【医疗信息化】基于医院信息系统下的医疗数据隐私安全分析及防护策略

基于医院信息系统下的医疗数据隐私安全分析及防护策略
欧汝鹏①
①湛江中心人民医院
摘要：本文结合医院信息系统建设的重要意义，在分析医院信息系统下医疗数据隐私安全危险因素的基础上，从安装漏洞扫描系统、建立完善的访问控制机制、安装入侵检测系统（IDS）及数据备份等方面探讨了医院信息系统下医疗数据隐私安全的防护策略。

关键词：医院信息系统；医疗数据；隐私安全；防护
在当今以信息为主导的知识经济时代，信息化建设成为社会各机构组织发展的战略重点。

医院信息系统（HIS）是利用网络通信技术、计算机软硬件技术等信息技术手段，对医疗业务中所产生的各种数据进行采集、储存、处理和加工，进而为医院的整体运行提供各种数据支持及服务的信息系统，是现代化医院建设和发展中不可缺少的重要组成部分。

然而近年来，尽管HIS采用新技术、新安全设备大大提高了系统内数据的安全性，但其在应用领域所存在的安全漏洞同时也是导致医疗数据隐私安全受到威胁以及造成各种信息安全事故、医疗事故频发的重要危险因素。

因此，分析HIS下的医疗数据隐私安全风险因素，并探讨防护策略，保证医疗信息数据的安全有效成为医院管理工作的重点。

一、医院信息系统下的医疗数据隐私安全危险因素分析
随着医疗改革的不断深入以及医院业务范围的不断扩大，现代化的医院对HIS的依赖性越来越高。

与此同时，HIS是由多种设备、设施及网络构成的，其所面临的安全问题越来越复杂，HIS下的医疗数据隐私安全危险因素也越来越多，突出表现在以下几个方面：
1、病毒、木马攻击
计算机病毒、木马具有传染性、隐蔽性、触发性、寄生性及破坏性等特点，是信息系统中最常见、威胁性最大的安全隐患。

信息系统在受其攻击后，易导致计算机及网络系统发生故障和瘫痪，最终造成医疗数据的泄露或破坏。

现今，虽大部分HIS为业务主机安装了杀毒软件，但因主机数较多及维护量大等因素的制约，无法从根本解决医院信息安全的威胁。

2、缺乏有效的访问控制机制
因医疗行业特殊性，存储在HIS上的医疗信息数据需要不同级别的保护措施以及有效的防伪控制机制，才能保证医疗数据隐私安全。

然而目前，部分HIS虽将其分为多个模块的子系统，但各模块间的访问控制手段比较低级，很容易被非法入侵者破坏。

同时，部分HIS 为防止内部网络被外来人员随意接入，在接入层交换机设置了IP、MAC地址与端口的绑定操作。

但此安全防御策略仍存在地址绑定工作量大、操作繁杂及防御级别低等弊端，最终导致地址绑定无效，系统数据安全受到威胁。

3、缺乏安全的认证手段
目前，HIS应用最多的登录、访问等认证方式主要以“账号 + 密码”为主，这种认证
手段的安全系数较低，一旦密码被盗用，入侵者就可以轻而易举地进入银行的业务系统。

同时，由于建设年代、应用范围及投资水平的不同，医疗行业内各类信息系统对身份认证、权限控制和行为监管等信息安全认证技术的应用水平存在着较大差异，很多信息系统在数据交换过程中也缺乏有效的技术手段来保障数据传输的可靠性、保密性、防篡改性和不可否认性等。

4、人为误操作及意外损毁
虽然HIS网络了设置了较多的保护屏障，但一些人为误操作如误删除等及意外灾害所导致的数据损毁现象仍客观存在。

目前，大部分HIS选用了诸如U盘、光盘、移动硬盘等移动存储设备，实现离线存储/备份，但这些设备都不是专业的存储/备份设备，病毒等因素均可导致数据丢失、损毁，且对软件系统进行修复的难度很高，从而加大了系统内数据的安全威胁。

二、医院信息系统下的医疗数据隐私安全防护策略探讨
HIS的医疗数据信息主要以患者的病历、处方、医嘱以及医院业务管理信息为主，而保证这些信息数据的隐私安全、保证各类数据的完整性、保密性、可用性及可审计性是HIS 建设的重点。

针对HIS下的医疗数据隐私安全危险因素，其安全防护策略主要从以下几个方面入手：
1、安装漏洞扫描系统
基于HIS是一个复杂的多层结构系统的考虑，系统漏洞扫描是安全防护体系的重要组成部分，它能够对系统设置进行攻击测试，进而全面检测系统的安全脆弱性，以帮助系统管理员在受到病毒、木马攻击之前，找出网络中存在的漏洞，并予以完善，从而保证系统内信息数据的安全性。

以主机存在的系统漏洞为例，HIS可安装如下程序的漏洞扫描系统：
即通过上述漏洞扫描扫描系统，首先，根据系统中的违规主机向用户发出警告；然后，用户通过警告信息的提示，自主更新杀毒软件版本或从医院病毒库服务器下载补丁进行漏洞修复；最后，待主机安全检查后，将其接入网络使用。

通过这样该终端主机的安全防护措施，可保证入网用户端点的安全性，防止因入网主机自身的安全漏洞而对HIS造成安全威胁。

2、建立完善的访问控制机制
针对HIS的特征分析，该系统的访问控制机制主要包括身份认证、入网访问控制和操作权限控制三个层面来实现。

其中：
○1身份认证：即针对HIS中的各个用户，根据其所属的岗位职责及权限等，采用合理、有效的身份认证技术，包括动态口令、用户名/密码方式、智能卡认证、USBKey认证、生物识别技术等，通过这些身份认证技术，逐渐增强身份认证的安全性等级。

○2入网访问控制：在传统“用户名十口令”的入网防伪控制方式的基础上，将用户名工作站主机IP地址、VLAN，MAC地址以及所接入交换机的IP、物理接口等信息进行绑定，使得对用户接入网络的限制进一步增强。

同时，基于信息绑定工作量大的考虑，可由HIS 安全管理部门的网管人员进行统一配置，然后下发给接入层交换机，从而促进对用户身份认证力度的提高。

另外，需安装网络管理软件及安全管理软件来对主机的合规性进行判断，通过这些软件对主机信息的自动收集，并上报HIS安全服务器来对合法主机进行识别，从而彻底拒绝外来主机的非法接入。

○3操作权限控制：操作权限控制是针对网络非法操作而实施的防护措施，即由HIS管理员通过对用户操作权限的设置，规定用户可以对系统中的哪些服务器和计算机进行访问，并具体到有权访问哪些目录、子目录、文件等信息资源。

同时，操作权限的设置需要依据信息系统用户的自身职责、业务操作时间、空间来针对性的开展，进而呈现出一种动态性的操作权限控制。

3、安装入侵检测系统（IDS）
系统安全管理中，网络安全事件的处理仅依靠IP地址是不够的，需将IDS与安全策略服务器联动，使HIS成为具备自动防御网络攻击、自动修复攻击后果的自主防御体系。

针对HIS，实现IDS与安全策略服务器联动的思路主要如下即首先，由IDS对网络流量进行监控，并将相关信息包括数据类型、数据源、目的IP地址等提交给安全策略服务器；然后，安全策略服务器对其进行综合分析，同时定位攻击者和被攻击者；最后，由安全策略服务器下发解决策略，对安全事件进行处理，从而防范网络攻击。

其示意图如下：
4、数据备份
针对HIS的数据备份，可采用RMAN 克隆 ORACLE 数据库技术，不仅可以实现对HIS 数据库的备份机恢复，同时能够实现双机负载均衡、同时工作，以提高HIS的运行效率。

克隆数据库，即通过RMAN命令实现对 ORACLE 数据库的复制工作，其能够在对目标数据库进行保留的基础上，建立副本数据库，且副本数据库内的数据与目标数据库内的数据完全一致，从而实现HIS内的数据备份。

三、总结
信息技术的发展正在改变着各行各业的形态。

通过对医院信息系统的建设，实现对医疗信息数据的高效管理，可有效提高系统的安全性，并降低医疗信息事故，进而促进医疗事业更好的发展。

参考文献：
[1] 燕磊. 基层医院信息系统的数据库设计及优化[J]. 电子制作. 2014(03)
[2] 王阿龙. 医院信息化视角下网络安全问题及应对之策分析[J]. 科技传播. 2014(01)
[3] 丁亚军. 三级医院信息系统基础软硬件设备规划与配置[J]. 河南科技. 2014(02)
[4] 何强. 应对关于医院信息系统数据安全问题的措施[J]. 计算机光盘软件与应用. 2013(03)
[5] 刘传高. 医院信息系统的数据备份[J]. 中国当代医药. 2013(28)。