王劍

（佳木斯大學(xué)附屬第一醫(yī)院網(wǎng)絡(luò)信息部，黑龍江 佳木斯154002）

隨著醫(yī)院信息化建設(shè)水平的不斷提高，加強(qiáng)醫(yī)院信息化網(wǎng)絡(luò)安全工作是必要的，在有效的進(jìn)行網(wǎng)絡(luò)安全技術(shù)分析過(guò)程，要結(jié)合醫(yī)院信息化建設(shè)開展實(shí)際，科學(xué)的制定更加高效的安全保護(hù)機(jī)制，以此才能并不斷提高醫(yī)院信息化建設(shè)質(zhì)量，下面結(jié)合工作實(shí)際，有針對(duì)性的總結(jié)幾點(diǎn)具體的安全防護(hù)策略。

1 醫(yī)院信息系統(tǒng)數(shù)據(jù)存儲(chǔ)安全

據(jù)現(xiàn)有的經(jīng)驗(yàn)來(lái)看，醫(yī)院的信息系統(tǒng)大多以C/S（服務(wù)器/客戶端）的結(jié)構(gòu)組成，服務(wù)器是整個(gè)醫(yī)院網(wǎng)絡(luò)的核心樞紐，信息的所有內(nèi)容都需要服務(wù)器的中轉(zhuǎn)以及審核。從構(gòu)成上來(lái)看，醫(yī)院的信息系統(tǒng)數(shù)據(jù)主要是由病人的信息、醫(yī)院本身經(jīng)營(yíng)數(shù)據(jù)為主，所以服務(wù)器的運(yùn)營(yíng)必須保持24 小時(shí)不間斷，避免出現(xiàn)信息丟失或者錯(cuò)誤的情況出現(xiàn)，同時(shí)醫(yī)院服務(wù)器要具備一定的數(shù)據(jù)恢復(fù)能力，保障整個(gè)業(yè)務(wù)的流暢、穩(wěn)定運(yùn)作。目前醫(yī)院的服務(wù)器大多是以“2+2”的高性價(jià)比、高安全性的雙機(jī)備份系統(tǒng)模式，所謂的“2+2”指的就是兩臺(tái)獨(dú)立服務(wù)器與一臺(tái)磁盤陣列，但陣列中所采用的是雙陣列卡組成雙保險(xiǎn)，避免單點(diǎn)故障的問題。在條件允許的情況下，醫(yī)院需要在異地建立專門的異地容災(zāi)備份服務(wù)器，做到不間斷與主服務(wù)器同步數(shù)據(jù)。這樣的價(jià)值在于，即使在醫(yī)院服務(wù)器位置上出現(xiàn)物理信息丟失，如突發(fā)重大災(zāi)難時(shí)候也可以啟動(dòng)備用服務(wù)器，達(dá)到數(shù)據(jù)信息的充分備份，保證醫(yī)院的關(guān)鍵性信息不被丟失。服務(wù)器需要配備專門的UPS 電源，預(yù)防斷電問題。

2 醫(yī)院信息化網(wǎng)絡(luò)設(shè)備安全保護(hù)

醫(yī)院網(wǎng)絡(luò)的流暢、安全運(yùn)作，直接關(guān)系到相關(guān)病患的治療情況，因此保障醫(yī)院網(wǎng)絡(luò)設(shè)備的運(yùn)作安全成為關(guān)鍵性任務(wù)，如果出現(xiàn)數(shù)據(jù)侵入等問題，將造成難以挽回的問題。目前我國(guó)醫(yī)院所采用的信息網(wǎng)絡(luò)大多是單獨(dú)設(shè)置的，能與其他網(wǎng)絡(luò)物理隔離，同時(shí)所有服務(wù)器都被硬性要求配備有專門的雙引擎、雙電源的系統(tǒng)，能夠達(dá)到雙核心的物理交互、不間斷的備份工作。針對(duì)互聯(lián)網(wǎng)使用的安全還會(huì)在不同的服務(wù)器上配備專門的網(wǎng)卡，在雙網(wǎng)卡上分別連接交互核心機(jī)，即使出現(xiàn)單獨(dú)故障也能維持持續(xù)運(yùn)作。各樓的匯聚交換機(jī)與兩臺(tái)核心交換機(jī)實(shí)現(xiàn)萬(wàn)兆雙鏈路連接，各接入交換機(jī)與匯聚交換機(jī)千兆連接，并實(shí)現(xiàn)千兆到桌面。利用網(wǎng)絡(luò)管理系統(tǒng)軟件，實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)流量和各網(wǎng)絡(luò)結(jié)點(diǎn)運(yùn)行情況，發(fā)現(xiàn)異常及時(shí)處理，實(shí)現(xiàn)對(duì)醫(yī)院網(wǎng)絡(luò)的遠(yuǎn)程管理和安全管理。伴隨我國(guó)互聯(lián)網(wǎng)信息科技力量不斷升級(jí)，醫(yī)院工作不斷擴(kuò)大完善的情況下，如今醫(yī)院信息建設(shè)中被具體劃分為護(hù)士工作站、門診醫(yī)師工作站、收費(fèi)系統(tǒng)等不同的VLAN，在不同的VLAN 切換以及訪問的時(shí)候，VLAN 端口上會(huì)有專門限制病毒的渠道，能夠避免外來(lái)程序、木馬、病毒等侵入，保證醫(yī)院網(wǎng)絡(luò)的使用通暢和安全。

3 醫(yī)院信息化系統(tǒng)終端安全保護(hù)

終端安全區(qū)別于服務(wù)器安全的操作，顧名思義終端即為醫(yī)院各個(gè)科室、各個(gè)醫(yī)務(wù)工作者所參與醫(yī)療工作使用的計(jì)算器系統(tǒng)，其管理極大程度上依賴于每一位工作人員，因此其安全隱患也較為突出。

3.1 建立內(nèi)網(wǎng)管理系統(tǒng)

首先，醫(yī)院需要根據(jù)自己的實(shí)際情況出發(fā)，建設(shè)專門屬于醫(yī)院操作的軟件系統(tǒng)。醫(yī)院需要系統(tǒng)性地對(duì)目前使用的終端以及崗位做出分類和管理，有針對(duì)性地做好特征、信息的分類作業(yè)。針對(duì)使用的終端計(jì)算機(jī)進(jìn)行有效控制，在光驅(qū)、軟驅(qū)、USB和硬盤等組件上做好控制，就打印機(jī)、屏幕等外接設(shè)備也要做好控制工作。要分發(fā)系統(tǒng)的補(bǔ)丁，確保每一臺(tái)終端計(jì)算機(jī)都處于最新更新狀態(tài)，減少被外部攻擊的可能性。就醫(yī)院內(nèi)部使用的終端計(jì)算機(jī)，需要對(duì)其配置軟件和防火墻做好監(jiān)控，嚴(yán)禁杜絕任何醫(yī)務(wù)工作人員私自安裝或卸載第三方軟件。需要為終端計(jì)算機(jī)做好一定的監(jiān)控系統(tǒng)，做到不間斷檢查當(dāng)前工作人員使用終端的情況，如果醫(yī)務(wù)人員有違規(guī)行為或計(jì)算機(jī)遭到入侵的情況，會(huì)在第一時(shí)間觸發(fā)警報(bào)告知中心服務(wù)器，引導(dǎo)技術(shù)人員進(jìn)行操作，預(yù)防風(fēng)險(xiǎn)問題產(chǎn)生。要利用好當(dāng)前局域網(wǎng)發(fā)展的優(yōu)勢(shì)，為每一臺(tái)終端計(jì)算機(jī)的IP 地址與MAC 地址向上匯報(bào)、統(tǒng)一，避免任何APR 病毒對(duì)醫(yī)院的同一系統(tǒng)和網(wǎng)段計(jì)算機(jī)的共同打擊。

與此同時(shí)，做好虛擬局域網(wǎng)工作也是保證醫(yī)院信息化建設(shè)的有力措施。目前，該技術(shù)被運(yùn)用在不同的邏輯上將用戶與設(shè)備劃分，有針對(duì)性地被運(yùn)用在不同部門、不同崗位之上，使得利用局域網(wǎng)的情況下，即可實(shí)現(xiàn)終端設(shè)備之間的聯(lián)通。這也是虛擬局域網(wǎng)中，“虛擬”含義的具體體現(xiàn)。虛擬局域網(wǎng)除了能夠進(jìn)一步保障相關(guān)計(jì)算機(jī)使用過(guò)程中的安全性，還需要在VLAN 與交換機(jī)進(jìn)行連接的時(shí)候，通過(guò)VLAN 技術(shù)即可連通不同的子網(wǎng)，只需要一個(gè)獨(dú)立的數(shù)據(jù)包即可完成接、發(fā)收信息的工作。這樣就降低了信息流入互聯(lián)網(wǎng)的可能性，網(wǎng)絡(luò)拓?fù)涞男Ч哺?。但該?xiàng)技術(shù)的實(shí)施大多需要專業(yè)的計(jì)算機(jī)與互聯(lián)網(wǎng)技術(shù)人員，僅僅依托于醫(yī)院現(xiàn)有技術(shù)難以實(shí)現(xiàn)，需要第三方社會(huì)機(jī)構(gòu)以及政府予以助力。

3.2 建立防病毒系統(tǒng)

做好醫(yī)院終端計(jì)算機(jī)的病毒預(yù)防工作，也是信息化建設(shè)過(guò)程中重要任務(wù)。鑒于醫(yī)院的信息安全相對(duì)較為重要，醫(yī)院方面需要專門設(shè)置一臺(tái)服務(wù)器用于防病毒工作，實(shí)現(xiàn)對(duì)所有終端的實(shí)時(shí)監(jiān)控和保護(hù)，良好其管理效益。例如，服務(wù)器能夠監(jiān)控到郵件、收發(fā)文件等過(guò)程中對(duì)病毒的檢測(cè)，一旦出現(xiàn)問題進(jìn)行警報(bào)；定期全方位地掃描終端等。服務(wù)器的最大意義在于一旦病毒庫(kù)和木馬庫(kù)更新，能夠保證計(jì)算機(jī)在最新的防護(hù)庫(kù)下運(yùn)作，保證安全性。防火墻軟件能夠在同一的聯(lián)動(dòng)下運(yùn)作，即使計(jì)算機(jī)本身沒有防火墻，也可以在服務(wù)器的共同運(yùn)作下接入網(wǎng)絡(luò)，以規(guī)范的姿態(tài)作業(yè)。

3.3 工作站軟件的權(quán)限管理

為了避免人為原因造成醫(yī)院信息泄露的情況出現(xiàn)，針對(duì)不同的終端和計(jì)算機(jī)，需要配備有專門工作人員的工號(hào)以及口令，如果沒有相應(yīng)的操作授權(quán)和口令，計(jì)算機(jī)并不能被投入使用。工作人員自身也需要保證不直接改變系統(tǒng)設(shè)置，嚴(yán)禁使用U盤等可移動(dòng)設(shè)備將數(shù)據(jù)和信息導(dǎo)出，確保使用過(guò)程中的獨(dú)立與安全。

4 醫(yī)院計(jì)算機(jī)桌面安全管理系統(tǒng)

桌面安全管理系統(tǒng)是現(xiàn)代化醫(yī)院信息化建設(shè)過(guò)程中不可或缺的重要手段，能夠切實(shí)保證網(wǎng)絡(luò)使用的安全性。該技術(shù)的原理在于創(chuàng)建一個(gè)基于互聯(lián)網(wǎng)的虛擬桌面，在使用過(guò)程中能夠杜絕外部文件的直接傳輸，達(dá)到網(wǎng)絡(luò)的自動(dòng)化隔斷目的。用戶的所有操作都是在集成的安全平臺(tái)上，信息交互也是基于端口而成的，不會(huì)使用原本的計(jì)算機(jī)資源，從根本上保證各類操作的安全性。桌面安全系統(tǒng)最大的特點(diǎn)在于邏輯隔離、文件傳輸控制、上網(wǎng)行為管理、應(yīng)用程序配置、病毒防范、高安全性、高易用性、高效性、穩(wěn)定性、實(shí)施與維護(hù)。能夠幫助醫(yī)務(wù)工作者在使用互聯(lián)網(wǎng)高分享、高開放的特征同時(shí)，降低潛在使用互聯(lián)網(wǎng)過(guò)程中出現(xiàn)的風(fēng)險(xiǎn)以及隱患，達(dá)到高效率工作的同時(shí)，確保醫(yī)院信息、數(shù)據(jù)不外漏，形成良好的工作循環(huán)。

總之，隨著信息化技術(shù)的不斷發(fā)展，如何開展網(wǎng)絡(luò)安全保護(hù)工作也需要不斷提高認(rèn)識(shí)，通過(guò)對(duì)醫(yī)院信息化建設(shè)工作的分析，本文探索了醫(yī)院信息化網(wǎng)絡(luò)安全保護(hù)實(shí)踐策略。在有效的分析過(guò)程中作為相關(guān)技術(shù)人員，要全面提高專業(yè)能力，通過(guò)有效的進(jìn)行實(shí)踐與學(xué)習(xí)，才能不斷提高醫(yī)院信息化建設(shè)水平，希望通過(guò)以上探索，能夠?yàn)獒t(yī)院日后可持續(xù)發(fā)展奠定良好基礎(chǔ)。