資源大小:97.89 KB |
資源類(lèi)型:文檔 |
|
下載積分: 1 |
|
|
|
|
資源介紹 |
|
醫(yī)院信息系統(tǒng)運(yùn)行安全策略
靳萍�,尚邦治
(首都醫(yī)科大學(xué)宣武醫(yī)院醫(yī)學(xué)工程科,北京100053)
[摘要】隨著醫(yī)院業(yè)務(wù)不斷發(fā)展�,其信息系統(tǒng)應(yīng)用范圍也日漸擴(kuò)大,醫(yī)院信息系統(tǒng)是醫(yī)院的主要經(jīng)濟(jì)支柱和命脈�,因此保障醫(yī)
院信息系統(tǒng)運(yùn)行安全非常重要。本文分別從劃分VLAN����、使用組策略�����、病毒服務(wù)器��、網(wǎng)管軟件�����、VNC軟件的使用五個(gè)策略對(duì)保障
HIS系統(tǒng)的安全運(yùn)行進(jìn)行探討�����。
[關(guān)鍵詞】醫(yī)院信息系統(tǒng)�;VLAN����;;網(wǎng)管軟件����;病毒服務(wù)器
[中圖分類(lèi)號(hào)】TP393.08 [文獻(xiàn)標(biāo)志碼】A [文章編號(hào)】1007—7510(2007)06—0018—02
Discussion on HIS Safety Operation Strategy in a Hospital
JIN Ping,SHANG Bang—zhi
(Xuanwu Hospital Capital University of Medical Sciences�,Beijing 100053��,China)
Abstract:Discusses the safety strategy on the partition of VLAN����,using group strategy���,Netmanager software,virus
server��,VNC software to ensure the safe operation of HIS.
Key words:HIS����;VLAN ;Netmanager software�����;virus server
0 前言
醫(yī)院信息系統(tǒng)(Hospital Information System��,簡(jiǎn)稱(chēng)
HIS)是計(jì)算機(jī)技術(shù)���、通信技術(shù)和管理科學(xué)在醫(yī)院信息管理中
的綜合應(yīng)用�����。隨著醫(yī)院業(yè)務(wù)不斷發(fā)展�,規(guī)模越來(lái)越大,其信息系
統(tǒng)應(yīng)用范圍也日漸擴(kuò)大��,涉及到醫(yī)院工作的方方面面�����,包括財(cái)
務(wù)信息�����、醫(yī)療信息���、病人信息等等����,是醫(yī)院的主要經(jīng)濟(jì)支柱和命
脈�。但是網(wǎng)絡(luò)技術(shù)伴隨著信息化進(jìn)程的迅速發(fā)展給人類(lèi)帶來(lái)方
便快捷的工作效率的同時(shí),網(wǎng)絡(luò)上出現(xiàn)的各種問(wèn)題也給網(wǎng)絡(luò)用
戶(hù)帶來(lái)了無(wú)休無(wú)止的煩惱����,數(shù)據(jù)和網(wǎng)絡(luò)安全已越來(lái)越成為醫(yī)院
最頭痛的問(wèn)題之一。安全問(wèn)題引起的系統(tǒng)癱瘓、重要數(shù)據(jù)丟失
等現(xiàn)象也不斷困擾著用戶(hù)��,使網(wǎng)絡(luò)管理和維護(hù)變得更加復(fù)雜�。
如何保障醫(yī)院信息系統(tǒng)運(yùn)行安全對(duì)系統(tǒng)管理員來(lái)說(shuō)是件
非常重要的事,不但要預(yù)先制定出防御方案以減少系統(tǒng)出錯(cuò)的
可能���,而且還要考慮日常維護(hù)時(shí)如何快捷���、直觀的解決實(shí)際應(yīng)
用中出現(xiàn)的偶發(fā)問(wèn)題。以下提出的幾個(gè)技術(shù)方案可以保障HIS
系統(tǒng)的安全平穩(wěn)運(yùn)行����。
1 劃分VLAN
VLAN(Virtual Local Area Network)又稱(chēng)虛擬局域網(wǎng)�����,
是指在交換局域網(wǎng)的基礎(chǔ)上�����,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越
不同交換機(jī)的端到端的邏輯網(wǎng)絡(luò)��。一個(gè)VLAN是一個(gè)邏輯子
網(wǎng)�����,即一個(gè)邏輯廣播域,它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備�����,允許處于不
同地理位置的網(wǎng)絡(luò)用戶(hù)加入到一個(gè)邏輯子網(wǎng)中�����,通過(guò)將局域網(wǎng)
內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛
收稿日期:2006—11—01
擬工作組的技術(shù)�。
在物理網(wǎng)絡(luò)基礎(chǔ)架構(gòu)上,利用交換和路由的功能��,配置網(wǎng)
絡(luò)的邏輯拓?fù)浣Y(jié)構(gòu)�,網(wǎng)絡(luò)管理員可任意地將一個(gè)局域網(wǎng)內(nèi)的任
何數(shù)量計(jì)算機(jī)聚合成一個(gè)用戶(hù)組,就好像它們是一個(gè)暈獨(dú)的局
域網(wǎng)�����。
為了減少?gòu)V播域范圍�,HIS業(yè)務(wù)系統(tǒng)需要較多的VLAN,
要控制每個(gè)VLAN 內(nèi)客戶(hù)機(jī)節(jié)點(diǎn)不要過(guò)多���。其他業(yè)務(wù)系統(tǒng)可
以根據(jù)需要配置相應(yīng)的VLAN���。不同業(yè)務(wù)之間通過(guò)劃分
VLAN邏輯子網(wǎng)進(jìn)行分離����,從而避免使用各種業(yè)務(wù)應(yīng)用的用
戶(hù)在網(wǎng)絡(luò)資源上的相互干擾����,并且可以明顯加強(qiáng)業(yè)務(wù)應(yīng)用之間
的安全控制。
醫(yī)院主要是使用基于端口劃分的VLAN�,同屬于一個(gè)
VLAN 的端口可以不連續(xù),即同一VLAN可以跨越數(shù)個(gè)以太
網(wǎng)交換機(jī)�����,這是目前使用最廣泛的方法�。一般是將門(mén)診、住院系
統(tǒng)���、辦公樓等分別劃在不同的VLAN中,同一VLAN中信息
可以相互流通����,每一個(gè)VLAN都是相互獨(dú)立,之間并沒(méi)有路由
連接����。為了保證每個(gè)VLAN中的客戶(hù)機(jī)不能數(shù)量過(guò)多�����,可以將
處于不同樓宇的門(mén)診或住院系統(tǒng)也劃分出不同VLAN�。
對(duì)于HIS系統(tǒng)最好將所有的服務(wù)器劃分在一個(gè)VLAN
中��,已保證網(wǎng)絡(luò)中其它VLAN出現(xiàn)問(wèn)題時(shí)不會(huì)影響到服務(wù)器
組的安全����。
2 使用組策略提高系統(tǒng)安全
在Windows 2000操作系統(tǒng)中,我們可以使用“組策略”為
用戶(hù)和計(jì)算機(jī)組定義用戶(hù)和計(jì)算機(jī)的配置����。通過(guò)使用“組策
略”,Microsoft管理控制臺(tái)(MMC)可以為特定用戶(hù)和計(jì)算機(jī)
· 18· 22卷6期 2007.6
維普資訊 http://www.cqvip.com
壓療設(shè)吾傷垂
組創(chuàng)建個(gè)性化的配置����。“組策略”配置包含在一個(gè)“組策略對(duì)象”
(GPO)中�,該對(duì)象又與選定的Active Directory服務(wù)器站點(diǎn)、
域或組織單位(Ou)等相關(guān)聯(lián)�。組策略對(duì)象包括兩種對(duì)象——
非本地和本地的組策略對(duì)象。
組策略包括應(yīng)用于域或計(jì)算機(jī)組的大量安全權(quán)限配置文
件����。一個(gè)組策略對(duì)象可以應(yīng)用到域內(nèi)的所有計(jì)算機(jī)�����。單個(gè)計(jì)算
機(jī)啟動(dòng)時(shí)���,組策略得以應(yīng)用,如果作出改動(dòng)時(shí)沒(méi)有重新啟動(dòng)計(jì)
算機(jī)����,組策略也會(huì)得到定期刷新。
在實(shí)際使用中可根據(jù)需要將用戶(hù)分為幾個(gè)組����,分別使用不
同的組策略,開(kāi)放或禁止相關(guān)的功能���。例如可以封掉網(wǎng)上鄰居
的功能���,避免客戶(hù)訪(fǎng)問(wèn)其它機(jī)器���。系統(tǒng)管理員只需對(duì)用戶(hù)工作
環(huán)境狀態(tài)定義一次�����,當(dāng)客戶(hù)以各自的用戶(hù)登錄域時(shí)�����,組策略自
動(dòng)起效����,對(duì)用戶(hù)和計(jì)算機(jī)進(jìn)行管理。
3 病毒服務(wù)器
網(wǎng)絡(luò)上的計(jì)算機(jī)病毒對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的威脅越來(lái)越大�,需要
采取必要的措施來(lái)將計(jì)算機(jī)病毒的威脅防范于未然。防病毒軟
件的使用雖然是一種防御手段�����,但對(duì)于醫(yī)院網(wǎng)絡(luò)中大量用戶(hù)終
端所感染的病毒清除仍然是有效的�。
配制單機(jī)版防病毒軟件在用戶(hù)管理和病毒庫(kù)升級(jí)方面都
存在困難,因此應(yīng)使用網(wǎng)絡(luò)版防病毒軟件���。在服務(wù)器組中增加
一臺(tái)防病毒服務(wù)器��,安裝服務(wù)器端���,所有的工作站安裝客戶(hù)端
軟件�����。為了防止用戶(hù)終端與互聯(lián)網(wǎng)之間有直接的通信��,在防病
毒軟件客戶(hù)端通過(guò)配置定期檢索策略實(shí)現(xiàn)自動(dòng)升級(jí)功能��,從而
減輕對(duì)網(wǎng)絡(luò)用戶(hù)管理的壓力��,每周及時(shí)更新服務(wù)器上的病毒碼
即可�����。
4 網(wǎng)管軟件MAC地址綁定
對(duì)醫(yī)院網(wǎng)絡(luò)中客戶(hù)終端進(jìn)行端到端的有效管理一直是信
息中心所面臨的難題�,通常采用的方法需要在客戶(hù)端安裝相應(yīng)
的軟件���,因此無(wú)論在安全性和可操作性方面都存在問(wèn)題�����。
在實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)客戶(hù)進(jìn)行端到端管理時(shí)���,用戶(hù)端應(yīng)盡量利用
SNMP協(xié)議進(jìn)行管理,同時(shí)通過(guò)“域”安全策略和端口漏洞掃
描技術(shù)加強(qiáng)安全控制,從而保證在實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)客戶(hù)進(jìn)行端到端
管理時(shí)的可操作性和安全性����。
網(wǎng)管系統(tǒng)一般只提供基于IP地址的設(shè)備和安全管理�,當(dāng)
發(fā)生設(shè)備問(wèn)題或流量異常時(shí)很難追查故障源的確切位置,給網(wǎng)
絡(luò)排錯(cuò)帶來(lái)一定的難度����。因此網(wǎng)絡(luò)客戶(hù)終端應(yīng)配置固定的IP
地址,并通過(guò)“域”安全策略限制用戶(hù)的直接修改���;在設(shè)備網(wǎng)絡(luò)
地址和實(shí)際安裝位置之間建立相對(duì)確定的對(duì)應(yīng)關(guān)系����,從而避免
在全網(wǎng)內(nèi)采用DHCP服務(wù)所帶來(lái)的管理不便��。
MAC地址綁定當(dāng)然管理起來(lái)更直接��,只需建立一張機(jī)器
與MAC地址對(duì)應(yīng)表���,但是需要不斷的維護(hù)�����。但是當(dāng)客戶(hù)端的
網(wǎng)卡出現(xiàn)問(wèn)題時(shí)����,維修比較麻煩,需要重新維護(hù)地址表�����,并在網(wǎng)
管軟件中開(kāi)通�����。
5使用遠(yuǎn)程控制軟件一VNC軟件
醫(yī)院的門(mén)診�、住院系統(tǒng)工作站加起來(lái)一般都在幾百個(gè),且
分布點(diǎn)很廣����。一旦某個(gè)點(diǎn)出問(wèn)題,維護(hù)人員必須去現(xiàn)場(chǎng)解決很
不方便而且耽誤時(shí)間����,尤其是手術(shù)室等需要凈化的地方出入更
平時(shí)臨床科室有 |
|
|
下載地址 |
|
|
| |
