童銘　肖青蘭

摘要：隨著醫(yī)院規(guī)模與業(yè)務(wù)的不斷擴大，醫(yī)院信息系統(tǒng)安全愈加得到關(guān)注，內(nèi)網(wǎng)安全管理問題也愈加凸顯。本文分析了醫(yī)院內(nèi)網(wǎng)面臨的安全問題，并提出控制管理的應(yīng)對策略，實現(xiàn)了醫(yī)院信息系統(tǒng)安全、穩(wěn)定運行。

關(guān)鍵詞：醫(yī)院內(nèi)網(wǎng)；安全問題；安全管理

Application of Intranet Security Management System in Hospital

TONG Ming，XIAO Qing-lan

（The 169th Hospital of the PLA，Hengyang 421002，Hunan，China）

Abstract：With the continuous expansion of hospital business， the security of hospital information system gets more attention. And Intranet security management problems have become increasingly prominent. This paper analyzes the security problems facing the hospital intranet and puts forward the countermeasures to control management，realizes the safe and stable operation of hospital information system.

Key words：Hospital intranet；Safety problem；Security management

網(wǎng)絡(luò)安全是醫(yī)院信息系統(tǒng)安全、穩(wěn)定運行的基礎(chǔ)，只有醫(yī)院信息系統(tǒng)安全、穩(wěn)定的運行，醫(yī)院的業(yè)務(wù)才能更好地開展，患者才能得到更好的救治[1]。為保證醫(yī)院信息系統(tǒng)（HIS）24h不間斷運行和醫(yī)療業(yè)務(wù)的網(wǎng)絡(luò)安全，多數(shù)醫(yī)院采用了醫(yī)院內(nèi)網(wǎng)與外部網(wǎng)絡(luò)（包括互聯(lián)網(wǎng)、軍隊綜合信息網(wǎng)、遠程醫(yī)學(xué)網(wǎng)）進行物理隔離，與醫(yī)保、農(nóng)合等專線網(wǎng)絡(luò)安裝防火墻和網(wǎng)閘進行隔離防護，從源頭上基本杜絕了病毒和攻擊的發(fā)生。然而根據(jù)調(diào)查，醫(yī)院信息系統(tǒng)的安全威脅往往不是來自于外部網(wǎng)絡(luò)，而是系統(tǒng)內(nèi)部。多數(shù)重要的安全設(shè)施都集中于機房和網(wǎng)絡(luò)入口處，來自內(nèi)部網(wǎng)絡(luò)計算機終端的安全威脅大大增加，醫(yī)院內(nèi)部網(wǎng)絡(luò)的安全站場已經(jīng)逐步由核心與主干的防護，轉(zhuǎn)向內(nèi)網(wǎng)終端的安全控制管理[2]。

1 醫(yī)院內(nèi)網(wǎng)面臨的主要安全問題

1.1移動存儲介質(zhì)的管理不規(guī)范 目前醫(yī)院計算機終端管理往往忽視了USB接口的使用，工作人員由于各種緣由要求開放部分科研、辦公計算機USB接口使用移動硬盤等移動存儲介質(zhì)直接從終端拷貝復(fù)制文件，內(nèi)部文件管理難以監(jiān)控，更無法控制移動存儲介質(zhì)攜帶的病毒、木馬、惡意代碼等入侵醫(yī)院局域網(wǎng)。

1.2內(nèi)網(wǎng)無統(tǒng)一認證系統(tǒng) 當前多數(shù)醫(yī)院部署DHCP服務(wù)器，終端通過DHCP服務(wù)器動態(tài)獲取IP地址，局域網(wǎng)信息位點分布較廣，在醫(yī)生護士工作站、病房、大廳均有部署，個人移動終端可以隨意接人內(nèi)網(wǎng)并獲取醫(yī)院合法的IP，從而獲取訪問醫(yī)院資源的權(quán)限。傳統(tǒng)的接人控制會在交換上設(shè)置MAC認證，控制終端的接入，但安全隱患依然存在，終端仍可以篡改為合法MAC，從而接人到醫(yī)院內(nèi)網(wǎng)[3]。

1.3終端操作系統(tǒng)的脆弱性 醫(yī)院當前計算機終端使用的操作系統(tǒng)多為Windows系統(tǒng)，由于醫(yī)院內(nèi)外網(wǎng)物理隔離，系統(tǒng)補丁不能及時更新，系統(tǒng)漏洞難以及時修復(fù)，而內(nèi)網(wǎng)的補丁升級和更新存在技術(shù)上的漏洞，計算機管理亦無法及時掌握內(nèi)網(wǎng)計算機的補丁安裝情況[4]，計算機操作系統(tǒng)存在較大的脆弱性。

1.4內(nèi)網(wǎng)遭遇病毒、ARP攻擊愈加頻繁 隨著醫(yī)院規(guī)模的擴大和信息化的快速發(fā)展，醫(yī)院內(nèi)部網(wǎng)絡(luò)的終端數(shù)也在不斷攀升，加之工作人員防范病毒的意識不強，內(nèi)網(wǎng)遭遇蠕蟲病毒、木馬、ARP攻擊愈加頻繁。雖然醫(yī)院內(nèi)網(wǎng)計算機終端部署安裝了病毒查殺軟件，但其病毒庫的更新不及時性，以及終端安全使用的不確定性，會導(dǎo)致部分查殺軟件失效，內(nèi)網(wǎng)防病毒體系難以形成，安全隱患不容忽視。

2 我院內(nèi)網(wǎng)安全體系的建設(shè)與實現(xiàn)

我院部署的內(nèi)網(wǎng)安全管理及補丁分發(fā)系統(tǒng)是由北京北信源軟件技術(shù)有限公司開發(fā)，構(gòu)建iNode客戶端、準人設(shè)備、第三方服務(wù)器、內(nèi)網(wǎng)安全服務(wù)器的整體構(gòu)架，完成了準人認證、安全評估、動態(tài)授權(quán)、行為審計、協(xié)助管理的安全體系，針對當前醫(yī)院內(nèi)網(wǎng)安全面臨的主要問題實現(xiàn)了安全高效的管理與控制。

2.1網(wǎng)絡(luò)終端接入管理 該系統(tǒng)基于802.1x協(xié)議的準入控制技術(shù)的安全準入管理控制，為內(nèi)網(wǎng)計算機終端的安全接入提供了保護屏障。接入內(nèi)網(wǎng)的計算機必須通過訪問“http：//內(nèi)網(wǎng)安全服務(wù)器IP/Vrveis”下載安裝VRVEDP客戶端程序并注冊成功，并符合必要的安全策略的前提下才被允許接入醫(yī)院內(nèi)部網(wǎng)絡(luò)。注冊客戶端時需要填寫計算機使用人的相關(guān)信息，如使用人、部門、電話、終端所在地、計算機類型等，進行實名化管理，以便發(fā)現(xiàn)問題是快速定位到事件源。接入端對MAC和IP地址進行固定管理，發(fā)現(xiàn)終端IP變更后根據(jù)策略恢復(fù)原有IP或阻斷聯(lián)網(wǎng)，同時禁止修改網(wǎng)關(guān)、禁用冗余網(wǎng)卡，杜絕違規(guī)接入、違規(guī)外聯(lián)。

2.2移動存儲介質(zhì)的管理 醫(yī)院工作人員在日常辦公當中不可避免的要用到U盤等移動存儲介質(zhì)，利用計算機USB接口給手機充電等行為，無意識的就將病毒帶入醫(yī)院內(nèi)網(wǎng)，威脅到內(nèi)網(wǎng)的安全。我院利用該系統(tǒng)移動存儲介質(zhì)接入認證管理，實現(xiàn)了移動存儲設(shè)備的訪問控制，對接入內(nèi)網(wǎng)的移動存儲設(shè)備進行加密注冊管理。這就要求醫(yī)院需要使用移動存儲設(shè)備的部門使用專門配置的移動存儲設(shè)備進行文件拷貝、數(shù)據(jù)交換等行為，且該專門的設(shè)備只能接入具有內(nèi)網(wǎng)接入認證的計算機，其他計算機等設(shè)備將不能識別。該系統(tǒng)還可對其數(shù)據(jù)交換行為進行審計管理，生成設(shè)備插拔、文件操作等詳細記錄，有效監(jiān)控移動介質(zhì)的使用。

2.3補丁及軟件自動分發(fā)管理 我們通常所提到的補丁類型包括“system”、“IE”、“應(yīng)用程序”三個選項。該系統(tǒng)通過補丁索引、補丁庫和策略將所需要的補丁自動下載、自動安裝到內(nèi)網(wǎng)終端并提示；向指定計算機終端分發(fā)文件或安裝軟件，分發(fā)時可設(shè)置補丁探測時間，運行參數(shù)及運行形式?；诜职l(fā)時間、補丁檢測周期等進行策略制訂，策略發(fā)送到注冊終端后，計算機終端自動檢測系統(tǒng)漏洞，統(tǒng)一執(zhí)行補丁應(yīng)用策略。

2.4終端殺毒軟件管理 我院內(nèi)網(wǎng)安裝部署了金山毒霸企業(yè)版殺毒軟件服務(wù)器，作為第三方服務(wù)器通過內(nèi)網(wǎng)接入認證。該系統(tǒng)可統(tǒng)一審計內(nèi)網(wǎng)計算機終端防病毒軟件的安裝和使用情況，檢測到未安裝防病毒程序時，強制性執(zhí)行自動安裝，亦可監(jiān)控終端防病毒軟件的安裝情況，并進行相應(yīng)的管理，如強行升級病毒庫、自動分發(fā)并自動執(zhí)行病毒專殺工具等。

2.5資產(chǎn)信息管理 包括硬件資產(chǎn)和軟件資產(chǎn)。該系統(tǒng)可自動收集計算機終端CPU、內(nèi)存、硬盤、主板、顯卡等所有硬件的詳細信息，以及終端IP地址、MAC地址和安裝的所有軟件信息，以供管理員在Web控制臺監(jiān)控與查詢。

3 應(yīng)用體會

通過內(nèi)網(wǎng)安全管理系統(tǒng)的應(yīng)用，有效地實現(xiàn)了醫(yī)院內(nèi)網(wǎng)的安全控制管理，解決了內(nèi)網(wǎng)終端的高效管理，大大的降低網(wǎng)絡(luò)維護人員的工作量，實現(xiàn)了醫(yī)院信息系統(tǒng)安全、穩(wěn)定運行。

參考文獻：

[1]朱彥華.淺談醫(yī)院網(wǎng)絡(luò)安全管理和監(jiān)測的實用措施[J].中國醫(yī)療設(shè)備，2010，12.

[2]趙峰等.軍隊醫(yī)院內(nèi)網(wǎng)安全管理系統(tǒng)的策略及應(yīng)用[J].醫(yī)療裝備，2013，9.

[3]朱偉健.構(gòu)建"安全高效"的醫(yī)院內(nèi)網(wǎng)終端管理系統(tǒng)[J].醫(yī)學(xué)信息，2013，26（4）.

[4]劉高建.淺議醫(yī)院計算機內(nèi)網(wǎng)安全與管理[J].網(wǎng)絡(luò)技術(shù)，2014，5.

編輯/倪冰冰