医院局域网的安全管理与病毒防治技术分析

[摘要]随着计算机的普及，各单位也相应地把自己院内的计算机互连起来，组成具有各自特色的院内局域网，以便于可以共享自己的资源。但随之而来一个问题也被很多的院内人士所关心起来，这就是网络的安全性问题：共享的信息不知什么时候被删除或改动，内部网页打不开等问题，本文笔者以“二甲”医院的局域网为例，谈谈我们在医院信息安全方面的一些管理方案和措施。

[关键词]医院LAN；信息共享；病毒预防

随着医院HIS系统的普及，LIS系统及PACS系统的深入，以及医院电子病历的推广，各医院的信息化建设的投入也开始越来越大，推广也越来越深，对信息化建设的依赖也越来越强，一个“二甲”医院，最基本的投入也是HIS系统的建设平台。而PACS系统和电子病历系统对系统网络的带宽及稳定性的要求就更高些。这时，网络的安全性与稳定性就显得尤其重要，PACS系统需要传递大量的图像信息，电子病历也需要读取大量的数据信息，网络的不稳定，会引起信息数据传递过程中的丢失和网络阻塞。因此，提高网络数据的传输率，增强数据共享的安全性和稳定性，也成为医院网络管理人员所必须关注的话题。

一、局域网的组成

计算机局域网络的组成一般有两种方式，一种是由域所组成的管理方式，这种网络是由一台服务器做成域，域具有很高的管理权限，客户机权限由域所分配，只有域所分配权限的客户机才能有访问域，提供登录ID和密码，或连接进入域的网络，访问网络中的信息。客户机对网络中信息数据的共享与访问均需得到域服务器的许可才行。这种管理方式，管理较繁锁。另一种是由工作组所组成的管理方式，这种方式组建的局域网的客户机相互间都是平等的，都可以即做服务器又做客户机，数据共享非常方便。目前大多数医院都是采用这种局域网的组建方式，理由就是组建简单，只需要把院内的电脑通过交换机连接起来即可。但是这种方式组成的网络最大的缺点就是安全性不高。

医院局域网的组建拓扑结构大多可以分为二层结构，内层由核心层或汇聚层组成，指的是数据库服务器与中心（核心）交接机（路由器），外层为接入层，大多为各楼层的次级交换机与接入的电脑，组成的拓扑结构如下

二、安全分析

2.1软件本身的设计使数据安全性降低

软件本身的设计缺限使数据的安全性降低，我们知道数据是存贮在服务器上的，用户通过录入用户ID和密码，进入系统对数据进行操作，现在有很多的密码窃取工具针对某些应用软件的设计漏洞进行安全攻击，得到用户的操作权限，从而进行数据的破坏或造成数据流失。

2.2服务区域没有进行安全防护

医院网络系统中的数据快速、便捷的传递，在服务区域内若没有设立防护措施，则有可能同时造成网内计算机病毒的快速传播。计算机病毒会通过交换机快速传递给网络中的每一台电脑，轻者使网络的运行速度变慢，严重者会让整个系统瘫痪，更为严重的是数据信息的丢失。

2.3网内用户安全意识不强

现在有很多的电脑由于工作需要内外网同时使用，例如新农合软件，在连接外网的同时还需要访问内网数据（HIS系统数据），这会造成外网的许多木马、蠕虫等病毒直接进入内网服务器的机会。还有许多的用户经常使用移动设备如U盘或移动硬盘来拷贝内网的数据或共享文件，这也造成了外部的数据不经过检查就进入了院内网，增加了数据不安全的因素，同时也带来了病毒入侵内网系统的机会。

2.4IP地址冲突

IP地址冲突在局域网中经常会出现，也是网管们最头疼的问题之一，同一地址段出现IP冲突的计算机，就上不了网，会花费网络管理员很多的时间和精力会查找、排除。当网内的计算机越多，出现IP地址冲突后，查找有问题的IP就会越困难。

三、安全控制措施

3.1提高工作人员的安全意识及操作水平

对于院内的工作人员尤其是新上岗的人员，首先加强安全意识的培训，再强化安全知识的培训，对于操作人员，必须熟练应用医院HIS系统及其它电脑操作基本常识，还需掌握一些其它应对电脑故障时的处理方法。这项工作是长期的，针对不同的人可以把培训分成各个级别，比如初级培训、中级培训、高级培训等。

3.2提高局域网内的安全性

（1）对于院内每一个用户对其访问网络的权限进行设定，通过设定系统的组策略，严格划分每位操作人员的等级。

（2）禁用客户端电脑的可移动设备的端口，如光驱、USB等端口。实践证明，该策略的实施能有效地减少外界木马、蠕虫等病毒对内网的入侵，保证内网数据的安全非常有效。

（3）在必须同时使用内网与外网的电脑上，例如使用新农合软件的电脑在其进入内网的接口处加装硬件防火墙，可设定VLAN隔断两网的直接连接，还可以设定包过滤规则，有效地减少外网的木马、蠕虫等病毒对内网系统软件的冲击，减轻外网对内网数据的威胁，高效的保证院内网的数据的安全性与稳定性。

（4）对于核心层交换机，其配置较高，一般都具有QoS、VPN、安全和管理等许多功能，访问列表（AcessList）是其中一个重要的功能。访问列表是一些语句的有序集合，它根据网络中每一个数据包所含信息的内容，决定是否充许其数据包通过该端口。我们可以通过对核心交换机的每个端口设定其访问列表规则，过滤掉来致终端机的所有低层的DoS攻击，可保证数据库服务器的安全性稳定性，从而也保证了整个院内网络的安全稳定。

（5）封闭网内空闲的IP地址，设定IP地址范围，最好将IP地址与网卡的MAC地址进行绑定，禁止其它的用户随意改动IP地址，最好有一台专用的DHCP服务器对接入内网的每台计算机自动分配IP地址及与其MAC进行绑定。

四、病毒防治策略

病毒的入侵对医院局域网的数据的安全威胁是最大的，其毒性发作时对于网内系统的资源的占用也最多。当终端的某一台计算机感染病毒后，由于病毒的特性，虽然它只是一小段程序或代码，但是会很快通过网络传递给网络中的每一台计算机甚至各交换机，使计算机的运行速度变慢，网络阻塞，数据服务器的信息丢失等等。因此对于计算机病毒的防治工作非常重要。最好安装网络版的杀毒软件，及时升级病毒库文件，有效监控网络中计算机的运行状态，及时查杀未知的病毒，减少计算机病毒对计算机网络的危害。

总之，局域网的安全与管理是一项艰巨而又长期的任务，需要网络管理人员不断的努力，建立完善一套全面的管理系统，才能把网络的安全建立成一个多层次、多结构的立体防御体系。

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文