查玉龍 陳培培

【摘要】為了能剛夠保證醫(yī)學院醫(yī)療業(yè)務的正常發(fā)展應加強對醫(yī)院信息系統(tǒng)的管理，本文詳細分析了醫(yī)院信息系統(tǒng)所面臨的眾多安全隱患，以及介紹了網(wǎng)絡信息安全管理的措施。

【關鍵詞】醫(yī)院信息系統(tǒng);信息安全;網(wǎng)絡安全;網(wǎng)絡管理

雖這信息網(wǎng)絡技術的不斷發(fā)展，醫(yī)院的信息技術離不開網(wǎng)絡的推動，醫(yī)院信息在網(wǎng)絡技術作用下聯(lián)系在一起，醫(yī)院的醫(yī)療工作在信息網(wǎng)絡的幫助下效率得到很大的提高。極大的提高了元醫(yī)療效率。

1.醫(yī)院信息系統(tǒng)面臨的安全威脅

醫(yī)院信息系統(tǒng)是一個多業(yè)務、多角色、多模塊的信息系統(tǒng)，其受到安全威脅也比較復雜。

（1）惡意攻擊是醫(yī)院計算機網(wǎng)絡所面臨的最大威脅，由于業(yè)務的需要醫(yī)院信息系統(tǒng)與很多合作單位之間通過網(wǎng)絡連接共享信息，如醫(yī)院業(yè)務系統(tǒng)需要與醫(yī)保、新農合等社保網(wǎng)絡連接及數(shù)據(jù)傳輸，這樣就給黑客攻擊、病毒及蠕蟲等帶來入侵機會。

（2）信息系統(tǒng)管理權限混亂，存在越崗、代崗現(xiàn)象，存在用戶賬號被濫用和業(yè)務數(shù)據(jù)被非法讀取等安全隱患，有些合法用戶利用計算機技術訪問其權限之外的系統(tǒng)資源，有些非法用戶假冒合法用戶的身份訪問其應用資源等安全隱患。

（3）網(wǎng)絡設備工作環(huán)境惡劣也會給信息網(wǎng)絡帶來安全隱患，醫(yī)院信息系統(tǒng)要求網(wǎng)絡設備全天不間斷的運行，這要求設備工作環(huán)境（特別是中心機房環(huán)境）必須滿足規(guī)程要求。

（4）操作不當也是信息網(wǎng)絡故障的常見原因，如管理人員的安全意識薄弱，保密意識不強，長時間不做修改更新密碼或密碼過于簡單，這容易導致密碼被非法用戶破解，管理人員的個人素質不高，如操作人員對操作流程不熟悉或工作責任心差，都給信息網(wǎng)絡帶來安全隱患。

（5）操作系統(tǒng)漏洞給黑客入侵及惡意攻擊提供了便利，這需要系統(tǒng)及時更新造作系統(tǒng)補丁，如不及時打補丁，即使有正版殺毒軟件的保護，黑客、非法用戶也會通過多種方法實施攻擊，截獲、竊取及破譯機密信息。

2.網(wǎng)絡安全管理

通過建立技術先進、管理完善、機制健全建立醫(yī)院信息網(wǎng)絡安全管理體系，保證醫(yī)院信息網(wǎng)絡安全可靠暢通運行。

2.1 醫(yī)院網(wǎng)絡內部管理

（1）建立網(wǎng)絡安全管理規(guī)章制度

加強醫(yī)院網(wǎng)絡安全管理的重要措施之一就是建立健全網(wǎng)絡安全管理規(guī)章制度，提高醫(yī)院全員認識到醫(yī)院網(wǎng)絡安全管理重要性，設立以院領導為核心的信息安全領導小組，明確領導小組相應責任并落實信息管理人員責任，加大投入資金，對網(wǎng)絡安全管理軟硬件設備進行更新升級，對網(wǎng)絡安全管理專業(yè)隊伍需要加強建設，信息網(wǎng)絡人員必須要有責任心及熟練的網(wǎng)絡應用技術，同時要堅持管理創(chuàng)新及技術創(chuàng)新，根據(jù)本院信息網(wǎng)絡的運行情況，制定應對網(wǎng)絡危機的預案。

（2）網(wǎng)絡安全教育

網(wǎng)絡安全工作的主體是人， 醫(yī)院的各級領導、組織和部門工作人員從思想和行動上都要重視醫(yī)院信息系統(tǒng)網(wǎng)絡安全，提高全員安全意識，樹立安全人人有責，由于醫(yī)院的內部網(wǎng)絡涉及臨床科室、醫(yī)技科室、職能科室等部門，計算機操作水平參差不齊，因此，必須定期培訓計算機網(wǎng)絡客戶端的使用人員，使他們具有一些計算機方面的專業(yè)知識，盡量減輕醫(yī)院計算機網(wǎng)絡信息系統(tǒng)管理人員的工作壓力，當其客戶端出現(xiàn)問題之后能得到及時的解決，減少人為的差錯及故障發(fā)生。

（3）網(wǎng)絡設備管理

網(wǎng)絡設備是整個信息網(wǎng)絡安全的基礎， 整個網(wǎng)絡中的關鍵設備包括服務器、數(shù)據(jù)儲存、中心交換機、二級交換機、光纜等，因此這些設備的性能直接影響到整個信息系統(tǒng)的安全運行，從可靠性、穩(wěn)定及容易升級等方面對網(wǎng)絡設備進行選擇，對重要設備最好采用雙機熱備份的方式實現(xiàn)系統(tǒng)集群，還要配備兩套UPS電源，避免突然斷電造成服務器數(shù)據(jù)流失，提高系統(tǒng)可用性，服務器以主從或互備方式工作，當一旦某臺設備發(fā)生故障，另外一臺設備可以立即自動接管，變成工作主機，將系統(tǒng)中斷影響降到最低;此外，使用物理隔離設備將外部互聯(lián)網(wǎng)和內部信息系統(tǒng)進行隔離，確保重要數(shù)據(jù)不外泄。

（4）實時監(jiān)控用戶上網(wǎng)行為

應用主機安全監(jiān)控系統(tǒng)，實現(xiàn)對用戶上網(wǎng)行為的實時監(jiān)控，從而讓網(wǎng)管及時了解和控制局域網(wǎng)用戶的的上網(wǎng)行為，在加強安全防護的同時也可以提高工作效率。主機安全監(jiān)控系統(tǒng)可以對內部人員上網(wǎng)行為日志、客戶端訪問行為、終端行為日志、醫(yī)院IT開發(fā)運維人員訪問行為等信息進行監(jiān)控、記錄、審計能力，結合日志數(shù)據(jù)挖掘技術和關聯(lián)分析功能，實現(xiàn)對非法行為的實時告警，輸出符合醫(yī)院紀委監(jiān)察部門要求的完整的事件報告，既能夠及時發(fā)現(xiàn)并阻斷非法行為，也可以監(jiān)控某些人員利用其特權對敏感數(shù)據(jù)進行非法復制。

（5）數(shù)據(jù)備份

為了防止信息系統(tǒng)中的數(shù)據(jù)丟失，可以采用雙機備份方式。兩臺服務器采用相同的配置，安裝相同的系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，實時將主服務器上數(shù)據(jù)庫備份到備用服務器上，當主服務器無法正常工作時，啟用備用服務器項替工作，同時信息系統(tǒng)管理部門可以采用一些有關的備份軟件對其醫(yī)院計算機網(wǎng)絡信息系統(tǒng)的數(shù)據(jù)進行及時的監(jiān)測，當這些數(shù)據(jù)出現(xiàn)安全方面的問題時，及時對其數(shù)據(jù)進行備份;此外，也可采用實時備份數(shù)據(jù)庫，采用數(shù)據(jù)鏡像增量備份方式。

（6）定期進行安全分析，對新發(fā)現(xiàn)的安全隱患進行整改

運用技術手段定期進行安全分析，及時發(fā)現(xiàn)安全隱患并快速清除是完善醫(yī)院網(wǎng)絡安全管理的重要措施。定期進行安全分析是研究信息系統(tǒng)是否存在的漏洞缺陷，是否存在風險與威脅，針對發(fā)現(xiàn)的安全隱患，制定出相應的控制策略，主要是從軟件設置、物理環(huán)境、電源配送、權限分配、網(wǎng)絡管理、防火、防水、防盜、服務器交換機管理、溫度濕度粉塵、人員培訓及安全教育等各方面進行分析，尋找出當前的安全隱患，針對這些隱患提出有針對性的解決方案。

2.2 防止外來入侵

（1）中心機房管理

作為醫(yī)院信息系統(tǒng)的“神經(jīng)中樞”及數(shù)據(jù)存儲中心的機房安全是整個信息系統(tǒng)安全的前提，中心機房的安全應注意機房用電安全技術、防火、計算機設備及場地的防雷和計算機機房的場地環(huán)境的要求等問題，為了避免人為或自然破壞設備，應盡可能保證各通信設備及相關設施的物理安全，使系統(tǒng)和設備處于良好的工作環(huán)境，對于信息網(wǎng)絡的可靠性，可以通過冗余技術實現(xiàn)，包括設備冗余、處理器冗余、鏈路冗余、模塊冗余、電源冗余等技術來實現(xiàn)。

（2）計算機病毒防護

杜絕病毒傳染源是防范病毒最有效的辦法，除特殊科室需要外，將所有網(wǎng)絡工作站的外部輸入設備（如光驅、軟驅等）撤除，所有內網(wǎng)的計算機不準接U盤，在服務器及每個工作站點采用多層的病毒防衛(wèi)體系，此外，還可以使用桌面管理軟件來自動從系統(tǒng)廠商下載補丁，自動檢查客戶端需要安裝的補丁、已經(jīng)安裝的補丁和未安裝的補丁，以及限制或禁止移動存儲介質的接入，減少病毒傳播的途徑，從而減少醫(yī)院網(wǎng)絡受到病毒的威脅。

（3）防止黑客入侵

防止黑客入侵是醫(yī)院網(wǎng)絡安全工作的重點，可以采用防火墻技術、身份認證與授權技術等技術防止黑客入侵。其中，防火墻技術是在醫(yī)院內部網(wǎng)和醫(yī)院外部網(wǎng)之間的界面上構造一個保護層，對出入醫(yī)院網(wǎng)絡的訪問和服務進行審計和控制;在防火墻基礎上，建立黑客入侵檢測系統(tǒng)，對黑客入侵、非法登錄、DDOS攻擊、病毒感染與傳播、非法外連等進行監(jiān)控，對網(wǎng)絡設備、網(wǎng)絡通訊通道等進行監(jiān)控，詳細掌控各類網(wǎng)絡設備的運行狀態(tài)，實時監(jiān)督分析通道質量狀況，對各類終端用戶的補丁安裝、軟件安裝、外接設備（U盤）等操作進行實時監(jiān)控管理，發(fā)現(xiàn)有違規(guī)行為及時報警，也可以自動啟動阻止機制來控制非法行為;在醫(yī)院信息系統(tǒng)中，采用數(shù)字簽名技術實現(xiàn)系統(tǒng)信息內容安全性，完整性和不可抵賴性等方面的要求，特別是通過采用安全審計或時間戳等技術手段解決傳統(tǒng)紙質病歷無法解決的信息可靠性問題，此外，還采用信息加密技術可以有效的保護網(wǎng)內的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。

3.結束語

隨著醫(yī)院業(yè)務的不斷拓展和醫(yī)療政策的不斷發(fā)展，醫(yī)院信息網(wǎng)絡也由滿足醫(yī)院業(yè)務需求的封閉網(wǎng)絡發(fā)展成為一個面向公共的信息系統(tǒng)，面臨著巨大的安全威脅，這要求醫(yī)院信息系統(tǒng)應具有更高的安全性，而醫(yī)院信息系統(tǒng)安全管理是一項動態(tài)管理工程，隨著外部環(huán)境（新病毒、新漏洞、新木馬等）的變化而發(fā)生變化，其涉及技術、管理、使用等方面;因此，網(wǎng)絡管理人員在對醫(yī)院信息網(wǎng)絡進行管理中，需要不斷調整網(wǎng)絡管理的安全方法，并制定出網(wǎng)絡安全應急預案，確保醫(yī)院信息系統(tǒng)的安全可靠運行。

參考文獻

[1]劉聰.淺析醫(yī)院網(wǎng)絡建設中存在的問題及對策[J].電腦知識與技術，2011（12）.

[2]趙浩宇.淺談我院網(wǎng)絡安全管理[J].電腦知識與技術，2011（6）.

[3]劉景紅.醫(yī)院檔案信息化建設中的信息安全管理[J].檔案，2009（4）.