医院一卡通系统的安全性考虑及解决方案

1、医院一卡通系统的安全性考虑及解决方案目前，大部分三甲医院都已建设医疗一卡通系统，它已成为医院信息化管理的重要手段，是数字医院的重要组成内容，也是医院现代化管理的重要体现。医院一卡通系统的建立，使医院HIS网络得到了更进一步的应用，对门诊、住院、后勤、实验、科研、行政等提供了完备了管理流程和有效和管理。医院一卡通系统的重要性不言而喻，但若在安全性方面考虑不周，将会给患者及其他使用者带来诸多不变，甚至蒙受损失。所以，医院一卡通系统应考虑完备的安全体系，主要考虑以下方面：读卡设备硬件可靠、数据存储可靠备份、网络环境安全稳定、各应用子系统独立可靠、IC卡加密保证、一卡通管理系统的可靠性。一、读卡设备硬

2、件可靠一卡通系统的读卡设备，主要包括通卡器、刷卡POS、一体化门禁控制读卡器等，它的硬件可靠主要体现在如下方面： 一卡通系统的读卡器，是按登记及既定分配权限来进行读卡处理的。本一卡通系统将不会识别出未授权的白卡，同时或是被其他单位的一卡通系统授权的卡，将会以黑名单的形式报警，并且不能使用。 一卡通系统的读卡器中，存有本系统IC卡传输的交互口令，从而保障所有信息不会被外界捕获。 一卡通系统的读卡器，对于从本读卡器读入读入的信息数据全部经过加密处理后再进行传输，以防中途捕获或撰改。 一卡通系统的读卡设备，各自都有自已的硬件地址，与计算机的通讯采用通信协议的方式，通信协议是带硬件地址的信息，程序要求

3、只有硬件地址和通信协议全部匹配时才能获得握手通过。 一卡通系统的读卡设备，部分带用带密码键盘的双重确认形式，如一些重要设备房门禁，除了读卡之外，还需要密码双重确认，方可打可这扇门。 一卡通系统的各个功能子系统，即使系统的管理人员，也只能通过系统管理员授以的权限信息进行操作，如医疗导诊系统由信息中心负责、门禁系统由保卫部负责、考勤系统由各科室负责等。二、数据库存储可靠备份在一卡通服务器机房，建设一套独立的、可靠的存储系统。存储系统采用磁盘陈列RAID5容错机制，保障数据准确可靠。数据库采用多种存储备份方案，主要包括数据在线存储，可靠保障机制将保证数据的快速容灾和快速恢复。对于一卡通数据库的访问流

4、程，SQL数据库有多种访问权限控制方案：服务器WINDOW SERVER认证、网络服务器认证、SQL SERVER认证。三、网络环境安全稳定医院一卡通系统，通常采用多级总线形式，设备层的传输往往采有稳定可靠的工业RS485总线，管理层或数据库层往往采用医院的HIS网络。 设备层采用的工业RS485总线，采用可靠的连接方式，和可靠的总线握手冗错方式，保障数据传输的流畅。同时，该总线为本系统专享通道，总线上采用的也是独有通信协议，无法被外界截获。 管理层采用以太网VLAN技术，让一卡通系统与医疗其它业务系统隔离，从而实现数据的安全。在网络核心层，通过防火墙的访问控制列表，阻止外来非法入侵。条件好的

5、医院，可建设一卡通专用网络，实现与其它业务系统物理隔离，达到安全最高级别。四、各应用子系统独立可靠 医院一卡通系统包括很多应用子系统：导诊、考勤、门禁、消费等。各个应用子系统之间相互独立，在管理层通过服务器互联，实现一卡通。 每个应用子系统都设有独立工作站，各自配有硬件加密狗，以保证本应用子系统的安全。 各应用子系统在功能上采取模块分级授权方式，某工作站上未授权的功能模块是无权看到的，更无权使用。 各个应用子系统采用应用和数据分开的操作模式，以保证系统安全。五、IC卡加密保证 IC卡内设有多个扇区，每个扇区内设有多组密码及读写控制，而且各扇区密码及读写控制是相互分离的。 IC卡内设加密算法，每

6、次IC卡读写前要先进行多重口令校验，合法通过后方可存取。 IC卡读写时，和读卡器之间的通信信号为14MHZ射频，这种频率非法截获的难度较大，而且因为有口令校验，非法截获后破解的可能性较小。 IC卡采用了金融系统的DES算法，有完善的算法控制机制，在防套卡伪卡方面做得较成功。 IC卡上设有很多不同功能的扇区，不同的业务子系统使用不同的扇区，只能一卡通管理系统允许同时访问两个以上的扇区，其它业务子系统只能读取本扇区内的数据，从而保证应用子系统间的安全。 每张IC卡都有自已独有SN码，该卡在某个应用子系统中使用之前，先要到对应子系统的工作站中进行发卡，发卡后的注册号和授权信息会上传至一卡通服务器中。六、一卡通管理系统的可靠性 一卡通管理系统设于中心机房内，机房环境相对相好。一卡通管理服务器采用双机冗余方式进行备份，并设有稳定可靠的UPS，保障本系统的可靠运行。 由于各个业务子系统间采用分布式管理方式，所以即子系统的故障不可能影响其它子系统，即便服务器出现故障，各个子系统仍可独立工作。 即使各个业务子系统工作站都出现故障，由于现场控制器也具有存储功能，发行后的IC卡片信息都实时下载传递到了现场控制器中，所以在短时间内仍不会影响到各个现场站点的