成自力，盧道兵

淮安市第一人民醫(yī)院 計算機中心，江蘇 淮安 223300

0 前言

醫(yī)院內(nèi)部信息系統(tǒng)中，如果沒有安全可靠的醫(yī)院網(wǎng)絡(luò)，就沒有安全可靠的醫(yī)院信息系統(tǒng)（HIS），就不可能建立井然有序的醫(yī)療工作秩序。目前，醫(yī)院信息安全已逐漸得到領(lǐng)導(dǎo)的重視，開始加大資金投入，加快了醫(yī)院計算機安全體系建設(shè)的步伐。

1 安全防范體系結(jié)構(gòu)的建設(shè)

我院計算機信息系統(tǒng)安全防范體系結(jié)構(gòu)主要從自然環(huán)境、硬件、軟件及管理制度等4方面著手建立。計算機信息安全體系，見圖1。

1.1 機房自然環(huán)境監(jiān)控

服務(wù)器和主交換機等網(wǎng)絡(luò)核心設(shè)備所處的自然環(huán)境，是保證網(wǎng)絡(luò)設(shè)備可靠運行的重要因素。為此我們在供電系統(tǒng)中安裝了環(huán)境動力監(jiān)測設(shè)備（研華科技產(chǎn)品），用于監(jiān)測供配電系統(tǒng)中的市電、防雷接地、長延時UPS的工作狀態(tài)；對環(huán)境系統(tǒng)中精密空調(diào)、溫濕度的變化、漏水情況進行監(jiān)測。也可集成安防系統(tǒng)的溫感、煙感控制，能與空調(diào)、門禁、供配電系統(tǒng)聯(lián)動控制，從而達到有效地監(jiān)控機房的自然環(huán)境。

圖1 計算機信息安全體系

1.2 系統(tǒng)硬件建設(shè)

1.2.1 防火墻

為了防范外部網(wǎng)絡(luò)攻擊和入侵，我們采用NGFW4000防火墻來隔離HIS和互聯(lián)網(wǎng)。該軟件穩(wěn)定、可靠，功能豐富，較好地解決了各類醫(yī)保、農(nóng)合等接口與外部網(wǎng)絡(luò)連接的安全問題。

1.2.2 網(wǎng)絡(luò)冗余

（1）機房冗余。在住院大樓建立主機房后，又選址在距離住院大樓100 m以外的門診大樓建立災(zāi)難恢復(fù)機房，保證在主機房由于意外情況失效時，能夠無縫切換到災(zāi)備機房，不使系統(tǒng)中斷。

（2）服務(wù)器冗余。利用VERITAS將2臺HIS核心服務(wù)器分別部署在中心機房和災(zāi)備機房，并使用萬兆光纖相連，確保信息的高速交換和群集的自動切換。

（3）交換機冗余。在中心機房和災(zāi)備機房分別部署2臺核心交換機，再用單模光纖對應(yīng)相連，而匯聚交換機再分別接到其中1個機房的2個核心交換機上，實現(xiàn)雙路聯(lián)接，保證網(wǎng)絡(luò)的聯(lián)接可靠安全。

（4）網(wǎng)絡(luò)拓樸結(jié)構(gòu)。采取較為合理的網(wǎng)絡(luò)拓樸結(jié)構(gòu)實現(xiàn)網(wǎng)絡(luò)冗余備用，保證在部分光纖和網(wǎng)線損壞的情況下，能夠?qū)崿F(xiàn)迅速更換，其次是合理地劃分出多個虛擬局域網(wǎng)（VLAN），可實現(xiàn)訪問控制和減少廣播風(fēng)暴的發(fā)生。

1.3 軟件建設(shè)

1.3.1 防病毒軟件

我們采用趨勢科技防毒墻（網(wǎng)絡(luò)版），它是一種集中式管理軟件。防毒墻可保護連網(wǎng)服務(wù)器和PC機免受病毒/惡意軟件和惡意代碼的威脅，還可有效地查殺各種流行的病毒。

1.3.2 安全管理平臺

對于一個相對封閉的HIS，如果不考慮外來的入侵行為，面臨的風(fēng)險大多始于內(nèi)部。為此，要做好以下工作：① 入網(wǎng)控制，包括非法設(shè)備入網(wǎng)、合法設(shè)備帶毒入網(wǎng)、對存在缺陷終端的及時提醒、隔離等；② 傳統(tǒng)桌面管理，包括及時發(fā)現(xiàn)桌面設(shè)備的系統(tǒng)漏洞并自動分發(fā)補丁，確保終端用戶的行為受控，并做到事先預(yù)防、事中控制、事后審計，快速分發(fā)軟件、批量更改系統(tǒng)設(shè)置，從而實現(xiàn)遠程支持和控制；③ 移動介質(zhì)管理，防止U盤交叉使用、傳播木馬和病毒以及U盤泄密；④ 全面資產(chǎn)管理，了解全網(wǎng)的軟硬件清單，對網(wǎng)絡(luò)資產(chǎn)的生命周期進行跟蹤管理。

采用多維終端安全管理平臺（Mutil-dimensional Security Endpoint Management Platform，MSEP）可很好地解決上述各種問題。

1.3.3 “防統(tǒng)方”支撐平臺

目前，醫(yī)院工作的開展對信息系統(tǒng)的依賴性越來越強，鑒于上述情況，醫(yī)院迫切需要一套信息管理系統(tǒng)，對敏感數(shù)據(jù)進行實時監(jiān)控，對違規(guī)操作進行追根溯源和智能控制。這樣既可以防止非正常統(tǒng)方行為的發(fā)生，又可以保護醫(yī)院在耗材使用、患者信息、財務(wù)等方面的各項數(shù)據(jù)安全。本系統(tǒng)采用橫渡科技“防統(tǒng)方系統(tǒng)”軟件，對醫(yī)院統(tǒng)方行為進行監(jiān)控。既防止了醫(yī)院患者的信息外泄，又防止了醫(yī)院在經(jīng)營、財務(wù)、科研、辦公等方面的數(shù)據(jù)外泄，從而保護了院方的核心利益。

2 管理制度建設(shè)

提高安全意識，完善管理制度。信息安全除了從技術(shù)上下功夫外，同時也要充分認識計算機網(wǎng)絡(luò)安全關(guān)系到全院的各個部門，影響到每個員工，也要依靠配套的安全管理措施來規(guī)范每個員工的行為，大力提高安全意識，確保系統(tǒng)的安全。

（1）加強用戶密碼管理。對于系統(tǒng)管理員和數(shù)據(jù)庫管理員，不共用管理員和密碼，而使用各自的管理員和密碼，以便明確責(zé)任。做好普通用戶自己的密碼保管，定期提醒更換密碼。

（2）做好數(shù)據(jù)備份與故障恢復(fù)。每日檢查備份日志，確保數(shù)據(jù)的本地和異地備份順利完成。定期開展信息系統(tǒng)應(yīng)急演練，做好極端情況的手工處理，保證醫(yī)療流程的不中斷。

該計算機信息系統(tǒng)安全防范體系在我院已使用1年多的時間，系統(tǒng)運行穩(wěn)定，很好地提高了信息網(wǎng)絡(luò)的安全管理水平，極大地增強了網(wǎng)絡(luò)安全整體防范和預(yù)警能力。

[1]蔣蘋,王奕.計算機信息系統(tǒng)安全體系設(shè)計[J].計算機工程與科學(xué),2003,25(1):38-41.

[2]趙戰(zhàn)生.中國信息安全體系結(jié)構(gòu)基本框架域構(gòu)想[J].計算機安全,2002,11(1):44-47.

[3]吳書宏.基于局域網(wǎng)的安全設(shè)計的研究[J].電腦知識與技術(shù),2009,15(6):1361-1362.

[4]王偉.醫(yī)院局域網(wǎng)網(wǎng)絡(luò)安全分析[J].中外醫(yī)療,2011,(27):146.

[5]馬錫坤.醫(yī)院網(wǎng)絡(luò)終端準入控制解決方案[J].中國醫(yī)療設(shè)備,2011,26(11):30-32.

[6]鞏蕾,路萬里,王偉偉.構(gòu)建醫(yī)院網(wǎng)絡(luò)信息安全防護體系的探討[J].當代醫(yī)學(xué),2010,16(6):26-27.

[7]李娜,盧沙林.軍隊醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的安全分析[J].計算機與現(xiàn)代化,2011,(2):138-141.