医院网络平台安全性探讨.doc

医院网络平台安全性探讨湖南省石门县中医医院415300摘要：随着网络技术和医学信息化建设的不断成熟与发展，医院在自身信息化建 设的过程，以及医院信息系统的实际运行中，信息网络的安全性越来越受到重视 重视和加强医院信息网络安全已经成为医院信息化建设的当务之急关键词：医院信息网络；安全性；管理1引言近年来，随着医院信息化建设的不断深入和发展，医院信息系统对医院 管理者和患者起着越来越举足轻重的作用，日渐庞大的系统数据库和每时每刻在 网络中传输的数据都包含了非常重要的数据资料如何保证医院业务数据和病人 资料的安全性，除了存储技术和网络设备的硬件因素外，网络安全也容不得半点 忽视2常见安全性威胁随着计算机网络的发展，网络中的安全问题日趋严重，尤其是医院网络 中大量存储和传输的数据都有可能被窃取、甚至篡改医院网络中所面临的安全 性威胁主要有下面几种：1＞泄露(eavesdropping)：当通信各方通过网络进行交谈时，如果不采 用任何保密措施，别人就有可能“偷听”到通信的内容，因此必要时可对通信的 内容进行加密2、假冒(impersonation)：如何识别进入计算机网络系统的用户是不是 合法的呢？因此系统要有身份识别的功能。

当网络中的某个节点冒名要求提供服 务时，系统如何能够知道对方是否冒名呢？我们可以提供一个合法用户的数据库, 采用TACACS或RADIUS协议对用户的身份进行鉴别如果有人用PC机恶意伪 造了一条路由信息，系统如何能够鉴别出哪些路由信息是可靠的呢？我们可以采 用具有鉴别功能的路由协议，如“OSPF” “EIGRP”；有的路由协议就不支持“鉴 别”功能,如“RIP”3、 篡改(manipulation)：为了防止报文在转发过程中被第三者所篡改， 可以在应用层对用户的报文进行加密或校验4、 恶意攻击(attack)：除了上述用户之间通信中的信息安全问题之外， 网络木身也容易遭受到一些恶意程序(rogue program)的攻击，如computer virus> computer worm> Trojan horse> logic bomb 等网络中被攻击的目标主要有：主机、路由节点和传输线路参见下图:网络的安全性可以通过若干条不同的途径来实现，如可以在网络的访问 级实现对用户的身份进行确认等安全性措施，也可以在网络的主干上实施对基于 IP流的监测来实现网络安全性，还可以在网络上实施基于每个具体应用端口的安 全性措施。

所有这些安全性措施对应于网络中的不同应用和不同层次，我们可以 根据具体需要灵活采用，也可以同时采用多种安全性措施以实现多级安全性(multilevel security)o3网络安全性3.1数据流加密为了保证网络的安全性，可以考虑的方法之一就是对传输的数据进行加 密，目前比较流行的密钥加密算法主要有DES、RSA等，根据实际情况，可以选 用网络中的一对路由器作为Peers,对其中通过的某些数据进行加密/解密3.2局域网安全为了保护局域网的数据不被攻击，建议采用VLAN技术对局域网进行规 划，根据不同的部门设立不同层次安全级别的VLAN (虚拟网)3.3广域网安全广域网的范围广，连接用户众多，连网的方式多种多样，有宽带LAN、 拔号、DDN专线，网络安全考虑比较复杂，关系到线路安全、数据流的安 全等，综合以上的因素，设计线路加密方式在各接入端路由策略上采用静态路 由，其他路由器中没有医院路由器的路由表客户端采NAT地址转换，在路由 器上添加一条加密通道，使用加密数据流进行传输，这样可以保证网数据传输的 安全在医院路由器上配置静态路由和浮动静态路由，可以进行安全认证，可 以动态地进行链路备份。

4整体网络安全性医院网络平台安全性要解决的问题是：从网络上控制某些敏感的主机不 被非法访问网络安全性目前可利用内置于网络中心多层交换机的虚拟网隔离能 力，将网络安全控制从网络核心层延伸到接入层，这样可以为网络提供很好的安 全性控制在医院网络VLAN划分中，可以根据部门职能的不同和应用的不同划分 不同的VLAN,把各部门或应用有效地隔离开对领导及其他高级管理人员，可 以划分一个特殊级别的VLAN,允许访问内部高级机密具体来说，在大楼接入 层一般以一个行政单位划分VLAN, VLAN之间是由网络中心的多层交换机进行路 由转发采用防火墙使内网与外网进行隔离内外网之间，采用两台防火墙进行 负载均衡数据处理，并能对外部的专用线路、外部的广域网连接进行安全保护、 口令认证、身份加密处理，与内部网络进行隔离使中心内部数据网形成一个独 立的应用数据网络安全体系网络中心建立完整的防病毒体系，通过多层防病毒结构来解决病毒防范, 保证系统数据不被病毒侵袭5多层病毒防御体系医院网络系统还可能会受到来自于多方面的病毒威胁，包括来自 Internet、与劳动社保网络、与主管卫牛局区域平台、以及保险公司等连接的网 段上，为了避免网络系统受病毒感染所造成的损失，医院网络系统应采用多层病 毒防御体系。

所谓多层病毒防御体系，是指在每个终端上安装反病毒软件，在服 务器上安装基于服务器的反病毒系统，在Internet网关上安装基于Internet网关 的反病毒软件对医院来说，防止病毒的攻击是每个员工的责任，人人都要做到 自己使用的台式机上不受病毒的感染，从而保证整个医院网络不受病毒的侵害5.1客户端的防病毒系统据统计，医院局域网内50%以上的病毒是通过可移动磁盘进入系统，因 此对桌面系统的病毒应严加防范采用桌面防病毒产品，来防止客户端受到病毒 的侵害5.2服务器的防病毒系统如果服务器被感染，其感染文件将成为病毒感染的源头，它们会迅速从 桌面感染发展到整个网络的病毒爆发因此，在相关服务器上采用专业的防病毒 软件系统，提供全面的基于服务器的病毒保护5.3lnternet的防病毒系统在医院的外部网与Interent连接的网段上的停火区中Mail Server^ Web server. DNS Server等代理的服务器上安装专业防火墙软件系统，可防止来自于 Internet _E的病毒、恶意的Java、Active-x对医院网络应用系统所造成的破坏6总结安全的核心是人，最终必须以人为核心进行安全管理，因此，在考虑使 用各种先进技术进行医院网络安全性设计的同时，还必须加强基于网络安全性的 管理。

只有制订一系列完善的安全管理措施和管理制度并严格执行，坚持管理和 技术两手抓，齐头并进，消除各种不安全因素，杜绝各种内忧外患，才能真正实 现医院网络平台安全性的建设参考文献：⑴苏海志•网络环境下医院信息系统的安全保障体系[J].中国医疗器械杂志,2003,27 (2)： 136-138[2]任忠敏，马国胜，姚鸣红•医院信息系统安全体系的建立[J]•医学信息：医学与 计算机应用,2004, 17 (7)： 408-410⑶范晓磊，齐晓光，吴迪.计算机网络安全及其防范措施的探讨[J].中国西部科技，2009, 8 (16)。