[转帖]数字化医院的安全故事

tianma

<<转自 http://cio.enet.com.cn>>
数字化医院的安全故事
   2003-09-22 14:00  enet
　　中山市人民医院在建院的53年中，以及在数字化医院的建设中所获得的奖项无数。没有一家医院生来就可以获得众多的荣誉，伟大是日积月累的努力奠定而成的，安全建设也是。
　　
　　2000年的5月的一个夜晚，中山市人民医院信息中心的陈晓铖断开了计算机房所有的网线，拆卸五十多台的机器的机箱，开始给所有的机器加装软驱。看到这里，您是否要问他在干什么？
　　原来，中山市人民医院信息中心机房中了病毒，一下子感染了服务器和工作站差不多五十多台的机器。当时，这个机房里，能应用的对付病毒的手段就是拆卸所有的光驱和软驱，用单机版防病毒的软件来杀服务端的病毒。陈晓铖就是在给所有的机器加装一个软驱，然后一台台的杀毒……他心里是忐忑不安的：如果有一台没杀干净，整个网络将再次感染，所有的这些工作就要重来一次……
　　当陈晓铖终于杀掉所有的病毒，擦掉脸上的汗水，直起身子看看表，已是第二天凌晨……
　　
　　数字化医院的脆弱神经
　　中山市人民医院经过8年的信息化建设，已经达到了国内一流的数字化医院的水平。现在的中山医院拥有国内一流的医疗设备，手术室设有国际先进水平的全净化手术间，拥有麻醉工作站、全自动麻醉机、人工心肺机等先进设备。
　　基础设施的建设必须结合具体的应用。去过医院的人都知道，医疗业务的流程非常繁琐，非一般的其他行业所能比拟。就门诊系统而言，从挂号、就诊、化验、做CT到交费、拿药，少说也需要几十个流程。而更加复杂的是住院系统，由于治疗不是一次性买卖，其流程十分繁杂，有的病人一住院就是十几天甚至几个月，每天都要吃药、打针、检查、化验、X光图像等，从这个意义上说，每个病人每天都在产品大量的信息。
　　在数字化的中山医院里，病人的这些信息都会清楚地记录的病人的医保卡上，医生只要调出病人的六位ID号，就可以了解病人所有的医疗活动信息：包括以往病例及所有的检查记录。如果病人需要继续检查，医生就在电脑上开医嘱，病人前往检查科室接受检查，稍后，医生的电脑上将自动显示其检查的结果……
　　在中山医院里，信息系统已经成为整个医院运营中不可或缺的基础设施，整个医院的运转高度依赖着信息系统的运行。这大大提高了医院的工作效率并带来了诸多的便捷，不过，与此同时，有一个非常重要的问题必须重点考虑，忽略了这一点，就有可能带来严重的后果，这就是：安全。
　　
　　对信息安全的感性认识
　　中山市人民医院信息化开始于1995年，目前已经基本完成了数字化医院的建设：计算机应用遍布全院各个科室，并且在系统之间实现了无缝连接，数字化应用涵盖了全院的所有业务部门。
　　在一些医院也有很多的业务需要借助于计算机系统，但是往往只是满足于各自科室的需求，并没有在整体医疗流程上。中山医院信息化中心的工程师陈晓铖对记者说，“在中山医院，各科室均有对信息系统的应用，以满足不同科室及职能部门的不同需求，但就象树的枝桠通过主干而相互血脉相连一样，所有单独的信息化应用都通过医院的网络系统彼此连通。整个医院的信息系统达到了真正意义上的数据共享，所有系统之间都不是孤立的，而是相互联系的。”
　　不过，在信息系统互联互通之后，很快就出现了安全的问题。病毒等安全问题，令人头疼。在经历了文章开头那一幕，中山医院对信息安全有了一个初步的认识，而随着数字化应用程度的迅速提升，对于安全，他们进行了深入的思考。
　　在以往各科室独立采用某套系统的时候，如果遇到安全问题，其影响也局限于本科室范围。但在高度依赖网络开展业务流程的数字化医院里，一旦某台机器出了安全问题，或者病毒发作或者遭到攻击，势必要波及整个医院的信息系统：若网络传输缓慢甚至陷入瘫痪状态，所有的医疗业务将不可避免地停滞；严重时，还可能造成医疗数据的损坏、丢失，这将严重影响整个医院的运转以及声誉。
　　所以，在中山医院信息化进程稳步进行的同时，他们积极加强了信息安全的建设。
　　
　　安全与速度的平衡
　　“作为一间数字化医院，系统的高速稳定的运行与网络安全同样重要。”的确，没有防护的信息系统如同置身狼群的绵羊，但要达到百分之百的安全，系统效率必然受到严重制约。这二者都是无法接受的。在安全保障与运行速度之间必然存在一定的矛盾，在陈哓铖看来，重要的是，找到平衡点： “没有绝对的安全。所有的安全措施都是为了保障业务的正常运行，否则安全是没有意义的。我们要做的是，在不影响业务范围内，最大的程度地提高系统安全性。”
　　中山医院信息中心对安全体系建设进行了整体规划：由于采用专线接入Internet，并有部分服务器和工作站实行远程接入，因此必需在专线和出入口处设置防火墙，在所有连线的服务器及工作站安装防病毒软件，此外在网络中部署入侵检测系统，并考虑对重要的服务器进行核心防护。
　　这一全面的安全体系的建设分为两个阶段，在2001年，首先在医院最主要的十几个系统中部署了防病毒、防火墙和入侵检测产品，从而对最常见的安全威胁，诸如病毒及非授权访问等进行防护。
　　陈晓铖介绍说，对数字化医院来说，信息的读写是特别频烦的，所以在选择防病毒产品时，特别注重两方面，一是对未知病毒和新病毒的响应及解决要迅速，另一方面要求不能影响系统的运行速度。“这么多系统在网上跑，是绝对不能中断的。防病毒软件对系统的影响必须考虑。如果装了防病毒软件反而把系统拖垮了，就等于是装了一个大病毒。我们要求在有限的系统资源里，既要保证安全，又不能影响业务。也就是必须权衡好安全和速度的关系。”
　　陈晓铖自己对几款防毒软件进行了测试，发现一些产品对系统资源的占用很高。“在众多产品之间进行比较后，我们最终选择了冠群金辰。”中山医院在3个主要服务器和200个客户端上，安装KILL防毒软件，防火墙和入侵检测也选用了冠群金辰的产品。
　　
　　方案的定制和调配
　　对于陈晓铖而言，产品选购只是个开始，之后的安装调配是非常重要的一环。“产品并不是拿来装上就立刻能用的，每个客户都有自己特定的要求。比如：防火墙不能把所有的端口都屏蔽掉，一些端口必须开放，那些多余的或者有可能被攻击的的端口需要封掉；同样的道理，网络需要进行监控，但是盲目地对系统所有东西都实行监控的话，也不行；对于那些特别频繁的操作进程和程序文件，全部开启防病毒的实时监控功能，也会有很大的影响……”陈晓铖认为调配的过程就像面对一个天平：一边是安全，一边是速度，“你得慢慢调，找到自己需要的那个平衡点。”
　　在安全建设过程中，中山医院与冠群金辰的合作不止一次，据陈晓铖介绍，在一期安全体系部署完成后，效果理想。院方对冠群金辰的技术产品和服务体系都比较满意，这也是在今年进行的安全二期采购中，他们再次选择冠群金辰作为安全提供商的原因。这次，中山医院采购了其硬件的轩辕防火墙，升级了入侵检测系统，全院的30余台服务器，700余台在线工作站全部采用了最新版本的KILL防病毒软件，并针对12台关键业务服务器分别部署了核心防护系统。发稿前，陈晓铖告诉记者目前这些安全系统正在实施。
　　
　　尾声
　　自2000年底开始搭建数字化医院，中山医院中间遇到过一些困难，医院的很多系统是由多家公司来做的，要进行多方的沟通协调，一开始的进程比较缓慢，2001年用了一年多的时间只上了一个住院系统。但随着中山医院在这方面建设力度的加强，在医疗信息化领域，中山医院受到越来越多的关注，建设进程也加快了步伐，接下来的一年半的时间里，就上了近五十个系统。
　　中山医院的信息化建设今年年底将告一段落，因为“现在能想像出来的能做到的都已经做了”。在最近的两个月内，已经有四五十家全国的三甲医院都来参观学习中山医院的数字化建设。目前，中山医院现在正在申报广东省的典范医院。
　　
　　中山市人民医院创建于1950年3月16日，现已发展为中山市集医疗、教学、科研、预防保健为一体的“三级甲等医院”。先后荣获“爱婴医院”、“广东省高等医学院校教学医院”、“广东省百家文明医院”等称号，并与美国夏皇后医院缔结为姐妹医院，是中山医科大学临床医学博士后流动站、中山医科大学临床研究生教学基地、广东省临床住院医师规范化培训基地和医学教育基地。
　　
　　小知识：
　　什么是数字化医院
　　“数字化医院”是指将先进的网络及数字技术应用于医院及相关医疗工作,实现医院内部医疗和管理信息的数字化采集、存储、传输及后处理，以及各项业务流程数字化运作的医院信息体系，是由数字化医疗设备、计算机网络平台和医院业务软件所组成的三位一体的综合信息系统。数字化医院工程体现了现代信息技术在医疗卫生领域的充分应用，有助于医院实现资源整合、流程优化，降低运行成本，提高服务质量、工作效率和管理水平。
　　随着信息技术的发展，更“广义”的数字化医院概念，不仅包含医院内部数字化技术的充分应用，还包含与之配套的社会卫生服务体系的数字化，如高质量的院际信息网络、社区卫生宽带网络、深入家庭的数字化设备及接口等，以实现资源共享和零距离健康服务。
　　
　　什么是数字化医疗设备
　　数字化医疗设备是将传统医疗器械技术与电子信息与生物工程、精密制造等技术有机结合形成的医疗设备，涉及影像设备、检验设备和监护仪器等。它们的出现，大大丰富了医学信息的内涵和容量。从一维信息的可视化，如心电（ECG）和脑电（EEG）等重要的电生理信息；到二维信息，如CT、MRI、彩超、数字X线机（DR）等医学影像信息；进而三维可视化，甚至可以获得四维信息，如实时动态显示的三维心脏。这些信息极大地丰富了医生的诊断资料，提升了医疗诊治技术平台。
　　
　　数字化医院的发展现状
　　欧美发达国家从90年代初开始探索数字化医院建设问题，至今已建成一批初具规模的数字化医院，以专科医院为多。部分医用软件发展比较成熟，有的已经形成产业化，如部分大型公司开发的PACS系统等。在亚洲，日本、韩国的医院数字化水平相对较高，我国台湾省的也有部分医院建立了局部的数字化体系。国内医院数字化进程起步相对较晚，现有的几万个医疗单位，仅有少数初步建立了医院管理信息化（HIS）系统，真正用起来的就更少。从软件功能上看，目前大多数能用的是财务和相关信息管理，如收费、划价等，最重要的病人管理基本不用。总体来说，国内数字化医院建设到目前为止还处在比较初级的阶段，距离真正实现医院乃至区域卫生服务体系的数字化尚有不小的差距。

buich

欢乐时光刚刚出来的时候，我们医院就中了`！
电脑室十几个人，对几XX台机。。。一样搞得好~~！

xl77

下面引用由buich在 2003/09/25 06:48pm 发表的内容：
欢乐时光刚刚出来的时候，我们医院就中了`！
电脑室十几个人，对几XX台机。。。一样搞得好~~！

老兄你好牛，十几个人打架啊。

dreamaster

我们曾经中过CIH，几乎所有主要部门全部中招，请外面公司的人帮忙处理用了一上午恢复主要部门工作。
现在用symantec 企业版，效果不错

buich

这叫什么~~！我们那里中毒的时候刚刚是李副总理要来参观的时候！
我们十几人对五六百台电脑，手工清除病毒~~！
但这也给了我们科室一个重要的经验。。。。。

virusfans

呵呵，这说的不正是我们铖哥嘛

qystone

人多好办事！

mouse

顶一下

discoverer

赫赫，我们医院也是的。最近刚刚加了一个班，把所有客户端的硬盘全部都换掉了，原因就是病毒已经泛滥到无以复加的地步了，杀不胜杀啊，正好硬盘已经用了5、6年了，也该换了。
买了110块硬盘，110把密码锁。先把硬盘系统做好，然后ghost，然后再一块块的好好配置，最后加班更换硬盘。更换好了，再给机箱加把锁。
世界终于清静了。

stout

再给机箱加把锁。

有用吗？

ndust

机器越多，处理起来越麻烦。
如果不考虑his本身软件的问题，对整个运行环境，就像人，要保证温度、湿度、营养等等。
对于计算机安全，我认为包括两个方面：设备安全和系统安全
1、设备安全
医院最麻烦的是电，一般医院的供电有两个变电所或者配有发电机，整体大面积停电基本没有发生，但是局部停电确实经常的事情。我们医院原先的网络交换机没有配备ups,经常楼层停电，有时是违章使用电气导致，如果有交换机的楼层停电，相关楼层的计算机也无法使用，还容易带来数据错误。
其次是计算机防盗，包括显示器和主机、打印机等。

这次我们构建的覆盖全院楼宇的网络，干线千兆，每个楼宇由一个相对独立的设备间，为了保证用电安全，在设备间里放置了UPS,满足供电8小时，为本楼宇的所有网络交换机供电。ups的工作状态，电压、电流情况，以及温湿度、和固定视频画面都通过网络传到中心，不再铺设其他线路，减少维护复杂程度。中心机房水漏报警，特殊状态时报警，或通过短信报告手机。ups输入输出分路都配有开关，可以分段检修。
好处是显而易见的，这一年来，基本没有遇到网络故障。而且还利用视频发现了一起漏水事故，一般医院的楼宇机房都是利用现有条件准备的，房间内的水设施可以去掉，但是也不能把楼层上的水都去掉，上一层发水了，我们现在视频上发现了，没有产生问题是就通知了后勤部门，避免了一次较大的事故。我们中心7个人，是不用安排值夜班的。
因为施工单位能力和预算的问题，下一步打算自己完成：
1、为各个楼宇的线井设备间配置温湿度和视频和水漏情况。（我自己会开发单片机，为其他的公司设计过温湿度传感模块，目前正在设计一款网络测试仪），视频可以采用现成的网络摄像头。
2、检测各个交换机插座的电压情况，通过网络传回中心。同时能控制交换机电源复位（控制方法目前没有想好，考虑采用无线）。目前应用中有时交换机会出问题，厂家一般都会从设备配置上增加功能，比如内部双线路，内置ups等，但是费用太高了，简单有效的办法是电源复位，但是也要慎用。
3、开发监控程序，在大屏幕上显示设备状态，有点类似电厂的监控屏。屏上直接显示网络的联通状态，如果哪个交换机故障直接反馈出来。（采用snmp协议或者采用自制的tcp/ip模块）

我感觉这样做到后，一般问题能够即时反馈出来，而且易于发现和解决问题，剩下的就是干线双线路备份了。上面3点还只是想法，目前还没来得及试验。

医院是个开放环境，尤其是到了夜间，医生和护士如果有重病号，计算机设备安全有时就成问题，我们是特别设计的金属电脑桌，保证前后散热，然后上锁，显示器是通过笔记本锁锁在桌子上的，只能说防君子不防小人，效果还可以。


第二个是系统安全
我们现在的办法是：
1.内外网完全全部隔离，光驱、软驱、u口全部封闭。系统用的win2k.HIS系统软件一般配置较多，医生站、护士站等单独配置麻烦,就是同一个人安装的系统，可能还要出错，为了维护方便，我们自己专门开发了程序。
通过网络克隆，来完成基本系统的安装。开发的程序预先已经做到克隆包里，第一次克隆完毕后会记忆物理地址，然后后会调用中心配置好的软件环境，自动进行环境配置和程序的安装，同时机器的最后启动时间，安装是否完毕等都会在中心得到。而且软件可以自主升级，同时可以远程启动和关闭。

当时这么做的目的：软件系统实施初期，软件需要经常更新，人手不够，下去更新软件太麻烦了，还要每个细节都和大家交代，还不一定每个人都记得住。到时问题就会很多。所以写了这套系统。

比如安装一台新机器，是护士站的程序。那么在安装前中心需要建立一个配置，表示系统同意增加一台机器，然后配置好环境参数。其他的工作人员把机器安装到位后，直接网络启动，选择机器型号，系统自动复制cmos（关闭声卡。设置密码等）,自动克隆系统，然后机器中心启动，自动先进入配置程序，选择某个可视的护士站，点击确定，程序会自动安装软件、设置计算机名字、ip地址等，同时配置软件的ini文件，然后重新启动计算机，再重启机器已经可以工作了。其中ip地址和机器的名字由中心指定，就是自己修改过来，在启动也会给你改回去的。

如果这个计算机出故障了，除去硬件故障，多数是系统出了毛病，那么只要重新克隆一下就可以了，而且再启动都不用选择哪个工作站了，可以直接完成配置。

这样安装一个系统一般是3~5分钟，有的地方需要配置打印机等，时间要长一点，也不会超过10分钟。

平常系统会检测程序本省是否需要升级或者工作站升级，这些都只要在中心配好，下面我们基本都不用去。一般在晚上或者节假日出问题，只要不是硬件的问题，我们都不用到中心取东西，空手就可以恢复完系统，然后回家，系统出了毛病我们基本都不修复，直接克隆，因为原始系统是好的。pacs系统我们都是这个处理的，很方便，连专业显示屏都不用配置。只是在lis系统上遇到点麻烦，就是现在很多仪器本省也有一套系统，如果把软件装到仪器有些麻烦。

系统刚上的时候也方便极了，更新配置后，打电话告诉一圈，重启机器，比说别的方便多了，但是初期也遇到过让重启机器只把显示器开关按一下的。一般我们不用系统的远程重启，怕人家在那干活，所以都是打电话通知，如果没人接电话，远程重新，最后从系统中检测可以看到哪个机器最后还没有升级，对于关机的计算机，可以远程启动，然后在关机。有一次更新血站的程序即时这样的，半夜，血站下班了，要更新一下程序，也可以等到第二天，但是当时利用了这个功能，远程把机器开开，更新完后在关上，呵呵，当时操作很有感觉。

下一步打算对交换机做物理地址绑定，对于不再系统备案的计算机，自动关闭交换机端口，这样就保险多了。


说道兴头上了，说得有点多和乱，有点卖瓜嫌疑，希望大家拍砖，欢迎交流。