沈崑，杨松

1.首都医科大学附属北京友谊医院 计算机中心，北京 100050；2.首都医科大学附属北京天坛医院 超声科，北京100050

医院信息系统的安全建设与管理

沈崑1，杨松2

1.首都医科大学附属北京友谊医院 计算机中心，北京 100050；2.首都医科大学附属北京天坛医院 超声科，北京100050

医院信息系统的安全运行是医疗业务正常进行的保障。构建一个能够稳定、安全运行的信息系统，要从各个方面考虑，包括：服务器系统、电源系统、网络系统、客户端系统等。另外，要制定安全制度和应急预案，加强对信息系统使用者的管理。

医院信息系统；网络安全；虚拟局域网；安全制度

近年来，医院信息化建设的进程不断加快，HIS、LIS、PACS等各种信息系统及各专业科室的信息子系统在医院内的覆盖率不断提高，已逐步扩展至各个业务部门，使得医院的各项业务对信息系统的依赖程度越来越深。医院信息系统是否安全、是否能够正常运转直接关系着各种医疗业务是否能够正常进行。医院的这种工作性质造成其信息系统需具有如下特点：① 信息系统要能够一年365天，每天24h不间断地运行；② 各种医疗数据必须准确且不能丢失。要达到这些要求，构建一个各方面都比较安全的医院信息系统就十分重要。

1 中心机房的安全建设

中心机房是整个医院信息系统的物理核心，各种小型机、应用服务器、核心交换机和磁盘阵列等存储设备均置于其中，它关系着整个医院信息系统的正常运行和业务数据的安全。

1.1 服务器架构

中心机房中放置着各种服务器，按功能划分可分为数据库服务器、文件服务器和应用服务器等，其中文件服务器和应用服务器多采用PC Server，而数据库服务器则采用性能和配置较高的小型机。作为数据库服务器的小型机是中心机房中最为贵重的设备，同时也担负着医院信息系统正常运行的重要使命。小型机与连接小型机的存储系统构成了医院信息系统的中心结构。因此，数据库服务器是否采用了安全的系统架构直接关系到全院信息系统的安全。

图1 小型机双机热备架构

为了保障担任数据库服务器角色的小型机能够连续不间断地提供服务，提高全院信息系统的稳定性，可考虑将两台小型机通过心跳连接的方式组成双机热备架构，磁盘阵列存储系统也相应地采用双阵列镜像结构，小型机与存储系统间则通过SAN交换机进行数据交换，拓扑结构如图1所示。

采用双机热备的系统架构与只采用单点服务器的结构相比较，虽然前者需要投入较多资金，但是在系统安全性与稳定性方面的优势是比较明显的。在双机热备架构下，无论是由于对系统进行正常维护的情况需要重新启动一台服务器或是系统出现了异常情况而引起了一台服务器宕机，另一台服务器则在不需要人工干预的情况下自动接管系统，提供不间断的服务，最大限度地保证了用户端应用的连续性[1-4]。

1.2 机房电源系统

在中心机房中，为保证各种设备的供电安全，不间断电源UPS是必不可少的，它在机房当前供电中断的情况下为中心机房电子设备提供电力保障。UPS作为基础供电设备，最重要的是可靠性。一般而言，功率大些的UPS平均无故障时间要远远高于小功率的UPS。另外，随着综合业务的增加，负载功率增加也是必然的。因此，从可靠性，对机房设备安全性及业务增长的角度考虑应选择功率大一些的UPS。

在资金允许的情况下，为了提高中心机房供电系统运行的安全性，可考虑采用两台UPS组成冗余架构，目前较为常用的方式为串联冗余和并联冗余。双UPS串联冗余，有主机和从机之分。其基本原理是：主机正常时100%地承担负载电流，备用UPS在主机旁路处于等待工作状态；主机故障时由从机提供后备电源。双UPS并联冗余是将2台同型号、同功率的UPS，通过并机柜、并机模块或并机板，把输出端并接而成，这样做目的是为了共同分担负载功率。其基本工作原理是：正常情况下，2台UPS均由逆变器输出，平分负载和电流，当其中一台UPS出现故障时，剩下的一台UPS承担全部负载。

双UPS的冗余架构使得在一台UPS不间断电源出现故障的情况下也不会造成中心机房电源系统的中断，从而能够确保电源系统的稳定。

1.3 机房物理环境及监测

计算机中心机房的主要设备均应放置在机房机柜内，通信线缆、电源线缆应当铺设在机房防静电地板下，以防止误碰或破坏。中心机房应设置交流电源地线，机房建筑应设置避雷装置，以防止雷击。机房内须放置气体灭火设备和火灾自动报警系统。此外，中心机房的环境需要适宜的温度和湿度，以保证设备长期稳定地工作。一般而言，机房温度应控制在15～30℃，相对湿度为20%～80%，温度变化率小于 5℃/h,且不结露。所以，应在机房中安装温度、湿度及漏水自动报警装置，以便实时监控机房环境，确保安全。

2 网络系统的安全建设

2.1 核心交换层架构

核心交换机具备较高的性能和很高的转发速率，定位准确且便于升级和扩展，具有很高的可靠性、强大的网络控制能力和良好可管理性等特点，它是医院业务网络的核心设备。如何确保核心层交换机稳定可靠地运行是保障整个网络安全的重要因素。

因此，采用2台核心交换机构建核心交换层的冗余模式是十分必要的。在此架构下，当一台核心交换机发生故障宕机时，另一台可立即接管其工作。另外，在主干网络链路方面也应构建成冗余模式，即主干设备与汇接设备之间的连接要具备可靠的线路冗余方式。当主干网络中的某条线路发生故障时，利用冗余线路，网络的数据传输仍可正常进行[5]。

2.2 网络系统的安全划分

医院网络是一个复杂的大型网络，为了保障网络安全，应按照组网技术将业务网络分为3层，即核心层、汇聚层和接入层，分别采用核心交换机、汇聚交换机和接入层交换机等网络设备，并将网络规划为若干VLAN，即虚拟局域网。这样，每个VLAN组成了一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到这个逻辑子网中。划分VLAN可以有效地控制网络的广播风暴，还可以控制用户访问权限和逻辑网段大小，从而提高交换式网络的整体性能和安全性。

除了采用必要的网络技术外，还应将医院网络系统按照使用功能分为进行日常医疗数据交换的业务网即内网和与外界Internet相连通的网络即外网，对内网及外网进行物理分离，避免医疗业务网与互联网的混搭，从根本上杜绝医疗业务数据通过互联网外泄，以及非法用户通过外部网络进入医院服务器和信息系统并对其进行非法操作[6]。

2.3 网络管理软件的应用

运用网络管理软件可以使得技术人员准确地找到网络故障、管理监控用户终端、为用户提供远程的技术支持，为保障医院信息系统的安全提供方便。网络管理软件具有提前预防机制，当指标超过设定值时，便主动报警，使得网络安全管理由被动变为主动。另外，目前大多数网络管理软件采用图形化界面来进行各种网络管理设置，大大方便了网络的安全管理。现在的网管软件越来越智能化，它将人工智能技术、神经元等技术集成到软件中，使网管系统具备一定的分析与决策能力。总之，应用一套较好的网管系统，可以帮助我们提升医院业务网络管理水平，提前发现医院信息系统的网络安全隐患。

3 用户端桌面系统的管理

用户端系统是医院信息系统的最基层部分，也是威胁整个信息系统安全的主要因素。用户终端直面医院各类人员，包括医生、护士、挂号收费人员、各科技师等，每个人都有不同的使用权限，对电脑也有不同的使用习惯，在使用方法上又各不相同，这就使得医院信息系统的安全性面临多种多样的威胁，且情况比较复杂。可以说，维护医院信息系统安全的大部分日常工作集中在对大量终端计算机系统的维护方面。

毫无疑问，所有接入内网的终端系统必须安装病毒防护及查杀软件，并定期进行病毒查杀、漏洞扫描和木马检测。同时，用户端PC应安装桌面终端管理系统，以便信息技术人员对其进行管理和监控。此外，对于接入内网的终端计算机，均应拆除光驱并禁止使用任何移动存储设备，从而避免由于外接设备带来的病毒、木马程序的入侵。

另外，应做好系统盘的备份工作，例如使用Ghost软件制作系统盘镜像，以便终端PC机感染不可查杀的病毒和操作系统因故障无法引导时能够迅速恢复正常工作状态，提高效率、节省时间。

4 建立完善的安全制度并制定应急预案

保障医院信息系统安全的主体是信息系统的使用者，因此加强全院计算机使用人员的安全意识和提高其防范意识对于保障医院信息系统的安全至关重要。所以，应加大宣传力度，增强他们的主人翁意识，自觉地保护工作用机的安全。

（1）对于医院计算机的使用，应制定相应的安全管理规定。规定工作用机只能运行医院信息系统相关程序，不得安装电影、游戏娱乐等与工作无关的软件；另外，要严格按照医院信息部门分配的用户帐号和使用权限使用系统和网络资源，不得将自己的用户ID和密码借给他人使用。

（2）应加强医院信息部门专业技术人员的管理。规定定期需做例行的安全工作，如每天监测服务器、核心交换机等设备的运行状态，检查数据库及小型机有无报错并填写日常监测记录，定期巡视弱电间网络设备。对于出现的安全问题要及时解决。

（3）制定应急预案，加强应急演练。医院应成立由主管院长牵头的应急领导小组，每年针对信息系统崩溃的情况进行应急演练，做到即使信息系统的安全出现最坏情况，医疗业务仍能有条不紊地进行[7-9]。

5 总结

医院信息系统的安全建设与管理是医院的一项重要工作，也是一项复杂的系统工程，它需要对信息系统建设与管理的各个环节进行安全评估，及时发现安全隐患，堵住安全漏洞。一方面，要提高医院信息部门的技术水平，从技术角度加强软件、硬件和网络的管理；另一方面，要完善规章制度，加强对信息系统使用者的监管，并提高他们的安全意识。可以说，医院信息系统的安全建设与管理将是现代信息化医院常抓不懈的任务。

[1] 陈凌平,马宗庆,郭振华.医院信息系统安全与管理建设浅谈[J].中国医疗器械信息,2010,16(3):21-25.

[2] 陈春涛,林敏子.数字化医院信息系统安全策略研究[J].中国医院,2009,13(3):58-60.

[3] 尚文刚,吴华.医院信息系统安全防范体系的设计与实现[J].计算机工程与设计,2006,27(9):1675-1677.

[4] 胡明.医院信息系统安全维护措施[J].武警医学院学报,2009, 18(4):355-356.

[5] 朱弋,张卫东.数字化医院的网络安全问题[J].医疗设备信息, 2006,21(9):55-56.

[6] 李力,杨鹏.网络安全及医院信息系统安全管理的探讨[J].中国医疗设备,2009,24(5):69-71.

[7] 罗颢.谈医院信息系统安全的问题[J].中国医院统计,2006, 13(2):175-177.

[8] 龚庆悦,施诚.医院信息系统安全政策的制定方法[J].中国医疗器械杂志,2008,32(2):124-130.

[9] 蔡林茜.浅谈医院信息系统安全保障体系的建立[J].医疗设备信息,2007,22(8):86-87.

The Security Construction and Management of Hospital Information System

SHEN Kun1,YANG Song2
1.Computer Center,Beijing Friendship Hospital affiliated to Capital Medical University,Beijing 100050,China;2. Ultrasound Department,Beijing Tiantan Hospital affiliated to Capital Medical University,Beijing 100050,China

The safe operation of hospital information system is guarantee of medical business. In order to construct a stable and safety hospital information system, various aspects should be considered such as server system, power supply system, network system, client application system etc.Moreover,security regulations and emergency preplan should be established to strengthen the management to the operators of hospital information system.

HIS; network security; VLAN; security regulations

TP393.08; R197.324

B

10.3969/j.issn.1674-1633.2011.06.022

1674-1633(2011)06-0067-03

2011-04-07

2011-05-09

作者邮箱：sk5668@yahoo.com.cn