醫(yī)院信息化建設中網(wǎng)絡安全保護分析

王劍

（佳木斯大學附屬第一醫(yī)院網(wǎng)絡信息部，黑龍江 佳木斯154002）

隨著醫(yī)院信息化建設水平的不斷提高，加強醫(yī)院信息化網(wǎng)絡安全工作是必要的，在有效的進行網(wǎng)絡安全技術分析過程，要結合醫(yī)院信息化建設開展實際，科學的制定更加高效的安全保護機制，以此才能并不斷提高醫(yī)院信息化建設質(zhì)量，下面結合工作實際，有針對性的總結幾點具體的安全防護策略。

1 醫(yī)院信息系統(tǒng)數(shù)據(jù)存儲安全

據(jù)現(xiàn)有的經(jīng)驗來看，醫(yī)院的信息系統(tǒng)大多以C/S（服務器/客戶端）的結構組成，服務器是整個醫(yī)院網(wǎng)絡的核心樞紐，信息的所有內(nèi)容都需要服務器的中轉以及審核。從構成上來看，醫(yī)院的信息系統(tǒng)數(shù)據(jù)主要是由病人的信息、醫(yī)院本身經(jīng)營數(shù)據(jù)為主，所以服務器的運營必須保持24 小時不間斷，避免出現(xiàn)信息丟失或者錯誤的情況出現(xiàn)，同時醫(yī)院服務器要具備一定的數(shù)據(jù)恢復能力，保障整個業(yè)務的流暢、穩(wěn)定運作。目前醫(yī)院的服務器大多是以“2+2”的高性價比、高安全性的雙機備份系統(tǒng)模式，所謂的“2+2”指的就是兩臺獨立服務器與一臺磁盤陣列，但陣列中所采用的是雙陣列卡組成雙保險，避免單點故障的問題。在條件允許的情況下，醫(yī)院需要在異地建立專門的異地容災備份服務器，做到不間斷與主服務器同步數(shù)據(jù)。這樣的價值在于，即使在醫(yī)院服務器位置上出現(xiàn)物理信息丟失，如突發(fā)重大災難時候也可以啟動備用服務器，達到數(shù)據(jù)信息的充分備份，保證醫(yī)院的關鍵性信息不被丟失。服務器需要配備專門的UPS 電源，預防斷電問題。

2 醫(yī)院信息化網(wǎng)絡設備安全保護

醫(yī)院網(wǎng)絡的流暢、安全運作，直接關系到相關病患的治療情況，因此保障醫(yī)院網(wǎng)絡設備的運作安全成為關鍵性任務，如果出現(xiàn)數(shù)據(jù)侵入等問題，將造成難以挽回的問題。目前我國醫(yī)院所采用的信息網(wǎng)絡大多是單獨設置的，能與其他網(wǎng)絡物理隔離，同時所有服務器都被硬性要求配備有專門的雙引擎、雙電源的系統(tǒng)，能夠達到雙核心的物理交互、不間斷的備份工作。針對互聯(lián)網(wǎng)使用的安全還會在不同的服務器上配備專門的網(wǎng)卡，在雙網(wǎng)卡上分別連接交互核心機，即使出現(xiàn)單獨故障也能維持持續(xù)運作。各樓的匯聚交換機與兩臺核心交換機實現(xiàn)萬兆雙鏈路連接，各接入交換機與匯聚交換機千兆連接，并實現(xiàn)千兆到桌面。利用網(wǎng)絡管理系統(tǒng)軟件，實時檢測網(wǎng)絡流量和各網(wǎng)絡結點運行情況，發(fā)現(xiàn)異常及時處理，實現(xiàn)對醫(yī)院網(wǎng)絡的遠程管理和安全管理。伴隨我國互聯(lián)網(wǎng)信息科技力量不斷升級，醫(yī)院工作不斷擴大完善的情況下，如今醫(yī)院信息建設中被具體劃分為護士工作站、門診醫(yī)師工作站、收費系統(tǒng)等不同的VLAN，在不同的VLAN 切換以及訪問的時候，VLAN 端口上會有專門限制病毒的渠道，能夠避免外來程序、木馬、病毒等侵入，保證醫(yī)院網(wǎng)絡的使用通暢和安全。

3 醫(yī)院信息化系統(tǒng)終端安全保護

終端安全區(qū)別于服務器安全的操作，顧名思義終端即為醫(yī)院各個科室、各個醫(yī)務工作者所參與醫(yī)療工作使用的計算器系統(tǒng)，其管理極大程度上依賴于每一位工作人員，因此其安全隱患也較為突出。

3.1 建立內(nèi)網(wǎng)管理系統(tǒng)

首先，醫(yī)院需要根據(jù)自己的實際情況出發(fā)，建設專門屬于醫(yī)院操作的軟件系統(tǒng)。醫(yī)院需要系統(tǒng)性地對目前使用的終端以及崗位做出分類和管理，有針對性地做好特征、信息的分類作業(yè)。針對使用的終端計算機進行有效控制，在光驅(qū)、軟驅(qū)、USB和硬盤等組件上做好控制，就打印機、屏幕等外接設備也要做好控制工作。要分發(fā)系統(tǒng)的補丁，確保每一臺終端計算機都處于最新更新狀態(tài)，減少被外部攻擊的可能性。就醫(yī)院內(nèi)部使用的終端計算機，需要對其配置軟件和防火墻做好監(jiān)控，嚴禁杜絕任何醫(yī)務工作人員私自安裝或卸載第三方軟件。需要為終端計算機做好一定的監(jiān)控系統(tǒng)，做到不間斷檢查當前工作人員使用終端的情況，如果醫(yī)務人員有違規(guī)行為或計算機遭到入侵的情況，會在第一時間觸發(fā)警報告知中心服務器，引導技術人員進行操作，預防風險問題產(chǎn)生。要利用好當前局域網(wǎng)發(fā)展的優(yōu)勢，為每一臺終端計算機的IP 地址與MAC 地址向上匯報、統(tǒng)一，避免任何APR 病毒對醫(yī)院的同一系統(tǒng)和網(wǎng)段計算機的共同打擊。

與此同時，做好虛擬局域網(wǎng)工作也是保證醫(yī)院信息化建設的有力措施。目前，該技術被運用在不同的邏輯上將用戶與設備劃分，有針對性地被運用在不同部門、不同崗位之上，使得利用局域網(wǎng)的情況下，即可實現(xiàn)終端設備之間的聯(lián)通。這也是虛擬局域網(wǎng)中，“虛擬”含義的具體體現(xiàn)。虛擬局域網(wǎng)除了能夠進一步保障相關計算機使用過程中的安全性，還需要在VLAN 與交換機進行連接的時候，通過VLAN 技術即可連通不同的子網(wǎng)，只需要一個獨立的數(shù)據(jù)包即可完成接、發(fā)收信息的工作。這樣就降低了信息流入互聯(lián)網(wǎng)的可能性，網(wǎng)絡拓撲的效果也更好。但該項技術的實施大多需要專業(yè)的計算機與互聯(lián)網(wǎng)技術人員，僅僅依托于醫(yī)院現(xiàn)有技術難以實現(xiàn)，需要第三方社會機構以及政府予以助力。

3.2 建立防病毒系統(tǒng)

做好醫(yī)院終端計算機的病毒預防工作，也是信息化建設過程中重要任務。鑒于醫(yī)院的信息安全相對較為重要，醫(yī)院方面需要專門設置一臺服務器用于防病毒工作，實現(xiàn)對所有終端的實時監(jiān)控和保護，良好其管理效益。例如，服務器能夠監(jiān)控到郵件、收發(fā)文件等過程中對病毒的檢測，一旦出現(xiàn)問題進行警報；定期全方位地掃描終端等。服務器的最大意義在于一旦病毒庫和木馬庫更新，能夠保證計算機在最新的防護庫下運作，保證安全性。防火墻軟件能夠在同一的聯(lián)動下運作，即使計算機本身沒有防火墻，也可以在服務器的共同運作下接入網(wǎng)絡，以規(guī)范的姿態(tài)作業(yè)。

3.3 工作站軟件的權限管理

為了避免人為原因造成醫(yī)院信息泄露的情況出現(xiàn)，針對不同的終端和計算機，需要配備有專門工作人員的工號以及口令，如果沒有相應的操作授權和口令，計算機并不能被投入使用。工作人員自身也需要保證不直接改變系統(tǒng)設置，嚴禁使用U盤等可移動設備將數(shù)據(jù)和信息導出，確保使用過程中的獨立與安全。

4 醫(yī)院計算機桌面安全管理系統(tǒng)

桌面安全管理系統(tǒng)是現(xiàn)代化醫(yī)院信息化建設過程中不可或缺的重要手段，能夠切實保證網(wǎng)絡使用的安全性。該技術的原理在于創(chuàng)建一個基于互聯(lián)網(wǎng)的虛擬桌面，在使用過程中能夠杜絕外部文件的直接傳輸，達到網(wǎng)絡的自動化隔斷目的。用戶的所有操作都是在集成的安全平臺上，信息交互也是基于端口而成的，不會使用原本的計算機資源，從根本上保證各類操作的安全性。桌面安全系統(tǒng)最大的特點在于邏輯隔離、文件傳輸控制、上網(wǎng)行為管理、應用程序配置、病毒防范、高安全性、高易用性、高效性、穩(wěn)定性、實施與維護。能夠幫助醫(yī)務工作者在使用互聯(lián)網(wǎng)高分享、高開放的特征同時，降低潛在使用互聯(lián)網(wǎng)過程中出現(xiàn)的風險以及隱患，達到高效率工作的同時，確保醫(yī)院信息、數(shù)據(jù)不外漏，形成良好的工作循環(huán)。

總之，隨著信息化技術的不斷發(fā)展，如何開展網(wǎng)絡安全保護工作也需要不斷提高認識，通過對醫(yī)院信息化建設工作的分析，本文探索了醫(yī)院信息化網(wǎng)絡安全保護實踐策略。在有效的分析過程中作為相關技術人員，要全面提高專業(yè)能力，通過有效的進行實踐與學習，才能不斷提高醫(yī)院信息化建設水平，希望通過以上探索，能夠為醫(yī)院日后可持續(xù)發(fā)展奠定良好基礎。