摘? 要：大數(shù)據(jù)時代發(fā)展背景下，醫(yī)院信息化建設(shè)如火如荼，越來越多的醫(yī)療新業(yè)務、新應用不斷上線，對醫(yī)院的計算機網(wǎng)絡信息安全提出更高要求，計算機網(wǎng)絡信息安全系統(tǒng)的建設(shè)對于醫(yī)療行業(yè)的發(fā)展具有深遠影響。文章以此為背景，從計算機網(wǎng)絡安全技術(shù)及管理兩個方面，探討大數(shù)據(jù)時代背景下醫(yī)院計算機網(wǎng)絡信息系統(tǒng)的建設(shè)及應用，總結(jié)成功經(jīng)驗，以供相關(guān)人員參考。

關(guān)鍵詞：大數(shù)據(jù);醫(yī)院計算機網(wǎng)絡;信息安全;技術(shù)應用

中圖分類號：TP393? ? ? ? ? ? ? ? 文獻標識碼：A文章編號：2096-4706（2021）19-0072-05

Research on Application of the Hospital Computer Network Information

Security in the Big Data Era

ZHANG Cui

（Wanqiao Information Technology Co.， Ltd.， Lanzhou? 730000， China）

Abstract： Under the background of the development of big data era， the hospital informatization construction is in full swing， and more and more new medical businesses and applications are continuously launched， which puts forward higher requirements for the hospital computer network information security. The construction of computer network information security system has a deeply impact on the development of the medical industry. Based on this background， this paper discusses the construction and application of hospital computer network information system in the big data era from two aspects of computer network security technology and management， and summarizes successful experience for reference of relevant personnel.

Keywords： big data; hospital computer network; information security; technology application

0? 引? 言

在大數(shù)據(jù)時代背景下，以互聯(lián)網(wǎng)技術(shù)為代表的一些新興技術(shù)已經(jīng)逐漸開始被應用到各個行業(yè)中，為一些傳統(tǒng)的行業(yè)轉(zhuǎn)型與升級提供新的方向與動力。信息化安全建設(shè)是整個醫(yī)療行業(yè)信息化發(fā)展中不可忽視的重要問題，并且基于醫(yī)院信息化建設(shè)的現(xiàn)狀，需要提供給其一種開放編輯的網(wǎng)絡環(huán)境，保障數(shù)據(jù)共享與傳輸期間的安全性，進而實現(xiàn)醫(yī)院信息化建設(shè)相關(guān)業(yè)務的安全穩(wěn)定運行。但是，近些年來醫(yī)療行業(yè)各項技術(shù)及應用的快速發(fā)展，系統(tǒng)本身安全性不高、醫(yī)院自身網(wǎng)絡安全管理水平落后的問題已經(jīng)影響到系統(tǒng)本身適用的效率和醫(yī)院內(nèi)各項業(yè)務的全面開展。在此背景下，通過實踐探討醫(yī)院計算機網(wǎng)絡信息系統(tǒng)安全系統(tǒng)技術(shù)及管理方案的實際應用，使用技術(shù)與管理相結(jié)合的手段促進醫(yī)院信息化安全的正常發(fā)展，為未來實現(xiàn)區(qū)域化醫(yī)療奠定重要的基礎(chǔ)。

1? 醫(yī)院計算機網(wǎng)絡信息安全系統(tǒng)的設(shè)計原則

1.1? 安全保密原則

為嚴格保障醫(yī)院計算機網(wǎng)絡系統(tǒng)的安全、保障醫(yī)院信息化系統(tǒng)中運行的各種信息的安全性，須遵守以下安全保密的原則：

（1）嚴格遵守我國相關(guān)保密管理部門、公安部門等相關(guān)法律與法規(guī)內(nèi)容。

（2）需嚴格對我國各級安全部門所頒布的各項條例和規(guī)定嚴格遵守。

（3）加密設(shè)施與產(chǎn)品的選擇需要符合我國主管部門的要求[1]。

（4）以多層次的安全保障與身份認證機制來加強信息技術(shù)使用的安全性。

（5）要求同一信道可同時傳輸加密與非加密的信息與數(shù)據(jù)。

1.2? 網(wǎng)絡安全體系設(shè)計原則

在現(xiàn)有醫(yī)院的計算機網(wǎng)絡信息安全系統(tǒng)設(shè)計期間，必須要保障網(wǎng)絡與數(shù)據(jù)傳輸過程的安全性，且需將網(wǎng)絡安全體系作為一個整體，基于統(tǒng)一框架來考慮其中各部分的安全性要求[2]。另外需要結(jié)合本身醫(yī)院在網(wǎng)絡系統(tǒng)建設(shè)中的安全性要求，使各項業(yè)務和系統(tǒng)開展與運行過程能夠保持數(shù)據(jù)傳輸?shù)耐暾c機密性，在現(xiàn)有安全網(wǎng)絡建設(shè)目標的背景下，實現(xiàn)醫(yī)院信息化建設(shè)與應用的可持續(xù)發(fā)展。

第一，對于醫(yī)院計算機網(wǎng)絡系統(tǒng)中的各種信息，需要結(jié)合其保密的級別和重要程度來實現(xiàn)不同強度的處理，保障信息完整、真實性以及不被非法披露的同時，也為整個系統(tǒng)的網(wǎng)絡安全性創(chuàng)造重要的技術(shù)環(huán)境。

第二，基于整個醫(yī)院中心數(shù)據(jù)庫的建設(shè)要求，需要建設(shè)多級授權(quán)和身份認證機制，并且可以對使用該數(shù)據(jù)庫的用戶本身的權(quán)限進行嚴格鑒別，同時需要其具備完整的數(shù)據(jù)備份和恢復功能，容錯性的設(shè)計與保護一些重要數(shù)據(jù)信息，發(fā)揮系統(tǒng)的可靠性與穩(wěn)定性作用[3]。

第三，在目前的網(wǎng)絡信息系統(tǒng)建設(shè)中，必須要嚴格限制的內(nèi)容包含：應用數(shù)據(jù)與系統(tǒng)的用戶訪問權(quán)限和權(quán)利等內(nèi)容。如果遇到一些特殊的數(shù)據(jù)需要被訪問，則需要對訪問之后的行為做好記錄和后續(xù)審計工作，實現(xiàn)系統(tǒng)安全的嚴格控制，在此期間包含物理、層羅和應用等各個層次的訪問與控制。另外完善的身份認證機制建設(shè)也是保障網(wǎng)絡安全的重要核心。

2? 計算機網(wǎng)絡信息安全系統(tǒng)安全技術(shù)探究與應用

2.1? 計算機網(wǎng)絡信息安全系統(tǒng)中的安全技術(shù)

防火墻技術(shù)就是對外界的網(wǎng)絡信息進行過濾、訪問控制的特殊互聯(lián)網(wǎng)裝備，并且結(jié)合自動清除內(nèi)部網(wǎng)絡所存在的風險數(shù)據(jù)達到保障系統(tǒng)安全的目的。一般在互聯(lián)網(wǎng)出口、專線接入出口、安全域之間根據(jù)鏈路情況，部署千兆或萬兆防火墻，實現(xiàn)出口、不同安全域之間的邏輯隔離。

VPN技術(shù)是指虛擬的專用網(wǎng)絡，是一種遠程的訪問網(wǎng)絡形式。結(jié)合VPN技術(shù)能夠利用公用網(wǎng)絡將各地分布的網(wǎng)絡整合在一起，形成可以傳輸媒介的虛擬專用網(wǎng)絡。

入侵檢測及防御技術(shù)是以技術(shù)手段檢測網(wǎng)絡行為，用以保障計算機網(wǎng)絡的信息安全，由此及時發(fā)現(xiàn)并阻斷外界入侵行為。

防病毒技術(shù)是預防、檢測、查殺計算機網(wǎng)絡中的病毒程序，用以保障用戶計算機系統(tǒng)及數(shù)據(jù)安全。

信息加密技術(shù)可以全面保障企業(yè)網(wǎng)絡信息的安全性，結(jié)合口令設(shè)置選擇適用的加密方式

系統(tǒng)備份與恢復技術(shù)可以用于處理已經(jīng)受損的數(shù)據(jù)集文件，防止文件永久性丟失所帶來的不良影響。

網(wǎng)閘技術(shù)應用在兩個網(wǎng)絡之間，采用安全隔離與信息交換系統(tǒng)（即網(wǎng)閘）進行網(wǎng)絡安全隔離和信息交換控制，實現(xiàn)兩個網(wǎng)絡之間的網(wǎng)絡隔離和裸數(shù)據(jù)擺渡傳輸。通過網(wǎng)閘，創(chuàng)建協(xié)議隔斷，將兩個網(wǎng)絡隔離斷開，保證網(wǎng)絡之間安全隔離，能夠屏蔽各種已知和未知的TCP/IP網(wǎng)絡攻擊，阻斷木馬、網(wǎng)絡后門的非法連接。

2.2? 計算機網(wǎng)絡信息安全系統(tǒng)在醫(yī)院中的實際應用

針對醫(yī)院使用需求，一般建設(shè)三套計算機網(wǎng)絡系統(tǒng)：內(nèi)網(wǎng)、外網(wǎng)、設(shè)備網(wǎng)，三套網(wǎng)絡在硬件上物理隔離，組成相互獨立的局域網(wǎng)。三套網(wǎng)絡主要承載的業(yè)務有：

內(nèi)網(wǎng)：也稱為HIS網(wǎng)絡，主要承載醫(yī)療核心業(yè)務，如HIS、LIS、PACS等業(yè)務數(shù)據(jù)傳輸，醫(yī)療專用系統(tǒng)（如病床呼叫系統(tǒng)、排隊叫號系統(tǒng)、遠程會診系統(tǒng)等）。

外網(wǎng)：也稱為辦公網(wǎng)絡，作為行政辦公、對外發(fā)布、互聯(lián)網(wǎng)醫(yī)學資料查詢的主要平臺。

設(shè)備網(wǎng)：也稱為智能IP設(shè)備網(wǎng)，主要承載IP廣播系統(tǒng)，門禁系統(tǒng)、視頻監(jiān)控、報警系統(tǒng)、樓宇自動控制系統(tǒng)、智能照明系統(tǒng)呼等業(yè)務。

三套網(wǎng)絡分別獨立建設(shè)，不同網(wǎng)絡之間的數(shù)據(jù)交換通過安全隔離網(wǎng)閘來實現(xiàn)，確保任意兩網(wǎng)之間沒有TCP/IP連接;在內(nèi)網(wǎng)、設(shè)備網(wǎng)、外網(wǎng)通過部署EVPN，VxLAN等網(wǎng)絡虛擬化技術(shù)實現(xiàn)園區(qū)SDN，子網(wǎng)之間通過旁掛在核心上的防火墻調(diào)用服務鏈的方式進行業(yè)務訪問控制[4]，整體網(wǎng)絡架構(gòu)圖如圖1所示。

2.2.1? 防火墻應用

在醫(yī)院內(nèi)網(wǎng)與設(shè)備網(wǎng)之間、各內(nèi)網(wǎng)業(yè)務區(qū)之間采用防火墻系統(tǒng)，進行網(wǎng)絡安全區(qū)域邊界隔離及防護，通過配置多種安全策略，實現(xiàn)醫(yī)院內(nèi)網(wǎng)和設(shè)備網(wǎng)之間的較大帶寬的數(shù)據(jù)交互、各內(nèi)網(wǎng)業(yè)務區(qū)之間的相對獨立性，以便更加方便、更加可靠的進行管理和維護，保證各項正常業(yè)務的不間斷運行。防火墻路由功能配置如圖2所示。

防火墻安全策略配置如圖3所示。

2.2.2? 網(wǎng)閘應用

網(wǎng)閘能提供比防火墻、入侵檢測等技術(shù)更高級別的安全防護，既保證安全隔離又實現(xiàn)醫(yī)院對外提供的短信平臺門診服務時所必需的實時數(shù)據(jù)交換，例如短信掛號服務、短信就診提醒服務、候診人數(shù)提醒服務、檢驗結(jié)果短信提醒服務等等，同時借助嚴格的內(nèi)容控制技術(shù)，還可以防止醫(yī)院內(nèi)部重要數(shù)據(jù)信息的泄漏和被竊取[5]。

在醫(yī)院內(nèi)網(wǎng)與外網(wǎng)之間、外網(wǎng)與設(shè)備網(wǎng)之間采用網(wǎng)閘系統(tǒng)，進行網(wǎng)絡安全隔離和信息交換控制，實現(xiàn)醫(yī)院內(nèi)網(wǎng)與外網(wǎng)之間、外網(wǎng)與設(shè)備網(wǎng)之間的網(wǎng)絡隔離和裸數(shù)據(jù)擺渡傳輸。通過網(wǎng)站在醫(yī)院內(nèi)外網(wǎng)之間建立數(shù)據(jù)擺渡安全通道設(shè)置如圖4所示。

網(wǎng)閘上需進行數(shù)據(jù)擺渡的醫(yī)院各業(yè)務對象定義如圖5所示。

網(wǎng)閘上數(shù)據(jù)擺渡規(guī)則配置如圖6所示。

3? 計算機網(wǎng)絡信息安全管理機制建設(shè)

本文以實際醫(yī)院案例，通過《醫(yī)院計算機網(wǎng)絡系統(tǒng)安全策略》的進一步修改來實現(xiàn)醫(yī)院計算機網(wǎng)絡系統(tǒng)安全技術(shù)措施，并編制“醫(yī)院信息系統(tǒng)的應急預案”，便于醫(yī)院開展網(wǎng)絡信息安全建設(shè)。在具體實施過程中，其所取得的成效十分顯著，具體可包含以下幾點內(nèi)容。

3.1? 進一步健全安全組織、增加安全投入

在對上述策略實施之后可以明確的是，現(xiàn)有的醫(yī)院本身信息系統(tǒng)的安全工作組織已經(jīng)逐漸健全，且以安全領(lǐng)導小組的建設(shè)實現(xiàn)系統(tǒng)的安全管理。該小組第一責任人為分管院長，由該責任人確定有關(guān)責任部門、部門負責人，三者共同制定與實施安全管理責任制，進一步檢查醫(yī)院現(xiàn)有的網(wǎng)絡系統(tǒng)安全性。基于這些措施的實施，現(xiàn)如今醫(yī)院計算機系統(tǒng)的安全性得到進一步提升，且也增加了年度安全資金的投入，保障安全信息系統(tǒng)的建設(shè)。

3.2? 普遍加強醫(yī)院的安全技術(shù)機制

增加了機房的安全建設(shè)。結(jié)合GB標準，改建原有的機房，并建立新機房，將機房內(nèi)的環(huán)境進行改善，購置UPS，加強機房自身的防雷和接地措施。

合理的調(diào)整網(wǎng)絡結(jié)構(gòu)并做好升級。結(jié)合本身網(wǎng)絡應運用的性能要求，升級原網(wǎng)絡主干，增加貸款，將主干的交換設(shè)備進行更換（如將原有的100 M換成現(xiàn)在的1 000 M），隨后根據(jù)醫(yī)院具體的業(yè)務要求來調(diào)整原有的網(wǎng)絡結(jié)構(gòu)，以獨立小網(wǎng)的形式來實施一些關(guān)鍵的業(yè)務網(wǎng)段建設(shè)，如急診掛號、門診掛號和收費等內(nèi)容。

進一步加強了系統(tǒng)的冗余備份。醫(yī)院檢查網(wǎng)絡系統(tǒng)的核心交換機與A類的服務器，保障其具備冷熱備的安全措施，隨后更換磁盤的陣列，根據(jù)備份工具的增加來做好業(yè)務數(shù)據(jù)的安全備份與恢復。

對信息安全系統(tǒng)相關(guān)部件配置進行進一步升級，醫(yī)院對于自身網(wǎng)絡系統(tǒng)中的操作系統(tǒng)和數(shù)據(jù)庫信息數(shù)據(jù)的安全進行加強配置，加強用戶對于系統(tǒng)的訪問控制，啟動防火墻、入侵檢測、上網(wǎng)行為管理、網(wǎng)閘等安全系統(tǒng)相關(guān)設(shè)施，對審計參數(shù)以科學的方法進行設(shè)計，進而進一步提升整個安全系統(tǒng)的審計與防范能力。

3.3? 對安全優(yōu)化應用系統(tǒng)的功能做進一步深化

現(xiàn)有醫(yī)院已經(jīng)將原有的系統(tǒng)軟件進行更新和調(diào)整，并以新模塊的開發(fā)來滿足現(xiàn)有數(shù)據(jù)的安全要求，如增加了拒絕弱口令和對口令有效期的設(shè)計等。隨后醫(yī)院也采取一定的措施加強系統(tǒng)的安全審計作用，如設(shè)置了用戶訪問會話的鎖定功能。

3.4? 進一步加強管理制度文檔化和管理措施

根據(jù)《醫(yī)院計算機網(wǎng)絡系統(tǒng)安全策略》實際建設(shè)要求，以文檔化的形式來制定各種管理制度，隨后歸檔處理一些重要的文件和檔案內(nèi)容，加強規(guī)范和記錄重要的設(shè)備和服務器。并且醫(yī)院提升終端訪問用戶本身的強度和指令長度，結(jié)合自身的系統(tǒng)假設(shè)要求和運維的特征，以詳細的操作規(guī)范和管理制度來實現(xiàn)系統(tǒng)更加安全的設(shè)計與運行。

3.5? 做好應急措施的進一步完善、加強應急演練工作

目前醫(yī)院已經(jīng)對應急預案的重要性進行全面認知，結(jié)合所發(fā)部分的相關(guān)安全策略內(nèi)容，根據(jù)各個部門的業(yè)務情況制定針對性的解決方案，同時將這些方案打印，以流程圖和圖紙的方式來粘貼，組織相關(guān)部門人員進行定期學習和培訓，并實施這些應急預案內(nèi)容的演練工作，由此來保障醫(yī)院信息系統(tǒng)可以全天候穩(wěn)定運行，也為醫(yī)院各項業(yè)務的開展提供充足的方案保障。

根據(jù)現(xiàn)有安全策略的制定和落實，加上定期檢查與安全培訓，醫(yī)院從上到下都開始對計算機網(wǎng)絡安全建設(shè)作出足夠的重視，且保障整個信息化系統(tǒng)穩(wěn)定運行，以此為患者提供高質(zhì)量、高效率的就醫(yī)服務。但是醫(yī)院也必須得認識到，目前內(nèi)部的信息系統(tǒng)依舊存在一些細微問題，也會隨著信息技術(shù)的發(fā)展出現(xiàn)新的不穩(wěn)定因素。所以基于此，醫(yī)院必須要長期重點核查和關(guān)注自身的信息化系統(tǒng)，將其化為醫(yī)院日常工作內(nèi)容中，減少危險因素的進入，保障醫(yī)院安全開展各項醫(yī)療業(yè)務。

4? 結(jié)? 論

綜上所述，在大數(shù)據(jù)時代發(fā)展背景下，醫(yī)院計算機網(wǎng)絡信息安全系統(tǒng)的技術(shù)應用與管理措施是應對醫(yī)院信息化系統(tǒng)安全問題的重要舉措。在大數(shù)據(jù)背景下醫(yī)院信息化建設(shè)發(fā)展過程中，應正視可能面臨的各種安全風險，對各種網(wǎng)絡威脅給予充分的重視，針對性地提出醫(yī)院計算機網(wǎng)絡信息安全系統(tǒng)建設(shè)方案及醫(yī)院信息安全管理方案，并結(jié)合應用實踐，制定合理的優(yōu)化措施，從技術(shù)及管理兩個層面，保障醫(yī)院信息化系統(tǒng)安全，這也是目前醫(yī)院計算機網(wǎng)絡系統(tǒng)及醫(yī)療信息化系統(tǒng)長期穩(wěn)定運行的必要條件，更是其未來可持續(xù)發(fā)展的重要動力。

參考文獻：

[1] 黃爍.大數(shù)據(jù)時代醫(yī)院計算機網(wǎng)絡信息系統(tǒng)的安全分析 [J].中國新通信，2020，22（19）：139-140.

[2] 耿立新.大數(shù)據(jù)時代計算機網(wǎng)絡信息安全防護研究 [J].軟件，2021，42（9）：95-97.

[3] 宋學蓮.大數(shù)據(jù)時代計算機網(wǎng)絡信息安全防護策略 [J].計算機與網(wǎng)絡，2021，47（14）：49.

[4] 楊葳.基于大數(shù)據(jù)時代的計算機網(wǎng)絡信息安全的探討 [J].電腦知識與技術(shù)，2021，17（19）：38-39+49.

[5] 程廣宇.大數(shù)據(jù)時代醫(yī)院計算機網(wǎng)絡信息系統(tǒng)的安全分析 [J].信息與電腦（理論版），2019（5）：209-210.

作者簡介：張翠（1989—），女，漢族，甘肅靖遠人，工程師，畢業(yè)于蘭州交通大學，碩士，主要研究方向：弱電智能化設(shè)計工作。