论文部分内容阅读
摘要:针对医院网络中存在的安全隐患(包括病毒、黑客攻击、软件漏洞、人为操作失误、移动存储工具的使用等等),提出相应的解决措施,内外网物理隔离,防火墙,网络防病毒软件,设置用户权限,限制远程登陆,灾难恢复,以及其他先进的安全策略。
关键词:医院网络;安全隐患;应对策略
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)21-30438-02
随着医院信息技术的发展,医院的网络系统的应用越来越广泛,特别是医院的日常运行高度依赖于信息化设施的今天,数据支持着各应用系统的日常运行,因此医院网络的安全管理就显得特别重要。计算机网络特别是局域网技术发展迅速,许多医院都建立了自己的局域网,但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、病毒、恶意软件和其他不轨行为的攻击。因此,加强医院局域网的安全建设已刻不容缓,局域网只有采取足够强的安全措施,才能确保网络信息的保密性、完整性和可用性。
1 主要安全隐患
医院网络所面临的威胁大体可分为两种:一是对网络内部信息的威胁;二是对网络设备的威胁。影响医院计算机网络安全的因素很多,归结起来,网络安全的威胁主要有3种。
1.1 无意失误
如医院计算机操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享,计算机操作员人为操作失误以及使用移动存储工具等,都会对网络安全带来威胁。
1.2 恶意攻击
此类攻击又可以分为以下两种:一种是主动攻击,黑客攻击以各种方式选择性地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响医院网络正常工作的情况下,通过软件漏洞进行截获、窃取、破译,以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
1.3 病毒
能够自我复制的计算机代码可以在系统间进行传播并破坏系统,有些特洛伊木马也属于病毒的范畴。网络使病毒的传播速度和危害程度达至前所未有的地步。
2 安全管理
医院网络的安全不仅仅是技术问题同时也是管理问题,因此,除在网络设计上增加安全服务功能,完善系统的安全保密技术措施外,还必须根据管理原则和该系统的保密性,建立一整套安全管理制度和安全管理机制。从而保证网络的安全运行。
网络管理工作应坚持做到:对网络设备和服务器的物理访问应作严格限制;建立良好的密码管理机制;及时清除无效的用户;不提供非必需服务,提供的服务应作全面安全性设置,不依赖于系统的默认设置;经常检查系统日志;注意系统的经常更新,特别是有关安全性的补丁一定要及时安装。
我院现在共有门诊挂号、门诊收费、住院管理、药房管理、药库管理、PACS、医嘱管理、供应室管理、设备管理、物资管理、财务管理等模块,软硬件运行的风险极高,应该着重考虑以下几方面的安全管理。
2.1 培养医院全员的安全意识以及医院各级领导的重视
网络安全管理策略的制定和落实需要一定的人力、物力和财力,需要自上而下的贯彻落实,因此医院各级领导要充分重视。培养医院全员的安全意识,首先要使医院各级领导具备网络安全意识,使他们认识到在某种意义上,保护网络安全就是在保护医院。
2.2 操作人员的安全防范意识
网络安全问题是一个典型的人—机关系问题,对于网络安全来说,最重要的起点是从涉及计算机的人员开始的。对医院所有操作局域网内计算机的医务人员,要定期进行计算机安全法律教育、职业道德教育和计算机安全技术教育。使他们认识到一个人或一台机器的不安全隐患有可能使整个网络不能正常工作。
2.3 安全管理制度的建立、监督制度的完善
为了保证系统安全、稳定的运行,首先,必须成立计算机安全管理领导小组,由医院主管信息工作的院长任组长,成员包括各网络使用部门的领导、各部门选派的网络安全员和计算机网络管理人员。计算机安全管理领导小组负责讨论制定各项安全管理制度和督查机制,以及各项灾害应急预案,并定期召开安全会议,通报近期的国内外重大网络事件、安全预警事件、本院的网络安全事件和安全隐患。并由网络中心组织院内相关人员进行网络安全基础知识的培训。其次,在院计算机安全管理领导小组的领导下制定中心机房管理制度、网络管理员工作职责、系统维护的工作流程和系统管理员上岗考核制度、工作站操作员工作职责、模块操作流程和工作站操作员上岗考核制度、软硬件维护制度、网络应急预案等相关管理制度。同时,还要完善督查机制。有效的督查机制能够将安全管理制度落到实处。医院计算机安全领导小组是督查组织,定期督查网络运行情况,检查网络运行记录,各项制度的落实情况,审查系统和网络管理定期上报的报表,检查部门选派的网络安全员的工作记录。
3 安全策略
结合医院的实际投入情况和网络的安全需求,全面可行的安全策略概括地讲,就是利用路由器、防火墙和代理服务器,通过软、硬件相结合在局域网的内部和外部,在客户端和服务器之间,在用户和网络之间筑起道道屏障,同时加强日常管理工作,做好病毒防治和重要数据的备份工作,把医院内部网络遭受攻击的可能性和成功率降到最低、确保网络的安全运行。
3.1 路由包过滤
通过路由器的设置,实现抵御外来攻击的第一道屏障。外部网络无法访问内部网络;内部网络部分主机可直接访问Internet,部分主机需通过代理服务器访问Internet;内、外网络都能访问DMZ中的网络服务(www,FTP,DNS,E-mail);只有内部网络可以访问DMZ中的POP3服务;DMZ中的主机不能主动与内、外网络建立联接。
3.2 防火墙及代理服务器
3.2.1 防火墙
ISA Server作为防火墙具有以下技术特性:多层次防火墙;状态检查;广泛的应用程序支持;集成的虚拟私有网络;系统的锁紧;集成的人侵检测;智能化的应用级过滤;高端认证;安全的网络发布;电子邮件内容过滤;检查SSL通信量。它能通过检查进人的数据流和阻挡未经许可的数据流,保证未获授权的用户不能穿越防火墙访问内部网络。同时它通过定义和强制策略,限制内部用户对外部网络的访问。
3.2.2 代理服务器
使用ISA Server的代理服务器功能,为局域网中那些有更高安全要求的主机以及被共享使用的主机提供一个代理服务。这些主机采用特别的IP地址把自己隐藏起来,同时提供协议过滤、地址过滤等多级安全机制。
3.3 病毒防治
采用适当的措施防治病毒,是进一步提高局域网安全的重要手段。通过部署能集中管理、统一分发,定期自动升级的网络版杀毒软件,限制从网上下载软件和禁用盗版软件,软盘数据和邮件先杀毒后使用等措施来防治病毒。
3.4 进行备份
为了维护医院局域网安全,必须对重要资料进行定时、定期备份,以防止因为各种软硬件故障,病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大损失。
3.5 软硬件的维护和安全管理
3.5.1 硬件设备维护和安全管理
设备的物理安全是要首先考虑的。建立中心机房、维护间、设备间的安全管理制度,注意将相关设备保护起来,以避免无关人员接触到。医院铺设的各类网线也应受到保护,既要防止恶意的破坏,也要避免其他的施工人员无意的损坏。安全管理制度中应包括值班期间对重要硬件设备的巡视记录,防雷击、防静电、有效接地、供电系统定期检修等安全检测,注意安全消防制度、卫生清洁制度,机房内环境(包括温度、湿度、洁净度等) 应达到要求,设备的定期维护制度以及建立遇事上报及时快速反应制度等等。建立所有设备的数据库管理系统。对所有的服务器、工作站应详细记录机型、配置、名称、使用科室、所在位置、操作系统、安装的应用程序、故障维修记录等等。所有的网络设备应记录设备型号、名称、参数设置、网段、故障维修记录等等。所有设备都有指定的专人负责保管,各终端工作站由各科室指定的网络安全员保管。建立设备督查记录,定期对设备检查并做详细记录,定期为设备除尘等等,对设备配备的钥匙要妥善保管。
3.5.2 软件系统的维护和安全管理制度
检测安全性、填补漏洞和不断地监视系统才能有效地保障系统的安全。医院的重要数据都存放在服务器上,首先要保证服务器的安全,服务器在联接局域网之前的安装和配置应详细的规划。规划中应包括磁盘分区格式、操作系统的选择,用户的权限分配,各种相关服务的配置。为保证系统的安全,安装最新的系统补丁包,取消默认共享,禁用不必要的服务,设计网络用户组和用户以及相应的权限,将管理员的密码进行更改,设定各项审核、安全策略,重要文件的位置和控制权限,安装网络版病毒监控程序并且要覆盖到网络中的每一个节点,不安装任何与系统无关的软件。系统正常运行以后,要不断监视系统性能和系统安全性,实时为操作系统和应用程序更新补丁,定期地为杀毒软件作升级,使用最新漏洞扫描程序发现系统的漏洞并及时填补。用性能监视器监测系统资源使用状况,检查事件查看器、观察启用的服务、运行的进程、网络连接是否有变化,及时发现不法用户、不良程序、可疑的机器名、地址。对终端工作站,做到专机专用,不安装光驱、软驱,文件共享要谨慎、小心。严密防控不安全因素。
4 结束语
以上是我在这几年的网络系统维护工作中积累的一些管理经验,总结起来就是一定要操作规范化、管理制度化,尽量减少因人为因素导致的网络系统安全隐患,同时做好应急方案。作为医院计算机中心的工作人员,要加强对新知识的学习和应用,只有这样才能建设更加安全、功能更加强大的医院网络。
参考文献:
[1] 徐良.计算机网络与因特网[M].北京:北京机械工业出版社,2000.
[1] 飞思科技产品研发中心. 网管员必读——服务器与数据存储[M].电子工业出版社,2005.
[3] 飞思科技产品研发中心. 网管员必读——故障排除[M].电子工业出版社,2005.
关键词:医院网络;安全隐患;应对策略
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)21-30438-02
随着医院信息技术的发展,医院的网络系统的应用越来越广泛,特别是医院的日常运行高度依赖于信息化设施的今天,数据支持着各应用系统的日常运行,因此医院网络的安全管理就显得特别重要。计算机网络特别是局域网技术发展迅速,许多医院都建立了自己的局域网,但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、病毒、恶意软件和其他不轨行为的攻击。因此,加强医院局域网的安全建设已刻不容缓,局域网只有采取足够强的安全措施,才能确保网络信息的保密性、完整性和可用性。
1 主要安全隐患
医院网络所面临的威胁大体可分为两种:一是对网络内部信息的威胁;二是对网络设备的威胁。影响医院计算机网络安全的因素很多,归结起来,网络安全的威胁主要有3种。
1.1 无意失误
如医院计算机操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享,计算机操作员人为操作失误以及使用移动存储工具等,都会对网络安全带来威胁。
1.2 恶意攻击
此类攻击又可以分为以下两种:一种是主动攻击,黑客攻击以各种方式选择性地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响医院网络正常工作的情况下,通过软件漏洞进行截获、窃取、破译,以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
1.3 病毒
能够自我复制的计算机代码可以在系统间进行传播并破坏系统,有些特洛伊木马也属于病毒的范畴。网络使病毒的传播速度和危害程度达至前所未有的地步。
2 安全管理
医院网络的安全不仅仅是技术问题同时也是管理问题,因此,除在网络设计上增加安全服务功能,完善系统的安全保密技术措施外,还必须根据管理原则和该系统的保密性,建立一整套安全管理制度和安全管理机制。从而保证网络的安全运行。
网络管理工作应坚持做到:对网络设备和服务器的物理访问应作严格限制;建立良好的密码管理机制;及时清除无效的用户;不提供非必需服务,提供的服务应作全面安全性设置,不依赖于系统的默认设置;经常检查系统日志;注意系统的经常更新,特别是有关安全性的补丁一定要及时安装。
我院现在共有门诊挂号、门诊收费、住院管理、药房管理、药库管理、PACS、医嘱管理、供应室管理、设备管理、物资管理、财务管理等模块,软硬件运行的风险极高,应该着重考虑以下几方面的安全管理。
2.1 培养医院全员的安全意识以及医院各级领导的重视
网络安全管理策略的制定和落实需要一定的人力、物力和财力,需要自上而下的贯彻落实,因此医院各级领导要充分重视。培养医院全员的安全意识,首先要使医院各级领导具备网络安全意识,使他们认识到在某种意义上,保护网络安全就是在保护医院。
2.2 操作人员的安全防范意识
网络安全问题是一个典型的人—机关系问题,对于网络安全来说,最重要的起点是从涉及计算机的人员开始的。对医院所有操作局域网内计算机的医务人员,要定期进行计算机安全法律教育、职业道德教育和计算机安全技术教育。使他们认识到一个人或一台机器的不安全隐患有可能使整个网络不能正常工作。
2.3 安全管理制度的建立、监督制度的完善
为了保证系统安全、稳定的运行,首先,必须成立计算机安全管理领导小组,由医院主管信息工作的院长任组长,成员包括各网络使用部门的领导、各部门选派的网络安全员和计算机网络管理人员。计算机安全管理领导小组负责讨论制定各项安全管理制度和督查机制,以及各项灾害应急预案,并定期召开安全会议,通报近期的国内外重大网络事件、安全预警事件、本院的网络安全事件和安全隐患。并由网络中心组织院内相关人员进行网络安全基础知识的培训。其次,在院计算机安全管理领导小组的领导下制定中心机房管理制度、网络管理员工作职责、系统维护的工作流程和系统管理员上岗考核制度、工作站操作员工作职责、模块操作流程和工作站操作员上岗考核制度、软硬件维护制度、网络应急预案等相关管理制度。同时,还要完善督查机制。有效的督查机制能够将安全管理制度落到实处。医院计算机安全领导小组是督查组织,定期督查网络运行情况,检查网络运行记录,各项制度的落实情况,审查系统和网络管理定期上报的报表,检查部门选派的网络安全员的工作记录。
3 安全策略
结合医院的实际投入情况和网络的安全需求,全面可行的安全策略概括地讲,就是利用路由器、防火墙和代理服务器,通过软、硬件相结合在局域网的内部和外部,在客户端和服务器之间,在用户和网络之间筑起道道屏障,同时加强日常管理工作,做好病毒防治和重要数据的备份工作,把医院内部网络遭受攻击的可能性和成功率降到最低、确保网络的安全运行。
3.1 路由包过滤
通过路由器的设置,实现抵御外来攻击的第一道屏障。外部网络无法访问内部网络;内部网络部分主机可直接访问Internet,部分主机需通过代理服务器访问Internet;内、外网络都能访问DMZ中的网络服务(www,FTP,DNS,E-mail);只有内部网络可以访问DMZ中的POP3服务;DMZ中的主机不能主动与内、外网络建立联接。
3.2 防火墙及代理服务器
3.2.1 防火墙
ISA Server作为防火墙具有以下技术特性:多层次防火墙;状态检查;广泛的应用程序支持;集成的虚拟私有网络;系统的锁紧;集成的人侵检测;智能化的应用级过滤;高端认证;安全的网络发布;电子邮件内容过滤;检查SSL通信量。它能通过检查进人的数据流和阻挡未经许可的数据流,保证未获授权的用户不能穿越防火墙访问内部网络。同时它通过定义和强制策略,限制内部用户对外部网络的访问。
3.2.2 代理服务器
使用ISA Server的代理服务器功能,为局域网中那些有更高安全要求的主机以及被共享使用的主机提供一个代理服务。这些主机采用特别的IP地址把自己隐藏起来,同时提供协议过滤、地址过滤等多级安全机制。
3.3 病毒防治
采用适当的措施防治病毒,是进一步提高局域网安全的重要手段。通过部署能集中管理、统一分发,定期自动升级的网络版杀毒软件,限制从网上下载软件和禁用盗版软件,软盘数据和邮件先杀毒后使用等措施来防治病毒。
3.4 进行备份
为了维护医院局域网安全,必须对重要资料进行定时、定期备份,以防止因为各种软硬件故障,病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大损失。
3.5 软硬件的维护和安全管理
3.5.1 硬件设备维护和安全管理
设备的物理安全是要首先考虑的。建立中心机房、维护间、设备间的安全管理制度,注意将相关设备保护起来,以避免无关人员接触到。医院铺设的各类网线也应受到保护,既要防止恶意的破坏,也要避免其他的施工人员无意的损坏。安全管理制度中应包括值班期间对重要硬件设备的巡视记录,防雷击、防静电、有效接地、供电系统定期检修等安全检测,注意安全消防制度、卫生清洁制度,机房内环境(包括温度、湿度、洁净度等) 应达到要求,设备的定期维护制度以及建立遇事上报及时快速反应制度等等。建立所有设备的数据库管理系统。对所有的服务器、工作站应详细记录机型、配置、名称、使用科室、所在位置、操作系统、安装的应用程序、故障维修记录等等。所有的网络设备应记录设备型号、名称、参数设置、网段、故障维修记录等等。所有设备都有指定的专人负责保管,各终端工作站由各科室指定的网络安全员保管。建立设备督查记录,定期对设备检查并做详细记录,定期为设备除尘等等,对设备配备的钥匙要妥善保管。
3.5.2 软件系统的维护和安全管理制度
检测安全性、填补漏洞和不断地监视系统才能有效地保障系统的安全。医院的重要数据都存放在服务器上,首先要保证服务器的安全,服务器在联接局域网之前的安装和配置应详细的规划。规划中应包括磁盘分区格式、操作系统的选择,用户的权限分配,各种相关服务的配置。为保证系统的安全,安装最新的系统补丁包,取消默认共享,禁用不必要的服务,设计网络用户组和用户以及相应的权限,将管理员的密码进行更改,设定各项审核、安全策略,重要文件的位置和控制权限,安装网络版病毒监控程序并且要覆盖到网络中的每一个节点,不安装任何与系统无关的软件。系统正常运行以后,要不断监视系统性能和系统安全性,实时为操作系统和应用程序更新补丁,定期地为杀毒软件作升级,使用最新漏洞扫描程序发现系统的漏洞并及时填补。用性能监视器监测系统资源使用状况,检查事件查看器、观察启用的服务、运行的进程、网络连接是否有变化,及时发现不法用户、不良程序、可疑的机器名、地址。对终端工作站,做到专机专用,不安装光驱、软驱,文件共享要谨慎、小心。严密防控不安全因素。
4 结束语
以上是我在这几年的网络系统维护工作中积累的一些管理经验,总结起来就是一定要操作规范化、管理制度化,尽量减少因人为因素导致的网络系统安全隐患,同时做好应急方案。作为医院计算机中心的工作人员,要加强对新知识的学习和应用,只有这样才能建设更加安全、功能更加强大的医院网络。
参考文献:
[1] 徐良.计算机网络与因特网[M].北京:北京机械工业出版社,2000.
[1] 飞思科技产品研发中心. 网管员必读——服务器与数据存储[M].电子工业出版社,2005.
[3] 飞思科技产品研发中心. 网管员必读——故障排除[M].电子工业出版社,2005.