医院网络平台安全性探讨

医院网络平台安全性探讨

邢军

湖南省石门县中医医院415300

摘要：随着网络技术和医学信息化建设的不断成熟与发展，医院在自身信息化建设的过程，以及医院信息系统的实际运行中，信息网络的安全性越来越受到重视。重视和加强医院信息网络安全已经成为医院信息化建设的当务之急。

关键词：医院信息网络；安全性；管理

1引言

近年来，随着医院信息化建设的不断深入和发展，医院信息系统对医院管理者和患者起着越来越举足轻重的作用，日渐庞大的系统数据库和每时每刻在网络中传输的数据都包含了非常重要的数据资料。如何保证医院业务数据和病人资料的安全性，除了存储技术和网络设备的硬件因素外，网络安全也容不得半点忽视。

2常见安全性威胁

随着计算机网络的发展，网络中的安全问题日趋严重，尤其是医院网络中大量存储和传输的数据都有可能被窃取、甚至篡改。医院网络中所面临的安全性威胁主要有下面几种：

1、泄露（eavesdropping）：当通信各方通过网络进行交谈时，如果不采用任何保密措施，别人就有可能“偷听”到通信的内容，因此必要时可对通信的内容进行加密。

2、假冒（impersonation）：如何识别进入计算机网络系统的用户是不是合法的呢？因此系统要有身份识别的功能。当网络中的某个节点冒名要求提供服务时，系统如何能够知道对方是否冒名呢？我们可以提供一个合法用户的数据库，采用TACACS或RADIUS协议对用户的身份进行鉴别。如果有人用PC机恶意伪造了一条路由信息，系统如何能够鉴别出哪些路由信息是可靠的呢？我们可以采用具有鉴别功能的路由协议，如“OSPF”“EIGRP”；有的路由协议就不支持“鉴别”功能，如“RIP”。

3、篡改（manipulation）：为了防止报文在转发过程中被第三者所篡改，可以在应用层对用户的报文进行加密或校验。

4、恶意攻击（attack）：除了上述用户之间通信中的信息安全问题之外，网络本身也容易遭受到一些恶意程序（rogueprogram）的攻击，如computervirus、computerworm、Trojanhorse、logicbomb等。

网络中被攻击的目标主要有：主机、路由节点和传输线路。参见下图：

网络的安全性可以通过若干条不同的途径来实现，如可以在网络的访问级实现对用户的身份进行确认等安全性措施，也可以在网络的主干上实施对基于IP流的监测来实现网络安全性，还可以在网络上实施基于每个具体应用端口的安全性措施。所有这些安全性措施对应于网络中的不同应用和不同层次，我们可以根据具体需要灵活采用，也可以同时采用多种安全性措施以实现多级安全性（multilevelsecurity）。

3网络安全性

3.1数据流加密

为了保证网络的安全性，可以考虑的方法之一就是对传输的数据进行加密，目前比较流行的密钥加密算法主要有DES、RSA等，根据实际情况，可以选用网络中的一对路由器作为Peers，对其中通过的某些数据进行加密/解密。

3.2局域网安全

为了保护局域网的数据不被攻击，建议采用VLAN技术对局域网进行规划，根据不同的部门设立不同层次安全级别的VLAN（虚拟网）。

3.3广域网安全

广域网的范围广，连接用户众多，连网的方式多种多样，有宽带LAN、电话拔号、DDN专线，网络安全考虑比较复杂，关系到线路安全、数据流的安全等，综合以上的因素，设计线路加密方式。在各接入端路由策略上采用静态路由，其他路由器中没有医院路由器的路由表。客户端采NAT地址转换，在路由器上添加一条加密通道，使用加密数据流进行传输，这样可以保证网数据传输的安全。

在医院路由器上配置静态路由和浮动静态路由，可以进行安全认证，可以动态地进行链路备份。

4整体网络安全性

医院网络平台安全性要解决的问题是：从网络上控制某些敏感的主机不被非法访问。网络安全性目前可利用内置于网络中心多层交换机的虚拟网隔离能力，将网络安全控制从网络核心层延伸到接入层，这样可以为网络提供很好的安全性控制。

在医院网络VLAN划分中，可以根据部门职能的不同和应用的不同划分不同的VLAN，把各部门或应用有效地隔离开。对领导及其他高级管理人员，可以划分一个特殊级别的VLAN，允许访问内部高级机密。具体来说，在大楼接入层一般以一个行政单位划分VLAN，VLAN之间是由网络中心的多层交换机进行路由转发。

采用防火墙使内网与外网进行隔离。内外网之间，采用两台防火墙进行负载均衡数据处理，并能对外部的专用线路、外部的广域网连接进行安全保护、口令认证、身份加密处理，与内部网络进行隔离。使中心内部数据网形成一个独立的应用数据网络安全体系。

网络中心建立完整的防病毒体系，通过多层防病毒结构来解决病毒防范，保证系统数据不被病毒侵袭。

5多层病毒防御体系

医院网络系统还可能会受到来自于多方面的病毒威胁，包括来自Internet、与劳动社保网络、与主管卫生局区域平台、以及保险公司等连接的网段上，为了避免网络系统受病毒感染所造成的损失，医院网络系统应采用多层病毒防御体系。所谓多层病毒防御体系，是指在每个终端上安装反病毒软件，在服务器上安装基于服务器的反病毒系统，在Internet网关上安装基于Internet网关的反病毒软件。对医院来说，防止病毒的攻击是每个员工的责任，人人都要做到自己使用的台式机上不受病毒的感染，从而保证整个医院网络不受病毒的侵害。

5.1客户端的防病毒系统

据统计，医院局域网内50%以上的病毒是通过可移动磁盘进入系统，因此对桌面系统的病毒应严加防范。采用桌面防病毒产品，来防止客户端受到病毒的侵害。

5.2服务器的防病毒系统

如果服务器被感染，其感染文件将成为病毒感染的源头，它们会迅速从桌面感染发展到整个网络的病毒爆发。因此，在相关服务器上采用专业的防病毒软件系统，提供全面的基于服务器的病毒保护。

5.3Internet的防病毒系统

在医院的外部网与Interent连接的网段上的停火区中MailServer、Webserver、DNSServer等代理的服务器上安装专业防火墙软件系统，可防止来自于Internet上的病毒、恶意的Java、Active-x对医院网络应用系统所造成的破坏。

6总结

安全的核心是人，最终必须以人为核心进行安全管理，因此，在考虑使用各种先进技术进行医院网络安全性设计的同时，还必须加强基于网络安全性的管理。只有制订一系列完善的安全管理措施和管理制度并严格执行，坚持管理和技术两手抓，齐头并进，消除各种不安全因素，杜绝各种内忧外患，才能真正实现医院网络平台安全性的建设。

参考文献：

[1]苏海志.网络环境下医院信息系统的安全保障体系[J].中国医疗器械杂志，2003，27（2）：136-138

[2]任忠敏，马国胜，姚鸣红.医院信息系统安全体系的建立[J].医学信息：医学与计算机应用，2004，17（7）：408-410

[3]范晓磊，齐晓光，吴迪.计算机网络安全及其防范措施的探讨[J].中国西部科技，2009，8（16）