网络信息安全需求分析_3.docx

《网络信息安全需求分析_3.docx》由会员分享，可在线阅读，更多相关《网络信息安全需求分析_3.docx（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络信息安全需求分析网络信息安全需求分析随着医院信息化建设步伐的不断加快,信息网络技术在医疗行业的应用日趋广泛,这些先进的技术给医院的管理带来了史无前例的便利,也提升了医院的管理质量和服务水平,同时医疗业务对行业信息和数据的依靠程度也越来越高,也带来了不可忽视的网络系统安全问题,本文主要从网络系统的硬件、软件及对应用系统中数据的保护,不受毁坏、更改、泄露,系统连续可靠、正常地运行,网络服务不中断等方面讨论医院网络信息安全的需求。医疗业务对行业信息和数据的依靠程度越来越高,带来了不可忽视的网络系统安全问题,现分析如下:一、网络安全建设内容在医院信息网络建设中,网络安全体系是确保其安全可靠运行的重

2、要支柱,能否有效地保护信息资源,保护信息化健康、有序、可持续地发展,是关系到医院计算机网络建设成败的关键。保障网络信息安全,要防止来自外部的恶意攻击和内部的恶意毁坏。运用网络的安全策略,实行统一的身份认证和基于角色的访问控制。医院计算机网络提供统一的证书管理、证书查询验证服务及网络环境的安全。建立和完善统一的受权服务体系,实现灵敏有效的受权管理,解决复杂的权限访问控制问题。通过日志系统对用户的操作进行记录。二、网络安全体系建设网络安全体系建设应从多个层次完好地、全方位地对医院的信息网络及应用情况进行分析,所制定的安全机制基本包括了对各种安全隐患的考虑,进而保护关键业务系统的正常运行,控制内网用

3、户接入,避免患者电子信息以及医院重要数据的泄密。如图1。2.1物理设备安全需求即便应用了功能最强大的安全软件,假如没有注意物理安全,会大大地毁坏系统安全的整体性,攻击者会通过物理接触系统来到达毁坏的目的,因而,物理安全是安全策略中最为关键的一步。设备和操作系统都提供了通过物理接触绕过现有密码的功能。机房内各服务器和网络设备均放置在上锁的机柜中,钥匙专人负责保管,同时要在中心机房安装视频监视设备进行监控。网络整体要部署防雷系统,机房要有防静电地板,配线间注意散热且定期进行除尘工作。主要网络设备能够采用双路供电或者安装UPS。2.2口令安全需求网络设备口令一律不采用缺省值,长度至少是8位,采用字母

4、和数字的组合且其中至少包含两个特殊字符。医院信息系统如HIS、LIS、PACS、CIS对于医院一般用户的帐号,要求密码应包含字母、特殊字符和数字。对于重要部门或者岗位操作人员的系统密码要提醒其定期检查和更改。网络设备的SNMP通信字串和口令具有同样的重要性,也应该遵循和口令要求一样的原则,建议采用SNMP探测功能进行弱SNMP通信字串的检测。2.3传输安全需求医院网络基础建设中采用的VPN技术能够从最底层确保安全4,既可防止其他网络的用户未经受权使用医院信息网络的信息资源,可以防止本网络的用户进入其他的网络。为了保证医院关键业务应用24小时不间断地运行,部分重要科室应设计为冗余的网络链路。如图

5、1示:门诊收费处、住院收费处等关键科室会聚层交换机互为冗余,进而最大限度地避免了单点传输故障造成的业务系统崩溃。2.4网络通信安全需求2.4.1防火墙应用医院计算机网络需要与Internet外网进行互联,这种互联方式面临多种安全威胁,会遭到外界的探测与攻击。防火墙对流经它的网络通信进行扫描5,这样能够过滤掉一些来自Internet的攻击,如拒绝服务攻击(DoS),阻止ActiveX、Java、Cookies、Javascript侵入。通过防火墙的病毒扫描和内容过滤功能能够避免恶意脚本在目的计算机上被执行。防火墙还能够关闭不使用的端口,而且它还能禁止特定端口的流出通信,封锁特洛伊木马,禁止来自特

6、殊站点的访问,进而防止来自不明入侵者的所有通信。2.4.2IDS系统应用IDS(入侵检测系统)针对医院网络中的各种病毒和攻击,进行有效的检测,按照一定的安全策略,对网络、系统的运行状况进行监视,进而提供入侵实时警告。通过IDS与防火墙的联动,能够更有效地阻断所发生的攻击事件,同时可以以加强网络的安全管理,保证主机资源不受来自内、外部网络的安全威胁。2.4.3VLAN划分管理在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。利用虚拟网络技术,能够大大减轻医院网络管理和维护工作的负担,也有效地从物理层避免了广播风暴,防止网络病毒的蔓延。2.5网络防病毒体系在医院计算机网络中,由于设计的范围

7、比拟广,部门又多,通信比拟频繁,很容易导致病毒的泛滥,对系统文件、数据库等造成不可预测的毁坏。面对日益复杂的网络环境,网络防病毒应不只是一个单纯的系统,而应是一个联动相互配合的体系,包括如下几个方面的内容。2.5.1网络防病毒中心一旦病毒入侵系统或者从系统向其他资源感染,网络防病毒软件会立即检测到并加以删除。此外,网络防病毒软件还能够防止病毒对网络操作系统本身的攻击,如某些针对Windows系统、Unix系统的病毒。医院计算机网络建立网络防病毒系统时应考虑集中管理和自动下载、更新以及分发病毒库等。2.5.2网络分析中心通过部署专业的网络分析软件能够在各种网络环境中,对网络中所有传输的数据进行检

8、测、分析、诊断,构成拓扑帮助用户排除网络事故,躲避安全风险,提高网络性能,增大网络可用性价值。医院不用再担忧网络事故难以解决,网络分析系统能够把网络故障和安全风险会降到最低,找到网络瓶颈逐步提升网络性能。2.5.3SUS服务中心SoftwareUpdateServices(SUS)能够帮助基于Microsoft用户快速部署最新的重要更新和安全更新。通过使用计划发布的SUS,管理员能够完全控制管理通过WindowsUpdate发布给网络中计算机的更新分发,进而统一更新全网主机的补丁和修复安全漏洞。2.5.4桌面管理中心通过部署集中的局域网桌面管理软件,保护终端操作系统的安全,对局域网进行有效监控

9、管理就显得非常必要,可以大大降低维护工作量。桌面管理软件的功能如下:控制网络主机的USB、光驱、软驱等常见的硬件接口,能够阻断病毒传播途经。控制用户主机使用或者安装非法软件,能够远程检测终端主机的界面,方便管理。对不良网站进行严格限制,禁止终端主机访问,禁止BT以及P2P软件占用网络带宽。2.6存储以及数据安全医疗业务系统24小时不间断运行需要对存储以及数据进行有效的保护,目前,多数医院已经部署了基于FibreChannel(FC)技术的SAN(storageareanetwork)存储系统,集中管理与整合储存设备资源。SAN解决方案中,你能够得到一个完全冗余的存储网络,SAN具有不同寻常的扩展性,通过数据权限管理、数据复制、备份、容灾等技术确保存储数据的安全。三、安全管理安全体系的建立和维护需要有良好的管理制度和很高的安全意识来保障。安全意识能够通过安全常识培训来提高,行为的约束只能通过严格的管理体制,并利用法律手段来实现。因些必须在管理部门