試論醫院網絡安全維護工作

何小勇 高翔 云南省精神病醫院， 云南 昆明 650224

試論醫院網絡安全維護工作

何小勇 高翔 云南省精神病醫院， 云南 昆明 650224

隨著信息化的飛速發展，各種攻擊手段層出不窮，網絡安全至關重要。本文結合我院實際闡述了信息管理員在醫院網絡安全管理中的維護工作，醫院HIS系統和醫保網絡所面臨的安全威脅也越來越大，所以保證醫院網絡及整個信息系統的安全與穩定極為重要。本文從系統、數據備份以及管理制度等各方面討論網絡安全管理所需的必要而有效的措施。

醫院內部網絡運行著醫院管理系統（HIS系統），外部網絡連接著醫保網絡系統，對信息系統的依賴將越來越大，信息網絡系統的局部或全局的癱瘓，不僅對醫院的正常業務造成嚴重的影響，也對醫院的形象和服務質量造成不可估計的損失。信息技術的飛速發展，同時操作系統的漏洞卻不斷被發現，黑客實施攻擊的技術和手段越來越隱蔽和具有危險性，加上全球性的病毒一次又一次的爆發，信息系統所面臨著很大的安全威脅。所以作為信息管理員保證醫院網絡及整個信息系統的安全與穩定極為重要。

一、系統安全

醫院系統安全包括操作系統安全和HIS系統安全兩個方面。

1、操作系統安全

操作系統是管理電腦硬件與軟件資源的程序，同時也是計算機系統的內核與基石。從終端用戶的程序到服務器應用服務以及網絡安全的很多技術，都是運行在操作系統上的，因此，保證操作系統的安全是整個安全系統的根本。從操作系統的易用性和安全性方面考慮，盡量使用微軟的服務器操作系統，比較常用的版本有Win2000/Advanced Server、Win2003/Advanced Server,以及最新版本功能強大的WINDOWS SERVER 2008。

賬號和密碼是操作系統安全機制的核心，通過賬號策略的相關設置可以避免

很多潛在的問題。首先禁用guest賬號，將系統內建的administrator賬號改名（改的越復雜越好，最好改成大小寫數字和英文混合的），而且要設置一個密碼，最好是8位以上字母數字符號組合。

用戶很少會直接訪問文件，設置文件、打印機等共享只會增加不安全因素，建議盡量避免。安裝應用軟件也需要審慎考慮，除了系統補丁、數據庫、備份、防火墻及其他一些服務程序等必需的軟件外，其余無關的軟件一律不要在服務器上安裝。因為這些軟件可能在后臺占用系統資源，對系統的穩定性和安全性也有著影響。

我們常說，系統漏洞是病毒木馬傳播最重要的通道，不及時安裝系統補丁的電腦，將無法阻止被入侵。windows 是一個龐大而復雜的操作系統不可避免地存在著各種各樣的漏洞，為了避免這些利用系統漏洞的攻擊，操作系統應當及時安裝最新的service pack 和補丁。當然，這些補丁都有可能是不穩定的，有必要在服務器安裝前在試驗的環境測試和對系統進行完整的備份。

另外，windows2000/XP 默認安裝后就提供了大量的服務。對于特定用途的服務器來說，一些服務是用不到的，而且有些服務存在著已知或未知的漏洞，占用系統資源，對系統安全造成難以預料的威脅。所以我們要立足于系統的需求，在確保系統安全的前途下禁用無關的服務。

2、HIS系統安全。

HIS系統的有效運行，將提高醫院各項工作的效率和質量，HIS面臨的安全攻擊指危及醫院信息安全的任何行為， HIS系統通過醫保前置服務器和路由器接入醫保網絡，所以HIS系統面臨著來著醫保網絡和內部網絡兩方面的攻擊，為保證外部醫保網絡的安全，主要通過安裝網絡防火墻實現，防火墻是一類防范措施的總稱。它使內網與其他外部網絡之間互相隔離，限制網絡互訪來保護內部網絡。根據醫保服務進程的需要開放其使用的協議端口，其他的均屏蔽掉。同時要定期查閱防火墻的日志，以便及早發現系統的安全威脅。

在內部網絡方面，所有聯入HIS系統的計算機要從輸入途徑上禁止病毒的傳播，醫院信息系統的工作站都不安裝光驅和軟驅，禁用USB接口，設置CMOS 密碼等。工作站只安裝與醫院信息系統有關的軟件，再裝上安全管理系統，限制只能運行醫院信息系統，屏蔽直接的硬盤、網絡和注冊表訪問。每臺客戶端操作人員由系統管理員按照其工作范圍分配權限和賬號，操作人員的登陸口令不得泄露，不得多人共用。

網絡環境下病毒、蠕蟲、木馬和流氓軟件的快速傳播、隱蔽、嚴重威脅系統安全。病毒的傳播破壞文件和系統可用性，木馬潛伏在系統內并截獲用戶輸入的密碼、鍵盤動作等重要重要信息，并將這些信息發送出去。此外必須配備網絡版殺毒軟件，隨時監控HIS內網安全狀況，及時下發殺毒軟件升級包，

二、數據備份

計算機里面重要的數據、檔案或歷史紀錄，是至關重要的，一是不慎丟失，都會造成不可估量的損失，輕則辛苦積累起來的心血付之東流，嚴重的會影響醫院業務的正常運作，造成巨大的損失。

數據備份是容災的基礎，是指為防止系統出現操作失誤或系統故障導致數據丟失，而將全部或部分數據集合從應用主機的硬盤或陣列復制到其它的存儲介質的過程。而數據所面臨的風險不止是病毒和網絡攻擊，實際上用戶的一次錯誤操作，系統的一次不正常斷電以及其他一些意外，都可能引起災難性的數據流失或損壞。這要求我們要有一套完善的保護方案和應急措施。

常用的數據備份包括采用雙機熱備、磁盤鏡像或容錯、備份磁帶異地存放、關鍵部件冗余等多種災難預防措施。在備份工具選擇上，可以向第三廠商 (全球盾，Eubase，IBM，賽門鐵克等) 購買專業用備份系統，這些措施能夠在系統發生故障后進行系統恢復。但是這些措施一般只能處理計算機單點故障，對區域性、毀滅性災難則束手無策，也不具備災難恢復能力。這就需要系統管理員做好值班工作，對機房溫度、設備運行狀態等異常進行監控，當發生災難時能第一時間應急處理。

因為有些方式需要的軟硬件投入比較大，我們應該根據實際情況權衡各方因素制定合適合理的備份方案。例如我院因條件限制目前采用的是數據導出遷移的備份模式。

三、管理制度的完善和落實

醫院網絡信息安全管理實施工作責任制和責任追究制。我院成立網絡信息安全領導小組；分管信息工作的副院長為網絡信息安全責任人，信息員為網絡安全員，負責本院的網絡信息安全管理，其主要職責為：

1、定期召開網絡信息安全工作會議，通報有關情況，分析研究網絡信息安全工作中的新情況、新問題，提出工作對策。

2、認真履行《昆明市勞動和社會保障信息管理系統前端應用系統日常運行維護和安全管理工作規程》的要求，及時傳達通報有關文件精神和法規政策，提供經驗和做法。

3、定期了解各部門網絡信息安全管理的情況，加強檢查和指導。

作為系統管理人員負責監控全院網絡工作情況，及時處理網絡中所遇到的問題，重大問題和難以解決的問題并及時上報，請有信息安全領導小組給予指導和解決。

網絡安全員職責為：

1、系統管理人員負責注冊用戶、設置口令、授予權限，并適時加以修改，以便增強系統的保密程度。

2、每天查看系統日志，對網絡和系統進行監視并適時協調管理。

3、對系統設備經常檢測和維修，防微杜漸，保證網絡和系統設備處于良好的工作狀態。

4、堅持到站點巡視，了解各站點的人員、設備、系統應用等情況，以便適時進行調整和維護。

5、負責網絡維護工作，對全院網絡情況實施監控，隨時解決網絡中出現的各種情況，并在適當時候，根據醫院的需求，對網絡實施改造和更新。

6、負責新上網絡系統的調試，參與制定啟用計劃，并指導應用。

7、負責對醫療信息、設備資料及消耗材料進行管理，使之充分發揮作用。

8、負責全院人員計算機知識，系統應用的培訓指導工作，使全院人員都能正確地使用計算機進行工作。

9、做好數據月、周、日備份工作，備份介質由財務科保管，確保數據的安全，準確無誤。

10、每周進行系統漏洞修補，殺毒軟件更新，防止非法用戶入侵及病毒傳播。

11、根據醫院的特點，適時開發新的應用系統，以滿足醫院信息的要求，擴展網絡的應用范圍。

12、系統管理員要積極參加信息技術培訓，與時俱進，保持知識更新。

通過上述的安全措施，將大大增強醫院的網絡系統安全，但是沒有一種技術能真正保證絕對的安全，這就需要我們在現有的資源下定出合理的全局安全策略，找出并補全整個系統的薄弱環節。在實際工作信息管理員需要中加強新技術的學習，關注新的安全趨勢，做好網絡安全預防工作，才能保證醫院信息系統的穩定，更好地為患者提供醫療服務。

1、胡曉捷.醫院信息系統內網安全技術研究[D].上海市中心醫院信息科.2009年

10.3969/j.issn.1001-8972.2011.17.043