醫院內網安全管理系統的應用實踐

童銘　肖青蘭

摘要：隨著醫院規模與業務的不斷擴大，醫院信息系統安全愈加得到關注，內網安全管理問題也愈加凸顯。本文分析了醫院內網面臨的安全問題，并提出控制管理的應對策略，實現了醫院信息系統安全、穩定運行。

關鍵詞：醫院內網；安全問題；安全管理

Application of Intranet Security Management System in Hospital

TONG Ming，XIAO Qing-lan

（The 169th Hospital of the PLA，Hengyang 421002，Hunan，China）

Abstract：With the continuous expansion of hospital business， the security of hospital information system gets more attention. And Intranet security management problems have become increasingly prominent. This paper analyzes the security problems facing the hospital intranet and puts forward the countermeasures to control management，realizes the safe and stable operation of hospital information system.

Key words：Hospital intranet；Safety problem；Security management

網絡安全是醫院信息系統安全、穩定運行的基礎，只有醫院信息系統安全、穩定的運行，醫院的業務才能更好地開展，患者才能得到更好的救治[1]。為保證醫院信息系統（HIS）24h不間斷運行和醫療業務的網絡安全，多數醫院采用了醫院內網與外部網絡（包括互聯網、軍隊綜合信息網、遠程醫學網）進行物理隔離，與醫保、農合等專線網絡安裝防火墻和網閘進行隔離防護，從源頭上基本杜絕了病毒和攻擊的發生。然而根據調查，醫院信息系統的安全威脅往往不是來自于外部網絡，而是系統內部。多數重要的安全設施都集中于機房和網絡入口處，來自內部網絡計算機終端的安全威脅大大增加，醫院內部網絡的安全站場已經逐步由核心與主干的防護，轉向內網終端的安全控制管理[2]。

1 醫院內網面臨的主要安全問題

1.1移動存儲介質的管理不規范 目前醫院計算機終端管理往往忽視了USB接口的使用，工作人員由于各種緣由要求開放部分科研、辦公計算機USB接口使用移動硬盤等移動存儲介質直接從終端拷貝復制文件，內部文件管理難以監控，更無法控制移動存儲介質攜帶的病毒、木馬、惡意代碼等入侵醫院局域網。

1.2內網無統一認證系統 當前多數醫院部署DHCP服務器，終端通過DHCP服務器動態獲取IP地址，局域網信息位點分布較廣，在醫生護士工作站、病房、大廳均有部署，個人移動終端可以隨意接人內網并獲取醫院合法的IP，從而獲取訪問醫院資源的權限。傳統的接人控制會在交換上設置MAC認證，控制終端的接入，但安全隱患依然存在，終端仍可以篡改為合法MAC，從而接人到醫院內網[3]。

1.3終端操作系統的脆弱性 醫院當前計算機終端使用的操作系統多為Windows系統，由于醫院內外網物理隔離，系統補丁不能及時更新，系統漏洞難以及時修復，而內網的補丁升級和更新存在技術上的漏洞，計算機管理亦無法及時掌握內網計算機的補丁安裝情況[4]，計算機操作系統存在較大的脆弱性。

1.4內網遭遇病毒、ARP攻擊愈加頻繁 隨著醫院規模的擴大和信息化的快速發展，醫院內部網絡的終端數也在不斷攀升，加之工作人員防范病毒的意識不強，內網遭遇蠕蟲病毒、木馬、ARP攻擊愈加頻繁。雖然醫院內網計算機終端部署安裝了病毒查殺軟件，但其病毒庫的更新不及時性，以及終端安全使用的不確定性，會導致部分查殺軟件失效，內網防病毒體系難以形成，安全隱患不容忽視。

2 我院內網安全體系的建設與實現

我院部署的內網安全管理及補丁分發系統是由北京北信源軟件技術有限公司開發，構建iNode客戶端、準人設備、第三方服務器、內網安全服務器的整體構架，完成了準人認證、安全評估、動態授權、行為審計、協助管理的安全體系，針對當前醫院內網安全面臨的主要問題實現了安全高效的管理與控制。

2.1網絡終端接入管理 該系統基于802.1x協議的準入控制技術的安全準入管理控制，為內網計算機終端的安全接入提供了保護屏障。接入內網的計算機必須通過訪問“http：//內網安全服務器IP/Vrveis”下載安裝VRVEDP客戶端程序并注冊成功，并符合必要的安全策略的前提下才被允許接入醫院內部網絡。注冊客戶端時需要填寫計算機使用人的相關信息，如使用人、部門、電話、終端所在地、計算機類型等，進行實名化管理，以便發現問題是快速定位到事件源。接入端對MAC和IP地址進行固定管理，發現終端IP變更后根據策略恢復原有IP或阻斷聯網，同時禁止修改網關、禁用冗余網卡，杜絕違規接入、違規外聯。

2.2移動存儲介質的管理 醫院工作人員在日常辦公當中不可避免的要用到U盤等移動存儲介質，利用計算機USB接口給手機充電等行為，無意識的就將病毒帶入醫院內網，威脅到內網的安全。我院利用該系統移動存儲介質接入認證管理，實現了移動存儲設備的訪問控制，對接入內網的移動存儲設備進行加密注冊管理。這就要求醫院需要使用移動存儲設備的部門使用專門配置的移動存儲設備進行文件拷貝、數據交換等行為，且該專門的設備只能接入具有內網接入認證的計算機，其他計算機等設備將不能識別。該系統還可對其數據交換行為進行審計管理，生成設備插拔、文件操作等詳細記錄，有效監控移動介質的使用。

2.3補丁及軟件自動分發管理 我們通常所提到的補丁類型包括“system”、“IE”、“應用程序”三個選項。該系統通過補丁索引、補丁庫和策略將所需要的補丁自動下載、自動安裝到內網終端并提示；向指定計算機終端分發文件或安裝軟件，分發時可設置補丁探測時間，運行參數及運行形式。基于分發時間、補丁檢測周期等進行策略制訂，策略發送到注冊終端后，計算機終端自動檢測系統漏洞，統一執行補丁應用策略。

2.4終端殺毒軟件管理 我院內網安裝部署了金山毒霸企業版殺毒軟件服務器，作為第三方服務器通過內網接入認證。該系統可統一審計內網計算機終端防病毒軟件的安裝和使用情況，檢測到未安裝防病毒程序時，強制性執行自動安裝，亦可監控終端防病毒軟件的安裝情況，并進行相應的管理，如強行升級病毒庫、自動分發并自動執行病毒專殺工具等。

2.5資產信息管理 包括硬件資產和軟件資產。該系統可自動收集計算機終端CPU、內存、硬盤、主板、顯卡等所有硬件的詳細信息，以及終端IP地址、MAC地址和安裝的所有軟件信息，以供管理員在Web控制臺監控與查詢。

3 應用體會

通過內網安全管理系統的應用，有效地實現了醫院內網的安全控制管理，解決了內網終端的高效管理，大大的降低網絡維護人員的工作量，實現了醫院信息系統安全、穩定運行。

參考文獻：

[1]朱彥華.淺談醫院網絡安全管理和監測的實用措施[J].中國醫療設備，2010，12.

[2]趙峰等.軍隊醫院內網安全管理系統的策略及應用[J].醫療裝備，2013，9.

[3]朱偉健.構建"安全高效"的醫院內網終端管理系統[J].醫學信息，2013，26（4）.

[4]劉高建.淺議醫院計算機內網安全與管理[J].網絡技術，2014，5.

編輯/倪冰冰