浅谈医院网络信息管理系统安全性

孙砚立

（天津长征医院，天津 300120）

浅谈医院网络信息管理系统安全性

孙砚立

（天津长征医院，天津 300120）

经过多年的不懈努力，全国各级医院都建立起了大大小小的各种医院信息管理系统（HIS）。无论是两层架构，还是有中间件的三层架构。无论是传统的客户端型，还是基于浏览器的BS型。硬件方面无论是采用小型机还是各种服务器。各种运行模式都已日臻完善。医院信息系统对医院的日常工作起着不可获缺的安全保障作用，犹如我们人类对空气的依赖。平常虽可“视而不见”，一旦医院信息网络的某一环节出错，哪怕是短暂的数十分钟的停断，都会造成患者的情绪急躁不稳，医生及财会收费人员的无所适从。将直接影响医院的正常医疗秩序。医院多年的HIS系统运行数据是广大医护技人员辛劳、智慧的结晶，是多年知识经验的积累。通过对HIS运行多年数据的挖掘、再提取，可从多个角度提供给医院领导做决策参考。HIS系统已深深融入了医院管理里的各个环节之中，医院信息系统的安全运行也成医院正常运转的必要保证了。下面，本人结合自己的工作，从几个方面探讨一下如何加强HIS系统安全性的。

Windows Server200x系列的操作系统以其良好的易操作界面，取代了较早的UNIX系统，成为了市场上的成熟网络服务器运行平台，基本上是各家医院的网络信息管理系统的首选基础平台。在早期，大多数医院的信息管理系统的起始规划是由HIS厂家制定的，而HIS厂家所关心的大多是其数据库软件能否高效顺利的运行。而服务器操作系统的安全配置是一项较复杂的网络技术，权限的配置过严，很多软件不能正常运行，影响正常的医疗工作。配置过松，又会造成游戏泛滥、乱插U盘、易被非法入侵的混乱局面。以上这些恰恰又是多数HIS厂家所忽略的，笔者曾经历过早期的Windows Server主域或备份域服务器只运行数据库软件，却疏忽了用户登录、活动目录安全、权限分配等这些其本而重要的工作。这也不符合微软所推荐的由独立域服务器来运行数据库软件这一原则的。在有数百个客户端的医院信息管理系统中，不设域主控服务器、组策略的其中也不鲜见。

随着医院信息化管理的不断发展，信息化安全越来越被提到意识日程里了，也逐步受到各级领导的重视了。加强医院信息化管理首先也是医院的形象的问题，如南京市儿童医院患儿死亡事件中，就有医生玩电脑游戏的争论。试想一下，若患者携有病之躯来医院就诊，医院电脑屏幕上到处是小游戏，这怎么体现对患者的尊重，这从侧面也体现出一个医院的管理水平。其次，医院重要数据的敏感性，如患者个人隐私（如病历、影像图片）等，医院也是有义务保密的。

首先是整个操作系统的安全，包括服务器操作系统和客户端操作系统。微软从Win2000开始推出了其实现安全技术的关键组件组策略，熟悉Win95/98/NT的用户对其庞大复杂的注册表功能还记忆犹新，Windows系统的注册表实际上是一个庞大的二进制数据库，其包含了大量的计算机硬软件信息和数据，若用户手工配置每台计算机的注册表，将是一个十分困难与烦杂的工作。组策略技术因此应运而生，它可帮助医院信息管理人员以成组的方式对计算机系统进行配置，有效地控制客户端用户对桌面设置和应用程序的访问，也可禁止用户对客户端电脑的修改，如IP地址等。极大减轻了管理员在客户端维护方面的日常事务工作。若医院从专业角度或尽快容易上手方面来讲，也可采用桌面管理监控软件（如威盾，莱恩塞克等），这些软件可有效地记录电子文档的拷贝、及打印，做到事后有据可查。计算机客户端硬件数量也可有效地管理，防止硬件设备私下挪用、窃取，造成财产损失。可对客户端屏幕进行监控录像，了解职工的实际工作情况，提高工作效率。

数据库系统是医院信息管理系统的核心基础部分，此部分安全设置与管理维护也可以说是整个系统的重中之重。首先是数据库口令密码的设置问题，笔者发现许多医院数据库密码都有问题。以SQLServer为例，首先系统管理员SA是一特殊的作为内置管理员的登陆用户，在默认情况下，它应指派给数据库固定服务器角色sysadmin，不可以更改角色，系统可根据需要增加账户，加入固定服务器角色sysadmin，以供在特殊情况下、或其他系统管理员忘记口令密码时使用。但是，在大多数情况下，SA却作为了HIS应用程序访问数据库的普通用户来使用了，（参见下面的INI文件）。其次数据库的口令密码HIS应用程序是要读取的，供应用程序访问数据库使用。以Powerbuilder为例，开发程序要用到其INI文件，INI文件要置于应用程序目录下。具体如下：

这里面LogPass 是明码，即为数据库的口令密码，源代码通过如下语句来提取的，

很显然，只有通过加密、解密这两个自己开发的函数才能使INI文件不致于泄露数据库口令密码。这种函数一般由HIS开发商来做，在笔者所在城市，在医疗市场覆盖率达70%的一HIS厂家的数据库系统几乎全为一个固定的手机号码，这是一明显安全漏洞。建议医院信息部门自己或请第三方以HIS厂商规定的格式写解加密函数，以动态连接库的方式提供给HIS厂家，从基础加强医院管理系统的安全。

医院应加强自己内部信息人员的培训与管理，计算机技术可能是所有技术领域中发展最为迅猛、日益更新的一种技术，其创新让人迎接不暇。条件许可的情况下，医院信息人员应多参加一些外面公司的培训与讲座，以了解国内外医院信息管理系统最新发展动态，以适应不断发展的医疗新形势。关于人员的管理问题，His系统开发人员不应常驻医院，前期工程实施期间，HIS厂家技术服务人员应严格遵守医院的规章制度。各部门即使有开发需求一定要通过医院信息主管部门，留档以备将来维护升级使用。无论是院方还是HIS方的人员，做数据修改或系统升级，一定要小心，要在备份库上反复测试。如前几年某国内大机场的软件维护人员修改配置文件失误，造成几个小时的系统宕机，给机场造成声誉和金钱方面的重大损失。再有医院信息人员的素质问题，医院是事业单位，大家考外语、拼职称这无可厚非。但我们所使用的毕竟是微软、思科的东西，这些公司的培训和认证也应受到重视，毕竟这些在工作中是非常实用的。以微软的SQL SERVER数据库为例，一位微软推广专家曾讲过：衡量一个数据库管理员（DBA）专业水平的高低其中之一是看他了解SQL Server的系统对象和 DBCC 指令符的多少。当然这有失偏颇，但反过来确实医院的信息人员又掌握多少呢。医院的信息系统简单的来讲，犹如一部汽车，平时应作到按时保养维护，用起来才不至于半路抛锚。医院的数据库系统也是如此，经过长时间的运转，维护人员也需要为其检查健康，了解其运行效能如何。最简单的是通过性能监视器，比较直观，犹如医生手中的听诊器。如笔者曾见过配置为16个CPU 和8G内存的服务器，经过数月的运行，随着数据库渐渐增大，在高峰期，客户端反应巨慢，提示服务器内存不足，HIS系统面临瘫痪。通过性能监视器发现CPU远未达到峰值，而内存峰值始终始终徘徊在2G多一点。经咨询HIS厂家才知，原是64位服务器误装32位操作系统所致，更换64位Windows Server系统后，整个系统运行畅快如初。

SQL Server数据库维护的一重要利器就是DBCC（Database Console Command）工具程序，它能完成T-SQL语句所不能执行的工作。首先对数据库、索引等的维护工作，如 DBCC shrinkdatabase 的作用为收缩指定数据库中的数据文件大小，DBCC dbreindex功能为重建索引等。其次对数据库现有状态的检查与修复，如DBCC checkdb等。再有可收集与显示数据库的各类信息如：DBCC showcontig show_statistic等用于显示指定的表的数据和索引的碎片信息等供数据库维护人员判断系统运行的状态。

服务器与数据库的备份。9.11中，美国世贸大厦遭恐怖分子撞击轰然倒塌，化为一片瓦砾。众多商业公司资料荡然无存，损失惨重。然而却有一家公司做了数据的异地备份工作，公司重要信息如财会资料、客户信息等通过光纤电缆实时备份到了异地服务器里了，灾难后没有像别的公司一样陷入瘫痪的境地。业务因此很快得以恢复。按我们国内医院的物质条件来讲，实在不行，可通过网络交替向别的房间进行数据库的完整备份和增量备份，增量备份可为1或2小时，这样尽量缩小因软硬件灾难事故后的损失。若无备份服务器，每星期可以刻录光盘对数据进行异地保存。

服务器硬件的容错技术。医院的工作流程与其他单位如科研设计、银行、高速公路收费等不同。是一个连续不断，前后关联的流程。如患者必须先挂号，然后经医生确诊后才能取药治疗等。环环相扣，缺一不可。不像科研设计单位，每人一台电脑工作站，安装有二维、三维的图形设计及有限元结构分析等软件，由工程师独立使用。也不像高速公路收费站，一旦站内的服务器损坏后，换上相同软件配置的服务器后，收费站可立刻恢复运行。而医院则不同，要求7×24小时不间断业务流程，只要网络服务器损坏后，尽管重新换上相同配置的服务器，无论如何，医疗业务流程是无法衔接的。如前一台服务器中交费而未取药的患者，在新服务器中因没有任何医疗业务信息，而不能接续前面的流程，将给医院造成极大的医疗秩序混乱。因此，医院信息管理的另一重要工作是服务器硬件容错。容错简单的来讲就是通过增加的硬件冗余来提高整个系统的可靠性，较新型的服务器中都是利用双通道方式实现双内存双CPU配置来提高单服务器可靠性的，不过，要进一步提高硬件系统得可靠性，就要采取双机容错或更高级的集群服务器容错方式了。北京豪威公司的DataWare NT Cluster for NT软件是一款Windows平台下的双机容错管理软件，在主服务器发生故障后，其可自动将任务切换到另一台处于备份工作状态的服务器上。笔者所在医院就经历过这样的事例，下午2点多，网络突然经历了2、3 min的中断，备份服务器已自动接管了硬件发生故障的主服务器的所有工作的，整个医院依然工作依旧，秩序井然。机房工作人员倒是事后惊出了一身冷汗，可见，服务器容错技术是保证医院医疗业务工作不停顿的一项关键技术。

数据库数据的迁移与数据删除。随着时间的不断推移，数据的日积月累，数据库的容量肯定是越来越大。这样就带来一系列的问题，高峰时间，挂号、收费反应较慢，随着全民医保工作的展开，医保患者逐步增多，医保患者的费用分割是要与社保中心数据服务器交互进行的，这样也会影响医保数据的上传、下载的速度。这样的话，患者就医流程就可能不流畅，势必将要医院的医疗秩序。若再算上财务及有关部门要查询历史数据的话，那么数据库的迁移与数据删减就不可避免。首先是备份库的建立，可选一线淘汰下来服务器安装数据库，可将在前文中提到的备份好的xxx.Bak文件用任务计划自动执行批处理命令拷入备份服务器内，然后再通过数据库软件SQL Server代理的计划作业方式自动执行数据库恢复工作。这样，周而复使，备份服务器的数据与正式库只相差2、3 h，也就是增量备份的间隔时间。可充分满足其他科室的大数据量查询和信息中心自己的数据测试使用。一般情况下，医院都是以年度存档保存数据的，考虑一定时间重叠度用delete加where条件限制语句删除一些数据表。与中心数据库有关的硬软维护应尽量安排在夜间患者较少的时区内进行，做好周密严谨的操作步骤，考虑到一切可能发生的意外情况，要求有备机、备件、数据库备份。一旦发生故障，可迅速返回原正常状态。

现今的医疗工作中，很多是离不开互联网的，如资料查询、流行病上报等。虽然威盾等桌面管理软件的特长也在对外网的防范和管理上，如其可很好地防范通过MSN、QQ、邮件、FTP等互联网方式泄密，但是我们还是建议内外网物理分开的。这是因为流行最广的微软Windows系统是一个非常庞大软件系统，虽然微软官方不断发布补丁程序，WindowsServer2003也自带了可在服务器和客户端上运行的防火墙功能，能防御内外网的攻击。但是要保证其没有漏洞是几乎不可能的。一旦接入外网（Internet），这些漏洞往往可能给不法黑客用户提供可乘之机，也可能使在互联网上流行的病毒在局域网内泛滥，给医院信息系统造成安全隐患。软硬件技术结合的第三方专业防护墙虽然安全性能较高，抗攻击能力较强，但需要的设备多、造价高，不是一般医院所能承受的。

医院中的网络设备，如各楼层设备间位置（包括内交换机，光纤设施等），信息中心人员必须非常清楚。系统内的所有设备，即使最前面的客户端电脑设备，一般人也不要轻易更换，应有信息中心的人员现场指导。这并不是小题大做，笔者几年前曾经历这样一件事故，医政人员早晨调配门诊医生，将医生工作站电脑搬走，而将与电脑相连的较长网线一端连在墙上的面板上，一端丢弃于地上。不幸的事随后发生了，后来上班的医生却将地上的网线随手又插进了墙上另外的端口里，形成了网络短路。8：30左右，灾难就这样发生了。中心机房的电话铃声骤起，用户根本无法登录，服务器相应速度奇慢，性能监视器网络流量已达峰值。一直2、3个小时，数千患者不能挂号、看病、交费，拥挤在楼道和大厅里，一片混乱。机房人员根本无从下手，开始只是怀疑计算机病毒发作，后来切断所有的网络，再层层开启，用逐步排除法才找到了事故的关键所在。千里之堤，溃于蚁穴。网络的安全性要从小事，从基础做起。各楼层的网络设备间及里面的设备、线路连接，机房人员应谙熟于胸，一旦有事，不要慌张，要从容应对。

机房的建设也是不容忽视的，首先应选则有机房装修资质的正规公司进行装修。做好基本的防尘、防静电、防水、防火、防雷击措施。供电方式应有市电、UPS供电两种电源，有条件的医院应备有柴油发电机组，以备应急之需。关于UPS的使用问题，UPS设备尽量不要与机房设备放在一起，因UPS设备中含有多组电池组，有燃爆的危险性。应另设避免阳光直射的房间放置。UPS所带电池组的总功率计算时应考虑出冗余，以防止其中的一组出现故障。还有要注意UPS设备的定期保养，如电池组进过3至6个月时间的使用后，应充、放电一次。另外中心机房的门禁体统与电视监控系统也是也是加强安全防范的重要手段。

医院信息计算机管理系统（HIS）以病人为中心,以医院信息综合管理智能化科学化为目的。该系统的建立，将大大提高医院现有的管理水平。系统长期平稳安全地运行，更是医院为实现国家提出的人人享有基本卫生医疗服务做出的基础关键保证。本人水平有限，所涉略的知识比较比较肤浅，算做是抛砖引玉，与广大同行互相探讨，以便在以后的工作中互相促进、相互提高。

（本文编辑：纪云霞）

R-1

A

10.3969/j.issn.1674-070X.2010.10.026.059.03

2010－09－30

孙砚立（1966－）男，天津人，本科，研究方向：现从事医院信息数据库编程及维护。