《医院信息安全建设的研究与应用》由会员分享,可在线阅读,更多相关《医院信息安全建设的研究与应用(8页珍藏版)》请在金锄头文库上搜索。
1、 1426医院信息安全建设的研究与应用 医院信息安全建设的研究与应用 赵景越 蔡连忠 夏军 天津微软技术中心 天津津微首佳软件技术有限公司,300384,天津华苑产业区海泰绿色产业基地 G 座 10 层 关键词关键词 医院信息化 纵深安全防御体系 摘 要摘 要 随着医院信息化程度的深入,医院信息系统安全的重要性日益增加。以往的信息化建设存在全面性欠缺、集成性差、业务关联性差、易用性差及成本高昂等方面的问题。本文根据先进性和实用性原则,分别考虑各个层次的安全问题需求,结合最新技术,采用统一管理方式,实现多层次的集成和协作,构建完成全面高效易用的安全解决方案。 1 医院信息安全现状 1 医院信息安
2、全现状 近年来,我国医院信息化建设取得了明显的进步,在提高医疗服务质量与效率、改善就医环境、配合医疗保障制度实施、促进医院科学管理方面发挥了积极而重要的作用。 随着医院信息系统应用范围的不断推广扩大,信息网络覆盖医院的每个部门,渗透到病人来院就诊的各个环节,建设高安全、高可靠、高性能的数字化医院信息化网络已显得迫在眉睫。 我国的医院信息化建设起步较晚,安全建设尚处于初级阶段,医院信息化投入少,IT 部门地位不高,尤其是中小医院在 IT 软硬件环境的建设力度上普遍薄弱。而在信息安全的认识、投入上更是淡漠,重投入轻防护,信息系统安全问题频频告急,已严重影响到医院的正常运行。 医院信息系统安全涉及网
3、络安全、服务器安全、存储设备安全、操作系统安全、备份方案可靠性、群集技术可靠性、供电安全、计算机工作环境、计算机病毒问题、防止非法访问、系统管理等内容。 14272 纵深安全防御体系的建设 2 纵深安全防御体系的建设 为确保医院信息系统的安全、可靠、稳定运行,我们充分研究了国家的相应法律、法规和指导性文件,并结合以往在电子政务、医疗卫生信息系统、以及其他行业信息化建设中涉及的各个安全薄弱环节进行了安全性设计, 形成了如下图所示的系统安全统一架构;力争从信息安全的各个层面为信息系统提供全方位、多层面的“立体化的”安全保障体系。整个安全架构体系涉及指导思想、各层面的技术保障、人员管理等诸多方面,是
4、一个“立体”的、 “多维度”的概念。 图 1 安全防御体系 2.1 安全指导思想2.1 安全指导思想 安全系统的建设以国家政策、法律、法规为设计的指导性思想和标准,包括: 中共中央关于加强新时期保密工作的决定 、 计算机信息系统保密管理暂行规定 、 涉密计算机信息系统安全保密管理规范 、卫生部医院信息系统基本功能规范 在整个信息安全系统设计之初, 就根据系统中涉及信息的安全程度进行信息(数据)安全分类工作,遵循“有限安全”原则,针对不同的信息、数据按密级进行划分,并采取与之相对应的安全措施,真正做到“知彼知己” ,实现整体系统安全与资金投入的最佳平衡。 14282.2 安全管理制度2.2 安全
5、管理制度 安全管理制度是安全保障体系中与技术实现手段相配合的重要环节,常言道信息系统安全是“三分技术、七分管理” ;完善的安全管理制度将是整个系统架构的保证,包括: ? 完善安全管理规章、制度,包括机房安全管理制度;加密设备管理制度;密钥交换流程、密钥管理制度;涉密人员的轮换制度等。 ? 实现实时防御、监控机制;加强检查、发现问题、堵塞漏洞、消除隐患。并借助于一系列的管理类工具辅助实施系统管理。 ? 制订全面的应急处理机制,并落实到各责任人;包括各种紧急情况的处理流程;各系统厂商、安全对接部门、各责任人的紧急联系方式。 ? 实施定期安全演练机制,确保各项安全措施、应急处理机制能够被正确地理解、
6、并贯彻实施。 ? 人员培训工作,主要包括:安全意识的培训;安全技能的培训等。 2.32.3 技术保障体系 技术保障体系是安全保障的重要环节,也是涉及面最广的环节 2.3.1 物理层安全 2.3.1 物理层安全 物理层安全主要是针对系统中所涉及的硬件实体的安全防护为主的安全防护体系,包括: ? 机房的安全,包括:静电安全、防雷、防火、防盗等措施; ? 主机设备的安全; ? 对于涉密设备,应采用独立、安全的管理模式; ? 数据备份介质的安全; ? 防电磁辐射、抗电磁干扰; ? 在此安全建设中,主要是依据相关的系统设计、管理行业规范来保障。 2.3.2 网络通讯层2.3.2 网络通讯层 在局域网络内
7、部, 网络通讯层采用 VLAN 技术。 VLAN 是一种将局域网(LAN)设备从逻辑上划分成一个个网段(或者说是更小的局域网 LAN) ,从而实现虚拟工作组(单元)的数据交换技术。VLAN 可以实现端口的分隔、网络的安全、灵活的管理。 医院信息系统的建设趋势是使医院员工在任何时间任何地点都能无任何障碍的访问相关信息,这就要求我们提供针对外网的访问入口,并将信息发布至互1429联网络,才能保证员工无论是在家中还是在出差途中,都能随时获取工作信息。这时候, 我们可以采用 VPN 技术。 VPN 的核心就是利用公共网络建立虚拟私有网,保证网络通讯的安全性。 而对于网络传输过程中的安全需要,采用 IP
8、 层安全标准 IPSec。IPSec 在IP 层对数据包进行高强度的安全处理,提供包括访问控制、无连接的完整性、数据源认证、抗重播保护、保密性和有限传输流保密性在内的服务。 同时采用网络访问保护 (NAP) 技术,确保计算机在整个连接期间的运转正常。NAP 提供了一种基于策略的灵活的体系结构,可防止员工、供应商和访问者有意或无意地将不符合安全策略的计算机连接到组织的网络。 2.3.3 操作系统层2.3.3 操作系统层 操作系统层的安全管理主要是采用微软活动目录服务,提供一定空间,用于存储与基于网络的实体相关的信息,例如应用程序、文件、打印机和人员。同时,该服务也提供用于命名、描述、定位、存取、
9、管理及保证独立资源信息安全性的一致性方法。 通过统一管理、 统一验证、 统一授权, 可以实现: 简化管理:消除冗余管理任务、 降低桌面系统的行程、更好的实现 IT 资源的最大化、降低总体拥有成本(TCO) 。 加强安全性:改进了密码的安全性和管理、保证桌面系统的功能性、加速电子商务的部署、紧密的控制安全性。 扩展的互操作性:通过系统开发接口,实现系统集成单点登录。 2.3.4 服务器层2.3.4 服务器层 在应用服务器层,我们采用了集群和负载均衡等技术。 2.3.4.1 集群(Cluster) 2.3.4.1 集群(Cluster) 集群是这样一种技术:它至少将两个服务器连接到一起,使多台服务
10、器能够像一台机器那样工作或者看起来好像一台机器。采用集群系统可以很好的提高系统的稳定性和网络中心的数据处理能力及服务能力。 当其中一台服务器发生故障时,它所运行的应用程序将由其他的服务器自动接管。 集群系统可解决所有的服务器硬件故障,当某一台服务器出现任何故障,运行在这台服务器上的应用就会切换到其它的服务器上; 集群系统可解决软件系统问题,其对服务器的监控是基于应用的,只要服务进程停止运行,其它的相关服务器就会接管这个应用; 集群系统可以解决人为失误造成的应用系统停止工作的情况。 2.3.4.2 NLB 网络负载均衡 2.3.4.2 NLB 网络负载均衡 网络负载均衡是由多台服务器以对称的方式
11、组成一1430个服务器集合,每台服务器都具有等价的地位,都可以单独对外提供服务而无须其他服务器的辅助。均衡负载能够平均分配客户请求到服务器列阵,籍此提供快速获取重要数据,解决大量并发访问服务问题。这种群集技术可以用最少的投资获得最高的性能。 网络负载均衡能将传入的请求传播到多达 32 台服务器上,保证即使是在负载很重的情况下,服务器也能做出快速响应;网络负载均衡对外只需提供一个IP 地址(或域名) ;当网络负载均衡中的一台或几台服务器不可用时,服务不会中断。网络负载均衡自动检测到服务器不可用时,能够迅速在剩余的服务器中重新指派客户机通讯;网络负载均衡可在普通的计算机上实现。 2.3.5 数据和
12、文件层 2.3.5 数据和文件层 在数据存储层,通过采用 RAID 技术,保证数据存储的准确性和安全性。 RAID 技术的两大特点:一是速度快、二是安全性高。RAID 技术已拥有了从 RAID 0 到 6 七种基本的 RAID 级别。另外,还有一些基本 RAID 级别的组合形式,如 RAID 10(RAID 0 与 RAID 1 的组合) ,RAID 50(RAID 0 与 RAID 5 的组合)等。不同 RAID 级别代表着不同的存储性能、数据安全性和存储成本。 2.3.5.1 数据库镜像 2.3.5.1 数据库镜像 数据库服务器则可以采用数据库镜像技术来保证系统的高安全性和可用性。 数据库
13、镜像是用于提高数据库可用性的新技术。 数据库镜像将事务日志记录直接从一台服务器传输到另一台服务器, 并且能够在出现故障时快速转移到备用服务器。数据库镜像可以在不丢失已提交数据的前提下进行快速故障转移,无须专门的硬件,并且易于配置和管理。 对于文件的权限管理则是采用 RMS 技术。使用 RMS 权限管理的文档,只用经过授权的用户可以对文档进行读取、修改、保存、打印等操作。而没有授权的用户则无法访问文件。即使是授权用户,也只能是在 AD 域的范围内使用此文档,而脱离 AD 域的环境,则不能够再继续使用此文档。 14312.3.6 应用系统层2.3.6 应用系统层 在应用系统层,我们通过 DBCF
14、平台应用系统,实现以下方面的安全特性。 2.3.6.1 地址绑定2.3.6.1 地址绑定 将网卡物理地址(MAC 地址)和 IP 地址进行绑定,可以严格限制非授权终端的访问。杜绝了随便一台笔记本电脑设定通用 IP 地址便能访问医院局域网络资源的情况。 2.3.6.2 终端授权2.3.6.2 终端授权 通过地址绑定认证的终端,还可以进行进一步的权限控制,可以设定每台终端所允许运行的软件系统,或者所禁止运行的软件系统,严格避免了通过网络获取到软件系统后便可运行的情况。 2.3.6.3 用户权限2.3.6.3 用户权限 对院内工作人员,可以根据其从事工作岗位的不同划分为不同工作组,对其角色进行授权,
15、权限粒度细化到按钮级。同时还可以对指定的单个用户进行特殊授权。 2.3.6.4 操作日志管理2.3.6.4 操作日志管理 操作日志管理实现完整的用户操作记录,包括用户的登录与注销、子系统菜单的调用、窗口的打开和关闭、窗口按钮功能的操作等,十分细致完善,可实现完整的用户操作审计功能。 2.3.6.5 错误日志管理2.3.6.5 错误日志管理 错误日志管理实现所有用户操作错误的记录,可记录所有系统可捕捉错误,并可提供详细错误信息,包括在程序中的哪个对象的哪个事件函数中的第几行,具体出现了何种错误,都可以详细记录。方便维护人员查找纠错。 完整全面的用户操作审计记录和系统错误日志管理, 方便管理人员跟
16、踪查错及安全管理。 2.3.6.6 分布式异构数据库2.3.6.6 分布式异构数据库 分布式异构数据库管理,就是将对于业务数据库,根据数据的业务相关性,可划分至不同数据库,分布在不同服务器中。分布式异构数据库处理方式的采用,不仅最大程度的实现了网络和服务器的负载均衡,提高了系统运行速度,解决了 HIS 行业历史数据过多而导致系统处理变慢的问题,同时也加强了系统的安全性和持续运行性,当某部分系统出现故障时,不会影响其他业务处理的正常使用。 2.3.6.7 动态密码技术2.3.6.7 动态密码技术 由于采用了分布式异构数据库,各业务组件可动态访问业务数据库,此时采用了动态密码技术,不需要在客户端进行任何数据库地址、1432用户、口令等相关设置。而采取特殊的措施,来登录数据库,实现真正数据库用户和口令的隐藏,且支持管理人员随时更换口令。 2.4 统一运营管理体系2.4 统一运营管理体系 尽管成熟严密的技术对于满足系统的可靠性、安全性是非常必要的,但是光凭技术是不够的,还必须具备合理的过程和优秀的人员,必须具备对安全体系架构设计和部署
