關(guān)于醫(yī)院的網(wǎng)絡(luò)安全建設(shè)實(shí)施論文

　　1、概述

　　網(wǎng)絡(luò)安全是指整體網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)部支持的所有網(wǎng)絡(luò)硬件設(shè)備和軟件之間的統(tǒng)籌安全防護(hù)，保障兩者不受惡意攻擊和破壞，保持網(wǎng)絡(luò)系統(tǒng)可靠地連續(xù)運(yùn)行，保障網(wǎng)絡(luò)的不中斷服務(wù)。醫(yī)院的網(wǎng)絡(luò)系統(tǒng)范圍涉及醫(yī)院信息系統(tǒng)中各節(jié)點(diǎn)間的通信鏈路、各類硬件設(shè)備、醫(yī)療軟件及其系統(tǒng)中的報(bào)表數(shù)據(jù)等。從網(wǎng)絡(luò)運(yùn)維和管理者的角度分析，網(wǎng)絡(luò)安全可視作由多個(gè)結(jié)構(gòu)分類組成的一個(gè)集合，每一個(gè)安全層次作為一個(gè)獨(dú)立整體對(duì)應(yīng)不同的功能特征，結(jié)合醫(yī)院網(wǎng)絡(luò)系統(tǒng)的實(shí)際運(yùn)用，可將醫(yī)院網(wǎng)絡(luò)安全分為3個(gè)方面并提供不同策略的防護(hù)：物理方面、結(jié)構(gòu)方面和應(yīng)用方面。

　　2、網(wǎng)絡(luò)的物理安全

　　醫(yī)院網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全建設(shè)，主要涉及中心機(jī)房的安全性設(shè)計(jì)，包括網(wǎng)絡(luò)運(yùn)行的物理環(huán)境安全（如區(qū)域保護(hù)和災(zāi)難保護(hù)）以及相關(guān)設(shè)備的防護(hù)安全等。中心機(jī)房作為醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的核心樞紐，它承載著整個(gè)信息系統(tǒng)的基礎(chǔ)條件，在醫(yī)院網(wǎng)絡(luò)工程設(shè)計(jì)與施工過(guò)程中，需充分考慮機(jī)房的地理選址、室內(nèi)環(huán)境裝修以及各項(xiàng)防災(zāi)、消防措施等事項(xiàng)。具體保障設(shè)施的建設(shè)需求不作一一詳述，可具體參照《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》進(jìn)行規(guī)劃設(shè)計(jì)。同時(shí)，可部署機(jī)房環(huán)境監(jiān)控系統(tǒng)（BSM），對(duì)機(jī)房的各防護(hù)體系進(jìn)行集中監(jiān)控和安全管理，并提供相應(yīng)的機(jī)房組態(tài)界面圖，實(shí)時(shí)展示機(jī)房?jī)?nèi)各機(jī)柜的溫濕度情況、精密空調(diào)工作狀態(tài)、機(jī)房市電工作數(shù)據(jù)和UPS供電狀況等信息，便于管理員的日常巡視工作。

　　3、網(wǎng)絡(luò)的結(jié)構(gòu)安全

　　醫(yī)院的局域網(wǎng)交互廣泛、應(yīng)用復(fù)雜，網(wǎng)絡(luò)結(jié)構(gòu)的建立要考慮物理環(huán)境、設(shè)備配置與業(yè)務(wù)應(yīng)用情況、遠(yuǎn)程聯(lián)網(wǎng)方式、網(wǎng)絡(luò)維護(hù)管理等因素。在構(gòu)建醫(yī)院需求的局域網(wǎng)時(shí)通常采用“分層網(wǎng)絡(luò)模型”的設(shè)計(jì)，將醫(yī)院整體網(wǎng)絡(luò)結(jié)構(gòu)劃分成相互分離的三層拓?fù)洌汉诵膶印⒎植紝雍徒尤雽�。分層網(wǎng)絡(luò)具有良好的擴(kuò)展性，網(wǎng)絡(luò)的冗余性實(shí)現(xiàn)方便，有助于提高網(wǎng)絡(luò)的安全性且便于管理維護(hù)。在分層設(shè)計(jì)模型中，接入層是負(fù)責(zé)終端設(shè)備的接入，主要是將設(shè)備連接至網(wǎng)絡(luò)并提供相應(yīng)的網(wǎng)段間通信服務(wù)；分布層是匯聚接入層交換機(jī)傳輸?shù)臄?shù)據(jù)，通過(guò)相應(yīng)訪問(wèn)策略（如ACL、NAT等）控制不同網(wǎng)段間的通信訪問(wèn)，并將通過(guò)審查的數(shù)據(jù)傳輸至核心層；核心層是網(wǎng)絡(luò)互聯(lián)的高速主干道，作為網(wǎng)絡(luò)匯聚的樞紐集中著所有分布層設(shè)備需要交換的流數(shù)據(jù)量，必須具有高效的數(shù)據(jù)轉(zhuǎn)發(fā)和處理能力。通常，接入層交換機(jī)分部安裝在每層樓宇的配線間中，分布層、核心層交換機(jī)基于嚴(yán)格的安全防護(hù)通常部署于中心機(jī)房?jī)?nèi)。接入層設(shè)備采用相較便宜的只有基礎(chǔ)轉(zhuǎn)發(fā)功能的二層交換機(jī)，而在分布層和核心層上采用價(jià)格相較高昂的千兆以上高帶寬、高性能和具有冗余功能和路由功能的三層交換機(jī)。在網(wǎng)絡(luò)拓?fù)湟?guī)劃中，同時(shí)要考慮構(gòu)建網(wǎng)絡(luò)的鏈路冗余性，通常采用雙設(shè)備互聯(lián)備份機(jī)制，為網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的每一層的每一臺(tái)交換機(jī)與下一層的每一臺(tái)交換機(jī)之間兩兩鏈路互連，并啟用交換機(jī)的STP（生成樹(shù)協(xié)議）防止多條路徑之間可能導(dǎo)致的網(wǎng)絡(luò)環(huán)路，也可在路由器接口上啟用VRRP（虛擬路由器冗余協(xié)議）實(shí)現(xiàn)VRRP組中備份路由器（可配置多臺(tái)）在主路由器失效時(shí)的接替工作，即使某一臺(tái)交換機(jī)路由器在工作中出現(xiàn)故障，相連的其他設(shè)備會(huì)調(diào)整選擇其他正常的備用設(shè)備與可達(dá)路徑，保持?jǐn)?shù)據(jù)間的正常轉(zhuǎn)發(fā)與路由，使網(wǎng)絡(luò)保持暢通。在網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化方面，可為接入層交換機(jī)的終端設(shè)備（如服務(wù)器）接入端口配置為快速端口（PortFast）模式，為分布層和核心層之間運(yùn)用鏈路聚合技術(shù)，將多條物理鏈路組合成一條具有更高帶寬的邏輯鏈路，結(jié)合使用負(fù)載均衡功能實(shí)現(xiàn)網(wǎng)絡(luò)更快的傳輸效率和更高的吞吐量，提升網(wǎng)絡(luò)的通信性能。

　　4、網(wǎng)絡(luò)的應(yīng)用安全

　　醫(yī)院網(wǎng)絡(luò)系統(tǒng)的應(yīng)用貫穿著各項(xiàng)日常業(yè)務(wù)的開(kāi)展，隨著醫(yī)療服務(wù)對(duì)于互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用，各不同醫(yī)療部門的工作業(yè)務(wù)、管理業(yè)務(wù)和科研需求都離不開(kāi)網(wǎng)頁(yè)的瀏覽訪問(wèn)、文件的上傳、下載、電子郵件等應(yīng)用程序。面向全球性開(kāi)放式、結(jié)構(gòu)錯(cuò)綜復(fù)雜的Internet網(wǎng)絡(luò)，不僅使流經(jīng)醫(yī)院網(wǎng)絡(luò)的數(shù)據(jù)流量激增，隨之而來(lái)的非法侵入的可能性也急劇增大。為了保護(hù)各種信息資源的安全，必需對(duì)本地、外部網(wǎng)絡(luò)的訪問(wèn)、數(shù)據(jù)信息的讀寫等加以保護(hù)和控制，避免遭受木馬病毒的侵入、DOS攻擊、IP地址欺詐、非法占用和串改等網(wǎng)絡(luò)威脅，抵御網(wǎng)絡(luò)xx的攻擊和勒索破壞。網(wǎng)絡(luò)的應(yīng)用安全具體實(shí)施包括如下幾個(gè)方面：

　　4.1內(nèi)外網(wǎng)絡(luò)的隔離

　　醫(yī)院的網(wǎng)絡(luò)體系結(jié)構(gòu)一般由3個(gè)區(qū)域組成：本地網(wǎng)絡(luò)、外圍網(wǎng)絡(luò)或DMZ（非軍事區(qū)）以及邊界（外部）網(wǎng)絡(luò)。在兩個(gè)不同的區(qū)域間都各自部署一臺(tái)結(jié)構(gòu)不同的防火墻（若采用同廠商同型號(hào)的防火墻，由于兩者的性能協(xié)議相同則而被xx輕易地逐一攻破），組成兩兩網(wǎng)絡(luò)區(qū)域間的第一道防護(hù)屏障，避免位于后方的網(wǎng)絡(luò)受到來(lái)自外界的攻擊，提供對(duì)不受信任的外部用戶的訪問(wèn)限制，防止外部用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)同時(shí)也可以限制、規(guī)范內(nèi)部用戶的可執(zhí)行操作。防火墻作為內(nèi)外網(wǎng)絡(luò)進(jìn)出的必經(jīng)之路，通過(guò)包過(guò)濾技術(shù)可以檢測(cè)所有數(shù)據(jù)的詳細(xì)信息，并根據(jù)已制定的相關(guān)訪問(wèn)策略和過(guò)濾規(guī)則對(duì)外界流經(jīng)它的數(shù)據(jù)進(jìn)行監(jiān)控和審查，防止外部網(wǎng)絡(luò)中未授權(quán)用戶的非法訪問(wèn)，實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問(wèn)控制，進(jìn)一步保護(hù)網(wǎng)絡(luò)中業(yè)務(wù)數(shù)據(jù)、信息資源和用戶信息的安全。

　　4.2內(nèi)部網(wǎng)絡(luò)的訪問(wèn)控制

　　主要利用VLAN（虛擬局域網(wǎng)）技術(shù)并結(jié)合Trunk（中繼）和VLAN間路由技術(shù)來(lái)實(shí)現(xiàn)對(duì)內(nèi)部子網(wǎng)的邏輯隔離與延伸。按照醫(yī)院區(qū)域規(guī)劃及相關(guān)職能通過(guò)在交換機(jī)上劃分VLAN將醫(yī)院內(nèi)部網(wǎng)絡(luò)邏輯地劃分成若干個(gè)虛擬子網(wǎng)，每一個(gè)VLAN形成一個(gè)獨(dú)立的子網(wǎng)，實(shí)現(xiàn)內(nèi)部網(wǎng)段的隔離，簡(jiǎn)化了網(wǎng)絡(luò)拓?fù)涞慕Y(jié)構(gòu)的同時(shí)提高了用戶間數(shù)據(jù)的保密性。VLAN間的隔離將網(wǎng)絡(luò)整體的大型廣播域分割成一個(gè)個(gè)互不干涉的小型獨(dú)立域，以此防止廣播風(fēng)暴在整個(gè)網(wǎng)絡(luò)范圍的傳播，可以限制局部網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成影響。

　　4.3網(wǎng)絡(luò)安全檢測(cè)與防御

　　防火墻可以阻止基于IP包頭的攻擊和非信任地址的訪問(wèn)，但無(wú)法阻止基于數(shù)據(jù)內(nèi)容的.xx攻擊和病毒入侵，同時(shí)也無(wú)法控制內(nèi)部網(wǎng)絡(luò)之間的行為。入侵檢測(cè)（IDS）和入侵防御（IPS）系統(tǒng)被視作防火墻之后的第二道安全閘門。IDS屬于一種監(jiān)測(cè)系統(tǒng)，在網(wǎng)絡(luò)系統(tǒng)的運(yùn)行遇到非法入侵的狀況時(shí)進(jìn)行自動(dòng)檢測(cè)和監(jiān)控，并對(duì)異常行為進(jìn)行記錄并分析相應(yīng)的入侵規(guī)則，在識(shí)別入侵攻擊的特征后，向控制臺(tái)報(bào)警并提供防御依據(jù)，隨后開(kāi)展相應(yīng)的防護(hù)功能并及時(shí)將入侵事件反饋給管理員。IPS可深入網(wǎng)絡(luò)數(shù)據(jù)的內(nèi)部，感知并檢測(cè)流經(jīng)的數(shù)據(jù)流量，對(duì)照數(shù)據(jù)之間的正常關(guān)系以此識(shí)別可疑情況，檢測(cè)到異常特征后及時(shí)對(duì)通過(guò)網(wǎng)關(guān)或防火墻進(jìn)入網(wǎng)絡(luò)內(nèi)部的惡意代碼進(jìn)行丟棄以阻斷攻擊，第一時(shí)間阻止木馬病毒的蔓延，同時(shí)還會(huì)對(duì)濫用濫反的報(bào)文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)的帶寬資源。通常將防火墻、IDS、IPS3類設(shè)備結(jié)合部署，組成一套統(tǒng)一威脅管理系統(tǒng)（UTM），實(shí)現(xiàn)網(wǎng)絡(luò)信息的入侵檢測(cè)、防御、阻斷為一體的綜合性安全防護(hù)體系。

　　4.4網(wǎng)絡(luò)防病毒

　　目前，各種計(jì)算機(jī)病毒及惡意軟件不斷更新變異，危害和威脅極大，致使加強(qiáng)對(duì)網(wǎng)絡(luò)環(huán)境下病毒和惡意軟件的防范、檢測(cè)及清除非常重要。防病毒技術(shù)主要通過(guò)安全殺毒軟件通過(guò)它的實(shí)時(shí)監(jiān)控識(shí)別、掃描和清除功能來(lái)防止木馬病毒和惡意軟件的侵入。部署的殺毒軟件應(yīng)該具有可疑構(gòu)造全網(wǎng)統(tǒng)一的云安全防病毒體系功能，全面支持對(duì)整體網(wǎng)絡(luò)范圍內(nèi)的服務(wù)器和工作終端進(jìn)行實(shí)時(shí)病毒防控，并能夠在云中心服務(wù)端控制對(duì)全院客戶端進(jìn)行最新病毒庫(kù)的統(tǒng)一更新，云安全功能會(huì)實(shí)時(shí)自動(dòng)分析和處理病毒，可及時(shí)、快速地將解決方案提供給網(wǎng)絡(luò)管理員，攔截一切可疑的互聯(lián)網(wǎng)威脅。

　　5、結(jié)語(yǔ)

　　醫(yī)療信息化是醫(yī)院推行醫(yī)療改革、推進(jìn)技術(shù)創(chuàng)新的必經(jīng)之路，隨著它的數(shù)字化應(yīng)用和發(fā)展，醫(yī)院的常規(guī)業(yè)務(wù)對(duì)各類信息系統(tǒng)及相關(guān)的醫(yī)療數(shù)據(jù)依賴程度日益提高，網(wǎng)絡(luò)作為開(kāi)展醫(yī)療信息化的基礎(chǔ)，牽一發(fā)而動(dòng)全身，加強(qiáng)醫(yī)院信息網(wǎng)絡(luò)安全已成為醫(yī)療行業(yè)中普遍的認(rèn)識(shí)。任何網(wǎng)絡(luò)安全事件都可能導(dǎo)致醫(yī)院業(yè)務(wù)的癱瘓、患者個(gè)人信息的泄露、醫(yī)療數(shù)據(jù)的竊取與勒索等，直接影響醫(yī)院的整體運(yùn)營(yíng)和患者的就醫(yī)滿意度，損及醫(yī)院的信譽(yù)，處理不當(dāng)則可能會(huì)引起醫(yī)患糾紛、法律問(wèn)題甚至社會(huì)問(wèn)題。網(wǎng)絡(luò)作為保障醫(yī)院信息系統(tǒng)安全與穩(wěn)定的首當(dāng)其沖之地，它的安全建設(shè)和管理工作是醫(yī)院信息化建設(shè)的重中之重。

【關(guān)于醫(yī)院的網(wǎng)絡(luò)安全建設(shè)實(shí)施論文】相關(guān)文章：

1.醫(yī)院建設(shè)中的網(wǎng)絡(luò)安全防護(hù)策略論文

2.醫(yī)院財(cái)務(wù)戰(zhàn)略制定和實(shí)施論文

3.醫(yī)院網(wǎng)絡(luò)安全計(jì)算機(jī)維護(hù)論文

4.醫(yī)院信息化建設(shè)的中心機(jī)房建設(shè)論文

5.區(qū)域醫(yī)療信息化網(wǎng)絡(luò)安全的建設(shè)論文

6.醫(yī)院重點(diǎn)學(xué)科建設(shè)論文

7.電視臺(tái)網(wǎng)絡(luò)安全體制建設(shè)論文

8.關(guān)于醫(yī)院網(wǎng)絡(luò)安全信息化管理論文