【 摘 要 】 由于现代医疗技术的发展，医院对于其网络及业务系统的依赖性日渐增强，医院的网络安全直接关系到其业务的正常开展。本文通过分析医院网络可能存在的内在、外在安全隐患，对应提出在安全技术手段与管理制度上解决相关安全问题，形成一个体系化、相关联的安全架构，为医院的网络安全防护提供一种可行的解决方案。

　　【 关键词 】 医院；网络安全；安全防护

　　1 前言

　　随着医院信息化的不断发展，医院的HIS、CIS、RIS、LIS等信息系统大大提高了医疗水平与诊断准确性及效率，但是随着业务系统的逐渐扩展，对于网络的管理越来越复杂，而恶意软件的猖獗，对医院的网络造成了更多安全威胁，网络安全是一项动态工程，既需要技术手段，更需要人为配合，如何保障医院网络的健康运转行，已成为当前医院信息化建设过程中所需关注的重要事项之一。

　　2 医院信息化建设中存在的安全隐患

　　2.1 影响医院网络安全的技术因素

　　医院在进行信息化建设过程中，与其它局域网相同，涉及到基础链路、网络设备、存储设备、服务器、客户端、业务系统等多种元素。医院信息化水平的不断发展大大提高医院的治疗、服务水平，但是其网络安全问题也日益突出，如物理环境的安全性、操作系统的安全性、数据备份的安全性等问题，采取传统的防火墙与防病毒等被动式的防御措施已无法解决各个层面可能产生的安全问题，由此导致的重要数据损坏、丢失等问题，不仅影响了医院业务网络的正常运转，同时也威胁到了患者的隐私数据甚至生命安全，需要更全面的安全解决方案。

　　安全设备简单罗列，未规划一个整体的安全防御体系。医院在进行安全防范时，存在一定的思维误区，认为有了防火墙就可高枕无忧，关于网络的管理可做可不做，实际上防火墙仅是安全类产品中的之一，其功能存在一定的局限性，对于基于网络内部或旁路的攻击无法抵御，对基于内容的攻击也无法防范。IDS设备也是如此，仅可对存在的安全问题提供报警信息，并不能有效防御；数据库审计，虽可以记录到登录到数据库的用户所做的操作，可定位到操作的源IP地址，但是无法防止对数据的恶意操作者，如窃取、篡改等操作的具体医务人员，也即无法追究到最终的责任人。

　　安全措施操作复杂，且无关联性。如IP与MAC地址绑定，产生的问题之一是管理人员需要单独操作每台交换机，对其绑定信息进行逐条输入，工作量非常大，操作不便。问题之二是拥有网络基础知识的内部人员可轻松更改IP地址与MAC地址，导致绑定失效。再如医院主机上安全了杀毒软件，但是由于数量之多，且对各个主机的杀毒软件缺乏统一管理，对于病毒库是否更新、主机是否开启了杀毒软件都不得而知，操作系统的补丁更新也存在同样的问题。医院可能花费大量的人力、物力制定了大量的安全措施与手段，但是对其可操作性，相互之间的关联性未做评估，造成形同虚设。

　　2.2 影响医院网络安全的人为因素

　　无专门的网络管理部门，无法在出现问题时责任到人；未制定统一的医院信息系统建设的安全规范或标准；无强制性的安全检查、监督机制，且无第三方专业机构介入；无网络安全上岗人员资质认定标准，无定期的网络安全知识培训、宣传、考核制度。

　　由以上因素可能造成严重的安全问题，如医院内部的人员将个人电脑接入医院内部网络，可能会将携带的病毒感染至医院内网，影响业务系统的正常运行；或医院内部人员将业务网络的电脑接入至互联网，也可能将互联网上的木马、病毒传播至医院内网；医院内部人员利用职务之便，直接访问数据库窃取重要数据、篡改医患的数据数据，造成医院的重大经济损失。此外，黑客可利用电脑，非法接入医院的业务网络，发动攻击，由于医院与医保等社保网络是必须相联进行相应的数据验证，因此一旦被攻击，其后果可想而知。

　　3 医院信息化建设中的安全防护策略

　　医院网络安全构架见图1所示，通过管理与技术两方面对其安全性进行保障。

　　3.1 网络安全技术手段

　　3.1.1运行环境安全

　　物理环境是所有设备、业务系统运行的基础，因此它的安全性也是整个网络安全的基础。机房中旋转服务器或网络设备的机柜均上锁，并设专人保管钥匙。机房内安装专业视频监控设备，配备防雷、防静电、防尘装置。重要的网络设备安装UPS或提供双路供电；部分重要科室的汇聚层交换机应设计为互相冗余，避免因单点传输故障造成的业务中断，确保医院重要业务的不间断运行。医院网络基础建设中应采取VPN技术，防止外部网络未授权用户的非法访问。

　　3.1.2网络边界安全

　　安全隔离设备：用于实现医院内网与互联网的安全物理隔离，为各类威胁进入医院内网设置第一道屏障，同时可根据配置实现相应的安全数据交换。

　　下一代防火墙：用于对医院内部网络与外部网络通信内容的扫描，过滤来自互联网的攻击，如DOS攻击、Java、JavaScript侵入等，还可用于通过关闭不必要的端口增强安全性，禁止来自非法站点的访问，用以抵御不明通信，除了传统防火墙功能外，下一代防火墙还具备应用识别功能，包括识别普通应用与移动应用中包含的风险，识别应用中的用户信息，并具备主动防御功能。

　　入侵检测系统IDS：依照相应的安全策略库，监测网络与业务系统的通信情况，对不符合安全策略的可能入侵情况进行告警，并可与防火墙进行联动，阻断攻击事件，抵御主机资源免受来自内部或外部网络的攻击。

　　划分VLAN划分：用于划分不同科室的用户可访问的信息资源，避免医院内部网络遭受广播风暴，同时可降低工作人员的管理与维护负担。

期刊库（http://www.zgqkk.com），是一个专门从事期刊推广、投稿辅导的网站。
　　本站提供如何投稿辅导，寻求投稿辅导合作，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。

　　【免责声明】本文仅代表作者本人观点，与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。