资源描述
医院网络中的安全风险与防范措施 4200字 随着信息技术的高速开展,互联网越来越被人们所重视,从农业到工业再到高科技产业各行各业都在使用互联网参与行业生存与竞争。企业对网络的依存度越来越高,网络在企业中所处的位置也越来越重要,系统中存储着维系企业生存与竞争的重要资产-企业信息资源。但是,诸多因素威胁着计算机系统的正常运转。如,自然灾害、人员的误操作等,不仅会造成系统信息丧失甚至完全瘫痪,而且会给企业造成无法估量的损失。因此,企业必须有一套完整的平安管理措施,以确保整个计算机网络系统正常、高效、平安地运行。本文就影响医院计算机网络平安的因素、存在的平安隐患及其应对策略三个方面进行了做了论述。一、医院网络平安存在的风险及其原因1.自然因素:1.1病毒攻击因为医院网络同样也是连接在互联网上的一个网络,所以它不可防止的要遭到这样或者那样的病毒的攻击。这些病毒有些是普通没有太大破坏的,而有些却是能造成系统崩溃的高危险病毒。病毒一方面会感染大量的机器,造成机器“罢工“并成为感染添另一方面会大量占用网络带宽,阻塞正常流量,形成拒绝效劳攻击。我们清醒地知道,完全防止所有终端上的病毒是不可能的,但要尽量减少病毒暴发造成的损失和恢复时延是完全可能的。但是由于一些工作人员的疏忽,使得医院网络被病毒攻击的频率越来越高,所以病毒的攻击应该引起我们的关注。1.2软件漏洞任何的系统软件和应用软件都不能是百分之百的无缺陷和无漏洞的,而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。针对固有的平安漏洞进行攻击,主要在下列几个方面:1.2.1、协议漏洞。示例,IMAP和POP3协议一定要在Unix根目录下运行,攻击者利用这一漏洞攻击IMAP破坏系统的根目录,从而获得超级用户的特权。1.2.2、缓冲区溢出。很多系统在不检查程序与缓冲区之间变化的情况下,就接受任何长度的数据输入,把溢出局部放在堆栈内,系统仍照常执行命令。攻击者就利用这一漏洞发送超出缓冲区所能处理的长度的指令,来造成系统不稳定状态。1.2.3、口令攻击。示例,Unix系统软件通常把加密的口令保留在一个文件中,而该文件可通过拷贝或口令破译办法受到入侵。因此,任何不及时更新的系统,都是容易被攻击的。2、人为因素:2.1操作失误操作员平安配置不当造成的平安漏洞,用户平安意识不强.用户口令选择不慎.用户将自己的帐号随意转借他人或与别人共享等都会对网络平安带来威胁。这种情况在企业计算机网络使用初期较常见,随着网络管理制度的建立和对使用人员的培训,此种情况逐渐减少.对网络平安己不构成主要威胁。2.2歹意攻击这是医院计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为下列两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下.进行截获、窃取、破译以获得重要机密信急。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。网络黑客和计算机病毒对企业网络(内联网)和公网平安构成巨大威胁,每年企业和网络运营商都要花费大量的人力和物力用于这方而的网络平安防备,因此防备人为的歹意攻击将是医院网络平安工作的重点。二、构建平安的网络体系结构1.设计网络平安体系的原那么1.1、体系的平安性:设计网络平安体系的最终目的是为爱护信息与网络系统的平安所以平安性成为首要目标。要保证体系的平安性,必须保证体系的完备性和可扩展性。1.2、系统的高效性:构建网络平安体系的目的是能保证系统的正常运行,如果平安影响了系统的运行,则就需要进行权衡了,必须在平安和性能之间选择适宜的平衡点。网络系统的平安体系包含一些软件和硬件,它们也会占用网络系统的一些资源。因此,在设计网络平安体系时必须考虑系统资源的开销,要求平安防护系统本身不能阻碍网络系统的正常运转。1.3、体系的可行性:设计网络平安体系不能纯正地从理论角度考虑,再完美的计划,如果不考虑实际因素,也只能是一些废纸。设计网络平安体系的目的是指导实施,如果实施的难度太大以至于无法实施,则网络平安体系本身也就没有了实际价值。1.4、体系的可承当性:网络平安体系从设计到实施以及平安系统的后期维护、平安培训等各个方面的工作都要由企业来支持,要为此付出一定的代价和开销如果我们付出的代价比从平安体系中获得的利益还要多,则我们就不该采用这个计划。所以,在设计网络平安体系时,必须考虑企业的业务特点和实际承受能力,没有必要按电信级、银行级规范来设计这四个原那么,可以简单的归纳为:平安第一、保障性能、投入合理、考虑开展。2、网络平安体系的建立网络平安体系的定义:网络平安管理体系是一个在网络系统内结合平安技术与平安管理,以实现系统多层次平安保证的应用体系。网络系统完整的平安体系系统物理平安性主要是指从物理上保证系统中各种硬件设备的平安可靠,确保应用系统正常运行。主要包括下列几个方面:(1)避免非法用户破坏系统设备,干扰系统的正常运行。(2)避免内部用户通过物理伎俩接近或窃取系统设备,非法取得其中的数据。(3)为系统关键设备的运行提供平安、合适的物理空间,确保系统能够长期、稳定和高效的运行。示例:中心机房配置温控、除尘设备等。网络平安性主要包括下列几个方面:(1)限制非法用户通过网络远程访问和破坏系统数据,窃取传输线路中的数据。(2)确保对网络设备的平安配置。对网络来说,首先要确保网络设备的平安配置,保证非授权用户不能访问任意一台计算机、路由器和防火墙。(3)网络通讯线路平安可靠,抗干扰。屏蔽性能好,避免电磁泄露,减少信号衰减。(4)避免那些为网络通讯提供频繁效劳的设备泄露电磁信号,可以在该设备上增加信号干扰器,对泄露的电磁信号进行干扰,以防他人顺利接收到泄露的电磁信号。应用平安性主要是指利用通讯根底设施、应用系统和先进的应用平安控制技术,对应用系统中的数据进行平安爱护,确保能够在数据库级、文档/记录级、段落级和字段级限制非法用户的访问。另外,对寄存重要数据的计算机(效劳器、用户机)应使用平安等级较高的操作系统,利用操作系统的平安特性。三、网络平安的技术实现1、防火墙技术在外部网络同内部网络之间应设置防火墙设备。通过防火墙过滤进出网络的数据,对进出网络的访问行为进行控制和阻断,封锁某些禁止的业务,记录通过防火墙的信息内容和活动。对网络攻击进行监测和告警。防火墙可分为包过滤型、检测型、代理型等,应根据不同的需要安装不同的防火墙。2、划分并隔离不同平安域根据不同的平安需求、威胁,划分不同的平安域。采用访问控制、权限控制的机制,控制不同的访问者对网络和设备的访问,避免内部访问者对无权访问区域的访问和误操作。我们可以按照网络区域平安级别把网络划分成两大平安区域,即关键效劳器区域和外部接入网络区域,在这两大区域之间需要进行平安隔离。在关键效劳器区域内部,也同样需要按照平安级别的不同进行进一步平安隔离。划分并隔离不同平安域要结合网络系统的安防与监控需要,与实际应用环境、工作业务流程和机构组织形式密切结合起来。3、防备病毒和外部入侵防病毒产品要定期更新升级,定期扫描。在不影响业务的前提下,关闭系统本身的弱点及漏洞并及时打上最新的平安补丁。防毒除了通常的工作站防毒外,email防毒和网关式防毒己经越来越成为打消病毒源的关键。还应使用扫描器软件主动扫描,进行平安性检查,找到漏洞并及时修补,以防黑客攻击。医院网管可以在CISCO路由设备中,利用CISCOIOS操作系统的平安爱护,设置用户口令及ENABLE口令,解决网络层的平安问题,可以利用UNIX系统的平安机制,保证用户身份、用户授权和基于授权的系统的平安,:对各效劳器操作系统和数据库设立访问权限,同时利用UNIX的平安文件,示例/etc/hosts.equiv文件等,限制远程登录主机,以防非法用户使用TELNET、FTP等远程登录工具,进行非法入侵。4、备份和恢复技术备份是保证系统平安最根本、最常用的伎俩。采取数据的备份和恢复措施,有些重要数据还需要采取异地备份措施,避免灾难性事故的发生。5、加密和认证技术加密可保证信息传输的保密性、完整性、抗抵赖等,是一个非常传统,但又非常有效的技术。加密技术主要用于网络平安传输、公文平安传输、桌面平安防护、可视化数字签名等方面。6、实时监测采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络实时监测系统作为对付电脑黑客最有效的技术伎俩,具有实时、自适应、主动辨认和响应等特征。7、PKI技术公开密钥根底设施(PKI)是通过使用公开密钥技术和数字证书来确保系统网络平安并负责验证数字证书持有者身份的一种体系。PKI可以提供的效劳包括:认证效劳,保密性效劳(加密),完整性效劳,平安通信,平安时间戳,小可否定效劳(抗抵赖效劳),特权管理,密钥管理等。四、结束语:网络的平安与医院利益息息相关,一个平安的网络系统的爱护不仅和系统管理员的系统平安知识有关,而且和领导的决策、工作环境中每个员工的平安操作等都有关系。网络平安是动态的,新的Internet黑客站点、病毒与平安技术每日剧增,医院网络管理人员要掌握最先进的技术,把握住医院网络平安的大门。
展开阅读全文