夏国汉，周雷罡，潘蕾，郭丹

江西省药品检验检测研究院，国家药品监督管理局中成药质量评价重点实验室，江西省药品与医疗器械质量工程技术研究中心，江西 南昌 330029

实验室信息管理系统（laboratory information management system，LIMS）是现代信息技术与实验室管理工作的结合，已经广泛应用于药检行业，LIMS 系统对比传统的手工书写，为药检管理工作带来了极大便利。LIMS 是针对实验室的整体环境而设计，实现实验人员、仪器、样品、方法、环境全面的资源管理的计算机系统。LIMS 在收样、实验室样品流转、报告书填写、报告流转等功能上已经相当成熟，能够提供完成整个检验流程的功能，带动了传统工作和管理模式升级，带来效率与质量的提升。同时LIMS 也给系统安全管理工作带来了新的挑战，安全问题产生的原因是计算机信息系统本身具有复杂性，因此极易遭到破坏。影响计算机信息系统安全的因素包括人为因素和客观因素，人为因素是指某人或组织为了达到某种目的而对计算机系统进行的故意破坏。而客观因素指的是自然界各种能够对计算机系统产生影响的自然现象，如雷击、水灾、火灾、地震等等，都有可能造成计算机运行过程无法充分发挥有效的作用，使计算机信息安全无法得到保障［1］。

1 LIMS 系统面临的安全问题分析

1.1 信息系统实体安全的问题

计算机信息系统的硬件作为计算机系统的实体，其包括计算机内自身的硬件和各种接口、各种相应的外部设备、计算机网络的通信设备、线路和信道等［2］。实体安全就是确保服务器及其配套硬件设备不会受到物理伤害，因此需要有良好的机房环境。存放服务器的机房能够防火、防盗、防水、防尘、防雷，有恒定的机房温度、稳定的电力供应等。服务器本身硬件故障，管理人员对服务器硬件误操作等问题也会造成物理伤害。

1.2 软件安全的问题

软件安全是计算机信息系统安全的重要环节，因为只有计算机软件系统的运行过程中的安全得到保证，才能完成对信息的正确处理，达到发挥系统各项功能的目的［1］。软件安全也就是服务器安装的操作系统能够提供一个良好的支撑环境，管理服务器的内部资源，LIMS 软件能正常稳定的运行。

LIMS 信息系统架构通常为B/S 模式。B/S 模式为客户端统一采用浏览器作为接收请求和显示结果的工具。用户浏览器发出请求，后台服务器处理完毕后，再通过服务器发给浏览器显示，使用与安装都比较简便。B/S 结构的主要特点是分布性强、维护方便、开发简单且共享性强、总体拥有成本低［3］，但是这种模式下需要服务器操作系统能够不间断的提供服务，所以对稳定性要求很高。

1.3 网络安全的问题

计算机网络自身的结构特点导致了其脆弱性。计算机网络技术自身的属性，使其很容易受到来自自然界以及其他恶意犯罪人士的攻击而遭到破坏，计算机系统的安全性有来自计算机犯罪、病毒以及系统故障等多方面的威胁，从而需要加强对计算机信息系统的安全保护［1］。

计算机网络中的信息可能遭受来自病毒、木马的威胁，如服务器未开启防火墙、未安装杀毒软件、无IPS 入侵防御设备防护，开放不必要的共享端口、开启远程桌面以及访问系统终端PC 存在的系统漏洞、病毒、木马等。

1.4 信息数据安全的问题

计算机信息系统的信息安全是核心，系统使用中存在信息财产被故意或偶然的泄漏、更改、破坏或使信息被非法系统辨识、控制等问题，无法确保信息的保密性、完整性、可用性和可控性［4］。

如实验过程中填写的数据，能够安全可靠的保存在LIMS 系统中。避免信息修改、删除、盗用等各种违法犯罪现象，且不因故障而丢失数据。

1.5 安全管理的问题

安全管理包括提高安全意识，有效保障信息系统安全，以及提高技术水平，增强信息系统的技术防范能力［4］。

信息系统建成后往往存在安全制度缺失，管理不严，缺少执行力度，安全意识跟不上信息技术变化，信息安全人力不足、技术存在一定的欠缺等问题。

2 LIMS 系统安全对策

2.1 保障信息实体安全的措施

制定机房服务器的安全管理制度。严格规定除系统管理人员外，如无必要其他人不得进入机房接触、操作服务器；在选配服务器时采购主流品牌厂商服务器，硬件本身安全系数高、售后有保障；LIMS 系统服务器与数据库服务器均有冗余备用服务器；规范机房管理人员的操作，做好服务器的巡检登记工作，对服务器操作、维护须登记管理。服务器的磁盘均有冗余安全措施，采用RAID5+热备的模式，RAID5 的磁盘阵列具有容错功能，它使用奇偶校验技术提供数据冗余信息，系统安全与可靠性得到很大改善［5］。机房配有市电与UPS 双路电源，最大保障机房用电安全，做到信息实体的高安全性。

2.2 保障软件安全的措施

服务器安装企业版操作系统，其较为成熟与稳定，但没有一个操作系统是完全安全的，系统的安全漏洞会被不定期的发现。设置系统定时的访问操作系统补丁服务器，并自动安装系统补丁，保持操作系统是最新的［6］。同LIMS 系统厂家联系沟通，及时更新厂家发布的补丁，堵上LIMS 系统的漏洞。终端电脑安装企业版杀毒软件，实现管控访问LIMS 系统的终端电脑，给终端电脑操作系统打补丁，定期更新病毒库，及时清除电脑上存在的电脑病毒，恶意捆绑软件和插件等。只有确保U 盘安全的情况下，才能在特定的终端上使用。

2.3 保障网络安全的措施

LIMS 系统服务器与终端均部署在内部局域网，与互联网物理隔离，最大程度的避免了来自互联网的黑客攻击，病毒、木马的威胁。将系统服务器所在网段与访问终端网段划分不同VLAN 以隔离开［7］。在服务器网络节点前部署物理防火墙，采用透明模式，所有访问均需通过防火墙。依据最小化原则配置防火墙访问控制策略，将共享、远程桌面等高危端口阻挡在墙之外，只开启系统访问所必需的端口，配置只允许内部网段访问。防火墙上开启Dos/DDos、IPS、防病毒等安全功能，定期检查日志，查看安全风险［8］。

2019 年网络上勒索病毒爆发，该病毒通过远程加密用户电脑文件，从而向用户勒索赎金，用户文件只能在支付赎金后才能打开。反病毒专家称，国内外尚无法破解该病毒。对此，应采取预防措施在病毒感染电脑之前将其打上补丁，通过反病毒软件对扫描、风险利用攻击、病毒、暴力破解等多种非法攻击手段进行全面防护，阻止病毒进入内网。

2.4 保障信息安全的措施

系统登录密码采用非对称加密后传输至服务器验证，设置系统登录密码复杂度，只有满足数字、小写字母、大写字母才能通过系统验证。

参照人员岗位要求在系统中配置角色、建立用户，不同的角色与用户拥有不同的操作数据权限，保护系统数据安全不被泄露、破坏。

做好数据库备份。数据是信息管理系统的核心，其中系统数据库承载了全部的用户数据，保证其安全是重中之重［9］。通过数据库软件厂商工具，实现延迟秒级的数据库备库与主库数据一致，做到了数据库实时同步，且在主库宕机后可以切换备库为主数据库，继续为应用提供服务［10］。制定备份计划，重要的数据库表工作日每日备份，周末将数据库全库备份至专业的存储设备，并且通过工具验证备份的可用性，完整性。

2.5 保障安全管理的措施

依据我国信息与网络安全方面的法律法规，结合本单位的实际情况，制定单位的网络信息安全制度，高屋建瓴，做到统领全局，从制度上保证系统安全。其次，明确信息系统安全责任，落实到岗到人。如网络信息安全管理部门在单位内开展计算机信息安全教育指导工作，实现安全、正确的上网；使用LIMS 系统，不得进行破坏系统数据操作、不透露个人账户、口令、防止发生信息泄露风险［11］；宣传贯彻信息与网络安全法律法规知识，提高人员对信息安全意识。制定信息系统安全技术应急预案，在LIMS 系统发生故障后，及时处置，将系统故障影响降低到最低。

3 结语

由于计算机技术日新月异，所以没有解决安全问题一劳永逸的措施，只有不断的学习，提高自身的技术水平，重点培养网络与信息化方面的人才，借助专业安全厂商技术力量，定期评估与检测系统安全风险［12］，才能与时俱进，做好信息化系统安全工作。同时实验室信息系统安全是一个系统工程，在此过程中，要全面创新传统管理模式，逐步建立完整的管理框架、补充管理内容、完善管理过程，通过大量管理实践以及应用反馈逐步建立起新型管理模式［11］，形成以管理规范技术，以技术创新管理，相互促进，才能最大限度上解决信息系统威胁与安全问题。