【www.zhangdahai.com--个人对照检查材料】
【摘要】随着我国医疗机构信息化建设快速发展,全国医院网络化的规模在不断的扩大。由于医院是数据密集产生的地方,整个医疗系统对网络系统的依赖性在不断的增强,本文通过分析医院网络面临的网络安全隐患,提出可行办法以加强医院网络安全,建立建全医院网安全防控体系,保障医院网络系统安全、高效、稳定的运行。
【关键词】计算机通信网络;网络安全;防护体系
doi:10.3969/j.issn.1006-1959.2010.05.285文章编号:1006-1959(2010)-05-1286-02
随着信息化发展速度加快,中小型医院网络开始逐步向规范化,一体化方向发展,这使得整个医疗系统对网络的依赖程序不断加强,而且网络投入运行后,要求24小时不间断运行,医院每天产生大量数据如看病,住院、交费等,其安全问题就显得越来越重要。虽然有专门人员在负责医院网络安全,但是依然存在诸多安全方面的隐患,怎样加强医院网络安全正受到各大医院的重视。本文通过对医院网络安全做出全面分析之后,提出通过外网和内网有防护方案,力争建全医院防护体系。
1.医院网络存在的安全问题
各大医院各种应用服务器正向着一体化方向发展,使整个医院网络成为一个整体,更加有效利用现有医疗资源,医院内的收费服器器、WEB服务器、PACS服务器所储存的数据对安全性要求很高,医院网络存在安全问题:有大量来自外部网络的攻击和破坏,如病毒、木马及黑客程序;数据安全丢失;软件方面存在的安全缺陷,内外网用户产生破坏等,一旦网络瘫痪,会造成难以估计的损失,根据医院网络安全性特点,具体分为外网和内网分别进行实施。
2.外网安全措施
因为医院每天会产生大量数据,如每天都会产生大量病人费用、各种检查、临床医嘱、护理费及电子病历等重要数据,自从全国实行医疗保险以后,医院网络还要负责和各单位和社保局发生数据交谈,其数据重要性更是对网络安全提出了更高的要求。因此要保护数据安全第一就是要保证服务器免受来自医院网络外部的攻击和破坏。通常情况下,内网和外网之间需要配备防火墙、防病毒墙等网络安全设备以保障医院内网的相对安全性,对于一些大型医院甚至要求与外网物理隔断。这就对防火墙的位置及功能有严格要求。一般情况下,有些医院只对外网进行防火墙设置,但实事证明,对于大量攻击都来自医院网络内部。所以在设置防火墙时,要分别对外网出口和内网出口都要做设置,使核心路由器处在一个"真空"地带,内网与外网之间需要传递的数据通过核心路由器进行审查,由于两个独立的防火墙之间,不存在非法的逻辑连接、信息传输命令、信息传输协议,可有效保护医院数据主服务器、web服务器及PACS服务器等重要服务器的安全,实现隔离,防止外网黑客的攻击。配合病毒防护软件、对于防护外网安全有非常好的效果。
3.内网存在的问题及安全措施
3.1 前面提到通过设置双防火墙技术来防止来自于网络的攻击,但在实现情况中,有些医院科室人员私自使用拨号、宽带等方式接入外网,使内网与外网间开出新的没有防火墙检测审查连接通道,这样就使的外网的黑客攻击或者系统病毒就能够绕过双防火墙设置直接侵入医院内网的计算机,盗取医院网络中的重要信息和机密数据,造成信息外露,有些甚至会利用已经入侵的计算机做为"肉鸡",去攻击、破坏医院内部网张的重要服务器如数据库服务器、PACS服务器等,而且会留下"后门",为下次入侵留下通道,一般这种入口不易被网络管理员和防火墙发现,从而使攻击者下次可以很轻松进入内网。这对医院网络安全来讲是极为不得的,甚至会导致整个内网工作瘫痪,而查不出原因。
3.2 有些医疗人员会在计算机上使用盗版软件,或从一些不可信的网络下载来的软件,这样会引入潜在木马、蠕虫病毒等,大大降低医院网络的安全级别。这种方式所产生的破坏力巨大。甚至有些科室不及时升级杀毒软件,也给病毒留下了可乘之机。对于最好不允许使用Guest账号。不要在Everyone组增加任何权限,因为Guest也属于该组;新增用户时分配一个口令,并控制用户"首次登录必须更改口令",最好进一步设置成口令的不低于6个字符,杜绝安全漏洞;利用端口扫描工具,定期在防火墙外对网络内所有的服务器和客户进行端口扫描;禁止自动启动telnet服务。限制对外开放一些易攻击的端口,如端口号为20、21、25、80,136、137等;对一些保存有用户信息及其口令的关键数据的使用权限进行严格限制,如可以使用强口令:增加口令复杂程度、不使用自己的生日、家中的电话号码等容易猜测的信息来作为口令,加强登录身份论证并最大限度使登录者在较小的范围内。通过操作系统和应用程序每次记录的日志来排查易出现问题的操作或访问,及时处理存在的安全隐患。
3.3 于以述医院网络安全现状及对数据的要求,结合医院网络特点,采取五个方面措施,利用网络安全技术,内外网安全都要兼顾,通过网络安全软硬件设备配合严格网络安全管理规范,保证医院网络安全,建立可信可控安全网络。具体如下:
3.3.1 制定严格的医院内部网络安全管理规范,严禁医务人员非法互联外网、私自安装软件、拔插存储介质。
3.3.2 制定医院重要信息数据及文档保密操作规范,并严格管理复印机使用登记制度。
3.3.3 制定严密的本地安全策略和域安全策略。要求设定开机口令、建立强口令机制,禁用注册表编辑,安装个人防火墙、禁绝ping指令对局域网的扫描、防范LAN中ARP攻击等一系列安全措施。
3.3.4 安装病毒防护等软硬件网络安全产品,对所有网络用户实行权限分级管理,以确保重要数据对外露。
3.3.5 安装新一代IDS,使整个安全防御体系更趋完善。以便动态的、全方位的监控医院网络用户每一步操作和访问过的数据。确保医院网络系统安全。
4.小结
总之,医院网络安全面临着各方面的威胁,本文通过对当前存在安全问题分析,提出了以内网和外网双重防护的思想,通过安装IDS并配合防火墙及网络安全产品,全方位,立体化监控防护医院网络,确保医院网络高效、安全的运行。
参考文献
[1] 刘东.内网安全行业发展现状及趋势[J].网络安全技术与应用.2008.
[2] 杨涛,杨晓支,(美)安瑞斯,译.计算机安全原理[M].北京:机械工业出版社,2002:121~136.
[3] 张成彬,廖振松.一种基于多域安全信任的访问控制模型[J].计算机安全,2009,(2):53~56.
[4] 杨辉军.防火墙的基本知识及应用[J].电脑知识与技术,2002,(10).
