医院信息系统安全问题值得重视

千姿百态

医院信息系统（Hospital Information System，HIS），也称“医院管理信息系统”，是指利用计算机软硬件技术、网络通信技术等现代化手段，对医院及其所属各部门的人员流动信息、物流、财务流动方向进行综合管理，对在医疗活动各阶段产生的医疗，财务数据进行采集、储存、处理、提取、传输、汇总、加工生成各种数据信息，从而为医院的整体运行提供全面的、自动化的管理及各种服务的信息系统。His 系统已经广泛运用到各个医疗机构，极大的提高了医疗工作者的工作效率，随着全民医保的贯彻落实，his系统又添加了新农合接口、医保接口，解决了广大城镇职工和农牧民报销医疗费慢的问题。由于医疗行业的医院信息系统承载着越来越多的管理和医疗业务，所存在的内部技术问题和安全隐患问题日益暴露出来。

　
【有关医疗信息系统安全问题的案例】

2013年7月，宁波两家医院挂号系统瘫痪事件，同样也引起了社会各界对医院信息系统安全的高度关注。
　　2013年，沪上一家知名三甲医院发现，有人不断非法侵入该院计算机系统，并大量下载数据库中的数据，造成系统运行缓慢。反常的现象引起了技术人员的警觉，并开始暗中追查幕后黑手。同年7月2日清晨7点多，工作人员通过技术手段，在该院一处停车点发现一男子正坐在轿车内使用笔记本电脑，电脑屏幕显示其正在下载数据。
　　该男子系医院设备科员工乐某，在其电脑上存有包括门诊员工的帐号和密码、住院部员工的帐号和密码、所有药品的品名和每月用量等大量信息。鉴于事态严重，院方遂向公安机关报案。到案后，乐某供述，其与该院药剂师王某合谋非法获取内部数据，整理出其中的处方信息后，由王某出售给有需要的医药代表以牟利。
　　原来，2011年，王某在工作中结识了药企的医药代表，得知对方欲高价购买医院用药量的统计数据，但自己又无法掌握这些用药数据，王某遂找到曾短期借调医院信息中心工作的乐某，约定由乐某想办法侵入医院计算机系统盗取数据，自己负责出售。
　　此后，乐某在每月初都会携带笔记本电脑，使用其在信息中心工作时掌握的数据库用户名和密码，登录医院计算机信息系统，通过擅自编制提取数据的专用软件，非法侵入医院数据库下载信息后存储在电脑中。下载完成后，乐某根据王某提供的药品清单进行整理，制成PDF格式的数据文件转交给王某。王某以每种药品200-300元不等的价格出售给医药代表，获利后再与乐某共同分赃。
　　经查，2013年3月至6月期间，王某先后将从乐某处获取的洛赛克针剂等46种药品用药量的统计信息，以电子邮件的方式发送给医药代表陶某某（另行处理），由陶某某以每条250元人民币的价格，通过现金支付、银行转账等方式给付钱款共计1.15万元，嗣后两人按照约定比例将上述钱款分赃。
　　法院审理后认为，乐某、王某结伙非法侵入医院的计算机信息系统并获取数据，情节严重，其行为均已构成非法获取计算机信息系统数据罪，应依法予以刑事处罚。本案系共同犯罪，两名被告人在犯罪中的地位和作用相当，不应区分主从犯。鉴于两人到案后如实供述自己的罪行，当庭认罪，并退赔了全部违法所得，法庭遂酌情从轻作出了处罚。

医院信息系统所面临的风险

从医院内部管理来看，医院的信息系统面临着很大的安全风险，迫切需要建立起完整的信息安全防护体系。这些风险主要在于：

1.医院的信息系统不是一个孤立的系统，同合作单位(如社保部门)甚至互联网都存在接口，存在被黑客入侵、网络攻击的风险。

2.作为医院最核心的业务系统，医院信息系统（Hospital Information System，HIS）的运营缺少有效的安全保护措施和审计机制，存在账号滥用、业务数据被非法读取的风险。譬如，由于HIS系统缺乏权限管理，任何有机会接触HIS终端的人员均可以通过HIS系统进行药物使用情况的查询等。

3.内外网划分不清晰，缺少内外网隔离措施，有可能存在医院的核心业务信息通过互联网泄密的风险。

4.大部分医院未部署终端安全管理和审计系统，导致不合规的终端也能随时接入内部网络，且出现终端安全事故时无法追查。

5.医院的门户网站缺少必要的安全保护措施，存在被结构化查询语言(Structured Query Language，SQL)注入攻击、网站挂马的风险。

医院信息系统安全的解决方案

针对上述的安全风险，仅仅部署了防火墙和终端防病毒软件是不够的，远未达到等级保护、纵深防御的政策要求，也没有建立起一个完整的安全防护体系。不管是从政策合规还是业务保障层面来看，医疗卫生机构信息安全建设的要求都是非常迫切的。目前最新的医院信息系统安全的解决方案有：

1、区域边界的一体化防护：在安全域边界，如合作单位的接入区域、互联网接入边界部署一体化安全网关，实现检测防火墙的所有功能，更具有网络入侵防御功能和网络防病毒功能，能够检测并阻断木马连接、蠕虫病毒、网络扫描等各种威胁，同时一体化的部署大大简化了管理员的配置和管理工作。

2、加强Web业务的保护：医院的门户网站和网上诊疗业务是典型的基于Web的应用，面临的主要风险是来自互联网的SQL注入攻击、跨站脚本攻击等应用层攻击，这些攻击能够穿越防火墙，对Web业务造成毁灭性的破坏。必须采用一些入侵防御类产品，实现基于入侵原理的攻击识别，精确识别SQL注入攻击并予以阻断，以加强Web业务的保护。

3、分析核心网络入侵行为：在核心交换机的位置旁路部署设备，用来监视网络中的安全事件和流量变化情况，包括端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等各种入侵事件，以及P2P下载等流量信息。当检测到入侵和流量事件时，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。

4、安全审计消除业务风险：在HIS等核心业务系统之前部署网络安全审计系统，对业务数据进行记录和审计。网络安全审计采用旁路部署的形式，对医院的业务不会造成任何影响，仅需在交换机上作简单的配置即可实现对数据的采集和还原，在这种情况下无论是通过HIS系统访问数据库，还是通过客户端对数据库直接访问，特别是对数据库关键表（处方表、医师表）的联合查询都能够进行记录和审计。

5、终端准入确保内网合规：在《医疗机构信息系统安全等级保护基本要求》中规定，系统应具备记录、允许或拒绝终端PC接入医院网络的能力，应对医院内接入信息系统的终端的设备接口（如光驱、软驱、USB口等）进行管理和控制。通过在医院的合法终端部署终端安全产品既能够防止非法终端私自接入网络，又能够确保合法终端的安全状态都是合乎医院的管理规定的：比如必须安装杀毒软件、注册表状态正常、不能安装点对点应用程序、不能非法使用USB接口等。

6、定期的漏洞和脆弱性评估：在网络中部署脆弱性扫描和风险评估系统，对网络主机、数据库和应用系统定期进行漏洞扫描，对发现的网络、系统安全漏洞进行及时的修补。应定期安装系统的最新补丁程序，并根据厂家提供的可能危害计算机的漏洞进行及时修补，并在安装系统补丁前对现有的重要文件进行备份。

在进行了上述的安全部署之后，医院已经建立起比较完善的信息安全防护体系，能够对内部、外部的安全风险进行控制和管理。在此基础之上，还可以考虑部署信息安全运营中心进行全局的风险管理，将不同位置、不同资产（主机、网络设备和安全设备等）中分散且海量的安全信息进行范式化、汇总、过滤和关联分析，形成基于资产或域的统一等级的威胁与风险管理，并依托安全知识库和工作流程驱动对威胁与风险进行响应和处理，提供了网络架构的安全统一视点。

美国医院信息系统安全的管理细节


   2013年8月26日，加利福尼亚护士协会的一篇报道称，加利福尼亚北部萨特医院的电子健康记录（Electronic Health Record，EHR）系统全线黑屏，该系统在此之前就被曝存在问题，此次更是将广大患者置于附加危险境地。该医院的注册护士报告说上个月出现了多种问题并登记了无数投诉。

美国在医院计算机应用领域最有影响的组织是“医院信息管理系统协会”，协会每年就健康医疗信息系统应用进行一次详细的现状与趋势的调查，其中有二类任务被选为最优先考虑实现的项目，一个是减少医疗差错和提高病人的治疗安全，另一个是实现医疗保险改革的法律条文《健康保险可携带性与责任法案》对健康医疗信息系统其信息安全性、病人隐私权的保护和电子信息交换标准化的要求。

为了推进医院信息化工作，HIPAA已经制定了医疗行业数据传输保密的最低标准，这就为高科技公司的介入奠定了基础，也为他们的发展带来了无限商机。IBM、微软等IT巨鳄已经设立了特别的部门，专门负责这些系统的重建工作。

安全问题在银行和其它大行业中的重要性已经毋庸置疑，安全也是医院信息化的重要一环，医院安全软件研发已经成为美国众多IT公司一显身手的舞台。

美国利用软件技术公司提供的防火墙与虚拟加密网络，可以帮助医生远程管理保存于医院数据库的患者信息。同时，这项技术也可以让医疗机构审查网络登陆记录，这对确保患者信息安全相当重要。美国还着手开发可以定时扫描网络的产品，以发现系统的漏洞，这对于那些日渐将自己的数据库和互联网相接的医疗机构非常重要。

如果电子邮件中包含了患者的个人信息，那么，这些电子邮件和相关存储系统的安全问题也成为人们关注的焦点。于是，一些专注于电子邮件软件开发的公司也开始为医疗机构服务。目前，个别医疗服务中心已经严格规定所有的电子邮件必须要进行128位加密处理。

医院信息系统在日常工作中暴露出问题以及对策
　一、网络设备的物理安全性

　　供电和网络设备的安全问题。由于工作性质，医院的网络系统不间断运行，必然要求有良好的供电环境，确保主服务器，网络交换机及各个工作站不间断供电。但是，在日常工作中发现不接UPS或UPS电池已经损坏而不更换的情况经常发生。一旦断电事故发生，对网络设备的损坏是很大的，医院承担着急诊任务，夜间停电，ups派不上用场或者没有，直影响到急诊大夫的下药，化验数据的及时上传，严重影响到患者的生命安全，现在的局域网一般采用星型结构，如果中心交换机出现故障就会使整个网络瘫痪，会使服务器及交换设备暂时不可用而影响网络的运行。

　　网络传输速率瓶颈。我院的计算机网络由业务网（内网）、互联网（外网）、医保专网，新农合专网等四个物理网络连接而成，随着医保新农合专网的接入，原有的网络带宽难以满足日益增长的需求，所以导致了整个业务网（内网）的数据传输速度下降，降低了办公效率。

　　二、网络安全

　　网络病毒层出不穷，如果防治不力将使整个信息网瘫痪，影响医院的正常工作。据平时工作观察，当前医院内网计算机病毒有如下两种：一种是存在移动存储器传播的病毒，当这个U盘在插到一台计算机时，U盘中的病毒自动运行，然后导致这台计算机也感染了病毒，如此反复传播下去。另一种是利用网络传播的病毒，其典型代表是ARP攻击病毒。此类病毒主要是在内网中传播，局域网中一台计算机被感染后，病毒能攻击内网中的其它计算机，引起计算机的运行速度变慢，使整个网络阻塞瘫痪。

　　三、his系统自身缺陷

　　任何一款软件也有漏洞，his系统也不例外，但是对软件的升级和完善可以减少由于软件本身所带来的安全隐患，具体来说其缺陷有以下几点：

　　软件开发力量不足，规模太小，售后不到位。目前，国内从事医疗软件的公司绝大多数都是小作坊，开发人员大多不稳定，流动性很强。开发出来的产品没有没有相应的文档，这样的软件完全依赖于开发人员的记忆，时间一长，开发人员都忘了程序结构，开发人员一旦离开公司，别人无法修改软件，造成售后服务无法完成，给医院带来技术隐患。

　　软件没有一个统一的标准，使信息无法标准化。医院信息标准化，是指统一名称、统一概念、统一分类、统一编码，它是信息迅速交流的基础。HIS的开发标准不统一，如疾病、药品、人员、器材、财务、检验标准的不统一，直接导致了各个医院的检查结果互不承认，系统和药品生产企业在药品的规格上的不统一，给医生和患者造成了很大的困扰。

　　四、数据备份

　　数据备份和恢复对于任何一个软件都异常重要，在医院信息管理系统中显得更为重要。在医患关系紧张、医保物价部门对医院要求严格的情况下，数据一旦丢失，对医院、社会都会造成无法估量的损失。而传统备份方式在磁盘故障时存在三个主要问题：1、故障发生后医院会丢失一天甚至更长时间的数据。2、故障发生后必然导致HIS系统应用的中断。3、由于备份数据需要解压缩，故障恢复时间长。在实际工作中，遇到过一次由于磁盘故障导致检验数据的丢失，患者不得不重新抽血，重新做一次检查，引起了广大患者的不满。

　　五.对策及解决方法

　　物理设备的安全

　　UPS供电和网络设备安全问题的解决。机房采用双路供电的方式，两个ups电源分别接在两个不同的地方，即使其中一条线路出了故障，服务器及网络设备也照样能够正常运行，不至于因为电源问题而导致意外情况的发生。对于局域网的众多PC机、路由器、打印机、传真机、复印机等设备，考虑到其分散性，需要安置的小功率UPS提供电力保障。我们要做到网络设备的日常维护，特别是机房环境温度状况、湿度状况，交换机，路由器的清洁状况，检查风扇是否正常运转，线缆布放电源线与业务线缆分开布放，避免相互间的电磁干扰。

　　传输速率瓶颈解决。解决医院传输速率的瓶颈问题，我们采用国际通用办法，核心层，汇聚层均采用企业级交换机，接入层采用背板能力强的交换机，核心交换机与汇聚交换机之间用千兆光纤进行连接，汇聚交换机与接入交换机之间、接入交换机与工作站之间采用百兆双绞线进行连接，对临床、医技、药品、财务、电子病案等系统采用虚拟子网划分，隔离广播风暴，并使内网和外网完全隔离开，及时淘汰陈旧的网络设备，积极搭建新农合，医保VPN平台降低内网负载。

　　网络安全

　　结合医院实际工作经验，我们必须重视医院的计算机病毒防治工作，出台医院院内网计算机使用管理办法，可以从制度上保证安全使用计算机。现在，特别是由于一线医护人员的计算机素质参差不齐，计算机知识比较薄弱，因此，制定一个计算机使用管理办法在源头上预防计算机病毒的入侵，并且限制移动存储器的使用，确实需要使用移动存储设备的，必须进行杀毒处理，建立医院院内网防毒杀毒体系，并使杀毒软件时刻保持在最新最强状态。

　　His系统自身漏洞

　　HIS的建设是一项多学科的工程，它要求开发人员精通计算机软件技术、网络通信技术、医院管理学、医学、统计学等多学科，所以只能和专业的医疗软件公司合作。选择公司时，必须注意公司的规模、技术力量、人员结构、从事医疗软件时间长短以及售后服务的能力等。

　　对医院信息进行科学的分类与编码是计算机信息处理系统能有效发挥作用的前提和基础。信息代码分类标准原则上要求尽量采用国际标准、国内标准、颁布标准。如物资设备编码在卫生部颁发标准的基础上应用到HIS中；疾病编码由国内统一ICD码制定；药品编码采用国家药品管理局、卫生部有关单位共同完成。

　　数据备份

　　针对医院的特殊环境，一般建议采用以下几种数据备份恢复方法：数据库在线备份、数据库即时恢复、网络存储设备共享、数据库系统远程容灾。具体来说： 对备份与恢复操作的复杂度必须可管理。 自动备份并避免人为失误的可能性。 备份必须与事务量成正比，而不应与数据库的物理大小成正比，保证主机系统内的其它系统设置信息也能顺利恢复。

　　能够在运行7x24业务的同时做备份和局部恢复。 备份必须是可扩展的、可靠的，并且充分利用可用的存储硬件。最好做到两套系统分别放置于两栋大楼中，实现异地容灾，进一步增强了医院HIS系统的安全性。

　　当今，社会强调服务性政府，所以一个医院的满意度和他的就诊流程是否人性化有着密切的关系。在这当中，HIS系统占据很大的比重，仅仅提供一套安全问题解决方案是不能满足信息化安全要求的，必须加大网络安全投入力度，尤其重要的是，医院领导及相关部门必须高度重视，严格要求，只有这样才能建立一个稳定、可靠的医院信息网络系统，才能使医院的信息化得到进一步加强，让患者满意。