序論：好文章的創作是一個不斷探索和完善的過程，我們為您推薦十篇醫院網絡安全培訓范例，希望它們能助您一臂之力，提升您的閱讀品質，帶來更深刻的閱讀感受。

篇（1）

（一）概況：我院信息化建設起步晚，基礎薄弱。在院領導的重視支持下，自2013年開始信息化建設得以快速發展。目前醫院設立單獨中心機房，配備有服務器、存儲、核心交換機、防火墻、UPS、VPN、IPS等專用設備。工作人員為4人，負責全院信息網絡建設，信息系統維護、軟硬件設備維護等工作。相繼建設運行的系統有:HIS系統、LIS系統、體檢系統、電子病歷等業務。

（二）關鍵信息基礎設施情況：我院關鍵信息基礎設施主要是業務類系統，負責全院醫療業務流程管理和質量管理、醫院日常辦公管理。醫院網站為托管模式，與我院內網完全分離，制定較為嚴格的管理及訪問規則，保證網站安全運行。

（三）醫院網絡安全主要工作情況：

（1）加強制度建設和培訓宣傳。我院近兩年完善了信息網絡管理及安全建設相關的管理制度、應急預案，制定了網絡及安全管理崗位職責、工作流程，開展了全員參與的信息網絡安全培訓，通過不斷的宣傳和督促，讓員工樹立信息網絡安全意識，主動參與網絡安全防護、防止信息泄露，確保醫院信息網絡運行安全。

（2）健全組織，強化責任。信息管理作為醫院管理的重要工作之一，院領導十分重視。醫院調整了信息化建設領導小組，由院長任組長，相關人員為成員。領導小組下設工作小組，由相關職能科室負責人、信息技術專業人員為成員。明確了包括醫院信息規劃、信息網絡建設、信息網絡安全、網絡應急、人員培訓等方面的職能職責。為了進一步落實各級主管部門強調加強網絡安全建設的要求，醫院成立了醫院網絡安全管理小組并明確責任。對照國家及上級有關部門的要求，不斷完善醫院信息網絡系統功能，不斷提升信息系統安全性與穩定性，滿足日益增加的信息網絡技術服務需求。

（3）加強信息科管理。科室內經常性對信息網絡安全工作加以強調，盡量安排人員參加每一次信息網絡安全知識培訓。落實機房中心設備定期巡查制度，及時排除隱患。信息科組織專人到科室開展信息網絡安全巡查，提醒和糾正員工在日常操作中不規范行為，減少隱患。對醫院重要數據庫數據采用每日備份，和定期拷貝備份的方式，確保數據安全。

（4）多種防護措施保證信息網絡安全。一是業務用局域網與互聯網物理隔離。同時連接的有醫保專網、新農和專網，與互聯網一樣通過防火墻設備進入。二是訪問公網的計算機均為固定IP，并綁定計算機，且與內網隔離。防止外來計算機的進入，帶來安全隱患。財務管理軟件系統的計算機連接財政專網與內網完全隔離。三是今年購置了一臺新IPS設備，嚴把入口，局域內網分區域分段管理，限制訪問權限，避免病毒全網傳播。四是院內局域網中客戶端均實行域控管理，對客戶端系統安裝均為本科專人管理預防病毒感染和威脅。五是重點部位重點管理，機房不準無關人員進入，系統數據庫均設置復雜密碼，專人保管。六是定期監控局域網內計算機是否異常，通過限制局域網內計算機使用U盤來防止病毒在網內傳播。七是服務器區關閉非必須端口，提升防護能力。八是對辦公使用的外網計算機，安裝了免費防病毒軟件。

二、主要存在的問題

盡管采取了一定的防范措施和手段，我們依然感覺到網絡發展之快，和現實工作對網絡的依賴程度之高，給我們的網絡管理帶來了很大壓力，特別是隨著業務的擴展和增加，以及上級各部門的工作通過互聯網完成的趨勢要求，網絡及數據安全問題的壓力陡增。通過自查及整改后防護有所好轉，但仍然存在一些問題，主要表現在：

（一）隨著互聯網+醫療的推進，未來將會多系統通過互聯網進入，對醫院局域網將帶來很大威脅，存在一定的安全隱患。醫院的業務系統獨成一體，在醫院內部應用，通過內部局域網的管理和控制，基本可以保證安全與穩定。但隨著各部門要求醫院實時上報相關數據，雖然大部分專線來完成數據傳輸，但也有通過公共互聯網進行上報如網上預約、線上線下支付等，對醫院的管理和安全防護帶來壓力。醫院目前的安全防護設備相對較少，僅靠人力被動處理，抵御能力有限。

（二）信息安全需要一定經費投入，對醫院來說有壓力。醫院也通過購置相關設備對醫院的信息安全進行一定的管理，但這些設備需要不斷的更新，需要費用不斷投入，而且因為價格過高而沒有單獨購置主要系統（操作系統、數據庫系統、網絡殺毒）的正版軟件，對安全來說沒有保障。

（三）安全防護本身就是一個難題，涉及的點面較多，普通應用人員對網絡威脅的辨別能力和防范意識不高，也容易產生隱患。而目前醫院網絡管理專業技術人員缺乏也是安全防護隱患存在的一個因素。

三、下一步工作措施及建議

通過本次的自查，我們將進行下一步整改，通過對制度的完善，加強培訓，增購設備等，使我院信息網絡安全進一步強化。下一步我們仍然會對照各級部門對信息網絡安全的要求，利用有限的資金做好安全防護，逐步達到信息安全管理工作的各項要求。

（一）加強信息安全組織管理。完善信息管理組織的職能，堅持定期開展專題工作會議，安排部署信息網絡建設及安全等各項工作。巡查常態化，通過督促檢查，提升員工安全防護意識。

（二）根據實際落實和變化情況，修訂完善細化各類規章制度，通過網絡宣傳、現場指導培訓、集中培訓等多種方式提高大家在網絡環境中的安全意識。辨識虛擬環境中的不安全因素。

篇（2）

中圖分類號：R197.324 文獻標識碼：A 文章編號：1007-9416（2012）11-0197-01

隨著醫院信息系統的建設普及，我國大多數的醫院都建設了自己的網絡系統，這大大提升了醫院的計算機管理水平。醫院的信息系統如果出現問題或者癱瘓，不僅會對醫院的日常工作造成的嚴重影響，而且會對醫院形象，甚至醫院的服務質量造成巨大損失。因此，保證醫院信息系統的安全與穩定這項工作就顯得尤為重要，這是每家醫院都應該認真考慮和重視的問題。本文著重從加強醫院網絡安全方面入手，結合本院計算機網絡安全管理經驗，與大家共同探討。

1、醫院計算機網絡安全存在的問題

隨著醫院計算機網絡的全面應用，醫院計算機網絡安全方面存在的問題日益突出，網絡安全威脅既有來自意外事故、自然災害方面的因素，又有來自計算機病毒、黑客攻擊等人為的攻擊威脅。

1.1　計算機病毒、惡意程序的威脅日益嚴重

軟件漏洞：任何一個操作系統或者計算機軟件都不是無缺陷和沒有漏洞的。

病毒：威脅數據安全的最大敵人就是病毒，編制病毒者在程序中插入影響計算機軟硬件正常運行、破壞計算機功能或者數據的計算機指令或程序代碼，它能夠自我復制。所以它具有傳染性、隱蔽性、寄生性、破壞性等特點。安全配置不當：易造成安全漏洞。如防火墻配置不當，起不到任何作用。對特定的網絡應用程序，當它啟動時，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應用軟件也會被啟用。電腦黑客：利用系統中的漏洞非法進入他人系統。從某種意義上講，黑客對信息安全的危害比一般的電腦病毒顯得更為嚴重。

1.2　沒有明確的信息安全策略和健全的安全制度

一些醫院沒有對醫院計算機網絡安全防護提出嚴格的要求，沒有科學制定計算機網絡安全管理制度。很多醫院只對網絡安全產品的采購比較重視，而沒有系統的制定醫院計算機網絡安全的中長期規劃。對于醫院計算機網絡出現的一些新的網絡安全方面的問題，沒有及時進行防護策略調整。

1.3　信息安全意識性不高

從很多安全案例可以看出，有些醫院制定了網絡安全管理制度但是卻很難實施。醫院內部員工的計算機網絡安全意識缺乏和信息安全知識缺乏是網絡安全的一大隱患。

2、針對存在的問題可采取的措施

2.1　安全管理制度建設

（1）醫院內部的日常安全管理。要建立安全管理制度，完善現有的安全管理機制，要加強責任意識，對上外網科室加強綠色上網宣傳教育和網絡暢通與安全保密意識。制定網絡安全應急預案，并對醫務人員進行安全培訓，從而提高他們的安全防范意識和技能。（2）醫院內部的機構建設方面。要加強安全機構的建設，設立專門的領導小組，明確各人的工作職責，切實落實到每個人身上，要定期進行故障演練和安全排查。（3）安全預案的制定和應急故障演練。醫院設立的安全小組可人為制造出一些“計算機系統故障點”，由網絡工程師對故障進行分析，并提出相應的對策。最后，要依據醫院行業的信息特點和患者的容忍時間來對每次的故障演練作出評分總結，這樣可以提高醫院網絡安全工作人員的應急處理能力。

2.2　安全漏洞的掃描

漏洞掃描是自動檢測遠端或本地主機安全的技術，它查詢　TCP/IP各種服務的端口，并記錄目標主機的響應，收集關于某些特定項目的有用信息。這項技術的具體實現就是安全掃描程序。掃描程序可以在很短的時間內查出現存的安全脆弱點。

2.3　通過訪問控制、身份驗證策略

訪問控制是拒絕非授權用戶訪問網絡資源，同時又要保證授權用戶可以安全地訪問網絡資源。訪問控制是醫院內部網絡安全的重要決策，主要包括風險分析、控制類型、權限控制、數據標識、人員限制。身份驗證是訪問者向計算機網絡發送請求，計算機網絡對訪問者身份進行確認，也就是向計算機網絡表面身份的一種方法。一般有生物學特征點的身份驗證、公開密鑰的身份驗證、共享密鑰的身份驗證。無論是訪問控制還是身份驗證都是為了防止非法人員入侵，保證合法用戶能夠正常訪問網絡資源，也是保證和維護醫院計算機網絡安全的重要措施。

2.4　加強防火墻技術管理

防火墻技術是在網絡安全中是應用較普遍的，作用也是比較明顯的。它是一種對內外網通信強制實施訪問控制的安全應用措施。它對兩個或多個網絡之間傳輸的數據包按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。

防火墻是實現網絡安全最有效、最經濟、最基本的安全措施之一，可以不對原有醫院計算機網絡應用系統進行修改的情況下，符合安全要求。

2.5　對數據的備份

應在對數據進行備份之前，應該對每次備份的條件和環境進行系統考慮，制定出數據備份計劃，這就需要從多個方面入手：（1）數據備份的頻率要有計劃性；（2）將數據存儲的地址，也要做記錄；（3）執行數據備份的人員，也要有所記錄，還有出現意外，誰來負責等；（4）服務器多久備份一次也要明確。綜上所述，只針對聯網的計算機做安全防護是遠遠不夠的，種種舉措都要落實到位。我院信息安全工作人員為了防止病毒會定期對殺毒軟件進行升級更新。關鍵的是，要健全醫院的網絡安全管理制度，對醫院員工進行網絡安全知識的培訓。網絡環境中，加強醫院計算機信息系統需要在科學的指導原則和指導思想指導下，優化網絡系統建設結構，創新網絡技術，強化安全管理，從而保障信息系統的可靠性和安全性。

參考文獻

[1]李軍義.計算機網絡技術與應用[M].北方交通大學出版社，2006.7.

[2]蔡立軍.計算機網絡安全技術[M].北京：中國水利水電出版社，2005.

篇（3）

亨達集團先后被評為 “貴州省通信行業協會副理事長單位”、“貴州省通信體育協會副主席單位”，連續五年被省工商行政管理局評為“重信用、守合同”單位，并獲得“全國十佳誠信單位”稱號。目前已建成了集網絡信息安全監控、網絡攻防演練、信息安全培訓、軟件開發以及信息安全產品測評認證于一體的信息化綜合服務保障平臺。

亨達集團自2011年底取得等級保護測評資質以來，配合貴州省公安廳推進信息系統等級保護測評工作，開展了近百家單位共計500多個信息系統的安全等級保護測評，包括貴州省財政廳、貴州省統計局、貴州省交通廳、中國工商銀行貴州分行、中國建設銀行貴州分行、貴陽銀行、貴陽海關、貴州省農村商業銀行、遵義商行、貴州省人民醫院、貴州省腫瘤醫院、貴陽醫學院等各大單位重要信息系統。

篇（4）

隨著社會經濟的不斷發展和信息化技術的不斷進步，網絡為人們信息的獲取提供了便利，為世界不同區域的網民提供了足夠的信息資源、大量的空間和通暢的交流渠道。醫院在網絡安全建設中，由于技術力量薄弱、設備管理不完善等問題的存在，對醫院的網絡安全造成了很大的隱患。加強網絡安全管理已經成為各個醫院都面臨的問題，也是必須要解決的重要問題。本文對醫院網絡安全管理中存在的問題進行了分析，并且結合存在的問題開展調查研究，針對存在的問題提出了相應的解決措施，為醫院網絡安全管理提供了參考。

一、醫院計算機網絡存在的一些安全隱患

（一）需要進一步加強計算機安全防范機制

醫院的一些內部工作人員，在內網隨便使用可移動的存儲設備如硬盤光驅、軟驅、數碼相機等，這樣容易間接地與外網進行數據交換，容易導致機密數據、敏感信息的傳播與泄漏以及病毒的傳入。管理員在使用域策略時，為了方便，在相同域中的使用者之間可以進入對方的計算機，即使是機密文件也能夠訪問。一些計算機操作者有時會因一些事情急于去處理，匆忙中忘記鎖定自己的計算機，導致沒有關閉的保密文檔極易泄漏。

（二）計算機操作人員的操作不當

一些用戶缺乏安全意識，操作員也不按規程操作，這樣就很容易由于安全配置問題出現安全漏洞，用戶口令較簡單，用戶將自己的賬號公開都會對網絡安全造成一定的威脅。內部人員如果使用寬帶接入外網，外部的黑客能夠繞過防護屏障，非法外聯的計算機比較容易得到侵入，一些敏感信息就很容易被盜，造成泄密事件的發生，甚至內網的重要服務器也會得到攻擊，嚴重時還會引起整個內網的癱瘓。

（三）外部病毒的攻擊

醫院的網絡不可避免地要與外界網絡有連接，因為醫院和醫保中心有業務來往，所以也較易受到一些病毒攻擊。一部分病毒攻擊性較小，系統正常運行不會造成影響，但是有些高危險病毒，就會引起系統崩潰，高危險病毒可以再短時間內感染大量的機器，致使大量計算機不能正常工作，形成拒絕服務攻擊。終端上完全不受病毒干擾是很難做到的，但是可以盡量減少病毒攻擊。

二、加強計算機網絡安全的對策

（一）創建網絡安全管理機制

醫院領導班子對于網絡安全管理要引起足夠的重視，硬件設施要加強完備，加大資金投入力度，做到及時軟硬件進行更新。要加強網絡安全管理技術隊伍建設，認真選拔網絡應用技術熟練人員，不斷完善醫院網絡安全管理機制，堅持管理技術創新，進一步完善網絡安全管理規章制度，盡可能地減少網絡安全隱患。

（二）增強醫院員工的網絡安全教育

要對醫院內部員工進行網絡安全培訓，講解計算機病毒查殺、密碼設置注意事項、網絡攻擊造成的危害等，讓員工知道不要隨便打開來歷不明的電子郵件或者移動存儲設備也要先進行查殺病毒才能打開。進行密碼設置時要注意密碼強度，一旦密碼遭到破解就很容易受到損失。禁止使用U盤及其它移動存儲設備，一定要從根源上杜絕病毒的來源；禁止在網絡上共享文件，對違反規定的人員或科室，根據情況扣除獎金；對科室計算機的使用情況要進行不定期的檢查，以便及時發現問題并解決問題。醫護人員要積極學習網絡安全知識，一定要明白網絡安全教育是網絡操作人員責無旁貸的事情。

（三）增強醫院計算機病毒防范

隨著醫院網絡系統的日益壯大，計算機數量迅速增加，網絡的入侵問題也隨之突出。一旦計算機被黑客侵入，破壞性極強，損失嚴重。因此，認真做好對計算機病毒的防范。首先，要堵住病毒的源頭。網絡實現內外網物理分離外網病毒將很難進入內網，病毒進入內網是從接入內網的工作站為入口，然后病毒再侵入其它的工作站。其次，對于病毒的防范，仍應以殺毒軟件為基礎。對防治病毒采取以下方案：

1、分析出現的病毒，已知的并且可以控制的就可以殺毒，對于未知的病毒，我們可以上網查詢等方式查找解決辦法。

2、對于危害較大，又暫時無法消滅的病毒，將其進行格式化重裝。

3、引進一套內網安全防范軟件，以便對各客戶端進行及時監控，幫助解決網絡中存在的安全隱患。

（四）應用安全防范

要確保計算機網絡應用的安全，一要配備防病毒系統；二要做好數據備份工作，對重要數據信息進行安全備份是最保險的方法，一旦系統受到破壞，就可以采取數據恢復方式加以挽救；三是數據可以以加密的方式進行傳輸，從而實現數據在傳輸的過程中不會被竊取，以保證數據的安全，避免不必要的損失；四是加強對信息鑒別工作，采用信息鑒別技術，保障數據的完整性，VPN設備就提供了這種功能，對數據源身份進行認證確保信息的來源的真實性，是信息鑒別的一種有效手段，為了保障數據傳輸安全可以采取傳輸加密技術結合VPN設備，實現數據傳輸的可靠性、完整性、機密性。

三、結語

在醫院的信息化管理中，我們必須積極的采取各種手段，加強計算機網絡安全管理，建立高效、健全的防御體系，確保醫院計算機網絡安全。

參考文獻：

篇（5）

中國醫院信息化建設經過20多年的發展歷程目前已經進入了一個高速發展時期。據2007年衛生部統計信息中心對全國3765所醫院(其中：三級以上663家：三級以下31O2家)進行信息化現狀調查顯示，超過80％的醫院建立了信息系統…。隨著信息網絡規模的不斷擴大，醫療和管理工作對信息系統的依賴性會越來越強。信息系統所承載的信息和服務安全性越發顯得重要。

1、醫院信息安全現狀分析

隨著我們對信息安全的認識不斷深入，目前醫院信息安全建設存在諸多問題。

1．1信息安全策略不明確

醫院信息化工作的特殊性，對醫院信息安全提出了很高的要求。醫院信息安全建設是一個復雜的系統工程。有些醫院只注重各種網絡安全產品的采購沒有制定信息安全的中、長期規劃，沒有根據自己的信息安全目標制定符合醫院實際的安全管理策略，或者沒有根據網絡信息安全出現的一些新問題，及時調整醫院的信息安全策略。這些現象的出現，使醫院信息安全產品不能得到合理的配置和適當的優化，不能起到應有的作用。

1．2以計算機病毒、黑客攻擊等為代表的安全事件頻繁發生，危害日益嚴重

病毒泛濫、系統漏洞、黑客攻擊等諸多問題，已經直接影響到醫院的正常運營。目前，多數網絡安全事件都是由脆弱的用戶終端和“失控”的網絡使用行為引起的。在醫院網中，用戶終端不及時升級系統補丁和病毒庫的現象普遍存在；私設服務器、私自訪問外部網絡、濫用政府禁用軟件等行為也比比皆是。“失控”的用戶終端一旦接入網絡，就等于給潛在的安全威脅敞開了大門，使安全威脅在更大范圍內快速擴散。保證用戶終端的安全、阻止威脅入侵網絡，對用戶的網絡訪問行為進行有效的控制，是保證醫院網絡安全運行的前提，也是目前醫院網絡安全管理急需解決的問題。

1．3安全孤島現象嚴重

目前，在醫院網絡安全建設中網絡、應用系統防護上雖然采取了防火墻等安全產品和硬件冗余等安全措施，但安全產品之間無法實現聯動，安全信息無法挖掘，安全防護效果低，投資重復，存在一定程度的安全孤島現象。另外，安全產品部署不均衡，各個系統部署了多個安全產品，但在系統邊界存在安全空白，沒有形成縱深的安全防護。

1．4信息安全意識不強，安全制度不健全

從許多安全案例來看，很多醫院要么未制定安全管理制度，要么制定后卻得不到實施。醫院內部員工計算機知識特別是信息安全知識和意識的缺乏是醫院信息化的一大隱患。加強對員工安全知識的培訓刻不容緩。

2、醫院信息安全防范措施

醫院信息安全的任務是多方面的，根據當前信息安全的現狀，醫院信息安全應該是安全策略、安全技術和安全管理的完美結合。

2．1安全策略

醫院信息系統～旦投入運行，其數據安全問題就成為系統能否持續正常運行的關鍵。作為一個聯機事務系統，一些大中型醫院要求每天二十四小時不問斷運行，如門診掛號、收費、檢驗等系統，不能有太長時間的中斷，也絕對不允許數據丟失，稍有不慎就會造成災難性后果和巨大損失醫院信息系統在醫院各部門的應用，使得各類信息越來越集中，構成醫院的數據、信息中心，如何合理分配訪問權限，控制信息泄露以及惡意的破壞等信息的訪問控制尤其重要：PACS系統的應用以及電子病歷的應用，使得醫學數據量急劇膨脹，數據多樣化，以及數據安全性、實時性的要求越來越高，要求醫院信息系統(HIS)必須具有高可用性，完備可靠的數據存儲、備份。醫院要根據自身網絡的實際情況確定安全管理等級和安全管理范圍，制訂有關網絡操作使用規程和人員出入機房管理制度，制定網絡系統的維護制度和應急措施等，建立適合自身的網絡安全管理策略。網絡信息安全是一個整體的問題，需要從管理與技術相結合的高度，制定與時俱進的整體管理策略，并切實認真地實施這些策略，才能達到提高網絡信息系統安全性的目的。

在網絡安全實施的策略及步驟上應遵循輪回機制考慮以下五個方面的內容：制定統一的安全策略、購買相應的安全產品實施安全保護、監控網絡安全狀況(遇攻擊時可采取安全措施)、主動測試網絡安全隱患、生成網絡安全總體報告并改善安全策略。

2．2安全管理

從安全管理上，建立和完善安全管理規范和機制，切實加強和落實安全管理制度，加強安全培訓，增強醫務人員的安全防范意識以及制定網絡安全應急方案等。

2．2．1安全機構建設。設立專門的信息安全領導小組，明確主要領導、分管領導和信息科的相應責任職責，嚴格落實信息管理責任l。領導小組應不定期的組織信息安全檢查和應急安全演練。

2．2．2安全隊伍建設。通過引進、培訓等渠道，建設一支高水平、穩定的安全管理隊伍，是醫院信息系統能夠正常運行的保證。

2．2．3安全制度建設。建立一整套切實可行的安全制度，包括：物理安全、系統與數據安全、網絡安全、應用安全、運行安全和信息安全等各方面的規章制度，確保醫療工作有序進行。

2．2．4應急預案的制定與應急演練

依據醫院業務特點，以病人的容忍時間為衡量指標，建立不同層面、不同深度的應急演練。定期人為制造“故障點”，進行在線的技術性的分段應急演練和集中應急演練。同時信息科定期召開“系統安全分析會”。從技術層面上通過數據挖掘等手段，分析信息系統的歷史性能數據，預測信息系統的運轉趨勢，提前優化系統結構，從而降低信息系統出現故障的概率；另一方面，不斷總結信息系統既往故障和處理經驗，不斷調整技術安全策略和團隊應急處理能力，確保應急流程的時效性和可用性。不斷人為制造“故障點”不僅是對技術架構成熟度的考驗，而且還促進全員熟悉應急流程，提高應急處理能力，實現了技術和非技術的完美結合。

2．3安全技術

從安全技術實施上，要進行全面的安全漏洞檢測和分析，針對檢測和分析的結果制定防范措施和完整的解決方案。

2．3．1冗余技術

醫院信息網絡由于運行整個醫院的業務系統，需要保證網絡的正常運行，不因網絡的故障或變化引起醫院業務的瞬間質量惡化甚至內部業務系統的中斷。網絡作為數據處理及轉發中心，應充分考慮可靠性。網絡的可靠性通過冗余技術實現，包括電源冗余、處理器冗余、模塊冗余、設備冗余、鏈路冗余等技術。

2．3．2建立安全的數據中心

醫療系統的數據類型豐富，在不斷的對數據進行讀取和存儲的同時，也帶來了數據丟失，數據被非法調用，數據遭惡意破壞等安全隱患。為了保證系統數據的安全，建立安全可靠的數據中心，能夠很有效的杜絕安全隱患，加強醫療系統的數據安全等級，保證各個醫療系統的健康運轉，確保病患的及時信息交互。融合的醫療系統數據中心包括了數據交換、安全防護、數據庫、存儲、服務器集群、災難備份／恢復，遠程優化等各個組件。

2．3．3加強客戶機管理

醫院信息的特點是分散處理、高度共享，用戶涉及醫生、護士、醫技人員和行政管理人員，因此需要制定一套統一且便于管理的客戶機管理方案。通過設定不同的訪問權限，加強網絡訪問控制的安全措施，控制用戶對特定數據的訪問，使每個用戶在整個系統中具有唯一的帳號，限定各用戶一定級別的訪問權限，如對系統盤符讀寫、光驅訪問、usb口的訪問、更改注冊表和控制面板的限制等。同時捆綁客戶機的IP與MAC地址以防用戶隨意更改IP地址和隨意更換網絡插口等惡意行為，檢查用戶終端是否安裝了信息安全部門規定的安全軟件、防病毒軟件以及漏洞補丁等，從而阻止非法用戶和非法軟件入網以確保只有符合安全策略規定的終端才能連入醫療網絡。

2．3．4安裝安全監控系統

安全監控系統可充分利用醫院現有的網絡和安全投資，隨時監控和記錄各個終端以及網絡設備的運行情況，識別、隔離被攻擊的組件。與此同時，它可以強化行為管理，對各種網絡行為和操作進行實施監控，保持醫院內部安全策略的符合性。

2．3．5物理隔離

篇（6）

關鍵字：企業網絡 醫院網絡 網絡安全 網絡體系 技術手段

Abstract：With the high-speed development of information science and technology， the network， offering the facility to people more and more， and also help the company to save a large number of manpower and material resources. But the trade company is undertaking the enormous risk while using the network to exchange with external world too. This text has introduced the reason of existing risk and countermeasure with the risk in enterprise's network. Have offered certain suggestion in online security for the trade company.

Keyword: Enterprise's network

Security of network

Network system

Technological means

前言：

隨著信息技術的高速發展，互聯網越來越被人們所重視，從農業到工業再到高科技產業各行各業都在使用互聯網參與行業生存與競爭。企業對網絡的依存度越來越高，網絡在企業中所處的位置也越來越重要，系統中存儲著維系企業生存與競爭的重要資產-------企業信息資源。但是，諸多因素威脅著計算機系統的正常運轉。如，自然災害、人員的誤操作等，不僅會造成系統信息丟失甚至完全癱瘓，而且會給企業造成無法估量的損失。因此，企業必須有一套完整的安全管理措施，以確保整個計算機網絡系統正常、高效、安全地運行。本文就影響醫院計算機網絡安全的因素、存在的安全隱患及其應對策略三個方面進行了做了論述。

一、醫院網絡安全存在的風險及其原因

1.自然因素：

1.1病毒攻擊

因為醫院網絡同樣也是連接在互聯網上的一個網絡，所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的，而有些卻是能造成系統崩潰的高危險病毒。病毒一方面會感染大量的機器，造成機器“罷工“并成為感染添另一方面會大量占用網絡帶寬，阻塞正常流量，形成拒絕服務攻擊。我們清醒地知道，完全避免所有終端上的病毒是不可能的，但要盡量減少病毒爆發造成的損失和恢復時延是完全可能的。但是由于一些工作人員的疏忽，使得醫院網絡被病毒攻擊的頻率越來越高，所以病毒的攻擊應該引起我們的關注。

1.2軟件漏洞

任何的系統軟件和應用軟件都不能是百分之百的無缺陷和無漏洞的，而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊，主要在以下幾個方面：

1.2.1、協議漏洞。例如，IMAP和POP3協議一定要在Unix根目錄下運行，攻擊者利用這一漏洞攻擊IMAP破壞系統的根目錄，從而獲得超級用戶的特權。

1.2.2、緩沖區溢出。很多系統在不檢查程序與緩沖區之間變化的情況下，就接受任何長度的數據輸入，把溢出部分放在堆棧內，系統仍照常執行命令。攻擊者就利用這一漏洞發送超出緩沖區所能處理的長度的指令，來造成系統不穩定狀態。

1.2.3、口令攻擊。例如，U nix系統軟件通常把加密的口令保存在一個文件中，而該文件可通過拷貝或口令破譯方法受到入侵。因此，任何不及時更新的系統，都是容易被攻擊的。

2、人為因素：

2.1操作失誤

操作員安全配置不當造成的安全漏洞，用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。這種情況在企業計算機網絡使用初期較常見，隨著網絡管理制度的建立和對使用人員的培訓，此種情況逐漸減少.對網絡安全己不構成主要威脅。

2.2惡意攻擊

這是醫院計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網絡正常工作的情況下.進行截獲、竊取、破譯以獲得重要機密信急。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄漏。網絡黑客和計算機病毒對企業網絡(內聯網)和公網安全構成巨大威脅，每年企業和網絡運營商都要花費大量的人力和物力用于這方而的網絡安全防范，因此防范人為的惡意攻擊將是醫院網絡安全工作的重點。

二、構建安全的網絡體系結構

1.設計網絡安全體系的原則

1.1、體系的安全性：設計網絡安全體系的最終目的是為保護信息與網絡系統的安全所以安全性成為首要目標。要保證體系的安全性，必須保證體系的完備性和可擴展性。

1.2、系統的高效性：構建網絡安全體系的目的是能保證系統的正常運行，如果安全影響了系統的運行，那么就需要進行權衡了，必須在安全和性能之間選擇合適的平衡點。網絡系統的安全體系包含一些軟件和硬件，它們也會占用網絡系統的一些資源。因此，在設計網絡安全體系時必須考慮系統資源的開銷，要求安全防護系統本身不能妨礙網絡系統的正常運轉。

1.3、體系的可行性：設計網絡安全體系不能純粹地從理論角度考慮，再完美的方案，如果不考慮實際因素，也只能是一些廢紙。設計網絡安全體系的目的是指導實施，如果實施的難度太大以至于無法實施，那么網絡安全體系本身也就沒有了實際價值。

1.4、體系的可承擔性：網絡安全體系從設計到實施以及安全系統的后期維護、安全培訓等各個方面的工作都要由企業來支持，要為此付出一定的代價和開銷如果我們付出的代價比從安全體系中獲得的利益還要多，那么我們就不該采用這個方案。所以，在設計網絡安全體系時，必須考慮企業的業務特點和實際承受能力，沒有必要按電信級、銀行級標準來設計這四個原則，可以簡單的歸納為：安全第一、保障性能、投入合理、考慮發展。

2、網絡安全體系的建立

網絡安全體系的定義：網絡安全管理體系是一個在網絡系統內結合安全

技術與安全管理，以實現系統多層次安全保證的應用體系。

網絡系統完整的安全體系

系統物理安全性主要是指從物理上保證系統中各種硬件設備的安全可靠，確保應用系統正常運行。主要包括以下幾個方面：

(1)防止非法用戶破壞系統設備，干擾系統的正常運行。

(2)防止內部用戶通過物理手段接近或竊取系統設備，非法取得其中的數據。

(3 )為系統關鍵設備的運行提供安全、適宜的物理空間，確保系統能夠長期、穩定和高效的運行。例如:中心機房配置溫控、除塵設備等。

網絡安全性主要包括以下幾個方面：

(1)限制非法用戶通過網絡遠程訪問和破壞系統數據，竊取傳輸線路中的數據。

(2)確保對網絡設備的安全配置。對網絡來說，首先要確保網絡設備的安全配置，保證非授權用戶不能訪問任意一臺計算機、路由器和防火墻。

(3)網絡通訊線路安全可靠，抗干擾。屏蔽性能好，防止電磁泄露，減

少信號衰減。

(4)防止那些為網絡通訊提供頻繁服務的設備泄露電磁信號，可以在該設備上增加信號干擾器，對泄露的電磁信號進行干擾，以防他人順利接收到泄露的電磁信號。

應用安全性主要是指利用通訊基礎設施、應用系統和先進的應用安全控制技術，對應用系統中的數據進行安全保護，確保能夠在數據庫級、文檔/記錄級、段落級和字段級限制非法用戶的訪問。

另外，對存放重要數據的計算機(服務器、用戶機)應使用安全等級較高的操作系統，利用操作系統的安全特性。

三、網絡安全的技術實現

1、防火墻技術

在外部網絡同內部網絡之間應設置防火墻設備。通過防火墻過濾進出網絡的數據，對進出網絡的訪問行為進行控制和阻斷，封鎖某些禁止的業務，記錄通過防火墻的信息內容和活動。對網絡攻擊進行監測和告警。防火墻可分為包過濾型、檢測型、型等，應根據不同的需要安裝不同的防火墻。

2、劃分并隔離不同安全域

根據不同的安全需求、威脅，劃分不同的安全域。采用訪問控制、權限控制的機制，控制不同的訪問者對網絡和設備的訪問，防止內部訪問者對無權訪問區域的訪問和誤操作。

我們可以按照網絡區域安全級別把網絡劃分成兩大安全區域，即關鍵服務器區域和外部接入網絡區域，在這兩大區域之間需要進行安全隔離。在關鍵服務器區域內部，也同樣需要按照安全級別的不同進行進一步安全隔離。

劃分并隔離不同安全域要結合網絡系統的安防與監控需要，與實際應用環境、工作業務流程和機構組織形式密切結合起來。

3、防范病毒和外部入侵

防病毒產品要定期更新升級，定期掃描。在不影響業務的前提下，關閉系統本身的弱點及漏洞并及時打上最新的安全補丁。防毒除了通常的工作站防毒外，email防毒和網關式防毒己經越來越成為消除病毒源的關鍵。還應使用掃描器軟件主動掃描，進行安全性檢查，找到漏洞并及時修補，以防黑客攻擊。

醫院網管可以在CISCO路由設備中，利用CISCO IOS操作系統的安全保護，設置用戶口令及ENABLE 口令，解決網絡層的安全問題，可以利用UNIX系統的安全機制，保證用戶身份、用戶授權和基于授權的系統的安全，:對各服務器操作系統和數據庫設立訪問權限，同時利用UNIX的安全文件，例如/etc/hosts. equiv文件等，限制遠程登錄主機，以防非法

用戶使用TELNET、FTP等遠程登錄工具，進行非法入侵。

4、備份和恢復技術

備份是保證系統安全最基本、最常用的手段。采取數據的備份和恢復措施，有些重要數據還需要采取異地備份措施，防止災難性事故的發生。

5、加密和認證技術

加密可保證信息傳輸的保密性、完整性、抗抵賴等，是一個非常傳統，但又非常有效的技術。加密技術主要用于網絡安全傳輸、公文安全傳輸、桌面安全防護、可視化數字簽名等方面。

6、實時監測

采取信息偵聽的方式尋找未授權的網絡訪問嘗試和違規行為，包括網絡系統的掃描、預警、阻斷、記錄、跟蹤等，從而發現系統遭受的攻擊傷害。網絡實時監測系統作為對付電腦黑客最有效的技術手段，具有實時、自適應、主動識別和響應等特征。

7、 PKI技術

公開密鑰基礎設施(PKI )是通過使用公開密鑰技術和數字證書來確保系統網絡安全并負責驗證數字證書持有者身份的一種體系。PKI 可以提供的服務包括：認證服務，保密(加密)，完整，安全通信，安全時間戳，小可否認服務(抗抵賴服務)，特權管理，密鑰管理等。

四、結束語：

網絡的安全與醫院利益息息相關，一個安全的網絡系統的保護不僅和系統管理員的系統安全知識有關，而且和領導的決策、工作環境中每個員工的安全操作等都有關系。網絡安全是動態的，新的Internet黑客站點、病毒與安全技術每日劇增，醫院網絡管理人員要掌握最先進的技術，把握住醫院網絡安全的大門。

五、參考文獻

[1] 李國棟，劉克勤。Internet常用的網絡安全技術。現代電力。2001. 11. 21

篇（7）

中圖分類號：R197.324 文獻標識碼：A 文章編號：1007-9599 （2013） 01-0051-02

隨著醫院信息化水平的不斷提高，醫院信息系統切實深入到醫院經營管理的各個方面，醫院的醫療活動主要在計算機網絡上進行，病人入院到出院的整個醫療活動中，病人發生的各項活動，包括醫囑、病歷、各項費用等都由計算機來記載；醫院與醫療保險間的聯系依賴于計算機網絡；領導的決策分析由整個醫院信息系統直接提供數據參考等等，這些方面的不斷深入，要求有一個完善的網絡安全體系的支持。

1 硬件設備安全

1.1 網絡布線

網絡布線影響的不僅僅是醫院信息系統交互速度，還影響到數據傳輸安全。醫院網絡布線應該采取內外網物理斷開。現在醫院網絡布線主干線以及各樓宇之間采用雙光纖，一條作為備份光線。光纖到客戶端采用屏蔽雙絞線，布線時注意遠離干擾源，以減少信號衰減，造成數據傳導不便甚至數據丟包。

1.2 中心機房構造

綜合考慮各方面因素，如供電、防水、防雷等，參考《電子信息系統機房設計規范》，合理施工。

1.3 服務器、交換機數據安全保障

服務器的安全主要包括設備的性能和冗余。爆炸鉤醫院網絡信息系統365天X24小時運行，首先必須使用不間斷電源（UPS），避免因停電而引起的服務器受損現象發生。醫院HIS服務器，眼下，很大一部分醫院都使用的都是雙機熱備和磁盤陣列柜并用系統，一旦其中某個服務器有問題時，另一個服務器可以進入自動切換功能，通常可以在幾分鐘內恢復醫院正常業務。為了切實保證數據的安全，還應該做好數據庫的異地備份，保證當雙機服務器或陣列出現故障時，數據不丟失[1]。有條件的醫院可以考慮增加一臺應急服務器，數據異地備份的同時，備份一份至應急服務器，在雙機服務器和陣列都損壞的情況下，醫院信息系統能正常運行，大大的提高了數據的安全性。

2 軟件系統安全

2.1 數據安全設置

（1）口令安全

網絡設備在進行口令設置時避免使用缺省值，長度不少于八位，設置時應該包含字母和數字且至少包含兩個特殊字符[2]。醫院信息系統如HIS、LIS、PACS、CIS對于醫院一般用戶的帳號，要求密碼必須是字母、特殊字符和數字組合使用。針對重要部門或者崗位操作人員的系統密碼應該及時更新和檢測。

（2）殺毒軟件防范

在醫院計算機網絡中，由于有與各個醫保接口的存在，內外網不能做到完全的物理隔離，這就需要客戶機及服務器同時安裝殺毒軟件，運用服務器對病毒庫和殺毒軟件進行實時更新。在服務器和安全性要求較高的機器上安裝入侵檢測系統，實時監控各種違規行為。

（3）防火墻應用

醫院計算機網絡需要與醫保互聯，否則極易遭到外界侵入。防火墻可以及時掃描和檢測出相關危險資料[3]，有利于減少外來因素損壞，避免惡意腳本在目標計算機上被執，關閉不使用的端口，而且它還能禁止特定端口的流出通信，從而防止來自不明入侵者的所有通信[4]，。

（4）工作站安全

對各個工作站使用的帳號、用戶權限、網絡訪問以及文件訪問等實行嚴格的控制和管理，對各個工作站和服務器設置CMOS密碼，取消不必要的光驅、軟驅，屏蔽USB接口，以防止外來光盤、軟盤和U盤的使用。有條件的醫院還可以通過桌面管理軟件來控制和操作。

3 組織機構管理

工作人員應該以安全管理為基礎，創建和更新安全管理制度，加強對工作人員的安全培訓力度，增強醫務人員的安全防范意識。

3.1 安全機構建設。組建一支有素質、有專業水準的安全領導小組，對相關人員的職責進行分嚴格工，確保信息管理有效進行。

3.2 安全制度建設。創建科學合理的的安全制度，包括：物理安全、系統與數據安全、網絡安全、應用安全、運行安全和信息安全等各方面的規章制度，確保醫療工作有序進行。

3.3 加強內部人員管理。醫院信息系統和工作站的操作主導者都是人。操作者的不規范操作，系統登錄密碼的隨意泄露，用戶權限分配不合理，非授權訪問，數據不按時備份，殺毒軟件不定期升級，隨意在工作站安裝游戲等，這些人為因素所帶來的安全問題隨時都有可能帶來網絡癱瘓、數據丟失或更改、系統崩潰等無法及時恢復的災難性損害，對正常的醫療工作造成嚴重影響，給醫院帶來

不可估量的損失[5]。

3.4 應急預案的制定與應急演練？。依據醫院業務特點，建立不同層面、不同深度的應急練習。另外，信息科應該時常展開系統安全分析研究。以技術為基礎運用數據挖掘等方式，研究信息系統的歷史數據，及時對系統進行合理的優化配置，減少系統故障的發生率；最后，總結相關經驗，對技術安全及團隊應急能力實時進行整頓。

4 結語

綜上所述，在社會生產力不斷發展的背景下，“數字化醫院”將是醫院信息化發展的主要趨勢，醫療工作將逐步實現“無紙、無膠片、無線”，當我們把醫囑、處方、病歷、計費信息等交給網絡時，我們必須保證網絡信息的安全。醫院信息系統安全的模式比較繁瑣，在實施過程中應該創建合理的網絡安全防御系統，運用科學的方法，避免對網絡造成不必要的損壞。安全不是絕對的，任何科技都無法確保可以完全解決此問題。這就需要相關人員對系統進行及時檢測及合理的規劃并對安全防御體系進行及時更新，使醫院信息系統可以長期、穩定安全運作。

參考文獻：

[1]雷艷，醫院信息系統網絡安全的探索與實踐[J].中國科技信息，2010，18.

[2]古金華.突發公共衛生事件中網絡信息安全的保障措施[J].中國數字醫學，2008，3（12）：21-22.

篇（8）

中圖分類號：TP316 文獻標識碼：A DoI: 10.3969/j.issn.1003-6970.2012.06.044

Hospital Information System Security

ZHaI Liang, YaNG Jun

(Chuzhou city integration of Chinese and Western medicine hospital computer center, Anhui Chuzhou 239000, China)

【Abstract】with the rapid development of network information, the hospital information system of digital security has also made this

train. It mainly reflects in the electronic information and facilitate the transfer of digital and multimedia storage conversion of the application of information technology. this article is in view of the present hospital information system security issues were discussed, and put forward the way to solve.

【Key words】Hospital information system; safety;

0 引 言

當前,隨著計算機科學技術的迅速發展,越來越多的業務信息在醫院的信息系統中得到應用[1]。醫院的生存和醫院信息系統的生存相輔相成緊密聯系在一起,但是,由于計算機使用人員的水平錯落相致,缺乏操作系統基本知識 、計算機安全常識以及設備性能知識導致醫院數字化信息系統的安全性問題日益突出。

1 醫院信息系統管理的特征

(1)互聯網技術是醫院數字化信息系統傳播的平臺,目前,隨著我國國民的維權意識逐漸增強,這對醫院的利用需求也就必然增大,所以,這迫切要求打破管理長期處于封閉的狀態。而在患者方面,患者也不僅僅只要求配藥、診斷、處方等,而是要求醫院的醫療服務全位開放,并提供相應的咨詢服務。因此,醫院使用數字化信息系統的安全問題將會社會化,它不僅可以提高衛生監管,全面提高區域醫療衛生服務水平而且還可以增強醫療機構之間的信息整合。

(2)數字化信息技術是醫院存儲信息的保障,隨著臨床信息系統的不斷發展,LIS 、HIS 、PACS等系統已經漸漸走向成熟,越來越多和越來越豐富的臨床數字化信息以各種多媒體的形式走進了臨床的醫療活動,這不僅使醫院對數據的集成更加重視而且使醫院的醫療隊伍也逐漸的提高質量和效率。過去因為存儲技術以及醫院的采集技術成本的原因,使醫院收集數據的層數和范圍有限。但是,隨著計算機和相關技術的不斷發展和利用,醫院數字化變得更加容易,超大容量數字化轉換設備和存儲設備可以將醫院的所有信息都存入一張光盤內。

2 醫院數字化信息系統中面臨的主要問題

2.1 擅自使用USB存儲設備和安裝光驅

在醫院的數字化信息系統安全管理中,通常采用的管理措施有以下幾種:一是對客戶端計算機中的CMOS接口進行禁用USB接口,這樣可以防止非法用戶對USB存儲設備和光驅來安裝一些不必要的軟件,使計算機的USB存儲設備感染客戶端,增加整個網絡的危險性。二是拆除光驅。

2.2 病毒入侵

隨著醫院信息系統(HIS)應用的全面展開,客戶端的數量也在與日俱增。這無疑給醫院的數字信息管理部門帶來了巨大的挑戰，他們需要投入諸多的精力來對待防治病毒方面。病毒感染對醫院的整個信息系統都會帶來諸多影響[2]。如:如果網絡中的一些客戶端沒有安裝操作系統漏洞安裝的補丁,那么這些漏洞就會很容易被病毒和蠕蟲利用,使服務器上的數據和程序被破壞,嚴重的可以導致整個網絡的癱瘓,使HIS不能正常運行。

數據庫盜取密碼是醫院信息系統遇到的技術含量比較高的問題之一,非法盜取者往往具有較高的計算機應用水平,一旦數據庫密碼非法連接到數據庫的時候就會產生較大的安全隱患。非法連接者在進入數據庫的時候可以刪除和修改數據庫中的一些內容和拷貝一些重要信息,因此給整個HIS系統的運行以及醫院的運轉都帶來嚴重威脅。

2.4 擅自修改IP地址

對PC機的IP地址進行擅自修改是醫院數字化信息系統存在的重大隱患之一,在醫院的整個網絡系統中,會分給以下客戶端固定的IP地址。但是對不具備操作計算機的員工擅自對客戶端進行IP地址的更改就會導致和網絡上的一些其他主機 、客戶端 、服務器地址沖突。若是發生沖突就會導致客戶端無法和服務器進行連接,會影響到整個網絡系統,甚至造成癱瘓。

3 醫院數字化信息系統的安全對策

3.1 網絡防病毒策略

醫院數字化信息系統的安全問題離不開網絡的安全,網絡防病毒策略是必不可少的。它主要包括被動防御和主動防御兩部分。

被動防御主要是在整個醫院的范圍內來建立網絡版卡巴斯基防病毒系統,防止工作站系統來感染病毒。設置一臺DELL Power Edge 1950服務器主要用于卡巴斯基防病毒軟件的服務器端,以此來實現對整個網內的計算機的保護和監控,還可以對卡巴斯基的管理控制臺強制對遠程的客戶端制定客戶端全盤掃描和病毒掃描計劃等等。在服務器端的病毒代碼庫升級的同時客戶端的病毒代碼庫也會進行同一時間的升級,保證網絡上每臺計算機都在最新的病毒代碼庫的監控下運行。

主動防御是將醫院的內網按照地理位置的變化劃分成采用基于交換機端口的劃分方式5個Vlan,這樣可以有效的防止病毒和蠕蟲對計算機的攻擊,木馬程序通過在Vlan之間傳播,以此來增強網絡的安全性[3]。Vlan劃分表如下表1所示。

3.2 數據庫安全備份

數據安全是整個醫院數字化信息系統的核心部分,病毒入侵 、硬盤損壞 、自然災害 、偶然或惡意的數據庫破壞都有可能導致數據的丟失,因此就需要對數據進行備份。每隔5個小時想磁盤陣列備份數據,這樣就可以保證整個醫院信息系統數據的完整又可以使系統正常安全的運行。而且要采用異地備份的方式來保證數據庫的安全。

在醫院的計算機網絡中,訪問控制的主要目的是主體訪問客體的權限受到控制。根據Windows NT和SQL Sever特性,使用應用軟件和系統軟件的相關功能,并合理的設置使用的權限。醫院網絡用戶的特點主要是高度共享和分散處理,所使用的用戶涉及到醫療技術、醫生、管理人員、護士等等。因此,根據這些特點通過設置權限來控制用戶對一些特定的數據的使用,使所有的用戶在整個系統中具有唯一的賬號和密碼,這樣既禁止用戶對無關目錄進行讀寫又方便靈活的操作了調用的數據。同時既防止了非法用戶侵入網絡又保證數據的安全和共享,確保網絡運行的安全。

由于醫院的日常工作都要依賴于信息網絡系統和數據庫,因此如果有一方面出現故障就會影響醫院患者的取藥、掛號、付費等,嚴重的還會導致病人入院等等。所以,擁有一套應急處理系統安全的系統對數據庫癱瘓和防范網絡來說具有重要作用。

3.3 加強醫院員工的網絡安全教育培訓

因為醫院網絡的使用涉及到醫生 、護士 、管理人員 、財務等等一些人員,因此對在職人員的網絡安全培訓是必不可少的一項內容。對每個用戶都需要進行崗前的培訓和教育,講解計算機病毒的危害和黑客的攻擊以及密碼的盜取等等安全知識[4]。提高在職人員的網絡安全防范意識,使醫院的數字化信息系統安全可靠的運行。

4 總 結

總而言之,整個醫院的網絡安全涉及到的范圍很廣。這要求在實際的工作中,網絡管理人員對基礎計算機知識的掌握情況。對隨時可能出現的網絡安全問題要做到及時扼殺,并且不斷的更新自己的知識,把危險降到最低。醫院的網絡管理人員要不斷的加強網絡管理 、提高自身素質的培養,確保醫院網絡和數據庫的安全運行。

參考文獻

[1] 馮禮.利用醫院信息增強醫療安全的現狀[J].醫療設備信息,2006(7):145-148.

篇（9）

中圖分類號:TP309.2

文獻標識碼:A

文章編號:16723198(2009)20028102

隨著計算機網絡的飛速發展,網絡資源的共享和開放使得網絡應用范圍越來越廣。對于醫院來說,網絡技術的發展促進了醫院信息化的發展,其核心特征便是各種信息系統的使用,包括HIS、LIS和PACS等其它系統,改進了醫院醫務人員和管理人員的工作方式,提高了工作效率,降低了醫院人力人本,提高了醫院的管理質量和水平。同時,醫院信息化發展的過程中,各種威脅越來越大,隨時都可能導致醫院網絡中斷和性能的嚴重下降。由于醫療行業的特殊性,各種信息系統必須保持24小時不間斷運行,因而打造一個安全的信息系統,顯得尤為重要。

1目前醫院信息系統存在的威脅

1.1網絡及相關設備的物理安全性

網絡及相關設備包括網絡交換機、服務器、網絡終端及后備電源等物理設備,其中任何一設備所造成的網絡中斷稱之為物理安全故障。現在,醫院局域網主要采取星型網絡結構,通過核心交換機連接到各個樓宇交換機,核心交換機出現故障會導致整個網絡癱瘓。服務器發生故障以及存儲設備故障,都會導致信息系統服務終止;UPS電源故障也會為網絡的不可用埋下隱患;此外,機房的環境也常為人忽視。

1.2數據庫的備份和訪問權限的控制

數據庫里面存有醫院日常業務的重要信息,包括掛號、收費、發藥和病人檢查結果等信息,這些信息需要長期保存。任何信息的更改、傳播都會對患者和醫院造成很大的影響,特別是數據庫的破壞和丟失會對醫院造成致命損害。一般來說,醫院系統是獨立成網,和互聯網是分開的,但由于黑客工具的泛濫,讓一個略懂計算機知識的人都可以成為黑客高手,通過接入醫院內網或者從客戶端發動對數據庫攻擊。而服務器端設置不當以及數據庫口令過于簡單,會讓黑客輕松更改和破壞數據庫。

1.3病毒防治和管理

網絡的開放性,給病毒的傳播打開了方便之門。網絡病毒種類繁多,新病毒層出不窮,對網絡安全是一種極大的威脅。由于工作人員安全意識不夠,隨意使用各種移動存儲,未按規定安裝各種軟件以及設置共享資源,導致病毒在網絡上運行。同時,由于操作系統不及時打補丁,殺毒軟件不及時下載最新病毒庫,導致無法查殺新病毒。此外,沒有授權的個人電腦接入醫院網絡,也給醫院帶來了極大的安全隱患。

2醫院安全控制

2.1加強內部人員的網絡安全培訓

人是網絡安全的最薄弱環節,很多問題的產生都與人的操作有關。為增強網絡的安全,必須對相關工作人員進行培訓。增強內部人員的安全意識,提高內部工作人員的整體素質。同時要加強法制建設,進一步完善網絡安全法規,以便更有利地打擊不法分子。

2.2物理安全應對策略

首先,要有一個高標準機房,要有溫度和濕度計、防雷設備及符合機房標準的地線等設備。硬件設備最最安全的保障就是采取冗余設備和線路設計。具體而言,服務器系統采取群集管理技術。由2臺服務器+2臺光纖交換機+2臺磁盤陣列構成全冗余“2+2”服務器群集。在該模式下,任何單點故障都無法影響信息系統的運行。但對于機房災難卻無法阻止,解決這個問題可以建一備用容災機房。除此之外,為了保證整個系統的安全運行,對UPS 電源要有供電線路多路備份以解決斷電問題。機房最好采用雙路供電的方式,一條線路從UPS 引出,另一條線路從市電引出,兩個電源分別接在兩個不同的地方,即使其中一條線路出了故障,服務器及網絡設備也照樣能夠正常運行,不至于因為電源問題而導致意外情況的發生。對于大多數醫院采取星型網絡管理結構,有必要對核心交換機作冗余設計。有條件的醫院可以對樓宇交換機作冗余設計。安排專人對設備檢查,并記錄在案。醫院機房建設和設備的投入需要大量資金的支持。由于帶來的效益不是立竿見影的,很多醫院不愿在上面投入過多,結果出了問題才去解決,造成的影響已不可挽回。為解決這個問題,需要醫院負責信息的領導轉變思維方式,在醫院信息化建設上有一個長期的規劃。

2.3數據庫權限設置和備份

數據庫要設置安全級別高的密碼,密碼至少要在六位以上,包含數字下劃線和字母在內的各種字符組成,復雜的密碼可以有效防止密碼黑客工具的破解。數據備份通常是和硬件備份結合在一起的。上面提到的“2+2”模式就是這個特點。采用這種方式不僅可以避免硬件故障,還可以避免軟件故障,即邏輯故障。因為采用磁盤鏡像方式,每發生一筆業務通過SAN交換機,并行寫到兩個磁盤陣列柜,與硬件/文件級別的數據庫復制不同,一臺磁盤陣列上的數據庫故障不會蔓延到另外一臺磁盤陣列中。此外每天24:00,可以把數據庫復制到兩臺服務器上,備份保存3天。同時,還要把數據復制到容災機房的服務器上。通過這些,可以解決數據庫的丟失和破壞;一旦數據庫出現問題,可以及時用備份還原,減少對醫院的影響。

2.4病毒的防治和管理

由于醫療行業特殊性,任何造成網絡中斷或網絡性能的下降都會造成醫院信息系統很大影響。而導致網絡性能的嚴重下降主要來自病毒的破壞和影響。對于病毒的防治,應從以下幾個方面進行:

(1)增加人員安全意識和安全知識,對工作人員定期培訓和考核。明確病毒的危害性,文件共享的時候要合理控制權限,對來歷不明的文件在運行前進行查殺。對于私自連接到內網外來電腦人員要及時嚴格處置。

(2)合理設置服務端和客戶端。入網訪問控制,可以禁止非法用戶對網絡資源的使用。它可以控制訪問服務器的用戶,用戶入網的時間和在哪臺工作站入網。用戶和用戶組被賦予一定操作,網絡控制其可以訪問的目錄、文件和其他資源,指定用戶對這些文件、目錄和設備能夠執行的操作。啟用密碼策略,強制計算機用戶設置符合安全要求的密碼,以防止非法用戶修改。設置服務器登陸時間限制,檢測非法訪問。刪除一些影響安全的敏感信息,對不符合要求的計算機在多次警告后阻斷其聯網。

(3)小心使用移動存儲設備。對于外來光盤和U盤,建議不要在局域網客戶端使用,如果必須使用,需在管理員授權和監督下在專用電腦上進行資料拷貝和傳送。

篇（10）

一個是來自工作人員的威脅，例如有的工作人員胡亂操作系統，訪問來源不明的網站，將感染有病毒的U盤插入接入醫院信息系統的計算機，在不具有權限的情況下，采用欺騙或是技術手段訪問醫院信息系統數據庫等等，都會給醫院的信息系統帶來安全問題；另一個是設備軟硬件故障，醫院信息系統需要7*24小時不間斷運行，例如存儲設備故障、網絡系統故障、服務器故障等，都會對信息系統的運行效率與安全造成威脅。

1.2來自醫院外部的信息系統安全威脅

來自醫院外部的信息系統安全威脅主要是指黑客的攻擊，病毒、木馬的入侵等等，這可能會導致醫院信息系統崩潰，患者的病歷資料信息被竊取、篡改等等。

2數字化時代下醫院信息安全建設措施

醫院信息安全的建設，應當分為兩個層面進行，一個是管理層面的建設措施，另一個是技術層面的建設措施。

2.1管理措施

第一，提高醫院整體對信息安全的重視力度。加強宣傳，讓每個工作人員都知道在當前的數字化時代下，醫院臨床工作的開展，各部門、各系統的管理，患者信息資料的存儲、查閱、分析，都必須要依靠信息系統，如果出現了信息安全問題，就會對整個醫院系統造成影響，降低醫院運轉效率，還可能會導致患者的隱私泄露，使患者對醫院的可靠性產生質疑，不利于醫院的發展。同時，還要加強對所有醫務人員的信息安全培訓教育，讓他們熟練掌握相關的信息安全技術技巧，防止由于操作方面的失誤，對信息系統安全造成威脅。第二，健全完善信息系統安全管理制度。要針對醫院信息系統的特點，制定總體安全方針與安全策略，將醫院信息安全的基本原則、范圍、目標明確下來，對管理人員或操作人員執行的日常管理操作建立操作規程，并在實踐中總結經驗，針對信息系統操作應用中所遇到的實際情況，不斷完善規程，以制度化的途徑推進醫院信息安全建設。第三，推行信息安全等級保護。醫院應結合自身信息系統的特點，以國家頒布的信息安全等級保護相關文件為標準，逐步開展信息安全等級保護工作。建設過程中要優先保護重要信息系統，優先滿足重點信息安全的需求。在重點建設的基礎上，全面推行醫院信息安全等級保護的實施。對于新建、改建、擴建的信息系統，嚴格按照信息安全等級保護的管理規范和技術標準進行規劃設計、建設施工.要通過建立管理制度，落實管理措施，完善保護設施這一系列舉措，形成信息安全技術防護體系與管理體系，有效保障醫院信息系統安全。醫院在信息安全等級保護建設工作中應科學規劃，嚴格以國家相關標準為依據，遵循自主保護、重點保護、同步建設、動態調整等基本原則，穩步地開展信息安全等級建設。第四，完善信息安全應急預案。為提高醫院信息系統的安全穩定運行和處置突發事件的能力，最大程度地預防和減少因為信息系統突發事件使醫院正常工作中斷而造成的嚴重后果，保障信息系統對醫療系統的平穩支撐，需根據實際情況不斷完善應急預案管理制度。

2.2技術措施

第一，改善環境安全。在信息安全等級保護規定中，機房屬于物理部分，每個醫院都有一個或數個用于存放主要信息系統硬件設備的機房，是醫院信息系統的核心物理區域。信息系統的安全在很大程度上受著機房環境條件的影響，因此必須要通過加強環境安全建設，來確保信息系統的安全。機房的建設規劃最好是采用“異地雙機房模式”，并且要避免將機房安置在地下室或建筑高層，機房隔壁或上層最好不要有大型的供水、用水設備，且要具有良好的防水能力、防震能力。為確保信息系統的持續高效運轉，應當配備不間斷的冗余電源，機房室內安裝可調節空氣溫度與濕度的設備，在進出和主要的區域安裝攝像頭，基本的防火、防盜保護要做到位。第二，加強設備安全管理。設備安全包括服務器、交換機、存儲、終端主機等設備的安全。醫院信息系統中的重要設備需盡可能的采用冗余方式配置，以提高系統的穩定性。同時服務器應嚴格限制默認賬戶的訪問權限。及時刪除多余的、過期的賬戶，避免共享賬戶的存在。依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作，啟用訪問控制功能，依據安全策略控制用戶對資源的訪問。根據管理用戶的角色分配權限，實現管理用戶的權限分離。另外，所有服務器均需開啟全部安全審核策略，所有數據庫開啟C2審核跟蹤，同時安裝主機入侵防御系統及最新操作系統補丁。服務器還應安裝統一的防病毒軟件。在終端主機方面，利用桌面管理軟件對設備接口進行管理和控制，例如USB接口管理，禁止外來移動存儲隨意接入電腦，防止病毒感染。終端電腦除了及時安裝系統補丁和更新防病毒軟件外，還需加強密碼復雜度和開啟賬戶鎖定策略。人員離開后，一定時間內自動退出和鎖定。第三，嚴防網絡威脅。在現代網絡的作用下，不論是醫院內部各科室、各部門，還是醫院外部的任何機構單位，都可以進行高效率的溝通交流與信息共享，這在很大程度上提高了醫院的業務處理能力。但由于目前的網絡缺少強有力的監管，所以有大量的不安全因素活躍在網絡中，例如上面所提到的病毒、木馬以及黑客等，這對醫院的信息安全造成了極大的威脅。所以，醫院應當建立信息系統網絡安全訪問路徑，采用路由控制的方式，來確保客戶端與服務器之間的安全連接。對不同醫療部門根據工作職能、重要程度和信息敏感性等要素劃分不同的網段，并對不同網段按照重要程度劃分安全域，對信息敏感、重要性程度高的網段，應進行IP與MAC綁定，避免遭到ARP欺騙攻擊。在信息系統的網絡邊界，應當安裝防火墻，部署入侵檢測系統，對蠕蟲攻擊、緩沖區溢出攻擊、木馬攻擊、端口掃描等惡意操作進行監測，將攻擊發生的時間、類型以及攻擊源IP等信息詳細的記錄下來，提供給網絡安全部門。第四，保障數據安全。在醫院的信息系統當中，存儲著大量的數據，這些數據既包括患者的個人隱私資料，也包括醫院自身運轉所需的各種基礎信息，這些信息的準確性對臨床工作的開展來說，具有非常大的影響。為了保障信息系統的數據安全，數據庫管理賬戶的登錄方式應當設置為KEY+口令的方式，且口令的設置要負責、隨機，并且要定時更換。不同崗位對數據庫的訪問權限應當進行合理的劃分，僅需要確保人員能夠獲得開展工作所需的數據即可。采用數據庫審計設備對各個賬戶的行為進行監控、記錄，如果發現有違規操作，應當及時通報并查明原因。為了確保信息系統數據的可用性與完整性，在傳輸醫療數據的時候，必須要進行完整性檢測，如果發現數據破壞，應重新傳輸數據或是進行數據修復。所有的數據信息都應當進行定時備份，最好是異地備份，防止數據庫服務器受到外力破壞，例如水淹、火燒，導致原始數據和備份數據一同丟失。