何时均能保证数据信息安全,尽可能减少或避免信息的丢失、变更、损坏及泄漏等,确保数据信息服务医疗工作的连续性、长期性、可用性和高效性,从而提高整个系统运行的安全性与可靠性[6-7]。目前,国内现阶段信息安全保护及医疗机构信息保护需求的网络信息处理技术可分为3个层面:①硬件设施安全,主要为物理设备,包括计算机、计算机房、网络交换机、线路及电源等;②数据或应用程序安全,包括信息系统相关软件、程序及数据库等浏览与访问的安全性;③网络和系统安全,主要集中于通信,信息数据的交换、应用与备份,计算机系统等多系统平台免受外部系统入侵与攻击等的干扰[8-9]。

2医院网络信息安全防护系统的设计

医院网络信息安全防护系统主要涉及医院网络信息安全管理平台、Web控制台以及与处理中心,其防护系统主体设计。

2.1安全管理平台

系统网络信息安全管理平台的安全防护核心在于网站,包括信息安全监控、信息安全事件管理、信息安全事件响应、信息安全管理和系统管理5个功能模块。(1)安全监控模块。用于监控和管理目标电子病历信息及其他信息,其功能为:①安全管理,包括目标信息和设备资产管理、软件补丁管理及人力资源管理;②网络拓扑呈现,常用于显示网络安全设备,便于管理人员直观地监控和了解网络中各设备的运行状态[10];③数据信息状态实时监测,主要通过管理员对硬件进行设置、借助网络管理协议采集和监测每个设备及子系统的运行信息与日志数据,并以表格、折线图、饼状图或柱状图等多种形式进行不同维度展示,必要时可进行管理控制。(2)安全事件管理模块。主要作用为采集各种信息安全隐患或意外事端以及日志记录的相关数据信息,并统一完成分析与处理,其步骤依次为收集安全信息、有序过滤安全隐患或事件以及安全隐患或事件报警[11]。(3)信息安全事件响应模块。用于应急响应安全隐患或意外,要求维护人员与安全隐患或意外建立密切关联,并对出现的任何安全隐患或事端均有专人及时进行妥善解决[12]。该模块自动将处理响应任务列表发送至相应管理员进行审查和监督,其处理流程为:①管理人员报告或发送存在的隐患或事端,或系统自动收集现有的隐患或事端;②系统将安全隐患或事端以安全任务单形式发送至维护人员或响应人员,根据对应安全问题解决所需的资源及特定表现明确安全风险的级别;③管理人员接收到任务单后直接到现场或远程处理安全隐患及问题,安全问题解决后响应即结束,其安全问题响应流程见图3。(4)信息安全管理模块。主要用于和执行安全对策,实现高效和快速的医疗信息安全策略部署。(5)系统管理模块。主要用于系统内部管理,包括用户管理、权限管理和信息采集调度管理。

2.2Web控制台

系统的Web控制台主要由3个层面组成。①数据访问层面,其核心作用为数据库的浏览,借助“直面接口编程”将数据库访问与数据访问层接口(interfaceofdataaccesslayer,IDAL)模块直观抽象,继而可实现数据库的浏览[13];②数据与业务管理层面,其数据与访问层面的各子系统均紧密相连,常用于设备运行状态及平台安全管理的日志查询;③数据呈现层面,基于此层面,用户可以直接浏览对应界面,实现系统与用户之间的密切交互。Web控制台应用的技术反馈手段为层叠样式表(cascadingstylesheets,CSS)、超文本标记语言(hypertextmarkuplanguage,HTML)及JavaScript等,可充分呈现每个用户的系列操作。

2.3中心和处理中心

系统的中心由服务、核心与命令3个管理器组成,而处理中心则主要扮演接收、存储所收集到的信息管理状态和日志数据,涵盖响应管理器(获取预警与报警信息,并以警示音、短信及邮件等形式发送预警信息)、日志审计处理器(对应完成日志的审计工作)和数据库。

3医院网络信息安全防护系统的实现与测试

3.1实现功能

(1)借助CSS、HTML及JavaScript等技术手段,基于B/S模式实现的医院网络信息安全防护系统能支持现有的医疗机构管理系统,可满足互联互通与数据共享的需求。(2)用户管理模块建立超级用户管理权限,用于创建、修改和删除用户,当创建用户成功后需依托于用户名与密码才能登录,输入信息后系统将与数据库信息进行核对,只有验证匹配后才能进入系统首页及完成相关操作,而恶意用户基本难以进入该系统获取数据信息。(3)本研究设计实现的信息安全管理功能模块由设备、信息清单和显示区构成,可在添加、修改及清除数据库中设备和信息的同时,以拓扑的方式直观呈现系统中各物理设备及其运行情况。(4)该系统将物理硬件设备与路由器、交换机及防火墙等安全应用系统结合,通过添加任意硬件设备及其互联网协议(internetprotocol,IP)地址、网关和媒体访问控制(mediaaccesscontrol,MAC)地址进行对应的拓扑管理。(5)医院网络信息安全防护系统采用的硬件监控数字报警模式能够实现安全规划和配置,可手动设置硬件设备使用率的最高值和最低值后,若发生监控值超过阈值的情况,可通过短信、警示音及邮件等形式发送预警提醒。此外,在报警阈值设置界面可设置中央处理器(centralprocessingunit,CPU)的最大值和最小值、网卡流入量和流出量、内存、网卡和磁盘的连接数及其警示路径。

3.2系统测试

为有效地检查和发现医院网络信息安全防护系统的功能和性能,部署了一个特定的测试环境用于测试系统。测试环境包括威胁管理预警、IISWeb服务器和防火墙以及数据库审计等诸多软件系统或服务器。此次测试所使用的测试环境主要对安全控制系统的管理控制功能、信息状态和日志采集功能、日志查询功能、任务列表管理功能、系统日志管理功能、安全策略管理功能、安全风险或事件管理功能以及安全风险或事件预警和统计等进行测试。其中,管理控制功能在测试时需要先打开系统平台的登录界面,然后通过不同权限的用户分别登录,最后查看不同用户的上述功能并执行相关的测试程序。测试结果表明,该系统的所有功能均符合对应标准,尤其是用户统一身份认证、统一权限管理、数据机密性和完整性以及日志审计等,均能快速处理和响应用户的系列操作,相较于传统客户机与服务器(client/server,C/S)架构,医疗机构信息管理平台系统的安全性、可重用性及延展性均得到有效改善。

4医院网络信息安全防护系统的应用效果

4.1统计资料

选取杭州市第七人民医院2018年10-12月医院网络信息安全防护系统应用前和2019年1-3月防护系统应用后两个阶段的应用数据,对比分析防护系统应用前后信息安全隐患或事件发生(包括病毒攻击行为、非授权的访问、拒绝服务(denialofservice,DoS)攻击、系统漏洞等)数据、准确预警数和有效解决(基本未造成损失或负面影响)数据。

4.2统计学方法

采用SPSS25.0软件对数据进行统计学分析,计数资料用率(%)表示,采用x2检验,以P<0.05为差异有统计学意义。

4.3统计结果

对比分析结果显示:①信息安全隐患或事件,防护系统应用前发生45起,应用后发生19起;②准确预警和有效解决,防护系统应用后信息安全隐患或事件占比显著高于应用前,其差异有统计学意义(x2=4.140,x2=4.160;P<0.05)。

5讨论

医疗机构的网络信息安全问题已成为现阶段困扰医疗机构网络信息系统平台运行和应用的重要瓶颈,为应对信息数据时代高频率的网络攻击与意外事件所带来的安全威胁,各类入侵检测技术、杀毒软件、数据备份技术、防火墙以及数据库安全技术等在医疗机构网络信息安全建设工作中得到了广泛应用,这些技术虽然在确保网络信息安全方面存在着十分重要的作用,但仍需明确信息平台的构造与使用,专业性要求较高,物理设备与软件均需完成有效的整合,而医疗机构尤其如此,内部桌面终端具有的分散性、医护人员素质的高低及使用情况等均直接或间接增加了信息安全防护的风险[14-16]。针对医疗机构当前信息安全管理在技术层面与管理层面存在的局限,本研究设计的基于B/S架构的网络信息安全防护系统,通过网络信息安全管理平台、Web控制台以及与处理中心的运行与管理,可实现信息安全监控、信息安全事件管理、信息安全事件响应、信息安全管理及系统管理,继而获得较为理想的安全管理体系,实现网络信息安全防护管理的系统化、科学化、流程化和规范化。测试结果表明,该系统能快速处理及响应不同用户的系列操作,相较于传统C/S架构,能极大提升医疗机构网络信息管理系统平台的安全性、可重用性及延展性,表明该系统能有效减少信息安全隐患或事件,可准确预警和有效解决安全风险。

6结论

基于B/S模式下的网络信息安全防护系统能保证医院网络信息的可靠性和安全性,提高网络信息管理的工作效率,实现医院网络信息安全防护目标。此外,医疗机构还需建立相适应的安全管理体系,严格管理制度、规范应用操作,兼顾技术与管理的协同作用发挥,形成可满足实际需求的多方位网络信息安全防护体系。

作者:章俊航 王轶群 王卉 徐小林