醫院信息系統運行安全策略
靳萍,尚邦治
(首都醫科大學宣武醫院醫學工程科,北京100053)
[摘要】隨著醫院業務不斷發展,其信息系統應用范圍也日漸擴大,醫院信息系統是醫院的主要經濟支柱和命脈,因此保障醫
院信息系統運行安全非常重要。本文分別從劃分VLAN、使用組策略、病毒服務器、網管軟件、VNC軟件的使用五個策略對保障
HIS系統的安全運行進行探討。
[關鍵詞】醫院信息系統;VLAN;;網管軟件;病毒服務器
[中圖分類號】TP393.08 [文獻標志碼】A [文章編號】1007—7510(2007)06—0018—02
Discussion on HIS Safety Operation Strategy in a Hospital
JIN Ping,SHANG Bang—zhi
(Xuanwu Hospital Capital University of Medical Sciences,Beijing 100053,China)
Abstract:Discusses the safety strategy on the partition of VLAN,using group strategy,Netmanager software,virus
server,VNC software to ensure the safe operation of HIS.
Key words:HIS;VLAN ;Netmanager software;virus server
0 前言
醫院信息系統(Hospital Information System,簡稱
HIS)是計算機技術、通信技術和管理科學在醫院信息管理中
的綜合應用。隨著醫院業務不斷發展,規模越來越大,其信息系
統應用范圍也日漸擴大,涉及到醫院工作的方方面面,包括財
務信息、醫療信息、病人信息等等,是醫院的主要經濟支柱和命
脈。但是網絡技術伴隨著信息化進程的迅速發展給人類帶來方
便快捷的工作效率的同時,網絡上出現的各種問題也給網絡用
戶帶來了無休無止的煩惱,數據和網絡安全已越來越成為醫院
最頭痛的問題之一。安全問題引起的系統癱瘓、重要數據丟失
等現象也不斷困擾著用戶,使網絡管理和維護變得更加復雜。
如何保障醫院信息系統運行安全對系統管理員來說是件
非常重要的事,不但要預先制定出防御方案以減少系統出錯的
可能,而且還要考慮日常維護時如何快捷、直觀的解決實際應
用中出現的偶發問題。以下提出的幾個技術方案可以保障HIS
系統的安全平穩運行。
1 劃分VLAN
VLAN(Virtual Local Area Network)又稱虛擬局域網,
是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越
不同交換機的端到端的邏輯網絡。一個VLAN是一個邏輯子
網,即一個邏輯廣播域,它可以覆蓋多個網絡設備,允許處于不
同地理位置的網絡用戶加入到一個邏輯子網中,通過將局域網
內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛
收稿日期:2006—11—01
擬工作組的技術。
在物理網絡基礎架構上,利用交換和路由的功能,配置網
絡的邏輯拓撲結構,網絡管理員可任意地將一個局域網內的任
何數量計算機聚合成一個用戶組,就好像它們是一個暈獨的局
域網。
為了減少廣播域范圍,HIS業務系統需要較多的VLAN,
要控制每個VLAN 內客戶機節點不要過多。其他業務系統可
以根據需要配置相應的VLAN。不同業務之間通過劃分
VLAN邏輯子網進行分離,從而避免使用各種業務應用的用
戶在網絡資源上的相互干擾,并且可以明顯加強業務應用之間
的安全控制。
醫院主要是使用基于端口劃分的VLAN,同屬于一個
VLAN 的端口可以不連續,即同一VLAN可以跨越數個以太
網交換機,這是目前使用最廣泛的方法。一般是將門診、住院系
統、辦公樓等分別劃在不同的VLAN中,同一VLAN中信息
可以相互流通,每一個VLAN都是相互獨立,之間并沒有路由
連接。為了保證每個VLAN中的客戶機不能數量過多,可以將
處于不同樓宇的門診或住院系統也劃分出不同VLAN。
對于HIS系統最好將所有的服務器劃分在一個VLAN
中,已保證網絡中其它VLAN出現問題時不會影響到服務器
組的安全。
2 使用組策略提高系統安全
在Windows 2000操作系統中,我們可以使用“組策略”為
用戶和計算機組定義用戶和計算機的配置。通過使用“組策
略”,Microsoft管理控制臺(MMC)可以為特定用戶和計算機
· 18· 22卷6期 2007.6
維普資訊 http://www.cqvip.com
壓療設吾傷垂
組創建個性化的配置。“組策略”配置包含在一個“組策略對象”
(GPO)中,該對象又與選定的Active Directory服務器站點、
域或組織單位(Ou)等相關聯。組策略對象包括兩種對象——
非本地和本地的組策略對象。
組策略包括應用于域或計算機組的大量安全權限配置文
件。一個組策略對象可以應用到域內的所有計算機。單個計算
機啟動時,組策略得以應用,如果作出改動時沒有重新啟動計
算機,組策略也會得到定期刷新。
在實際使用中可根據需要將用戶分為幾個組,分別使用不
同的組策略,開放或禁止相關的功能。例如可以封掉網上鄰居
的功能,避免客戶訪問其它機器。系統管理員只需對用戶工作
環境狀態定義一次,當客戶以各自的用戶登錄域時,組策略自
動起效,對用戶和計算機進行管理。
3 病毒服務器
網絡上的計算機病毒對計算機網絡的威脅越來越大,需要
采取必要的措施來將計算機病毒的威脅防范于未然。防病毒軟
件的使用雖然是一種防御手段,但對于醫院網絡中大量用戶終
端所感染的病毒清除仍然是有效的。
配制單機版防病毒軟件在用戶管理和病毒庫升級方面都
存在困難,因此應使用網絡版防病毒軟件。在服務器組中增加
一臺防病毒服務器,安裝服務器端,所有的工作站安裝客戶端
軟件。為了防止用戶終端與互聯網之間有直接的通信,在防病
毒軟件客戶端通過配置定期檢索策略實現自動升級功能,從而
減輕對網絡用戶管理的壓力,每周及時更新服務器上的病毒碼
即可。
4 網管軟件MAC地址綁定
對醫院網絡中客戶終端進行端到端的有效管理一直是信
息中心所面臨的難題,通常采用的方法需要在客戶端安裝相應
的軟件,因此無論在安全性和可操作性方面都存在問題。
在實現對網絡客戶進行端到端管理時,用戶端應盡量利用
SNMP協議進行管理,同時通過“域”安全策略和端口漏洞掃
描技術加強安全控制,從而保證在實現對網絡客戶進行端到端
管理時的可操作性和安全性。
網管系統一般只提供基于IP地址的設備和安全管理,當
發生設備問題或流量異常時很難追查故障源的確切位置,給網
絡排錯帶來一定的難度。因此網絡客戶終端應配置固定的IP
地址,并通過“域”安全策略限制用戶的直接修改;在設備網絡
地址和實際安裝位置之間建立相對確定的對應關系,從而避免
在全網內采用DHCP服務所帶來的管理不便。
MAC地址綁定當然管理起來更直接,只需建立一張機器
與MAC地址對應表,但是需要不斷的維護。但是當客戶端的
網卡出現問題時,維修比較麻煩,需要重新維護地址表,并在網
管軟件中開通。
5使用遠程控制軟件一VNC軟件
醫院的門診、住院系統工作站加起來一般都在幾百個,且
分布點很廣。一旦某個點出問題,維護人員必須去現場解決很
不方便而且耽誤時間,尤其是手術室等需要凈化的地方出入更
平時臨床科室有 |
|
資源大小:97.89 KB 
