医院用户走访手记之二:业务的安全级别

【采访对象】韩先生,任职与某公立医疗结构,负责医院网络的管理和维护工作已逾5年。

【采访时间及地点】8月16日,北京

【用户感言】作为网络管理和维护的工作人员,首先最基本的安全保障工作就是要通过内外网隔离及外部设备接口拒绝访问等安全策略方式确保医院网络和数据的安全,尤其是医院内网的安全。与此同时,一旦遭遇网络问题,首先就需要网络管理人员敏锐地反应到:门诊、收费、处方、医嘱等多种业务应用系统的不同优先级,并且依次根据这种优先次序确保网络的通畅。此外,一些简单的安全工具和软件也是必不可少的,比如防病毒软件和一些基于系统的安全策略的设置,都是简捷规避安全威胁的一些举措。当然,限于医院客观条件,很多不规范的基建也是潜在的安全隐患所在。但是,总体而言,为了更好的确保网络通畅及安全,在遇到问题时,管理人员一定要有一种训练有素的表现,以便正确做出判断、及时处理网络故障,从而保障医院各项业务的稳定开展。

【采访手记】

对于大多数人而言,门诊挂号,作为患者去医院就诊的第一环节总是让人耿耿于怀,原因就在于排队难。但当我们今天站在医院网络管理员的角度来看时,其实这个环节更是他们最最担心的首要保障业务。"一旦医院出现问题,首先保障的就是门诊了,这个毫无疑问。"韩先生非常果断地表达出对门诊系统的"紧张"。

的确也是,医院网络系统的安全与否,其最直接的影响对象就是医院的业务系统,而业务系统中最为扰人的一块业务就是门诊。

由此,韩先生便似一下子找到了知音似的,一股脑跟我们袒露了他在医院网络管理及安全维护工作5年的心得和体会。

一、内外网隔离是基础措施

作为一家公立医院信息中心的网络管理维护人员,韩先生凭借5年的工作经验认识到,任何一个终端,只要是连接到网络中,其受到病毒的威胁就是在所难免的。因此,作为医院网络的组成部分,属于内网的终端必须要与外部的互联网隔离,这也就形成了对内对外的两张网。例如,在医院业务系统中的一些环节(收费、挂号、住院、医嘱等),都是划归在医院内部的局域网内的,通过物理上的隔离,内部局域网可以避免外部病毒的侵入,与此同时,这样做的另一个好处,就是可以避免医院内部的数据信息(包括患者隐私信息)通过网络泄露到外界。

二、外部设备的禁用和锁定

在实施内外网隔离的基础上,韩先生所在的医院还对内部局域网的每台终端施行了外部接口的禁用,如光驱、USB接口等。对此,韩先生也坦诚,医院是通过一些管理软件做的这些禁用策略,但如果真得碰到恶意篡改这种策略的终端用户,那么结果也照样还是会形成安全隐患,因为有些医生首先自身电脑方面的知识也不差,同时也偶尔会想将上班时间处理不完的工作带回家处理,所有这些都是隐形的安全隐患。但是,至少目前还好,医院实施外部接口禁用后,尚未出现由此带来的安全事件。

三、遇到问题时,及时切断病毒传播途径,控制病毒爆发范围

相对于内网而言,有些外网上的机器由于无法对其设备同样施行隔离或锁定,因此,病毒侵入的风险就更大了。同时,也的确遭遇过感染病毒的情况,而且一旦病毒发作,其通过网络传播的速度是非常快的。据韩先生介绍,记得有一次,外网有机器感染了病毒,当时韩先生非常果断地通过切换交换机端口等办法,找出了病毒源头的区域,并及时切断了病毒发作区域与其他区域的网络连接,从而把病毒控制在了一定范围内。之后,韩先生与同事才又通过交换机命令等方式,查找感染病毒的具体终端,最终杀除病毒,恢复了网络。

四、良好的防火墙、杀毒软件和网管软件

据韩先生介绍,医院信息中心的团队还是很小规模的,五六个人要应付全院好几百台终端及整个网络环境,因此,常规的安全设备是必须的,比如防火墙、防病毒软件以及网络管理类的软件。对此,韩先生深有感触,他表示,计算机终端的数量是远超过医院的网络维护人力数量的,如果没有一套良好的防火墙、杀毒软件和网络管理软件,仅靠人力来维护是非常困难的。防火墙和杀毒软件自不必说,一定要有良好的保护功能和杀毒功能,而对于网管软件,最好可以实现管理和监控一体化,能实时的监控和操作网络中的各台终端,并可以监控网络流量的异常现象等。

五、尚待解决的问题

目前韩先生所在的医院尚未建立IP地址与MAC地址绑定的机制,因此,依然存在诸如笔记本等无论是院内个人私有电脑还是外来人士的私有电脑,通过医院的网点连入到医院外网甚至通过非法手段访问内网的风险。因为个人私有设备是没有经过网络管理员统一布署安全环境的,有病毒侵入和数据外泄的可能。韩先生表示,这一问题,可以在后续通过自行编写交换机命令或引进相关工具来解决,但是仍然很难完全排除隐患所在。此外,对于医院固有的很多基础建设时的局限性,如医院新旧大楼之间网络互联时采用了不规范的走线、网络整体环境部署仍然是在以往的架构上添加……诸如此类的基础网络设施等方面的硬件安全隐患也是存在不少,虽然由此而导致的安全事件几率不高,但是一旦发生却不是能轻松解决的。

总结

从韩先生的言语之间,我们非常清楚地可以感受到他对医院网络环境及安全维护工作的游刃有余,但同时我们也从他由衷的话语中感受到医院网络安全工作的任重而道远。因为,庆幸的是,一个不足三甲的医院信息中心中,有这样一批技术娴熟、工作负责的好同志;惋惜的是,即使有这样高觉悟的工作人员,却依然难有自主权提升医院网络安全级别,或许有太多需要综合衡量和考证的因素,但至少我们听到的结果是,技术人员前不久从医院本身安全需求出发提出的对网络管理改进的试用方案最终没有能够实施……

但是无论如何,在我们为数不多的几次走访中,我们为医院信息中心中有这样一些"训练有素"的IT技术人员而感到欣慰。同时,我们也呼吁更多的网管人员,无论您从事何种行业的网络管理工作,都请尽可能多地总结日常工作经验,以便在应对问题时更有游刃有余的风采。