摘要：自從歷史進(jìn)入21世紀(jì)以來，我國的各行各業(yè)紛紛在計算機技術(shù)與網(wǎng)絡(luò)技術(shù)的支持之下進(jìn)入到了一個信息化的時代。該文即從信息化帶給我國醫(yī)療事業(yè)的改變?nèi)胧?，對于目前凸顯的網(wǎng)絡(luò)安全問題及其威脅因素進(jìn)行了較為細(xì)致的分析，并針對來自網(wǎng)絡(luò)的安全威脅提出了具體的防范措施。

關(guān)鍵詞：網(wǎng)絡(luò)安全；醫(yī)院信息系統(tǒng)；分析與防范

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）16-3696-02

網(wǎng)絡(luò)安全即指以保障計算機系統(tǒng)及其網(wǎng)絡(luò)在不受破壞與影響的情況下不間斷運行為前提，以計算機技術(shù)與網(wǎng)絡(luò)技術(shù)為手段，以計算機科學(xué)、IT安全技術(shù)、網(wǎng)絡(luò)技術(shù)、密碼驗證技術(shù)、數(shù)學(xué)等為支撐的一門綜合了多學(xué)科知識與技能的新興的交叉學(xué)科。網(wǎng)絡(luò)安全不僅涉及了計算機的軟硬件技術(shù)，而且涉及到了網(wǎng)絡(luò)高級技術(shù)，比如復(fù)雜網(wǎng)絡(luò)、拓?fù)洹⒕W(wǎng)絡(luò)存取權(quán)限與驗證、網(wǎng)絡(luò)議協(xié)安全等。還涉及到了數(shù)據(jù)庫技術(shù)、防病毒技術(shù)、防入侵技術(shù)等諸多領(lǐng)域及內(nèi)容。對于醫(yī)療機構(gòu)而言，網(wǎng)絡(luò)安全尤為重要，因為網(wǎng)絡(luò)安全涉及到病患的人身安危問題，哪怕只是數(shù)秒鐘的網(wǎng)絡(luò)中斷對于醫(yī)院也是無法想象的。醫(yī)院信息系統(tǒng)在正常運行以后，通過醫(yī)院的門診進(jìn)入醫(yī)院中的病患就會源源不斷，這些病患在醫(yī)院中的所有部門中都要進(jìn)行信息交換，一旦醫(yī)院信息系統(tǒng)中斷則所有的信息交換都會被中斷，醫(yī)院就會陷于“停業(yè)”狀態(tài)。

1 醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全影響因素分析

1.1 醫(yī)院內(nèi)部因素分析

1.1.1 網(wǎng)絡(luò)設(shè)備影響因素分析

網(wǎng)絡(luò)設(shè)備是醫(yī)院信息系統(tǒng)的信息交換通道，對于整個醫(yī)院信息系統(tǒng)至關(guān)重要，網(wǎng)絡(luò)設(shè)備的帶寬、工作效率、質(zhì)量對于網(wǎng)絡(luò)安全有著巨大的影響。網(wǎng)絡(luò)交換設(shè)備既包括網(wǎng)絡(luò)路由設(shè)備、交換設(shè)備，亦包括網(wǎng)絡(luò)線路。我國的許多醫(yī)院都存在著卡機或反應(yīng)遲鈍的現(xiàn)象，這種情況其實與網(wǎng)絡(luò)設(shè)備的關(guān)系較大，由于目前智能大廈的理念已經(jīng)深入人心，醫(yī)院的基礎(chǔ)設(shè)施建設(shè)在建筑施工階段即告完成，但是，我國目前的智能大廈中敷設(shè)的線路普遍達(dá)不到設(shè)計標(biāo)準(zhǔn)，降類降等的現(xiàn)象普遍存在，另外，目前網(wǎng)絡(luò)交換市場良莠不齊，某些耳熟能詳?shù)钠放?，比如tip-link等生產(chǎn)的網(wǎng)絡(luò)設(shè)備質(zhì)量較差，這些因素都極大地影響了整個醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全。

1.1.2醫(yī)院信息系統(tǒng)軟件影響因素分析

任何信息系統(tǒng)不僅需要硬件設(shè)備支撐其運行，還必須為硬件設(shè)備賦予“靈魂”——軟件才能完美地實現(xiàn)信息交換。由于我國目前尚未形成強制性的軟件系統(tǒng)國家級標(biāo)準(zhǔn)，因此，各類軟件制作公司甚至小到數(shù)人的公司比比皆是，軟件的制作水平差別較大。某些軟件本身就存在著極為危險的漏洞，比如，某些軟件公司為了開發(fā)方便，在開發(fā)時數(shù)據(jù)庫、網(wǎng)絡(luò)通通不使用密碼，這樣，在交付給用戶使用時，軟件的安全漏洞就給整個信息系統(tǒng)埋下了安全隱患。此外，我國百分之九十以上的醫(yī)院采用的是微軟公司的windows桌面系統(tǒng)，這種桌面系統(tǒng)自其誕生之日起即漏洞百出，安全事故不斷，非常容易受到來自網(wǎng)絡(luò)的病毒、人為因素、甚至其系統(tǒng)本身的損害。

1.1.3操作因素影響分析

雖然軟件系統(tǒng)與操作系統(tǒng)的安全性越來越好，但是，操作的安全性問題依然較為嚴(yán)重，并將長期存在下去。誤操作主要是由于管理人員或操作人員的安全意識淡漠造成的。通常醫(yī)院信息系統(tǒng)的用戶名與密碼都設(shè)置的較為簡單，許多操作者疏于保護自己的密碼，甚至好多人共用一個操作帳號，這就給系統(tǒng)的整體網(wǎng)絡(luò)安全性帶來了嚴(yán)重問題，有時出現(xiàn)數(shù)據(jù)不一致，數(shù)據(jù)誤刪、誤改，但是卻無法確定具體的責(zé)任人。這不但是管理人員管理不到位，而且也是具體的操作者的責(zé)任意識、嚴(yán)謹(jǐn)性較差所致。操作引起的網(wǎng)絡(luò)安全因素在很大程度上是可以避免的，而且也是應(yīng)該避免的。此外，某些醫(yī)院信息系統(tǒng)的軟件設(shè)計的不完善也給由操作因素引發(fā)不安全因素帶來了方便，比如，機房的系統(tǒng)管理員可以打開任何數(shù)據(jù)庫系統(tǒng)表，當(dāng)然也就可以打開用戶名與密碼表，這樣就造成了用戶名與密碼的泄露。

1.2 外部因素

1.2.1 網(wǎng)絡(luò)設(shè)備工作環(huán)境影響因素分析

一方面醫(yī)院的業(yè)務(wù)要求信息系統(tǒng)必須7X24不間斷地運行，一方面網(wǎng)絡(luò)設(shè)備本身卻對工作環(huán)境有著較為嚴(yán)苛的要求，尤其是對于電源的工作電壓要求較高，同時環(huán)境的溫、濕度以及潔凈度都會對網(wǎng)絡(luò)設(shè)備產(chǎn)生影響。此外，自然因素，比如雷電、強磁、頻繁的靜電、鼠害等也會對網(wǎng)絡(luò)設(shè)備造成嚴(yán)重的影響。因此，在網(wǎng)絡(luò)建設(shè)的過程中必須對這些因素的危害性予以高度的重視。

1.2.2計算機病毒的影響因素分析

與計算機相伴而生的計算機病毒，在初期只是一些技術(shù)人員對計算機性能的測試或?qū)δ承┕δ艿奶剿餍試L試，但是，發(fā)展到后來，計算機病毒就變成了可以使得計算機或整個網(wǎng)絡(luò)癱瘓的真正意義上的“病毒”。在互聯(lián)網(wǎng)這樣的所有網(wǎng)絡(luò)之間都可以自由聯(lián)通的“大局域網(wǎng)”中，任何一種病毒都可以無障礙地到達(dá)任何一個沒有保護的計算機系統(tǒng)或計算機網(wǎng)絡(luò)之中，計算機網(wǎng)絡(luò)受到威脅與感染的機率大增。而且病毒“寄居”的方式也由“傳統(tǒng)式”地寄居或bound于可執(zhí)行程序轉(zhuǎn)變?yōu)椤芭狭恕备鞣N形式的偽裝，有的偽裝成圖片文件，有的偽裝成文件名特別吸引人的壓縮文件，有的甚至“寄居”于word等文本文件中以“宏”的形式存在。這些文件可以在用戶打開不安全的網(wǎng)頁鏈接、接收電子郵件、下載程序、復(fù)制資料等過程中進(jìn)行傳播，其中危害較大的就是網(wǎng)絡(luò)的傳播方式與U盤的傳播方式，U盤的傳播方式會在被感染的U盤中生成自啟動文件，只要U盤插入任何一臺計算機，病毒都會優(yōu)先啟動并對該機算機進(jìn)行感染，以后任何U盤只要插入該算機即被感染，傳播極為迅速，這樣的U盤只要插入醫(yī)院的信息網(wǎng)絡(luò)，那么醫(yī)院的整個網(wǎng)絡(luò)都將被感染。而且最為可怕的是隨著網(wǎng)絡(luò)速度的越來越快，病毒的網(wǎng)絡(luò)安裝與更新也更為方便，一旦被感染也更難以清除，目前的所有殺毒防毒軟件公司都沒有較好的“主動式”解決方案，只能是發(fā)現(xiàn)了一種病毒以后，“被動地”研究解決方案予以“查殺”，且查殺的基礎(chǔ)是建立龐大的“已知病毒信息庫”。

1.2.3 黑客入侵

相對于病毒的“自動化”入侵系統(tǒng)，黑客的“純手工式”人工的方法入侵系統(tǒng)的破壞程度就要嚴(yán)重得多，因為黑客知道他們想要什么，他們會在系統(tǒng)中獲取可資利用的對他們有用的或可以牟利的信息，當(dāng)他們獲取了足夠的信息之后還要對系統(tǒng)進(jìn)行他們“喜歡的方式”的某些改動，使得系統(tǒng)變得不正常，輕則影響工作，重則整個網(wǎng)絡(luò)系統(tǒng)完全癱瘓。任何操作系統(tǒng)都存在著漏洞，就好比任何發(fā)動機都存在著缺陷一樣，尤其是我國許多醫(yī)院在使用的windows系統(tǒng)漏洞更是數(shù)千計，網(wǎng)絡(luò)系統(tǒng)管理人員的隨便一個小小的疏忽對于黑客而言都是“大大的漏洞”。黑客們會抓住計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、軟件本身的漏洞對系統(tǒng)進(jìn)行入侵或發(fā)起攻擊。方法形形色色，手段不一而足。

2 醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全防范

2.1網(wǎng)絡(luò)安全防范首先要關(guān)注網(wǎng)絡(luò)系統(tǒng)的內(nèi)部管理

網(wǎng)絡(luò)內(nèi)部的安全管理工作可以消除百分之九十以上的安全風(fēng)險，任何一個網(wǎng)絡(luò)系統(tǒng)都是較為復(fù)雜的系統(tǒng)化工程，這個系統(tǒng)中的任何一方面的問題都會給整個系統(tǒng)帶來不可預(yù)知的安全風(fēng)險，比如網(wǎng)絡(luò)的硬件設(shè)備必須穩(wěn)定、可靠、高效，可以遠(yuǎn)程升級，但是，我國的許多醫(yī)院都會過于注重投資的額度，而在網(wǎng)絡(luò)設(shè)備上壓縮投資使用一些雖然市面上較為常見但是品質(zhì)卻較為低劣的產(chǎn)品。這就給整個網(wǎng)絡(luò)系統(tǒng)帶來了隱患。正確的做法是網(wǎng)絡(luò)安全防范的管理工作要從網(wǎng)絡(luò)的基礎(chǔ)硬件設(shè)施抓起，認(rèn)真研究、詳細(xì)設(shè)計，必須選擇最為穩(wěn)定、可靠的網(wǎng)絡(luò)產(chǎn)品，對于業(yè)務(wù)不容間斷的醫(yī)療機構(gòu)而言，這一點尤為重要。核心服務(wù)器也必須選擇集群式，即一整個集群提供一種服務(wù)，其中的任何一臺計算機出現(xiàn)問題沒有關(guān)系，其他的計算機會繼續(xù)為客戶機或終端提供不間斷的服務(wù)。為避免整個集群的“集體失效”必須為整個服務(wù)器集群提供全套的雙線輸入、雙電源提電等安全措施以保服務(wù)器的萬全。如果使用windows系統(tǒng)則系統(tǒng)管理員必須及時關(guān)注最新消息，及時為醫(yī)院內(nèi)的所有計算機打好最新補丁以封堵住可能的被入侵的漏洞。內(nèi)部操作人員必須做到一人一個用戶名，一人一個不同的密碼，這樣才能做到責(zé)任分明，還可以防止別有用心的人用別人的用戶名與密碼對系統(tǒng)造成傷害。

2.2網(wǎng)絡(luò)安全防范必須禁絕外來入侵、攻擊與威脅

在關(guān)注內(nèi)部安全的同時還必須打開視野對外來的入侵與威脅充分考慮全面防治。首先，整個系統(tǒng)如果需要對外開放，則系統(tǒng)的最前端必須設(shè)置軟件防火墻與硬件防火墻，建立雙防火機制，硬件防火墻的好處是可以在攻擊未到達(dá)系統(tǒng)網(wǎng)絡(luò)之前drop掉絕大多數(shù)的DoS、ICMP-FLOOD、UDP-FLOOD、TCP-SYN-FLOOD攻擊以及來自互聯(lián)網(wǎng)的ping與端口探測等。軟件防火墻則可以更進(jìn)一步地根據(jù)入侵的重要部位與重要端口加在保護。一個防止外來入侵的基本原則就是不但要進(jìn)行IP地址過濾而且同時還要進(jìn)行域名過濾與MAC地過濾，在建立過濾規(guī)則時可以先全部過濾，然后一條一條放開規(guī)則，這樣才能打造出最安全的防火墻。而不是一下子就全部開放，然后發(fā)現(xiàn)一個可疑IP再進(jìn)行封禁。雙重的防火墻設(shè)計還不足以將全部黑客拒之門外，還要在防火墻的內(nèi)側(cè)靠近內(nèi)部網(wǎng)絡(luò)的位置設(shè)立DMZ將黑客的攻擊引至這臺虛擬的主機之中以保護其后側(cè)的真正的網(wǎng)絡(luò)與網(wǎng)絡(luò)主機的安全，同時還可以將黑客的攻擊信息予以捕獲。目前的軟硬件雙重防火墻基本可以抵御幾乎全部的來自于網(wǎng)絡(luò)的攻擊，但是對于那些掌控了互聯(lián)網(wǎng)上數(shù)以百計服務(wù)器與數(shù)是千兆帶寬的黑客，這樣的防火墻不堪一擊，因此，最好的防火墻就是僅對熟悉的網(wǎng)絡(luò)IP、MAC地址、域名開放一步一步有限開放，這樣就可以將絕大多數(shù)攻擊擋在防火墻之外。黑客的入侵都必須通過某一開放的系統(tǒng)端口進(jìn)行連接，因此，為防范黑客的入侵就必須實行動態(tài)端口機制，即平時默認(rèn)不開放任何不必要的端口，遠(yuǎn)程端口只在必要時通過系統(tǒng)內(nèi)部的程序進(jìn)行開放，在遠(yuǎn)程管理之后隨時關(guān)閉。這樣就可以杜絕大部分的基于端口的入侵。消除來自外網(wǎng)的威脅的最好的防范措施則是在開放時打開對外的通道，在連接結(jié)束以后立即實現(xiàn)物理上的不連，物理不連接才是徹底防范黑客入侵的最后的殺手锏。

3 總結(jié)

任何網(wǎng)絡(luò)系統(tǒng)都不是百分百的安全，因此，做為像醫(yī)院這樣對網(wǎng)絡(luò)安全要求較高的單位必須選擇能夠為了萬分之一的漏洞盡百分百努力的網(wǎng)絡(luò)安全員與系統(tǒng)管理員。并且醫(yī)院的高層必須把網(wǎng)絡(luò)安全當(dāng)成一件大事狠抓不懈，只要有百分之一的漏洞都可能造成百分百的網(wǎng)絡(luò)安全事故。網(wǎng)絡(luò)安全是一項動態(tài)的、艱苦的、長期的、系統(tǒng)的工作，網(wǎng)絡(luò)系統(tǒng)安全員與網(wǎng)絡(luò)系統(tǒng)管理員們亦應(yīng)根據(jù)國際網(wǎng)絡(luò)安全形勢的變化及時更新防范思路，建立安全應(yīng)急機制，快速響應(yīng)、快速反應(yīng)、快速處置以保證系統(tǒng)的絕對安全。

參考文獻(xiàn)：

[1] 苗元青，劉鯤，辛海燕. 醫(yī)院信息化網(wǎng)絡(luò)工作站的安全管理[J] .中國醫(yī)療設(shè)備， 2008 （23） .

[2] 王珂琦.醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的安全措施[J] .中國科技信息， 2008 （13） .

[3] 周文杰. 醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全[J] .中國醫(yī)療設(shè)備， 2008 （23） .

[4] 高紅梅，白穎， 趙移畛.怎樣實現(xiàn)醫(yī)院網(wǎng)絡(luò)安全保障[J] .中醫(yī)藥管理雜志， 2008（12）.