医院网络安全建设论文.docxVIP

　　１引言随着计算机网络技术的不断发展，信息化已经成为了现代医院管理的重要标志ｌ１１。 　　网络作为医疗信息的载体，加快了信息处理过程，实现了院际间互联互通、医疗资源共享，优化了就诊流程，提高了医疗效率，是现代医院不可或缺的工具。 　　然而，随着互联网＋医疗的快速发展，传统的保障静态、平面网络安全的模式已不能满足现代医院信息安全的需要，因此，在充分考虑医院信息系统所面临的安全威胁下，提出了动态、立体的网络安全建设模型。 　　２医院信息系统存在的安全威胁及需求医院快速地从原来与互联网物理隔离的内部局域网，发展成为互联网＋医疗、手机端应用、网上预约挂号、检查检验报告推送、云计算、大数据等互联网应用，暴露出了安全建设的不足；医院拥有的患者信息、诊疗信息、医疗材料信息、药品信息更具有商业价值，渐渐得到灰色产业链的觊觎｜２１；医院内部网络覆盖整个医院，而攻击行为的８０％来源于内部系统１３１，内部网络遭受入侵和攻击的现象越来越不容忽视，且入侵和攻击具有智能性、隐蔽性、严重性、多样性和持续性的特点。 　　同时，计算机网络协议、操作系统、网络应用系统固有的安全漏洞、脆弱性，使基于网络的应用存在安全隐患。 　　为了有效避免网络安全事件的发生；医院核心业务系统达到国家卫计委要求的三级安全等级保护要求。 　　基于某医院网络安全的现状以及安全需求，提出基于动态安全模型的医院网络安全建设＂的项目。 　　①昆明医科大学第一附属医院信息中心，６５００３２，云南省昆明市西昌路２９５号图１医院动态网络安全立体模型４医院动态网络安全模型实现方案在方案中，采用产品化的可靠技术，利于快速部署，保障其有效性；采用动态模型，依据安全感知平台对安全策略、安全检测、安全管理、安全制度调整，保障安全方案的强壮性、连续性。 　　根据医院动态网络安全立体模型，提出如图２所示的网拓安全３医院动态网络安全模型设计参考开放系统互联标准ＯＳＩ和ＴＣＰ／ｌＰ协议对信息系统技术组成的构造方法，依据《信息安全技术信息系统安全等级保护基本要求》《信息安全技术信息系统等级保护安全设计技术要求》等现行标准，结合医院信息系统业务应用以及ＷＰＤＲＲＣ安全模型Ｗ１，构建以安全策略为核心，安全管理为基础，安全技术和运维管理为支撑，数据容灾为后盾的立体、纵深、主动、动态的医院网络安全防御模型，如图１所示。 　　建立多层次、全方位网络、系统、终端、数据等、多维度的实时防御，做到在攻击行为发起之前主动发现并预警，攻击行为发生时全面抵御、分析记录，攻击发生后阻断攻击，快速恢复，通过安全事件审计、进行响应、反击。 　　从而建立事前预防、事中控制、事后审计处理机制，保障网络强壮性、连续性。 　　拓扑结构。 　　４医院动态网络安全模型实现方案４．１物理层安全该层次的重点是机房及通信线路、设备安全，针对医院网络物理环境存在的安全隐患，主要做了如下几项工作建设机房监控系统，实时监控机房温度、湿度、供电、ＵＰＳ状态以及是否漏水；制作服务器、存储阵列、网络设备、应用系统间的物理连接关系和地理位置图，以利于安全管理完善机房及门禁管理与保卫部门协作，保障通讯线路及设备安全。 　　４．２网络层安全该层次的重点是解决网络通信安全，确保服务的可用性、连续性。 　　依据医院网络系统安全信任级别，针对网络拓扑及发展，将网络划分为核心网络区、网管区、业务内网区、业务外网区、外联网区。 　　遵循安全分区、橫向隔离、纵向认证的原则，进行安全规划，包括业务内网隔离与访问控制、互联网数据传输安全、出口边界安全、业务内网与业务外网间边界安全、远程接入安全和用户端接入安全。 　　主要安全措施根据业务应用，将业务内网划分成不同子网ｗ，利用ＶＬＡＮ技术，实现对内部子网的逻辑隔离与访问控制；利用防火墙和网闸进行边界逻辑／物理隔离与访问控制；利用入侵检测和入侵防御，对数据流进行检测与分析，自动识别潜在的攻击行为并进行阻断；利用入侵检测和防火墙联动，自动阻断识别的攻击行为和误操作；利用ＶＰＮ技术，实现数据的加密传输，保障信息传输的机密性、完整性；采用基于ＲＡＤＩＵＳ技术对业务外网区域的访问进行身份认证。 　　４．３主机系统安全该层次的重点是解决网络内操作系统的可靠性和主机系统的保护。 　　主要安全措施部署漏洞发现、补丁管理系统，定期进行漏洞扫描，下载并安装最新补丁；建立病毒防治中心、防病毒控制台、防病毒客户端三级病毒防治体系，部署网络版防病毒软件和反间谍软件，进行病毒防治；在核心网络部署防病毒墙，实现对病毒的主动防御；利用个人防火墙技术，防止病毒利用漏洞渗透进入终端，阻断病毒传播路径；部署桌面终端安全系统，建立终端主动防御技术体系，实现终端层面的防入侵、防外泄、防不良访问；部署基于８０２．１Ｘ准入控制技术并与准入控制策略联动