醫院網絡安全技術應用與管理

張曉燕

南京軍區南京總醫院 信息科，江蘇 南京 210002

醫院網絡的安全與管理是醫院信息系統（HIS）密不可分的一部分，涉及的范圍很廣，其穩定性和安全性將直接影響到醫院業務的正常運轉。盡管不可能做到網絡的絕對安全，但通過對網絡安全技術的應用，積極采取提高網絡安全管理的措施，可以保證醫院網絡系統的穩定運行和核心數據的安全[1-2]。

1 網絡安全技術的應用

1.1 防火墻技術

防火墻是提供安全系統的硬件和軟件的組合，通常用來防止從外部到內部網絡或Internet的未授權訪問。我院局部網和公眾網相連接的地方均通過硬件防火墻來隔離，而不是直接互接，我院HIS與南京市醫保系統、省醫保系統之間的實時互連，中間均采用了Nokia防火墻硬設備隔離，有效防止了外部攻擊，保護了內部網絡的正常運行[3]。

1.2 指紋技術

指紋識別技術開創了個人身份鑒別的新時代。指紋是指人手指的圖案、斷點和交叉點上各不相同的紋路，具有不變性和唯一性的基本特征。通過指紋的比對來實現使用者身份的判斷，相比傳統的身份識別更加快捷和準確。HIS能否正常穩定運行,保證醫院的網絡中心機房安全尤為重要,醫院領導也對網絡中心機房安全提出了更高層次的安全管理要求,普通門鎖系統和人工借還鑰匙管理已經無法滿足實際需求。指紋識別能夠準確區分出哪些是授權用戶可以入內，哪些是非法用戶,并阻擋該用戶入內[4]，從而實現了對進入中心機房人員的管理。由此可以看出，指紋識別技術對網絡中心機房安全管理至關重要。

1.3 VLAN劃分

VlAN（虛擬局域網）是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。VlAN可以控制廣播風暴，增強網絡的安全性和加強網絡管理[5]。我院局域網中含有政工網、醫學信息網等子網，由于功能定位的原因，對保留USB接口、光驅、軟驅有明確的規定。在VLAN劃分中，禁止未經批準攜帶USB接口、光驅、軟驅的微機劃入VLAN，以防病毒入侵造成醫院局域網的故障。

1.4 EAD應用

“端點準入防御”（EndpointAdmission Defense，EAD）系統是從網絡終端入手，具有層層安全審查與過濾功能，能確保每個接入終端都是安全的，使我們擁有一個“干凈”的網絡環境。該系統強制實施統一的醫院網絡安全策略，加強網絡終端的主動防御能力，防止“危險”“易感”終端接入網絡，實現端到端的安全防護體系，最終控制病毒、蠕蟲的蔓延[3,6]。

1.5 網絡質量保障系統

NSA網絡質量保障系統能夠通過首頁使得用戶快速查看局域網內的網絡設備、用戶通知、資源圖表、用戶自定義關鍵SNMP性能數據報告和因特網接入流量匯總信息。這樣可以讓用戶快速了解局域網的大致網絡結構。網絡管理員可以通過“設備搜索欄”中的設備名稱、設備狀態、IP地址來搜索關注的設備。其中設備狀態分為“正常”“異常”“離線”。

NSA網絡質量保障系統提供的機房拓撲圖可監控機房中的設備。設備正常時，警示燈圖標為綠色，相應的設備圖標也是正常顏色。當設備發生了故障，則對應的警示燈設備圖標會出現紅色閃爍情況，并會集中顯示所有設備的溫濕度指標情況。能夠顯示出空調的工作狀態，如溫度、濕度、過濾器狀態、壓縮機狀態、風扇狀態等指標情況。顯示用戶指定服務器的CPU、內存、硬盤等3項指標，CPU使用率顯示設備各個CPU的平均值，硬盤占有率顯示占用率最高的邏輯盤。當3項指標觸發用戶設定的閾值時，節點名稱顏色變紅，正常的時候是綠色。該系統詳細記錄了被監管的節點、接口以及服務所發生的故障，故障產生的時間，以及恢復的時間。

1.6 殺毒軟件的應用

我院服務器及及客戶端均裝有殺毒軟件，病毒庫每周升級、及時更新、實時監控、智能主動防御。有效控制了客戶端文件及應用程序病毒感染，保證了HIS在安全的網絡環境下運行。

2 網絡安全管理

2.1 工作人員配合公司對網絡設備巡檢并形成巡檢報告

通過對電腦硬件巡檢得到一些統計數據,對數據分析后可以提出一些更好的服務建議,如對于客戶端重要數據信息,一定要注意經常備份,防止設備故障、感染病毒時造成數據丟失。

通過對全院設備間交換機巡檢總結分析可以發現一些隱患，如有些設備間門沒有鎖，還存放著其他物品，無關人員可以隨意進出，極其重要的網絡設備無法得到基本的物理安全和相關正常工作環境。對具體的設備檢查如面板指示燈狀態，看是否有紅燈報警。

通過巡檢發現問題，一方面，巡檢人員及時處理、快速反饋，使存在的問題能在最短的時間內得到解決，保證網絡正常穩定運行；另一方面，提出合理化建議，形成巡檢報告以便查閱。

2.2 網絡安全分析會的定期召開

網絡安全分析會參加的人員主要是信息科工作人員和網絡安全保障技術公司代表,針對近期發生的一些網絡故障,大家一起進行技術交流,提出合理的行之有效的建議和解決辦法,討論并付與實施，堅決防范和杜絕類似問題的出現。實踐證明會議的召開使大家的主動性充分調動起來，積極參預疑難問題的解決，經過大家的努力,我院網絡安全得到了有力的保障。

2.3 規章制度的實施

公司工作人員到院網絡中心需有信息科工作人員的陪同；公司工作人員所攜帶的筆記本電腦不準接入內網；由于工作需要進入網絡使用的U盤、移動硬盤，必須經過計算機工程技術人員同意并檢毒，未經檢毒殺毒的U盤、移動硬盤等移動存儲介質，絕對禁止上網使用；網絡信息系統所有設備的配置、安裝、調試必須由計算機工程技術人員負責，其他人員不得隨意拆卸和移動；網絡中心機房內嚴禁存放易燃、易爆、易腐蝕及強磁性物品；網絡中心機房內不準吸煙、進食、會客、大聲喧嘩；嚴禁無關人員上機操作，操作人員只應進行本職責范圍內的操作，禁止進行與本工作職責無關的工作；網絡管理人員須每天定時查看設備運轉情況，填寫日志，對錯誤事件及故障應及時分析原因，切實解決問題[7-8]。加強回顧性故障分析研究工作，定期提供故障原因分析報告。采取針對措施，防止發生重大網絡故障。

[1]雍維林,沈洪超.淺談醫院信息網絡的安全[J].航空航天醫藥,2010,(5):807-808.

[2]黃威.淺談醫院信息系統的安全問題[J].科技創新導報,2011,(3):230.

[3]楊霜英,胡新勇,楊國斌,等.大型醫院網絡信息系統的安全保障策略[J].中國醫療設備,2009,24(10):37-38.

[4]何星星.指紋門禁在智能化樓宇中的應用及實現[J].電腦知識與技術,2010,6(17):4744.

[5]馬錫坤,徐旭東,劉安濱.我院VLAN劃分的組織與實施[J].醫療衛生裝備,2007,28(4):37

[6]張桂華,羅平,郭劍峰.醫院信息系統的網絡安全管理思路[J].中國醫藥科學,2011,(12):140-141.

[7]毛曄沁.醫院網絡安全的技術實現與改進[J].信息安全與技術,2011,(6):47-48.

[8]沈崑,楊松.醫院信息系統的安全建設與管理[J].中國醫療設備,2011,26(6):67-69.