前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇醫(yī)院網(wǎng)絡(luò)安全建設(shè)方案范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

醫(yī)院網(wǎng)絡(luò)安全建設(shè)方案范文第1篇

【關(guān)鍵詞】醫(yī)院 信息化 網(wǎng)路安全防護

1 引言

隨著時代的發(fā)展和科技的進步，各種新型醫(yī)療信息系統(tǒng)在醫(yī)院中應(yīng)用的范圍不斷擴大，醫(yī)院信息化建設(shè)得到飛速發(fā)展，但是醫(yī)院在對信息技術(shù)進行應(yīng)用時，不僅得到很多有利之處，也有一些不容忽略的網(wǎng)絡(luò)安全現(xiàn)象。比如，信息的泄漏、APT攻擊等，這些問題的出現(xiàn)對醫(yī)院的信息化建設(shè)產(chǎn)生極大影響。所以，醫(yī)院需要采取有效的網(wǎng)絡(luò)安全防護手段，建構(gòu)安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境，然后對網(wǎng)絡(luò)的管理進行規(guī)范，加強網(wǎng)絡(luò)安全的管理強度，進而為信息化建設(shè)發(fā)展奠定基礎(chǔ)。

2 醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全隱患

網(wǎng)絡(luò)安全使之網(wǎng)絡(luò)系統(tǒng)內(nèi)的各種軟件、硬件和數(shù)據(jù)等可以得到有效保護，不會因為偶然或者惡意行為而被破壞、更改或者泄露，可以確保網(wǎng)絡(luò)系統(tǒng)穩(wěn)定、正常運行，提供的服務(wù)也不會出現(xiàn)中斷的情況。因為醫(yī)院資深具有特殊的性質(zhì)，所以醫(yī)院的信息系統(tǒng)需要在24小時內(nèi)都可以正常運轉(zhuǎn)，而且，醫(yī)院的信息系統(tǒng)輻射的范圍比較廣，是醫(yī)院的全部部門，包含患者在就診時的各個環(huán)節(jié)，這就使醫(yī)院的業(yè)務(wù)對網(wǎng)絡(luò)有較強的依賴性。而且，醫(yī)院借助互聯(lián)網(wǎng)可以和醫(yī)保進行聯(lián)網(wǎng)，這就使醫(yī)院的網(wǎng)絡(luò)變的更加開放，使醫(yī)院受到攻擊和感染病毒的概率增加，只要其信息化系統(tǒng)發(fā)生故障，就會對整個醫(yī)院的運行和管理帶來很大影響，還會為醫(yī)院和患者帶來損害甚至是災(zāi)難。

目前，醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全問題主要有一些層面：網(wǎng)絡(luò)安全，系統(tǒng)安全和數(shù)據(jù)安全。系統(tǒng)安全主要有程序、操作以及物理安全；網(wǎng)絡(luò)安全隨網(wǎng)絡(luò)攻防技術(shù)的發(fā)展而更加復(fù)雜和多樣；數(shù)據(jù)安全包括數(shù)據(jù)自身和數(shù)據(jù)防護的安全。從應(yīng)用服務(wù)層面出發(fā)，網(wǎng)絡(luò)安全主要是在網(wǎng)絡(luò)終端接入網(wǎng)絡(luò)后出現(xiàn)的安全問題，比如黑客、病毒、操作違規(guī)以及非法入侵等，造成系統(tǒng)內(nèi)的網(wǎng)絡(luò)斷開，服務(wù)器的癱瘓或者病人賬戶被盜以及丟失數(shù)據(jù)等。從產(chǎn)品層面出發(fā)，主要是硬件、應(yīng)用程序以及軟件系統(tǒng)內(nèi)被植入惡意代碼等帶來的隱患。從技術(shù)層面出發(fā)，主要是產(chǎn)品信息自身在設(shè)計和研發(fā)層面的缺陷，也包含日常維護管理和信息科技帶來的隱患。從物理層面出發(fā)，主要是操作錯誤，自然災(zāi)害或者人為的破壞等，使計算機不能繼續(xù)運行。

3 醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全防護的對策

3.1 建構(gòu)起科學(xué)的網(wǎng)絡(luò)安全管理體制

要想確保醫(yī)院網(wǎng)絡(luò)安全，首先需要制定科學(xué)的網(wǎng)絡(luò)安全管理規(guī)章制度，醫(yī)院需要和自身實際相結(jié)合，使用科學(xué)方法和管理體制，比如機房的管理規(guī)范、數(shù)據(jù)資源備份存儲制度、網(wǎng)絡(luò)的運行和維護制度以及信息系統(tǒng)的操作制度等，還需要對工作人員的安全意識進行培養(yǎng)，確保醫(yī)院的網(wǎng)絡(luò)管理有理有據(jù)。醫(yī)院需要成立網(wǎng)絡(luò)應(yīng)急小組，在出現(xiàn)網(wǎng)絡(luò)安全問題后，小組需要按照事件嚴重性程度采取相關(guān)措施，盡可能快的恢復(fù)網(wǎng)絡(luò)，并把事故的時間、影響和損失降至最低，形成問題長效整改C制。

3.2 使用科學(xué)的網(wǎng)絡(luò)管理手段

醫(yī)院需要以自身的實際發(fā)展狀況為基礎(chǔ)，實施正確、科學(xué)的網(wǎng)絡(luò)管理手段，進而確保醫(yī)院的整個信息系統(tǒng)可以正常、高效與安全運行。首先，為了確保醫(yī)院信息系統(tǒng)內(nèi)的服務(wù)器可以穩(wěn)定、可靠與高效運行，需要使用雙機熱備和雙機容錯等措施進行解決。其次，對于系統(tǒng)內(nèi)一些比較關(guān)鍵和重要的設(shè)備，可以借助UPS對主機設(shè)備進行供電，這樣可以在確保擁有穩(wěn)定電壓的同時，有效防止出現(xiàn)突況。再次，在對網(wǎng)絡(luò)的架構(gòu)進行設(shè)計時，需要把主干網(wǎng)絡(luò)的鏈路也建構(gòu)為冗余模式，如果主干網(wǎng)絡(luò)的線路出現(xiàn)了故障，就可以借助冗余線路確保網(wǎng)絡(luò)數(shù)據(jù)信息仍然能夠正常進行傳輸，語言的專業(yè)人員需要對網(wǎng)絡(luò)的外網(wǎng)與業(yè)務(wù)的內(nèi)網(wǎng)開展物理分離處理，進而避免互聯(lián)網(wǎng)與業(yè)務(wù)網(wǎng)絡(luò)的混搭現(xiàn)象，這可以從根本上降低因為互聯(lián)網(wǎng)的因素影響而造成醫(yī)療數(shù)據(jù)出現(xiàn)外泄可能性，還能夠防止非法用戶使用外網(wǎng)進入到醫(yī)院服務(wù)器和信息系統(tǒng)中。接著，醫(yī)院還需要建構(gòu)系統(tǒng)與數(shù)據(jù)的備份體系，進而保證在機房出現(xiàn)災(zāi)難或者儲存設(shè)備受到損壞時，可以在較短時間內(nèi)恢復(fù)系統(tǒng)運行。最后，使用分級權(quán)限管理措施，防止數(shù)據(jù)修改或者越權(quán)進行訪問的情況出現(xiàn)，還要對部分重要信息數(shù)據(jù)開展跟蹤預(yù)警措施。

3.3 使用科學(xué)的技術(shù)手段

首先，因為醫(yī)院網(wǎng)絡(luò)架構(gòu)中內(nèi)網(wǎng)與外網(wǎng)是隔離的，內(nèi)網(wǎng)安全需求更高，所以需要安裝更加強大的軟件進行殺毒。并在內(nèi)網(wǎng)和外網(wǎng)間建構(gòu)防火墻網(wǎng)關(guān)，進而濾出一些不安全或者非法的服務(wù)，適當限制網(wǎng)絡(luò)的訪問，這可以對網(wǎng)絡(luò)攻擊行為起到一定的預(yù)警作用。其次，要想彌補防火墻自身的漏洞，醫(yī)院需要使用專業(yè)化入侵檢測體系，把各個關(guān)鍵點在網(wǎng)絡(luò)內(nèi)分散，然后借助對數(shù)據(jù)的審計、安全日志或者行為等檢測得到的信息，進而了解網(wǎng)絡(luò)或者系統(tǒng)內(nèi)有被攻擊或者違反安全措施的行為，還需要借助安全掃描技術(shù)等對可能出現(xiàn)的漏洞進行檢查。最后，需要建構(gòu)云安全平臺，借助虛擬化平臺實現(xiàn)網(wǎng)絡(luò)安全集中管理，并使醫(yī)院中網(wǎng)絡(luò)安全管理成本得到降低，解決網(wǎng)絡(luò)安全問題。

4 結(jié)語

綜上所述，語言的信息化建設(shè)中網(wǎng)絡(luò)安全防護具有重要的意義，需要引起相關(guān)人員的重視，不斷對其進行改進與完善，切實發(fā)揮出網(wǎng)絡(luò)安全防護的作用，進而促進醫(yī)院的信息化建設(shè)發(fā)展，更好的為病人服務(wù)。

參考文獻

[1]韓輝.醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全分析與防護[J].信息安全與技術(shù)，2014，（05）：91-93.

[2]徐亞雄.醫(yī)院信息化建設(shè)中的網(wǎng)絡(luò)安全分析與防護[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（11）：43-43.

[3]李騫.醫(yī)院信息化建設(shè)中的網(wǎng)絡(luò)安全與防護措施探析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（09）：43-43.

醫(yī)院網(wǎng)絡(luò)安全建設(shè)方案范文第2篇

關(guān)鍵詞：醫(yī)院；網(wǎng)絡(luò)安全；無線網(wǎng)絡(luò)；安全建設(shè)

無線網(wǎng)絡(luò)是采用無線通信技術(shù)實現(xiàn)的網(wǎng)絡(luò)，它既包括允許用戶建立遠距離無線連接的語音和數(shù)據(jù)網(wǎng)絡(luò)，也包括為近距離無線連接進行優(yōu)化的紅外線技術(shù)及射頻技術(shù)，與有線網(wǎng)絡(luò)的用途十分類似，最大的不同在于傳輸媒介的不同，利用無線電技術(shù)取代網(wǎng)線，可以和有線網(wǎng)絡(luò)互為備份。伴隨著臨床信息化，醫(yī)院正逐步地實現(xiàn)無紙化、無膠片化和無線化，醫(yī)院無線網(wǎng)絡(luò)技術(shù)的不斷成熟和普及。利用PDA、平板無線電腦和移動手推車隨時隨地進行生命體征數(shù)據(jù)采集、醫(yī)護數(shù)據(jù)的查詢與錄入、醫(yī)生查房、床邊護理、呼叫通信、護理監(jiān)控、藥物配送、病人標識碼識別等，充分發(fā)揮醫(yī)療信息系統(tǒng)的效能，突出數(shù)字化醫(yī)院的技術(shù)優(yōu)勢，但同時醫(yī)院無線網(wǎng)絡(luò)也面臨有較大的安全威脅。因此，全面實現(xiàn)醫(yī)院無線網(wǎng)絡(luò)安全建設(shè)是醫(yī)院網(wǎng)絡(luò)建設(shè)中較為重要的一個環(huán)節(jié)。

1無線網(wǎng)絡(luò)安全建設(shè)措施

1.1安全策略集中控制

構(gòu)建智能化無線網(wǎng)絡(luò)構(gòu)架，將無線網(wǎng)絡(luò)安全控制策略全部集中到網(wǎng)絡(luò)控制器上進行統(tǒng)一的控制和，包含有：無線電頻率管理、無線入侵檢測、病毒庫、安全加密、入網(wǎng)行為控制等。將無線網(wǎng)絡(luò)安全策略使用到網(wǎng)絡(luò)管理上，防止由于無線網(wǎng)絡(luò)數(shù)據(jù)被盜而產(chǎn)生的安全信息泄露。

1.2接入點零配置

在日常使用的普通無線網(wǎng)絡(luò)中，黑客能夠通過竊取無線網(wǎng)絡(luò)接入點的方式獲得密碼從而進入到無線網(wǎng)絡(luò)中。在無線網(wǎng)絡(luò)控制器上對無線接入點進行智能控制，保證本地不保存無線網(wǎng)絡(luò)接入點的任何數(shù)據(jù)，并將全部的數(shù)據(jù)存儲到無線網(wǎng)絡(luò)控制器，在無線網(wǎng)絡(luò)接入點上實現(xiàn)零配置，這在很大程度上能夠提升無線網(wǎng)絡(luò)運行的安全性，較大程度的降低了黑客竊取無線網(wǎng)絡(luò)信息的可能性，本地的接入工作量也得到了較大的簡化。

1.3病毒入侵防護

首先是準入檢查，當無線網(wǎng)絡(luò)接收器嘗試進入到無線網(wǎng)絡(luò)時，在進行用戶認證之前對無線網(wǎng)絡(luò)系統(tǒng)中防病毒定義、防病毒軟件、操作系統(tǒng)補丁等進行全面的檢查，若檢查未通過則其則禁止進入到無線網(wǎng)絡(luò)中，也可以將無線網(wǎng)絡(luò)用戶重定到具體的某一臺升級服務(wù)器上，只有其安裝指定的防病毒軟件、系統(tǒng)補丁之后才能接入到無線網(wǎng)絡(luò)中。其次是數(shù)據(jù)檢查，通過了第一步的準入檢查之后，通過數(shù)據(jù)檢查才能實現(xiàn)對無線網(wǎng)絡(luò)數(shù)據(jù)的有效監(jiān)控與檢查，通過設(shè)置對應(yīng)的策略，將所有用戶的數(shù)據(jù)，進行全面的防病毒數(shù)據(jù)檢查，若通過檢查，則進行數(shù)據(jù)的傳輸，若不能通過檢查，則將數(shù)據(jù)丟棄，從而全面的實現(xiàn)對無線網(wǎng)絡(luò)終端的病毒防護。

1.4非法入侵檢測

無線網(wǎng)絡(luò)的訪問接入點和有線網(wǎng)絡(luò)集線器較為類似，為整個網(wǎng)絡(luò)的中心，其為移動客戶端接入到網(wǎng)絡(luò)的中心節(jié)點，可以將其簡潔方便的安裝到墻壁或者天花板上，僅需要對無線AP能夠覆蓋的區(qū)域進行針對性的設(shè)置，就能夠連接到無線網(wǎng)絡(luò)中，這就導(dǎo)致非法的AP可通過設(shè)置進入到無線網(wǎng)絡(luò)中，給無線網(wǎng)絡(luò)造成較大的安全隱患，出現(xiàn)網(wǎng)絡(luò)寬帶安全和數(shù)據(jù)安全等相關(guān)的問題。例如，當非法的AP用戶對合法的無線網(wǎng)絡(luò)接入點進行侵擾時，常常被誤認為AP運行不穩(wěn)定或者無線電波信號不穩(wěn)定等相關(guān)的情況，嚴重時會出現(xiàn)無線網(wǎng)絡(luò)連接中斷，而網(wǎng)絡(luò)管理人員不能在第一時間內(nèi)收到報警。通過在無線網(wǎng)絡(luò)中設(shè)置非法入侵檢測，利用無線網(wǎng)絡(luò)架構(gòu)技術(shù)，可以在無線網(wǎng)絡(luò)中設(shè)置無線網(wǎng)絡(luò)入侵模式庫，可以將異常的無線網(wǎng)絡(luò)數(shù)據(jù)檢測出來，顯示并記錄無線網(wǎng)絡(luò)入侵格式，自動的開啟對應(yīng)的警報和保護響應(yīng)。

1.5安全準入控制

首先為身份認證，對無線網(wǎng)絡(luò)的身份進行行為授權(quán)，避免非法授權(quán)終端的進入，通過無線網(wǎng)絡(luò)用戶硬盤ID的綁定及無線網(wǎng)絡(luò)身份權(quán)限的授權(quán)，從而實現(xiàn)和無線網(wǎng)絡(luò)安全設(shè)備的聯(lián)動，拒絕未授權(quán)用戶的訪問。其次為設(shè)置安全策略，應(yīng)對無線網(wǎng)絡(luò)設(shè)置統(tǒng)一的安全策略。當無線網(wǎng)絡(luò)終端接入到無線網(wǎng)絡(luò)后，立刻進行多策略安全檢查，例如進行注冊表、進程檢查，防病毒軟件、補丁監(jiān)測等。動態(tài)策略管理提供可定制、可擴展的安全策略，可分組織和角色靈活實施；提供多種安裝策略并基于系統(tǒng)環(huán)境選擇安裝，及時、主動消除各種安全缺口；提供上網(wǎng)行為審計、USB移動存儲設(shè)備、系統(tǒng)進程監(jiān)控等安全策略，對用戶違規(guī)行為進行審計和取證，幫助提高用戶安全意識，保障IT資源的合理使用。系統(tǒng)自動收集終端軟、硬件資產(chǎn)信息，跟蹤資產(chǎn)變更，實現(xiàn)資產(chǎn)管理IT化，保障信息資產(chǎn)可控可管。

2醫(yī)院無線網(wǎng)絡(luò)安全建設(shè)應(yīng)用實踐

2.1無線網(wǎng)絡(luò)拓撲結(jié)構(gòu)

某三級甲等醫(yī)院在醫(yī)院內(nèi)建設(shè)了無線網(wǎng)絡(luò)，從而保證醫(yī)院內(nèi)無線網(wǎng)絡(luò)的全覆蓋，為醫(yī)院內(nèi)網(wǎng)絡(luò)用戶提供一個便捷安全的網(wǎng)絡(luò)環(huán)境。

2.2無線網(wǎng)絡(luò)設(shè)計與部署

無線網(wǎng)絡(luò)控制采用有源以太網(wǎng)作為交換機，采用了大容量的無線AP，接入點采用智能零漫游無線接入。POE網(wǎng)絡(luò)交換機采用了1000M以太網(wǎng)網(wǎng)絡(luò)連接，數(shù)據(jù)傳輸采用了大容量無線AP，利用專用的超柔性饋線實現(xiàn)對功率分配器的連接，智能單元通過穿墻進入室內(nèi)，從而實現(xiàn)醫(yī)院內(nèi)無線信號的全覆蓋，室內(nèi)的大容量無線AP可通過放裝的方式較好的達到了醫(yī)院開放式區(qū)域內(nèi)部對無線信號覆蓋的需求。

2.3無線控制器冗余備份

在進行無線網(wǎng)絡(luò)控制器設(shè)置時，采用了N+1冗余集群備份技術(shù)，將其中的一臺控制器作為中心控制器，剩下的N臺控制器作為輔助控制器。當進行無線網(wǎng)絡(luò)的初始化時，僅僅主控制器能夠進行AP注冊請求，在主控制器內(nèi)實現(xiàn)無線網(wǎng)絡(luò)的協(xié)議配置和接入點控制，并將無線網(wǎng)絡(luò)備份控制信息傳輸給每一個AP，然后每一個AP可以通過備份構(gòu)建一條虛擬的WAP網(wǎng)絡(luò)，當無線網(wǎng)絡(luò)出現(xiàn)網(wǎng)絡(luò)切換時，網(wǎng)絡(luò)切換均在50mm之內(nèi)，保證用戶體驗良好不會出現(xiàn)掉線情況。

2.4非法信號監(jiān)測

無線網(wǎng)絡(luò)利用智能無線AP，設(shè)置2種模式實現(xiàn)對非法電磁信號的監(jiān)測，其一為對AP每隔一定的時間進行在線安全掃描；其二為將AP設(shè)置為連續(xù)監(jiān)控的無線網(wǎng)絡(luò)安全監(jiān)控掃描模式。通過設(shè)置上述2種方式，智能無線AP按照預(yù)先的設(shè)置實現(xiàn)對周邊環(huán)境中所有的MAC地址的檢測，可實現(xiàn)對無線網(wǎng)絡(luò)服務(wù)集標示、通道信息的全面安全檢查。對未經(jīng)授權(quán)的AP可實現(xiàn)自動識別和警告，從而更好的防止非法信號的侵擾。

2.5認證鑒別機制

為了更好的保證無線網(wǎng)絡(luò)數(shù)據(jù)的安全性，需對無線網(wǎng)絡(luò)的接入點進行準入認證設(shè)置，本次無線網(wǎng)絡(luò)構(gòu)建采用了Mac和Web認證方式，因為操作系統(tǒng)差異化，對不同類型的移動終端，采用了不同種類的操作系統(tǒng)，另外針對Web認證系統(tǒng)兼容性較為局限的特點，在進行Web認證鑒別時，通過將MAC地址綁定的方式進行了雙重認證鑒別，從而在醫(yī)院內(nèi)實現(xiàn)了網(wǎng)絡(luò)安全全部鑒別，當移動終端被授權(quán)之后，只有獲得CA安全證書，并保證和MAC地址一致后才能進入到無線網(wǎng)絡(luò)內(nèi)，并通過設(shè)置雙重認證鑒別的方式，來實現(xiàn)對無線網(wǎng)絡(luò)安全身份的識別，攔阻了外來非法無線終端的接入。

3結(jié)論

綜上分析，在醫(yī)院內(nèi)部增強自身的無線網(wǎng)絡(luò)安全建設(shè)對于保證自身無線網(wǎng)絡(luò)的正常使用有著非常重要的作用。因此，醫(yī)院網(wǎng)絡(luò)維護人員，應(yīng)結(jié)合本院無線網(wǎng)絡(luò)使用方式與特點，建立針對性的無線網(wǎng)絡(luò)安全保護措施，使無線網(wǎng)絡(luò)更好的為醫(yī)院服務(wù)。

作者:柯傳琪 單位:福建中醫(yī)藥大學(xué)附屬第二人民醫(yī)院

參考文獻:

[1]黃波.無線網(wǎng)絡(luò)技術(shù)在醫(yī)院信息化建設(shè)中的應(yīng)用分析[J].電腦知識與技術(shù)，2015（9）：43-45.

[2]劉華.銳捷網(wǎng)絡(luò)醫(yī)院無線網(wǎng)絡(luò)解決方案助力總參總醫(yī)院移動醫(yī)療建設(shè)[J].中國數(shù)字醫(yī)學(xué)，2012（1）：67.

醫(yī)院網(wǎng)絡(luò)安全建設(shè)方案范文第3篇

關(guān)鍵詞：等級保護；網(wǎng)絡(luò)安全；信息安全；安全防范

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）19-4433-03

隨著我國國際地位的不斷提高和經(jīng)濟的持續(xù)發(fā)展，我國的網(wǎng)絡(luò)信息和重要信息系統(tǒng)面臨越來越多的威脅，網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升，計算機病毒傳播和網(wǎng)絡(luò)非法入侵十分猖獗，犯罪分子利用一些安全漏洞，使用木馬間諜程序、網(wǎng)絡(luò)釣魚技術(shù)、黑客病毒技術(shù)等技術(shù)進行網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)賭博等違法犯罪，給用戶造成嚴重損失，因此，維護網(wǎng)絡(luò)信息安全的任務(wù)非常艱巨、繁重，加強網(wǎng)絡(luò)信息安全等級保護建設(shè)刻不容緩。

1 網(wǎng)絡(luò)信息安全等級保護

信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。網(wǎng)絡(luò)信息安全等級保護體系包括技術(shù)和管理兩大部分，如圖1所示，其中技術(shù)要求分為數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)安全、主機安全、物理安全五個方面進行建設(shè)。

圖1 等級保護基本安全要求

1） 物理安全

物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。

2） 主機安全

主機系統(tǒng)安全是計算機設(shè)備（包括服務(wù)器、終端/工作站等）在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全；通過部署終端安全管理系統(tǒng)（TSM），準入認證網(wǎng)關(guān)（SACG），以及專業(yè)主機安全加固服務(wù)，可以實現(xiàn)等級保護對主機安全防護要求。

3） 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)是保障信息系統(tǒng)互聯(lián)互通基礎(chǔ)，網(wǎng)絡(luò)安全防護重點是確保網(wǎng)絡(luò)之間合法訪問，檢測，阻止內(nèi)部，外部惡意攻擊；通過部署統(tǒng)一威脅管理網(wǎng)關(guān)USG系列，入侵檢測/防御系統(tǒng)NIP，Anti-DDoS等網(wǎng)絡(luò)安全產(chǎn)品，為合法的用戶提供合法網(wǎng)絡(luò)訪問，及時發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部惡意攻擊安全威脅。

4） 應(yīng)用安全

應(yīng)用安全就是保護系統(tǒng)的各種應(yīng)用程序安全運行，包括各種基本應(yīng)用，如：消息發(fā)送、web瀏覽等；業(yè)務(wù)應(yīng)用，如：電子商務(wù)、電子政務(wù)等；部署的文檔安全管理系統(tǒng)（DSM），數(shù)據(jù)庫審計UMA-DB，防病毒網(wǎng)關(guān)AVE等產(chǎn)品。并且通過安全網(wǎng)關(guān)USG實現(xiàn)數(shù)據(jù)鏈路傳輸IPSec VPN加密，數(shù)據(jù)災(zāi)備實現(xiàn)企業(yè)信息系統(tǒng)數(shù)據(jù)防護，降低數(shù)據(jù)因意外事故，或者丟失給造成危害。

5） 數(shù)據(jù)安全

數(shù)據(jù)安全主要是保護用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)的保護；通過對所有信息系統(tǒng)，網(wǎng)絡(luò)設(shè)備，安全設(shè)備，服務(wù)器，終端機的安全事件日志統(tǒng)一采集，分析，輸出各類法規(guī)要求安全事件審計報告，制定標準安全事件應(yīng)急響應(yīng)工單流程。

2 應(yīng)用實例

近年來衛(wèi)生行業(yè)全面開展信息安全等級保護定級備案、建設(shè)整改和等級測評等工作，某醫(yī)院的核心系統(tǒng)按照等級保護三級標準建設(shè)信息系統(tǒng)安全體系，全面保護醫(yī)院內(nèi)網(wǎng)系統(tǒng)與外網(wǎng)系統(tǒng)的信息安全。

醫(yī)院網(wǎng)絡(luò)的安全建設(shè)核心內(nèi)容是將網(wǎng)絡(luò)進行全方位的安全防護，不是對整個系統(tǒng)進行同一等級的保護，而是針對系統(tǒng)內(nèi)部的不同業(yè)務(wù)區(qū)域進行不同等級的保護；通過安全域劃分，實現(xiàn)對不同系統(tǒng)的差異防護，并防止安全問題擴散。業(yè)務(wù)應(yīng)用以及基礎(chǔ)網(wǎng)絡(luò)服務(wù)、日常辦公終端之間都存在一定差異，各自可能具有不同的安全防護需求，因此需要將不同特性的系統(tǒng)進行歸類劃分安全域，并明確各域邊界，分別考慮防護措施。經(jīng)過梳理后的醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全區(qū)域劃分如圖2所示，外網(wǎng)是一個星型的快速以太交換網(wǎng)，核心為一臺高性能三層交換機，下聯(lián)內(nèi)網(wǎng)核心交換機，上聯(lián)外網(wǎng)服務(wù)器區(qū)域交換機和DMZ隔離區(qū)，外聯(lián)互聯(lián)網(wǎng)出口路由器，內(nèi)網(wǎng)交換機向下連接信息點（終端計算機），外網(wǎng)核心交換機與內(nèi)網(wǎng)核心交換機之間采用千兆光纖鏈路，內(nèi)網(wǎng)交換機采用百兆雙絞線鏈路下聯(lián)終端計算機，外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計至關(guān)重要，直接影響到等級保護系統(tǒng)的安全性能。

圖 2 醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全區(qū)域劃分圖

2.1外網(wǎng)網(wǎng)絡(luò)安全要求

系統(tǒng)定級為3級，且等級保護要求選擇為S3A2G3，查找《信息系統(tǒng)安全等級保護基本要求》得到該系統(tǒng)的具體技術(shù)要求選擇，外網(wǎng)網(wǎng)絡(luò)安全要求必須滿足如下要求：邊界完整性檢查（S3） 、入侵防范（G3） 、結(jié)構(gòu)安全（G3） 、訪問控制（G3） 、安全審計（G3） 、惡意代碼防范（G3） 和網(wǎng)絡(luò)設(shè)備防護（G3） 。

2.2網(wǎng)絡(luò)安全策略

根據(jù)對醫(yī)院外網(wǎng)機房區(qū)域安全保護等級達到安全等級保護3級的基本要求，制定相應(yīng)的網(wǎng)絡(luò)安全策略

1） 網(wǎng)絡(luò)拓撲結(jié)構(gòu)策略

要合理劃分網(wǎng)段，利用網(wǎng)絡(luò)中間設(shè)備的安全機制控制各網(wǎng)絡(luò)間的訪問。要采取一定的技術(shù)措施，監(jiān)控網(wǎng)絡(luò)中存在的安全隱患、脆弱點。并利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

2） 訪問控制策略

訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制，它控制哪些用戶能夠連入內(nèi)部網(wǎng)絡(luò)，那些用戶能夠通過哪種方式登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。

3） 網(wǎng)絡(luò)入侵檢測策略

系統(tǒng)中應(yīng)該設(shè)置入侵檢測策略，動態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動并做出及時的響應(yīng)。

4） 網(wǎng)絡(luò)安全審計策略

系統(tǒng)中應(yīng)該設(shè)置安全審計策略，收集并分析網(wǎng)絡(luò)中的訪問數(shù)據(jù)，從而發(fā)現(xiàn)違反安全策略的行為。

5） 運行安全策略

運行安全策略包括：建立全網(wǎng)的運行安全評估流程，定期評估和加固網(wǎng)絡(luò)設(shè)備及安全設(shè)備。

2.3網(wǎng)絡(luò)安全設(shè)計

根據(jù)對醫(yī)院外網(wǎng)安全保護等級達到安全等級保護3級的基本要求，外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計包括網(wǎng)絡(luò)訪問控制，網(wǎng)絡(luò)入侵防護，網(wǎng)絡(luò)安全審計和其他安全設(shè)計。

1） 網(wǎng)絡(luò)訪問控制

實現(xiàn)以上等級保護的最有效方法就是在外網(wǎng)中關(guān)鍵網(wǎng)絡(luò)位置部署防火墻類網(wǎng)關(guān)設(shè)備，采用一臺天融信網(wǎng)絡(luò)衛(wèi)士獵豹防火墻、一臺CISCO公司的PIX515和一臺網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)TopIDP。

①外網(wǎng)互聯(lián)網(wǎng)邊界防火墻：在局域網(wǎng)與互聯(lián)網(wǎng)邊界之間部署CISCO公司的PIX515百兆防火墻，該防火墻通過雙絞線連接核心交換區(qū)域和互聯(lián)網(wǎng)接入?yún)^(qū)域，對外網(wǎng)的互聯(lián)網(wǎng)接入提供邊界防護和訪問控制。

②對外服務(wù)區(qū)域邊界防火墻：對外服務(wù)區(qū)域與安全管理區(qū)域邊界部署一臺千兆防火墻（天融信NGFW4000-UF），該防火墻通過光纖連接核心交換機和對外服務(wù)區(qū)域交換機，通過雙絞線連接區(qū)域內(nèi)服務(wù)器，對其他區(qū)域向?qū)ν夥?wù)區(qū)域及安全管理區(qū)域的訪問行為進行控制，同時控制兩個區(qū)域內(nèi)部各服務(wù)器之間的訪問行為。

③網(wǎng)絡(luò)入侵防御系統(tǒng)：在托管機房區(qū)域邊界部署一臺網(wǎng)絡(luò)入侵防御系統(tǒng)，該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機，為托管機房區(qū)域提供邊界防護和訪問控制。

2） 網(wǎng)絡(luò)入侵防護

外網(wǎng)局域網(wǎng)的對外服務(wù)區(qū)域，防護級別為S2A2G2，重點要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測，因此在局域網(wǎng)的內(nèi)部區(qū)域邊界部署網(wǎng)絡(luò)入侵檢測系統(tǒng)（天融信網(wǎng)絡(luò)入侵防御系統(tǒng)TopIDP）；對于外網(wǎng)托管機房的網(wǎng)站系統(tǒng)，防護級別為S3A2G3，由于其直接與互聯(lián)網(wǎng)相連，不僅要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測，還要能夠有效防護互聯(lián)網(wǎng)進來的攻擊行為，因此在托管機房區(qū)域邊界部署網(wǎng)絡(luò)入侵防御系統(tǒng)（啟明星辰天闐NS2200）。

①網(wǎng)絡(luò)入侵防御系統(tǒng)：在托管機房區(qū)域邊界部署一臺采用通明模式的網(wǎng)絡(luò)入侵防御系統(tǒng)，該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機，其主要用來防御來自互聯(lián)網(wǎng)的攻擊流量。

②網(wǎng)絡(luò)入侵檢測系統(tǒng)：在外網(wǎng)的核心交換機上部署一臺千兆IDS系統(tǒng)，IDS監(jiān)聽端口類型需要和核心交換機對端的端口類型保持一致；在核心交換機上操作進行一對一監(jiān)聽端口鏡像操作，將對外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路，以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進出雙方向的數(shù)據(jù)流量，鏡像至IDS監(jiān)聽端口；IDS用于對訪問對外服務(wù)區(qū)域的數(shù)據(jù)流量，訪問安全管理區(qū)域的數(shù)據(jù)流量，以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進行檢測。

3） 網(wǎng)絡(luò)安全審計

信息安全審計管理應(yīng)該管理最重要的核心網(wǎng)絡(luò)邊界，在外網(wǎng)被審計對象不僅僅包括對外服務(wù)區(qū)域中的應(yīng)用服務(wù)器和安全管理區(qū)域的服務(wù)器等的訪問流量，還要對終端的互聯(lián)網(wǎng)訪問行為進行審計；此外重要網(wǎng)絡(luò)設(shè)備和安全設(shè)備也需要列為審計和保護的對象。

由于終端的業(yè)務(wù)訪問和互聯(lián)網(wǎng)訪問都需要在網(wǎng)絡(luò)設(shè)備產(chǎn)生訪問流量，因此在外網(wǎng)的核心交換機上部署網(wǎng)絡(luò)行為審計系統(tǒng)（天融信網(wǎng)絡(luò)行為審計TopAudit），交換機必需映射一個多對一抓包端口，網(wǎng)絡(luò)審計引擎通過抓取網(wǎng)絡(luò)中的數(shù)據(jù)包，并對抓到的包進行分析、匹配、統(tǒng)計，從而實現(xiàn)網(wǎng)絡(luò)安全審計功能。

①在外網(wǎng)的核心交換機上部署一臺千兆網(wǎng)絡(luò)安全審計系統(tǒng)，監(jiān)聽端口類型需要和核心交換機對端的端口類型保持一致，使用光纖接口；

②在核心交換機上操作進行一對一監(jiān)聽端口鏡像操作，將對外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路，以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進出雙方向的數(shù)據(jù)流量，鏡像至網(wǎng)絡(luò)安全審計系統(tǒng)的監(jiān)聽端口；

③網(wǎng)絡(luò)安全審計系統(tǒng)用于對訪問對外服務(wù)區(qū)域的數(shù)據(jù)流量，訪問安全管理區(qū)域的數(shù)據(jù)流量，以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進行安全審計；

④開啟各區(qū)域服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志審計功能。

4） 其他網(wǎng)絡(luò)安全設(shè)計

其他網(wǎng)絡(luò)安全設(shè)計包括邊界完整性檢查，惡意代碼防范，網(wǎng)絡(luò)設(shè)備防護，邊界完整性檢查等。

①邊界完整性檢查：在托管機房的網(wǎng)絡(luò)設(shè)備上為托管區(qū)域服務(wù)器劃分獨立VLAN，并制定嚴格的策略，禁止其他VLAN的訪問，只允許來自網(wǎng)絡(luò)入侵防御系統(tǒng)外部接口的訪問行為；對服務(wù)器系統(tǒng)進行安全加固，提升系統(tǒng)自身的安全訪問控制能力；

②惡意代碼防范：通過互聯(lián)網(wǎng)邊界的入侵防御系統(tǒng)對木馬類、拒絕服務(wù)類、系統(tǒng)漏洞類、webcgi類、蠕蟲類等惡意代碼進行檢測和清除；部署服務(wù)器防病毒系統(tǒng)，定期進行病毒庫升級和全面殺毒，確保服務(wù)器具有良好的防病毒能力。

③網(wǎng)絡(luò)設(shè)備防護：網(wǎng)絡(luò)設(shè)備為托管機房單位提供，由其提供網(wǎng)絡(luò)設(shè)備安全加固服務(wù)，應(yīng)進行以下的安全加固：開啟樓層接入交換機的接口安全特性，并作MAC綁定； 關(guān)閉不必要的服務(wù)（如：禁止CDP（Cisco Discovery Protocol），禁止TCP、UDP Small服務(wù)等）， 登錄要求和帳號管理， 其它安全要求（如：禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件，禁止未使用或空閑的端口等）。

3 結(jié)束語

信息安全等級保護是實施國家信息安全戰(zhàn)略的重大舉措，也是我國建立信息安全保障體系的基本制度。作為國家信息安全保障體系建設(shè)的重要依據(jù)，在實行安全防護系統(tǒng)建設(shè)的過程中，應(yīng)當按照等級保護的思想和基本要求進行建設(shè)，根據(jù)分級、分域、分系統(tǒng)進行安全建設(shè)的思路，針對一個特定的信息系統(tǒng)（醫(yī)院信息管理系統(tǒng)）為例，提出全面的等級保護技術(shù)建設(shè)方案，希望能夠為用戶的等級保護建設(shè)提出參考。

參考文獻：

[1] 徐寶海.市縣級國土資源系統(tǒng)信息網(wǎng)絡(luò)安全體系建設(shè)探討[J].中國管理信息化，2014（4）.

[2] 李光輝.全臺網(wǎng)信息安全保障體系初探[J].電腦知識與技術(shù)，2013（33）.

醫(yī)院網(wǎng)絡(luò)安全建設(shè)方案范文第4篇

關(guān)鍵詞：醫(yī)院 計算機網(wǎng)絡(luò) 隱患 對策

隨著社會經(jīng)濟的不斷發(fā)展和信息化技術(shù)的不斷進步，網(wǎng)絡(luò)為人們信息的獲取提供了便利，為世界不同區(qū)域的網(wǎng)民提供了足夠的信息資源、大量的空間和通暢的交流渠道。醫(yī)院在網(wǎng)絡(luò)安全建設(shè)中，由于技術(shù)力量薄弱、設(shè)備管理不完善等問題的存在，對醫(yī)院的網(wǎng)絡(luò)安全造成了很大的隱患。加強網(wǎng)絡(luò)安全管理已經(jīng)成為各個醫(yī)院都面臨的問題，也是必須要解決的重要問題。本文對醫(yī)院網(wǎng)絡(luò)安全管理中存在的問題進行了分析，并且結(jié)合存在的問題開展調(diào)查研究，針對存在的問題提出了相應(yīng)的解決措施，為醫(yī)院網(wǎng)絡(luò)安全管理提供了參考。

一、醫(yī)院計算機網(wǎng)絡(luò)存在的一些安全隱患

（一）需要進一步加強計算機安全防范機制

醫(yī)院的一些內(nèi)部工作人員，在內(nèi)網(wǎng)隨便使用可移動的存儲設(shè)備如硬盤光驅(qū)、軟驅(qū)、數(shù)碼相機等，這樣容易間接地與外網(wǎng)進行數(shù)據(jù)交換，容易導(dǎo)致機密數(shù)據(jù)、敏感信息的傳播與泄漏以及病毒的傳入。管理員在使用域策略時，為了方便，在相同域中的使用者之間可以進入對方的計算機，即使是機密文件也能夠訪問。一些計算機操作者有時會因一些事情急于去處理，匆忙中忘記鎖定自己的計算機，導(dǎo)致沒有關(guān)閉的保密文檔極易泄漏。

（二）計算機操作人員的操作不當

一些用戶缺乏安全意識，操作員也不按規(guī)程操作，這樣就很容易由于安全配置問題出現(xiàn)安全漏洞，用戶口令較簡單，用戶將自己的賬號公開都會對網(wǎng)絡(luò)安全造成一定的威脅。內(nèi)部人員如果使用寬帶接入外網(wǎng)，外部的黑客能夠繞過防護屏障，非法外聯(lián)的計算機比較容易得到侵入，一些敏感信息就很容易被盜，造成泄密事件的發(fā)生，甚至內(nèi)網(wǎng)的重要服務(wù)器也會得到攻擊，嚴重時還會引起整個內(nèi)網(wǎng)的癱瘓。

（三）外部病毒的攻擊

醫(yī)院的網(wǎng)絡(luò)不可避免地要與外界網(wǎng)絡(luò)有連接，因為醫(yī)院和醫(yī)保中心有業(yè)務(wù)來往，所以也較易受到一些病毒攻擊。一部分病毒攻擊性較小，系統(tǒng)正常運行不會造成影響，但是有些高危險病毒，就會引起系統(tǒng)崩潰，高危險病毒可以再短時間內(nèi)感染大量的機器，致使大量計算機不能正常工作，形成拒絕服務(wù)攻擊。終端上完全不受病毒干擾是很難做到的，但是可以盡量減少病毒攻擊。

二、加強計算機網(wǎng)絡(luò)安全的對策

（一）創(chuàng)建網(wǎng)絡(luò)安全管理機制

醫(yī)院領(lǐng)導(dǎo)班子對于網(wǎng)絡(luò)安全管理要引起足夠的重視，硬件設(shè)施要加強完備，加大資金投入力度，做到及時軟硬件進行更新。要加強網(wǎng)絡(luò)安全管理技術(shù)隊伍建設(shè)，認真選拔網(wǎng)絡(luò)應(yīng)用技術(shù)熟練人員，不斷完善醫(yī)院網(wǎng)絡(luò)安全管理機制，堅持管理技術(shù)創(chuàng)新，進一步完善網(wǎng)絡(luò)安全管理規(guī)章制度，盡可能地減少網(wǎng)絡(luò)安全隱患。

（二）增強醫(yī)院員工的網(wǎng)絡(luò)安全教育

要對醫(yī)院內(nèi)部員工進行網(wǎng)絡(luò)安全培訓(xùn)，講解計算機病毒查殺、密碼設(shè)置注意事項、網(wǎng)絡(luò)攻擊造成的危害等，讓員工知道不要隨便打開來歷不明的電子郵件或者移動存儲設(shè)備也要先進行查殺病毒才能打開。進行密碼設(shè)置時要注意密碼強度，一旦密碼遭到破解就很容易受到損失。禁止使用U盤及其它移動存儲設(shè)備，一定要從根源上杜絕病毒的來源；禁止在網(wǎng)絡(luò)上共享文件，對違反規(guī)定的人員或科室，根據(jù)情況扣除獎金；對科室計算機的使用情況要進行不定期的檢查，以便及時發(fā)現(xiàn)問題并解決問題。醫(yī)護人員要積極學(xué)習(xí)網(wǎng)絡(luò)安全知識，一定要明白網(wǎng)絡(luò)安全教育是網(wǎng)絡(luò)操作人員責(zé)無旁貸的事情。

（三）增強醫(yī)院計算機病毒防范

隨著醫(yī)院網(wǎng)絡(luò)系統(tǒng)的日益壯大，計算機數(shù)量迅速增加，網(wǎng)絡(luò)的入侵問題也隨之突出。一旦計算機被黑客侵入，破壞性極強，損失嚴重。因此，認真做好對計算機病毒的防范。首先，要堵住病毒的源頭。網(wǎng)絡(luò)實現(xiàn)內(nèi)外網(wǎng)物理分離外網(wǎng)病毒將很難進入內(nèi)網(wǎng)，病毒進入內(nèi)網(wǎng)是從接入內(nèi)網(wǎng)的工作站為入口，然后病毒再侵入其它的工作站。其次，對于病毒的防范，仍應(yīng)以殺毒軟件為基礎(chǔ)。對防治病毒采取以下方案：

1、分析出現(xiàn)的病毒，已知的并且可以控制的就可以殺毒，對于未知的病毒，我們可以上網(wǎng)查詢等方式查找解決辦法。

2、對于危害較大，又暫時無法消滅的病毒，將其進行格式化重裝。

3、引進一套內(nèi)網(wǎng)安全防范軟件，以便對各客戶端進行及時監(jiān)控，幫助解決網(wǎng)絡(luò)中存在的安全隱患。

（四）應(yīng)用安全防范

要確保計算機網(wǎng)絡(luò)應(yīng)用的安全，一要配備防病毒系統(tǒng)；二要做好數(shù)據(jù)備份工作，對重要數(shù)據(jù)信息進行安全備份是最保險的方法，一旦系統(tǒng)受到破壞，就可以采取數(shù)據(jù)恢復(fù)方式加以挽救；三是數(shù)據(jù)可以以加密的方式進行傳輸，從而實現(xiàn)數(shù)據(jù)在傳輸?shù)倪^程中不會被竊取，以保證數(shù)據(jù)的安全，避免不必要的損失；四是加強對信息鑒別工作，采用信息鑒別技術(shù)，保障數(shù)據(jù)的完整性，VPN設(shè)備就提供了這種功能，對數(shù)據(jù)源身份進行認證確保信息的來源的真實性，是信息鑒別的一種有效手段，為了保障數(shù)據(jù)傳輸安全可以采取傳輸加密技術(shù)結(jié)合VPN設(shè)備，實現(xiàn)數(shù)據(jù)傳輸?shù)目煽啃浴⑼暾?、機密性。

三、結(jié)語

在醫(yī)院的信息化管理中，我們必須積極的采取各種手段，加強計算機網(wǎng)絡(luò)安全管理，建立高效、健全的防御體系，確保醫(yī)院計算機網(wǎng)絡(luò)安全。

參考文獻：

[1]郭姝娟.醫(yī)院安全網(wǎng)絡(luò)分析與控制[J].中國科技博覽，2010（15）.

醫(yī)院網(wǎng)絡(luò)安全建設(shè)方案范文第5篇

Abstract: In view of the security problems in hospital network information system, this paper puts forward a series of solutions.

關(guān)鍵詞:醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全;管理網(wǎng)絡(luò)安全

Key words: hospital information;system security;management network security

中圖分類號:TP391文獻標識碼:A文章編號:1006-4311(2010)07-0138-01

0引言

隨著醫(yī)院信息化水平的不斷深入,醫(yī)院信息系統(tǒng)(HIS)所覆蓋的范圍越來越廣,但是,病毒入侵、黑客攻擊、數(shù)據(jù)丟失、系統(tǒng)崩潰、人員誤操作和自然災(zāi)害等等都給醫(yī)院信息系統(tǒng)造成了諸多不安全隱患。提升信息系統(tǒng)的安全性、可靠性已成為當今醫(yī)院迫切需要解決的問題。下面就結(jié)合我院探討如何保障醫(yī)院信息系統(tǒng)的安全管理問題,可以從以下幾個方面入手。

1硬件系統(tǒng)的物理安全

醫(yī)院的硬件系統(tǒng)支撐著醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的正常運行,它的安全與否直接影響著醫(yī)院整個信息網(wǎng)絡(luò)系統(tǒng)的狀態(tài)。

1.1 服務(wù)器作為醫(yī)院網(wǎng)絡(luò)系統(tǒng)的核心,網(wǎng)絡(luò)安全的最重要任務(wù)就是維護服務(wù)器的安全。要有備用機以避免服務(wù)器出現(xiàn)故障,中心機房的地板要采用防靜電地板,并按國家標準接地,配備UPS電源,在專用的機柜內(nèi)放置服務(wù)器,沒有重要的事情任何人不得接觸。

1.2 網(wǎng)絡(luò)通信設(shè)備交換機也應(yīng)該安置在專用機柜,電源也必須符合國家規(guī)定標準。由于線路復(fù)雜,因此在布線時要設(shè)計好布線施工圖,并保留,以便于使用中出現(xiàn)故障的維修工作。在某些關(guān)鍵的線路位置,最好多布置一條線路作為備用。線材要有防護措施,如線材外加套管,可以防止線路的老化,并有防水,防潮,防蟲咬的效果。

1.3 工作站工作站選址,要注意計算機的工作環(huán)境,要保證計算機在環(huán)境下能正常的運行工作,注意散熱、防潮、防塵、防盜等。加大對醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)硬件接口的監(jiān)督管理,防止私人或外來的計算機等設(shè)備介入醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)。

2計算機軟件系統(tǒng)的安全

2.1 操作系統(tǒng)的安全管理操作系統(tǒng)在每一臺硬件設(shè)備上都重要,因此,要想保證醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的正常運行,就須有一個穩(wěn)定的操作系統(tǒng),要及時對操作系統(tǒng)進行更新?lián)Q代,建立主域控制器和備份域控制器,所有的醫(yī)院內(nèi)部人員都是使用賬號登陸,才能夠進入醫(yī)院信息網(wǎng)絡(luò)系統(tǒng),并共享到醫(yī)院的數(shù)據(jù)。同時可以采用經(jīng)過審查過的,安全的第三方軟件對所有的客戶端得操作情況進行監(jiān)控。

2.2 定期對數(shù)據(jù)進行備份醫(yī)院信息系統(tǒng)從運行的那一刻起就在積累著數(shù)據(jù),并隨著時間的推移,系統(tǒng)內(nèi)的數(shù)據(jù)也越來越多。醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)就是這些不斷更新并增加的數(shù)據(jù)。當系統(tǒng)運作時會有一些難以避免的問題,因此必須要設(shè)置備用系統(tǒng)以防不測。①建立一套完備的備份方案,是做好備份的先決條件。根據(jù)數(shù)據(jù)的重要性,可以選擇月、周、日、分進行備份。備份介質(zhì)可選擇采用硬盤、光盤、磁帶等。②常用的備份方法。

2.2.1 雙機熱備法雙機熱備份也稱服務(wù)器鏡像備份。這需要準備兩全相同的服務(wù)器,分為一主一備。當主服務(wù)器在運行中出現(xiàn)故障停止運行時,備份服務(wù)器會自動起動并繼續(xù)完成主服務(wù)器的運作。主服務(wù)器恢復(fù)使用時,所有數(shù)據(jù)會傳輸?shù)街鞣?wù)器中,從而保證整個網(wǎng)絡(luò)系統(tǒng)的正常連續(xù)運行。這種方法的優(yōu)點是可靠、安全、簡便,是目前比較流行的備份方法。但是這種方法不能出現(xiàn)人為的錯誤,當邏輯錯誤發(fā)生時,鏡像備份只能將錯誤復(fù)制一遍,無法真正保護數(shù)據(jù),這種備份的作用是保證系統(tǒng)在出現(xiàn)故障時能夠連續(xù)運行。但是,這種備份的價格比較昂貴。

2.2.2 異地備份方法是選擇一臺與主服務(wù)器配置相近的備用服務(wù)器,建立一個與主服務(wù)器數(shù)據(jù)庫同名的數(shù)據(jù)庫。利用系統(tǒng)本身提供的異地傳送工具,通過設(shè)置定時,由計算機自動地把主服務(wù)器數(shù)據(jù)庫中的數(shù)據(jù)傳送到備份的服務(wù)器上。一旦主服務(wù)器崩潰,只要重新在主服務(wù)器上安裝操作系統(tǒng)或重新安裝數(shù)據(jù)庫,就可以利用異地傳送工具將備份服務(wù)器上的數(shù)據(jù)傳送回主服務(wù)器。這種方法的優(yōu)點是簡單、經(jīng)濟,缺點是耗費時間比較長。

2.2.3 數(shù)據(jù)庫定期備份在備份服務(wù)器上,利用數(shù)據(jù)庫自帶功能每天自動定時備份。建立日志數(shù)據(jù)庫,數(shù)據(jù)庫的每次改變,日志數(shù)據(jù)庫自動記下改變前后的值,寫到日志數(shù)據(jù)庫中,以備以后查閱。這是最常用的備份方法。

2.3 防病毒與防入侵

2.3.1 網(wǎng)絡(luò)版殺病毒軟件網(wǎng)絡(luò)版殺毒軟件能夠通過部署防病毒策略,對局域網(wǎng)進行全面的病毒防護,加強醫(yī)院網(wǎng)絡(luò)的內(nèi)網(wǎng)行為管理與網(wǎng)絡(luò)流量的控制功能,有效地規(guī)范各工作站的上網(wǎng)行為,將病毒隱患降到最低限度。

2.3.2 防火墻防火墻是在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙,阻止外界對內(nèi)部資源的非法訪問,防止內(nèi)部對外部的不安全訪問。它能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控、過濾、記錄和報告功能,較好地隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接。

2.3.3 安全管理中心它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰,監(jiān)控網(wǎng)絡(luò)安全設(shè)備的運行狀態(tài),負責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計信息等。

2.4 加強安全管理

2.4.1 制定嚴格的安全管理制度安全制度應(yīng)包括系統(tǒng)軟硬件的日常維護制度、網(wǎng)絡(luò)安全管理規(guī)范、數(shù)據(jù)備份制度、操作員上崗資格規(guī)定、系統(tǒng)故障處理方案等。

2.4.2 權(quán)限管理網(wǎng)絡(luò)管理員應(yīng)對每位終端操作員設(shè)置帳戶、權(quán)限和密碼,規(guī)定每個操作員只能在本模塊范圍內(nèi)操作,而不能越級查閱。同時,還應(yīng)提醒每位操作員的密碼要定期更換,以免被竊取。

2.4.3 進行人員培訓(xùn)工作對于醫(yī)院管理信息系統(tǒng)涉及到的相關(guān)專業(yè)人員進行計算機常用知識技能和相關(guān)應(yīng)用軟件操作的培訓(xùn)。且將經(jīng)常容易出現(xiàn)的軟、硬件故障編寫成小冊子,既可使操作人員對常見故障能自己解決,又能減輕計算機工程技術(shù)人員的維護量。

總之,醫(yī)院信息系統(tǒng)的安全管理已成為人們關(guān)注的熱點,信息安全技術(shù)問題的良好解決直接對信息系統(tǒng)的良性、穩(wěn)健、持續(xù)發(fā)展起著極其重要的作用。因此,我們要把醫(yī)院信息系統(tǒng)的安全管理工作作為一項艱辛長期的工作來對待,明確目標,落實責(zé)任,把信息系統(tǒng)的安全管理工作提高到一個新的水平。

參考文獻:

[1]王穎,董斌.談醫(yī)院信息系統(tǒng)的安全使用[J].醫(yī)療設(shè)備信息,2005,20(5):42.