醫(yī)院一卡通系統(tǒng)的安全性考慮及解決方案

1、醫(yī)院一卡通系統(tǒng)的安全性考慮及解決方案目前，大部分三甲醫(yī)院都已建設醫(yī)療一卡通系統(tǒng)，它已成為醫(yī)院信息化管理 的重要手段，是數(shù)字醫(yī)院的重要組成內(nèi)容，也是醫(yī)院現(xiàn)代化管理的重要體現(xiàn)。醫(yī) 院一卡通系統(tǒng)的建立，使醫(yī)院HIS網(wǎng)絡得到了更進一步的應用，對門診、住院、 后勤、實驗、科研、行政等提供了完備了管理流程和有效和管理。醫(yī)院一卡通系統(tǒng)的重要性不言而喻，但若在安全性方面考慮不周，將會給患 者及其他使用者帶來諸多不變，甚至蒙受損失。所以，醫(yī)院一卡通系統(tǒng)應考慮完 備的安全體系，主要考慮以下方面：讀卡設備硬件可靠、數(shù)據(jù)存儲可靠備份、網(wǎng) 絡環(huán)境安全穩(wěn)定、各應用子系統(tǒng)獨立可靠、IC卡加密保證、一卡通管理系統(tǒng)的 可靠性。

2、一、讀卡設備硬件可靠一卡通系統(tǒng)的讀卡設備，主要包括通卡器、刷卡POS、一體化門禁控制讀卡 器等，它的硬件可靠主要體現(xiàn)在如下方面：一卡通系統(tǒng)的讀卡器，是按登記及既定分配權(quán)限來進行讀卡處理的。本一卡 通系統(tǒng)將不會識別出未授權(quán)的白卡，同時或是被其他單位的一卡通系統(tǒng)授權(quán) 的卡，將會以黑名單的形式報警，并且不能使用。一卡通系統(tǒng)的讀卡器中，存有本系統(tǒng)IC卡傳輸?shù)慕换タ诹?，從而保障所?信息不會被外界捕獲。一卡通系統(tǒng)的讀卡器，對于從本讀卡器讀入讀入的信息數(shù)據(jù)全部經(jīng)過加密處 理后再進行傳輸，以防中途捕獲或撰改。一卡通系統(tǒng)的讀卡設備，各自都有自已的硬件地址，與計算機的通訊采用通 信協(xié)議的方式，通信協(xié)議是帶硬件地

3、址的信息，程序要求只有硬件地址和通 信協(xié)議全部匹配時才能獲得握手通過。一卡通系統(tǒng)的讀卡設備，部分帶用帶密碼鍵盤的雙重確認形式，如一些重要 設備房門禁，除了讀卡之外，還需要密碼雙重確認，方可打可這扇門。一卡通系統(tǒng)的各個功能子系統(tǒng)，即使系統(tǒng)的管理人員，也只能通過系統(tǒng)管理 員授以的權(quán)限信息進行操作，如醫(yī)療導診系統(tǒng)由信息中心負責、門禁系統(tǒng)由 保衛(wèi)部負責、考勤系統(tǒng)由各科室負責等。二、數(shù)據(jù)庫存儲可靠備份在一卡通服務器機房，建設一套獨立的、可靠的存儲系統(tǒng)。存儲系統(tǒng)采用磁 盤陳列RAID5容錯機制，保障數(shù)據(jù)準確可靠。數(shù)據(jù)庫采用多種存儲備份方案，主要包括數(shù)據(jù)在線存儲，可靠保障機制將保 證數(shù)據(jù)的快速容災和快速恢復

4、。對于一卡通數(shù)據(jù)庫的訪問流程，SQL數(shù)據(jù)庫有多種訪問權(quán)限控制方案：服務 器 WINDOW SERVER認證、網(wǎng)絡服務器認證、SQL SERVER認證。三、網(wǎng)絡環(huán)境安全穩(wěn)定醫(yī)院一卡通系統(tǒng)，通常采用多級總線形式，設備層的傳輸往往采有穩(wěn)定可靠 的工業(yè)RS485總線，管理層或數(shù)據(jù)庫層往往采用醫(yī)院的HIS網(wǎng)絡。設備層采用的工業(yè)RS485總線，采用可靠的連接方式，和可靠的總線握手冗 錯方式，保障數(shù)據(jù)傳輸?shù)牧鲿?。同時，該總線為本系統(tǒng)專享通道，總線上采 用的也是獨有通信協(xié)議，無法被外界截獲。管理層采用以太網(wǎng)VLAN技術(shù)，讓一卡通系統(tǒng)與醫(yī)療其它業(yè)務系統(tǒng)隔離，從 而實現(xiàn)數(shù)據(jù)的安全。在網(wǎng)絡核心層，通過防火墻的訪問控

5、制列表，阻止外來 非法入侵。條件好的醫(yī)院，可建設一卡通專用網(wǎng)絡，實現(xiàn)與其它業(yè)務系統(tǒng)物 理隔離，達到安全最高級別。四、各應用子系統(tǒng)獨立可靠醫(yī)院一卡通系統(tǒng)包括很多應用子系統(tǒng)：導診、考勤、門禁、消費等。各個應 用子系統(tǒng)之間相互獨立，在管理層通過服務器互聯(lián)，實現(xiàn)一卡通。每個應用子系統(tǒng)都設有獨立工作站，各自配有硬件加密狗，以保證本應用子 系統(tǒng)的安全。各應用子系統(tǒng)在功能上采取模塊分級授權(quán)方式，某工作站上未授權(quán)的功能模 塊是無權(quán)看到的，更無權(quán)使用。各個應用子系統(tǒng)采用應用和數(shù)據(jù)分開的操作模式，以保證系統(tǒng)安全。五、IC卡加密保證 IC卡內(nèi)設有多個扇區(qū)，每個扇區(qū)內(nèi)設有多組密碼及讀寫控制，而且各扇區(qū)密 碼及讀寫控制

6、是相互分離的。 IC卡內(nèi)設加密算法，每次IC卡讀寫前要先進行多重口令校驗，合法通過后方可存取。IC卡讀寫時，和讀卡器之間的通信信號為14MHZ射頻，這種頻率非法截獲 的難度較大，而且因為有口令校驗，非法截獲后破解的可能性較小。IC卡采用了金融系統(tǒng)的DES算法，有完善的算法控制機制，在防套卡偽卡 方面做得較成功。IC卡上設有很多不同功能的扇區(qū)，不同的業(yè)務子系統(tǒng)使用不同的扇區(qū)，只能 一卡通管理系統(tǒng)允許同時訪問兩個以上的扇區(qū)，其它業(yè)務子系統(tǒng)只能讀取本 扇區(qū)內(nèi)的數(shù)據(jù)，從而保證應用子系統(tǒng)間的安全。每張IC卡都有自已獨有SN碼，該卡在某個應用子系統(tǒng)中使用之前，先要到 對應子系統(tǒng)的工作站中進行發(fā)卡，發(fā)卡后的注冊號和授權(quán)信息會上傳至一卡 通服務器中。六、一卡通管理系統(tǒng)的可靠性一卡通管理系統(tǒng)設于中心機房內(nèi)，機房環(huán)境相對相好。一卡通管理服務器采 用雙機冗余方式進行備份，并設有穩(wěn)定可靠的UPS，保障本系統(tǒng)的可靠運行。由于各個業(yè)務子系統(tǒng)間采用分布式管理方式，所以即子系統(tǒng)的故障不可能影 響其它子系統(tǒng)，即便服務器出現(xiàn)故障，各個子系統(tǒng)仍可獨立工作。即使各個業(yè)務子系統(tǒng)工作站都出現(xiàn)故障，由于現(xiàn)場控制器也具有存儲功能， 發(fā)行后的IC卡片信息都實時下載傳遞到了現(xiàn)場控制器中，所以在短時間內(nèi) 仍不會影響到各個現(xiàn)場站點的