談網(wǎng)絡(luò)安全在醫(yī)院信息化建設(shè)中的重要作用
發(fā)布時間:2019-08-13 來源: 美文摘抄 點擊:
摘 要 隨著移動互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)安全的地位越來越高;ヂ(lián)網(wǎng)應(yīng)用越來越多,信息量成井噴式爆發(fā),做好數(shù)據(jù)安全和網(wǎng)絡(luò)安全工作將是各個單位和企業(yè)的重要戰(zhàn)略目標(biāo)。在醫(yī)院信息化建設(shè)過程中同樣面臨網(wǎng)絡(luò)安全的風(fēng)險,因此本文從四川大學(xué)華西第二醫(yī)院實際出發(fā),將網(wǎng)絡(luò)安全的思考和實際應(yīng)用進行討論。
關(guān)鍵詞 互聯(lián)網(wǎng),網(wǎng)絡(luò)安全,數(shù)據(jù)安全,醫(yī)院信息化
引言
隨著我國醫(yī)療信息化的快速發(fā)展,醫(yī)院信息化不僅僅局限在物理隔離的院內(nèi),各醫(yī)學(xué)領(lǐng)域為了提升競爭力,方便患者就醫(yī),逐步完善將銀行、社保、新農(nóng)保等單位互聯(lián)互通,醫(yī)院信息化建設(shè)正邁入高速發(fā)展的快車道,但在為廣大就醫(yī)人群提供便捷的同時也逐漸暴露出了安全建設(shè)的不足,醫(yī)療信息系統(tǒng)本身所隱藏的巨大安全隱患也越來越受到人們的重視[1]。本文主要從網(wǎng)絡(luò)安全的三層防御機制和本院從安全性設(shè)計上進行討論。
1 三層防御機制
為了保障四川大學(xué)第二醫(yī)院每個網(wǎng)絡(luò)系統(tǒng)的安全性,以及院區(qū)網(wǎng)站、服務(wù)器和存儲數(shù)據(jù)不受到外來網(wǎng)絡(luò)或內(nèi)部的人員的入侵、攻擊和篡改等。本次需要從網(wǎng)絡(luò)控制、數(shù)據(jù)轉(zhuǎn)發(fā)、設(shè)備管理三個方向進行安全防御,嚴格授權(quán)訪問操作權(quán)限,確保網(wǎng)絡(luò)信息安全和用戶數(shù)據(jù)安全。
1.1 網(wǎng)絡(luò)控制層面
使用可MD5加密的路由協(xié)議,禁止在協(xié)議部署范圍外發(fā)布承載協(xié)議的網(wǎng)段地址,禁止使用(IPV6)鏈路本地地址建協(xié)議鄰居;使用ACL、前綴列表、路由策略等手段控制外部路由滲入滲出,并使能日志記錄功能,確保每次變更操作記錄在冊。
1.2 數(shù)據(jù)轉(zhuǎn)發(fā)層面
外網(wǎng)攻擊常見有DDOS攻擊,端口掃描,病毒攻擊、文件篡改等;內(nèi)網(wǎng)常見攻擊有ARP攻擊、廣播風(fēng)暴、端口安全,用戶攻擊。
1.3 設(shè)備管理層面
嚴格控制管理設(shè)備的接入地址,登賬號權(quán)限,配置賬號生命周期、密碼生命周期、密碼更改提示等(條件允許可以采用靜態(tài)賬號+動態(tài)口令方式登錄),提醒網(wǎng)絡(luò)管理員定時更新賬號信息,對于臨時管理員應(yīng)有臨時賬號,使用完畢后即時注銷[2]。設(shè)備登錄禁止使用HTTP協(xié)議和TELNET協(xié)議,使用更加安全協(xié)議HTTPS和SSH協(xié)議,核心數(shù)據(jù)操作一定要做到層層授權(quán),確保操作流程和操作過程可查,禁止全網(wǎng)使用相同賬號和密碼管理設(shè)備。
2 安全性設(shè)計
四川大學(xué)華西第二醫(yī)院錦江院區(qū)從以下幾個大的方面進行了安全性設(shè)計和實際應(yīng)用。
2.1 訪問控制列表
訪問控制列表ACL(Access Control List)是由一系列規(guī)則組成的集合,ACL通過這些規(guī)則對報文進行分類,從而使設(shè)備可以對不同類報文進行不同的處理。通過部署ACL可以切實保障了網(wǎng)絡(luò)傳輸?shù)姆(wěn)定性、可靠性和安全性。ACL負責(zé)管理用戶配置的所有規(guī)則,并提供報文匹配規(guī)則的算法。每個ACL作為一個規(guī)則組,可以包含多個規(guī)則。每個規(guī)則通過規(guī)則ID(rule-id)來標(biāo)識,根據(jù)ACL的“permit”(允許)動作和“deny”(拒絕)動作執(zhí)控制數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、管理數(shù)據(jù)的控制實現(xiàn)以下功能。防止對網(wǎng)絡(luò)的攻擊,例如IP(Internet Protocol)報文、TCP(Transmission Control Protocol)報文、ICMP(Internet Control Message Protocol)報文的攻擊。
2.2 反病毒技術(shù)
隨著網(wǎng)絡(luò)的不斷發(fā)展和應(yīng)用程序的日新月異,企業(yè)用戶越來越頻繁地開始在網(wǎng)絡(luò)上傳輸和共享文件,隨之而來的病毒威脅也越來越大。企業(yè)只有拒病毒于網(wǎng)絡(luò)之外,才能保證數(shù)據(jù)的安全,系統(tǒng)的穩(wěn)定。因此,保證計算機和網(wǎng)絡(luò)系統(tǒng)免受病毒的侵害,讓系統(tǒng)正常運行便成為企業(yè)所面臨的一個重要問題。反病毒是一種安全機制,它可以通過識別和處理病毒文件來保證網(wǎng)絡(luò)安全,避免由病毒文件而引起的數(shù)據(jù)破壞、權(quán)限更改和系統(tǒng)崩潰等情況的發(fā)生。反病毒功能可以憑借龐大且不斷更新的病毒特征庫有效地保護網(wǎng)絡(luò)安全,防止病毒文件侵害系統(tǒng)數(shù)據(jù)。將病毒檢測設(shè)備部署在企業(yè)網(wǎng)的入口,可以真正將病毒抵御于網(wǎng)絡(luò)之外,為企業(yè)網(wǎng)絡(luò)提供了一個堅固的保護層。反病毒典型應(yīng)用場景如圖:
2.3 反病毒技術(shù)
攻擊防范是一種重要的網(wǎng)絡(luò)安全特性。它通過分析上送CPU處理的報文的內(nèi)容和行為,判斷報文是否具有攻擊特性,并配置對具有攻擊特性的報文執(zhí)行一定的防范措施。攻擊防范主要分為畸形報文攻擊防范、分片報文攻擊防范和泛洪攻擊防范。特別是對網(wǎng)絡(luò)設(shè)備的攻擊,將會導(dǎo)致設(shè)備或者網(wǎng)絡(luò)癱瘓等嚴重后果。攻擊防范針對上送CPU的不同類型攻擊報文,采用丟棄或者限速的手段,以保障設(shè)備不受攻擊的影響,使業(yè)務(wù)正常運行。
2.4 流量抑制及風(fēng)暴控制
當(dāng)設(shè)備某個二層以太接口收到廣播、未知組播或未知單播報文時,如果根據(jù)報文的目的MAC地址設(shè)備不能明確報文的出接口,設(shè)備會向同一VLAN內(nèi)的其他二層以太接口轉(zhuǎn)發(fā)這些報文,這樣可能導(dǎo)致廣播風(fēng)暴,降低設(shè)備轉(zhuǎn)發(fā)性能。流量抑制和風(fēng)暴控制是兩種用于控制廣播、未知組播以及未知單播報文,防止這三類報文引起廣播風(fēng)暴的安全技術(shù)。流量抑制主要通過配置閾值來限制流量,而風(fēng)暴控制則主要通過關(guān)閉端口來阻斷流量。引入流量抑制和風(fēng)暴控制特性,可以控制這三類報文流量,防范廣播風(fēng)暴。
3 結(jié)束語
進入21世紀,隨著信息化建設(shè)和IT技術(shù)的快速發(fā)展,各種網(wǎng)絡(luò)技術(shù)的應(yīng)用更加廣泛深入,同時出現(xiàn)很多網(wǎng)絡(luò)安全問題,致使網(wǎng)絡(luò)安全技術(shù)的重要性更加突出,網(wǎng)絡(luò)安全已經(jīng)成為各國關(guān)注的焦點,不僅關(guān)系到機構(gòu)和個人用戶的信息資源和資產(chǎn)風(fēng)險,也關(guān)系到國家安全和社會穩(wěn)定,已成為熱門研究和人才需求的新領(lǐng)域。必須在法律、管理、技術(shù)、道德各方面采取切實可行的有效措施,才能確保網(wǎng)絡(luò)建設(shè)與應(yīng)用“又好又快”地穩(wěn)定發(fā)展。因此各行各界都應(yīng)該對網(wǎng)絡(luò)安全重視起來。
參考文獻
[1] 周丁華,呂曉娟,張麟等.數(shù)字化醫(yī)院信息安全建設(shè)與管理策略[J].中華醫(yī)學(xué)圖書情報雜志,2015,24(6):62-65.
[2] 任玉嶺.中國醫(yī)療改革回顧與展望[J].中國市場,2014,(36):3-11.
作者簡介
王梓名(1987-),男,漢,四川成都人,碩士研究生,四川大學(xué)華西第二醫(yī)院,研究方向:云計算、醫(yī)院信息管理。
何毅(1987-),男,漢,四川成都人,碩士研究生,四川大學(xué)華西第二醫(yī)院,研究方向:醫(yī)院網(wǎng)絡(luò)管理、信息安全。
相關(guān)熱詞搜索:網(wǎng)絡(luò)安全 重要作用 信息化 醫(yī)院 建設(shè)中
熱點文章閱讀