池永华

复旦大学附属中山医院青浦分院，上海201700

摘要 本文主要对医院的网络安全与管理问题进行了探讨。医院网络安全至关重要，对于做好患者的病情隐私和维持医院的良性运转都具有重要的意义。但是，当前医院的网络安全问题并不乐观，安全防线较为脆弱，较容易被入侵等等，针对这些问题，本文给出了一些针对性的建议。本文的探讨对于做好医院的网络安全与管理工作具有重要的意义。

关键词 网络安全；网络技术；入侵

中图分类号TP39 文献标识码A 文章编号 1674-6708（2012）61-0187-02

随着计算机技术和网络技术的不断发展，计算机网络在医院的应用越来越广泛，医院计算机网络安全问题也越来越受到重视。本文探讨了当前医院网络信息安全的内涵，分析了医院计算机网络信息存在的主要问题，最后提出了相应的防范和管理措施，以保障医院计算机网络的信息安全，从而充分发挥计算机网络在医院日常工作中的作用。

1医院计算机网络安全的含义

对于计算机网络安全的含义往往会随着使用者的不同而不断的发生变化，具体来说就是，使用者对网络安全的认识都是仁者见仁。就医院来说，网络的信息安全包括了系统的软件、硬件以及相关的数据安全性。就目前的医院信息安全分类来说，可以分为静态安全和动态安全两种，其中动态安全就是信息在传输和处理状态下的数据安全性；静态安全则是在没有在传输和处理状态下的安全性问题。随着技术的进步，医院对信息安全认识也不短深入，但是医院信息安全建设依然任重道远，会面临众多问题。这些问题将会严重的威胁医院的正常工作。

2计算机网络对医院的重要性

2.1网络安全是保证正常医疗秩序的基础

计算机网络在医院广泛使用，对于加强医院管理，提高经济效益，方便患者，获取较好的社会效益具有重要的意义。但医院的特殊性质决定的医院信息系统必须是每7天不间断运行，网上信息交换，非实时处理大量数据的要求程度高，不能被打断。一旦网络出现故障，将导致病人挂号、病人付款，病人取药和医生成本会计出现差错，甚至可能延误患者的诊断和治疗，不仅给医院带来消极的社会影响，也将会破坏正常的住院医疗秩序。

2.2网络安全是医院信息资源管理的保障

医院信息管理系统的应用改变了原有的医院管理模式和传统的手工会计核算方式，不仅阻止所有类型的漏洞，最重要的是有利于医院更好的管理和信息资源的合理利用。医院网络内部不断传输，处理，存储，大量的患者和管理重要的医疗信息，如护理记录，诊断，医疗咨询，医疗费用和药品，设备，卫生材料，消费者的购买等，这是医院最为宝贵的信息资源，对于医院的生存，管理和发展起着重要的作用。

3医院计算机网络信息安全存在的隐患

当前，网络信息技术给现代医院带来极大便利的同时，也带给了我们一个重大的课题，如何建立一个安全的网络，成为众多学者的研究对象。入侵的病毒，黑客的攻击和内部的误操作，自然灾害，都可能给医院内部网络带来隐患，如何保证系统的安全性，已经成为每个医院不可回避的技术性问题。伴随着我们技术人员对医院网络技术的认识的不断神话，医院计算机网络的安全隐患也逐渐暴露。

3.1软件漏洞

操作系统和各种软件的设计和结构将永远是一个不可回避的安全问题，任何系统和软件都不能是无缺陷或无漏洞的，而这些漏洞的暴露则往往会被不法分子利用，通过计算机病毒和恶意程序在内部网络中蔓延，而一旦实现互联网连接，危险也将悄然而至。

3.2计算机病毒、黑客攻击等安全事件频繁发生，危害日益严重

病毒的蔓延，系统漏洞，黑客攻击等等的许多安全性问题，直接影响医院的正常运作。目前，大部分安全性问题的爆发都是由于网络用户客户端的薄弱以及“失控”的网络使用行为而引起的。在医院的网络中，用户终端不及时更新系统补丁和更新病毒库的行为经常发生，私自访问的未经授权的外部网络、禁用软件的行为比比皆是。

3.3硬件问题

对于许多电子元件组成的网络硬件设备而言，即使一个原件的故障率是很低的，但完整的系统故障率仍然很高。因此，网络上的所有设备存在安全隐患，在系统的运作，偶然的失败是始终存在的。网络系统常见网络故障大多是由的存储介质、CPU、网卡、更换硬件错误中断等引起的。

3.4对网络信息安全的规划不清晰

由于医院的特殊性，对医院网络和计算机安全提出了更高的要求。然而，一些医院只注重收购各种网络安全产品，而忽略了信息安全发展的长远规划，没有根据其信息安全的目标发展医院安全管理策略。

3.5缺乏必要的网络信息安全人士，在安全制度上也不及安全

从已经爆发的安全案件的数量上来看，很多医院是没有建立安全管理制度，即使有的已经建立这些制度，但依然没有实施。内医院的工作人员的计算机技能，特别是知识和信息安全意识的缺乏是一个在医院信息化的严重危害，有必要及时加强对保安人员的专业知识的培训。

3.6机密信息外泄

医院作为一个公共服务机构，应密切关注信息安全，如医疗费用，人事变动等等内部机密信息的严格保密，对于病人的个人信息就更不能随意传播。虽然大多数医院在都将业务网络和办公网络实现了物理上的隔离，但仍然无法通过技术手段来避免由人为因素造成的信息泄漏。一旦这个信息通过QQ、电子邮件、FTP、电子出版物等传播到网络上，本人借题发挥，就会给医院一个严重的不良影响。

4医院计算机网络在技术上的安全管理

4.1升级操作系统补丁

由于软件系统自身的复杂性和潜在的隐患性等问题，操作系统及其附带软件需要及时更新和升级，除网络中的服务器，工作站等需要进行升级外，还需要升级各种网络设备，比如：路由器、交换机等等，并应用最新的系统补丁，以防止恶意的网络工具和黑客的入侵。

4.2安装最新版本的杀毒软件

防病毒服务器是防病毒软件的控制中心，技术人员要及时更新病毒库，并强制对已经开机的终端也进行更新操作。

4.3安装网络防火墙和硬件防火墙，防止外来入侵和保证数据库的完整

首先医院计算机系统要使用防火墙和防毒墙，众所周知，防火墙是指设置在不同网络或网络安全区域之间的一系列的部件组合成的唯一出入口，从而保护内部网免受非法用户的侵入。而防毒墙是为了解决防火墙在防毒方面的缺陷儿采取的一种安全措施。防毒墙设计在网络入口处，对网络传输中的病毒进行过滤。

4.4应用入侵检测系统

入侵检测技术是一项用于系统网络安全策略行为检测的一项网络安全技术。通过入侵检测系统对计算机网络中恶意行为的识别，激发系统内部自动处理的功能，进行防攻击的行为防范，并能够与防火墙联合，监视局域网外部的攻击行为，及时发现、关闭异常链接。

4.5医院计算机系统在数据传输时采用数据加密技术

数据机密技术是计算机系统的数据传输的防弹衣，可以有效的保障其传输过程中的安全性。数据机密后的数据，只能够在特定的用户和网络下才能够将密码解除，这就可以使发送方和接收方都遵循一套特定的加密规范，这就是密钥。经过加密后的数据，即使被不发分子截取，也不会威胁数据安全性。

4.6信息备份及恢复系统

为了防止核心服务器崩溃导致网络应用瘫痪，应根据网络情况确定完全和增量备份的时间点，定期给网络信息进行备份，便于一旦出现网络故障时能及时恢复系统及数据。

5建立网络安全管理制度和有效的督查机制

5.1各类人员管理制度

1）要成立安全工作领导小组，负责医院信息安全管理工作。领导小组的团队成员包括由统一使用网络的部门领导、网络安全员以及计算机网络方面的管理人员。

计算机网络安全工作领导小组要负责研讨医院信息的网络安全管理，针对当前的面临的网络问题，及时召开内部会议进行讨论，并且要制定灾害应急预案，并定期召开安全会议，对最近国家和国际安全领域的严重事件、本院内的严重安全事件进行通告、分析，并建立预警预案。

2）培养医院全员的网络安全意识。医院网络安全管理策略的制度和落实需要一定的人力、物力和财力，需要自上而下的贯彻落实，因此医院各级领导要充分重视。

培养医院全员的网络安全意识，使他们认识到在某种意义上，保护网络安全就是在保护医院，使他们知道缺乏专业的系统和网络管理人员，缺乏先进的网络安全技术、工具、产品等等都有可能带来网络安全事故。

3）系统和网络管理人员的管理。管理员是决定医院网络是否可以安全、有效运行的根本因素。

网络管理员的技术水平在很大的方面限制安全系统的有效运行。

管理员负责维护和配置医院网络的核心— HIS数据库服务器和各网络设备，掌握服务器密码和数据库密码，有任意删改数据的权限，因此，系统和网络管理人员的业务素质和职业道德决定着医院网络的命运。

4）全院所有操作网络内计算机的医务人员的管理同样重要。制定严格的上岗资格和考核制度，在上岗前应接受计算机基础知识和业务操作的基本培训，通过上岗考核才能上岗。

人手一份计算机业务操作指南、应严格遵守安全管理条例和故障应急措施，上机和离机时填写计算机使用记录，离开时及时退出系统，操作员在1个小时以上不使用机器，应关闭计算机以防止未授权者使用网络等等。

5.2软件系统安全管理制度

整个系统运行之后，计算机网络管理人员要按照软件管理制度，严格的执行运行。要对系统的性能和安全性进行动态的监视，针对存在的问题，要及时的打补丁，并且要定期对杀毒软件进行升级操作。

要使用最新的漏洞检测工具进行漏洞检测，针对出现的攻击行为，要聘用安全专家进行攻击行为分析。

要用性能检测期监视系统的资源使用情况，对待超负荷运行情况，要及时的差距，找出问题的原因。

要对系统中可以的系统进程、系统服务以及网络连接进行检测，对不良程序做到早发掘、早处理。

5.3硬件设备安全管理制度

1）设备的物理安全是要首先考虑的。建立中心机房、设备间、工作间安全管理制度，特别是对于医院这样一个开放性的场所，更要注意将相关设备保护起来，以避免无关人员接触到。医院铺设的各类网线也应受到保护，既要防止恶意的破坏，也要避免其它的施工人员无意的损坏。

安全管理制度中应包括防盗、防撬等防止人为破坏的警卫值班，定期的防雷击、防静电、有效接地、供电系统定期检修等安全检测，注意防火灾、水灾环境的卫生清洁管理，机房内的温度、湿度、洁净度应达到要求，建立遇事上报及时快速反应制度等等。

2）建立所有设备的档案管理卡。针对当前医院内所有的网络设备，要及时、准确的建立设备档案，对计算机的型号、购买时间、配置、名称、使用科室、IP地址、MAC地址等等都要做好详细的等级记录工作。

对待所有的网络设备都要制定好负责人，对设备出现问题后，要有专门的负责人负责。建立督查记录，定期对设备进行检测，检测指标包括：系统运行情况、噪音大小、外观状况等等。

总之，虚拟的网络环境中负责多变，信息系统非常脆弱，经常被别有用心的人入侵，给医院以及患者的利益带来了严重的损害。

随着计算机技术的不断发展，以及入侵技术的不断升级，医院中的一算计网络信息安全一定还会面临着更多、更为复杂的问题，为此，作为医院一定要对此给予重视，要加快医院信息安全技术的研发创新工作，建立相关制度，加大对网络设备的管理，争取做到防治结合，制度辅助保证，最终达到保护医院信息安全的目的。

参考文献

[1]黄慧勇，黄冠朋，胡名坚.医院信息系统安全风险与应对[J].医学信息，2009(6).

[2]陈凌平，马宗庆，郭振华.医院信息系统的安全与管理[J].医院管理论坛，2010(2).

[3]祝敬萍,陈洁.医院信息系统安全风险规避管理策略探讨[J].医学与社会，2008(10).

[4]高志宏.医院信息系统的安全与保密[J].医院管理论坛，2008(10).