醫院電腦准入管理

一．           背景分析

在經濟全球化、社會信息化的進程中，我國醫療行業已進入了數字化和信息化時代。大多醫療行業的信息系統建設已經普遍完成以收費為主的管理信息系統（HIS）應用，部分醫療行業也開始實行醫療信息為主的臨床信息系統（CIS）應用。醫療行業的業務流程與信息系統的聯繫已經非常密切，這也對醫療行業信息系統運行的穩定性和安全性提出了更高的要求。

二．           需求分析

目前，我國大部分醫療行業網絡系統分為兩個部分——用於日常醫療信息交換的業務網以及實時獲取Internet信息資源的辦公網。其中的醫療行業業務網是醫療行業業務開展的平台，為了保障安全，業務網與辦公網之間進行了物理隔離。然而，隨着業務網應用的深入，業務網內網存在的一些不安全因素成為影響其正常運行的重大隱患，存在較多的問題：

1.         外部人員非法接入內網，盜取醫療行業內部重要的信息；

2.         醫生日常工作使用的計算機普遍存有病人的病例、光片等等涉密資料，由於單位員工濫用移動存儲介質，或被黑客攻擊，導致涉密信息的洩露；

3.         如何防止員工使用3G上網卡、ADSL等方式連接互聯網，引起黑客攻擊、病毒感染、數據洩密的風險；

4.         內部網的終端無法連接互聯網，系統補丁不能夠得到及時更新，存在較大的安全隱患；

5.         現在醫療行業的HIS系統升級基本上是人工升級的，面對醫療行業的成百上千台計算機，管理員只能一台一台的手工升級，外加醫療行業辦公地點較為分散，管理員進行系統維護時往往需要花大量時間處理，這樣的工作量造成網絡管理員沒有時間處理其它應急事務。

6.         在工作時間內員工私自玩遊戲或做與工作無關的事情，大大降低了員工的工作效率，也會嚴重影響醫療行業工作人員的醫德形象。

三．           解決方案

為了加強醫療行業內網的安全防護、加強內網的健壯性，做到事前預警，事後有據可查，通過在醫療行業業務網中部署一套網劍內網安全綜合管理系統，即在業務網的管理中心搭建內網安全管理中心，所有的業務網終端主機與服務器安裝內網終端安全客戶端軟件，以保証醫療行業正常的辦公環境。

1.   針對人員非法接入的問題，INSS基於802.1x協議或ARP協議阻斷等手段，能夠有效地控制非法用戶的接入，實現精確的准入控制，保証業務系統的正常運行；

2.   針對由於業務網與互聯網物理隔離導致的操作系統補丁無法及時更新，安全漏洞無法及時解決等問題，INSS基於補丁分發管理功能，可自動實現終端主機的系統補丁更新，降低終端主機感染病毒的機會，增強安全性；

3.   針對因醫療行業員工濫用移動存儲設備造成的信息洩露和病毒氾濫，INSS對終端主機硬件外設接口進行有選擇性的禁用管理，並只允許經過授權的移動存儲設備使用，保証內部涉密數據不被非法帶出內網；

4.   針對員工非法連接互聯網引起的安全問題，INSS提供連接互聯網監控管理策略，可以嚴格限制終端計算機私自與醫療行業內網之外的網絡通訊，一旦發現有非法外聯行為發生，立即將其阻斷，並馬上給管理員報警信息。

5.   針對醫療行業的HIS系統升級困難問題，INSS提供軟件分發功能，不用離開辦公室就可以同時給內網所有終端計算機進行HIS系統升級。

6.   針對員工工作時間玩遊戲或做與工作無關事情，INSS通過進程限制、禁止安裝非法軟件等措施限制員工的行為。

四．           方案效果

通過部署內網安全管理系統，可以規範了內網用戶的網絡行為，有效保障了醫療行業內網安全，為推動醫療信息化向縱深發展創造了有利條件。