◆李畅淼

（江苏省第二中医院 江苏 210017）

医院网络与信息安全存在的风险及应急预案处理

◆李畅淼

（江苏省第二中医院 江苏 210017）

随着计算机技术及网络技术的快速普及和发展，社会生活和工作的各个角落已经离不开计算机技术和网络技术，在医院系统管理中也逐步引入网络与信息技术来提升医院的管理水平。虽然这些技术的应用一定程度上提高了管理质量，但也相应的存在的一定的风险。本文首先分析了当前医院网络及信息管理方面存在的风险，并提出了相应的应急预案解决措施。

医院网络与信息；安全；风险；应急预案处理

0 前言

随着医院信息化技术的快速应用和普及，医院的网络建设越来越复杂化。同时在网络与信息安全方面所需要做的工作越来越多，只有建立系统的安全网络系统，才能为医院的健康稳定运行提供重要的技术保障。

1 现阶段医院网络与信息存在的安全风险分析

目前我院已经形成了较为完善的网络系统，以天融信网闸、内外网核心交换机为核心、组建了包括门诊、病房、急诊楼、放射科在内的网络系统，通过内网核心交换机与铁通、省医保、市医保进行联系，外网核心交换机与联通和电信进行联系，形成较为系统、完善的网络系统如下图所示：

目前在网络信息安全方面主要是来自网络病毒、黑客攻击、网络入侵等，主要有：

1.1 病毒、黑客的攻击威胁

网络病毒及黑客攻击是造成电脑系统产生破坏性瘫痪的重要威胁因素之一，而医院系统的各种数据也处于互联网中，同样有着这种威胁和风险的存在。一些医院信息系统的杀毒软件落后或者缺乏必要的更新管理，进一步增加了系统的风险性。

1.2 软件漏洞风险

医院使用的系统中，如果在最初的编程设计方面不够科学和全面，存在软件漏洞，就很有可能成为黑客所利用的工具，造成系统破坏及信息被盗，同时网络病毒和木马等也会因此而侵犯系统，造成系统的不稳定及瘫痪，造成不必要的损失。同时在IP协议中，不法分子也会利用预测序列号等方式进入系统内部，盗取信息，破坏系统。

1.3 操作风险

在系统操作方面，如何操作人不懂得正确的操作程序，缺乏足够的知识，就有可能在操作过程中造成操作失误，造成系统毁坏，还有可能引入病毒程序。而且如果加以处理，还将进一步增加危害性。因此操作人员的操作基础及安全意识也有着重要的作用。

2 有效防范医院网络与信息风险的预案措施

2.1 医院内外网的隔离及防护方面

一般来说，医院网络的病毒、黑客、木马都是来自外部网络，因此要确保医院网络的安全，就需要从内外网方面采取必要的措施。一般医院都将网络线路分成了内线和外线两个部分，操作人员可以通过网线接口来进行内外网的切换。同时还可以通过设置网闸来实现内外网的有效隔离，从而切断来自外网的病毒、黑客木马等。为进一步提升保护效果，还可以增加入侵检测系统，对医院网络内的多台计算机进行分析和检查，查找是否有可疑系统入侵，如果发现并将其进行隔离。这一技术是继防火墙技术之后的又一新型防护技术，不过是只对入侵特征进行分析，如果将其完全隔离，还需要借助防火墙技术，通过双重手段实现有效防护。

2.2 网络协议建设方面

为了防止不法分子通过冒充IP地址的方式，进入医院系统盗取或破坏信息，可以定期进行清理，设IP 地址相同或口令相同，并将 IP 地址及口令与医院系统的计算机 MAC 绑定，如此黑客即使冒充 IP或口令，也会由于缺乏医院计算机的 MAC 向绑定，不能顺利进入医院内网。另外，还可以通过构建动态与静态结合的防护技术，对于静态信息引入授权访问技术，来限制不法分子查阅及盗取医院信息。动态防护方面主要是通过数据加密形式，如借助 RSA 加密技术，进行动态加密，来防止信息被盗。

2.3 医院网络安全制度建设方面

在医院的网络系统中操作人员主要是医务人员等，因此还需要对这些进行必要的使用知识及技能的培训，加强培训制度建设，提高安全防护意识，在出现各类安全问题时能够应急处理。同时，还应建立数据实时备份制度，对备份情况开展相应的检查，尤其是重要数据要做好备份保存，并设置不同的访问权限，不同岗位人员要有不同等级的访问权限，确保数据可靠完整。

2.4 应急系统构建方面

要在医院内部构建有效的应急处理系统，建立统一领导和协调配合的工作机制，实施统一领导，分工明确，协调有力，各司其职的应急预警处理系统。加强安全监测、分析、评估，建立重大事故报告制度，对发生的事件要及时进修核查、处理。

2.5 提高安全技术手段

（1）提高外网与内网之间的连接安全。主要是首先需要加强医院内部网络与外部网络通信内容的扫描，如DOS攻击、Java、Java Script侵入等，这些都需要进行主动防御，还可关闭不必要的端口，禁止访问非法站点，过滤不明通信。提高防火墙功能，应用新一代防火墙技术，加强防火墙的识别功能，如普通应用与移动应用的风险识别，有效识别用户信息，主动防御。应用IDS入侵检测系统，在安全策略库基础上，加强网络与业务系统的通信内容的监测，设置对于安全造成威胁的告警系统，与防火墙联动，主动阻断攻击事件，提高主机资源的抵御能力。进行VLAN划分，对不同的科室设置不同的信息资源访问权限，从而提高网络使用的安全性，降低网络安全维护成本。

（2）重点建设重要信息系统的安全。应用流量监测系统，根据医院中重要的信息系统分类，一般旁路部署于三层交换机，通过镜像端口对各个应用系统进行流量的分流，分别对每二个系统的访问流量、用户、停留时间等进行监测和分析，检查用户自己设置的阀值来判断是否存在异常情况并主动进行告警。应用SAN存储系统，对医院内部的数据存储设备实施集中管理与整合，促进存储冗余，通过数据权限的设置、备份等技术受到确保数据安全。

（3）实现桌面终端的安全。给医院的每个桌面重点安装防病毒软件，也可以通过自动下载的方式或统一分发的方式安装，要确保同步更新，实现集中管理，确保防病毒能力，不管何种类型的病毒，不管是 Windows还是 Linux系统，发现入侵系统的可疑程序即刻清除。做好终端管理，主要是在 USB使用、移动硬盘等外部设备时要加强控制，尤其是在安装和使用来自互联网的非法软件时要注意程序的安全，要设置非法网站的访问控制，确保安全应用。要及时进行软件升级，要及时进行系统补丁的升级，修复存在的安全漏洞。

（4）加强全网的安全监测和管理。健全和完善安全监测平台，要确保所以安全设备实现有效联动，提高对医院内部所有网络的基础设备与安全设备的监测水平，确保业务安全运行、性能达标、配置科学、预警有效，加强风险分析并生成量化报告，实现安全运行标准化，提高安全防范的整体性。要建设云安全管理平台，借助虚拟化平台，将不同种类的安全措施实施集中管理，对于数据防丢失（DLP）、安全信息与事件管理（SIEM）与终端保护方案等都实施云服务，通过虚拟化来降低维护的成本，提高医院内部网络安全运行效率。加强与防病毒厂商的合作，不断提高服务器的安全检测功能，不间断识别网络通信和阻止虚拟架构的配置更改，有效停止未授权用户的操作行为，在确保系统正常运行的条件下抵御外部攻击等。

总之，要不断完善医院的安全应急处理能力，及时解决出现的安全问题，建立相应的责任制，构建分工明确、协调有力、技术有支撑、制度有保障的风险处理系统。

[1]吴南．医院网络信息化建设中的安全问题及保障措施[J]．中国卫生产业，2016．

[2]纪凤锦，孟双双，刘建．PACS在医院网络建设中的应用及维护分析[J]．中国辐射卫生，2016．

[3]张振宗．对医院网络系统进行管理及维护的分析[J]．当代医药论丛，2014．