中小醫(yī)院網(wǎng)絡(luò)安全管理的體會

康伯峰，張侃懷，木 森，臧國華，程 遠，段雪蓮，趙 俊

中小醫(yī)院網(wǎng)絡(luò)安全管理的體會

康伯峰，張侃懷，木 森，臧國華，程 遠，段雪蓮，趙 俊

醫(yī)院；網(wǎng)絡(luò)管理；體會

醫(yī)院信息化建設(shè)中信息安全是重中之重，而每日無休無止的網(wǎng)絡(luò)維護工作是最為繁雜的日常工作，因此，在信息化建設(shè)前期就要認真做好網(wǎng)絡(luò)規(guī)劃，應(yīng)用中做好數(shù)據(jù)的備份，提高網(wǎng)絡(luò)防范的安全意識。筆者結(jié)合多年從事網(wǎng)絡(luò)維護管理經(jīng)驗，主要從服務(wù)器管理、客戶端管理及人員素質(zhì)培養(yǎng)方面談一點自己的體會。

1 服務(wù)器安全

1.1 不同重要應(yīng)用應(yīng)分別建立各自專用服務(wù)器 醫(yī)院信息化的建設(shè)對服務(wù)器的要求比較高，數(shù)據(jù)庫技術(shù)與社會經(jīng)濟、生產(chǎn)發(fā)展和企業(yè)信息化有著緊密的聯(lián)系[1]。因此，不同的應(yīng)用應(yīng)建立不同的服務(wù)器。HIS服務(wù)器是醫(yī)院信息化的核心，應(yīng)建立雙機熱備或者安全更高的方案(如異地容災(zāi)等)。PACS服務(wù)由于要保存大量圖像數(shù)據(jù)，因此應(yīng)該采用帶有大容量存儲器的服務(wù)器。LIS服務(wù)數(shù)據(jù)量不大，系統(tǒng)相對前兩者比較簡單，故可以采用較低配置的服務(wù)器。醫(yī)院要分別有HIS服務(wù)器、LIS服務(wù)器、PACS服務(wù)器等各種應(yīng)用服務(wù)器，根據(jù)我院管理的經(jīng)驗，最好不要將其中兩個或3個服務(wù)全部裝在一臺服務(wù)器上，這樣是方便了維護，但是卻增加了風(fēng)險。一旦服務(wù)器故障，恢復(fù)起來難度就會加大，就會涉及幾家軟件供應(yīng)商的支持。當(dāng)然，當(dāng)前正在流行的由幾臺服務(wù)器共同建設(shè)虛擬機的方法也是比較安全、使用起來又靈活的一種方法，對多種較小應(yīng)用來說，共用一臺服務(wù)器可以節(jié)省很多資源。 對于應(yīng)用較簡單且容易安裝、管理又比較方便的服務(wù)，故障后對正常工作影響不是很大，可以將其安裝在同一臺服務(wù)器上，比如辦公自動化系統(tǒng)(OA)、電子圖書館系統(tǒng)等。

1.2 服務(wù)器配置應(yīng)根據(jù)其重要性設(shè)置 醫(yī)院HIS服務(wù)器由于其關(guān)系到醫(yī)院日常業(yè)務(wù)能否正常開展，其數(shù)據(jù)的安全性應(yīng)該采用最高級別的安全措施，如不僅需要穩(wěn)定性較高的專用服務(wù)器，還需雙機熱備+異地容災(zāi)，并且配備24 h供電的CPU。LIS服務(wù)器可采用級別較低的每日用計劃任務(wù)備份+移動介質(zhì)備份。PACS服務(wù)器因存儲大量的占用硬盤空間較大的圖片而需要專用存儲，要想做到數(shù)據(jù)異地備份和移動介質(zhì)備份相對比較困難，應(yīng)配置性能穩(wěn)定的專用服務(wù)器和存儲。當(dāng)然，對于服務(wù)器的安全來講，沒有最好，只有更好，在醫(yī)院財力允許的情況下，不論什么服務(wù)器，應(yīng)是安全級別越高越好。

2 客戶端安全防范

在技術(shù)層面上，可以采取以下防范技術(shù)：通信加密、網(wǎng)絡(luò)分段、劃分VLAN、入侵檢測、漏洞掃描、安裝防火墻和殺毒軟件等[2]，下面簡單列舉介紹幾種方法的管理細節(jié)：

2.1 醫(yī)院每月確定固定時間對全院電腦進行殺毒 安裝網(wǎng)絡(luò)版瑞星殺毒軟件，定期升級病毒庫，每月確定固定時間升級醫(yī)院客戶端電腦病毒庫，設(shè)置空閑時段自動殺毒。

2.2 客戶端電腦安裝限制移動載體使用的管理軟件 例如限制U盤的隨意使用，切斷客戶終端非法外連?？梢杂行Ф沤^醫(yī)護人員非法接入無線網(wǎng)卡，切斷內(nèi)網(wǎng)(醫(yī)院內(nèi)部局域網(wǎng))與外網(wǎng)(軍事綜合信息網(wǎng)和互聯(lián)網(wǎng))真正意義上的物理互聯(lián)，從而提高內(nèi)網(wǎng)安全系數(shù)。內(nèi)網(wǎng)中的電腦互相訪問可以通過一些文件傳輸工具，如飛鴿和飛秋等，這樣既保證了網(wǎng)絡(luò)內(nèi)部的安全，也方便了醫(yī)院內(nèi)部的信息交流與傳遞。

2.3 采用三層交換機 將HIS、PACS、LIS分別劃分成不同的網(wǎng)段(VLAN)，如HIS服務(wù)器和客戶端使用202.202.160.X/24網(wǎng)段，PACS服務(wù)器和CR、DR、CT、MRI等分別使用同一個網(wǎng)段192.168.0.X/24，LIS服務(wù)器和各種檢驗儀器使用同一個網(wǎng)段150.102.91.X/24。這樣可以有效地避免網(wǎng)絡(luò)故障時的互相牽連，有效地防止整個網(wǎng)絡(luò)癱瘓。為了能讓3個子網(wǎng)互相訪問，可以建立各自的網(wǎng)關(guān)。

3 信息使用者的管理

3.1 確定信息安全聯(lián)絡(luò)人 規(guī)范醫(yī)院網(wǎng)絡(luò)信息服務(wù)系統(tǒng)工作流程，利用好相關(guān)系統(tǒng)的結(jié)合使用，使功能性設(shè)施集中化管理[3]。每科確定一位聯(lián)絡(luò)員，要求對電腦操作較熟練，有一定電腦知識基礎(chǔ)的醫(yī)護人員，專門負責(zé)科內(nèi)人員使用電腦的培訓(xùn)和幫帶。將電腦的基本操作與應(yīng)用軟件使用情況作為醫(yī)院聯(lián)合大查房的考核內(nèi)容，確?？剖沂褂眯畔⒒ㄔO(shè)成果更加規(guī)范、有效。

3.2 增大培訓(xùn)力度和強度 定期對中老年醫(yī)護人員和新招人員進行最新的電腦知識講解和操作技能培訓(xùn)，針對人員的不同特點，信息科人員輪流進行具有針對性的授課，每月或每季度講一次，將講課形成一種制度。對實習(xí)生和進修人員實行上崗前培訓(xùn)和授課，讓他們了解醫(yī)院的信息化發(fā)展，掌握醫(yī)院各個子系統(tǒng)的使用方法。

3.3 人性化管理提高工作效率 購買電腦設(shè)備應(yīng)該充分考慮科室的具體情況，對于中老年醫(yī)護人員居多的科室應(yīng)配備手寫筆，打印機的數(shù)量要根據(jù)具體使用量來定，沒有必要每臺電腦都配備打印機、放射科電腦都配備豎屏、所有科室會議室都配備多媒體設(shè)備?；颊咻^多的科室，應(yīng)該配備人手一臺電腦，方便醫(yī)生錄入患者信息和書寫病歷。

3.4 限定人員權(quán)限保障網(wǎng)絡(luò)安全 不同人員設(shè)定不同的權(quán)限，控制用戶對特定數(shù)據(jù)的訪問[4]。醫(yī)院網(wǎng)絡(luò)用戶涉及醫(yī)生、護士、醫(yī)技、管理人員等，合理設(shè)置用戶的使用權(quán)限，能有效保障網(wǎng)絡(luò)的訪問安全。

4 信息中心網(wǎng)絡(luò)工程師的要求

信息中心屬于醫(yī)院網(wǎng)絡(luò)的中心，是醫(yī)院信息化的大腦所在地，因此，要求網(wǎng)絡(luò)工程師具備扎實的網(wǎng)絡(luò)管理知識與技能，熟悉醫(yī)院的網(wǎng)絡(luò)布局和各個網(wǎng)絡(luò)接入點。醫(yī)院定期指派網(wǎng)絡(luò)工程師外出進修與學(xué)習(xí)，包括參觀其他同等醫(yī)院的信息化建設(shè)、參加全軍信息化會議等。

一般在綜合性醫(yī)院，網(wǎng)絡(luò)布局多，比較復(fù)雜，樓宇較多，而網(wǎng)絡(luò)管理者較少，因此，掌握扎實的遠程調(diào)控方法，能事半功倍，起到意想不到的效果。通過高度集成的通訊和計算機網(wǎng)絡(luò)，實現(xiàn)網(wǎng)絡(luò)的最優(yōu)化管理[5]，提高異地處理應(yīng)急問題的能力，可以更好地解決醫(yī)院容災(zāi)難的課題。

將找問題形成一種制度。定期下科室抽查，如通過每周的“醫(yī)院聯(lián)合大查房”排查醫(yī)院網(wǎng)絡(luò)信息的安全情況和科室人員軟件應(yīng)用的操作熟練情況，并且做出書面評估，做到故障前的未雨綢繆，做有準備的網(wǎng)絡(luò)管理者。

總之，網(wǎng)絡(luò)安全管理是一個長期積累和完善的過程，因此，建立完善的機房管理制度、完善的網(wǎng)絡(luò)使用制度、責(zé)任到人的設(shè)備管理制度、安全教育培訓(xùn)制度、網(wǎng)絡(luò)安全應(yīng)急預(yù)案和定期網(wǎng)絡(luò)評估制度等[6]，將制度與人的主觀能動性很好地結(jié)合在一起，才能最大限度地保證醫(yī)院網(wǎng)絡(luò)的安全。

[1] 李迎豐.數(shù)據(jù)庫技術(shù)和數(shù)據(jù)倉庫技術(shù)的比較研究[J].科技情報開發(fā)與經(jīng)濟,2004,14(10):265-267.

[2] 鄭愛萍.關(guān)于局域網(wǎng)安全管理問題的分析和探討[J].網(wǎng)絡(luò)與信息，2011,4:58-60.

[3] 羅逸寧.論醫(yī)院網(wǎng)絡(luò)信息服務(wù)系統(tǒng)應(yīng)用管理[J].中外醫(yī)療,2011(10):190.

[4] 柳青.醫(yī)院信息系統(tǒng)的安全維護與管理[J].醫(yī)學(xué)信息,2008,21(10):1761-1762.

[5] 郝小星.智能小區(qū)網(wǎng)絡(luò)的系統(tǒng)設(shè)計[J].科技情報開發(fā)與經(jīng)濟,2013,13(3):92-93.

[6] 胡智鋒.淺析內(nèi)網(wǎng)安全認識上的誤區(qū)[J].武漢商業(yè)服務(wù)學(xué)院學(xué)報,2011,25(1):71-73.

671003 云南 大理，解放軍60醫(yī)院經(jīng)管信息科(康伯峰，張侃懷，臧國華，程 遠，段雪蓮)，醫(yī)務(wù)處(木 森，趙 俊)

R 197.32

A

1004-0188(2014)01-0096-02

10.3969/j.issn.1004-0188.2014.01.043

2013-03-14)