張瑢，王方聚，魏永堂

療養(yǎng)院信息管理系統(tǒng)的安全管理

張瑢，王方聚，魏永堂

物理安全；軟件安全；療養(yǎng)院信息管理系統(tǒng)（SIS）

隨著當(dāng)今各行各業(yè)信息化的程度的日益提高，療養(yǎng)院也毫不例外。療養(yǎng)院應(yīng)用療養(yǎng)院信息管理系統(tǒng)（下面簡(jiǎn)稱SIS系統(tǒng)）可以對(duì)院內(nèi)各部門的人流、物流、財(cái)流進(jìn)行綜合管理，對(duì)在醫(yī)療活動(dòng)各階段中產(chǎn)生的數(shù)據(jù)進(jìn)行采集、存儲(chǔ)、處理、提取、傳輸、匯總加工生成各種信息，從而為療養(yǎng)院的整體運(yùn)行提供全面的自動(dòng)化管理及各種服務(wù)的信息系統(tǒng)。它是一個(gè)綜合性系統(tǒng)，涵蓋了計(jì)算機(jī)技術(shù)、通信技術(shù)和管理技術(shù)等眾多學(xué)科。面對(duì)這樣一個(gè)復(fù)雜系統(tǒng)，如何保證它的安全運(yùn)行，成為當(dāng)前療養(yǎng)院管理者面臨的一個(gè)現(xiàn)實(shí)問(wèn)題。可歸納為其安全管理兩大方面。

1 SIS系統(tǒng)的物理安全及管理

物理安全是指SIS網(wǎng)絡(luò)系統(tǒng)中對(duì)各通信、計(jì)算機(jī)設(shè)備及相關(guān)設(shè)施的物理保護(hù)，免于人為或自然的破壞、丟失等[1，2]。

1.1 服務(wù)器的安全這就要求選擇好中心機(jī)房的地點(diǎn)，按照標(biāo)準(zhǔn)安裝防靜電地板，所有的插座的地線要嚴(yán)格接地，配備可連續(xù)工作8 h以上的不間斷電源（UPS），服務(wù)器要單獨(dú)放置，無(wú)特殊情況不要接觸服務(wù)器，注意防盜、防火、防潮、防塵、夏日防雷擊和防高溫。

1.2 網(wǎng)絡(luò)通信設(shè)備的安全交換機(jī)的安全尤為重要，最好將交換機(jī)和服務(wù)器一起放在專門機(jī)柜內(nèi)，這種機(jī)柜本身帶有多個(gè)散熱風(fēng)扇，并且可以上鎖，前面板是透明玻璃，可以在外面清楚的看到各個(gè)指示燈工作情況。集線器由于一般都是在機(jī)房外的環(huán)境工作，沒(méi)有特別的房間放置，所以最好將其放入專用的柜子內(nèi)防塵和防止其他部門的人員誤碰墥損壞。此外光纖和網(wǎng)線的物理安全也很重要，對(duì)于關(guān)鍵的部分，最好在布線時(shí)多放一根做冗余，無(wú)論是在地下還是在建筑物內(nèi)走線，都要外加套管，以減慢線材的老化和防止鼠咬。

1.3 工作站的安全工作站由于工作在各個(gè)科室和病區(qū)，所以環(huán)境相差很大。在選定工作站的物理位置時(shí)，要最大程度上給予計(jì)算機(jī)一個(gè)相對(duì)適宜的工作環(huán)境，如散熱、防潮、防塵等。在制度上加強(qiáng)對(duì)使用者和其它工作人員的管理，嚴(yán)格要求按照規(guī)定使用。嚴(yán)格規(guī)范軟盤和光驅(qū)的使用，嚴(yán)禁短時(shí)間內(nèi)頻繁開(kāi)關(guān)機(jī)，在機(jī)器的外殼和USB接口處貼上帶記號(hào)的不干膠封條，防止私自拆卸主機(jī)外殼和外接USB活動(dòng)硬盤等危險(xiǎn)行為。

1.4 可能接入SIS系統(tǒng)的硬件接口的安全加強(qiáng)對(duì)每個(gè)可能接入SIS系統(tǒng)的硬件接口的管理，除了采取交換機(jī)和HUB都放入柜中加鎖以外，更要在制度上嚴(yán)格管理，嚴(yán)禁外來(lái)筆記本、移動(dòng)PC、無(wú)線網(wǎng)卡等設(shè)備的接入，這是對(duì)SIS系統(tǒng)致命的威脅因素，發(fā)現(xiàn)后要嚴(yán)肅處理同時(shí)給予經(jīng)濟(jì)處罰。

2 SIS系統(tǒng)的軟件安全及管理

SIS系統(tǒng)軟件安全涉及操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)庫(kù)、應(yīng)用程序等諸多方面。根據(jù)破壞的性質(zhì)，可以分為非致命性和致命性兩大類[2，3]。

2.1 非致命性的不安全因素

2.1.1 擅自更改工作站操作系統(tǒng)的關(guān)鍵文件常見(jiàn)的有操作人員由于好奇心理，更改操作系統(tǒng)的關(guān)鍵文件，致使操作系統(tǒng)進(jìn)入不了Windows操作系統(tǒng)，機(jī)器癱瘓了。

2.1.2 更改工作站的原有配置SIS系統(tǒng)中各個(gè)站點(diǎn)的配置文件被非法更改，出現(xiàn)了這種問(wèn)題將導(dǎo)致機(jī)器可以進(jìn)入Windows，但是進(jìn)入不了SIS系統(tǒng)。

2.1.3 非法刪除SIS應(yīng)用程序或快捷方式用戶的反映和前面一樣，能進(jìn)入操作系統(tǒng)，但是進(jìn)入不了SIS系統(tǒng)。

2.1.4 修改網(wǎng)絡(luò)協(xié)議的類型例如在SIS系統(tǒng)中工作站和服務(wù)器間使用的是TCP/IP協(xié)議，若非法將其改為NetBEUI協(xié)議，則無(wú)法進(jìn)入SIS系統(tǒng)所在的局域網(wǎng)，用戶反映連接不上服務(wù)器。

2.1.5 修改數(shù)據(jù)庫(kù)客戶端和服務(wù)器端的連接方式用戶非法進(jìn)入數(shù)據(jù)庫(kù)客戶端和服務(wù)器連接方式的設(shè)置程序，更改原先的連接方式，結(jié)果是可以接入局域網(wǎng)，也可以運(yùn)行SIS應(yīng)用程序，但是連接不上數(shù)據(jù)庫(kù)，或者看到不正確的結(jié)果。

以上提及的幾個(gè)方面的安全問(wèn)題都可以通過(guò)在每個(gè)工作站加裝限制軟件，限制用戶只能運(yùn)行指定的SIS系統(tǒng)的應(yīng)用程序?；蛘咴诠ぷ髡镜谋镜嘏渲蒙希鲆粋€(gè)SIS系統(tǒng)的應(yīng)用程序的快捷方式，將其加入啟動(dòng)文件夾，以減少進(jìn)入SIS系統(tǒng)的人工操作步驟，保障系統(tǒng)的安全運(yùn)行。在采取技術(shù)措施外，還要嚴(yán)格管理制度，防止有人利用控制軟件的漏洞非法進(jìn)入工作站系統(tǒng)的內(nèi)部，引起上述安全問(wèn)題。

2.2 致命性的不安全因素

2.2.1 服務(wù)器停機(jī)由于服務(wù)器是一個(gè)復(fù)雜的系統(tǒng)，而且每天24 h都在不停運(yùn)行。從概率的基本原理我們知道：盡管每天服務(wù)器出現(xiàn)故障不能正常工作是一個(gè)小概率事件，但是一直不停地重復(fù)這個(gè)事件的話，只要次數(shù)足夠多，就總會(huì)變成必然事件。這樣在理論上服務(wù)器在未來(lái)的某個(gè)時(shí)刻停機(jī)的可能性就非常大。所以為了保證服務(wù)器端的可靠運(yùn)行，就必須采取冗余備份措施，例如用兩臺(tái)服務(wù)器加一磁盤陣列柜做RAID5組成雙機(jī)熱備系統(tǒng)，兩臺(tái)服務(wù)器一臺(tái)為主服務(wù)器，另一臺(tái)為備份用，兩者通過(guò)跳線聯(lián)接，只要備份服務(wù)器超過(guò)規(guī)定時(shí)間間隔收不到從主服務(wù)器傳來(lái)的信號(hào)，就會(huì)隨時(shí)接管其所有的服務(wù)功能，而對(duì)客戶端來(lái)說(shuō)，因?yàn)檫@個(gè)過(guò)程非常短，一般根本就感覺(jué)不到此現(xiàn)象。

2.2.2 針對(duì)Win2000或WinXP下的病毒由于工作站的機(jī)器一般都是運(yùn)行Win2000或WinXP操作系統(tǒng)，故此類病毒對(duì)服務(wù)器端無(wú)影響，工作站中毒后常見(jiàn)的現(xiàn)象是運(yùn)行速度變慢，頻繁出現(xiàn)非法操作、死機(jī)或藍(lán)屏，若所有工作站都累及，系統(tǒng)即癱瘓。解決的方法首先要嚴(yán)格管理制度，嚴(yán)堵病毒可能侵入的缺口，同時(shí)在機(jī)房?jī)?nèi)選一臺(tái)管理用機(jī)器安裝具備網(wǎng)絡(luò)殺毒功能的防病毒軟件，如瑞星、江民等，在每天系統(tǒng)空閑時(shí)定時(shí)殺毒。

2.2.3 針對(duì)NT的病毒致使服務(wù)器速度變慢，出現(xiàn)一些莫名其妙的問(wèn)題，如系統(tǒng)時(shí)間被病毒惡意修改，造成SIS系統(tǒng)工作混亂；破壞程度高的病毒甚至刪除服務(wù)器NT操作系統(tǒng)的系統(tǒng)文件，或者不停的使NT執(zhí)行與SIS系統(tǒng)無(wú)關(guān)的服務(wù)，使系統(tǒng)資源耗盡，導(dǎo)致服務(wù)器最后停機(jī)。解決的方法與查殺針對(duì)Win2000或WinXP工作站下的病毒相同，在機(jī)房?jī)?nèi)安裝有殺毒軟件的機(jī)器上將服務(wù)器的磁盤映射成本地磁盤查殺。

2.2.4 超級(jí)用戶密碼的安全超級(jí)用戶（Administrator）的密碼，屬于SIS系統(tǒng)中的核心機(jī)密。有了該密碼，只要以Administrator的用戶名在SIS系統(tǒng)的任何一臺(tái)機(jī)器上登陸，就可以直接對(duì)服務(wù)器上的文件執(zhí)行更改、刪除操作，所以要嚴(yán)格保護(hù)該密碼，并且密碼位數(shù)要足夠長(zhǎng)，定期更換，使黑客軟件破解的難度加大，此外，從安全起見(jiàn)，要嚴(yán)禁非系統(tǒng)管理人員接近服務(wù)器，以防止密碼的泄露。

2.2.5 數(shù)據(jù)庫(kù)的安全由于數(shù)據(jù)庫(kù)中的數(shù)據(jù)，直接對(duì)應(yīng)到每一筆現(xiàn)實(shí)中的現(xiàn)金交易行為，所以總有一些人出于獵奇或不可告人的目的試圖刪除或篡改記錄。這種不安全因素既有來(lái)自SIS內(nèi)部的，也有外部的，但以前者居多。所以要建立每人用自已的用戶名和密碼，操作結(jié)束后及時(shí)退出的制度，每人妥善保管自己的用戶名和密碼等帳號(hào)信息，責(zé)任到人。每天在夜間系統(tǒng)空閑時(shí)定時(shí)備份，除了備份在服務(wù)器的另一個(gè)磁盤分區(qū)以外，起碼還要同時(shí)在非服務(wù)器所在建筑物的異地機(jī)器上做同樣的備份。

2.2.6 私自安裝其他軟件如游戲軟件，往往成為病毒入侵的著陸點(diǎn)。若安裝黑客軟件，開(kāi)放服務(wù)器不該開(kāi)放的端口，更會(huì)給系統(tǒng)留下安全隱患。

2.2.7 通過(guò)醫(yī)保接口等的外部安全隱患早期的SIS系統(tǒng)是一個(gè)封閉的局域網(wǎng)，不存在外界攻擊的現(xiàn)象。但是隨著網(wǎng)絡(luò)的發(fā)展，SIS系統(tǒng)必須和醫(yī)療保險(xiǎn)部門的服務(wù)器連通。一般療養(yǎng)院和醫(yī)保部門都是通過(guò)點(diǎn)對(duì)點(diǎn)通信，因此要對(duì)與醫(yī)保相連的接口進(jìn)行數(shù)據(jù)過(guò)濾和病毒監(jiān)控，因?yàn)閺倪@個(gè)接口進(jìn)入的黑客攻擊和病毒足以令系統(tǒng)癱瘓。解決的首要措施是將SIS系統(tǒng)加裝防火墻，同時(shí)對(duì)與醫(yī)保部門相連的機(jī)器進(jìn)行實(shí)時(shí)病毒監(jiān)控。防火墻具有對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描的功能，這樣能夠過(guò)濾掉一些黑客攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以禁止特定端口流出通信，封鎖特洛伊木馬，防止來(lái)自不明入侵者的所有通信。

2.2.8 通過(guò)遠(yuǎn)程醫(yī)療咨詢系統(tǒng)接口的遠(yuǎn)程攻擊遠(yuǎn)程醫(yī)學(xué)在近幾年內(nèi)飛速發(fā)展，在未來(lái)的幾年內(nèi)，SIS系統(tǒng)也會(huì)增加遠(yuǎn)程醫(yī)療的接口。最初的遠(yuǎn)程醫(yī)療是通過(guò)點(diǎn)對(duì)點(diǎn)連接來(lái)傳送數(shù)據(jù)的，但是隨著業(yè)務(wù)的發(fā)展，系統(tǒng)的信息量也越來(lái)越大，遠(yuǎn)程醫(yī)療咨詢的內(nèi)容從開(kāi)始的文本、心電圖形一直到現(xiàn)在的CT、MRI圖像和超聲心動(dòng)圖等實(shí)時(shí)視頻，故現(xiàn)今的遠(yuǎn)程醫(yī)療咨詢系統(tǒng)接口都是通過(guò)Internet與對(duì)方相連，這樣一來(lái)從系統(tǒng)安全的角度來(lái)看，整個(gè)SIS系統(tǒng)就暴露在Internet中，自然就少不了病毒木馬和黑客對(duì)網(wǎng)絡(luò)的滲透。面對(duì)這些咄咄逼人的潛在威脅，一定要在本地的SIS系統(tǒng)和Internet相連的部分加裝防火墻，關(guān)閉服務(wù)器中所有不必要開(kāi)放的端口。此外Internet內(nèi)大量的黑客隨時(shí)都可能嘗試或截獲合法用戶的口令并冒名頂替，企圖以合法的用戶身份進(jìn)入局域網(wǎng)，故必須進(jìn)行用戶的身份確認(rèn)。在用戶身份認(rèn)證中要運(yùn)用加密技術(shù)來(lái)保證合法用戶口令的安全，常見(jiàn)的加密方式有對(duì)稱密鑰加密和公用密鑰加密兩種。

總之，療養(yǎng)院信息管理系統(tǒng)是一個(gè)新生事物，如何更好更安全利用它，是每一個(gè)療養(yǎng)院管理者都要面臨的新課題。衛(wèi)生部2002年新版《醫(yī)院信息系統(tǒng)基本功能規(guī)范》的出臺(tái)，為SIS系統(tǒng)的規(guī)范化管理提供了統(tǒng)一的制度標(biāo)準(zhǔn)。療養(yǎng)院信息管理系統(tǒng)的安全與否，關(guān)鍵在于療養(yǎng)管理者制定嚴(yán)格科學(xué)的使用制度，在使用中發(fā)現(xiàn)漏洞且要及時(shí)處理。同時(shí)也需要院方與SIS的開(kāi)發(fā)商加強(qiáng)交流，共同探討出現(xiàn)的問(wèn)題，一方面可以參考開(kāi)發(fā)商的合理化建議，另一方面可以將軟件本身的問(wèn)題反饋給開(kāi)發(fā)商，削除SIS系統(tǒng)本身軟件中的BUG。筆者相信，隨著信息安全技術(shù)的不斷提高，SIS系統(tǒng)必將成為現(xiàn)代化療養(yǎng)院不可缺少的重要基礎(chǔ)設(shè)施與支撐環(huán)境，為療養(yǎng)院信息化建設(shè)發(fā)揮越來(lái)越重要的作用。

[1]中華人民共和國(guó)衛(wèi)生部.醫(yī)院信息系統(tǒng)基本功能規(guī)范[S].2001-04-27.

[2]李小華.醫(yī)院信息系統(tǒng)安全措施的實(shí)施與體會(huì)[J].實(shí)用醫(yī)學(xué)雜志，2002，7（8）:790.

[3]龔尚福.Internet安全與防火墻技術(shù)[J].現(xiàn)代電子技術(shù)，2001，12（1）:38.

[2011-08-25收稿，2011-09-20修回]

TP393.07

B

264001山東煙臺(tái)，濟(jì)南軍區(qū)煙臺(tái)療養(yǎng)院信息科（張瑢，王方聚，魏永堂）

[本文編輯：羨秋盛]