醫院網絡安全建設論文

導語：醫院網絡安全建設論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

1引言

隨著計算機網絡技術的不斷發展，信息化已經成為了現代醫院管理的重要標志l11。網絡作為醫療信息的載體，加快了信息處理過程，實現了院際間互聯互通、醫療資源共享，優化了就診流程，提高了醫療效率，是現代醫院不可或缺的工具。然而，隨著互聯網＋醫療的快速發展，傳統的保障靜態、平面網絡安全的模式已不能滿足現代醫院信息安全的需要，因此，在充分考慮醫院信息系統所面臨的安全威脅下，提出了動態、立體的網絡安全建設模型。

2醫院信息系統存在的安全威脅及需求

醫院快速地從原來與互聯網物理隔離的內部局域網，發展成為互聯網＋醫療、手機端應用、網上預約掛號、檢查檢驗報告推送、云計算、大數據等互聯網應用，暴露出了安全建設的不足；醫院擁有的患者信息、診療信息、醫療材料信息、藥品信息更具有商業價值，漸漸得到灰色產業鏈的覬覦｜21；醫院內部網絡覆蓋整個醫院，而攻擊行為的80％來源于內部系統131，內部網絡遭受入侵和攻擊的現象越來越不容忽視，且入侵和攻擊具有智能性、隱蔽性、嚴重性、多樣性和持續性的特點。同時，計算機網絡協議、操作系統、網絡應用系統固有的安全漏洞、脆弱性，使基于網絡的應用存在安全隱患。為了有效避免網絡安全事件的發生；醫院核心業務系統達到國家衛計委要求的三級安全等級保護要求。基于某醫院網絡安全的現狀以及安全需求，提出“基于動態安全模型的醫院網絡安全建設＂的項目。①昆明醫科大學第一附屬醫院信息中心，650032，云南省昆明市西昌路295號圖1醫院動態網絡安全立體模型4醫院動態網絡安全模型實現方案在方案中，采用產品化的可靠技術，利于快速部署，保障其有效性；采用動態模型，依據安全感知平臺對安全策略、安全檢測、安全管理、安全制度調整，保障安全方案的強壯性、連續性。根據醫院動態網絡安全立體模型，提出如圖2所示的網拓安全

3醫院動態網絡安全模型設計

參考開放系統互聯標準（OSI）和TCP／lP協議對信息系統技術組成的構造方法，依據《信息安全技術信息系統安全等級保護基本要求》《信息安全技術信息系統等級保護安全設計技術要求》等現行標準，結合醫院信息系統業務應用以及WPDRRC安全模型W1，構建以安全策略為核心，安全管理為基礎，安全技術和運維管理為支撐，數據容災為后盾的立體、縱深、主動、動態的醫院網絡安全防御模型，如圖1所示。建立多層次、全方位（網絡、系統、終端、數據等）、多維度的實時防御，做到在攻擊行為發起之前主動發現并預警，攻擊行為發生時全面抵御、分析記錄，攻擊發生后阻斷攻擊，快速恢復，通過安全事件審計、進行響應、反擊。從而建立事前預防、事中控制、事后審計處理機制，保障網絡強壯性、連續性。拓撲結構。

4醫院動態網絡安全模型實現方案

4．1物理層安全該層次的重點是機房及通信線路、設備安全，針對醫院網絡物理環境存在的安全隱患，主要做了如下幾項工作：建設機房監控系統，實時監控機房溫度、濕度、供電、UPS狀態以及是否漏水；制作服務器、存儲陣列、網絡設備、應用系統間的物理連接關系和地理位置圖，以利于安全管理：完善機房及門禁管理：與保衛部門協作，保障通訊線路及設備安全。4．2網絡層安全該層次的重點是解決網絡通信安全，確保服務的可用性、連續性。依據醫院網絡系統安全信任級別，針對網絡拓撲及發展，將網絡劃分為：核心網絡區、網管區、業務內網區、業務外網區、外聯網區。遵循安全分區、橫向隔離、縱向認證的原則，進行安全規劃，包括：業務內網隔離與訪問控制、互聯網數據傳輸安全、出口邊界安全、業務內網與業務外網間邊界安全、遠程接入安全和用戶端接入安全。主要安全措施：根據業務應用，將業務內網劃分成不同子網w，利用VLAN技術，實現對內部子網的邏輯隔離與訪問控制；利用防火墻和網閘進行邊界邏輯／物理隔離與訪問控制；利用入侵檢測和入侵防御，對數據流進行檢測與分析，自動識別潛在的攻擊行為并進行阻斷；利用入侵檢測和防火墻聯動，自動阻斷識別的攻擊行為和誤操作；利用VPN技術，實現數據的加密傳輸，保障信息傳輸的機密性、完整性；采用基于RADIUS技術對業務外網區域的訪問進行身份認證。4．3主機系統安全該層次的重點是解決網絡內操作系統的可靠性和主機系統的保護。主要安全措施：部署漏洞發現、補丁管理系統，定期進行漏洞掃描，下載并安裝最新補丁；建立病毒防治中心、防病毒控制臺、防病毒客戶端三級病毒防治體系，部署網絡版防病毒軟件和反間諜軟件，進行病毒防治；在核心網絡部署防病毒墻，實現對病毒的主動防御；利用個人防火墻技術，防止病毒利用漏洞滲透進入終端，阻斷病毒傳播路徑；部署桌面終端安全系統，建立終端主動防御技術體系，實現終端層面的防入侵、防外泄、防不良訪問；部署基于802．1X準入控制技術并與準入控制策略聯動，對終端準入控制。4．4應用層安全該層次的重點是確保醫院業務內網各應用系統安全，確保各業務系統的可用性、連續性、可靠性。主要安全措施：部署審計系統，對曰志進行收集、審計、分析，以便發現系統的脆弱性和漏洞；定期進行安全檢查、風險分析，以便發現潛在的攻擊；采用基于EAPoL（EAPoverLAN）技術，通過用戶名＋口令和標準的RADIUS服務器配合，對用戶的身份認證強制檢查，采用基于角色的訪問控制技術，實現用戶的分級管理；建立三級存儲機制，保證歷史數據的安全，確保新增數據的高效響應；建立雙活數據中心，實現醫院信息系銃7x24小時的高可用性服務，保障信息系統數據安全。4．5安全管理該層次的重點是安全技術和設備的管理、安全管理制度、部門與人員的組織規則。針對醫院信息系統安全管理現狀，主要安全措施：建立信息安全管理組織機構，院長為負責人，信息中心為安全技術實施、管理負責，科室設置安全管理員的三級安全組織機構；建立健全安全管理制度，做到職責到人并應用PDCA對制度及執行持續改進；建立人員管理體系，加強安全技術人員的理論與技術培訓，實現安全管理員、系統管理員和數據庫管理員三權分立；對醫護人員開展安全培訓，提高安全意識；建立運維管理系統，對信息資產的生命周期進行全面管理；建設安全策略管理平臺，對安全策略及審計進行統一管理，通過業界最隹實踐（如IS017799）來制定切實可行的安全策略并輔助檢查對安全策略的執行情況，對網絡中的網絡56設備、主機系統、安全產品的安全策略進行保存和審計，確保安全策略的貫徹實施；建設全網安全感知平臺，通過收集安全事件，采用數據挖掘、行為和關聯分析技術，對安全事件持續檢測、分析，對醫院網絡中的網絡設備、安全設備、安全系統、應用系統、數據庫系統做出安全情況與策略吻合性審計并以Web界面展示，實現安全態勢可感知、安全威脅可預警、異常行為可監控、安全事件可溯源，解決安全事件不直觀、難發現、響應不及時，安全設備相互孤立等問題。

5結語

互聯網＋醫療的出現，醫院的互聯網應用快速發展，內外網融合，加大了醫療信息的脆弱性，來S于內外網的安全威脅，使現代醫院信息系統面臨日益嚴重的安全問題，結合醫院網絡現狀，以主動、動態的設計思想，提出了以安全策略為核心的醫院動態網絡安全模型，利用產品化有效且可靠的安全技術、一定程度自動化的安全管理系統、強有力的信息安全管理組織機構，完善醫院信息系統的日常維護和安全管理工作，保障各強制要求的安全策略正確執行，提高醫院信息系統安全水平，做到信息系統安全的統一管理和實施。

作者:張云 王胤濤 謝峰 單位:昆明醫科大學第一附屬醫院信息中心