王剑

（佳木斯大学附属第一医院网络信息部，黑龙江 佳木斯154002）

随着医院信息化建设水平的不断提高，加强医院信息化网络安全工作是必要的，在有效的进行网络安全技术分析过程，要结合医院信息化建设开展实际，科学的制定更加高效的安全保护机制，以此才能并不断提高医院信息化建设质量，下面结合工作实际，有针对性的总结几点具体的安全防护策略。

1 医院信息系统数据存储安全

据现有的经验来看，医院的信息系统大多以C/S（服务器/客户端）的结构组成，服务器是整个医院网络的核心枢纽，信息的所有内容都需要服务器的中转以及审核。从构成上来看，医院的信息系统数据主要是由病人的信息、医院本身经营数据为主，所以服务器的运营必须保持24 小时不间断，避免出现信息丢失或者错误的情况出现，同时医院服务器要具备一定的数据恢复能力，保障整个业务的流畅、稳定运作。目前医院的服务器大多是以“2+2”的高性价比、高安全性的双机备份系统模式，所谓的“2+2”指的就是两台独立服务器与一台磁盘阵列，但阵列中所采用的是双阵列卡组成双保险，避免单点故障的问题。在条件允许的情况下，医院需要在异地建立专门的异地容灾备份服务器，做到不间断与主服务器同步数据。这样的价值在于，即使在医院服务器位置上出现物理信息丢失，如突发重大灾难时候也可以启动备用服务器，达到数据信息的充分备份，保证医院的关键性信息不被丢失。服务器需要配备专门的UPS 电源，预防断电问题。

2 医院信息化网络设备安全保护

医院网络的流畅、安全运作，直接关系到相关病患的治疗情况，因此保障医院网络设备的运作安全成为关键性任务，如果出现数据侵入等问题，将造成难以挽回的问题。目前我国医院所采用的信息网络大多是单独设置的，能与其他网络物理隔离，同时所有服务器都被硬性要求配备有专门的双引擎、双电源的系统，能够达到双核心的物理交互、不间断的备份工作。针对互联网使用的安全还会在不同的服务器上配备专门的网卡，在双网卡上分别连接交互核心机，即使出现单独故障也能维持持续运作。各楼的汇聚交换机与两台核心交换机实现万兆双链路连接，各接入交换机与汇聚交换机千兆连接，并实现千兆到桌面。利用网络管理系统软件，实时检测网络流量和各网络结点运行情况，发现异常及时处理，实现对医院网络的远程管理和安全管理。伴随我国互联网信息科技力量不断升级，医院工作不断扩大完善的情况下，如今医院信息建设中被具体划分为护士工作站、门诊医师工作站、收费系统等不同的VLAN，在不同的VLAN 切换以及访问的时候，VLAN 端口上会有专门限制病毒的渠道，能够避免外来程序、木马、病毒等侵入，保证医院网络的使用通畅和安全。

3 医院信息化系统终端安全保护

终端安全区别于服务器安全的操作，顾名思义终端即为医院各个科室、各个医务工作者所参与医疗工作使用的计算器系统，其管理极大程度上依赖于每一位工作人员，因此其安全隐患也较为突出。

3.1 建立内网管理系统

首先，医院需要根据自己的实际情况出发，建设专门属于医院操作的软件系统。医院需要系统性地对目前使用的终端以及岗位做出分类和管理，有针对性地做好特征、信息的分类作业。针对使用的终端计算机进行有效控制，在光驱、软驱、USB和硬盘等组件上做好控制，就打印机、屏幕等外接设备也要做好控制工作。要分发系统的补丁，确保每一台终端计算机都处于最新更新状态，减少被外部攻击的可能性。就医院内部使用的终端计算机，需要对其配置软件和防火墙做好监控，严禁杜绝任何医务工作人员私自安装或卸载第三方软件。需要为终端计算机做好一定的监控系统，做到不间断检查当前工作人员使用终端的情况，如果医务人员有违规行为或计算机遭到入侵的情况，会在第一时间触发警报告知中心服务器，引导技术人员进行操作，预防风险问题产生。要利用好当前局域网发展的优势，为每一台终端计算机的IP 地址与MAC 地址向上汇报、统一，避免任何APR 病毒对医院的同一系统和网段计算机的共同打击。

与此同时，做好虚拟局域网工作也是保证医院信息化建设的有力措施。目前，该技术被运用在不同的逻辑上将用户与设备划分，有针对性地被运用在不同部门、不同岗位之上，使得利用局域网的情况下，即可实现终端设备之间的联通。这也是虚拟局域网中，“虚拟”含义的具体体现。虚拟局域网除了能够进一步保障相关计算机使用过程中的安全性，还需要在VLAN 与交换机进行连接的时候，通过VLAN 技术即可连通不同的子网，只需要一个独立的数据包即可完成接、发收信息的工作。这样就降低了信息流入互联网的可能性，网络拓扑的效果也更好。但该项技术的实施大多需要专业的计算机与互联网技术人员，仅仅依托于医院现有技术难以实现，需要第三方社会机构以及政府予以助力。

3.2 建立防病毒系统

做好医院终端计算机的病毒预防工作，也是信息化建设过程中重要任务。鉴于医院的信息安全相对较为重要，医院方面需要专门设置一台服务器用于防病毒工作，实现对所有终端的实时监控和保护，良好其管理效益。例如，服务器能够监控到邮件、收发文件等过程中对病毒的检测，一旦出现问题进行警报；定期全方位地扫描终端等。服务器的最大意义在于一旦病毒库和木马库更新，能够保证计算机在最新的防护库下运作，保证安全性。防火墙软件能够在同一的联动下运作，即使计算机本身没有防火墙，也可以在服务器的共同运作下接入网络，以规范的姿态作业。

3.3 工作站软件的权限管理

为了避免人为原因造成医院信息泄露的情况出现，针对不同的终端和计算机，需要配备有专门工作人员的工号以及口令，如果没有相应的操作授权和口令，计算机并不能被投入使用。工作人员自身也需要保证不直接改变系统设置，严禁使用U盘等可移动设备将数据和信息导出，确保使用过程中的独立与安全。

4 医院计算机桌面安全管理系统

桌面安全管理系统是现代化医院信息化建设过程中不可或缺的重要手段，能够切实保证网络使用的安全性。该技术的原理在于创建一个基于互联网的虚拟桌面，在使用过程中能够杜绝外部文件的直接传输，达到网络的自动化隔断目的。用户的所有操作都是在集成的安全平台上，信息交互也是基于端口而成的，不会使用原本的计算机资源，从根本上保证各类操作的安全性。桌面安全系统最大的特点在于逻辑隔离、文件传输控制、上网行为管理、应用程序配置、病毒防范、高安全性、高易用性、高效性、稳定性、实施与维护。能够帮助医务工作者在使用互联网高分享、高开放的特征同时，降低潜在使用互联网过程中出现的风险以及隐患，达到高效率工作的同时，确保医院信息、数据不外漏，形成良好的工作循环。

总之，随着信息化技术的不断发展，如何开展网络安全保护工作也需要不断提高认识，通过对医院信息化建设工作的分析，本文探索了医院信息化网络安全保护实践策略。在有效的分析过程中作为相关技术人员，要全面提高专业能力，通过有效的进行实践与学习，才能不断提高医院信息化建设水平，希望通过以上探索，能够为医院日后可持续发展奠定良好基础。