◆沈晓利 郭 璞 樊红彬

（徐州医科大学附属医院信息中心 江苏 221000）

医院网络安全体系构建与实现

◆沈晓利 郭 璞 樊红彬

（徐州医科大学附属医院信息中心 江苏 221000）

网络安全是大数据时代面临的首要问题，互联网的开放性给医院网络化带来了隐患，基于此，医院需构建网络安全体系。通过该体系使安全隐患得到有效的防控，从而使其成为医院走向繁荣的动力。本文结合医院网络运行状况，将网络安全体系分为五个模块，以此为模型构建网络安全体系，促使医院网络系统安全运行。

医院信息系统；网络安全；体系构建

0 引言

改革开放以来，我国各项事业逐渐走向繁荣，医疗事业日益壮大，为中华复兴带来了新的契机。医院系统经过更新后，采用信息化管理机制，其功能性和服务性得到大幅提升，然而网络安全仍旧棘手，构建安全体系迫在眉睫。以下为医院安全系统构建模型，通过该模型的构建规避网络风险，增强管理效能。

1 基础设施

（1）机房监测

机房监测系统中包含的主要有空调、供电系统、消防系统、自动警报系统等。机房监测实际上属于网络外部的监测，机房监测可以通过web进行在线监控机房内部的各项参数。例如配电间的温度和湿度、主机房的冷风道温度、湿度和空调系统的安全等，在web的监控下确保硬件系统安全运行，使系统中的各项数据和信息得到完整、高效的保存和运行[1]。

（2）系统控制

系统控制主要包括空调、供电、防雷电和监控。首先，空调系统，在机房中设置精密空调，两个主用一个备用[2]。在其中设置两种不同的模式，一种为夏季模式，一种为冬季模式，从而确保机房内的温度低于25℃，湿度处于40%到60%；其次，供电系统，在其中设置两台UPS电源，要求两台电源能够持续供电三小时，对关键设备使用冗余电源，同时采用灵活的开关对其进行控制，确保供电安全；再次，防雷电系统，在对机房的各种电源和机柜材料选取时，选取金属外壳，预防电磁干扰，同时采用隔离的方式，将容易受到干扰的设备与干扰源隔开，确保网络不受干扰；最后，设置门禁，禁止不相关的人进入机房，强化视频监控，若出现异常立即解决。

2 网络架构

（1）网络结构

在对网络结构进行选取时，应选取三层网络结构，第一层为核心，第二层为汇聚，第三层为接入。核心交换区选取两台性能好的交换机连接作为链路聚合。其各项参数如表1所示，其各项重要器件均使用冗余设计，提升处理速率。

表1 交换机参数

（2）链路设计

链路采用冗余设计，其中主干链路的传输采用万兆，PASC和医院核心连接的交换器的连接方式为双链路，桌面则采用自适应交换机，这种设计能够让数据、文本、音频和视频等信息更加快速的传输，避免以往带宽不够的状况，解决单链路的弊端。

（3）VLAN划分

VLAN要具有一定的独立性，这种独立性是指其功能，每个VLAN的信息实际上是共享的，这样就能确保在某个VLAN出现异常或故障时，其余VLAN不受其影响，各种业务能够持续运行，如此便能防治病毒的扩散，保护系统内的重要区域，确保系统安全。

3 安全策略

（1）边界防护

医院的网络系统应根据不同的等级采取具体的措施进行保护，采用电子密钥技术。首先，综合信息网可以将防火墙和网闸融合使用，构建控制机制，网段不同的区域需要权限方可访问；其次，在设置卫星专网、智能网的防火墙时，需要确保内部和外部的连接点皆受到防护，避免非法供给；最后，在对各种医疗保险和各种资金相关的结算中，使用安全网关和网闸来防护，除此之外还要构建安全防护套件，加强访问控制，以此深入检测数据包，避免防火墙无法检测应用层的漏洞。由于医院的特殊性质，将互联网与医院内部的网络采用物理方式隔离，置留接口备用。

（2）主机安全

针对医院网络系统的所有主机均采取网络准入控制，所有的主机需要经检查确保符合安全策略时，方可准许其登入网络。如果在进行身份认证时，出现认证失败的状况，该用户就会被隔离并展开相关的修复工作，修复完成后再经查验，直至其符合安全标准方可访问，如此一来主机完全就得以保证。若非必要，禁止使用USB和光驱，避免病毒感染。

（3）设备管理

首先，对全部与网络相关设备的控制口和Telnet登录设置密码，在设置时对其安全进行分级，根据不同的等级来确定密码的难度，从而起到避免非法人员入侵；其次，使用KVM交换机来管理所有的网络设备和控制口，让其处于控制之中使安全系数得到提升，减少不相关人员进入机房的次数，将设备存在的危险状况降到最低。

4 性能监测

（1）安全管理

在对性能进行监测时采取拓扑管理，观察物理视图，查看其中网元和链路图表的状态和色彩状况，对整个网络的运行状况展开实时管控。对存在风险和漏洞的位置进行安全预警，明确其危险等级并做出相应的处理，若其中出现紧急告警，能够立即进行处理。

（2）性能管理

建立完善的管理体系，总结网络安全中的重要性能指标，对通断率、信息传输时延和CPU状况展开监控，将其中的数据进行收集并分析，根据分析的数据来判断网络在未来的变化状态，力求将故障扼杀在萌芽状态，防止网络风险的出现。定期对系统内部各个构成部件的性能进行检测，确保安全无虞。

（3）告警管理

明确告警设备所处的区域，对其设备的类型和其所处的等级进行总结后构建相应的查询模板。对网络内部的各种网元进行检测，若出现告警讯号，系统立即对危险事件发生的时间和时间类型进行汇总，分析告警信息以确保安全，从而使网络的运行更具安全性，告警处理流程如图1所示。同时采用流量分析器对整个网络设备中的各个部分进行分析，若其中出现异常状况，则可以提供协助，定位出故障所在部位，以便做出准确的处理。

图1 告警流程

5 管理机制

（1）强化安全管理

安全管理包括两个方面，一方面是对硬件设备的管理，另一方面是对网络运行的管理。首先，提升设备性能，定时对设备进行维修和清理，确保设备运行安全；其次，根据医院信息安全对网络进行分级，展开不同的加密处理，增强网络防火墙功效。同时制定完善的管理制度，细化管理规程。其中包括维修、值班、管理等多项安全细则。

（2）加强风险评估

确定每周一对门诊和中心机房进行全面的检测和巡查，构建故障数据库，并针对存储的数据展开分析，寻找规律制定对策避免故障发生。还可以通过日常的性能检测来制定风险策略，强化预防机制。

（3）完善应急预案

医院管理人员带领工作人员制定应急预案，在充分分析医院整体状况后，定期进行预案演练，提升网络处理能力和网络恢复能力。

（4）提高人才培养

在医院每个科室中建立完善的值班制度，加强各个科室之间的联系，汇总各种故障处理对策，增强值班人员的管理能力和处理故障的水平。同时组织培训提升全体人员的网络安全意识，交流经验并组织外出学习，加强应用各种先进技术提升医院网络安全系数，挖掘人才、开拓视野强化管理效能。

6 结束语

通过对以上措施和模型的应用，医院安全系统得到了安全稳定的运行，除运行速度加快外，各项安全性能也呈现出优异的状态。各种不规范的网络行为得以抑制，医院的办公和服务都得到了良好的保护，此后还要在技术上和管理上逐步探索，应对各种威胁，为医疗事业的繁荣积蓄动力。

[1] 陈拥军，肖新文，陈泓伶．医院网络安全体系构建与实现[J]．中国数字医学，2016．

[2] 徐雷．医院信息化建设过程中的网络安全防护分析[J]．网络安全技术与应用，2016．