數(shù)字化醫(yī)院網(wǎng)絡(luò)安全技術(shù)的應(yīng)用分析

劉烈韜

（清遠(yuǎn)市婦幼保健院，廣東 清遠(yuǎn) 511500）

在我國醫(yī)療衛(wèi)生事業(yè)不斷發(fā)展的今天，人們對醫(yī)院工作提出了新的要求，為提高其醫(yī)療服務(wù)水平，醫(yī)院需嘗試采用數(shù)字化工作模式，實(shí)現(xiàn)信息共享，保障科室之間的工作協(xié)調(diào)。數(shù)字化醫(yī)院是醫(yī)院適應(yīng)信息時代的重要表現(xiàn)，許多大型醫(yī)院的數(shù)字化建設(shè)、網(wǎng)絡(luò)安全防護(hù)都積累了相對豐富的經(jīng)驗，但一些小型醫(yī)院的數(shù)字化建設(shè)中，網(wǎng)絡(luò)安全方面的問題并未完全解決，系統(tǒng)運(yùn)行中時常遭遇異常訪問、病毒入侵，影響了醫(yī)院工作的順利開展，未來的數(shù)字化建設(shè)中，應(yīng)重視網(wǎng)絡(luò)安全技術(shù)的應(yīng)用。

1 數(shù)字化醫(yī)院基本概述

數(shù)字化醫(yī)院指的是在原有醫(yī)院體系前提下，利用數(shù)字化等現(xiàn)代技術(shù)，打造嶄新的醫(yī)院工作模式，發(fā)揮計算機(jī)信息、數(shù)字化技術(shù)等的優(yōu)勢，提升醫(yī)院的工作水平。醫(yī)院運(yùn)行的過程中，涉及的工作多、科室多、崗位多，為提升醫(yī)院運(yùn)營與服務(wù)水平，需重視科室、崗位人員之間的配合，但原先的醫(yī)院運(yùn)行中，由于信息技術(shù)發(fā)展滯后，一切的協(xié)調(diào)工作都由人工完成，再加上不同科室、崗位人員之間存在信息不對稱，整體的工作效率偏低。隨著信息時代的到來，數(shù)字化技術(shù)發(fā)展迅猛，利用數(shù)字技術(shù)、計算機(jī)信息技術(shù)、網(wǎng)絡(luò)技術(shù)等打造的數(shù)字化醫(yī)院，呈現(xiàn)了辦公自動化、數(shù)字化的特征，通過數(shù)字化系統(tǒng)的構(gòu)建，醫(yī)療業(yè)務(wù)、信息管理等都可在該系統(tǒng)內(nèi)直接完成，實(shí)現(xiàn)對醫(yī)院工作的優(yōu)化。數(shù)字化醫(yī)院中也包含智慧醫(yī)療服務(wù)體系建設(shè)的內(nèi)容，就是要求每個醫(yī)院立足于自身的運(yùn)營與服務(wù)情況，構(gòu)建綜合應(yīng)用系統(tǒng)，在該系統(tǒng)內(nèi)細(xì)分模塊或者子系統(tǒng)，使不同科室、崗位人員之間能共享信息，為人們提供線上的醫(yī)療服務(wù)。

2 數(shù)字化醫(yī)院網(wǎng)絡(luò)安全風(fēng)險

2.1 操作系統(tǒng)安全問題

數(shù)字化醫(yī)院因為構(gòu)建了一個綜合性的數(shù)字化系統(tǒng)，系統(tǒng)的安全性取決于諸多因素，但系統(tǒng)設(shè)計是根源性的問題，如果技術(shù)人員在數(shù)字化醫(yī)院的建設(shè)過程中，并未從思想上重視網(wǎng)絡(luò)安全，將會使數(shù)字化醫(yī)院系統(tǒng)的安全性難以達(dá)到標(biāo)準(zhǔn)。

因此，數(shù)字化醫(yī)院的網(wǎng)絡(luò)安全風(fēng)險中，操作系統(tǒng)的安全問題是比較突出的，如系統(tǒng)設(shè)計中的TCP/IP協(xié)議存在安全隱患，體現(xiàn)在授權(quán)管理、跟蹤審計、資源訪問功能的集中控制上，由于這一方面的安全問題，網(wǎng)絡(luò)運(yùn)行中節(jié)點(diǎn)配置過于隨意，IP協(xié)議的各個節(jié)點(diǎn)，難以實(shí)現(xiàn)集中化、統(tǒng)一化管理，后續(xù)可能會出現(xiàn)IP Spoofing攻擊系統(tǒng)的情形。

當(dāng)下技術(shù)發(fā)展的過程中，數(shù)字化醫(yī)院建設(shè)穩(wěn)步推進(jìn)，許多醫(yī)院的數(shù)字化建設(shè)中，引入了PACS、OA、HIS等系統(tǒng)，這些系統(tǒng)的使用，雖可提高醫(yī)院網(wǎng)絡(luò)系統(tǒng)的整體效率，但由于這些系統(tǒng)本身存在安全漏洞，也增大了醫(yī)院網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險。

2.2 網(wǎng)絡(luò)邊界安全問題

在許多醫(yī)院的數(shù)字化建設(shè)過程中，都會采用單獨(dú)設(shè)立內(nèi)網(wǎng)、外網(wǎng)的方式，以通過這一方式，從根本上提升醫(yī)院網(wǎng)絡(luò)系統(tǒng)的安全性，避免外部網(wǎng)絡(luò)病毒等對系統(tǒng)造成的攻擊。但我國許多醫(yī)院的數(shù)字化建設(shè)，尚處于探索階段，自身對IT技術(shù)的應(yīng)用水平并不高，在內(nèi)部網(wǎng)絡(luò)系統(tǒng)與外部網(wǎng)絡(luò)系統(tǒng)的連接方面，多以C/S、B/S模式為主，這種連接模式下，醫(yī)院網(wǎng)絡(luò)系統(tǒng)的運(yùn)行受到了諸多的干擾，經(jīng)常受到黑客攻擊。雖然一些醫(yī)院在數(shù)字化建設(shè)的過程中，具有網(wǎng)絡(luò)安全防護(hù)意識，在網(wǎng)絡(luò)安全方面采用了防火墻技術(shù)，但其防火墻技術(shù)相對落后，并不能真正在醫(yī)院網(wǎng)絡(luò)系統(tǒng)的運(yùn)行中起到防御病毒攻擊、異常入侵的作用。

2.3 網(wǎng)絡(luò)安全管理問題

數(shù)字化醫(yī)院系統(tǒng)的運(yùn)行過程中，為真正實(shí)現(xiàn)網(wǎng)絡(luò)安全目標(biāo)，除了要在前期的系統(tǒng)設(shè)計中加強(qiáng)網(wǎng)絡(luò)安全技術(shù)的應(yīng)用外，更需在系統(tǒng)運(yùn)行的過程中強(qiáng)化網(wǎng)絡(luò)安全管理工作，通過專業(yè)化管理及時發(fā)現(xiàn)數(shù)字化醫(yī)院中系統(tǒng)的安全漏洞與風(fēng)險。但顯然，當(dāng)前的醫(yī)療市場上，存在的醫(yī)院數(shù)量眾多，醫(yī)院數(shù)字化建設(shè)水平參差不齊，一些醫(yī)院在網(wǎng)絡(luò)系統(tǒng)的運(yùn)行過程中，深受傳統(tǒng)管理理念的影響，在網(wǎng)絡(luò)安全管理方面常常存在很多的問題。如許多醫(yī)院在實(shí)際的工作中，更為關(guān)注自身醫(yī)療服務(wù)水平的提升，不重視數(shù)字化建設(shè)，領(lǐng)導(dǎo)層與管理人員未意識到網(wǎng)絡(luò)安全管理的重要性，在數(shù)字化系統(tǒng)的網(wǎng)絡(luò)安全方面，存在技術(shù)、管理的諸多漏洞。

3 數(shù)字化醫(yī)院網(wǎng)絡(luò)安全技術(shù)的應(yīng)用

3.1 及時安裝防病毒軟件

要提高數(shù)字化醫(yī)院的網(wǎng)絡(luò)安全水平，應(yīng)重視防病毒軟件的使用，利用軟件固有的防病毒功能，實(shí)現(xiàn)病毒防御。數(shù)字化醫(yī)院網(wǎng)絡(luò)系統(tǒng)中，病毒入侵是一大安全風(fēng)險，利用防病毒軟件，可實(shí)現(xiàn)對系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)，這是最為基礎(chǔ)性的信息保護(hù)方式，可利用軟件實(shí)現(xiàn)對計算機(jī)系統(tǒng)的保護(hù)。實(shí)際上，在計算機(jī)系統(tǒng)內(nèi)安裝防病毒軟件，為網(wǎng)絡(luò)系統(tǒng)建立了第一個安全保護(hù)層，當(dāng)系統(tǒng)運(yùn)行中存在病毒攻擊等異常行為時，防病毒軟件能在第一時間進(jìn)行識別、防御。目前的各個醫(yī)院，在數(shù)字化建設(shè)中幾乎都有防病毒軟件的應(yīng)用，為發(fā)揮該軟件在病毒防御方面的作用，應(yīng)定期進(jìn)行病毒庫的升級，以確保軟件能夠識別與處理更多類型的病毒。醫(yī)院內(nèi)使用計算機(jī)的人員，都需要結(jié)合計算機(jī)運(yùn)行時的環(huán)境，配備科學(xué)的殺毒軟件。

3.2 防火墻設(shè)置

防火墻技術(shù)也是網(wǎng)絡(luò)安全中的基礎(chǔ)性技術(shù)，通過防火墻技術(shù)的應(yīng)用，可在計算機(jī)系統(tǒng)的使用中，實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)之間的隔離，用戶在操作計算機(jī)系統(tǒng)時，防火墻發(fā)揮安全屏蔽作用。數(shù)字化醫(yī)院的防火墻技術(shù)應(yīng)用中，應(yīng)注意訪問策略設(shè)置問題，所以操作與使用人員在設(shè)置問題之前，需了解自身所接觸的計算機(jī)信息系統(tǒng)在醫(yī)院工作中的作用，只有在此基礎(chǔ)上，才能保障防火墻技術(shù)的作用發(fā)揮。防火墻技術(shù)的應(yīng)用中，不僅需保障內(nèi)網(wǎng)運(yùn)行的穩(wěn)定性，更需要盡可能減少外網(wǎng)對用戶造成的負(fù)面干擾。在醫(yī)院內(nèi)的防火墻技術(shù)應(yīng)用，實(shí)現(xiàn)對信息系統(tǒng)中各種數(shù)據(jù)的保護(hù)，防火墻技術(shù)應(yīng)用是否得當(dāng)，關(guān)乎醫(yī)院員工使用計算機(jī)系統(tǒng)時的安全性，管理者要針對數(shù)字化醫(yī)院的網(wǎng)絡(luò)安全要求，由專業(yè)的技術(shù)人員進(jìn)行防火墻技術(shù)的選擇，以通過防火墻，使醫(yī)院內(nèi)網(wǎng)免遭非法行為入侵。隨著醫(yī)院數(shù)字化建設(shè)的進(jìn)一步實(shí)施，需逐步構(gòu)建完善的防火墻機(jī)制，通過防火墻技術(shù)，使醫(yī)院計算機(jī)網(wǎng)絡(luò)系統(tǒng)處于安全的環(huán)境下，讓每一個用戶放心使用網(wǎng)絡(luò)。

3.3 實(shí)現(xiàn)入侵檢測

就各行各業(yè)計算機(jī)系統(tǒng)的應(yīng)用情況來看，異常訪問與入侵現(xiàn)象時有發(fā)生，這些現(xiàn)象也是影響網(wǎng)絡(luò)安全性的重要威脅。為實(shí)現(xiàn)對這些異常訪問與入侵的控制，在計算機(jī)系統(tǒng)中應(yīng)重視入侵檢測技術(shù)的應(yīng)用。數(shù)字化醫(yī)院的網(wǎng)絡(luò)安全技術(shù)中，入侵檢測技術(shù)極為重要，通過該技術(shù)的應(yīng)用，提升了計算機(jī)系統(tǒng)的自動防御水平。結(jié)合入侵檢測技術(shù)的應(yīng)用情況，可通過事先所設(shè)置的各種關(guān)鍵信息點(diǎn)，對入侵網(wǎng)絡(luò)系統(tǒng)的用戶實(shí)施行為分析，一旦這些信息與預(yù)先設(shè)置的信息不一致，說明該用戶存在異常入侵行為，由系統(tǒng)自動對該用戶的入侵行為加以攔截。應(yīng)用入侵檢測技術(shù)時，可構(gòu)建入侵檢測系統(tǒng)，由該系統(tǒng)對醫(yī)院的計算機(jī)網(wǎng)絡(luò)系統(tǒng)加以實(shí)時監(jiān)控，保障全部的訪問都是安全的。通過應(yīng)用入侵檢測系統(tǒng)，能使醫(yī)院中的各個崗位人員在數(shù)據(jù)丟失之前做出正確的反應(yīng)，如采取信息保護(hù)措施，清除入侵者，對關(guān)鍵數(shù)據(jù)做好備份，恢復(fù)系統(tǒng)的正常工作狀態(tài)，避免數(shù)據(jù)丟失后恢復(fù)困難的現(xiàn)象，確保醫(yī)院各項工作能正常開展。

在許多數(shù)字化醫(yī)院的建設(shè)中，為提升網(wǎng)絡(luò)安全等級，往往會將防火墻技術(shù)與入侵檢測技術(shù)結(jié)合起來，以發(fā)揮更強(qiáng)大的安全防御作用，一旦局域網(wǎng)遭遇了外部攻擊，防火墻與入侵檢測可立即進(jìn)入防御狀態(tài)，保障醫(yī)院內(nèi)網(wǎng)不受攻擊。當(dāng)前許多醫(yī)院在入侵檢測技術(shù)應(yīng)用時還存在著諸多的問題，為在計算機(jī)網(wǎng)絡(luò)中凸顯入侵檢測技術(shù)的優(yōu)勢，未來需結(jié)合計算機(jī)系統(tǒng)的特征，注重在入侵檢測技術(shù)應(yīng)用上的創(chuàng)新。

3.4 積極采用認(rèn)證簽名技術(shù)

數(shù)字化醫(yī)院通過計算機(jī)系統(tǒng)的建設(shè)，為醫(yī)院各個科室、崗位人員之間的數(shù)據(jù)傳輸創(chuàng)造了條件，保障了數(shù)據(jù)的高效傳輸，不會存在原先人工傳輸效率低、準(zhǔn)確度不高的情況，保障了醫(yī)院各項工作的正常開展。但數(shù)字化醫(yī)院對網(wǎng)絡(luò)安全的要求較高，為達(dá)到這些要求，系統(tǒng)建設(shè)的過程中，也需采用認(rèn)證簽名技術(shù)。認(rèn)證簽名技術(shù)是網(wǎng)絡(luò)安全方面的新技術(shù)，在將此項技術(shù)應(yīng)用于醫(yī)院的計算機(jī)系統(tǒng)時，只有證書的擁有者才能使用公共鑰匙，如醫(yī)院內(nèi)部的工作人員如果要使用內(nèi)部網(wǎng)絡(luò)，需通過簽名認(rèn)證才能夠開啟網(wǎng)絡(luò)。認(rèn)證簽名技術(shù)下，能夠在最短的時間內(nèi)判定信息的真實(shí)性，如果系統(tǒng)認(rèn)定該信息不準(zhǔn)確，會主動排斥該用戶接入網(wǎng)絡(luò)。

與一般的網(wǎng)絡(luò)安全技術(shù)不同，認(rèn)證簽名技術(shù)的原理為：利用計算機(jī)系統(tǒng)的獨(dú)特性，通過科學(xué)的算法，快速獲得用戶的實(shí)際信息，一旦用戶信息發(fā)生了變化，系統(tǒng)將認(rèn)定該計算信息特征發(fā)生了調(diào)整，不符合認(rèn)證要求，無法正常接入。當(dāng)前的許多醫(yī)院，隨著數(shù)字化建設(shè)的加深，逐步意識到了認(rèn)證簽名技術(shù)的重要性，許多醫(yī)院在認(rèn)證簽名技術(shù)方面取得了顯著的成效，基于認(rèn)證簽名技術(shù)，可快速識別醫(yī)院內(nèi)部人員的信息，鑒別病歷書寫人員的真實(shí)身份。因此，由于認(rèn)證簽名技術(shù)的特殊性，實(shí)際上為醫(yī)院的數(shù)字化系統(tǒng)運(yùn)行提供了雙重安全保障，可以讓醫(yī)院中的相關(guān)人員準(zhǔn)確判定病歷的真實(shí)性，避免病歷簽名被更改，后續(xù)發(fā)生醫(yī)療事故或者糾紛時，能夠通過認(rèn)證簽名技術(shù)，快速鎖定責(zé)任人。如在病人診治時，能利用個人鑰匙對電子信息記錄加以簽名，這種簽名方式下，避免了誤診或者其他原因下出現(xiàn)醫(yī)療糾紛而無法追責(zé)的現(xiàn)象。

3.5 VPN技術(shù)

數(shù)字化醫(yī)院的網(wǎng)絡(luò)安全中，可采用的網(wǎng)絡(luò)安全技術(shù)相對較多，除了基本的防火墻、防病毒軟件技術(shù)，更能夠采用認(rèn)證簽名技術(shù)、VPN技術(shù)。在當(dāng)前的醫(yī)療衛(wèi)生領(lǐng)域，在各個醫(yī)院數(shù)字化建設(shè)中的網(wǎng)絡(luò)安全防護(hù)工作中，VPN技術(shù)得到了人們的普遍關(guān)注，對于這一技術(shù)的應(yīng)用，可從以下幾個方面實(shí)施：

（1）信息加密技術(shù)，VPN中的信息加密，可實(shí)現(xiàn)對醫(yī)院運(yùn)行中相關(guān)數(shù)據(jù)的加密處理，但這種情況下的加密算法與普通加密算法有著顯著的區(qū)別，安全系數(shù)更好，不易被破譯。傳統(tǒng)的加密技術(shù)應(yīng)用中，多為DES這一計算方式，在此計算方式下，密匙長度雖有56位，但相對容易被破譯，而VPN技術(shù)下的加密技術(shù)，主要選用的是3DES這一計算方式，有三重加密保障，安全性更高，也不易破譯。（2）密匙管理，醫(yī)院數(shù)字化的建設(shè)過程中，為發(fā)揮數(shù)字化技術(shù)的突出優(yōu)勢，醫(yī)院內(nèi)的運(yùn)營部門應(yīng)加大對網(wǎng)絡(luò)安全技術(shù)的使用，針對VPN技術(shù)，需重視密匙管理。一旦醫(yī)院內(nèi)未做好密匙管理，網(wǎng)絡(luò)信息安全將無法保障，數(shù)據(jù)傳輸與使用時，經(jīng)常會存在數(shù)據(jù)被竊取或者篡改的情況。相關(guān)管理人員應(yīng)重視密匙管理，作為專業(yè)的管理人員，必須嚴(yán)格遵守網(wǎng)絡(luò)安全管理的相關(guān)制度與規(guī)范，控制密匙交換的管理流程。就當(dāng)下的技術(shù)發(fā)展情況來看，密匙管理中，主要有手工配置與利用交換協(xié)議信息發(fā)布的方式，當(dāng)利用后一種方式時，協(xié)議雙方都要在場，仔細(xì)了解協(xié)議內(nèi)容，以確保協(xié)議的有效性、法律效力。

3.6 網(wǎng)絡(luò)物理線路方面

為提高醫(yī)院網(wǎng)絡(luò)系統(tǒng)的安全性，也需注意網(wǎng)絡(luò)物理線路的選擇，在骨干線路與樓宇之間的線路，選用光纖線路，主要是因為光線線路的擴(kuò)展性、抗干擾性強(qiáng)。而對于全部的骨干線路，都應(yīng)采用冗余設(shè)計的方式，為避免備用線路空閑，可引入負(fù)載均衡技術(shù)，通過這一技術(shù)的應(yīng)用，不僅可提高線路的可用性，更能確保高效的網(wǎng)絡(luò)傳輸速度。業(yè)務(wù)局域網(wǎng)與因特網(wǎng)之間，通過選擇不同的線路類型，達(dá)到物理隔離的目標(biāo)，從根本上避免外部攻擊，為醫(yī)院系統(tǒng)運(yùn)行創(chuàng)造相對安全的條件。由于在醫(yī)院網(wǎng)絡(luò)中包含了多種網(wǎng)絡(luò)設(shè)備，對于這些網(wǎng)絡(luò)設(shè)備的地址分配，均采用32位掩碼，而對于屬于單一地址段的地址與設(shè)備互聯(lián)地址，則采用30位掩碼地址。

4 結(jié)語

隨著醫(yī)院數(shù)字化建設(shè)工作的持續(xù)推進(jìn)，醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全越發(fā)引起了人們的關(guān)注，各個醫(yī)院在數(shù)字化系統(tǒng)的構(gòu)建中，都應(yīng)該根據(jù)其系統(tǒng)結(jié)構(gòu)與特征，針對可能面臨的網(wǎng)絡(luò)安全威脅，采取更有針對性的網(wǎng)絡(luò)安全技術(shù)，提升系統(tǒng)安全性。