張曉燕

南京軍區(qū)南京總醫(yī)院 信息科，江蘇 南京 210002

醫(yī)院網(wǎng)絡(luò)的安全與管理是醫(yī)院信息系統(tǒng)（HIS）密不可分的一部分，涉及的范圍很廣，其穩(wěn)定性和安全性將直接影響到醫(yī)院業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。盡管不可能做到網(wǎng)絡(luò)的絕對(duì)安全，但通過對(duì)網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，積極采取提高網(wǎng)絡(luò)安全管理的措施，可以保證醫(yī)院網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運(yùn)行和核心數(shù)據(jù)的安全[1-2]。

1 網(wǎng)絡(luò)安全技術(shù)的應(yīng)用

1.1 防火墻技術(shù)

防火墻是提供安全系統(tǒng)的硬件和軟件的組合，通常用來(lái)防止從外部到內(nèi)部網(wǎng)絡(luò)或Internet的未授權(quán)訪問。我院局部網(wǎng)和公眾網(wǎng)相連接的地方均通過硬件防火墻來(lái)隔離，而不是直接互接，我院HIS與南京市醫(yī)保系統(tǒng)、省醫(yī)保系統(tǒng)之間的實(shí)時(shí)互連，中間均采用了Nokia防火墻硬設(shè)備隔離，有效防止了外部攻擊，保護(hù)了內(nèi)部網(wǎng)絡(luò)的正常運(yùn)行[3]。

1.2 指紋技術(shù)

指紋識(shí)別技術(shù)開創(chuàng)了個(gè)人身份鑒別的新時(shí)代。指紋是指人手指的圖案、斷點(diǎn)和交叉點(diǎn)上各不相同的紋路，具有不變性和唯一性的基本特征。通過指紋的比對(duì)來(lái)實(shí)現(xiàn)使用者身份的判斷，相比傳統(tǒng)的身份識(shí)別更加快捷和準(zhǔn)確。HIS能否正常穩(wěn)定運(yùn)行,保證醫(yī)院的網(wǎng)絡(luò)中心機(jī)房安全尤為重要,醫(yī)院領(lǐng)導(dǎo)也對(duì)網(wǎng)絡(luò)中心機(jī)房安全提出了更高層次的安全管理要求,普通門鎖系統(tǒng)和人工借還鑰匙管理已經(jīng)無(wú)法滿足實(shí)際需求。指紋識(shí)別能夠準(zhǔn)確區(qū)分出哪些是授權(quán)用戶可以入內(nèi)，哪些是非法用戶,并阻擋該用戶入內(nèi)[4]，從而實(shí)現(xiàn)了對(duì)進(jìn)入中心機(jī)房人員的管理。由此可以看出，指紋識(shí)別技術(shù)對(duì)網(wǎng)絡(luò)中心機(jī)房安全管理至關(guān)重要。

1.3 VLAN劃分

VlAN（虛擬局域網(wǎng)）是指在交換局域網(wǎng)的基礎(chǔ)上,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。VlAN可以控制廣播風(fēng)暴，增強(qiáng)網(wǎng)絡(luò)的安全性和加強(qiáng)網(wǎng)絡(luò)管理[5]。我院局域網(wǎng)中含有政工網(wǎng)、醫(yī)學(xué)信息網(wǎng)等子網(wǎng)，由于功能定位的原因，對(duì)保留USB接口、光驅(qū)、軟驅(qū)有明確的規(guī)定。在VLAN劃分中，禁止未經(jīng)批準(zhǔn)攜帶USB接口、光驅(qū)、軟驅(qū)的微機(jī)劃入VLAN，以防病毒入侵造成醫(yī)院局域網(wǎng)的故障。

1.4 EAD應(yīng)用

“端點(diǎn)準(zhǔn)入防御”（EndpointAdmission Defense，EAD）系統(tǒng)是從網(wǎng)絡(luò)終端入手，具有層層安全審查與過濾功能，能確保每個(gè)接入終端都是安全的，使我們擁有一個(gè)“干凈”的網(wǎng)絡(luò)環(huán)境。該系統(tǒng)強(qiáng)制實(shí)施統(tǒng)一的醫(yī)院網(wǎng)絡(luò)安全策略，加強(qiáng)網(wǎng)絡(luò)終端的主動(dòng)防御能力，防止“危險(xiǎn)”“易感”終端接入網(wǎng)絡(luò)，實(shí)現(xiàn)端到端的安全防護(hù)體系，最終控制病毒、蠕蟲的蔓延[3,6]。

1.5 網(wǎng)絡(luò)質(zhì)量保障系統(tǒng)

NSA網(wǎng)絡(luò)質(zhì)量保障系統(tǒng)能夠通過首頁(yè)使得用戶快速查看局域網(wǎng)內(nèi)的網(wǎng)絡(luò)設(shè)備、用戶通知、資源圖表、用戶自定義關(guān)鍵SNMP性能數(shù)據(jù)報(bào)告和因特網(wǎng)接入流量匯總信息。這樣可以讓用戶快速了解局域網(wǎng)的大致網(wǎng)絡(luò)結(jié)構(gòu)。網(wǎng)絡(luò)管理員可以通過“設(shè)備搜索欄”中的設(shè)備名稱、設(shè)備狀態(tài)、IP地址來(lái)搜索關(guān)注的設(shè)備。其中設(shè)備狀態(tài)分為“正?！薄爱惓！薄半x線”。

NSA網(wǎng)絡(luò)質(zhì)量保障系統(tǒng)提供的機(jī)房拓?fù)鋱D可監(jiān)控機(jī)房中的設(shè)備。設(shè)備正常時(shí)，警示燈圖標(biāo)為綠色，相應(yīng)的設(shè)備圖標(biāo)也是正常顏色。當(dāng)設(shè)備發(fā)生了故障，則對(duì)應(yīng)的警示燈設(shè)備圖標(biāo)會(huì)出現(xiàn)紅色閃爍情況，并會(huì)集中顯示所有設(shè)備的溫濕度指標(biāo)情況。能夠顯示出空調(diào)的工作狀態(tài)，如溫度、濕度、過濾器狀態(tài)、壓縮機(jī)狀態(tài)、風(fēng)扇狀態(tài)等指標(biāo)情況。顯示用戶指定服務(wù)器的CPU、內(nèi)存、硬盤等3項(xiàng)指標(biāo)，CPU使用率顯示設(shè)備各個(gè)CPU的平均值，硬盤占有率顯示占用率最高的邏輯盤。當(dāng)3項(xiàng)指標(biāo)觸發(fā)用戶設(shè)定的閾值時(shí)，節(jié)點(diǎn)名稱顏色變紅，正常的時(shí)候是綠色。該系統(tǒng)詳細(xì)記錄了被監(jiān)管的節(jié)點(diǎn)、接口以及服務(wù)所發(fā)生的故障，故障產(chǎn)生的時(shí)間，以及恢復(fù)的時(shí)間。

1.6 殺毒軟件的應(yīng)用

我院服務(wù)器及及客戶端均裝有殺毒軟件，病毒庫(kù)每周升級(jí)、及時(shí)更新、實(shí)時(shí)監(jiān)控、智能主動(dòng)防御。有效控制了客戶端文件及應(yīng)用程序病毒感染，保證了HIS在安全的網(wǎng)絡(luò)環(huán)境下運(yùn)行。

2 網(wǎng)絡(luò)安全管理

2.1 工作人員配合公司對(duì)網(wǎng)絡(luò)設(shè)備巡檢并形成巡檢報(bào)告

通過對(duì)電腦硬件巡檢得到一些統(tǒng)計(jì)數(shù)據(jù),對(duì)數(shù)據(jù)分析后可以提出一些更好的服務(wù)建議,如對(duì)于客戶端重要數(shù)據(jù)信息,一定要注意經(jīng)常備份,防止設(shè)備故障、感染病毒時(shí)造成數(shù)據(jù)丟失。

通過對(duì)全院設(shè)備間交換機(jī)巡檢總結(jié)分析可以發(fā)現(xiàn)一些隱患，如有些設(shè)備間門沒有鎖，還存放著其他物品，無(wú)關(guān)人員可以隨意進(jìn)出，極其重要的網(wǎng)絡(luò)設(shè)備無(wú)法得到基本的物理安全和相關(guān)正常工作環(huán)境。對(duì)具體的設(shè)備檢查如面板指示燈狀態(tài)，看是否有紅燈報(bào)警。

通過巡檢發(fā)現(xiàn)問題，一方面，巡檢人員及時(shí)處理、快速反饋，使存在的問題能在最短的時(shí)間內(nèi)得到解決，保證網(wǎng)絡(luò)正常穩(wěn)定運(yùn)行；另一方面，提出合理化建議，形成巡檢報(bào)告以便查閱。

2.2 網(wǎng)絡(luò)安全分析會(huì)的定期召開

網(wǎng)絡(luò)安全分析會(huì)參加的人員主要是信息科工作人員和網(wǎng)絡(luò)安全保障技術(shù)公司代表,針對(duì)近期發(fā)生的一些網(wǎng)絡(luò)故障,大家一起進(jìn)行技術(shù)交流,提出合理的行之有效的建議和解決辦法,討論并付與實(shí)施，堅(jiān)決防范和杜絕類似問題的出現(xiàn)。實(shí)踐證明會(huì)議的召開使大家的主動(dòng)性充分調(diào)動(dòng)起來(lái)，積極參預(yù)疑難問題的解決，經(jīng)過大家的努力,我院網(wǎng)絡(luò)安全得到了有力的保障。

2.3 規(guī)章制度的實(shí)施

公司工作人員到院網(wǎng)絡(luò)中心需有信息科工作人員的陪同；公司工作人員所攜帶的筆記本電腦不準(zhǔn)接入內(nèi)網(wǎng)；由于工作需要進(jìn)入網(wǎng)絡(luò)使用的U盤、移動(dòng)硬盤，必須經(jīng)過計(jì)算機(jī)工程技術(shù)人員同意并檢毒，未經(jīng)檢毒殺毒的U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)，絕對(duì)禁止上網(wǎng)使用；網(wǎng)絡(luò)信息系統(tǒng)所有設(shè)備的配置、安裝、調(diào)試必須由計(jì)算機(jī)工程技術(shù)人員負(fù)責(zé)，其他人員不得隨意拆卸和移動(dòng)；網(wǎng)絡(luò)中心機(jī)房?jī)?nèi)嚴(yán)禁存放易燃、易爆、易腐蝕及強(qiáng)磁性物品；網(wǎng)絡(luò)中心機(jī)房?jī)?nèi)不準(zhǔn)吸煙、進(jìn)食、會(huì)客、大聲喧嘩；嚴(yán)禁無(wú)關(guān)人員上機(jī)操作，操作人員只應(yīng)進(jìn)行本職責(zé)范圍內(nèi)的操作，禁止進(jìn)行與本工作職責(zé)無(wú)關(guān)的工作；網(wǎng)絡(luò)管理人員須每天定時(shí)查看設(shè)備運(yùn)轉(zhuǎn)情況，填寫日志，對(duì)錯(cuò)誤事件及故障應(yīng)及時(shí)分析原因，切實(shí)解決問題[7-8]。加強(qiáng)回顧性故障分析研究工作，定期提供故障原因分析報(bào)告。采取針對(duì)措施，防止發(fā)生重大網(wǎng)絡(luò)故障。

[1]雍維林,沈洪超.淺談醫(yī)院信息網(wǎng)絡(luò)的安全[J].航空航天醫(yī)藥,2010,(5):807-808.

[2]黃威.淺談醫(yī)院信息系統(tǒng)的安全問題[J].科技創(chuàng)新導(dǎo)報(bào),2011,(3):230.

[3]楊霜英,胡新勇,楊國(guó)斌,等.大型醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的安全保障策略[J].中國(guó)醫(yī)療設(shè)備,2009,24(10):37-38.

[4]何星星.指紋門禁在智能化樓宇中的應(yīng)用及實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù),2010,6(17):4744.

[5]馬錫坤,徐旭東,劉安濱.我院VLAN劃分的組織與實(shí)施[J].醫(yī)療衛(wèi)生裝備,2007,28(4):37

[6]張桂華,羅平,郭劍峰.醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全管理思路[J].中國(guó)醫(yī)藥科學(xué),2011,(12):140-141.

[7]毛曄沁.醫(yī)院網(wǎng)絡(luò)安全的技術(shù)實(shí)現(xiàn)與改進(jìn)[J].信息安全與技術(shù),2011,(6):47-48.

[8]沈崑,楊松.醫(yī)院信息系統(tǒng)的安全建設(shè)與管理[J].中國(guó)醫(yī)療設(shè)備,2011,26(6):67-69.