医院电脑准入管理

一．           背景分析

在经济全球化、社会信息化的进程中，我国医疗行业已进入了数字化和信息化时代。大多医疗行业的信息系统建设已经普遍完成以收费为主的管理信息系统（HIS）应用，部分医疗行业也开始实行医疗信息为主的临床信息系统（CIS）应用。医疗行业的业务流程与信息系统的联系已经非常密切，这也对医疗行业信息系统运行的稳定性和安全性提出了更高的要求。

二．           需求分析

目前，我国大部分医疗行业网络系统分为两个部分——用于日常医疗信息交换的业务网以及实时获取Internet信息资源的办公网。其中的医疗行业业务网是医疗行业业务开展的平台，为了保障安全，业务网与办公网之间进行了物理隔离。然而，随着业务网应用的深入，业务网内网存在的一些不安全因素成为影响其正常运行的重大隐患，存在较多的问题：

1.         外部人员非法接入内网，盗取医疗行业内部重要的信息；

2.         医生日常工作使用的计算机普遍存有病人的病例、光片等等涉密资料，由于单位员工滥用移动存储介质，或被黑客攻击，导致涉密信息的泄露；

3.         如何防止员工使用3G上网卡、ADSL等方式连接互联网，引起黑客攻击、病毒感染、数据泄密的风险；

4.         内部网的终端无法连接互联网，系统补丁不能够得到及时更新，存在较大的安全隐患；

5.         现在医疗行业的HIS系统升级基本上是人工升级的，面对医疗行业的成百上千台计算机，管理员只能一台一台的手工升级，外加医疗行业办公地点较为分散，管理员进行系统维护时往往需要花大量时间处理，这样的工作量造成网络管理员没有时间处理其它应急事务。

6.         在工作时间内员工私自玩游戏或做与工作无关的事情，大大降低了员工的工作效率，也会严重影响医疗行业工作人员的医德形象。

三．           解决方案

为了加强医疗行业内网的安全防护、加强内网的健壮性，做到事前预警，事后有据可查，通过在医疗行业业务网中部署一套网剑内网安全综合管理系统，即在业务网的管理中心搭建内网安全管理中心，所有的业务网终端主机与服务器安装内网终端安全客户端软件，以保证医疗行业正常的办公环境。

1.   针对人员非法接入的问题，INSS基于802.1x协议或ARP协议阻断等手段，能够有效地控制非法用户的接入，实现精确的准入控制，保证业务系统的正常运行；

2.   针对由于业务网与互联网物理隔离导致的操作系统补丁无法及时更新，安全漏洞无法及时解决等问题，INSS基于补丁分发管理功能，可自动实现终端主机的系统补丁更新，降低终端主机感染病毒的机会，增强安全性；

3.   针对因医疗行业员工滥用移动存储设备造成的信息泄露和病毒泛滥，INSS对终端主机硬件外设接口进行有选择性的禁用管理，并只允许经过授权的移动存储设备使用，保证内部涉密数据不被非法带出内网；

4.   针对员工非法连接互联网引起的安全问题，INSS提供连接互联网监控管理策略，可以严格限制终端计算机私自与医疗行业内网之外的网络通讯，一旦发现有非法外联行为发生，立即将其阻断，并马上给管理员报警信息。

5.   针对医疗行业的HIS系统升级困难问题，INSS提供软件分发功能，不用离开办公室就可以同时给内网所有终端计算机进行HIS系统升级。

6.   针对员工工作时间玩游戏或做与工作无关事情，INSS通过进程限制、禁止安装非法软件等措施限制员工的行为。

四．           方案效果

通过部署内网安全管理系统，可以规范了内网用户的网络行为，有效保障了医疗行业内网安全，为推动医疗信息化向纵深发展创造了有利条件。