郭慧

摘要：隨著大數(shù)據(jù)時(shí)代的來臨及醫(yī)療健康信息化的推進(jìn)，醫(yī)院信息系統(tǒng)與計(jì)算機(jī)網(wǎng)絡(luò)結(jié)合得更加密切，各種網(wǎng)絡(luò)病毒和攻擊也越來越多，如何解決網(wǎng)絡(luò)中存在的安全問題成為研究重點(diǎn)。文章將PDCA循環(huán)方法與醫(yī)院網(wǎng)絡(luò)安全防護(hù)工作相結(jié)合，首先提出了目前網(wǎng)絡(luò)中存在的安全問題，然后分析產(chǎn)生問題的原因，接著針對這些問題詳細(xì)闡述解決措施以及整改結(jié)果，最后總結(jié)了運(yùn)用PDCA循環(huán)方法解決網(wǎng)絡(luò)安全問題的有效性，并提出在下一個(gè)PDCA循環(huán)中待解決的網(wǎng)絡(luò)安全問題，從而使網(wǎng)絡(luò)安全防護(hù)技術(shù)得到持續(xù)發(fā)展。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；PDCA循環(huán)

中圖分類號：TP393? 文獻(xiàn)標(biāo)志碼：A

0 引言

在信息化時(shí)代背景下，計(jì)算機(jī)網(wǎng)絡(luò)可應(yīng)用到各行各業(yè)，為社會(huì)經(jīng)濟(jì)發(fā)展做出了巨大貢獻(xiàn)［1］。計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用于醫(yī)療行業(yè)，不僅可以方便醫(yī)院管理和患者就診，還可以提升醫(yī)院的醫(yī)療水平，提高醫(yī)院的工作效率，增強(qiáng)醫(yī)院的綜合競爭力［2］。如果計(jì)算機(jī)網(wǎng)絡(luò)是實(shí)現(xiàn)智慧醫(yī)院的必要前提，那么網(wǎng)絡(luò)安全則是實(shí)現(xiàn)智慧醫(yī)院的重要保障。按照國家信息安全等級保護(hù)的相關(guān)條例，醫(yī)院在開展網(wǎng)絡(luò)安全工作時(shí)，應(yīng)全面且定期按照安全等級保護(hù)辦法進(jìn)行安全防護(hù)［3］。通過對照最新的網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)，在醫(yī)院內(nèi)部網(wǎng)絡(luò)開展自查?；谧圆橹邪l(fā)現(xiàn)的網(wǎng)絡(luò)安全問題，本文將PDCA循環(huán)方法與醫(yī)院網(wǎng)絡(luò)安全防護(hù)工作相結(jié)合，詳細(xì)闡述采用何種措施可有效解決當(dāng)前網(wǎng)絡(luò)中存在的安全問題。

1 PDCA簡介

隨著“互聯(lián)網(wǎng)+”概念的引入，網(wǎng)絡(luò)環(huán)境變得較為復(fù)雜，威脅網(wǎng)絡(luò)安全的因素也在增多，尤其是近年來勒索病毒的出現(xiàn)，醫(yī)院網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防護(hù)更為重要，需要事先做好預(yù)防、事中做好應(yīng)急、事后做好處置。PDCA循環(huán)是一種科學(xué)的工作程序，是質(zhì)量管理的基本手段，也是持續(xù)改進(jìn)的重要方法［4］。將PDCA循環(huán)應(yīng)用于醫(yī)院網(wǎng)絡(luò)安全防護(hù)策略的設(shè)計(jì)、運(yùn)行、維護(hù)和處置等工作流程中，可以使網(wǎng)絡(luò)安全防護(hù)工作得到持續(xù)改進(jìn)，從而有效降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生的可能性，并進(jìn)一步提高網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防護(hù)能力［5］?；诖耍狙芯繉DCA循環(huán)方法應(yīng)用于醫(yī)院網(wǎng)絡(luò)安全防護(hù)工作中，在實(shí)際的網(wǎng)絡(luò)安全防護(hù)中通過不斷地修正防護(hù)方案，使網(wǎng)絡(luò)安全防護(hù)工作得到持續(xù)性改進(jìn)，進(jìn)而降低網(wǎng)絡(luò)危險(xiǎn)發(fā)生的可能性，提高網(wǎng)絡(luò)安全防護(hù)能力。

2 PDCA在網(wǎng)絡(luò)安全管理中的應(yīng)用

2.1 計(jì)劃

2.1.1 現(xiàn)狀介紹

對照網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)，醫(yī)院對內(nèi)部網(wǎng)絡(luò)進(jìn)行安全自查，經(jīng)過全面的排查，發(fā)現(xiàn)在機(jī)房環(huán)境、設(shè)備使用、網(wǎng)絡(luò)運(yùn)維和安全管理等方面尚存在不達(dá)標(biāo)的地方。

2.1.2 分析原因

根據(jù)現(xiàn)狀調(diào)查情況，本研究分別從人員、管理、環(huán)境和硬件4個(gè)方面分析了原因，如圖1所示。（1）人員方面。無論是醫(yī)院工作人員還是駐場運(yùn)維人員，都存在網(wǎng)絡(luò)安全知識欠缺、安全意識不強(qiáng)的問題。（2）管理方面。網(wǎng)絡(luò)安全制度不完整，缺少多層面的巡檢記錄和有效的管控措施。（3）環(huán)境方面。首先，機(jī)房物理環(huán)境存在區(qū)域劃分凌亂、設(shè)備標(biāo)簽標(biāo)識不完整、電磁屏蔽實(shí)施不到位等問題。機(jī)房內(nèi)線纜鋪設(shè)在公共區(qū)域，未采取有效防護(hù)措施，易被破壞。其次，設(shè)備安全計(jì)算環(huán)境未實(shí)現(xiàn)管理用戶權(quán)限分離，網(wǎng)絡(luò)設(shè)備和安全設(shè)備未授予不同賬戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限。最后，服務(wù)器未按要求關(guān)閉高風(fēng)險(xiǎn)端口、網(wǎng)絡(luò)設(shè)備和安全設(shè)備未配置用戶口令有效期及安全設(shè)備未限制終端接入地址等。（4）硬件方面。首先，安全設(shè)備配置不完善，網(wǎng)絡(luò)中未對內(nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查或限制。其次，部分網(wǎng)絡(luò)設(shè)備登錄時(shí)未采用SSH協(xié)議，而是采用telnet協(xié)議，因此不能保證數(shù)據(jù)的完整性。最后，存在安全漏洞，服務(wù)器未及時(shí)打補(bǔ)丁。有些不必要的端口未關(guān)閉，防火墻存在零擊中的策略。

2.1.3 設(shè)定目標(biāo)

醫(yī)院應(yīng)依托先進(jìn)的信息技術(shù)和有效的安全管理辦法，有效管控網(wǎng)絡(luò)安全，從而提高整個(gè)醫(yī)院信息安全的防護(hù)水平，以促進(jìn)醫(yī)院信息化建設(shè)和智慧醫(yī)院的可持續(xù)發(fā)展。

2.2 實(shí)施

2.2.1 整改安全物理環(huán)境

相關(guān)人員在機(jī)房操作應(yīng)佩戴防靜電手環(huán)，避免自身靜電對設(shè)備元器件的損壞；整理機(jī)房線路，降低因線路誤拔插導(dǎo)致的安全問題；部署機(jī)房動(dòng)態(tài)環(huán)境監(jiān)測系統(tǒng)，實(shí)時(shí)監(jiān)控機(jī)房UPS、空調(diào)和消防等設(shè)備動(dòng)態(tài)。具體如圖2—4所示。

2.2.2 完善安全計(jì)算環(huán)境

相關(guān)人員應(yīng)修改網(wǎng)絡(luò)設(shè)備遠(yuǎn)程方式，由原來telnet方式更改為https協(xié)議，如圖5所示。醫(yī)院內(nèi)部局域網(wǎng)絡(luò)部署準(zhǔn)入系統(tǒng)，在交換機(jī)上開啟AAA認(rèn)證，只有合法設(shè)備才能接入醫(yī)院內(nèi)部局域網(wǎng)，如圖6所示。相關(guān)人員還要優(yōu)化防火墻策略，盡可能做到線路點(diǎn)對點(diǎn)訪問，不允許有any到any的行為；部署入侵防御監(jiān)測系統(tǒng)，可在第一時(shí)間掌握網(wǎng)絡(luò)攻擊問題；修改用戶權(quán)限，根據(jù)不同需求為不同用戶設(shè)置最小權(quán)限，如圖7所示。此外，相關(guān)人員還要部署日志收集和安全審計(jì)系統(tǒng)，使各項(xiàng)活動(dòng)有跡可循。

2.2.3 優(yōu)化安全措施

在安全運(yùn)維方面，所有運(yùn)維工程師及網(wǎng)絡(luò)管理人員必須通過堡壘機(jī)登錄服務(wù)器。堡壘機(jī)具有審計(jì)功能，在出現(xiàn)問題時(shí)，可以通過查看堡壘機(jī)中回放的視頻，追溯問題發(fā)生的原點(diǎn)，協(xié)助工程師快速恢復(fù)系統(tǒng)。通過其審計(jì)功能還可以追蹤到個(gè)人行為，避免出現(xiàn)推諉問題。另外，堡壘機(jī)提供RDP，PLSQL，F(xiàn)TP等多種登錄方式，便于根據(jù)用戶需求，設(shè)置最小權(quán)限賬戶，可以避免將整個(gè)服務(wù)器開放給服務(wù)器所有使用者。部署WSUS服務(wù)器后，相關(guān)人員可以根據(jù)系統(tǒng)漏洞掃描結(jié)果，及時(shí)更新系統(tǒng)補(bǔ)丁。

在設(shè)備使用方面，醫(yī)院應(yīng)建立健全設(shè)備登錄審批流程，對信息系統(tǒng)核心設(shè)備做好嚴(yán)格的管控。組成信息系統(tǒng)的核心設(shè)備除了網(wǎng)絡(luò)傳輸設(shè)備外，還有網(wǎng)絡(luò)安全設(shè)備、存儲設(shè)備和數(shù)據(jù)庫。為保障信息系統(tǒng)核心設(shè)備安全，啟用設(shè)備口令復(fù)雜度策略，并強(qiáng)制要求核心設(shè)備密碼定期更換。網(wǎng)絡(luò)設(shè)備和安全設(shè)備采用ssh或https方式進(jìn)行遠(yuǎn)程管理，防止鑒別信息在網(wǎng)絡(luò)傳輸中被竊聽。及時(shí)更新設(shè)備病毒庫和特征庫信息，確保對最新漏洞和病毒的防范。及時(shí)修復(fù)服務(wù)器存在的安全漏洞，做好設(shè)備日志信息備份。部署準(zhǔn)入設(shè)備，根據(jù)醫(yī)院科室需求，制定不同的安全策略，防止無授權(quán)設(shè)備私自接入醫(yī)院內(nèi)部網(wǎng)絡(luò)。

在網(wǎng)絡(luò)安全管理方面，首先，醫(yī)院應(yīng)完善網(wǎng)絡(luò)安全管理制度，明確VPN、堡壘機(jī)、文件擺渡等系統(tǒng)賬戶的申請流程，對工程師登錄服務(wù)器運(yùn)維方式做出詳細(xì)的規(guī)定。其次，根據(jù)當(dāng)前實(shí)際存在的問題，醫(yī)院應(yīng)分別對信息系統(tǒng)安全、自助機(jī)系統(tǒng)、排隊(duì)叫號系統(tǒng)及雙活機(jī)房等修訂應(yīng)急預(yù)案。這些應(yīng)急預(yù)案應(yīng)從安全加固、人員調(diào)配和應(yīng)急策略等多個(gè)方面、多個(gè)層次分別進(jìn)行完善，打造閉環(huán)的安全管理制度。最后，醫(yī)院還要定期對系統(tǒng)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)和演練，并根據(jù)演練過程中發(fā)現(xiàn)的問題及時(shí)更新完善管理制度和應(yīng)急預(yù)案。

2.3 檢查

此次不符合項(xiàng)已經(jīng)完全整改到位，但是還有些問題需要后續(xù)進(jìn)一步優(yōu)化：網(wǎng)絡(luò)設(shè)備和安全設(shè)備需要設(shè)定多個(gè)鑒權(quán)方式；對于待上線系統(tǒng)如何做好漏洞掃描；對于惡意代碼審計(jì)部分，還需要有個(gè)更完善細(xì)致的方案等。這些問題將在后續(xù)安全管理自查自測工作進(jìn)行整改。

2.4 處理

在后續(xù)的安全管理工作中，本研究將結(jié)合實(shí)際情況，從以下幾個(gè)方面進(jìn)行改進(jìn)。

2.4.1 定期排查網(wǎng)絡(luò)安全隱患

定期排查可有效減少網(wǎng)絡(luò)安全隱患，主要包括硬件安全、軟件安全和人員安全3個(gè)方面。

2.4.2 加強(qiáng)科室網(wǎng)絡(luò)安全學(xué)習(xí)

信息管理科室人員要加強(qiáng)安全教育學(xué)習(xí)，尤其是網(wǎng)絡(luò)管理崗位人員，通過不斷學(xué)習(xí)以提升個(gè)人業(yè)務(wù)能力，同時(shí)增強(qiáng)對工作的責(zé)任心。

2.4.3 開展網(wǎng)絡(luò)安全培訓(xùn)工作

院區(qū)要多開展網(wǎng)絡(luò)安全培訓(xùn)工作，強(qiáng)化各科室人員的網(wǎng)絡(luò)安全意識，提高做好安全工作的主動(dòng)性和自覺性。

3 結(jié)語

從最終整改的結(jié)果來看，將PDCA循環(huán)運(yùn)用到網(wǎng)絡(luò)安全防護(hù)工作中是可取的。通過PDCA循環(huán)的監(jiān)管，可有效加強(qiáng)醫(yī)院網(wǎng)絡(luò)安全監(jiān)管，提升網(wǎng)絡(luò)管理人員的工作效率，也提升了信息科室在醫(yī)院的滿意度。

參考文獻(xiàn)

［1］李晨.醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全管理［J］.中國寬帶，2022（2）：41-42.

［2］顧艷.醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)的安全管理探討［J］.科技創(chuàng)新導(dǎo)報(bào)，2020（35）：134-136.

［3］周炎，謝乍晴.基于醫(yī)院信息安全等級保護(hù)的整改實(shí)踐［J］.信息與電腦，2020（3）：192-194.

［4］吳璇.PDCA在醫(yī)院信息系統(tǒng)安全監(jiān)管中的應(yīng)用［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（3）：114-115.

［5］韋素娟.高校網(wǎng)絡(luò)安全風(fēng)險(xiǎn)PDCA循環(huán)預(yù)防與控制機(jī)制研究［J］.宿州學(xué)院學(xué)報(bào)，2019（10）：63-67.

（編輯 沈 強(qiáng)）

Research on the solution of hospital network security problems based on PDCA

Guo? Hui

（Nanjing Jiangning Hospital， Nanjing 211100， China）

Abstract：? With the arrival of the big data era and the promotion of the medical health informatization， the combination of hospital information system and computer networks is more intimate， and more and more viruses and attacks of network are increasing， and how to solve the security problems in the networks has become the focus of research. This paper combines the method of PDCA cycle with the protection work of hospital network security， first puts forward the security problems existing in the current network， and then analyzes the causes of the problems， and next expounds the solutions of the problems and the improvement results in detail. Finally， it summarizes the efficency of using PDCA cycle method to solve network security problems， and puts forward the network security problems to be solved in the next PDCA cycle， thus to make the network security protection technology develop continuously.

Key words： computer network; network security; PDCA circulation