劉德健

（廣西醫(yī)科大學(xué)一附院 廣西 530021）

0 引言

計(jì)算機(jī)網(wǎng)絡(luò)已深入到醫(yī)院的每一個(gè)科室，從最早的 HIS、LIS到PACS，醫(yī)院的各項(xiàng)業(yè)務(wù)對(duì)網(wǎng)絡(luò)的依賴性越來(lái)越強(qiáng)，并且在網(wǎng)絡(luò)管理上有它的特性。醫(yī)院推行網(wǎng)絡(luò)管理意在為病人提供更加優(yōu)質(zhì)、高速的服務(wù)。確保網(wǎng)絡(luò)安全運(yùn)行與及時(shí)維護(hù)，才能避免不必要的醫(yī)療事故及糾紛發(fā)生，所以醫(yī)院應(yīng)更加重視網(wǎng)絡(luò)的安全維護(hù)。

1 醫(yī)院局域網(wǎng)自身安全因素

1.1 硬件安全問(wèn)題

硬件安全主要分兩種：一是計(jì)算機(jī)網(wǎng)絡(luò)硬件設(shè)備、設(shè)施以及其他媒體遭受人為或非人為因素事故，導(dǎo)致的破壞過(guò)程。二是由于網(wǎng)絡(luò)自身維護(hù)、安裝布線等導(dǎo)致的安全防護(hù)措施不力，如網(wǎng)線布局不合理、服務(wù)器資料無(wú)備份、交換機(jī)設(shè)置不合理、無(wú)防雷措施、未配不間斷電源(UPS)等。

1.2 安全管理問(wèn)題

安全意識(shí)不到位。使用者對(duì)病毒、木馬、黑客等的危害性了解不夠，沒(méi)有及時(shí)對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行修補(bǔ)漏洞，升級(jí)殺毒軟件，導(dǎo)致網(wǎng)絡(luò)存在較大的風(fēng)險(xiǎn)。黑客和計(jì)算機(jī)病毒正是利用這些漏洞，破壞系統(tǒng)的正常運(yùn)行。

缺乏網(wǎng)絡(luò)保護(hù)手段。很多醫(yī)院登陸網(wǎng)絡(luò)信息系統(tǒng)的操作是通過(guò)設(shè)置不同用戶，并給他們不同的權(quán)限來(lái)登陸的。當(dāng)計(jì)算機(jī)開(kāi)機(jī)后用戶名直接就顯示在面前，這樣一來(lái)黑客就可利用一些專門軟件強(qiáng)行破解用戶密碼，進(jìn)入醫(yī)院網(wǎng)絡(luò)系統(tǒng)。

缺少對(duì)內(nèi)的安全審核和監(jiān)控手段。對(duì)本院內(nèi)部人員的違規(guī)操作和侵入，沒(méi)有有效地監(jiān)控機(jī)制，造成網(wǎng)絡(luò)系統(tǒng)安全和資源被破壞。

2 醫(yī)院局域網(wǎng)安全保護(hù)措施

在了解了存在的安全隱患后，就應(yīng)該建立一套比較完整的安全體系，減少這些隱患的發(fā)生。

2.1 硬件安全維護(hù)

2.1.1 合理布線

在醫(yī)院的樓與樓之間采用光纖相聯(lián)，并且留有備份。接入層到終端盡量采用屏蔽雙絞線，線路之間避免交叉纏繞，并與電線保持一定距離以減小相互干擾。增加網(wǎng)點(diǎn)，使終端距交換機(jī)盡可能短，以減少信號(hào)衰減。

2.1.2 網(wǎng)絡(luò)中心安全措施

首先中心服務(wù)器使用不間斷電源(UPS)，保證24小時(shí)不間斷工作，防止因停電造成的數(shù)據(jù)丟失和損壞。對(duì)于中心服務(wù)器的配置，我醫(yī)院采用的是不同樓棟的中心機(jī)房雙核心交換機(jī)和雙核心服務(wù)器熱實(shí)時(shí)災(zāi)備模式，保證數(shù)據(jù)與中心服務(wù)器的同步。當(dāng)一臺(tái)核心交換機(jī)或核心服務(wù)器發(fā)生故障時(shí)，業(yè)務(wù)處理不受影響，保證了系統(tǒng)的正常運(yùn)行。從而能大大地提高系統(tǒng)安全性。

2.1.3 網(wǎng)絡(luò)設(shè)備維護(hù)

醫(yī)院信息系統(tǒng)中的數(shù)據(jù)靠網(wǎng)絡(luò)傳輸，網(wǎng)絡(luò)的正常運(yùn)行是醫(yī)院信息系統(tǒng)的基木條件，所以網(wǎng)絡(luò)設(shè)備的維護(hù)至關(guān)重要。路由器、交換機(jī)等設(shè)備需要定期檢測(cè)，查看指示燈狀態(tài)是否正常，各種插頭是否松動(dòng)，注意除垢、防水等。本院匯聚層交換機(jī)采用兩臺(tái)個(gè)Cisco 3750系列交換機(jī)作冗余，樓層交換機(jī)各插兩塊千兆光模塊連接，分別與兩臺(tái)匯聚層交換機(jī)相連，這樣當(dāng)一臺(tái)出現(xiàn)故障后另一臺(tái)能自動(dòng)進(jìn)入工作狀態(tài)，保證匯聚層到接入層的安全性能。

2.1.4 工作站安全措施

除了防塵、防水，聯(lián)網(wǎng)許可等，還應(yīng)為系統(tǒng)用GHOST做備份，當(dāng)系統(tǒng)被破壞時(shí)可快速恢復(fù)系統(tǒng)。

2.2 軟件安全維護(hù)

2.2.1 操作系統(tǒng)的安全維護(hù)

目前，一般醫(yī)院服務(wù)器和工作站的操作系統(tǒng)多采用微軟WINDOWS系列操作系統(tǒng)，這就要求對(duì)計(jì)算機(jī)使用的帳號(hào)、用戶權(quán)限、網(wǎng)絡(luò)訪問(wèn)以及文件訪問(wèn)等實(shí)行嚴(yán)格的控制和管理，及時(shí)下載和打好系統(tǒng)補(bǔ)丁，盡可能關(guān)閉不需要的端口，以彌補(bǔ)系統(tǒng)漏洞帶來(lái)的各類隱患。對(duì)各類工作站和服務(wù)器的CMOS設(shè)置密碼，取消不必要的光驅(qū)、軟驅(qū)，以及屏蔽USB接口，以防止外來(lái)光盤、軟盤和U盤的使用。

2.2.2 安裝網(wǎng)絡(luò)殺毒軟件

當(dāng)今，計(jì)算機(jī)出現(xiàn)病毒種類繁多、變異速度快、傳播網(wǎng)絡(luò)化、隱蔽性強(qiáng)、危害多樣化、危害后果日趨嚴(yán)重等特點(diǎn)，一些惡性病毒除了攻擊計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的核心設(shè)備和資源、降低網(wǎng)絡(luò)運(yùn)行速率、造成網(wǎng)絡(luò)擁堵甚至癱瘓外，甚至盜竊被攻擊系統(tǒng)中的用戶帳號(hào)、密碼、機(jī)密資料、檔案等信息。醫(yī)院在構(gòu)建防病毒系統(tǒng)時(shí)，要針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對(duì)應(yīng)的殺毒軟件，如網(wǎng)絡(luò)版的趨勢(shì)防毒墻、諾頓殺毒軟件，通過(guò)全方位、多層次防毒系統(tǒng)配置實(shí)現(xiàn)病毒防治。對(duì)于局域網(wǎng)內(nèi)用戶終端，本院在所有計(jì)算機(jī)安裝上網(wǎng)絡(luò)版趨勢(shì)殺毒軟件，服務(wù)器端進(jìn)行病毒庫(kù)升級(jí)后客戶端會(huì)自動(dòng)下載升級(jí)，以保證終端用戶擁有最新的殺毒配置。對(duì)于服務(wù)器等有其他需要的計(jì)算機(jī)，則根據(jù)需要安裝相應(yīng)殺毒軟件。

2.2.3 安裝防火墻

防火墻是局域網(wǎng)的第一道防線，檢查和過(guò)濾進(jìn)出網(wǎng)絡(luò)的每一個(gè)數(shù)據(jù)包，保護(hù)醫(yī)院局域網(wǎng)免受外來(lái)攻擊。防火墻在局域網(wǎng)的安全建設(shè)中起著重要作用，給局域網(wǎng)裝上防火墻非常必要。

2.2.4 應(yīng)用程序的安全維護(hù)

良好的醫(yī)院信息管理系統(tǒng)必須在實(shí)際應(yīng)用中不斷修正、完善和發(fā)展。以醫(yī)院信息管理系統(tǒng)為中心，醫(yī)院網(wǎng)管應(yīng)做好應(yīng)用軟件實(shí)際需求和軟件開(kāi)發(fā)商之間的協(xié)調(diào)工作，使醫(yī)院局域網(wǎng)系統(tǒng)既能更好的為醫(yī)院各項(xiàng)業(yè)務(wù)服務(wù)，又能確保醫(yī)院局域網(wǎng)的安全，穩(wěn)定運(yùn)行。

2.3 數(shù)據(jù)安全

2.3.1 數(shù)據(jù)備份工作

醫(yī)院信息系統(tǒng)數(shù)據(jù)量大、數(shù)據(jù)結(jié)構(gòu)復(fù)雜，而這些數(shù)據(jù)的安全是工作的重點(diǎn)。要重視數(shù)據(jù)安全問(wèn)題，對(duì)數(shù)據(jù)及時(shí)備份，包括本機(jī)備份和異地備份，本地備份就是每天在一個(gè)固定時(shí)段備份數(shù)據(jù)；異地備份采用每天兩次將數(shù)據(jù)備份到另一棟樓房?jī)?nèi)的電腦中，以確保災(zāi)難性事件發(fā)生后數(shù)據(jù)的完整與安全，另外還采取半年作一次數(shù)據(jù)轉(zhuǎn)儲(chǔ)，將轉(zhuǎn)儲(chǔ)出來(lái)的數(shù)據(jù)分別存放在不同的移動(dòng)存儲(chǔ)器中。

2.3.2 防病毒工作

數(shù)據(jù)庫(kù)是醫(yī)院局域網(wǎng)業(yè)務(wù)系統(tǒng)的核心，它的安全性相當(dāng)重要。現(xiàn)實(shí)中病毒、黑客、木馬無(wú)處不在，首先加強(qiáng)全院職工的教育，將防病毒工作深入人心，使其自覺(jué)維護(hù)網(wǎng)絡(luò)安全，維護(hù)醫(yī)院利益；其次是使用網(wǎng)絡(luò)版的趨勢(shì)防毒軟件或安信防火墻，專人定時(shí)更新病毒庫(kù)。對(duì)終端桌面進(jìn)行不定期檢查監(jiān)控，及時(shí)發(fā)現(xiàn)違規(guī)操作給予糾正并對(duì)違規(guī)行為提出警告，對(duì)終端的光驅(qū)及USB接口進(jìn)行屏蔽，嚴(yán)禁外來(lái)設(shè)備接入，從而減少病毒感染的可能，從技術(shù)上保證網(wǎng)絡(luò)的安全。選擇SEP l1．0作防護(hù)軟件，它將SAV與高級(jí)威脅防御功能相結(jié)合，可以為筆記本、臺(tái)式機(jī)和服務(wù)器提供無(wú)與倫比的惡意軟件防護(hù)能力。

2.4 操作人員的安全意識(shí)

2.4.1 網(wǎng)絡(luò)的權(quán)限控制

根據(jù)訪問(wèn)權(quán)限將用戶分為系統(tǒng)管理員、一般用戶。嚴(yán)格限制系統(tǒng)管理員個(gè)數(shù)，并限定使用某些模塊的最高權(quán)限。一些特殊模塊如藥庫(kù)管理、門診藥房、住院藥房要專人專用，給予他們相應(yīng)權(quán)限，要經(jīng)常更改用戶口令，以防被人竊取。

2.4.2 強(qiáng)化醫(yī)務(wù)人員的網(wǎng)絡(luò)安全教育

醫(yī)院內(nèi)部員工的網(wǎng)絡(luò)安全教育相當(dāng)重要，要讓大家了解計(jì)算機(jī)病毒的危害、網(wǎng)絡(luò)黑客的危害等，逐步網(wǎng)絡(luò)使用人員養(yǎng)成網(wǎng)絡(luò)安全責(zé)任，為確保局域網(wǎng)系統(tǒng)的安全，應(yīng)慎用U盤、移動(dòng)硬盤等存儲(chǔ)介質(zhì)，應(yīng)升級(jí)病毒系統(tǒng)和定時(shí)殺毒，慎用資源共享；對(duì)于業(yè)務(wù)需要的應(yīng)用軟件，應(yīng)設(shè)置使用口令；使用好相關(guān)的應(yīng)用軟件后，應(yīng)及時(shí)退出自己的工號(hào)；對(duì)于計(jì)算機(jī)的任何疑問(wèn)，應(yīng)及時(shí)聯(lián)系計(jì)算機(jī)管理員。

2.5 建立完備的應(yīng)急方案

首先，網(wǎng)絡(luò)要有良好的供電環(huán)境，能夠保證主服務(wù)器、網(wǎng)絡(luò)交換設(shè)備及相關(guān)工作站(其中包括門診收費(fèi)、門診發(fā)藥工作站等)不間斷供電。其次，根據(jù)門診工作實(shí)時(shí)性要求高的特點(diǎn)，應(yīng)當(dāng)準(zhǔn)備備用客戶機(jī)，能夠在客戶機(jī)出現(xiàn)崩潰而一時(shí)半會(huì)不能恢復(fù)的情況下，及時(shí)更換備用客戶機(jī)，保持門診工作的連續(xù)性。

[1]趙曉云，孫宏杰．淺談醫(yī)院信息系統(tǒng)的安全[J]．醫(yī)學(xué)信息學(xué).2005，5(18)：455.

[2]張會(huì)芹.醫(yī)院網(wǎng)絡(luò)的安全維護(hù)措施[J]．中國(guó)醫(yī)院統(tǒng)計(jì).2005，2(12)：191—192.