張曉燕

南京軍區(qū)南京總醫(yī)院 信息科，江蘇 南京 210002

醫(yī)院網(wǎng)絡(luò)的安全與管理是醫(yī)院信息系統(tǒng)（HIS）密不可分的一部分，涉及的范圍很廣，其穩(wěn)定性和安全性將直接影響到醫(yī)院業(yè)務(wù)的正常運轉(zhuǎn)。盡管不可能做到網(wǎng)絡(luò)的絕對安全，但通過對網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，積極采取提高網(wǎng)絡(luò)安全管理的措施，可以保證醫(yī)院網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運行和核心數(shù)據(jù)的安全[1-2]。

1 網(wǎng)絡(luò)安全技術(shù)的應(yīng)用

1.1 防火墻技術(shù)

防火墻是提供安全系統(tǒng)的硬件和軟件的組合，通常用來防止從外部到內(nèi)部網(wǎng)絡(luò)或Internet的未授權(quán)訪問。我院局部網(wǎng)和公眾網(wǎng)相連接的地方均通過硬件防火墻來隔離，而不是直接互接，我院HIS與南京市醫(yī)保系統(tǒng)、省醫(yī)保系統(tǒng)之間的實時互連，中間均采用了Nokia防火墻硬設(shè)備隔離，有效防止了外部攻擊，保護了內(nèi)部網(wǎng)絡(luò)的正常運行[3]。

1.2 指紋技術(shù)

指紋識別技術(shù)開創(chuàng)了個人身份鑒別的新時代。指紋是指人手指的圖案、斷點和交叉點上各不相同的紋路，具有不變性和唯一性的基本特征。通過指紋的比對來實現(xiàn)使用者身份的判斷，相比傳統(tǒng)的身份識別更加快捷和準確。HIS能否正常穩(wěn)定運行,保證醫(yī)院的網(wǎng)絡(luò)中心機房安全尤為重要,醫(yī)院領(lǐng)導(dǎo)也對網(wǎng)絡(luò)中心機房安全提出了更高層次的安全管理要求,普通門鎖系統(tǒng)和人工借還鑰匙管理已經(jīng)無法滿足實際需求。指紋識別能夠準確區(qū)分出哪些是授權(quán)用戶可以入內(nèi)，哪些是非法用戶,并阻擋該用戶入內(nèi)[4]，從而實現(xiàn)了對進入中心機房人員的管理。由此可以看出，指紋識別技術(shù)對網(wǎng)絡(luò)中心機房安全管理至關(guān)重要。

1.3 VLAN劃分

VlAN（虛擬局域網(wǎng)）是指在交換局域網(wǎng)的基礎(chǔ)上,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。VlAN可以控制廣播風暴，增強網(wǎng)絡(luò)的安全性和加強網(wǎng)絡(luò)管理[5]。我院局域網(wǎng)中含有政工網(wǎng)、醫(yī)學信息網(wǎng)等子網(wǎng)，由于功能定位的原因，對保留USB接口、光驅(qū)、軟驅(qū)有明確的規(guī)定。在VLAN劃分中，禁止未經(jīng)批準攜帶USB接口、光驅(qū)、軟驅(qū)的微機劃入VLAN，以防病毒入侵造成醫(yī)院局域網(wǎng)的故障。

1.4 EAD應(yīng)用

“端點準入防御”（EndpointAdmission Defense，EAD）系統(tǒng)是從網(wǎng)絡(luò)終端入手，具有層層安全審查與過濾功能，能確保每個接入終端都是安全的，使我們擁有一個“干凈”的網(wǎng)絡(luò)環(huán)境。該系統(tǒng)強制實施統(tǒng)一的醫(yī)院網(wǎng)絡(luò)安全策略，加強網(wǎng)絡(luò)終端的主動防御能力，防止“危險”“易感”終端接入網(wǎng)絡(luò)，實現(xiàn)端到端的安全防護體系，最終控制病毒、蠕蟲的蔓延[3,6]。

1.5 網(wǎng)絡(luò)質(zhì)量保障系統(tǒng)

NSA網(wǎng)絡(luò)質(zhì)量保障系統(tǒng)能夠通過首頁使得用戶快速查看局域網(wǎng)內(nèi)的網(wǎng)絡(luò)設(shè)備、用戶通知、資源圖表、用戶自定義關(guān)鍵SNMP性能數(shù)據(jù)報告和因特網(wǎng)接入流量匯總信息。這樣可以讓用戶快速了解局域網(wǎng)的大致網(wǎng)絡(luò)結(jié)構(gòu)。網(wǎng)絡(luò)管理員可以通過“設(shè)備搜索欄”中的設(shè)備名稱、設(shè)備狀態(tài)、IP地址來搜索關(guān)注的設(shè)備。其中設(shè)備狀態(tài)分為“正?！薄爱惓！薄半x線”。

NSA網(wǎng)絡(luò)質(zhì)量保障系統(tǒng)提供的機房拓撲圖可監(jiān)控機房中的設(shè)備。設(shè)備正常時，警示燈圖標為綠色，相應(yīng)的設(shè)備圖標也是正常顏色。當設(shè)備發(fā)生了故障，則對應(yīng)的警示燈設(shè)備圖標會出現(xiàn)紅色閃爍情況，并會集中顯示所有設(shè)備的溫濕度指標情況。能夠顯示出空調(diào)的工作狀態(tài)，如溫度、濕度、過濾器狀態(tài)、壓縮機狀態(tài)、風扇狀態(tài)等指標情況。顯示用戶指定服務(wù)器的CPU、內(nèi)存、硬盤等3項指標，CPU使用率顯示設(shè)備各個CPU的平均值，硬盤占有率顯示占用率最高的邏輯盤。當3項指標觸發(fā)用戶設(shè)定的閾值時，節(jié)點名稱顏色變紅，正常的時候是綠色。該系統(tǒng)詳細記錄了被監(jiān)管的節(jié)點、接口以及服務(wù)所發(fā)生的故障，故障產(chǎn)生的時間，以及恢復(fù)的時間。

1.6 殺毒軟件的應(yīng)用

我院服務(wù)器及及客戶端均裝有殺毒軟件，病毒庫每周升級、及時更新、實時監(jiān)控、智能主動防御。有效控制了客戶端文件及應(yīng)用程序病毒感染，保證了HIS在安全的網(wǎng)絡(luò)環(huán)境下運行。

2 網(wǎng)絡(luò)安全管理

2.1 工作人員配合公司對網(wǎng)絡(luò)設(shè)備巡檢并形成巡檢報告

通過對電腦硬件巡檢得到一些統(tǒng)計數(shù)據(jù),對數(shù)據(jù)分析后可以提出一些更好的服務(wù)建議,如對于客戶端重要數(shù)據(jù)信息,一定要注意經(jīng)常備份,防止設(shè)備故障、感染病毒時造成數(shù)據(jù)丟失。

通過對全院設(shè)備間交換機巡檢總結(jié)分析可以發(fā)現(xiàn)一些隱患，如有些設(shè)備間門沒有鎖，還存放著其他物品，無關(guān)人員可以隨意進出，極其重要的網(wǎng)絡(luò)設(shè)備無法得到基本的物理安全和相關(guān)正常工作環(huán)境。對具體的設(shè)備檢查如面板指示燈狀態(tài)，看是否有紅燈報警。

通過巡檢發(fā)現(xiàn)問題，一方面，巡檢人員及時處理、快速反饋，使存在的問題能在最短的時間內(nèi)得到解決，保證網(wǎng)絡(luò)正常穩(wěn)定運行；另一方面，提出合理化建議，形成巡檢報告以便查閱。

2.2 網(wǎng)絡(luò)安全分析會的定期召開

網(wǎng)絡(luò)安全分析會參加的人員主要是信息科工作人員和網(wǎng)絡(luò)安全保障技術(shù)公司代表,針對近期發(fā)生的一些網(wǎng)絡(luò)故障,大家一起進行技術(shù)交流,提出合理的行之有效的建議和解決辦法,討論并付與實施，堅決防范和杜絕類似問題的出現(xiàn)。實踐證明會議的召開使大家的主動性充分調(diào)動起來，積極參預(yù)疑難問題的解決，經(jīng)過大家的努力,我院網(wǎng)絡(luò)安全得到了有力的保障。

2.3 規(guī)章制度的實施

公司工作人員到院網(wǎng)絡(luò)中心需有信息科工作人員的陪同；公司工作人員所攜帶的筆記本電腦不準接入內(nèi)網(wǎng)；由于工作需要進入網(wǎng)絡(luò)使用的U盤、移動硬盤，必須經(jīng)過計算機工程技術(shù)人員同意并檢毒，未經(jīng)檢毒殺毒的U盤、移動硬盤等移動存儲介質(zhì)，絕對禁止上網(wǎng)使用；網(wǎng)絡(luò)信息系統(tǒng)所有設(shè)備的配置、安裝、調(diào)試必須由計算機工程技術(shù)人員負責，其他人員不得隨意拆卸和移動；網(wǎng)絡(luò)中心機房內(nèi)嚴禁存放易燃、易爆、易腐蝕及強磁性物品；網(wǎng)絡(luò)中心機房內(nèi)不準吸煙、進食、會客、大聲喧嘩；嚴禁無關(guān)人員上機操作，操作人員只應(yīng)進行本職責范圍內(nèi)的操作，禁止進行與本工作職責無關(guān)的工作；網(wǎng)絡(luò)管理人員須每天定時查看設(shè)備運轉(zhuǎn)情況，填寫日志，對錯誤事件及故障應(yīng)及時分析原因，切實解決問題[7-8]。加強回顧性故障分析研究工作，定期提供故障原因分析報告。采取針對措施，防止發(fā)生重大網(wǎng)絡(luò)故障。

[1]雍維林,沈洪超.淺談醫(yī)院信息網(wǎng)絡(luò)的安全[J].航空航天醫(yī)藥,2010,(5):807-808.

[2]黃威.淺談醫(yī)院信息系統(tǒng)的安全問題[J].科技創(chuàng)新導(dǎo)報,2011,(3):230.

[3]楊霜英,胡新勇,楊國斌,等.大型醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的安全保障策略[J].中國醫(yī)療設(shè)備,2009,24(10):37-38.

[4]何星星.指紋門禁在智能化樓宇中的應(yīng)用及實現(xiàn)[J].電腦知識與技術(shù),2010,6(17):4744.

[5]馬錫坤,徐旭東,劉安濱.我院VLAN劃分的組織與實施[J].醫(yī)療衛(wèi)生裝備,2007,28(4):37

[6]張桂華,羅平,郭劍峰.醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全管理思路[J].中國醫(yī)藥科學,2011,(12):140-141.

[7]毛曄沁.醫(yī)院網(wǎng)絡(luò)安全的技術(shù)實現(xiàn)與改進[J].信息安全與技術(shù),2011,(6):47-48.

[8]沈崑,楊松.醫(yī)院信息系統(tǒng)的安全建設(shè)與管理[J].中國醫(yī)療設(shè)備,2011,26(6):67-69.