刘德健

（广西医科大学一附院 广西 530021）

0 引言

计算机网络已深入到医院的每一个科室，从最早的 HIS、LIS到PACS，医院的各项业务对网络的依赖性越来越强，并且在网络管理上有它的特性。医院推行网络管理意在为病人提供更加优质、高速的服务。确保网络安全运行与及时维护，才能避免不必要的医疗事故及纠纷发生，所以医院应更加重视网络的安全维护。

1 医院局域网自身安全因素

1.1 硬件安全问题

硬件安全主要分两种：一是计算机网络硬件设备、设施以及其他媒体遭受人为或非人为因素事故，导致的破坏过程。二是由于网络自身维护、安装布线等导致的安全防护措施不力，如网线布局不合理、服务器资料无备份、交换机设置不合理、无防雷措施、未配不间断电源(UPS)等。

1.2 安全管理问题

安全意识不到位。使用者对病毒、木马、黑客等的危害性了解不够，没有及时对计算机系统进行修补漏洞，升级杀毒软件，导致网络存在较大的风险。黑客和计算机病毒正是利用这些漏洞，破坏系统的正常运行。

缺乏网络保护手段。很多医院登陆网络信息系统的操作是通过设置不同用户，并给他们不同的权限来登陆的。当计算机开机后用户名直接就显示在面前，这样一来黑客就可利用一些专门软件强行破解用户密码，进入医院网络系统。

缺少对内的安全审核和监控手段。对本院内部人员的违规操作和侵入，没有有效地监控机制，造成网络系统安全和资源被破坏。

2 医院局域网安全保护措施

在了解了存在的安全隐患后，就应该建立一套比较完整的安全体系，减少这些隐患的发生。

2.1 硬件安全维护

2.1.1 合理布线

在医院的楼与楼之间采用光纤相联，并且留有备份。接入层到终端尽量采用屏蔽双绞线，线路之间避免交叉缠绕，并与电线保持一定距离以减小相互干扰。增加网点，使终端距交换机尽可能短，以减少信号衰减。

2.1.2 网络中心安全措施

首先中心服务器使用不间断电源(UPS)，保证24小时不间断工作，防止因停电造成的数据丢失和损坏。对于中心服务器的配置，我医院采用的是不同楼栋的中心机房双核心交换机和双核心服务器热实时灾备模式，保证数据与中心服务器的同步。当一台核心交换机或核心服务器发生故障时，业务处理不受影响，保证了系统的正常运行。从而能大大地提高系统安全性。

2.1.3 网络设备维护

医院信息系统中的数据靠网络传输，网络的正常运行是医院信息系统的基木条件，所以网络设备的维护至关重要。路由器、交换机等设备需要定期检测，查看指示灯状态是否正常，各种插头是否松动，注意除垢、防水等。本院汇聚层交换机采用两台个Cisco 3750系列交换机作冗余，楼层交换机各插两块千兆光模块连接，分别与两台汇聚层交换机相连，这样当一台出现故障后另一台能自动进入工作状态，保证汇聚层到接入层的安全性能。

2.1.4 工作站安全措施

除了防尘、防水，联网许可等，还应为系统用GHOST做备份，当系统被破坏时可快速恢复系统。

2.2 软件安全维护

2.2.1 操作系统的安全维护

目前，一般医院服务器和工作站的操作系统多采用微软WINDOWS系列操作系统，这就要求对计算机使用的帐号、用户权限、网络访问以及文件访问等实行严格的控制和管理，及时下载和打好系统补丁，尽可能关闭不需要的端口，以弥补系统漏洞带来的各类隐患。对各类工作站和服务器的CMOS设置密码，取消不必要的光驱、软驱，以及屏蔽USB接口，以防止外来光盘、软盘和U盘的使用。

2.2.2 安装网络杀毒软件

当今，计算机出现病毒种类繁多、变异速度快、传播网络化、隐蔽性强、危害多样化、危害后果日趋严重等特点，一些恶性病毒除了攻击计算机网络系统中的核心设备和资源、降低网络运行速率、造成网络拥堵甚至瘫痪外，甚至盗窃被攻击系统中的用户帐号、密码、机密资料、档案等信息。医院在构建防病毒系统时，要针对网络中所有可能的病毒攻击点设置对应的杀毒软件，如网络版的趋势防毒墙、诺顿杀毒软件，通过全方位、多层次防毒系统配置实现病毒防治。对于局域网内用户终端，本院在所有计算机安装上网络版趋势杀毒软件，服务器端进行病毒库升级后客户端会自动下载升级，以保证终端用户拥有最新的杀毒配置。对于服务器等有其他需要的计算机，则根据需要安装相应杀毒软件。

2.2.3 安装防火墙

防火墙是局域网的第一道防线，检查和过滤进出网络的每一个数据包，保护医院局域网免受外来攻击。防火墙在局域网的安全建设中起着重要作用，给局域网装上防火墙非常必要。

2.2.4 应用程序的安全维护

良好的医院信息管理系统必须在实际应用中不断修正、完善和发展。以医院信息管理系统为中心，医院网管应做好应用软件实际需求和软件开发商之间的协调工作，使医院局域网系统既能更好的为医院各项业务服务，又能确保医院局域网的安全，稳定运行。

2.3 数据安全

2.3.1 数据备份工作

医院信息系统数据量大、数据结构复杂，而这些数据的安全是工作的重点。要重视数据安全问题，对数据及时备份，包括本机备份和异地备份，本地备份就是每天在一个固定时段备份数据；异地备份采用每天两次将数据备份到另一栋楼房内的电脑中，以确保灾难性事件发生后数据的完整与安全，另外还采取半年作一次数据转储，将转储出来的数据分别存放在不同的移动存储器中。

2.3.2 防病毒工作

数据库是医院局域网业务系统的核心，它的安全性相当重要。现实中病毒、黑客、木马无处不在，首先加强全院职工的教育，将防病毒工作深入人心，使其自觉维护网络安全，维护医院利益；其次是使用网络版的趋势防毒软件或安信防火墙，专人定时更新病毒库。对终端桌面进行不定期检查监控，及时发现违规操作给予纠正并对违规行为提出警告，对终端的光驱及USB接口进行屏蔽，严禁外来设备接入，从而减少病毒感染的可能，从技术上保证网络的安全。选择SEP l1．0作防护软件，它将SAV与高级威胁防御功能相结合，可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。

2.4 操作人员的安全意识

2.4.1 网络的权限控制

根据访问权限将用户分为系统管理员、一般用户。严格限制系统管理员个数，并限定使用某些模块的最高权限。一些特殊模块如药库管理、门诊药房、住院药房要专人专用，给予他们相应权限，要经常更改用户口令，以防被人窃取。

2.4.2 强化医务人员的网络安全教育

医院内部员工的网络安全教育相当重要，要让大家了解计算机病毒的危害、网络黑客的危害等，逐步网络使用人员养成网络安全责任，为确保局域网系统的安全，应慎用U盘、移动硬盘等存储介质，应升级病毒系统和定时杀毒，慎用资源共享；对于业务需要的应用软件，应设置使用口令；使用好相关的应用软件后，应及时退出自己的工号；对于计算机的任何疑问，应及时联系计算机管理员。

2.5 建立完备的应急方案

首先，网络要有良好的供电环境，能够保证主服务器、网络交换设备及相关工作站(其中包括门诊收费、门诊发药工作站等)不间断供电。其次，根据门诊工作实时性要求高的特点，应当准备备用客户机，能够在客户机出现崩溃而一时半会不能恢复的情况下，及时更换备用客户机，保持门诊工作的连续性。

[1]赵晓云，孙宏杰．浅谈医院信息系统的安全[J]．医学信息学.2005，5(18)：455.

[2]张会芹.医院网络的安全维护措施[J]．中国医院统计.2005，2(12)：191—192.