韩蓉，吴俊

南通市肿瘤医院 信息科，江苏 南通 226000

医院信息系统（HIS）是对医院医疗、财务、物资、药房、行政管理等信息进行采集、传输、处理、统计和存储的计算机应用系统[1]。随着医院信息化的普及，各家医院的HIS已涉及医院的每个部门，涵盖医院日常工作的每个环节。HIS是7×24 h不间断运行的，一旦网络瘫痪或数据丢失，将会给医院和病人造成不可估量的损失。因此，建立一套科学有效的医院信息安全防护体系对HIS正常高效运行是十分重要的。本文尝试结合P2DR（Protection Policy Detection Response)理论，探讨实现HIS安全的策略和方法。

1 动态网络安全模型P2DR

1985年，美国国防部发布了可信计算机安全评估准则 TCSEC（Trusted Computer System Evaluation Criteria）。这个准则的发布对操作系统及数据库等方面的安全发展起到了很大的推动作用，被称为信息安全的里程碑[2]。但是，TCSEC是基于主机/终端环境的静态安全模型建立起来的标准，已经不能完全适应当前的技术需要。因此，针对日益严重的网络信息安全问题和越来越突出的安全需求，美国ISS（安氏）公司率先提出了动态安全模型PDR（Protection Detection Response）。PDR模型通过防护（Protection）、检测（Detection）和响应（Response）三位一体来保障动态网络系统安全性。PDR模型，见图1。随后安氏公司在PDR模型的基础上增加了策略（Policy）,也就是P2DR模型，见图2。

图1 PDR模型

图2 P2DR模型

从图2 可以看出它是一个动态、周期性的过程，是一种动态/风险模型，特点是动态性和适时性。防护、检测和响应组成了一个完整和动态的安全循环，通过安全策略指导保证系统安全。该模型的核心思想是系统防护时间大于检测时间与响应时间之和，则认为系统安全；系统检测时间与响应时间之和越小，则系统越安全。所以要使系统安全可靠就要努力降低系统检测和响应时间，同时还要根据安全策略定时对系统进行安全检测，并及时修复和解决系统存在的安全漏洞。

目前，基于P2DR模型的网络安全设计在电子商务、银行信息安全系统、公安户籍管理信息系统等方面均得到广泛的应用，并取得比较理想的防护效果[3]。

2 医院信息系统网络安全分析

HIS网络分为内网和外网，内网一般包括HIS、实验室信息系统（LIS）、电子病历（EMR）、影像存储与传输系统（PACS）等业务系统，根据P2DR安全模型的指导思想，不同区域采取不同安全保护措施。其中核心业务区由医院业务系统的HIS、EMR、LIS、PACS、数据库服务器组成，主要安全问题是数据库安全，重点是研究如何防范病毒侵入或外来移动设备的接入以及外来非法用户的侵入。外网指医院网络向其他外部单位（如各县市医保中心、市卫生局、物价局、银行等）开放的一个出口。外网区域由于连接的外网单位的安全防范措施各不相同，存在安全隐患——如果边界区域没有防范好，其他单位的病毒和攻击很容易侵入医院网络中。

3 P2DR模型在医院信息安全中的应用

3.1 防护功能（Protection）实现

3.1.1 软件防护

HIS安全防护的重点是访问控制、加密、认证等。①访问控制主要任务是保证网络资源不被非法使用和非法占用，HIS主要通过设立用户权限口令来阻止非法登录访问HIS资源；② 加密技术的基本思想是通过对网络数据的加密来保障网络的安全可靠性[4]。HIS在数据传输时采用数据加密技术，在数据发送方和接受方给以一些特殊的信息用于加/解密信息；③ 医院认证系统能对操作员用户名/密码、登录终端、登录时间进行认证，HIS中对不同的用户设置不同的权限、不同的安全策略，这样能保证系统与网络资源的安全。现在在EMR中应用非常广泛的数字签名是实现唯一身份认证非常有效的方法，该方法仅次于指纹认证系统。通过唯一身份认证能对用户的并发行为加以控制，便于网络系统对用户数据访问的统一管理[3]；④ 内网管理软件，通过内网管理软件可以及时掌握终端使用情况，及时制止人为误操作可能产生的安全隐患，防患于未然。

3.1.2 硬件防护

HIS的安全防护还有防火墙安全、防病毒攻击、终端防护管理。① 医院网络有多个边界，为确保外网访问控制和保护内网访问，对于出口处的防火墙，在上面建立DMZ（内网和外网均不能直接访问的区域）网段；② 在所有计算方面安全威胁中，计算机病毒最为严重，发生频率高、损失大、潜伏性强、覆盖面广。医院通过建立各自动更新服务网站，保证医院各终端能进行病毒库及时升级，避免受到病毒攻击；③ 医院终端分布范围广、数量庞大，通过限制医院各终端USB接口，严格控制非法软件安装，利用MAC地址绑定的办法，严禁外来电脑私入医院网络。

3.2 检测功能（Detection）实现

3.2.1 防火墙检测

在网络安全循环过程中，入侵检测是非常重要的一个环节，它帮助系统有效对付网络攻击，增强系统管理员的安全管理能力，提高信息安全基础结构的完整性[5]。防火墙本身具备入侵检测功能，服务于整个网络系统，同时根据需要配置入侵检测的特征库设置检测到入侵行为之后的动作，进行安全事务处理。

3.2.2 数据库安全检测（审计）

HIS数据库存储着患者检查检验结果、疾病诊断、疾病治疗方案、病人处方、医疗费用等敏感信息，它是HIS中最核心、最重要的部分，这些信息的非法访问和修改将会造成重大的医疗纠纷及经济损失。通过对数据库操作的痕迹进行详细记录和审计，使数据的所有者对数据库访问活动有据可查，及时掌握数据库的使用情况，并对存在的安全隐患进行调整和改进，是安全事件追踪分析和责任追究数据库安全检测运用的必要手段。数据库安全审计系统通过对特定行为进行逻辑描述，找出可疑行为的发起人员（Who）；根据对所有操作和访问行为细粒度的客观记录进行追溯，找出可疑人员所在科室、所在房间、使用的主机等物理访问位置（Where），根据行为使用访问数据协议进行分析，找出可疑人员使用的工具（Way）、时间（When）；根据对非正常访问的逻辑特征，系统进行阻断和告警（Work），并通过对可疑行为相关特征地深度分析，找出可疑人员的行为目的（What）；从这6大类入手，对敏感数据进行实时监控，对各类行为（FTP、TELNET、HTTP）进行有效审计和追溯，对违规操作进行及时控制。

3.3 响应功能（Response）实现

当信息系统出现故障和安全问题时，及时恢复和响应是非常重要的环节，在系统安全中占有最重要的地位[6-7]。要解决好响应问题，就要制订好应急响应方案，在发现信息系统故障和不安全因素后，安全系统需要及时反应：①报告：无论系统的自动化程度多高，都需要管理员知道是否有安全事件发生；② 记录：必须将所有的情况记录下来，包括安全事件的各个细节以及系统的反映；③ 反应：进行相应的处理以阻止安全隐患的进一步蔓延；④ 恢复：清除故障隐患，及时提供容灾备份系统，使业务能够连续运行。

医院数据库的安全备份非常重要，一般有本地磁盘冗余阵列（RAID5方式）、异地备份、磁带备份等多种备份策略，一旦某设备出现错误，能及时报警，对发生的错误事件，日志能自动将所有情况记录下来。为此各大医院均采用双机热备份方式实现系统集群，一旦某台机器发生故障，另外一台机器通过自动接管服务器变成主服务器，整个过程切换一般不超过1 min，这样可以将系统中断时间降到最低，使医院业务能够连续运行。因此医院系统容灾备份与恢复是HIS安全响应过程中极其重要的一部分[8]。

3.4 策略功（Policy）能实现

安全策略是安全管理的核心，要实施动态网络安全循环过程，必须首先制定医院的安全策略，所有的防护、检测、响应都要依据安全策略实施，医院安全策略为安全管理提供管理方向和支持手段。

在安全策略实现上，主要按照最小授权的原则，一般只开放业务应用需要的端口，同时为了保障业务系统的最高优先级，在做好相应的QOS（Quality Of Service）的同时，对内部人员访问核心数据进行必要的限制等措施。同时在允许的规则中起用日志审计功能。按照纵深防御原则，网络安全防护系统应该是一个多层次的安全系统，避免网络中的“单点失效”，网络系统设计的过程中关键的部分需要采用备份网络设备、主机和数据库，以防设备失效和数据丢失[9]。

再好的防护措施也不能保证万无一失，针对医院这一特殊应用客户，还要制定合理的应急预案，我院规定：如果网络故障超过15 min，则启动本地系统程序，所有数据均暂时存放本地硬盘，这样可以不间断地进行挂号、收费、取药，减少病人排队等待时间，等网络故障解决后，数据自动上传，保证医疗数据完整安全。

本文将P2DR模型的理论应用于HIS安全，希望能为HIS安全防护提供有益的参考。医院信息安全是一项复杂的工程，需要全面考虑，P2DR模型在HIS安全的应用只是医院信息安全建设中的一部分，建立严格的安全管理制度、使用成熟的安全技术才是解决HIS安全的根本。不可能有一套通用的HIS安全模型，具体问题还要结合实际具体分析应用。

[1]王玉珍,贺滢,马婧,等.医院信息系统安全保障体系存在的风险分析[J].医疗卫生装备,2007,28(6):38-39.

[2]刘志.基于P2DR动态安全模型的SHTERM产品设计与实现[D].北京:北京邮电大学,2008.

[3]冯毅.基于P2DR模型的网银安全体系方案设计[J].中国科技信息,2011,(14):104-105.

[4]范春雨.医院信息系统安全及对策[J].科技创新导报,2010,(1):215-216.

[5]黄泽斌.基于P2DR模型的安全解决方案研究[J].计算机与信息技术,2007,(2):79-80.

[6]杨雪梅.基于P2DR模型的关键应用信息系统防御体系[J].计算机与应用化学,2010,27(8):1154-1156.

[7]阿孜古丽.医院数据库数据安全维护的分析及策略[J].中国医疗设备,2011,26(6):87,69.

[8]靳燕,王建珍.实现系统安全的技术方案分析[J].电脑开始与应用,2010,23(7):20-22.

[9]李结松.办公网络安全策略研究及技术实现[J].计算机与现代化,2012,(3):101-102.