医院体检信息的网络安全管理*

2017-09-26王培兰王金亮周素月王子民王龙基贾晓清

中国医学装备 2017年9期

王培兰王金亮周素月杜婧王子民王龙基贾晓清

医院体检信息的网络安全管理*

王培兰①王金亮②*周素月①杜婧①王子民①王龙基①贾晓清①

目的：设计医院体检信息的网络安全访问管理方案，实施医院体检信息的网络安全管理。方法：按照访问体检信息系统的用户来源和网络连接方式，将数据访问的管理方案分为局域网安全管理、互联网安全管理和专网安全管理。结果：利用防病毒软件、虚拟局域网(VLAN)管理、单向数据传输、隔离网闸和安全网关多因素认证机制等技术手段，加强网络访问控制。结论：针对不同的网络环境和用户，采用适当的安全管理方案，能够提高医院体检信息的访问安全性。

体检信息；网络安全；访问控制

目前，许多医院已在健康体检工作中应用专门的体检信息管理系统，实现体检数据从手工纸质操作到网络信息化操作的转变[1-2]。体检信息管理系统是健康体检医学的重要技术支撑手段，通过对体检部门的工作流程进行规范、系统的信息化管理，可以显著减少工作人员的手工录入操作，提高工作效率，增加体检信息的利用率，为体检者提供更优质的服务[3-4]。体检信息系统能够帮助医院或体检管理部门更快捷方便地获取和掌握体检大数据，通过统计分析相关信息，改进业务流程，提高服务质量，提供决策管理支持和健康管理服务[5-6]。

随着新医改的推进和大众健康意识的不断增强，各级卫生部门和群众对健康体检的需求更加多元化。体检人员和管理者需要更方便、全面和持续地了解体检信息和相关服务，对体检信息管理系统的访问需求也随之增多。为此，有些医院针对不同用户提供了体检结果网上发布、健康咨询和区域共享等服务，得到用户的肯定和欢迎[7-8]。然而，在复杂的网络环境中，如何保证体检信息的安全性，防止体检者的个人隐私泄露，防范不良意图的网络攻击等，是体检信息系统管理者必须考虑的重要问题。为此，本研究针对医院体检信息管理系统，分析其数据访问的功能模块和面临的网络安全性问题，设计安全访问机制和管理方案。

1 医院体检信息管理系统

1.1 系统概况

体检信息管理系统的功能基本涵盖了体检中心的各项日常业务活动，包括体检预约、人员登记、计价收费、检查、检验、医生工作站、结果发布、统计分析和报表等，能够完成体检人员基础信息、体检信息的采集、存储与汇总分析。系统建有独立的数据库和应用服务器，采用浏览器与服务器(browser/ server，B/S)架构，数据库管理使用Oracle11g，应用服务器使用Tomcat6.0。系统通过医院内部局域网与医院信息系统(hospital information system，HIS)、实验室信息系统(laboratory information system，LIS)和影像归档及传输系统(picture archiving and communication systems，PACS)等多个信息系统实现无缝连接，其费用、检验及检查等功能模块能够与医院其他系统进行数据交互和共享。

1.2 数据访问流程

体检数据的访问功能模块主要包括受检者个人查询模块、体检工作模块和系统管理模块。受检者个人查询模块允许受检者查询自己某次体检的具体数据，也可查看某时间段内个人生理参数的变化情况。体检工作模块由体检工作人员使用，完成日常业务操作，不仅可以根据受检者ID号查询受检个人的体检结果，还能通过组合条件查询，如单位、性别、年龄及生理参数等指标，统计查询特定人群的体检结果。系统管理员则登录专用的系统管理模块，对受检者个人资料、体检医生信息以及系统的功能参数进行维护。

用户分为受检者、工作人员和管理员3类。受检者个人登录系统后，通过查询界面发出对体检信息数据的查询请求，体检信息数据库根据请求内容，返回相应的查询结果。工作人员登录到系统后，可以完成体检相关信息的录入、修改和查询统计等。管理员则可对系统中所有用户的信息进行管理，包括对用户的查询、新增、删除和修改等操作。体检信息系统的数据访问流程如图1所示。

1.3 网络安全需求

图1 体检信息数据访问流程示图

信息安全是所有信息管理系统必须面对的重要问题。除了硬件故障、系统崩溃和软件设计缺陷等系统安全问题外，体检信息管理系统还需要处理的一类安全问题是在终端访问服务器过程中可能出现的非法操作、恶意攻击和信息泄露风险等[9]。体检信息系统每日处理大量个人信息、就诊记录及费用结算等敏感数据，而访问系统的用户身份复杂，网络环境不完全可控，某些情况下系统甚至需要跨网运行，所面临的网络安全风险不容忽视。因此，有必要针对不同的用户和网络环境，设计有效可行的解决方案，为访问体检信息系统数据提供足够的安全保障。

2 医院体检信息管理系统设计

按照访问系统的用户来源和网络连接方式，可以将数据访问的管理方案分为3种类型，即局域网安全管理、互联网安全管理和专网安全管理。

2.1 局域网安全管理

体检信息管理系统的数据库和应用服务器都架设在医院内部的局域网上，系统的局域网安全防护措施由HIS的管理员统一配置，包括防病毒软件、安全网关和虚拟局域网(virtual local area network，VLAN)管理、数据库容灾备份系统等，其安全措施可有效控制广播风暴、病毒传播以及非法用户访问，并能够简化系统管理员的网络管理工作，降低系统管理成本。

局域网用户包括体检中心工作人员、系统管理员和医院其他部门的工作人员。系统针对各类用户的不同角色，为其赋予相应的用户权限，限制其在系统内的业务操作。访问系统的每个用户都要进行身份验证，不同角色的用户登录后的功能界面也不尽相同。

体检中心工作人员参与体检信息的录入、采集及分析等数据生成和统计业务，其用户访问权限较高，根据其体检工作角色完成体检数据的增删改操作。系统管理员既可根据需要对体检信息进行查询修改，又可处理工作人员的基本信息和用户权限，并对系统的功能模块作维护处理。医院其他工作人员则按照各自的岗位性质拥有相应的工作权限，其工作人员也可能是健康体检业务的受检者，需要具备以受检个人身份访问系统数据的权限。

2.2 互联网安全管理

医院的医疗网络本身属于非涉密计算机网络，主要处理与医院诊疗业务相关的信息，与涉密网络之间应采取物理隔离措施。按照医院安全管理规定，医疗网络与互联网之间也需要物理隔离，以确保医疗信息的网络安全。由于体检信息管理系统的服务器以及交换机等网络设备与医院医疗网络是物理连接的，不允许体检系统再与互联网进行物理连接。因此，为满足互联网用户的体检信息查询、健康咨询和随访服务等需求，安全管理方案需要在互联网上建设独立的体检信息系统。

在安全隔离区内，新建一套互联网专用体检信息系统。其架构与医院局域网内体检信息管理系统的基本架构相同，采用同样的数据库表结构和应用服务器管理模式。在构建新系统的过程中，医院数据库管理员负责从医院体检信息数据库中提取与互联网用户相关的表数据，并导入到隔离区域的专用数据库。当新建系统接入互联网后，其相关设备不再与医院医疗网络进行物理连接，其所有网络安全防护措施均按照医院现有的互联网管理规定执行，包括配置防火墙、防病毒系统、入侵检测系统(intrusion detection system，IDS)、安全审计系统等。对于医院局域网体检信息管理系统所有与互联网用户相关的新增数据，管理员都要通过增量备份的方式导出，并以光盘刻录形式或通过数据单向传输系统等工具，定期或者按需将其导入互联网的体检信息系统，供互联网用户使用。互联网安全管理框架如图2所示。

图2 互联网安全管理拓扑图

体检信息系统的互联网用户包括系统管理员、体检工作人员以及受检单位和个人。系统管理员负责维护系统、更新数据和管理等工作，并为工作人员、受检单位和个人授予相应权限。体检工作人员主要完成随访工作，根据受检者的体检信息提供健康指导。受检单位和个人则利用系统管理员提供的用户名和密码，通过互联网登录系统，进行权限范围内的数据查询和统计，并可以与体检工作人员在线交流，获取与体检相关的健康教育和咨询服务。

2.3 专网安全管理

在日常工作中，医院的医疗网络还会与外部的业务专网进行数据共享和传输，包括地方基本医疗保险网络、费用支付专线等，其业务专网既能够与医院的医疗网络进行数据交换，访问医院的体检信息系统。地方基本医疗保险网络是为地方医疗保险的各项业务工作提供信息交互、处理及决策的综合运行管理平台，通过网络运营商提供的基于虚拟专用网(virtual private network，VPN)技术的专线，将医保经办机构与各级医疗机构相互连接。医疗机构的挂号、收费、住院结算及医保管理等功能均需与医保网络进行频繁的数据交换。医院体检信息管理系统可以借助医院医疗网络与地方医保网络之间的信息交互安全解决方案，实现对体检信息的专网安全管理。

在专网的边界部署网络隔离与信息交互设备(隔离网闸)。隔离网闸采用1台内网主机、1台外网主机和1个基于ASIC芯片技术硬件电子开关设备的3主机结构设计，在医院局域网与医保专网之间建立安全隔离区。在内外网发生数据交互时，数据首先传输到隔离网闸的内外网主机上。隔离网闸利用直接内存读写方式，读取内外网主机上的数据，其读写控制权不受外界影响和控制。而硬件电子开关不含操作系统，只允许进行文件级的数据摆渡，不接受任何网络通讯指令，使外部攻击无法使用传输控制协议与Internet协议(transmission control protocol/internet protocol，TCP/IP)等网络协议通过安全隔离区。隔离网闸能够实现L3—7层的访问控制，保证了系统具有极高的抗攻击能力。

传统的网络认证方式主要使用PKI数字证书、用户名与口令等基于用户身份的认证机制，这些方式只能确认用户的身份合法性，却不能鉴别用户所使用软硬件的合法性，对非法木马等远程控制类程序无能为力。而利用安全网关的多因素身份认证机制，可以实现对专网用户的严格访问控制。多因素认证机制包括源和目的IP地址访问控制、源和目的TCP端口范围访问控制、访问IP与媒体访问控制(media access control，MAC)地址绑定控制、用户名与口令或通用串行总线钥匙(universal serial bus，USB Key)数字证书认证等措施，能够有效防止非授权者访问所导致的安全风险。

在专网与医院局域网之间的DMZ区域，部署隔离网闸和安全网关，可以实现医院体检信息管理系统与专网之间的网络物理隔离以及体检信息的安全摆渡，其拓扑结构如图3所示。

图3 专网安全连接拓扑图

3 结语

医院体检信息管理系统既是医院信息系统的组成部分，又有其特定的用户群体，具有运行管理的相对独立性。因此，其网络安全管理一方面可以依托医院局域网的整体解决方案，在统一管理的基础上提高效率、降低成本；另一方面也要根据不同用户的具体网络环境，采取有针对性的防护措施，满足对体检信息的安全管理需求。

[1]张红君，夏慧，叶艺，等.数字化体检中心系统架构的设计与实现[J].中国数字医学，2014，9(2)：51-53.

[2]陆燕琴，傅蓉.基于.NET的军卫体检系统的设计与实现[J].计算机应用与软件，2016，33(6)：87-91.

[3]迟琳琳，高关心，王显荣.基于HIS的健康体检信息系统的设计与应用[J].中国医疗设备，2011，26(5)：80-81.

[4]刘晓燕，刘薇，刘莉莉.依托网络平台改进实现体检流程再造[J].现代医院管理，2012，10(4)：38-39.

[5]黎伟强.医院体检信息系统应用中的管理规范问题[J].医疗卫生装备，2011，32(11)：131-132.

[6]蔡锋，张虎军，张超群.个性化健康管理服务系统[J].北京生物医学工程，2009，28(5)：521-523.

[7]谭伟锋.基于B/S模式的体检信息系统开发与应用[J].医学信息学杂志，2016，37(4)：20-22.

[8]唐德春.区域性体检信息管理系统的研发与应用[J].中国数字医学，2011，6(3)：27-29.

[9]常朝娣，陈敏.大数据时代医疗健康数据治理方法研究[J].中国数字医学，2016，11(9)：2-5.

Network security management of health examination information in hospital/

WANG Peilan, WANG Jin-liang, ZHOU Su-yue, et al//
China Medical Equipment,2017,14(9):131-134.

Objective: To design the management plan of network security access of health examination information in hospital and implement network security management about health examination information of hospital. Methods: The management plans of data access were divided into security management of local area network, security management of internet and security management of private network according to the source of user and connection mode of network of information system of health examination. Results: The anti-virus software, management of virtual local area network(VLAN), single-track data transmission, isolation network switch, multi-factor authentication mechanism of security gateway and other technique means were used to strengthen access control of network. Conclusion: Aiming at various user and network environment, the adopted plan of appropriate security management can enhance the access safety of health examination information in hospital.

Health examination information; Network security; Access control

Department of Outpatient, Chinese PLA General Hospital, Beijing 100853, China.

1672-8270(2017)09-0131-04

R-058

10.3969/J.ISSN.1672-8270.2017.09.037