【www.zhangdahai.com--教师述职报告】
摘 要:由于网络的互联性、开放性和网络系统本身的漏洞和缺欠,医疗系统网每时每刻都面临来自内外部的威胁和攻击。为了保护网络信息安全,防火墙、网络入侵检测、VPN、数据加密、访问控制等技术得到了广泛的应用,本文将对这些技术进行分析并简述其在医疗系统网络中的应用。
关键词:网络信息;安全;防火墙; VPN;访问控制
由于信息系统本身的脆弱性和复杂性,大量的信息安全问题也伴随着计算机应用的拓展而不断涌现。病毒传播、黑客入侵、网络犯罪等安全事件的发生频率逐年升高,危害性也越来越大。如何构建医疗系统级的信息安全体系,保护医疗系统的利益和信息资产不受侵害,为医疗系统发展和业务经营提供有力支撑,为用户提供可信的服务,已成为各医疗系统当前迫切需要解决的问题。
1医疗系统信息安全技术
1.1防病毒
随着计算机媒体的不断出现,电子邮件、盗版光盘、压缩文件、上载下载软件等已经取代软盘,成为传播计算机病毒的主要途径,而且也使计算机病毒的寄宿和传播变得更加容易。世界上计算机病毒现已达5万多种,并且还在以每月300多种的速度增加,成为威胁医疗系统信息安全的主要因素之一。医疗系统可从以下几方面进行病毒的防范:
(1)隔离法,计算机网络最突出的优点就是信息共享和传递,这一优点也给病毒提供了快速传播的条件,使病毒很容易传播到网络上的各种资源,若取消信息共享而采取隔离措施,可切断病毒的传播途径。但此方法是以牺牲网络的最大优点来换取,因此只能在发现病毒隐患时使用。
(2)分割法,将用户分割成不能互相访问的子集,由于信息只能在一定的区域中流动,因此建立一个防卫机制,病毒不会在子系统之间相互传染。
(3)选用高效的防病毒软件,利用防病毒软件进行计算机病毒的监测和清除是目前广泛采用的方法。
(4)及时升级防病毒软件,防病毒软件不同于其它应用软件,它不具备主动性,需要实时追踪新的病毒,因此要不断更新病毒样本库和扫引擎,这样才能查,查杀新的病毒。
1.2防火墙
防火墙 (Firewall)技术是抵抗黑客入侵和防止未授权访问的最有效手段之一,也是目前网络系统实现网络安全策略应用最为广泛的工具之一。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入,可有效地保证网络安全。它是指设置在不同网络(如可信任的医疗系统内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet之间的活动,保证内部网络的安全。
1.3网络入侵检测
随着网络技术的发展,网络环境变得越来越复杂,网络攻击方式也不断翻新。对于网络安全来说,单纯的防火墙技术暴露出明显的不足和弱点,许多攻击(如DOS攻击,会伪装成合法的数据流)可以绕过通常的防火墙,且防火墙因不具备实时入侵检测能力而对病毒束手无策。在这种情况下,网络的入侵检测系统(Intrusion detection system, IDS)在网络的整个安全系统解决方案中就显示出极大作用。它可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。
1.4数据加密技术
与防火墙技术相比,数据信息加密技术比较灵活,更加适用于开放网络。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击,我们注意到,对于主动攻击,虽无法避免,但却可以有效的检测(如IDS);而对于被动攻击,虽无法检测,但却可以避免,而实现这一切的基础就是数据加密技术。
数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是受称为密钥的符号串控制的,加密和解密算法通常是在密钥控制下进行的。完成加密和解密的算法称为密码体制。密码体制有对称密钥密码技术和非对称密钥密码技术。
1.5身份认证技术
身份识别是用户向系统出示自己身份证明的身份证明过程,身份认证是系统查核用户身份证明的过程。这两项工作统称为身份验证。是判明和确认通信双方真实身份的两个重要环节。
1.6访问控制
访问控制是提供信息安全保障的主要手段和安全机制,被广泛地应用于防火墙、文件访问、VPN及物理安全等多个方面。
访问控制是信息安全保障机制的核心内容,它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体(或称为发起者,是一个主动的实体;如用户、进程、服务等),对访问客体(需要保护的资源)的访问权限,从而使计算机系统在合法范围内使用;访问控制机制决定用户及代表一定用户利益的程序能做什么,以及做到什么程度。
2网络安全技术在医疗系统中的应用
医疗系统网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括网络本身的安全问题,也有物理的和逻辑的技术措施。只有通过明晰的安全策略、先进的技术措施以及高素质的网络管理人才构建一个由安全策略、防护、加密、备份、检测、响应所组成的中小医疗系统网络安全体系,才能完整、实时地保证医疗系统网络环境中信息的完整性和正确性。
2.1网络边界的信息安全
在内、外部网络实施隔离的是以防火墙为主的入侵防御体系。它可以通过分析进出网络的数据来保护内部网络。是保障数据和网络资源安全的强有力的手段。它可以实现以下三个功能:
(1)连接内部网络和外部网络;
(2)通过外部网络来连接不同的内部网络;
(3)保护内部网络数据的完整性和私有性。
在实际的策略制订时主要从三个方面来提高网络信息的安全性,即数据过滤、数据加密和访问控制。通过防火墙的安全规则进行数据过滤,通过对发往外部网络的数据进行加密来保护数据的私有性。访问控制限制访问内部网络的系统资源,限制对敏感数据的存取(读、写、执行)。而整个网络数据的传输安全可以分为:
(1)主机和防火墙之间的数据安全;
(2)防火墙之间的数据安全;
(3)主机和主机之间的数据安全,即发送数据者和接收数据者之间的安全。
2.2内部网络的数据信息安全
在实现医疗系统内部网络安全时主要从两方面来考虑:网络安全和主机安全。网路安全主要考虑网络上主机之间的访问控制,防止来自外部的入侵,保护网络上的数据在传输时不被篡改和泄露。主机安全是保护合法用户对授权资源的使用,防止非法用户对于系统资源的侵占和破坏。其实现的结构模型如图1:
使得系统对网络的保护贯穿于网络层、传输层和应用层。在各个不同的层次中实施不同的安全策略。
网络层:通过对数据包头的分析,基于源地址、目的地址、源端口、目的端口和协议来实现访问控制.也可以通过工PSEC进行加密传输。
传输层:实现加密的传输。
应用层:实施严格的访问控制手段,安装杀毒软件并及时更新。
2.3安全接入
虚拟专用网络(VPN)被定义为通过一个公共网络建立的一个临时的安全的连接,是一条穿越混乱的公共网络的安全、稳定的隧道,它是对医疗系统内部网络的扩展。VPN可以帮助远程用户、医疗系统的分支机构、合作伙伴医疗系统的内部网络建立可信任的安全接入。它可以提供数据加密,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户具有不同的权限。
3结束语
由于网络安全产品、计算机硬软件是发展的,病毒和黑客技术也在发展,所以网络安全是动态的,因此,网络和信息安全应是技术和管理的综合。医疗系统除了采取一些技术安全措施外,还应针对内部用户进行网络安全教育,建立健全各种管理制度,对威胁和破坏医疗系统信息和数据安全的行为严肃处理。同时加强网络和系统管理员队伍的建设和培训,加强网络系统和数据库的维护,及时弥补漏洞,监控来自医疗系统外部的各种攻击和入侵行为,发现异常马上采取措施。定期对医疗系统网和关键数据进行安全评估,并有针对性的制定安全防护策略、制定管理规章制度。
参考文献
[1] 瞿坦.计算机网络原理及应用基础.华中理工大学出版
社,2005(09)
[2] 贾筱景,肖辉进,基于防火墙的网络安全技术.达县师范
高等专科学校学报,2005 (02)
[3] 钟福训.网络安全方案探讨.齐鲁石油化工,2004(04)
[4] 牛慧斌,李骏仁. 医疗系统内部网络信息安全与防御对
策分析. 电脑知识与技术, 2007(20)
[5] 李梦竹,车根. 关于加强网络信息安全工作的几点建议.
中国电子商务, 2010(2)
