劉德健

（廣西醫(yī)科大學一附院 廣西 530021）

0 引言

計算機網(wǎng)絡(luò)已深入到醫(yī)院的每一個科室，從最早的 HIS、LIS到PACS，醫(yī)院的各項業(yè)務(wù)對網(wǎng)絡(luò)的依賴性越來越強，并且在網(wǎng)絡(luò)管理上有它的特性。醫(yī)院推行網(wǎng)絡(luò)管理意在為病人提供更加優(yōu)質(zhì)、高速的服務(wù)。確保網(wǎng)絡(luò)安全運行與及時維護，才能避免不必要的醫(yī)療事故及糾紛發(fā)生，所以醫(yī)院應(yīng)更加重視網(wǎng)絡(luò)的安全維護。

1 醫(yī)院局域網(wǎng)自身安全因素

1.1 硬件安全問題

硬件安全主要分兩種：一是計算機網(wǎng)絡(luò)硬件設(shè)備、設(shè)施以及其他媒體遭受人為或非人為因素事故，導致的破壞過程。二是由于網(wǎng)絡(luò)自身維護、安裝布線等導致的安全防護措施不力，如網(wǎng)線布局不合理、服務(wù)器資料無備份、交換機設(shè)置不合理、無防雷措施、未配不間斷電源(UPS)等。

1.2 安全管理問題

安全意識不到位。使用者對病毒、木馬、黑客等的危害性了解不夠，沒有及時對計算機系統(tǒng)進行修補漏洞，升級殺毒軟件，導致網(wǎng)絡(luò)存在較大的風險。黑客和計算機病毒正是利用這些漏洞，破壞系統(tǒng)的正常運行。

缺乏網(wǎng)絡(luò)保護手段。很多醫(yī)院登陸網(wǎng)絡(luò)信息系統(tǒng)的操作是通過設(shè)置不同用戶，并給他們不同的權(quán)限來登陸的。當計算機開機后用戶名直接就顯示在面前，這樣一來黑客就可利用一些專門軟件強行破解用戶密碼，進入醫(yī)院網(wǎng)絡(luò)系統(tǒng)。

缺少對內(nèi)的安全審核和監(jiān)控手段。對本院內(nèi)部人員的違規(guī)操作和侵入，沒有有效地監(jiān)控機制，造成網(wǎng)絡(luò)系統(tǒng)安全和資源被破壞。

2 醫(yī)院局域網(wǎng)安全保護措施

在了解了存在的安全隱患后，就應(yīng)該建立一套比較完整的安全體系，減少這些隱患的發(fā)生。

2.1 硬件安全維護

2.1.1 合理布線

在醫(yī)院的樓與樓之間采用光纖相聯(lián)，并且留有備份。接入層到終端盡量采用屏蔽雙絞線，線路之間避免交叉纏繞，并與電線保持一定距離以減小相互干擾。增加網(wǎng)點，使終端距交換機盡可能短，以減少信號衰減。

2.1.2 網(wǎng)絡(luò)中心安全措施

首先中心服務(wù)器使用不間斷電源(UPS)，保證24小時不間斷工作，防止因停電造成的數(shù)據(jù)丟失和損壞。對于中心服務(wù)器的配置，我醫(yī)院采用的是不同樓棟的中心機房雙核心交換機和雙核心服務(wù)器熱實時災(zāi)備模式，保證數(shù)據(jù)與中心服務(wù)器的同步。當一臺核心交換機或核心服務(wù)器發(fā)生故障時，業(yè)務(wù)處理不受影響，保證了系統(tǒng)的正常運行。從而能大大地提高系統(tǒng)安全性。

2.1.3 網(wǎng)絡(luò)設(shè)備維護

醫(yī)院信息系統(tǒng)中的數(shù)據(jù)靠網(wǎng)絡(luò)傳輸，網(wǎng)絡(luò)的正常運行是醫(yī)院信息系統(tǒng)的基木條件，所以網(wǎng)絡(luò)設(shè)備的維護至關(guān)重要。路由器、交換機等設(shè)備需要定期檢測，查看指示燈狀態(tài)是否正常，各種插頭是否松動，注意除垢、防水等。本院匯聚層交換機采用兩臺個Cisco 3750系列交換機作冗余，樓層交換機各插兩塊千兆光模塊連接，分別與兩臺匯聚層交換機相連，這樣當一臺出現(xiàn)故障后另一臺能自動進入工作狀態(tài)，保證匯聚層到接入層的安全性能。

2.1.4 工作站安全措施

除了防塵、防水，聯(lián)網(wǎng)許可等，還應(yīng)為系統(tǒng)用GHOST做備份，當系統(tǒng)被破壞時可快速恢復系統(tǒng)。

2.2 軟件安全維護

2.2.1 操作系統(tǒng)的安全維護

目前，一般醫(yī)院服務(wù)器和工作站的操作系統(tǒng)多采用微軟WINDOWS系列操作系統(tǒng)，這就要求對計算機使用的帳號、用戶權(quán)限、網(wǎng)絡(luò)訪問以及文件訪問等實行嚴格的控制和管理，及時下載和打好系統(tǒng)補丁，盡可能關(guān)閉不需要的端口，以彌補系統(tǒng)漏洞帶來的各類隱患。對各類工作站和服務(wù)器的CMOS設(shè)置密碼，取消不必要的光驅(qū)、軟驅(qū)，以及屏蔽USB接口，以防止外來光盤、軟盤和U盤的使用。

2.2.2 安裝網(wǎng)絡(luò)殺毒軟件

當今，計算機出現(xiàn)病毒種類繁多、變異速度快、傳播網(wǎng)絡(luò)化、隱蔽性強、危害多樣化、危害后果日趨嚴重等特點，一些惡性病毒除了攻擊計算機網(wǎng)絡(luò)系統(tǒng)中的核心設(shè)備和資源、降低網(wǎng)絡(luò)運行速率、造成網(wǎng)絡(luò)擁堵甚至癱瘓外，甚至盜竊被攻擊系統(tǒng)中的用戶帳號、密碼、機密資料、檔案等信息。醫(yī)院在構(gòu)建防病毒系統(tǒng)時，要針對網(wǎng)絡(luò)中所有可能的病毒攻擊點設(shè)置對應(yīng)的殺毒軟件，如網(wǎng)絡(luò)版的趨勢防毒墻、諾頓殺毒軟件，通過全方位、多層次防毒系統(tǒng)配置實現(xiàn)病毒防治。對于局域網(wǎng)內(nèi)用戶終端，本院在所有計算機安裝上網(wǎng)絡(luò)版趨勢殺毒軟件，服務(wù)器端進行病毒庫升級后客戶端會自動下載升級，以保證終端用戶擁有最新的殺毒配置。對于服務(wù)器等有其他需要的計算機，則根據(jù)需要安裝相應(yīng)殺毒軟件。

2.2.3 安裝防火墻

防火墻是局域網(wǎng)的第一道防線，檢查和過濾進出網(wǎng)絡(luò)的每一個數(shù)據(jù)包，保護醫(yī)院局域網(wǎng)免受外來攻擊。防火墻在局域網(wǎng)的安全建設(shè)中起著重要作用，給局域網(wǎng)裝上防火墻非常必要。

2.2.4 應(yīng)用程序的安全維護

良好的醫(yī)院信息管理系統(tǒng)必須在實際應(yīng)用中不斷修正、完善和發(fā)展。以醫(yī)院信息管理系統(tǒng)為中心，醫(yī)院網(wǎng)管應(yīng)做好應(yīng)用軟件實際需求和軟件開發(fā)商之間的協(xié)調(diào)工作，使醫(yī)院局域網(wǎng)系統(tǒng)既能更好的為醫(yī)院各項業(yè)務(wù)服務(wù)，又能確保醫(yī)院局域網(wǎng)的安全，穩(wěn)定運行。

2.3 數(shù)據(jù)安全

2.3.1 數(shù)據(jù)備份工作

醫(yī)院信息系統(tǒng)數(shù)據(jù)量大、數(shù)據(jù)結(jié)構(gòu)復雜，而這些數(shù)據(jù)的安全是工作的重點。要重視數(shù)據(jù)安全問題，對數(shù)據(jù)及時備份，包括本機備份和異地備份，本地備份就是每天在一個固定時段備份數(shù)據(jù)；異地備份采用每天兩次將數(shù)據(jù)備份到另一棟樓房內(nèi)的電腦中，以確保災(zāi)難性事件發(fā)生后數(shù)據(jù)的完整與安全，另外還采取半年作一次數(shù)據(jù)轉(zhuǎn)儲，將轉(zhuǎn)儲出來的數(shù)據(jù)分別存放在不同的移動存儲器中。

2.3.2 防病毒工作

數(shù)據(jù)庫是醫(yī)院局域網(wǎng)業(yè)務(wù)系統(tǒng)的核心，它的安全性相當重要?，F(xiàn)實中病毒、黑客、木馬無處不在，首先加強全院職工的教育，將防病毒工作深入人心，使其自覺維護網(wǎng)絡(luò)安全，維護醫(yī)院利益；其次是使用網(wǎng)絡(luò)版的趨勢防毒軟件或安信防火墻，專人定時更新病毒庫。對終端桌面進行不定期檢查監(jiān)控，及時發(fā)現(xiàn)違規(guī)操作給予糾正并對違規(guī)行為提出警告，對終端的光驅(qū)及USB接口進行屏蔽，嚴禁外來設(shè)備接入，從而減少病毒感染的可能，從技術(shù)上保證網(wǎng)絡(luò)的安全。選擇SEP l1．0作防護軟件，它將SAV與高級威脅防御功能相結(jié)合，可以為筆記本、臺式機和服務(wù)器提供無與倫比的惡意軟件防護能力。

2.4 操作人員的安全意識

2.4.1 網(wǎng)絡(luò)的權(quán)限控制

根據(jù)訪問權(quán)限將用戶分為系統(tǒng)管理員、一般用戶。嚴格限制系統(tǒng)管理員個數(shù)，并限定使用某些模塊的最高權(quán)限。一些特殊模塊如藥庫管理、門診藥房、住院藥房要專人專用，給予他們相應(yīng)權(quán)限，要經(jīng)常更改用戶口令，以防被人竊取。

2.4.2 強化醫(yī)務(wù)人員的網(wǎng)絡(luò)安全教育

醫(yī)院內(nèi)部員工的網(wǎng)絡(luò)安全教育相當重要，要讓大家了解計算機病毒的危害、網(wǎng)絡(luò)黑客的危害等，逐步網(wǎng)絡(luò)使用人員養(yǎng)成網(wǎng)絡(luò)安全責任，為確保局域網(wǎng)系統(tǒng)的安全，應(yīng)慎用U盤、移動硬盤等存儲介質(zhì)，應(yīng)升級病毒系統(tǒng)和定時殺毒，慎用資源共享；對于業(yè)務(wù)需要的應(yīng)用軟件，應(yīng)設(shè)置使用口令；使用好相關(guān)的應(yīng)用軟件后，應(yīng)及時退出自己的工號；對于計算機的任何疑問，應(yīng)及時聯(lián)系計算機管理員。

2.5 建立完備的應(yīng)急方案

首先，網(wǎng)絡(luò)要有良好的供電環(huán)境，能夠保證主服務(wù)器、網(wǎng)絡(luò)交換設(shè)備及相關(guān)工作站(其中包括門診收費、門診發(fā)藥工作站等)不間斷供電。其次，根據(jù)門診工作實時性要求高的特點，應(yīng)當準備備用客戶機，能夠在客戶機出現(xiàn)崩潰而一時半會不能恢復的情況下，及時更換備用客戶機，保持門診工作的連續(xù)性。

[1]趙曉云，孫宏杰．淺談醫(yī)院信息系統(tǒng)的安全[J]．醫(yī)學信息學.2005，5(18)：455.

[2]張會芹.醫(yī)院網(wǎng)絡(luò)的安全維護措施[J]．中國醫(yī)院統(tǒng)計.2005，2(12)：191—192.