论文部分内容阅读
摘要:现代化医院信息系统的建设目的旨在加强医院业务管理水平、提高医疗服务能力,重点是系统的稳定。目前,随着医院信息系统和第三方应用软件及数据库产生的交叉,给系统的安全性带来了诸多风险和不稳定因素,也给医院信息安全造成极大挑战。该文从信息系统安全层面、物理安全层面、访问授权控制层面、终端主机和网络通信防护以及容灾策略等几个层面提出一些方法和讨论。
关键词:医院信息系统;安全策略;信息安全管理
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)17-0012-02
医院信息系统,即HIS已被国际学术界公认为医疗信息学的一部分。我国从20世纪80年代初期开始研制开发自己的医院信息管理系统,主要分三个部分:①以管理为对象的医院管理信息系统((Hospital manager Information System,HMIS);②以病人为核心的临床信息系统(Clinical Information System,CIS);③医院分析决策支持系统(OLPA)及办公自动化系统(OA)。
该系统涉及计算机和网络通讯、管理學和信息学等多门学科,有较大规划和建设难度,在保证数据安全稳定的前提下还要保证通讯畅通和快速,且要求操作人员具备一定计算机水平和信息安全基础理论知识。
标准化信息安全管理主要表现在安全技术和安全标准两方面。信息安全标准是对国际上的CC系列标准、ISO27000系列标准以及国内等级保护和风险评估等标准作出研究。但由于客观因素的影响,这些标准在具体实施时候都发现存在着一定局限性。而在医院信息管理中,系统安全和网络安全将始终贯穿于整个系统周期,因此,在现代医院信息系统中体系化的安全策略就显得尤其重要。本文从以下7个方面对医院信息系统的安全设计和实施开展讨论:
1医院信息系统安全需求分析
1.1医院信息系统的识别
对系统中各类信息资产,包括主机系统、系统和应用软件、物理环境、业务数据、辅助设施等进行资产识别和描述。
表1为基于表现形式的信息资产分类方法之一。
1.2对用户身份的认证和访问的控制需求
根据用户的角色级别、类型及其重要性判断是否需要身份认证,并通过设定来监管用户有权限访问系统的时间和空间,并且必须在限定的设备、网络接口来使用。同时,根据分布式环境特点,按权限最小化分配和权限分离原则做好动态授权。
1.3信息资产的安全需求
在硬件方面,要确保信息资产处在安全和环境适宜的物理环境中,提供设备的不间断供电,做好关键设备的合理冗余;软件方面,保证系统应用软件安全可靠性,以及后台服务程序、系统进程、注册表关键值等的安全性。
1.4网络通信的安全需求
系统管理员要及时发现并隔离异常的网络行为,对网络数据流做好实时监控,定时查看安全日志;及时有效地处理网络故障,通过降低网络风险确保数据通信的稳定与安全。
2物理安全策略分析
2.1做好中心机房安全维护
依照规范要求加强对机房温度和湿度的控制;加强门禁制度管理;在备好大功率UPS的基础上采用多路供电保证供电稳定和连续;做好避雷和抗磁干扰措施。
2.2做好服务器安全维护
在医院信息系统的运行中,服务器作为系统核心设备起着主导作用。因此,除了配备7×24不间断工作电源外还要设置好冗余,采取多机容错和热备份等方案。
2.3工作站安全维护
工作站作为医院信息系统的一个独立模块,分布较多,本身不保存数据。因此要最大程度地做好工作站电脑的散热、防尘、防潮等措施。严格做好光驱和USB接口的屏蔽,装好网管软件客户端。
2.4硬件接口设备管理维护
把交换机、路由器、集线器等网络设备都需放在专用的机柜中,并锁好,同时建立完善的设备管理制度,并对外来笔记本等移动PC和接入网络终端的端口做好流水登记。
3身份认证策略
1)利用工作站的IP和MAC地址、VLAN以及所接入交换机的物理接口做绑定,结合用户名和口令登录进行身份验证,保证登录合法性。
2)安装安全管理软件和网络管理软件,通过网络安全管理软件客户端验证信息到医院安全服务器来判断是否为系统合法主机;检查系统补丁的安装和病毒库升级;禁止有未经允许的自启动程序等。通过上述几个手段,就能够基本保证非法用户和外来主机纵然有登录账号和IP地址,或者做了MAC修改也不能登陆医院信息系统,杜绝外来主机非法接入。
4访问控制与授权策略分析
面对当前信息系统分布式和复杂化的发展趋势,传统基于角色的访问控制策略和静态授权模式已不能适应,如何设计基于时间和空间对访问行为合法性的控制策略就显得重要。
4.1时间和空间因素
职工上岗医院信息管理员要为其分配身份和权限,如该用户离职,要及时取消其用户口令和密码及其他相关权限。还应针对用户登录时的工作时间和岗行使访问控制。
4.2访问控制策略的实现
访问控制策略主要从登录者的身份认证、对其访问控制和操作权限的控制这三个方面来管理。
4.2.1身份认证
根据系统用户的职责和权限采取包括用户名和密码在内的身份认证、动态口令认证、USB令牌等其他识别认证。
4.2.2入网访问控制
分为用户名识别验证、用户口令识别验证、用户账户默认权限检查。其中的默认权限检查要依据时间、空间的约束规则通过网络对用户登录地址和时间做到可控,以防止冒用和滥用角色权限。
4.2.3操作权限控制
操作权限控制是针对网络非法操作的一种保护方式。医院信息部门管理员依据信息系统用户的职责,遵循用户使用时间和空间的要求,完成对用户和用户组赋予访问网络服务器中的目录和子目录、文件及内容的权限。 5终端主机安全防护策略分析
1)利用系统用户设置来实现基本安全认证:如操作系统和数据库系统中的身份认证等,并根据最小权限的原则对用户权限进行合理分解,做好更改系统默认用户和密码,删除Guest等不必要的用户和屏蔽敏感和不需用的端口等。
2)对一些重要文件设置属性为只读,加强主客体访问控制管理,在各用户和客体文件间构建访问权限映射集,并在主机端安装监控软件实现对系统资源的访问监控和审计。包括客户端信息收集、后台服务进程和系统进程检测、注册表关键键值检测、系统补丁和防毒软件检测与修复、CPU占用率和内存使用情况、开放和连接远端地址的端口检测以及各类的入侵攻击,同时,做好日志备份。
3)对于操作系统仅安装需要组件部分和必须的应用程序,安装防恶意代码软件并及时更新代码库,尤其注意防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。
4)定期对主机漏洞扫描,如发现主机有异常,可参照以下流程处理。(以主机存在系统漏洞举例)
首先,向问题客户端机器发出警告,再根据信息提示从医院病毒库服务器更新版本和修复漏洞。最后,安全检查合格后,将该主机接入网络。
6网络主动防御策略分析
把设备与安全策略服务器联动,保证网络通信数据合法有效。做好网络流量情况的监控,如通过安装IDS(入侵检测系统)设备来对异常流量发出包括源和目的IP的预警等。首先将IDS与安全策略服务器联动,由IDS监控网络流量,并且把受到攻击的类型、源和目的IP地址等基本信息传输到安全策略服务器,再由该服务器对安全事件进行分析后通过对攻击者定位再由安全策略服务器下发解决策略结果从而达到从根源上解决网络攻击的目的。
7容灾备份策略分析
7.1基于主机层的容灾
通过备份软件的模拟在主、从服务器中分别安装软件,实现数据备份。此方式管理成本和后期成本较大。
7.2基于存储层的容灾
通过预先配置好主、从磁盘阵列,一旦主磁盘阵列发生故障,由医院网络管理员手工实现由备份磁盘阵列到主磁盘阵列的快速切换,待主磁盘阵列修复后再切换回去。此方式的过程为主从关系临时置换,无法做到数据自动交互,因此,在较大程度上影响了数据库读写。
7.3基于网络层的容灾
通过在信息系统服务器和磁盘阵列存储设备间增加虚拟控制器,当系统数据流到达虚拟化控制器时,控制器同步将数据复制,分別存放于两台磁盘阵列中,从而实现数据的实时同步。特点体现为:故障零时间恢复;实现故障自动切换;可兼容不同类型(iSCSI/FC)和第三方存储设备;实现镜像后的读数据性能为最高磁盘阵列性能,无需安装第三方软件,不对主机及存储设备增加负担和产生性能上的损耗;从未来医疗业务的扩展等长远目标看,更适合统一管理,对医院数据信息整合存储(兼容HIS,PACS,LIS,OA,WEB),保证了医院信息系统各种业务的不中断。
关键词:医院信息系统;安全策略;信息安全管理
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)17-0012-02
医院信息系统,即HIS已被国际学术界公认为医疗信息学的一部分。我国从20世纪80年代初期开始研制开发自己的医院信息管理系统,主要分三个部分:①以管理为对象的医院管理信息系统((Hospital manager Information System,HMIS);②以病人为核心的临床信息系统(Clinical Information System,CIS);③医院分析决策支持系统(OLPA)及办公自动化系统(OA)。
该系统涉及计算机和网络通讯、管理學和信息学等多门学科,有较大规划和建设难度,在保证数据安全稳定的前提下还要保证通讯畅通和快速,且要求操作人员具备一定计算机水平和信息安全基础理论知识。
标准化信息安全管理主要表现在安全技术和安全标准两方面。信息安全标准是对国际上的CC系列标准、ISO27000系列标准以及国内等级保护和风险评估等标准作出研究。但由于客观因素的影响,这些标准在具体实施时候都发现存在着一定局限性。而在医院信息管理中,系统安全和网络安全将始终贯穿于整个系统周期,因此,在现代医院信息系统中体系化的安全策略就显得尤其重要。本文从以下7个方面对医院信息系统的安全设计和实施开展讨论:
1医院信息系统安全需求分析
1.1医院信息系统的识别
对系统中各类信息资产,包括主机系统、系统和应用软件、物理环境、业务数据、辅助设施等进行资产识别和描述。
表1为基于表现形式的信息资产分类方法之一。
1.2对用户身份的认证和访问的控制需求
根据用户的角色级别、类型及其重要性判断是否需要身份认证,并通过设定来监管用户有权限访问系统的时间和空间,并且必须在限定的设备、网络接口来使用。同时,根据分布式环境特点,按权限最小化分配和权限分离原则做好动态授权。
1.3信息资产的安全需求
在硬件方面,要确保信息资产处在安全和环境适宜的物理环境中,提供设备的不间断供电,做好关键设备的合理冗余;软件方面,保证系统应用软件安全可靠性,以及后台服务程序、系统进程、注册表关键值等的安全性。
1.4网络通信的安全需求
系统管理员要及时发现并隔离异常的网络行为,对网络数据流做好实时监控,定时查看安全日志;及时有效地处理网络故障,通过降低网络风险确保数据通信的稳定与安全。
2物理安全策略分析
2.1做好中心机房安全维护
依照规范要求加强对机房温度和湿度的控制;加强门禁制度管理;在备好大功率UPS的基础上采用多路供电保证供电稳定和连续;做好避雷和抗磁干扰措施。
2.2做好服务器安全维护
在医院信息系统的运行中,服务器作为系统核心设备起着主导作用。因此,除了配备7×24不间断工作电源外还要设置好冗余,采取多机容错和热备份等方案。
2.3工作站安全维护
工作站作为医院信息系统的一个独立模块,分布较多,本身不保存数据。因此要最大程度地做好工作站电脑的散热、防尘、防潮等措施。严格做好光驱和USB接口的屏蔽,装好网管软件客户端。
2.4硬件接口设备管理维护
把交换机、路由器、集线器等网络设备都需放在专用的机柜中,并锁好,同时建立完善的设备管理制度,并对外来笔记本等移动PC和接入网络终端的端口做好流水登记。
3身份认证策略
1)利用工作站的IP和MAC地址、VLAN以及所接入交换机的物理接口做绑定,结合用户名和口令登录进行身份验证,保证登录合法性。
2)安装安全管理软件和网络管理软件,通过网络安全管理软件客户端验证信息到医院安全服务器来判断是否为系统合法主机;检查系统补丁的安装和病毒库升级;禁止有未经允许的自启动程序等。通过上述几个手段,就能够基本保证非法用户和外来主机纵然有登录账号和IP地址,或者做了MAC修改也不能登陆医院信息系统,杜绝外来主机非法接入。
4访问控制与授权策略分析
面对当前信息系统分布式和复杂化的发展趋势,传统基于角色的访问控制策略和静态授权模式已不能适应,如何设计基于时间和空间对访问行为合法性的控制策略就显得重要。
4.1时间和空间因素
职工上岗医院信息管理员要为其分配身份和权限,如该用户离职,要及时取消其用户口令和密码及其他相关权限。还应针对用户登录时的工作时间和岗行使访问控制。
4.2访问控制策略的实现
访问控制策略主要从登录者的身份认证、对其访问控制和操作权限的控制这三个方面来管理。
4.2.1身份认证
根据系统用户的职责和权限采取包括用户名和密码在内的身份认证、动态口令认证、USB令牌等其他识别认证。
4.2.2入网访问控制
分为用户名识别验证、用户口令识别验证、用户账户默认权限检查。其中的默认权限检查要依据时间、空间的约束规则通过网络对用户登录地址和时间做到可控,以防止冒用和滥用角色权限。
4.2.3操作权限控制
操作权限控制是针对网络非法操作的一种保护方式。医院信息部门管理员依据信息系统用户的职责,遵循用户使用时间和空间的要求,完成对用户和用户组赋予访问网络服务器中的目录和子目录、文件及内容的权限。 5终端主机安全防护策略分析
1)利用系统用户设置来实现基本安全认证:如操作系统和数据库系统中的身份认证等,并根据最小权限的原则对用户权限进行合理分解,做好更改系统默认用户和密码,删除Guest等不必要的用户和屏蔽敏感和不需用的端口等。
2)对一些重要文件设置属性为只读,加强主客体访问控制管理,在各用户和客体文件间构建访问权限映射集,并在主机端安装监控软件实现对系统资源的访问监控和审计。包括客户端信息收集、后台服务进程和系统进程检测、注册表关键键值检测、系统补丁和防毒软件检测与修复、CPU占用率和内存使用情况、开放和连接远端地址的端口检测以及各类的入侵攻击,同时,做好日志备份。
3)对于操作系统仅安装需要组件部分和必须的应用程序,安装防恶意代码软件并及时更新代码库,尤其注意防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。
4)定期对主机漏洞扫描,如发现主机有异常,可参照以下流程处理。(以主机存在系统漏洞举例)
首先,向问题客户端机器发出警告,再根据信息提示从医院病毒库服务器更新版本和修复漏洞。最后,安全检查合格后,将该主机接入网络。
6网络主动防御策略分析
把设备与安全策略服务器联动,保证网络通信数据合法有效。做好网络流量情况的监控,如通过安装IDS(入侵检测系统)设备来对异常流量发出包括源和目的IP的预警等。首先将IDS与安全策略服务器联动,由IDS监控网络流量,并且把受到攻击的类型、源和目的IP地址等基本信息传输到安全策略服务器,再由该服务器对安全事件进行分析后通过对攻击者定位再由安全策略服务器下发解决策略结果从而达到从根源上解决网络攻击的目的。
7容灾备份策略分析
7.1基于主机层的容灾
通过备份软件的模拟在主、从服务器中分别安装软件,实现数据备份。此方式管理成本和后期成本较大。
7.2基于存储层的容灾
通过预先配置好主、从磁盘阵列,一旦主磁盘阵列发生故障,由医院网络管理员手工实现由备份磁盘阵列到主磁盘阵列的快速切换,待主磁盘阵列修复后再切换回去。此方式的过程为主从关系临时置换,无法做到数据自动交互,因此,在较大程度上影响了数据库读写。
7.3基于网络层的容灾
通过在信息系统服务器和磁盘阵列存储设备间增加虚拟控制器,当系统数据流到达虚拟化控制器时,控制器同步将数据复制,分別存放于两台磁盘阵列中,从而实现数据的实时同步。特点体现为:故障零时间恢复;实现故障自动切换;可兼容不同类型(iSCSI/FC)和第三方存储设备;实现镜像后的读数据性能为最高磁盘阵列性能,无需安装第三方软件,不对主机及存储设备增加负担和产生性能上的损耗;从未来医疗业务的扩展等长远目标看,更适合统一管理,对医院数据信息整合存储(兼容HIS,PACS,LIS,OA,WEB),保证了医院信息系统各种业务的不中断。