网络信息安全需求分析

网络信息安全需求分析 随着医院信息化建设步伐的不断加快 信息网络技术在医疗行业的应用日趋 广泛 这些先进的技术给医院的管理带来了前所未有的便利 也提升了医院的管理 质量和服务水平 同时医疗业务对行业信息和数据的依赖程度也越来越高 也带来 了不可忽视的网络系统安全问题 本文主要从网络系统的硬件 软件及对应用系 统中数据的保护 不受破坏 更改 泄露 系统连续可靠 正常地运行 网络服务 不中断等方面探讨医院网络信息安全的需求 医疗业务对行业信息和数据的依赖程度越来越高 带来了不可忽视的网络系 统安全问题 现分析如下 一 网络安全建设内容 在医院信息网络建设中 网络安全体系是确保其安全可靠运行的重要支柱 能 否有效地保护信息资源 保护信息化健康 有序 可持续地发展 是关系到医院计 算机网络建设成败的关键 保障网络信息安全 要防止来自外部的恶意攻击和内部的恶意破坏 运用网络的安全策略 实行统一的身份认证和基于角色的访问控制 医院计算机网络提供统一的证书管理 证书查询验证服务及网络环境的 安全 建立和完善统一的授权服务体系 实现灵活有效的授权管理 解决复杂的权 限访问控制问题 通过日志系统对用户的操作进行记录 二 网络安全体系建设 网络安全体系建设应从多个层次完整地 全方位地对医院的信息网络及应 用情况进行分析 所制定的安全机制基本包括了对各种安全隐患的考虑 从而保护 关键业务系统的正常运行 控制内网用户接入 避免患者电子信息以及医院重要数 据的泄密 如图 1 2 1 物理设备安全需求 即使应用了功能最强大的安全软件 如果没有注意物理安全 会大大地破坏系 统安全的整体性 攻击者会通过物理接触系统来达到破坏的目的 因此 物理安全 是安全策略中最为关键的一步 设备和操作系统都提供了通过物理接触绕过现有密码的功能 机房内各服务器和网络设备均放置在上锁的机柜中 钥匙专人负责保管 同 时要在中心机房安装视频监视设备进行监控 网络整体要部署防雷系统 机房要有防静电地板 配线间注意散热且定期进 行除尘工作 主要网络设备可以采用双路供电或者安装 UPS 2 2 口令安全需求 网络设备口令一律不采用缺省值 长度至少是 8 位 采用字母和数字的组合 且其中至少包含两个特殊字符 医院信息系统如 HIS LIS PACS CIS 对于 医院一般用户的帐号 要求密码应包含字母 特殊字符和数字 对于重要部门或 者岗位操作人员的系统密码要提醒其定期检查和更改 网络设备的 SNMP 通信 字串和口令具有同样的重要性 也应该遵循和口令要求相同的原则 建议采用 SNMP 探测功能进行弱 SNMP 通信字串的检测 2 3 传输安全需求 医院网络基础建设中采用的 VPN 技术可以从最底层确保安全 4 既可防止 其他网络的用户未经授权使用医院信息网络的信息资源 也可防止本网络的用户 进入其他的网络 为了保证医院关键业务应用 24 小时不间断地运行 部分重要 科室应设计为冗余的网络链路 如图 1 示 门诊收费处 住院收费处等关键科室 汇聚层交换机互为冗余 从而最大限度地避免了单点传输故障造成的业务系统崩 溃 2 4 网络通信安全需求 2 4 1 防火墙应用 医院计算机网络需要与 Internet 外网进行互联 这种互联方式面临多种安全 威胁 会受到外界的探测与攻击 防火墙对流经它的网络通信进行扫描 5 这样 能够过滤掉一些来自 Internet 的攻击 如拒绝服务攻击 DoS 阻止 ActiveX Java Cookies Javas cript 侵入 通过防火墙的病毒扫描和内容过滤 功能可以避免恶意脚本在目标计算机上被执行 防火墙还可以关闭不使用的端 口 而且它还能禁止特定端口的流出通信 封锁特洛伊木马 禁止来自特殊站点的 访问 从而防止来自不明入侵者的所有通信 2 4 2 IDS 系统应用 IDS 入侵检测系统 针对医院网络中的各种病毒和攻击 进行有效的检测 依 照一定的安全策略 对网络 系统的运行状况进行监视 从而提供入侵实时警告 通过 IDS 与防火墙的联动 可以更有效地阻断所发生的攻击事件 同时也可以加 强网络的安全管理 保证主机资源不受来自内 外部网络的安全威胁 2 4 3 VLAN 划分管理 在一个交换网络中 VLAN 提供了网段和机构的弹性组合机制 利用虚拟网 络技术 可以大大减轻医院网络管理和维护工作的负担 也有效地从物理层避免了 广播风暴 防止网络病毒的蔓延 2 5 网络防病毒体系 在医院计算机网络中 由于设计的范围比较广 部门又多 通信比较频繁 很容 易导致病毒的泛滥 对系统文件 数据库等造成不可预测的破坏 面对日益复杂 的网络环境 网络防病毒应不只是一个单纯的系统 而应是一个联动互相配合的体 系 包括如下几个方面的内容 2 5 1 网络防病毒中心 一旦病毒入侵系统或者从系统向其他资源感染 网络防病毒软件会立刻检测 到并加以删除 此外 网络防病毒软件还能够防止病毒对网络操作系统本身的攻 击 如某些针对 Windows 系统 Unix 系统的病毒 医院计算机网络建立网络防 病毒系统时应考虑集中管理和自动下载 更新以及分发病毒库等 2 5 2 网络分析中心 通过部署专业的网络分析软件能够在各种网络环境中 对网络中所有传输的 数据进行检测 分析 诊断 形成拓扑帮助用户排除网络事故 规避安全风险 提 高网络性能 增大网络可用性价值 医院不用再担心网络事故难以解决 网络分析 系统可以把网络故障和安全风险会降到最低 找到网络瓶颈逐步提升网络性能 2 5 3 SUS 服务中心 Software Update Services SUS 可以帮助基于 Microsoft 用户快速部署最新的 重要更新和安全更新 通过使用计划发布的 SUS 管理员可以完全控制管理通过 Windows Update 发布给网络中计算机的更新分发 从而统一更新全网主机的补丁 和修复安全漏洞 2 5 4 桌面管理中心 通过部署集中的局域网桌面管理软件 保护终端操作系统的安全 对局域网进 行有效监控管理就显得非常必要 也可大大降低维护工作量 桌面管理软件的功 能如下 控制网络主机的 USB 光驱 软驱等常见的硬件接口 能够阻断病毒传播 途经 控制用户主机使用或者安装非法软件 能够远程检测终端主机的界面 方便 管理 对不良网站进行严格限制 禁止终端主机访问 禁止 BT 以及 P2P 软件占用 网络带宽 2 6 存储以及数据安全 医疗业务系统 24 小时不间断运行需要对存储以及数据进行有效的保护 目 前 多数医院已经部署了基于 Fibre Channel FC 技术的 SAN storage area network 存储系统 集中管理与整合储存设备资源 SAN 解决方案中 你可以得到一个完 全冗余的存储网络 SAN 具有不同寻常的扩展性 通过数据权限管理 数据复制 备份 容灾等技术确保存储数据的安全 三 安全管理 安全体系的建立和维护需要有良好的管理制度和很高的安全意识来保障 安全意识可以通过安全常识培训来提高 行为的约束只能通过严格的管理体制 并 利用法律手段来实现 因些必须在管理部门系统内根据自身的应用与安全需求 制定安全管理制度并严格执行 通过安全知识及法律常识的培训 加强整体员工的 自身安全意识及防范外部入侵的安全技术 对于计算机网络的安全管理 要从管 理和技术两个方面入手 管理和技术合二为一 才能达到网络安全目的