第一篇:医院网络安全防火墙与入侵检测系统
摘要:
由于受到科技快速发展的支持,为了维护各个领域行业的数据安全,防火墙被不断研发并正随着科技水平的提升而不断升级,具有阻挡外来不明数据及病毒等作用,有效对防火墙内部数据进行保护,其中医院也同样正使用防火墙来保护病人病历、医院设备信息等重要数据。而为了提高对数据的防护,则必须采用防火墙与入侵检测系统结合的方式,在提高防护效率的同时促进医院内人员工作的顺利进行,同时对保护病人的生命安全也起到重要作用。因此本文对我国医院网络安全现状进行分析,并针对防火墙及入侵检测系统在医院网络中的具体应用展开探讨。
关键词:
防火墙;入侵检测系统;医院网络安全
0前言
首先,现如今我国绝大部分医院已全面进入现代化模式,而医院每日会出现大量病人。而病人的病历、医嘱、看病流程等会都是医院重要数据的组成部分;其次,医院购进医疗设备、床位、医疗资源等都需要利用网络对其数据进行记录,而一点丢失则容易使医院遭受巨大经济损失。基于以上两点,医院则建立数据保障安全系统来维护医院网络安全,其中包括防火墙。目前我国大部分医院内采用的防火墙多为经典模式,通过将防火墙设置在路由器与内部网络之间,将内外网络隔离开来,形成最基本的防护模式。
1医院网络安全存在的问题
由于防火墙的主要作用是防止并阻挡外来入侵数据和病毒,如果在医院网络内部网络环境中出现攻击数据,防火墙则无法对其进行采取任何有效措施。但根据防火墙被设计时的主要目的与理念来看,防火墙的主要针对目标就是外部入侵病毒,内部病毒攻击等则与防火墙功能无关。但由于部分医院自身意识不足,在网络安全系统只运用到防火墙一种防护系统,因此只能起到“防”的作用,而并未存在“护”功能。而具不完全统计,我国医院网络安全问题中,有80%以上出现与医院网络内部,人员操作失误、内部人员泄密等,都是造成内部网络受到侵害的主要原因,由此可见,若想要实现内外同时增强医院网络安全,不仅需要设置防火墙,同时也需要在内部运用入侵检测技术,与防火墙充分结合,加强对医院网络的保护。
2入侵检测系统
IDS(入侵检测系统)是一种主动防御攻击的新型网络安全系统,在功能上弥补了防火墙的缺陷,使整个安全防御体系更趋完善、可靠,不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源。
3入侵检测与防火墙结合的原理分析
防火墙主要作用于内外网络之间,而由于这两种网络信任程度不同,因此则需要利用安全策略加强防火墙的功能作用,防止出现对内部网络信任产生危害的外来数据进入内部,达到安全保护内部环境不受外部侵害的目的。但由于防火墙功能主要针对外部网络,则无法对内部进行监控或防护,而一旦有防火墙无法防范的危险数据则能够轻松绕过防火墙,对内部进行侵略;而IDS入侵检测系统的运用,可以对医院内部数据环境及外部网络情况进行实时检测,一旦发现有外来入侵的征兆,则会及时对该征兆进行判断并采取措施对其防范,进一步提高医院网络安全。而通过多级、分布式的网络监督、管理、控制机制,全面体现了管理层对医院网络关键资源的全局控制、把握和调度能力。即使一个系统中不存在某个特定的漏洞,IDS系统仍然可以检测到相应的攻击事件,并调整系统状态,对未来可能发生的侵入做出警告。由于入侵检测技术的主要功能是对内外入侵数据进行检测,而如果只运用该技术是远远无法达到有效保护医院网络安全作用的。因此,将IDS与防火墙进行有效结合形成联动。IDS系统能够及时对外部入侵行为进行察觉并向防火墙发出请求,而防火墙在对外阻止过程中一旦发现安全策略以外的攻击数据则能够及时向IDS发出信号,使其能够及时调整策略,达到充分提高医院网络安全的效果。
4防火墙与IDS联动的模型设计
本次设计与以往防火墙与入侵检测系统叠加而成的模式不同,而是在进行结合前将这两个系统分别进行研究,并充分分析这两个系统中的各项功能与其自身存在的优势与缺点。并在充分研究后将两个系统有效结合,通过互补原则将二者的优势进行叠加,并利用相互作用对二者的缺点进行完善。该系统看似简单透明,能够通过软件包的监听获得网络数据包,然后增加入侵检测分析功能。其主要的方法是建立具体的特征库,基于规则审计分析,并能够进行包的数据内容搜索/匹配,从而实现入侵检测分析功能。而在进行结合时,入侵检测系统可以在防火墙内外随意设置,而由于防火墙自身对于医院网络的内部攻击无法进行处理,则本人认为,将入侵检测放在防火墙内更加合理。而为了进一步提高医院网络安全,可将检测器放在防火墙外面,一旦外界有攻击数据发现检测器,则会先对检测器展开攻击,从而减少其对防火墙的破坏。而将检测器放置在防火墙内部,也具有一定优势:(1)当外来数据入侵时时防火墙可先对其安全性进行判断,减少检测器的误报警情况;(2)一旦有外来入侵病毒或数据入侵进来,检测器可第一时间对防火墙出现的失误进行及时判断;(3)能够使防火墙充分发挥起作用,当出现弱小攻击时防火墙完全可以将其阻挡在外,不必动用检测器对其进行检测,从而增加对内部网络环境的安全保护。
5IDS和防火墙的互动
防火墙和入侵检测系统互动具体步骤如下:(1)初始化通信连接时,一般由IDS向Firewall发起连接。(2)建立正常连接后,当IDS产生需要通知Firewall的安全事件时,通过发送约定格式的数据包,来完成向传递必要的互动信息。(3)Firewall收到互动信息后,可以实施互动行为,并将结果(成功与否)以约定格式的数据包反馈给IDS。
6结束语
综上所述,虽然防火墙系统能够有效阻挡外界入侵数据的攻击,但由于该系统中受现代科技水平限制,仍存在一定漏洞。因此并不能完全将外界所有入侵行为进行阻挡,而内部环境不属于防火墙系统保护范围。因此,为维护医院网络安全,则需要利用入侵检测系统与防火墙充分结合,在对内部进行检测的同时也能够对外部入侵行为进行检测及预防,充分发挥二者的作用。本文通过对IDS入侵检测系统与经典防火墙及二者的原理进行分析,并对二者结合方式与互动进行阐述,而这二者通过结合后能够利用双方优势弱化对方缺点的同时进一步提高防护系统性能,大大提高了医院网络系统的安全性。为促进医院工作稳定进行奠定坚实基础,同时也期望能够为我国医院网络安全防护系统水平的提升提供参考依据。
作者:程兆生 单位:赤峰市医院
参考文献:
[1]李林,卢显良.一种针对规则集不一致性的测试数据包选取算法[J].计算机科学,2011.
[2]张雪芹,顾春华,吴吉义.异常检测中支持向量机最优模型选择方法[J].电子科技大学学报,2011.
[3]张昱,谢小鹏.基于遗传相关向量机的图像分类技术[J].计算机仿真,2011.
第二篇:医院网络安全管理方案
摘要
随着计算机和互联网技术的飞速发展,医院内外网连接更加紧密,通过双核心网络虚拟化建设、内外网连接安全措施、虚拟局域网划分、网管软件的应用、网管人才和使用人员安全意识培养等一系列安全管理措施的实施,形成了一套安全稳定的医院网络系统,提高了网络的可靠性和安全性,保障了医院信息系统不间断安全运行。
关键词
医院网络;安全;管理
随着计算机和互联网技术的飞速发展,计算机网络技术已被广泛应用在医院的各个方面。如门诊信息系统、住院信息系统、药品信息管理系统、检验管理系统、影像管理系统、设备耗材管理系统、区域医疗系统等,这些系统已经成为医院日常工作中必不可少的部分,而网络是系统运行的基础,直接关系到医院医疗工作的正常开展,建立一套安全可靠的网络保障体系是医院正常运转的重要因素[1]。
1网络安全管理方案
我院网络相对复杂,多套网络体系共存,如何制定一套安全稳定的网络管理方案必须遵循以下几点原则:(1)确保核心网络24小时不间断稳定运行。保障医院核心网络不出现重大故障是医院信息化建设的重要一环,在网络建设时就必须考虑一套合理的方案,优化各个环节,减少核心网络故障,使核心网络始终处于最优的运行环境,为医院整个信息系统运行打下坚实基础。(2)建立健全网络备用机制。网络是一项非常精细的工程,任何一个小的故障都会影响网络的使用。网络依赖的硬件设备相对较多,一些常用的设备和配件必须长期考虑备用,一旦损坏可以及时更换,保障医院网络的持续性。(3)加强网络安全技术运用。在医院网络安全管理中,必须充分考虑如何应用最新的和最适合本院的网络技术确保内网不被病毒等攻击,保证网络顺畅运行,建立良好的网络安全环境。(4)培养网络管理人才。安全稳定的网络需要技术过硬的网络管理人员进行建设和维护。在信息化时代,如何在医院这样一个相对较小的环境下培养合格的网络管理人员,使其留在医院发挥才能,将整个医院网络进行长期的规划和管理,是医院网络能够正常运行的关键。(5)提高使用人员安全意识。人为因素在医院信息系统运行中或多或少会产生一定影响,进而影响网络安全管理工作。如何提高工作人员使用网络安全意识,将各项管理工作落到实处,也是安全管理中一项非常重要的内容。
2网络安全管理措施
2.1双核心网络虚拟化建设
随着互联网技术的飞速发展,网络用户日益增加,医院网络规模不断扩大,单核心的网络架构在安全性和稳定性上已经无法满足医院未来发展[2]。为了提高网络安全,增加网络传输效率,建设双核心的网络架构是医院信息化发展的必由之路。该网络架构中,核心层由1台交换机增加至2台高端交换机,通过配置智能弹性架构(IntelligentResilientFrame⁃work,IRF)技术虚拟成1台设备,2台核心设备间通过2条万兆光纤和1条千兆光纤进行连接,主要用作数据传输和链路检测。各层网络间均采用千兆光纤连接(重要楼宇与核心交换机采用万兆光纤连接)。各汇聚层交换机采用聚合端口技术分别与两台核心交换机连接,这样即使一个端口和链路出现故障,另一个端口和链路会继续工作,不会出现网络中断的现象,以此实现IRF端口的冗余备份。通过IRF技术,2台核心交换机可同时处于双机热备状态,当其中1台出现故障时,另1台仍处于正常工作状态,在不影响信息系统运行的情况下也给网管人员预留了故障处理时间,保障了医院信息系统不间断稳定运行。网络虚拟化技术方便了设备的管理,网络扩容和升级也变得简单,只需要加入新设备来扩展端口和交换能力。这不仅解决了单台交换机性能不足的缺点,而且还可以实现负载均衡和链路容错,加快了故障和业务的处理能力,有效提升了医院网络的安全性和可靠性。
2.2医院内外网连接安全措施
医院要做到绝对安全,就必须将内外网进行完全物理隔离。物理隔离一般是指通过网络(包括电磁空间)分离来实现网络隔离,它是网络隔离的一种形式,其目的是禁止网络间信息共享,防止某个网络上的信息数据泄露到另一个网络上去。物理隔离必须严格从网络的物理层起就与其他网络彻底隔离开来。但是,医院如果完全与外网隔离起来,就无法融入互联网+的发展大潮,无法运用新的理念和技术发展医院信息化建设,安全也就成了无本之木。因此,必须综合运用网闸、防火墙、入侵检测系统、防病毒系统、认证服务器等安全设备,建立一条安全通道将医院内外网进行连接,不仅有效地将内外网隔离开来,而且实现了内外网数据的安全交换,可以支持多种网络协议和应用,避免了医院成为信息孤岛[3]。
2.3虚拟局域网划分
虚拟局域网(VirtualLocalAreaNetwork,VLAN),是从逻辑上(不是从物理上)将网络划分成多个网段(或者说是更小的局域网LAN),相互之间的通信就好像它们在同一个网段中一样[4]。VLAN的划分是网络安全中比较常用的一种技术,在医院网络建设中,应按照地理位置、业务功能等进行综合考虑,确定交换机端口,进行VLAN划分,并合理控制VLAN间的访问,确保网络的安全。下面结合医院的实际运用介绍它的主要优点。
2.3.1限制医院内部广播域
当医院网络中信息流量增大或者工作站数量增加,就有可能导致“广播风暴”,使网络运行速度受到严重影响,极端情况下还有可能导致网络彻底瘫痪。有了VLAN,就相当于有了许多小广播域,可以将信息传输限制在每一个小广播域内,大大减少了因信息流量增加或工作站增多导致的“广播风暴”。需要说明的是,VLAN的划分不是盲目地多划,要综合考虑各种因素对网络的影响,需要根据医院实际建设的需求来确定VLAN的数量[5]。
2.3.2增强医院局域网的安全性
通过VLAN可以将网络划分为相互独立的广播组,不同VLAN的数据不能自由交流,需要通过路由器或交换机等设备配置路由才能进行相互通信和访问,加强了不同区域间访问的安全性,为医院重要设备区域的信息安全提供了保障。
2.3.3方便网络管理
VLAN不受物理位置的限制,可以根据工作的需要,将不同功能的用户划分到需要的工作组中,降低因移动或变更工作站地理位置带来的管理麻烦,从而提高信息传输效率[6];同时还能通过VLAN的划分,快速定位故障节点范围,方便网络管理。通过运用虚拟局域网技术,可有效控制医院网络“广播风暴”的产生,提高网络传输的安全性,加强网络管理人员对网络管理的便利性和维护效率。
2.4网络管理系统部署
网络管理系统能够对网络中的设备、性能、故障等进行分析和管理,可以对网络流量进行统计和分析,绘制现有网络拓扑结构,对终端设备进行外设管理,发现和预防DOS攻击,IP资源管理和设备接入控制等;同时该系统具有完善的报警功能,遇到异常情况时,能够以日志及警报方式及时通知管理人员,保障设备的运行安全[7]。网络管理系统的应用有助于网络管理人员对网络中的设备和性能进行分析,及时发现网络中存在的异常情况,对网络架构进行优化调整,简化了网络管理流程,对网络的安全管理具有较强的辅助作用。
2.5培养合格的网络管理人员
网络是医院信息系统运行的基础,一个合格的网络管理人员首先必须具备过硬的网络专业知识,对医院网络的建设和维护要了如指掌,能够快速地处理各种网络疑难问题;其次要懂得医院信息系统的构建,要熟悉医院信息系统的维护,才能为医院设计合理的网络规划;最后要有爱岗敬业的精神。一个好的网络管理工程师,不仅专业知识要过硬,更要有爱岗敬业的责任心,才能为医院信息化事业做出伟大的贡献。因此,加强技术培训和思想品德教育,培养一批具有过硬专业技术和敬业精神的网络人才队伍,是保证医院网络安全建设和稳定运行的根基[8]。
2.6提高工作人员网络安全意识
医院一年或多或少会发生好几起因使用人员操作不当造成的网络故障,首先应该定期对使用人员进行网络安全培训,强化网络管理制度的落实和实施[9],加强人员网络使用安全意识;其次,尽量通过安全标识来提高使用人员网络操作规范,例如不同网络除了在模块上进行区分标志,还可以通过使用不同颜色的网线来区分,防止网络短接和串接,从而减少人为因素对网络的影响。
作者:卢长伟 赵浩宇 李景波 单位:第三军医大学西南医院
参考文献
[1]肖毅.对医院网络安全管理的探讨[J].网络安全技术与应用,2015(5):13-14.
[2]王二平.供电分公司双核心网络改造的研究与设计[J].山西电力,2008,10(5):50-52.
[3]周莲茹,黎安明,范振中,等.医院信息系统建设及安全管理[M].北京:北京邮电大学出版社,2011.
[4]雷震甲.网络工程师教程[M].4版.北京:清华大学出版社,2014.
[5]刘大龙.虚拟局域网在现代医院的应用[J].工程技术,2012(25):93,97.
[6]刘杰.VLAN在医院网络信息管理中的应用[J].信息安全,2014,17(15):198-200.
[7]赵浩宇,姬军生,汪鹏,等.医院网络信息安全管理策略与实践[J].中国数字医学,2013,8(6):92-94.
[8]刘志国,邹珉.医院网络的安全管理与日常维护[J].科技信息,2010,7(25):75.
[9]钟余军.网络安全管理在医院计算机应用中的探讨[J].中国卫生产业,2015,12(4):139-140.
第三篇:医院整体网络安全防护体系建设
摘要:
本文主要对提高医院整体网络安全防护体系建设效率的对策进行研究,结合国内医院网络信息安全防护体系建设的实况。提出了强化网络信息安全性维护质量,以及落实硬件设施维护工作的对策。希望网络信息安全防护体系顺利建设健全,使医疗信息与信息服务平台的实效性充分发挥出来,最终实现优化医疗服务质量的目标。
关键词:
医院;网络安全维护体系;建设形式;对策研究
1论述国内医院网络信息安全防护体系建设的现状
1.1安全防护现状
现阶段,国内很多二甲与三甲医院都建设了HIS系统和局域网,借助与因特网相接的形式为院内医疗工作提供信息平台,为了降低运行风险率,一般情况下信息网络的运转采用的是内外网物理隔绝方式[1-3]。但是大部分医院对网络体系的安全防护工作做得不到位,内外合网这在构建医疗信息共享模式、防治传染病、建设大规模医疗体系等诸多方面发挥巨大的实效性,但是其也衍生出很多安全风险问题,常见的有安全管理、软硬件风险等。
1.2信息安全建设问题
这一问题是干扰现阶段医院信息平台顺利运转与有效应用的最大障碍,为了有效的降低信息时代中病毒、黑客入侵对网络信息安全指数造成的影响,杀毒软件、防火墙、入侵检测技术、信息备份等多样化技术在医院网络信息安全体系中的应用,所取得的效果是极为可观的。但是尽管上述各类技术在维护网络信息安全性方面发挥一定的作用,但是依然有漏洞存在。其实,医院网络信息安全防护体系建设进程中存在的问题是多样化的,例如防护系统在建设的环节中应用的软硬件设施出产于不同的厂家,所以其在合并、设计与管控的环节中总会衍生出错差现象,多次建设一方面增加了医院网络系统建设的成本,另一方面也致使多样化安全隐患问题频频出现[4]。
2提高医院整体网络安全防护体系建设效率的有效对策
2.1做好网络安全维护工作
2.1.1做好与计算机病毒相关的防护
医院网络安全体系建设的重要环节之一就是全面落实计算机病毒的防护工作,而这一基础工作可以借助以项防护步骤落实:一是最好终端防病毒软件的安设工作。具体是将正版的、版本可升级的杀毒软件安设于计算机网络系统的一切终端设施上,这些杀毒软件的启用最好应该带有密码,从而避免网络安全防护体系中计算机终端用户因为自体因素而出现随意卸载杀毒软件的违规行为。二是运用防病毒服务器。在医院网络安全防护体系建设的进程中,防病毒服务器的安设,可以确保全部计算机终端软件在更新杀毒软件补丁包之时具有时效性与智能化特点,从而降低了人力资源消耗量,从而达到维护体系中信息安全性的目标。
2.1.2落实交换机管理环节
具体是在三层交换机为关键成分的网络安全防护体系中,导入VLAN构件。首先,这一构件在网络体系中的应用,将医院不同的职能机构归属进不同的VLAN范畴,网络体系管理者一旦发现某一机构的终端网络运行不畅,便可以及时的在交换机上对其所连端口进行精确的定位[5]。其次,对于同一交换机而言,不同的VLAN的端口之间是不存在关联性的,此时医疗信息的保密性就有了很大的保障,当然一个交换机也实现了多功能应用的目标。
2.1.3做好内外网络隔离工作
为了实现将医院内部网络应该与共用网络有效隔离的这一目标,通常情况下会将两套线路安置于网线布置这一环节中,这两套线路发挥着不同的功效,一套为医院内部网络内部网络服务,起到连接作用;另一套线路的功能为连接公用网络。医院网络安全防护体系在建设的进程中,在某种情况下要求内部网络与公用网络衔接在一起,那么在两种网络类型接口端安置防火墙设备,在降低外界环境因素干扰效果方面发挥巨大的优势。
2.2做好信息安全性维护工作
2.2.1数据备份
为了确保医院网络安全防护体系建设的有效性与安全性,从而使体系内数据的完整性有所保障,双极热备为使用频率较高的设施,此时存储设施承担着RAID这一角色。其运行原理为两台服务器中的一台为主机,一台为备机,一般情况下日常业务是由主机办理的,一旦主机出现故障之时,备机演变为主机这一角色,其在承担业务办理方面具有自主性。磁盘阵列这类存储设施要达到RAID1这一目标。等同于镜像,将刻入硬盘中的数据整体的、自动性的复制至另一硬盘之上。在经济条件允许的情况下,医院可以建设远程容灭体制,从而确保体系中的数据信息在传送至另一个地域硬件之上时备份具有时效性与整体性。
2.2.2用户权限设置
(1)对系统中重要口令的管理。为了达到上述目标,设置人员应该定期的对体系中的口令进行调度,合理的应用调整对策,并做好系统化的记录,最好是使用系统自带的日志记录,为审核人员的核查提供便利。(2)是系统使用权限的配置。具体是指医院网络体系的管理者将某些权限与口令分配给个人,以避免其跨越级别对资料进行查阅或者是进行相关操作,这一方法的落实杜绝了账号共享问题出现。(3)是电子密钥技术在体系建设进程中的应用。主要是因为医院网络体系在建设的进程中,部分位置需要电子签名此时电子密钥技术在该环节的应用,确保了体系内信息的安全性、完整性以及独特性。
2.3做好硬件与设施环境维护工作
众所周知,硬件与设施环境的安全性是确保医院网络安全防护体系建设的基础。正因如此积极做好硬件与设施环境的维护工作就显得尤为重要了。首先,电源是计算机、网络设施运行的基础,所以保证机房中国24h不断电是基础,同时积极落实双电网与双回路供电体系,以及安设UPS与大功率发电设施,从而使紧急情况下系统的电量需求有所保障。其次,做好防雷系统的布设工作,对机房内的温度与湿度进行有效的调控。通常情况下,机房内温度不高于25℃,湿度3维持在40%~60%范围内。最后,在机房内安装防静电类型的地板,并由专门人员定期做好除尘工作,以确保机房内的清洁度,为医院整体网络安全防护体系的顺利建设与有效运转奠定基础。
3探究医院整体网络安全防护体系建设的意义
伴随着医院信息化系统(HIS)、实验室信息管理系统(LIS)、医学影像存档与通讯系统(PACS)的发展与完善,其在各大医院应用的频率逐年提高,医院信息网络构架不单单是一个小型的局域网,而演变成大型的三维网络体系,网络规模的不断扩张已经成为现代化医疗卫生行业发展中的重要趋势之一,而医院整体网络安全防护体系的建设与应用,能够最大限度的保障医院信息的精确性与实效性,其在强化信息系统运行的稳定性、安全性方面也发挥出巨大的优势,在优化医疗卫生服务质量、降低信息系统运行风险率方面发挥了巨大意义,为医疗事业的改革创新奠定提供基础性条件。
4结束语
在知识经济一体化时代中,网络技术获得了更大的发展空间,各类安全隐患问题也不断衍生出来。为了确保医院网络系统建设的实效性与安全性,网络建设与维护人员应该树立与时俱进的思维理念,不断的学习新知识、新技能,紧跟时展的脚步,最终实现强化医院网络信息安全防护体系的防御能力,为其顺利竣工提供基础性保障。
作者:李秋甸 陈学涛 单位:第三军医大学第二附属医院信息科
参考文献:
[1]王栋,陈传鹏,颜佳,郭靓,来风刚.新一代电力信息网络安全架构的思考[J].电力系统自动化,2016.
[2]鲍航.构建医院网络信息安全防护体系的探讨[J].赤峰学院学报(自然科学版),2016.
[3]宋莉莉,王光华,郭雪清.医院网络信息安全防护体系及其应用研究[J].中国数字医学,2013.
[4]王园园.网络环境下学校信息管理系统安全防护体系建设研究[J].淮北职业技术学院学报,2014.
[5]穆芮.智能电网信息安全技术研究与应用[D].山东大学,2013.
