构建医院计算机信息系统安全防范体系

成自力，卢道兵

淮安市第一人民医院 计算机中心，江苏 淮安 223300

0 前言

医院内部信息系统中，如果没有安全可靠的医院网络，就没有安全可靠的医院信息系统（HIS），就不可能建立井然有序的医疗工作秩序。目前，医院信息安全已逐渐得到领导的重视，开始加大资金投入，加快了医院计算机安全体系建设的步伐。

1 安全防范体系结构的建设

我院计算机信息系统安全防范体系结构主要从自然环境、硬件、软件及管理制度等4方面着手建立。计算机信息安全体系，见图1。

1.1 机房自然环境监控

服务器和主交换机等网络核心设备所处的自然环境，是保证网络设备可靠运行的重要因素。为此我们在供电系统中安装了环境动力监测设备（研华科技产品），用于监测供配电系统中的市电、防雷接地、长延时UPS的工作状态；对环境系统中精密空调、温湿度的变化、漏水情况进行监测。也可集成安防系统的温感、烟感控制，能与空调、门禁、供配电系统联动控制，从而达到有效地监控机房的自然环境。

图1 计算机信息安全体系

1.2 系统硬件建设

1.2.1 防火墙

为了防范外部网络攻击和入侵，我们采用NGFW4000防火墙来隔离HIS和互联网。该软件稳定、可靠，功能丰富，较好地解决了各类医保、农合等接口与外部网络连接的安全问题。

1.2.2 网络冗余

（1）机房冗余。在住院大楼建立主机房后，又选址在距离住院大楼100 m以外的门诊大楼建立灾难恢复机房，保证在主机房由于意外情况失效时，能够无缝切换到灾备机房，不使系统中断。

（2）服务器冗余。利用VERITAS将2台HIS核心服务器分别部署在中心机房和灾备机房，并使用万兆光纤相连，确保信息的高速交换和群集的自动切换。

（3）交换机冗余。在中心机房和灾备机房分别部署2台核心交换机，再用单模光纤对应相连，而汇聚交换机再分别接到其中1个机房的2个核心交换机上，实现双路联接，保证网络的联接可靠安全。

（4）网络拓朴结构。采取较为合理的网络拓朴结构实现网络冗余备用，保证在部分光纤和网线损坏的情况下，能够实现迅速更换，其次是合理地划分出多个虚拟局域网（VLAN），可实现访问控制和减少广播风暴的发生。

1.3 软件建设

1.3.1 防病毒软件

我们采用趋势科技防毒墙（网络版），它是一种集中式管理软件。防毒墙可保护连网服务器和PC机免受病毒/恶意软件和恶意代码的威胁，还可有效地查杀各种流行的病毒。

1.3.2 安全管理平台

对于一个相对封闭的HIS，如果不考虑外来的入侵行为，面临的风险大多始于内部。为此，要做好以下工作：① 入网控制，包括非法设备入网、合法设备带毒入网、对存在缺陷终端的及时提醒、隔离等；② 传统桌面管理，包括及时发现桌面设备的系统漏洞并自动分发补丁，确保终端用户的行为受控，并做到事先预防、事中控制、事后审计，快速分发软件、批量更改系统设置，从而实现远程支持和控制；③ 移动介质管理，防止U盘交叉使用、传播木马和病毒以及U盘泄密；④ 全面资产管理，了解全网的软硬件清单，对网络资产的生命周期进行跟踪管理。

采用多维终端安全管理平台（Mutil-dimensional Security Endpoint Management Platform，MSEP）可很好地解决上述各种问题。

1.3.3 “防统方”支撑平台

目前，医院工作的开展对信息系统的依赖性越来越强，鉴于上述情况，医院迫切需要一套信息管理系统，对敏感数据进行实时监控，对违规操作进行追根溯源和智能控制。这样既可以防止非正常统方行为的发生，又可以保护医院在耗材使用、患者信息、财务等方面的各项数据安全。本系统采用横渡科技“防统方系统”软件，对医院统方行为进行监控。既防止了医院患者的信息外泄，又防止了医院在经营、财务、科研、办公等方面的数据外泄，从而保护了院方的核心利益。

2 管理制度建设

提高安全意识，完善管理制度。信息安全除了从技术上下功夫外，同时也要充分认识计算机网络安全关系到全院的各个部门，影响到每个员工，也要依靠配套的安全管理措施来规范每个员工的行为，大力提高安全意识，确保系统的安全。

（1）加强用户密码管理。对于系统管理员和数据库管理员，不共用管理员和密码，而使用各自的管理员和密码，以便明确责任。做好普通用户自己的密码保管，定期提醒更换密码。

（2）做好数据备份与故障恢复。每日检查备份日志，确保数据的本地和异地备份顺利完成。定期开展信息系统应急演练，做好极端情况的手工处理，保证医疗流程的不中断。

该计算机信息系统安全防范体系在我院已使用1年多的时间，系统运行稳定，很好地提高了信息网络的安全管理水平，极大地增强了网络安全整体防范和预警能力。

[1]蒋蘋,王奕.计算机信息系统安全体系设计[J].计算机工程与科学,2003,25(1):38-41.

[2]赵战生.中国信息安全体系结构基本框架域构想[J].计算机安全,2002,11(1):44-47.

[3]吴书宏.基于局域网的安全设计的研究[J].电脑知识与技术,2009,15(6):1361-1362.

[4]王伟.医院局域网网络安全分析[J].中外医疗,2011,(27):146.

[5]马锡坤.医院网络终端准入控制解决方案[J].中国医疗设备,2011,26(11):30-32.

[6]巩蕾,路万里,王伟伟.构建医院网络信息安全防护体系的探讨[J].当代医学,2010,16(6):26-27.

[7]李娜,卢沙林.军队医院网络信息系统的安全分析[J].计算机与现代化,2011,(2):138-141.