淺談計算機網(wǎng)絡(luò)安全及防范技術(shù)

陳 觀

（中國人民解放軍第三0三醫(yī)院，廣西 南寧 530021）

隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計算機網(wǎng)絡(luò)已成為全球信息基礎(chǔ)設(shè)施的主要組成部分。網(wǎng)絡(luò)的發(fā)展在不斷改變?nèi)藗兊墓ぷ?、生活方式，使信息的獲取、傳遞、處理和利用更加高效、迅速。雖然計算機網(wǎng)絡(luò)給人們帶來了巨大的便利，但互聯(lián)網(wǎng)是一個面向大眾的開放系統(tǒng)，對信息的保密和系統(tǒng)的安全考慮得并不完備，存在著安全隱患。各類系統(tǒng)陷阱、計算機病毒、黑客攻擊、網(wǎng)絡(luò)癱瘓等問題，都是醫(yī)院實現(xiàn)網(wǎng)絡(luò)化面臨的外部威脅。醫(yī)院的計算機網(wǎng)絡(luò)系統(tǒng)一旦崩潰，將會造成無法估計的損失。因此，如何提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為醫(yī)院網(wǎng)絡(luò)管理人員的一個重要課題。

1 計算機網(wǎng)絡(luò)安全的概念

計算機網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的熟悉和要求也就不同。從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳時受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)難、軍事打擊等對網(wǎng)絡(luò)硬件的破壞以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。網(wǎng)絡(luò)安全包括系統(tǒng)安全、網(wǎng)絡(luò)運行安全和內(nèi)部網(wǎng)絡(luò)安全。

2 影響網(wǎng)絡(luò)安全的因素

2.1 外部環(huán)境影響

（1）溫度會導(dǎo)致邏輯電路產(chǎn)生邏輯錯誤，技術(shù)參數(shù)偏離，還會導(dǎo)致系統(tǒng)內(nèi)部電源燒毀或燒壞某些元器件，影響機器運轉(zhuǎn)和導(dǎo)致一些熱敏器件內(nèi)部損壞或不能正常工作。

（2）濕度過高，會使接插件和集成電路的引線等結(jié)合部氧化、生銹、霉?fàn)€，造成接觸不良、開路或短路；濕度過低，會吸附灰塵，加劇噪聲。

（3）對于機器內(nèi)部的電路板上的雙列直插或組件的接線器，灰塵的阻塞會形成錯誤的運行結(jié)果。過多的塵?？稍斐山^緣電阻減小、泄漏電流增加，機器出現(xiàn)錯誤動作，如果空氣潮濕將會引起元器件間放電、打火，從而損壞設(shè)備，嚴(yán)重的還會引起火災(zāi)。

（4）靜電是網(wǎng)絡(luò)使用中面臨的比較嚴(yán)重的問題，以上談到的溫度、濕度、塵埃等很多原因都可能引起靜電。計算機元器件和集成電路對靜電非常敏感，它的破壞常常是在不知不覺中發(fā)生的。

（5）靠近網(wǎng)絡(luò)的計算機、大型醫(yī)療設(shè)備和網(wǎng)絡(luò)設(shè)備自身等，都能產(chǎn)生電磁輻射，通過輻射、傳導(dǎo)等方式對網(wǎng)絡(luò)系統(tǒng)形成干擾。他們會引發(fā)以下問題：設(shè)備的一些部件會失效，但那些部件的失效看起來又是由于其他部件引起的，像這樣的問題很容易被忽略，而且很難診斷，需要專門的診斷軟件和硬件來檢測。

2.2 人為安全因素

操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強，操作員違規(guī)操作，用戶口令選擇不慎，用戶將自己的賬號隨意轉(zhuǎn)借他人或與他人共享等都會給網(wǎng)絡(luò)安全帶來威脅。

2.3 病毒攻擊

醫(yī)院要和各醫(yī)保中心有業(yè)務(wù)往來，醫(yī)院的網(wǎng)絡(luò)不可避免的和外界網(wǎng)絡(luò)有連接，所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。計算機病毒是利用程序干擾或破壞系統(tǒng)正常工作的一種手段，它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來嚴(yán)重的威脅和巨大的損失。計算機感染上病毒后，輕則使系統(tǒng)工作效率下降，重則造成系統(tǒng)死機或毀壞，導(dǎo)致硬件系統(tǒng)完全癱瘓。目前已知的計算機病毒有14 000多種，幾乎每天都有新的計算機病毒產(chǎn)生，加上計算機病毒機理的不斷演變和變種的出現(xiàn)，使人們對計算機病毒的檢測與清除變得更加困難而使計算機網(wǎng)絡(luò)的信息安全難以保障。由于一些工作人員的疏忽，使得醫(yī)院網(wǎng)絡(luò)被病毒攻擊的頻率越來越高，所以病毒的攻擊應(yīng)該引起我們極大的關(guān)注。

2.4 黑客入侵

這是計算機網(wǎng)絡(luò)所面臨的最大威脅。黑客問題的出現(xiàn)，并非黑客能夠制造入侵的機會，而是他們善于利用操作系統(tǒng)的安全漏洞、軟件本身缺陷、系統(tǒng)安裝或設(shè)置上的疏忽、操作上的失誤等對邏輯實體或物理實體發(fā)起攻擊。此類攻擊又可分為兩種：一種是網(wǎng)絡(luò)攻擊，就是以各種方式有選擇地破壞對方信息的有效性和完整性；另一種是網(wǎng)絡(luò)偵察，就是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得對方重要的機密信息。方式不一樣，后果也各不相同，從間歇性停機到整個系統(tǒng)的癱瘓、數(shù)據(jù)錯誤、大批量盜竊信息、盜用服務(wù)，甚至進(jìn)行非法監(jiān)視和收集情報、引入假電文、提取數(shù)據(jù)進(jìn)行欺詐等等。

2.5 系統(tǒng)漏洞

沒有任何一個系統(tǒng)可以排除漏洞的存在，許多網(wǎng)絡(luò)系統(tǒng)都存在著這樣或那樣的漏洞，這些漏洞有可能是系統(tǒng)本身就有的。另外，局域網(wǎng)內(nèi)網(wǎng)絡(luò)用戶使用盜版軟件，隨處下載軟件及網(wǎng)管的疏忽都容易造成網(wǎng)絡(luò)系統(tǒng)漏洞。這不但影響了局域網(wǎng)的網(wǎng)絡(luò)正常工作，也在很大程度上把局域網(wǎng)的安全性置于危險之地，黑客利用這些漏洞就能完成密碼探測、系統(tǒng)入侵等攻擊。

3 計算機網(wǎng)絡(luò)安全防范措施

3.1 加強內(nèi)部管理

（1）網(wǎng)絡(luò)安全是一項動態(tài)的、整體的系統(tǒng)工程。從網(wǎng)絡(luò)設(shè)備的選擇上來說，應(yīng)該選擇可靠性強，性能穩(wěn)定，并且便于升級系統(tǒng)的一類設(shè)備。有些醫(yī)院認(rèn)為，搞網(wǎng)絡(luò)建設(shè)投入大，不如投入醫(yī)療設(shè)備見效快，這樣就容易導(dǎo)致在網(wǎng)絡(luò)建設(shè)中只看價格，不注重網(wǎng)絡(luò)設(shè)備的質(zhì)量。由于醫(yī)院工作是7～24 h不間斷的，如果網(wǎng)絡(luò)設(shè)備性能不穩(wěn)定甚至出現(xiàn)故障，必定會影響醫(yī)院的正常工作，尤其是核心交換機、服務(wù)器出現(xiàn)問題，將導(dǎo)致醫(yī)院整個網(wǎng)絡(luò)的癱瘓。因此在購買重要設(shè)備時，一要考慮性能質(zhì)量，二要考慮冗余。

（2）從軟件選擇上來說，應(yīng)盡量選擇正版的安全漏洞較少的操作系統(tǒng)和應(yīng)用軟件，并時常更新漏洞補丁，對操作系統(tǒng)進(jìn)行合理的安全策略配置，管理好超級用戶并定期更換其密碼非常重要。對關(guān)鍵操作應(yīng)開啟審計，并記錄用戶的誤操作或惡意行為，以便事后跟蹤及管理。同時也要加強對數(shù)據(jù)的冗余備份和恢復(fù)工作。

（3）此外，必須建立健全網(wǎng)絡(luò)安全管理規(guī)章制度，強化計算機操作培訓(xùn)，開展網(wǎng)絡(luò)安全教育；封閉全部計算機終端的移動存儲設(shè)備接口，禁用移動存儲器，禁止共享系統(tǒng)文件，禁止工作站安裝非工作性程序或軟件；加強密碼管理，避免使用易被破解的生日、電話號碼等作為口令或密碼以及多系統(tǒng)使用同一種口令，服務(wù)器等關(guān)鍵部位的密碼口令只能由網(wǎng)管人員掌握，不得對外泄漏，并定期變更；工程技術(shù)人員應(yīng)定期檢查計算機終端使用情況，有利于及時發(fā)現(xiàn)并解決問題。

3.2 防范外來入侵

（1）設(shè)備工作環(huán)境方面，應(yīng)盡可能保證系統(tǒng)中各計算機通信設(shè)備及相關(guān)設(shè)施的物理安全，避免人為或自然的破壞，使系統(tǒng)和設(shè)備處于良好的工作環(huán)境。應(yīng)該保證房間溫濕度適中，地面干凈，還可以安裝防雷系統(tǒng)，將所有插座的地線嚴(yán)格接地，確保工程通過防雷裝置檢測中心認(rèn)證。機房應(yīng)該使用不間斷電源（UPS），保證斷電后的供電量，并且為電壓不穩(wěn)的高發(fā)區(qū)的工作站點配備穩(wěn)壓源。

（2）由于醫(yī)院每天都會產(chǎn)生大量數(shù)據(jù)，如每天都會產(chǎn)生大量病人費用、各種檢查、臨床醫(yī)囑、護(hù)理費及電子病歷等重要數(shù)據(jù)，自從全國實行醫(yī)療保險以后，醫(yī)院網(wǎng)絡(luò)還要負(fù)責(zé)與各單位、社保局發(fā)生數(shù)據(jù)交談，其數(shù)據(jù)重要性更是對網(wǎng)絡(luò)安全提出了更高的要求。目前現(xiàn)有醫(yī)院計算機網(wǎng)絡(luò)系統(tǒng)在數(shù)據(jù)的選擇上多采用SQL Server、Oracle數(shù)據(jù)庫。醫(yī)院的數(shù)據(jù)庫記錄時刻都處于動態(tài)變化之中，網(wǎng)管人員定時異地備份是不夠的，因為一旦系統(tǒng)崩潰，勢必存在部分?jǐn)?shù)據(jù)的丟失，所以建立一套實時備份系統(tǒng)，這對醫(yī)院來說非常重要?，F(xiàn)在很多醫(yī)院采用磁盤陣列的方式對數(shù)據(jù)進(jìn)行實時備份，但是成本比較高，安全系數(shù)也很低。根據(jù)醫(yī)院這個特殊的網(wǎng)絡(luò)系統(tǒng)，可建議設(shè)計數(shù)據(jù)保護(hù)計劃來實現(xiàn)文件系統(tǒng)和網(wǎng)絡(luò)數(shù)據(jù)全脫機備份。例如，采用多個低價位的服務(wù)器分片負(fù)責(zé)，如門診收費系統(tǒng)采用一臺服務(wù)器，住院部系統(tǒng)采用另一臺服務(wù)器，同時再增設(shè)總服務(wù)器，在總服務(wù)器中全套備份所有醫(yī)院管理系統(tǒng)中的應(yīng)用軟件，每日往總服務(wù)器中備份各個管理系統(tǒng)中產(chǎn)生的數(shù)據(jù)，與此同時也做好磁帶、光盤的備份，若有一臺分服務(wù)器出現(xiàn)異常，該系統(tǒng)就轉(zhuǎn)總服務(wù)器進(jìn)行。這種運行機制，在一些醫(yī)院取得了很好的效果。

（3）此外，要保護(hù)數(shù)據(jù)安全，就要保證服務(wù)器免受來自醫(yī)院網(wǎng)絡(luò)外部的攻擊和破壞。通常情況下，內(nèi)網(wǎng)和外網(wǎng)之間需要配備防火墻、防毒墻等網(wǎng)絡(luò)安全設(shè)備以保障醫(yī)院內(nèi)網(wǎng)的相對安全性，對于保密網(wǎng)絡(luò)，甚至要求與外網(wǎng)物理隔斷。這就對防火墻位置及功能有嚴(yán)格要求。一般情況下，有些醫(yī)院只對外網(wǎng)進(jìn)行防火墻設(shè)置，但實事證明，對于大量攻擊都來自醫(yī)院網(wǎng)絡(luò)內(nèi)部。所以在設(shè)置防火墻時，要分別對外網(wǎng)出口和內(nèi)網(wǎng)出口做設(shè)置，使核心路由器處在一個“真空”地帶，內(nèi)網(wǎng)與外網(wǎng)之間需要傳遞的數(shù)據(jù)通過核心路由器進(jìn)行審查，由于兩個獨立的防火墻之間，不存在非法的邏輯連接、信息傳輸命令、信息傳輸協(xié)議，可有效保護(hù)醫(yī)院數(shù)據(jù)主服務(wù)器，web服務(wù)器及PACS服務(wù)器等重要服務(wù)器的安全，實現(xiàn)隔離，防止外網(wǎng)黑客的攻擊。配合病毒防護(hù)軟件，對于防護(hù)外網(wǎng)安全有非常好的效果。

4 結(jié)束語

總之，計算機網(wǎng)絡(luò)安全是一個系統(tǒng)的工程，涉及技術(shù)、設(shè)備、管理和制度等多方面的因素。所以必須高度重視，必須要從管理與技術(shù)相結(jié)合的高度，制定與時俱進(jìn)的整體管理策略，并切實認(rèn)真地實施這些策略，才能達(dá)到提高計算機網(wǎng)絡(luò)安全的目的。

1 趙偉霞.淺析計算機網(wǎng)絡(luò)安全與防范策略[J].中國科技縱橫，2010（7）

2 李焱伶.醫(yī)院網(wǎng)絡(luò)安全狀況及其防范措施[J].醫(yī)療裝備，2010（7）