◆李暢淼

（江蘇省第二中醫(yī)院 江蘇 210017）

醫(yī)院網(wǎng)絡(luò)與信息安全存在的風(fēng)險(xiǎn)及應(yīng)急預(yù)案處理

◆李暢淼

（江蘇省第二中醫(yī)院 江蘇 210017）

隨著計(jì)算機(jī)技術(shù)及網(wǎng)絡(luò)技術(shù)的快速普及和發(fā)展，社會(huì)生活和工作的各個(gè)角落已經(jīng)離不開(kāi)計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)，在醫(yī)院系統(tǒng)管理中也逐步引入網(wǎng)絡(luò)與信息技術(shù)來(lái)提升醫(yī)院的管理水平。雖然這些技術(shù)的應(yīng)用一定程度上提高了管理質(zhì)量，但也相應(yīng)的存在的一定的風(fēng)險(xiǎn)。本文首先分析了當(dāng)前醫(yī)院網(wǎng)絡(luò)及信息管理方面存在的風(fēng)險(xiǎn)，并提出了相應(yīng)的應(yīng)急預(yù)案解決措施。

醫(yī)院網(wǎng)絡(luò)與信息；安全；風(fēng)險(xiǎn)；應(yīng)急預(yù)案處理

0 前言

隨著醫(yī)院信息化技術(shù)的快速應(yīng)用和普及，醫(yī)院的網(wǎng)絡(luò)建設(shè)越來(lái)越復(fù)雜化。同時(shí)在網(wǎng)絡(luò)與信息安全方面所需要做的工作越來(lái)越多，只有建立系統(tǒng)的安全網(wǎng)絡(luò)系統(tǒng)，才能為醫(yī)院的健康穩(wěn)定運(yùn)行提供重要的技術(shù)保障。

1 現(xiàn)階段醫(yī)院網(wǎng)絡(luò)與信息存在的安全風(fēng)險(xiǎn)分析

目前我院已經(jīng)形成了較為完善的網(wǎng)絡(luò)系統(tǒng)，以天融信網(wǎng)閘、內(nèi)外網(wǎng)核心交換機(jī)為核心、組建了包括門(mén)診、病房、急診樓、放射科在內(nèi)的網(wǎng)絡(luò)系統(tǒng)，通過(guò)內(nèi)網(wǎng)核心交換機(jī)與鐵通、省醫(yī)保、市醫(yī)保進(jìn)行聯(lián)系，外網(wǎng)核心交換機(jī)與聯(lián)通和電信進(jìn)行聯(lián)系，形成較為系統(tǒng)、完善的網(wǎng)絡(luò)系統(tǒng)如下圖所示：

目前在網(wǎng)絡(luò)信息安全方面主要是來(lái)自網(wǎng)絡(luò)病毒、黑客攻擊、網(wǎng)絡(luò)入侵等，主要有：

1.1 病毒、黑客的攻擊威脅

網(wǎng)絡(luò)病毒及黑客攻擊是造成電腦系統(tǒng)產(chǎn)生破壞性癱瘓的重要威脅因素之一，而醫(yī)院系統(tǒng)的各種數(shù)據(jù)也處于互聯(lián)網(wǎng)中，同樣有著這種威脅和風(fēng)險(xiǎn)的存在。一些醫(yī)院信息系統(tǒng)的殺毒軟件落后或者缺乏必要的更新管理，進(jìn)一步增加了系統(tǒng)的風(fēng)險(xiǎn)性。

1.2 軟件漏洞風(fēng)險(xiǎn)

醫(yī)院使用的系統(tǒng)中，如果在最初的編程設(shè)計(jì)方面不夠科學(xué)和全面，存在軟件漏洞，就很有可能成為黑客所利用的工具，造成系統(tǒng)破壞及信息被盜，同時(shí)網(wǎng)絡(luò)病毒和木馬等也會(huì)因此而侵犯系統(tǒng)，造成系統(tǒng)的不穩(wěn)定及癱瘓，造成不必要的損失。同時(shí)在IP協(xié)議中，不法分子也會(huì)利用預(yù)測(cè)序列號(hào)等方式進(jìn)入系統(tǒng)內(nèi)部，盜取信息，破壞系統(tǒng)。

1.3 操作風(fēng)險(xiǎn)

在系統(tǒng)操作方面，如何操作人不懂得正確的操作程序，缺乏足夠的知識(shí)，就有可能在操作過(guò)程中造成操作失誤，造成系統(tǒng)毀壞，還有可能引入病毒程序。而且如果加以處理，還將進(jìn)一步增加危害性。因此操作人員的操作基礎(chǔ)及安全意識(shí)也有著重要的作用。

2 有效防范醫(yī)院網(wǎng)絡(luò)與信息風(fēng)險(xiǎn)的預(yù)案措施

2.1 醫(yī)院內(nèi)外網(wǎng)的隔離及防護(hù)方面

一般來(lái)說(shuō)，醫(yī)院網(wǎng)絡(luò)的病毒、黑客、木馬都是來(lái)自外部網(wǎng)絡(luò)，因此要確保醫(yī)院網(wǎng)絡(luò)的安全，就需要從內(nèi)外網(wǎng)方面采取必要的措施。一般醫(yī)院都將網(wǎng)絡(luò)線路分成了內(nèi)線和外線兩個(gè)部分，操作人員可以通過(guò)網(wǎng)線接口來(lái)進(jìn)行內(nèi)外網(wǎng)的切換。同時(shí)還可以通過(guò)設(shè)置網(wǎng)閘來(lái)實(shí)現(xiàn)內(nèi)外網(wǎng)的有效隔離，從而切斷來(lái)自外網(wǎng)的病毒、黑客木馬等。為進(jìn)一步提升保護(hù)效果，還可以增加入侵檢測(cè)系統(tǒng)，對(duì)醫(yī)院網(wǎng)絡(luò)內(nèi)的多臺(tái)計(jì)算機(jī)進(jìn)行分析和檢查，查找是否有可疑系統(tǒng)入侵，如果發(fā)現(xiàn)并將其進(jìn)行隔離。這一技術(shù)是繼防火墻技術(shù)之后的又一新型防護(hù)技術(shù)，不過(guò)是只對(duì)入侵特征進(jìn)行分析，如果將其完全隔離，還需要借助防火墻技術(shù)，通過(guò)雙重手段實(shí)現(xiàn)有效防護(hù)。

2.2 網(wǎng)絡(luò)協(xié)議建設(shè)方面

為了防止不法分子通過(guò)冒充IP地址的方式，進(jìn)入醫(yī)院系統(tǒng)盜取或破壞信息，可以定期進(jìn)行清理，設(shè)IP 地址相同或口令相同，并將 IP 地址及口令與醫(yī)院系統(tǒng)的計(jì)算機(jī) MAC 綁定，如此黑客即使冒充 IP或口令，也會(huì)由于缺乏醫(yī)院計(jì)算機(jī)的 MAC 向綁定，不能順利進(jìn)入醫(yī)院內(nèi)網(wǎng)。另外，還可以通過(guò)構(gòu)建動(dòng)態(tài)與靜態(tài)結(jié)合的防護(hù)技術(shù)，對(duì)于靜態(tài)信息引入授權(quán)訪問(wèn)技術(shù)，來(lái)限制不法分子查閱及盜取醫(yī)院信息。動(dòng)態(tài)防護(hù)方面主要是通過(guò)數(shù)據(jù)加密形式，如借助 RSA 加密技術(shù)，進(jìn)行動(dòng)態(tài)加密，來(lái)防止信息被盜。

2.3 醫(yī)院網(wǎng)絡(luò)安全制度建設(shè)方面

在醫(yī)院的網(wǎng)絡(luò)系統(tǒng)中操作人員主要是醫(yī)務(wù)人員等，因此還需要對(duì)這些進(jìn)行必要的使用知識(shí)及技能的培訓(xùn)，加強(qiáng)培訓(xùn)制度建設(shè)，提高安全防護(hù)意識(shí)，在出現(xiàn)各類(lèi)安全問(wèn)題時(shí)能夠應(yīng)急處理。同時(shí)，還應(yīng)建立數(shù)據(jù)實(shí)時(shí)備份制度，對(duì)備份情況開(kāi)展相應(yīng)的檢查，尤其是重要數(shù)據(jù)要做好備份保存，并設(shè)置不同的訪問(wèn)權(quán)限，不同崗位人員要有不同等級(jí)的訪問(wèn)權(quán)限，確保數(shù)據(jù)可靠完整。

2.4 應(yīng)急系統(tǒng)構(gòu)建方面

要在醫(yī)院內(nèi)部構(gòu)建有效的應(yīng)急處理系統(tǒng)，建立統(tǒng)一領(lǐng)導(dǎo)和協(xié)調(diào)配合的工作機(jī)制，實(shí)施統(tǒng)一領(lǐng)導(dǎo)，分工明確，協(xié)調(diào)有力，各司其職的應(yīng)急預(yù)警處理系統(tǒng)。加強(qiáng)安全監(jiān)測(cè)、分析、評(píng)估，建立重大事故報(bào)告制度，對(duì)發(fā)生的事件要及時(shí)進(jìn)修核查、處理。

2.5 提高安全技術(shù)手段

（1）提高外網(wǎng)與內(nèi)網(wǎng)之間的連接安全。主要是首先需要加強(qiáng)醫(yī)院內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信內(nèi)容的掃描，如DOS攻擊、Java、Java Script侵入等，這些都需要進(jìn)行主動(dòng)防御，還可關(guān)閉不必要的端口，禁止訪問(wèn)非法站點(diǎn)，過(guò)濾不明通信。提高防火墻功能，應(yīng)用新一代防火墻技術(shù)，加強(qiáng)防火墻的識(shí)別功能，如普通應(yīng)用與移動(dòng)應(yīng)用的風(fēng)險(xiǎn)識(shí)別，有效識(shí)別用戶(hù)信息，主動(dòng)防御。應(yīng)用IDS入侵檢測(cè)系統(tǒng)，在安全策略庫(kù)基礎(chǔ)上，加強(qiáng)網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)的通信內(nèi)容的監(jiān)測(cè)，設(shè)置對(duì)于安全造成威脅的告警系統(tǒng)，與防火墻聯(lián)動(dòng)，主動(dòng)阻斷攻擊事件，提高主機(jī)資源的抵御能力。進(jìn)行VLAN劃分，對(duì)不同的科室設(shè)置不同的信息資源訪問(wèn)權(quán)限，從而提高網(wǎng)絡(luò)使用的安全性，降低網(wǎng)絡(luò)安全維護(hù)成本。

（2）重點(diǎn)建設(shè)重要信息系統(tǒng)的安全。應(yīng)用流量監(jiān)測(cè)系統(tǒng)，根據(jù)醫(yī)院中重要的信息系統(tǒng)分類(lèi)，一般旁路部署于三層交換機(jī)，通過(guò)鏡像端口對(duì)各個(gè)應(yīng)用系統(tǒng)進(jìn)行流量的分流，分別對(duì)每二個(gè)系統(tǒng)的訪問(wèn)流量、用戶(hù)、停留時(shí)間等進(jìn)行監(jiān)測(cè)和分析，檢查用戶(hù)自己設(shè)置的閥值來(lái)判斷是否存在異常情況并主動(dòng)進(jìn)行告警。應(yīng)用SAN存儲(chǔ)系統(tǒng)，對(duì)醫(yī)院內(nèi)部的數(shù)據(jù)存儲(chǔ)設(shè)備實(shí)施集中管理與整合，促進(jìn)存儲(chǔ)冗余，通過(guò)數(shù)據(jù)權(quán)限的設(shè)置、備份等技術(shù)受到確保數(shù)據(jù)安全。

（3）實(shí)現(xiàn)桌面終端的安全。給醫(yī)院的每個(gè)桌面重點(diǎn)安裝防病毒軟件，也可以通過(guò)自動(dòng)下載的方式或統(tǒng)一分發(fā)的方式安裝，要確保同步更新，實(shí)現(xiàn)集中管理，確保防病毒能力，不管何種類(lèi)型的病毒，不管是 Windows還是 Linux系統(tǒng)，發(fā)現(xiàn)入侵系統(tǒng)的可疑程序即刻清除。做好終端管理，主要是在 USB使用、移動(dòng)硬盤(pán)等外部設(shè)備時(shí)要加強(qiáng)控制，尤其是在安裝和使用來(lái)自互聯(lián)網(wǎng)的非法軟件時(shí)要注意程序的安全，要設(shè)置非法網(wǎng)站的訪問(wèn)控制，確保安全應(yīng)用。要及時(shí)進(jìn)行軟件升級(jí)，要及時(shí)進(jìn)行系統(tǒng)補(bǔ)丁的升級(jí)，修復(fù)存在的安全漏洞。

（4）加強(qiáng)全網(wǎng)的安全監(jiān)測(cè)和管理。健全和完善安全監(jiān)測(cè)平臺(tái)，要確保所以安全設(shè)備實(shí)現(xiàn)有效聯(lián)動(dòng)，提高對(duì)醫(yī)院內(nèi)部所有網(wǎng)絡(luò)的基礎(chǔ)設(shè)備與安全設(shè)備的監(jiān)測(cè)水平，確保業(yè)務(wù)安全運(yùn)行、性能達(dá)標(biāo)、配置科學(xué)、預(yù)警有效，加強(qiáng)風(fēng)險(xiǎn)分析并生成量化報(bào)告，實(shí)現(xiàn)安全運(yùn)行標(biāo)準(zhǔn)化，提高安全防范的整體性。要建設(shè)云安全管理平臺(tái)，借助虛擬化平臺(tái)，將不同種類(lèi)的安全措施實(shí)施集中管理，對(duì)于數(shù)據(jù)防丟失（DLP）、安全信息與事件管理（SIEM）與終端保護(hù)方案等都實(shí)施云服務(wù)，通過(guò)虛擬化來(lái)降低維護(hù)的成本，提高醫(yī)院內(nèi)部網(wǎng)絡(luò)安全運(yùn)行效率。加強(qiáng)與防病毒廠商的合作，不斷提高服務(wù)器的安全檢測(cè)功能，不間斷識(shí)別網(wǎng)絡(luò)通信和阻止虛擬架構(gòu)的配置更改，有效停止未授權(quán)用戶(hù)的操作行為，在確保系統(tǒng)正常運(yùn)行的條件下抵御外部攻擊等。

總之，要不斷完善醫(yī)院的安全應(yīng)急處理能力，及時(shí)解決出現(xiàn)的安全問(wèn)題，建立相應(yīng)的責(zé)任制，構(gòu)建分工明確、協(xié)調(diào)有力、技術(shù)有支撐、制度有保障的風(fēng)險(xiǎn)處理系統(tǒng)。

[1]吳南．醫(yī)院網(wǎng)絡(luò)信息化建設(shè)中的安全問(wèn)題及保障措施[J]．中國(guó)衛(wèi)生產(chǎn)業(yè)，2016．

[2]紀(jì)鳳錦，孟雙雙，劉建．PACS在醫(yī)院網(wǎng)絡(luò)建設(shè)中的應(yīng)用及維護(hù)分析[J]．中國(guó)輻射衛(wèi)生，2016．

[3]張振宗．對(duì)醫(yī)院網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理及維護(hù)的分析[J]．當(dāng)代醫(yī)藥論叢，2014．