林 耀，赵 蕾

（解放军第九六七医院 辽宁 大连 116041）

1 引言

医院信息系统作为医院医疗信息的基础设施之一，为医院医疗服务、行政管理、日常运行发挥着重要的作用，其中涉及了信息数据收集处理、存储传输等多个功能。当前，随着科技的发展，医院的信息化建设水平也在不断提高，该系统的应用越发广泛，功能也日渐丰富，数量持续增加。在此背景下，该系统的应用也面临了更多的安全风险，数据安全受到威胁，导致系统运行受到影响，为保证系统持续发展，必须要提高系统安全性，解除数据安全威胁。

2 医院信息系统数据安全概述

2.1 系统功能

为了提高医院信息系统数据安全性，该系统必须要具备以下几个功能：（1）具备用户名和口令识别功能，以及权限管控、数据信息加密和审计等功能；（2）系统权限划分合理；（3）具备数据表查看、建立、修改等权限；（4）具备记录用户具体操作功能；（5）具备审计功能，准确记录数据库服务器和系统命令使用情况，同时对风险类型进行事前评测，了解系统中可能存在的风险，进而及时采取措施解决[1]。

2.2 安全评价

医院信息系统数据安全性评价主要体现在以下几方面：（1）完整性。系统中存储的信息数据要保证全面完整，不会因为安全风险出现变化，并保证系统和数据不会被损坏、修改。数据完整性主要包括内容、参照、数据域和用户自定义等方面的完整要求。（2）可靠性。系统运行要保证正常稳定，全部功能得以应用，不会因为故障或人为失误导致数据丢失[2]。为保证数据可靠，医院需采取数据备份和恢复方式，系统可自动预警，并进行修复，保证数据安全。（3）保密性。系统管理需由合法授权人员实现，其可以获取加密信息，信息获取后，人员根据需求固定使用，不可外泄。

3 医院信息系统数据安全威胁因素

3.1 主动威胁

主动威胁是指对数据安全产生最大威胁的因素，其包括内外部非法数据的访问。此类威胁类型如下所示。

（1）恶意访问。该行为是出于特定目的，为获取系统授权下，采用非法手段访问系统数据信息，这类行为实施者一般为内部人员，通过关键指令猜测、植入木马等手段获取访问权限，规避系统安全管理程序，非法获取资源。有些恶意访问人员出于利益因素，越权获取关键信息，将其传输给他人。

（2）篡改数据。该行为通常是指数据库中与核心业务有关的信息被非法篡改，该行为的实施人也是出于特定目的。例如药房人员为平账篡改库存信息，改变医保药品目录，或是未经同意随意篡改病患信息等行为不仅导致他人合法权益被侵害，同时也影响了了医疗机构与医疗工作者良好的社会形象。

（3）服务干扰。该行为通常是使用非法手段干扰系统运行环境，影响系统正常运行。比如，应用网络数据阻塞系统网络通道，重新编排数据，通过干扰新系统，阻碍系统运行，甚至导致系统瘫痪。

3.2 被动威胁

被动威胁是指由于设备故障或是人为操作失误导致的数据威胁。其中，人为操作失误是医院人员由于疏忽误操作，或是由于客户端漏洞无意导致数据被破坏。例如操作人员清理系统时不慎清除需要保存的信息，或是将病人数据混淆，导致诊疗信息混乱等。而设备故障则是因为设备硬件问题导致的系统非常规运行，其主要是指网络故障和服务器故障，前者会导致医院网络整体使用出现问题，这一现象多是由于交换机或网线出现问题产生的，需要检测设备状态，若是交换机出现问题导致网络无法正常运行，需要及时启动备用设备保证网络运行；后者问题表现多样，主板、硬盘或其他部件都可能出现故障，维修人员需要查找问题原因并采取相应的解决措施。

4 医院信息系统数据安全防范策略概述

4.1 建立数据安全保障体系

（1）建立网络平台。医院信息系统遵循专网专用原则，首先需要建立健全病毒防范体系，设置内部专用网络平台系统，并保证系统建设和运行安全、稳定，实现数据共享交换。我院信息系统严格落实内外网物理隔离、并通过安装网络版局域网管理软件和单机U盘封控软件结合的方式禁用U盘等移动载体，使病毒、木马的流通渠道从根本上被切断。同时，选择能覆盖各医疗区域的点位集中安装专用的服务器、交换机等设施，避免因错接线路引发网络广播风暴。

（2）正确处理数据备份。由于医院服务特殊，其需要建立完备的数据备份和动态存储全天候数据库恢复机制，利用实际动态数据存储将数据威胁消除，恢复数据库内容[3]。通常会应用冗余与工作日志配合的方法来恢复数据，同时定期监测审计系统，以保证数据完整有效。可通过双活容灾系统，建立主备机房服务器集群建立业务资源池，如条件不具备也可设立备用服务器或服务器集群，若是某一虚拟服务器或服务器集群由于各种原因发生故障无法提供服务，虚拟主机会实现自动迁移，继续提供服务。

（3）建立数据库管理和安全保障体系。该体系的建立是为了保证医疗数据不会外泄，对于机密医疗数据，医院需要采取强制存储控制值，并处理标识数据，与数据库管理系统授权机制结合，针对不同用户配置相应的访问权限。同时，医院也会授权一些患者系统查询权限，利用子系统提供相应的服务，为患者提供病历查询、缴费、挂号等服务。此外，网络环境下，医院还需要建立数据安全保障体系，通过建立安全风险评估机制对医院信息系统其中可能出现的风险进行评估和关联，并制定应急预案，降低医院损失。我院针对不同岗位的医院工作人员如医生、护士、收款员、药品、物资及行政管理人员等设置了不同权限，如需增加或修改权限必须由科室负责人及分管领导审批。同时定期对人员权限进行审核，对岗位调动或离职的工作人员权限及时进行更改或冻结。并通过数据库行为管控系统对私自更改用户权限或提取敏感医疗数据等行为进行记录和审计。

4.2 建立硬件设备安全保障体系

（1）设置密码。为保护电脑内部资料，我院计算机严格禁止移动载体接入，并统一设置电脑密码，启动自动屏保功能，屏保退出时需输入相应的密码，不同科室、诊室密码不同，具有独立性。

（2）杀毒软件。杀毒软件能够有效防止病毒入侵，可以安装单机或企业版杀毒软件，避免病毒造成终端系统崩溃或攻击服务器。我院统一安装了企业版杀毒软件，并定期更新病毒库，定期对电脑进行扫描，可对所用终端进行监控，清除病毒及木马，以保证系统安全。

（3）容错和冗余。医院信息系统需要为硬件社会提供容错和冗余功能。例如我院采用SAN网络传输与链路聚合用于交换机单点故障屏蔽，为医院信息系统提供业务持续进行保障。同时，在磁盘阵列设置Hot-Spare硬盘、RAID策略等，定对机房进行安全巡视，检查磁盘阵列运行情况，并及时更换故障硬盘，避免数据丢失，确保数据完整。

4.3 我院在信息系统数据安全防范方面的几种具体做法

下面介绍一下我院的具体做法，仅供大家参考：

4.3.1 服务器群集的设置

图1 服务器群集设置示意图

如图1所示，共有4台服务器构成服务器群集，通过虚拟机管理平台（VCenter）管理医院各项业务所需的虚拟服务器（如HIS服务器、PACS服务器、LIS服务器等），如某一虚拟服务器因系统故障意外关闭，则虚拟机管理平台会自动重启服务器以保证服务不间断。如某一服务器出现硬件故障造成瘫痪，则可通过自动或手动方式将其挂载的虚拟服务器转移至其他物理主机。

各虚拟服务器数据均集中储存于磁盘阵列中，物理服务器通过SAN网络与磁盘阵列连接，确保了数据的高速稳定传输。磁盘阵列采用Raid5策略，如有个别硬盘损坏，只需更换新硬盘并加入阵列即可，不会造成数据的丢失。

4.3.2 核心交换机的设置

图2 核心交换机设置示意图

如图2所示，大型物理服务器一般有4个（或更多）以太网接口，接入核心交换机的1～4网口，通过链路聚合，即将多个数据信道合成一个逻辑链路，实现出/入流量在各成员端口中的负荷分担，在实现数据高速传输的同时避免了因交换机单点故障造成的服务中断。核心交换机5网口设置为端口镜像，将与服务器连接的1～4网口inbound、outbound方向的数据全部镜像至5网口，并连接至行为管控系统，实现对全部数据库行为的监控和记录，如有非法统计敏感医疗数据或增删、更改数据表或用户权限等危险行为，则会实时告警。6～10网口接入各科室，并未在不同区域设置VLAN，在拓展局域网IP地址资源的同时避免了大范围网络广播风暴的出现。

5 结语

近年来，我国各大医院广泛应用信息系统，系统安全风险也受到各界关注。为了保证医院信息系统数据安全，促进数据安全管理工作，需要对其安全威胁进行深入分析，当前，医院信息系统数据安全威胁可以分为主动和被动两种，对此，本文提出建立网络平台、正确处理数据备份并建立数据库管理和安全保障体系、建立硬件设备安全保障体系等措施，以提高医院数据安全性，确保医院信息系统能够安全稳定运行。