论文部分内容阅读
摘要:随着信息科技的高速发展,网络在越来越多地为人们生活提供便利的同时,也为医院节省了大量的人力和物力,但是医院在使用网络与外界交流时也同样承担着巨大的风险。本文介绍了医院网络中存在风险的原因、存在的风险及其对策。为医院在网络安全方面提供了一定的建议。
关键词:医院网络;企业网络;网络安全;网络体系
中图分类号:TP393.03文献标识码:A文章编号:1007-9599 (2010) 14-0000-02
Make the Safty and Reliable Digital Hospital Network
Jiang Xiaowu
(The Third Xiangya Hospital of Central South University,Changsha410013,China)
Abstract:With the high-speed development of information science and technology,the network offering more and more facility to people,and also help the hospital to save a large number of manpower and material resources.But the trade hospital is undertaking the enormous risk while using the network to exchange with external world too.This text has introduced the reason of existing risk and countermeasure with the risk in hospital network.Have offered certain suggestion in online security for hospital.
Keywords:Hospital network;Enterprise network;Network safty;Network system
21实际信息时代,随着新经济的出现,医院网络的发展越来越迅猛,越来越复杂。医院对网络的依赖性也变得异常浓厚,一个医院是否拥有一个健康、稳定、可靠的网络,成了业务发展的根本所在。这种依赖性是提升业务发展的保障,因为由于网络故障造成巨大损失的案例实在是不胜枚举。为确保网络的正常持续运转,同时避免网络停机造成的巨大损失,为此,必须打造一个安全、可靠、高效的医院网络。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
一、影响网络安全的因素
计算机病毒:计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
计算机病毒是影响网络安全的最主要的因素,它利用网络作为自己繁殖和传播的载体及工具,随着医院网络整体应用规模的不断扩大,网络安全环境的日益恶化,大规模DOS侵入、黑客攻击、蠕虫病毒、垃圾邮件等的大量泛滥,这些安全技术手段逐渐暴漏出某些“先天不足”的问题,导致“安全门”一次次“洞开”,引发重要数据的丢失、破坏,造成难以弥补的损失,不仅严重影响到医院网络的正常运行,还直接威胁到患者的隐私和生命安全。一次病毒广播,必定会导致医院的全局或局部的瘫痪。由于网络故障而使医院不能正常地为患者服务,势必会严重影响医院的声誉。
大部分病毒在激发的时候直接破坏计算机的重要信息数据,所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。与其被动地防护,不如主动地出击,医院的网络首先应当与外界的Internet用防火墙实现隔离,内部的各台计算机禁用USB接口,彻底断绝医护人员私自插接移动硬盘而带来的病毒。并且各个工作站都要装网络版杀毒软件,由服务器控制在某个时间段统一查杀,将病毒彻底杜绝于门外。另外,大多数医院都有医保端口接入,要在医保接入的地方设置防火墙,阻止外来的不安全因素造成的影响。
二、网络物理结构不合理
网络的物理结构也就是服务器,交换机,客户机,传输介质之间相互链接的拓扑结构。这主要包括:星型、环型、总线型等几种网络拓扑结构。我们规划医院整体网络时,可以根据需要来选择合适的物理结构,目前,医院用的一般是星型结构。如果网络物理结构没有合理规划,不但会增加管理员的日后维护量,还会造成网络工作不稳定,甚至全局或局部网络瘫痪。曾看到这样一则报道:系统值班人员反应放射科网络延时特别大,而其他各楼栋的网络都正常。经过三个小时的排查,发现其中有个12口的小交换机还级联了一台12口的小交换机,在这台级联的小交换机上有一根网线两端水晶头都接在其上,产生了回路。而影响了整个放射这个单独的VLAN。综上所述,如果清楚网络的物理拓扑图,就不会产生这种乱接线的现象,也就不会产生回路的现象。
三、逻辑结构不合理
网络的逻辑拓扑结构一般是根据网络中的VLAN来划分的。VLAN是一种将局域网(LAN)设备从逻辑上划分(注意,不是从物理上划分)成一个个网段(或者说是更小的局域网LAN),从而实现虚拟工作组(单元)的数据交换技术。前提是三层或三层以上的交换机才具有此功能。
VLAN的好处主要有三个:
(一)端口的分隔。即便在同一个交换机上,处于不同VLAN的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。比如:我院的病案室是单独一栋楼,连His系统的电脑有5台,连Internt的电脑有4台,如果两个网络分别用一台交换机的话,必定会产生资源浪费,现在我们只需一台cisco12口的交换机,用VLAN将两个网络在逻辑上划分,1-6端口连His用,7-12端口连Internet用,且两个VLAN互不通讯,从而实现物理划分。
(二)网络的安全。不同VLAN不能直接通信,杜绝了广播信息的不安全性。我院自网络建设之初就进行了全面性网络规划,从核心机房铺设光纤到各个楼栋,各个楼栋再设立机房,实现主干道1000兆,100兆到桌面的三层交换网络。各楼栋划分不同的VLAN,且不同的VLAN之间不可以直接相互通讯。如果一个VLAN中病毒,不会广播到其他的VLAN去,就不会出现全院性中病毒现象。所以说划分VLAN是最有效地控制病毒传播的方法之一。
(三)灵活的管理。更改用户所属的网络不必换端口和连线,只更改软件配置就可以了。譬如,门诊有一台电脑,想把它作为文件服务器,要求在全院的任何一台工作站都可以访问这台电脑。现在我们只需将连接这台电脑的交换机端口划分到VLAN254即可,而不需要把这台电脑搬到网络机房重新走线。
(四)提高网络通讯质量。自2001年我院信息网络建设之初,门诊仅收费信息点,点数少,自上线门诊医生站后,整个门诊的网络节点增加了200多个,共有6台cisco3560交换机,采用堆叠的方式级联。往往有不少医生抱怨网速太慢,登录程序都要等上半分钟,更别谈调用PACS图像。针对这种现象,我们采取的措施是增加一台cisco3750作为汇聚层,把门诊的6台交换机都集中到汇聚层转发,同时每个楼层用不同的VLAN划分,实施后,取得了理想的效果。
四、其他因素
医院是24小时对外开放服务的,因此要确保服务器和核心交换机能够24小时正常、不间断的运行,这是确保医院局域网畅通的重中之重。为此要做到服务器数据库双机实时备份,以及要有备份服务器。另外,要配备UPS电源,防止服务器断电而造成的数据丢失。一旦主服务器或核心交换机出现故障能够及时换上备用机器,保证医院网络的顺利运行。定期检查交换机、光纤收发器,注意防尘、防火、防雷电等。在进行网络综合布线时要绕开强电和强磁场,以免衰减网络信号。
网络的安全与医院利益息息相关,一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。医院网络管理人员要掌握最先进的技术,把握住医院网络安全的大门,才能更有效地为患者提供高效的服务。
参考文献:
[1]蒋宏伟.医院信息化规划与实施.中国数字医学
[2]叶炯贤,赖金明,庄锐敏,周佳.数字化医院网络系统的规划与设计.中国数字医学
[3]关义章,戴宗坤.信息系统安全工程学.四川大学信息安全研究所
关键词:医院网络;企业网络;网络安全;网络体系
中图分类号:TP393.03文献标识码:A文章编号:1007-9599 (2010) 14-0000-02
Make the Safty and Reliable Digital Hospital Network
Jiang Xiaowu
(The Third Xiangya Hospital of Central South University,Changsha410013,China)
Abstract:With the high-speed development of information science and technology,the network offering more and more facility to people,and also help the hospital to save a large number of manpower and material resources.But the trade hospital is undertaking the enormous risk while using the network to exchange with external world too.This text has introduced the reason of existing risk and countermeasure with the risk in hospital network.Have offered certain suggestion in online security for hospital.
Keywords:Hospital network;Enterprise network;Network safty;Network system
21实际信息时代,随着新经济的出现,医院网络的发展越来越迅猛,越来越复杂。医院对网络的依赖性也变得异常浓厚,一个医院是否拥有一个健康、稳定、可靠的网络,成了业务发展的根本所在。这种依赖性是提升业务发展的保障,因为由于网络故障造成巨大损失的案例实在是不胜枚举。为确保网络的正常持续运转,同时避免网络停机造成的巨大损失,为此,必须打造一个安全、可靠、高效的医院网络。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
一、影响网络安全的因素
计算机病毒:计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
计算机病毒是影响网络安全的最主要的因素,它利用网络作为自己繁殖和传播的载体及工具,随着医院网络整体应用规模的不断扩大,网络安全环境的日益恶化,大规模DOS侵入、黑客攻击、蠕虫病毒、垃圾邮件等的大量泛滥,这些安全技术手段逐渐暴漏出某些“先天不足”的问题,导致“安全门”一次次“洞开”,引发重要数据的丢失、破坏,造成难以弥补的损失,不仅严重影响到医院网络的正常运行,还直接威胁到患者的隐私和生命安全。一次病毒广播,必定会导致医院的全局或局部的瘫痪。由于网络故障而使医院不能正常地为患者服务,势必会严重影响医院的声誉。
大部分病毒在激发的时候直接破坏计算机的重要信息数据,所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。与其被动地防护,不如主动地出击,医院的网络首先应当与外界的Internet用防火墙实现隔离,内部的各台计算机禁用USB接口,彻底断绝医护人员私自插接移动硬盘而带来的病毒。并且各个工作站都要装网络版杀毒软件,由服务器控制在某个时间段统一查杀,将病毒彻底杜绝于门外。另外,大多数医院都有医保端口接入,要在医保接入的地方设置防火墙,阻止外来的不安全因素造成的影响。
二、网络物理结构不合理
网络的物理结构也就是服务器,交换机,客户机,传输介质之间相互链接的拓扑结构。这主要包括:星型、环型、总线型等几种网络拓扑结构。我们规划医院整体网络时,可以根据需要来选择合适的物理结构,目前,医院用的一般是星型结构。如果网络物理结构没有合理规划,不但会增加管理员的日后维护量,还会造成网络工作不稳定,甚至全局或局部网络瘫痪。曾看到这样一则报道:系统值班人员反应放射科网络延时特别大,而其他各楼栋的网络都正常。经过三个小时的排查,发现其中有个12口的小交换机还级联了一台12口的小交换机,在这台级联的小交换机上有一根网线两端水晶头都接在其上,产生了回路。而影响了整个放射这个单独的VLAN。综上所述,如果清楚网络的物理拓扑图,就不会产生这种乱接线的现象,也就不会产生回路的现象。
三、逻辑结构不合理
网络的逻辑拓扑结构一般是根据网络中的VLAN来划分的。VLAN是一种将局域网(LAN)设备从逻辑上划分(注意,不是从物理上划分)成一个个网段(或者说是更小的局域网LAN),从而实现虚拟工作组(单元)的数据交换技术。前提是三层或三层以上的交换机才具有此功能。
VLAN的好处主要有三个:
(一)端口的分隔。即便在同一个交换机上,处于不同VLAN的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。比如:我院的病案室是单独一栋楼,连His系统的电脑有5台,连Internt的电脑有4台,如果两个网络分别用一台交换机的话,必定会产生资源浪费,现在我们只需一台cisco12口的交换机,用VLAN将两个网络在逻辑上划分,1-6端口连His用,7-12端口连Internet用,且两个VLAN互不通讯,从而实现物理划分。
(二)网络的安全。不同VLAN不能直接通信,杜绝了广播信息的不安全性。我院自网络建设之初就进行了全面性网络规划,从核心机房铺设光纤到各个楼栋,各个楼栋再设立机房,实现主干道1000兆,100兆到桌面的三层交换网络。各楼栋划分不同的VLAN,且不同的VLAN之间不可以直接相互通讯。如果一个VLAN中病毒,不会广播到其他的VLAN去,就不会出现全院性中病毒现象。所以说划分VLAN是最有效地控制病毒传播的方法之一。
(三)灵活的管理。更改用户所属的网络不必换端口和连线,只更改软件配置就可以了。譬如,门诊有一台电脑,想把它作为文件服务器,要求在全院的任何一台工作站都可以访问这台电脑。现在我们只需将连接这台电脑的交换机端口划分到VLAN254即可,而不需要把这台电脑搬到网络机房重新走线。
(四)提高网络通讯质量。自2001年我院信息网络建设之初,门诊仅收费信息点,点数少,自上线门诊医生站后,整个门诊的网络节点增加了200多个,共有6台cisco3560交换机,采用堆叠的方式级联。往往有不少医生抱怨网速太慢,登录程序都要等上半分钟,更别谈调用PACS图像。针对这种现象,我们采取的措施是增加一台cisco3750作为汇聚层,把门诊的6台交换机都集中到汇聚层转发,同时每个楼层用不同的VLAN划分,实施后,取得了理想的效果。
四、其他因素
医院是24小时对外开放服务的,因此要确保服务器和核心交换机能够24小时正常、不间断的运行,这是确保医院局域网畅通的重中之重。为此要做到服务器数据库双机实时备份,以及要有备份服务器。另外,要配备UPS电源,防止服务器断电而造成的数据丢失。一旦主服务器或核心交换机出现故障能够及时换上备用机器,保证医院网络的顺利运行。定期检查交换机、光纤收发器,注意防尘、防火、防雷电等。在进行网络综合布线时要绕开强电和强磁场,以免衰减网络信号。
网络的安全与医院利益息息相关,一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关,而且和领导的决策、工作环境中每个员工的安全操作等都有关系。医院网络管理人员要掌握最先进的技术,把握住医院网络安全的大门,才能更有效地为患者提供高效的服务。
参考文献:
[1]蒋宏伟.医院信息化规划与实施.中国数字医学
[2]叶炯贤,赖金明,庄锐敏,周佳.数字化医院网络系统的规划与设计.中国数字医学
[3]关义章,戴宗坤.信息系统安全工程学.四川大学信息安全研究所