医院HIS系统网络安全问题探究
2014-11-05陆波
陆波
摘 要
近年来,随着计算机网络技术的飞速发展,信息管理系统被大范围地引入各级医院的日常管理中,使得医院的现代化管理水平得到了显著提升。然而,网络安全问题也逐渐成为影响医院HIS系统稳定运行的重要桎梏。基于上述背景,本文着重探究了医院HIS系统网络安全所面临的主要威胁,并提出了一些切实可行的解决对策,以期为医院HIS系统的网络安全优化给出一些参考。
【关键词】医院HIS系统 网络安全 问题与对策
1 医院HIS系统概述
HIS系统(Hospital Information System),是“医院管理信息系统”的缩写。具体来说,HIS系统指的是:以计算机网络通信技术、硬件接口技术等作为主体,对医院的人事管理、日常运营、财务核算等工作进行现代化管理,并能够对医院医疗活动过程中产生的数据进行收集、处理、汇总和整理,从而帮助医院实现内部各项工作管理信息化、自动化的一种计算机信息系统。一般来说,HIS系统的整体结构包含多个部分,例如临床诊疗子系统、药品管理子系统、人事管理子系统、数据统计子系统等。
2 医院HIS系统网络安全威胁分析
2.1 黑客攻击
目前,很多医院的HIS都基于互联网平台技术,即:医院办公人员不仅可以实现近端内部管理,还能够实现远程登录管理。这种管理形式提升了HIS系统的实效性,但同时也为黑客攻击埋下了隐患。更为严重的是,一些黑客在对HIS系统进行攻击的同时,向院方索要“网络安全保护费”,若院方不答应黑客的要求,黑客便会无休止地攻击医院的HIS系统,造成整个系统瘫痪,从而为医院和病患带来难以挽回的损失。例如,2011年9月份,深圳一所大型医院的HIS系统服务器遭到2名90后黑客攻击,黑客便以索要2000元“网络安全保护费”的形式向院方提出恐吓。
2.2 计算机病毒
计算机病毒对HIS系统的侵害体现在多个方面。例如,一旦病毒侵入医院HIS系统的缴费子系统,便可恶意篡改系统中的数据,并向系统的数据库自动发送大量的废物数据包,同时,通过自我复制、网络任意传输等功能,整个HIS系统会在很短时间内遭到感染,从而造成包括缴费子系统在内的HIS系统平台陷入瘫痪。例如,2010年11月29日,广州中山大学附属肿瘤医院HIS系统中的收费子系统便遭遇“病毒大爆发”,导致整个HIS缴费系统陷入瘫痪,近千名患者和家属在医院二楼收费窗口前苦等4个小时。
2.3 网络安全漏洞
严格意义上来说,网络安全漏洞不是引发HIS系统网络安全事故的直接因素,但却是造成HIS系统面临网络安全风险的一大隐患。一般来说,医院HIS系统的网络安全漏洞包含以下几个方面:
(1)操作系统安全漏洞。HIS平台的稳定运行往往需要基于一个操作系统,倘若操作系统本身就存在不确定的安全漏洞,则会给黑客攻击、木马病毒植入带来可趁之机。例如,目前,我国很多医院的HIS平台仍基于Windows XP系统,而微软公司已在今年5月份宣布正式终止XP系统的升级服务,如此一来,上述医院的HIS系统便会不断暴露出新的漏洞,这给黑客的攻击埋下了伏笔。
(2)网络管理疏忽。缺乏必要、定期的网络管理和维护,也是造成HIS系统面临网络安全问题的主要因素。例如,系统缺乏必要的防火墙设备、缺少专业的管理安全管理维护人员、缺乏对系统安全管理硬件软件的更新等,上述管理疏忽若长期存在,便会给黑客攻击留下漏洞。
3 医院HIS系统网络安全提升对策
3.1 构建防火墙设备
防火墙是防范黑客攻击、病毒木马入侵的重要屏障。它能够通过对HIS系统所在网络的安全性检测,判定危险数据包的类型,并启动隔离技术,将数据包隔离在系统外部,从而有效方式黑客、病毒的入侵。由于HIS系统大多为大中型网络平台系统,因此,在构建防火墙防范体系时,应采用包过滤技术和代理服务器技术整合的复合型防火墙体系,实现对入侵HIS内部非法数据包的有效拦截,并完成系统网络通信链路隔离区域的构建,从而起到有效保障整合系统安全性的目的。
3.2 采用动态口令认证技术
动态口令认证技术是一种基于“不确定因子”的网络数据验证安全技术。应用该种技术,管理员和用户在登陆HIS系统时,便会要求输入动态的认证口令,而系统只有在接收到正确的动态口令之后,才会发送相应的权限,允许用户登陆。上述技术能够有效防止黑客的“试探性”攻击,例如,黑客对HIS系统发送数量庞大的试探性攻击时,倘若遇到动态口令认证技术构建起的网络安全体系,试探性攻击便难以识别动态变化的口令牌,从而难以侵入系统。
3.3 强化系统网络安全管理
强化HIS系统的网络安全管理,对提升系统的稳定性将起到至关重要的作用。笔者认为,医院管理方应从以下几方面入手,不断提升系统网安全管理的级别。
3.3.1 实时漏洞扫描
一方面,定期开展HIS系统端口漏洞扫描。通过扫描系统内部的各个端口,实现对系统内部漏洞的监控。同时,应将扫描的信息与漏洞库信息进行比对,一旦发现系统存在漏洞,应及时升级系统补丁。另一方面,采用模拟攻击。管理员可模拟黑客的攻击,对HIS系统展开定期的漏洞测试,这将有助于及时发现系统存在的潜在漏洞,为安全管理措施的制定奠定基础。
3.3.2 提升人为管理质量
医院应不断强化HIS系统网络安全管理意识,革新管理理念,聘请专职的HIS系统网络安全维护人员,构建系统维护管理部门,制定相应的管理规章制度,例如,确定HIS系统的维护频率、维护内容、维护操作流程等事项,逐渐构建起完善的系统安全管理制度,形成良好的系统安全管理习惯,不断强化HIS系统的网络安全管理水平,优化系统的网络安全环境,以安全化、高效化的人为管理,构建起HIS系统网络安全管理的屏障。
4 结束语
本文详细探究了医院HIS系统网络安全管理的方式方法。随着计算机网络技术的不断发展,HIS系统也将得到不断推广,而系统面临的网络安全风险也将与日俱增,因此,对HIS系统网络安全管理的研究工作也将进一步深入。
参考文献
[1]沈昌祥.加强信息安全保障体系的思考[J].信息网络安全,2002(11).
[2]许锦波等著.Internet/Intranet网络安全结构设计[M].北京:清华大学出版社,2000.
作者单位
淮安市妇幼保健院 江苏省淮安市 223002endprint