医院网络安全方案范文
时间:2023-09-13 17:17:04
导语:如何才能写好一篇医院网络安全方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词互联网+医疗网络安全网络安全防护案例
0引言
互联网+医疗健康模式下要求医院的信息系统功能向外扩展,实现在线预约、挂号、缴费和诊疗服务。为了实现在线服务的功能,势必要将医院局域网与互联网打通,来进行数据交互,但只有在网络与安全的建设达标的情况下,才能开展相关业务。同国内一些大型企业比较,医院的网络安全建设相对薄弱,这与医院信息系统的特殊性和信息化的发展历程有关。最初的网络建设是为局域网系统提供服务,没有与外部系统互联的需求。如今面对越来越开放的服务需求,信息网络的安全性面临着极大的挑战。网络安全作为信息化建设的基石,如何在现有医院网络基础上实施安全防护,为互联网医院需要开展的业务提供高速、可靠的网络环境,是管理者面临的又一挑战。
1医院网络安全发展历程
医院信息系统发展[1]的不同时期,对网络安全建设要求不同。
1.1最初的内外网隔离时期
医院在建设信息系统初期,多数选择内外网隔离的网络方案,内网负责承载医疗业务,外网负责承载办公业务。内网常见有数据库服务器、文件服务器,外网有邮件服务器和网站服务器等。当时的信息系统多为客户端/服务器(C/S)架构,信息系统功能局限在局域网内,数据不用穿越防火墙,信息系统架构简洁,实施与维护方便。网络上通常采用二层树状架构,结构简单、部署迅速。内外网隔离的方式,可以阻断全部来自外网的攻击,将防护重点集中在内网终端上。采用的方法是在服务器与客户端安装杀毒软件。虽然,在这个时期网络安全风险低,但是面对一波又一波的网络病毒,如蓝色代码、熊猫烧香、冲击波、震荡波等病毒,还是暴露了医院终端防护水平低、安全建设滞后的问题。
1.2接入专线网络外联
医院的信息系统发展很快,为了方便患者就医,优化就医流程,新的应用、功能需求层出不穷。其中,包括医保实时结算、银医结算与医疗数据共享等应用。由于早期完全隔离的网络使得系统无法与外界交互,这就需要在独立封闭的网络中“开孔出气”。网络的基础上,与外界系统交互只通过专线的方式,边界清晰、业务明确。在这个时期的应用中,院方系统作为请求发起方即客户端,院内系统不需要对外部系统开放接口或者服务,并且与内网系统联通的专线网络属于“可信”环境。在此基础上,只需要在前置服务器外联边界设置防火墙,阻断由外向内的所有连接,允许由内向外的请求。
1.3划分虚拟专网方式接入
随着医院信息系统的进一步发展,医生远程办公、分院业务系统交互,以及患者自助查询、缴费等新需求应运而生,简单的外联已经不能满足新业务开展的要求。此时,就需要进一步对网络进行开放。远程办公可以使用互联网虚拟专用网络(VPN)接入,患者检查结果查询方式为互联网接入。与以往不同,这些应用的开展,都是以内网信息系统的数据为最终请求目标。不管数据包如何跳转,最终需要到达内网服务端。这一时期的服务从面向医务工作者,扩展到了面向部分就诊患者,请求量有所提升。但最根本的转变在于内网系统面向部分外网客户端,提供多样化的服务。虽然,服务对象是特定人群,但是面向互联网开放了“窗口”,见图2。不管是通过前置机中转,还是地址变换、隐藏等手段提供服务,都不能回避互联网上存在的扫描、攻击等潜在风险。这类应用一般为非必要医疗业务环节,面对互联网上的威胁、风险,还可以忍受一定程度上的服务中断。通过接入物理专线的方式,将医保中心、银行及相关卫生主管部门联通。在相关业务系统外围增加前置服务器,作为院方与互联单位的数据中转站,并负责将相关数据、表格保持同步,将上报数据、业务请求发送至外网服务端。这个时期的网络防护也较为轻松。因为在原有封闭但在网络安全方面,是不能允许存在任何非授权访问和入侵破坏的。
1.4互联网+医疗背景下的网络融合
在互联网+医疗时代背景下,医院信息系统将达到前所未有的开放程度。医院将从医疗、公共卫生、家庭医生签约、药品供应保障、医保结算、医学教育和科普等方面推动互联网与医疗健康服务相融合,涵盖医疗、医药、医保“三医联动”诸多方面[2]。医院还将制订、完善相关配套政策,加快实现医疗健康信息互通互享,提高医院管理和便民服务水平[3]。这就需要医院要将网络大门打开,将网络进行融合设计,让患者可以通过互联网上的多种方式享受就医服务。在医疗业务不断向互联网开放后,对于系统中断服务的容忍度基本为零。医院既要保障服务的敏捷性和持续性,又要保障数据的安全性和保密性,还要防止原有系统被入侵和攻击行为所破坏。同时,需要从多角度、多层次对系统进行网络防护。
2网络安全措施
在已有医院信息系统(HIS)等系统的情况下,医院如何进行“开放系统”的防护工作。保护的指导方针是根据国家信息安全等级保护要求,按等保要求系统应具备抗分布式拒绝服务(distributeddenialofservice,DDOS)攻击、入侵、病毒的防御能力和控制端口、行为等控制能力[4].
2.1流量清洗
在互联网上众多的网络请求中,充斥着大量的无用请求、恶意访问[5]。如果不对互联网中的流量进行清洗,将对系统的可用性构成极大威胁。该部分清洗主要是针对DDOS攻击流量。常见DDOS攻击类型有SYNfloods、Land-Base、PINGofdeath、Teardrop、Smurf等。应根据自身情况选择专用设备或运营商服务进行DDOS攻击流量清洗。
2.2入侵防御
清洗完的流量中还存在着扫描、嗅探、恶意代码等威胁,它们通过系统漏洞,绕过防护,对系统实施入侵行为,达到控制主机的目的。一旦入侵成功,造成的后果和损失是巨大的。通过部署入侵防御系统(intrusionpreventionsystem,IPS)对那些被明确判断为攻击行为,会对网络、主机造成危害的恶意行为进行检测和防御。深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包[6]。基于特征的入侵防御系统无法对高级持续性威胁(advancedpersistentthreat,APT)攻击进行防护,因此在建设入侵防御系统时,要特别注意该类型的攻击防护。可增加态势感知系统辅助IPS,将全网流量威胁可视化,进一步消除0day漏洞隐患。
2.3防病毒
根据国际著名病毒研究机构国际计算机安全联盟(internationalcomputersecurityassociation,ICSA)的统计,目前通过磁盘传播的病毒仅占7%,剩下93%的病毒来自网络。其中,包括Email、网页、QQ和MSN等传播渠道。计算机病毒网络化的趋势愈加明显,需要企业部署防毒墙/防病毒网关,以进一步保障网络的安全。防毒墙/防毒网关能够检测进出网络内部的数据,对HTTP、FTP、SMTP、IMAP等协议的数据进行病毒扫描,一旦发现病毒就会采取相应的手段进行隔离或查杀,在防护病毒方面可起到非常大的作用.
2.4访问控制
在经过流量清洗、入侵防御、防病毒3道工序处理后,访问控制系统是主机最“贴身”的一道防线。它是帮助保护服务器,按照个体情况来制定防护策略,精细防护到开几扇门,允许什么人、什么时间、什么方式访问主机。通常用硬件防火墙来进行访问控制[7]。常见防火墙类型有网络层防火墙、应用层防火墙以及数据库防火墙,可实现针对来源IP地址、来源端口号、目的IP地址、目的端口号、数据库语句、应用层指令、速率等属性进行控制。还有一种特殊的访问控制系统——“安全隔离与信息交换系统”即网闸[8]。主要功能有安全隔离、协议转换、内核防护功能。由于网闸在所连接的两个独立系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议;不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。网闸设备通常由3部分组成:外部处理单元、内部处理单元、隔离安全数据交换单元。安全数据交换单元不同时与内、外部处理单元连接,从而创建一个内、外网物理断开的环境,从物理上隔离、阻断了具有潜在攻击可能的连接,使“黑客”无法入侵、无法攻击、无法破坏。
2.5负载均衡
在面对互联网中大量的网络请求时,必须要增加负载均衡设备,扩展网络设备和服务器的带宽、吞吐量、数据处理能力,从而提高网络的灵活性和可用性[9]。负载均衡有多种算法,可以实现基于轮询、连接数、源IP和端口、响应时间的算法。负载均衡设备增加了应用系统处理能力,不法分子想要攻瘫系统的难度将成倍增加。
2.6日志审计与事后分析
日志审计与事后分析非常重要[10],必须将拦截和放行的网络请求记录下来。一方面,统计攻击日志,分析网络运行风险;另一方面,记录放行的流量,对各个防护环节进行查漏、补缺,优化防护策略。日志审计越全面,对优化网络、提升系统服务水平的帮助越大。日志审计的范围包括:应用系统日志、数据库日志、操作系统日志、网络安全防护日志等。还可将日志系统与网络安全态势感知系统相结合,使分析结果更全面、更准确。日志存储时间应大于6个月。
3具体实例
根据以上的防护要求,本文给出了一个内外网融合并进行防护的具体案例。按照重要程度与功能将网络划分为多个区域,总体原则:首先是按照应用系统划分区域;其次是实施严格的边界访问控制;最后是完善监控、审计等辅助能力建设。由此,形成了包括三级域、二级域、安全管理域、专线接入域、数据交换域、互联网服务接入域在内的6个主要区域。将医院最重要的HIS系统、集成平台、数据仓库等系统接入在三级域,进行最严格的保护;其他业务应用系统放在二级域,网站、VPN、线上业务等放在互联网服务接入域。边界分别部署下一代防火墙、Web应用防火墙(webapplicationfirewal,WAF)。防火墙开启入侵防御、防病毒等防护模块,只放行应用系统对外提供服务的端口流量,对每个源IP的新建连接数、并发连接数、半开连接数进行限制。WAF针对应用实际情况,开启对数据库、中间件、开发语言的防护规则。由于三级域系统业务量大,采用多台应用服务器并行架构,通过旁挂负载均衡器实现应用引流、负载分担,保障应用系统处理能力。将应用服务器与数据库服务器用数据库防火墙进行隔离、控制,从SQL语句、角色权限等角度对数据进行保护。数据交换域的主要功能为数据中转与应用,边界同样部署下一代防火墙,开启入侵防御、防病毒等防护模块,对出入流量进行严格管控。当互联网服务或线上医疗业务需要与HIS等核心系统产生数据请求时,需要通过中转服务器完成数据中转功能;当来自低安全级别系统向HIS等核心系统请求服务时,需要通过中转服务器完成应用功能。这样,在保证系统互联互通的同时,解决了不同系统间的信任问题。安全管理区中放置防病毒软件、堡垒主机、日志审计、态势感知平台、认证系统和监控平台等用于网络管理的服务器,与业务系统隔离,在边界严格控制此区域系统进出流量。在互联网出口处,设置有抗DDOS设备、IPS、防毒墙、下一代防火墙、负载均衡器,全方位对互联网实时流量进行过滤。国家卫生健康委员会、医保中心、银行等业务通过物理专线接入至专线接入域,通过前置机与防火墙对这类业务进行访问控制。总之,通过多种设备和全面的管理,形成一个边界清晰、管控严格、监控全面、审计详实、可感知态势的网络系统。这样,在快速开展互联网线上业务的同时,还能够最大限度地进行网络防护。
篇2
关键词:网络安全,防火墙医院信息管理
随着医院信息化的深入,越来越多的医院已经部署了医院信息系统。医院业务每天都要产生大量的信息,大部分数据都实现电子化记录,如财务数据、病人的就诊记录等重要信息。信息化的应用在提高医院工作效率,降低管理成本的同时,也为数据窃取、数据篡改行为衍生了机会。同时,基于系统漏洞的病毒、木马等危害也日益严重,导致很多医院因病毒爆发而中断业务,丢失数据。因此,信息安全越来越成为医院信息化建设重点关注的问题之一。计算机网络已经成为信息系统赖以运行不可或缺的基础平台。如何保障医院网络的不间断运行,及时排除网络安全方面的隐患,确保医院网络安全无故障持续运行,是医院网络管理者们不可避免的一个课题。
一、医院信息系统的安全,涉及面比较广,主要包含以下几个方面: 1用户权限验证:每一个操作人员登录系统的权限; 2 数据安全:数据库的安全策略,备份与恢复策略,用户操作痕迹及回溯等; 3 网络安全:与外网的连接,授权访问与非法访问等; 4 防病毒防黑客:桌面防毒的问题是最易解决的了,装一个网络版的杀毒软件就行了; 5 安全管理体系:用户权限的变更管理,帐号口令的管理等; 6 有医生/护士工作站的,可能还会有医生护士操作的电子签名的问题。
二、影响医院信息网络安全问题的内外因素
医院信息系统安全涉及网络安全、服务器组安全、存储设备安全、操作系统安全、备份方案的可靠性、群集技术的可靠性、供电安全、计算机工作环境、计算机病毒问题、防止非法访问、系统管理等内容与问题。如今对医疗行业提供的网络安全技术解决方案中,仍以防火墙(FW)+防病毒(AV) 为主流选择,忽视其他网络管理系统的网络管理功能。随着医院网络整体应用规模的不断扩大,网络安全环境的日益恶化,大规模DOS侵入、黑客攻击、蠕虫病毒、垃圾邮件等的大量泛滥,这些安全技术手段逐渐暴漏出某些“先天不足”的问题,导致“安全门”一次次“洞开”,引发重要数据的丢失、破坏,造成难以弥补的损失,不仅严重影响到医院网络的正常运行,还直接威胁到患者的隐私和生命安全。
虽然这里有安全环境变化的原因,但更重要的是医院对于网络管理系统产品的部署和认识存在着误区,偏爱防火墙,认为有了防火墙就可高枕无忧,其它网络管理系统就不必了。其实防火墙产品本身就有技术上的不足,被动式的防御措施,不能防范不经过防火墙的攻击(包括来自网络内部和网络旁路的攻击)、新的威胁和攻击以及基于内容的攻击等。
目前影响威胁国内医院信息网络安全问题的主要人为因素有4个方面:一、没有设立专门的网络管理机构,没有行政和技术上的有效安全管理,网络设计缺陷威胁网络安全,比如过于单方面依赖防火墙;二、没有制定、公布卫生系统的信息网络安全规范和安全标准;三、没有实行强制性的安全监督、审查、验收机制,特别是没有第三方介入的监督、审查、验收机制;四、没有重视和执行对用户的安全知识、法规、标准的宣传、培训、考核,没有规定和实行医院信息系统安全员配备和持证上岗制度。 认识影响威胁医院信息网络安全问题的内外因素,才能“对症下药,药到病除”。
三、 医院基础网络应用常见的安全隐患
1.1内部威胁
医院内部人员将携带病毒的个人电脑接入医院业务网络,对医院业务网络造成破坏,导致业务中断;医院部分人员利用同一台电脑,采用插拔线缆的方式,同时访问业务网络和Internet网络。论文大全。这样在访问Internet时传染的病毒或木马将直接带入业务网络; 同时可能存在个别人员,利用网络访问数据库,从而获取有价值的重要数据,如产生医患纠纷时,篡改病人就诊数据,使医院蒙受巨大损失。 1.2外部威胁外来人员利用非授权电脑,私自接入医院业务网络,发动攻击、传播病毒、窃取或篡改数据;医院业务系统需与医保等社保网络相连,进行数据的传输,由此也会为医院带来安全的威胁。
2 医院信息化管理存在的安全隐患2.1杀毒软件、系统补丁更新不及时大部分医院都为业务主机安装了杀毒软件,但由于主机数量较多,维护量大,网管人员无法确保所有主机的病毒库为最新版本。操作系统补丁的更新也存在同样的问题。这样必然无法防御新的病毒或系统漏洞所带来的安全威胁。2.2IP、MAC地址绑定,无实际意义部分医院为了防止外来人员随意接入内部网络,在接入层交换机进行了IP、MAC地址与端口的绑定操作。此安全防御行为有2个问题:地址绑定工作量大,不方便操作,需网管人员逐条输入,每台交换机单独操作;拥有一定网络技术的人员可轻松更改主机的IP、MAC地址,至使地址绑定无效。IDS入侵检测,“亡羊补牢”IDS只具备入侵检测的功能,当出现异常数据时发出告警信息,但无法进行有效防御,因此很多网管人员认为在医院内部网络部署无意义。数据库审计,无法定位到人为了防止数据篡改或泄露,医院对用户访问权限进行了严格控制,但仍无法避免对数据库的恶意操作行为,数据库安全审计系统可以详细记录每个会话连接对数据库的操作行为,但是只能定位到IP地址,无法与人员做绑定。医院中很多主机为公共设备,只追查到IP地址无法追究责任。论文大全。通过上面的分析,我们不难发现,医院的业务网络存在非常严重的安全威胁,而于此同时,医院的很多安全防御措施却无法起到很好的防范效果。论文大全。
四、医院网络安全的防治策略
1 用户准入&基于网络身份授权俗话说“病从口入”,如果我们能够很好地解决医院业务网络的安全接入问题,将接入医院业务网络的来源进行“消毒处理”的话,就能够还医院一个干净、安全的网络。1.1用户帐号的合法性 用户帐号的合法性主要是确认用户身份的合法,并且可以将用户帐号灵活地与IP 、MAC、VLAN、交换机的物理接口、IP、MAC等信息绑定。该信息的绑定无需网管人员在接入层交换机进行配置,是由SMP(安全管理平台)服务器配置后,统一下发给接入层交换机的策略。1.2网络授权确定用户身份合法、且主机合规后,针对该用户自动下发访问策略(可以访问哪些服务,不可以访问哪些服务)。
2 主机入网安全检测判断主机是否合规,可以灵活定义主机的合规性要求,如病毒库是否为最新版本、指定的系统补丁是否有安装、未允许的程序是否有启动等等。其中更为关键的是,主机安装的安全客户端能够自动收集主机的特定信息生成唯一的标识符,SMP服务器可以判断该标识符是否是合法的主机,从而拒绝外来主机的接入(即使是有用户帐号,IP、MAC做了修改也没有)。
向网络中的违规主机(如,病毒库不是指定版本,指定系统补丁没有安装,运行了不允许安装的软件等)发出警告; 用户根据提示信息,自主进行程序下载或修复漏洞; 安全检查合格后,连入网络。
3 主动防御、安全隔离
4 用户行为审计,准确定位到人
通过在服务器区域部署防火墙,一方面可以防御对服务器的攻击、异常操作等行为,另一方面对于用户的访问行为进行记录,并传送到指定的日志收集服务器(E-log);E-log与GSN联动,将IP地址信息与用户、主机信息进行关联,从而确认用户在网络中的访问行为;结合数据库审计或数据库日志,将用户的网络行为与数据库中的IP地址、时间等信息进行匹配,从而定位到什么人,在什么时间,在哪台主机,连接了数据库,进行了哪些操作。
5 要注意医院网络安全中的非技术因素
在所发生的网络安全问题中, 除了技术方面的因素外,更多的是非技术的因素。影响医院网络安全的非技术因素:网络安全意识淡薄,缺乏防范意识;管理观念没有及时跟上;信息管理部门对网络安全的现状认识不足;缺乏完善的网络安全管理体系;网络安全管理人员和技术人员缺乏必要的专业安全知识;网络使用者的安全意识薄弱等。这些非技术因素也需要非常注意。
五、结束语:
随着医院计算机网络的逐步发展,它渐渐成为一个医院关键的、不可缺少的资源。我们必须积极主动的利用各种手段管理网络、诊断问题、防患于未然,为医院计算机信息系统提供良好的运行环境。网络的安全与医院利益息息相关,一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增,医院网络管理人员要掌握最先进的技术,把握住医院网络安全的大门。
五、参考文献
[1] 韩雪峰, 等. 医院信息网络的管理, 医学信息, 2006-12.
[2] 管丽莹, 等. 医院计算机网络及信息安全管理,现代医院, 2006-8.
[3] 张震江.医院网络安全现状及研究[J].计算机系统应用,2006,7:88-93.[4] 张会芹. 医院网络的安全维护措施[J].中国医院统计,2006,12(2):191-192.
篇3
关键词: 医院 网络安全 计算机病毒
在电子计算机及网络系统为医院信息化建设和医疗工作带来很多方便的同时,也带来了诸多安全隐患。最为突出的就是各医疗终端的操作系统受到计算机病毒的威胁,广泛使用的U盘、MP3、数码相机等移动存储设备也成为医院局域网计算机病毒传播的介质。此外,由于大多数医院目前使用微软公司出品的WINDOWSR家族系列产品,其软件自身设计上的缺陷和漏洞也让计算机病毒和黑客攻击成为可能。针对以上问题,从经济及实用出发,我们对医院计算机网络安全工作进行了设计。
1 计算机病毒的防范
由于计算机病毒的种类发展很快,其变种也非常迅猛,我们采取在医院各工作站安装杀毒防毒软件以及软件防火墙。由于各工作站计算机上的病毒库可能得不到及时更新,将导致杀毒防毒软件无法准确查杀系统中的病毒,从而对医院的医疗数据存在很大的威胁性,因此设计方案中我们选择两种杀毒软件进行防护。
防毒方案1:金山公司出品的《金山毒霸R杀毒套装》。 安装此防毒软件后,为了让其病毒库自动升级而保持较新,需要在防毒服务器上安装IIS (Internet信息服务),建立病毒库升级站点,将本地病毒库更新文件放置在该站点目标文件夹后启动该服务站点;客户端机器在安装此防毒软件后,必须修改升级服务器地址配置文件,将地址指向防毒服务器所开放的升级服务站点。利用金山毒霸自带升级程序可以进行病毒库的升级,升级频率可以随意调整,从而能有效的保护工作站计算机不受病毒的侵扰。
防毒方案2:卡巴斯基病毒实验室推出的《卡巴斯基R反病毒软件7.0》。 此防毒软件安装和配置较为简单,只需先在客户计算机安装卡巴斯基反病毒软件7.0后;先在文件服务器上创建共享一个文件夹,将此防毒软件的更新包放置在该文件夹下;再进入软件更新设置界面添加一个本地病毒库更新源,将本地更新源设置为系统映射在文件服务器上病毒库升级共享文件夹而成的网络驱动器即可。
综合以上两个防毒方案,考虑到医院承载信息管理系统的局域网与互联网是物理隔断的,病毒的传播、变异速度相对迟缓,所以病毒库的更新频率设置为每周更新二次。
2 解决WindowsR家族漏洞
由于WindowsR家族系列产品自身设计上的缺陷和漏洞,使得计算机系统更容易被计算机病毒和有恶意企图人士利用这些缺陷和漏洞进行攻击;而微软公司也经常会针对所属产品存在的瑕疵进行相应的弥补,最常见的措施就是不定期的通过官方网站修复及完善其多个产品系列的安全更新补丁。
由于医院各工作站计算机未能连接到互联网上,所以无法下载和安装这些更新补丁,若由管理人员进行逐台安装将耗费大量时间和精力,也为后续的维护工作带来诸多不便,无形中增加了资源浪费和维护成本。因此,建议在医院网络中心安装架设Windows Server 更新服务器(WSUS);通过使用WSUS更新服务,网络管理员可以快速而可靠地将 WindowsR家族操作系统、OfficeR家族产品和以及 SQL ServerR家族产品的最新“关键更新”和“安全更新”部署到客户机的操作系统。客户计算机上只需开启“Windows 自动更新”功能,Windows 自动更新是WindowsR家族产品的一项功能,当适用于当前计算机的重要安全更新时,它会及时提醒用户下载和安装。使用自动更新可以在第一时间更新当前操作系统、修复系统漏洞,保护计算机安全。
2.1 安装WSUS 3.0 RC 服务器软件的系统要求:
(1)安装 Windows Server 2003 Service Pɑck 1或更高版服务包;
(2)安装 Internet 信息服务 (IIS) 6.0 或更高版本;
(3)安装 Microsoft.NET Frɑmework 2.0;
(4)安装Microsoft Mɑnɑgement Console 3.0 (Server 2003 SP2内含);
(5)安装 Microsoft Report Viewer (报表查看器 );
(6)可选安装: Microsoft SQL Server 2005 附 Service Pɑck 1;
PS:如果没有安装兼容版本的 Microsoft SQL Server, WSUS 3.0 将安装 Windows 内部数据库。
2.2 配置WUSU 3.0服务器:
(1)设置更新服务器地址和同步计划,设定为每周日将WUSU服务器接入Internet 从微软更新网站进行更新补丁的同步下载,保证各工作站计算机每周一可从WUSU服务器获得相关的安全更新;
(2)设置需下载的产品的类型及语言版本,医院将只下载中文版的Windows系列、Office 系列、Microsoft SQL Server 系列的产品更新补丁,今后随着业务和应用的扩展还可下载其他产品的更新补丁;
(3)设置计算机分组和审批规则,从全院计算机中抽调指定部分计算机组成测试组,以测试新的更新补丁,在自动审批规则里允许的产品更新补丁测试完成后,才对全院客户计算机进行全面分发部署。
2.3 配置客户端计算机:
(1)编辑WUSU服务器的组策略,将各工作站客户计算机加入到Active Directory 网络中进行“域”管理后,可以大大简化管理人员的工作量,只需在WUSU 服务器的组策略编辑器中“启动Windows Updɑte”并设置“WUSU升级服务器IP地址”,待服务器和客户计算机刷新应用组策略后,客户计算机即可自动联系WUSU服务器下载和安装本机所需要产品的更新补丁;
篇4
随着时代的发展和科技的进步,各种新型医疗信息系统在医院中应用的范围不断扩大,医院信息化建设得到飞速发展,但是医院在对信息技术进行应用时,不仅得到很多有利之处,也有一些不容忽略的网络安全现象。比如,信息的泄漏、APT攻击等,这些问题的出现对医院的信息化建设产生极大影响。所以,医院需要采取有效的网络安全防护手段,建构安全、稳定的网络环境,然后对网络的管理进行规范,加强网络安全的管理强度,进而为信息化建设发展奠定基础。
2医院信息化建设中网络安全隐患
网络安全使之网络系统内的各种软件、硬件和数据等可以得到有效保护,不会因为偶然或者恶意行为而被破坏、更改或者泄露,可以确保网络系统稳定、正常运行,提供的服务也不会出现中断的情况。因为医院资深具有特殊的性质,所以医院的信息系统需要在24小时内都可以正常运转,而且,医院的信息系统辐射的范围比较广,是医院的全部部门,包含患者在就诊时的各个环节,这就使医院的业务对网络有较强的依赖性。而且,医院借助互联网可以和医保进行联网,这就使医院的网络变的更加开放,使医院受到攻击和感染病毒的概率增加,只要其信息化系统发生故障,就会对整个医院的运行和管理带来很大影响,还会为医院和患者带来损害甚至是灾难。目前,医院信息化建设中网络安全问题主要有一些层面:网络安全,系统安全和数据安全。系统安全主要有程序、操作以及物理安全;网络安全随网络攻防技术的发展而更加复杂和多样;数据安全包括数据自身和数据防护的安全。从应用服务层面出发,网络安全主要是在网络终端接入网络后出现的安全问题,比如黑客、病毒、操作违规以及非法入侵等,造成系统内的网络断开,服务器的瘫痪或者病人账户被盗以及丢失数据等。从产品层面出发,主要是硬件、应用程序以及软件系统内被植入恶意代码等带来的隐患。从技术层面出发,主要是产品信息自身在设计和研发层面的缺陷,也包含日常维护管理和信息科技带来的隐患。从物理层面出发,主要是操作错误,自然灾害或者人为的破坏等,使计算机不能继续运行。
3医院信息化建设中网络安全防护的对策
3.1建构起科学的网络安全管理体制
要想确保医院网络安全,首先需要制定科学的网络安全管理规章制度,医院需要和自身实际相结合,使用科学方法和管理体制,比如机房的管理规范、数据资源备份存储制度、网络的运行和维护制度以及信息系统的操作制度等,还需要对工作人员的安全意识进行培养,确保医院的网络管理有理有据。医院需要成立网络应急小组,在出现网络安全问题后,小组需要按照事件严重性程度采取相关措施,尽可能快的恢复网络,并把事故的时间、影响和损失降至最低,形成问题长效整改机制。3.2使用科学的网络管理手段医院需要以自身的实际发展状况为基础,实施正确、科学的网络管理手段,进而确保医院的整个信息系统可以正常、高效与安全运行。首先,为了确保医院信息系统内的服务器可以稳定、可靠与高效运行,需要使用双机热备和双机容错等措施进行解决。其次,对于系统内一些比较关键和重要的设备,可以借助UPS对主机设备进行供电,这样可以在确保拥有稳定电压的同时,有效防止出现突况。再次,在对网络的架构进行设计时,需要把主干网络的链路也建构为冗余模式,如果主干网络的线路出现了故障,就可以借助冗余线路确保网络数据信息仍然能够正常进行传输,语言的专业人员需要对网络的外网与业务的内网开展物理分离处理,进而避免互联网与业务网络的混搭现象,这可以从根本上降低因为互联网的因素影响而造成医疗数据出现外泄可能性,还能够防止非法用户使用外网进入到医院服务器和信息系统中。接着,医院还需要建构系统与数据的备份体系,进而保证在机房出现灾难或者储存设备受到损坏时,可以在较短时间内恢复系统运行。最后,使用分级权限管理措施,防止数据修改或者越权进行访问的情况出现,还要对部分重要信息数据开展跟踪预警措施。
3.3使用科学的技术手段
首先,因为医院网络架构中内网与外网是隔离的,内网安全需求更高,所以需要安装更加强大的软件进行杀毒。并在内网和外网间建构防火墙网关,进而滤出一些不安全或者非法的服务,适当限制网络的访问,这可以对网络攻击行为起到一定的预警作用。其次,要想弥补防火墙自身的漏洞,医院需要使用专业化入侵检测体系,把各个关键点在网络内分散,然后借助对数据的审计、安全日志或者行为等检测得到的信息,进而了解网络或者系统内有被攻击或者违反安全措施的行为,还需要借助安全扫描技术等对可能出现的漏洞进行检查。最后,需要建构云安全平台,借助虚拟化平台实现网络安全集中管理,并使医院中网络安全管理成本得到降低,解决网络安全问题。
4结语
综上所述,语言的信息化建设中网络安全防护具有重要的意义,需要引起相关人员的重视,不断对其进行改进与完善,切实发挥出网络安全防护的作用,进而促进医院的信息化建设发展,更好的为病人服务。
作者:鲍怀东 单位:吉林市急救中心
参考文献:
[1]韩辉.医院信息化建设中网络安全分析与防护[J].信息安全与技术,2014,(05):91-93.
[2]徐亚雄.医院信息化建设中的网络安全分析与防护[J].网络安全技术与应用,2015(11):43-43.
[3]李骞.医院信息化建设中的网络安全与防护措施探析[J].网络安全技术与应用,2015(09):43-43.
篇5
一、校园网的安全隐患
1.病毒入侵以及系统漏洞。
计算机病毒是破坏校园网安全的主要因素。计算机病毒具有以下特点:攻击隐蔽、传染途径多、潜伏时间长、破坏巨大、繁殖力强。
校园中最多的机器就是学生的个人计算机,而很多学生并不是很懂得计算机知识,没有及时甚至从来没有打补丁,许多新型计算机病毒都是利用操作系统的漏洞进行传染。学生的机器属于内网计算机,一旦被病毒感染就会很轻易地感染或攻击校园网内其他的机器,例如ARP攻击。
2.校园网外部入侵和内部攻击。
目前在因特网上,后门软件、攻击软件等下载非常方便,这类软件操作简单,破坏力大,操作的技术门槛又很低,普通网民就可以通过这类软件来进行破坏。处在青春期的学生对网络知识很感兴趣,对网络攻击更是非常的好奇,对内部网络的结构和应用模式又比较了解,攻击校园网就成了他们表现自己的能力、实践自己所学知识的首选方式,经常有意无意地攻击校园网,干扰校园网的安全运行。
3.学生对校园网网络资源的滥用。
校园网的出口带宽有限,但在对校园网的工作应用来说是肯定能够满足的。学生在互联网的访问中,有相当一部分的互联网访问是与学习无关的。其中有很多的是大文件下载、在线看电影和玩大型网络游戏,占用了大量的网络带宽,互联网资源严重被浪费,造成上网速度慢等问题。
4.校园网安全管理有缺陷。
随着校园内计算机应用的大范围普及,接入校园网的计算机日益增多,如果管理措施不力,随时有可能造成病毒传播泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
二、校园网络安全技术的应用
对校园网的网络攻击主要来自互联网,主要是利用计算机网络通信协议本身存在的缺陷或安全策略配置不当而产生的网络攻击,从攻击者行为上可以分为两种基本的类型,即被动攻击与主动攻击。被动攻击行为,指的是对所有信息流进行监听来获取某些秘密,这种攻击可以是基于计算机网络或系统的,也是比较难检测到的,针对这种类型的攻击主要防御的措施是采用病毒防护技术、数据加密技术等。主动攻击行为,指的是攻击者试图突破计算机网络的安全防线,这种类型的攻击涉及对数据流的修改或创建错误信息流,针对这种攻击,目前采用防火墙技术、入侵检测技术等。
三、校园网安全防范措施
1.配置防火墙和入侵检测系统。
防火墙可以有效地隔离内部网与外部网, 保护校园内部网络免遭非法的侵入。网络安全检测工具是一个网络安全性评估分析软件,不时地扫描分析网络系统, 网络管理员根据检测的报告系统分析存在的弱点和漏洞,及时采取补救措施,以达到增强网络安全性的目的。
2.采用VLAN技术。
保护服务器管理安全,可采取旁路部署的方式,一台支持SSL技术的VPN设备方便管理员安全地远程维护服务器。
3.配置服务器。
在计算机中心学生机房配置访问控制列表,使用二级防火墙,并利用软件配置服务器,在服务器上安装双网卡,连接外网的网卡使用公网IP地址,连接内网的网卡使用私有地址,学生客户机 IP地址与服务器内网 IP地址在同一网段,网关 IP为服务器内网 IP地址。机房机器通过服务器连接互联网。
篇6
【关键词】医院网络信息 不安全因素 防护措施 计算机技术
我国信息技术研究时间较晚,信息化建设起步时间较短,计算机技术与网络信息安全技术远落后于西方发达国家,在网络信息安全方面存在一定的局限性。随着计算机技术与网络安全技术的不断发展,医院网络信息系统的不断改革与完善,加速了医院网络信息化的快速发展,例如医院行政部门、住院部门、门诊部门等,都应用计算机网络系统,一方面有效提高了医院工作人员的工作效率,另一方面,提高了医院管理效率。通过对医院网络信息的不安全影响因素及防护措施进行研究,有效提高医院网络系统的安全性,促进医院网络系统的安全运行。
1 医院网络信息系统的硬件安全方面
硬件安全方面主要是指医院网络信息系统的硬件设备性能,如果网络信息系统硬件设备性能不稳定或者存在故障问题,不仅会影响医院的正常工作,还会使网络信息系统的服务器、交换机等设备出现问题,严重可能会导致医院整个网络处于瘫痪状态。在网络信息通信设备方面,最为关键的是交换机安全。为了确保交换机的安全,将交换机放在一个专门的机柜里,并配备一个小型的不间断电源设备(UPS)。网络信息系统的安全性主要取决于服务器所提供可靠的服务、安全的数据存储等服务,这是网络信息系统安全性的关键。所以说,服务器作为医院网络信息系统的中心,应加强服务器的安全管理工作,在服务器与安全性要求较高的设备上安装入侵检测系统,确保服务器的安全运行。
除此之外,外在环境对医院网络信息系统设备的安全也有一定的影响。设备运行环境、湿度、温度等都会在不同程度上影响网络信息系统设备的性能。设置运行的环境温度直接影响着设备的温度,进而影响设备内部零部件与元器件运行参数的变化,从而影响设置的性能,严重会造成设备零部件或者是元器件的损坏;而湿度会腐蚀设备的金属外壳或者是金属部件,降低设备的材料性能,严重会使设备性能失效,导致设备报废。因此,应控制好网络信息系统设备运行的环境温度与温度,进而确保医院网络信息系统在正常的环境下运行。
2 医院网络信息系统的软件安全方面
软件安全方面是指计算机病毒或者是黑客侵入。在过去,医院网络信息系统采用封闭式的局域网,仅限于医院内部信息的传输,不受到外来病毒或者是黑客侵入。而现代医院网络信息系统采用互联网,属于开放式网络,容易受到外来病毒或者是黑客的侵入,增加了医院网络信息系统的不安全性。现代化医院信息化管理,如果网络信息系统瘫痪,将会使医院整个医院网络信息系统瘫痪,使医院无法正常运行。因此,应加强医院网络信息系统的防护、查杀等工作,进而确保网络运行安全。
软件安全管理的中心就是数据库,因此加强数据库的选择与安全管理是十分重要的。目前,大多数医院网络计信息系统数据库都采用SYBASE、ORACLE、SQLSERVER数据库,不仅对数据库的选择有严格的要求,同时对数据库的管理与操作也有着严格的管理。为了确保数据库信息的安全性,应对数据库进行备份处理,有效避免由于意外事故发生,导致数据的丢失与损坏。
目前,医院数据库备份方法主要有磁带备份、异地备份、双机热备等。磁带备份具有易保存、易携带、高容量等优势;异地备份数据的存储具有一定的可靠性与灵活性,当网络信息发生事故时,异地备份可以有效还原丢失数据;双机热备是指将主机上的数据备份到服务器上,当一个主机出现故障时,可以启动另一台主机,有效保障数据的正常传输。
3 医院网络信息系统的人为因素方面
医院网络信息系统的安全运行,需要一套健全的规章制度,有效规范管理人员的操作规范与行为。医院网络信息系统健全的规章制度主要有设备加密管理制度、机房设备的安全管理制度、系统密钥管理制度以及系统管理人员的工作制度等。加强规章制度的监督与管理力度,提高工作人员的操作规范与行为标准。此外,规章制度的健全不仅包括技术问题,还包括工作人员的管理,也就是人为因素。要求医院加强管理人员的培训力度,提高管理人员的技术与综合素质,使其熟悉与掌握网络信息系统管理的流程,认识到网络信息系统管理的重要性,进而积极参与到网络信息系统安全管理工作当中。
4 结语
随着计算机技术与网络技术的不断发展,促进医院网络信息化的发展,网络信息系统逐渐成为医院正常运行的重要组成部分。网络信息的不安全直接影响着医院网络系统的正常运行。因此,应该通过对医院网络信息的不安全因素与防护措施进行研究,加强医院网络信息安全的管理工作,提高医院网络信息系统管理与运行安全性。
参考文献
[1]仲大伟,黄,杨金翠.浅谈医院网络信息的不安全因素及防护措施研究[J].信息与电脑研究(理论版),2009,20(10):121-122.
[2]文志刚,肖文涛,齐洪亮.医院网络安全现状解析及防控措施探讨研究[J]计算机光盘软件与应用研究(下旬刊),2012,13(15):144-146.
[3]王淑梅,陈明龙,刘秀菊.医院电子文件管理中的不安全因素及防护措施[J].黑龙江档案管理研究(上旬刊),2009,23(20):123-124.
[4]高喻宏,高瑞珍,赵海珍.有关医院计算机信息系统安全问题的理性思考与探讨[J].医院卫生信息装备(信息系统工程),2012,38(26):106-107.
[5]卢沙林,曾思慧,秦礼敬.浅谈医院网络不安全因素及其防范措施探讨[J].现代医药信息与网络维护(下旬刊),2012,30(07):166-168.
篇7
信息安全问题与互联网的发展相伴相生,在网络时代,我们一方面要享受到信息爆炸、社交便捷的福利,另一方面也需要应对信息泄露的风险。在医院的内部管理中,信息化建设已经成为一股不可逆转的发展趋势,因此,医院要想利用互联网提高管理效率,优化医疗卫生服务,就应该正视网络体系构建中存在的安全问题,并构建严密可行的管理措施,防范网络安全风险,让医疗信息、管理信息能够更好地服务于患者,确保医院的有效运行。
2医院网络安全体系构建中存在的问题
虽然网络体系的构建是医院信息化管理的必要环节,但是其在安全风险防范方面却依旧漏洞百出,使得医院的网络安全体系建设形同虚设,难以充分发挥其风险控制与防范的实际效果。具体来讲,医院网络安全体系构建中存在的问题如下:第一,医院内部系统对数据的收集与应用效果并不理想,目前多数医院对于网络系统的建设还处于起步阶段,许多数据的收集并不完整,例如电子病历的形成尚处于“模板+标签”阶段,缺乏专业化处理,影响了数据传输与共享效果,各部门之间的信息沟通不畅,“信息孤岛”的状况没有被完全打破。第二,网络安全规划缺乏投入,对信息安全的预期投入严重不足,虽然信息安全问题是医院网络信息系统构建的关键,但是从整体上来看,相关部门对于信息安全体系的构建并不积极,例如在硬件投入中缺乏预算支持,使得硬件设备一旦出现损毁就会造成大量医疗卫生信息的丢失;对软件技术的应用不到位,防火墙、加密系统的建立存在漏洞;各部门对于安全系统的认识存在偏见,在某一科室出现网络安全问题的时候则相互推诿,缺乏有效的追责与监督。第三,网络安全体系构建与实现的方案缺乏有效的落实,任何网络安全问题在没有爆发前往往都显得不那么重要,医院在网络安全体系建设中也存在这种侥幸,对安全规划的设计头头是道,但是到了具体的落实阶段却又推三阻四,影响了网络安全体系建设工作的实效性。
3医院网络安全体系构建与实现的相关对策
医院网络安全体系的构建与实现需要从硬件设备、软件系统、组织管理者三个方面入手。
3.1硬件设备安全的构建与实现
根据信息化管理的技术需要,医院的硬件设备安全管理主要包括以下内容:第一,网络布线。对于医院的信息化建设而言,网络布线不仅影响着系统的信息传递速度,更关系着信息沟通的安全,因此,相关技术人员应采取内外网物理断开的方法,对医院网络系统进行科学布线;考虑到信息安全,对于各楼宇的主干线可以采用光纤和备份光纤相结合的方式;在连接客户端的时候,应做好屏蔽处理,及时排除干扰源,保证信号强度,以及信息数据传递的有效性和完整性。第二,根据《电子信息系统机房设计规范》做好对机房的设计,如根据“电子信息系统机房的耐火等级不能低于2级”等规定做好防火安全管理;根据“主机房气流组织、风口及送回风温差”的相关数据做好防潮工作等,确保主机房能够充分发挥信息存储与传输的功能。第三,服务器、交换机的数据安全,在医院网络安全系统构建中,技术人员应对关键设备的基本性能以及冗余做好分析,并确保系统能时刻运行。为避免停电故障造成信息丢失,医院的服务器应采用不间断电源,并在出现安全故障的时候,自动接入另一个服务器完成信息备份,从而做好“双保险”,提高网络系统运行的持续性和安全性。
3.2软件安全系统的构建与实现
在网络安全系统构建中,系统软件可以通过与硬件设备的交互作用,实现对系统的控制与调度,并连接网络,实现信息的传输与存储。因此,医院在网络安全系统构建与实现中,应该不断完善软件系统,从而确保信息数据的安全。医院在软件安全系统的构建与实现上可以从以下几个方面入手:第一,设置安全口令。软件系统的登录应控制开放程度,利用安全口令对访问者的身份进行确定,在使用软件系统的过程中,口令的设置也应该提高安全系数,避免使用缺省值,保证长度不少于八位,且内容包含字母和数字及至少包含两个特殊字符。此外,为进一步确保软件系统的安全,相关部门的操作人员应对安全口令进行定期更换,提高被破译的难度。第二,安装杀毒软件。在医院的网络系统建设中,内外网的完全物理隔离是不可能的,只要存在接入外网的机会,病毒就会见缝插针对网络系统进行攻击。针对此,医院在网络安全系统构建中应该要求客户机及服务器安装杀毒软件,利用软件对病毒进行甄别与抵御,及时检测违规操作,并对高风险行为做出提示,控制病毒对网络系统的威胁。第三,应用防火墙。目前一些软件公司在技术研发中,对防火墙的设计更加严谨,医院在网络安全系统建设中,应利用方便、快捷的防火墙进行定期扫描,及时检测出危险信息,控制恶意脚本在目标计算机上的执行过程,避免外网攻击的入侵,以及信息的泄露。第四,加强对工作站的安全管理。各个工作站在使用系统的过程中,都应该利用账号、用户权限、网络访问以及文件访问等实行严格管理程序规范进行安全控制,严格监控光驱、软驱,USB接口等外来信息的接入,提高安全管理效果。
3.3组织机构的构建与实现
在医院的网络安全保障系统建设中,工作人员是落实安全措施、执行安全方案的主体。再高端的硬件设备、再完善的软件系统都需要人的操作来发挥作用。因此,医院在网络安全保障体系的建设中,应该将人的因素纳入其中,并确定、尊重其主体地位,利用安全管理制度,提高工作人员构建网络安全保障体系的能力。具体来讲:第一,建立一支强有力的安全管理小组,体现组织管理效果,并在管理小组内部做好明确分工,确保一旦出现安全问题能够迅速做出反应。第二,完善安全制度建设,对于医院网络安全管理人员而言,制度建设是规范其安全行为,提高安全方案执行效果的关键,因此医院应该从多方面做出安全规定,明确管理细则,推动安全管理人员工作的有序开展。第三,规范内部人员网络操作,根据信息安全问题的调查显示,操作者的不规范操作是造成病毒入侵,信息泄露的主要问题。因此,在组织管理中,医院应对内部人员的违规操作进行严格控制。第四,做好应急预案的制定与演练,对出现的信息安全问题应做好各部门的联动,提高应急能力,及时止损。
4结束语
总之,进入到互联网时代,信息化已经成为医院内部管理创新的基本思路,信息化的实现需要网路系统的支持,但是在网络系统构建的过程中,无处不在的安全问题使得医院的信息化建设举步维艰。针对此,医院应该从网络安全系统的建设要点出发,增加对硬件设备的投入,做好软件系统的技术应用,加强组织管理建设,进而完成医院的网络安全体系构建与实现。
参考文献:
[1]张宝伟.医院网络安全体系构建及实现方式分析[J].网络安全技术与应用,2018.
篇8
关键词:区域医疗信息化;网络安全防护;安全规范建设
随着医疗单位的信息化发展,各地积极建设医疗服务信息共享平台。区域医疗信息共享平台具有节点多、应用复杂等特点,平台中包含大量患者隐私信息数据,必须保证网络运行安全,避免出现信息泄露事件。上海市级信息化共享建设项目为了保证医疗共享平台的网络运行安全,积极部署安全防护技术,实施安全防护策略,取得了良好效果,可以为其他地区的医疗信息平台建设提供参考。
1区域医疗信息化建设项目及网络安全建设要求
1.1上海市级信息化共享建设项目
上海市级信息化共享建设项目是国内覆盖范围较大、涵盖大型医疗机构较多的区域医疗信息化建设项目。该项目工程覆盖30多个网络医疗节点,其中包含23家市三级医院和6家市三级医院分院,连接长宁、闵行和卢湾等众多区县级卫生数据中心。如此规模的医疗信息服务平台对网络数据安全有极高要求,任何一个节点出现问题,都会威胁到整个系统的网络数据安全。所有联网医疗机构都需要在信息化共享平台中交换信息数据,其中包括患者个人信息、既往病史、医疗检查报告等,涉及到大量个人隐私数据。各个节点或医疗数据中心在进行数据交互过程中,既要提高信息共享程度,又要保证各医院网络的相对独立性,避免互相产生干扰。
1.2网络安全建设要求
区域医疗信息化建设对系统平台的网络安全有极高要求,网络安全框架的构建涉及到医院行政管理、业务操作、技术部署等各个方面,要从整体上确保网络运行安全,准确识别各种潜在安全风险,建立全方位的安全防护体系,并根据实际需要调整安全管理对策,适应网络安全防护需要。此外,还要建立统一的安全管理规范,在系统内部的各网络节点进行有效落实,加强网络安全控制力度。总体来看,医疗信息共享系统的网络安全建设要符合可靠性、开放性、可扩展性、安全性和易于管理等基本要求。
2区域医疗信息化建设中的网络安全防护措施
2.1安全技术部署
在区域医疗信息化建设过程中,网络安全防护技术的应用是网络信息数据安全的基本保障。针对区域医疗信息共享平台的复杂性,应综合运用多种安全防护技术,建立立体化网络安全框架。区域医疗信息共享平台的安全技术主要包括:2.1.1防火墙技术在上述上海市级医疗信息共享系统中,分别在数据中心和外网接入口配置两台千兆防火墙,互为热备,将数据中心的应用处理与外部网络隔离开来,实现对内部信息数据的保护。在整个信息平台中,对防火墙进行路由限制,使数据中心只接受系统内医院网络的访问,医院端则只接受数据中心的访问,极大提高了系统的安全性。医院节点的防火墙部署则分为三个区域,分别是医院内网、联网接入区和DMZ区。其中,内网可以访问数据中心,但数据中心禁止访问内网,最大程度保证各医院信息系统的独立运行和网络安全。2.1.2入侵检测技术在上海市级医疗信息共享平台中,配置有一套完整的入侵检测系统,采用两台千兆探测引擎布置在内网核心处,并在Web服务区配置两台百兆探测引擎,对所有探测引擎进行统一监管。在信息共享平台中,内网核心区一级Web区的交换机是入侵检测技术的主要应用部分,要将其网络流量通过镜像方式映射到入侵检测系统中,实现对关键部分的网络风险检测,及时识别网络攻击行为。2.1.3漏洞扫描技术防火墙与入侵检测技术均属于被动防护手段,漏洞扫描技术则是一种主动的网络安全防护措施,根据医院信息共享系统的网络安全要求,定期、不定期的对系统进行安全扫描,并作出安全等级评估,为系统安全提供保障。一旦在扫描过程中发现系统漏洞和安全隐患,及时采取措施进行修补,确保系统更新维护的及时性。
2.2安全防护对策
在综合应用各种安全防护技术的基础上,还要建立周全的安全防护对策,针对医疗信息共享系统的主要风险问题进行有效防范。医疗信息共享系统面临的主要安全风险问题包括身份窃取、数据窃取、假冒、路由错误、拒绝服务和非授权存取等。上海市级医疗信息化共享系统主要采取以下几点安全防护措施:2.2.1逻辑建网措施医疗信息共享网络采用政务外网线路,将用户接入到托管机房,与公务网进行物理隔离,与互联网进行逻辑隔离,保持系统网络的独立性,禁止未授权单位访问。2.2.2网段隔离措施整个平台系统可以分为数据中心及网络节点两部分,网络节点即各个医院的端节点,数据中心又可以分为内网应用处理区与Web服务区。应用处理区负责数据采集、分析、汇总等工作,并与卫生局等关联单位进行数据交换。Web服务区是医院的对外门户网站,用于重要信息,并根据功能进行子网划分,加强子网之间的信息访问控制。2.2.3网络设备配置措施对医疗信息共享系统的网络设备进行合理配置,布置好安全防护设备,为安全技术的应用提供设备保障。增加访问控制列表,建立内部访问控制措施,关闭一些不必要的服务功能,避免出现资源掠夺。强化过滤功能,防止非法访问接入。采取权限管理措施,为内部人员设置不同级别的账户权限,避免越级操作。此外,还要确保设备配置文件的安全,避免安全防护方案泄露,对系统网络安全造成威胁。
3结束语
综上所述,网络安全建设是区域医疗信息化建设的首要问题,采取有效的安全防护技术和措施,可以为医疗信息系统安全提供保障,从而最大化的发挥医疗信息共享系统的积极作用。通过综合应用防火墙、入侵检测等安全防护技术,可以建立立体化安全防护框架,为医疗信息系统提供全方位保护。在此基础上,根据系统安全需要,采取有效的安全防护措施,可以进一步提高网络安全管理水平。
参考文献
篇9
Abstract: In view of the security problems in hospital network information system, this paper puts forward a series of solutions.
关键词:医院信息网络系统安全;管理网络安全
Key words: hospital information;system security;management network security
中图分类号:TP391文献标识码:A文章编号:1006-4311(2010)07-0138-01
0引言
随着医院信息化水平的不断深入,医院信息系统(HIS)所覆盖的范围越来越广,但是,病毒入侵、黑客攻击、数据丢失、系统崩溃、人员误操作和自然灾害等等都给医院信息系统造成了诸多不安全隐患。提升信息系统的安全性、可靠性已成为当今医院迫切需要解决的问题。下面就结合我院探讨如何保障医院信息系统的安全管理问题,可以从以下几个方面入手。
1硬件系统的物理安全
医院的硬件系统支撑着医院信息网络系统的正常运行,它的安全与否直接影响着医院整个信息网络系统的状态。
1.1 服务器作为医院网络系统的核心,网络安全的最重要任务就是维护服务器的安全。要有备用机以避免服务器出现故障,中心机房的地板要采用防静电地板,并按国家标准接地,配备UPS电源,在专用的机柜内放置服务器,没有重要的事情任何人不得接触。
1.2 网络通信设备交换机也应该安置在专用机柜,电源也必须符合国家规定标准。由于线路复杂,因此在布线时要设计好布线施工图,并保留,以便于使用中出现故障的维修工作。在某些关键的线路位置,最好多布置一条线路作为备用。线材要有防护措施,如线材外加套管,可以防止线路的老化,并有防水,防潮,防虫咬的效果。
1.3 工作站工作站选址,要注意计算机的工作环境,要保证计算机在环境下能正常的运行工作,注意散热、防潮、防尘、防盗等。加大对医院信息网络系统硬件接口的监督管理,防止私人或外来的计算机等设备介入医院信息网络系统。
2计算机软件系统的安全
2.1 操作系统的安全管理操作系统在每一台硬件设备上都重要,因此,要想保证医院信息网络系统的正常运行,就须有一个稳定的操作系统,要及时对操作系统进行更新换代,建立主域控制器和备份域控制器,所有的医院内部人员都是使用账号登陆,才能够进入医院信息网络系统,并共享到医院的数据。同时可以采用经过审查过的,安全的第三方软件对所有的客户端得操作情况进行监控。
2.2 定期对数据进行备份医院信息系统从运行的那一刻起就在积累着数据,并随着时间的推移,系统内的数据也越来越多。医院信息网络系统的基础就是这些不断更新并增加的数据。当系统运作时会有一些难以避免的问题,因此必须要设置备用系统以防不测。①建立一套完备的备份方案,是做好备份的先决条件。根据数据的重要性,可以选择月、周、日、分进行备份。备份介质可选择采用硬盘、光盘、磁带等。②常用的备份方法。
2.2.1 双机热备法双机热备份也称服务器镜像备份。这需要准备两全相同的服务器,分为一主一备。当主服务器在运行中出现故障停止运行时,备份服务器会自动起动并继续完成主服务器的运作。主服务器恢复使用时,所有数据会传输到主服务器中,从而保证整个网络系统的正常连续运行。这种方法的优点是可靠、安全、简便,是目前比较流行的备份方法。但是这种方法不能出现人为的错误,当逻辑错误发生时,镜像备份只能将错误复制一遍,无法真正保护数据,这种备份的作用是保证系统在出现故障时能够连续运行。但是,这种备份的价格比较昂贵。
2.2.2 异地备份方法是选择一台与主服务器配置相近的备用服务器,建立一个与主服务器数据库同名的数据库。利用系统本身提供的异地传送工具,通过设置定时,由计算机自动地把主服务器数据库中的数据传送到备份的服务器上。一旦主服务器崩溃,只要重新在主服务器上安装操作系统或重新安装数据库,就可以利用异地传送工具将备份服务器上的数据传送回主服务器。这种方法的优点是简单、经济,缺点是耗费时间比较长。
2.2.3 数据库定期备份在备份服务器上,利用数据库自带功能每天自动定时备份。建立日志数据库,数据库的每次改变,日志数据库自动记下改变前后的值,写到日志数据库中,以备以后查阅。这是最常用的备份方法。
2.3 防病毒与防入侵
2.3.1 网络版杀病毒软件网络版杀毒软件能够通过部署防病毒策略,对局域网进行全面的病毒防护,加强医院网络的内网行为管理与网络流量的控制功能,有效地规范各工作站的上网行为,将病毒隐患降到最低限度。
2.3.2 防火墙防火墙是在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。它能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。
2.3.3 安全管理中心它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。
2.4 加强安全管理
2.4.1 制定严格的安全管理制度安全制度应包括系统软硬件的日常维护制度、网络安全管理规范、数据备份制度、操作员上岗资格规定、系统故障处理方案等。
2.4.2 权限管理网络管理员应对每位终端操作员设置帐户、权限和密码,规定每个操作员只能在本模块范围内操作,而不能越级查阅。同时,还应提醒每位操作员的密码要定期更换,以免被窃取。
2.4.3 进行人员培训工作对于医院管理信息系统涉及到的相关专业人员进行计算机常用知识技能和相关应用软件操作的培训。且将经常容易出现的软、硬件故障编写成小册子,既可使操作人员对常见故障能自己解决,又能减轻计算机工程技术人员的维护量。
总之,医院信息系统的安全管理已成为人们关注的热点,信息安全技术问题的良好解决直接对信息系统的良性、稳健、持续发展起着极其重要的作用。因此,我们要把医院信息系统的安全管理工作作为一项艰辛长期的工作来对待,明确目标,落实责任,把信息系统的安全管理工作提高到一个新的水平。
参考文献:
[1]王颖,董斌.谈医院信息系统的安全使用[J].医疗设备信息,2005,20(5):42.
篇10
关键词:HIS;网络安全域保护;病毒防范
医院管理信息系统 (HIS)是管理系统(MIS)在医院环境的具体应用。因此,它必定具有以下一些其他MIS系统共有的特性,比如: 它们均是以数据库为核心,以网络为技术支撑环境,具有一定规模的计算机化的系统;都是以经营业务为主线,以提高工作质量与效率和辅助决策为主要目的,可以提高综合管理水平;在系统内部按一定原则划分为若干子系统等。
但是,医院信息系统又有许多不同于一般MIS系统的独有特点。这些特点往往为HIS的设计与实现带来更高的难度,更多的复杂性。因此,医院信息系统在医院的实现应具有其特殊的功能要求。比如:要有一个大规模、高效率的数据库管理系统的支持; 要有很强的联机事务处理支持能力;要求绝对安全、可靠。
一、硬件系统的物理安全性保护
1. 电源保护措施
安装接地防雷系统,更新扩容主机房的不间断电源(UPS),保证断电后4小时的供电量,机房内还应配置温度、湿度监测仪。
2.网络设备安全物理防范
医院是以医疗业务为主的,通常都是多网并存的方式,有院内局域网、医保广域网、分部广域网、国际互联网等多个网络并存。为了确保安全,布线分别采用物理隔离方式,专网专用,保证医院信息系统的主服务器的高可靠性,确保数据安全。
3. 主要设备配置备用设备
硬件设备是信息网构建的基础,主要设备都应配有备用设备,当发生硬件故障时,能够在最短的时间内排除故障,使网络恢复正常运行。
二、软件系统的安全保护
软件系统的安全,主要包括计算机操作系统的安全、医院信息管理系统的安全访问及病毒防控等,具体要求做到以下几点。
1. 寻找漏洞并定期给系统打补丁
我院目前采用WINDOWS XP作为系统平台,该系统管理方便,但是安全性不是很高,大多数病毒和黑客都是通过系统漏洞进来的。要及时对系统和应用程序打上最新的补丁,如IE、OUTLOOK、SQL、OFFICE等应用程序,新的补丁程序都能弥补这些应用程序的bug。
2.严格的口令管理和访问控制
医院网络的特点是分散处理、高度共享,用户有医生、护士、医疗技术和管理人员,覆盖面大。根据这些特点,系统为每个用户设置了唯一的账号,专人专用,设置登录口令,并对其进行操作权限设置。登录后每个账号只能在自己的权限范围内进行访问和操作,不能阅读和操作超越权限范围的数据和文件,防止非法用户侵入网络,确保运行安全。
3.信息系统设计采用基于WEB服务的三层结构设计
三层结构是一种新的体系结构,它是由数据服务器、Web服务器和本地终端机3部分组成。三层结构综合了C/S二层结构的优点,增加了数据服务器,在本地终端机上只保留一些基本业务数据的校验,而把大部分业务规则集中迁移到Web服务器处理,用户的信息和安全设置都在Web服务器上统一配置,使各个本地终端机可以通过Web服务器共享这部分处理功能。
4.安装网络版杀毒软件,定时升级
对网络进行实时监控,并有专人每天对网络病毒情况观察登记。由于我院与医保中心要进行网上实时结算,为了防止外来病毒的入侵,医院又购置了防火墙对所有进出数据进行过滤。
三、安全管理工作
医院要建立安全管理工作规章制度,实行安全责任制,出了问题按规章制度处理。
1.安全意识的确立。加强工作人员责任意识、安全意识教育,树立强化网络信息安全管理工作重要性的理念,把网络与信息安全工作切实抓紧、抓实、抓好。
2.完善安全管理规章制度。医院信息系统的正常运行,需要一套完善的规章制度作保障。针对相对开放的信息硬件系统,制订医院网络安全管理制度和医院信息系统管理条例,并严格执行,约束不规范的计算机操作行为。
3.强化人员培训。因为信息系统是人机对话,为了确保使用人员操作的准确,我们定期对所有操作人员进行计算机知识及规范化录入的培训,提高操作水平,减少人为失误。
4.制定网络安全应急方案。建立应急处理组织,在系统出现比较大的故障时,由主管领导负责,迅速启动应急方案。
四、结束语
随着网络和计算机技术日新月益的飞速发展,新的安全问题不断产生和变化。因此网络信息的安全必须依靠不断创新的技术进步与应用、自身管理制度的不断完善和加强、网络工作人员素质的不断提高等措施来保障。总之,医院信息系统的安全是医院信息工作中不可避免的一个问题,如何确保网络及数据的安全,已经成为医院信息化工作的一个重要任务。安全问题是信息化工作的一项系统工程,网络管理人员要结合医院的实际情况,全方位、多角度地考察网络安全漏洞和弱点,将网络中的不安全因素消灭在萌芽之中,使医院信息网络能安全、健康、持久地运行,保证医院医疗业务正常有序开展的。
参考文献: