|
|
[摘要] 本文对医院放射治疗网络系统的安全方案进行设计。放疗网络采用客户机服务器模式,使用Oracle 9i为数据库服务器;使用PowerBuilder 9i为编程语言进行开发。该系统通过用户注册管理、用户登录管理、应用级功能控制、数据库访问控制、踪迹审计5种措施实现系统的安全性。既保护了应用系统的本身安全,保证系统的正常运行,又保证了系统中重要数据与信息的安全。为应用系统安全性分析与防护提供了范例。
[关键词] 安全管理; 加密; 认证
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 12. 028
[中图分类号]TP315 [文献标识码]A [文章编号]1673 - 0194(2011)12- 0042- 03
随着放射治疗技术的发展,在手工操作的运行模式下,放射治疗科在医疗服务和管理上存在着许多问题: ①治疗机类型的多样化使医生在制订治疗计划时陷入混乱的表格与参数中,易引起数据交叉错误; ②丢失放射治疗单; ③门诊病历管理; ④随访困难; ⑤治疗室秩序混乱; ⑥欠费。为了解决手工管理模式存在的上述问题,医院开发了放射治疗计划和放射治疗信息管理系统。 医院信息管理系统在医院内部是一个开放的系统, 数据库中集中存储了大量信息, 这些信息产生于局域网络中的各个工作站, 又被相关授权工作站提取、使用, 数据库的这种数据共享, 通过局域网的互联和应用的“开放”得以实现。然而,网络的开放程度越高, 其安全性也就越低, 因此数据库安全就成为网络管理人员时时关心的一个重要问题。为了解决上述问题,笔者依据放疗科网络系统特点,从多个角度探讨基于HIS的放疗计划管理子系统的安全机制,提出了一套较为完整的安全方案。该方案分层、分类地对系统进行了保护。既保护了应用系统的本身安全,保证系统的正常运行,又保证了系统中重要数据与信息的安全。基于HIS的放疗计划管理子系统的安全方案经过两年多运行及修改,已初步成熟,现介绍如下。
1材料与方法
基于HIS的放疗计划管理子系统采用目前较为流行的客户机/服务器结构, Windows 2000 Server为数据库服务器操作系统;Windows XP为客户机操作系统;Power Builder 9i为前端开发工具;Oracle 9i为后台数据库。此系统以HIS 系统为依托,利用 HIS 系统网络中的若干系统和子系统中的字段和数表,会同本软件录入和生成的相应字段和数表,完成对放射治疗计划和放射治疗信息的管理,并入 HIS 网络使用。 这种结构的核心是将应用程序与数据库分离, 应用程序负责用户界面的处理, 服务器主要负责数据的管理, 为前端提供数据访问和处理服务[1-2]。其结构如图1 所示。
局域网易受到攻击与信息网络技术的应用日益普及、深入, 应用领域逐渐扩展有直接关系。网络已经是医院工作不可或缺的组成部分, 正常的医疗秩序依赖于内部网络的畅通。另外,由于目前对内部网络安全的重视程度不够, 安全意识差, 加之人们对口令不重视,弱口令很容易产生, 很多人用诸如生日、姓名等作为口令, 在局域网中, 黑客的口令破解程序更易奏效。
为了保护系统数据安全和设备安全,防止对系统的恶意攻击,需要对系统进行网络安全防护。放射治疗信息管理系统的数据量庞大、涉及面广,所以确保数据的机密性、完整性、正确性和不可否认性是另一个必须考虑的安全问题。在HIS系统里,数据库是信息存储中心和系统运行的基础。基于它的核心地位,其安全问题更是不能忽视[3]。对于数据库安全问题,首要的任务是怎样控制用户访问权限,只有经过认证、授权的用户才能访问数据库。放射治疗信息管理系统自身的安全也是整个HIS系统安全不可分割的重要组成部分。一旦放射治疗信息管理系统的安全性受到破坏,那么整个HIS系统也就无安全性可言。
2结果
放射治疗信息管理系统是人与计算机协同的系统, 计算机的工作都是由人来完成的, 所以人为的因素是数据库安全最主要最直接的因素。对操作计算机的人进行管理, 就是对前台最有效的管理,所以笔者科室开发的基于HIS的放射治疗信息管理系统通过以下5种措施实现系统的安全性。
2.1用户注册管理
用户注册是指用户根据系统管理员指定的用户ID号,定义并输入用户密码。凡新用户必须先注册,然后才能使用系统。实现过程如下。
(1) 用户输入ID号和密码并且予以确认。
(2) 系统对所有用户以账号为PUB、密码为PASS的公用数据库用户名义,连接用户注册表User。
(3) 系统检索用户注册表User,若存在该用户,则转(4); 否则,要求重新输入用户ID号或者退出系统。
(4) 运行加密程序(用DLL封装)把用户密码生成密文,存放在表User的相应字段中。
本系统是利用动态链接库DLL来编写加密程序的。这样做的好处是:用户以后要改动密码时,只需用加密程序把变更的密码重新生成新的密文,覆盖表User中旧的密文即可,而客户端的程序不用任何修改。同时即使该方法被破解,也只需重新编制一个新的DLL,去覆盖原有DLL程序,而不必改动客户端主程序。这样既减轻了维护工作量,也加强了用户密码的安全性。
2.2用户登录管理
用户ID号和登录密码存放在用户注册表User中。
用户登录过程如图2所示。
(1) 程序开始,输入用户ID号和密码。为防止传输过程中密码被窃取,运行加密程序将用户密码进行加密处理。
(2) 使用PUB账号连接用户注册表User,在表User中查找有无此用户。若有,转下步;否则,退出。
(3) 根据用户ID号找到用户的加密密码Password 1。
(4) 将此加密密码与用户加密密码解码后进行比较。若正确,则以该用户身份登录应用系统,并将密码Password 2解密,以该用户ID号和Password 2明码重新连接数据库系统;否则,退出。
用户每次使用系统,系统将把用户登录的时间和位置以及退出系统的时间记录在用户使用系统日志表User Log中。
2.3应用级功能控制
应用级功能控制是通过控制应用程序菜单项的使用权限来实现的。使用权限还可根据实际情况(如人员变动、岗位变动)进行调整,这种动态管理的机制提高了软件的灵活性。具体实现方法如下。
(1) 将系统的基本模块和功能划分为具体的项目。
(2) 设计出菜单项,将菜单项按统一顺序排列,有多少条菜单项就有多少位数字,每一位代表一种权限。
(3) 根据不同的用户角色进行权限的设置。各条菜单项用“0”与“1”来表示使用权限,“0”表示不能使用,“1”表示有权使用。
(4) 将这个由0与1组合而成的数字串作为该用户的权限值,存入用户注册表User中用户权限字段。
(5) 合法用户登录系统后,根据用户ID号得到一个具体的用户权限值,对应到每一条菜单项,从而控制系统显示出不同的界面。
这种方法最大的优点是系统的安全性得到进一步提高。即使窃取到用户表User,也无法知道用户有哪些权限,更不知道这些权限值是如何形成的,从而不能有效地修改和利用。如果再配合使用加密算法,将权限值进行加密,则系统的安全性能将更好。
从管理角度分析,为减少操作失误,在具体的程序设计实现中,在确定了用户的编码后,系统可根据编码的编排规则,确定该种身份的人员所拥有的最大权限,调用对应的权限设置界面,然后系统管理员依据岗位职责再决定相关权限授予与否。与该种身份人员无关的权限设置界面则不显示,这样就杜绝了错误授权。
2.4数据库访问控制
依据角色管理的策略,将现实中访问系统的人员划分为不同的角色。本系统先划分了4类角色,分别是系统管理员、主治科医生(科主任、主治医生、住院医生、实习医生)、技术员、物理师。当然,还可根据需要再细分角色。每个角色的人员只能在许可权限内访问系统。例如可以规定管理员和科室主任有权查询该科病人的所有病历数据,修改他们创建的病历记录;其他医务人员只能访问、修改自己所创建的记录;技术员只能查看当天病人放疗的信息情况和记录该病人当天是否进行了放射治疗。在病历提交确认后,要收回对这部分病历数据“写”的权限,除管理员外任何用户都无权再修改或删除。
实现方法如下:
(1) 将系统登录账户添加为数据库用户。
(2) 分别创建若干个自定义的数据库角色。
(3) 将该数据库用户分配给这些角色。
(4) 通过GRANT(授权)、REVOKE(剥夺)和DENY(拒绝)命令完成对不同角色(用户包括用户组)各种权限的授予、撤销和拒绝访问。
此外,还可以结合以下两种方式进行数据库访问控制:①在相关基本表(例如病情诊断、化验数据、检查数据、医嘱等)上建立视图或创建访问这些基本表的存储过程,然后将使用视图或存储过程的权限授予用户,这样避免了对基本表的直接访问,实现对病历数据的有限访问。② 由于系统记录了每条记录的创建者,因此还可以通过判断访问者的ID号与创建者的ID号来控制对该记录的访问。
2.5踪迹审计
踪迹审计主要是通过病历数据变动日志,为每一份电子病历数据建立操作档案,记载电子病历的形成过程,用这些记录来证实电子病历内容的真实性。为减少数据冗余,日志中只记载修改的操作。实现方法如下:
(1) 建立日志表。
(2) 利用事件或触发器,在修改病历数据的同时,将有关变动内容记录在此表中。
(3) 病历提交或归档后,从此表中删除相关病历的记载。
除了使用应用程序建立的日志外,还可使用数据库系统自带的日志文件,类型包括系统日志、审计日志、应用日志等。
3结论
对于网络安全的威胁来自人对网络的使用, 因此好的网络安全管理首先是对人的约束。 在医院的管理方面并不缺乏对人的管理办法, 但在网络安全方面常常忽视对网络使用者的控制。要从网络安全的角度来实施对人的管理, 作为医院的管理者必须首先认识到网络安全的重要性,在此基础上制定相应的政策法规, 使网络安全的相关问题做到有法可依、有据可查、有功必奖、有过必惩, 最大限度地提高员工的安全意识和安全技能[4]。
系统的安全运行易受病毒的威胁, 安装网络防毒文件, 对整个系统进行自动监控, 防止新病毒的出现和传播, 是保障网络正常运行的有效方法。各工作站要安装防病毒软件, 并及时上网更新病毒库, 以防止病毒入侵, 减少安全隐患。由于使用人员众多且水平参差不齐, 必须加强管理, 为此在各工作站对使用者屏蔽某些软、硬件资源, 拆去软驱和光驱等外部存储设备, 以防止有意或无意对软件系统造成的破坏和防病毒入侵,也为网络系统安全提供又一屏障[5]。
建立医疗信息管理系统是今后医院现代化管理的必然趋势,但因为该系统是开放的系统、涉及的信息量大,所以其安全问题尤其重要。本文从多层次、多角度对放射治疗信息管理系统进行了安全分析,并采取了相应安全防护措施,为应用系统安全性分析与防护提供了范例。
主要参考文献
[1] 徐志勇, 傅小龙,宋亮,等. 放疗网络系统的研制和应用[J]. 中华放射肿瘤学杂志,2006,15(5): 416-418.
[2] 赵于飞, 张鸿雁,马军,等. 放射治疗计算机信息管理系统的开发与应用[J]. 中华放射肿瘤学杂志,2004,13(2): 131-133.
[3] 傅征,任连仲. 医院信息系统建设与应用[M]. 北京: 人民军医出版社, 2002:27-35.
[4] 杨燕红,徐玲. 医院信息系统的维护及探讨[J]. 医疗卫生装备,2004(6):126.
[5] 王洪萍,黄国莉. 医院局域网客户端安全管理的体会[J]. 实用医药杂志,2008,25(1):113-114.
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文 |
|
发表于 2022-2-27 20:06:03