医院内网安全管理系统的应用实践

摘要：随着医院规模与业务的不断扩大，医院信息系统安全愈加得到关注，内网安全管理问题也愈加凸显。本文分析了医院内网面临的安全问题，并提出控制管理的应对策略，实现了医院信息系统安全、稳定运行。

关键词：医院内网；安全问题；安全管理

Application of Intranet Security Management System in Hospital

TONG Ming，XIAO Qing-lan

（The 169th Hospital of the PLA，Hengyang 421002，Hunan，China）

Abstract：With the continuous expansion of hospital business， the security of hospital information system gets more attention. And Intranet security management problems have become increasingly prominent. This paper analyzes the security problems facing the hospital intranet and puts forward the countermeasures to control management，realizes the safe and stable operation of hospital information system.

Key words：Hospital intranet；Safety problem；Security management

网络安全是医院信息系统安全、稳定运行的基础，只有医院信息系统安全、稳定的运行，医院的业务才能更好地开展，患者才能得到更好的救治[1]。为保证医院信息系统（HIS）24h不间断运行和医疗业务的网络安全，多数医院采用了医院内网与外部网络（包括互联网、军队综合信息网、远程医学网）进行物理隔离，与医保、农合等专线网络安装防火墙和网闸进行隔离防护，从源头上基本杜绝了病毒和攻击的发生。然而根据调查，医院信息系统的安全威胁往往不是来自于外部网络，而是系统内部。多数重要的安全设施都集中于机房和网络入口处，来自内部网络计算机终端的安全威胁大大增加，医院内部网络的安全站场已经逐步由核心与主干的防护，转向内网终端的安全控制管理[2]。

1 医院内网面临的主要安全问题

1.1移动存储介质的管理不规范 目前医院计算机终端管理往往忽视了USB接口的使用，工作人员由于各种缘由要求开放部分科研、办公计算机USB接口使用移动硬盘等移动存储介质直接从终端拷贝复制文件，内部文件管理难以监控，更无法控制移动存储介质携带的病毒、木马、恶意代码等入侵医院局域网。

1.2内网无统一认证系统 当前多数医院部署DHCP服务器，终端通过DHCP服务器动态获取IP地址，局域网信息位点分布较广，在医生护士工作站、病房、大厅均有部署，个人移动终端可以随意接人内网并获取医院合法的IP，从而获取访问医院资源的权限。传统的接人控制会在交换上设置MAC认证，控制终端的接入，但安全隐患依然存在，终端仍可以篡改为合法MAC，从而接人到医院内网[3]。

1.3终端操作系统的脆弱性 医院当前计算机终端使用的操作系统多为Windows系统，由于医院内外网物理隔离，系统补丁不能及时更新，系统漏洞难以及时修复，而内网的补丁升级和更新存在技术上的漏洞，计算机管理亦无法及时掌握内网计算机的补丁安装情况[4]，计算机操作系统存在较大的脆弱性。

1.4内网遭遇病毒、ARP攻击愈加频繁 随着医院规模的扩大和信息化的快速发展，医院内部网络的终端数也在不断攀升，加之工作人员防范病毒的意识不强，内网遭遇蠕虫病毒、木马、ARP攻击愈加频繁。虽然医院内网计算机终端部署安装了病毒查杀软件，但其病毒库的更新不及时性，以及终端安全使用的不确定性，会导致部分查杀软件失效，内网防病毒体系难以形成，安全隐患不容忽视。

2 我院内网安全体系的建设与实现

我院部署的内网安全管理及补丁分发系统是由北京北信源软件技术有限公司开发，构建iNode客户端、准人设备、第三方服务器、内网安全服务器的整体构架，完成了准人认证、安全评估、动态授权、行为审计、协助管理的安全体系，针对当前医院内网安全面临的主要问题实现了安全高效的管理与控制。

2.1网络终端接入管理 该系统基于802.1x协议的准入控制技术的安全准入管理控制，为内网计算机终端的安全接入提供了保护屏障。接入内网的计算机必须通过访问“http：//内网安全服务器IP/Vrveis”下载安装VRVEDP客户端程序并注册成功，并符合必要的安全策略的前提下才被允许接入医院内部网络。注册客户端时需要填写计算机使用人的相关信息，如使用人、部门、电话、终端所在地、计算机类型等，进行实名化管理，以便发现问题是快速定位到事件源。接入端对MAC和IP地址进行固定管理，发现终端IP变更后根据策略恢复原有IP或阻断联网，同时禁止修改网关、禁用冗余网卡，杜绝违规接入、违规外联。

2.2移动存储介质的管理 医院工作人员在日常办公当中不可避免的要用到U盘等移动存储介质，利用计算机USB接口给手机充电等行为，无意识的就将病毒带入医院内网，威胁到内网的安全。我院利用该系统移动存储介质接入认证管理，实现了移动存储设备的访问控制，对接入内网的移动存储设备进行加密注册管理。这就要求医院需要使用移动存储设备的部门使用专门配置的移动存储设备进行文件拷贝、数据交换等行为，且该专门的设备只能接入具有内网接入认证的计算机，其他计算机等设备将不能识别。该系统还可对其数据交换行为进行审计管理，生成设备插拔、文件操作等详细记录，有效监控移动介质的使用。

2.3补丁及软件自动分发管理 我们通常所提到的补丁类型包括“system”、“IE”、“应用程序”三个选项。该系统通过补丁索引、补丁库和策略将所需要的补丁自动下载、自动安装到内网终端并提示；向指定计算机终端分发文件或安装软件，分发时可设置补丁探测时间，运行参数及运行形式。基于分发时间、补丁检测周期等进行策略制订，策略发送到注册终端后，计算机终端自动检测系统漏洞，统一执行补丁应用策略。

2.4终端杀毒软件管理 我院内网安装部署了金山毒霸企业版杀毒软件服务器，作为第三方服务器通过内网接入认证。该系统可统一审计内网计算机终端防病毒软件的安装和使用情况，检测到未安装防病毒程序时，强制性执行自动安装，亦可监控终端防病毒软件的安装情况，并进行相应的管理，如强行升级病毒库、自动分发并自动执行病毒专杀工具等。

2.5资产信息管理 包括硬件资产和软件资产。该系统可自动收集计算机终端CPU、内存、硬盘、主板、显卡等所有硬件的详细信息，以及终端IP地址、MAC地址和安装的所有软件信息，以供管理员在Web控制台监控与查询。

3 应用体会

通过内网安全管理系统的应用，有效地实现了医院内网的安全控制管理，解决了内网终端的高效管理，大大的降低网络维护人员的工作量，实现了医院信息系统安全、稳定运行。

参考文献：

[1]朱彦华.浅谈医院网络安全管理和监测的实用措施[J].中国医疗设备，2010，12.

[2]赵峰等.军队医院内网安全管理系统的策略及应用[J].医疗装备，2013，9.

[3]朱伟健.构建"安全高效"的医院内网终端管理系统[J].医学信息，2013，26（4）.

[4]刘高建.浅议医院计算机内网安全与管理[J].网络技术，2014，5.

编辑/倪冰冰