桌面安全管理系統(tǒng)在醫(yī)院的應(yīng)用體會
馬瑩.鐘初雷
(紹興市人民醫(yī)院信息處,浙江紹興312000)
醫(yī)院信息系統(tǒng)的應(yīng)用極大地提高工作效率與管理質(zhì)量,
優(yōu)化工作流程,節(jié)約患者等待的時間,方便患者就醫(yī),信息化
成為現(xiàn)代醫(yī)院的標志。隨著門診、住院醫(yī)生工作站、實驗室管
理信息系統(tǒng)、醫(yī)學(xué)影像存檔與傳輸系統(tǒng)、電子病歷系統(tǒng)的深
入應(yīng)用,醫(yī)務(wù)人員對計算機的依賴性越來越強,醫(yī)院信息系
統(tǒng)一旦癱瘓,手工業(yè)務(wù)很難立即恢復(fù),將引起醫(yī)療業(yè)務(wù)紊亂
與中止,給醫(yī)院帶來巨大的經(jīng)濟與形象損失。因此,從安全
性、可靠性、高效性、可控性和持續(xù)性全方位落實信息安全措
施,保障信息系統(tǒng)安全穩(wěn)定運行具有特別重要的意義l】。
為保障信息系統(tǒng)穩(wěn)定運行,醫(yī)院信息系統(tǒng)廣泛應(yīng)用了主
要服務(wù)器的集群熱備或負載平衡,核心交換機的冗余,數(shù)據(jù)
庫的實時或定時備份,防火墻與網(wǎng)絡(luò)版殺毒軟件的配置等安
全措施12一。這些措施主要考慮到了機房設(shè)備與數(shù)據(jù)的安全。
但缺乏考慮眾多客戶端的安全及客戶端對整體信息安全的
影響。本院在對機房服務(wù)器設(shè)備、核心交換機、數(shù)據(jù)備份、防
火墻、殺毒軟件進行優(yōu)化配置的基礎(chǔ)上,應(yīng)用桌面安全管理
系統(tǒng)軟件,對內(nèi)網(wǎng)和客戶端面臨的信息安全問題進行綜合管
理,取得了良好的效果,現(xiàn)將應(yīng)用體會總結(jié)如下。
1 醫(yī)院計算機系統(tǒng)面臨的桌面安全問題
1.1網(wǎng)絡(luò)共享導(dǎo)致游戲與網(wǎng)絡(luò)小說泛濫
醫(yī)院網(wǎng)絡(luò)內(nèi)只要一臺客戶端安裝了游戲與網(wǎng)絡(luò)小說,通
過網(wǎng)絡(luò)共享方式會導(dǎo)致全院性的游戲與網(wǎng)絡(luò)小說流行。雖然
收稿日期:2007—06—04
醫(yī)院制度規(guī)定醫(yī)院計算機不能玩電腦游戲,但相關(guān)管理的職
能科室很難使用行政手段杜絕此類行為。醫(yī)生在上班時間玩
電腦游戲或看網(wǎng)絡(luò)小說被發(fā)現(xiàn),有損于醫(yī)生在患者心目的形
象,引發(fā)患者對醫(yī)生的不信任,一旦發(fā)生醫(yī)患糾紛。給患者以
醫(yī)生上班玩電腦游戲不關(guān)心患者病情的口實。本院曾發(fā)生過
醫(yī)生上班期間玩電腦游戲,病人家屬看到并要求查看病人病
情未立即兌現(xiàn),病人病情惡化后死亡發(fā)生醫(yī)療糾紛。醫(yī)生雖
無醫(yī)療差錯,但家屬以醫(yī)生上班玩電腦游戲未及時處理病人
為由要求賠償,使醫(yī)院處于被動狀態(tài)。
1.2 擅自安裝光驅(qū)與使用USB移動存儲設(shè)備
醫(yī)院內(nèi)網(wǎng)計算機拆除光驅(qū)、CMOS,禁止USB端口,但個別
工作人員通過外界拿來光驅(qū)接到客戶機上或主板電池放電
方式重置CMOS設(shè)定,達到客戶機可以使用光驅(qū)與USB移
動存儲設(shè)備,將游戲、網(wǎng)絡(luò)小說安裝到客戶機上,從而引發(fā)醫(yī)
院網(wǎng)絡(luò)內(nèi)游戲與網(wǎng)絡(luò)小說的不斷更新與增多,并帶來病毒來
源,增加醫(yī)院信息系統(tǒng)的安全風(fēng)險。
1.3擅自修改IP地址
絕大多數(shù)醫(yī)院信息系統(tǒng)軟件采用c/s構(gòu)架,且醫(yī)院網(wǎng)絡(luò)
的核心交換機未設(shè)置VLAN。客戶端修改IP地址,輕則導(dǎo)致
網(wǎng)絡(luò)不通,增加計算機中心維護工作量;重則如客戶端IP地
址與數(shù)據(jù)庫服務(wù)器一致未及時發(fā)現(xiàn),將影響客戶端訪問數(shù)據(jù)
庫服務(wù)器,且計算機中心工作人員很難發(fā)現(xiàn)該客戶機的具體
物理為止,影響信息系統(tǒng)的正常運行。
1.4擅自拆換內(nèi)存、CPU等硬件設(shè)備
維普資訊 http://www.cqvip.com
醫(yī)學(xué)信息2007年l0月第20卷第l0期Medical Information.Oct.2007.Vo1.20.No.10
隨著醫(yī)院全院性PACS的運行與無膠片化的視線,要求客戶
端計算機具備較快的CPU與較多的內(nèi)存。個別工作人員在單
獨一人值班時,將低檔的CPU換取醫(yī)院計算機高檔CPU,或
醫(yī)院計算機配置多條內(nèi)存條時拆除其中一根,不影響客戶端
運行,當計算機中心事后發(fā)現(xiàn)時已很難追查,導(dǎo)致醫(yī)院財產(chǎn)
損失。
1.5蠕蟲病毒感染
醫(yī)院客戶機多,計算機中心很難有精力逐臺維護客戶端
的操作系統(tǒng)。針對醫(yī)院客戶機未及時安裝最新的補丁程序,
網(wǎng)絡(luò)內(nèi)一有蠕蟲病毒就會導(dǎo)致網(wǎng)絡(luò)、服務(wù)器癱瘓,信息系統(tǒng)
停止運行。
1.6 安裝程序開發(fā)工具與黑客軟件非法獲取數(shù)據(jù)庫密碼
有關(guān)數(shù)據(jù)顯示,9o%的局域網(wǎng)攻擊來自內(nèi)部。醫(yī)院內(nèi)個別
計算機水平高超的年輕工作人員,通過黑客軟件非法獲取數(shù)
據(jù)庫訪問密碼,安裝編程開發(fā)工具非法訪問醫(yī)院核心數(shù)據(jù)
庫,對信息安全造成非常大的隱患。一旦心懷叵測,蓄意破
壞,將給醫(yī)院信息系統(tǒng)以毀滅性的打擊,造成無可挽回的損
失。
1.7聯(lián)網(wǎng)計算機資產(chǎn)管理
醫(yī)院計算機分批采購,聯(lián)網(wǎng)客戶端數(shù)量達到一定程度以
上時,計算機中心工作人員很難精確了解每臺聯(lián)網(wǎng)計算機具
體CPU、內(nèi)存、操作系統(tǒng)等配置情況,對于計算機的更新?lián)Q代
缺乏信息支持。
2 桌面安全管理系統(tǒng)軟件對應(yīng)的解決方案
2.1控制共享與進程監(jiān)控
桌面安全管理系統(tǒng)控制網(wǎng)絡(luò)共享,達到任何一臺客戶機
不能設(shè)置共享,防止游戲與網(wǎng)絡(luò)小說在醫(yī)院網(wǎng)絡(luò)內(nèi)泛濫。對
進程進行控制,合法程序進行注冊使之正常運行,未注冊程
序不能運行,從而使客戶端不能運行游戲程序。
2.2對客戶端光驅(qū)與USB移動存儲設(shè)備進行控制
桌面安全管理系統(tǒng)對光驅(qū)、軟驅(qū)、USB、藍牙、紅外通訊進
行控制,管理員允許的可以使用上述接口,否則不能使用。且
一旦連接相關(guān)設(shè)備,服務(wù)器端控制臺會顯示報警信息并日志
紀錄。這一措施使安裝光驅(qū)與重置CMOS也不能使用光驅(qū)與
USB存儲設(shè)備。
2_3固定客戶端IP地址
安全管理系統(tǒng)軟件可以設(shè)定固定客戶端的IP地址,不允
許操作人員擅自修改。
2.4不允許更換硬件的控制
安全管理系統(tǒng)軟件進行硬件信息綁定,可以綁定網(wǎng)卡
MAC地址、主板、硬盤、CPU、內(nèi)存等硬件信息,客戶端硬件一
有變更,服務(wù)器端控制臺報警并日志紀錄,達到有效控制擅
自拆換內(nèi)存、CPU等硬件設(shè)備現(xiàn)象的發(fā)生。
2.5端口控制
通過配置拒絕注冊列表的端口通訊或 |
|
資源大小:199.62 KB 
