大型医院网络安全防护体系的架构设计和应用

陶博皓

（台州市立医院 浙江省台州市 318000）

大型医院是我国民生基础建设的重要内容，对我国基础服务具有重要影响。随着医院引入网络技术辅助工作，实现工作效率稳步提高。医院信息化建设对提高医疗业务能力具有重要意义，系统运行面临众多风险威胁，网络信息技术辅助工作对信息安全提出很大挑战，随着医院信息化建设水平不断提高，网络系统覆盖到医院管理各环节，某环节出现问题会造成系统瘫痪。相关技术人员要重视网络安全防护，构建医院网络安全防护体系。需要从技术角度研究医院网络安全防护体系，采取有效的措施消除信息服务出现故障，保证医院网络安全。

1 大型医院网络安全防护体系建设需求分析

大型医院每天就诊患者多，为提高医院工作效率，医院系统以电子病历系统为主要核心部分，主干网络覆盖范围较大，使用PC终端设备与医院内网络连接。[1]医院信息系统建设安全是否满足未来发展是对现有信息系统建设能力的考量。采用树状网络结构升级改造，使用端口汇集技术，使设计方案与传统方案兼容，实现网络升级，对医院信息系统进行升级改造，达到减少网络故障的目的。

随着我国科技的迅速发展，大型医院将先进技术融入工作中，利用新兴技术建设医院信息化系统等信息系统，充分利用相关信息技术提升数据分析整合工作效率，满足社会发展需求。信息工作中面临信息错误等信息安全，医院对人民健康有很大影响，医院出现数据错误会威胁人身安全[2]。大型医院构建医学影像存档系统，收集相关病人数据资料，对大型医院开展相关医疗工作具有辅助作用，系统出现安全问题会危及病人生命安全，影响医院相关信息数据准确性。医院构建网络安全防护体系非常必要。随着医院信息化建设推进，业务网络对安全性能要求较高，办公网络要求进入互联网并接入业务网络，办公网络与业务网络要增加防火墙，达到授权控制及安全管理。

随着医院信息化系统等不断完善，医学影像存档通讯系统在大型医院普及应用，医院信息网络构架逐步过渡到大型三层网络架构，网络成为大型医院的新特征。调查显示对信息化安全建设投入资金预算医院不足30%，具有信息系统安全建设经费预算的医院进展48%。表明国内部分区域医院信息化建设由于资金等方面因素限制，在安全建设方面投入有很大提升空间。各种安全问题成为管理要面临的重要问题，直接影响医院信息的准确性，构建有效的网络信息安全防护体系非常必要。

2 医院网络安全防护系统现状

国内大型医院经过多年建设形成临床与管理信息系统，HIS 系统处理医院业务，为医院部门提供相关信息，满足各部门对信息的需求。EMR 电子病历系统存储病人诊疗原始记录电子病历，LIS 系统将检验实验仪器传出数据分析通过网络存储。PACS 系统包括检查信息及图像数据等[3]。邮件系统是医院对外交流平台，关键应用系统是使用HIS 系统，通常部署在医院内网，各部门使用临床信息系统LIS 等系，管理系统是医院不同部门使用业务系统，其他门户网站等业务系统为对外系统，需要重视其安全防护。

随着医院业务的发展，医院规模不断扩大，之前网络无法满足医院运营方面需求。医院系统包含网络设备种类繁多，在性能等方面存在较大差异，网络可管理性等方面性能较低。医院体系的IP地址规划混乱，安全方面得不到保障。医院OA 系统未严格管理，某医院拥有住院楼，门诊楼，外科楼等，网络拓扑中心为3 号楼5楼为数据中心交换机，电信外网百兆光纤接入核心交换前端放置防火墙，连接入网核心域的Web 网站等应部署在网络接入域。20 多层台楼层交换机连接到核心交换机。现有信息系统不能满足大型医院增长的业务发展需求，大型医院新大楼启用临床增加床位，信息系统面临各种问题。

近年来大型医院构建信息服务为核心的数字化医院，通过对医院信息化现状调研，了解医院IT 运维管理现状[4]。核心交换机cisco6509 双机冗余作主交换，虚拟局域网等技术对不同业务作逻辑隔离。业务涉及就诊卡管理，医院工作站，电子病历，住院管理系统等信息系统。医院信息系统存在诸多缺陷，包括运维人员工作量大，导致运维效率低；IT 环境异构，系统软硬件种类繁多；未针对系统设备运行情况作出相应记录；未实时检测业务系统运行情况，全网IT 资产配置情况缺乏全面资产管理系统支撑等。医院规模不断扩大，设计领域逐渐增多，分针系统，物资管理等分支对数据库需求日益提升，系统采用C/S 模式，对数据查询等功能在服务器端完成，需要通过数据库升级开发医院网络信息安全防护系统。

目前大型医院网络信息系统呈现出运行维护困难，网络安全存在隐患，数据库系统处理能力不足等情况。医院建设HIS 系统为核心是业务管理系统，各部门构建各自应用系统。因前期对业务系统搭建缺乏统一规划，缺乏信息安全防护机制，为后期运行带来网络传输质量不高，难以统一网管等问题；随着医院业务不断扩大，原有数据库运行缓慢。系统建设缺乏整体规划，缺乏有效的系统管理策略，不能有效支撑业务的发展。导致形成对系统安全防护的负反馈。

3 大型医院网络安全防护体系设计

网络信息安全涉及计算机网络，信息安全等专业技术，通过合理设计确保系统运行不受外界影响出现故障，避免系统故障出现损坏泄露等问题。从安全性角度出发做好系统优化，医院网络信息安全防护结构包括硬件设施，数据与应用安全等方面。硬件设施如主机等物理设备安全运行安全，网络系统安全为操作系统不受外界因素干扰；数据应用安全为数据库操作等应用层数据访问安全。

医院网络安全体系架构是构建网络安全防护体系的重要内容，首先要做好网络病毒防治。网络病毒是严重的安全漏洞隐患，要注意对网络病毒防治。积极使用网络版杀毒软件，由于当前网络技术发展较快，计算机病毒不同于过去病毒传播形式，网络病毒可通过网络数据传播，传播速度快[5]。当前网络病毒具有很强混合性，可提高病毒生存能力，电脑病毒传播速度快，网络用户在网络工作中不能分辨是否为电脑病毒，构建网络安全体系要选择网络杀毒软件。相关人员要定期培训，做到人机共同防治病毒，提升杀毒功效能力。医院内部网络应与互联网物理隔离，铺设线路用于医院信息网连接，工作站段采取增加网络隔离卡的方式。内外网数据资料分布于不同硬盘，保证信息安全。设计安全保密工作站不得连接外网。杀毒系统部署示意图如图1所示。

图1：杀毒系统部署示意图

医院信息系统数据对数字化管理非常重要，黑客攻击、雷击等多种因素导致数据丢失，信息安全架构非常必要。信息安全架构需要做好操作系统备份，加强日志管理等。要保证服务器稳定可靠运行，采取双机热备解决方案，用两台服务器对重要数据采用RAID方式备份，其他数据采用定期备份方式储存到其他服务器，医院可建立远程容灾机制，保证数据安全。数据系统口令应由信息中心专人管理，医院信息系统中密码管理由专人负责，管理员分配好权限，对重要岗位操作人员提醒定期更换密码。医院某些信息系统应用中需要在电子签名处进行加密传输识别。操作系统长期使用后运行速度变慢，操作系统备份非常重要。通常安装必要应用软件，使用最新杀毒软件把系统盘作镜像文件放入其他盘符，可以将镜像文件恢复回源系统盘。

医院网络安全需要各方面保障工作，包括网络设备运行环境与人为因素的保障。网络设备稳定运行需要合适的环境，包括整体防雷系统布设，安全不间断电源保障等。保证强弱电缆不在同金属线管，重要设备端口设置过载接地装置。计算机网络设备需要电源，要保证主控机房服务器等网络设备不间断工作。急救中心重要设备在相应配备稳压延时电源。考虑双电网供电。保证配线间散热，要求机柜散热性能高；定期给配线间除尘；严格执行综合布线标准。人为因素是影响网络安全的主要因素，必须采取必要措施降低人为因素导致网络安全故障。要求制定详细的切换方案，建立完善的安全保障制度，合理规划配线间位置。

4 结语

本文分析大型医院网络安全防护系统建设需求，指出当前网络系统存在的安全问题，设计医院网络安全防护体系架构。随着时代的发展，信息网络技术应用于社会发展各方面工作中。医院是我国社会民生工程，医院网络信息防护体系建设为保障网络安全运行，保证医院诊疗业务系统正常工作，使网管人员快速远程定位管理，及时了解网络分布情况，排查各类故障，保障医院信息系统安全稳定运行。随着网络的迅速发展，医院网络安全面临很大挑战。要以动态方式做好网络安全防护，保证医院各方面工作顺利开展。