桌面安全管理系统在医院的应用体会
马莹.钟初雷
(绍兴市人民医院信息处,浙江绍兴312000)
医院信息系统的应用极大地提高工作效率与管理质量,
优化工作流程,节约患者等待的时间,方便患者就医,信息化
成为现代医院的标志。随着门诊、住院医生工作站、实验室管
理信息系统、医学影像存档与传输系统、电子病历系统的深
入应用,医务人员对计算机的依赖性越来越强,医院信息系
统一旦瘫痪,手工业务很难立即恢复,将引起医疗业务紊乱
与中止,给医院带来巨大的经济与形象损失。因此,从安全
性、可靠性、高效性、可控性和持续性全方位落实信息安全措
施,保障信息系统安全稳定运行具有特别重要的意义l】。
为保障信息系统稳定运行,医院信息系统广泛应用了主
要服务器的集群热备或负载平衡,核心交换机的冗余,数据
库的实时或定时备份,防火墙与网络版杀毒软件的配置等安
全措施12一。这些措施主要考虑到了机房设备与数据的安全。
但缺乏考虑众多客户端的安全及客户端对整体信息安全的
影响。本院在对机房服务器设备、核心交换机、数据备份、防
火墙、杀毒软件进行优化配置的基础上,应用桌面安全管理
系统软件,对内网和客户端面临的信息安全问题进行综合管
理,取得了良好的效果,现将应用体会总结如下。
1 医院计算机系统面临的桌面安全问题
1.1网络共享导致游戏与网络小说泛滥
医院网络内只要一台客户端安装了游戏与网络小说,通
过网络共享方式会导致全院性的游戏与网络小说流行。虽然
收稿日期:2007—06—04
医院制度规定医院计算机不能玩电脑游戏,但相关管理的职
能科室很难使用行政手段杜绝此类行为。医生在上班时间玩
电脑游戏或看网络小说被发现,有损于医生在患者心目的形
象,引发患者对医生的不信任,一旦发生医患纠纷。给患者以
医生上班玩电脑游戏不关心患者病情的口实。本院曾发生过
医生上班期间玩电脑游戏,病人家属看到并要求查看病人病
情未立即兑现,病人病情恶化后死亡发生医疗纠纷。医生虽
无医疗差错,但家属以医生上班玩电脑游戏未及时处理病人
为由要求赔偿,使医院处于被动状态。
1.2 擅自安装光驱与使用USB移动存储设备
医院内网计算机拆除光驱、CMOS,禁止USB端口,但个别
工作人员通过外界拿来光驱接到客户机上或主板电池放电
方式重置CMOS设定,达到客户机可以使用光驱与USB移
动存储设备,将游戏、网络小说安装到客户机上,从而引发医
院网络内游戏与网络小说的不断更新与增多,并带来病毒来
源,增加医院信息系统的安全风险。
1.3擅自修改IP地址
绝大多数医院信息系统软件采用c/s构架,且医院网络
的核心交换机未设置VLAN。客户端修改IP地址,轻则导致
网络不通,增加计算机中心维护工作量;重则如客户端IP地
址与数据库服务器一致未及时发现,将影响客户端访问数据
库服务器,且计算机中心工作人员很难发现该客户机的具体
物理为止,影响信息系统的正常运行。
1.4擅自拆换内存、CPU等硬件设备
维普资讯 http://www.cqvip.com
医学信息2007年l0月第20卷第l0期Medical Information.Oct.2007.Vo1.20.No.10
随着医院全院性PACS的运行与无胶片化的视线,要求客户
端计算机具备较快的CPU与较多的内存。个别工作人员在单
独一人值班时,将低档的CPU换取医院计算机高档CPU,或
医院计算机配置多条内存条时拆除其中一根,不影响客户端
运行,当计算机中心事后发现时已很难追查,导致医院财产
损失。
1.5蠕虫病毒感染
医院客户机多,计算机中心很难有精力逐台维护客户端
的操作系统。针对医院客户机未及时安装最新的补丁程序,
网络内一有蠕虫病毒就会导致网络、服务器瘫痪,信息系统
停止运行。
1.6 安装程序开发工具与黑客软件非法获取数据库密码
有关数据显示,9o%的局域网攻击来自内部。医院内个别
计算机水平高超的年轻工作人员,通过黑客软件非法获取数
据库访问密码,安装编程开发工具非法访问医院核心数据
库,对信息安全造成非常大的隐患。一旦心怀叵测,蓄意破
坏,将给医院信息系统以毁灭性的打击,造成无可挽回的损
失。
1.7联网计算机资产管理
医院计算机分批采购,联网客户端数量达到一定程度以
上时,计算机中心工作人员很难精确了解每台联网计算机具
体CPU、内存、操作系统等配置情况,对于计算机的更新换代
缺乏信息支持。
2 桌面安全管理系统软件对应的解决方案
2.1控制共享与进程监控
桌面安全管理系统控制网络共享,达到任何一台客户机
不能设置共享,防止游戏与网络小说在医院网络内泛滥。对
进程进行控制,合法程序进行注册使之正常运行,未注册程
序不能运行,从而使客户端不能运行游戏程序。
2.2对客户端光驱与USB移动存储设备进行控制
桌面安全管理系统对光驱、软驱、USB、蓝牙、红外通讯进
行控制,管理员允许的可以使用上述接口,否则不能使用。且
一旦连接相关设备,服务器端控制台会显示报警信息并日志
纪录。这一措施使安装光驱与重置CMOS也不能使用光驱与
USB存储设备。
2_3固定客户端IP地址
安全管理系统软件可以设定固定客户端的IP地址,不允
许操作人员擅自修改。
2.4不允许更换硬件的控制
安全管理系统软件进行硬件信息绑定,可以绑定网卡
MAC地址、主板、硬盘、CPU、内存等硬件信息,客户端硬件一
有变更,服务器端控制台报警并日志纪录,达到有效控制擅
自拆换内存、CPU等硬件设备现象的发生。
2.5端口控制
通过配置拒绝注册列表的端口通讯或 |
|
资源大小:199.62 KB 
