董 凱 張春軍

（牡丹江醫(yī)學(xué)院 黑龍江 157011）

0 引言

在計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)技術(shù)高速發(fā)展的時(shí)代，信息網(wǎng)絡(luò)已經(jīng)成為醫(yī)學(xué)發(fā)展的重要保證。醫(yī)學(xué)信息技術(shù)是提高醫(yī)療治療和醫(yī)療安全的主要手段。隨著醫(yī)學(xué)信息系統(tǒng)越來越深入的應(yīng)用，信息安全問題也越來越引起人們的關(guān)注和重視，如何防范對信息系統(tǒng)的破壞已成為醫(yī)學(xué)信息系統(tǒng)在建設(shè)和運(yùn)行時(shí)必須考慮的重要問題之一，但是如果使用不正確，醫(yī)學(xué)信息技術(shù)本身將會帶來新的安全風(fēng)險(xiǎn)和不可預(yù)知錯(cuò)誤。目前我們提高了醫(yī)學(xué)信息傳輸?shù)乃俣燃搬t(yī)學(xué)信息共享的水平?？墒怯捎阱e(cuò)誤的傳輸及信息被修改等潛在的風(fēng)險(xiǎn)可能威脅到醫(yī)學(xué)信息的安全。我們要加強(qiáng)醫(yī)學(xué)信息安全防護(hù)，構(gòu)建新的可行性防護(hù)措施。這些措施包括提高醫(yī)學(xué)信息軟件的設(shè)計(jì)水平、軟件使用的監(jiān)管，相關(guān)技術(shù)人員的嚴(yán)格管理及業(yè)務(wù)培訓(xùn)，嚴(yán)格執(zhí)行醫(yī)學(xué)信息安全級別。醫(yī)學(xué)信息技術(shù)安全的建立不但是技術(shù)人員的責(zé)任，也是從事醫(yī)學(xué)信息工作管理者的責(zé)任。

1 醫(yī)學(xué)院校醫(yī)學(xué)信息數(shù)據(jù)面臨的安全問題

隨著醫(yī)學(xué)信息網(wǎng)絡(luò)技術(shù)的普及，“木桶現(xiàn)象”更加明顯了。醫(yī)學(xué)信息安全程度也不斷由原來的等級有所降低。所以我們要正確地在信息應(yīng)用中識別面臨的信息安全問題。

1.1 醫(yī)學(xué)信息數(shù)據(jù)傳輸方面的安全

一般情況下高校圖書館的醫(yī)學(xué)信息數(shù)據(jù)中心保存有重要的醫(yī)學(xué)信息數(shù)據(jù)，這些醫(yī)學(xué)信息數(shù)據(jù)都代表了醫(yī)學(xué)院校的核心競爭力。通常在集中的醫(yī)學(xué)信息數(shù)據(jù)管理模式下，各類醫(yī)學(xué)信息數(shù)據(jù)在網(wǎng)絡(luò)傳輸中存在很大的安全威脅。這些安全的威脅有以下表現(xiàn)形式：（1）因編碼、管理等方面的漏洞導(dǎo)致信息泄露或數(shù)據(jù)中心在得到數(shù)據(jù)時(shí)將核心數(shù)據(jù)泄露出去。（2)攻擊者通過監(jiān)聽、空中接口等方式獲得傳輸信息,核心數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中被竊取。（3）信息數(shù)據(jù)在存儲時(shí)，訪問用戶沒有經(jīng)過嚴(yán)格的權(quán)限認(rèn)證就被訪問。

1.2 醫(yī)學(xué)信息數(shù)據(jù)審計(jì)方面的安全

在數(shù)據(jù)審計(jì)安全方面，高校圖書館進(jìn)行內(nèi)部數(shù)據(jù)管理時(shí)引入第三方的認(rèn)證機(jī)構(gòu)進(jìn)行審計(jì)或是認(rèn)證。但是在云計(jì)算環(huán)境下，云計(jì)算服務(wù)商在提供必要的信息支持同時(shí)不能確保不對其他高校圖書館的數(shù)據(jù)計(jì)算帶來風(fēng)險(xiǎn)。高校圖書館對云計(jì)算服務(wù)商的可持續(xù)性發(fā)展進(jìn)行認(rèn)證時(shí)，云計(jì)算服務(wù)商既能提供有效的數(shù)據(jù)，又不損害其他已有用戶的利益顯得尤為重要。高校圖書館需要選擇一家可以長期存在的且有技術(shù)實(shí)力的云計(jì)算服務(wù)商進(jìn)行業(yè)務(wù)交付均存在安全方面的潛在風(fēng)險(xiǎn)。所以高校信息數(shù)據(jù)處理的相關(guān)部門進(jìn)行內(nèi)部數(shù)據(jù)管理時(shí)，為了保證數(shù)據(jù)的安全性會引入監(jiān)控系統(tǒng)進(jìn)行操作審計(jì)和身份認(rèn)證。但在數(shù)據(jù)集中存儲時(shí)確保不對數(shù)據(jù)存儲帶來風(fēng)險(xiǎn)又提供必要的信息支持成為數(shù)據(jù)中心必須解決的問題。

1.3 醫(yī)學(xué)信息數(shù)據(jù)存儲方面的安全

醫(yī)科院校的醫(yī)學(xué)信息數(shù)據(jù)存儲是重要的環(huán)節(jié)，其中包括數(shù)據(jù)的存儲介質(zhì)、存儲方式和存儲位置等。在醫(yī)學(xué)信息數(shù)據(jù)共享存儲資源的技術(shù)中一般采用加密存儲的方式，但是數(shù)據(jù)中心卻不一定能夠保證醫(yī)學(xué)信息數(shù)據(jù)之間的有限隔離。所以在這時(shí)防止出現(xiàn)越權(quán)訪問就成為數(shù)據(jù)安全中心的重要問題之一。另外，在醫(yī)學(xué)信息數(shù)據(jù)集中存儲的模式下，各種醫(yī)學(xué)信息數(shù)據(jù)的擁有者和相關(guān)的維護(hù)部門并不清楚自己的數(shù)據(jù)被存儲在什么地方，而且也不知道核心數(shù)據(jù)是否已經(jīng)泄露或暴露在泄漏風(fēng)險(xiǎn)之中。這都需要與醫(yī)學(xué)信息數(shù)據(jù)處理及傳輸?shù)乃胁块T都應(yīng)嚴(yán)加注意的問題。即使醫(yī)學(xué)信息數(shù)據(jù)所擁有的部門了解數(shù)據(jù)所在服務(wù)器的精確地發(fā)，也一定要向相關(guān)數(shù)據(jù)中心提出申請。數(shù)據(jù)擁有部門要求中心對所托管的醫(yī)學(xué)信息數(shù)據(jù)進(jìn)行相應(yīng)的備份。這樣是為了在出現(xiàn)重大事故時(shí)數(shù)據(jù)所有部門的核心數(shù)據(jù)能得到有效的恢復(fù)。

1.4 醫(yī)學(xué)信息網(wǎng)絡(luò)建設(shè)方面的安全

網(wǎng)絡(luò)建設(shè)對網(wǎng)絡(luò)管理者是一項(xiàng)艱巨的工作，也與高等醫(yī)學(xué)院校管理息息相關(guān)。在建設(shè)醫(yī)學(xué)信息系統(tǒng)時(shí)，內(nèi)網(wǎng)和互聯(lián)網(wǎng)要做到必要的物理隔離。但我們發(fā)現(xiàn)在實(shí)際中，醫(yī)學(xué)信息內(nèi)網(wǎng)系統(tǒng)軟件升級或拷貝數(shù)據(jù)時(shí)都不可避免的要將病毒木馬等帶入自己的內(nèi)網(wǎng)中。況且醫(yī)學(xué)信息內(nèi)網(wǎng)每天向醫(yī)療保險(xiǎn)中心傳輸醫(yī)保數(shù)據(jù)時(shí)要求內(nèi)網(wǎng)必須與外部網(wǎng)絡(luò)相通。這也造成網(wǎng)絡(luò)入侵者侵范的機(jī)會。另一方面局域內(nèi)網(wǎng)終端電腦和服務(wù)器沒有實(shí)現(xiàn)網(wǎng)段劃分，那么局域網(wǎng)內(nèi)部任何一臺計(jì)算機(jī)染了毒就會直接威脅到網(wǎng)內(nèi)的所有電腦及服務(wù)器設(shè)備。更不用說外網(wǎng)了，外網(wǎng)電腦存在內(nèi)網(wǎng)計(jì)算機(jī)的所有隱患以及瀏覽網(wǎng)頁，下載軟件等各種操作均更容易感染病毒、木馬。

2 醫(yī)學(xué)信息安全防范措施

2.1 建立網(wǎng)絡(luò)防火墻

為了保護(hù)醫(yī)學(xué)院校及醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)的安全，應(yīng)該購買網(wǎng)絡(luò)防毒墻軟件。網(wǎng)絡(luò)防毒墻軟件能控制網(wǎng)絡(luò)之間的通信流并且保護(hù)計(jì)算機(jī)或網(wǎng)絡(luò)不受入侵者的危害。能夠防止醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)因病毒、蠕蟲的攻擊造成的網(wǎng)絡(luò)中斷。網(wǎng)絡(luò)防毒墻軟件能阻止因間諜、木馬等程序造成的醫(yī)療信息的泄漏。我們在具體使用時(shí)，需要對防毒墻進(jìn)行必要的配置，在配置時(shí)關(guān)閉其它端口保留實(shí)際需要使用的端口。確保要求進(jìn)行互聯(lián)網(wǎng)訪問的程序會合法使用上網(wǎng)連接。要指派專門的技術(shù)人員定期監(jiān)控防毒墻日志，技術(shù)人員需要及時(shí)察覺惡意攻擊行為和及時(shí)處理各種安全隱患。

2.2 建立防病毒系統(tǒng)

醫(yī)學(xué)高校及醫(yī)療機(jī)構(gòu)需要購買殺毒網(wǎng)絡(luò)版，將信息處理模式設(shè)置為單中心處理模式。升級方式為直接連接外網(wǎng)的和沒有鏈接外網(wǎng)的。連接外網(wǎng)是醫(yī)學(xué)信息系統(tǒng)中心與網(wǎng)站建立聯(lián)系，醫(yī)學(xué)信息系統(tǒng)升級時(shí)通過互聯(lián)網(wǎng)下載到信息系統(tǒng)中心，是在系統(tǒng)中心控制下的客戶端系統(tǒng)中心自動獲取升級文件來完成一個(gè)升級過程。而不連接外網(wǎng)是技術(shù)人員負(fù)責(zé)，通過外網(wǎng)電腦訪問網(wǎng)站，查看有關(guān)升級文并及時(shí)將更新文件通過互聯(lián)網(wǎng)下載后使用U 盤拷貝至各個(gè)無網(wǎng)絡(luò)連接的電腦上。醫(yī)學(xué)信息系統(tǒng)殺毒模式要設(shè)置為定時(shí)殺毒的模式。此外為了最大限度的減少網(wǎng)絡(luò)人員的維護(hù)工作量，可根據(jù)需要設(shè)置對任一客戶端進(jìn)行遠(yuǎn)程殺毒。

2.3 建立安全管理系統(tǒng)

防毒墻的建立及殺毒軟件有效應(yīng)用在醫(yī)學(xué)信息的網(wǎng)絡(luò)安全上顯得尤為重要，但是我們發(fā)現(xiàn)高校醫(yī)學(xué)信息在管理上更應(yīng)該下足功夫。高等醫(yī)學(xué)院校及醫(yī)療機(jī)構(gòu)最重要的是建立有效的而嚴(yán)密的規(guī)章制度，管理機(jī)構(gòu)需要培訓(xùn)相關(guān)技術(shù)人員掌握良好的計(jì)算機(jī)應(yīng)用和操作使用習(xí)慣。高等醫(yī)學(xué)院校的醫(yī)學(xué)信息系統(tǒng)設(shè)置數(shù)據(jù)庫需要嚴(yán)格而有控制的權(quán)限，如果醫(yī)學(xué)信息數(shù)據(jù)庫權(quán)限不能得到有效的控制，那么黑客和惡意攻擊者就會通過客戶終端進(jìn)入醫(yī)療機(jī)構(gòu)的醫(yī)學(xué)信息數(shù)據(jù)庫竊取資料或者篡改醫(yī)學(xué)信息數(shù)據(jù)，盜取醫(yī)學(xué)前言資料及醫(yī)學(xué)敏感信息，甚至造成高等醫(yī)學(xué)院校及醫(yī)療機(jī)構(gòu)的醫(yī)學(xué)信息系統(tǒng)癱瘓，所以必須嚴(yán)格控制數(shù)據(jù)庫權(quán)限。另外，對醫(yī)學(xué)信息內(nèi)網(wǎng)的工作終端一定不要安裝普通用戶應(yīng)用的光驅(qū)、軟驅(qū)，屏蔽 USB端口。個(gè)等醫(yī)學(xué)院校醫(yī)學(xué)信息系統(tǒng)對用戶的登陸權(quán)限要進(jìn)行審查和必要的修改，使之只能作為工作終端使用并制定保密和需口令的使用規(guī)章制度。醫(yī)學(xué)信息系統(tǒng)還要不定期對醫(yī)學(xué)信息工作站進(jìn)行定期不定期的抽查，及時(shí)發(fā)現(xiàn)要對醫(yī)學(xué)信息進(jìn)行修改工作的機(jī)器。

總之，醫(yī)學(xué)信息網(wǎng)絡(luò)的安全對于保障高等醫(yī)學(xué)院校及醫(yī)療機(jī)構(gòu)正常運(yùn)行至關(guān)重要。目前來看由于資金和各種軟硬件方面存在客觀因素，還有管理體制等存在諸多人為因素，但只要高校醫(yī)學(xué)信息管理者要嚴(yán)格做好各種安全策略，技術(shù)人員并且認(rèn)真貫徹執(zhí)行和操縱網(wǎng)絡(luò)穩(wěn)定運(yùn)行是完全可以做得到的。高校醫(yī)學(xué)信息數(shù)據(jù)信息資源的保密性與完整性需要在各種網(wǎng)絡(luò)應(yīng)用中有必要地使用加密和數(shù)字簽名技術(shù)，保證數(shù)據(jù)的機(jī)密性和完整性，為高校及醫(yī)療機(jī)構(gòu)的醫(yī)學(xué)信息系統(tǒng)營造一個(gè)安全、有效的網(wǎng)絡(luò)運(yùn)行環(huán)境。

[1]柳青.醫(yī)院信息系統(tǒng)的安全維護(hù)和管理[J].醫(yī)學(xué)信息，2008，21（10）：1761-1762.

[2]孫莉.淺談醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全[J].醫(yī)學(xué)信息, 2009,07.

[3]許衛(wèi)中,張毅,高東懷,等.數(shù)據(jù)中心安全域劃分與防護(hù)[J].醫(yī)療衛(wèi)生裝備,2012,06.

[4]孫松兒.云計(jì)算環(huán)境下的安全建設(shè)思路[J].信息安全與通信保密2010,11.

[5]金志敏.基于云計(jì)算下的高校圖書館數(shù)據(jù)安全策略的探討[J].計(jì)算機(jī)安全2011,06.