醫(yī)院網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)與防范措施

1、醫(yī)院網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)與防范措施<DIVid=c onten t><scriptsrc="/mx/baid.js"><DIVid=viewad><scriptsrc="/a/lw.js">摘要：隨著信息科技的高速發(fā)展，網(wǎng)絡(luò)在越來越多地為人們生活提供便利的同時(shí)，也為企業(yè)節(jié)省了 大量的人力和物力，但是企業(yè)在使用網(wǎng)絡(luò)與外界交流時(shí)也同樣承擔(dān)著巨大的風(fēng)險(xiǎn)。本文介紹 了醫(yī)院網(wǎng)絡(luò)中存在風(fēng)險(xiǎn)的原因、存在的風(fēng)險(xiǎn)及其對(duì)策。為醫(yī)院在網(wǎng)絡(luò)安全方面提供了一定的 建議。關(guān)鍵字：企業(yè)網(wǎng)絡(luò)醫(yī)院網(wǎng)絡(luò)網(wǎng)絡(luò)安全網(wǎng)絡(luò)體系技術(shù)手段Abstract :

2、 Withthehigh-speeddevelopme ntofin formatio nscie neeandtech no logy,then etwork,offeri ngthefacilitytopeoplemoreandmore,andalsohelpthecompa nytosavea large number of manpower and material resources.But the trade company is undertaking the enormous risk while using the network to exchange with exter

3、nal world too.This text has introduced the reason of existing risk and countermeasure with the risk in enterprise's network.Haveofferedcertainsuggestioninonlinesecurityforthetradecompany.Keyword:Enterprise'snetworkSecurityofnetworkNetworksystemTechnologicalmeans前言： 隨著信息技術(shù)的高速發(fā)展，互聯(lián)網(wǎng)越來越被人們所重視，從

4、農(nóng)業(yè)到工業(yè)再到高科技產(chǎn)業(yè)各行 各業(yè)都在使用互聯(lián)網(wǎng)參與行業(yè)生存與競(jìng)爭(zhēng)。企業(yè)對(duì)網(wǎng)絡(luò)的依存度越來越高，網(wǎng)絡(luò)在企業(yè)中所 處的位置也越來越重要，系統(tǒng)中存儲(chǔ)著維系企業(yè)生存與競(jìng)爭(zhēng)的重要資產(chǎn) 企業(yè)信息資源。但是,諸多因素威脅著計(jì)算機(jī)系統(tǒng)的正常運(yùn)轉(zhuǎn)。如,自然災(zāi)害、 人員的誤操作等 ,不僅會(huì)造成系統(tǒng)信息丟失甚至完全癱瘓 , 而且會(huì)給企業(yè)造成無法估量的損失。因此, 企業(yè)必須有一套完整的安全管理措施 , 以確保整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正常、 高效、 安全地運(yùn)行。 本文就影響醫(yī)院計(jì) 算機(jī)網(wǎng)絡(luò)安全的因素、存在的安全隱患及其應(yīng)對(duì)策略三個(gè)方面進(jìn)行了做了論述。一、醫(yī)院網(wǎng)絡(luò)安全存在的風(fēng)險(xiǎn)及其原因1. 自然因素：1.1 病毒攻擊 因?yàn)獒t(yī)

5、院網(wǎng)絡(luò)同樣也是連接在互聯(lián)網(wǎng)上的一個(gè)網(wǎng)絡(luò)，所以它不可避免的要遭到這樣或者那樣 的病毒的攻擊。這些病毒有些是普通沒有太大破壞的，而有些卻是能造成系統(tǒng)崩潰的高危險(xiǎn) 病毒。病毒一方面會(huì)感染大量的機(jī)器，造成機(jī)器“罷工“并成為感染添另一方面會(huì)大量占用 網(wǎng)絡(luò)帶寬，阻塞正常流量，形成拒絕服務(wù)攻擊。我們清醒地知道，完全避免所有終端上的病 毒是不可能的，但要盡量減少病毒爆發(fā)造成的損失和恢復(fù)時(shí)延是完全可能的。但是由于一些 工作人員的疏忽，使得醫(yī)院網(wǎng)絡(luò)被病毒攻擊的頻率越來越高，所以病毒的攻擊應(yīng)該引起我們 的關(guān)注。1.2 軟件漏洞 任何的系統(tǒng)軟件和應(yīng)用軟件都不能是百分之百的無缺陷和無漏洞的，而這些缺陷和漏洞恰恰 是非法

6、用戶、 黑客進(jìn)行竊取機(jī)密信息和破壞信息的首選途徑。 針對(duì)固有的安全漏洞進(jìn)行攻擊， 主要在以下幾個(gè)方面：,IMAP和POP3協(xié)議一定要在Unix根目錄下運(yùn)行，攻擊者利用這一漏洞攻擊IMAP破壞系統(tǒng)的根目錄，從而獲得超級(jí)用戶的特權(quán)。，就接受任何長(zhǎng)度的數(shù)據(jù)輸入，把溢出部分放在堆棧內(nèi)，系統(tǒng)仍照常執(zhí)行命令。攻擊者就利 用這一漏洞發(fā)送超出緩沖區(qū)所能處理的長(zhǎng)度的指令，來造成系統(tǒng)不穩(wěn)定狀態(tài)。，Unix 系統(tǒng)軟件通常把加密的口令保存在一個(gè)文件中，而該文件可通過拷貝或口令破譯方法受 到入侵。因此，任何不及時(shí)更新的系統(tǒng)，都是容易被攻擊的。2、人為因素：2.1 操作失誤 操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)

7、不強(qiáng) .用戶口令選擇不慎 . 用戶將自己的 帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來威脅。這種情況在企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)使 用初期較常見， 隨著網(wǎng)絡(luò)管理制度的建立和對(duì)使用人員的培訓(xùn)， 此種情況逐漸減少 . 對(duì)網(wǎng)絡(luò)安 全己不構(gòu)成主要威脅。2.2 惡意攻擊 這是醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊 又可以分為以下兩種： 一種是主動(dòng)攻擊， 它以各種方式有選擇地破壞信息的有效性和完整性； 另一類是被動(dòng)攻擊， 它是在不影響網(wǎng)絡(luò)正常工作的情況下 . 進(jìn)行截獲、 竊取、破譯以獲得重要 機(jī)密信急。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。網(wǎng)絡(luò)黑

8、客和計(jì)算機(jī)病毒對(duì)企業(yè)網(wǎng)絡(luò) （內(nèi)聯(lián)網(wǎng) ）和公網(wǎng)安全構(gòu)成巨大威脅，每年企業(yè)和網(wǎng)絡(luò)運(yùn)營(yíng)商都要 花費(fèi)大量的人力和物力用于這方而的網(wǎng)絡(luò)安全防范，因此防范人為的惡意攻擊將是醫(yī)院網(wǎng)絡(luò) 安全工作的重點(diǎn)。二、構(gòu)建安全的網(wǎng)絡(luò)體系結(jié)構(gòu)1. 設(shè)計(jì)網(wǎng)絡(luò)安全體系的原則1.1 、體系的安全性： 設(shè)計(jì)網(wǎng)絡(luò)安全體系的最終目的是為保護(hù)信息與網(wǎng)絡(luò)系統(tǒng)的安全所以安全 性成為首要目標(biāo)。要保證體系的安全性，必須保證體系的完備性和可擴(kuò)展性。1.2 、系統(tǒng)的高效性： 構(gòu)建網(wǎng)絡(luò)安全體系的目的是能保證系統(tǒng)的正常運(yùn)行， 如果安全影響了系 統(tǒng)的運(yùn)行，那么就需要進(jìn)行權(quán)衡了，必須在安全和性能之間選擇合適的平衡點(diǎn)。網(wǎng)絡(luò)系統(tǒng)的 安全體系包含一些軟件和硬件，

9、它們也會(huì)占用網(wǎng)絡(luò)系統(tǒng)的一些資源。因此，在設(shè)計(jì)網(wǎng)絡(luò)安全 體系時(shí)必須考慮系統(tǒng)資源的開銷，要求安全防護(hù)系統(tǒng)本身不能妨礙網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)轉(zhuǎn)。1.3 、體系的可行性： 設(shè)計(jì)網(wǎng)絡(luò)安全體系不能純粹地從理論角度考慮， 再完美的方案， 如果不 考慮實(shí)際因素，也只能是一些廢紙。設(shè)計(jì)網(wǎng)絡(luò)安全體系的目的是指導(dǎo)實(shí)施，如果實(shí)施的難度 太大以至于無法實(shí)施，那么網(wǎng)絡(luò)安全體系本身也就沒有了實(shí)際價(jià)值。1.4 、體系的可承擔(dān)性： 網(wǎng)絡(luò)安全體系從設(shè)計(jì)到實(shí)施以及安全系統(tǒng)的后期維護(hù)、 安全培訓(xùn)等各 個(gè)方面的工作都要由企業(yè)來支持，要為此付出一定的代價(jià)和開銷如果我們付出的代價(jià)比從安 全體系中獲得的利益還要多， 那么我們就不該采用這個(gè)方案。

10、所以， 在設(shè)計(jì)網(wǎng)絡(luò)安全體系時(shí)， 必須考慮企業(yè)的業(yè)務(wù)特點(diǎn)和實(shí)際承受能力，沒有必要按電信級(jí)、銀行級(jí)標(biāo)準(zhǔn)來設(shè)計(jì)這四個(gè)原 則，可以簡(jiǎn)單的歸納為：安全第一、保障性能、投入合理、考慮發(fā)展。2、網(wǎng)絡(luò)安全體系的建立網(wǎng)絡(luò)安全體系的定義：網(wǎng)絡(luò)安全管理體系是一個(gè)在網(wǎng)絡(luò)系統(tǒng)內(nèi)結(jié)合安全 技術(shù)與安全管理，以實(shí)現(xiàn)系統(tǒng)多層次安全保證的應(yīng)用體系。網(wǎng)絡(luò)系統(tǒng)完整的安全體系系統(tǒng)物理安全性主要是指從物理上保證系統(tǒng)中各種硬件設(shè)備的安全可靠，確保應(yīng)用系統(tǒng)正常 運(yùn)行。主要包括以下幾個(gè)方面：防止非法用戶破壞系統(tǒng)設(shè)備，干擾系統(tǒng)的正常運(yùn)行。(2) 防止內(nèi)部用戶通過物理手段接近或竊取系統(tǒng)設(shè)備，非法取得其中的數(shù)據(jù)。醫(yī)院網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)與防范措施 (2

11、)<DIVid=content><scriptsrc="/mx/baid.js"><DIVid=viewad><scriptsrc="/a/lw.js">(3) 為系統(tǒng)關(guān)鍵設(shè)備的運(yùn)行提供安全、 適宜的物理空間， 確保系統(tǒng)能夠長(zhǎng)期、 穩(wěn)定和高效的運(yùn)行。 例如 :中心機(jī)房配置溫控、除塵設(shè)備等。網(wǎng)絡(luò)安全性主要包括以下幾個(gè)方面：(1) 限制非法用戶通過網(wǎng)絡(luò)遠(yuǎn)程訪問和破壞系統(tǒng)數(shù)據(jù)，竊取傳輸線路中的數(shù)據(jù)。(2) 確保對(duì)網(wǎng)絡(luò)設(shè)備的安全配置。 對(duì)網(wǎng)絡(luò)來說， 首先要確保網(wǎng)絡(luò)設(shè)備的安全配置， 保證非授權(quán) 用戶不能訪問任意一臺(tái)計(jì)

12、算機(jī)、路由器和防火墻。(3) 網(wǎng)絡(luò)通訊線路安全可靠，抗干擾。屏蔽性能好，防止電磁泄露，減少信號(hào)衰減。(4) 防止那些為網(wǎng)絡(luò)通訊提供頻繁服務(wù)的設(shè)備泄露電磁信號(hào)，可以在該設(shè)備上增加信號(hào)干擾 器，對(duì)泄露的電磁信號(hào)進(jìn)行干擾，以防他人順利接收到泄露的電磁信號(hào)。應(yīng)用安全性主要是指利用通訊基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)和先進(jìn)的應(yīng)用安全控制技術(shù)，對(duì)應(yīng)用系統(tǒng) 中的數(shù)據(jù)進(jìn)行安全保護(hù)， 確保能夠在數(shù)據(jù)庫級(jí)、 文檔/ 記錄級(jí)、段落級(jí)和字段級(jí)限制非法用戶 的訪問。另外，對(duì)存放重要數(shù)據(jù)的計(jì)算機(jī) ( 服務(wù)器、用戶機(jī) )應(yīng)使用安全等級(jí)較高的操作系統(tǒng)，利用操 作系統(tǒng)的安全特性。三、網(wǎng)絡(luò)安全的技術(shù)實(shí)現(xiàn)1、防火墻技術(shù) 在外部網(wǎng)絡(luò)同內(nèi)部網(wǎng)絡(luò)之間

13、應(yīng)設(shè)置防火墻設(shè)備。通過防火墻過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)，對(duì)進(jìn)出網(wǎng) 絡(luò)的訪問行為進(jìn)行控制和阻斷，封鎖某些禁止的業(yè)務(wù)，記錄通過防火墻的信息內(nèi)容和活動(dòng)。 對(duì)網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)測(cè)和告警。防火墻可分為包過濾型、檢測(cè)型、代理型等，應(yīng)根據(jù)不同的需 要安裝不同的防火墻。2、劃分并隔離不同安全域 根據(jù)不同的安全需求、威脅，劃分不同的安全域。采用訪問控制、權(quán)限控制的機(jī)制，控制不 同的訪問者對(duì)網(wǎng)絡(luò)和設(shè)備的訪問，防止內(nèi)部訪問者對(duì)無權(quán)訪問區(qū)域的訪問和誤操作。我們可以按照網(wǎng)絡(luò)區(qū)域安全級(jí)別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域，即關(guān)鍵服務(wù)器區(qū)域和外部接入 網(wǎng)絡(luò)區(qū)域，在這兩大區(qū)域之間需要進(jìn)行安全隔離。在關(guān)鍵服務(wù)器區(qū)域內(nèi)部，也同樣需要按照 安全級(jí)別的不

14、同進(jìn)行進(jìn)一步安全隔離。劃分并隔離不同安全域要結(jié)合網(wǎng)絡(luò)系統(tǒng)的安防與監(jiān)控需要，與實(shí)際應(yīng)用環(huán)境、工作業(yè)務(wù)流程 和機(jī)構(gòu)組織形式密切結(jié)合起來。3、防范病毒和外部入侵防病毒產(chǎn)品要定期更新升級(jí)，定期掃描。在不影響業(yè)務(wù)的前提下，關(guān)閉系統(tǒng)本身的弱點(diǎn)及漏 洞并及時(shí)打上最新的安全補(bǔ)丁。防毒除了通常的工作站防毒外， email 防毒和網(wǎng)關(guān)式防毒己 經(jīng)越來越成為消除病毒源的關(guān)鍵。還應(yīng)使用掃描器軟件主動(dòng)掃描，進(jìn)行安全性檢查，找到漏 洞并及時(shí)修補(bǔ)，以防黑客攻擊。醫(yī)院網(wǎng)管可以在CISC 0路由設(shè)備中，禾U用 CISCOIOS操作系統(tǒng)的安全保護(hù)，設(shè)置用戶口令及ENABLE口令，解決網(wǎng)絡(luò)層的安全問題，可以利用UNIX系統(tǒng)的安全機(jī)

15、制，保證用戶身份、用戶授權(quán)和 基于授權(quán)的系統(tǒng)的安全，：對(duì)各服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫設(shè)立訪問權(quán)限，同時(shí)利用UNIX的安全文件，例如 /etc/hosts.equiv 文件等，限制遠(yuǎn)程登錄主機(jī)，以防非法用戶使用TELNET FTP等遠(yuǎn)程登錄工具，進(jìn)行非法入侵。4、備份和恢復(fù)技術(shù) 備份是保證系統(tǒng)安全最基本、最常用的手段。采取數(shù)據(jù)的備份和恢復(fù)措施，有些重要數(shù)據(jù)還 需要采取異地備份措施，防止災(zāi)難性事故的發(fā)生。5、加密和認(rèn)證技術(shù)加密可保證信息傳輸?shù)谋Ｃ苄浴?完整性、 抗抵賴等， 是一個(gè)非常傳統(tǒng)， 但又非常有效的技術(shù)。 加密技術(shù)主要用于網(wǎng)絡(luò)安全傳輸、公文安全傳輸、桌面安全防護(hù)、可視化數(shù)字簽名等方面。6、實(shí)時(shí)監(jiān)

16、測(cè) 采取信息偵聽的方式尋找未授權(quán)的網(wǎng)絡(luò)訪問嘗試和違規(guī)行為，包括網(wǎng)絡(luò)系統(tǒng)的掃描、預(yù)警、 阻斷、記錄、跟蹤等，從而發(fā)現(xiàn)系統(tǒng)遭受的攻擊傷害。網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)系統(tǒng)作為對(duì)付電腦黑客 最有效的技術(shù)手段，具有實(shí)時(shí)、自適應(yīng)、主動(dòng)識(shí)別和響應(yīng)等特征。7、PKI 技術(shù)公開密鑰基礎(chǔ)設(shè)施 (PKI) 是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)網(wǎng)絡(luò)安全并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份的一種體系。 PKI可以提供的服務(wù)包括：認(rèn)證服務(wù)，保密性服務(wù)（加密 ） ，完整性服務(wù)，安全通信，安全時(shí)間戳，小可否認(rèn)服務(wù) （抗抵賴服務(wù) ） ，特權(quán)管理，密鑰管理等。四、結(jié)束語： 網(wǎng)絡(luò)的安全與醫(yī)院利益息息相關(guān)，一個(gè)安全的網(wǎng)絡(luò)系統(tǒng)的保護(hù)不僅和系統(tǒng)管理員的

17、系統(tǒng)安全 知識(shí)有關(guān)，而且和領(lǐng)導(dǎo)的決策、工作環(huán)境中每個(gè)員工的安全操作等都有關(guān)系。網(wǎng)絡(luò)安全是動(dòng) 態(tài)的， 新的 Internet 黑客站點(diǎn)、 病毒與安全技術(shù)每日劇增， 醫(yī)院網(wǎng)絡(luò)管理人員要掌握最先進(jìn) 的技術(shù)，把握住醫(yī)院網(wǎng)絡(luò)安全的大門。五、參考文獻(xiàn)1 李國(guó)棟，劉克勤。 Internet 常用的網(wǎng)絡(luò)安全技術(shù)。現(xiàn)代電力。 2001.11.212肖義等， PKI 網(wǎng)絡(luò)安全平臺(tái)的研制與開發(fā)。 2002.1.233 錢蓉，黑客行為與網(wǎng)絡(luò)安全。電力機(jī)車技術(shù)。 2002.1.254 關(guān)義章，戴宗坤，信息系統(tǒng)安全工程學(xué)。四川大學(xué)信息安全研究所。 2002-12-10僅供個(gè)人用于學(xué)習(xí)、研究；不得用于商業(yè)用途For personal use only in study and research; not for commercial use.Nur f u r den pers?nlichen