医院信息系统的安全与管理

陈凌平 马宗庆 郭振华 浙江省台州医院

随着医院信息化建设发展，HIS系统、PACS系统、LIS系统、电子病历等已经在医院得到广泛应用，必须保证医院整个信息系统安全稳定24小时不间断运行，否则将给医院带来很大的经济损失和社会负面影响。根据多年来从事医院信息系统安全与管理经验，我们从机房安全、主机系统安全、数据库安全、应急预案、网络系统安全，以及信息系统的安全管理等方面总结了一些经验。只有不断加强各项系统的安全管理，才能确保系统安全、高效、稳定运行。

中心机房安全要求 

中心机房安全环境建设是医院信息系统安全的关键，医院主要核心硬件设备全部放在在机房里，因此我们根据建设部《电子计算机机房建设标准》(GB50174-93)，对中心机房进行了标准化改造；

(1)采用了轻钢龙骨吊顶、钢质防静电地板、铝合金玻璃双层隔断、防火墙面处理，全部使用防火材料，减少了火灾可能性。

(2)机房采用防火门，安装智能门禁系统，配有火灾探测器、粉沫灭火装置（千万不能使用水喷淋）。

(3)配置精密空调，保持机房温湿度恒定；将机房开机运行的温度置于25℃左右，相对湿度为35％～55％，并严格执行医院计算机中心机房安全管理条例。

(4)独立配置电控制装置。由于机房24小时用电，消耗电量较多，需要配置有三相四线电源双路供电，安装40KW不间断UPS电源，对中心机房设备供电，保障在停电时服务器能够正常运行。

(5)机房采用三级防雷控制装置，防止涌浪电和感应电传入，保障服务器设备安全。机房采用联合接地系统，地板下面四周铺设了铜条与接地线（环）相连，接地电阻小于0.5欧姆。我院处于沿海多雷区地域，至今没发生设备击坏现象。

(6)机房安装红外线报警器、进水感应器，当有非工作人员进入机房或机房进水的时候会自动报警（已经发生多起报警），值班人员可以及时处理。

(7)根据机房建设要求改造后，有效保障我院小型机、磁盘柜、交换机等核心设备5年多来稳定正常运行。

主机系统安全措施

主机系统主要包括主机操作系统、主服务器、磁盘阵列柜、光纤交换机等。它是医院信息系统安全的核心，是重中之重，为此我院主要采取了几个方面措施来保障安全：

(1)在主服务器采购之前，我们做了许多调研，对小型机与PC服务器的各种性能及优缺点进行了比较。小型机在稳定性、安全性方面具有明显优势，最终确定购买小型机作为主服务器。

(2)操作系统采用UNIX系统。UNIX操作系统最大的好处就是安全稳定，是一个成熟、经典的操作系统，可有效防止各种病毒侵入。系统运行5年多没有病毒感染UNIX系统。

(3)构建高效安全的数据处理平台。使用非常成熟的存储局域网SAN架构集成技术作为主服务器和磁盘柜方案，二台HP8640小型机与一台HPEV4000以及光纤交换机构建成SAN数据交换处理系统，能够高效率、均衡、快速处理全院所有数据业务。在一台服务器发生故障的情况下，另一台服务器自动将所有服务接管过来，并在故障修复后及时切换回原来状态。我院信息系统运行5年多来没有出现宕机现象和数据丢失现象。

(4)磁盘阵列柜采用双阵列镜像、双通道、双电源冗余技术，这样任何一个磁盘损坏、电源损坏或通道损坏都不会影响医院正常的业务处理，保证了医院数据的完整性、安全性。

(5)光纤交换机采用了双冗余对称方式，与主机和磁盘阵列柜连接，不论是光纤交换机故障或是光纤连接线故障，都不会影响信息系统数据处理。

数据库安全管理

医院信息系统所做的一切就是为了保障医院数据安全，因此数据的安全在硬件保障的前提下，人为因素、管理因素就特别重要，所以我们主要采取了几个方面措施来保障安全：

(1)数据的安全对使用什么样的数据库很讲究。我们经过一些分析，认为选用Oracle10G作为医院HIS系统核心数据库可以满足要求，并专门培训了两名技术人员能够处理日常的数据库故障问题。

(2)数据库采取权限分级管理，防止越权访问、修改数据，制定数据库管理制度，对每个人访问、修改权限明确定义。对系统管理员权限控制、分离系统管理员和应用系统管理员的权限。

(3)建立数据库审计日志系统。首先对全院所有数据访问过程审计，再重点设置一些关键数据的实时审计跟踪预警；对于工作人员的用户权限，根据其从事工作岗位的不同划分为不同工作组权限，对其角色进行授权；购买专门的审计安全控管软件，指定专门人员负责日常管理，这是保障数据库审计安全的关键。

(4)建立数据和系统备份容灾体系。医院数据安全的重要性相当于银行数据，数据存储设备发生损坏，对医院来说将是灾难性的。因此，必须采用备份与容灾相结合的技术，这样当发生存储设备损坏或机房灾难时，数据和系统备份容灾体系可以保障在10分钟左右恢复信息系统运行。

应急预案制订

由于医院的特殊性质，服务器必须24小时开机运行，信息系统必须建立应急预案，否则一旦服务器或网络发生故障，就可能导致整个医院信息系统瘫痪，所以一个可行的应急预案是必不可少的。

(1)制订应急预案处理方案，形成具体的文件，对重点部门、关键业务必须重点保护。根据风险评估情况，对有可能造成损失的系统，优先制定应急方案，并在发生问题时优先启动、优先恢复。

(2)发生风险等级划分。根据可能产生的后果风险对医院影响的严重性，我们用打分的形式来进行量化，见表1。针对不同等级风险程度采取不同的应急预案，让所有人员熟悉本部门应急预案处理方法。

(3)为了能够很好地落实信息管理系统的应急方案，必须成立一个应急机构，并制定各机构的职责。组织机构由领导小组、检查小组、技术小组、应急小组组成，见图１。

 

(4)为顺利应对院内突发事件，妥善处置紧急情况，最大限度地减少意外事故带来的损失，保障医院系统安全运行，必须在突发事件应急预案中明确规定“在发生重大网络安全突发事件的情况下，各小组的相关职责及工作方法”。对每个小组规定相应工作职责，比如技术小组职责：发生问题时，及时做出判断，协调软件开发商与设备供应商；对于灾难性的问题，及时向领导小组汇报并提出是否启动相应的应急计划的建议。对于某区域或部门级的故障，及时给予指导，并建议是否启动应急计划。

(5)对于不同故障情况制订不同技术性应急预案，比如网络系统应急预案，服务器系统应急预案，病毒大面积感染应急预案等。故障恢复后的工作包括：各部门在网络中心的组织下及时恢复各工作站的操作，并核对故障期间数据的完整性；电脑中心负责进行事故报告的分析及整改工作。

(6)应急预案演练是我们在平时定期要做的工作，应在应急预案领导小组的领导下定期进行应急预案演练。其目的是为熟练应急预案的操作过程，并检验系统安全备份策略和应急预案的可靠性。演练过程中应对操作和结果作详细记录，以便于总结、分析、评估，及时发现隐患并更正，确保在发生灾害后能使医院系统及时恢复运行。

网络系统安全 

网络系统是信息系统的神经，医院信息系统的数据交换是靠网络来传输的，网络的正常运行是医院信息系统的基本条件。因此，网络稳定正常运行也是信息系统安全的重要组成部分。我院对网络安全十分重视，主要做了几个方面安全保障工作：

(1)在网络设备质量方面我院选择了Cisco品牌的网络交换设备，其产品质量、稳定性、安全性、可管理性都能满足医院信息化建设要求。

(2)在物理联接方面，网络结构采用星型拓扑方式，核心交换机使用了两台C6509做双机均衡，实现了关键业务的网络冗余及链路冗余，为网络的稳定运行奠定了基础。主交换机与各个楼层之间、各个大楼之间全部采用双光纤连接。特别是在关键大楼或业务量大的地方，我院采用双C4506核心，通过HSRP为内网提供网关冗余，核心交换机到所有接入层C2918都通过双光纤链路，保证了业务的稳定性。整个网络结构不超过三层，无论哪一台核心交换机、汇聚层交换机或光纤出现故障，都不会影响医院信息系统运行，有力保障了网络通讯快速、安全、稳定。

(3)为了防止病毒或广播风暴的扩散，网络中划分了多个VLAN。由于每个VLAN里面的数据有着基本相同的安全级别，不需要对不同段进行访问权限限制，对所有内网VLAN接口下应用防病毒的ACL，通过禁止一些常见的病毒端口来最大限度地防止病毒进入到内网。同时采用OSPF邻居相互校验MD5加密方式，可以确保只有有效的路由器才能加入到网络，从而避免非法的路由器或伪造的路由信息加入到网络中。

(4)为了能够及时发现网络出现问题和报错，在故障后能有足够的出错信息来参考进行排查，一台专用日志服务器必不可少。日志服务器采用Kiwi_Syslogd日志服务软件，日志均发送到日志服务器上，打开一些标记时间和密码加密，同时设置系统LOG功能等服务并增加LOG日志服务器，可以增强安全性。

(5)专人负责网络管理软件，网强网管软件实时监控网络运行状况，网络如果出现故障或非法侵入，网络管理软件可以帮助网络管理员马上查明原因，及时排除故障，提高网络维护效率。

信息系统（HIS）安全管理

以上各种安全措施都是为了保障信息系统的安全运行，医院信息系统已成为医院管理现代化的重要标志，系统运行是否正常直接体现医院管理水平与质量，信息系统的安全运行也最能体现整个系统是否正常，任何一个系统环节出现的故障将直接影响到信息系统无法正常工作。信息系统直接的用户是临床和行政人员，对于上千名操作人员使用的信息系统来说，加强信息系统安全、稳定运行是非常重要的，为此加强信息系统安全管理必须做到以下几个方面：

(1)建立健全各种信息管理规章制度，提高医院各部门使用人员的安全意识，对他们经常宣传各种管理制度；区分各个用户以及不同级别的用户组，对每个用户或用户组分别授予不同使用权限；对信息中心要制订岗位职责，权限分级管理，提高职业道德，掌握安全技术，抓落实，责任到人。

(2)加强信息系统文档管理，做到应用系统操作手册、服务器配置文档、网络配置文档、各级权限管理与配置、信息系统升级记录、软件开发及更新、病毒库更新版本、计算机使用情况、维修记录等都有相应的文档管理记录，在信息系统出现故障时有助于迅速判断、对症修复。

(3)定期开展全员信息系统应用培训工作，让操作人员真正掌握信息系统的使用方法，使用过程中出现问题简单的维修方法，配合信息中心工作；同时也要加强系统维护人员自身技术能力的学习，提高专业技术水平，能够及时、快速维护系统故障。

(4)加强对各种工作站的安全维护，工作站一律不能安装软驱、光驱，屏蔽USB，杜绝病毒的侵入。工作站安装远程监控系统，监控用户行为，做到在信息中心可以看到客户机器屏幕显示，实现远程安装、管理、杀毒，此举可达到与用户本地机器操作相同的效果。采用ghost软件为系统盘做镜像文件，当系统被破坏时，能尽快恢复系统。

(5)全院安装统一杀毒软件，安装赛门铁客网络版杀毒软件，由服务器在网上统一定时更新最新病毒库，并自动分发到每台工作站。杀毒软件在信息系统安全中起着重要的作用，可防止病毒入侵破坏信息系统，保证医院信息系统在无病毒状态下安全运行。

(6)采用防火墙技术隔离医院网络与医保、农保、社保、管理局等部门的黑客或病毒入侵。为了防止外来入侵，利用防火墙对所有进出数据进行过滤及限制网络访问的对象，通过分配固定IP地址的方式，只有指定的IP可以访问，以达到保护医院信息系统安全目的。

(7)按照不同岗位专人负责应用软件管理、操作系统密码管理；负责全院各个用户以及不同级别的用户组管理，对每个用户或用户组分别授予不同使用权限；负责全院员工工号、科室代码、病人床位、调离人员权限屏蔽管理等。所有信息系统的程序由专人修改、更新，以保证全院程序的统一性和完整性。

结束语

医院信息系统安全与管理是每个医院信息中心部门工作的重中之重，是关系到医院能否正常运行极为关键的核心。现在每家医院基本上都有一套完整的信息系统HIS或EMR，如果信息系统出现重大故障则会对医院造成重大损失，并造成不良的社会影响。我院是一家综合性三甲医院，有1600多张床位，信息系统已经基本完善，医院领导一直以来非常重视信息系统的安全与管理，通过几年的持续投入，建成了相对安全的体系，保证了医院信息系统近几年一直稳定运行，为医院业务发展起到了积极的作用。

 

 

(引自医院管理论坛杂志2010年2月27卷总第160期，参考文献略)