醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全保護(hù)分析

王劍

（佳木斯大學(xué)附屬第一醫(yī)院網(wǎng)絡(luò)信息部，黑龍江 佳木斯154002）

隨著醫(yī)院信息化建設(shè)水平的不斷提高，加強醫(yī)院信息化網(wǎng)絡(luò)安全工作是必要的，在有效的進(jìn)行網(wǎng)絡(luò)安全技術(shù)分析過程，要結(jié)合醫(yī)院信息化建設(shè)開展實際，科學(xué)的制定更加高效的安全保護(hù)機制，以此才能并不斷提高醫(yī)院信息化建設(shè)質(zhì)量，下面結(jié)合工作實際，有針對性的總結(jié)幾點具體的安全防護(hù)策略。

1 醫(yī)院信息系統(tǒng)數(shù)據(jù)存儲安全

據(jù)現(xiàn)有的經(jīng)驗來看，醫(yī)院的信息系統(tǒng)大多以C/S（服務(wù)器/客戶端）的結(jié)構(gòu)組成，服務(wù)器是整個醫(yī)院網(wǎng)絡(luò)的核心樞紐，信息的所有內(nèi)容都需要服務(wù)器的中轉(zhuǎn)以及審核。從構(gòu)成上來看，醫(yī)院的信息系統(tǒng)數(shù)據(jù)主要是由病人的信息、醫(yī)院本身經(jīng)營數(shù)據(jù)為主，所以服務(wù)器的運營必須保持24 小時不間斷，避免出現(xiàn)信息丟失或者錯誤的情況出現(xiàn)，同時醫(yī)院服務(wù)器要具備一定的數(shù)據(jù)恢復(fù)能力，保障整個業(yè)務(wù)的流暢、穩(wěn)定運作。目前醫(yī)院的服務(wù)器大多是以“2+2”的高性價比、高安全性的雙機備份系統(tǒng)模式，所謂的“2+2”指的就是兩臺獨立服務(wù)器與一臺磁盤陣列，但陣列中所采用的是雙陣列卡組成雙保險，避免單點故障的問題。在條件允許的情況下，醫(yī)院需要在異地建立專門的異地容災(zāi)備份服務(wù)器，做到不間斷與主服務(wù)器同步數(shù)據(jù)。這樣的價值在于，即使在醫(yī)院服務(wù)器位置上出現(xiàn)物理信息丟失，如突發(fā)重大災(zāi)難時候也可以啟動備用服務(wù)器，達(dá)到數(shù)據(jù)信息的充分備份，保證醫(yī)院的關(guān)鍵性信息不被丟失。服務(wù)器需要配備專門的UPS 電源，預(yù)防斷電問題。

2 醫(yī)院信息化網(wǎng)絡(luò)設(shè)備安全保護(hù)

醫(yī)院網(wǎng)絡(luò)的流暢、安全運作，直接關(guān)系到相關(guān)病患的治療情況，因此保障醫(yī)院網(wǎng)絡(luò)設(shè)備的運作安全成為關(guān)鍵性任務(wù)，如果出現(xiàn)數(shù)據(jù)侵入等問題，將造成難以挽回的問題。目前我國醫(yī)院所采用的信息網(wǎng)絡(luò)大多是單獨設(shè)置的，能與其他網(wǎng)絡(luò)物理隔離，同時所有服務(wù)器都被硬性要求配備有專門的雙引擎、雙電源的系統(tǒng)，能夠達(dá)到雙核心的物理交互、不間斷的備份工作。針對互聯(lián)網(wǎng)使用的安全還會在不同的服務(wù)器上配備專門的網(wǎng)卡，在雙網(wǎng)卡上分別連接交互核心機，即使出現(xiàn)單獨故障也能維持持續(xù)運作。各樓的匯聚交換機與兩臺核心交換機實現(xiàn)萬兆雙鏈路連接，各接入交換機與匯聚交換機千兆連接，并實現(xiàn)千兆到桌面。利用網(wǎng)絡(luò)管理系統(tǒng)軟件，實時檢測網(wǎng)絡(luò)流量和各網(wǎng)絡(luò)結(jié)點運行情況，發(fā)現(xiàn)異常及時處理，實現(xiàn)對醫(yī)院網(wǎng)絡(luò)的遠(yuǎn)程管理和安全管理。伴隨我國互聯(lián)網(wǎng)信息科技力量不斷升級，醫(yī)院工作不斷擴大完善的情況下，如今醫(yī)院信息建設(shè)中被具體劃分為護(hù)士工作站、門診醫(yī)師工作站、收費系統(tǒng)等不同的VLAN，在不同的VLAN 切換以及訪問的時候，VLAN 端口上會有專門限制病毒的渠道，能夠避免外來程序、木馬、病毒等侵入，保證醫(yī)院網(wǎng)絡(luò)的使用通暢和安全。

3 醫(yī)院信息化系統(tǒng)終端安全保護(hù)

終端安全區(qū)別于服務(wù)器安全的操作，顧名思義終端即為醫(yī)院各個科室、各個醫(yī)務(wù)工作者所參與醫(yī)療工作使用的計算器系統(tǒng)，其管理極大程度上依賴于每一位工作人員，因此其安全隱患也較為突出。

3.1 建立內(nèi)網(wǎng)管理系統(tǒng)

首先，醫(yī)院需要根據(jù)自己的實際情況出發(fā)，建設(shè)專門屬于醫(yī)院操作的軟件系統(tǒng)。醫(yī)院需要系統(tǒng)性地對目前使用的終端以及崗位做出分類和管理，有針對性地做好特征、信息的分類作業(yè)。針對使用的終端計算機進(jìn)行有效控制，在光驅(qū)、軟驅(qū)、USB和硬盤等組件上做好控制，就打印機、屏幕等外接設(shè)備也要做好控制工作。要分發(fā)系統(tǒng)的補丁，確保每一臺終端計算機都處于最新更新狀態(tài)，減少被外部攻擊的可能性。就醫(yī)院內(nèi)部使用的終端計算機，需要對其配置軟件和防火墻做好監(jiān)控，嚴(yán)禁杜絕任何醫(yī)務(wù)工作人員私自安裝或卸載第三方軟件。需要為終端計算機做好一定的監(jiān)控系統(tǒng)，做到不間斷檢查當(dāng)前工作人員使用終端的情況，如果醫(yī)務(wù)人員有違規(guī)行為或計算機遭到入侵的情況，會在第一時間觸發(fā)警報告知中心服務(wù)器，引導(dǎo)技術(shù)人員進(jìn)行操作，預(yù)防風(fēng)險問題產(chǎn)生。要利用好當(dāng)前局域網(wǎng)發(fā)展的優(yōu)勢，為每一臺終端計算機的IP 地址與MAC 地址向上匯報、統(tǒng)一，避免任何APR 病毒對醫(yī)院的同一系統(tǒng)和網(wǎng)段計算機的共同打擊。

與此同時，做好虛擬局域網(wǎng)工作也是保證醫(yī)院信息化建設(shè)的有力措施。目前，該技術(shù)被運用在不同的邏輯上將用戶與設(shè)備劃分，有針對性地被運用在不同部門、不同崗位之上，使得利用局域網(wǎng)的情況下，即可實現(xiàn)終端設(shè)備之間的聯(lián)通。這也是虛擬局域網(wǎng)中，“虛擬”含義的具體體現(xiàn)。虛擬局域網(wǎng)除了能夠進(jìn)一步保障相關(guān)計算機使用過程中的安全性，還需要在VLAN 與交換機進(jìn)行連接的時候，通過VLAN 技術(shù)即可連通不同的子網(wǎng)，只需要一個獨立的數(shù)據(jù)包即可完成接、發(fā)收信息的工作。這樣就降低了信息流入互聯(lián)網(wǎng)的可能性，網(wǎng)絡(luò)拓?fù)涞男Ч哺谩５擁椉夹g(shù)的實施大多需要專業(yè)的計算機與互聯(lián)網(wǎng)技術(shù)人員，僅僅依托于醫(yī)院現(xiàn)有技術(shù)難以實現(xiàn)，需要第三方社會機構(gòu)以及政府予以助力。

3.2 建立防病毒系統(tǒng)

做好醫(yī)院終端計算機的病毒預(yù)防工作，也是信息化建設(shè)過程中重要任務(wù)。鑒于醫(yī)院的信息安全相對較為重要，醫(yī)院方面需要專門設(shè)置一臺服務(wù)器用于防病毒工作，實現(xiàn)對所有終端的實時監(jiān)控和保護(hù)，良好其管理效益。例如，服務(wù)器能夠監(jiān)控到郵件、收發(fā)文件等過程中對病毒的檢測，一旦出現(xiàn)問題進(jìn)行警報；定期全方位地掃描終端等。服務(wù)器的最大意義在于一旦病毒庫和木馬庫更新，能夠保證計算機在最新的防護(hù)庫下運作，保證安全性。防火墻軟件能夠在同一的聯(lián)動下運作，即使計算機本身沒有防火墻，也可以在服務(wù)器的共同運作下接入網(wǎng)絡(luò)，以規(guī)范的姿態(tài)作業(yè)。

3.3 工作站軟件的權(quán)限管理

為了避免人為原因造成醫(yī)院信息泄露的情況出現(xiàn)，針對不同的終端和計算機，需要配備有專門工作人員的工號以及口令，如果沒有相應(yīng)的操作授權(quán)和口令，計算機并不能被投入使用。工作人員自身也需要保證不直接改變系統(tǒng)設(shè)置，嚴(yán)禁使用U盤等可移動設(shè)備將數(shù)據(jù)和信息導(dǎo)出，確保使用過程中的獨立與安全。

4 醫(yī)院計算機桌面安全管理系統(tǒng)

桌面安全管理系統(tǒng)是現(xiàn)代化醫(yī)院信息化建設(shè)過程中不可或缺的重要手段，能夠切實保證網(wǎng)絡(luò)使用的安全性。該技術(shù)的原理在于創(chuàng)建一個基于互聯(lián)網(wǎng)的虛擬桌面，在使用過程中能夠杜絕外部文件的直接傳輸，達(dá)到網(wǎng)絡(luò)的自動化隔斷目的。用戶的所有操作都是在集成的安全平臺上，信息交互也是基于端口而成的，不會使用原本的計算機資源，從根本上保證各類操作的安全性。桌面安全系統(tǒng)最大的特點在于邏輯隔離、文件傳輸控制、上網(wǎng)行為管理、應(yīng)用程序配置、病毒防范、高安全性、高易用性、高效性、穩(wěn)定性、實施與維護(hù)。能夠幫助醫(yī)務(wù)工作者在使用互聯(lián)網(wǎng)高分享、高開放的特征同時，降低潛在使用互聯(lián)網(wǎng)過程中出現(xiàn)的風(fēng)險以及隱患，達(dá)到高效率工作的同時，確保醫(yī)院信息、數(shù)據(jù)不外漏，形成良好的工作循環(huán)。

總之，隨著信息化技術(shù)的不斷發(fā)展，如何開展網(wǎng)絡(luò)安全保護(hù)工作也需要不斷提高認(rèn)識，通過對醫(yī)院信息化建設(shè)工作的分析，本文探索了醫(yī)院信息化網(wǎng)絡(luò)安全保護(hù)實踐策略。在有效的分析過程中作為相關(guān)技術(shù)人員，要全面提高專業(yè)能力，通過有效的進(jìn)行實踐與學(xué)習(xí)，才能不斷提高醫(yī)院信息化建設(shè)水平，希望通過以上探索，能夠為醫(yī)院日后可持續(xù)發(fā)展奠定良好基礎(chǔ)。