刘 彬，谢 孟，谢建福，王 勤，李立宇，谢嵩源

·卫生管理·

军队医院网络信息安全隐患及管理对策

刘 彬，谢 孟，谢建福，王 勤，李立宇，谢嵩源

军队医院；网络信息；安全；隐患；对策

目前，军队医院因建设发展需要，普遍应用了4种网络，即军事综合信息网、全军远程医学信息网、医院内网(即医院独立的局域网)及互联网。军事综合信息网及全军远程医学信息网是部队专用信息网络，涉及部队内容较多，不对地方工作人员或安全级别低的科室开放；医院内网属于医院内部独立局域网络，用于在医院内部各科室间传输患者各项信息及应用于医院内部人员办公需要，涉及患者基本信息，尤其军队医院内网存储着到医院就诊的军队人员信息情况，安全级别更高，保密要求更严；互联网则是各科室根据业务建设需要，报上级主管部门审批后，由军队通信部门按照规定程序办理，可联通因特网等国际网络。

1 军队医院存在的网络安全隐患

1.1 人员类别多，安全意识薄弱 目前军队医院工作人员除部分重要岗位必须由军人担任外，其他岗位很大比例由地方人员担任，包括一些聘用人员、雇用人员、实习人员等，人员身份复杂，遍布医院医疗、护理、医技等部门，这些地方人员通过各种渠道普遍可以接触到住院患者包括军队患者的信息资料。地方人员一方面由于工作不稳定流动性大，管理难度较高，且未系统受过保密政策及法规教育，对就诊患者信息保密管理重视不够；另一方面还有部分人员虽具有较高的保密觉悟，但缺少相应的保密知识或操作技能等等。这些都极易导致军队医院网络信息安全事故发生。

1.2 网络类型多，运行环境复杂 如上文所说，军队医院网络既有军队专用网络，又涉及各业务网络，网络类型种类繁多，不同网络类型的密级程度不一，因各种需要各网络间又不能进行完全物理隔离。如医院内网与医保网络间的数据交换是在医保网络与医院内网间，放置一台前置机和防火墙，双方的数据交换都通过防火墙与前置机相连来完成，互相不进入对方的区域[1]，这就是所谓的医保信息中心与医院内网间的“专线”。但这种专线是医院内网与医保中心之间通过在城域网交换机上设置虚拟局域网(VLAN)来实现逻辑上的“专线”[2]。这种专线可通过人为设置进行改变，甚至允许任何节点访问，加之医保网络直接或间接通过互联网与医院、银行、社区(街道)、药店等单位联网，导致医院内网通过医保网络与互联网间接相连[3]，给军队医院网络安全带来很大的不确定性。

1.3 安全漏洞多，被攻击风险高 随着医院网络技术的不断发展，医院网络的访问和接入方式呈现多样化趋势，包括无线、有线以及远程接入VPN等方式，得到了越来越多的应用。在医院网络中，访问网络的终端设备种类越来越多，从传统的PC机、笔记本到IP话机、IP摄像头、打印机、传真机，尤其是移动终端设备如平板电脑、个人数字助理和智能手机的飞速发展。此外，随着医疗业务的扩展，医院网络连接的非可信网络越来越多，总体表现为医院接入网络用户特别多、操作平台特别多、后台服务器特别多、业务软件特别多。接入用户不能及时更新平台客户端病毒库、选择简单便捷方式进行不同网络类型间的数据传输等人为因素，网络黑客利用木马、病毒或操作系统漏洞等非法手段攻击医院网络系统等外在因素，医院网络存在的数据库漏洞、网络间交互存在的网络协议漏洞等网络环境自身因素等，这些因素导致任何一个网络类型中的任何一台电脑漏洞隐患都有可能导致医院整个网络的严重瘫痪，给患者的隐私甚至生命安全带来了极大的安全隐患。

2 网络安全管理对策

2.1 终端接入安全管控策略 面对用户的授权访问，如何对网络访问进行权限控制，如何管理由于智能终端接入网络带来的风险，如何管理访客的网络接入，如何对终端设备的访问进行控制等诸此繁多的问题，有效执行包括无线、有线以及远程接入等网络访问的策略和授权，审核网络使用情况，监控医院的合规性，并全面了解整个网络活动状况，在军队医院网络信息安全上显得尤为重要且紧迫。身份服务引擎(identity services engine)作为身份和访问控制策略平台，可以执行策略规定，加强基础设施安全，并简化服务操作。在终端接入安全控制方面采用身份服务引擎来搭建可信网络架构，对医院网络、用户和设备收集实时信息，在有线、无线和远程网络访问等多种情景下，实施访问控制策略。它在同一平台上集成了身份验证、授权和升级的功能，同时提供终端状态、分析和访客管理服务等功能，实现了全院网络安全策略的一致性。借助于身份服务引擎，管理员可以统一集中创建和管理用户和终端设备的访问控制策略，并获得接入网络的所有设备的端口可见性，最终达到针对所有用户和终端设备，在网络内部以统一的策略进行身份验证和授权；阻止未授权的网络访问，保护医院医疗数据和患者信息安全；定期评估和修复解决网络设备漏洞，消除病毒和蠕虫等间谍软件威胁；通过对指定的终端设备进行属性扫描，增加基于网络的设备识别等目标，从而更准确、更全面地保障医院网络信息安全。

2.2 网络安全防护手段

2.2.1 防火墙 防火墙(firewall)是指依照特定规则，在内部网络与外部网络间架起的一道防御系统，用来允许或限制数据传输，它可以是专属硬件，也可以是架设在硬件上的软件。军队医院由于业务发展，需要在内网与与省市医保、新农合及区域医疗卫生服务系统等对外医疗网络间进行联接，通过防火墙将内网不同平台配置成不同保护级别，入侵者必须“穿越”防火墙才能接触到目标平台；或是借助防火墙在内、外网络间部署“芯片级防火墙”设备，通过它可以使医院内网与其他外部网络互相隔离，限制网络互访，从而达到保护医院网络目的。

2.2.2 入侵检测系统(IDS) IDS(intrusion detection systems)是指通过对软、硬件，对网络、系统的运行状况进行实时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备，是一种积极主动的安全防护技术，是对防火墙的合理补充。医院根据机房服务器应用实际，可为核心业务服务器部署基于“主机模型”的IDS，同时也可在网络内部署“基于网络模型”的IDS。这两种模型具有互补性，基于网络的模型能够客观地反映网络活动，特别是能够监视到主机系统审计的盲区，但只能监控同一监控点的主机，而基于主机的模型能够更加精确地对同一监控点内的所监视主机中的各种活动进行监控，既能保证关键主机的精细化监控，又能对全网进行安全监测。

2.2.3 入侵防御系统(IPS) IPS(intrusion protection systems)是能够监视网络中网络资料传输行为的网络安全设备，它不仅检测来自外部的入侵行为，同时也检测来自内部用户的未授权活动[4]，是对防病毒软件和防火墙的补充。IPS对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御，能够即时中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。IDS和IPS的关系是相互协作，并非取代和互斥：IDS是用来检测和记录攻击的，IPS是用来检测、阻断并记录攻击。IPS系统除了具备IDS系统的功能外，还能够预防某些攻击并阻止这些攻击，同时可以防止持续性攻击。通过IDS的广泛部署，才能了解了网络的实时状况，并据此根据需要在网络中部署IPS。

2.2.4 安全隔离网闸 安全隔离网闸技术是在保证两个网络安全隔离的基础上实现信息安全交换和资源共享的技术[5]。它采用独特的硬件设计并集成多种软件防护策略，在任一时间只能连接可信网络、非可信网络之中的一个，不依赖于操作系统或网络协议，能够抵御各种已知和未知的病毒、木马攻击，显著提高网络间信息交换的安全强度[6]。将其部署于医院内网与军队专用网络之间，可有效对不同网络间的数据进行控制性传输，并可实现医院医疗数据实时向上级卫生主管部门直至总后卫生部机关的传输上报。

[1] 朱玉芝,石磊.谈医院信息系统与医保系统联网的安全体系架构[J].中国医药导报,2008,5(29):74-75.

[2] 曾幸辉.用VPN解决方案实现社保局与医院联网的探讨[J].教育技术导刊,2008,7(9):113-114.

[3] 曾凡,于鸿飞,黄昊.医院与医保联网存在的安全风险和解决方案[J].重庆医学,2011,40(35):3562-3564.

[4] 孟刚,倪静,孟艳秋.浅谈军队医院网络安全控制策略[J].西南国防医药,2009,19(4):440-441.

[5] 胡建理,李小华,周斌.一种基于安全隔离网闸技术的医院内部网安全解决方案[J].医疗卫生装备,2010,31(7):44-45,58.

[6] 戴黎阳,曾凡,黄昊，等.基于安全隔离网闸技术搭建医院预约诊疗平台[J].中国医学教育技术,2013,27(4):454-457.

610015 成都，成都军区联勤部卫生部(刘 彬，谢建福，王 勤，李立宇)；四川大学华西口腔医院(谢 孟)；解放军后勤工程学院(谢嵩源)

谢建福，电话：028-86683286

R 197.324

A

1004-0188(2014)04-0443-02

10.3969/j.issn.1004-0188.2014.04.039

2014-01-16)