醫院網絡安全方案
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇醫院網絡安全方案范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
醫院網絡安全方案范文第1篇
關鍵詞:計算機網絡;安全;安全管理;防火墻
中圖分類號:TP393.08
隨著科技的迅猛發展,計算機信息化建設在醫院的高效管理中體現出日益重要的作用。借助計算機網絡及管理軟件,可以對醫療收費進一步規范、減少資產的惡意流失,同時能促進醫院工作的有效提高,加強醫院的管理水平,也能對領導提供合理的決策數據,讓醫院朝著更好的方向發展[1][2]。完善的醫院信息管理系統,對醫院醫務工作的正常運行起著很重要的作用,關系著醫院工作的正常開展,如果計算機網絡出現問題,那么整個醫院的工作將會出現混亂,嚴重的導致病人的治療受到延誤,給醫院也會帶來一定的損失,可以說,計算機網絡與信息管理系統的安全運行對醫院的有序工作極其重要。
1 醫院計算機網絡安全風險分析
對于醫院這個重要的單位來說,信息化的管理系統包括醫院信息管理系統,這個系統主要提供了醫院內部工作人員進行自動化辦公,實現醫院各部門之間信息的共享,醫院相關信息的統一管理;另外,還需要網絡的支持,可以接入因特網,允許醫院在需要的時候通過外部網絡來搜索相關的資料、數據,同時也能夠將醫院的一些數據到網上,給病人與醫院提供一個交互的平臺,讓病人能夠更好的了解醫院,宣傳醫院,實現醫院的社會與經濟效益雙豐收。由于網絡與信息管理系統的安全構成了醫院正常開展工作的瓶頸,這也使得醫院的工作受到網絡攻擊的極大威脅[3]。
1.1 TCP/IP協議存在的安全隱患
TCP/IP協議是計算機上網必須的通訊協議,這個協議規定了計算機與網絡進行通信的各種規則,其實現原理比較簡單,具有較強的擴展性,這也相應的使得該協議存在各種不安全患,比如IP包的劫持,利用Smuff進行攻擊等。由于TCP序列號有一定的規律,因此,網絡入侵者可以借助預測方法來找到正常連接的一個TCP序列號變化規律,從而實現IP劫持,并將惡意數據插入TCP連接中,導致網絡的中斷或破壞。
1.2 IP協議存在的隱患
IP協議是互聯網協議,其本身比較安全,但是,其功能實現都有這兩個問題:(1)一般用戶的口令與寄錄口令一樣,且沒有經過加密,這就帶來了網絡被攻擊的風險。如果有惡意程序在網絡內進行監聽,那就可以直接得到網絡中的所有口令,從而導致入侵產生。當然,在郵件的POP3協議中也存在相同的問題。(2)對于網絡中應用的FTP服務,匿名連接可導致網絡攻擊,比如RP服務實現的是上傳數據,這可以讓入侵者通過上傳來放置木馬,既然能上傳,其他的惡意篡改過的文件也能放置到網絡中,這樣,如果有客戶端下載了這種文件,那會導致客戶端受到惡意攻擊破壞。同時,FTP匿名上下載文件,還能使得賬戶與口令無形泄露。另外,匿名FTP無法記錄信息,所以無法監控攻擊源[4]。
1.3 DNS解析隱患
DNS實現的是IP數字與網絡字符化域名之間的轉換等多種服務,在這些服務中,也存在著多方面漏洞。比如域名的假冒性攻擊:如R類服務,網絡中的入侵攻擊可以冒充真正的域名解析服務器來給出一個回應,目的主機受到信息后并不做判斷,將會誤認為這個回應是信任的。這樣,入侵者一旦掌握了這些信息,就可以連接到網絡中監聽網絡通信,給網絡造成很大的威脅。比如一個zolletransfer請求,會得到一部分數據庫信息,如果連續進行請求,那就可以獲得一份完整的數據庫信息,從而知道網絡中的所有主機信息,從而實現控制各個主機。
1.4 路由尋址協議缺陷
常見的網絡中的ARP攻擊就是利用路由協議的缺陷,除此外還有ospf攻擊、rip攻擊等。ARP欺騙利用了目的主機的IP以及以太網地址進行路由攻擊,形成一種IPspoof。在交換式的以太網中經常發生,主要是交換機具有轉發功能,將收到的ARP欺騙包更新了交換機的CACHE后,開始向網絡中的各個主機發送ARP包,這樣各種響應信息都會匯集到入侵者。
2 醫院的網絡安全管理主要解決的問題
在信息化的推動下,醫院也在加快建設醫療管理系統,網絡成為這中間不能缺少的關鍵一環。通過建設網絡,使得醫院開始從封閉走向了開放,信息在各部門之間實現了共享,部門之間需要查閱數據變得很快捷,但是為了保證各部門之間的信息安全,在實現的時候一個部門是作為一個完整的單元來建設的,這樣可以保證它們之間相對的物理隔絕,并能獨立運行,如果在需要的時候,可以將這些網絡進行連接,從而實現內外互連。但是,這會給醫院的運行管理帶來額外的負擔,網絡運行會存在較大的隱患。
安全管理在醫院的管理中最主要的一項工作,對于網絡安全管理來說,由于網絡涉及到各種信息的泄露與破壞,因此需要制定一些策略與規程。可以看到,這些管理是一項更為復雜的工作,需要一個完整的系統來實現。醫院的計算機網絡安全需要解決以下這些,例如:安全策略集中化、實時安全監聽、建立安全聯動機制、做好系統漏洞補丁管理、設置合理的權限管理和設備管理這六部分的安全管理。
3 醫院網絡安全及解決方案
3.1 防火墻技術
網絡中的防火墻本來是實現將內網與外網進行隔斷,是一種保障外網不能侵入內網,但是內網的信息可以傳送到外網的一道屏障。在網絡中配置防火墻是最為基本的一個措施。從設備來看,可以用硬件實現,也可以使用軟件來達到這個功能,或者將這兩者結合起來,這樣可以達到更好的效果。
3.2 數據加密與用戶授權訪問控制技術
防火墻從數據傳送上保障了網絡的安全,但是對于一些開放的網絡,必須將防火墻設置為最低限制,那要保證網絡中傳送的信息安全,需要通過數據加密或者對用戶權限進行設定來實現。對用戶權限設置可以保證靜態信息的訪問安全,這主要在計算機系統中來實現。而保證傳送的信息不能被直接獲取利用,這可以使用數據加密來實現。
數據加密是保護網絡中傳送的數據不被他人直接看到,而采用的一種轉換編碼方式,一般的原理就是對要傳送的信息進行某個算法的重新計算,從而得到另一種信息,這個信息從字面上不能直接看出要傳送信息的本意。算法中變換信息的值用到一個密鑰,常分為公鑰和私鑰兩類。公鑰可以公開,但是私鑰則必須保密,且只能是信息解密著唯一擁有。在各種算法中RSA是使用較廣的一個加密算法。
3.3 防病毒技術
由于計算機新技術的出現和投入使用,病毒也隨著變得日趨復雜,這對計算機內部文件的管理和系統的安全形成了巨大的威脅。為了防止其受到病毒的破壞,必須使用殺毒軟件。
3.4 安全管理隊伍的建設
建立完善的網絡安全管理系統,只有通過工作人員和殺毒軟件的共同努力,才能高效、合理的將影響系統穩定的危險原因減到最少。
4 總結
計算機信息的安全問題是醫院現代化管理中的核心問題,而網絡安全能否做到最好主要取決于網絡數據的安全和完整性,只有采取最有效的方法保障數據的安全和完整性,才能為醫院的現代化建設管理提供良好優質的服務。
參考文獻:
[1]任忠敏,馬國勝,姚鳴紅.醫院信息系統安全體系的建立[J].醫學信息,2004,17(7):408-410.
[2]宋穎杰,于明臻.醫院信息系統的網絡安全管理與維護[J].中國現代醫生,2007,45(17):l04,ll0.
[3]張會芹.醫院網絡的安全維護措施[J].中國醫院統計,2006,12(2):191-192.
[4]張震江,趙軍平.醫院網絡與信息安全的問題和對策[J].醫院數字化,2006,27(16):32-34.
醫院網絡安全方案范文第2篇
醫院網絡信息安全與醫療衛生服務質量、效率息息相關,因此做好網絡信息安全防護體系建設有助于確保醫療信息安全與信息服務平臺應用,對于進一步提升醫療服務質量至關重要。文章分析了我國醫院網絡信息安全防護體系現狀,并對醫院網絡信息安全防護體系的設計與應用進行了探討,希望能為醫療信息服務改革與創新提供參考。
關鍵詞:
醫院;信息安全;防護體系;設計
醫院作為提供醫療衛生服務的主體,本身的發展關鍵在于做好綜合管理,信息平臺作為進行醫療服務、醫學研究、教學、對外交流宣傳等工作的主要陣地,建設與服務情況直接關系到醫院工作質量與效率,因此建立完善的信息安全防護體系不僅可有效保障信息平臺運作的有效性,同時也可及時消除信息服務過程中出現的各類故障與問題,確保醫院工作順利進行。
1我國醫院網絡信息安全防護體系現狀分析
(1)安全需求。醫院信息網絡安全防護涉及計算機、通信安全、信息安全、密碼、信息論、數論等多種專業知識與技術,計算機信息系統平臺的防護要做好到不因偶然或者故意的外界因素影響系統運行,保障信息的安全,減少信息丟失、受損、更改、泄露等,確保信息提供服務醫療工作的延續性、長期性、可用性與高效性,提升系統運行安全性與可靠性。結合我國信息安全防護規范與醫院醫療信息工作防護需求來看,技術層面上醫院網絡信息安全主要分為三個層次,一是硬件設施安全,包括計算機、網絡交換機、機房、線路、電源等物理設備在內的設備安全,二是數據或應用安全,即軟件安全,保證信息系統相關軟件、程序、數據庫等操作的訪問安全,三是網絡與系統安全,即包括網絡通信、信息交換、信息應用、信息備份、計算機系統等在內的系統平臺免受系統入侵、攻擊等影響。
(2)安全防護現狀。目前國內經濟發達地區的二級醫院與三級醫院基本上已經建立起了HIS系統與局域網,通過與因特網連接構建服務院內醫療工作的信息平臺,信息網絡運行遵照內外網物理隔離形式,因此相對而言運行風險減小,在安全防護方面投入比例相對較低,不過面對越來越進步的醫療需求,實現內外網合一成為必然,有助于構建更為高效的醫療信息共享模式、預防傳染疾病、建立大范圍醫療服務體系等,但是內外網合一將會面臨更多的安全風險與漏洞,因此加強安全防護體系建設迫在眉睫,是保證醫療信息安全與高效管理的必然舉措。醫院信息安全防護體系的建設面臨著來自安全管理、硬件軟件等多方面的風險,目前防護體系建設主要是通過升級硬件、軟件防護確保信息安全,通過加強人員管理與安全管理降低安全風險威脅,對于醫院醫療系統而言,隨著越來越多的信息化醫療設備、儀器、就醫人員等介入信息平臺,安全防護體系建設所面臨的風險與需求也將會越來越大,因此針對醫療信息安全需求做好防護體系的建設與推廣應用是目前進步發展的關鍵。
(3)信息安全建設問題。當前醫院網絡信息安全問題已經成為困擾信息系統平臺運行、應用的瓶頸,為了應對信息網絡時代頻繁的網絡攻擊與信息安全威脅,殺毒軟件、防火墻、入侵檢測技術、信息備份技術、數據庫安全技術等廣泛應用于醫院網絡信息安全建設。上述技術雖然在確保網絡信息安全方面發揮了一定作用,但是同時也存在不足之處,就目前來看,我國醫院網絡信息安全防護體系還存在不少問題。醫院網絡信息安全防護系統使用的硬件、軟件產品因不屬于同一企業,在整合、規劃、管理中容易存在漏洞導致重復建設或者潛在安全風險等問題,影響信息系統安全。信息平臺的構造與使用專業性要求較高,并且設備、軟件需進行專業整合,院內桌面終端的分散與多邊、醫護人員水平高低、使用情況等都直接增加了信息安全防護的難度。目前醫院網絡信息安全防護系統的建設與應用缺乏統一的技術標準與規范,不利于信息技術的整合和信息平臺潛力的挖掘,一定程度上增加安全防護系統構建與應用的難度。網絡信息技術的發展與安全防護本身處于此消彼長的態勢,在制定安全防護策略、構建防護體系時必須做好與時俱進,最大限度的在降低經濟成本的同時提升技術應用效率與效益。
2醫院網絡信息安全防護體系的設計與應用
(1)硬件設施建設。醫院安全防護系統硬件設施建設關鍵要做好核心服務器、交換機、應用計算機、網絡設備等建設,硬件建設優劣直接決定信息服務效果與質量,是確保醫院信息平臺順利運行的關鍵物質基礎,因此為提升防護穩定性與可靠性,加強硬件設施建設勢在必行。硬件設施建設要從設備型號、性能等入手,配合網絡布局規劃、服務需求制定最佳建設方案。以機房設計為例,作為安全防護信息系統的神經中樞,醫院至少要建立兩個A級標準機房作為主機房與備用機房,并對監控間、設備間、空調電源間做好設計,比如空調電源間要做好精密控溫、恒溫恒濕、備用UPS電源等建設,并留有充足的后續設備空間,另外要著重做好消防安全工作。監控間要應用專業的設備環境監控系統及時掌握主機房環境變化,以便在意外發生時做到準確應對。硬件配備方面為滿足醫院工作網絡信息安全防護需求,要配備優質的設備以保證數據訪問效率,利用HIS服務器、PACS服務器等為實現辦公自動化、電子病歷、信息安全管理提供強勁動力;應用混合光纖磁盤陣列、近線存儲等完成海量數據的存儲、交換與備份,并采用核心交換機、光纖寬帶等構件高性能網絡平臺,并在醫院內部配備優質計算機服務終端。網絡布局方面,根據醫院性質做好軍網、醫保專網、內網、外網的聯合建設,內網建設是關鍵部分,要著重加強安全防護建設,并留有網站備份與未來拓展空間,為醫院信息安全管理提供支持與保障。
(2)網絡系統安全建設。醫院信息網絡系統安全威脅主要來自于外部攻擊入侵或者網絡本身缺陷所導致的運行失誤、效率下降、系統崩潰等問題,攻擊入侵包括木馬病毒攻擊、系統漏洞等,因此要著重做好網絡安全防護與系統安全防護。網絡安全防護要根據醫院網絡性質做好內外網融合與統一,保證專網、軍網等介入內網時受到物理防火墻、網閘的有效保護,屏蔽內網信息、運行情況及結構,有效預防、制止非法入侵及破壞行為,并且為了提升防護效果,要盡量配合網絡運行監控系統以達到理想防護效果。系統安全防護需要建立完善的病毒防護體系,處理好系統終端計算機內的病毒、木馬等,建立有效權限制度以達到保護信息、防護內外入侵等行為,可通過采購企業版病毒防護軟件定期更新病毒庫達到自動殺毒維護安全效果;系統內部防護安全與計算機個人網絡終端關系密切,因此要在院內移動終端上增加桌面控制軟件以實施全面安全管理,通過系統補丁分發、端口訪問、安全準入等機制實現防護。
(3)數據應用安全。數據應用安全關鍵要做好數據存儲、訪問、應用安全及信息系統軟件運行安全。數據存儲安全與系統環境、硬件設備、數據庫安全密切相關,因系統漏洞、硬件損毀、數據庫錯誤等造成數據毀壞要通過采取備份、恢復、數據容錯等舉措解決。為保證數據安全性與完整性,要建立數據庫本機與多機備份機制,尤其是核心數據庫要分別建立主、備用服務器,一旦其中之一發生意外立即采取補救措施實現自動切換,尤其是電子病歷要進行專業備份及歸檔,確保數據完整性與可用性。數據訪問安全問題主要以非法用戶訪問、非法篡改數據為主要表現,要完善醫院內部訪問權限與身份準入系統,實現統一授權管理,以減少信息丟失、錯誤等情況。要對數據庫安全環境建設、應用軟件環境建設倍加關注,如lP±IE址的設置、數據庫配置、環境變量設置等,實現統一運行環境與地址綁定,降低安全運行風險。
(4)安全管理制度。醫院內部要做好信息安全管理制度的完善與執行,根據國家政策、行業法規、院內需求積極完善系統及數據應用,確保網絡信息安全防護系統始終維持良性運行狀態,為醫院安全建設奠定基石。要加強網絡安全值班制度建設,配備專業人員監督網絡系統運行,并配備專業監控系統及時處理各類問題與意外,對于問題嚴重者要及時通報技術科室進行維修養護,確保醫院信息系統始終處于24小時監控維護下。值班管理中,要做好系統運行情況記錄,并進行數據備份,確保值班日記連貫、完整,為安全管理提供幫助。院內用戶管理是安全管理另一重點,權限管理中要嚴格管理員權限準入機制,做好院內計算機終端設備的改造,做好院內工作人員專業培訓,以便實現用戶合法、合規訪問系統,減少系統運行與訪問風險,保證信息數據的安全性。
(5)應用實踐。為了確保醫院網絡安全信息防護系統得到有效運行,在實際運營中要增加相應的運維管理系統與安全防護系統達到理想防護效果。比如在主機房設置機房動力與環境監控系統,對機房準入權限、電源供應、通風、控溫、消防等情況進行監控,確保機房始終維持在理想的恒溫、恒濕現狀,電壓、電流、頻率滿足需求,并將變化做好數據記錄監控,為機房高效管理提供保障;在醫院內網設置專門的安全防護系統,以規范約束院內終端用戶操作與應用,避免非法訪問與數據篡改,該系統與院內身份認證系統合作,通過靈活的安全策略實現對內網用戶、終端計算機的安全管理,充分踐行事前預防、事中控制、事后審計的原則,實現安全行為管理;針對電子病歷管理,要建立專門的VERITAS存儲管理系統對病例數據進行存儲、備份與恢復,并根據備份策略做好病程文件的保護與恢復,以確保醫療工作的順利進行。
3結語
綜上所述,醫院網絡安全防護體系的建設與應用有助于降低醫院信息安全風險,提升信息系統可靠性、可用性與安全性,對于提升醫院醫療服務質量與效果有積極意義,可有效減少院內信息系統安全故障、降低安全運行風險,提升系統運行服務質量,對于國內醫療改革進步、創新有重要實用價值。
參考文獻:
[1]胡祎.醫院信息網絡建設中的安全技術體系[J].網絡安全技術與應用,2013(10):59
[2]劉夏娥.醫院信息系統網絡安全體系構造[J].計算機光盤軟件與應用,2013(1):51
醫院網絡安全方案范文第3篇
關鍵詞:網絡安全隱患;HIS;醫療信息化
中圖分類號:TP393.08
HIS網絡在醫院的信息化管理中扮演著十分重要的角色,在醫院的數字化管理過程中屬于主要的技術方面,能夠妥善處理醫院的整體發展問題,為促進醫院管理和發展提供幫助[1]。但是,HIS網絡存在著一些安全隱患,并經常因為這些安全隱患而導致醫院的一些門診和掛號等各項具體的工作進程不能順利展開,嚴重干擾醫院的正常運營秩序[2]。HIS網絡出現問題不僅會給醫院的運營造成干擾,還會影響醫院的形象,造成醫院聲譽的損失。
1 醫院HIS網絡安全隱患及其防范
1.1 服務器的安全隱患和防范
服務器在HIS網絡中屬于比較重要的設備,如果服務器出現損壞那么醫院HIS系統的整體運行都會出現故障。因此,要想改善醫院的網絡經營狀況,就需要盡量減少由于服務器故障帶來的安全隱患。對于一些大型的三甲醫院來說,針對服務器的問題可以使用2+2的群集平臺來減少服務器問題的出現。這種群集平臺主要指的是使用兩臺服務器再加上兩臺服務器進行存儲,并使用光纖交換機或者是群集軟件,來實現雙機的備份,這樣就可以防止因為單點出現故障,還具備很高的可靠性。另外,針對一些小型的醫院來說,可以使用兩臺服務器增加一臺存儲的方法來實現服務器的安全運行,其中還需要使用服務器自身所自帶的群集軟件進行雙機的備份,這樣如果任何一臺服務器出現故障,那么另外一臺服務器可以自動接管出現故障的服務器的工作。但是這種方法存在一定的隱患,因為如果當前的存儲出現損壞的話,就會導致整個的HIS網絡不能運行,所以這種方法相比2+2的方法在可靠性方面較弱。
1.2 ARP的攻擊防范
在HIS網絡中,ARP的攻擊能夠給該網絡造成不穩定的情況出現,并導致使用用戶不能正常訪問服務器,或者是醫院的斷網可導致重大的事故發生。另外,ARP欺騙攻擊還可能進行更進一步的中間人的攻擊,這樣可以非法地獲取醫院的一些機密信息,這對于醫院的發展方面會造成重大的經濟損失。為了防范ARP的攻擊促進醫院HIS網絡的正常運行,可以使用認證方式的方法來防止ARP欺騙攻擊的出現。具體指的是:首先使用客戶端以及接入交換機和網關的三個控制點來進行全方位的防御。使用用戶可以使用認證的方法來連接網絡,使用認證服務器下面發送的預定的網關在電腦上形成的靜態的ARP的綁定,這樣可以非常有效地減少一些對于主機的網關進行的ARP攻擊。在交換機中對于進行接聽和認證的過程中協議和報文進行接入設置,把使用用戶的IP地址和接入端口等要形成穩固的綁定的關系,并在接入的交換機上面來建立一個映射的表項,根據這個表項的建立來對于用戶發送的ARP報文等進行檢測,這樣可以非常有效地防止一些非法進入網絡的行為出現。
1.3 移動存儲的安全隱患和防范
醫院經常使用的一些例如移動硬盤等移動存儲的介質可能會對醫院的各項醫療終端的操作系統造成病毒等方面的威脅和傷害,這些病毒都會讓醫院HIS網絡的運行遭受到威脅和損害。所以,為了保障醫院HIS網絡的正常運行,需要早客戶端的機器上面減少一些移動存數介質的使用,這個可以通過使用桌面的管理軟件來進行限制和管理,從而減少病毒進行傳播的方法和途徑,以減少醫院的HIS網絡出現威脅的幾率。服務器桌面的終端管理系統可以進行策略的設置和應用的方法來實現禁止移動存儲設備的接入,只有通過了認證的用戶才可以使用移動存儲設備進行接入操作。另外,這個操作系統還可以對IP地址進行綁定,禁止客戶端的機器對于自身的IP地址進行修改,防止出現客戶端的機器修改了地址而產生IP地址之間的相互沖突,從而對醫院的HIS網絡造成威脅。
1.4 遠程備份的安全隱患和防范
在醫院的管理中,信息數據是支撐醫院發展的重要資源[3]。對于任何一個重要的核心運作系統來說,業務運行中的信息數據丟失是一個十分嚴重的問題,可能導致用戶的資料和系統的文件等重要的資料泄露,這樣整個系統的運行根本就無法正常實現。因此,在醫院的HIS網絡安全管理中,如果信息數據出現丟失那么醫院的運行和管理將無法進行下去。在上文中討論的2+2群集平臺雖然可以防止系統的硬件出現損壞,但是不能禁止數據庫出現病毒的干擾等出現數據信息的丟失,所以醫院需要尋找新的方法來防止醫院的信息數據出現丟失的危險。遠程備份服務器將資料備份到遠程的機器上就是防止醫院信息數據出現丟失的主要方法,這種方法可以在需要的時候對于一些信息數據進行恢復性的操作,從而防止出現信息數據丟失的危險。另外,遠程備份還可以使用數據庫自身所帶有的備份的工具,并設置一個備份的計劃,在每隔半個小時的時候做一次增量的備份,還可以在每隔十二個小時的時候做全面的備份,這樣可以有效減少醫院出現數據丟失的概率。針對一些大型有條件的醫院來說,可以引進使用一些基于時間點進行數據恢復的相關的軟件,這樣也可以很有效地減少信息數據丟失的風險。
1.5 IP地址出現沖突的安全隱患和防范
在醫院的整體HIS網絡安全運行中,每個服務區都擁有屬于自身的IP地址,如果客戶使用的機器的地址和醫院服務器的地址出現沖突就很有可能會造成系統運行的癱瘓狀態出現。即便存在一些軟件可以對于IP地址進行綁定操作,但是不可能對醫院每個員工所使用的筆記本電腦進行綁定操作,也就不能避免出現修改IP地址的情況。針對這種情況,醫院可以使用劃分VLAN的方法來避免IP地址出現沖突的現象。VLAN劃分的方法指的是把服務器能夠進行單獨放置在一個VLAN之中,這樣就可以有效防止醫院內網的客戶機的IP地址和服務器的地址出現沖突,保障醫院HIS網絡安全運行。另外,在防止醫院IP地址出現沖突的問題上,還可以使用802.1X來對于接入內網的用戶來對身份進行驗證,還可以對于員工之外的客戶機的IP地址進行綁定。醫院還可以將桌面的終端管理進行充分的結合,能夠有效實現避免IP地址出現沖突而引發的問題[4]。
2 結束語
HIS網絡在醫院的整體運行和管理中承擔著十分重要的作用,在因此HIS的網絡安全運行對于醫院整體的發展來說都有十分關鍵性的影響[5]。筆者主要討論了醫院HIS網絡安全隱患以及其防范的方法,提出了五點關于醫院HIS網絡安全管理的方向,以期為促進醫院的網絡健康發展和管理提供相關的建議。
參考文獻:
[1]徐燕梅.HIS系統中醫院部分重要綜合指標的設計與應用[J].中國衛生統計,2011(03).
[2]程金蓮,牛曉,關寧.淺析醫院HIS系統用戶管理的構架[J].醫學信息(上旬刊),2011(05).
[3]夏慧,張紅君,劉聰.醫院HIS系統與醫保系統接口方式探討[J].醫學信息(上旬刊),2011(06).
[4]謝翠萍,向函,丘文峰.基于web服務的醫院HIS/PACS集成研究[J].醫學信息(上旬刊),2011(08).
[5]劉興淮,溫叢劍,徐燕梅.HIS系統部分重要基礎數據在電子病歷系統的應用[J].中國醫療設備,2011(08).
醫院網絡安全方案范文第4篇
關鍵詞:醫院;信息化建設;網絡安全;防護
醫院信息化建設不斷加快與成熟,促使整體的醫療診治水平提升,保證了診療工作的準確與效率。但是隨著信息化的普遍性,相關網絡管理工作也日益復雜,尤其是我國惡意軟件與不良網絡攻擊情況嚴重,導致醫院網絡安全管理存在較大的威脅。網絡安全是醫院信息化建設中的重要工作,是保證信息化工作開展的基本保障。
1醫院信息化建設中的常見安全隱患
1.1技術因素
醫院信息化建設中,會廣泛的涉及到服務器、客戶端、鏈路、軟件系統、存儲與網絡設備等多種構成元素。醫院信息化建設有效的提升了整體的診療水平,提高工作效率與便捷性,但是網絡安全問題也日益突出,相關信息資源的泄露或者系統攻擊都極大的威脅了信息化建設的有序開展。在安全管理中,物理性環境安全、操作系統安全、數據備份安全等都是網絡系統建設的常見安全問題。而常規性的運用防火墻以及其他防病毒操作都無法有效的保證信息化平臺的安全性,容易引發數據泄露、損壞與丟失,進而干擾了醫院正常工作運轉,甚至也對患者個人信息構成泄露,急需要通過更強的防護技術來做保障。對于部分醫院而言,會簡單的認為設置一定安全防火墻就可以保障系統的安全性,甚至認為不需要其他安全防護來做安全保障,這主要是安全防護工作中缺乏與時俱進的先進意識,認識誤區較為明顯。而防火墻只是防護手段中的一種,能夠防御性的安全問題較為局限,對網絡內部與旁路攻擊都無法達到理想的防護效果,同時針對內容攻擊的問題也無法處理。部分設備中只是對攻擊行為進行警告,但是并不具備攻擊行為的防控能力。在數據庫升級中,可以到數據庫做用戶操作登錄記錄,可以達到操作源IP地址的定位,但是缺乏無法阻止其做惡性操作,例如對數據信息做惡意的竊取與篡改,甚至無法認定操作人員最終責任,因為賬戶登錄只需要賬戶與密碼就可以進行,但是這種登錄操作任何掌握信息的人都可以進行,無法達到全面的管控。此外,安全防護措施工作量大,操作復雜。在做IP與MAC地址綁定中,需要管理人員針對每臺交換機做操作,對綁定信息做逐條的輸入,工作負荷相對更大,操作缺乏高效便捷性。其次,如果有人懂得相關網絡基礎技術,可以輕易的做到IP與MAC地址的變更,從而引發綁定操作失效。此外,醫院主機裝備了殺毒軟件,然而由于數量較多,不能有效的對每個主機做殺毒軟件的統一性管控,對于病毒庫的更新以及軟件的開啟等情況都無法做有效確定,相應的系統補丁也不能及時有效更新,進而導致安全防護效果不能確定。雖然醫院投入大量的財力與人力做好安全防護措施處理,但是實際上缺乏可執行性,同時由于各設備間缺乏關聯性,從而對于實際效果無法做有效評估與管控,安全防護措施與手段的運用則流于形式。
1.2人為因素
醫院信息化建設更多的操作需要人為進行,因此人為因素是網絡安全管理的重要因素。醫院沒有將網絡安全明確到人,缺乏責任制管理,無論是安全管理人員還是普通工作人員,缺乏足夠的安全管理意識。沒有形成規范合理的信息系統建設制度規范,導致實際操作無章可循。沒有強效的安全檢查與監督機制,同時也沒有專業的第三方機構做安全性介入管理。相關工作人員缺乏專業資質認定,對于網絡安全沒有展開合宜的宣傳教育,同時也缺乏對應工作與行為考核,導致工作人員缺乏應有的安全責任觀念。因為工作人員缺乏安全意識與專業的安全能力,會出現將個人電腦接入醫院內部網絡,從而導致病毒攜帶入網,導致相關信息化系統運行故障。或則將醫療業務網絡電腦與互聯網、外網連通,導致相關網絡中的病毒、木馬程序進入到醫院的內部網絡,導致網絡病毒蔓延。工作人員會因為有職務的便利性,會訪問醫院有關數據庫,從而得到數據資料的竊取與篡改,進而導致相關經濟損失。同時黑客會通過技術手段接入到醫院內部網絡中,進行直接性的網絡攻擊,醫院與醫保網絡系統處于連通數據驗證操作所需,如果被攻擊則容易導致嚴重后果。
2醫院信息化建設中的網絡安全防護
2.1完善管理制度
醫院網絡運行保持安全性效果的基礎在于完善健全的制度管理,可以通過對醫院實際情況的了解,設置針對性安全管理操作制度、監督制度、用人制度、激勵制度等多種內容。確保所有有關工作的開展有章可循,提升操作的標準性、可執行性。要不斷的強化制度的權威性,讓工作人員對此保持謹慎態度,避免安全疏忽。
2.2安全管理細節措施
醫院網絡管理需要多方面的細節措施來保證。例如為了保證服務器能夠可靠穩定的持續工作,需要運用雙機容錯與雙機熱備對應方案,對于關鍵性設備需要運用UPS來達到對主備機系統的有效供電,確保供電電壓持續穩定供應,同時避免突發事件。網絡架構方面,需要將主干網絡鏈路采用冗余模式,這樣如果出現部分線路故障,其余的冗余線路可以有效繼續支持整個網絡的運轉。需要運用物理隔離處理來對相關信息數據傳輸設備保持一定的安全防護,避免其他非專業人員或者惡意破壞人員對設備進行破壞,需要做好業務內網與外網連通的隔離,避免網絡混合后導致的攻擊影響或者信息泄露。對于醫院內部的信息內容,需要做好數據與系統信息的備份容災體系構建,這樣可以有效的在機房失火或者系統運行受到破壞時快速的恢復系統運行。要展開網絡系統的權限設置,避免違規越權操作導致系統信息數據的修改有著竊取,要做好數據庫審計日志,對于相關數據做動態性的跟蹤觀察與預警。
2.3技術手段升級
在網絡安全防護措施上需要保持多樣化與多層次的防護管理,積極主動的尋找管理漏洞,有效及時的修補管理不足。對網絡設備做好殺毒軟件的有效管控,建立內外網間的防火墻,限制網絡訪問權限,做好網絡攻擊預警與防護處理。對于網絡系統各操作做有效記錄跟蹤,最安全漏洞做到及時發現并修復。要投入足夠人力與財力,優化工作人員技術水平,從而有效的保證技術手段的專業完善性。
結束語
醫院信息化建設中網絡安全需要醫院所有人員的配合,提升安全意識,規范安全管理制度與行為,確保網絡安全的有序進行。
參考文獻
[1]李騫.醫院信息化建設中的網絡安全與防護措施探析[J].網絡安全技術與應用,2015(9):43,45.
[2]雷震宇.醫院信息化建設中網絡安全維護討論[J].信息通信,2016(6):153-153,154.
醫院網絡安全方案范文第5篇
關鍵詞: 新農合; 數據交換; 擺渡交換; 安全防護; 隔離
中圖分類號:TP399 文獻標志碼:A 文章編號:1006-8228(2014)04-15-02
Abstract: How to efficiently increase the security of data exchange between new rural cooperative medical service (NCMS) and hospitals, and how to enhance service capabilities of information system are discussed. A security mechanism managed and controlled by the NCMS is established, with five ways to control, two ways to defend and two ways to isolate, controlling information entirely. Applying the scheme of “gatekeeper + gateway + terminal security system”, network isolation between the NCMS and hospital intranets, and ferry exchange of data are realized. After the new data exchange security scheme between the NCMS and hospitals is realized, the security risk will be reduced efficiently and the service quality of the NCMS and hospital information system will be improved further.
Key words: new rural cooperative medical service (NCMS); data exchange; ferry exchange; security; isolation
0 引言
隨著新型農村合作醫療(以下簡稱:新農合)逐步推進,新農合病人到醫院就診可以實時結算,新農合網絡與醫院內部網絡之間的數據交換日趨頻繁。據調查,大部分新農合網絡與醫院內部網絡有直接或間接相連,卻沒有采取可靠的安全防護措施。如何確保新農合與醫院網絡之間數據交換的安全性,已經成為一個重大的課題擺在了新農合與醫院信息化建設主管部門的桌面上。
1 新農合網絡現狀
新農合制度是我國特有的一種醫療保障制度,與人民群眾的健康息息相關,新農合正在廣泛推行實時結算、異地就醫結算。以浙江省桐鄉市新農合為例,桐鄉的新農合不僅在桐鄉市范圍內實現實時聯網結報,而且還與嘉興市、杭州市、上海市等大中城市的定點醫院實現異地就醫實時結算。目前,按照國家信息安全等級保護要求[1],新農合網絡定級為三級,三級網絡在網絡結構、訪問控制、安全審計、邊界完整性檢查、入侵防范等方面都做了嚴格要求,如要求在網絡邊界部署訪問控制設備,對進出網絡的信息內容進行過濾,對用戶訪問進行身份認證,對非授權設備私自聯到網絡的行為進行檢查等,以確保網絡穩定運行。
2 新農合與醫院網絡接口
每個縣市的新農合系統都是一個大型復雜的計算機網絡信息系統,新農合信息中心與當地的醫院、社區衛生服務站等單位相連,交換醫療信息數據。為了便于管理和維護,新農合信息中心都會對外提供統一的網絡接入和“數據交換接口”。由于各單位情況不同,接入方式包括直連專線接入、撥號專線接入和基于公網的VPN接入等多種形式;“數據交換接口”是一套軟件或動態鏈接庫,醫院、社區衛生服務站等單位的應用程序統一通過這套接口與新農合中心進行數據交換[2]。
目前,新農合網絡與醫院內部網絡數據交換方式基本上采用前置機模式,即在新農合網絡和醫院內部網絡之間放置一臺前置,雙方的數據交換通過前置機上的“軍事緩沖區(DMZ)”來完成,互相不進入對方的網絡,前置機軟件由新農合信息中心提供和維護。醫院的HIS系統通過調用新農合提供的函數接口與前置機建立連接,將新農合病人的數據傳輸到前置機上,再由前置機傳輸到新農合信息中心。如圖1所示。
3 安全風險分析
雖然新農合網絡被定級為三級網絡,不能直接與國際互聯網相連,各醫院、社區衛生服務站等單位只能通過專線或專網接入新農合網絡,但接入單位多,接入網絡復雜,網絡管理水平參差不齊,而目前大部分醫院內部網絡通過前置機直接連接新農合網絡,存在安全隱患[3]。主要的安全風險可以概括為“三個不可控”。
3.1 網絡安全環境不可控
新農合網絡是一個異常復雜的網絡環境,雖說接入該網絡需要新農合管理機構批準,但因為接入機構繁多,所以整個網絡可以說并不在新農合的控制和管理之下,與各醫療機構相連存在安全隱患。
3.2 網絡范圍不可控
醫院、社區衛生服務站、鄉鎮街道、銀行等單位都需要接入新農合網絡,接入終端數量多、分布廣,難于管理,給病毒、木馬傳播提供了便利的途徑。
3.3 主機安全不可控
放置在新農合網絡與醫院內部網絡之間的前置機,在實際工作中是存放在醫院端運行和保管的。因該機器的位置特殊性,并沒有部署防火墻、IPS等對其進行保護,所以該機器存在較大的被入侵可能,若將此機器作為跳板,就可以監聽/竊取/破壞病人就醫資料了。
4 安全解決方案
4.1 實現目標
新農合網絡與醫院內部網絡互聯中主要的安全風險在于:沒有可控的安全策略,缺乏對網絡安全包括信息安全交換方面的主導權。因此,在新農合網絡與醫院內部網絡之間,需要建立一套由新農合管理和控制的安全防護機制[4],這套機制要求達到如下目標。
⑴ 網絡邊界的隔離防護。實現邊界安全隔離,隔離醫院內部網絡,禁止醫院內部網絡未經授權主機就擅自訪問新農合網絡。
⑵ 嚴格的授權訪問控制。采用強認證技術,防止非授權的醫院內部網絡終端訪問前置機、訪問新農合網絡。
⑶ 非法外聯控制。防止木馬程序以醫院內部網絡為跳板連接新農合前置機,監聽、獲取重要數據。
⑷ 網絡入侵防御。采用網絡邊界和終端入侵防護技術,保護新農合前置機數據交換過程中不受惡意代碼感染、駐留,不被遠程主機控制和連接。
⑸ 訪問行為強審計。審計所有對新農合數據庫的訪問請求,對試圖訪問敏感信息的行為進行阻斷和報警。
4.2 設計思路
五控兩防兩隔離,全面掌握信息控制權。五控:外網到內網的訪問控制、內網到外網的訪問控制、通信協議及內容控制、通信對象控制、新農合終端訪問范圍控制;兩防:防止外網暴力攻擊、防止內網主動泄露;兩隔離:新農合網絡與醫院內部網絡安全隔離、新農合終端與醫院終端隔離。
4.3 解決方案
采用“網閘+網關+終端安全系統”的解決方案,實現新農合網絡與醫院內部網絡與間的網絡隔離斷開與數據的擺渡交換。即在醫院內部網絡與新農合前置機間加裝符合安全認證要求的安全隔離與信息交換系統(網閘)和安全網關,并在需訪問新農合前置機的醫院內部網絡終端上安裝安全控制軟件。網閘、網關與終端安全系統相結合且相互聯動,構成動態的防御體系。
4.4 技術先進性
4.4.1 采用隔離網閘實現網絡安全隔離和防御外網暴力攻擊
隔離網閘采用獨特的硬件架構,能夠實現新農合網絡與醫院內部網絡與之間TCP/IP的網絡斷開。當鏈路斷開后,外網無法與醫院內部網絡任何主機進行網絡連接,也就無法攻擊主機,從而實現新農合網絡與醫院內部網絡在連接過程中不受來自其他設備的各類網絡層、操作系統層網絡攻擊。如圖2所示。
4.4.2 采用多因素身份認證機制實現嚴格的訪問控制
采用三位一體強認證技術實現可信的身份鑒別,能夠嚴格控制醫院內部網絡與新農合網絡之間的訪問活動,禁止除新農合前置機外的任何外網節點訪問醫院內部網絡,禁止任何外網主機直接訪問醫院HIS等核心服務器,禁止醫院終端向除新農合前置外的任何其他IP地址發起訪問,限制醫院能夠訪問新農合前置機的終端數量。動聯身份認證訪問機制如圖3所示。
對新農合所有數據庫訪問的內容進行審計數據中心部署數據庫審計和數據訪問控制系統[5],對所有數據庫訪問請求進行事先防范、事中授權、審批和及時通知、事后審計的全面數據保護授權和審計。
5 結束語
本文探討了通過實施一套新農合與醫院網絡數據交換的安全防護方案,有效降低了網絡安全風險。該方案可以將網絡安全環境、網絡范圍、主機安全的風險掌握在一定的可控范圍內,從而進一步提升新農合和醫院信息系統的服務水平。
參考文獻:
[1] 尚邦治.做好信息安全等級保護工作[J].中國衛生信息管理,2012.9(5):19-23
[2] 汪永琳,丁一.基于HL7的醫療數據集成及系統設計[J].通訊技術,2009.42(12):176-177
[3] 倪寧.區域衛生信息平臺安全分析[J].中國衛生信息管理,2013.10(3):244-247
