医院管理系统（HIS）网络安全问题探究

zuobiao888 · 发表于 2018-9-18 11:26:37

概述

↑

HIS系统（Hospital Information System），是“医院管理信息系统”的缩写。具体来说，HIS系统指的是：以计算机网络通信技术、硬件接口技术等作为主体，对医院的人事管理、日常运营、财务核算等工作进行现代化管理，并能够对医院医疗活动过程中产生的数据进行收集、处理、汇总和整理，从而帮助医院实现内部各项工作管理信息化、自动化的一种计算机信息系统。一般来说，HIS系统的整体结构包含多个部分，例如临床诊疗子系统、药品管理子系统、人事管理子系统、数据统计子系统等。

网络安全威胁分析

↑

2.1 黑客攻击

目前，很多医院的HIS都基于互联网平台技术，即：医院办公人员不仅可以实现近端内部管理，还能够实现远程登录管理。这种管理形式提升了HIS系统的实效性，但同时也为黑客攻击埋下了隐患。更为严重的是，一些黑客在对HIS系统进行攻击的同时，向院方索要“网络安全保护费”，若院方不答应黑客的要求，黑客便会无休止地攻击医院的HIS系统，造成整个系统瘫痪，从而为医院和病患带来难以挽回的损失。例如，2011年9月份，深圳一所大型医院的HIS系统服务器遭到2名90后黑客攻击，黑客便以索要2000元“网络安全保护费”的形式向院方提出恐吓。

2.2 计算机病毒

计算机病毒对HIS系统的侵害体现在多个方面。例如，一旦病毒侵入医院HIS系统的缴费子系统，便可恶意篡改系统中的数据，并向系统的数据库自动发送大量的废物数据包，同时，通过自我复制、网络任意传输等功能，整个HIS系统会在很短时间内遭到感染，从而造成包括缴费子系统在内的HIS系统平台陷入瘫痪。例如，2010年11月29日，广州中山大学附属肿瘤医院HIS系统中的收费子系统便遭遇“病毒大爆发”，导致整个HIS缴费系统陷入瘫痪，近千名患者和家属在医院二楼收费窗口前苦等4个小时。

2.3 网络安全漏洞

严格意义上来说，网络安全漏洞不是引发HIS系统网络安全事故的直接因素，但却是造成HIS系统面临网络安全风险的一大隐患。一般来说，医院HIS系统的网络安全漏洞包含以下几个方面：

（1）操作系统安全漏洞。HIS平台的稳定运行往往需要基于一个操作系统，倘若操作系统本身就存在不确定的安全漏洞，则会给黑客攻击、木马病毒植入带来可趁之机。例如，目前，我国很多医院的HIS平台仍基于Windows XP系统，而微软公司已在今年5月份宣布正式终止XP系统的升级服务，如此一来，上述医院的HIS系统便会不断暴露出新的漏洞，这给黑客的攻击埋下了伏笔。

（2）网络管理疏忽。缺乏必要、定期的网络管理和维护，也是造成HIS系统面临网络安全问题的主要因素。例如，系统缺乏必要的防火墙设备、缺少专业的管理安全管理维护人员、缺乏对系统安全管理硬件软件的更新等，上述管理疏忽若长期存在，便会给黑客攻击留下漏洞。

网络安全提升对策

↑

3.1 构建防火墙设备

防火墙是防范黑客攻击、病毒木马入侵的重要屏障。它能够通过对HIS系统所在网络的安全性检测，判定危险数据包的类型，并启动隔离技术，将数据包隔离在系统外部，从而有效方式黑客、病毒的入侵。由于HIS系统大多为大中型网络平台系统，因此，在构建防火墙防范体系时，应采用包过滤技术和代理服务器技术整合的复合型防火墙体系，实现对入侵HIS内部非法数据包的有效拦截，并完成系统网络通信链路隔离区域的构建，从而起到有效保障整合系统安全性的目的。

3.2 采用动态口令认证技术

动态口令认证技术是一种基于“不确定因子”的网络数据验证安全技术。应用该种技术，管理员和用户在登陆HIS系统时，便会要求输入动态的认证口令，而系统只有在接收到正确的动态口令之后，才会发送相应的权限，允许用户登陆。上述技术能够有效防止黑客的“试探性”攻击，例如，黑客对HIS系统发送数量庞大的试探性攻击时，倘若遇到动态口令认证技术构建起的网络安全体系，试探性攻击便难以识别动态变化的口令牌，从而难以侵入系统。

3.3 强化系统网络安全管理

强化HIS系统的网络安全管理，对提升系统的稳定性将起到至关重要的作用。笔者认为，医院管理方应从以下几方面入手，不断提升系统网安全管理的级别。

3.3.1 实时漏洞扫描

一方面，定期开展HIS系统端口漏洞扫描。通过扫描系统内部的各个端口，实现对系统内部漏洞的监控。同时，应将扫描的信息与漏洞库信息进行比对，一旦发现系统存在漏洞，应及时升级系统补丁。另一方面，采用模拟攻击。管理员可模拟黑客的攻击，对HIS系统展开定期的漏洞测试，这将有助于及时发现系统存在的潜在漏洞，为安全管理措施的制定奠定基础。

3.3.2 提升人为管理质量

医院应不断强化HIS系统网络安全管理意识，革新管理理念，聘请专职的HIS系统网络安全维护人员，构建系统维护管理部门，制定相应的管理规章制度，例如，确定HIS系统的维护频率、维护内容、维护操作流程等事项，逐渐构建起完善的系统安全管理制度，形成良好的系统安全管理习惯，不断强化HIS系统的网络安全管理水平，优化系统的网络安全环境，以安全化、高效化的人为管理，构建起HIS系统网络安全管理的屏障。

结束语

↑

随着计算机网络技术的不断发展，HIS系统也将得到不断推广，而系统面临的网络安全风险也将与日俱增，因此，对HIS系统网络安全管理的研究工作也将进一步深入。如果想要了解更多关于HIS系统的相关信息，欢迎登录坐标官http://www.cnhis.com/portal.php