療養院信息系統安全防范

066100 北京軍區北戴河療養院 李伯祥 王恩偉 郭志佳 侯明宇

隨著療養院信息化建設的深入發展，網絡規模不斷擴大，依托療養院信息管理系統運行的子系統越來越多。療養院的業務處理和日常工作的完成全靠信息系統的支撐，系統一旦正式運行，就要求每日24 h不間斷運行[1]，以保證療養數據的連續性、完整性和準確性。因此，信息系統網絡安全問題就顯得尤其重要，系統能否正常運行取決于網絡安全的質量和效果。通常網絡安全隱患有內部因素和外部因素兩種。

1 系統安全存在的隱患

1.1 內部因素

1.1.1 硬件設備 信息系統的硬件安全由建設網絡所使用的硬件設備決定，多數情況下發生故障是由于硬件設備使用環境的技術指標(包括電壓、溫度、濕度等)，產品的兼容性、可靠性、穩定性，使用壽命，老化程度，甚至自身質量問題等因素引起網絡故障，導致系統不能正常運行。對于網絡設備，同型號不同廠家的產品，同廠家不同型號的產品，使用過程中也存在著不同程度的差異，具體問題也會有差別。

1.1.2 軟件本身不完善 網絡系統的軟件包括操作平臺和應用軟件。無論是網絡操作系統還是應用軟件，都存在著或多或少的先天不足或安全漏洞，容易遭到計算機病毒或人為因素的損壞。其中應用軟件設計水平的高低，軟件本身容錯能力的差異，也是造成系統安全隱患的原因。實際工作中，為了系統安全經常采用打補丁的方式，可事實上未打全補丁的軟件系統就是一個隱藏著的后患，網絡上專門對此進行掃描和攻擊的工具已有先例。

1.1.3 操作原因 操作不當也會造成網絡系統故障，主要是網絡管理人員和終端操作人員所為。一是網絡技術管理人員安全意識和安全管理技術能力不足或一時疏忽，給網絡安全帶來漏洞或隱患，在系統安裝和設置密碼過程中，使用自己的姓名、生日，甚至用戶名和密碼使用相同字符等。這樣，由于密碼過于簡單，長時間不作修改更新，多系統設置的密碼雷同，密碼不密而成為公開的密碼，被非法用戶攻擊破解，對網絡進行攻擊。權限設置不當，人員已經調離或更換崗位，原密碼權限沒有及時做相應處理，在完全不必要的情況下增設了郵件服務器或開放了不應該開放的端口。二是終端操作人員操作規程掌握不到位，操作流程不熟悉，工作責任心不強，工作不嚴謹、操作隨意，保密意識不強等都有可能給網絡安全帶來隱患。

1.2 外部因素

1.2.1 環境因素 由于服務器、交換機、光纖模塊等網絡設備要長期處于不停頓的運行狀態，因此，環境狀況對網絡安全和無故障運行至關重要。網絡設備對環境的要求包括房間的溫度、濕度、潔凈度、電源質量等。另外，必須做好防止自然因素的影響，如防雷電、防火災、防電磁干擾、防靜電、防鼠害等。如果在網絡建設初期或網絡改建過程中，沒有做好機房的防雷電、防潮濕、防靜電、防火災、防突發意外斷電等工作，都有可能造成信息系統中斷，甚至網絡設備的損壞。

1.2.2 病毒破壞 隨著網絡的發展和普及，網絡覆蓋范圍逐漸擴大，利用系統漏洞將成為病毒有力的傳播方式，信息系統受計算機病毒感染的風險在不斷增高，病毒已從通過盜版軟件和移動介質進行傳播發展為通過網站網頁、電子郵件、即時通訊工具、下載程序或資料、拷貝文件等方式傳播擴散，并且具有混合型的特征，欺騙性更強，破壞性更大，甚至可以多種方式侵入計算機網絡，并且不斷繁殖，造成電腦運行速度減慢，計算機程序損壞或無法運行，帶來一系列安全問題。

1.2.3 黑客入侵 黑客入侵主要是利用操作系統的安全漏洞、軟件本身缺陷、系統安裝或設置上的疏忽，操作上的失誤等對邏輯實體或物理實體發起攻擊，其攻擊的方式也多種多樣，造成的后果也各不相同。從間歇性停機到整個系統的癱瘓、數據錯誤、大批量盜竊信息、盜用服務、行欺詐等等。

2 系統安全防范措施

2.1 完善網絡安全建設 進行網絡物理隔離，將療養院內部網絡與外網進行嚴格物理隔離[2]，綜合布線階段有針對性地鋪設雙線路，一路用于內部網絡連接，一路用于外網連接。對于涉及安全保密工作的部門，都必須采用專人管理、專用計算機、專用房間、專線連接的方式連接外網，嚴禁一機兩用的現象。封閉療養院內部網絡中所有的硬件和軟件對外接口，防止黑客或外部攻擊，避免病毒的侵入。選用的硬件產品和軟件程序必須符合國家和軍隊的有關規定，達到相關行業標準，涉及保密內容的應有國家安全管理部門認證和產品許可證，采用技術成熟的主流產品，保證運行穩定可靠。

2.2 網絡機房使用不間斷電源供電 用電安全是信息系統重要安全保障之一[3]，要保證療養院信息系統的正常運轉，必須建立雙路供電保障，設置應急發電機，配備足夠功率的不間斷電源，保障網絡機房和工程技術人員辦公用電，防止電源問題導致網絡系統意外中斷情況的發生，同時防止突然斷電造成硬件設備損壞或數據信息的丟失。

2.3 加強系統安全管理 信息系統安全工作的主體是人。因此，人的因素是網絡安全的決定性因素，要做好網絡安全工作，就必須從人的因素抓起。療養院醫務人員的更新以及調整，給療養院信息系統的實際應用帶來了較大的安全隱患和威脅，其中有一部分人對系統安全認識不夠，意識不強，因此必須建立健全網絡安全管理規章制度，強化計算機操作培訓，開展網絡安全教育；配備下發的計算機終端全部封閉移動存儲設備接口，禁止使用移動存儲器，禁止共享系統文件，禁止工作站安裝非工作性程序或軟件；加強密碼管理，避免使用容易被破解的生日、電話號碼等作為口令或密碼，避免多系統使用同一種口令，服務器等關鍵部位的密碼口令只能由網管人員掌握，不得對外泄漏，并定期進行變更，為了防止用戶數據庫的數據被破壞，數據庫管理人員還應該將所有數據庫中不用的用戶全部鎖定，只留下正常的登錄用戶以及系統管理員用戶。工程技術人員應定期檢查科室計算機終端使用情況，及時發現問題解決問題。

2.4 安裝殺毒系統 安裝網絡版的殺毒系統，防范病毒的入侵，設置定期定時殺毒功能，及時更新防病毒系統，以便實時監測、跟蹤軟件的各種操作，一旦發現病毒立即報警，對于危害較大的病毒將其格式化并重裝系統，最大限度地減少被病毒感染的機會。國內的防病毒軟件通常具有運行迅速、資源占用低的特點，查毒能力和殺毒能力也都良好，只是在病毒處理方面還有待提高。當然，安裝了殺毒軟件并不能一勞永逸，我們還應該運用綜合手段全面防御病毒保證網絡安全。可以考慮引進網絡管理軟件，對客戶端進行遠程監控。

2.5 建立應急系統 建立一套能夠立即切換的應急系統是必要的，當主服務器系統出現故障以后，能夠在最短的時間內將療養院的業務切換至應急服務器上，保證系統平穩地運行和業務工作連續性。需要注意的是應急服務器與主服務器之間數據的連續性，最好采用數據同步鏡像。為了保證數據安全必須采用數據備份，數據備份是保證數據安全的重要措施之一，是糾正錯誤數據的依據。數據備份要納入計算機管理范疇，嚴格按照規定的時間、方式和操作完成數據備份，最好要有異地數據備份。

總之，療養院信息系統的網絡安全，應從技術安全、應用安全和管理安全三個方面進行考慮。除了采取技術防范外，建立健全各種規章制度和網絡安全管理制度，也是保障療養院信息系統網絡安全必不可少的措施。

[1]張劍，張巖.醫院網絡安全存在的問題與對策[J].中國數字醫學，2008，3(4)：65-66.

[2]高紅梅，白穎，趙移畛，等.怎樣實現醫院網絡安全保障[J].中醫藥管理雜志，2008，16(1)：56-57.

[3]朱弋，張衛東.醫院信息化過程中的網絡安全措施[J].醫療裝備，2007，20(9)：7-9.