關(guān)于醫院的網(wǎng)絡(luò )安全建設實(shí)施論文

　　1、概述

　　網(wǎng)絡(luò )安全是指整體網(wǎng)絡(luò )結構內部支持的所有網(wǎng)絡(luò )硬件設備和軟件之間的統籌安全防護，保障兩者不受惡意攻擊和破壞，保持網(wǎng)絡(luò )系統可靠地連續運行，保障網(wǎng)絡(luò )的不中斷服務(wù)。醫院的網(wǎng)絡(luò )系統范圍涉及醫院信息系統中各節點(diǎn)間的通信鏈路、各類(lèi)硬件設備、醫療軟件及其系統中的報表數據等。從網(wǎng)絡(luò )運維和管理者的角度分析，網(wǎng)絡(luò )安全可視作由多個(gè)結構分類(lèi)組成的一個(gè)集合，每一個(gè)安全層次作為一個(gè)獨立整體對應不同的功能特征，結合醫院網(wǎng)絡(luò )系統的實(shí)際運用，可將醫院網(wǎng)絡(luò )安全分為3個(gè)方面并提供不同策略的防護：物理方面、結構方面和應用方面。

　　2、網(wǎng)絡(luò )的物理安全

　　醫院網(wǎng)絡(luò )基礎設施的安全建設，主要涉及中心機房的安全性設計，包括網(wǎng)絡(luò )運行的物理環(huán)境安全（如區域保護和災難保護）以及相關(guān)設備的防護安全等。中心機房作為醫院信息網(wǎng)絡(luò )系統的核心樞紐，它承載著(zhù)整個(gè)信息系統的基礎條件，在醫院網(wǎng)絡(luò )工程設計與施工過(guò)程中，需充分考慮機房的地理選址、室內環(huán)境裝修以及各項防災、消防措施等事項。具體保障設施的建設需求不作一一詳述，可具體參照《電子信息系統機房設計規范》進(jìn)行規劃設計。同時(shí)，可部署機房環(huán)境監控系統（BSM），對機房的各防護體系進(jìn)行集中監控和安全管理，并提供相應的機房組態(tài)界面圖，實(shí)時(shí)展示機房?jì)雀鳈C柜的溫濕度情況、精密空調工作狀態(tài)、機房市電工作數據和UPS供電狀況等信息，便于管理員的日常巡視工作。

　　3、網(wǎng)絡(luò )的結構安全

　　醫院的局域網(wǎng)交互廣泛、應用復雜，網(wǎng)絡(luò )結構的建立要考慮物理環(huán)境、設備配置與業(yè)務(wù)應用情況、遠程聯(lián)網(wǎng)方式、網(wǎng)絡(luò )維護管理等因素。在構建醫院需求的局域網(wǎng)時(shí)通常采用“分層網(wǎng)絡(luò )模型”的設計，將醫院整體網(wǎng)絡(luò )結構劃分成相互分離的三層拓撲：核心層、分布層和接入層。分層網(wǎng)絡(luò )具有良好的擴展性，網(wǎng)絡(luò )的冗余性實(shí)現方便，有助于提高網(wǎng)絡(luò )的安全性且便于管理維護。在分層設計模型中，接入層是負責終端設備的接入，主要是將設備連接至網(wǎng)絡(luò )并提供相應的網(wǎng)段間通信服務(wù)；分布層是匯聚接入層交換機傳輸的數據，通過(guò)相應訪(fǎng)問(wèn)策略（如ACL、NAT等）控制不同網(wǎng)段間的通信訪(fǎng)問(wèn)，并將通過(guò)審查的數據傳輸至核心層；核心層是網(wǎng)絡(luò )互聯(lián)的高速主干道，作為網(wǎng)絡(luò )匯聚的樞紐集中著(zhù)所有分布層設備需要交換的流數據量，必須具有高效的數據轉發(fā)和處理能力。通常，接入層交換機分部安裝在每層樓宇的配線(xiàn)間中，分布層、核心層交換機基于嚴格的安全防護通常部署于中心機房?jì)�。接入層設備采用相較便宜的只有基礎轉發(fā)功能的二層交換機，而在分布層和核心層上采用價(jià)格相較高昂的千兆以上高帶寬、高性能和具有冗余功能和路由功能的三層交換機。在網(wǎng)絡(luò )拓撲規劃中，同時(shí)要考慮構建網(wǎng)絡(luò )的鏈路冗余性，通常采用雙設備互聯(lián)備份機制，為網(wǎng)絡(luò )拓撲結構的每一層的每一臺交換機與下一層的每一臺交換機之間兩兩鏈路互連，并啟用交換機的STP（生成樹(shù)協(xié)議）防止多條路徑之間可能導致的網(wǎng)絡(luò )環(huán)路，也可在路由器接口上啟用VRRP（虛擬路由器冗余協(xié)議）實(shí)現VRRP組中備份路由器（可配置多臺）在主路由器失效時(shí)的接替工作，即使某一臺交換機路由器在工作中出現故障，相連的其他設備會(huì )調整選擇其他正常的備用設備與可達路徑，保持數據間的正常轉發(fā)與路由，使網(wǎng)絡(luò )保持暢通。在網(wǎng)絡(luò )結構的優(yōu)化方面，可為接入層交換機的終端設備（如服務(wù)器）接入端口配置為快速端口（PortFast）模式，為分布層和核心層之間運用鏈路聚合技術(shù)，將多條物理鏈路組合成一條具有更高帶寬的邏輯鏈路，結合使用負載均衡功能實(shí)現網(wǎng)絡(luò )更快的傳輸效率和更高的吞吐量，提升網(wǎng)絡(luò )的通信性能。

　　4、網(wǎng)絡(luò )的應用安全

　　醫院網(wǎng)絡(luò )系統的應用貫穿著(zhù)各項日常業(yè)務(wù)的開(kāi)展，隨著(zhù)醫療服務(wù)對于互聯(lián)網(wǎng)技術(shù)的廣泛應用，各不同醫療部門(mén)的工作業(yè)務(wù)、管理業(yè)務(wù)和科研需求都離不開(kāi)網(wǎng)頁(yè)的瀏覽訪(fǎng)問(wèn)、文件的上傳、下載、電子郵件等應用程序。面向全球性開(kāi)放式、結構錯綜復雜的Internet網(wǎng)絡(luò )，不僅使流經(jīng)醫院網(wǎng)絡(luò )的數據流量激增，隨之而來(lái)的非法侵入的可能性也急劇增大。為了保護各種信息資源的安全，必需對本地、外部網(wǎng)絡(luò )的訪(fǎng)問(wèn)、數據信息的讀寫(xiě)等加以保護和控制，避免遭受木馬病毒的侵入、DOS攻擊、IP地址欺詐、非法占用和串改等網(wǎng)絡(luò )威脅，抵御網(wǎng)絡(luò )xx的攻擊和勒索破壞。網(wǎng)絡(luò )的應用安全具體實(shí)施包括如下幾個(gè)方面：

　　4.1內外網(wǎng)絡(luò )的隔離

　　醫院的網(wǎng)絡(luò )體系結構一般由3個(gè)區域組成：本地網(wǎng)絡(luò )、外圍網(wǎng)絡(luò )或DMZ（非軍事區）以及邊界（外部）網(wǎng)絡(luò )。在兩個(gè)不同的區域間都各自部署一臺結構不同的防火墻（若采用同廠(chǎng)商同型號的防火墻，由于兩者的性能協(xié)議相同則而被xx輕易地逐一攻破），組成兩兩網(wǎng)絡(luò )區域間的第一道防護屏障，避免位于后方的網(wǎng)絡(luò )受到來(lái)自外界的攻擊，提供對不受信任的外部用戶(hù)的訪(fǎng)問(wèn)限制，防止外部用戶(hù)訪(fǎng)問(wèn)內部網(wǎng)絡(luò )同時(shí)也可以限制、規范內部用戶(hù)的可執行操作。防火墻作為內外網(wǎng)絡(luò )進(jìn)出的必經(jīng)之路，通過(guò)包過(guò)濾技術(shù)可以檢測所有數據的詳細信息，并根據已制定的相關(guān)訪(fǎng)問(wèn)策略和過(guò)濾規則對外界流經(jīng)它的數據進(jìn)行監控和審查，防止外部網(wǎng)絡(luò )中未授權用戶(hù)的非法訪(fǎng)問(wèn)，實(shí)現內外網(wǎng)的隔離與訪(fǎng)問(wèn)控制，進(jìn)一步保護網(wǎng)絡(luò )中業(yè)務(wù)數據、信息資源和用戶(hù)信息的安全。

　　4.2內部網(wǎng)絡(luò )的訪(fǎng)問(wèn)控制

　　主要利用VLAN（虛擬局域網(wǎng)）技術(shù)并結合Trunk（中繼）和VLAN間路由技術(shù)來(lái)實(shí)現對內部子網(wǎng)的邏輯隔離與延伸。按照醫院區域規劃及相關(guān)職能通過(guò)在交換機上劃分VLAN將醫院內部網(wǎng)絡(luò )邏輯地劃分成若干個(gè)虛擬子網(wǎng)，每一個(gè)VLAN形成一個(gè)獨立的子網(wǎng)，實(shí)現內部網(wǎng)段的隔離，簡(jiǎn)化了網(wǎng)絡(luò )拓撲的結構的同時(shí)提高了用戶(hù)間數據的保密性。VLAN間的隔離將網(wǎng)絡(luò )整體的大型廣播域分割成一個(gè)個(gè)互不干涉的小型獨立域，以此防止廣播風(fēng)暴在整個(gè)網(wǎng)絡(luò )范圍的傳播，可以限制局部網(wǎng)絡(luò )安全問(wèn)題對全局網(wǎng)絡(luò )造成影響。

　　4.3網(wǎng)絡(luò )安全檢測與防御

　　防火墻可以阻止基于IP包頭的攻擊和非信任地址的訪(fǎng)問(wèn)，但無(wú)法阻止基于數據內容的.xx攻擊和病毒入侵，同時(shí)也無(wú)法控制內部網(wǎng)絡(luò )之間的行為。入侵檢測（IDS）和入侵防御（IPS）系統被視作防火墻之后的第二道安全閘門(mén)。IDS屬于一種監測系統，在網(wǎng)絡(luò )系統的運行遇到非法入侵的狀況時(shí)進(jìn)行自動(dòng)檢測和監控，并對異常行為進(jìn)行記錄并分析相應的入侵規則，在識別入侵攻擊的特征后，向控制臺報警并提供防御依據，隨后開(kāi)展相應的防護功能并及時(shí)將入侵事件反饋給管理員。IPS可深入網(wǎng)絡(luò )數據的內部，感知并檢測流經(jīng)的數據流量，對照數據之間的正常關(guān)系以此識別可疑情況，檢測到異常特征后及時(shí)對通過(guò)網(wǎng)關(guān)或防火墻進(jìn)入網(wǎng)絡(luò )內部的惡意代碼進(jìn)行丟棄以阻斷攻擊，第一時(shí)間阻止木馬病毒的蔓延，同時(shí)還會(huì )對濫用濫反的報文進(jìn)行限流以保護網(wǎng)絡(luò )的帶寬資源。通常將防火墻、IDS、IPS3類(lèi)設備結合部署，組成一套統一威脅管理系統（UTM），實(shí)現網(wǎng)絡(luò )信息的入侵檢測、防御、阻斷為一體的綜合性安全防護體系。

　　4.4網(wǎng)絡(luò )防病毒

　　目前，各種計算機病毒及惡意軟件不斷更新變異，危害和威脅極大，致使加強對網(wǎng)絡(luò )環(huán)境下病毒和惡意軟件的防范、檢測及清除非常重要。防病毒技術(shù)主要通過(guò)安全殺毒軟件通過(guò)它的實(shí)時(shí)監控識別、掃描和清除功能來(lái)防止木馬病毒和惡意軟件的侵入。部署的殺毒軟件應該具有可疑構造全網(wǎng)統一的云安全防病毒體系功能，全面支持對整體網(wǎng)絡(luò )范圍內的服務(wù)器和工作終端進(jìn)行實(shí)時(shí)病毒防控，并能夠在云中心服務(wù)端控制對全院客戶(hù)端進(jìn)行最新病毒庫的統一更新，云安全功能會(huì )實(shí)時(shí)自動(dòng)分析和處理病毒，可及時(shí)、快速地將解決方案提供給網(wǎng)絡(luò )管理員，攔截一切可疑的互聯(lián)網(wǎng)威脅。

　　5、結語(yǔ)

　　醫療信息化是醫院推行醫療改革、推進(jìn)技術(shù)創(chuàng )新的必經(jīng)之路，隨著(zhù)它的數字化應用和發(fā)展，醫院的常規業(yè)務(wù)對各類(lèi)信息系統及相關(guān)的醫療數據依賴(lài)程度日益提高，網(wǎng)絡(luò )作為開(kāi)展醫療信息化的基礎，牽一發(fā)而動(dòng)全身，加強醫院信息網(wǎng)絡(luò )安全已成為醫療行業(yè)中普遍的認識。任何網(wǎng)絡(luò )安全事件都可能導致醫院業(yè)務(wù)的癱瘓、患者個(gè)人信息的泄露、醫療數據的竊取與勒索等，直接影響醫院的整體運營(yíng)和患者的就醫滿(mǎn)意度，損及醫院的信譽(yù)，處理不當則可能會(huì )引起醫患糾紛、法律問(wèn)題甚至社會(huì )問(wèn)題。網(wǎng)絡(luò )作為保障醫院信息系統安全與穩定的首當其沖之地，它的安全建設和管理工作是醫院信息化建設的重中之重。

【關(guān)于醫院的網(wǎng)絡(luò )安全建設實(shí)施論文】相關(guān)文章：

1.醫院建設中的網(wǎng)絡(luò )安全防護策略論文

2.醫院財務(wù)戰略制定和實(shí)施論文

3.醫院網(wǎng)絡(luò )安全計算機維護論文

4.醫院信息化建設的中心機房建設論文

5.區域醫療信息化網(wǎng)絡(luò )安全的建設論文

6.醫院重點(diǎn)學(xué)科建設論文

7.電視臺網(wǎng)絡(luò )安全體制建設論文

8.關(guān)于醫院網(wǎng)絡(luò )安全信息化管理論文