醫(yī)院綜合性網(wǎng)絡(luò)安全解決方案的分析與研究

蔣戰(zhàn)濤，陳 沛

（麗水市中心醫(yī)院，浙江 麗水 323000）

醫(yī)院綜合性網(wǎng)絡(luò)安全解決方案的分析與研究

蔣戰(zhàn)濤，陳 沛

（麗水市中心醫(yī)院，浙江 麗水 323000）

為了有效地保護(hù)醫(yī)院信息系統(tǒng)中的有效數(shù)據(jù)，防止被非法入侵者惡意篡改和竊取，需要在醫(yī)院的網(wǎng)絡(luò)中設(shè)置綜合性的網(wǎng)絡(luò)安全解決方案，通過這些解決方案聯(lián)合來保證醫(yī)院網(wǎng)絡(luò)系統(tǒng)的安全。本文從多個(gè)角度分析了醫(yī)院可采用的安全防護(hù)措施，以及這些措施在醫(yī)院網(wǎng)絡(luò)的具體實(shí)施方案。

網(wǎng)絡(luò)安全；加密；授權(quán)

通信技術(shù)和網(wǎng)絡(luò)技術(shù)正以前所未有的速度發(fā)展，互聯(lián)網(wǎng)的用戶數(shù)量也達(dá)到了一個(gè)新的數(shù)量級，企業(yè)開展了很多依賴于網(wǎng)絡(luò)的業(yè)務(wù)，如電子支付、大數(shù)據(jù)等。這些業(yè)務(wù)都要求網(wǎng)絡(luò)的各個(gè)角度都能保證網(wǎng)絡(luò)用戶的數(shù)據(jù)和信息安全。隨著醫(yī)療水平的發(fā)展，醫(yī)院也開始大量使用信息化技術(shù)來開展日常的診治工作，在醫(yī)院中形成了醫(yī)生看診、拿藥、檢查、醫(yī)治等一系列的網(wǎng)絡(luò)服務(wù)。如果醫(yī)院的網(wǎng)絡(luò)不能保證是安全的，這些環(huán)節(jié)中的任何一個(gè)環(huán)節(jié)出錯(cuò)，都會給醫(yī)院和患者帶來經(jīng)濟(jì)損失，甚至?xí)驗(yàn)楸淮鄹牡臄?shù)據(jù)危及患者的生命健康。因此，本文研究并設(shè)計(jì)了一個(gè)醫(yī)院網(wǎng)絡(luò)的綜合性解決方案，從網(wǎng)絡(luò)安全的不同角度分析如何保障醫(yī)院網(wǎng)絡(luò)的安全性。

1　網(wǎng)絡(luò)防病毒方案

醫(yī)院的信息管理需要在網(wǎng)絡(luò)的環(huán)境下運(yùn)行，而網(wǎng)絡(luò)中現(xiàn)在計(jì)算機(jī)病毒較為猖獗，醫(yī)院的網(wǎng)絡(luò)必須具備較強(qiáng)的防病毒能力。在醫(yī)院網(wǎng)絡(luò)中需要設(shè)置專門的病毒防治系統(tǒng)，能有效防止病毒的入侵。防病毒系統(tǒng)主要部署在服務(wù)器、PC終端和電子郵件系統(tǒng)中。

服務(wù)器是整個(gè)醫(yī)院網(wǎng)絡(luò)中最為核心的硬件。如果服務(wù)器感染了病毒，會對整個(gè)醫(yī)院網(wǎng)絡(luò)造成非常大的威脅，病毒就很有可能通過服務(wù)器對醫(yī)院信息管理中的重要用戶信息和診治信息進(jìn)行竊取或破壞。

醫(yī)院網(wǎng)絡(luò)的PC終端是很多的，不同的終端用戶的安全意識水平不同，技術(shù)能力也有很大差別，這樣就會使得PC終端成為病毒最容易感染的設(shè)備。如果PC終端發(fā)生病毒感染，終端的病毒就會利用網(wǎng)絡(luò)向醫(yī)院網(wǎng)絡(luò)發(fā)送病毒植入程序，然后通過植入的病毒程序?qū)⑾到y(tǒng)的重要文件進(jìn)行破獲或盜取。，醫(yī)院網(wǎng)絡(luò)的所有的PC終端都需要安裝防病毒軟件。

另外，需要設(shè)置防病毒軟件的是醫(yī)院中的郵件系統(tǒng)。系統(tǒng)的郵件系統(tǒng)主要由兩種:第一種是系統(tǒng)的專網(wǎng)使用的公務(wù)郵件系統(tǒng)，在這種郵件系統(tǒng)中需要設(shè)置專門的垃圾郵件處理系統(tǒng)和病毒掃描的引擎。另一種是系統(tǒng)的終端用戶自己使用的郵件收發(fā)系統(tǒng)，這些郵件系統(tǒng)的收發(fā)方式可能是POP 3或SMTP。，需要在系統(tǒng)的終端設(shè)置防病毒軟件來防止郵件被竊取或惡意篡改。

2　終端安全方案

醫(yī)院網(wǎng)絡(luò)中的終端數(shù)量眾多，終端的安全直接關(guān)系到系統(tǒng)的安全性。它直接關(guān)系系統(tǒng)是否能正常運(yùn)轉(zhuǎn)，一個(gè)設(shè)計(jì)良好的終端安全方案不僅能保證終端的安全，還能提高整個(gè)系統(tǒng)的安全保障能力。

終端安全方案包括很多內(nèi)容，主要包括終端安全防護(hù)、終端審計(jì)和終端應(yīng)用監(jiān)管等。終端安全防護(hù)主要是在終端安裝防火墻和設(shè)置文件保護(hù)上，控制可能影響終端安全的威脅。終端審計(jì)是通過審計(jì)手段來分析是否在系統(tǒng)中設(shè)置了安全策略和其他安全保障手段，是否得到了有效執(zhí)行。終端審計(jì)在終端安全方案中的作用非常大，它可保證系統(tǒng)的所有的終端始終在系統(tǒng)的有效監(jiān)管下。終端審計(jì)工作是由專人負(fù)責(zé)的，如果發(fā)現(xiàn)終端的安全性不符合安全策略的規(guī)定，要對其立即糾正。終端應(yīng)用監(jiān)管是對終端用戶的行為進(jìn)行監(jiān)控，例如，終端用戶需要進(jìn)行身份信息的驗(yàn)證才能登錄系統(tǒng)，將終端的很多可濫用網(wǎng)絡(luò)應(yīng)用的端口進(jìn)行封閉管理等。

3　數(shù)據(jù)加密方案

醫(yī)院網(wǎng)絡(luò)的安全性還體現(xiàn)在數(shù)據(jù)的機(jī)密性上，其具體體現(xiàn)在兩個(gè)方面。

一是信息源的加密。系統(tǒng)中的信息源主要有文字、聲音、圖像等，這些信息源的存儲是通過文件或數(shù)據(jù)庫的形式實(shí)現(xiàn)的，而系統(tǒng)可選擇加密這些文件或數(shù)據(jù)庫信息，進(jìn)一步提高系統(tǒng)的數(shù)據(jù)再存儲方面的安全性。

二是信息傳輸通道的加密。在系統(tǒng)中，可設(shè)置一個(gè)專門用于加密傳輸通道的安全子系統(tǒng)，該系統(tǒng)的作用就是可根據(jù)信息傳輸?shù)那闆r分別的不同的網(wǎng)絡(luò)層進(jìn)行加密，然后專門再對傳輸通道加密，加密的方式可直接加密，也可調(diào)用其他的加密API來實(shí)現(xiàn)加密。

醫(yī)院網(wǎng)絡(luò)中采用的加密體制包含了對稱密鑰的體制，也包含了基于公鑰的體制，這樣做的主要目的是為了在不同的系統(tǒng)應(yīng)用中來使用不同的手段來進(jìn)行加密，這樣以來，不僅能最大限度的保證系統(tǒng)的安全，也在很大程度上提高系統(tǒng)的效率。

4　系統(tǒng)授權(quán)和訪問機(jī)制

醫(yī)院的信息一般都是采取集中式管理的，系統(tǒng)就相應(yīng)的需要采用集中的授權(quán)訪問控制模式。該模式下的授權(quán)訪問可對用戶的屬性集中管理，然后通過屬性值為用戶發(fā)生授權(quán)證書。授權(quán)中心的業(yè)務(wù)管理人員具體管理用戶的授權(quán)屬性的信息，各個(gè)應(yīng)用系統(tǒng)對用戶的授權(quán)和身份證書同時(shí)進(jìn)行驗(yàn)證，這樣才能確定用戶具備什么權(quán)限，從而為具體的用戶進(jìn)行授權(quán)的訪問控制。授權(quán)證書中包括用戶的多種屬性信息，這些信息能確定用戶的權(quán)限。例如，基于用戶角色、用戶標(biāo)識、用戶資源級別等訪問控制，而對訪問控制的粒度而言，也是可靈活變化的，從基于IP的控制到對數(shù)據(jù)庫字段的控制，訪問控制粒度從粗到細(xì)，可根據(jù)不同的應(yīng)用系統(tǒng)進(jìn)行靈活選擇。

5　結(jié) 語

醫(yī)院管理系統(tǒng)中的信息直接關(guān)系到患者的就診情況和醫(yī)院的日常管理。醫(yī)院需要一個(gè)綜合性的網(wǎng)絡(luò)安全解決方案來保障醫(yī)院網(wǎng)絡(luò)系統(tǒng)的安全。本文從網(wǎng)絡(luò)防病毒、終端數(shù)據(jù)安全、數(shù)據(jù)加密、系統(tǒng)授權(quán)和訪問機(jī)制等方面綜合論述了醫(yī)院網(wǎng)絡(luò)安全解決方案。

主要參考文獻(xiàn)

［1］李輝.計(jì)算機(jī)網(wǎng)絡(luò)安全與對策［J］.濰坊學(xué)院學(xué)報(bào)，2007（2）.

［2］楊小明，雷光輝，何青建.基于ASP.NET 的 Web 網(wǎng)絡(luò)應(yīng)用程序開發(fā)的安全策略實(shí)踐［J］.計(jì)算機(jī)教育，2006（5）.

10.3969/j.issn.1673 - 0194.2015.22.117

TP393.08

A

1673-0194（2015）22-0148-01

2015-10-09