随着科技的发展，作为医疗行业信息化的重要推动力，医院信息系统（HIS）经过近二十年的发展，已经初具规模。目前，我国大部分医院网络系统分为两个部分——用于日常医疗信息交换的业务网以及实时获取Internet信息资源的办公网。其中的医院业务网是医院业务开展的平台，为了保障安全，业务网与办公网之间进行了物理隔离。然而，随着业务网应用的深入，业务网内网存在的一些不安全因素成为影响其正常运行的重大隐患，例如人员的非法接入、因员工滥用移动存储导致的信息泄漏，违规使用BT等P2P软件造成的带宽滥用等。为了保障内网安全，深化医疗信息化的发展，医院迫切需要一套有效的内网安全管理系统。
   作为医疗行业的计算机终端安全管理而言，需要解决如下问题：
    一、网络管理
    在医疗行业的网络环境中，由于单位规模、单位办公的需要，存在很多的工作区域，甚至在外地也有自己的分院、社区医院或者远程诊断系统，为了便于医院内部的信息共享，一般采用专线或其他网络互联技术，使之与内部网络连接，便于单位内部的数据管理和办公管理。但是大规模的网络环境、复杂的分支机构，给网络管理带来了极大的困难，设备的分布不明确；流量管理没有依据；对于静态IP地址环境地址混乱、冲突也是很棘手的问题。针对网络管理方面主要包括以下几个方面：
    二、流量控制
    借助物理网络拓扑图上设备的物理连接关系，通过可网管交换机端口的流量控制，能够对交换机下连的设备进行端口控制，关闭端口或是打开端口。但是内部网络环境中不可能所有的交换机全部都是可网管的，而且管理员不可能天天进行端口的打开、闭合操作，除非是出现异常的网络攻击和拥塞时，才会采取如此非常手段。因此对于日常的控制来说，最有效的方法是通过控制每个终端的流量，如果能将设备的流量控制在一定的范围内，既保证了终端的正常工作使用，又可以防范在非法使用P2P下载软件抢占带宽和病毒爆发时给网络速度带来的拥塞，这对于管理来说才是实用的管理手段。
    三、IP地址管理
    为了便于管理，出现问题能够及时追查，网络建设时管理员通常使用静态IP地址，这对于管理来说确实是一个有效可行的措施。但是由于员工的计算机操作水平不同，很可能造成随意修改IP地址带来的内网地址冲突，这给内网管理带来很繁琐的问题。虽然通过在核心或二层交换机上，可以通过命令来绑定IP/MAC地址从而消除上述问题，但是工作量庞大，因此彻底屏蔽IP地址冲突的问题是网络管理必须要做的。
    四、桌面管理方面
    单位内网进行办公所运行的各种服务都是应用在终端设备的基础上，一旦终端设备的安全性出现问题，那么所有其承载的服务将无法运行，严重影响单位的工作效率，给单位的生产造成损失。因此必须保证机器的健壮性，为了保证机器的正常运行包括以下几个方面：
    1.进程控制
    由于当前大量病毒以及恶意程序的存在，而这些程序对于普通用户而言并不知情，甚至有些恶意程序通过技术手段使得用户无法通过任务管理器看到其工作进程；另一方面，有些用户可能有意或无意地运行一些可能会影响他人或自己工作的软件(如网络嗅探器)。
    单位的机器目的是提高员工的生产效率，充分利用上班时间为单位创造更多效益，但是某些娱乐性软件严重影响了员工的工作效率，某些下载软件造成网络速度减慢，影响了内网的正常办公。
    因此通过制定策略，实现对非法进程的监控并阻止，能够大大减少由内部引起的网络安全事件，提高我们的工作效率。
    2.接口管理
    随着计算机外设的增多，各种各样的输出设备（软驱、刻录机、打印机、绘图仪、移动存储设备、红外、蓝牙、无线网络设备）为信息处理和传输提供极大便利的同时，也为机密信息的扩散和泄露带来了可能。尤其是USB接口的计算机周边设备的丰富，使得计算机与其他外部设备，如U盘，USB打印机等连接十分方便，并能轻而易举地通过USB设备将外部数据导入或者内部数据导出，为重要数据的保护带来了巨大的安全隐患。因此，对终端物理端口的控制是必不可少的。
    3.移动存储介质的管理
    移动存储介质已经得到普及应用，移动存储介质使用灵活、方便，使它在各个单位的信息化过程中迅速得到普及，越来越多的敏感信息、秘密数据和档案资料被存贮在移动存储介质里，大量的秘密文件和资料变为磁性介质、光学介质，存贮在无保护的移动存储介质中，这给医院涉及设计、研发信息资源带来相当大的安全隐患。存储介质作为医院核心商业机密和敏感信息的载体，实现对它们安全、有效的管理是保证医院信息安全的重要手段。
    4.网络接入控制
    若不对接入网络的计算机设备进行认证，则每一台外来的计算机设备只要通过涉密网内的任何一个端口连接，则整个网络都将向其开放，这显然对于内部网络安全而言是巨大的安全隐患。因此，需要对计算机终端的接入进行有效的监视和控制。通过提取接入计算机的物理特征，可以判断该计算机是否为医院内网上授权接入的计算机，如果为非授权计算机，则视为非法主机。对非法主机需要采取必要的方式进行阻断和隔离，从而保证该计算机无法访问内网的相关资源。
   峰盛科技医疗行业内网安全解决方案： 
    医疗系统的内部网络系统可能存在的安全风险进行了深入的分析，并且总结出了与之对应的安全需求。科盾内网安全平台是一个完善的内网安全防御体系，与常规的网络监控或行为控制软件不同，它综合考虑了内网数据安全和内网有序管理两个方面，其总体目标是提升内网安全与管理，规范和约束内部人员的计算机操作行为，防止敏感信息泄密、端口控制、刻录控制、存储设备控制、打印操作控制以及设备属性设置等功能，它们以安全策略的形式在峰盛管控中心进行描述和编辑，并通过策略下发由峰盛安全终端执行。
    1.控制用于控制终端用户能否使用串口并口、调制解调器、SCSI控制器、火线1394、PCMCIA以及红外接口等外设端口；
    2.控制用于控制终端用户能否使用刻录设备；
    3.设备控制用于控制终端用户能否使用软驱、光驱、USB以及磁带等存储设备。其中，针对USB存储设备，在两种控制方式的基础上增加了“启动移动磁盘存储管理”的选项，用于细粒度控制USB存储设备的安全使用。另外，针对USB存储设备的拷贝操作，提供了日志记录和预警的选择；
    4.打印操作控制除用于控制终端用户能否使用打印设备外，还在相应日志记录和预警基础上提供了打印副本缓存的功能，设备属性设置用于控制终端用户能否修改网络属性（如IP地址、子网掩码、网关地址等）以及使用Windows设备管理器；
    5.进程的签名白名单、签名黑名单、名称白名单以及名称黑名单几种方式来对终端用户的进程行为进行控制。进程安全管理以安全策略的形式在科盾管控中心进行描述和编辑，并通过策略下发由科盾安全终端执行；
    6.邮件、web邮件进行控制和日志记录；
    7.对于未认证介质，管理员能够统一设定该介质能否在内网使用，如果管理员禁止其使用，那么该设备将无法接入企业内网。对于已经注册过的合法移动存储介质，管理员能够集中对其所能够使用的计算机范围和用户范围进行设定。