欧阳云

关键词：移动医疗；医院信息网络；安全性分析；安全措施

中图法分类号：TP393 文献标识码：A

移动医疗正在成为医院信息化建设的热点，它使医院突破了传统的有线应用模式，进入到无线化、移动化的新应用模式。无线网络设备的安装比较简单，只需要路由器或者无线网卡就能实现网络共享，并且无线网络的建设成本远远低于有线网络，可见其经济性和实用性较高。随着社会医疗压力的增大，医院的无线网络用户数量也在逐年增加，这大大增加了无线设备的工作压力。同时，医疗行业是网络安全问题的高发地，特别容易受到不法分子的恶意攻击。只有合理利用现代网络技术与方便快捷的软件系统，以科学、高效的信息技术促成医疗数据库的完善，深刻理解医疗信息化发展要求，提供完备、高品质的移动医疗网络解决方案，支持无线查房、无线护理、资产管理和人员跟踪等移動医疗应用的全面部署，才能在保障医院信息网络稳定的前提下规避移动医疗的安全风险、利用移动医疗的技术优势提升医疗质量和效率。

1当前移动医疗系统网络安全情况

1.1移动医疗主要接入形式

移动医疗网接人因其开放性与隐匿性等特征，通常无法在物理层面发现网络问题和缺陷。医院作为社会公共单位，在运营管理过程中往往会考虑网络成本的低廉性和运营维护的便捷性，因此，医院的本地局域网多为无线局域网接入。医院本地区域网络内的移动医疗设备，如移动医生终端、移动护理终端等通过医院分布在各处的无线接人访问节点接人医院网络；接入访问节点后通过千兆局域网与楼层交换机相连接，楼层交换机直接连接至汇聚交换机，再通过核心交换机、防火墙等设备接入中心机房。可见，开放性与隐匿性是移动网络的显著特征，也是网络非法接人与网络恶意攻击的主要弱点

1.2移动医疗网络的安全风险

移动医疗网络具有开放性，非常容易接人具有安全风险的问题信息。APP在移动终端上运行时，通过互联网与医院外网防火墙相连，经过外网防火墙对不良lP地址的过滤，使拥有安全隐患的服务协议禁止通过。当前，网络部署主要采用无线传输协议802.11b/a/g/n系统，虽然系统协议应用起来简单方便，但又兼具服务集标识符可视、密码过于简单、无线路由器WEP破解等安全风险。

1.3移动医疗网络和连接安全风险

移动医疗医院信息网络常常会受到其所接入的免费Wi-Fi系统影响而面临接入安全风险，未经允许的设备可利用非法装置免费Wi-Fi软件系统或者随身Wi-Fi对医院网络进行非法连接。这种未授权的终端仪器接人后可以非法访问或下载医院内部保密数据，使移动医疗医院信息网络面临风险隐患。

2医院网络建设面临的问题及解决方案

2.1面临的问题

根据医院网络建设复杂性、综合性、重要性等特点和等级保护的要求，当前医院网络建设面临许多问题，可以归纳如下几点：（1）随着新型在线诊疗技术的兴起，医院的网络负荷不断增大，医院带宽出现瓶颈；（2）医院的网络结构随着多层次建设结构越加复杂，传统设备管理模式运维不便；（3）针对恶意攻击和入侵事件频发，网络安全风险加大；（4）物联网技术逐渐普及，多网重复部署造成运营成本过高等。

2.2解决方案

2.2.1内外网网络解决方案

内网中包括数据中心和核心到各楼层科室的有线接入设备之间的连接，承载所有医疗业务系统。外网主要指医院的互联网出口，为医患及各方提供网络服务。内网和外网之间采用网闸进行逻辑隔离，出口采用下一代防火墙以保障内网安全。内外网有线网络中涉及的设备主要包括交换机（核心、汇聚、接人）、下一代防火墙、网闸、出口路由器、数据中心服务存储、AC，IDS和IPS等。核心交换机采用堆叠技术，提供经济、灵活、快速的网络管理，数据中心交换机采用M-LAG技术，为网络提供设备级可靠性。

2.2.2设备网解决方案

设备网承载lP化的智能化弱电系统，包括安防视频监控、公共广播、门禁、楼控等设施，通常由医院的安保部门负责。从方便运维和管理角度出发，可采用单独建设，与内外网物理隔离。另外，由于设备网中大部分“傻瓜式”IP设备可通过交换机管理平台的应用，实现以下功能和目标：实现全网扫描、自动纳管：对于各种情况导致的设备假死提供自动检测，远程重启，减少运维工作量：交换机的端口与MAC及设备类型绑定功能，杜绝私接仿冒、对风险终端进行识别阻断；对于违规终端、下线隔离的情况，通过黑名单加以管理。

2.2.3网络设备管理解决方案

当前，医院的网络设备管理通常通过远程集中管理平台和设备分散远程登录管理两种方式，主流管理方法仍是通过Telnet远程管理。由于设备数量多，网络运维工程量巨大，维护工作只能通过增加运维人员的方式实现。由于设备采用分散登录，而运维人员数量有限，导致设备弱口令风险长期、广泛存在。而医院通过集中网络管理平台的应用，解决上述问题，以实现以下功能和目标：将现网识别1：1还原到控制平台，设备即插即用，配置一键下发，有线无线、统一系统管理运维，改变传统远程登录和命令行模式；网络运行质量图表化呈现，APP和短信等多维远程告警，从而实现对网络的灵活可视化管理，较低运维的复杂度，并减少对网管人员的技术能力要求，为其运维管理提供需要的效率。

2.2.4设备准入解决方案

作为一个开放的区域，进入医院的人员类型混杂，医院接入终端设备种类众多，通过接人用户权限各异，802.1x、脸识识别、Portal、短信认证、微信认证等方式为不同的网络使用群体提供适合的网络接入认证方式，已实现的功能和目标：终端地址绑定、终端位置绑定、终端类型跟踪，私接仿冒自动识别阻断、违规终端、下线隔离，为终端设备安全准入奠定基础。

2.2.5内网信息安全防护解决方案

内网数据涉及患者生命安全，责任重大，内网安全越发重要，而近年来发生的网络攻击、蠕虫病毒造成的网络瘫痪，数据劫持导致的数据泄露、修改等事件层出不穷；另外，医院内部各种医疗设备联网较多，风险系数极高。可通过设备准入认证和东西向流量安全防护，为网络提供必要的安全策略，避免数据修改和泄露，防止网络攻击引起的网络瘫痪。

3医疗移动数据终端的应用

通过以上医院网络建设的解决方案，旨在构建一个安全的医院信息网络基础，以适应移动医疗的发展，逐步应用医疗移动数据终端。本文在移动数据终端方面也进行了相关探索，在保障网络信息安全的同时加强其临床应用。

3.1移动数据终端基础功能

3.1.1指纹采集

整合指纹采集模块的移动数据终端可以用于对安全性要求较高的业务，如工作人员考勤、医疗保险身份认证等。

3.1.2 4G/5G

支持4G/5G功能的移动数据终端可以通过无线数据通信方式与数据库直接进行高效、准确、即时、稳定的数据交换，适用于对数据实时性要求很高的业务。

3.1.3身份识别

鉴于一些特殊行业有身份识别方面的需求，有些移动数据终端还会搭载身份证模块，可以进行方便快捷的身份认证。

3.1.4支持Wi-Fi

带有Wi-Fi功能的移动数据终端可以通过Wi-Fi无线信号进行快速便捷的数据传输，适用于室内或特定区域作业场景。

3.2移动数据终端特性

3.2.1轻便易携带

设备具备轻便易携带、操作简单特性，方便医务人员进行移动作业，帮助有效快速地解决如查房、检测等工作问题。

3.2.2性能稳定

性能稳定是医疗作业对手持终端设备的基本性能要求，以保证医务工作不受终端设备的影响。

3.2.3持久续航

搭载大容量电池，能长时间持续运转，满足医院工作项目多、任务繁重、对设备电池续航性挑战大的工作需求。

3.2.4高效的数据传输

可通过主流数据通信方式如蓝牙、Wi-Fi等实现信息的即时.准确传输，确保工作流程数据透明、信息通畅。

3.3医疗移动数据终端的应用场景

移动数据终端在医疗行业可应用在移动查房、档案管理、设备管理、药品监管等场景，实现医院智能化作业与管理。医务人员可以使用医疗移动数据终端进行人院管理、医嘱执行、体征采集、疫苗追溯、药品追溯、SPD物资管理、药店连锁仓库物流分拣、药店连锁门店管理、信息查询、血袋管理、样本采集、配药管理、实验室管理、贵重仪器追踪、库房盘点、医疗废物管理、实时沟通等医务工作。医疗移动数据终端还可以融合其他医疗业务，如电子白板、取号机、网上挂号预约等。

3.3.1移动查房场景

移动查房存在AP间、客观环境的多重干扰，是不能忽视的问题，通过采用同频组网RF虚拟化技术，将所有AP虚拟为一个大AP，来消除AP间的干扰，保障稳定的移动查房效果。护士可直接利用手持终端，在病房内直接利用移动终端录入病人现在体征信息、当前病况、查看历史用药和历史病况信息、查看体征变化信息；医生也可携带移动终端查房，随时调取患者的诊疗记录或病史等信息。

3.3.2移动护理场景

对医院病房区域进行无死角无线覆盖，要求无线网络稳定快速，满足院内护士移动护理需求，将各类移动终端与护理业务流程相结合，打破了护士传统的工作模式，审药、配药、治疗等环节实现移动化、条码化、共享化。其中，病房间的漫游切换效果、移动PDA的终端兼容性是决定最终用户体验的重要内容，是建设完成后重点考虑内容。身份识别功能特别针对医务人员随时对意识不清患者、急诊抢救、住院患者、无自主能力患者、语言交流障碍患者等不便交流的患者进行快速而准确的身份识别，确保标识对象的唯一性及正确性；医用推车可以辅助护士在病房中的巡查、给药等工作。

3.3.3资产管理场景

指纹采集功能可用于医疗保险的审查。每年社会医疗保险单位支出大额的医疗保险费用，医疗单位常会发现不同程度使用医疗保险骗保的情况。目前，社会保险的医疗费用支出主要在门诊和住院两个方面。指纹识别系统作为身份认证最简捷，方便的身份认证方法已广泛应用。将医保参保人本人的指纹采集到中心数据库，在进行门诊和住院结算时通过医疗保险指纹仪将本人的医保指纹和数据库中的指纹认证，以确认参保人是否其本人，从而达到防止身份冒用的目的，防止一张卡多人使用的情况发生，防止医疗保险金流失：移动定位系统可以对重要医疗设备进行定位追踪，防止医院资产丢失，更好管理重要资产设备。医院某些特别贵重的医疗设备有时会遭受偷窃之灾，因每天医院人员流动较大，设备管理人员管理难度较大，仅依靠人工进行资产管理显得力不从心，通过蓝牙资产管理解决方案便可快速解决以上问题，后台实时监控设备位置和还原历史轨迹，避免因人工失误而遗忘设备，提供了高效便捷的工作方式。

4结束语

对于医院网络而言，移动接入已成必然，需要满足实时实地网络设备自动化部署。同时，随着物联网应用的兴起，多网关部署带来了重复建设和高成本；另外，终端的不合規操作管控将是造成医院发生安全事故主要来源，由此出现外网访问频次增加，数据安全风险加大：恶意攻击和入侵事件频发，网络安全风险加大。为做好无线网络设备的管理工作，进而为人们提供稳定安全的网络体验，提供的管理方法最好是一种简单方便的方式，不但能减轻管理人员的工作压力，也能轻松地解决与无线网络相关的问题。为系统做好配置，选择正确的无线设备可以使管理工作变得简单便捷，只需在出现问题时直接维护和管理系统。在网络设备方面，需要相关人员加大对系统的稳定运行的重视程度，并做好系统内部各个部分的配合与兼容。在对网络设备进行选择的过程中，要根据实际情况选择较为完备的无线设备，并且要合理地分配流量，以满足用户的需求。通过维护医院无线网络安全与顺畅，可以实现移动终端兼容，真正实现医疗零漫游，在移动查房、无线护理等场景保证业务不中断、不妨碍医疗行为的执行：在保证无线网络的快速与稳定后，能够利用自动信道调节、智能射频、5G优先、无缝漫游、单用户流量管控、应用缓存等措施，有效提高用户的移动医疗体验：拥有安全的医疗网络，控制器内置防火墙功能，可以有效地对DOS攻击、泛洪攻击、ARP欺骗等攻击进行防御，保证无线网络平稳运行。

维护好移动医疗医院信息网络的安全，在智慧医疗基础网络建设中承担推动作用，可以更好地促进智慧医疗的发展，为社会提供更好的医疗服务。