淺談醫(yī)院業(yè)務(wù)系統(tǒng)的安全管理

王偉

【摘要】本文結(jié)合自己多年的工作經(jīng)驗(yàn)和體會(huì)，淺談怎樣以最小的代價(jià)來(lái)保障醫(yī)院的網(wǎng)絡(luò)安全。醫(yī)院對(duì)信息系統(tǒng)的依賴越來(lái)越大，而信息系統(tǒng)所面臨的安全威脅也越來(lái)越大，所以保證醫(yī)院網(wǎng)絡(luò)及整個(gè)信息系統(tǒng)的安全與穩(wěn)定極為重要，本文從硬件、軟件、網(wǎng)絡(luò)以及管理制度等各方面討論安全管理所需的必要而有效的措施。隨著醫(yī)院信息化的發(fā)展，越來(lái)越多的業(yè)務(wù)和工作需要計(jì)算機(jī)以及網(wǎng)絡(luò)的支撐，醫(yī)院對(duì)信息系統(tǒng)的依賴將越來(lái)越大，而保障網(wǎng)絡(luò)通信的穩(wěn)定成了重要的問(wèn)題。信息系統(tǒng)局部的癱瘓，不僅對(duì)醫(yī)院的正常業(yè)務(wù)造成嚴(yán)重的影響，也對(duì)醫(yī)院的形象和服務(wù)質(zhì)量造成不可估計(jì)的損失。

【關(guān)鍵詞】硬件、軟件、網(wǎng)絡(luò)

【中圖分類號(hào)】TP3 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158（2013）01—0350-01

隨著新醫(yī)改的逐步推進(jìn)，醫(yī)院信息化發(fā)展突飛猛進(jìn)，醫(yī)療衛(wèi)生行業(yè)的信息化建設(shè)也迎來(lái)一個(gè)全新的發(fā)展階段。如今許多醫(yī)療機(jī)構(gòu)使用的醫(yī)院信息系統(tǒng)，但是醫(yī)院的信息系統(tǒng)的安全狀況卻令人擔(dān)憂，很多醫(yī)院花了很多錢，買了很多昂貴的計(jì)算機(jī)設(shè)備和網(wǎng)絡(luò)設(shè)備，卻無(wú)法達(dá)到理想的效果，信息系統(tǒng)的安全運(yùn)行離不開(kāi)終端、網(wǎng)絡(luò)和服務(wù)器的安全運(yùn)行，一旦這些系統(tǒng)遭遇病毒侵入，隨時(shí)都可能會(huì)影響到“數(shù)字化醫(yī)院”的正常運(yùn)轉(zhuǎn)。下面我將結(jié)合我們醫(yī)院的情況談?wù)劸W(wǎng)絡(luò)安全問(wèn)題。

我院是國(guó)家二級(jí)甲等綜合性企業(yè)醫(yī)院，運(yùn)行醫(yī)院信息化系統(tǒng)的電腦有二百多臺(tái)，服務(wù)器10臺(tái)，交換機(jī)20臺(tái)。網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，有內(nèi)網(wǎng)，外網(wǎng)，醫(yī)保網(wǎng)。我院近年來(lái)加大了醫(yī)院信息化建設(shè)的投入，充分利用俄產(chǎn)的一款信息安全軟件提供的整體空間安全解決方案，有效地提高網(wǎng)絡(luò)安全維護(hù)的效率，并對(duì)終端設(shè)備進(jìn)行7×24小時(shí)的安全監(jiān)測(cè)，對(duì)醫(yī)院網(wǎng)絡(luò)提供全面的集成式保護(hù)。

一、硬件安全管理

對(duì)于醫(yī)院網(wǎng)絡(luò)而言，如果對(duì)計(jì)算機(jī)的管理不到位，掉線、網(wǎng)絡(luò)堵塞、無(wú)法快速上網(wǎng)、受攻擊等問(wèn)題將屢屢出現(xiàn)，將對(duì)醫(yī)院業(yè)務(wù)系統(tǒng)整體安全構(gòu)成巨大隱患。事實(shí)上醫(yī)院的計(jì)算機(jī)管理工作并不像想象的那么簡(jiǎn)單，醫(yī)院的計(jì)算機(jī)管理牽涉面廣，技術(shù)難度大，事務(wù)雜，管理人員的日常工作量較大，包括業(yè)務(wù)系統(tǒng)的日常軟、硬件維護(hù)、設(shè)備維護(hù)，網(wǎng)絡(luò)故障排除等等。而且各個(gè)病區(qū)、醫(yī)療設(shè)備的計(jì)算機(jī)硬件和軟件配置不統(tǒng)一，五花八門，安裝軟件的版本不統(tǒng)一，各種各樣的操作系統(tǒng)和應(yīng)用軟件，這就要求計(jì)算甲管理人員必須要有較強(qiáng)的計(jì)算機(jī)維護(hù)能力，能夠在短時(shí)間內(nèi)排除故障。因此，計(jì)算機(jī)管理在不同程度上存在一定的技術(shù)難度，必須不停地學(xué)習(xí)掌握先進(jìn)的技術(shù)。用科學(xué)的方法進(jìn)行管理。醫(yī)院網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題將直接關(guān)系到醫(yī)院的業(yè)務(wù)的正常運(yùn)行和社會(huì)形象。要保證設(shè)備的安全穩(wěn)定運(yùn)行，比如路由器、交換機(jī)、服務(wù)器、磁盤柜、光纖收發(fā)器、光纖模塊、以及聯(lián)網(wǎng)計(jì)算機(jī)等等，其次制定周密的硬件檢查與維修計(jì)劃，每周都要對(duì)計(jì)算機(jī)燈硬件設(shè)備進(jìn)行檢查，及時(shí)發(fā)現(xiàn)問(wèn)題找出故障原因及時(shí)處理解決，如須更換部件，應(yīng)及時(shí)更換是并做好相應(yīng)的維修記錄，確保設(shè)備正常運(yùn)轉(zhuǎn)，保證正常的醫(yī)療秩序。機(jī)房和機(jī)柜的鑰匙一定要管理好，不要讓無(wú)關(guān)人員隨意進(jìn)入機(jī)房；放置服務(wù)器的機(jī)房應(yīng)做好防雷、防電、防火、防水、防高溫等常規(guī)防護(hù)工作。

二、網(wǎng)絡(luò)安全管理

由于我院醫(yī)保啟動(dòng)相對(duì)較晚，所以應(yīng)用了較先進(jìn)的軟硬件方案，全市各醫(yī)院基本上都是通過(guò)光電光纖與省市醫(yī)保中心相連的，醫(yī)院的醫(yī)保終端機(jī)通過(guò)華為路由器和光纖交換機(jī)連接醫(yī)保網(wǎng)絡(luò)，同時(shí)有一條光纖專線作備份，在光纖網(wǎng)絡(luò)失效時(shí)自動(dòng)的進(jìn)行切換，軟件上采用了較先進(jìn)的嵌入式醫(yī)保接口方案，病區(qū)各工作站系統(tǒng)通過(guò)調(diào)用嵌入DLL函數(shù)連接醫(yī)保中心系統(tǒng)進(jìn)行各項(xiàng)操作。由于各病區(qū)工作站要連接HIS數(shù)據(jù)庫(kù)服務(wù)器，故在服務(wù)器上配置了一款俄產(chǎn)的信息安全軟件提供整體安全解決方案，并通過(guò)安裝網(wǎng)絡(luò)防火墻，有效地提高網(wǎng)絡(luò)安全維護(hù)的效率。在中心交換機(jī)上配置VLAN并管理整個(gè)聯(lián)網(wǎng)計(jì)算機(jī)，根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問(wèn)控制以達(dá)到限制非法訪問(wèn)的目的。為了提高網(wǎng)絡(luò)的安全性，應(yīng)避免將企業(yè)不同部門處于同一網(wǎng)段，可將不同部門劃分在不同的VLAN中。設(shè)置VLAN還可以縮小ARP病毒的影響范圍，ARP病毒的有效作用域?yàn)閹Ф局鳈C(jī)所在的廣播域。并且強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。使醫(yī)院各系統(tǒng)工作站和訪問(wèn)互聯(lián)網(wǎng)的計(jì)算機(jī)可以在各自獨(dú)立的邏輯網(wǎng)絡(luò)內(nèi)互不影響地運(yùn)行，管理員可以靈活的運(yùn)用管理軟件來(lái)管理工作站的計(jì)算機(jī)。

三、軟件管理

病毒的防范應(yīng)該作為軟件安全管理的一個(gè)重點(diǎn)。同硬件系統(tǒng)相比，軟件系統(tǒng)的安全問(wèn)題是最多的，要經(jīng)常更新操作系統(tǒng)及軟件的補(bǔ)丁程序，配置好自動(dòng)升級(jí)功能，以防漏洞被非授權(quán)人員利用。加強(qiáng)操作系統(tǒng)權(quán)限管理和口令管理，刪除所有非法用戶；禁止Guest用戶，關(guān)閉服務(wù)器上沒(méi)有必要的網(wǎng)絡(luò)服務(wù)，監(jiān)測(cè)系統(tǒng)日志，定期對(duì)服務(wù)器文件進(jìn)行備份與維護(hù)。醫(yī)院計(jì)算機(jī)終端很容易通過(guò)USB閃盤等可移動(dòng)設(shè)備受到感染，俄產(chǎn)安全軟件能夠控制這些設(shè)備在局域網(wǎng)絡(luò)中的使用，并阻止其接入網(wǎng)絡(luò)。全面的做好預(yù)防和應(yīng)對(duì)措施，首先要安裝一個(gè)合適的病毒防火墻，對(duì)所有的計(jì)算機(jī)進(jìn)行實(shí)時(shí)防護(hù)，我們使用的是俄產(chǎn)網(wǎng)絡(luò)版的安全防護(hù)軟件，只要防火墻控制服務(wù)器手動(dòng)或自動(dòng)更新了病毒庫(kù)，就可以自動(dòng)地更新各客戶機(jī)的病毒定義，這點(diǎn)很重要，管理員不需要為了及時(shí)更新病毒庫(kù)而整天忙碌，也保證了在大部分新病毒廣泛蔓延并感染你的計(jì)算機(jī)前就有了免疫力，網(wǎng)絡(luò)版的病毒防火墻還可以監(jiān)控各客戶機(jī)的情況，讓我們及時(shí)定位染毒計(jì)算機(jī)，并采取必要的隔離清除措施，其次，還可以禁止用戶端計(jì)算機(jī)未經(jīng)授權(quán)的私自安裝軟件，由于醫(yī)院的日常工作對(duì)信息系統(tǒng)的穩(wěn)定性要求很高，更不允許病毒在內(nèi)部網(wǎng)絡(luò)爆發(fā)，因此需要實(shí)行更嚴(yán)謹(jǐn)?shù)墓芾泶胧?，要從輸入途徑上禁止病毒的傳播。醫(yī)院信息系統(tǒng)的工作站都不安裝光驅(qū)和軟驅(qū)，禁用USB接口，設(shè)置CMOS密碼等，工作站只安裝與醫(yī)院信息系統(tǒng)有關(guān)的軟件，再裝上安全管理系統(tǒng)，限制只能運(yùn)行醫(yī)院信息系統(tǒng)，屏蔽直接的硬盤，網(wǎng)絡(luò)和注冊(cè)表訪問(wèn)，等等，由此可以有效防止有意或無(wú)意的系統(tǒng)破壞，病毒感染，內(nèi)部網(wǎng)絡(luò)入侵等，當(dāng)然，這是犧牲了方便而換來(lái)的安全，至于其他使用計(jì)算機(jī)的需要，如辦公軟件，可以通過(guò)設(shè)立單獨(dú)專用的計(jì)算機(jī)或讓其連接不同的網(wǎng)絡(luò)實(shí)現(xiàn)，基本原則是讓信息系統(tǒng)的網(wǎng)絡(luò)獨(dú)立而封閉讓病毒無(wú)從進(jìn)入，

四、管理制度的完善和落實(shí)

醫(yī)院信息系統(tǒng)的安全是一個(gè)系統(tǒng)性工程，不能僅僅依靠技術(shù)，還需要建立相應(yīng)的管理制度，將各種技術(shù)與管理手段結(jié)合在一起，就能生成一個(gè)高效、通用、安全的業(yè)務(wù)系統(tǒng)。有完善嚴(yán)謹(jǐn)?shù)陌踩芾碇贫冗€必須通過(guò)操作員貫徹落實(shí)，才能實(shí)現(xiàn)最大限度的安全保護(hù)，雖然不可能做到絕對(duì)的安全系統(tǒng)，但我們可以讓它更安全。

參考文獻(xiàn)

[1]周蓮茹等.醫(yī)院信息系統(tǒng)建設(shè)及安全管理.北京郵電大學(xué)出版社，2011

[2]朱歲松.醫(yī)院信息化建設(shè)與管理，軍事醫(yī)學(xué)科學(xué)出版社，2005

[3]陸斌杰.醫(yī)院信息系統(tǒng)實(shí)用維護(hù)手冊(cè)世界圖書出版公司，2012

[4]金新政.現(xiàn)代醫(yī)院信息系統(tǒng)，人民衛(wèi)生出版社，2009

[5]王明時(shí).醫(yī)院信息系統(tǒng)，科學(xué)出版社，2008