桌面安全管理系統在醫院的應用體會
馬瑩.鐘初雷
(紹興市人民醫院信息處,浙江紹興312000)
醫院信息系統的應用極大地提高工作效率與管理質量,
優化工作流程,節約患者等待的時間,方便患者就醫,信息化
成為現代醫院的標志。隨著門診、住院醫生工作站、實驗室管
理信息系統、醫學影像存檔與傳輸系統、電子病歷系統的深
入應用,醫務人員對計算機的依賴性越來越強,醫院信息系
統一旦癱瘓,手工業務很難立即恢復,將引起醫療業務紊亂
與中止,給醫院帶來巨大的經濟與形象損失。因此,從安全
性、可靠性、高效性、可控性和持續性全方位落實信息安全措
施,保障信息系統安全穩定運行具有特別重要的意義l】。
為保障信息系統穩定運行,醫院信息系統廣泛應用了主
要服務器的集群熱備或負載平衡,核心交換機的冗余,數據
庫的實時或定時備份,防火墻與網絡版殺毒軟件的配置等安
全措施12一。這些措施主要考慮到了機房設備與數據的安全。
但缺乏考慮眾多客戶端的安全及客戶端對整體信息安全的
影響。本院在對機房服務器設備、核心交換機、數據備份、防
火墻、殺毒軟件進行優化配置的基礎上,應用桌面安全管理
系統軟件,對內網和客戶端面臨的信息安全問題進行綜合管
理,取得了良好的效果,現將應用體會總結如下。
1 醫院計算機系統面臨的桌面安全問題
1.1網絡共享導致游戲與網絡小說泛濫
醫院網絡內只要一臺客戶端安裝了游戲與網絡小說,通
過網絡共享方式會導致全院性的游戲與網絡小說流行。雖然
收稿日期:2007—06—04
醫院制度規定醫院計算機不能玩電腦游戲,但相關管理的職
能科室很難使用行政手段杜絕此類行為。醫生在上班時間玩
電腦游戲或看網絡小說被發現,有損于醫生在患者心目的形
象,引發患者對醫生的不信任,一旦發生醫患糾紛。給患者以
醫生上班玩電腦游戲不關心患者病情的口實。本院曾發生過
醫生上班期間玩電腦游戲,病人家屬看到并要求查看病人病
情未立即兌現,病人病情惡化后死亡發生醫療糾紛。醫生雖
無醫療差錯,但家屬以醫生上班玩電腦游戲未及時處理病人
為由要求賠償,使醫院處于被動狀態。
1.2 擅自安裝光驅與使用USB移動存儲設備
醫院內網計算機拆除光驅、CMOS,禁止USB端口,但個別
工作人員通過外界拿來光驅接到客戶機上或主板電池放電
方式重置CMOS設定,達到客戶機可以使用光驅與USB移
動存儲設備,將游戲、網絡小說安裝到客戶機上,從而引發醫
院網絡內游戲與網絡小說的不斷更新與增多,并帶來病毒來
源,增加醫院信息系統的安全風險。
1.3擅自修改IP地址
絕大多數醫院信息系統軟件采用c/s構架,且醫院網絡
的核心交換機未設置VLAN。客戶端修改IP地址,輕則導致
網絡不通,增加計算機中心維護工作量;重則如客戶端IP地
址與數據庫服務器一致未及時發現,將影響客戶端訪問數據
庫服務器,且計算機中心工作人員很難發現該客戶機的具體
物理為止,影響信息系統的正常運行。
1.4擅自拆換內存、CPU等硬件設備
維普資訊 http://www.cqvip.com
醫學信息2007年l0月第20卷第l0期Medical Information.Oct.2007.Vo1.20.No.10
隨著醫院全院性PACS的運行與無膠片化的視線,要求客戶
端計算機具備較快的CPU與較多的內存。個別工作人員在單
獨一人值班時,將低檔的CPU換取醫院計算機高檔CPU,或
醫院計算機配置多條內存條時拆除其中一根,不影響客戶端
運行,當計算機中心事后發現時已很難追查,導致醫院財產
損失。
1.5蠕蟲病毒感染
醫院客戶機多,計算機中心很難有精力逐臺維護客戶端
的操作系統。針對醫院客戶機未及時安裝最新的補丁程序,
網絡內一有蠕蟲病毒就會導致網絡、服務器癱瘓,信息系統
停止運行。
1.6 安裝程序開發工具與黑客軟件非法獲取數據庫密碼
有關數據顯示,9o%的局域網攻擊來自內部。醫院內個別
計算機水平高超的年輕工作人員,通過黑客軟件非法獲取數
據庫訪問密碼,安裝編程開發工具非法訪問醫院核心數據
庫,對信息安全造成非常大的隱患。一旦心懷叵測,蓄意破
壞,將給醫院信息系統以毀滅性的打擊,造成無可挽回的損
失。
1.7聯網計算機資產管理
醫院計算機分批采購,聯網客戶端數量達到一定程度以
上時,計算機中心工作人員很難精確了解每臺聯網計算機具
體CPU、內存、操作系統等配置情況,對于計算機的更新換代
缺乏信息支持。
2 桌面安全管理系統軟件對應的解決方案
2.1控制共享與進程監控
桌面安全管理系統控制網絡共享,達到任何一臺客戶機
不能設置共享,防止游戲與網絡小說在醫院網絡內泛濫。對
進程進行控制,合法程序進行注冊使之正常運行,未注冊程
序不能運行,從而使客戶端不能運行游戲程序。
2.2對客戶端光驅與USB移動存儲設備進行控制
桌面安全管理系統對光驅、軟驅、USB、藍牙、紅外通訊進
行控制,管理員允許的可以使用上述接口,否則不能使用。且
一旦連接相關設備,服務器端控制臺會顯示報警信息并日志
紀錄。這一措施使安裝光驅與重置CMOS也不能使用光驅與
USB存儲設備。
2_3固定客戶端IP地址
安全管理系統軟件可以設定固定客戶端的IP地址,不允
許操作人員擅自修改。
2.4不允許更換硬件的控制
安全管理系統軟件進行硬件信息綁定,可以綁定網卡
MAC地址、主板、硬盤、CPU、內存等硬件信息,客戶端硬件一
有變更,服務器端控制臺報警并日志紀錄,達到有效控制擅
自拆換內存、CPU等硬件設備現象的發生。
2.5端口控制
通過配置拒絕注冊列表的端口通訊或 |
|
資源大小:199.62 KB 
