醫院的網絡安全建設實施

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了醫院的網絡安全建設實施范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：隨著時代的高度信息化發展，網絡技術已經廣泛應用于醫院信息化建設中的每個領域。隨著醫院的網絡規模逐步擴大，網絡結構愈加復雜，信息安全涉及的范圍將更廣，將面臨更多的威脅。網絡安全作為全院信息系統建設的基礎和第一道防御屏障，它的正常運行直接關系醫院整體業務與服務的開展，直接涉及醫院和病人的經濟利益。從多個角度闡述了增強醫院網絡系統的安全管理以及相關建設方案。

關鍵詞：醫療信息化；網絡安全；建設方案

1概述

網絡安全是指整體網絡結構內部支持的所有網絡硬件設備和軟件之間的統籌安全防護，保障兩者不受惡意攻擊和破壞，保持網絡系統可靠地連續運行，保障網絡的不中斷服務[1]。醫院的網絡系統范圍涉及醫院信息系統中各節點間的通信鏈路、各類硬件設備、醫療軟件及其系統中的報表數據等。從網絡運維和管理者的角度分析，網絡安全可視作由多個結構分類組成的一個集合，每一個安全層次作為一個獨立整體對應不同的功能特征，結合醫院網絡系統的實際運用，可將醫院網絡安全分為3個方面并提供不同策略的防護：物理方面、結構方面和應用方面。

2網絡的物理安全

醫院網絡基礎設施的安全建設，主要涉及中心機房的安全性設計，包括網絡運行的物理環境安全（如區域保護和災難保護）以及相關設備的防護安全等。中心機房作為醫院信息網絡系統的核心樞紐，它承載著整個信息系統的基礎條件，在醫院網絡工程設計與施工過程中，需充分考慮機房的地理選址、室內環境裝修以及各項防災、消防措施等事項。具體保障設施的建設需求不作一一詳述，可具體參照《電子信息系統機房設計規范》進行規劃設計。同時，可部署機房環境監控系統（BSM），對機房的各防護體系進行集中監控和安全管理，并提供相應的機房組態界面圖，實時展示機房內各機柜的溫濕度情況、精密空調工作狀態、機房市電工作數據和UPS供電狀況等信息，便于管理員的日常巡視工作。

3網絡的結構安全

醫院的局域網交互廣泛、應用復雜，網絡結構的建立要考慮物理環境、設備配置與業務應用情況、遠程聯網方式、網絡維護管理等因素[2]。在構建醫院需求的局域網時通常采用“分層網絡模型”的設計，將醫院整體網絡結構劃分成相互分離的三層拓撲：核心層、分布層和接入層。分層網絡具有良好的擴展性，網絡的冗余性實現方便，有助于提高網絡的安全性且便于管理維護。在分層設計模型中，接入層是負責終端設備的接入，主要是將設備連接至網絡并提供相應的網段間通信服務；分布層是匯聚接入層交換機傳輸的數據，通過相應訪問策略（如ACL、NAT等）控制不同網段間的通信訪問，并將通過審查的數據傳輸至核心層；核心層是網絡互聯的高速主干道，作為網絡匯聚的樞紐集中著所有分布層設備需要交換的流數據量，必須具有高效的數據轉發和處理能力。通常，接入層交換機分部安裝在每層樓宇的配線間中，分布層、核心層交換機基于嚴格的安全防護通常部署于中心機房內。接入層設備采用相較便宜的只有基礎轉發功能的二層交換機，而在分布層和核心層上采用價格相較高昂的千兆以上高帶寬、高性能和具有冗余功能和路由功能的三層交換機。在網絡拓撲規劃中，同時要考慮構建網絡的鏈路冗余性，通常采用雙設備互聯備份機制，為網絡拓撲結構的每一層的每一臺交換機與下一層的每一臺交換機之間兩兩鏈路互連，并啟用交換機的STP（生成樹協議）防止多條路徑之間可能導致的網絡環路，也可在路由器接口上啟用VRRP（虛擬路由器冗余協議）實現VRRP組中備份路由器（可配置多臺）在主路由器失效時的接替工作，即使某一臺交換機路由器在工作中出現故障，相連的其他設備會調整選擇其他正常的備用設備與可達路徑，保持數據間的正常轉發與路由，使網絡保持暢通。在網絡結構的優化方面，可為接入層交換機的終端設備（如服務器）接入端口配置為快速端口（PortFast）模式，為分布層和核心層之間運用鏈路聚合技術，將多條物理鏈路組合成一條具有更高帶寬的邏輯鏈路，結合使用負載均衡功能實現網絡更快的傳輸效率和更高的吞吐量，提升網絡的通信性能。

4網絡的應用安全

醫院網絡系統的應用貫穿著各項日常業務的開展，隨著醫療服務對于互聯網技術的廣泛應用，各不同醫療部門的工作業務、管理業務和科研需求都離不開網頁的瀏覽訪問、文件的上傳、下載、電子郵件等應用程序。面向全球性開放式、結構錯綜復雜的Internet網絡，不僅使流經醫院網絡的數據流量激增，隨之而來的非法侵入的可能性也急劇增大。為了保護各種信息資源的安全，必需對本地、外部網絡的訪問、數據信息的讀寫等加以保護和控制，避免遭受木馬病毒的侵入、DOS攻擊、IP地址欺詐、非法占用和串改等網絡威脅，抵御網絡黑客的攻擊和勒索破壞[3]。網絡的應用安全具體實施包括如下幾個方面：

4.1內外網絡的隔離

醫院的網絡體系結構一般由3個區域組成：本地網絡、外圍網絡或DMZ（非軍事區）以及邊界（外部）網絡。在兩個不同的區域間都各自部署一臺結構不同的防火墻（若采用同廠商同型號的防火墻，由于兩者的性能協議相同則而被黑客輕易地逐一攻破），組成兩兩網絡區域間的第一道防護屏障，避免位于后方的網絡受到來自外界的攻擊，提供對不受信任的外部用戶的訪問限制，防止外部用戶訪問內部網絡同時也可以限制、規范內部用戶的可執行操作。防火墻作為內外網絡進出的必經之路，通過包過濾技術可以檢測所有數據的詳細信息，并根據已制定的相關訪問策略和過濾規則對外界流經它的數據進行監控和審查，防止外部網絡中未授權用戶的非法訪問，實現內外網的隔離與訪問控制，進一步保護網絡中業務數據、信息資源和用戶信息的安全。

4.2內部網絡的訪問控制

主要利用VLAN（虛擬局域網）技術并結合Trunk（中繼）和VLAN間路由技術來實現對內部子網的邏輯隔離與延伸。按照醫院區域規劃及相關職能通過在交換機上劃分VLAN將醫院內部網絡邏輯地劃分成若干個虛擬子網，每一個VLAN形成一個獨立的子網，實現內部網段的隔離，簡化了網絡拓撲的結構的同時提高了用戶間數據的保密性。VLAN間的隔離將網絡整體的大型廣播域分割成一個個互不干涉的小型獨立域，以此防止廣播風暴在整個網絡范圍的傳播，可以限制局部網絡安全問題對全局網絡造成影響。

4.3網絡安全檢測與防御

防火墻可以阻止基于IP包頭的攻擊和非信任地址的訪問，但無法阻止基于數據內容的黑客攻擊和病毒入侵，同時也無法控制內部網絡之間的行為[4]。入侵檢測（IDS）和入侵防御（IPS）系統被視作防火墻之后的第二道安全閘門。IDS屬于一種監測系統，在網絡系統的運行遇到非法入侵的狀況時進行自動檢測和監控，并對異常行為進行記錄并分析相應的入侵規則，在識別入侵攻擊的特征后，向控制臺報警并提供防御依據，隨后開展相應的防護功能并及時將入侵事件反饋給管理員。IPS可深入網絡數據的內部，感知并檢測流經的數據流量，對照數據之間的正常關系以此識別可疑情況，檢測到異常特征后及時對通過網關或防火墻進入網絡內部的惡意代碼進行丟棄以阻斷攻擊，第一時間阻止木馬病毒的蔓延，同時還會對濫用濫反的報文進行限流以保護網絡的帶寬資源。通常將防火墻、IDS、IPS3類設備結合部署，組成一套統一威脅管理系統（UTM），實現網絡信息的入侵檢測、防御、阻斷為一體的綜合性安全防護體系。

4.4網絡防病毒

目前，各種計算機病毒及惡意軟件不斷更新變異，危害和威脅極大，致使加強對網絡環境下病毒和惡意軟件的防范、檢測及清除非常重要。防病毒技術主要通過安全殺毒軟件通過它的實時監控識別、掃描和清除功能來防止木馬病毒和惡意軟件的侵入。部署的殺毒軟件應該具有可疑構造全網統一的云安全防病毒體系功能，全面支持對整體網絡范圍內的服務器和工作終端進行實時病毒防控，并能夠在云中心服務端控制對全院客戶端進行最新病毒庫的統一更新，云安全功能會實時自動分析和處理病毒，可及時、快速地將解決方案提供給網絡管理員，攔截一切可疑的互聯網威脅。

5結語

醫療信息化是醫院推行醫療改革、推進技術創新的必經之路，隨著它的數字化應用和發展，醫院的常規業務對各類信息系統及相關的醫療數據依賴程度日益提高，網絡作為開展醫療信息化的基礎，牽一發而動全身，加強醫院信息網絡安全已成為醫療行業中普遍的認識。任何網絡安全事件都可能導致醫院業務的癱瘓、患者個人信息的泄露、醫療數據的竊取與勒索等，直接影響醫院的整體運營和患者的就醫滿意度，損及醫院的信譽，處理不當則可能會引起醫患糾紛、法律問題甚至社會問題。網絡作為保障醫院信息系統安全與穩定的首當其沖之地，它的安全建設和管理工作是醫院信息化建設的重中之重。

參考文獻

[1]楊威.網絡工程設計與系統集成[M].2版.北京：人民郵電出版社,2010：189.

[2]賈鐵軍.網絡安全管理及實用技術[M].北京：機械工業出版社,2010:322.

[3]李領治,楊哲,紀其進.實用計算機網絡教程[M].北京：清華大學出版社,2017：297.

[4]賈鐵軍.網絡安全管理及實用技術[M].北京：機械工業出版社,2010:10.

作者:孫志超 單位:蘇州市第七人民醫院信息科