医院移动查房系统的实现和安全策略

2010-05-31程禹马荣徐亮段芳

中国医疗设备 2010年4期

程禹，马荣，徐亮，段芳

南京军区庐山疗养院器械科，江西九江 332000

0 前言

我院住院部的例行查房工作在每天上午8点开始。按照常规的流程，查房的医生推着装有病历夹的病历柜，到一个个病房、一个个病人床前，取出该名病人的病历夹，翻阅一份份病历、一份份检查结果，用笔记录下一个个修改结果，回到办公室开医嘱，然后由护士确认，药房摆药，护士到药房领药，再分发到每个病人的手里。这时候，已经接近10点钟了。如果有病情复杂的病人要查到11点，这样病人就要到下午才能得到服药、治疗，使病人错过了最佳的吃药时间。因此患者经常抱怨查房时间太长。

为了缩短病情响应时间。经过对国内外大量案例的研究我们逐渐明确了想法：应用更先进的和“军卫一号”系统相结合的移动查房系统，来应对日益膨胀的业务要求。

1 实施移动查房系统的必要性

⑴ 解决有线网络部分的局限性，可以让专家、医生、管理者在病房的任何区域，更方便和便捷地了解每个病人的各项指标信息和历史记录。并随时地输入当前最新的信息。

⑵ 在查房的过程中，医生或者护士通过笔记本电脑或PAD可以将患者的各项数据输入数据库，并可以通过数据库随时查询患者的即往病史、过敏史等关键资料，还可以通过计算机核对处方药品和用药配方的注意事项及处置方式是否正确，并立即进行相关修改。直接调取和阅读电子处方、诊断结果报告及病历甚至影像资料，每查完一个病人，该病人的处方修改情况与处置方案就通过无线网络传输到护士站的“军卫一号”系统中，护士立刻就可对医嘱进行核对并执行，中心药房立刻就可收到信息，对该名病人摆药，护士可分时段去药房取药并分发给相关病人服用。因此，可极大地缩短病人治疗、检查的时间，提高了工作效率。

⑶ 对于突发性情况，专家和医生不必为查询资料而到处寻找电脑，在床边即可立即上网查询。

⑷ 进行临床查房、教学时，专家或医生通过无线网络可随时调取患者的相关医学案例，结合现场患者情况，为学生提供生动、多样的教学模式。

构建具有特色的移动查房系统，实现医嘱查询、病历查询、医嘱输入和电子签名、医嘱修改、病历修改等功能。拓展医院的网络应用和内部管理，提升医院的品牌形象。

2 技术方案

将“军卫一号”系统直接移植到移动查房系统中，实现与有线网络的“军卫一号”系统无缝联接，为相关临床科室查房配备了手提电脑和PAD，通过无线局域网络的覆盖，医生和护士实现了无线移动查房。

我们选取TP-Link TL-WR642G+无线路由器组建无线网络。TP-Link TL-WR642G+/108M无线宽带路由器集有线、无线网络连接于一体。符合IEEE 802.11g/b标准，采用TP-LINK 域展TM无线传输技术，传输距离是普通11b、11g产品的2~3倍，传输范围扩展到4~9倍。TP-Link TLWR642G+提供多重安全防护, 支持SSID广播控制，有效防止 SSID广播泄密；内置防火墙功能和 MAC地址过滤，可以有效地控制计算机的上网权限；支持IP 与MAC绑定功能，可以有效防止网络攻击。

TL-WR642G+内建 DHCP 服务器，同时可进行静态地址分配，再配合强大的防火墙特性，可有效防止入侵，为无线通信提供更强的安全保护；内置的4个交换端口方便在无线之外，用有线方式直接连接4台计算机。另提供多方面的管理功能，可对系统、DHCP服务器、虚拟服务器、DMZ主机、防火墙、上网权限管理、静态路由表、UPnP、DDNS等进行管理，同时支持远程和Web管理，全中文配置界面，配备简易安装向导（Wizard），配置简单易用。

TL-WR642G+可提供高速的108M网络信号的无隙覆盖，加快医生对病人病况信息的查询、和处理；同时也可为医院影像数字系统(PACS)提供高速、稳定的无线查询和传输。

TL-WR642G+无线AP路由器理论上，室内传输距离为200m，室外传输距离为800m，但都因环境而异。在室内因有墙壁阻挡，传输距离大大缩短，为了能稳定使用，最多只能穿行三堵墙壁，因此，我们在每一个病区的走廊上安装了一定数量的TP-Link TL-WR642G+无线路由器(AP)，确保在整个病区能实现无缝漫游。

将所有AP的LAN口分别通过网线联到有线网络交换机的端口上，需要特别注意的是，在一个无线子网内，则最多只能有一个或者没有无线路由器（AP）的WAN口连接到有线网络的交换机上，否则，从一台AP的覆盖范围移到另一台AP的覆盖范围时，操作系统联网无问题，但后台的ORACLE 数据库会断线，需退出系统重新登录，这就造成使用不便。

TL-WR642G+无线路由器(AP)的设置界面是中文的，登录到AP的设置界面，进入网络参数设置界面，将IP地址和子网掩码设置为有线网中的一个节点；然后，进入无线网络基本设置界面，对SSID号、频段、模式进行设置，同一子网中的SSID需相同，频段设置成不同数值（1—11），以防同频干扰，并开启无线功能；然后，将笔记本无线网卡的无线网络属性的SSID（服务名）设置成与AP的SSID相同即可。至此，笔记本即可通过无线网络接入有线网络系统中，可正常使用“军卫一号”系统，实现移动查房功能。

3 无线网络的安全设置

由于无线局域网采用公共的电磁波作为载体，因此对越权存取和窃听的行为也更不容易防备。影响无线局域网安全的问题主要在以下方面。

⑴ 数据保密无线LAN网络通信安全会受到几方面的危害，例如传输中数据被人查看或捕获，传输中数据被人改动、重新发送。

⑵ 访问和验证每个访问点形成了通向网络的一个新的入口，因此容易受到下列漏洞的威胁：① 未授权实体进入网络，浏览存放在网络上的信息，或者是让网络感染上病毒。② 未授权实体进入网络，利用该网络作为攻击第三方网络的出发点（致使受危害的网络却被误认为攻击始发者）。③入侵者对移动终端发动攻击，或为了浏览移动终端上的信息，或为了通过受危害的移动设备访问网络。

我们在一开始应用无线网络时，就应该充分考虑其安全性。常见的无线网络安全技术有以下几种。

⑴ 服务集标识符（SSID）通过对多组无线AP路由器设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。这只是一个简单的口令，只能提供一定的安全；而且如果配置AP向外广播其SSID，那么安全程度还将下降。我们将SSID设置成不能向外广播。

⑵ DHCP服务器配置选择DHCP服务器—静态地址分配，为指定MAC地址的移动工作站分配静态IP地址，如图1。

图1 分配静态IP地址

⑶ 开启防火墙功能 TL-WR642G+路由器具有防火墙功能，可以灵活组合成一系列控制规则，形成完整的控制策略，有效管理上网，能方便对局域网中的计算机进行进一步管理。只有防火墙的总开关是开启的时候，后续的“IP地址过滤”、“MAC地址过滤”才能够生效，反之，则失效。我们将路由器防火墙的总开关打开。

⑷ 物理地址（MAC）过滤开启MAC地址过滤，选择“仅允许已设MAC地址列表中已启用的MAC地址访问Internet”, MAC地址过滤是通过MAC地址过滤来控制计算机对网络的访问。由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。MAC地址可在命令提示符下通过IPCONFIG/ALL命令查找。

⑸ 开启IP地址过滤使用IP地址过滤可以拒绝或允许局域网中计算机与互联网之间的通信，拒绝或允许特定IP地址的特定端口号或所有端口号。选择“凡是不符合IP地址过滤规则的数据包，禁止通过本路由器”。

⑹ WEP安全设置在安全选项中选择共享密钥时，无线网络内的电脑必须提供正确的密码才能通过认证，否则无法关联上无线网络，也无法进行数据传输。选择WEP安全类型，路由器将使用802.11基本 WEP安全模式。其具体设置项见图2。