医院信息安全产品的选型原则.docVIP

1.?? 医院信息安全产品的选型原则 医院的网上业务模式如下医院网络安全系统是一个要求高可靠性和安全性的网络系统。医院的网络总体上采用的Client/Server模式。门诊管理信息（挂号、收费、划价）、药品管理信息（门诊药方、住院药方、急诊药方、中草药房、药库）、住院管理分系统、后勤总务管理分系统、医生管理系统等数据需要从客户端发送到数据服务器中集中管理调用。因此如果数据库服务器中的数据被恶意修改、删除或者服务器因为某种原因瘫痪将给医院的正常工作带来严重的后果。 医院网络安全系统网络安全系统方案必须遵循如下原则： ?????? 全局原则：安全威胁来自最薄弱的环节，必须从全局出发规划安全系统。医院网络安全系统安全体系，遵循中心统一规划，。 ?????? 综合性原则：网络安全不单靠技术措施，必须结合管理，当前我国发生的网络安全问题中，管理问题占相当大的比例，因此需要医院网络安全系统必须建立相应的制度和管理体系。 ?????? 均衡性原则：安全措施的实施必须以根据安全级别和经费限度统一考虑。网络中相同安全级别的保密强度要一致。 ?????? 节约性原则：整体方案的设计应该尽可能的不改变原来网络的设备和环境，以免资源的浪费和重复投资。 在为各安全产品选型时，我们要保证所选产品的先进性及可靠性，同时要考虑将来的系统扩展性。 2.?? 网络与信息安全平台的任务 网络与信息安全平台的任务就是创建一个完善的安全防护体系，对所有非法网络行为，如越权访问、病毒传播、恶意破坏等等，做到事前预防、事中报警并阻止，事后能有效的将系统恢复。 我们可以看出，网络上任何一个安全漏洞都会给黑客以可乘之机。著名的木桶原理（木桶的容量由其最短的木板决定）在网络安全里尤其适用。所以，我们的方案必须是一个完整的网络安全解决方案，对网络安全的每一个环节，都要有仔细的考虑。 2.1. 网络安全解决方案的组成 为了更为有效的保证网络安全，三星计算机安全提出了两个理念：立体安全防护体系和安全服务支持。首先网络的安全应该是分层的保护体系，不仅要考虑到网络传输安全，还要考虑到数据的安全。网络的传输安全可通过防火墙作为第一道安全屏障，同时可以考虑数据备份冗余系统作为灾难数据恢复，可作为第二道防线。此外还可以考虑漏洞评估系统来体系组成强大的安全防护体系；其次真正的网络安全一定要配备完善的高质量的安全维护服务，以使安全产品充分发挥出其真正的安全效力。 一个好的网络安全解决方案应该由如下几个部分组成： 2.1.1.????? 防火墙 防火墙是在两个网络之间执行控制策略的系统包括硬件和软件目的是不被非法用户侵入，本质上它遵循的是一种允许或禁止业务来往的网络通信安全机制，也就是提供可控的过滤网络通讯只允许授权的通讯。 基于Internet 体系应用有两大部分：Intranet 和Extranet。 Intranet是借助Internet 的技术和设备在Internet 上面构造出企业WWW 网，可放入企业全部信息；而Extranet 是在电子商务互相合作的需求下，用Intranet 间的通道，可获得其它体系中部分信息，按照一个企业的安全体系可以在以下位置部署防火墙 ? 2.2. 防火墙的类型 作为内部网络与外部公共网络之间的一道屏障，防火墙是最先受到人们重视的网络安全产品。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全管理与信息传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的包过滤和代理任务，同时还应能为各种网络应用提供相应的安全服务。 根据防火墙所采用的技术不同，我们可以将它分为四种基本类型：包过滤型防火墙、代理型防火墙、状态检测型防火墙和综合型防火墙。 ? 2.2.1.????? 包过滤型防火墙 包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中这些信息，可以获得其基本情况，并经分析后对其做出相应的处理，比如通过读取地址信息，防火墙可以判断一个“包” 是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用，实现成本较低，同时处理效率高。在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全，并且保证网络具有比较高的数据吞吐能力。 包过滤技术的缺陷也很明显。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的源地址、目的地址和端口等基本网络信息进行判断，无法识别基于