1、医院信息系统的网络与桌面安全管理医院信息系统的网络与桌面安全管理摘 要:目前,医院信息系统正处于不断的飞速发展和应用普及之中,医院的整体工作效率与管理质量对于计算机的依赖性越来越强,因此加强医院信息系统的安全管理成为了关键所在一个安全的医院信息系统将涉及到网络安全终端桌面等多个方面 关键词:网络安全;桌面安全;制度保障;技术保障随着现代化信息技术的不断发展,医疗卫生管理要求不断趋向于智能化和计算机化,这对于加强管理的规范化标准化,提高医疗工作效率,降低医疗运行成本,改善医疗服务质量起到了重要作用由于医保实时结算的实施,医院基本上都实施了HIS(医院信息系统),除此之外很多医院陆续实施了DIS(
2、医生工作站)LIS(检验信息系统)和RIS(放射科信息系统),有的医院还实施了PACS(影像存档和通讯系统),这就造成了医院信息系统的日益庞大,并且复杂交错一个环节出现问题,就可能会引起整个医院计算机系统的瘫痪, 手工业务很难立即恢复,将引起医疗业务紊乱甚至中止,给医院带来巨大的经济与形象损失因此必须从多方面加强医院信息系统的安全管理1 注重网络的整体冗余可靠性,运用技术进行保障,并定期检查维护 (1)必须确立一个正确合理的网络建设目标 这其中包括,采用先进的网络骨干技术,保证网络在相当长的一段时间内满足医院各个方面的发展需要;进行必要的虚拟网络划分,控制网络广播风暴,控制不同的访问权限,检测
3、网络中不正常的网络流量,保护网络不受侵犯,增加网络安全性;对整个系统进行完备的安全控制,在网络系统各层次采取有效的安全控制策略;通过高性能高可靠多技术交换设备,采用3层交换技术,提供QoS保证及详细的管理信息,对网络用户的变化设备的配置等进行有效管理,对网络运行进行有效监控;还有,就是要保证网络有良好的扩展性,一方面能够横向扩展,支持更多的用户接入,另一方面能够纵向扩展,实现向先进技术和产品的升级 (2)运用合理的网络整体构思和正确的解决方案在这里,我们应用一个医院的实例加以说明 医院网络一般分成院内骨干层和接入层两个基本网络层次 骨干层:根据医院计算机中心的设计原则,以提高核心设备的可靠性可
4、用性为目标,网络交换核心共配置两台Cisco Catalyst 4506全模块化骨干级路由交换机医院的应用服务器与核心交换机直接相连,客户端设备通过第二三层网络实现数据交换其中,每台核心路有交换机配置两个电源和机箱风扇,提供电源的供电负载均衡和冗余备份同时,每台交换机各配置两块管理模块管理模块冗余配置,可以相互进行备份,具有容错功能 两台核心交换机之间采用两条1Gbps链路,利用端口链路聚合(Trunking)技术连接Trunking技术可以在扩充网络带宽的同时,更好地实现网络的冗余连接能力此外,两台核心交换机各配置一块第三层交换模块,模块之间采用VRRP(虚拟路由冗余协议)实现网络层的冗余连
5、接 接入层:根据信息网络的设计所要求的可靠性可扩充性,在接入层配置了Cisco Catalyst 2950以太网交换机,提供客户端设备第二层交换10M/100Mbps 以太网端口 对于接入层到骨干层的连接,考虑到上行链路的负载以及网络链路高可靠性的要求,网络采用两条千兆以太网上连方式,每处配置2个千兆上连端口,分别连接到网络中心的两台核心交换机其中一条链路为主链路,另一条链路为备用链路,采用生成树(Spanning Tree)技术进行连接配置当主链路出现故障时,备用链路能快速进行切换 在该方案中,由于骨干层采用两台完全相同配置的核心交换机,并且每台核心交换机均采用双电源双管理模块,采用Trun
6、king技术进行互连,交换机的两块第三层模块可做VRRP;接入层交换机采用生成树技术与核心交换机进行互连,从而保证网络无论是从物理设备,还是从设备的物理层连接,或者从设备的第三层连接都能实现高可靠的性能(3)有了安全冗余的网络结构,并不是一劳永逸的,同时需要多方面的技术保障 其一,网络病毒的防范在网络环境下,病毒的传播扩散非常迅速,必须应用适合于局域网的全方位防病毒产品医院信息网络是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位多层次的防病毒系统的配置,通过
7、定期或不定期的升级,使网络免受病毒的侵袭 其二,采用入侵检测系统并加强漏洞扫描入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未 授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全医院信息网络网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系另外寻找一种能查找网络安全漏洞评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补
8、最新的安全漏洞和消除安全隐患其三,IP盗用问题的解决将IP地址和MAC地址相互捆绑,当某个IP地址需要进入网络访问服务器时,首先检查发出这个IP广播包的工作站的MAC是否与MAC地址表相符,如果相符就放行否则不允许进入,切实杜绝非法进入 (4)制定相关的维护制度功能预案,进行定期检查和应急演练 由于医疗工作的重要性和连续性,必须制定相关的制度和应急预案,切实保障医院信息网络的安全对于日常情况,应根据维护制度安排具有良好思想业务素质的网络管理人员来定期检查网络的运行情况,保证线路设备正常运转,负责好网络的系统管理,确保网络的畅通和安全制定功能预案,记录相关应急操作,确保在突发情况下有章可循医疗单
9、位还应根据自身特点,定期组织应急演练,确保在突发情况下有较好的应对能力2 认真总结医院信息系统面临的桌面安全问题,运用技防与人防相结合的办法 医院信息网络的终端工作站,是医院信息网络的重要组成部分,其分布区域较多而且面广,往往不易于管理很多时候就是由于终端工作站的小问题,就会造成整个信息网络的大问题,并且还会影响到医患关系,产生医疗纠纷 (1)我们要认真研究总结终端工作站所面临的桌面安全问题 在医院这么些年的大规模信息网络应用中,我们发现桌面终端的主要问题有:擅自拆换硬件设备,擅自安装外接存储设备以及擅自进行网络共享等等这些行为给医院信息系统带来的隐患是巨大的擅自拆换硬件设备,常见的主要是内存
10、硬盘的丢失或掉包,由于医院终端计算机较多,往往不易发现,这就导致了医院财产的损失擅自安装外接存储设备,主要体现在连接USB移动存储设备,进行计算机私用,因为一般医院出于安全考虑,是不安装光软驱的例如,打印私人的文档,复制游戏电影小说进行娱乐这就造成一些医务人员的工作分心,有时会影响到医患关系,甚至产生医疗纠纷另外,由于私人USB移动存储设备,往往带有病毒,这就会大大增加医院信息系统的安全风险再加上少数医务人员,利用网络共享,相互传播这些内容,就更加加剧了风险性,这对于医院的整体形象以及信息系统的安全是大大不利的 (2)在技术方面予以对应解决 针对以上问题,我们在实际工作中,采取了一系列的解决办
11、法利用医院的物资管理系统,对每一台主机进行编号,详细记录主板硬盘CPU内存等硬件信息,进行定期的抽查检测对于有条件的医院,可以引进先进的安全管理软件,对客户端的硬件变更进行报警并记录日志,彻底杜绝这一现象的发生针对连接USB移动存储设备,最简单实用的方法,就是在CMOS中禁止USB 端口,并对CMOS进行加密,杜绝USB存储设备所导致的病毒来源,从根源上解决客户端对服务器的安全影响对于网络共享,可以应用一些桌面软件,例如美萍PC-Security,对客户机进行控制,仅对合法程序给与正常运行,其余程序一律不能运行这些软件还可以控制“我的电脑”,“Internet Explorer”,“控制面板”
12、等,使之不能安装游戏程序,不能进行网络共享,杜绝非法操作 (3)进行宣传教育,制定规章条例,强化制度约束 医院信息系统的桌面安全管理,就如同一场矛和盾的较量如何让这把盾更好的发挥作用呢?这就需要规章制度这一强有力的指挥棒了根据医院信息系统的维护经验,我们认为,首先要进行全面的宣传教育,让每一位医务人员认识了解医院信息系统安全的重要性,做到人人心知肚明,主动提高自身觉悟医院必须建立医院信息网络的使用规章制度和使用处理条例,让每一位医务人员充分了解自身的职责和操作规范,更好的使用计算机对于违规人员,应根据处理条例进行严肃处分,并对相关科室进行处理,杜绝违规现象的发生 医院信息系统的网络与桌面安全是一项长期而复杂的工程,它涉及了医院的方方面面,只有仔细考虑,严格论证,才能取得好的效果医院信息系统的网络与桌面安全,没有适用的通用方案,即使对一所医院,也不可能有最优的方案,只有较优的方案为了更好的适应信息时代的需要,必须一边分析研究,一边积极实践,逐步优化,才能探索出一条自己的路并且通过建立现代医院的信息化制度和规程,把医院的实际管理与应用相结合,才能够达到理想的管理效果参考文献1 蔡立军.计算机网络安全技术M.北京:中国水利水电出版社,2002. 袁蓉燕.医院计算机网络的安全管理J.现代中西医结合杂志,2005,14(2):274-275.
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1