李文健 高勇

青島市膠州中心醫(yī)院信息科，山東膠州266300

淺談醫(yī)療單位如何安全應(yīng)用互聯(lián)網(wǎng)技術(shù)

李文健 高勇

青島市膠州中心醫(yī)院信息科，山東膠州266300

在互聯(lián)網(wǎng)信息化廣泛普及的今天，上下級(jí)公文的傳遞、醫(yī)院管理、醫(yī)藥技術(shù)信息、采購(gòu)招標(biāo)等醫(yī)院日常業(yè)務(wù)需要經(jīng)常與外界進(jìn)行數(shù)據(jù)交流。而屬于醫(yī)院內(nèi)部網(wǎng)絡(luò)的電子病案類系統(tǒng)數(shù)據(jù)及綜合性金融、管理類敏感數(shù)據(jù)，歷來(lái)都是做為行業(yè)內(nèi)部涉密信息需要妥善加以防護(hù)。本文著重探討如何安全、有效的在醫(yī)療單位內(nèi)部應(yīng)用互聯(lián)網(wǎng)信息技術(shù)。

醫(yī)療；信息技術(shù)；安全；網(wǎng)絡(luò)；互聯(lián)網(wǎng)

醫(yī)療行業(yè)信息化因其涉及到醫(yī)院電子病案系統(tǒng)數(shù)據(jù)及各類敏感金融、管理類數(shù)據(jù)，歷來(lái)都是做為行業(yè)內(nèi)涉密信息妥善加以防護(hù)。而在互聯(lián)網(wǎng)時(shí)代的今天，上下級(jí)公文的傳遞、醫(yī)院管理、醫(yī)藥技術(shù)信息、采購(gòu)招標(biāo)等醫(yī)院日常業(yè)務(wù)的需要又不可能閉關(guān)鎖國(guó)不與外界產(chǎn)生數(shù)據(jù)交互。如何安全、經(jīng)濟(jì)、快捷的應(yīng)用互聯(lián)網(wǎng)技術(shù)就承現(xiàn)出相互矛盾的態(tài)勢(shì)。

1 國(guó)內(nèi)醫(yī)療行業(yè)互聯(lián)網(wǎng)信息技術(shù)應(yīng)用現(xiàn)狀

就目前而言，國(guó)內(nèi)醫(yī)療行業(yè)普遍采取的是以下兩種方式應(yīng)用互聯(lián)網(wǎng)信息：

1．1采取內(nèi)外網(wǎng)物理隔離，各自使用一套單獨(dú)的網(wǎng)絡(luò)系統(tǒng)，獨(dú)立運(yùn)行，互不干擾

此種方法的優(yōu)點(diǎn)在于內(nèi)外網(wǎng)數(shù)據(jù)使用各自的核心交換機(jī)及各自的主干網(wǎng)絡(luò)獨(dú)立傳輸數(shù)據(jù)，沒(méi)有交匯點(diǎn)，不會(huì)對(duì)醫(yī)院內(nèi)部敏感數(shù)據(jù)造成泄密、黑客攻擊破壞、感染病毒等潛在危害；但缺點(diǎn)也是顯而易見的，獨(dú)立的兩套網(wǎng)絡(luò)系統(tǒng)造成了資金及技術(shù)資源的巨大浪費(fèi)。

1.2 內(nèi)外網(wǎng)采用路由器及交換機(jī)等網(wǎng)絡(luò)設(shè)備共同使用一套網(wǎng)絡(luò)系統(tǒng)，共享網(wǎng)絡(luò)資源

此種方法的優(yōu)點(diǎn)是經(jīng)濟(jì)、實(shí)惠，資源利用率高。但缺點(diǎn)則更為突出，在沒(méi)有針對(duì)性防護(hù)的前提下內(nèi)網(wǎng)系統(tǒng)非常容易遭到黑客、病毒、木馬程序等各類威脅的窺覬和破壞。就內(nèi)網(wǎng)應(yīng)用而言潛在危害同樣很大，內(nèi)網(wǎng)用戶為非法使用外網(wǎng)任意篡改IP地址從而影響到合法用戶的使用；客戶端電腦一旦感染病毒將通過(guò)服務(wù)器將病毒擴(kuò)散至全網(wǎng)導(dǎo)致大面積網(wǎng)絡(luò)癱瘓；工作時(shí)間私玩網(wǎng)游、看電影、炒股等行為將嚴(yán)重影響工作秩序。

2 應(yīng)用實(shí)例

通過(guò)參考部分國(guó)內(nèi)同行醫(yī)療單位信息化系統(tǒng)應(yīng)用案例及參加各類信息化安全講座培訓(xùn)，權(quán)衡各方面利弊后，我單位在2013年采取了通過(guò)應(yīng)用四級(jí)綜合防控手段實(shí)現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)資源共享平臺(tái)。

2.1 采用入侵防護(hù)系統(tǒng)（IPS）抵御來(lái)自互聯(lián)網(wǎng)的各類入侵及攻擊行為

將互聯(lián)網(wǎng)光纖使用路由器跳轉(zhuǎn)后接入IPS,對(duì)互聯(lián)網(wǎng)信息實(shí)行首次過(guò)濾，形成了網(wǎng)絡(luò)數(shù)據(jù)平臺(tái)的第一級(jí)防護(hù)。

入侵防護(hù)系統(tǒng)（IPS）能對(duì)目前已知網(wǎng)絡(luò)攻擊類型（如HTTP網(wǎng)頁(yè)攻擊、IIS、CGI遠(yuǎn)程攻擊等）及入侵模式作出相應(yīng)的防御處理，并在其危險(xiǎn)行為開始之前就將其進(jìn)程結(jié)束；同時(shí)根據(jù)往來(lái)IP地址、端口號(hào)、協(xié)議等實(shí)時(shí)狀態(tài)判斷數(shù)據(jù)流是否正常，是否有訪問(wèn)潛在不安全因素網(wǎng)址等行為，發(fā)現(xiàn)后即時(shí)進(jìn)行攔阻。在目前單位應(yīng)用中監(jiān)控到的攻擊類型里，以事件類型為“CGI_Access HTTP_IIS_ISAPI_.idq_訪問(wèn)”的低安全級(jí)別攻擊為最多，截止自2014年7月23日17時(shí)已發(fā)生1110多例。通過(guò)數(shù)據(jù)分析可以得出結(jié)論：IPS在單位運(yùn)行期間網(wǎng)絡(luò)環(huán)境得到了較高的安全保障。

2.2 采用網(wǎng)絡(luò)防火墻（硬件）防御來(lái)自互聯(lián)網(wǎng)的非法數(shù)據(jù)類型，與入侵防護(hù)系統(tǒng)(IPS)形成雙層防火墻技術(shù)共同抵御黑客入侵及在線掃描攻擊等非法網(wǎng)絡(luò)行為

入侵防護(hù)系統(tǒng)（IPS）通過(guò)網(wǎng)絡(luò)端口與防火墻形成級(jí)聯(lián)，部署在互聯(lián)網(wǎng)入口位置，實(shí)現(xiàn)雙層過(guò)濾，組成了網(wǎng)絡(luò)數(shù)據(jù)平臺(tái)的第二級(jí)防護(hù)。

計(jì)算機(jī)一旦連接網(wǎng)絡(luò)，計(jì)算機(jī)系統(tǒng)的安全性就顯得尤為重要，既要考慮網(wǎng)絡(luò)病毒的查殺，還得提防外部非法用戶的侵入，防火墻技術(shù)就成為網(wǎng)絡(luò)安全最重要的防范措施和手段。目前技術(shù)條件下，能夠有效保護(hù)網(wǎng)絡(luò)安全（內(nèi)部網(wǎng)絡(luò)安全和服務(wù)器安全）的措施就是設(shè)置雙層防火墻。防火墻限制不明身份人員對(duì)內(nèi)部網(wǎng)絡(luò)訪問(wèn)，同時(shí)也是對(duì)內(nèi)部用戶和外網(wǎng)連接進(jìn)行必要限制的一種安全設(shè)置。雙層過(guò)濾技術(shù)主要包括外部防火墻和內(nèi)部防火墻，外部防火墻的功能是過(guò)濾，內(nèi)部防火墻則可以確保內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)訪問(wèn)的安全。在內(nèi)、外部防火墻之間存在著一個(gè)獨(dú)立的空間區(qū)域，這一區(qū)域的存在為內(nèi)部網(wǎng)絡(luò)安全提供了保障。即使非法入侵者攻破了外部防火墻，由于這一區(qū)域的存在，他們也無(wú)法侵入到內(nèi)部網(wǎng)絡(luò)。所以將提供對(duì)外網(wǎng)絡(luò)訪問(wèn)的服務(wù)器放置在這一空間區(qū)域內(nèi)就能確保其安全性。當(dāng)客戶端工作時(shí)防火墻能對(duì)用戶網(wǎng)絡(luò)訪問(wèn)日志進(jìn)行記錄，計(jì)算機(jī)系統(tǒng)一旦發(fā)生異常，防火墻就能及時(shí)地進(jìn)行阻隔，從而防止用戶信息的泄露，并為用戶提供相關(guān)的信息記錄。選擇并安裝適當(dāng)?shù)姆阑饓δ軌蛴行У靥岣哂?jì)算機(jī)使用的安全性，控制不明身份人員對(duì)用戶信息的偷窺，降低網(wǎng)絡(luò)使用的危險(xiǎn)性，更好地保護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)使用的安全性[1]。

2.3 采用上網(wǎng)行為管理系統(tǒng)（硬件）對(duì)內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管控，限制各類非辦公軟件的使用，并對(duì)網(wǎng)絡(luò)流量資源進(jìn)行調(diào)配

經(jīng)過(guò)二次過(guò)濾的數(shù)據(jù)通過(guò)防火墻級(jí)聯(lián)至上網(wǎng)行為管理機(jī)，經(jīng)上網(wǎng)行為管理機(jī)的下行端口聯(lián)接至核心交換機(jī)就完成了網(wǎng)絡(luò)數(shù)據(jù)平臺(tái)的第三級(jí)硬件管控措施。

在使用上網(wǎng)行為管理系統(tǒng)之前，單位的互聯(lián)網(wǎng)使用一直處于粗放式管理模式。部分未授權(quán)職工通過(guò)掃描網(wǎng)絡(luò)IP地址的方式，使用筆記本電腦和更改辦公電腦IP地址達(dá)到非法上網(wǎng)的目的。由此造成的IP地址沖突時(shí)有發(fā)生，影響了合法用戶的使用；而上班時(shí)間玩網(wǎng)游、看電影、網(wǎng)購(gòu)、下載超大軟件等非正常上網(wǎng)行為則嚴(yán)重影響了單位的正常工作秩序。啟用上網(wǎng)行為管理系統(tǒng)之后針對(duì)上述問(wèn)題采取了綁定合法用戶電腦IP和設(shè)置用戶名、密碼驗(yàn)證上網(wǎng)的方式，杜絕了非授權(quán)用戶利用非法手段使用互聯(lián)網(wǎng)現(xiàn)象；通過(guò)配置用戶權(quán)限，限制了在線視頻、P2P下載、網(wǎng)購(gòu)、網(wǎng)游、炒股等明令禁止的網(wǎng)絡(luò)行為。以2014年7月23日為例，當(dāng)天單位全網(wǎng)內(nèi)共攔截到P2P行為433例、網(wǎng)絡(luò)流媒體134例、危險(xiǎn)行為0例、游戲應(yīng)用16例、股票交易及行情分析0例；對(duì)網(wǎng)絡(luò)流量的策略化管理，保證了網(wǎng)頁(yè)瀏覽、收發(fā)郵件、視頻會(huì)議等基礎(chǔ)應(yīng)用的網(wǎng)絡(luò)帶寬，規(guī)范了辦公人員的上網(wǎng)行為。在方便管理的同時(shí)保障了單位正常上網(wǎng)環(huán)境的暢通。

2.4 采用網(wǎng)絡(luò)版殺毒軟件對(duì)全院范圍內(nèi)客戶端電腦安裝病毒防護(hù)程序，及時(shí)查殺病毒，實(shí)時(shí)抵御病毒對(duì)網(wǎng)絡(luò)環(huán)境所帶來(lái)的威脅

網(wǎng)絡(luò)版殺毒軟件是整個(gè)數(shù)據(jù)資源平臺(tái)中的最后一個(gè)防護(hù)環(huán)節(jié)，選擇一個(gè)適用于本單位的網(wǎng)絡(luò)版殺毒軟件至關(guān)重要，它的正常運(yùn)行決定著作為系統(tǒng)中最末端的工作電腦的安全運(yùn)轉(zhuǎn)與否。

普通殺毒軟件最大的敗筆是將正在使用的工作軟件當(dāng)作病毒誤報(bào)誤殺，不僅不能保護(hù)客戶端的正常應(yīng)用，反而成了危害醫(yī)院正常工作的“元兇”。在征求了信息化管理軟件生產(chǎn)廠商的意見后單位決定選用一款處理策略相對(duì)比較溫和的病毒防護(hù)軟件。該殺毒軟件對(duì)感染了病毒的電腦采取先隔離審查再清除病毒的方式，對(duì)醫(yī)院等大型企事業(yè)單位敏感數(shù)據(jù)有良好的包容性，適用于醫(yī)院的工作環(huán)境需要。

配置好網(wǎng)絡(luò)版殺毒軟件服務(wù)器端設(shè)置及自動(dòng)查殺病毒的策略后，該殺毒軟件可自動(dòng)在線升級(jí)服務(wù)器端病毒知識(shí)庫(kù)并對(duì)客戶端進(jìn)行更新，同時(shí)根據(jù)預(yù)置策略喚醒客戶端對(duì)整機(jī)進(jìn)行查殺處理。在對(duì)最近一次的服務(wù)器日志例行分析中發(fā)現(xiàn)自2014年初至7月23日止，全院范圍內(nèi)發(fā)現(xiàn)病毒104種，共計(jì)40329個(gè)；通過(guò)預(yù)設(shè)掃描方式處理病毒1220個(gè)，實(shí)時(shí)掃描處理病毒39095個(gè)，而手工掃描處理的病毒數(shù)量?jī)H為14個(gè)；在隨后的全院范圍內(nèi)調(diào)查問(wèn)卷中也沒(méi)有發(fā)現(xiàn)漏殺、誤殺、殺毒不完全等現(xiàn)象。對(duì)正在使用的工作軟件普調(diào)中也沒(méi)有發(fā)現(xiàn)攔截報(bào)警等情況，這說(shuō)明目前在我單位的工作應(yīng)用中網(wǎng)絡(luò)版殺毒軟件已成功發(fā)揮了堡壘作用，自動(dòng)處理工作中的不安全因素已成為常態(tài)化運(yùn)行。

3 結(jié)語(yǔ)

通過(guò)應(yīng)用以上四級(jí)管控措施，本單位在利用前期投入的一套主干網(wǎng)資源的基礎(chǔ)上，縮減了對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重復(fù)投資，降低了用于維護(hù)網(wǎng)絡(luò)硬件和基礎(chǔ)設(shè)施方面的資金、人力、技術(shù)資源，提高了整體網(wǎng)絡(luò)資源的利用率，在保證網(wǎng)絡(luò)安全應(yīng)用的同時(shí)為單位節(jié)省出了大批的資金。而二網(wǎng)合一的數(shù)據(jù)平臺(tái)經(jīng)實(shí)際應(yīng)用的檢測(cè)原有的網(wǎng)絡(luò)傳輸速率并沒(méi)有受到明顯影響，完全可以勝任現(xiàn)有的醫(yī)院工作需要。

[1]馮洪玉.網(wǎng)絡(luò)普及背景下的計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題研究[J].煤炭技術(shù)雜志，2013，32（1）：235-236。

R197.4

A

1672-5654（2014）10（c）-0060-02

2014-08-20）

李文健（1977-），男，山東濰坊，大學(xué)本科，助理工程師，電腦軟硬件、網(wǎng)絡(luò)維護(hù)及使用。