医院信息系统的网络安全措施.pptx

我院的信息化建设从2002年8月开始，目前实施了医院信息管理系统(HIS)，我院网络覆盖全院的每个部门，涵盖病人来院就诊的各个环节，100多台计算机同时运行，支持各方面的管理，成为医院开展医疗服务的业务平台，医院信息系统的安全性直接关系到医院医疗工作的正常运行，一旦网络瘫痪或数据丢失，将会给医院和病人带来巨大的灾难和难以弥补的损失。因此，医院计算机网络系统的安全工作非常重要。第1页/共31页本人结合这几年的一点计算机网络维护经验，从以下几方面谈谈加强网络安全维护措施，确保医院计算机网络系统持久、稳定、高效、安全地运行。第2页/共31页一、中心机房及网络设备的安全维护1.环境要求：中心机房做为医院信息处理中心，要严格其工作环境，我们将温度置于25左右，相对湿度为40%-70%，无人员流动、无尘的半封闭机房内。2.电源管理：这保证了中心机房供电的稳定和连续，机房采用两路供电系统，配有不间断电源12小时延时(目前我院现在能到4小时)，最好安装有避雷，抗磁场干扰等装置。第3页/共31页3.网络设备：信息系统中的数据是靠网络来传输的，网络的正常运行是医院信息系统的基本条件，所以网络设备的维护至关重要。路由器、交换机、集线器、光纤收发器等设备需要定期检测，查看指示灯状态是否正常，各种插头是否的松动，注意除垢、防水等。第4页/共31页二、服务器的安全维护服务器是医院信息系统的核心，它在医院信息系统安全运行中起着主导作用，如果服务器发生故障，要么数据丢失，要么系统瘫痪，为了确保服务器的稳定、可靠、高效地运行，我院采用双机容错服务器，无论主服务器何时出问题，从服务器都可替代主服务器的服务功能。第5页/共31页三、工作站的安全维护由于工作站分布在医院的各个角落，工作站本地不保存数据，工作站一律不安装软驱、光驱，关闭USB端口，有效地杜绝了病毒的侵入。工作站都安装远程监控系统，监控用户行为，能够做到在工作室可以看到客户机器屏幕显示，实现远程安装、管理、杀毒，达到与用户本地机器操作相同的效果。再者我们采用ghost软件为系统盘做镜像文件，当系统被破坏时，能尽快恢复系统。第6页/共31页四、防病毒措施1.安装NortonAntiVirus或卡巴斯基网络版杀毒软件，使用杀毒软件在网络安全中起着重要的作用。它对网络系统进行实时监控，防止计算机病毒入侵破坏网络，保证医院信息系统在无病毒状态下安全运行。第7页/共31页2.我院网络与省、市医保、Internet等网连通，为了防止外来病毒的入侵，采用物理隔离与外网分离，以达到医院网络安全的目的。第8页/共31页五、数据库的安全备份 数据安全是医院信息系统安全的核心部分。硬盘损坏、偶然或恶意的数据破坏、病毒入侵、自然灾害等都会引起数据丢失，因此需要实时对数据进行备份。我院采用磁盘阵列的方式进行数据的实时备份，即每隔6小时(6：00时、12：00时、18：00时、24：00时)向磁盘阵列备份数据。这样不但保证了系统的正常运转，同时也确保了数据的完整性。第9页/共31页六、网络访问控制的安全措施 在医院的计算机网络中，访问控制主要是主体访问客体的权限控制。根据MicrosotSQLServer和Windows2000特性，运用系统软件和应用软件的相应功能，合理设置系统的使用权限。第10页/共31页医院网络用户的特点是分散处理、高度共享，用户涉及医生、护士、医疗技术、管理人员等，根据这个特点，通过设定权限控制用户对特定数据的使用，使每个用户在整个系统中应具有唯一的帐号，既方便灵活地操作自己的程序和调用数据，又禁止用户对无关目录进行读写。这样保证了数据的共享和数据的安全，防止了非法用户侵入网络，确保网络运行安全。第11页/共31页七、合理的网络管理制度1.建立服务器管理制度：服务器是整个HIS系统的核心，必须对服务器进行有效的管理，每天记录服务器的各种操作，包括机房温度、湿度、设备的检查记录、服务器的启停记录、对数据库的日常维护记录、服务器运行情况和对用户的监控记录等。第12页/共31页2.专人维护：进入操作系统的密码由专人掌握，并且定期更换，所有子系统的程序由专人修改、更新，以保证程序的统一性和完整性。3.建立严格的操作规程：系统中的所有信息来源于工作站的操作人员，为使采集的数据真实有效，应制定工作站入网操作规程，以提高信息的准确性。第13页/共31页我院网络安全存在的问题与对策及面临的安全形势第14页/共31页 医院信息系统一旦投入运行，要求能每天24小时不间断运行，其安全问题就成为系统能否持续正常运行的关键。一旦医院信息系统瘫痪，不仅造成经济损失，更严重的是对医院的声誉造成负面影响。网络系统所面临的威胁有两种：一是威胁网络中的数据和信息；二是威胁网络系统中的设备。第15页/共31页1.网络设备及传输方面 医院信息化建设之初由于无法预料网络通信技术的发展的速度，通常存在着先天不足。如网络线路铺设不合理；网点的增加简单随意，网络结构不合理，传输效率低；网络设备老化、可靠性差，与新设备不兼容等；网络设备备份工作不到位，出现故障后造成信息系统大范围瘫痪。第16页/共31页2.病毒感染方面 病毒是医院内部网络的重要威胁。病毒可大量消耗网络和主机资源，一旦传入医院网络，将造成难以估量的损失。现在病毒传播的途径主要有以下几种:第17页/共31页1）即利用专用集成电路芯片（ASIC）进行传播这种计算机病毒虽然极少，但破坏力却极强，目前尚没有较好的检测手段对付。第18页/共31页后两者仅仅是存储容量比较大的特殊磁盘。现在软盘基本已被U盘所代替，U盘是使用广泛、移动频繁的存储介质，因此也成了计算机病毒寄生的温床。盗版光盘上的软件和游戏及非法拷贝也是目前传播计算机病毒主要途径。随着大容量可移动存储设备如ZIP盘、可擦写光盘、磁光盘（MO）等的普遍使用，这些存储介质也将成为计算机病毒寄生的场所。2）可移动式磁盘包括软盘、U盘、光盘等存储介质。第19页/共31页国家计算机病毒应急处理中心通过对互联网的监测发现，盘已成为病毒和恶意木马程序传播的主要途径之一。近期在互联网络上传播比较严重的病毒，比如：“熊猫烧香”病毒、“盘破坏者”病毒等，主要是依赖微软操作系统的自动运行功能，使得计算机用户在双击打开盘或是计算机系统中每个磁盘的时候，自动执行病毒或是木马程序，进而计算机系统受到入侵感染。第20页/共31页由于移动盘使用方便，很多计算机用户都选择使用它来进行数据文件的存储和拷贝，无形中使得盘成为这些病毒和恶意木马程序传播的载体，给计算机用户的数据安全和系统的正常使用带来很大危害。第21页/共31页3）网络是由相互连接的一组计算机组成的，这是数据共享和相互协作的需要。组成网络的每一台计算机都能连接到其他计算机，数据也能从一台计算机发送到其他计算机上。如果发送的数据感染了计算机病毒，接收方的计算机将自动被感染，因此，有可能在很短的时间内感染整个网络中的计算机。第22页/共31页 局域网络技术的应用为企业的发展作出巨大贡献，同时也为计算机病毒的迅速传播铺平了道路。人为设计侵入系统潜伏（等待触发时机）传 染 触发运行实施破坏第23页/共31页3.确保网络系统安全的措施1.网络规划与改造。目前许多医院的所有网络设备的互联都通过唯一的核心交换机进行处理，当核心交换机出现故障时，全院的网络将处于瘫痪状态。为了高安全性，核心层交换机和网络布线都需要建成冗余模式，汇聚层交换机和接入层交换机可考虑购置1-2台作为备用。第24页/共31页核心交换机一台发生故障，另一台可立即接管其工作；汇聚层交换机与接入层交换机出现故障，第一时间用备用机更换；网络线路某条被损坏或切断后则利用冗余线路继续通信，从而保证了医院的正常工作秩序。第25页/共31页2.进行VLAN（虚拟局域网）划分。为医院网络系统划分VLAN，是提高医院网络安全的一个重要措施。许多医院并未利用交换机的VLAN划分功能，对网络设备的利用还处于初级阶段，这种做法势必造成安全方面的巨大隐患。通过交换机的VLAN功能可以将局域网设备从逻辑上划分成一个个网段，从而有效地防止局域网上广播风暴的产生，提高带宽的利用率；加强网段之间的管理和安全性，方便根据业务流程设定访问权限，使得网络管理更加简便易行。VLAN的划分有多种方式，如可将医院按照职能划分为门诊、住院和机关三个子网。第26页/共31页4.网络系统运行的安全考虑(1)操作系统安全方面针对操作系统容易出现的一些问题，对计算机安装的操作系统依次进行如下工作：系统打补丁；安装硬件还原卡；转移分页文件（虚拟内存）,可移到d盘；禁用休眠，节省空间；转移我的文档的位置，移至D:MyDocuments;禁用USB口；系统管理员密码由信息科人员掌控，另外给使用者设立用户，并降低权限为Powerusers；最后，将安装好的系统作一键还原，以便在出现问题时快速恢复。第27页/共31页(2)防病毒方面对于病毒的防范，仍应以杀毒软件为基础。对防治病毒采取了以下解决方案：对内部局域网中的医疗网络系统与外部网络系统进行物理分割，封闭医疗网络系统中所有对外接口，防止黑客、外部攻击，避免病毒的侵入；检查病毒出现的科室，对违规使用U盘或其它介质的科室进行登记并报经管办进行相应的处罚；分析出现的病毒，已知的并可以控制的则进行杀毒，未知病毒通过上网查询等方式找到解决方案，对于危害较大又暂无有效手段消灭的病毒，将其送专业部门进行格式化并重装；第28页/共31页(3)加强网络安全管理目前，我院大部分使用计算机人员缺乏安全意识，因而在实际工作中给医院的信息系统造成了极大的安全隐患和威胁。对此，对使用者进行严格管理必不可少。禁止使用U盘及其它移动存储，从根源上杜绝病毒的来源；禁止在网络上共享文件，尤其是完全共享；不定期对科室计算机使用进行检查，及时发现情及况解决问题；利用到科室维修和其它的机会，向使用计算机人员讲解网络安全知识，深入开展网络安全教育。第29页/共31页(4)人员操作方面护士工作站请勿将处方及检查单记入长期医嘱;各科护士长和医技主任要熟记退费流程,在自己休息期间应委托其他人员退费;各科操作员应熟记病人转科、转床、包床的操作方法；药房人员退费时要询问清楚是将病区提交的药品进行退费还是退回病区;第30页/共31页谢谢您的观看！第31页/共31页