中小医院网络安全管理的体会

康伯峰，张侃怀，木 森，臧国华，程 远，段雪莲，赵 俊

中小医院网络安全管理的体会

康伯峰，张侃怀，木 森，臧国华，程 远，段雪莲，赵 俊

医院；网络管理；体会

医院信息化建设中信息安全是重中之重，而每日无休无止的网络维护工作是最为繁杂的日常工作，因此，在信息化建设前期就要认真做好网络规划，应用中做好数据的备份，提高网络防范的安全意识。笔者结合多年从事网络维护管理经验，主要从服务器管理、客户端管理及人员素质培养方面谈一点自己的体会。

1 服务器安全

1.1 不同重要应用应分别建立各自专用服务器 医院信息化的建设对服务器的要求比较高，数据库技术与社会经济、生产发展和企业信息化有着紧密的联系[1]。因此，不同的应用应建立不同的服务器。HIS服务器是医院信息化的核心，应建立双机热备或者安全更高的方案(如异地容灾等)。PACS服务由于要保存大量图像数据，因此应该采用带有大容量存储器的服务器。LIS服务数据量不大，系统相对前两者比较简单，故可以采用较低配置的服务器。医院要分别有HIS服务器、LIS服务器、PACS服务器等各种应用服务器，根据我院管理的经验，最好不要将其中两个或3个服务全部装在一台服务器上，这样是方便了维护，但是却增加了风险。一旦服务器故障，恢复起来难度就会加大，就会涉及几家软件供应商的支持。当然，当前正在流行的由几台服务器共同建设虚拟机的方法也是比较安全、使用起来又灵活的一种方法，对多种较小应用来说，共用一台服务器可以节省很多资源。 对于应用较简单且容易安装、管理又比较方便的服务，故障后对正常工作影响不是很大，可以将其安装在同一台服务器上，比如办公自动化系统(OA)、电子图书馆系统等。

1.2 服务器配置应根据其重要性设置 医院HIS服务器由于其关系到医院日常业务能否正常开展，其数据的安全性应该采用最高级别的安全措施，如不仅需要稳定性较高的专用服务器，还需双机热备+异地容灾，并且配备24 h供电的CPU。LIS服务器可采用级别较低的每日用计划任务备份+移动介质备份。PACS服务器因存储大量的占用硬盘空间较大的图片而需要专用存储，要想做到数据异地备份和移动介质备份相对比较困难，应配置性能稳定的专用服务器和存储。当然，对于服务器的安全来讲，没有最好，只有更好，在医院财力允许的情况下，不论什么服务器，应是安全级别越高越好。

2 客户端安全防范

在技术层面上，可以采取以下防范技术：通信加密、网络分段、划分VLAN、入侵检测、漏洞扫描、安装防火墙和杀毒软件等[2]，下面简单列举介绍几种方法的管理细节：

2.1 医院每月确定固定时间对全院电脑进行杀毒 安装网络版瑞星杀毒软件，定期升级病毒库，每月确定固定时间升级医院客户端电脑病毒库，设置空闲时段自动杀毒。

2.2 客户端电脑安装限制移动载体使用的管理软件 例如限制U盘的随意使用，切断客户终端非法外连。可以有效杜绝医护人员非法接入无线网卡，切断内网(医院内部局域网)与外网(军事综合信息网和互联网)真正意义上的物理互联，从而提高内网安全系数。内网中的电脑互相访问可以通过一些文件传输工具，如飞鸽和飞秋等，这样既保证了网络内部的安全，也方便了医院内部的信息交流与传递。

2.3 采用三层交换机 将HIS、PACS、LIS分别划分成不同的网段(VLAN)，如HIS服务器和客户端使用202.202.160.X/24网段，PACS服务器和CR、DR、CT、MRI等分别使用同一个网段192.168.0.X/24，LIS服务器和各种检验仪器使用同一个网段150.102.91.X/24。这样可以有效地避免网络故障时的互相牵连，有效地防止整个网络瘫痪。为了能让3个子网互相访问，可以建立各自的网关。

3 信息使用者的管理

3.1 确定信息安全联络人 规范医院网络信息服务系统工作流程，利用好相关系统的结合使用，使功能性设施集中化管理[3]。每科确定一位联络员，要求对电脑操作较熟练，有一定电脑知识基础的医护人员，专门负责科内人员使用电脑的培训和帮带。将电脑的基本操作与应用软件使用情况作为医院联合大查房的考核内容，确保科室使用信息化建设成果更加规范、有效。

3.2 增大培训力度和强度 定期对中老年医护人员和新招人员进行最新的电脑知识讲解和操作技能培训，针对人员的不同特点，信息科人员轮流进行具有针对性的授课，每月或每季度讲一次，将讲课形成一种制度。对实习生和进修人员实行上岗前培训和授课，让他们了解医院的信息化发展，掌握医院各个子系统的使用方法。

3.3 人性化管理提高工作效率 购买电脑设备应该充分考虑科室的具体情况，对于中老年医护人员居多的科室应配备手写笔，打印机的数量要根据具体使用量来定，没有必要每台电脑都配备打印机、放射科电脑都配备竖屏、所有科室会议室都配备多媒体设备。患者较多的科室，应该配备人手一台电脑，方便医生录入患者信息和书写病历。

3.4 限定人员权限保障网络安全 不同人员设定不同的权限，控制用户对特定数据的访问[4]。医院网络用户涉及医生、护士、医技、管理人员等，合理设置用户的使用权限，能有效保障网络的访问安全。

4 信息中心网络工程师的要求

信息中心属于医院网络的中心，是医院信息化的大脑所在地，因此，要求网络工程师具备扎实的网络管理知识与技能，熟悉医院的网络布局和各个网络接入点。医院定期指派网络工程师外出进修与学习，包括参观其他同等医院的信息化建设、参加全军信息化会议等。

一般在综合性医院，网络布局多，比较复杂，楼宇较多，而网络管理者较少，因此，掌握扎实的远程调控方法，能事半功倍，起到意想不到的效果。通过高度集成的通讯和计算机网络，实现网络的最优化管理[5]，提高异地处理应急问题的能力，可以更好地解决医院容灾难的课题。

将找问题形成一种制度。定期下科室抽查，如通过每周的“医院联合大查房”排查医院网络信息的安全情况和科室人员软件应用的操作熟练情况，并且做出书面评估，做到故障前的未雨绸缪，做有准备的网络管理者。

总之，网络安全管理是一个长期积累和完善的过程，因此，建立完善的机房管理制度、完善的网络使用制度、责任到人的设备管理制度、安全教育培训制度、网络安全应急预案和定期网络评估制度等[6]，将制度与人的主观能动性很好地结合在一起，才能最大限度地保证医院网络的安全。

[1] 李迎丰.数据库技术和数据仓库技术的比较研究[J].科技情报开发与经济,2004,14(10):265-267.

[2] 郑爱萍.关于局域网安全管理问题的分析和探讨[J].网络与信息，2011,4:58-60.

[3] 罗逸宁.论医院网络信息服务系统应用管理[J].中外医疗,2011(10):190.

[4] 柳青.医院信息系统的安全维护与管理[J].医学信息,2008,21(10):1761-1762.

[5] 郝小星.智能小区网络的系统设计[J].科技情报开发与经济,2013,13(3):92-93.

[6] 胡智锋.浅析内网安全认识上的误区[J].武汉商业服务学院学报,2011,25(1):71-73.

671003 云南 大理，解放军60医院经管信息科(康伯峰，张侃怀，臧国华，程 远，段雪莲)，医务处(木 森，赵 俊)

R 197.32

A

1004-0188(2014)01-0096-02

10.3969/j.issn.1004-0188.2014.01.043

2013-03-14)