医院信息系统内网安全技术研究

胡晓捷

摘要：本文分析了医院信息系统(HIS)面临的安全威胁和主要安全攻击方法，由此提出HIS安全体系和网络安全模型，并且在网络层面上给出了完整的技术解决方案。

关键词：医院信息系统；HIS安全体系；内网

引论

医院信息系统(HospitaI Information Svstem，HIS)是利用计算机网络和通信设备，为医院各部门提供病人诊疗信息和行政管理信息的收集、存储、处理、提取和交换能力，并满足授权用户功能需求的管理信息系统。医院是信息流高度密集的单位；医院的组织管理结构非常严谨。对其中任何一部分业务流程的改变，都可能引起连锁反应，牵一发而动全身；不同体制的医院的管理模式也有很大不同。因此，HIS是当今世界企业级信息系统中处理逻辑最为复杂的一类。

广义的HIS的网络拓扑一般分为内网(医保系统)、专网(行政系统)和外网(医院网站)三个部分，形成了内网核心数据层、内网办公业务层、外网公众服务层和网间信息交换层四个相对独立的网络安全管理域，信息安全与管理的技术手段相当复杂。

以作者所在单位上海市普陀区中心医院为例，HIS、RIS、PACS等系统投入运营多年，每天成百上千台计算机同时运行，成为医院提供医疗服务的业务平台。随着医院HIS应用的不断深入，网络安全形势日益严峻。现有的安全技术手段逐渐暴露出局限性，需要从规章制度、技术和管理等层面加强HIS的信息安全保障。

我院信息系统和网络的维护由医院信息科实施。信息科是医院的行政职能科室，下设病案室、计算中心、图书馆三个部门。计算中心现有技术人员10人，拥有软件自主研发能力，学术氛围浓厚。根据医院授权已制订《普陀区中心医院HIS系统管理安全操作规范》、《普陀区中心医院医保前置机管理规范》、《普陀区中心医院应急预案制度》、《中心机房管理制度》等规章制度，建立了定期安全检测、口令管理、人员培训与管理、策略管理、备份管理、日志管理等一系列管理方法和长效机制。

1HIS安全威胁

HIS面临的安全攻击指危及医院信息安全的任何行为。HIS安全机制指设计用于检测、防止或从安全攻击中恢复的一种机制。Hls安全服务指加强医院各部门数据处理和信息传送安全性的一种服务，目标是对抗安全攻击。它们利用一种或多种安全机制来提供该服务。本文的工作在于提出HIS安全体系结构和部署策略，并在网络层面上介绍了HIS安全体系的技术实现。

就安全攻击方法而言，根据信息安全层次分析HIS的安全威胁。可以从机房环境和物理层、网络层、操作系统和数据库层、应用层及管理层五个层面着手。

(1)机房环境和物理层

我院机房分布在住院部、住院二部、门诊楼、急诊楼四处。机房网络设备、硬件设施可能遭受地震、水灾、火灾等自然灾害以及人为操作失误和各种针对计算机的破坏行为。

(2)网络层

作为事实标准的TCP／IP协议并非专为安全通信设计，这一先天不足致使网络通信存在大量安全隐患。协议漏洞造成预攻击探测、窃听、篡改、IP欺骗、重放、拒绝服务攻击(包括同步潮水攻击SYN FLOOD和PING FLOOD)、分布式拒绝服务攻击(DOS)和堆栈溢出等。

网络环境下病毒、蠕虫、木马和流氓软件的传播快速、隐蔽，严重威胁系统安全。病毒的传播破坏文件和系统可用性；木马潜伏在系统内并截获用户输入的密码、键盘动作等重要信息，并将这些信息发送出去。2008年末ARP木马爆发曾导致我院局域网性能显著下降。

(3)操作系统和数据库层

操作系统设计时疏漏或预留的安全漏洞、用户配置不当、多余的系统服务、脆弱的基于口令的身份鉴别机制，都使恶意用户的攻击变得轻而易举。医院医保前置机和数据库服务器采用Windows2000／XP／2003操作系统，健壮性、安全性较差。医院使用的Or-acle数据库系统可以从端口寻址。院内联网的计算机，任何人只要有合适的SQL查询工具，就能和数据库系统直接连接，并能绕开操作系统的安全机制，如果误用就会严重危及数据安全。

(4)应用层

应用层的安全风险有：来自内部和外界对业务系统的非授权访问、由于用户名和口令等身份标志泄漏造成的系统管理权限丧失、用户提交的业务信息被监听或修改、用户对成功提交的事务进行事后抵赖、伪装成系统服务以骗取用户口令、操作不当或外界攻击引起的系统崩溃、网络病毒的传播或其他软硬件原因造成的系统损坏、HIS程序开发遗留的安全漏洞等。

(5)管理层

责权不明、管理混乱、人员管理和安全管理制度不健全及缺乏可操作性都可能引起管理层安全风险。

2HIS安全体系结构

网络安全遵循“木桶原理”，系统的安全强度等于它最薄弱环节的安全强度。据统计，在所有的HIS信息安全事件中。超过70％发生在内网。因此，HIS系统必须建立在一个完备的多层次的网络安全体系之上，消除瓶颈。

完整的HIS安全体系由五部分构成：可信的基础安全设施、安全技术支撑平台、容错与恢复系统、安全管理保障体系和信息安全系统。如图1所示。

3HIS安全体系的部署和安全审计

根据HIS网络安全要求设计的HIS安全模型如图2：

HIS网络安全模型给出了HIS安全体系部署的逻辑框架，部署的过程是一个复杂的系统工程。是整个HIS应用得以实现的前提保证。

HIS安全审计是在医院网络环境下，为了保障网络和数据不受来自外网和内网用户的入侵和破坏，而运用各种技术手段实时监控网络环境中每一个组成部分的系统状态、收集安全事件，以便集中报警、分析、处理。安全审计方案主要有：

(1)日志审计。通过SNMP、SYSLOG、OPSEC或其他日志接口从路由器、交换机、服务器、医保前置机应用系统和网络安全设备中收集日志，进行统一管理、分析和报警；

(2)主机审计。在服务器、医保前置机安装“威盾”客户端，审计安全漏洞、合法或非法操作，监控联网行为；

(3)网络审计。通过旁路和串接的方式捕获网络数据包，进行协议分析和还原。网络审计包括了网络漏洞扫描产品、防火墙和IDS／IPS安全审计、互联网行为监控等类型的产品。

4HIS安全体系的技术实现

(1)内网与外网的物理隔离

内网涉及医保、财务和电子病历信息。必须与外网实现完全的网络隔离和设备隔离。内网与外网的隔离采用物理隔离网闸。物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。这两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在基于协议的

数据包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令，因而从物理上隔离、阻断了具有潜在攻击可能的一切连接。

(2)内网中划分VLAN

虚拟局域网(VLAN)是一种采用交换机将局域网内的主机逻辑地而不是物理地划分为一个个网段。从而实现虚拟工作组的技术。在一个交换网络中，VLAN提供了网段和部门科室的弹性组合机制。医院可根据不同的业务性质将各部门划分成不同的VLAN。

(3)网络边界安装防火墙

防火墙是一类防范措施的总称。它使内网与Internet之间或者内网与其他外部网络之间互相隔离、限制网络互访来保护内部网络。由于防火墙划定了网络边界和服务，因此更适合于相对独立的网络。任何关键性的服务器，都建议放在防火墙之后。

(4)专网用户采用VPN技术访问内网

虚拟专网技术(VPN)目前主要采用IPSec协议，有比较成熟的产品。例如与路由器或防火墙集成的硬件VPN模块，组建方便快捷。内网与卫生局、医保局的涉密信息往来。彼此间应该采用VPN技术相连，以保证通信安全。

(5)入侵监测

防火墙虽然能抵御网络外部安全威胁，但对从网络内部发起的攻击无能为力。实时入侵监测技术动态地监测网络内部活动并做出及时响应：能监控网络的数据流，从中检测出攻击行为并给予相应处理；还能检测到绕过防火墙的攻击。

(6)漏洞扫描

解决网络层安全问题，首先要弄清网络中存在哪些安全隐患和薄弱环节。面对医院大型网络的复杂性，仅仅依靠技术人员的经验是不现实的。解决方案是获取一种能自动探测网络安全漏洞、并提出评估和建议的网络安全扫描工具。

(7)数据库服务器和医保前置机的安全设置

现有的网络设备以及操作系统、数据库系统都有一套自身的安全机制。路由器、交换机应配置好协议和访问控制列表：数据库服务器应关闭无关的系统服务和端口，并采用服务器分片备份网络数据。如门诊部用一台服务器、住院部用一台服务器、影像系统用一台服务器，按时定期做好数据备份。发生系统故障，能尽快回滚事务、恢复系统。

每台医保前置机都安装了“威盾”远程控制软件客户端。USB端口和光驱被自动禁用。通过设定对应账户权限(管理员账户和来宾账户)，控制用户访问特定数据。每个用户(医生、护士、管理人员等)在整个系统中具有唯一的账号。禁止用户对无关文件进行读写，以防非法用户侵入网络。

5小结

信息安全的核心实际上是管理。只有建立和执行完善的管理制度，安全技术才能发挥其应有的作用。医院信息安全涉及范围广、技术难度大、各部门之间协调复杂。合理的管理制度和有效的技术方案的结合是解决问题的关键。信息科网络管理人员必须熟悉医院业务流程、深入掌握信息系统和网络安全技术，不断积累经验、完善自己的知识结构，才能从容应对网络安全管理，确保医院信息系统平稳有序地运行。