摘要:医院信息系统虽然给临床带来了极大的便利,但因此产生的信息安全问题也面临着来自各方的威胁。针对我院信息系统的实际建设状况,以及其中存在的不足之处做了深度的剖析,并结合自己的相关工作经验提出一些可行性解决意见,争取在信息系统的易用性、经济性与安全性中达到一个制约平衡结果。从行政管理、物理防护、技术保障等几个方面来阐述医院系统安全如何建设。
关键词:信息安全;医院信息系统;安全管理
1概述
随着医院信息化建设不断发展,信息系统已经深入渗透到医院各个部门。信息系统不仅维护了医院基础设施的正常运行,更是整个医院信息安全的保障。信息系统中存储着患者的就诊信息、电子病历、处方、医院财务等重要数据,为保证其机密性、完整性、可用性,加强医院信息安全建设已是迫在眉睫。
2信息系统和安全状况
我院现为国家三级乙等医院。自从2005年建设信息系统以来,经过多年的升级改造,目前有核心系统HIS、EMR、LIS、PACS,服务器有100多台、网络设备70余台,终端数量近1000个。为了保障边界安全,防护内部不受来自外部的攻击,我院在边界部署了天清汉马防火墙,银行、社区、医保、卫计委、卫生厅等外联单位接入后通过天清汉马防火墙统一防护,内网配置启明星辰IDS设备。整个网络通过两台联想天工进行核心数据交换,核心交换机与防火墙之间串联有网御IPS,可对网络的入侵行为进行防护。远程运维人员通过VPN连接堡垒机进操作。此外,医院内外网通过启明星辰网闸进行隔离,网闸连接至天清汉马防火墙。整个系统的网络拓扑结构图如图1所示。
3安全管理措施
自从18年国务院颁布《中华人民共和国网络安全法》,公安部又在今年5月份推出《网络信息安全等级保护制度2.0》标准以来,院领导对信息安全的认识正不断提高,不断加大对信息安全的投入。我院于2017年成立信息安全领导小组,小组成员由来自办公室、医务部、护理部、信息中心、临床等相关科室组成。由分管院领导负责信息安全工作,并在各个部门设置信息化联络专员,以便将信息安全重要活动、重要通知下达每位工作人员。
3.1管理制度的建立并落实到位
截至目前,我院已制定了《医院网络信息安全工作管理办法》、《医院恶意代码防范管理制度》、《医院网络安全管理制度》等安全管理制度,但是医院工作人员组成复杂,有些医务人员缺乏对信息安全的认识。应该加强相关工作人员对信息安全的认识。通过在医院内部举办信息安全知识竞赛、邀请专家开展信息安全知识讲座等活动,让全体员工都能参与进来。通过奖惩机制,加深员工对信息安全的了解和认识,减少信息安全末端失控行为的发生。这样可以让每个工作人员能够认识到信息安全的重要性,时刻保持信息安全的意识,避免钓鱼邮件、诈骗电话、病毒传播的威胁。
3.2容灾和备份策略
服务器储存着医院的大量数据,如果信息系统突然出现故障或者遭受到病毒威胁,医院将可能面临着数据丢失、系统瘫痪的严重后果[1]。目前绝大多数医院采用的都是服务器双机热备,外加基于RAID技术的磁盘阵列相互结合的模式。如果是服务器出现问题,心跳线无法检测到信号,将在数秒内切换至备份服务器,从而确保医院业务的正常运转。但是,假如磁盘矩阵出现故障,那么整个信息系统依然会停止运行。因此,医院还应配置异地容灾服务器,实现信息的异地同步,保障业务的正常运行,提高系统的可用性与稳定性。备份不同于容灾。容灾的目的在于保障系统发生故障时依然能够提供数据和服务,备份的目的是保留历史数据以应付可能出现的逻辑错误,如操作失误或者病毒致使数据破坏。备份是数据高可用的最后一道防线。对于信息化投入资金较为充足的医院,可以建立起一套完整的容灾与备份系统。目前现在只针对HIS系统,建立本地容灾服务器。也仅有HIS、EMR存在异地备份,其余都是本地本机备份。当前已经有不少医院中过勒索病毒,唯一的办法就是通过备份恢复数据以减少损失。如果条件实在欠缺,可以搭建一台基于Linux系统的FTP文件服务器,并且设置每天晚上12点定时开启网络接口,等待其他服务器上传备份文件,再关闭网络接口,如图2所示。尽管Linux系统相较于Windows也未必更加安全,但至少目前为止流行的病毒大多还是基于Windows系统,可以有效避免病毒危害。
3.3灾难恢复和应急演练
应急预案管理制度,可以建立健全网络信息安全应急工作机制度,提高应对突发事件的快速反应能力,满足突发情况下保障信息系统快速恢复工作需要,保证信息系统稳定运行,保护用户的合法权益,维护我院良好社会形象,确保与信息系统相关工作有序进行。一旦发生网络安全或信息安全事件,管理人员应迅速反应,及时启动相关应急处置预案,尽力减少损失,尽快恢复网络以及系统运行。在平时应开设应急管理、应急处置及组织指挥等相关培训课程,对各部门领导、管理人员进行管培,同时还应该对应急管理和基层处置人员作进行有针对性的技能培训。培训工作每半年至少举行一次,并建立《应急预案培训记录》档案。信息安全责任部门每半年应当至少组织一次演习,模拟处置影响较大的网络或信息安全事件,组织相关部门参加,检验预案的可执行性,并详细记录应急演练过程,形成《应急预案演练记录表》。此外,目前大多数医院应该主要核心系统都会备份,但是相信能够验证备份有效性的却是寥寥无几。应当定期举行灾难恢复计划,并测试备份的可用性。否则,当灾难真正来临时,才发现备份无法使用,那将是非常绝望的事情。
3.4人力资源管理
信息安全,以人为本,医院信息安全的建设需要一只素质过硬、技术优良、吃苦耐劳的人才队伍。医院领导应当重视人才的培养,引进信息安全专业人才。同时,需要对信息安全人才进行继续教育,不仅仅局限于安全专业技术知识,也应当学习信息系统管理能力和医院业务流程。将信息安全部门从技术支持部门转变成一个责任部门,为医院的信息化发展提供指导方向。人力资源管理中,人员安全是安全运营中不可或缺的重要因素。医院内部人员,尤其是信息科人员泄露处方信息、篡改病历的案件每年都不在少数。因此,医院应该实施安全管理控制来增强人员安全。背景调查、保密协议等管理手段也不应当是形式主义。为保障人员安全,还应当执行“多人控制”、“岗位轮换”、“职责分离”、“最小特权”等原则。事实上,当前人员安全形势不容乐观。很多医院由于安全人员甚至信息人员短缺,基本都是身兼多职,既是网络管理员又是安全人员,既是系统工程师又是数据库管理员。这些都是当前医院管理者亟需解决的问题。
4物理安全措施
如果要更好地保障计算机网络系统的安全性,那么除了要从技术层面来采取措施进行保证之外,还需要从物理层面来采取措施保证计算机网络的安全性,这样才能够使其得到可靠的运行[2]。医院的机房是信息几乎所有系统设备的放置地,因此,为了保障信息系统设备能够正常工作,需要加强对中心机房的安全管理。
4.1机房物理环境
由于信息系统设备属于精密仪器,因此对中心机房的环境有严格要求。我院机房配置爱普生精密空调,温度控制在15-23℃左右,湿度控制在40%-60%之间。此外,中心机房带有湿度计、温度计等仪器设备,以便即时观察机房环境情况。对于经济条件较好的医院,可以安装机房环境监控系统,可以做到实时监控、智能报警、日志记录等多功能一体化。中心机房还配有火灾自动报警系统、机房气体(七氟丙烷)灭火系统,此外,还应对中心机房进行一系列防尘、防静电、防雷、防电磁辐射处理,为信息系统的运行提供环境支持。电源设备以及服务器的使用寿命会受供电的影响,因此,应采取专线供电,保证电压的持续稳定,可以为信息系统设备延长使用寿命。UPS具备短期的备用电力供应,稳定电压,保障核心设备在断电情况下的正常运行要求等优点,已经成为配线间、中心机房必不可少的设备。我院采用双回路供电,配备3台发电机。当一条电线路有故障时候,另一条线路可以切换投入使用,能够满足长时间断电下的电力供应需求。
4.2机房防护措施
机房位于二楼信息中心内部,与楼内其他区域物理隔离。机房门口配有电子门禁系统,可以控制、鉴别和记录进出人员。其他科室成员、医院外部人员因参观、施工、维护等活动需要进入机房时,需要填写《信息中心机房外来人员进出登记表》,并在机房管理人员陪同下进行操作。目前机房内部并未安装视频监控系统,仅在信息中心门口、走廊装有摄像头,无法对机房内的人员活动及操作施工进行监控记录,无法追溯查询机房内活动事件。内部设有安保部和消防监控中心部门。保安4人一组,24小时不断巡逻;监控中心2人一组,24小时监控医院各个角落,能够保障通信线路、中心机房的物理安全。
5医院信息系统的技术保障措施
大多数信息科的行政干预能力较弱,很大程度上只能依靠购买一些设备、控制终端等手段进行管理,缺乏有效的安全管理与监管手段[3]。医院信息安全需要日积月累的建设,更需要大量人力物力的投入,绝不是买几个防火墙、装几个杀毒软件这么简单。部分医院资金投入有限,未必有专业的安全团队来建设,也没有能力购买足够的硬件,诸如IDS、日志服务器等。在虚拟化流行的今天,可以组建虚拟机+开源软件来构成自己的安全防护设备。
5.1建立补丁服务器
由于医院内部网络环境与Internet网基本隔绝,几乎所有的服务器、终端难以及时打上补丁。操作系统更新不及时,很容易被黑客利用系统漏洞攻击。另一方面,医院服务器、终端操作系统繁杂,几乎能够覆盖XP系统以后的所以Windows家族系统版本,即使只选择数十台重要的服务器,手工更新也是非常麻烦而且极不现实的。因此,建立补丁服务器是最好的选择,也在近期完成了补丁服务器的部署。作为补丁服务器,自身需要先升级到操作系统的最新版本,同时下载所需要下发的操作系统的补丁。配置尽可能高一些,然后一个月或者半个月接入互联网更新,并且下发至各个服务器、终端。这样可以有效避免黑客利用已经公布的漏洞入侵。
5.2基于自建CA服务器的Https应用
B/S架构的系统由于可移植性好,跨平台性强,已经在各个医院逐渐流行起来。传统的网站服务器大多还是采用Http协议进行明文传输,无法避免来自外部或者内部攻击者的抓包分析或者重放攻击。采用Https加密协议需要CA的支持,费用高让很多医院望而却步。考虑到医院系统是内网环境、内部使用,可以自己搭建私有CA服务器来颁布、分发、验证证书。现在主流的Linux系统基本上都支持自建CA服务器功能(图3)。在保障数据传输安全的同时,又能极大降低安全成本投入。
5.3数字证书的使用
在全面推进数字化医院建设进程中,电子签名的应用起到了至关重要的作用,为实现真正意义上的无纸化奠定了基础。数字证书服务有效解决了医院信息系统的身份认证、数据完整、行为规范、责任明确、隐私保护等安全问题,规范了医护人员的工作流程,在内部管理上有了可追溯责任的技术手段[4]。从2016年6月开始试点使用数字证书,在医院的HIS、EMR、PACS、LIS、临床路径、心电、B超/内镜、病理8个业务系统中集成实施和上线电子签名技术,医务人员在工作过程中使用USBkey对电子文书进行有效签名。各个业务系统产生的电子文书整合成完整的文件存放在信息系统中,保证其真实性、防篡改性、不可抵赖性,出现医患纠纷时,能够查询出来作为合法证据。该系统的使用,为医院建立了一个真实、有效、合法的电子病历应用环境,不但规范了医院工作流程,还提高了医生病历的质量和规范性,促进了管理的规范化,降低了医疗纠纷发生的风险,对业务起到严格的安全约制,使医院的“患者安全目标”管理工作更上了一个台阶,成为又一保证患者安全的坚固屏障。
5.4带有NTP服务的日志审计服务器搭建
日志可以对用户行为进行安全审计,对重要用户行为进行审计记录,便于安全事件追溯,可以发现系统安全隐患。应用系统重要操作(如数据新增、删除、编辑等)、重要用户的登录、登出、鉴别失败、配置管理等事件日志记录显示、查询功能,有利于系统日常的安全运维。服务器、交换机、安全设备等日志大多都保存在本地,无法保证不被删除篡改。除此之外,由于设备的时间差异原因,致使日志时间戳不一致。将会使得管理混乱,难以达到审计功能。因此,部署NTP时间同步服务器迫在眉睫。我院各服务器、交换机、终端全部同步时间戳服务器的标准时间。该时间戳服务器内置国家授时中心标准时间作为权威时间源,保证时间真实可靠,准确记录各种诊疗行为的发生时间。
6结语
网络安全领域的有一句至理名言:“三分靠技术,七分靠管理”。同样,医院信息安全的建设也离不开技术与管理两个方面。医院应量衣体裁,根据自身情况建立健全安全管理制度,引入先进的技术,建立一套符合自身条件的信息系统,为医院的正常运转提供安全保障。只有双管齐下,才能最大程度地保障医院信息系统的安全。信息安全保障体系的建设是一项长期的工程,并非一蹴而就解决所有安全问题。因此,在实际建设过程中要根据实际情况分轻重缓急,分期、分批地进行部署,探索符合医院实际情况的信息安全建设道路。
参考文献
[1]周小利.医院信息安全的发展探析[J].通讯世界,2015,(18).
[2]林琳,余俊蓉,陈宗耿.医院信息安全建设研究及经验浅谈[J].信息系统工程,2017,(11).
[3]许欣蕾.医院信息安全的问题及对策探讨[J].电子世界,2018,(19).
[4]龚全业,苏峰,马洁.基于可信数字身份的医院员工一卡通建设思路[J].中国卫生信息技术交流大会,2011.
作者:赵岐峰 单位:靖江市人民医院
