解决医院信息网络安全问题的体会汤建军(江苏省扬州市江都人民医院225200)【】R197.32【文献标识码】A【】2095-1752(2013)35-0039-02随着医院的信息化程度不断提高，医院的各项核心业务工作也越来越依靠于信息化、网络化。医院网络系统如果出现部分甚至全部中断，将无法保证医院业务的正常运行和有效管理，同时也会对医院的形象和服务质量造成极大的影响。因此，保障医院网络安全，是医院信息化建设所要考虑的首要问题［1］。网络安全主要是指当用户通过网络访问应用服务器和数据库服务器时如何保证服务器的安全。从各个层次的用途和安全性分析。需要特別保护的是数据层,不能让用户直接访问。同时，应用服务器层也要进行保护，需要控制用户的访问权限。目前我院拥有HIS、LIS、PACS、RIS、EMR、PEIS等信息化系统，为保证信息网络正常安全运行，我院制定了相关管理措施，使用了防火墙、杀毒软件、桌面管理软件，针对医院信息网络中影响安全的因素及我院的具体情况实施了医院信息网络安全策略。经过几年来的摸索和实践，有几点解决医院信息网络安全问题的体会，与同仁们共享。一、医院信息网络中影响安全的几个方面为了保障核心业务安全、稳定运行，很多医院采用内外网物理隔离，部署了地址绑定、防火墙、桌面管理、ACL等安全策略，但安全问题仍然得不到有效解决，主要影响因素如下：1、医院部分主机要连接打印机必须开放U口。但乂会造成因为使用U盘而传％病毒。2、医院大部分工作人员对计算机终端只负责使用，对机器的基木安全和维护没有概念。3、外来人员接入内M。利用IP欺骗或攻击软件直接攻击网络。导致网络中断、IP冲突、数据窃取、数据篡改、个人隐私泄漏、账号被盗用。4、无桌面管理软件等安全措施的内部主机或个人电脑连入网络，传染病毒，造成业务中断。5、医院部署众多安全软件，终端需要安装众多客户端（桌面管理、网络准入等），占用终端资源，影响医护人员使用，网络管理人员维护也不方便。6、随着医院信息系统的增多，中心机房的负载和管理难度加大，一旦出现故障，将使整个系统发生中断。二、医院信息网络安全解决方案1、医院信息网络安全与网络的应用体系结构紧密相关。根据我院的网络应用体系结构，网络安全实施策略见下图。2、医院要进行信息安全防护就需要从全局考虑，构建一套整体的安全防御体系，从源头解决安全隐患。我院通过MSAC（安全管理平台控制系统），实现基于8O2.IX、WEBPortal的用户身份网络准人，基于用户的网络访问权限控制，策略下发、终端自助修复等功能，通过MSAC桌面管理组件，两者相结合的统一部署、统一管理的方式，实现终端的安全的管理，有效控制U口、控制终端进程黑白名单、终端软硬件资产管理、终端远程控制与协助。通过两者相融合的方式简化网管人员的管理，简化医护人员的操作，保障医院内网的信息安全与业务稳定运打。2.1终端用户的安全管理2.1.1USB口的控制。USB口只支持打印机、鼠标、扫描枪等非移动存储设备的连接，不能接存储介质。医院每个U盘进行授权使用，并支持对U盘的数据加密，防止数据外泄。2.1.2进程黑白名单。针对不同部门的需要制定终端进程的黑白名单有效控制非授权软件的运行.包括绿色软件。2.1.3多重的权限控制管理。医院网络用户特点是分散处理、高度共享、用户涉及医生，护士、医疗技术、管理人员等。根据这一特点.采用操作系统，数据库级用户权限和应用程序运行权限的三重控制机制，提供统一的基于角色用户管理手段.使每个用户在系统中有唯一的账号密码.且给予不同级别的权限，用户只能操作自己的程序和调用相关的数据，不能提取不需要的数据。同吋，设有用户监控程序。通过这些措施可有效地防止非法用户侵入网络，确保网络安全运行。2.1.4资产管理。自动采集、分类汇总终端的硬件、软件资产信息，并实吋告警记录软、硬件的变更。防止终端用户随意改变终端电脑的软硬件配置。2.1.5补丁下发、软件更新。实现终端统一的补丁强制安装、病毒库更新、软件的统一下发。2.2网络准入2.2.1基于802.1X的准入控制。每个用户连入网络吋进行身份的验证，只有授权用户才能接入网络：对系统进行监控，并建立和实施有效的用户口令和...