医院网络安全建设方案
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇医院网络安全建设方案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
医院网络安全建设方案范文第1篇
【关键词】医院 信息化 网路安全防护
1 引言
随着时代的发展和科技的进步,各种新型医疗信息系统在医院中应用的范围不断扩大,医院信息化建设得到飞速发展,但是医院在对信息技术进行应用时,不仅得到很多有利之处,也有一些不容忽略的网络安全现象。比如,信息的泄漏、APT攻击等,这些问题的出现对医院的信息化建设产生极大影响。所以,医院需要采取有效的网络安全防护手段,建构安全、稳定的网络环境,然后对网络的管理进行规范,加强网络安全的管理强度,进而为信息化建设发展奠定基础。
2 医院信息化建设中网络安全隐患
网络安全使之网络系统内的各种软件、硬件和数据等可以得到有效保护,不会因为偶然或者恶意行为而被破坏、更改或者泄露,可以确保网络系统稳定、正常运行,提供的服务也不会出现中断的情况。因为医院资深具有特殊的性质,所以医院的信息系统需要在24小时内都可以正常运转,而且,医院的信息系统辐射的范围比较广,是医院的全部部门,包含患者在就诊时的各个环节,这就使医院的业务对网络有较强的依赖性。而且,医院借助互联网可以和医保进行联网,这就使医院的网络变的更加开放,使医院受到攻击和感染病毒的概率增加,只要其信息化系统发生故障,就会对整个医院的运行和管理带来很大影响,还会为医院和患者带来损害甚至是灾难。
目前,医院信息化建设中网络安全问题主要有一些层面:网络安全,系统安全和数据安全。系统安全主要有程序、操作以及物理安全;网络安全随网络攻防技术的发展而更加复杂和多样;数据安全包括数据自身和数据防护的安全。从应用服务层面出发,网络安全主要是在网络终端接入网络后出现的安全问题,比如黑客、病毒、操作违规以及非法入侵等,造成系统内的网络断开,服务器的瘫痪或者病人账户被盗以及丢失数据等。从产品层面出发,主要是硬件、应用程序以及软件系统内被植入恶意代码等带来的隐患。从技术层面出发,主要是产品信息自身在设计和研发层面的缺陷,也包含日常维护管理和信息科技带来的隐患。从物理层面出发,主要是操作错误,自然灾害或者人为的破坏等,使计算机不能继续运行。
3 医院信息化建设中网络安全防护的对策
3.1 建构起科学的网络安全管理体制
要想确保医院网络安全,首先需要制定科学的网络安全管理规章制度,医院需要和自身实际相结合,使用科学方法和管理体制,比如机房的管理规范、数据资源备份存储制度、网络的运行和维护制度以及信息系统的操作制度等,还需要对工作人员的安全意识进行培养,确保医院的网络管理有理有据。医院需要成立网络应急小组,在出现网络安全问题后,小组需要按照事件严重性程度采取相关措施,尽可能快的恢复网络,并把事故的时间、影响和损失降至最低,形成问题长效整改C制。
3.2 使用科学的网络管理手段
医院需要以自身的实际发展状况为基础,实施正确、科学的网络管理手段,进而确保医院的整个信息系统可以正常、高效与安全运行。首先,为了确保医院信息系统内的服务器可以稳定、可靠与高效运行,需要使用双机热备和双机容错等措施进行解决。其次,对于系统内一些比较关键和重要的设备,可以借助UPS对主机设备进行供电,这样可以在确保拥有稳定电压的同时,有效防止出现突况。再次,在对网络的架构进行设计时,需要把主干网络的链路也建构为冗余模式,如果主干网络的线路出现了故障,就可以借助冗余线路确保网络数据信息仍然能够正常进行传输,语言的专业人员需要对网络的外网与业务的内网开展物理分离处理,进而避免互联网与业务网络的混搭现象,这可以从根本上降低因为互联网的因素影响而造成医疗数据出现外泄可能性,还能够防止非法用户使用外网进入到医院服务器和信息系统中。接着,医院还需要建构系统与数据的备份体系,进而保证在机房出现灾难或者储存设备受到损坏时,可以在较短时间内恢复系统运行。最后,使用分级权限管理措施,防止数据修改或者越权进行访问的情况出现,还要对部分重要信息数据开展跟踪预警措施。
3.3 使用科学的技术手段
首先,因为医院网络架构中内网与外网是隔离的,内网安全需求更高,所以需要安装更加强大的软件进行杀毒。并在内网和外网间建构防火墙网关,进而滤出一些不安全或者非法的服务,适当限制网络的访问,这可以对网络攻击行为起到一定的预警作用。其次,要想弥补防火墙自身的漏洞,医院需要使用专业化入侵检测体系,把各个关键点在网络内分散,然后借助对数据的审计、安全日志或者行为等检测得到的信息,进而了解网络或者系统内有被攻击或者违反安全措施的行为,还需要借助安全扫描技术等对可能出现的漏洞进行检查。最后,需要建构云安全平台,借助虚拟化平台实现网络安全集中管理,并使医院中网络安全管理成本得到降低,解决网络安全问题。
4 结语
综上所述,语言的信息化建设中网络安全防护具有重要的意义,需要引起相关人员的重视,不断对其进行改进与完善,切实发挥出网络安全防护的作用,进而促进医院的信息化建设发展,更好的为病人服务。
参考文献
[1]韩辉.医院信息化建设中网络安全分析与防护[J].信息安全与技术,2014,(05):91-93.
[2]徐亚雄.医院信息化建设中的网络安全分析与防护[J].网络安全技术与应用,2015(11):43-43.
[3]李骞.医院信息化建设中的网络安全与防护措施探析[J].网络安全技术与应用,2015(09):43-43.
医院网络安全建设方案范文第2篇
关键词:医院;网络安全;无线网络;安全建设
无线网络是采用无线通信技术实现的网络,它既包括允许用户建立远距离无线连接的语音和数据网络,也包括为近距离无线连接进行优化的红外线技术及射频技术,与有线网络的用途十分类似,最大的不同在于传输媒介的不同,利用无线电技术取代网线,可以和有线网络互为备份。伴随着临床信息化,医院正逐步地实现无纸化、无胶片化和无线化,医院无线网络技术的不断成熟和普及。利用PDA、平板无线电脑和移动手推车随时随地进行生命体征数据采集、医护数据的查询与录入、医生查房、床边护理、呼叫通信、护理监控、药物配送、病人标识码识别等,充分发挥医疗信息系统的效能,突出数字化医院的技术优势,但同时医院无线网络也面临有较大的安全威胁。因此,全面实现医院无线网络安全建设是医院网络建设中较为重要的一个环节。
1无线网络安全建设措施
1.1安全策略集中控制
构建智能化无线网络构架,将无线网络安全控制策略全部集中到网络控制器上进行统一的控制和,包含有:无线电频率管理、无线入侵检测、病毒库、安全加密、入网行为控制等。将无线网络安全策略使用到网络管理上,防止由于无线网络数据被盗而产生的安全信息泄露。
1.2接入点零配置
在日常使用的普通无线网络中,黑客能够通过窃取无线网络接入点的方式获得密码从而进入到无线网络中。在无线网络控制器上对无线接入点进行智能控制,保证本地不保存无线网络接入点的任何数据,并将全部的数据存储到无线网络控制器,在无线网络接入点上实现零配置,这在很大程度上能够提升无线网络运行的安全性,较大程度的降低了黑客窃取无线网络信息的可能性,本地的接入工作量也得到了较大的简化。
1.3病毒入侵防护
首先是准入检查,当无线网络接收器尝试进入到无线网络时,在进行用户认证之前对无线网络系统中防病毒定义、防病毒软件、操作系统补丁等进行全面的检查,若检查未通过则其则禁止进入到无线网络中,也可以将无线网络用户重定到具体的某一台升级服务器上,只有其安装指定的防病毒软件、系统补丁之后才能接入到无线网络中。其次是数据检查,通过了第一步的准入检查之后,通过数据检查才能实现对无线网络数据的有效监控与检查,通过设置对应的策略,将所有用户的数据,进行全面的防病毒数据检查,若通过检查,则进行数据的传输,若不能通过检查,则将数据丢弃,从而全面的实现对无线网络终端的病毒防护。
1.4非法入侵检测
无线网络的访问接入点和有线网络集线器较为类似,为整个网络的中心,其为移动客户端接入到网络的中心节点,可以将其简洁方便的安装到墙壁或者天花板上,仅需要对无线AP能够覆盖的区域进行针对性的设置,就能够连接到无线网络中,这就导致非法的AP可通过设置进入到无线网络中,给无线网络造成较大的安全隐患,出现网络宽带安全和数据安全等相关的问题。例如,当非法的AP用户对合法的无线网络接入点进行侵扰时,常常被误认为AP运行不稳定或者无线电波信号不稳定等相关的情况,严重时会出现无线网络连接中断,而网络管理人员不能在第一时间内收到报警。通过在无线网络中设置非法入侵检测,利用无线网络架构技术,可以在无线网络中设置无线网络入侵模式库,可以将异常的无线网络数据检测出来,显示并记录无线网络入侵格式,自动的开启对应的警报和保护响应。
1.5安全准入控制
首先为身份认证,对无线网络的身份进行行为授权,避免非法授权终端的进入,通过无线网络用户硬盘ID的绑定及无线网络身份权限的授权,从而实现和无线网络安全设备的联动,拒绝未授权用户的访问。其次为设置安全策略,应对无线网络设置统一的安全策略。当无线网络终端接入到无线网络后,立刻进行多策略安全检查,例如进行注册表、进程检查,防病毒软件、补丁监测等。动态策略管理提供可定制、可扩展的安全策略,可分组织和角色灵活实施;提供多种安装策略并基于系统环境选择安装,及时、主动消除各种安全缺口;提供上网行为审计、USB移动存储设备、系统进程监控等安全策略,对用户违规行为进行审计和取证,帮助提高用户安全意识,保障IT资源的合理使用。系统自动收集终端软、硬件资产信息,跟踪资产变更,实现资产管理IT化,保障信息资产可控可管。
2医院无线网络安全建设应用实践
2.1无线网络拓扑结构
某三级甲等医院在医院内建设了无线网络,从而保证医院内无线网络的全覆盖,为医院内网络用户提供一个便捷安全的网络环境。
2.2无线网络设计与部署
无线网络控制采用有源以太网作为交换机,采用了大容量的无线AP,接入点采用智能零漫游无线接入。POE网络交换机采用了1000M以太网网络连接,数据传输采用了大容量无线AP,利用专用的超柔性馈线实现对功率分配器的连接,智能单元通过穿墙进入室内,从而实现医院内无线信号的全覆盖,室内的大容量无线AP可通过放装的方式较好的达到了医院开放式区域内部对无线信号覆盖的需求。
2.3无线控制器冗余备份
在进行无线网络控制器设置时,采用了N+1冗余集群备份技术,将其中的一台控制器作为中心控制器,剩下的N台控制器作为辅助控制器。当进行无线网络的初始化时,仅仅主控制器能够进行AP注册请求,在主控制器内实现无线网络的协议配置和接入点控制,并将无线网络备份控制信息传输给每一个AP,然后每一个AP可以通过备份构建一条虚拟的WAP网络,当无线网络出现网络切换时,网络切换均在50mm之内,保证用户体验良好不会出现掉线情况。
2.4非法信号监测
无线网络利用智能无线AP,设置2种模式实现对非法电磁信号的监测,其一为对AP每隔一定的时间进行在线安全扫描;其二为将AP设置为连续监控的无线网络安全监控扫描模式。通过设置上述2种方式,智能无线AP按照预先的设置实现对周边环境中所有的MAC地址的检测,可实现对无线网络服务集标示、通道信息的全面安全检查。对未经授权的AP可实现自动识别和警告,从而更好的防止非法信号的侵扰。
2.5认证鉴别机制
为了更好的保证无线网络数据的安全性,需对无线网络的接入点进行准入认证设置,本次无线网络构建采用了Mac和Web认证方式,因为操作系统差异化,对不同类型的移动终端,采用了不同种类的操作系统,另外针对Web认证系统兼容性较为局限的特点,在进行Web认证鉴别时,通过将MAC地址绑定的方式进行了双重认证鉴别,从而在医院内实现了网络安全全部鉴别,当移动终端被授权之后,只有获得CA安全证书,并保证和MAC地址一致后才能进入到无线网络内,并通过设置双重认证鉴别的方式,来实现对无线网络安全身份的识别,拦阻了外来非法无线终端的接入。
3结论
综上分析,在医院内部增强自身的无线网络安全建设对于保证自身无线网络的正常使用有着非常重要的作用。因此,医院网络维护人员,应结合本院无线网络使用方式与特点,建立针对性的无线网络安全保护措施,使无线网络更好的为医院服务。
作者:柯传琪 单位:福建中医药大学附属第二人民医院
参考文献:
[1]黄波.无线网络技术在医院信息化建设中的应用分析[J].电脑知识与技术,2015(9):43-45.
[2]刘华.锐捷网络医院无线网络解决方案助力总参总医院移动医疗建设[J].中国数字医学,2012(1):67.
医院网络安全建设方案范文第3篇
关键词:等级保护;网络安全;信息安全;安全防范
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)19-4433-03
随着我国国际地位的不断提高和经济的持续发展,我国的网络信息和重要信息系统面临越来越多的威胁,网络违法犯罪持续大幅上升,计算机病毒传播和网络非法入侵十分猖獗,犯罪分子利用一些安全漏洞,使用木马间谍程序、网络钓鱼技术、黑客病毒技术等技术进行网络诈骗、网络盗窃、网络赌博等违法犯罪,给用户造成严重损失,因此,维护网络信息安全的任务非常艰巨、繁重,加强网络信息安全等级保护建设刻不容缓。
1 网络信息安全等级保护
信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。网络信息安全等级保护体系包括技术和管理两大部分,如图1所示,其中技术要求分为数据安全、应用安全、网络安全、主机安全、物理安全五个方面进行建设。
图1 等级保护基本安全要求
1) 物理安全
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。
2) 主机安全
主机系统安全是计算机设备(包括服务器、终端/工作站等)在操作系统及数据库系统层面的安全;通过部署终端安全管理系统(TSM),准入认证网关(SACG),以及专业主机安全加固服务,可以实现等级保护对主机安全防护要求。
3) 网络安全
网络是保障信息系统互联互通基础,网络安全防护重点是确保网络之间合法访问,检测,阻止内部,外部恶意攻击;通过部署统一威胁管理网关USG系列,入侵检测/防御系统NIP,Anti-DDoS等网络安全产品,为合法的用户提供合法网络访问,及时发现网络内部恶意攻击安全威胁。
4) 应用安全
应用安全就是保护系统的各种应用程序安全运行,包括各种基本应用,如:消息发送、web浏览等;业务应用,如:电子商务、电子政务等;部署的文档安全管理系统(DSM),数据库审计UMA-DB,防病毒网关AVE等产品。并且通过安全网关USG实现数据链路传输IPSec VPN加密,数据灾备实现企业信息系统数据防护,降低数据因意外事故,或者丢失给造成危害。
5) 数据安全
数据安全主要是保护用户数据、系统数据、业务数据的保护;通过对所有信息系统,网络设备,安全设备,服务器,终端机的安全事件日志统一采集,分析,输出各类法规要求安全事件审计报告,制定标准安全事件应急响应工单流程。
2 应用实例
近年来卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,某医院的核心系统按照等级保护三级标准建设信息系统安全体系,全面保护医院内网系统与外网系统的信息安全。
医院网络的安全建设核心内容是将网络进行全方位的安全防护,不是对整个系统进行同一等级的保护,而是针对系统内部的不同业务区域进行不同等级的保护;通过安全域划分,实现对不同系统的差异防护,并防止安全问题扩散。业务应用以及基础网络服务、日常办公终端之间都存在一定差异,各自可能具有不同的安全防护需求,因此需要将不同特性的系统进行归类划分安全域,并明确各域边界,分别考虑防护措施。经过梳理后的医院网络信息系统安全区域划分如图2所示,外网是一个星型的快速以太交换网,核心为一台高性能三层交换机,下联内网核心交换机,上联外网服务器区域交换机和DMZ隔离区,外联互联网出口路由器,内网交换机向下连接信息点(终端计算机),外网核心交换机与内网核心交换机之间采用千兆光纤链路,内网交换机采用百兆双绞线链路下联终端计算机,外网的网络安全设计至关重要,直接影响到等级保护系统的安全性能。
图 2 医院网络信息系统安全区域划分图
2.1外网网络安全要求
系统定级为3级,且等级保护要求选择为S3A2G3,查找《信息系统安全等级保护基本要求》得到该系统的具体技术要求选择,外网网络安全要求必须满足如下要求:边界完整性检查(S3) 、入侵防范(G3) 、结构安全(G3) 、访问控制(G3) 、安全审计(G3) 、恶意代码防范(G3) 和网络设备防护(G3) 。
2.2网络安全策略
根据对医院外网机房区域安全保护等级达到安全等级保护3级的基本要求,制定相应的网络安全策略
1) 网络拓扑结构策略
要合理划分网段,利用网络中间设备的安全机制控制各网络间的访问。要采取一定的技术措施,监控网络中存在的安全隐患、脆弱点。并利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
2) 访问控制策略
访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够连入内部网络,那些用户能够通过哪种方式登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。
3) 网络入侵检测策略
系统中应该设置入侵检测策略,动态地监测网络内部活动并做出及时的响应。
4) 网络安全审计策略
系统中应该设置安全审计策略,收集并分析网络中的访问数据,从而发现违反安全策略的行为。
5) 运行安全策略
运行安全策略包括:建立全网的运行安全评估流程,定期评估和加固网络设备及安全设备。
2.3网络安全设计
根据对医院外网安全保护等级达到安全等级保护3级的基本要求,外网的网络安全设计包括网络访问控制,网络入侵防护,网络安全审计和其他安全设计。
1) 网络访问控制
实现以上等级保护的最有效方法就是在外网中关键网络位置部署防火墙类网关设备,采用一台天融信网络卫士猎豹防火墙、一台CISCO公司的PIX515和一台网络卫士入侵防御系统TopIDP。
①外网互联网边界防火墙:在局域网与互联网边界之间部署CISCO公司的PIX515百兆防火墙,该防火墙通过双绞线连接核心交换区域和互联网接入区域,对外网的互联网接入提供边界防护和访问控制。
②对外服务区域边界防火墙:对外服务区域与安全管理区域边界部署一台千兆防火墙(天融信NGFW4000-UF),该防火墙通过光纤连接核心交换机和对外服务区域交换机,通过双绞线连接区域内服务器,对其他区域向对外服务区域及安全管理区域的访问行为进行控制,同时控制两个区域内部各服务器之间的访问行为。
③网络入侵防御系统:在托管机房区域边界部署一台网络入侵防御系统,该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机,为托管机房区域提供边界防护和访问控制。
2) 网络入侵防护
外网局域网的对外服务区域,防护级别为S2A2G2,重点要实现区域边界处入侵和攻击行为的检测,因此在局域网的内部区域边界部署网络入侵检测系统(天融信网络入侵防御系统TopIDP);对于外网托管机房的网站系统,防护级别为S3A2G3,由于其直接与互联网相连,不仅要实现区域边界处入侵和攻击行为的检测,还要能够有效防护互联网进来的攻击行为,因此在托管机房区域边界部署网络入侵防御系统(启明星辰天阗NS2200)。
①网络入侵防御系统:在托管机房区域边界部署一台采用通明模式的网络入侵防御系统,该入侵防御系统通过双绞线连接互联网出口设备和区域汇聚交换机,其主要用来防御来自互联网的攻击流量。
②网络入侵检测系统:在外网的核心交换机上部署一台千兆IDS系统,IDS监听端口类型需要和核心交换机对端的端口类型保持一致;在核心交换机上操作进行一对一监听端口镜像操作,将对外服务区域与核心交换区域之间链路,以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量,镜像至IDS监听端口;IDS用于对访问对外服务区域的数据流量,访问安全管理区域的数据流量,以及访问互联网的数据流量进行检测。
3) 网络安全审计
信息安全审计管理应该管理最重要的核心网络边界,在外网被审计对象不仅仅包括对外服务区域中的应用服务器和安全管理区域的服务器等的访问流量,还要对终端的互联网访问行为进行审计;此外重要网络设备和安全设备也需要列为审计和保护的对象。
由于终端的业务访问和互联网访问都需要在网络设备产生访问流量,因此在外网的核心交换机上部署网络行为审计系统(天融信网络行为审计TopAudit),交换机必需映射一个多对一抓包端口,网络审计引擎通过抓取网络中的数据包,并对抓到的包进行分析、匹配、统计,从而实现网络安全审计功能。
①在外网的核心交换机上部署一台千兆网络安全审计系统,监听端口类型需要和核心交换机对端的端口类型保持一致,使用光纤接口;
②在核心交换机上操作进行一对一监听端口镜像操作,将对外服务区域与核心交换区域之间链路,以及互联网接入区域与核心交换区域之间链路进出双方向的数据流量,镜像至网络安全审计系统的监听端口;
③网络安全审计系统用于对访问对外服务区域的数据流量,访问安全管理区域的数据流量,以及访问互联网的数据流量进行安全审计;
④开启各区域服务器系统、网络设备和安全设备的日志审计功能。
4) 其他网络安全设计
其他网络安全设计包括边界完整性检查,恶意代码防范,网络设备防护,边界完整性检查等。
①边界完整性检查:在托管机房的网络设备上为托管区域服务器划分独立VLAN,并制定严格的策略,禁止其他VLAN的访问,只允许来自网络入侵防御系统外部接口的访问行为;对服务器系统进行安全加固,提升系统自身的安全访问控制能力;
②恶意代码防范:通过互联网边界的入侵防御系统对木马类、拒绝服务类、系统漏洞类、webcgi类、蠕虫类等恶意代码进行检测和清除;部署服务器防病毒系统,定期进行病毒库升级和全面杀毒,确保服务器具有良好的防病毒能力。
③网络设备防护:网络设备为托管机房单位提供,由其提供网络设备安全加固服务,应进行以下的安全加固:开启楼层接入交换机的接口安全特性,并作MAC绑定; 关闭不必要的服务(如:禁止CDP(Cisco Discovery Protocol),禁止TCP、UDP Small服务等), 登录要求和帐号管理, 其它安全要求(如:禁止从网络启动和自动从网络下载初始配置文件,禁止未使用或空闲的端口等)。
3 结束语
信息安全等级保护是实施国家信息安全战略的重大举措,也是我国建立信息安全保障体系的基本制度。作为国家信息安全保障体系建设的重要依据,在实行安全防护系统建设的过程中,应当按照等级保护的思想和基本要求进行建设,根据分级、分域、分系统进行安全建设的思路,针对一个特定的信息系统(医院信息管理系统)为例,提出全面的等级保护技术建设方案,希望能够为用户的等级保护建设提出参考。
参考文献:
[1] 徐宝海.市县级国土资源系统信息网络安全体系建设探讨[J].中国管理信息化,2014(4).
[2] 李光辉.全台网信息安全保障体系初探[J].电脑知识与技术,2013(33).
医院网络安全建设方案范文第4篇
关键词:医院 计算机网络 隐患 对策
随着社会经济的不断发展和信息化技术的不断进步,网络为人们信息的获取提供了便利,为世界不同区域的网民提供了足够的信息资源、大量的空间和通畅的交流渠道。医院在网络安全建设中,由于技术力量薄弱、设备管理不完善等问题的存在,对医院的网络安全造成了很大的隐患。加强网络安全管理已经成为各个医院都面临的问题,也是必须要解决的重要问题。本文对医院网络安全管理中存在的问题进行了分析,并且结合存在的问题开展调查研究,针对存在的问题提出了相应的解决措施,为医院网络安全管理提供了参考。
一、医院计算机网络存在的一些安全隐患
(一)需要进一步加强计算机安全防范机制
医院的一些内部工作人员,在内网随便使用可移动的存储设备如硬盘光驱、软驱、数码相机等,这样容易间接地与外网进行数据交换,容易导致机密数据、敏感信息的传播与泄漏以及病毒的传入。管理员在使用域策略时,为了方便,在相同域中的使用者之间可以进入对方的计算机,即使是机密文件也能够访问。一些计算机操作者有时会因一些事情急于去处理,匆忙中忘记锁定自己的计算机,导致没有关闭的保密文档极易泄漏。
(二)计算机操作人员的操作不当
一些用户缺乏安全意识,操作员也不按规程操作,这样就很容易由于安全配置问题出现安全漏洞,用户口令较简单,用户将自己的账号公开都会对网络安全造成一定的威胁。内部人员如果使用宽带接入外网,外部的黑客能够绕过防护屏障,非法外联的计算机比较容易得到侵入,一些敏感信息就很容易被盗,造成泄密事件的发生,甚至内网的重要服务器也会得到攻击,严重时还会引起整个内网的瘫痪。
(三)外部病毒的攻击
医院的网络不可避免地要与外界网络有连接,因为医院和医保中心有业务来往,所以也较易受到一些病毒攻击。一部分病毒攻击性较小,系统正常运行不会造成影响,但是有些高危险病毒,就会引起系统崩溃,高危险病毒可以再短时间内感染大量的机器,致使大量计算机不能正常工作,形成拒绝服务攻击。终端上完全不受病毒干扰是很难做到的,但是可以尽量减少病毒攻击。
二、加强计算机网络安全的对策
(一)创建网络安全管理机制
医院领导班子对于网络安全管理要引起足够的重视,硬件设施要加强完备,加大资金投入力度,做到及时软硬件进行更新。要加强网络安全管理技术队伍建设,认真选拔网络应用技术熟练人员,不断完善医院网络安全管理机制,坚持管理技术创新,进一步完善网络安全管理规章制度,尽可能地减少网络安全隐患。
(二)增强医院员工的网络安全教育
要对医院内部员工进行网络安全培训,讲解计算机病毒查杀、密码设置注意事项、网络攻击造成的危害等,让员工知道不要随便打开来历不明的电子邮件或者移动存储设备也要先进行查杀病毒才能打开。进行密码设置时要注意密码强度,一旦密码遭到破解就很容易受到损失。禁止使用U盘及其它移动存储设备,一定要从根源上杜绝病毒的来源;禁止在网络上共享文件,对违反规定的人员或科室,根据情况扣除奖金;对科室计算机的使用情况要进行不定期的检查,以便及时发现问题并解决问题。医护人员要积极学习网络安全知识,一定要明白网络安全教育是网络操作人员责无旁贷的事情。
(三)增强医院计算机病毒防范
随着医院网络系统的日益壮大,计算机数量迅速增加,网络的入侵问题也随之突出。一旦计算机被黑客侵入,破坏性极强,损失严重。因此,认真做好对计算机病毒的防范。首先,要堵住病毒的源头。网络实现内外网物理分离外网病毒将很难进入内网,病毒进入内网是从接入内网的工作站为入口,然后病毒再侵入其它的工作站。其次,对于病毒的防范,仍应以杀毒软件为基础。对防治病毒采取以下方案:
1、分析出现的病毒,已知的并且可以控制的就可以杀毒,对于未知的病毒,我们可以上网查询等方式查找解决办法。
2、对于危害较大,又暂时无法消灭的病毒,将其进行格式化重装。
3、引进一套内网安全防范软件,以便对各客户端进行及时监控,帮助解决网络中存在的安全隐患。
(四)应用安全防范
要确保计算机网络应用的安全,一要配备防病毒系统;二要做好数据备份工作,对重要数据信息进行安全备份是最保险的方法,一旦系统受到破坏,就可以采取数据恢复方式加以挽救;三是数据可以以加密的方式进行传输,从而实现数据在传输的过程中不会被窃取,以保证数据的安全,避免不必要的损失;四是加强对信息鉴别工作,采用信息鉴别技术,保障数据的完整性,VPN设备就提供了这种功能,对数据源身份进行认证确保信息的来源的真实性,是信息鉴别的一种有效手段,为了保障数据传输安全可以采取传输加密技术结合VPN设备,实现数据传输的可靠性、完整性、机密性。
三、结语
在医院的信息化管理中,我们必须积极的采取各种手段,加强计算机网络安全管理,建立高效、健全的防御体系,确保医院计算机网络安全。
参考文献:
[1]郭姝娟.医院安全网络分析与控制[J].中国科技博览,2010(15).
医院网络安全建设方案范文第5篇
Abstract: In view of the security problems in hospital network information system, this paper puts forward a series of solutions.
关键词:医院信息网络系统安全;管理网络安全
Key words: hospital information;system security;management network security
中图分类号:TP391文献标识码:A文章编号:1006-4311(2010)07-0138-01
0引言
随着医院信息化水平的不断深入,医院信息系统(HIS)所覆盖的范围越来越广,但是,病毒入侵、黑客攻击、数据丢失、系统崩溃、人员误操作和自然灾害等等都给医院信息系统造成了诸多不安全隐患。提升信息系统的安全性、可靠性已成为当今医院迫切需要解决的问题。下面就结合我院探讨如何保障医院信息系统的安全管理问题,可以从以下几个方面入手。
1硬件系统的物理安全
医院的硬件系统支撑着医院信息网络系统的正常运行,它的安全与否直接影响着医院整个信息网络系统的状态。
1.1 服务器作为医院网络系统的核心,网络安全的最重要任务就是维护服务器的安全。要有备用机以避免服务器出现故障,中心机房的地板要采用防静电地板,并按国家标准接地,配备UPS电源,在专用的机柜内放置服务器,没有重要的事情任何人不得接触。
1.2 网络通信设备交换机也应该安置在专用机柜,电源也必须符合国家规定标准。由于线路复杂,因此在布线时要设计好布线施工图,并保留,以便于使用中出现故障的维修工作。在某些关键的线路位置,最好多布置一条线路作为备用。线材要有防护措施,如线材外加套管,可以防止线路的老化,并有防水,防潮,防虫咬的效果。
1.3 工作站工作站选址,要注意计算机的工作环境,要保证计算机在环境下能正常的运行工作,注意散热、防潮、防尘、防盗等。加大对医院信息网络系统硬件接口的监督管理,防止私人或外来的计算机等设备介入医院信息网络系统。
2计算机软件系统的安全
2.1 操作系统的安全管理操作系统在每一台硬件设备上都重要,因此,要想保证医院信息网络系统的正常运行,就须有一个稳定的操作系统,要及时对操作系统进行更新换代,建立主域控制器和备份域控制器,所有的医院内部人员都是使用账号登陆,才能够进入医院信息网络系统,并共享到医院的数据。同时可以采用经过审查过的,安全的第三方软件对所有的客户端得操作情况进行监控。
2.2 定期对数据进行备份医院信息系统从运行的那一刻起就在积累着数据,并随着时间的推移,系统内的数据也越来越多。医院信息网络系统的基础就是这些不断更新并增加的数据。当系统运作时会有一些难以避免的问题,因此必须要设置备用系统以防不测。①建立一套完备的备份方案,是做好备份的先决条件。根据数据的重要性,可以选择月、周、日、分进行备份。备份介质可选择采用硬盘、光盘、磁带等。②常用的备份方法。
2.2.1 双机热备法双机热备份也称服务器镜像备份。这需要准备两全相同的服务器,分为一主一备。当主服务器在运行中出现故障停止运行时,备份服务器会自动起动并继续完成主服务器的运作。主服务器恢复使用时,所有数据会传输到主服务器中,从而保证整个网络系统的正常连续运行。这种方法的优点是可靠、安全、简便,是目前比较流行的备份方法。但是这种方法不能出现人为的错误,当逻辑错误发生时,镜像备份只能将错误复制一遍,无法真正保护数据,这种备份的作用是保证系统在出现故障时能够连续运行。但是,这种备份的价格比较昂贵。
2.2.2 异地备份方法是选择一台与主服务器配置相近的备用服务器,建立一个与主服务器数据库同名的数据库。利用系统本身提供的异地传送工具,通过设置定时,由计算机自动地把主服务器数据库中的数据传送到备份的服务器上。一旦主服务器崩溃,只要重新在主服务器上安装操作系统或重新安装数据库,就可以利用异地传送工具将备份服务器上的数据传送回主服务器。这种方法的优点是简单、经济,缺点是耗费时间比较长。
2.2.3 数据库定期备份在备份服务器上,利用数据库自带功能每天自动定时备份。建立日志数据库,数据库的每次改变,日志数据库自动记下改变前后的值,写到日志数据库中,以备以后查阅。这是最常用的备份方法。
2.3 防病毒与防入侵
2.3.1 网络版杀病毒软件网络版杀毒软件能够通过部署防病毒策略,对局域网进行全面的病毒防护,加强医院网络的内网行为管理与网络流量的控制功能,有效地规范各工作站的上网行为,将病毒隐患降到最低限度。
2.3.2 防火墙防火墙是在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。它能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。
2.3.3 安全管理中心它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。
2.4 加强安全管理
2.4.1 制定严格的安全管理制度安全制度应包括系统软硬件的日常维护制度、网络安全管理规范、数据备份制度、操作员上岗资格规定、系统故障处理方案等。
2.4.2 权限管理网络管理员应对每位终端操作员设置帐户、权限和密码,规定每个操作员只能在本模块范围内操作,而不能越级查阅。同时,还应提醒每位操作员的密码要定期更换,以免被窃取。
2.4.3 进行人员培训工作对于医院管理信息系统涉及到的相关专业人员进行计算机常用知识技能和相关应用软件操作的培训。且将经常容易出现的软、硬件故障编写成小册子,既可使操作人员对常见故障能自己解决,又能减轻计算机工程技术人员的维护量。
总之,医院信息系统的安全管理已成为人们关注的热点,信息安全技术问题的良好解决直接对信息系统的良性、稳健、持续发展起着极其重要的作用。因此,我们要把医院信息系统的安全管理工作作为一项艰辛长期的工作来对待,明确目标,落实责任,把信息系统的安全管理工作提高到一个新的水平。
参考文献:
[1]王颖,董斌.谈医院信息系统的安全使用[J].医疗设备信息,2005,20(5):42.
