構建醫(yī)院計算機信息系統(tǒng)安全防范體系

成自力，盧道兵

淮安市第一人民醫(yī)院 計算機中心，江蘇 淮安 223300

0 前言

醫(yī)院內部信息系統(tǒng)中，如果沒有安全可靠的醫(yī)院網絡，就沒有安全可靠的醫(yī)院信息系統(tǒng)（HIS），就不可能建立井然有序的醫(yī)療工作秩序。目前，醫(yī)院信息安全已逐漸得到領導的重視，開始加大資金投入，加快了醫(yī)院計算機安全體系建設的步伐。

1 安全防范體系結構的建設

我院計算機信息系統(tǒng)安全防范體系結構主要從自然環(huán)境、硬件、軟件及管理制度等4方面著手建立。計算機信息安全體系，見圖1。

1.1 機房自然環(huán)境監(jiān)控

服務器和主交換機等網絡核心設備所處的自然環(huán)境，是保證網絡設備可靠運行的重要因素。為此我們在供電系統(tǒng)中安裝了環(huán)境動力監(jiān)測設備（研華科技產品），用于監(jiān)測供配電系統(tǒng)中的市電、防雷接地、長延時UPS的工作狀態(tài)；對環(huán)境系統(tǒng)中精密空調、溫濕度的變化、漏水情況進行監(jiān)測。也可集成安防系統(tǒng)的溫感、煙感控制，能與空調、門禁、供配電系統(tǒng)聯(lián)動控制，從而達到有效地監(jiān)控機房的自然環(huán)境。

圖1 計算機信息安全體系

1.2 系統(tǒng)硬件建設

1.2.1 防火墻

為了防范外部網絡攻擊和入侵，我們采用NGFW4000防火墻來隔離HIS和互聯(lián)網。該軟件穩(wěn)定、可靠，功能豐富，較好地解決了各類醫(yī)保、農合等接口與外部網絡連接的安全問題。

1.2.2 網絡冗余

（1）機房冗余。在住院大樓建立主機房后，又選址在距離住院大樓100 m以外的門診大樓建立災難恢復機房，保證在主機房由于意外情況失效時，能夠無縫切換到災備機房，不使系統(tǒng)中斷。

（2）服務器冗余。利用VERITAS將2臺HIS核心服務器分別部署在中心機房和災備機房，并使用萬兆光纖相連，確保信息的高速交換和群集的自動切換。

（3）交換機冗余。在中心機房和災備機房分別部署2臺核心交換機，再用單模光纖對應相連，而匯聚交換機再分別接到其中1個機房的2個核心交換機上，實現(xiàn)雙路聯(lián)接，保證網絡的聯(lián)接可靠安全。

（4）網絡拓樸結構。采取較為合理的網絡拓樸結構實現(xiàn)網絡冗余備用，保證在部分光纖和網線損壞的情況下，能夠實現(xiàn)迅速更換，其次是合理地劃分出多個虛擬局域網（VLAN），可實現(xiàn)訪問控制和減少廣播風暴的發(fā)生。

1.3 軟件建設

1.3.1 防病毒軟件

我們采用趨勢科技防毒墻（網絡版），它是一種集中式管理軟件。防毒墻可保護連網服務器和PC機免受病毒/惡意軟件和惡意代碼的威脅，還可有效地查殺各種流行的病毒。

1.3.2 安全管理平臺

對于一個相對封閉的HIS，如果不考慮外來的入侵行為，面臨的風險大多始于內部。為此，要做好以下工作：① 入網控制，包括非法設備入網、合法設備帶毒入網、對存在缺陷終端的及時提醒、隔離等；② 傳統(tǒng)桌面管理，包括及時發(fā)現(xiàn)桌面設備的系統(tǒng)漏洞并自動分發(fā)補丁，確保終端用戶的行為受控，并做到事先預防、事中控制、事后審計，快速分發(fā)軟件、批量更改系統(tǒng)設置，從而實現(xiàn)遠程支持和控制；③ 移動介質管理，防止U盤交叉使用、傳播木馬和病毒以及U盤泄密；④ 全面資產管理，了解全網的軟硬件清單，對網絡資產的生命周期進行跟蹤管理。

采用多維終端安全管理平臺（Mutil-dimensional Security Endpoint Management Platform，MSEP）可很好地解決上述各種問題。

1.3.3 “防統(tǒng)方”支撐平臺

目前，醫(yī)院工作的開展對信息系統(tǒng)的依賴性越來越強，鑒于上述情況，醫(yī)院迫切需要一套信息管理系統(tǒng)，對敏感數(shù)據(jù)進行實時監(jiān)控，對違規(guī)操作進行追根溯源和智能控制。這樣既可以防止非正常統(tǒng)方行為的發(fā)生，又可以保護醫(yī)院在耗材使用、患者信息、財務等方面的各項數(shù)據(jù)安全。本系統(tǒng)采用橫渡科技“防統(tǒng)方系統(tǒng)”軟件，對醫(yī)院統(tǒng)方行為進行監(jiān)控。既防止了醫(yī)院患者的信息外泄，又防止了醫(yī)院在經營、財務、科研、辦公等方面的數(shù)據(jù)外泄，從而保護了院方的核心利益。

2 管理制度建設

提高安全意識，完善管理制度。信息安全除了從技術上下功夫外，同時也要充分認識計算機網絡安全關系到全院的各個部門，影響到每個員工，也要依靠配套的安全管理措施來規(guī)范每個員工的行為，大力提高安全意識，確保系統(tǒng)的安全。

（1）加強用戶密碼管理。對于系統(tǒng)管理員和數(shù)據(jù)庫管理員，不共用管理員和密碼，而使用各自的管理員和密碼，以便明確責任。做好普通用戶自己的密碼保管，定期提醒更換密碼。

（2）做好數(shù)據(jù)備份與故障恢復。每日檢查備份日志，確保數(shù)據(jù)的本地和異地備份順利完成。定期開展信息系統(tǒng)應急演練，做好極端情況的手工處理，保證醫(yī)療流程的不中斷。

該計算機信息系統(tǒng)安全防范體系在我院已使用1年多的時間，系統(tǒng)運行穩(wěn)定，很好地提高了信息網絡的安全管理水平，極大地增強了網絡安全整體防范和預警能力。

[1]蔣蘋,王奕.計算機信息系統(tǒng)安全體系設計[J].計算機工程與科學,2003,25(1):38-41.

[2]趙戰(zhàn)生.中國信息安全體系結構基本框架域構想[J].計算機安全,2002,11(1):44-47.

[3]吳書宏.基于局域網的安全設計的研究[J].電腦知識與技術,2009,15(6):1361-1362.

[4]王偉.醫(yī)院局域網網絡安全分析[J].中外醫(yī)療,2011,(27):146.

[5]馬錫坤.醫(yī)院網絡終端準入控制解決方案[J].中國醫(yī)療設備,2011,26(11):30-32.

[6]鞏蕾,路萬里,王偉偉.構建醫(yī)院網絡信息安全防護體系的探討[J].當代醫(yī)學,2010,16(6):26-27.

[7]李娜,盧沙林.軍隊醫(yī)院網絡信息系統(tǒng)的安全分析[J].計算機與現(xiàn)代化,2011,(2):138-141.