[专题]沂水中心医院网络安全管理

[专题]沂水中心医院网络 浅析医院局域网的安全管理 王丽云 刘子田 (临沂市沂水中心医院信息科，山东省，临沂市 276400) 关键字 医院局域网 网络安全 网络管理 摘要 在医院信息化建设规模不断扩大的同时，网络安全与管理日趋成为 大家关心的重点，为了将医院网络体系成为一个支持医疗业务和突发事件的 防灾安全网络，医院采取了各种安全措施。 Simply analyse the safety management of the hospital LAN / Wang li-yun,Liu zi-tian, Keywords hospital LAN network security network management Abstract While information-based construction scale is expanding constantly in the hospital, The network security and the management becomes the focal point that everybody cares about day by day, for design become hospital network system one support medical business and accident take precautions against natural calamities the safe network, the hospital has taken various safety measures. Corresponding author Information subject of the central hospital of Yishui of Linyi,YIshui 276400,Shandong Province,P.R.C. 1 引言 自2000年以来，我院先后引进了HIS、门诊医生工作站、影响PACS系统、 LIS检验系统、CIS、NIS、电子病历和无线查房系统。信息点不断增多，局域网 规模日趋庞大，网络的安全直接影响到医院工作的正常运行，一旦网络瘫痪或数 据丢失，将给医院呆了巨大的灾难和损失。怎样保证医院局域网的安全成为主管 重要的问题。 2 设计思想 随着医院信息化建设的推进，以及硬件设备的投入，医院网络系统主要分为 内部局域网和因特网外部网络。以前办公网是内外网互联的，但经常受到攻击和 黑客入侵，所以实行‘内外网’物理隔离的管理办法，只要物理隔离才能真正实 现防止来自外部病毒的攻击和黑客的入侵。并采用企业级杀毒软件和软联IT安 全运维管理系统作为保证局域网安全的软件。同时采取无线局域网的安全策略，以及突发事件的应急措施，保证内部局域网的安全运行。 3.具体实现 3.1 内外网络物理隔离 如何真正的保护内网的安全，保证内部资料不受外网攻击是网络管理的重要工作。因为没有任何一种软件或硬件可以实现绝对安全的信息互通，只要物理隔离才能有效防止来自外部病毒的攻击和黑客的入侵。我院加大资金投入，建立两套并行网络，外部因特网通过防火墙接入到企业级路由器，通过设置，滤过不良网站和有害信息，然后由路由器LAN接口下分到交换机，下分到办公点，同时开启路由的DHCP功能，方便工作点的增加。内部局域网通过另一套网络运行，从而实现‘内外网’隔离。 3.2企业级杀毒软件 通过市场对比，我院采购了专业的卡巴斯基企业级杀毒软件，采用统一的病毒库升级，监控客户端的杀毒情况，进行病毒日志和报警管理。其中的虚拟技术的应用，可使可疑程序在虚拟环境中运行，以避免因恶意程序的爆发而给局域网带来威胁，极大提升了医院局域网的安全性。 3.3软联IT安全运维管理系统 3.3.1客户端管理 对客户端部署UniAccess安全助手，实现对客户端的远程监控，信息科人员可以在自己的电脑上监控客户端的界面，并且进行协助指导操作，提高了工作效率。 3.3.2网络准入策略 在桌面交换机上开启802.1x认证服务，部署网络准入控制服务之后，所有的桌面电脑接入计算机网络之前，都必须经过如下认证:检查该电脑是否有合法的用户名及密码。检查该电脑是否单位合法终端(检查电脑的硬件ID)，合法的电脑硬件ID保存在管理服务器的数据库中。检查该电脑是否符合安全管理规定:例如操作系统补丁是否安装、防病毒软件是否安装等。这些管理规定产生的安全策略保存在管理服务器的数据库中 从而实现防止外来电脑终端非法接入网络，限制不符合安全管 规定的内部电脑终端直接访问网络资源，加强了局域网的安全性。 3.3.3补丁包管理 管理员将补丁包放置到服务器上，通过设置自动为客户端分发补丁包，并且设定补丁包在晚上18:00自动安装，避免占用工作时间。 3.3.4安全策略 禁止使用注册表编辑器和控制面板里的添加或删除程序。禁止网络属性的设置，避免客户端使用人员的误操作，导致程序或电脑出现问题。禁止使用U盘和光驱，防止移动设备的安全。 3.4无线局域网的安全策略 我院引进了先进的无线查房系统，采购了HP无线控制器和无线AP，无线网络布满每个楼层，如果管理不当，医院工作人员或病人随意用手机或家用笔记本登录网络，病毒就很可能传播到医院内部局域网中，成为了重大安全隐患，因此无线局域网的安全管理相当重要。 3.4.1 802.1x安全策略 802.1x是一种用于控制端口通信的推荐标准，它规定了网络访问授权和安全密钥的自动分发，采用基于以太网协议的802.1x是一种安全解决，利用以太网技术中标准和开发的结构以及802.11b已有的安全技术，提供更高级别的安全性。802.1x不仅能实现从一个中央控制器对全网进行有效的安全管理，还采用基于用户名和口令的身份验证方式，使用身份验证和设备独立开来，它能使客户机与身份验证服务器RADIUS进行双向验证，从而防止非授权设备的侵扰。 3.4.2 WPA安全策略 WPA，即无线局域网保护性接入，当用户准备接入网络时，首先选择合适的网络和AP，然后向AP发送认证信息，启动802.1x认证。如果认证成功，则成功接入网络。在数据加密方面，WPA采用TKIP(临时密钥完整性协议)，同时认证密码拓展到10位英文字母和数字的组合，增强了安全性。 3.4.3 服务集标识SSID 服务集标识SSID是一个服务区域的认证ID，只有具有相应服务区域的认证ID，才可以对该服务区域进行访问。无线工作站只有出示正确的SSID才能接入网络，通过对无线控制器设置复杂的SSID，并禁止AP向外广播SSID。 3.5突发事件的应急措施 我院是临沂市北部唯一的一所集医疗、急救、科研、预防、保健、康复与一体的地级市三级综合性医院。特殊的地理位置决定了信息科对突发事件的应急能力必须很高。除了采用网络安全软件支持系统平稳运行外，相应主干网络、服务器、数据库的安全也相当重要。 3.5.1 主干网络 主干网络采取冗余手段，核心交换机和汇聚层交换机都采用一主一备的，一旦其中一个交换机出现问题，通过设置生成树策略，比较线路优先级选取路径，迅速生成新的通路，客户端感觉不到网络短时短路，从而避免耽误正常工作，而提高网络的可靠性。 3.5.2 数据安全措施 服务器采用双机热备，并且采用双电源供电，对数据库进行不同时点进行备份，对数据非法访问实时监控。系统管理员的口令应具有尽量短的期限，经常更换，以防口令失窃。 3.5.3 后备电源 中心机房配有可提供主干网络在线12小时的大功率UPS，以防止突如其来的停电带来的影响。 3.5.4 严谨的工作制度 信息科实行24小时值班制度，中心机房定时巡查，及时排除隐患，还制定了《中心机房》、《信息科人员管理制度》、《信息科工作流程》等制度。 4 结语 实行医院局域网的安全管理，最终目的就是为了保证医疗业务网的安全运行，保护数据库的重要数据不被非法访问和破坏，系统不被病毒侵犯。采取各种安全措施，严格管理，提高工作效率，保障医院局域网流畅运行。 参考文献 [1] 金桂秋,高德明,郑万松,等.医院信息系统安全问题的分析与对策.中国现代医学杂志,2005,7(15):2068-2071. [2] 罗颢.谈医院信息系统安全的问题.中国医院统计，2006,6(13)2:175-177. [3] 张剑,张岩.医院网络安全存在的问题与对策.中国数字医学,2008,4:64-66