医院信息系统运行安全策略
靳萍,尚邦治
(首都医科大学宣武医院医学工程科,北京100053)
[摘要】随着医院业务不断发展,其信息系统应用范围也日渐扩大,医院信息系统是医院的主要经济支柱和命脉,因此保障医
院信息系统运行安全非常重要。本文分别从划分VLAN、使用组策略、病毒服务器、网管软件、VNC软件的使用五个策略对保障
HIS系统的安全运行进行探讨。
[关键词】医院信息系统;VLAN;;网管软件;病毒服务器
[中图分类号】TP393.08 [文献标志码】A [文章编号】1007—7510(2007)06—0018—02
Discussion on HIS Safety Operation Strategy in a Hospital
JIN Ping,SHANG Bang—zhi
(Xuanwu Hospital Capital University of Medical Sciences,Beijing 100053,China)
Abstract:Discusses the safety strategy on the partition of VLAN,using group strategy,Netmanager software,virus
server,VNC software to ensure the safe operation of HIS.
Key words:HIS;VLAN ;Netmanager software;virus server
0 前言
医院信息系统(Hospital Information System,简称
HIS)是计算机技术、通信技术和管理科学在医院信息管理中
的综合应用。随着医院业务不断发展,规模越来越大,其信息系
统应用范围也日渐扩大,涉及到医院工作的方方面面,包括财
务信息、医疗信息、病人信息等等,是医院的主要经济支柱和命
脉。但是网络技术伴随着信息化进程的迅速发展给人类带来方
便快捷的工作效率的同时,网络上出现的各种问题也给网络用
户带来了无休无止的烦恼,数据和网络安全已越来越成为医院
最头痛的问题之一。安全问题引起的系统瘫痪、重要数据丢失
等现象也不断困扰着用户,使网络管理和维护变得更加复杂。
如何保障医院信息系统运行安全对系统管理员来说是件
非常重要的事,不但要预先制定出防御方案以减少系统出错的
可能,而且还要考虑日常维护时如何快捷、直观的解决实际应
用中出现的偶发问题。以下提出的几个技术方案可以保障HIS
系统的安全平稳运行。
1 划分VLAN
VLAN(Virtual Local Area Network)又称虚拟局域网,
是指在交换局域网的基础上,采用网络管理软件构建的可跨越
不同交换机的端到端的逻辑网络。一个VLAN是一个逻辑子
网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不
同地理位置的网络用户加入到一个逻辑子网中,通过将局域网
内的设备逻辑地而不是物理地划分成一个个网段从而实现虚
收稿日期:2006—11—01
拟工作组的技术。
在物理网络基础架构上,利用交换和路由的功能,配置网
络的逻辑拓扑结构,网络管理员可任意地将一个局域网内的任
何数量计算机聚合成一个用户组,就好像它们是一个晕独的局
域网。
为了减少广播域范围,HIS业务系统需要较多的VLAN,
要控制每个VLAN 内客户机节点不要过多。其他业务系统可
以根据需要配置相应的VLAN。不同业务之间通过划分
VLAN逻辑子网进行分离,从而避免使用各种业务应用的用
户在网络资源上的相互干扰,并且可以明显加强业务应用之间
的安全控制。
医院主要是使用基于端口划分的VLAN,同属于一个
VLAN 的端口可以不连续,即同一VLAN可以跨越数个以太
网交换机,这是目前使用最广泛的方法。一般是将门诊、住院系
统、办公楼等分别划在不同的VLAN中,同一VLAN中信息
可以相互流通,每一个VLAN都是相互独立,之间并没有路由
连接。为了保证每个VLAN中的客户机不能数量过多,可以将
处于不同楼宇的门诊或住院系统也划分出不同VLAN。
对于HIS系统最好将所有的服务器划分在一个VLAN
中,已保证网络中其它VLAN出现问题时不会影响到服务器
组的安全。
2 使用组策略提高系统安全
在Windows 2000操作系统中,我们可以使用“组策略”为
用户和计算机组定义用户和计算机的配置。通过使用“组策
略”,Microsoft管理控制台(MMC)可以为特定用户和计算机
· 18· 22卷6期 2007.6
维普资讯 http://www.cqvip.com
压疗设吾伤垂
组创建个性化的配置。“组策略”配置包含在一个“组策略对象”
(GPO)中,该对象又与选定的Active Directory服务器站点、
域或组织单位(Ou)等相关联。组策略对象包括两种对象——
非本地和本地的组策略对象。
组策略包括应用于域或计算机组的大量安全权限配置文
件。一个组策略对象可以应用到域内的所有计算机。单个计算
机启动时,组策略得以应用,如果作出改动时没有重新启动计
算机,组策略也会得到定期刷新。
在实际使用中可根据需要将用户分为几个组,分别使用不
同的组策略,开放或禁止相关的功能。例如可以封掉网上邻居
的功能,避免客户访问其它机器。系统管理员只需对用户工作
环境状态定义一次,当客户以各自的用户登录域时,组策略自
动起效,对用户和计算机进行管理。
3 病毒服务器
网络上的计算机病毒对计算机网络的威胁越来越大,需要
采取必要的措施来将计算机病毒的威胁防范于未然。防病毒软
件的使用虽然是一种防御手段,但对于医院网络中大量用户终
端所感染的病毒清除仍然是有效的。
配制单机版防病毒软件在用户管理和病毒库升级方面都
存在困难,因此应使用网络版防病毒软件。在服务器组中增加
一台防病毒服务器,安装服务器端,所有的工作站安装客户端
软件。为了防止用户终端与互联网之间有直接的通信,在防病
毒软件客户端通过配置定期检索策略实现自动升级功能,从而
减轻对网络用户管理的压力,每周及时更新服务器上的病毒码
即可。
4 网管软件MAC地址绑定
对医院网络中客户终端进行端到端的有效管理一直是信
息中心所面临的难题,通常采用的方法需要在客户端安装相应
的软件,因此无论在安全性和可操作性方面都存在问题。
在实现对网络客户进行端到端管理时,用户端应尽量利用
SNMP协议进行管理,同时通过“域”安全策略和端口漏洞扫
描技术加强安全控制,从而保证在实现对网络客户进行端到端
管理时的可操作性和安全性。
网管系统一般只提供基于IP地址的设备和安全管理,当
发生设备问题或流量异常时很难追查故障源的确切位置,给网
络排错带来一定的难度。因此网络客户终端应配置固定的IP
地址,并通过“域”安全策略限制用户的直接修改;在设备网络
地址和实际安装位置之间建立相对确定的对应关系,从而避免
在全网内采用DHCP服务所带来的管理不便。
MAC地址绑定当然管理起来更直接,只需建立一张机器
与MAC地址对应表,但是需要不断的维护。但是当客户端的
网卡出现问题时,维修比较麻烦,需要重新维护地址表,并在网
管软件中开通。
5使用远程控制软件一VNC软件
医院的门诊、住院系统工作站加起来一般都在几百个,且
分布点很广。一旦某个点出问题,维护人员必须去现场解决很
不方便而且耽误时间,尤其是手术室等需要净化的地方出入更
平时临床科室有 |
|