導語：如何才能寫好一篇醫(yī)院網絡安全保障方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

信息安全問題與互聯網的發(fā)展相伴相生，在網絡時代，我們一方面要享受到信息爆炸、社交便捷的福利，另一方面也需要應對信息泄露的風險。在醫(yī)院的內部管理中，信息化建設已經成為一股不可逆轉的發(fā)展趨勢，因此，醫(yī)院要想利用互聯網提高管理效率，優(yōu)化醫(yī)療衛(wèi)生服務，就應該正視網絡體系構建中存在的安全問題，并構建嚴密可行的管理措施，防范網絡安全風險，讓醫(yī)療信息、管理信息能夠更好地服務于患者，確保醫(yī)院的有效運行。

2醫(yī)院網絡安全體系構建中存在的問題

雖然網絡體系的構建是醫(yī)院信息化管理的必要環(huán)節(jié)，但是其在安全風險防范方面卻依舊漏洞百出，使得醫(yī)院的網絡安全體系建設形同虛設，難以充分發(fā)揮其風險控制與防范的實際效果。具體來講，醫(yī)院網絡安全體系構建中存在的問題如下：第一，醫(yī)院內部系統(tǒng)對數據的收集與應用效果并不理想，目前多數醫(yī)院對于網絡系統(tǒng)的建設還處于起步階段，許多數據的收集并不完整，例如電子病歷的形成尚處于“模板+標簽”階段，缺乏專業(yè)化處理，影響了數據傳輸與共享效果，各部門之間的信息溝通不暢，“信息孤島”的狀況沒有被完全打破。第二，網絡安全規(guī)劃缺乏投入，對信息安全的預期投入嚴重不足，雖然信息安全問題是醫(yī)院網絡信息系統(tǒng)構建的關鍵，但是從整體上來看，相關部門對于信息安全體系的構建并不積極，例如在硬件投入中缺乏預算支持，使得硬件設備一旦出現損毀就會造成大量醫(yī)療衛(wèi)生信息的丟失；對軟件技術的應用不到位，防火墻、加密系統(tǒng)的建立存在漏洞；各部門對于安全系統(tǒng)的認識存在偏見，在某一科室出現網絡安全問題的時候則相互推諉，缺乏有效的追責與監(jiān)督。第三，網絡安全體系構建與實現的方案缺乏有效的落實，任何網絡安全問題在沒有爆發(fā)前往往都顯得不那么重要，醫(yī)院在網絡安全體系建設中也存在這種僥幸，對安全規(guī)劃的設計頭頭是道，但是到了具體的落實階段卻又推三阻四，影響了網絡安全體系建設工作的實效性。

3醫(yī)院網絡安全體系構建與實現的相關對策

醫(yī)院網絡安全體系的構建與實現需要從硬件設備、軟件系統(tǒng)、組織管理者三個方面入手。

3.1硬件設備安全的構建與實現

根據信息化管理的技術需要，醫(yī)院的硬件設備安全管理主要包括以下內容：第一，網絡布線。對于醫(yī)院的信息化建設而言，網絡布線不僅影響著系統(tǒng)的信息傳遞速度，更關系著信息溝通的安全，因此，相關技術人員應采取內外網物理斷開的方法，對醫(yī)院網絡系統(tǒng)進行科學布線；考慮到信息安全，對于各樓宇的主干線可以采用光纖和備份光纖相結合的方式；在連接客戶端的時候，應做好屏蔽處理，及時排除干擾源，保證信號強度，以及信息數據傳遞的有效性和完整性。第二，根據《電子信息系統(tǒng)機房設計規(guī)范》做好對機房的設計，如根據“電子信息系統(tǒng)機房的耐火等級不能低于2級”等規(guī)定做好防火安全管理；根據“主機房氣流組織、風口及送回風溫差”的相關數據做好防潮工作等，確保主機房能夠充分發(fā)揮信息存儲與傳輸的功能。第三，服務器、交換機的數據安全，在醫(yī)院網絡安全系統(tǒng)構建中，技術人員應對關鍵設備的基本性能以及冗余做好分析，并確保系統(tǒng)能時刻運行。為避免停電故障造成信息丟失，醫(yī)院的服務器應采用不間斷電源，并在出現安全故障的時候，自動接入另一個服務器完成信息備份，從而做好“雙保險”，提高網絡系統(tǒng)運行的持續(xù)性和安全性。

3.2軟件安全系統(tǒng)的構建與實現

在網絡安全系統(tǒng)構建中，系統(tǒng)軟件可以通過與硬件設備的交互作用，實現對系統(tǒng)的控制與調度，并連接網絡，實現信息的傳輸與存儲。因此，醫(yī)院在網絡安全系統(tǒng)構建與實現中，應該不斷完善軟件系統(tǒng)，從而確保信息數據的安全。醫(yī)院在軟件安全系統(tǒng)的構建與實現上可以從以下幾個方面入手：第一，設置安全口令。軟件系統(tǒng)的登錄應控制開放程度，利用安全口令對訪問者的身份進行確定，在使用軟件系統(tǒng)的過程中，口令的設置也應該提高安全系數，避免使用缺省值，保證長度不少于八位，且內容包含字母和數字及至少包含兩個特殊字符。此外，為進一步確保軟件系統(tǒng)的安全，相關部門的操作人員應對安全口令進行定期更換，提高被破譯的難度。第二，安裝殺毒軟件。在醫(yī)院的網絡系統(tǒng)建設中，內外網的完全物理隔離是不可能的，只要存在接入外網的機會，病毒就會見縫插針對網絡系統(tǒng)進行攻擊。針對此，醫(yī)院在網絡安全系統(tǒng)構建中應該要求客戶機及服務器安裝殺毒軟件，利用軟件對病毒進行甄別與抵御，及時檢測違規(guī)操作，并對高風險行為做出提示，控制病毒對網絡系統(tǒng)的威脅。第三，應用防火墻。目前一些軟件公司在技術研發(fā)中，對防火墻的設計更加嚴謹，醫(yī)院在網絡安全系統(tǒng)建設中，應利用方便、快捷的防火墻進行定期掃描，及時檢測出危險信息，控制惡意腳本在目標計算機上的執(zhí)行過程，避免外網攻擊的入侵，以及信息的泄露。第四，加強對工作站的安全管理。各個工作站在使用系統(tǒng)的過程中，都應該利用賬號、用戶權限、網絡訪問以及文件訪問等實行嚴格管理程序規(guī)范進行安全控制，嚴格監(jiān)控光驅、軟驅，USB接口等外來信息的接入，提高安全管理效果。

3.3組織機構的構建與實現

在醫(yī)院的網絡安全保障系統(tǒng)建設中，工作人員是落實安全措施、執(zhí)行安全方案的主體。再高端的硬件設備、再完善的軟件系統(tǒng)都需要人的操作來發(fā)揮作用。因此，醫(yī)院在網絡安全保障體系的建設中，應該將人的因素納入其中，并確定、尊重其主體地位，利用安全管理制度，提高工作人員構建網絡安全保障體系的能力。具體來講：第一，建立一支強有力的安全管理小組，體現組織管理效果，并在管理小組內部做好明確分工，確保一旦出現安全問題能夠迅速做出反應。第二，完善安全制度建設，對于醫(yī)院網絡安全管理人員而言，制度建設是規(guī)范其安全行為，提高安全方案執(zhí)行效果的關鍵，因此醫(yī)院應該從多方面做出安全規(guī)定，明確管理細則，推動安全管理人員工作的有序開展。第三，規(guī)范內部人員網絡操作，根據信息安全問題的調查顯示，操作者的不規(guī)范操作是造成病毒入侵，信息泄露的主要問題。因此，在組織管理中，醫(yī)院應對內部人員的違規(guī)操作進行嚴格控制。第四，做好應急預案的制定與演練，對出現的信息安全問題應做好各部門的聯動，提高應急能力，及時止損。

4結束語

總之，進入到互聯網時代，信息化已經成為醫(yī)院內部管理創(chuàng)新的基本思路，信息化的實現需要網路系統(tǒng)的支持，但是在網絡系統(tǒng)構建的過程中，無處不在的安全問題使得醫(yī)院的信息化建設舉步維艱。針對此，醫(yī)院應該從網絡安全系統(tǒng)的建設要點出發(fā)，增加對硬件設備的投入，做好軟件系統(tǒng)的技術應用，加強組織管理建設，進而完成醫(yī)院的網絡安全體系構建與實現。

參考文獻：

[1]張寶偉.醫(yī)院網絡安全體系構建及實現方式分析[J].網絡安全技術與應用，2018.

篇2

【關鍵詞】 醫(yī)院信息化建設 IT運維與安全管理

引言：

目前，隨著信息技術的日新月異和網絡信息系統(tǒng)應用的發(fā)展，醫(yī)院、企業(yè)網絡技術的應用層次正在從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)擴展。面對日趨復雜的IT系統(tǒng)，不同背景的運維人員已給企事業(yè)信息系統(tǒng)安全運行帶來較大的潛在風險，如醫(yī)院信息系統(tǒng)是醫(yī)院日常工作的重要應用，存儲著重要的數據資源，是醫(yī)院正常運行必不可少的組成部分，所以必須加強安全保障體系的建設。于是，堡壘機在醫(yī)院中的應用，為醫(yī)院工作的應用提供了安全可靠的運行環(huán)境。

傳統(tǒng)的網絡安全審計系統(tǒng)給醫(yī)院的的運維安全問題帶來了很多風險，如：賬號管理無秩序，暗藏巨大隱患；粗放式權限管理的安全性難以保證；設備自身陳舊，無法審計運維加密協(xié)議、遠程桌面內容等，從而難以有效定位安全事件。

以上所面臨的風險嚴重破壞政府、醫(yī)院、企業(yè)等的信息系統(tǒng)安全，已經成為其信息系統(tǒng)安全運行的嚴重隱患，尤其是醫(yī)院，將影響其效益。尤其醫(yī)院信息系統(tǒng)是一個復雜的系統(tǒng)工程，涉及人、技術、操作等要素，單靠技術或單靠管理都不可能實現。

因此在考慮安全保障體系時，必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規(guī)章制度建設相結合。

如何有效監(jiān)控業(yè)務系統(tǒng)訪問行為和敏感信息的傳播，準確掌握網絡系統(tǒng)的安全狀態(tài)，及時發(fā)現違反安全策略的事件并實時告警、記錄，同時進行安全事件定位分析，事后追查取證，滿足合規(guī)性審計要求，是企事業(yè)迫切需要解決的問題，即IT運維安全管理的變革已刻不容緩！

堡壘機提供一套先進的運維安全管控與審計解決方案，它通過網絡數據的采集、分析、識別，實時動態(tài)監(jiān)測通信內容、網絡行為和網絡流量，發(fā)現和捕獲各種敏感信息、違規(guī)行為，實時報警響應，全面記錄網絡系統(tǒng)中的各種會話和事件，實現對網絡信息的智能關聯分析、評估及安全事件的準確全程跟蹤定位，為整體網絡安全策略的制定提供權威可靠的支持。

隨著堡壘機在醫(yī)院中的應用，其主要實現了以下功能：

1）賬號管理集中

堡壘機建立于唯一身份標識的全局實名制管理，支持統(tǒng)一賬號管理策略，實現與各服務器、網絡設備等無縫連接，集中管理主賬號（普通用戶）、從賬號（目標設備系統(tǒng)賬號）及相關屬性。

2）訪問控制集中

堡壘機通過集中對應用系統(tǒng)的訪問控制，通過對主機、服務器、網絡、數據庫等網絡中所有資源的統(tǒng)一訪問控制，確保用戶擁有的權限是完成任務所需的最小權限，實現集中有序的運維操作管理，防止非法、越權訪問事件的發(fā)生。

3）安全審計集中

基于唯一身份標識，堡壘機通過對用戶從登錄到退出的全程操作行為審計，監(jiān)控用戶對被管理設備的所有敏感的關鍵操作，提供分級告警，聚焦關鍵事件，能完成對醫(yī)院內網所有網上行為的監(jiān)控和對安全事件及時預警發(fā)現、準確可查的功能。

通過此體系監(jiān)控到的數據能對醫(yī)院內部網絡的使用率、數據流量、應用提供比例、安全事件記錄、網絡設備的動作情況、網絡內人員的網上行為記錄、網絡整體風險情況等這些情況有較全面的了解。

信息安全是一個動態(tài)的過程，要根據網絡安全的變化不斷調整安全措施，適應新的網絡環(huán)境，M足新的網絡安全需求。

安全管理制度也有一個不斷完善的過程，經過安全事件的處理和安全風險評估，會發(fā)現原有的安全管理制定中存在的不足之處。根據安全事件處理經驗教訓和安全風險評估的結果，對信息安全管理策略進行修改，對信息安全管理范圍進行調整。

參 考 文 獻

[1]趙瑞霞.構建堡壘主機抵御網絡攻擊[J].網絡安全技術與應用，2010，08.

篇3

關鍵詞：醫(yī)院；計算機；網絡安全

1醫(yī)院計算機網絡安全的威脅影響因素

醫(yī)院計算機網絡安全存在的安全隱患是對醫(yī)院造成威脅的重要殺手。分析了解醫(yī)院計算機網絡安全的威脅因素尤為重要。

1.1機器設備是醫(yī)院計算機網絡安全的影響因素

機器設備的優(yōu)良狀況是醫(yī)院計算機網絡安全保障的奠基石，也是醫(yī)院計算機網絡安全應重視的部分[1]。如果細化醫(yī)院計算機網絡系統(tǒng)的機器設備，會發(fā)現計算機的安放、計算機的各種接線、計算機中心機房的選址、計算機系統(tǒng)服務器的安全性能保障這一系列因素都會直接對醫(yī)院計算機網絡安全產生威脅。計算機的安放是一個重要問題，因此，醫(yī)院計算機網絡的設置以及接線除要考慮如何選擇可以使網絡信號更好外，還要考慮計算機網絡中心機房的電壓等問題。計算機網絡安全系統(tǒng)的服務器是整個醫(yī)院計算機網絡系統(tǒng)的心臟中樞，保證其持續(xù)處于工作狀態(tài)是最重要的問題之一。

1.2計算機病毒的侵襲

硬件設備是影響醫(yī)院計算機網絡安全的一大元兇，此外，軟件系統(tǒng)也是影響醫(yī)院計算機網絡安全的一個重要威脅點。而計算機病毒是軟件系統(tǒng)中一個比較常見的威脅。多數人聽到計算機病毒時都會提高警惕，家庭用戶一般會為自己的計算機安裝一個殺毒軟件。若計算機病毒入侵醫(yī)院的計算機網絡系統(tǒng)，將會給醫(yī)院帶來嚴重損害，因為醫(yī)院的計算機網絡系統(tǒng)一旦陷入癱瘓狀態(tài)，一切工作都不能正常運轉。因此，降低醫(yī)院計算機的病毒入侵概率，可以保障醫(yī)院的計算機網絡的穩(wěn)定性。

1.3周圍環(huán)境的影響

計算機網絡安全不僅只受外部設備和內部軟件的影響，還受周圍環(huán)境的威脅[2]。醫(yī)院計算機網絡所處的環(huán)境溫度和濕度都會成為威脅醫(yī)院計算機網絡安全的重要部分。當醫(yī)院計算機網絡系統(tǒng)所在環(huán)境的溫度上升時，整個醫(yī)院計算機網絡會受到一個網絡數據的轉變，更有甚者，計算機網絡系統(tǒng)的內部電源將被破壞，后果不堪設想。此外，濕度也是一個重要影響因素，如果醫(yī)院計算機網絡設施所處環(huán)境的濕度較大時，醫(yī)院計算機的一些設備可能出現被侵蝕、生出銹等問題，計算機的設備會出現連電、短路或接觸不好等問題。此外，若濕度較大，還會使設備粘附很多灰塵，計算機網絡系統(tǒng)在運行時會發(fā)出較大聲響。

2醫(yī)院計算機網絡安全的維護策略

2.1計算機網絡硬件設施的選擇與維護

計算機網絡硬件設施的選擇與維護是保障醫(yī)院計算機網絡安全的重要前提和基礎，應結合各醫(yī)院的業(yè)務情況選用計算機網絡硬件設施。維護計算機應從三個方面入手[3]：首先，要注意網絡線路，保證網絡信號處于最佳狀態(tài)；其次，要重視計算機網絡系統(tǒng)機房的選址，中心機房設置點的一個關鍵條件是要有足夠的電能[4]；最后，保障醫(yī)院計算機網絡系統(tǒng)服務器的正常運行，因為服務器如果中間罷工，就意味著計算機網絡數據庫中的一些資料丟失。

2.2維護計算機網絡系統(tǒng)軟件

醫(yī)院計算機網絡系統(tǒng)軟件是安全維護工作的重中之重，同時，軟件的安全維護也是較有難度的一項任務[5]。醫(yī)院的計算機網絡安全工作人員應重視病毒的入侵，進行定期和不定期的病毒檢測，要經常更新病毒庫，完善醫(yī)院計算機網絡的各種殺毒軟件，及時補充更新計算機病毒軟件的漏洞，把醫(yī)院計算機網絡安全的維護等級提升一個層次。同時，對醫(yī)院計算機數據庫內容進行備份也是計算機網絡安全維護的一個重要舉措。

2.3創(chuàng)造一個符合標準的外部環(huán)境

計算機的外部環(huán)境也是計算機網絡安全持續(xù)保證的沃土。而外部環(huán)境的維護主要依靠醫(yī)院的工作人員，因此，要定期及時地向醫(yī)院相關工作人員普及相關知識，定期組織培訓，不僅使其充分掌握書面知識，還要使其應用到實際操作中，只有綜合素質與技能得到提升，才能保證操作得當。工作人員還要嚴格控制外部環(huán)境的溫度和濕度，保證醫(yī)院電力充足。

2.4制定計算機網絡規(guī)章制度

計算機網絡規(guī)章制度是對計算機網絡安全的一個重要的保障。醫(yī)院計算機網絡需要定期進行維護，良好規(guī)范的制度是最好的保護網。只有在計算機網絡制度的嚴格約束下，計算機網絡人員才能提起警惕，最大化地降低計算機網絡的故障幾率。同時，應在規(guī)章制度的約束下，對醫(yī)院的工作人員進行網絡安全教育。要及時宣傳計算機網絡安全的重要性，讓工作人員了解計算機網絡黑客的危害，注意設置安全密碼等，對陌生的軟盤等信息載體應提高警惕，注意查殺病毒。要在無形當中提高醫(yī)院工作人員的計算機網絡安全意識，讓工作人員養(yǎng)成良好的網絡安全習慣，使維護保障醫(yī)院計算機安全成為工作人員的重要職責，最大程度上提升醫(yī)院計算機網絡的使用效能，為醫(yī)院醫(yī)療建設的不斷進步做出應有的貢獻。

3醫(yī)院計算機網絡安全管理的意義

醫(yī)院計算機網絡安全管理不僅是醫(yī)院現代化管理的必由之路，更是醫(yī)療硬件條件提升的重要保障，對醫(yī)院的科學決策起著不可小覷的作用。醫(yī)院的計算機網絡安全管理在醫(yī)院信息化構建過程中是一座橋梁，可以更加充分地與醫(yī)院現代化管理有效結合。醫(yī)院事務的辦公自動化發(fā)展也離不開醫(yī)院計算機網絡安全管理，只有充分保障計算機網絡安全，醫(yī)院的硬件設施應用辦公的利用率才會越來越高。同時，醫(yī)院計算機網絡安全的管理對醫(yī)院領導的科學決策也有重要意義。醫(yī)院的領導層需要對事務進行決策分析時，必然要應用到計算機，通過計算機網絡系統(tǒng)收集、整合資料，為醫(yī)院的領導者提供可靠的數據資料。此外，還可以更加及時透明地公開醫(yī)院的醫(yī)療信息，最大程度上充分利用信息。

4結語

醫(yī)院計算機網絡安全是醫(yī)院各項工作正常運轉的保障。盡管當下有很多威脅醫(yī)院計算機網絡安全的不良因素，但在醫(yī)院工作人員的努力下，將有效避免威脅，使醫(yī)院計算機網絡安全水平到達一個新的高度，為醫(yī)院工作的正常開展做好充分準備和保障。

作者:宋恒飛 單位:江蘇省邳州市人民醫(yī)院微機中心

參考文獻

[1]桂凌.基于醫(yī)院管理信息系統(tǒng)安全性策略的研究[J].科技信息,2010(32).

[2]仲大偉.淺談醫(yī)院網絡信息的不安全因素及防護措施[J].信息與電腦,2009(10).

[3]王偉護,李曉宏,賴宇斌.醫(yī)院計算機網絡建設方案[J].中國當代醫(yī)藥,2009(13).

篇4

關鍵詞：醫(yī)院信息系統(tǒng)；HIS安全體系；內網

引論

醫(yī)院信息系統(tǒng)(HospitaI Information Svstem，HIS)是利用計算機網絡和通信設備，為醫(yī)院各部門提供病人診療信息和行政管理信息的收集、存儲、處理、提取和交換能力，并滿足授權用戶功能需求的管理信息系統(tǒng)。醫(yī)院是信息流高度密集的單位；醫(yī)院的組織管理結構非常嚴謹。對其中任何一部分業(yè)務流程的改變，都可能引起連鎖反應，牽一發(fā)而動全身；不同體制的醫(yī)院的管理模式也有很大不同。因此，HIS是當今世界企業(yè)級信息系統(tǒng)中處理邏輯最為復雜的一類。

廣義的HIS的網絡拓撲一般分為內網(醫(yī)保系統(tǒng))、專網(行政系統(tǒng))和外網(醫(yī)院網站)三個部分，形成了內網核心數據層、內網辦公業(yè)務層、外網公眾服務層和網間信息交換層四個相對獨立的網絡安全管理域，信息安全與管理的技術手段相當復雜。

以作者所在單位上海市普陀區(qū)中心醫(yī)院為例，HIS、RIS、PACS等系統(tǒng)投入運營多年，每天成百上千臺計算機同時運行，成為醫(yī)院提供醫(yī)療服務的業(yè)務平臺。隨著醫(yī)院HIS應用的不斷深入，網絡安全形勢日益嚴峻?，F有的安全技術手段逐漸暴露出局限性，需要從規(guī)章制度、技術和管理等層面加強HIS的信息安全保障。

我院信息系統(tǒng)和網絡的維護由醫(yī)院信息科實施。信息科是醫(yī)院的行政職能科室，下設病案室、計算中心、圖書館三個部門。計算中心現有技術人員10人，擁有軟件自主研發(fā)能力，學術氛圍濃厚。根據醫(yī)院授權已制訂《普陀區(qū)中心醫(yī)院HIS系統(tǒng)管理安全操作規(guī)范》、《普陀區(qū)中心醫(yī)院醫(yī)保前置機管理規(guī)范》、《普陀區(qū)中心醫(yī)院應急預案制度》、《中心機房管理制度》等規(guī)章制度，建立了定期安全檢測、口令管理、人員培訓與管理、策略管理、備份管理、日志管理等一系列管理方法和長效機制。

1　HIS安全威脅

HIS面臨的安全攻擊指危及醫(yī)院信息安全的任何行為。HIS安全機制指設計用于檢測、防止或從安全攻擊中恢復的一種機制。Hls安全服務指加強醫(yī)院各部門數據處理和信息傳送安全性的一種服務，目標是對抗安全攻擊。它們利用一種或多種安全機制來提供該服務。本文的工作在于提出HIS安全體系結構和部署策略，并在網絡層面上介紹了HIS安全體系的技術實現。

就安全攻擊方法而言，根據信息安全層次分析HIS的安全威脅?？梢詮臋C房環(huán)境和物理層、網絡層、操作系統(tǒng)和數據庫層、應用層及管理層五個層面著手。

(1)機房環(huán)境和物理層

我院機房分布在住院部、住院二部、門診樓、急診樓四處。機房網絡設備、硬件設施可能遭受地震、水災、火災等自然災害以及人為操作失誤和各種針對計算機的破壞行為。

(2)網絡層

作為事實標準的TCP／IP協(xié)議并非專為安全通信設計，這一先天不足致使網絡通信存在大量安全隱患。協(xié)議漏洞造成預攻擊探測、竊聽、篡改、IP欺騙、重放、拒絕服務攻擊(包括同步潮水攻擊SYN FLOOD和PING FLOOD)、分布式拒絕服務攻擊(DOS)和堆棧溢出等。

網絡環(huán)境下病毒、蠕蟲、木馬和流氓軟件的傳播快速、隱蔽，嚴重威脅系統(tǒng)安全。病毒的傳播破壞文件和系統(tǒng)可用性；木馬潛伏在系統(tǒng)內并截獲用戶輸入的密碼、鍵盤動作等重要信息，并將這些信息發(fā)送出去。2008年末ARP木馬爆發(fā)曾導致我院局域網性能顯著下降。

(3)操作系統(tǒng)和數據庫層

操作系統(tǒng)設計時疏漏或預留的安全漏洞、用戶配置不當、多余的系統(tǒng)服務、脆弱的基于口令的身份鑒別機制，都使惡意用戶的攻擊變得輕而易舉。醫(yī)院醫(yī)保前置機和數據庫服務器采用Windows2000／XP／2003操作系統(tǒng)，健壯性、安全性較差。醫(yī)院使用的Or-acle數據庫系統(tǒng)可以從端口尋址。院內聯網的計算機，任何人只要有合適的SQL查詢工具，就能和數據庫系統(tǒng)直接連接，并能繞開操作系統(tǒng)的安全機制，如果誤用就會嚴重危及數據安全。

(4)應用層

應用層的安全風險有：來自內部和外界對業(yè)務系統(tǒng)的非授權訪問、由于用戶名和口令等身份標志泄漏造成的系統(tǒng)管理權限喪失、用戶提交的業(yè)務信息被監(jiān)聽或修改、用戶對成功提交的事務進行事后抵賴、偽裝成系統(tǒng)服務以騙取用戶口令、操作不當或外界攻擊引起的系統(tǒng)崩潰、網絡病毒的傳播或其他軟硬件原因造成的系統(tǒng)損壞、HIS程序開發(fā)遺留的安全漏洞等。

(5)管理層

責權不明、管理混亂、人員管理和安全管理制度不健全及缺乏可操作性都可能引起管理層安全風險。

2　HIS安全體系結構

網絡安全遵循“木桶原理”，系統(tǒng)的安全強度等于它最薄弱環(huán)節(jié)的安全強度。據統(tǒng)計，在所有的HIS信息安全事件中。超過70％發(fā)生在內網。因此，HIS系統(tǒng)必須建立在一個完備的多層次的網絡安全體系之上，消除瓶頸。

完整的HIS安全體系由五部分構成：可信的基礎安全設施、安全技術支撐平臺、容錯與恢復系統(tǒng)、安全管理保障體系和信息安全系統(tǒng)。如圖1所示。

3　HIS安全體系的部署和安全審計

根據HIS網絡安全要求設計的HIS安全模型如圖2：

HIS網絡安全模型給出了HIS安全體系部署的邏輯框架，部署的過程是一個復雜的系統(tǒng)工程。是整個HIS應用得以實現的前提保證。

HIS安全審計是在醫(yī)院網絡環(huán)境下，為了保障網絡和數據不受來自外網和內網用戶的入侵和破壞，而運用各種技術手段實時監(jiān)控網絡環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、收集安全事件，以便集中報警、分析、處理。安全審計方案主要有：

(1)日志審計。通過SNMP、SYSLOG、OPSEC或其他日志接口從路由器、交換機、服務器、醫(yī)保前置機應用系統(tǒng)和網絡安全設備中收集日志，進行統(tǒng)一管理、分析和報警；

(2)主機審計。在服務器、醫(yī)保前置機安裝“威盾”客戶端，審計安全漏洞、合法或非法操作，監(jiān)控聯網行為；

(3)網絡審計。通過旁路和串接的方式捕獲網絡數據包，進行協(xié)議分析和還原。網絡審計包括了網絡漏洞掃描產品、防火墻和IDS／IPS安全審計、互聯網行為監(jiān)控等類型的產品。

4　HIS安全體系的技術實現

(1)內網與外網的物理隔離

內網涉及醫(yī)保、財務和電子病歷信息。必須與外網實現完全的網絡隔離和設備隔離。內網與外網的隔離采用物理隔離網閘。物理隔離網閘是使用帶有多種控制功能的固態(tài)開關讀寫介質連接兩個獨立主機系統(tǒng)的信息安全設備。這兩個獨立主機系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在基于協(xié)議的 數據包轉發(fā)，只有數據文件的無協(xié)議“擺渡”，且對固態(tài)存儲介質只有“讀”和“寫”兩個命令，因而從物理上隔離、阻斷了具有潛在攻擊可能的一切連接。

(2)內網中劃分VLAN

虛擬局域網(VLAN)是一種采用交換機將局域網內的主機邏輯地而不是物理地劃分為一個個網段。從而實現虛擬工作組的技術。在一個交換網絡中，VLAN提供了網段和部門科室的彈性組合機制。醫(yī)院可根據不同的業(yè)務性質將各部門劃分成不同的VLAN。

(3)網絡邊界安裝防火墻

防火墻是一類防范措施的總稱。它使內網與Internet之間或者內網與其他外部網絡之間互相隔離、限制網絡互訪來保護內部網絡。由于防火墻劃定了網絡邊界和服務，因此更適合于相對獨立的網絡。任何關鍵性的服務器，都建議放在防火墻之后。

(4)專網用戶采用VPN技術訪問內網

虛擬專網技術(VPN)目前主要采用IPSec協(xié)議，有比較成熟的產品。例如與路由器或防火墻集成的硬件VPN模塊，組建方便快捷。內網與衛(wèi)生局、醫(yī)保局的信息往來。彼此間應該采用VPN技術相連，以保證通信安全。

(5)入侵監(jiān)測

防火墻雖然能抵御網絡外部安全威脅，但對從網絡內部發(fā)起的攻擊無能為力。實時入侵監(jiān)測技術動態(tài)地監(jiān)測網絡內部活動并做出及時響應：能監(jiān)控網絡的數據流，從中檢測出攻擊行為并給予相應處理；還能檢測到繞過防火墻的攻擊。

(6)漏洞掃描

解決網絡層安全問題，首先要弄清網絡中存在哪些安全隱患和薄弱環(huán)節(jié)。面對醫(yī)院大型網絡的復雜性，僅僅依靠技術人員的經驗是不現實的。解決方案是獲取一種能自動探測網絡安全漏洞、并提出評估和建議的網絡安全掃描工具。

(7)數據庫服務器和醫(yī)保前置機的安全設置

現有的網絡設備以及操作系統(tǒng)、數據庫系統(tǒng)都有一套自身的安全機制。路由器、交換機應配置好協(xié)議和訪問控制列表：數據庫服務器應關閉無關的系統(tǒng)服務和端口，并采用服務器分片備份網絡數據。如門診部用一臺服務器、住院部用一臺服務器、影像系統(tǒng)用一臺服務器，按時定期做好數據備份。發(fā)生系統(tǒng)故障，能盡快回滾事務、恢復系統(tǒng)。

每臺醫(yī)保前置機都安裝了“威盾”遠程控制軟件客戶端。USB端口和光驅被自動禁用。通過設定對應賬戶權限(管理員賬戶和來賓賬戶)，控制用戶訪問特定數據。每個用戶(醫(yī)生、護士、管理人員等)在整個系統(tǒng)中具有唯一的賬號。禁止用戶對無關文件進行讀寫，以防非法用戶侵入網絡。

篇5

信息大集中 威脅接踵來

隨著“金保工程”的推進,社保信息化正從分散建設向統(tǒng)一集中建設邁進。金保工程應用系統(tǒng)實現全國聯網,很多異地業(yè)務將逐漸通過網絡實現。隨著申請發(fā)卡規(guī)模擴大,對網絡和應用系統(tǒng)的穩(wěn)定性、可靠性要求越來越高。

張家港社保信息中心負責人對社保業(yè)務系統(tǒng)安全的重要性深有體會:“社保業(yè)務因其自身特點,對實時、穩(wěn)定要求非常高,因此目前的IT部門必須投入大量人力、精力去維護社保業(yè)務系統(tǒng)的安全性。在社保系統(tǒng)的運維中,如何有效、合理地利用資源,如何快速發(fā)現、定位、解決安全問題,顯得尤為重要?！?/p>

TDA 網絡安全的“風險保障”

目前張家港社保內部網絡分為內網和外網,并且有很多相關單位與之有連接,如醫(yī)院和其社保關聯的單位。而出于安全性考慮,內部業(yè)務網絡和可以訪問Internet的網絡采用隔離的方式。通過和客戶的深入交流,趨勢科技為張家港社保設計的威脅監(jiān)控方案,采用同時監(jiān)控內網外網的方式,利用鏡像端口是單向端口的特性,既實現了兩網使用一臺設備監(jiān)控,又避免了數據交叉帶來的威脅風險,在提升資源合理利用率的同時,又不影響兩網隔離的要求。

半年來TDA為用戶提供對威脅的實時監(jiān)控,提供每日和每周報告,幫助用戶發(fā)現各類網絡威脅,還通過每日報告和每周報告,幫助用戶總結前24小時和前7天的高危事件,提供病毒威脅的早期預警,快速定位,并且及時提供相應的解決和預防方案,再配合專業(yè)工程師的技術支持,快速高效地解決問題,既縮短了病毒處理的時間,又節(jié)省了用戶的人力資源。例如,有社保行業(yè)用戶因為內網PC中微軟系統(tǒng)補丁無法在線更新導致出現系統(tǒng)漏洞,WORM_DOWNAD病毒普遍都有感染。該病毒利用系統(tǒng)漏洞,快速傳播擴散。TDA可以通過對網絡流量的分析,快速定位感染源,并且利用有針對性的解決方案,在最短時間內控制感染源頭,清除受感染PC上的病毒,并且可以提供一份列表,告知用戶內網中還有哪些PC存在會受此病毒攻擊的安全漏洞,幫助用戶進行預防,避免今后再感染此類病毒。

該負責人表示:“有了TDA的監(jiān)控,再結合社保自身IT部門的管理規(guī)章制度和流程的優(yōu)化,目前安全狀況明顯改善,潛在威脅和風險得到控制,網絡安全狀況一目了然,并且在人力資源的協(xié)調上也比之前有更大的靈活度,不必再安排大量人力去做繁瑣的病毒查找和清除工作”。

桌面終端的安全保障

張家港社保用戶的病毒防護要求,除了包括病毒的查殺效果之外,誤殺率、兼容性、穩(wěn)定性、可管理性也都是重要的衡量指標。在為張家港社保規(guī)劃終端防護方案時,充分考慮到以上因素,采用趨勢科技防毒墻網絡版OfficeScan很好地實現了客戶的需求。

篇6

這家成立剛剛兩年的公司再一次填補了我國在工業(yè)控制系統(tǒng)（下稱“工控系統(tǒng)”）網絡安全風險評估領域缺乏有效工具和方法的空白。

近年來，國內外發(fā)生的越來越多的工控網絡安全事件，用慘重的經濟損失和被危及的國家安全警示我們：工業(yè)控制網絡安全正在成為網絡空間對抗的主戰(zhàn)場和反恐新戰(zhàn)場。 匡恩網絡總裁孫一桉說，預計匡恩網絡在今年可以實現可信和自主控制，形成―個基于可信計算的安全體系。

隨著“中國制造2025”和“互聯網+”在各個領域的深度滲透和廣泛推進，我們期待出現基于智能化、網絡化的新的經濟發(fā)展形態(tài)。而這個目標的實現，離不開自主可控的工控系統(tǒng)，離不開我國工控網絡安全行業(yè)的健康快速發(fā)展和像匡恩網絡這樣專注于智能工業(yè)網絡安全解決方案的高科技創(chuàng)新企業(yè)。

近日，就我國工控網絡安全的行業(yè)現狀和產業(yè)發(fā)展等相關問題，《中國經濟周刊》記者專訪了匡恩網絡總裁孫一桉。

匡恩網絡是工控安全行業(yè)最強的技術力量

《中國經濟周刊》：在國內工控網絡安全行業(yè)，匡恩網絡是規(guī)模最大、實力最強的企業(yè)之一，匡恩網絡在發(fā)展工控網絡安全產業(yè)方面有哪些優(yōu)勢？

孫一桉：匡恩網絡作為中國的工控安全民營企業(yè)，源于中國，扎根于中國，對中國工控網絡安全行業(yè)有自己的見解和應對之道。

首先，匡恩網絡匯聚了網絡安全、工控系統(tǒng)等領域的優(yōu)秀人才，是國內安全界普遍認可的工控網絡安全領域技術實力最強、規(guī)模最大的一支技術力量。

其次，匡恩網絡擁有完全自主知識產權的安全檢測和防護技術，國際領先，填補國內空白，申請和取得了發(fā)明專利30余項和著作權30余項。

再就是，以“4+1”防護理念為指導思想，匡恩網絡已完成3大系列、12條產品線，成為國內首家以全產品線和服務覆蓋工控網絡全業(yè)務領域的高技術創(chuàng)新公司;獨創(chuàng)了從設備檢測、安全服務到威脅管理、監(jiān)測審計再到智能保護的全生命周期自主可控的解決方案。

“四個安全性”加“時間持續(xù)性”缺一不可

《中國經濟周刊》：我們了解到，您提出了“4+1”工控網絡安全防護理念，這一理念應該如何理解，對匡恩網絡的產品研發(fā)有什么意義？

孫一桉：匡恩網絡在實踐探索中創(chuàng)新性地提出了“4+1”的立體化工控安全防護理念。

第一是結構安全性，包括網絡結構的優(yōu)化和防護類設備的部署;第二是本體安全性，主要關注工控系統(tǒng)中設備自身的安全性;第三是行為安全性，工控系統(tǒng)對行為的判斷、處理原則和入侵容忍度與信息系統(tǒng)不同，要根據工控系統(tǒng)的行業(yè)特點，判斷系統(tǒng)內部發(fā)起的行為是否具有安全隱患，系統(tǒng)外部發(fā)起的行為是否具有安全威脅，并采取相應的機制;第四是基因安全性，實現工控安全設備基礎軟硬件的自主可控、安全可信，并進一步將可信平臺植入到工業(yè)控制設備上;最后是時間持續(xù)性，即安全的持續(xù)管理與運維，在持續(xù)的對抗中保障安全。 在“4?29首都網絡安全日”博覽會上，匡恩網絡推出的部分保護類產品。

綜上，四個安全性加時間持續(xù)性，就構成了我們的工控安全防護體系。

匡恩網絡已實現全系列產品自主可控

《中國經濟周刊》：工控網絡安全領域的關鍵就是自主可控。匡恩網絡在這方面是如何布局并逐步推進的？

孫一桉：匡恩網絡是做工業(yè)控制網絡安全的，行業(yè)涉及國家關鍵基礎設施、制造、軍隊軍工等重大領域，所以我們從一開始就在硬件和軟件方面全部堅持自主研發(fā)，所有的解決方案都是自主開發(fā)，也申請了大量的專利和知識產權保護，目前已做到了全系列十幾款產品的自主可控，是國內同類廠商中的佼佼者。下一步，我們將把自己開發(fā)的硬件、軟件全部納入可信計算體系。我們可以保證任何篡改、植入的系統(tǒng)都不能在我們的環(huán)境下運行。預計匡恩網絡在今年可以實現可信和自主控制，形成一個基于可信計算的安全體系。

工控系統(tǒng)的特點是行業(yè)差異化大、投資大

《中國經濟周刊》：許多業(yè)內人士表示，工控網絡安全是一個很大的市場，也是將來能出現大公司的行業(yè)。關于這個市場，目前工控網絡安全主要針對或服務的是哪些行業(yè)？

孫一桉： 工控網絡安全的市場應從三個層次去看。

第一，工控網絡安全本身。我國制造業(yè)、基礎設施的規(guī)模非常大，它們在安全方面的花費有一個固定的比例。

第二，更大范圍內的大安全的概念。工業(yè)網絡安全也是生產安全的一部分，在大安全概念中的市場就更廣泛了，涉及到與功能安全相結合、數據安全相結合等，而不僅僅是網絡安全。 匡恩網絡推出的虛擬電子沙盤，展示智能制造等六大行業(yè)解決方案。

第三，做安全一方面是為了保護、防御系統(tǒng)安全，另一方面也是為了提高生產力，所以，在此基礎上衍生出了工控系統(tǒng)本身智能化的提升和生產力的提高。匡恩網絡的定位是從“工控的安全”做到“安全的工控”。這個過程當然不是一蹴而就，我們先要解決工控系統(tǒng)的網絡安全，之后再擴大到大安全的概念，最后再擴大到工業(yè)智能化，以安全為基因的智能化生產和智能化服務。

我們自2015年成立匡恩網絡智能工業(yè)安全研究院以來，就已經突破了傳統(tǒng)的、簡單的工業(yè)網絡安全的概念，在新能源和智能制造等領域開始布局新的產品，今年會有一系列新的產品。隨后我們還會再進一步擴大范圍。

之前的一兩年我們著重做平臺建設。工控系統(tǒng)的特點是行業(yè)差異化太大，我們投入巨大的研發(fā)力量，做了一個適應性非常好的平臺。這些前期的工作現在已經開花結果了，我們針對各個行業(yè)的特點做行業(yè)解決方案，提供定制化服務。目前覆蓋的行業(yè)主要包括能源電力、軌道交通、石油石化、智能制造等，凡是智能化水平比較高的工業(yè)和制造業(yè)企業(yè)都是我們的客戶。也包括基礎設施如燃氣、水、電、軌道交通、高鐵、航空、港口等。今后我們還要繼續(xù)拓展行業(yè)范圍，比如防疫站、醫(yī)院，未來也會關注更多的物聯網終端。

工控安全市場只開發(fā)了冰山一角

《中國經濟周刊》：工控網絡安全的需求這么大，您估計國內市場有多大規(guī)模？

孫一桉：我一直都不認為工控網絡安全是整體信息安全的一個細分市場，它更像是傳統(tǒng)信息安全領域的平行市場，市場規(guī)模非常大。但是這個市場的成長，從大家認識到開始采用再到大量采用，跳躍性很強，需要一個比較長的培養(yǎng)過程。

這種跳躍是由幾個原因造成的：一、這個市場更大程度上是一個事件驅動、政策驅動的市場，是跳躍性的。二、行業(yè)進入門檻非常高。不管是匡恩網絡還是華為、思科，要進入一個新行業(yè)，都要經過一個很長時間的試點和適應階段，而且在此期間看不到效益。但一個小小的試點，隨之而來的可能就是復制性很強的、爆炸性的市場。

現在我們所做的點點滴滴，只是未來更大的市場的冰山一角。盡管我們2015年相比2014年有10倍的增長，今年預計還會有大幅增長，但這并不是我們最看重的。在工控安全市場爆發(fā)點來臨之前，我們要做的，就是全力以赴地練內功，做品牌，做產品，讓用戶的認可度和滿意度不斷提升。

我們與傳統(tǒng)信息安全廠商主要還是合作關系，我們做工業(yè)控制網絡安全，介于信息安全和工業(yè)控制之間。這是一個新生態(tài)，我們在努力適應并融入這個新的生態(tài)圈。

專家點評

北京中安國發(fā)信息技術研究院院長、信息安全應急演練關鍵技術研究中心主任張勝生：我國工控安全保障需要從業(yè)務安全需求出發(fā)

在“兩化融合”“工業(yè)4.0”和“中國制造2025”的大背景下，隨著信息化的推進和工業(yè)化進程的加速，越來越多的計算機和網絡技術應用于工業(yè)控制系統(tǒng)，在為工業(yè)生產帶來極大推動作用的同時，也帶來了工控系統(tǒng)的安全及泄密問題。我國工控系統(tǒng)及設備的安全保護水平明顯偏低，長期以來沒有得到關注，如系統(tǒng)終端平臺安全防護弱點，系統(tǒng)配置和軟件安全漏洞、工控協(xié)議安全問題、私有協(xié)議的安全問題、隱藏的后門和未知漏洞、TCP/IP自身的安全問題、用戶權限控制的接入、網絡安全邊界防護，以及內部非法人員、密鑰管理、當前國際復雜環(huán)境等，存在各種網絡安全的風險和漏洞。

篇7

【關鍵詞】雙中心機房 虛擬化網絡

1 系統(tǒng)實施背景

隨著醫(yī)院信息化進程的不斷推進，醫(yī)療業(yè)務的開展對信息系統(tǒng)的依賴程度的逐步加深，這就要求醫(yī)院網絡系統(tǒng)必須提供不間斷的高可用。對于醫(yī)療行業(yè)而言，時間就是生命，醫(yī)院網絡的核心部署要求實現的效果是在信息網絡系統(tǒng)災難發(fā)生時，信息網絡系統(tǒng)的災難恢復體系要提供快速無感知的切換，從而保障業(yè)務系統(tǒng)永不停歇。目前多數三甲醫(yī)院一般都設有網絡交換冗余和數據級的容災備份機制，而對整個網絡進行實時雙活配置的并不多，并且大多數醫(yī)院的信息中心機房只有一個，當真正的災難來臨之時業(yè)務系統(tǒng)立即會陷入癱瘓狀態(tài)，雖然這是一個極小概率的事件，但對醫(yī)院的影響是災難性的。因此如果在醫(yī)院的不同地理位置（最好是不同院區(qū)或樓宇）建立災備機房，并且基于雙機房利用網絡虛擬化技術建立起實時的網絡互備系統(tǒng)是根本解決網災隱患比較可行的方式。在進行網絡虛擬化改造前，我院的網絡架構如圖1所示。

因為受當時網絡技術所限以及實施成本的影響，這樣的核心網絡架構在我院已經運行約7年，雖未出現過較大的災難性故障，但存在非常大的風險，一旦出現哪怕是單點的核心故障，都會導致長時間的大面積網癱，其不足之處體現在以下幾個方面：

（1）內網核心網絡設備采用兩臺華三S7506E交換機作為全院核心交換設備，兩臺設備通過VRRP協(xié)議互為備份，但由于核心層與匯聚層、接入層存在單鏈路的情況，兩臺核心設備只能實現核心冷備的方式，這種冷備的方式在切換時需要很長的切換時間，無法滿足醫(yī)院持續(xù)化服務能力。

（2）內網接入層設備品牌和型號比較多，并且存在一些不可網管交換機，在管理和安全保障上存在很大的問題，由于接入層設備直接互聯醫(yī)療終端、直接面對醫(yī)療信息化應用，因此其可靠性、穩(wěn)定性也相當重要，較多的品牌和型號容易導致兼容方面的問題。

（3）內網生產數據集中存在在單臺存儲設備中，雖然存儲設備具備比較高的安全性和可靠性，但生產數據的存儲介質硬盤存在一定的故障率，在硬盤故障率比較高時，存在數據丟失的風險。由于這一問題涉及的是存儲災備系統(tǒng)的問題，不在本文討論范圍之內，在此不做贅述。

2 系統(tǒng)方案規(guī)劃

針對實施背景所述，如何通過網絡改造實現全冗余可以實時切換的核心網絡系統(tǒng)已經成為我院非常急迫的任務。從2016年初開始，我們通過多次與網絡服務公司溝通和論證，確立了基于雙中心機房采用網絡虛擬化技術構建雙活分布式網絡系統(tǒng)的方案，該方案通過對三層網絡架構的全面改造和升級，構建了我院全新的雙活核心網絡系統(tǒng)，依照功能區(qū)分，各層網絡詳細規(guī)劃如下：

2.1 核心層部署

如圖2所示，在現有機房和新門診樓機房分別部署 1 臺高性能、高可靠性的核心交換機，作為整個院區(qū)數據交換主核心，2 臺核心交換機通過機房之間的多條單模光纖鏈路互聯，采用虛擬化技術將 2 臺物理核心交換機虛擬為一臺邏輯核心設備，實現核心的高可靠性、高分布性和高管理性。在現有機房和新門診樓機房分別部署 2 臺高性能、高可靠性的服務器匯聚交換機，作為兩個機房 HIS、LIS、PACS 等服務器的接入設備，2 臺本機房的交換機通過高速堆疊線纜互聯，采用虛擬化技術虛擬為一臺邏輯交換機，兩個機房之間的 2 組邏輯交換機通過多條單模光纖鏈路，采用虛擬化技術虛擬為一個跨中心的邏輯交換機，實現服務器接入的高可靠性、高分布性和高管理性，在核心層虛擬化后，成倍提升了核心層的交換性能和骨干帶寬的處理性能，并且設備之間的切換時間少于 50MS，可以保障業(yè)務無感知快速切換。核心交換機與數據中心交換機之間通過鏈路聚合協(xié)議，在實現鏈路冗余的同時，提升了傳輸帶寬。在核心層虛擬化后，可以在虛擬交換機上規(guī)劃一個或者幾個二層 VLAN，作為兩個數據中心服務器的專用 VLAN，通過 VLAN 網關終結在核心虛擬交換機上實現跨中心的大二層 VLAN互聯，來滿足虛擬機的遷移和服務器的集群切換。在兩個機房核心交換機上分別旁掛 1 臺負載均衡設備，通過啟用服務器均衡功能，實現對來自客戶端的合理請求調度。為了實現對服務器等核心設備的安全防護，在兩臺核心交換機上分別配置 1 塊 20G 吞吐量的防火墻板卡，此防火墻可采用虛擬化技術虛擬化為一臺邏輯防火墻，在簡化管理的同時提高了整體性能；同時防火墻支持 1：N 的虛擬化，可以將一臺防火墻虛擬化為多臺虛擬防火墻，來實現對多個應用系統(tǒng)的差異化安全防護。

2.2 匯聚層部署

如圖3所示，在第一、二、三住院部和原門診樓分別部署 1 臺高性能和高可靠性匯聚交換機，此交換機上行通過萬兆光纖鏈路分別互聯兩個數據中心的核心交換機，下行通過千兆光纖鏈路互聯本樓宇的接入交換機，為了提高上行鏈路的可靠性和高性能，此交換機的兩個上行萬兆端口采用鏈路聚合的技術與兩臺核心交換機實現高速對接?？紤]到門診樓業(yè)務的重要性，同時為保護原有投資，借助原有 2 臺光纖交換機作為門診樓的匯聚交換設備，兩臺交換機之間采用虛擬化技術虛擬為一臺邏輯交換機，上行通過兩條萬兆光纖鏈路互聯兩個數據中心的核心交換機，下行通過多條千兆光纖鏈路互聯本樓宇的接入交換機，為了提高鏈路的可靠性和高性能，兩臺交換機的兩個上行萬兆端口和下行千兆端口采用鏈路聚合的技術與兩臺核心交換機和樓層接入交換機實現高速對接。

2.3 接入層部署

考慮到各樓宇有若干臺不同品牌和不可網管交換機，為提高接入可靠性、高安全性，采用若干臺高安全性接入交換機作為各樓宇醫(yī)療終端的接入設備，除新門診樓接入交換機采用雙鏈路捆綁上行外，其他樓宇采用單鏈路上行到匯聚交換機。這種接入部署方式把實時要求最高的門診接入層進行全冗余部署，把單點故障分散在各住院分部接入的最后一層，雖不能保證網絡系統(tǒng)交換機的全冗余，但大大簡化了網絡結構的復雜性，同時有效降低了實施成本。

3 系統(tǒng)設計特點

3.1 技g先進性

在保證滿足基本業(yè)務應用的同時，把先進的技術與現有的成熟技術和標準結合起來，充分考慮到信息化應用的現狀和未來發(fā)展趨勢。

3.2 高可靠性

系統(tǒng)的穩(wěn)定可靠是應用系統(tǒng)正常運行的關鍵，方案設計選用高可靠性的產品設備，充分考慮冗余、容錯和備份能力，同時合理設計信息化架構，系統(tǒng)具有故障自愈的能力，最大限度地支持各應用系統(tǒng)的可靠運行。

3.3 高性能

系統(tǒng)的性能是整個應用系統(tǒng)良好運行的基礎，該方案保障了網絡的高帶寬和設備的高處理能力，保證了應用系統(tǒng)各種信息（數據、語音、圖象）的高質量傳輸、處理和存儲。

3.4 可擴展性

根據未來業(yè)務的增長和變化，系統(tǒng)可以平滑地擴充和升級，最大程度的減少對系統(tǒng)架構和現有設備的調整。

3.5 可管理性

選用先進的運維管理平臺，具有對設備、端口等的管理及流量統(tǒng)計分析，并可提供故障自動報警。

3.6 安全性

具有統(tǒng)一的安全策略，整體考慮信息化平臺的安全性。做到業(yè)務數據的安全 傳遞和不受黑客攻擊。

3.7 經濟性

在充分利用現有資源的情況下，最大限度地降低系統(tǒng)的總體投資，有計劃、 有步驟地實施，在保證整體性能的前提下，充分利用現有的設備或做必要的升級。

4 系統(tǒng)實施效果

該方案自2016年初開始規(guī)劃，經過多次修改確認，至2016年底已在我院順利實施完成，目前網絡運行狀態(tài)良好，我們經過幾次模擬斷網測試均驗證了系統(tǒng)的安全和高效性。由于技術的復雜性和各醫(yī)院網絡系統(tǒng)的差別，方案必然也具有一定的局限性，雖然不能保證適合所有的同級醫(yī)院，但它是我們積極探索醫(yī)院網絡安全道路上的心血結晶，希望能幫助到有同樣需求的同行，起到積極的參考作用。

參考文獻

[1]江逸茗.網絡虛擬化技術綜述[J].網絡新媒體技術，2016（05）.

[2]李小慶.雙活數據中心的構建及運維[J].金融科技時代，2016（01）.

篇8

關鍵詞：無線網絡；軍隊；安全；物理層安全；可見光通信

中圖分類號：TN 929.3

文獻標識碼：A

DOI： 10.3969/j.issn.1003-6970.2015.08.004

0 引言

進入二十一世紀的第二個十年以來，信息已經成為人類社會文明進步的要素資源，成為現代社會持續(xù)發(fā)展的基本條件。信息網絡空間已經成為繼陸、海、空、天之后的第五大國家疆域，成為世界各國戰(zhàn)略競爭的重要領域。信息安全已成為與國防安全、能源安全、糧食安全并列的四大國家安全領域之一。

近些年來，以美國為代表的信息技術強國利用自身所壟斷的全球信息技術優(yōu)勢，加緊構建信息安全保障和攻擊體系，以進一步鞏固其在網絡空間的統(tǒng)治地位。在美國現有的國家信息安全體系中，政府、IT企業(yè)和社會團體分工協(xié)作，相互配合，共同推進美國國家和軍隊的信息安全體系建設。當前，美國政府部門作為信息安全戰(zhàn)略制定、網絡和信息安全項目策劃、網絡情報偵查、網絡防御以及網絡進攻的主導者，引領了整個美國信息安全領域的發(fā)展和規(guī)劃。其主要部門包括國土安全部、國防部、美軍網電司令部、商務部、聯邦調查局以及中央情報局；美國的IT企業(yè)則是網絡攻防的具體實施機構和重要支撐單位，是美國政府和軍隊海量情報數據的來源，同時也是實施網絡作戰(zhàn)的實施主體；而美國及其盟國中一些非營利性團體和學術組織則為美國政府和軍隊提供了輿論和技術層面的支持，同時進行了人才的輸出，以支撐日益強大的美國信息作戰(zhàn)部隊。

隨著無線與移動通信技術的高速發(fā)展，拋開有線束縛的無線通信技術為國家和軍隊的指揮和作戰(zhàn)帶來了極大的便利性，然而也埋下了極大的安全隱患。截至2014年年底，美國情報和軍隊相關部門在無線網絡中偵收和攻擊獲得的情報已經占到美國情報總量的約57.6%，凸顯了當前國家和軍隊無線網絡安全的嚴峻態(tài)勢。美軍網電司令部2015年戰(zhàn)略規(guī)劃指南顯示，未來美軍網電部隊將把無線領域作為網絡攻防作戰(zhàn)的重點，這對我國國防和軍隊網絡安全體系和技術提出了新的考驗。本論文從歷史出發(fā)，對交換技術進行了簡要的回顧，指出了當前交換網絡發(fā)展的瓶頸以及問題，并基于前沿的下一代智能網絡以及大數據交換網絡提出了展望和設想。

1 軍隊無線網絡安全現狀

我國的互聯網、電信網、廣電網和各類專網（包含軍網）組成的國家基礎網絡是國家和軍隊信息安全防護的重要對象，但是這些基礎社會建設過程中普遍存在著重建輕防，甚至只建不防的問題，造成網絡信息安全體系構建的極大障礙。

當前，我軍無線網絡通信手段主要包含戰(zhàn)場衛(wèi)星通信、短波電臺通信、水下潛艇長波通信等戰(zhàn)時通信手段，以及軍隊日常辦公所使用的蜂窩網移動手機通信、單位無線局域網（Wi-Fi）以及家庭使用的寬帶及家庭無線局域網等非戰(zhàn)時通信手段。由于戰(zhàn)時通信技術具有較強的應用層加密以及物理層跳頻和擴頻保障，傳統(tǒng)的竊密和攻擊手段并不能很快奏效，反而是和平時期工作用無線局域網、個人手機、家庭Wi-Fi等上網和通話極易被偵聽和竊密，導致無意識泄密。據不完全統(tǒng)計，2014年以來軍隊、軍工企業(yè)等軍事相關單位因手機、家庭寬帶/Wi-Fi等被攻擊及竊聽的事件約470起，造成不可估量的軍事、經濟以及國家核心技術損失。

美國憑借其在信息領域的絕對優(yōu)勢，不斷將其技術和設備輸出到中國，而國產化設備的低性能、高價格等不足進一步導致了黨政軍系統(tǒng)中日常無線網絡通信設備國產化程度極低，使得日常無線網絡的安全防線處于近乎失靈的狀態(tài)。在美國IT跨國公司和美國網絡部隊等諸如“棱鏡”項目面前，我軍的基礎網絡和重要信息系統(tǒng)幾乎完全處于不設防狀態(tài)。諸如思科、微軟、英特爾、IBM等IT企業(yè)幾乎完全控制了我國高端IT產品的生產及應用。據Gartner數據顯示，Windows系列操作系統(tǒng)在我國市場占有率超過9成，英特爾在微處理器市場上占有率也超過8成，谷歌的安卓操作系統(tǒng)在我國市場占有率達到8成。即使是國產的聯想、酷派等手機，其核心芯片和操作系統(tǒng)也多是國外生產，使得我國無法從技術層面根除安全隱患。

2 解決方案：物理層安全技術和可見光通信技術

針對目前日常軍隊無線網絡安全性的問題，本文提出了兩種可行的改進方案，能夠在現有技術的基礎上，從防止無線信號被偵收和泄漏的角度實現日常狀態(tài)下部隊營區(qū)無線通信的安全保密。

在現有的通信系統(tǒng)中，通信的保密性主要依賴于基于計算密碼學的加密體制，早在20世紀初就已有人提出將傳輸的信息與密鑰取異或的方法來增強信息傳遞的安全性。這種基于密鑰的加密方法首次由Shannon于1949年給出了數學的理論分析。假設發(fā)送者希望把信息M秘密地發(fā)送給接收者，稱M為明文信息。則加密的過程為，在發(fā)送端，發(fā)送者通過密鑰K以及加密算法f對所要傳輸的明文M進行加密，得到密文S。在接收端，接收者通過密鑰K以及與加密算法相應的解密算法，我們用f-1標記，來進行解密，從而得到明文M。通過對加解密過程的觀察，可以得知，有兩個方法防止竊聽者從竊聽到的S中獲取明文M： 一個是竊聽者不知道密鑰K，另外一個是解密算法非常困難，竊聽者難以在有限的時間用有限的資源進行解密?；谶@兩個方法，延伸出了現代通信系統(tǒng)中非常常見的兩種加密形式，一個是對稱密鑰加密，一個是非對稱密鑰加密。

現代密碼學的加密體制主要是在物理層之上的幾層來實現的，譬如MAC層、網絡層、應用層等等，故有時也稱基于現代密碼學的安全為上層安全。物理層對于現代密碼學加密體制來說是透明的，即物理層安全與上層安全是獨立的。下面分別介紹物理層安全的兩個基礎知識，分別是：竊聽信道模型和安全傳輸速率。竊聽信道模型是物理層安全所研究的基本信道模型，安全傳輸速率是衡量物理層安全系統(tǒng)性能的重要指標。

物理層安全主要是利用特殊的信道編碼和無線信道的隨機特性使得秘密通信得以進行，它與現代密碼學不同之處在于，其安全程度并不依賴于Eve的計算強度，而是依賴無線信道環(huán)境的隨機特性。但是，從保密環(huán)節(jié)上來說，物理層安全與傳統(tǒng)的計算密碼學的安全卻有著本質的相似之處。如圖1所示。物理層安全中的編碼調制環(huán)節(jié)和信道的隨機性是安全通信的必要條件，正如現代密碼學體制中的加密算法和密鑰。編碼調制環(huán)節(jié)是指Alice根據Alice-Bob和Alice-Eve信道的信道條件，通過獨特的信道編碼來保證Alice與Bob之間安全又可靠的通信。從安全的角度來說，編碼調制環(huán)境可以被看作現代密碼學中的加密過程，信息加密后生成的密文記為Xn。密文經過無線信道和解調譯碼可以等同為現代密碼學中的解密環(huán)節(jié)，其中信道信息{h，g}可以看作公共密鑰，而Bob接收端的噪聲可以看作Bob的私鑰，Eve是沒有辦法獲得的。因此密文通過Bob的無線信道和解調譯碼，可以被Bob正確地譯碼解密；而此密文通過Eve的無線信道和解調譯碼，Eve是不能獲得任何信息的。由此可見，雖然物理層安全與傳統(tǒng)的基于現代密碼學的加密原理是完全不同的，但是它們在實現框架上卻也能夠找到共同點。物理層安全可以看作是以調制編碼等發(fā)送端的技術為“加密算法”，充分利用Alice-Bob和Alice-Eve之間無線信道的差異性，把無線信道看作“加密密鑰”，從而使得Alice與Bob之間形成了安全可靠的通信。

物理層安全技術由于可以獨立于上層而單獨實現秘密通信，因此在無線通信系統(tǒng)中，可以在保證現有上層安全措施不變的情況下，補充物理層傳輸的安全。這使得通信系統(tǒng)的安全性能得到額外一層的保護。另一方面，將物理層安全用來傳輸現代密碼學中的密鑰，也是增強系統(tǒng)的安全性的一種方法。

從實現的角度講，當前傳統(tǒng)的無線路由器等均使用了全向天線進行傳輸，有可能導致無線信號泄漏至營區(qū)外部造成泄密。由于物理層安全技術方案的存在，除了進行傳統(tǒng)的上層密碼和傳輸加密以外，考慮利用物理層定向天線和波束賦形技術使得無線信號定向的向營區(qū)內部輻射，使得竊聽者獲取的信息量近乎為0，從而進一步降低失泄密的風險，這是物理層安全技術在現有無線網絡中的應用改進。

根據香農公式，假設發(fā)射端信號表示為：y=hx+z，那么正常接收者bob收到的信號可以表示為：

此時人造噪聲設計對Bob沒有產生干擾的方向上均勻分布，從而實現了對目標用戶的正常信號發(fā)送，但是使得竊聽用戶獲得的干擾最大化，可用信息最小。

可見光通信（Visible Light Communications）是指利用可見光波段的光作為信息載體，不使用光纖等有線信道的傳輸介質，而在空氣中直接傳輸光信號的通信方式，簡稱“VLC”。

普通的燈具如白熾燈、熒光燈（節(jié)能燈）不適合當作光通信的光源，而LED燈非常適合做可見光通信的光源?？梢姽馔ㄐ偶夹g可以通過LED燈在完成照明功能的同時，實現數據網絡的覆蓋，用戶可以方便地使用自己的手機、平板電腦等移動智能終端接收這些燈光發(fā)送的信息。該技術可廣泛用于導航定位、安全通信與支付、智能交通管控、智能家居、超市導購、燈箱廣告等領域，特別是在不希望或不可能使用無線電傳輸網絡的場合比如飛機上、醫(yī)院里更能發(fā)揮它的作用?？梢姽馔ㄐ偶骖櫿彰髋c通信，具有傳輸數據率高、安全性強、無電磁干擾、節(jié)能、無需頻譜認證等優(yōu)點，帶寬是Wi-Fi的1萬倍、第四代移動通信技術的100倍，是理想的室內高速無線接人方案之一。

據美國DAPRA報道，美軍已經生產出軍用可見光網絡及相關設備，用于國防部等軍事機關和設施的高速無線網絡通信。由于可見光室內傳輸光源直接指向用戶且傳輸距離遠小于傳統(tǒng)的微波無線通信，在不考慮人為主動泄密的情況下，可見光通信信號是無法截獲的，從技術上為通信的有效性和可靠性提供了強有力的支撐。

圖2給出了微波無線通信和可見光通信之間的比較。對于手機、Wi-Fi等微波無線通信手段，除了目標用戶能夠接收到無線信號以外，由于無線電波是全向發(fā)射的，竊聽者完全可以收到相同的信號，從而進行破譯或者攻擊，帶來安全隱患；而可見光通信依賴于室內的LED燈具，通常燈具會直接部署在工位上方，而照明具有定向發(fā)射的特點，因此位于營區(qū)外部的竊聽者無法收到任何信號，不能進行竊聽。從實現上講，可見光通信可以方便的利用LED臺燈、屋頂燈等照明燈具，通過加裝調制解調模塊即可使得燈具具有高速數據傳輸功能，可供營區(qū)內臺式機、筆記本電腦、平板電腦等高速無線上網，滿足高清視頻會議等高帶寬需求。

目前，關于可見光通信在室內外各種復雜環(huán)境下的信道測量與建模的工作還很欠缺，只有少量的研究結果。尤其是在有強光干擾、煙霧和灰塵遮擋的環(huán)境下的信道干擾模型，更是需要亟待解決的問題。

3 結論

軍隊作為國家的武裝力量，其信息安全問題尤為重要。在和平時期，如何從技術手段保證軍隊手機、Wi-Fi等無線通信安全，防止和平時期敵對勢力進行的無線網絡信號偵收和網絡攻擊，是當前要重點關注的問題。

篇9

關鍵詞：醫(yī)療衛(wèi)生行業(yè)；信息安全；等級保護；管理制度

1引言

隨著信息化、數字化、網絡化的發(fā)展，大數據和換聯網+也進入了醫(yī)療衛(wèi)生行業(yè)，加快了醫(yī)院信息化的發(fā)展。隨著醫(yī)院業(yè)務的發(fā)展，醫(yī)院信息系統(tǒng)的應用也更加廣泛，醫(yī)院對其依賴性會越來越強，風險也隨之會提高。但醫(yī)療服務的特殊性決定了醫(yī)院信息系統(tǒng)需要24小時不間斷運行，這就對醫(yī)院的信息安全管理提出了更高要求。信息安全管理是指導和控制組織關于信息安全風險相互協(xié)調的活動，它是了解體系安全狀態(tài)、實現信息安全目標的重要關口，主要包括信息安全風險評估、風險管理和技術措施的控制。如何更好地進行信息安全管理成為一個不可忽視的問題，因此，在醫(yī)院信息化建設的同時加強信息安全管理建設是解決醫(yī)院信息安全問題的必然選擇。

2我國衛(wèi)生行業(yè)信息安全管理政策

2010年原衛(wèi)生部制定的《衛(wèi)生信息化建設指導意見與發(fā)展規(guī)劃（2011-2015）》（“十二五”規(guī)劃）明確提出了我國醫(yī)療信息化發(fā)展的藍圖和發(fā)展方向“35212工程”，建設信息安全體系即是最后一個“2”中的一項。按照《衛(wèi)生部辦公廳關于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》（衛(wèi)辦綜函〔2011〕1126號）的要求，三級甲等醫(yī)院應于2015年12月30日前全部完成信息安全等級保護建設整改工作，并通過等級測評。這標志著我國衛(wèi)生行業(yè)開始通過信息安全等級保護加強對醫(yī)院信息安全的管理。原衛(wèi)生部、國家中醫(yī)藥管理局在2012年6月15日的《關于加強衛(wèi)生信息化建設的指導意見》指出，要加強衛(wèi)生信息安全保障體系建設，落實國家信息安全等級保護制度。國家衛(wèi)生計生委規(guī)劃信息司在2014中國健康大會上也指出，醫(yī)療衛(wèi)生信息化是國家信息化發(fā)展的重點，已納入“十三五”國家網絡安全和信息化建設重點。

3醫(yī)院信息安全管理需求

據《南方都市報》報道，2008年5月以來，香港連續(xù)爆出泄密事件：先是醫(yī)管局下屬醫(yī)院陸續(xù)發(fā)現患者資料遺失，共涉及1.6萬名患者，此事立刻轟動了全港。2010年5月23日，一張神秘的清單在網上曝光，其中列出了寧波市某醫(yī)院45名醫(yī)生的工號、名字和所屬科室，后面還注明了他們使用藥品氨曲南的數量和總價，雖然腐敗得到懲戒，大快人心，但所暴露的醫(yī)院的潛在威脅值得警惕。2013年7月，寧波兩家醫(yī)院掛號系統(tǒng)癱瘓事件，同樣也引起了社會各界對醫(yī)院信息系統(tǒng)安全的高度關注。2015年10月份的澳門山頂醫(yī)院最大泄密事件，患者資料隨街散落，也折射出醫(yī)療衛(wèi)生行業(yè)信息安全問題的嚴峻性。信息化在給醫(yī)院帶來便利的同時，也帶來了醫(yī)院信息安全的隱患，上述嚴重的信息安全事件給醫(yī)院的信息安全管理敲響了警鐘。醫(yī)院信息系統(tǒng)承擔著整個醫(yī)院的內外各項業(yè)務，其安全狀況直接關乎患者隱私和健康、社會秩序及穩(wěn)定等。加強信息安全、消除信息安全隱患，已經成為醫(yī)院當前必須要面對的問題。

4醫(yī)院信息安全管理制度的發(fā)展對策

在《信息系統(tǒng)安全等級保護基本要求》和醫(yī)院評審的相關標準中都提到了信息管理部分，都強調了信息安全管理，并且都是對醫(yī)院進行此兩方面評審時的重要的評審部分。結合這兩方面的評審要求，可以分別從安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設安全管理、系統(tǒng)運行安全管理五個方面，對醫(yī)院信息安全進行管理。

4.1建立完善的總體安全管理制度

醫(yī)院應根據自身的實際情況制訂總信息安全管理制度，總信息安全管理制度是一個醫(yī)院的根本管理制度，規(guī)定醫(yī)院信息安全管理的根本任務和根本制度，是醫(yī)院信息安全工作的總體方針、總體目標、總體原則，是其他信息安全管理制度制訂的依據和基本要求?？傂畔踩芾碇贫戎袘獓栏衩鞔_制度制定與的流程、方式、范圍等，應定期組織相關部門對安全管理制度進行評審與修訂，以滿足醫(yī)院信息化不斷發(fā)展的需要。

4.2應建立穩(wěn)固的安全管理機構

醫(yī)院應根據總體安全管理制度的基本要求設置安全管理機構和安全管理崗位，并制定《崗位設置與職責管理制度》，應明確“三員”（系統(tǒng)管理員、網絡管理員、安全管理員）崗位與職責。醫(yī)院信息安全管理不是某一個部門的職責，而是全醫(yī)院相關部門都要參與，從自身做起，從上述某醫(yī)院的信息安全管理機構圖來看，信息安全領導小組對醫(yī)院信息安全管理進行定期評審，再由醫(yī)院最高領導的支持，然后直到一線的人員，每個崗位都有明解的崗位職責，達到穩(wěn)固的管理，責任到人，能滿足醫(yī)院信息化不斷發(fā)展的需要。

4.3配備專業(yè)的信息化人員，制定完善的員工信息安全管理制度

醫(yī)院人事主管部門，應針對醫(yī)院的實際情況例如可制定《人員錄用制度》、《人員離崗制度》、《人員考核制度》、《安全教育和培訓制度》、《外部人員參觀訪問制度》等人員工信息安全管理制度。在人員錄用方面應按照制度流程對被錄用人員進行資格審查，對于在醫(yī)院從事關鍵崗位的人員應當簽署保密協(xié)議等，在離職時應按照制度流程辦理離職手續(xù)，例如應回收醫(yī)院發(fā)放的各種身份證件、鑰匙、秘鑰并注銷一切其所擁有的信息系統(tǒng)賬號等；在人員考核方面應定期對各個崗位的人員進行信息安全技術及信息安全認知的考核，確保在崗人員都有維護醫(yī)院信息安全的義務；在人員的安全教育和培訓方面，應對各類人員定期進行信息安全教育和培訓，提高其安全意識，明確責任和獎懲措施；在外部人員來醫(yī)院參觀訪問方面，應用按照制度進行授權和審批，確保醫(yī)院運行安全。

4.4完善醫(yī)院各類信息系統(tǒng)的建設，制定切實可行的信息系統(tǒng)安全管理制度

信息化數字化醫(yī)院建設只有起點沒有終點，醫(yī)院在各類信息系統(tǒng)建設方面應根據自身的實際情況，制定完善可行的信息系統(tǒng)建設規(guī)章，可保障醫(yī)院相關部門在信息系統(tǒng)建設過程有據可依、有規(guī)可循。例如醫(yī)院可制定如下關于醫(yī)院信息系統(tǒng)建設的管理制度：《醫(yī)院信息系統(tǒng)定級管理制度》、《醫(yī)院信息系統(tǒng)安全方案設計管理制度》、《醫(yī)院信息系統(tǒng)產品采購和使用制度》、《醫(yī)院信息系統(tǒng)自行軟件開發(fā)制度》、《醫(yī)院信息系統(tǒng)外包軟件開發(fā)制度》、《醫(yī)院信息系統(tǒng)工程實施管理制度》、《醫(yī)院信息系統(tǒng)測試驗收管理制度》、《醫(yī)院信息系統(tǒng)交付管理制度》等。

4.5制定切實可行的醫(yī)院各類信息系統(tǒng)運行管理制度，滿足醫(yī)院各類業(yè)務的適時訪問需求

醫(yī)院各類信息系統(tǒng)建設的目的是為了更好地滿足各類業(yè)務的需求，保障建設好的各類信息系統(tǒng)更好的運行。醫(yī)院信息系統(tǒng)管理者應從管理方面制定切實可行的管理制度，同時針對不同的醫(yī)院使用人員，制定不同的使用操作手冊，讓醫(yī)院的使用者達到規(guī)范操作，這樣可以大大減少人為誤操作導致的系統(tǒng)故障，方便運維人員對系統(tǒng)的維護。例如醫(yī)院可根據信息系統(tǒng)的實際情況制定如下運行管理制度：《醫(yī)院信息系統(tǒng)環(huán)境管理制度》、《醫(yī)院信息系統(tǒng)資產管理制度》、《醫(yī)院信息化介質管理制度》、《設備管理制度》、《醫(yī)院網絡安全管理制度》、《醫(yī)院信息系統(tǒng)安全管理制度》、《醫(yī)院惡意代碼防范管理制度》、《醫(yī)院信息系統(tǒng)密碼管理制度》、《醫(yī)院信息系統(tǒng)備份與恢復管理制度》、《醫(yī)院信息系統(tǒng)安全事件處置制度》、《醫(yī)院信息系統(tǒng)應急預案管理制度》等。

5總結

信息化、數字化醫(yī)院建設只有起點沒有終點，醫(yī)院信息系統(tǒng)安全伴隨著信息化數字化醫(yī)院建設同樣沒有終點。醫(yī)院需要高度重視信息安全管理，制定一套切實可行的信息安全管理制度和措施，才能更好地保證醫(yī)院信息系統(tǒng)安全、高效、穩(wěn)定的運行。

參考文獻：

[1]蔡文濤.淺談醫(yī)院信息系統(tǒng)網絡安全[J].中國現代醫(yī)生,2009(32):116-117.

[2]李剛.醫(yī)院信息系統(tǒng)安全管理問題淺析[J].中國管理信息化,2013(1):39.

[3]楊棟,劉立輝,任志剛.醫(yī)院信息安全管理與措施[J].中國醫(yī)療設備,2011,26(6):70-72.

篇10

關鍵詞：信息系統(tǒng)；網絡機房；安全管理

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）04-0728-02

許多網絡設備、存儲設備、服務器以及計算機都在醫(yī)院的網絡機房中進行運載，那么對醫(yī)院的信息資料進行處理、存儲、管理與傳遞等則是網絡機房承擔的重要作用。計算機在我們的日常生活中越來越普及，成為各行各業(yè)都離不開的工具，當然醫(yī)院也包括在內。對醫(yī)院網絡機房的安全維護與日常管理的過程中，各式各樣的問題都有可能出現，面臨這種狀況，就要努力把出現的問題解決掉，才能保證醫(yī)院網絡信息的安全。

1 建立網絡機房

1.1 建筑裝修方面

考慮到日后機房的安全使用狀況，網絡機房的裝修就顯得非常重要，對網絡機房的裝修包括鋪設抗靜電地板與強弱電管道、安裝微孔回風吊頂以及對機房內部隔斷、密封、內墻、門窗、棚頂的裝修等。

1）地面裝修

對機房這一特殊場所，不僅地面要采取防潮處理，鋪設的地板通常選用的都是抗靜電活動的。地板下面有單獨設計的安裝強電與弱電的金屬架，同時，為了防止電磁干擾的出現，都設有相對應的管道來安裝所有設備的電源線路以及數據線路，這樣做又使得日后檢查與維修線路更加方便。

2）棚頂的裝修

為了能夠分割出機房上部空間來設置通風管道，機房的棚頂通常都采用吊頂方式，這樣做還可以安裝燈具或者布置通風口等。微孔金屬鋁是大多數醫(yī)院網絡機房吊頂的首選材質，其具有很多方面的優(yōu)點，如防火、防潮、不吸塵、量輕、吸音等，更重要的是使機房上部空間的衛(wèi)生與安全得到保障，同時安裝配套設施也變得更加便捷。

3）內墻的裝修

為了使機房里的設備能夠正常運行，需要裝修機房的內墻，這樣還能為工作在里面的人員提供一個舒適、整潔的大環(huán)境。功能性與美觀性是在裝飾內墻時首要考慮的因素，一般選用鋁塑板和彩鋼板等作為裝修材料。當內墻的裝修材料選用鋁塑板時，能夠使機房內墻的表面平滑光整，同時還具有透氣性好、方便清潔，不易起灰，隔熱、保溫等多方面的優(yōu)點。

4）門窗的裝修

網絡機房的門，一般考慮使用防火防盜門，關于機房的窗戶，一方面為了保持室內溫度，通常采用全密封的雙層玻璃結構，另一方面為了保證機房內的財產安全，需要安裝防盜網。為了使整個機房內更加直觀、明亮，無框大玻璃門是很多醫(yī)院機房采用的方式，同時使里面的工作人員的視野范圍也更加寬闊。

5）機房的隔斷

計算機的散熱狀況是裝修機房時必須考慮的因素。首先，依據相關情況將設備進行分類，然后采用鋼化玻璃根據前面的類別數將機房分割成相應的區(qū)域，最后安裝空調設備、凈化設備等來滿足設備的溫度需求。

1.2 監(jiān)控系統(tǒng)

在安裝機房監(jiān)控系統(tǒng)時，需要考慮以下幾方面的問題：首先，為了與醫(yī)院的保衛(wèi)部門配合一致，錄像的存儲要統(tǒng)一；第二，使工作人員對機房內的監(jiān)控更及時、更方便；最后對機房的監(jiān)督要有合理的管理體制，同時能夠有效執(zhí)行。當機房有了監(jiān)控系統(tǒng)后，監(jiān)控信號會一并傳達給醫(yī)院監(jiān)控中心與值班室人員，因此在配置監(jiān)控系統(tǒng)攝像機時，夜晚監(jiān)控錄像問題就要考慮在內。

2 網絡安全的防護方法

2.1 網絡的劃分

整個網絡分成內、外網，兩網之間不連通，并且兩者間設有防火墻，這種情況下，不僅能夠很好的對數據流進行監(jiān)控、過濾、記錄與報告等功能，還能夠防止內部與外部網絡之間相互聯系。醫(yī)院的計算機有上網需求的都掛在外網上，外面的用戶訪問到的信息也是部分指定可以公開的；相對來說重要的信息都裝在內部網絡上，并且內網計算機是不允許上網的。

2.2 防治網絡病毒

現在的網絡病毒不僅種類多，傳播速度也是十分迅速的，那么醫(yī)院計算機網絡的安全就會受到威脅，當計算機中了病毒，輕者會使某些功能不能使用，嚴重的會導致計算機多個系統(tǒng)癱瘓。因此為了防止電腦中病毒，就需要給網絡機房中的每臺電腦安裝金山、瑞星等正版殺毒軟件，并實時更新這些軟件，同時對所有病毒預防系統(tǒng)借助控制臺來進行統(tǒng)一管理。當運行一個新軟件時，首先要對此軟件進行檢查看是否帶有病毒，最好用殺毒軟件先進行掃描，安全后再使用。

2.3 對硬盤的維護

硬盤是操作系統(tǒng)、軟件以及數據唯一的載體，因此要定時對硬盤進行系統(tǒng)垃圾清理與碎片整理，維護最少每月進行一次。然而電腦表面的干凈也很重要，否則硬盤的散熱會出現問題，從而引發(fā)故障。與此同時，不能隨意搬動計算機，特別是硬盤工作時，否則會使硬盤在移動中受到損傷，產生文件丟失的后果。鑒于以上情況，要及時備份那些重要的文件，并且考慮到硬盤的使用壽命，應避免經常開關機或者格式化硬盤。

2.4 監(jiān)測系統(tǒng)

網絡的監(jiān)測系統(tǒng)要能夠做到尋找安全漏洞快速準確，并能及時報警，這樣就能最大限度的消除安全隱患、更新安全漏洞。同時，檢測系統(tǒng)不僅要全面監(jiān)測服務器、網絡及業(yè)務，并且要動態(tài)監(jiān)測網絡數據流，當攻擊行為被檢查出時，還要做出響應，然后采用合理、有效的防治措施。

3 對網絡機房的管理

3.1 建立機房規(guī)章制度

把責任具體到個人，是實現更好管理網絡機房的保障，一旦出現問題就能夠直接找到相應負責人，避免責任的推卸。操作權限規(guī)定與規(guī)章制度是要求所有工作人員都要遵守的，為了防止文件數據的丟失，與機房沒有關系的人是不允許訪問服務器的。重要的是專管服務器的工作人員一定要將保密工作做好，定時更換操作口令，絕不能將其透露給任何人。

3.2 電源的管理

計算機用電與市電存在一定差距，一般使用 220V 單相交流電為計算機供電，因此為了使計算機能夠維持正常工作，就要用交流穩(wěn)壓電源不間斷地對其進行充電。依據網絡服務器的數目，計算出所需 UPS 功率，要求 UPS 至少能夠對機房連續(xù)提供半小時甚至更長的時間，與此同時，為了避免意外狀況，網絡機房也要有自己的發(fā)電機作為備用。

3.3 機房內部環(huán)境的管理

機房空間的安全保障是首要考慮的，同時要盡可能的寬敞，服務器需放在彼此之間留有空隙的機柜里。其次，也要注意機房內的溫度，因為服務器的正常工作需要一個合適的溫度范圍，如果過高，就會導致某些元器件不能正常工作，因此，空調的安裝顯得十分必要，機房內部標準溫度一般控制在 22℃上下，波動幅度不宜超過 2℃。同樣，合適的濕度也是十分重要的，最好控制在 25% 到 65% 。機房內部還要安裝避雷系統(tǒng)、火災監(jiān)測系統(tǒng)等，并且設有網絡機房的大樓，一定要設置防雷設備。

4 結束語

面對復雜的醫(yī)院網絡機房，機房內各個系統(tǒng)間就要做到相互聯系、相互配合，這樣才能保護機房設備。在機房的日常管理與維護過程中，遇到問題要視具體情況采取應對措施，并很好的解決。同時網絡機房的安全是至關重要的，這也關系到機房能否正常進行工作。對醫(yī)院網絡機房我們要做到安排合理、安裝準確、維護及時、管理有效，這樣才能使網絡機房的作用真正的發(fā)揮出來，進而很好的幫助醫(yī)院進行工作。

參考文獻：

[1] 王蓓.醫(yī)院計算機中心機房的設計與建設[J].信息與電腦：理論版， 2010（11）.

[2] 朱瑞芳.淺談高校機房管理人員必需掌握的技能[J].信息與電腦：理論版， 2011（5） .

[3] 陸侃.數據中心機房系統(tǒng)設計[J].現代建筑電氣， 2010（11） .

[4] 楊海瑞.淺談機房使用GHOST恢復系統(tǒng)的方法[J].河套大學學報，2009（4） .

[5] 邱坤.網絡在學院機房的管理中的應用[J].科技信息，2010（17）.

[6] 許利軍，鮑合晶.機房節(jié)能降耗技術淺析[J].電腦知識與技術， 2013（25）.

[7] 丁鐵.高職院校開放型公共機房運行機制探討與實踐——以中山職業(yè)技術學院為例[J].電腦知識與技術，2013（25）.