何小勇 高翔 云南省精神病医院， 云南 昆明 650224

试论医院网络安全维护工作

何小勇 高翔 云南省精神病医院， 云南 昆明 650224

随着信息化的飞速发展，各种攻击手段层出不穷，网络安全至关重要。本文结合我院实际阐述了信息管理员在医院网络安全管理中的维护工作，医院HIS系统和医保网络所面临的安全威胁也越来越大，所以保证医院网络及整个信息系统的安全与稳定极为重要。本文从系统、数据备份以及管理制度等各方面讨论网络安全管理所需的必要而有效的措施。

医院内部网络运行着医院管理系统（HIS系统），外部网络连接着医保网络系统，对信息系统的依赖将越来越大，信息网络系统的局部或全局的瘫痪，不仅对医院的正常业务造成严重的影响，也对医院的形象和服务质量造成不可估计的损失。信息技术的飞速发展，同时操作系统的漏洞却不断被发现，黑客实施攻击的技术和手段越来越隐蔽和具有危险性，加上全球性的病毒一次又一次的爆发，信息系统所面临着很大的安全威胁。所以作为信息管理员保证医院网络及整个信息系统的安全与稳定极为重要。

一、系统安全

医院系统安全包括操作系统安全和HIS系统安全两个方面。

1、操作系统安全

操作系统是管理电脑硬件与软件资源的程序，同时也是计算机系统的内核与基石。从终端用户的程序到服务器应用服务以及网络安全的很多技术，都是运行在操作系统上的，因此，保证操作系统的安全是整个安全系统的根本。从操作系统的易用性和安全性方面考虑，尽量使用微软的服务器操作系统，比较常用的版本有Win2000/Advanced Server、Win2003/Advanced Server,以及最新版本功能强大的WINDOWS SERVER 2008。

账号和密码是操作系统安全机制的核心，通过账号策略的相关设置可以避免

很多潜在的问题。首先禁用guest账号，将系统内建的administrator账号改名（改的越复杂越好，最好改成大小写数字和英文混合的），而且要设置一个密码，最好是8位以上字母数字符号组合。

用户很少会直接访问文件，设置文件、打印机等共享只会增加不安全因素，建议尽量避免。安装应用软件也需要审慎考虑，除了系统补丁、数据库、备份、防火墙及其他一些服务程序等必需的软件外，其余无关的软件一律不要在服务器上安装。因为这些软件可能在后台占用系统资源，对系统的稳定性和安全性也有着影响。

我们常说，系统漏洞是病毒木马传播最重要的通道，不及时安装系统补丁的电脑，将无法阻止被入侵。windows 是一个庞大而复杂的操作系统不可避免地存在着各种各样的漏洞，为了避免这些利用系统漏洞的攻击，操作系统应当及时安装最新的service pack 和补丁。当然，这些补丁都有可能是不稳定的，有必要在服务器安装前在试验的环境测试和对系统进行完整的备份。

另外，windows2000/XP 默认安装后就提供了大量的服务。对于特定用途的服务器来说，一些服务是用不到的，而且有些服务存在着已知或未知的漏洞，占用系统资源，对系统安全造成难以预料的威胁。所以我们要立足于系统的需求，在确保系统安全的前途下禁用无关的服务。

2、HIS系统安全。

HIS系统的有效运行，将提高医院各项工作的效率和质量，HIS面临的安全攻击指危及医院信息安全的任何行为， HIS系统通过医保前置服务器和路由器接入医保网络，所以HIS系统面临着来着医保网络和内部网络两方面的攻击，为保证外部医保网络的安全，主要通过安装网络防火墙实现，防火墙是一类防范措施的总称。它使内网与其他外部网络之间互相隔离，限制网络互访来保护内部网络。根据医保服务进程的需要开放其使用的协议端口，其他的均屏蔽掉。同时要定期查阅防火墙的日志，以便及早发现系统的安全威胁。

在内部网络方面，所有联入HIS系统的计算机要从输入途径上禁止病毒的传播，医院信息系统的工作站都不安装光驱和软驱，禁用USB接口，设置CMOS 密码等。工作站只安装与医院信息系统有关的软件，再装上安全管理系统，限制只能运行医院信息系统，屏蔽直接的硬盘、网络和注册表访问。每台客户端操作人员由系统管理员按照其工作范围分配权限和账号，操作人员的登陆口令不得泄露，不得多人共用。

网络环境下病毒、蠕虫、木马和流氓软件的快速传播、隐蔽、严重威胁系统安全。病毒的传播破坏文件和系统可用性，木马潜伏在系统内并截获用户输入的密码、键盘动作等重要重要信息，并将这些信息发送出去。此外必须配备网络版杀毒软件，随时监控HIS内网安全状况，及时下发杀毒软件升级包，

二、数据备份

计算机里面重要的数据、档案或历史纪录，是至关重要的，一是不慎丢失，都会造成不可估量的损失，轻则辛苦积累起来的心血付之东流，严重的会影响医院业务的正常运作，造成巨大的损失。

数据备份是容灾的基础，是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。而数据所面临的风险不止是病毒和网络攻击，实际上用户的一次错误操作，系统的一次不正常断电以及其他一些意外，都可能引起灾难性的数据流失或损坏。这要求我们要有一套完善的保护方案和应急措施。

常用的数据备份包括采用双机热备、磁盘镜像或容错、备份磁带异地存放、关键部件冗余等多种灾难预防措施。在备份工具选择上，可以向第三厂商 (全球盾，Eubase，IBM，赛门铁克等) 购买专业用备份系统，这些措施能够在系统发生故障后进行系统恢复。但是这些措施一般只能处理计算机单点故障，对区域性、毁灭性灾难则束手无策，也不具备灾难恢复能力。这就需要系统管理员做好值班工作，对机房温度、设备运行状态等异常进行监控，当发生灾难时能第一时间应急处理。

因为有些方式需要的软硬件投入比较大，我们应该根据实际情况权衡各方因素制定合适合理的备份方案。例如我院因条件限制目前采用的是数据导出迁移的备份模式。

三、管理制度的完善和落实

医院网络信息安全管理实施工作责任制和责任追究制。我院成立网络信息安全领导小组；分管信息工作的副院长为网络信息安全责任人，信息员为网络安全员，负责本院的网络信息安全管理，其主要职责为：

1、定期召开网络信息安全工作会议，通报有关情况，分析研究网络信息安全工作中的新情况、新问题，提出工作对策。

2、认真履行《昆明市劳动和社会保障信息管理系统前端应用系统日常运行维护和安全管理工作规程》的要求，及时传达通报有关文件精神和法规政策，提供经验和做法。

3、定期了解各部门网络信息安全管理的情况，加强检查和指导。

作为系统管理人员负责监控全院网络工作情况，及时处理网络中所遇到的问题，重大问题和难以解决的问题并及时上报，请有信息安全领导小组给予指导和解决。

网络安全员职责为：

1、系统管理人员负责注册用户、设置口令、授予权限，并适时加以修改，以便增强系统的保密程度。

2、每天查看系统日志，对网络和系统进行监视并适时协调管理。

3、对系统设备经常检测和维修，防微杜渐，保证网络和系统设备处于良好的工作状态。

4、坚持到站点巡视，了解各站点的人员、设备、系统应用等情况，以便适时进行调整和维护。

5、负责网络维护工作，对全院网络情况实施监控，随时解决网络中出现的各种情况，并在适当时候，根据医院的需求，对网络实施改造和更新。

6、负责新上网络系统的调试，参与制定启用计划，并指导应用。

7、负责对医疗信息、设备资料及消耗材料进行管理，使之充分发挥作用。

8、负责全院人员计算机知识，系统应用的培训指导工作，使全院人员都能正确地使用计算机进行工作。

9、做好数据月、周、日备份工作，备份介质由财务科保管，确保数据的安全，准确无误。

10、每周进行系统漏洞修补，杀毒软件更新，防止非法用户入侵及病毒传播。

11、根据医院的特点，适时开发新的应用系统，以满足医院信息的要求，扩展网络的应用范围。

12、系统管理员要积极参加信息技术培训，与时俱进，保持知识更新。

通过上述的安全措施，将大大增强医院的网络系统安全，但是没有一种技术能真正保证绝对的安全，这就需要我们在现有的资源下定出合理的全局安全策略，找出并补全整个系统的薄弱环节。在实际工作信息管理员需要中加强新技术的学习，关注新的安全趋势，做好网络安全预防工作，才能保证医院信息系统的稳定，更好地为患者提供医疗服务。

1、胡晓捷.医院信息系统内网安全技术研究[D].上海市中心医院信息科.2009年

10.3969/j.issn.1001-8972.2011.17.043