试析医院对外网站安全管理

肖 毅

（遵义医学院附属医院 贵州 563003）

0 引言

医院网站主要栏目功能有医院简介、医院动态、科室特色、专家介绍、寻医问药、科研教学、医学期刊、网上咨询等8个栏目。突出部位显示医院的最新动态和信息公告栏；并设“名医介绍”窗口，滚动显示医院名医简介并附照片，方便浏览者查询。专家介绍栏目主要介绍医院各个专业副高级职称以上的医学专家的专业特长，为患者就医时选择医生提供方便。面向患者互动性内容主要为网上咨询，采用电子公告牌（BBS）方式，非实时的，由患者先提出问题，由网站管理员进行回复。及时详细的回复，受到咨询者的赞许，给医院带来了良好的口碑和声誉。

1 关于网站的组织管理

1.1 建立宣传员制度

除了形成一套完整流畅的约稿机制外，在全院各个科室配备业余通讯员，充分发挥这些通讯员的积极性，以拓宽各类稿件的来源，并及时更新内容。

1.2 稿件的分级审批制度

其具体做法就是各个科室的通讯员和自由撰稿人所撰写的稿件，必须要得到其科室领导的审阅签字。对于那些重大的新闻和稿件除科室领导签字外，还需要主管院领导的审批签字，然后网站办公室再根据稿件签字的情况进行审批后再签字，最终交给发布员进行网上发布。

1.3 网站的更新与维护

网站管理员应日常更新网站的内容，让访问者看到医院的实时新闻、专家的坐诊排班表及医院专家、专科、设备的实时信息，保持网站对访问者的吸引力。

1.4 保证内外网完全物理隔离

医院院内网包含医院信息系统（HIS）。为提高医院内网的安全性，对外网站设有独立的办公室，封闭通用串行总线（USB）接口，做到内外网站互不干涉。

1.5 机房安全菅理

网站机房，将网络中主要的服务器与核心交换机集中放置在中心机房中，统一配置防火、防潮、防静电、防雷、温控等设备。我们按照有关要求“网站服务器、路由器、交换机等互联网设备要放置在安全可靠的场所”，采取服务器主机托管的方式，将医院对外网站服务器托管于长城网机房，远程管理通过虚拟专用网络（VPN）或者2M专线，能够确保网络接入速度和安全性。从而解决了机房安全管理问题。

2 网络信息的安全管理

信息安全管理的核心任务是保护医院网站所有重要的信息系统的数据不被破坏、篡改或丢失、盗用。1nux是一个开放式的多用户、多任务的操作系统，它不仅继承了Unix操作系统功能强大、性能稳定的特点，还在许多方面超越了 Unix。Linux的开源策略使它得到广大用户的青睐，但系统存在的漏洞很容易被他人利用，因此应更加注重整个系统的网络安全设计，防止Linux系统上的重要信息被窃取。

2.1 防火墙技术

防火墙技术是一种被动型反击手段，它利用在内部网和外部网之间构造一个保护层屏障，通过对2个或多个网络之间传输的数据包按照一定的安全策略来实施检查，是已经发展起来的一种保护计算机网络安全的访问控制技术。其主要功能就是控制对受保护网络的非法访问。它通过监视、限制、更改通过网络的数据流，尽可能屏蔽内部网的拓扑结构，并且对内屏蔽外部危险站点，用于防范外对内、内对外的非法访问。防火墙的另一个重要作用在于使被保护网的人口点.尽可能少的暴露出来，从减少外部网对被保护网的恶意攻击，并保护系统，同时能更有效地统计记录网络流量及其他相关信息。

2.2 入侵检测系统

入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到限制这些活动，以保护系统的安全，被认为是防火墙之后的第2道安全闸门。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。IDS能在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。统计分析方法首先给系统对象（如用户、文件等）创建一个统计描述，统计正常使用时的一些测量属性。

2.3 漏洞扫描系统

漏洞扫描是对计算机系统或者其他网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。作为一种保证网络（Web）信息系统和网络安全必不可少的手段，漏洞扫描通常采用2种策略，第1种是被动式策略，第2种是主动式策略。所谓被动式策略就是基于主机之上，对系统中不合适的设置、脆弱的口令以及其他与安全规则抵触的对象进行检查；而主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。利用被动式策略的扫描称为系统安全扫描，利用主动式的策略扫描称为网络安全扫描。寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。

2.4 终端设备的安全保障

主要功能包括，网络访问控制模块：主要是对终端个人计算机（PC）迸行网络互联协议一介质访问控制（IP-MAC）绑定，设置网络访问黑名单、白名单，一旦有未授权的机器进入到网内就自动隔离；用户与权限管理设专人管理维护数据库的用户与密码，并定期更改密码。用户与权限分配应由专人管理，做到微机专人使用，可避免因闲杂人员乱用微机而引起的文件丢失或病毒破坏。

2.5 数据库备份

数据库要严格按期进行备份，备份内容应包括：应用数据库备份、应用程序备份、操作系统备份、系统的灾难恢复。对于建立好的备份计划、备份任务要经常进行检查，定期将数据库备份拷贝至其他的硬盘上，以减少突发事件带来的损失。数据库做到每天备份、每天转移至备份服务器上，机器一旦发生故障而造成系统瘫痪，可以在短时间内恢复数据。具有完善的日志功能，能有效、迅速地对抗各种针对IDS日志系统进行的攻击，自动生成各种形式的攻击统计报表，从总体上分析网络上发生的各种事件，为管理人员提供方便。网站的远程管理通过转换器由长城网2M专线联结至医院网站办公室，能够确保网络接人速度和安全性。入侵保护系统是在防火墙的后面的一个基于网络的入侵检测系统，并将网卡设为混杂模式，这样就可以监测到所有进出网络的数据流量。

3 结束语

网站作为医院冈络业务的重要支持手段，宣传医院，方便患者；同时，提供延伸服务，丰富服务内容，增强医院的影响。另一方面网络的安全问题不仅仅是技术问题，也是提供服务和保障，医院网站应完善各种管理措施，在方便群众就医咨询，满足患者求医问药的需求等方面，担负起健康宣传教育的职能。这就要求我们需要综合考虑安全因素，制定合理的目标、技术方案和相关的配套措施，从而达到宣传医院、服务患者的同时保证信息的安全。

[1]王倩飞，田永晓，宋国建.医院网站建设现状调查及分析[J].医学信息学杂志.2011.

[2]余学杰，吕晓颖，郝蕊，丁欣刚，王鹰，杜清.医院网站评价现状的调查[J].中国当代医药.2011.

[3]丁徐徐，冀丽红.浅谈医院网站的建设和维护[J].中国医疗设备.2010.