◆沈曉利 郭 璞 樊紅彬

（徐州醫(yī)科大學附屬醫(yī)院信息中心 江蘇 221000）

醫(yī)院網(wǎng)絡安全體系構建與實現(xiàn)

◆沈曉利 郭 璞 樊紅彬

（徐州醫(yī)科大學附屬醫(yī)院信息中心 江蘇 221000）

網(wǎng)絡安全是大數(shù)據(jù)時代面臨的首要問題，互聯(lián)網(wǎng)的開放性給醫(yī)院網(wǎng)絡化帶來了隱患，基于此，醫(yī)院需構建網(wǎng)絡安全體系。通過該體系使安全隱患得到有效的防控，從而使其成為醫(yī)院走向繁榮的動力。本文結合醫(yī)院網(wǎng)絡運行狀況，將網(wǎng)絡安全體系分為五個模塊，以此為模型構建網(wǎng)絡安全體系，促使醫(yī)院網(wǎng)絡系統(tǒng)安全運行。

醫(yī)院信息系統(tǒng)；網(wǎng)絡安全；體系構建

0 引言

改革開放以來，我國各項事業(yè)逐漸走向繁榮，醫(yī)療事業(yè)日益壯大，為中華復興帶來了新的契機。醫(yī)院系統(tǒng)經(jīng)過更新后，采用信息化管理機制，其功能性和服務性得到大幅提升，然而網(wǎng)絡安全仍舊棘手，構建安全體系迫在眉睫。以下為醫(yī)院安全系統(tǒng)構建模型，通過該模型的構建規(guī)避網(wǎng)絡風險，增強管理效能。

1 基礎設施

（1）機房監(jiān)測

機房監(jiān)測系統(tǒng)中包含的主要有空調、供電系統(tǒng)、消防系統(tǒng)、自動警報系統(tǒng)等。機房監(jiān)測實際上屬于網(wǎng)絡外部的監(jiān)測，機房監(jiān)測可以通過web進行在線監(jiān)控機房內部的各項參數(shù)。例如配電間的溫度和濕度、主機房的冷風道溫度、濕度和空調系統(tǒng)的安全等，在web的監(jiān)控下確保硬件系統(tǒng)安全運行，使系統(tǒng)中的各項數(shù)據(jù)和信息得到完整、高效的保存和運行[1]。

（2）系統(tǒng)控制

系統(tǒng)控制主要包括空調、供電、防雷電和監(jiān)控。首先，空調系統(tǒng)，在機房中設置精密空調，兩個主用一個備用[2]。在其中設置兩種不同的模式，一種為夏季模式，一種為冬季模式，從而確保機房內的溫度低于25℃，濕度處于40%到60%；其次，供電系統(tǒng)，在其中設置兩臺UPS電源，要求兩臺電源能夠持續(xù)供電三小時，對關鍵設備使用冗余電源，同時采用靈活的開關對其進行控制，確保供電安全；再次，防雷電系統(tǒng)，在對機房的各種電源和機柜材料選取時，選取金屬外殼，預防電磁干擾，同時采用隔離的方式，將容易受到干擾的設備與干擾源隔開，確保網(wǎng)絡不受干擾；最后，設置門禁，禁止不相關的人進入機房，強化視頻監(jiān)控，若出現(xiàn)異常立即解決。

2 網(wǎng)絡架構

（1）網(wǎng)絡結構

在對網(wǎng)絡結構進行選取時，應選取三層網(wǎng)絡結構，第一層為核心，第二層為匯聚，第三層為接入。核心交換區(qū)選取兩臺性能好的交換機連接作為鏈路聚合。其各項參數(shù)如表1所示，其各項重要器件均使用冗余設計，提升處理速率。

表1 交換機參數(shù)

（2）鏈路設計

鏈路采用冗余設計，其中主干鏈路的傳輸采用萬兆，PASC和醫(yī)院核心連接的交換器的連接方式為雙鏈路，桌面則采用自適應交換機，這種設計能夠讓數(shù)據(jù)、文本、音頻和視頻等信息更加快速的傳輸，避免以往帶寬不夠的狀況，解決單鏈路的弊端。

（3）VLAN劃分

VLAN要具有一定的獨立性，這種獨立性是指其功能，每個VLAN的信息實際上是共享的，這樣就能確保在某個VLAN出現(xiàn)異?；蚬收蠒r，其余VLAN不受其影響，各種業(yè)務能夠持續(xù)運行，如此便能防治病毒的擴散，保護系統(tǒng)內的重要區(qū)域，確保系統(tǒng)安全。

3 安全策略

（1）邊界防護

醫(yī)院的網(wǎng)絡系統(tǒng)應根據(jù)不同的等級采取具體的措施進行保護，采用電子密鑰技術。首先，綜合信息網(wǎng)可以將防火墻和網(wǎng)閘融合使用，構建控制機制，網(wǎng)段不同的區(qū)域需要權限方可訪問；其次，在設置衛(wèi)星專網(wǎng)、智能網(wǎng)的防火墻時，需要確保內部和外部的連接點皆受到防護，避免非法供給；最后，在對各種醫(yī)療保險和各種資金相關的結算中，使用安全網(wǎng)關和網(wǎng)閘來防護，除此之外還要構建安全防護套件，加強訪問控制，以此深入檢測數(shù)據(jù)包，避免防火墻無法檢測應用層的漏洞。由于醫(yī)院的特殊性質，將互聯(lián)網(wǎng)與醫(yī)院內部的網(wǎng)絡采用物理方式隔離，置留接口備用。

（2）主機安全

針對醫(yī)院網(wǎng)絡系統(tǒng)的所有主機均采取網(wǎng)絡準入控制，所有的主機需要經(jīng)檢查確保符合安全策略時，方可準許其登入網(wǎng)絡。如果在進行身份認證時，出現(xiàn)認證失敗的狀況，該用戶就會被隔離并展開相關的修復工作，修復完成后再經(jīng)查驗，直至其符合安全標準方可訪問，如此一來主機完全就得以保證。若非必要，禁止使用USB和光驅，避免病毒感染。

（3）設備管理

首先，對全部與網(wǎng)絡相關設備的控制口和Telnet登錄設置密碼，在設置時對其安全進行分級，根據(jù)不同的等級來確定密碼的難度，從而起到避免非法人員入侵；其次，使用KVM交換機來管理所有的網(wǎng)絡設備和控制口，讓其處于控制之中使安全系數(shù)得到提升，減少不相關人員進入機房的次數(shù)，將設備存在的危險狀況降到最低。

4 性能監(jiān)測

（1）安全管理

在對性能進行監(jiān)測時采取拓撲管理，觀察物理視圖，查看其中網(wǎng)元和鏈路圖表的狀態(tài)和色彩狀況，對整個網(wǎng)絡的運行狀況展開實時管控。對存在風險和漏洞的位置進行安全預警，明確其危險等級并做出相應的處理，若其中出現(xiàn)緊急告警，能夠立即進行處理。

（2）性能管理

建立完善的管理體系，總結網(wǎng)絡安全中的重要性能指標，對通斷率、信息傳輸時延和CPU狀況展開監(jiān)控，將其中的數(shù)據(jù)進行收集并分析，根據(jù)分析的數(shù)據(jù)來判斷網(wǎng)絡在未來的變化狀態(tài)，力求將故障扼殺在萌芽狀態(tài)，防止網(wǎng)絡風險的出現(xiàn)。定期對系統(tǒng)內部各個構成部件的性能進行檢測，確保安全無虞。

（3）告警管理

明確告警設備所處的區(qū)域，對其設備的類型和其所處的等級進行總結后構建相應的查詢模板。對網(wǎng)絡內部的各種網(wǎng)元進行檢測，若出現(xiàn)告警訊號，系統(tǒng)立即對危險事件發(fā)生的時間和時間類型進行匯總，分析告警信息以確保安全，從而使網(wǎng)絡的運行更具安全性，告警處理流程如圖1所示。同時采用流量分析器對整個網(wǎng)絡設備中的各個部分進行分析，若其中出現(xiàn)異常狀況，則可以提供協(xié)助，定位出故障所在部位，以便做出準確的處理。

圖1 告警流程

5 管理機制

（1）強化安全管理

安全管理包括兩個方面，一方面是對硬件設備的管理，另一方面是對網(wǎng)絡運行的管理。首先，提升設備性能，定時對設備進行維修和清理，確保設備運行安全；其次，根據(jù)醫(yī)院信息安全對網(wǎng)絡進行分級，展開不同的加密處理，增強網(wǎng)絡防火墻功效。同時制定完善的管理制度，細化管理規(guī)程。其中包括維修、值班、管理等多項安全細則。

（2）加強風險評估

確定每周一對門診和中心機房進行全面的檢測和巡查，構建故障數(shù)據(jù)庫，并針對存儲的數(shù)據(jù)展開分析，尋找規(guī)律制定對策避免故障發(fā)生。還可以通過日常的性能檢測來制定風險策略，強化預防機制。

（3）完善應急預案

醫(yī)院管理人員帶領工作人員制定應急預案，在充分分析醫(yī)院整體狀況后，定期進行預案演練，提升網(wǎng)絡處理能力和網(wǎng)絡恢復能力。

（4）提高人才培養(yǎng)

在醫(yī)院每個科室中建立完善的值班制度，加強各個科室之間的聯(lián)系，匯總各種故障處理對策，增強值班人員的管理能力和處理故障的水平。同時組織培訓提升全體人員的網(wǎng)絡安全意識，交流經(jīng)驗并組織外出學習，加強應用各種先進技術提升醫(yī)院網(wǎng)絡安全系數(shù)，挖掘人才、開拓視野強化管理效能。

6 結束語

通過對以上措施和模型的應用，醫(yī)院安全系統(tǒng)得到了安全穩(wěn)定的運行，除運行速度加快外，各項安全性能也呈現(xiàn)出優(yōu)異的狀態(tài)。各種不規(guī)范的網(wǎng)絡行為得以抑制，醫(yī)院的辦公和服務都得到了良好的保護，此后還要在技術上和管理上逐步探索，應對各種威脅，為醫(yī)療事業(yè)的繁榮積蓄動力。

[1] 陳擁軍，肖新文，陳泓伶．醫(yī)院網(wǎng)絡安全體系構建與實現(xiàn)[J]．中國數(shù)字醫(yī)學，2016．

[2] 徐雷．醫(yī)院信息化建設過程中的網(wǎng)絡安全防護分析[J]．網(wǎng)絡安全技術與應用，2016．