王偉

(河南省鄭州市上街區(qū)中國長城鋁業(yè)公司總醫(yī)院(微機中心)鄭州 450041)

醫(yī)院是一特殊的服務(wù)行業(yè),醫(yī)院局域網(wǎng)系統(tǒng)的任何故障不僅會對醫(yī)院的正常業(yè)務(wù)造成影響,還可能會給醫(yī)院造成嚴重的經(jīng)濟損失和負面影響。我院是國家二級甲等綜合性企業(yè)醫(yī)院。我院從2002年開始實施計算機網(wǎng)絡(luò)化管理,聯(lián)網(wǎng)PC達200余臺,服務(wù)器5臺,交換機12臺。醫(yī)院管理信息化的發(fā)展使得與之配套的局域網(wǎng)系統(tǒng)的安全可靠運行顯得尤為重要。

1 醫(yī)院局域網(wǎng)安全隱患分析

隨著醫(yī)院計算機網(wǎng)絡(luò)化管理在為醫(yī)院帶來便利的同時,也給醫(yī)院帶來了一個嚴峻的考驗,那就是網(wǎng)絡(luò)系統(tǒng)的安全問題。調(diào)查顯示60%以上的員工利用內(nèi)部網(wǎng)絡(luò)處理私人事務(wù),這就使得醫(yī)院局域網(wǎng)系統(tǒng)運行環(huán)境“危機四伏”,其安全穩(wěn)定受到極大的挑戰(zhàn),具體涉及到的以下幾個不安全因素。

1.1 軟件漏洞

目前,醫(yī)院網(wǎng)絡(luò)操作系統(tǒng)廣泛使用的是WINDOWS操作系統(tǒng),任何操作系統(tǒng)及運行的軟件都存在各種各樣的漏洞,許多新型計算機病毒都是利用操作系統(tǒng)及軟件的漏洞進行傳染。

1.2 自然環(huán)境因素

包括機房的防雷、防靜電、防強電場、強磁場等;溫度、濕度、防塵、火災、雷電等天災以及事故都會對醫(yī)院局域網(wǎng)網(wǎng)絡(luò)造成嚴重的損害和影響。

1.3 計算機病毒

計算機病毒病毒一旦侵入醫(yī)院局域網(wǎng),短時間內(nèi)可以引起整個網(wǎng)絡(luò)系統(tǒng)癱瘓,甚至可以破壞數(shù)據(jù),繼而影響醫(yī)院的正常業(yè)務(wù)。我院2009年曾經(jīng)發(fā)生一次操作人員使用U盤將“威金”病毒傳染到醫(yī)院局域網(wǎng)而導致全網(wǎng)癱瘓的事情。

1.4 人為因素

操作人員安全意識不強,口令泄露,以及無意識的不當操作,甚至有些未經(jīng)授權(quán)的非法用戶通過冒名頂替、試探或其它辦法進入網(wǎng)絡(luò)系統(tǒng),人為有意識對網(wǎng)絡(luò)系統(tǒng)進行惡意攻擊、破壞、竊取或篡改網(wǎng)絡(luò)服務(wù)器數(shù)據(jù),這些都會對醫(yī)院局域網(wǎng)網(wǎng)絡(luò)安全帶來威脅、設(shè)備的損壞等等。

2 醫(yī)院網(wǎng)絡(luò)安全防范措施

醫(yī)院局域網(wǎng)安全問題是一個較為復雜的系統(tǒng)工程。要從人員管理、制度管理、技術(shù)(運維)管理三方面的因素來考慮。綜合運用入侵檢測、訪問控制、漏洞及病毒防護、網(wǎng)絡(luò)行為監(jiān)控等多項技術(shù),相互配合才能使醫(yī)院局域網(wǎng)的安全可靠得到保障。

為了提高醫(yī)院局域網(wǎng)的安全性,提出以下幾點安全策略。

2.1 設(shè)備安全系統(tǒng)

硬件系統(tǒng)是醫(yī)院局域網(wǎng)安全運行的物理基礎(chǔ),服務(wù)器、交換機、路由器是醫(yī)院網(wǎng)絡(luò)系統(tǒng)的核心,應(yīng)確保對這些設(shè)備的安全配置,保證非授權(quán)用戶不能任意訪問。我院目前實行全網(wǎng)范圍內(nèi)VLAN的劃分與管理;每個子網(wǎng)按部門劃分成多個工作組網(wǎng),實踐證明,VLAN劃分對于提高我院網(wǎng)絡(luò)安全性能,保證我院局域網(wǎng)安全平穩(wěn)運行不失為一項有力措施。

2.2 實時監(jiān)控掃描

目前我院在所有的聯(lián)網(wǎng)工作站上安裝有實時監(jiān)控系統(tǒng),識別、隔離被攻擊的設(shè)備,隨時監(jiān)控和記錄各個終端以及網(wǎng)絡(luò)設(shè)備的運行情況,同時它可以強化行為管理,對各種網(wǎng)絡(luò)行為和操作進行實施監(jiān)控,這樣就有效避免了由于用戶誤操作或內(nèi)部人員惡意攻擊所帶來的安全成脅,保證醫(yī)院局域網(wǎng)的安全性。

2.3 病毒防護系統(tǒng)

醫(yī)院局域網(wǎng)防病毒需建立統(tǒng)一集中的病毒防范體系.特別是針對重要的網(wǎng)段和服務(wù)器。在每臺服務(wù)器上安裝網(wǎng)絡(luò)版的殺毒軟件,在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的殺毒軟件。目前我院局域網(wǎng)使用的是卡巴斯基網(wǎng)絡(luò)版殺毒軟件,該殺毒軟件可以實行服務(wù)器端集中管理,客戶端自動分發(fā)安裝,服務(wù)器端一次升級,病毒特征庫自動分發(fā)至工作站。該軟件具有防病毒和防間諜軟件、網(wǎng)絡(luò)威脅防護和主動型威脅防護的功能。

2.4 網(wǎng)絡(luò)冗余技術(shù)

醫(yī)院局域網(wǎng)絡(luò)由于運行整個醫(yī)院的業(yè)務(wù)系統(tǒng),網(wǎng)絡(luò)作為數(shù)據(jù)處理及轉(zhuǎn)發(fā)中心,應(yīng)充分考慮利用光纖鏈路冗余等技術(shù)保證網(wǎng)絡(luò)的正常通暢。所以我院在每座樓宇的匯聚點均布有3路(6芯)光纖與機房連接,一路內(nèi)網(wǎng),一路外網(wǎng),其余作冗余備用線路。特殊地方,如醫(yī)生辦公室,影像科等,我們就布了8路雙絞線,其中4路給工作站用,2路用作電話線,其余作冗余備用。

2.5 完善制度加強管理

醫(yī)院局域網(wǎng)絡(luò)安全穩(wěn)定運行,需要建立一套符合醫(yī)院特點及一整套切實可行的安全制度。其次對于護士工作站、醫(yī)生工作站等計算機終端拆除光驅(qū)、軟驅(qū),關(guān)閉USB端口,添加CMOS密碼,并且使用多種方法對工作站作了一些限制和監(jiān)控等,軟件的安裝采用集中管理,指定專人負責。目前,我院大多數(shù)的通知、文件、數(shù)據(jù)查詢等都在醫(yī)院內(nèi)網(wǎng)上完成,員工間信息交流通過內(nèi)部OA系統(tǒng)完成。我們還對員工進行一些電腦應(yīng)用軟件及系統(tǒng)網(wǎng)絡(luò)安全方面的培訓,提高他們的專業(yè)技術(shù)知識。

3 結(jié)語

以上是我這幾年在網(wǎng)絡(luò)系統(tǒng)維護工作中積累的一些經(jīng)驗,希望能對和我院類似醫(yī)院的局域網(wǎng)管理有所幫助。局域網(wǎng)的安全與醫(yī)院利益息息相關(guān),一個安全的網(wǎng)絡(luò)系統(tǒng)的保護不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關(guān),而且和領(lǐng)導的決策及每個員工的安全操作等都有關(guān)系。網(wǎng)絡(luò)安全是動態(tài)的,新的Internet黑客站點、病毒與安全技術(shù)每日劇增,醫(yī)院網(wǎng)絡(luò)管理人員要掌握最先進的技術(shù),把握住醫(yī)院網(wǎng)絡(luò)安全的大門。

[1]孟祥初.網(wǎng)絡(luò)安全重在流程[N].通信產(chǎn)業(yè)報,2007.

[2]陳欣.安全網(wǎng)絡(luò)體系[N].中國計算機報,2004.

[3]劉德三,劉瑞琦.網(wǎng)絡(luò)安全事故防范[N].中國商報,2003.

[4]王秀和,楊明.計算機網(wǎng)絡(luò)安全技術(shù)淺析[J].中國教育技術(shù)設(shè)備,2007(5).