医院网络安全技术应用与管理

张晓燕

南京军区南京总医院 信息科，江苏 南京 210002

医院网络的安全与管理是医院信息系统（HIS）密不可分的一部分，涉及的范围很广，其稳定性和安全性将直接影响到医院业务的正常运转。尽管不可能做到网络的绝对安全，但通过对网络安全技术的应用，积极采取提高网络安全管理的措施，可以保证医院网络系统的稳定运行和核心数据的安全[1-2]。

1 网络安全技术的应用

1.1 防火墙技术

防火墙是提供安全系统的硬件和软件的组合，通常用来防止从外部到内部网络或Internet的未授权访问。我院局部网和公众网相连接的地方均通过硬件防火墙来隔离，而不是直接互接，我院HIS与南京市医保系统、省医保系统之间的实时互连，中间均采用了Nokia防火墙硬设备隔离，有效防止了外部攻击，保护了内部网络的正常运行[3]。

1.2 指纹技术

指纹识别技术开创了个人身份鉴别的新时代。指纹是指人手指的图案、断点和交叉点上各不相同的纹路，具有不变性和唯一性的基本特征。通过指纹的比对来实现使用者身份的判断，相比传统的身份识别更加快捷和准确。HIS能否正常稳定运行,保证医院的网络中心机房安全尤为重要,医院领导也对网络中心机房安全提出了更高层次的安全管理要求,普通门锁系统和人工借还钥匙管理已经无法满足实际需求。指纹识别能够准确区分出哪些是授权用户可以入内，哪些是非法用户,并阻挡该用户入内[4]，从而实现了对进入中心机房人员的管理。由此可以看出，指纹识别技术对网络中心机房安全管理至关重要。

1.3 VLAN划分

VlAN（虚拟局域网）是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。VlAN可以控制广播风暴，增强网络的安全性和加强网络管理[5]。我院局域网中含有政工网、医学信息网等子网，由于功能定位的原因，对保留USB接口、光驱、软驱有明确的规定。在VLAN划分中，禁止未经批准携带USB接口、光驱、软驱的微机划入VLAN，以防病毒入侵造成医院局域网的故障。

1.4 EAD应用

“端点准入防御”（EndpointAdmission Defense，EAD）系统是从网络终端入手，具有层层安全审查与过滤功能，能确保每个接入终端都是安全的，使我们拥有一个“干净”的网络环境。该系统强制实施统一的医院网络安全策略，加强网络终端的主动防御能力，防止“危险”“易感”终端接入网络，实现端到端的安全防护体系，最终控制病毒、蠕虫的蔓延[3,6]。

1.5 网络质量保障系统

NSA网络质量保障系统能够通过首页使得用户快速查看局域网内的网络设备、用户通知、资源图表、用户自定义关键SNMP性能数据报告和因特网接入流量汇总信息。这样可以让用户快速了解局域网的大致网络结构。网络管理员可以通过“设备搜索栏”中的设备名称、设备状态、IP地址来搜索关注的设备。其中设备状态分为“正常”“异常”“离线”。

NSA网络质量保障系统提供的机房拓扑图可监控机房中的设备。设备正常时，警示灯图标为绿色，相应的设备图标也是正常颜色。当设备发生了故障，则对应的警示灯设备图标会出现红色闪烁情况，并会集中显示所有设备的温湿度指标情况。能够显示出空调的工作状态，如温度、湿度、过滤器状态、压缩机状态、风扇状态等指标情况。显示用户指定服务器的CPU、内存、硬盘等3项指标，CPU使用率显示设备各个CPU的平均值，硬盘占有率显示占用率最高的逻辑盘。当3项指标触发用户设定的阈值时，节点名称颜色变红，正常的时候是绿色。该系统详细记录了被监管的节点、接口以及服务所发生的故障，故障产生的时间，以及恢复的时间。

1.6 杀毒软件的应用

我院服务器及及客户端均装有杀毒软件，病毒库每周升级、及时更新、实时监控、智能主动防御。有效控制了客户端文件及应用程序病毒感染，保证了HIS在安全的网络环境下运行。

2 网络安全管理

2.1 工作人员配合公司对网络设备巡检并形成巡检报告

通过对电脑硬件巡检得到一些统计数据,对数据分析后可以提出一些更好的服务建议,如对于客户端重要数据信息,一定要注意经常备份,防止设备故障、感染病毒时造成数据丢失。

通过对全院设备间交换机巡检总结分析可以发现一些隐患，如有些设备间门没有锁，还存放着其他物品，无关人员可以随意进出，极其重要的网络设备无法得到基本的物理安全和相关正常工作环境。对具体的设备检查如面板指示灯状态，看是否有红灯报警。

通过巡检发现问题，一方面，巡检人员及时处理、快速反馈，使存在的问题能在最短的时间内得到解决，保证网络正常稳定运行；另一方面，提出合理化建议，形成巡检报告以便查阅。

2.2 网络安全分析会的定期召开

网络安全分析会参加的人员主要是信息科工作人员和网络安全保障技术公司代表,针对近期发生的一些网络故障,大家一起进行技术交流,提出合理的行之有效的建议和解决办法,讨论并付与实施，坚决防范和杜绝类似问题的出现。实践证明会议的召开使大家的主动性充分调动起来，积极参预疑难问题的解决，经过大家的努力,我院网络安全得到了有力的保障。

2.3 规章制度的实施

公司工作人员到院网络中心需有信息科工作人员的陪同；公司工作人员所携带的笔记本电脑不准接入内网；由于工作需要进入网络使用的U盘、移动硬盘，必须经过计算机工程技术人员同意并检毒，未经检毒杀毒的U盘、移动硬盘等移动存储介质，绝对禁止上网使用；网络信息系统所有设备的配置、安装、调试必须由计算机工程技术人员负责，其他人员不得随意拆卸和移动；网络中心机房内严禁存放易燃、易爆、易腐蚀及强磁性物品；网络中心机房内不准吸烟、进食、会客、大声喧哗；严禁无关人员上机操作，操作人员只应进行本职责范围内的操作，禁止进行与本工作职责无关的工作；网络管理人员须每天定时查看设备运转情况，填写日志，对错误事件及故障应及时分析原因，切实解决问题[7-8]。加强回顾性故障分析研究工作，定期提供故障原因分析报告。采取针对措施，防止发生重大网络故障。

[1]雍维林,沈洪超.浅谈医院信息网络的安全[J].航空航天医药,2010,(5):807-808.

[2]黄威.浅谈医院信息系统的安全问题[J].科技创新导报,2011,(3):230.

[3]杨霜英,胡新勇,杨国斌,等.大型医院网络信息系统的安全保障策略[J].中国医疗设备,2009,24(10):37-38.

[4]何星星.指纹门禁在智能化楼宇中的应用及实现[J].电脑知识与技术,2010,6(17):4744.

[5]马锡坤,徐旭东,刘安滨.我院VLAN划分的组织与实施[J].医疗卫生装备,2007,28(4):37

[6]张桂华,罗平,郭剑峰.医院信息系统的网络安全管理思路[J].中国医药科学,2011,(12):140-141.

[7]毛晔沁.医院网络安全的技术实现与改进[J].信息安全与技术,2011,(6):47-48.

[8]沈崑,杨松.医院信息系统的安全建设与管理[J].中国医疗设备,2011,26(6):67-69.