◆侯均 王野平

（1.安徽省六安市人民醫(yī)院安徽 237000；2.北京賽西科技發(fā)展有限責(zé)任公司北京市 100000）

作為醫(yī)院現(xiàn)代化建設(shè)中不可或缺的組成部分之一，醫(yī)院的信息系統(tǒng)在現(xiàn)代醫(yī)院的日常管理中發(fā)揮著非常重要的作用。正因如此，醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全管理也顯得尤為重要。

對醫(yī)院來說，信息系統(tǒng)可以利用網(wǎng)絡(luò)技術(shù)和計算機技術(shù)等現(xiàn)代信息互聯(lián)網(wǎng)技術(shù)確保財務(wù)、人員和資金、物資等要素的正常合理流動，并對其進行記錄、管理，將醫(yī)院在管理運行過程中所有的醫(yī)療行為信息化并納入其中，以方便集中管理。這種途徑模式下的管理是促進醫(yī)院的和諧整體運作，從而在醫(yī)院實現(xiàn)現(xiàn)代化信息管理的一種互聯(lián)網(wǎng)時代背景下的新的經(jīng)營管理模式，對提高醫(yī)院的業(yè)務(wù)水平和醫(yī)療服務(wù)質(zhì)量有非常重要的作用。

1 醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全管理存在主要問題

隨著醫(yī)院信息系統(tǒng)的深入推廣，其自身存在的網(wǎng)絡(luò)安全隱患問題也引來了人們越來越多的關(guān)注。為更好地促進醫(yī)院信息系統(tǒng)在醫(yī)院日常管理中發(fā)揮作用，有必要對其所帶來的安全問題以及理應(yīng)采取的必要管理維護措施進行探討。

（1）殺毒、系統(tǒng)補丁等措施更新慢

眾所周知，確保信息網(wǎng)絡(luò)安全，安裝殺毒軟件和系統(tǒng)補丁是最常用也相對可靠的重要措施。但在醫(yī)院的日常管理中，由于醫(yī)院業(yè)務(wù)主機數(shù)量比較多，日常維護存在諸多困難，這導(dǎo)致信息管理和維護人員因工作量大往往難以保障主機能夠全部及時安裝最新的殺毒軟件和系統(tǒng)補丁，這就給醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全帶來了很大隱患[1]。

（2）地址綁定沒有現(xiàn)實意義

現(xiàn)實當(dāng)中，很多醫(yī)院為提升信息系統(tǒng)的網(wǎng)絡(luò)安全管理質(zhì)量，防范有人惡意攻擊醫(yī)院數(shù)據(jù)系統(tǒng)，經(jīng)常會在接入層交換機端口綁定MAC、IP地址。但實際上這樣的做法存在著一定的先天缺陷：首先，這樣的綁定需要網(wǎng)絡(luò)安全管理人員對醫(yī)院擁有的所有電腦逐臺進行設(shè)置。由于醫(yī)院的業(yè)務(wù)主機本身數(shù)量就多，這無形中增加了安全管理人員的日常工作量、工作難度，在現(xiàn)實中很難行得通。其次，隨著計算機互聯(lián)網(wǎng)技術(shù)的應(yīng)用和普及，一些擁有一定計算機網(wǎng)絡(luò)基礎(chǔ)的專業(yè)人員能夠很輕松地對醫(yī)院信息系統(tǒng)的MAC和IP地址進行修改。從這點上看，醫(yī)院通過綁定MAC和IP地址來實現(xiàn)網(wǎng)絡(luò)信息安全保護的效果并不會達到預(yù)期效果，缺少現(xiàn)實意義。

（3）入侵檢測系統(tǒng)無法發(fā)揮正常作用

當(dāng)前，許多醫(yī)院為了確保信息系統(tǒng)的網(wǎng)絡(luò)安全，大多采取安裝IDS入侵檢測系統(tǒng)進行防范。但現(xiàn)實的效果是，由于該入侵檢測系統(tǒng)自身功能不夠完善，在實際應(yīng)用中遇到外部攻擊時，僅僅能做出簡單的預(yù)警提示，而不能采取相應(yīng)的防御保護措施[2]。這種入侵檢測與防御保護機制脫鉤的現(xiàn)狀往往會給醫(yī)院信息管理系統(tǒng)的安全管理制造隱患，因此并不具有實用性。

（4）數(shù)據(jù)庫安全審計定位不明

要提升醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全管理質(zhì)量，加強數(shù)據(jù)加密和訪問權(quán)限的規(guī)范設(shè)置是必不可少的措施。如果這一點能夠落到實處，對提升醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全性大有裨益。但現(xiàn)實中的很多醫(yī)院人員并非人人都具有專業(yè)的網(wǎng)絡(luò)安全防范意識和專業(yè)知識，在設(shè)置加密密碼時大多會采用便于自己熟記而且相對簡單的方式。不僅如此，很多醫(yī)院的計算機網(wǎng)絡(luò)訪問權(quán)限還存在著設(shè)置不規(guī)范等問題。如此一來，數(shù)據(jù)庫的安全審計軟件就無法保證能夠?qū)P地址所在的人員進行對應(yīng)匹配和查找以及綁定，從而在很大程度上降低了醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全管理的質(zhì)量，并且加大了現(xiàn)實中追究相關(guān)人員責(zé)任的難度。

2 醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全管理的現(xiàn)實意義

（1）加強網(wǎng)絡(luò)安全有助于保障醫(yī)院信息系統(tǒng)的正常安全運行

由于醫(yī)院的計算機終端相對較多，用戶類型復(fù)雜多樣，這就需要加強醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全管理，確保醫(yī)院信息系統(tǒng)的正常安全運行。一般來說，從用戶端口來保障網(wǎng)絡(luò)安全采取的措施主要是加強對用戶的訪問控制和身份驗證[3]。對醫(yī)院來說，可以將用戶類型以及用戶對醫(yī)院信息操作的重要性作為依據(jù)，來判斷是否需要對訪問用戶進行身份驗證。與此同時，最好也能針對不同的用戶采取不同的身份驗證方式。醫(yī)院借助以上方式可以對訪問者的行為進行管理和約束，在保障醫(yī)院信息系統(tǒng)安全的前提下方便用戶對信息系統(tǒng)的訪問和使用。

（2）加強網(wǎng)絡(luò)安全管理有助于醫(yī)院信息資產(chǎn)的安全保障

加強網(wǎng)絡(luò)安全管理有助于醫(yī)院信息系統(tǒng)自主檢測和處理相關(guān)安全問題，可以在很大程度上提升醫(yī)院信息系統(tǒng)屏蔽網(wǎng)絡(luò)危險行為的能力，減少網(wǎng)絡(luò)安全事故的發(fā)生，確保網(wǎng)絡(luò)通信操作行為的合法合規(guī)合理性，這也是對醫(yī)院信息資產(chǎn)的一種有力保障。

3 醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全管理的幾點維護措施

（1）打造安全可靠的硬件設(shè)備環(huán)境

從構(gòu)造上來看，醫(yī)院信息系統(tǒng)的硬件保護對象主要包括服務(wù)器、硬件接口設(shè)備、中心機房和工作站等。作為醫(yī)院信息系統(tǒng)的核心部位，中心機房的優(yōu)劣對網(wǎng)絡(luò)安全維護工作起著決定性的作用。中心機房環(huán)境有了保障，服務(wù)器等的安全才能有保障的前提[4]。一般情況下，中心機房的安全維護需要從設(shè)備的實際需求出發(fā)，從室內(nèi)溫、濕度，供電設(shè)施、避雷設(shè)施和門禁制度等幾個方面采取安全措施。比如，機房溫度最好常年維持在25度左右，相對濕度保持在40%～70%；盡可能地避免人員走動干擾，確保機房處于無塵半封閉狀態(tài)。再如，采取兩路供電系統(tǒng)，配置不間斷電源、防電磁干擾、避雷等設(shè)施，降低機房斷電、遭雷擊等安全問題出現(xiàn)的可能。

醫(yī)院信息系統(tǒng)要二十四小時正常運行，離不開一個強大、安全又可靠的服務(wù)器。醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全管理部門應(yīng)當(dāng)確保服務(wù)器全天候穩(wěn)定運行，可以通過多機熱備份、雙服務(wù)器或者多級容錯等來進一步提升服務(wù)器自身的穩(wěn)定性。此外，為服務(wù)器配置高質(zhì)量的電源也是必不可少的措施。

醫(yī)院醫(yī)護人員的終端設(shè)備共同組成了醫(yī)院信息系統(tǒng)的工作站，對工作站的網(wǎng)絡(luò)安全管理的一大舉措是將其作為信息系統(tǒng)中的獨立模塊來進行日常管理與維護。為確保工作站的網(wǎng)絡(luò)安全和穩(wěn)定性，網(wǎng)絡(luò)安全管理部門應(yīng)當(dāng)明確對光盤、移動硬盤等的使用和操作指南，加強對用戶行為的監(jiān)測力度，以此確保醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全[5]。

除了上述幾項措施，醫(yī)院信息網(wǎng)絡(luò)安全管理部門還應(yīng)當(dāng)注意對網(wǎng)絡(luò)設(shè)備的日常檢測與維護。比如對路由器、集線器、光纖收發(fā)器等及時做定期檢測，對硬件設(shè)施定期采取防水除污等維護措施。

（2）建設(shè)完善的網(wǎng)絡(luò)安全防護體系

在當(dāng)前的計算機信息網(wǎng)絡(luò)技術(shù)前提下，如果網(wǎng)絡(luò)安全防護體系無法跟上信息技術(shù)的發(fā)展，很容易使信息系統(tǒng)暴露在惡劣的網(wǎng)絡(luò)環(huán)境中，從而引發(fā)一系列數(shù)據(jù)安全問題。鑒于此，建設(shè)完善的網(wǎng)絡(luò)安全防護體系就成為醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全管理部門亟待解決的問題。

建設(shè)網(wǎng)絡(luò)安全防護體系，首先要對信息系統(tǒng)的網(wǎng)絡(luò)安全防護進行評估。網(wǎng)絡(luò)安全管理部門通過詳細掃描來排查安全漏洞，并針對不同問題制定對應(yīng)的修補解決方案。與此同時，還需要對網(wǎng)絡(luò)訪問權(quán)限建立一套科學(xué)合理的分級管理機制，以此加強對核心數(shù)據(jù)的保護。其次，建設(shè)完善入侵檢測系統(tǒng)以及病毒防護體系。這兩大防護體系可以有效抵御各種的病毒攻擊和非法入侵，為保護醫(yī)院信息系統(tǒng)提供強有力的安全保障。最后，醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全管理部門應(yīng)當(dāng)通過全院范圍內(nèi)的網(wǎng)絡(luò)安全管理和防護制度，通過宣傳普及加強醫(yī)院工作人員的信息網(wǎng)絡(luò)安全意識，敦促他們定期按時殺毒和對殺毒、防護軟件升級更新，進一步減少安全問題的產(chǎn)生。

（3）強化賬戶管理，設(shè)置防火墻保障信息安全

通常情況下，只要有用戶登錄醫(yī)院信息系統(tǒng)進行實時的數(shù)據(jù)瀏覽、修改乃至保存等行為，就不可避免地使醫(yī)院的信息數(shù)據(jù)發(fā)生變更，數(shù)據(jù)丟失、損壞、發(fā)生問題等風(fēng)險往往集中出現(xiàn)在這個過程中。從這一點上看，設(shè)置防火墻、強化賬戶管理就有很強的現(xiàn)實意義[6]。設(shè)置防火墻可以防止外部的惡意入侵，但是應(yīng)當(dāng)注意的是，在設(shè)置防火墻的同時還應(yīng)當(dāng)增加一道密碼措施來進一步加強安全保障。有條件的話，最好盡可能增加破譯密碼的難度。

（4）安全隔離醫(yī)院網(wǎng)絡(luò)，確保信息系統(tǒng)安全

在醫(yī)院的實際管理運行中，通過網(wǎng)絡(luò)進行信息共享已經(jīng)成為一項常規(guī)操作，但這項操作在方便了醫(yī)院運營管理外，也不可避免地帶來一些網(wǎng)絡(luò)安全問題。要解決這個問題，網(wǎng)絡(luò)安全管理部門可以采取建立子網(wǎng)層級，對重要部門和用戶進行針對性的網(wǎng)絡(luò)隔離措施，清理非正常訪問用戶等方式來規(guī)避。

4 結(jié)束語

在現(xiàn)代信息社會，網(wǎng)絡(luò)安全問題事關(guān)醫(yī)院信息系統(tǒng)的安全穩(wěn)定運行。只有不斷加強網(wǎng)絡(luò)安全意識和網(wǎng)絡(luò)安全管理措施，才能保證醫(yī)院的正常管理運營，也為醫(yī)院未來的長遠發(fā)展提供可靠有力的安全保障。