公務(wù)員期刊網(wǎng) 論文中心 正文

醫(yī)院的網(wǎng)絡(luò)安全建設(shè)實施

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了醫(yī)院的網(wǎng)絡(luò)安全建設(shè)實施范文,希望能給你帶來靈感和參考,敬請閱讀。

醫(yī)院的網(wǎng)絡(luò)安全建設(shè)實施

摘要:隨著時代的高度信息化發(fā)展,網(wǎng)絡(luò)技術(shù)已經(jīng)廣泛應(yīng)用于醫(yī)院信息化建設(shè)中的每個領(lǐng)域。隨著醫(yī)院的網(wǎng)絡(luò)規(guī)模逐步擴(kuò)大,網(wǎng)絡(luò)結(jié)構(gòu)愈加復(fù)雜,信息安全涉及的范圍將更廣,將面臨更多的威脅。網(wǎng)絡(luò)安全作為全院信息系統(tǒng)建設(shè)的基礎(chǔ)和第一道防御屏障,它的正常運行直接關(guān)系醫(yī)院整體業(yè)務(wù)與服務(wù)的開展,直接涉及醫(yī)院和病人的經(jīng)濟(jì)利益。從多個角度闡述了增強(qiáng)醫(yī)院網(wǎng)絡(luò)系統(tǒng)的安全管理以及相關(guān)建設(shè)方案。

關(guān)鍵詞:醫(yī)療信息化;網(wǎng)絡(luò)安全;建設(shè)方案

1概述

網(wǎng)絡(luò)安全是指整體網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)部支持的所有網(wǎng)絡(luò)硬件設(shè)備和軟件之間的統(tǒng)籌安全防護(hù),保障兩者不受惡意攻擊和破壞,保持網(wǎng)絡(luò)系統(tǒng)可靠地連續(xù)運行,保障網(wǎng)絡(luò)的不中斷服務(wù)[1]。醫(yī)院的網(wǎng)絡(luò)系統(tǒng)范圍涉及醫(yī)院信息系統(tǒng)中各節(jié)點間的通信鏈路、各類硬件設(shè)備、醫(yī)療軟件及其系統(tǒng)中的報表數(shù)據(jù)等。從網(wǎng)絡(luò)運維和管理者的角度分析,網(wǎng)絡(luò)安全可視作由多個結(jié)構(gòu)分類組成的一個集合,每一個安全層次作為一個獨立整體對應(yīng)不同的功能特征,結(jié)合醫(yī)院網(wǎng)絡(luò)系統(tǒng)的實際運用,可將醫(yī)院網(wǎng)絡(luò)安全分為3個方面并提供不同策略的防護(hù):物理方面、結(jié)構(gòu)方面和應(yīng)用方面。

2網(wǎng)絡(luò)的物理安全

醫(yī)院網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全建設(shè),主要涉及中心機(jī)房的安全性設(shè)計,包括網(wǎng)絡(luò)運行的物理環(huán)境安全(如區(qū)域保護(hù)和災(zāi)難保護(hù))以及相關(guān)設(shè)備的防護(hù)安全等。中心機(jī)房作為醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的核心樞紐,它承載著整個信息系統(tǒng)的基礎(chǔ)條件,在醫(yī)院網(wǎng)絡(luò)工程設(shè)計與施工過程中,需充分考慮機(jī)房的地理選址、室內(nèi)環(huán)境裝修以及各項防災(zāi)、消防措施等事項。具體保障設(shè)施的建設(shè)需求不作一一詳述,可具體參照《電子信息系統(tǒng)機(jī)房設(shè)計規(guī)范》進(jìn)行規(guī)劃設(shè)計。同時,可部署機(jī)房環(huán)境監(jiān)控系統(tǒng)(BSM),對機(jī)房的各防護(hù)體系進(jìn)行集中監(jiān)控和安全管理,并提供相應(yīng)的機(jī)房組態(tài)界面圖,實時展示機(jī)房內(nèi)各機(jī)柜的溫濕度情況、精密空調(diào)工作狀態(tài)、機(jī)房市電工作數(shù)據(jù)和UPS供電狀況等信息,便于管理員的日常巡視工作。

3網(wǎng)絡(luò)的結(jié)構(gòu)安全

醫(yī)院的局域網(wǎng)交互廣泛、應(yīng)用復(fù)雜,網(wǎng)絡(luò)結(jié)構(gòu)的建立要考慮物理環(huán)境、設(shè)備配置與業(yè)務(wù)應(yīng)用情況、遠(yuǎn)程聯(lián)網(wǎng)方式、網(wǎng)絡(luò)維護(hù)管理等因素[2]。在構(gòu)建醫(yī)院需求的局域網(wǎng)時通常采用“分層網(wǎng)絡(luò)模型”的設(shè)計,將醫(yī)院整體網(wǎng)絡(luò)結(jié)構(gòu)劃分成相互分離的三層拓?fù)洌汉诵膶?、分布層和接入層。分層網(wǎng)絡(luò)具有良好的擴(kuò)展性,網(wǎng)絡(luò)的冗余性實現(xiàn)方便,有助于提高網(wǎng)絡(luò)的安全性且便于管理維護(hù)。在分層設(shè)計模型中,接入層是負(fù)責(zé)終端設(shè)備的接入,主要是將設(shè)備連接至網(wǎng)絡(luò)并提供相應(yīng)的網(wǎng)段間通信服務(wù);分布層是匯聚接入層交換機(jī)傳輸?shù)臄?shù)據(jù),通過相應(yīng)訪問策略(如ACL、NAT等)控制不同網(wǎng)段間的通信訪問,并將通過審查的數(shù)據(jù)傳輸至核心層;核心層是網(wǎng)絡(luò)互聯(lián)的高速主干道,作為網(wǎng)絡(luò)匯聚的樞紐集中著所有分布層設(shè)備需要交換的流數(shù)據(jù)量,必須具有高效的數(shù)據(jù)轉(zhuǎn)發(fā)和處理能力。通常,接入層交換機(jī)分部安裝在每層樓宇的配線間中,分布層、核心層交換機(jī)基于嚴(yán)格的安全防護(hù)通常部署于中心機(jī)房內(nèi)。接入層設(shè)備采用相較便宜的只有基礎(chǔ)轉(zhuǎn)發(fā)功能的二層交換機(jī),而在分布層和核心層上采用價格相較高昂的千兆以上高帶寬、高性能和具有冗余功能和路由功能的三層交換機(jī)。在網(wǎng)絡(luò)拓?fù)湟?guī)劃中,同時要考慮構(gòu)建網(wǎng)絡(luò)的鏈路冗余性,通常采用雙設(shè)備互聯(lián)備份機(jī)制,為網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的每一層的每一臺交換機(jī)與下一層的每一臺交換機(jī)之間兩兩鏈路互連,并啟用交換機(jī)的STP(生成樹協(xié)議)防止多條路徑之間可能導(dǎo)致的網(wǎng)絡(luò)環(huán)路,也可在路由器接口上啟用VRRP(虛擬路由器冗余協(xié)議)實現(xiàn)VRRP組中備份路由器(可配置多臺)在主路由器失效時的接替工作,即使某一臺交換機(jī)路由器在工作中出現(xiàn)故障,相連的其他設(shè)備會調(diào)整選擇其他正常的備用設(shè)備與可達(dá)路徑,保持?jǐn)?shù)據(jù)間的正常轉(zhuǎn)發(fā)與路由,使網(wǎng)絡(luò)保持暢通。在網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化方面,可為接入層交換機(jī)的終端設(shè)備(如服務(wù)器)接入端口配置為快速端口(PortFast)模式,為分布層和核心層之間運用鏈路聚合技術(shù),將多條物理鏈路組合成一條具有更高帶寬的邏輯鏈路,結(jié)合使用負(fù)載均衡功能實現(xiàn)網(wǎng)絡(luò)更快的傳輸效率和更高的吞吐量,提升網(wǎng)絡(luò)的通信性能。

4網(wǎng)絡(luò)的應(yīng)用安全

醫(yī)院網(wǎng)絡(luò)系統(tǒng)的應(yīng)用貫穿著各項日常業(yè)務(wù)的開展,隨著醫(yī)療服務(wù)對于互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用,各不同醫(yī)療部門的工作業(yè)務(wù)、管理業(yè)務(wù)和科研需求都離不開網(wǎng)頁的瀏覽訪問、文件的上傳、下載、電子郵件等應(yīng)用程序。面向全球性開放式、結(jié)構(gòu)錯綜復(fù)雜的Internet網(wǎng)絡(luò),不僅使流經(jīng)醫(yī)院網(wǎng)絡(luò)的數(shù)據(jù)流量激增,隨之而來的非法侵入的可能性也急劇增大。為了保護(hù)各種信息資源的安全,必需對本地、外部網(wǎng)絡(luò)的訪問、數(shù)據(jù)信息的讀寫等加以保護(hù)和控制,避免遭受木馬病毒的侵入、DOS攻擊、IP地址欺詐、非法占用和串改等網(wǎng)絡(luò)威脅,抵御網(wǎng)絡(luò)黑客的攻擊和勒索破壞[3]。網(wǎng)絡(luò)的應(yīng)用安全具體實施包括如下幾個方面:

4.1內(nèi)外網(wǎng)絡(luò)的隔離

醫(yī)院的網(wǎng)絡(luò)體系結(jié)構(gòu)一般由3個區(qū)域組成:本地網(wǎng)絡(luò)、外圍網(wǎng)絡(luò)或DMZ(非軍事區(qū))以及邊界(外部)網(wǎng)絡(luò)。在兩個不同的區(qū)域間都各自部署一臺結(jié)構(gòu)不同的防火墻(若采用同廠商同型號的防火墻,由于兩者的性能協(xié)議相同則而被黑客輕易地逐一攻破),組成兩兩網(wǎng)絡(luò)區(qū)域間的第一道防護(hù)屏障,避免位于后方的網(wǎng)絡(luò)受到來自外界的攻擊,提供對不受信任的外部用戶的訪問限制,防止外部用戶訪問內(nèi)部網(wǎng)絡(luò)同時也可以限制、規(guī)范內(nèi)部用戶的可執(zhí)行操作。防火墻作為內(nèi)外網(wǎng)絡(luò)進(jìn)出的必經(jīng)之路,通過包過濾技術(shù)可以檢測所有數(shù)據(jù)的詳細(xì)信息,并根據(jù)已制定的相關(guān)訪問策略和過濾規(guī)則對外界流經(jīng)它的數(shù)據(jù)進(jìn)行監(jiān)控和審查,防止外部網(wǎng)絡(luò)中未授權(quán)用戶的非法訪問,實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制,進(jìn)一步保護(hù)網(wǎng)絡(luò)中業(yè)務(wù)數(shù)據(jù)、信息資源和用戶信息的安全。

4.2內(nèi)部網(wǎng)絡(luò)的訪問控制

主要利用VLAN(虛擬局域網(wǎng))技術(shù)并結(jié)合Trunk(中繼)和VLAN間路由技術(shù)來實現(xiàn)對內(nèi)部子網(wǎng)的邏輯隔離與延伸。按照醫(yī)院區(qū)域規(guī)劃及相關(guān)職能通過在交換機(jī)上劃分VLAN將醫(yī)院內(nèi)部網(wǎng)絡(luò)邏輯地劃分成若干個虛擬子網(wǎng),每一個VLAN形成一個獨立的子網(wǎng),實現(xiàn)內(nèi)部網(wǎng)段的隔離,簡化了網(wǎng)絡(luò)拓?fù)涞慕Y(jié)構(gòu)的同時提高了用戶間數(shù)據(jù)的保密性。VLAN間的隔離將網(wǎng)絡(luò)整體的大型廣播域分割成一個個互不干涉的小型獨立域,以此防止廣播風(fēng)暴在整個網(wǎng)絡(luò)范圍的傳播,可以限制局部網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成影響。

4.3網(wǎng)絡(luò)安全檢測與防御

防火墻可以阻止基于IP包頭的攻擊和非信任地址的訪問,但無法阻止基于數(shù)據(jù)內(nèi)容的黑客攻擊和病毒入侵,同時也無法控制內(nèi)部網(wǎng)絡(luò)之間的行為[4]。入侵檢測(IDS)和入侵防御(IPS)系統(tǒng)被視作防火墻之后的第二道安全閘門。IDS屬于一種監(jiān)測系統(tǒng),在網(wǎng)絡(luò)系統(tǒng)的運行遇到非法入侵的狀況時進(jìn)行自動檢測和監(jiān)控,并對異常行為進(jìn)行記錄并分析相應(yīng)的入侵規(guī)則,在識別入侵攻擊的特征后,向控制臺報警并提供防御依據(jù),隨后開展相應(yīng)的防護(hù)功能并及時將入侵事件反饋給管理員。IPS可深入網(wǎng)絡(luò)數(shù)據(jù)的內(nèi)部,感知并檢測流經(jīng)的數(shù)據(jù)流量,對照數(shù)據(jù)之間的正常關(guān)系以此識別可疑情況,檢測到異常特征后及時對通過網(wǎng)關(guān)或防火墻進(jìn)入網(wǎng)絡(luò)內(nèi)部的惡意代碼進(jìn)行丟棄以阻斷攻擊,第一時間阻止木馬病毒的蔓延,同時還會對濫用濫反的報文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)的帶寬資源。通常將防火墻、IDS、IPS3類設(shè)備結(jié)合部署,組成一套統(tǒng)一威脅管理系統(tǒng)(UTM),實現(xiàn)網(wǎng)絡(luò)信息的入侵檢測、防御、阻斷為一體的綜合性安全防護(hù)體系。

4.4網(wǎng)絡(luò)防病毒

目前,各種計算機(jī)病毒及惡意軟件不斷更新變異,危害和威脅極大,致使加強(qiáng)對網(wǎng)絡(luò)環(huán)境下病毒和惡意軟件的防范、檢測及清除非常重要。防病毒技術(shù)主要通過安全殺毒軟件通過它的實時監(jiān)控識別、掃描和清除功能來防止木馬病毒和惡意軟件的侵入。部署的殺毒軟件應(yīng)該具有可疑構(gòu)造全網(wǎng)統(tǒng)一的云安全防病毒體系功能,全面支持對整體網(wǎng)絡(luò)范圍內(nèi)的服務(wù)器和工作終端進(jìn)行實時病毒防控,并能夠在云中心服務(wù)端控制對全院客戶端進(jìn)行最新病毒庫的統(tǒng)一更新,云安全功能會實時自動分析和處理病毒,可及時、快速地將解決方案提供給網(wǎng)絡(luò)管理員,攔截一切可疑的互聯(lián)網(wǎng)威脅。

5結(jié)語

醫(yī)療信息化是醫(yī)院推行醫(yī)療改革、推進(jìn)技術(shù)創(chuàng)新的必經(jīng)之路,隨著它的數(shù)字化應(yīng)用和發(fā)展,醫(yī)院的常規(guī)業(yè)務(wù)對各類信息系統(tǒng)及相關(guān)的醫(yī)療數(shù)據(jù)依賴程度日益提高,網(wǎng)絡(luò)作為開展醫(yī)療信息化的基礎(chǔ),牽一發(fā)而動全身,加強(qiáng)醫(yī)院信息網(wǎng)絡(luò)安全已成為醫(yī)療行業(yè)中普遍的認(rèn)識。任何網(wǎng)絡(luò)安全事件都可能導(dǎo)致醫(yī)院業(yè)務(wù)的癱瘓、患者個人信息的泄露、醫(yī)療數(shù)據(jù)的竊取與勒索等,直接影響醫(yī)院的整體運營和患者的就醫(yī)滿意度,損及醫(yī)院的信譽(yù),處理不當(dāng)則可能會引起醫(yī)患糾紛、法律問題甚至社會問題。網(wǎng)絡(luò)作為保障醫(yī)院信息系統(tǒng)安全與穩(wěn)定的首當(dāng)其沖之地,它的安全建設(shè)和管理工作是醫(yī)院信息化建設(shè)的重中之重。

參考文獻(xiàn)

[1]楊威.網(wǎng)絡(luò)工程設(shè)計與系統(tǒng)集成[M].2版.北京:人民郵電出版社,2010:189.

[2]賈鐵軍.網(wǎng)絡(luò)安全管理及實用技術(shù)[M].北京:機(jī)械工業(yè)出版社,2010:322.

[3]李領(lǐng)治,楊哲,紀(jì)其進(jìn).實用計算機(jī)網(wǎng)絡(luò)教程[M].北京:清華大學(xué)出版社,2017:297.

[4]賈鐵軍.網(wǎng)絡(luò)安全管理及實用技術(shù)[M].北京:機(jī)械工業(yè)出版社,2010:10.

作者:孫志超 單位:蘇州市第七人民醫(yī)院信息科