強化醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全技術(shù)分析

楊金朋

摘? 要：隨著我國信息技術(shù)不斷發(fā)展，當今醫(yī)院也逐漸朝向信息化方向發(fā)展。但網(wǎng)絡(luò)是一個開放性平臺，在給醫(yī)院工作帶來便利的同時，也要面對各種危險因素?；诖?，文章首先分析醫(yī)院信息系統(tǒng)的危險因素，提出信息系統(tǒng)可靠性規(guī)劃設(shè)計，最終探究醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全技術(shù)的強化方法。

關(guān)鍵詞：醫(yī)院;信息系統(tǒng);網(wǎng)絡(luò)安全技術(shù);設(shè)計

中圖分類號：TP393? ? ? ? ?文獻標志碼：A? ? ? ? ?文章編號：2095-2945（2020）07-0150-02

Abstract： With the continuous development of information technology in our country， hospitals are gradually developing in the direction of informatization. However， the network is an open platform， which not only brings convenience to hospital work， but also has to face a variety of risk factors. Based on this， the paper first analyzes the risk factors of the hospital information system， puts forward the reliability planning and design of the information system， and finally explores the strengthening methods of the network security technology of the hospital information system.

Keywords： hospital; information system; network security technology; design

醫(yī)院信息系統(tǒng)簡稱“HIS”，主要是借助電子計算機、網(wǎng)絡(luò)通信技術(shù)，為醫(yī)院各個部門提供醫(yī)療信息、行政管理信息，同時負責信息數(shù)據(jù)的收集、存儲、處理、利用、傳輸?shù)龋瑵M足醫(yī)院日常經(jīng)營的信息需求。如今，醫(yī)院信息系統(tǒng)成為了醫(yī)院管理、改革的重要驅(qū)動力，對醫(yī)院日常經(jīng)營、患者醫(yī)療有著重要作用。但互聯(lián)網(wǎng)作為一個公開平臺，充滿著安全隱患問題，醫(yī)院信息系統(tǒng)安全性直接關(guān)乎到醫(yī)療工作是否可以正常開展。如果數(shù)據(jù)丟失或網(wǎng)絡(luò)癱瘓，會給醫(yī)院、患者帶來不可彌補的損失。所以，必須要全面強化醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全性能。

1 醫(yī)院信息系統(tǒng)的安全隱患

（1）硬件方面。對于醫(yī)院信息系統(tǒng)來說，硬件安全主要包括兩個層面：a.由于計算機設(shè)備、配件、相關(guān)媒體等受到水災、火災、地震等影響產(chǎn)生事故問題;b.由于網(wǎng)絡(luò)具有脆弱性特點，再加上安全防護工作不到位，如光纜走向不科學、服務(wù)器沒有及時備份、沒有采取防雷接地措施、無備用交換機、沒有配置不間斷電源等。（2）軟件安全。醫(yī)院信息管理系統(tǒng)必須要保證保密性能，如果服務(wù)器系統(tǒng)開放程度過高或系統(tǒng)中有明顯漏洞，會極大的增加信息泄露幾率。同時，沒有安裝安全軟件或漏洞修復器，或相關(guān)安全防護軟件升級不及時。（3）人為因素。由于操作人員專業(yè)能力不足、他人操作服務(wù)器、監(jiān)控日志處理不及時等，這些問題都會增加網(wǎng)絡(luò)系統(tǒng)漏洞，而黑客恰好是利用木馬病毒通過漏洞進入到系統(tǒng)當中，很多病毒不僅會盜取信息，還會大面積共享，將病毒文件傳輸?shù)骄钟蚓W(wǎng)中，計算機自動安裝病毒軟件、破壞系統(tǒng)、更改配置，導致系統(tǒng)處于癱瘓狀態(tài)。

2 醫(yī)院信息系統(tǒng)可靠性設(shè)計

2.1 計算機網(wǎng)絡(luò)可靠性設(shè)計

想要提高網(wǎng)絡(luò)可靠性需要從部件可靠性、附加相應(yīng)冗余部件兩個方面著手。在確保網(wǎng)絡(luò)預期功能基礎(chǔ)上，應(yīng)用冗余技術(shù)（增加件鏈路數(shù)量、備份網(wǎng)絡(luò)硬件和軟件等），除了提升HIS安全性外，也增加了整個HIS系統(tǒng)的建設(shè)成本。這是由于每條鏈路增設(shè)都需要投入資金。對于中小型醫(yī)院來說，主要是選擇性價比較高的軟硬件;大型醫(yī)院資金較為充足，可以選擇可靠性更高的軟硬件設(shè)備，做好備份機制，保持HIS運行的穩(wěn)定性[1]。在建設(shè)HIS過程中，由于醫(yī)院的醫(yī)療規(guī)模在不斷增加，所以網(wǎng)絡(luò)規(guī)模更大，可靠性問題愈加明顯。HIS系統(tǒng)是由多個部件組成，只有這些部件保持高可靠性才可以維持正常操作。所以在提高可靠性方面主要是通過備份、故障排除、數(shù)據(jù)加密存儲、數(shù)據(jù)信息訪問控制等方面著手。

2.2 網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計

網(wǎng)絡(luò)拓撲結(jié)構(gòu)是指服務(wù)器、客戶端、網(wǎng)絡(luò)連接設(shè)備等各個節(jié)點的連接方法。在拓撲結(jié)構(gòu)選擇中，要對各種拓撲結(jié)構(gòu)的優(yōu)劣勢進行分析，在控制成本的基礎(chǔ)上，保持性能、拓展性、便捷性。醫(yī)院不斷發(fā)展HIS系統(tǒng)規(guī)模逐漸擴大，所以在整個HIS系統(tǒng)當中不再是采用單一網(wǎng)絡(luò)拓撲結(jié)構(gòu)，而是根據(jù)實際需求進行組合設(shè)計，從而達到最佳的安全防護作用。當今很多醫(yī)院都是采用組合式網(wǎng)絡(luò)拓撲結(jié)構(gòu)，并且實際防護作用非常理想。

3 醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全技術(shù)的應(yīng)用

網(wǎng)絡(luò)安全技術(shù)有很多，對于醫(yī)院信息系統(tǒng)來說，主要涉及到信息加密技術(shù)、入侵檢測技術(shù)、防火墻技術(shù)、系統(tǒng)容災技術(shù)、漏洞修復技術(shù)，其主要表現(xiàn)在：

3.1 信息加密技術(shù)

信息加密技術(shù)能夠加強HIS信息的防護，對醫(yī)院各類信息、數(shù)據(jù)進行加密保護。大體上可以劃分為信息傳輸加密技術(shù)、數(shù)據(jù)存儲加密技術(shù)。數(shù)據(jù)傳遞加密技術(shù)可以將所要傳輸?shù)男畔⑦M行加密，包括節(jié)點加密、鏈路加密、端口加密。節(jié)點加密主要是傳輸端、接收端的點對點加密;鏈路加密是對整個信息傳輸通道進行加密;端口加密是對IP接收地址加密。數(shù)據(jù)存儲加密是指加強信息數(shù)據(jù)加密鎖定，只有正確的解密密碼才可以訪問數(shù)據(jù)信息。在細節(jié)方面，信息加密技術(shù)主要由密文、密鑰構(gòu)成，也就是將數(shù)據(jù)信息轉(zhuǎn)化為密文，同時生成唯一可以解開密文的密鑰。密文與密鑰同時傳遞，密鑰為端口傳送，只有指定IP才可以獲取密鑰，在密文傳遞到指定IP后，密鑰即可解開密文恢復成原始數(shù)據(jù)。即使是黑客攔截了密文，但沒有密鑰也無法獲取真實信息。醫(yī)院通常向外傳遞信息或獲取信息時使用數(shù)字加密技術(shù)，在整個HIS系統(tǒng)中通常使用數(shù)據(jù)存儲加密技術(shù)。

3.2 防火墻技術(shù)

防火墻作為一種十分常見的安全防護技術(shù)，也是HIS與外網(wǎng)連接的信息過濾網(wǎng)，數(shù)據(jù)、文件、程序進入到HIS系統(tǒng)中都要通過防火墻，避免HIS局域網(wǎng)受到網(wǎng)絡(luò)威脅。防火墻可以實時監(jiān)控網(wǎng)絡(luò)信息，想要從外網(wǎng)將信息傳遞給HIS，要通過防火墻過濾，風險程序、文件不允許進入到HIS系統(tǒng)。同時，在防火墻多年發(fā)展中，也衍生出了智能防火墻，主要是采用了模糊數(shù)據(jù)庫、智能化網(wǎng)絡(luò)結(jié)構(gòu)，通過數(shù)據(jù)庫內(nèi)容即可識別是否為風險文件。借助模糊系統(tǒng)可以分析有害數(shù)據(jù)特征，排除已知病毒和類似（未知）病毒，減少新型病毒入侵HIS幾率，從而實現(xiàn)訪問控制功能，保證HIS系統(tǒng)運行的安全性。

3.3 入侵檢測技術(shù)

防火墻并非十全十美，其主要是起到內(nèi)網(wǎng)和外網(wǎng)之間的防護作用，HIS系統(tǒng)當中依然可能存在很多的潛在病毒。入侵檢測技術(shù)主要是對計算機系統(tǒng)進行實時監(jiān)控，與防火墻技術(shù)結(jié)合可以對LAN網(wǎng)段信息進行監(jiān)控，記錄活動信息，不斷完善病毒庫，消除計算機或系統(tǒng)中的潛在病毒[2]。入侵檢測系統(tǒng)配備了智能數(shù)據(jù)庫，也就是模仿病毒木馬的攻擊方法，提前進行模擬演練，預防未知病毒。同時，配備交換機，在信息交互中，先將數(shù)據(jù)傳遞到交換機中，如果有危險性或不確定文件程序，交換機會自動關(guān)閉、切斷端口，避免病毒木馬向HIS系統(tǒng)中傳播。

3.4 漏洞掃描修復技術(shù)

雖然HIS網(wǎng)絡(luò)安全技術(shù)非常多，但計算機系統(tǒng)中本身就帶有很多漏洞，黑客可以通過其他渠道攻擊HIS，如輸入法漏洞等。同時，很多新型病毒無法被防火墻阻隔，只能通過系統(tǒng)補丁來修復漏洞，如2017年的“比特幣勒索病毒”，很多醫(yī)院更新了安全防護軟件的情況下電子文件依然被鎖，在后續(xù)（病毒爆發(fā)1天后）微軟推出了安全補丁才徹底解決了這一問題。因此，必須要修復系統(tǒng)漏洞，對計算機系統(tǒng)敏感路徑、文件夾（C盤文件）、終端進行掃描，找出病毒木馬可能攻擊的渠道，并修復漏洞。修復漏洞一定要及時，即使是在自動修復功能下，也要人工定期掃描漏洞[3]。

3.5 系統(tǒng)容災技術(shù)

系統(tǒng)容災技術(shù)是降低HIS危險事故影響的最后一道屏障，也就是設(shè)置一個獨立的子計算機系統(tǒng)，通過容災軟件和HIS聯(lián)通，定期向子系統(tǒng)中備份醫(yī)院數(shù)據(jù)信息，也可以與云存儲聯(lián)通，實時向云端中備份數(shù)據(jù)。一旦HIS因為病毒攻擊信息丟失、篡改，可以借助子系統(tǒng)或云端恢復數(shù)據(jù)，降低HIS安全事故損失。

4 醫(yī)院信息系統(tǒng)安全防護措施

4.1 硬件方面

（1）服務(wù)器。采用active/backup雙熱備份方案，作為一種常見的容災技術(shù)，可以在主服務(wù)器故障條件下，備用服務(wù)器短時間內(nèi)接管HIS操作任務(wù)，保證系統(tǒng)不會因為服務(wù)器故障影響系統(tǒng)正常運作，并保持連續(xù)24h正常工作。服務(wù)器硬盤借助射頻技術(shù)RAID，將多個硬盤驅(qū)動連接到一起工作，這樣不僅可以提升速度，還可以保證硬盤系統(tǒng)的可靠性[4]。（2）自動阻斷。HIS本質(zhì)上是一個局域網(wǎng)，而局域網(wǎng)傳遞數(shù)據(jù)無需外網(wǎng)借助，因此在不需要外網(wǎng)訪問時，可以通過物理手段斷開內(nèi)外網(wǎng)，徹底消滅黑客入侵渠道，并且醫(yī)院各個部門之間借助局域網(wǎng)平臺可以實現(xiàn)信息交互。

4.2 軟件方面

（1）操作系統(tǒng)。采用身份驗證技術(shù)，管理人員、醫(yī)院工作人員設(shè)置不同的訪問賬號權(quán)限，這樣可以避免醫(yī)院普通工作人員訪問院級機密數(shù)據(jù)，醫(yī)院工作人員只能訪問普通信息，如會議報告、規(guī)章制度信息、患者檔案、繳費狀況等。并且所有賬號的訪問記錄都可以被查到。這樣可以避免黑客非法入侵數(shù)據(jù)庫或普通醫(yī)院工作人員越級訪問。此外，對各個工作站、服務(wù)器的CMOS設(shè)置密碼，屏蔽USB接口，避免外來U盤攜帶病毒侵入HIS[5]。（2）數(shù)據(jù)庫。定期對數(shù)據(jù)庫信息進行備份，為數(shù)據(jù)庫選擇適合鑒別的方案，提高口令強度，縮短口令交換周期，使用數(shù)字加密技術(shù)封鎖數(shù)據(jù)庫，加強用戶操作管理和權(quán)限管理。此外，可以借助云端、備份系統(tǒng)展開災難恢復模擬，提高突發(fā)事件的處理能力。（3）病毒防范。對軟驅(qū)、光驅(qū)、U盤等使用權(quán)限進行限制，綁定IP地址、網(wǎng)卡物理地址。任何的外來軟件、文件都要提前做好檢查工作，在確定沒有風險之后允許進入到HIS當中。客戶機、服務(wù)器安裝最新版本的殺軟、防火墻套裝，定期更新病毒數(shù)據(jù)庫與殺毒引擎，從而保證整個HIS系統(tǒng)不受黑客攻擊。（4）應(yīng)用軟件。根據(jù)訪問權(quán)限將整個系統(tǒng)賬號劃分為系統(tǒng)管理員、一般用戶。限制管理人員數(shù)量和最高權(quán)限。對于特殊的信息模塊，包括門診藥房、藥庫管理、掛號收費等由專人管理，基于這些管理人員較高的權(quán)限，可以操作相關(guān)程序和數(shù)據(jù)，不得隨意調(diào)取隱秘文件、數(shù)據(jù)，定期更改用戶口令，以免信息被盜取。

5 結(jié)束語

綜上所述，隨著計算機信息網(wǎng)絡(luò)技術(shù)不斷發(fā)展，如今醫(yī)院均已經(jīng)實現(xiàn)了信息化管理模式。HIS系統(tǒng)當中不僅包含了患者信息、醫(yī)院內(nèi)部信息，同時也會涉及到財產(chǎn)問題。因此，必須要加強HIS安全防護技術(shù)，做好醫(yī)院內(nèi)部網(wǎng)絡(luò)管理工作，不斷加強網(wǎng)絡(luò)安全技術(shù)的研究，進而保障信息、隱私、財產(chǎn)安全。

參考文獻：

[1]楊曉倩.網(wǎng)絡(luò)安全角度下醫(yī)院計算機信息系統(tǒng)安全技術(shù)的應(yīng)用探究[J].計算機產(chǎn)品與流通，2019（12）：109-110.

[2]雷軍.網(wǎng)絡(luò)安全技術(shù)在醫(yī)院信息系統(tǒng)中的應(yīng)用探析[J].計算機產(chǎn)品與流通，2019（09）：500-502.

[3]張靈，董國杰.淺談醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（09）：105-106.

[4]張偉棋.探析網(wǎng)絡(luò)安全技術(shù)在醫(yī)院信息系統(tǒng)中的應(yīng)用[J].信息通信，2018（08）：115-116.

[5]毛軼彬，楊妍蕾.試析基于網(wǎng)絡(luò)安全角度分析醫(yī)院計算機信息系統(tǒng)技術(shù)的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（06）：87-88.