康伯峰，張侃懷，木 森，臧國(guó)華，程 遠(yuǎn)，段雪蓮，趙 俊

中小醫(yī)院網(wǎng)絡(luò)安全管理的體會(huì)

康伯峰，張侃懷，木 森，臧國(guó)華，程 遠(yuǎn)，段雪蓮，趙 俊

醫(yī)院；網(wǎng)絡(luò)管理；體會(huì)

醫(yī)院信息化建設(shè)中信息安全是重中之重，而每日無休無止的網(wǎng)絡(luò)維護(hù)工作是最為繁雜的日常工作，因此，在信息化建設(shè)前期就要認(rèn)真做好網(wǎng)絡(luò)規(guī)劃，應(yīng)用中做好數(shù)據(jù)的備份，提高網(wǎng)絡(luò)防范的安全意識(shí)。筆者結(jié)合多年從事網(wǎng)絡(luò)維護(hù)管理經(jīng)驗(yàn)，主要從服務(wù)器管理、客戶端管理及人員素質(zhì)培養(yǎng)方面談一點(diǎn)自己的體會(huì)。

1 服務(wù)器安全

1.1 不同重要應(yīng)用應(yīng)分別建立各自專用服務(wù)器 醫(yī)院信息化的建設(shè)對(duì)服務(wù)器的要求比較高，數(shù)據(jù)庫(kù)技術(shù)與社會(huì)經(jīng)濟(jì)、生產(chǎn)發(fā)展和企業(yè)信息化有著緊密的聯(lián)系[1]。因此，不同的應(yīng)用應(yīng)建立不同的服務(wù)器。HIS服務(wù)器是醫(yī)院信息化的核心，應(yīng)建立雙機(jī)熱備或者安全更高的方案(如異地容災(zāi)等)。PACS服務(wù)由于要保存大量圖像數(shù)據(jù)，因此應(yīng)該采用帶有大容量存儲(chǔ)器的服務(wù)器。LIS服務(wù)數(shù)據(jù)量不大，系統(tǒng)相對(duì)前兩者比較簡(jiǎn)單，故可以采用較低配置的服務(wù)器。醫(yī)院要分別有HIS服務(wù)器、LIS服務(wù)器、PACS服務(wù)器等各種應(yīng)用服務(wù)器，根據(jù)我院管理的經(jīng)驗(yàn)，最好不要將其中兩個(gè)或3個(gè)服務(wù)全部裝在一臺(tái)服務(wù)器上，這樣是方便了維護(hù)，但是卻增加了風(fēng)險(xiǎn)。一旦服務(wù)器故障，恢復(fù)起來難度就會(huì)加大，就會(huì)涉及幾家軟件供應(yīng)商的支持。當(dāng)然，當(dāng)前正在流行的由幾臺(tái)服務(wù)器共同建設(shè)虛擬機(jī)的方法也是比較安全、使用起來又靈活的一種方法，對(duì)多種較小應(yīng)用來說，共用一臺(tái)服務(wù)器可以節(jié)省很多資源。 對(duì)于應(yīng)用較簡(jiǎn)單且容易安裝、管理又比較方便的服務(wù)，故障后對(duì)正常工作影響不是很大，可以將其安裝在同一臺(tái)服務(wù)器上，比如辦公自動(dòng)化系統(tǒng)(OA)、電子圖書館系統(tǒng)等。

1.2 服務(wù)器配置應(yīng)根據(jù)其重要性設(shè)置 醫(yī)院HIS服務(wù)器由于其關(guān)系到醫(yī)院日常業(yè)務(wù)能否正常開展，其數(shù)據(jù)的安全性應(yīng)該采用最高級(jí)別的安全措施，如不僅需要穩(wěn)定性較高的專用服務(wù)器，還需雙機(jī)熱備+異地容災(zāi)，并且配備24 h供電的CPU。LIS服務(wù)器可采用級(jí)別較低的每日用計(jì)劃任務(wù)備份+移動(dòng)介質(zhì)備份。PACS服務(wù)器因存儲(chǔ)大量的占用硬盤空間較大的圖片而需要專用存儲(chǔ)，要想做到數(shù)據(jù)異地備份和移動(dòng)介質(zhì)備份相對(duì)比較困難，應(yīng)配置性能穩(wěn)定的專用服務(wù)器和存儲(chǔ)。當(dāng)然，對(duì)于服務(wù)器的安全來講，沒有最好，只有更好，在醫(yī)院財(cái)力允許的情況下，不論什么服務(wù)器，應(yīng)是安全級(jí)別越高越好。

2 客戶端安全防范

在技術(shù)層面上，可以采取以下防范技術(shù)：通信加密、網(wǎng)絡(luò)分段、劃分VLAN、入侵檢測(cè)、漏洞掃描、安裝防火墻和殺毒軟件等[2]，下面簡(jiǎn)單列舉介紹幾種方法的管理細(xì)節(jié)：

2.1 醫(yī)院每月確定固定時(shí)間對(duì)全院電腦進(jìn)行殺毒 安裝網(wǎng)絡(luò)版瑞星殺毒軟件，定期升級(jí)病毒庫(kù)，每月確定固定時(shí)間升級(jí)醫(yī)院客戶端電腦病毒庫(kù)，設(shè)置空閑時(shí)段自動(dòng)殺毒。

2.2 客戶端電腦安裝限制移動(dòng)載體使用的管理軟件 例如限制U盤的隨意使用，切斷客戶終端非法外連。可以有效杜絕醫(yī)護(hù)人員非法接入無線網(wǎng)卡，切斷內(nèi)網(wǎng)(醫(yī)院內(nèi)部局域網(wǎng))與外網(wǎng)(軍事綜合信息網(wǎng)和互聯(lián)網(wǎng))真正意義上的物理互聯(lián)，從而提高內(nèi)網(wǎng)安全系數(shù)。內(nèi)網(wǎng)中的電腦互相訪問可以通過一些文件傳輸工具，如飛鴿和飛秋等，這樣既保證了網(wǎng)絡(luò)內(nèi)部的安全，也方便了醫(yī)院內(nèi)部的信息交流與傳遞。

2.3 采用三層交換機(jī) 將HIS、PACS、LIS分別劃分成不同的網(wǎng)段(VLAN)，如HIS服務(wù)器和客戶端使用202.202.160.X/24網(wǎng)段，PACS服務(wù)器和CR、DR、CT、MRI等分別使用同一個(gè)網(wǎng)段192.168.0.X/24，LIS服務(wù)器和各種檢驗(yàn)儀器使用同一個(gè)網(wǎng)段150.102.91.X/24。這樣可以有效地避免網(wǎng)絡(luò)故障時(shí)的互相牽連，有效地防止整個(gè)網(wǎng)絡(luò)癱瘓。為了能讓3個(gè)子網(wǎng)互相訪問，可以建立各自的網(wǎng)關(guān)。

3 信息使用者的管理

3.1 確定信息安全聯(lián)絡(luò)人 規(guī)范醫(yī)院網(wǎng)絡(luò)信息服務(wù)系統(tǒng)工作流程，利用好相關(guān)系統(tǒng)的結(jié)合使用，使功能性設(shè)施集中化管理[3]。每科確定一位聯(lián)絡(luò)員，要求對(duì)電腦操作較熟練，有一定電腦知識(shí)基礎(chǔ)的醫(yī)護(hù)人員，專門負(fù)責(zé)科內(nèi)人員使用電腦的培訓(xùn)和幫帶。將電腦的基本操作與應(yīng)用軟件使用情況作為醫(yī)院聯(lián)合大查房的考核內(nèi)容，確?？剖沂褂眯畔⒒ㄔO(shè)成果更加規(guī)范、有效。

3.2 增大培訓(xùn)力度和強(qiáng)度 定期對(duì)中老年醫(yī)護(hù)人員和新招人員進(jìn)行最新的電腦知識(shí)講解和操作技能培訓(xùn)，針對(duì)人員的不同特點(diǎn)，信息科人員輪流進(jìn)行具有針對(duì)性的授課，每月或每季度講一次，將講課形成一種制度。對(duì)實(shí)習(xí)生和進(jìn)修人員實(shí)行上崗前培訓(xùn)和授課，讓他們了解醫(yī)院的信息化發(fā)展，掌握醫(yī)院各個(gè)子系統(tǒng)的使用方法。

3.3 人性化管理提高工作效率 購(gòu)買電腦設(shè)備應(yīng)該充分考慮科室的具體情況，對(duì)于中老年醫(yī)護(hù)人員居多的科室應(yīng)配備手寫筆，打印機(jī)的數(shù)量要根據(jù)具體使用量來定，沒有必要每臺(tái)電腦都配備打印機(jī)、放射科電腦都配備豎屏、所有科室會(huì)議室都配備多媒體設(shè)備?；颊咻^多的科室，應(yīng)該配備人手一臺(tái)電腦，方便醫(yī)生錄入患者信息和書寫病歷。

3.4 限定人員權(quán)限保障網(wǎng)絡(luò)安全 不同人員設(shè)定不同的權(quán)限，控制用戶對(duì)特定數(shù)據(jù)的訪問[4]。醫(yī)院網(wǎng)絡(luò)用戶涉及醫(yī)生、護(hù)士、醫(yī)技、管理人員等，合理設(shè)置用戶的使用權(quán)限，能有效保障網(wǎng)絡(luò)的訪問安全。

4 信息中心網(wǎng)絡(luò)工程師的要求

信息中心屬于醫(yī)院網(wǎng)絡(luò)的中心，是醫(yī)院信息化的大腦所在地，因此，要求網(wǎng)絡(luò)工程師具備扎實(shí)的網(wǎng)絡(luò)管理知識(shí)與技能，熟悉醫(yī)院的網(wǎng)絡(luò)布局和各個(gè)網(wǎng)絡(luò)接入點(diǎn)。醫(yī)院定期指派網(wǎng)絡(luò)工程師外出進(jìn)修與學(xué)習(xí)，包括參觀其他同等醫(yī)院的信息化建設(shè)、參加全軍信息化會(huì)議等。

一般在綜合性醫(yī)院，網(wǎng)絡(luò)布局多，比較復(fù)雜，樓宇較多，而網(wǎng)絡(luò)管理者較少，因此，掌握扎實(shí)的遠(yuǎn)程調(diào)控方法，能事半功倍，起到意想不到的效果。通過高度集成的通訊和計(jì)算機(jī)網(wǎng)絡(luò)，實(shí)現(xiàn)網(wǎng)絡(luò)的最優(yōu)化管理[5]，提高異地處理應(yīng)急問題的能力，可以更好地解決醫(yī)院容災(zāi)難的課題。

將找問題形成一種制度。定期下科室抽查，如通過每周的“醫(yī)院聯(lián)合大查房”排查醫(yī)院網(wǎng)絡(luò)信息的安全情況和科室人員軟件應(yīng)用的操作熟練情況，并且做出書面評(píng)估，做到故障前的未雨綢繆，做有準(zhǔn)備的網(wǎng)絡(luò)管理者。

總之，網(wǎng)絡(luò)安全管理是一個(gè)長(zhǎng)期積累和完善的過程，因此，建立完善的機(jī)房管理制度、完善的網(wǎng)絡(luò)使用制度、責(zé)任到人的設(shè)備管理制度、安全教育培訓(xùn)制度、網(wǎng)絡(luò)安全應(yīng)急預(yù)案和定期網(wǎng)絡(luò)評(píng)估制度等[6]，將制度與人的主觀能動(dòng)性很好地結(jié)合在一起，才能最大限度地保證醫(yī)院網(wǎng)絡(luò)的安全。

[1] 李迎豐.數(shù)據(jù)庫(kù)技術(shù)和數(shù)據(jù)倉(cāng)庫(kù)技術(shù)的比較研究[J].科技情報(bào)開發(fā)與經(jīng)濟(jì),2004,14(10):265-267.

[2] 鄭愛萍.關(guān)于局域網(wǎng)安全管理問題的分析和探討[J].網(wǎng)絡(luò)與信息，2011,4:58-60.

[3] 羅逸寧.論醫(yī)院網(wǎng)絡(luò)信息服務(wù)系統(tǒng)應(yīng)用管理[J].中外醫(yī)療,2011(10):190.

[4] 柳青.醫(yī)院信息系統(tǒng)的安全維護(hù)與管理[J].醫(yī)學(xué)信息,2008,21(10):1761-1762.

[5] 郝小星.智能小區(qū)網(wǎng)絡(luò)的系統(tǒng)設(shè)計(jì)[J].科技情報(bào)開發(fā)與經(jīng)濟(jì),2013,13(3):92-93.

[6] 胡智鋒.淺析內(nèi)網(wǎng)安全認(rèn)識(shí)上的誤區(qū)[J].武漢商業(yè)服務(wù)學(xué)院學(xué)報(bào),2011,25(1):71-73.

671003 云南 大理，解放軍60醫(yī)院經(jīng)管信息科(康伯峰，張侃懷，臧國(guó)華，程 遠(yuǎn)，段雪蓮)，醫(yī)務(wù)處(木 森，趙 俊)

R 197.32

A

1004-0188(2014)01-0096-02

10.3969/j.issn.1004-0188.2014.01.043

2013-03-14)