資源描述:
《網(wǎng)絡(luò)信息安全需求分析》由會員上傳分享���,免費在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫��。
1�、網(wǎng)絡(luò)信息安全需求分析隨著醫(yī)院信息化建設(shè)步伐的不斷加快,信息網(wǎng)絡(luò)技術(shù)在醫(yī)療行業(yè)的應(yīng)用日趨廣泛,這些先進的技術(shù)給醫(yī)院的管理帶來了前所未有的便利,也提升了醫(yī)院的管理質(zhì)量和服務(wù)水平,同時醫(yī)療業(yè)務(wù)對行業(yè)信息和數(shù)據(jù)的依賴程度也越來越高,也帶來了不可忽視的網(wǎng)絡(luò)系統(tǒng)安全問題,本文主要從網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及對應(yīng)用系統(tǒng)中數(shù)據(jù)的保護,不受破壞���、更改����、泄露,系統(tǒng)連續(xù)可靠�、正常地運行,網(wǎng)絡(luò)服務(wù)不中斷等方面探討醫(yī)院網(wǎng)絡(luò)信息安全的需求��。醫(yī)療業(yè)務(wù)對行業(yè)信息和數(shù)據(jù)的依賴程度越來越高,帶來了不可忽視的網(wǎng)絡(luò)系統(tǒng)安全問題,現(xiàn)分析如下:一
2�����、����、網(wǎng)絡(luò)安全建設(shè)內(nèi)容在醫(yī)院信息網(wǎng)絡(luò)建設(shè)中,網(wǎng)絡(luò)安全體系是確保其安全可靠運行的重要支柱,能否有效地保護信息資源,保護信息化健康、有序�����、可持續(xù)地發(fā)展,是關(guān)系到醫(yī)院計算機網(wǎng)絡(luò)建設(shè)成敗的關(guān)鍵���。①保障網(wǎng)絡(luò)信息安全,要防止來自外部的惡意攻擊和內(nèi)部的惡意破壞����。②運用網(wǎng)絡(luò)的安全策略,實行統(tǒng)一的身份認證和基于角色的訪問控制。③醫(yī)院計算機網(wǎng)絡(luò)提供統(tǒng)一的證書管理��、證書查詢驗證服務(wù)及網(wǎng)絡(luò)環(huán)境的安全����。④建立和完善統(tǒng)一的授權(quán)服務(wù)體系,實現(xiàn)靈活有效的授權(quán)管理,解決復雜的權(quán)限訪問控制問題。⑤通過日志系統(tǒng)對用戶的操作進行記錄�����。二��、網(wǎng)絡(luò)
3���、安全體系建設(shè)網(wǎng)絡(luò)安全體系建設(shè)應(yīng)從多個層次完整地���、全方位地對醫(yī)院的信息網(wǎng)絡(luò)及應(yīng)用情況進行分析,所制定的安全機制基本包括了對各種安全隱患的考慮,從而保護關(guān)鍵業(yè)務(wù)系統(tǒng)的正常運行,控制內(nèi)網(wǎng)用戶接入,避免患者電子信息以及醫(yī)院重要數(shù)據(jù)的泄密。如圖1����。2.1物理設(shè)備安全需求即使應(yīng)用了功能最強大的安全軟件,如果沒有注意物理安全,會大大地破壞系統(tǒng)安全的整體性,攻擊者會通過物理接觸系統(tǒng)來達到破壞的目的,因此,物理安全是安全策略中最為關(guān)鍵的一步。①設(shè)備和操作系統(tǒng)都提供了通過物理接觸繞過現(xiàn)有密碼的功能。②機房內(nèi)各服務(wù)器和網(wǎng)
4�、絡(luò)設(shè)備均放置在上鎖的機柜中,鑰匙專人負責保管,同時要在中心機房安裝視頻監(jiān)視設(shè)備進行監(jiān)控。③網(wǎng)絡(luò)整體要部署防雷系統(tǒng),機房要有防靜電地板,配線間注意散熱且定期進行除塵工作����。④主要網(wǎng)絡(luò)設(shè)備可以采用雙路供電或者安裝UPS。2.2口令安全需求網(wǎng)絡(luò)設(shè)備口令一律不采用缺省值,長度至少是8位,采用字母和數(shù)字的組合且其中至少包含兩個特殊字符�。醫(yī)院信息系統(tǒng)如HIS、LIS�、PACS、CIS對于醫(yī)院一般用戶的帳號,要求密碼應(yīng)包含字母���、特殊字符和數(shù)字。對于重要部門或者崗位操作人員的系統(tǒng)密碼要提醒其定期檢查和更改��。網(wǎng)絡(luò)設(shè)備的
5�、SNMP通信字串和口令具有同樣的重要性,也應(yīng)該遵循和口令要求相同的原則,建議采用SNMP探測功能進行弱SNMP通信字串的檢測。2.3傳輸安全需求醫(yī)院網(wǎng)絡(luò)基礎(chǔ)建設(shè)中采用的VPN技術(shù)可以從最底層確保安全[4],既可防止其他網(wǎng)絡(luò)的用戶未經(jīng)授權(quán)使用醫(yī)院信息網(wǎng)絡(luò)的信息資源,也可防止本網(wǎng)絡(luò)的用戶進入其他的網(wǎng)絡(luò)�����。為了保證醫(yī)院關(guān)鍵業(yè)務(wù)應(yīng)用24小時不間斷地運行,部分重要科室應(yīng)設(shè)計為冗余的網(wǎng)絡(luò)鏈路���。如圖1示:門診收費處�����、住院收費處等關(guān)鍵科室匯聚層交換機互為冗余,從而最大限度地避免了單點傳輸故障造成的業(yè)務(wù)系統(tǒng)崩潰�。2.4
6、網(wǎng)絡(luò)通信安全需求2.4.1防火墻應(yīng)用醫(yī)院計算機網(wǎng)絡(luò)需要與Internet外網(wǎng)進行互聯(lián),這種互聯(lián)方式面臨多種安全威脅,會受到外界的探測與攻擊��。防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描[5],這樣能夠過濾掉一些來自Internet的攻擊,如拒絕服務(wù)攻擊(DoS),阻止ActiveX����、Java、Cookies�����、Javascript侵入���。通過防火墻的病毒掃描和內(nèi)容過濾功能可以避免惡意腳本在目標計算機上被執(zhí)行�����。防火墻還可以關(guān)閉不使用的端口,而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬,禁止來自特殊站點的訪問,從而
7���、防止來自不明入侵者的所有通信。2.4.2IDS系統(tǒng)應(yīng)用IDS(入侵檢測系統(tǒng))針對醫(yī)院網(wǎng)絡(luò)中的各種病毒和攻擊,進行有效的檢測,依照一定的安全策略,對網(wǎng)絡(luò)�����、系統(tǒng)的運行狀況進行監(jiān)視,從而提供入侵實時警告。通過IDS與防火墻的聯(lián)動,可以更有效地阻斷所發(fā)生的攻擊事件,同時也可以加強網(wǎng)絡(luò)的安全管理,保證主機資源不受來自內(nèi)��、外部網(wǎng)絡(luò)的安全威脅���。2.4.3VLAN劃分管理在一個交換網(wǎng)絡(luò)中,VLAN提供了網(wǎng)段和機構(gòu)的彈性組合機制�����。利用虛擬網(wǎng)絡(luò)技術(shù),可以大大減輕醫(yī)院網(wǎng)絡(luò)管理和維護工作的負擔,也有效地從物理層避免了廣播風
8���、暴,防止網(wǎng)絡(luò)病毒的蔓延。2.5網(wǎng)絡(luò)防病毒體系在醫(yī)院計算機網(wǎng)絡(luò)中,由于設(shè)計的范圍比較廣,部門又多,通信比較頻繁,很容易導致病毒的泛濫,對系統(tǒng)文件���、數(shù)據(jù)庫等造成不可預測的破壞。面對日益復雜的網(wǎng)絡(luò)環(huán)境,網(wǎng)絡(luò)防病毒應(yīng)不只是一個單純的系統(tǒng),而應(yīng)是一個聯(lián)動互相配合的體系,包括如下幾個方面的內(nèi)容��。2.5.1網(wǎng)絡(luò)防病毒中心一旦病毒入侵系統(tǒng)或者從系統(tǒng)向其他資源感染,網(wǎng)絡(luò)防病毒軟件會立刻檢測到并加以刪除�����。此外,網(wǎng)絡(luò)防病毒軟件還能夠防止病毒對網(wǎng)絡(luò)操作系統(tǒng)本身的攻擊,如某些針對Windows
