前言:想要写出一篇引人入胜的文章?我们特意为您整理了医院的网络安全建设实施范文,希望能给你带来灵感和参考,敬请阅读。
摘要:随着时代的高度信息化发展,网络技术已经广泛应用于医院信息化建设中的每个领域。随着医院的网络规模逐步扩大,网络结构愈加复杂,信息安全涉及的范围将更广,将面临更多的威胁。网络安全作为全院信息系统建设的基础和第一道防御屏障,它的正常运行直接关系医院整体业务与服务的开展,直接涉及医院和病人的经济利益。从多个角度阐述了增强医院网络系统的安全管理以及相关建设方案。
关键词:医疗信息化;网络安全;建设方案
1概述
网络安全是指整体网络结构内部支持的所有网络硬件设备和软件之间的统筹安全防护,保障两者不受恶意攻击和破坏,保持网络系统可靠地连续运行,保障网络的不中断服务[1]。医院的网络系统范围涉及医院信息系统中各节点间的通信链路、各类硬件设备、医疗软件及其系统中的报表数据等。从网络运维和管理者的角度分析,网络安全可视作由多个结构分类组成的一个集合,每一个安全层次作为一个独立整体对应不同的功能特征,结合医院网络系统的实际运用,可将医院网络安全分为3个方面并提供不同策略的防护:物理方面、结构方面和应用方面。
2网络的物理安全
医院网络基础设施的安全建设,主要涉及中心机房的安全性设计,包括网络运行的物理环境安全(如区域保护和灾难保护)以及相关设备的防护安全等。中心机房作为医院信息网络系统的核心枢纽,它承载着整个信息系统的基础条件,在医院网络工程设计与施工过程中,需充分考虑机房的地理选址、室内环境装修以及各项防灾、消防措施等事项。具体保障设施的建设需求不作一一详述,可具体参照《电子信息系统机房设计规范》进行规划设计。同时,可部署机房环境监控系统(BSM),对机房的各防护体系进行集中监控和安全管理,并提供相应的机房组态界面图,实时展示机房内各机柜的温湿度情况、精密空调工作状态、机房市电工作数据和UPS供电状况等信息,便于管理员的日常巡视工作。
3网络的结构安全
医院的局域网交互广泛、应用复杂,网络结构的建立要考虑物理环境、设备配置与业务应用情况、远程联网方式、网络维护管理等因素[2]。在构建医院需求的局域网时通常采用“分层网络模型”的设计,将医院整体网络结构划分成相互分离的三层拓扑:核心层、分布层和接入层。分层网络具有良好的扩展性,网络的冗余性实现方便,有助于提高网络的安全性且便于管理维护。在分层设计模型中,接入层是负责终端设备的接入,主要是将设备连接至网络并提供相应的网段间通信服务;分布层是汇聚接入层交换机传输的数据,通过相应访问策略(如ACL、NAT等)控制不同网段间的通信访问,并将通过审查的数据传输至核心层;核心层是网络互联的高速主干道,作为网络汇聚的枢纽集中着所有分布层设备需要交换的流数据量,必须具有高效的数据转发和处理能力。通常,接入层交换机分部安装在每层楼宇的配线间中,分布层、核心层交换机基于严格的安全防护通常部署于中心机房内。接入层设备采用相较便宜的只有基础转发功能的二层交换机,而在分布层和核心层上采用价格相较高昂的千兆以上高带宽、高性能和具有冗余功能和路由功能的三层交换机。在网络拓扑规划中,同时要考虑构建网络的链路冗余性,通常采用双设备互联备份机制,为网络拓扑结构的每一层的每一台交换机与下一层的每一台交换机之间两两链路互连,并启用交换机的STP(生成树协议)防止多条路径之间可能导致的网络环路,也可在路由器接口上启用VRRP(虚拟路由器冗余协议)实现VRRP组中备份路由器(可配置多台)在主路由器失效时的接替工作,即使某一台交换机路由器在工作中出现故障,相连的其他设备会调整选择其他正常的备用设备与可达路径,保持数据间的正常转发与路由,使网络保持畅通。在网络结构的优化方面,可为接入层交换机的终端设备(如服务器)接入端口配置为快速端口(PortFast)模式,为分布层和核心层之间运用链路聚合技术,将多条物理链路组合成一条具有更高带宽的逻辑链路,结合使用负载均衡功能实现网络更快的传输效率和更高的吞吐量,提升网络的通信性能。
4网络的应用安全
医院网络系统的应用贯穿着各项日常业务的开展,随着医疗服务对于互联网技术的广泛应用,各不同医疗部门的工作业务、管理业务和科研需求都离不开网页的浏览访问、文件的上传、下载、电子邮件等应用程序。面向全球性开放式、结构错综复杂的Internet网络,不仅使流经医院网络的数据流量激增,随之而来的非法侵入的可能性也急剧增大。为了保护各种信息资源的安全,必需对本地、外部网络的访问、数据信息的读写等加以保护和控制,避免遭受木马病毒的侵入、DOS攻击、IP地址欺诈、非法占用和串改等网络威胁,抵御网络黑客的攻击和勒索破坏[3]。网络的应用安全具体实施包括如下几个方面:
4.1内外网络的隔离
医院的网络体系结构一般由3个区域组成:本地网络、外围网络或DMZ(非军事区)以及边界(外部)网络。在两个不同的区域间都各自部署一台结构不同的防火墙(若采用同厂商同型号的防火墙,由于两者的性能协议相同则而被黑客轻易地逐一攻破),组成两两网络区域间的第一道防护屏障,避免位于后方的网络受到来自外界的攻击,提供对不受信任的外部用户的访问限制,防止外部用户访问内部网络同时也可以限制、规范内部用户的可执行操作。防火墙作为内外网络进出的必经之路,通过包过滤技术可以检测所有数据的详细信息,并根据已制定的相关访问策略和过滤规则对外界流经它的数据进行监控和审查,防止外部网络中未授权用户的非法访问,实现内外网的隔离与访问控制,进一步保护网络中业务数据、信息资源和用户信息的安全。
4.2内部网络的访问控制
主要利用VLAN(虚拟局域网)技术并结合Trunk(中继)和VLAN间路由技术来实现对内部子网的逻辑隔离与延伸。按照医院区域规划及相关职能通过在交换机上划分VLAN将医院内部网络逻辑地划分成若干个虚拟子网,每一个VLAN形成一个独立的子网,实现内部网段的隔离,简化了网络拓扑的结构的同时提高了用户间数据的保密性。VLAN间的隔离将网络整体的大型广播域分割成一个个互不干涉的小型独立域,以此防止广播风暴在整个网络范围的传播,可以限制局部网络安全问题对全局网络造成影响。
4.3网络安全检测与防御
防火墙可以阻止基于IP包头的攻击和非信任地址的访问,但无法阻止基于数据内容的黑客攻击和病毒入侵,同时也无法控制内部网络之间的行为[4]。入侵检测(IDS)和入侵防御(IPS)系统被视作防火墙之后的第二道安全闸门。IDS属于一种监测系统,在网络系统的运行遇到非法入侵的状况时进行自动检测和监控,并对异常行为进行记录并分析相应的入侵规则,在识别入侵攻击的特征后,向控制台报警并提供防御依据,随后开展相应的防护功能并及时将入侵事件反馈给管理员。IPS可深入网络数据的内部,感知并检测流经的数据流量,对照数据之间的正常关系以此识别可疑情况,检测到异常特征后及时对通过网关或防火墙进入网络内部的恶意代码进行丢弃以阻断攻击,第一时间阻止木马病毒的蔓延,同时还会对滥用滥反的报文进行限流以保护网络的带宽资源。通常将防火墙、IDS、IPS3类设备结合部署,组成一套统一威胁管理系统(UTM),实现网络信息的入侵检测、防御、阻断为一体的综合性安全防护体系。
4.4网络防病毒
目前,各种计算机病毒及恶意软件不断更新变异,危害和威胁极大,致使加强对网络环境下病毒和恶意软件的防范、检测及清除非常重要。防病毒技术主要通过安全杀毒软件通过它的实时监控识别、扫描和清除功能来防止木马病毒和恶意软件的侵入。部署的杀毒软件应该具有可疑构造全网统一的云安全防病毒体系功能,全面支持对整体网络范围内的服务器和工作终端进行实时病毒防控,并能够在云中心服务端控制对全院客户端进行最新病毒库的统一更新,云安全功能会实时自动分析和处理病毒,可及时、快速地将解决方案提供给网络管理员,拦截一切可疑的互联网威胁。
5结语
医疗信息化是医院推行医疗改革、推进技术创新的必经之路,随着它的数字化应用和发展,医院的常规业务对各类信息系统及相关的医疗数据依赖程度日益提高,网络作为开展医疗信息化的基础,牵一发而动全身,加强医院信息网络安全已成为医疗行业中普遍的认识。任何网络安全事件都可能导致医院业务的瘫痪、患者个人信息的泄露、医疗数据的窃取与勒索等,直接影响医院的整体运营和患者的就医满意度,损及医院的信誉,处理不当则可能会引起医患纠纷、法律问题甚至社会问题。网络作为保障医院信息系统安全与稳定的首当其冲之地,它的安全建设和管理工作是医院信息化建设的重中之重。
参考文献
[1]杨威.网络工程设计与系统集成[M].2版.北京:人民邮电出版社,2010:189.
[2]贾铁军.网络安全管理及实用技术[M].北京:机械工业出版社,2010:322.
[3]李领治,杨哲,纪其进.实用计算机网络教程[M].北京:清华大学出版社,2017:297.
[4]贾铁军.网络安全管理及实用技术[M].北京:机械工业出版社,2010:10.
作者:孙志超 单位:苏州市第七人民医院信息科