基于PDCA的醫院網絡安全問題解決措施研究

郭慧

摘要：隨著大數據時代的來臨及醫療健康信息化的推進，醫院信息系統與計算機網絡結合得更加密切，各種網絡病毒和攻擊也越來越多，如何解決網絡中存在的安全問題成為研究重點。文章將PDCA循環方法與醫院網絡安全防護工作相結合，首先提出了目前網絡中存在的安全問題，然后分析產生問題的原因，接著針對這些問題詳細闡述解決措施以及整改結果，最后總結了運用PDCA循環方法解決網絡安全問題的有效性，并提出在下一個PDCA循環中待解決的網絡安全問題，從而使網絡安全防護技術得到持續發展。

關鍵詞：計算機網絡；網絡安全；PDCA循環

中圖分類號：TP393? 文獻標志碼：A

0 引言

在信息化時代背景下，計算機網絡可應用到各行各業，為社會經濟發展做出了巨大貢獻［1］。計算機網絡應用于醫療行業，不僅可以方便醫院管理和患者就診，還可以提升醫院的醫療水平，提高醫院的工作效率，增強醫院的綜合競爭力［2］。如果計算機網絡是實現智慧醫院的必要前提，那么網絡安全則是實現智慧醫院的重要保障。按照國家信息安全等級保護的相關條例，醫院在開展網絡安全工作時，應全面且定期按照安全等級保護辦法進行安全防護［3］。通過對照最新的網絡安全等級保護2.0標準，在醫院內部網絡開展自查。基于自查中發現的網絡安全問題，本文將PDCA循環方法與醫院網絡安全防護工作相結合，詳細闡述采用何種措施可有效解決當前網絡中存在的安全問題。

1 PDCA簡介

隨著“互聯網+”概念的引入，網絡環境變得較為復雜，威脅網絡安全的因素也在增多，尤其是近年來勒索病毒的出現，醫院網絡安全風險防護更為重要，需要事先做好預防、事中做好應急、事后做好處置。PDCA循環是一種科學的工作程序，是質量管理的基本手段，也是持續改進的重要方法［4］。將PDCA循環應用于醫院網絡安全防護策略的設計、運行、維護和處置等工作流程中，可以使網絡安全防護工作得到持續改進，從而有效降低網絡安全風險發生的可能性，并進一步提高網絡安全風險防護能力［5］。基于此，本研究將PDCA循環方法應用于醫院網絡安全防護工作中，在實際的網絡安全防護中通過不斷地修正防護方案，使網絡安全防護工作得到持續性改進，進而降低網絡危險發生的可能性，提高網絡安全防護能力。

2 PDCA在網絡安全管理中的應用

2.1 計劃

2.1.1 現狀介紹

對照網絡安全等級保護2.0標準，醫院對內部網絡進行安全自查，經過全面的排查，發現在機房環境、設備使用、網絡運維和安全管理等方面尚存在不達標的地方。

2.1.2 分析原因

根據現狀調查情況，本研究分別從人員、管理、環境和硬件4個方面分析了原因，如圖1所示。（1）人員方面。無論是醫院工作人員還是駐場運維人員，都存在網絡安全知識欠缺、安全意識不強的問題。（2）管理方面。網絡安全制度不完整，缺少多層面的巡檢記錄和有效的管控措施。（3）環境方面。首先，機房物理環境存在區域劃分凌亂、設備標簽標識不完整、電磁屏蔽實施不到位等問題。機房內線纜鋪設在公共區域，未采取有效防護措施，易被破壞。其次，設備安全計算環境未實現管理用戶權限分離，網絡設備和安全設備未授予不同賬戶為完成各自承擔任務所需的最小權限。最后，服務器未按要求關閉高風險端口、網絡設備和安全設備未配置用戶口令有效期及安全設備未限制終端接入地址等。（4）硬件方面。首先，安全設備配置不完善，網絡中未對內部用戶非授權聯到外部網絡的行為進行檢查或限制。其次，部分網絡設備登錄時未采用SSH協議，而是采用telnet協議，因此不能保證數據的完整性。最后，存在安全漏洞，服務器未及時打補丁。有些不必要的端口未關閉，防火墻存在零擊中的策略。

2.1.3 設定目標

醫院應依托先進的信息技術和有效的安全管理辦法，有效管控網絡安全，從而提高整個醫院信息安全的防護水平，以促進醫院信息化建設和智慧醫院的可持續發展。

2.2 實施

2.2.1 整改安全物理環境

相關人員在機房操作應佩戴防靜電手環，避免自身靜電對設備元器件的損壞；整理機房線路，降低因線路誤拔插導致的安全問題；部署機房動態環境監測系統，實時監控機房UPS、空調和消防等設備動態。具體如圖2—4所示。

2.2.2 完善安全計算環境

相關人員應修改網絡設備遠程方式，由原來telnet方式更改為https協議，如圖5所示。醫院內部局域網絡部署準入系統，在交換機上開啟AAA認證，只有合法設備才能接入醫院內部局域網，如圖6所示。相關人員還要優化防火墻策略，盡可能做到線路點對點訪問，不允許有any到any的行為；部署入侵防御監測系統，可在第一時間掌握網絡攻擊問題；修改用戶權限，根據不同需求為不同用戶設置最小權限，如圖7所示。此外，相關人員還要部署日志收集和安全審計系統，使各項活動有跡可循。

2.2.3 優化安全措施

在安全運維方面，所有運維工程師及網絡管理人員必須通過堡壘機登錄服務器。堡壘機具有審計功能，在出現問題時，可以通過查看堡壘機中回放的視頻，追溯問題發生的原點，協助工程師快速恢復系統。通過其審計功能還可以追蹤到個人行為，避免出現推諉問題。另外，堡壘機提供RDP，PLSQL，FTP等多種登錄方式，便于根據用戶需求，設置最小權限賬戶，可以避免將整個服務器開放給服務器所有使用者。部署WSUS服務器后，相關人員可以根據系統漏洞掃描結果，及時更新系統補丁。

在設備使用方面，醫院應建立健全設備登錄審批流程，對信息系統核心設備做好嚴格的管控。組成信息系統的核心設備除了網絡傳輸設備外，還有網絡安全設備、存儲設備和數據庫。為保障信息系統核心設備安全，啟用設備口令復雜度策略，并強制要求核心設備密碼定期更換。網絡設備和安全設備采用ssh或https方式進行遠程管理，防止鑒別信息在網絡傳輸中被竊聽。及時更新設備病毒庫和特征庫信息，確保對最新漏洞和病毒的防范。及時修復服務器存在的安全漏洞，做好設備日志信息備份。部署準入設備，根據醫院科室需求，制定不同的安全策略，防止無授權設備私自接入醫院內部網絡。

在網絡安全管理方面，首先，醫院應完善網絡安全管理制度，明確VPN、堡壘機、文件擺渡等系統賬戶的申請流程，對工程師登錄服務器運維方式做出詳細的規定。其次，根據當前實際存在的問題，醫院應分別對信息系統安全、自助機系統、排隊叫號系統及雙活機房等修訂應急預案。這些應急預案應從安全加固、人員調配和應急策略等多個方面、多個層次分別進行完善，打造閉環的安全管理制度。最后，醫院還要定期對系統相關人員進行應急預案培訓和演練，并根據演練過程中發現的問題及時更新完善管理制度和應急預案。

2.3 檢查

此次不符合項已經完全整改到位，但是還有些問題需要后續進一步優化：網絡設備和安全設備需要設定多個鑒權方式；對于待上線系統如何做好漏洞掃描；對于惡意代碼審計部分，還需要有個更完善細致的方案等。這些問題將在后續安全管理自查自測工作進行整改。

2.4 處理

在后續的安全管理工作中，本研究將結合實際情況，從以下幾個方面進行改進。

2.4.1 定期排查網絡安全隱患

定期排查可有效減少網絡安全隱患，主要包括硬件安全、軟件安全和人員安全3個方面。

2.4.2 加強科室網絡安全學習

信息管理科室人員要加強安全教育學習，尤其是網絡管理崗位人員，通過不斷學習以提升個人業務能力，同時增強對工作的責任心。

2.4.3 開展網絡安全培訓工作

院區要多開展網絡安全培訓工作，強化各科室人員的網絡安全意識，提高做好安全工作的主動性和自覺性。

3 結語

從最終整改的結果來看，將PDCA循環運用到網絡安全防護工作中是可取的。通過PDCA循環的監管，可有效加強醫院網絡安全監管，提升網絡管理人員的工作效率，也提升了信息科室在醫院的滿意度。

參考文獻

［1］李晨.醫院計算機網絡安全管理［J］.中國寬帶，2022（2）：41-42.

［2］顧艷.醫院計算機網絡的安全管理探討［J］.科技創新導報，2020（35）：134-136.

［3］周炎，謝乍晴.基于醫院信息安全等級保護的整改實踐［J］.信息與電腦，2020（3）：192-194.

［4］吳璇.PDCA在醫院信息系統安全監管中的應用［J］.網絡安全技術與應用，2018（3）：114-115.

［5］韋素娟.高校網絡安全風險PDCA循環預防與控制機制研究［J］.宿州學院學報，2019（10）：63-67.

（編輯 沈 強）

Research on the solution of hospital network security problems based on PDCA

Guo? Hui

（Nanjing Jiangning Hospital， Nanjing 211100， China）

Abstract：? With the arrival of the big data era and the promotion of the medical health informatization， the combination of hospital information system and computer networks is more intimate， and more and more viruses and attacks of network are increasing， and how to solve the security problems in the networks has become the focus of research. This paper combines the method of PDCA cycle with the protection work of hospital network security， first puts forward the security problems existing in the current network， and then analyzes the causes of the problems， and next expounds the solutions of the problems and the improvement results in detail. Finally， it summarizes the efficency of using PDCA cycle method to solve network security problems， and puts forward the network security problems to be solved in the next PDCA cycle， thus to make the network security protection technology develop continuously.

Key words： computer network; network security; PDCA circulation