医院临床管理系统软件在运用中存在的隐患及对策分析.doc

??? 摘　要: 随着计算机技术和通信技术的发展, 医院信息化步伐不断加快。在全国医院都纷纷加入了建立医院信息化系统的同时, 医院信息系统的核心资源——数据库数据的完整性、准确性、真实性遭到危害, 排除可能存在的安全隐患, 因此必须全面、系统地分析医院临床管理系统软件存在的安全隐患, 针对性地实施安全对策, 排除其中隐患。??? 对策　近年来, 全国不论是拥有上千张床位的综合医院, 还是拥有近百张床位的小型医院都纷纷加入了建立医院信息化系统的潮流中。我院是一所自治区级、拥有上千张床位的综合性医院, 2000108 月医院信息化系统, 目前医院信息系统(H IS)软件多为国内或国外的软件公司研发, 虽然其稳定性,性能和可扩展性都比较好, 但是开发者在软件开发论文的标准格式过程中,或前期调研论证不足, 对医院业务没有全面了解; 或软件试用不充分, 一些隐性问题没有被发现; 更有甚者如个别恶意开发者为达到某些个人目的, 故意在软件中设置“定时炸弹”等等, 都会造成医院信息系统存在一些隐患, 这些隐患一旦暴发将会给医院带来重大损失。为了避免医院信息系统的核心资源——数据库数据的完整性、准确性、真实性遭到危害, 排除可能存在的安全隐患, 因此必须全面、系统地分析医院临床管理系统软件存在的安全隐患, 分为二部分 (参见下图) :??? ??? 1内部隐患111　身份认证上存在的隐患临床管理软件在身份认证上 ( Ident if icat i on A uthent i2cat i on, ID) 留有漏洞, 从而恶意侵入者能够绕过正常的身份认证过程。??? 身份认证本质上是根据用户账号以及相应的认证信息赋予该用户会话 (Sessi on) 正确身份的过程, 因此可能存在以下威胁。??? 11111　存在隐藏账号　不管安全管理员如何设定账号, 恶意侵入者都能通过它们轻松进入系统, 取得很高的系统权限。11112　存在 “万能钥匙” 　恶意侵入者故意在身份认证模块中引入了某种形式的 “万能钥匙” , 不管系统配置为通过口令验证可基于物理凭证验证, 恶意侵入者只要输入一组特殊的口令或插入特殊的物理凭证就能假冒任何用户的身份。11113　双因素触发前面11111 的实质上是由用户账号名触发恶意的 ID 动作, 而 11112 则是通过认证信息来触发它, 11113 种可能就是通过前两者的组合来触发, 从而取得系统特权。11114　历史触发　前面的111 11、11112、11113 都属于基于名称 (或内容) 的触发, 触发的动作由本次身份认证的参数决定, 而更加复杂的触发条件则考虑身份认证的历史, 称为基于历史的触发。11115　完全绕过整个 ID 模块　恶意侵入者还可能采取措施绕过 ID, 使其Sessi on 标志为某个特权主体。112?数据处理模块中存在的隐患临床管理软件的数据处理模块 (P rocessingModule) 中有恶意代码, 可能造成以下威胁。??? 11211　能够在关键时刻自动 (或由某些符合SQL 语法的特殊的数据处理指令激活) 改动、插入或删除数据。??? 11212　通过特殊数据处理指令, 触发其它模块的恶意动作,例如触发身份认证模块动态修改该 Sessi on 对应的身份从而由访问控制模块中取得特权, 同时审核模块不记载恶意侵入者的攻击活动。??? 113　软件审核模块上存在的隐患临床管理软件在审核 (A udit) 模块上留有漏洞11311　不记载恶意侵入者的攻击活动, 使得恶意侵入者的攻击活动不留下任何痕迹。11312　将攻击活动伪造为正常的活动。??? 11313　故意伪造审核记录, 说明某人曾进行了某些恶意行为。2　外部隐患排除网络和硬件的因素, 任意的应用软件都必须在某个操作系统上运行。然而, 流行的操作系统或多或少都有其疏漏的地方, 其强大的功能未给管理带来便利, 反而增加了不必要的维护开销。操作者很容易就能把管理员辛辛苦苦建立的系统弄的一塌湖涂。 其它别有用心的人, 也可借此窃取、 篡改、删除数据。??? 2?安全对策针对以上提出的临床管理软件的安全隐患, 我院从以下几方面实施安全对策:??? 311?改变身份认证方式在系统设计中, 需要提供一个通用的、可扩充认证机制的认证服务。在具体实施时, 结合使用U ser I D? Passwo rd 模式和基于 IC 卡的身份认证方式。??? 312?分级输入原则根据医院管理制度, 安全信息的输入应该遵循分级输入的原则, 上级部门只能录入、修改、删除直接下级的安全信息 (包括身份认证信息、授权信息等) , 而不可越级修改间接下级的安全信息, 如医院计算机管理中心的系统管理员可以增加、修改、删除医院工作人员的基本信息和权限