医院在网络安全上的应用措施分析.pdfVIP

医院在网络安全上的应用措施分析

随着计算机应用范围的扩大和网络技术的迅速发展，计算机信息技

术已经渗透到人们生活的方方面面，网上购物、商业贸易、金融财务

等经济行为都已经实现网络运行，同样计算机和网络在医学领域的使

用也得到了广泛的应用。计算机网络和医院的软件系统(包括HIS、

LIS、PACS等)在提高医院管理水平和医护人员工作效率的同时，也

面临着网络安全的严峻考验。

1什么是网络安全

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，

不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可

靠正常地运行，网络服务不中断。网络安全包含网络设备安全、网络

信息安全、网络软件安全。

医院的网络信息系统与其他计算机网络相比，存在自己的特殊性，

要求夜以继日不间断地运行，系统中所保存的诊疗数据与患者的切身

利益密切相关，不允许有任何的差错，更不能被随意更改和丢失，一

旦网络瘫痪或者数据被恶意篡改、丢失，都将给医院和患者，尤其是

患者带来难以弥补的损失。

2医院网络现状分析

截止20xx年，医院额定床位1400多张，在院职工2600多人，

年门诊量约158万人次。近期刚刚进行了局域网络升级和内外网的

改造，局域网改造后形成了双核心、双万兆链路三层网络架构，全院

范围基本实现了千兆到桌面，现有物理服务器超过40台。

2.1物理安全分析

网络的物理安全是整个网络系统安全的前提，物理安全是保护计算

机设备、计算机系统、网络服务器、打印机等硬件实体和通信链路设

施(含网络)免遭人为破坏和搭线攻击和地震、水灾、火灾、有害气体

和其他环境事故(如电磁干扰等)破坏的措施和过程。总体来说物理安

全的风险主要有，地震、水灾、火灾等环境事故;电源故障;人为操作

失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;

机房环境及报警系统、安全意识等，所以在网络工程的设计和施工中，

必须优先考虑保护网络设备不受电、火灾和雷击的侵害;考虑布线系

统和绝缘线、裸体线以及接地与焊接的安全;考虑布线系统与强电之

间的距离，如照明电线、动力电线、通信线路、暖气管道及冷热空气

管道等;考虑计算机及其他弱电耐压设备的防雷。因此要注意这些安

全隐患，同时还要尽量避免网络的物理安全风险。

2.2网络结构分析

信息系统的网络架构安全分析是通过对组织整个网络体系进行深入

调研，以及国际安全标准和技术框架为指导，全面地对网络结构、网

络边界、网络协议、网络流量、网络QOS、网络建设的规范性、网络

设备安全、等多个方面进行深刻分析。网络拓扑结构设计也直接影响

到网络系统的安全性。因此，根据IATF技术框架分析网络设计是否

层次分明，是否采用了核心层、汇聚层、接入层等划分原则的网络结

构，划分不规范不利于网络优化和调整;网络边界是否清晰，是否符

合IATF的网络基础设施、边界/外部连接、计算环境、支撑基础

设施的深度防御原则，边界不清楚不便于安全控制。

2.3系统的安全分析

所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且

值得信任。系统安全分析是安全系统工程的核心内容，它是安全评价

的基础，通过系统安全分析，可以对系统进行深入、细致的分析，重

复了解、查明系统存在的危险性，估计事故发生的概论和可能产生的

伤害及损失的严重程度，确定哪种危险能够通过修改系统设计或改变

控制系统运行程序来进行预防提供依据。

3升级、改造后在网络安全方面采取的措施

3.1通过网络结构的设计保障网络安全

在整个医院内部网络升级、改造之前，我们就做好了充分的规划和

设计：三层网络结构，核心、汇聚、接入;双万兆核心，汇聚到核心

双万兆链路上联，全网启用OSPF路由协议，整个网络拓扑自动发现

并学习路由，同时做到了链路备份和动态负载均衡。医疗专网需经过

双重防火墙才能向内网的前置服务器传送数据并且只能到达数据交

换区，而不能进入核心数据存储区，核心数据服务器区域与内网利用

防火墙进行隔离，同时数据库审计系统和IDS入侵检测系统对数据

进行保护。对核心数据服务器和关键业务服务器的单机数据采用

RAID5技术进行保护，利用双机热备，在核心机房、汇聚机房分别部

署了60kv8h和10kv4hUPS不间断电源。保障服务7*24*365

天不间断运行;利用磁带库备份系统，每周对数据进行一次差异备份，

每月对数据进