医院计算机局域网安全要素探索

医院计算机局域网安全要素探索

王忱王倩倩

宁夏医科大学总医院信息中心750001

摘要:随着医院信息化的发展和医疗卫生管理要求的不断提高，信息化医院离不开计算机网络系统，医院的计算机网络系统已经深入到医院日常业务活动的方方面面，比如HISLISPACS等等。医院的计算机系统一旦崩溃，将会造成无法估计的损失。本文主要针对医院计算机局域网安全问题进行分析和讨论。

关键词：医院网络；计算机局域网；安全要素；因素；

一、影响计算机网络安全的主要因素

1、信息泄密主要表现为网络上的信息被窃听，这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。

2、信息被篡改积极侵犯者截取网上的信息包，并对之进行更改使之失效，或者故意添加一些有利于自已的信息，起到信息误导的作用，其破坏作用最大。

3、传输非法信息流。只允许用户同其他用户进行特定类型的通信，但禁止其他类型的通信，如允许电子邮件传输而禁止文件传送。

4、网络资源的错误使用如不合理的资源访问控制，一些资源有可能被偶然或故意地破坏。

5、非法使用网络资源非法用户登录进入系统使用网络资源，造成资源的消耗，损害了合法用户的利益。

6、环境影响自然环境和社会环境对计算机网络都会产生极大的不良影响。如恶劣的天气、灾害、事故会对网络造成损害和影响。

二、医院计算机局域网安全所面临的问题

医院计算机局域网可能存在的安全隐患主要来自客户端、接入网、软件等方面，其中服务器端的数据完整及客户端的数据安全是构建内网局域网系统安全最关键的步骤。

1、来自客户端的危害

来自客户端方面的危害主要有以下病毒传播、黑客软件、非法授权等。①病毒传播。用户在客户端非法使用携带病毒介质（U盘、移动硬盘、光盘等）感染内网局域网；②黑客软件。用户使用黑客软件扫描网络端口，非法连接其他计算机，盗取他人资料或篡改内网局域网服务器上存储的共享文件资料；③非授权访问。用户使用自带的台式机、笔记本电脑，随意插上局域网网线，接入网络，未经许可访问并下载内网局域网内的数据资源。

2、接入网的安全威胁

软交换网络提供了灵活、多样的网络接入手段,任何可以接入IP网络的地点均可以接入终端。这种特性在为用户提供方便的同时带来了安全隐患,一些用户利用非法终端或设备访问网络,占用网络资源,非法使用业务和服务,甚至向网络发起攻击。另外,接入与地点的无关性,使得安全事件发生后很难定位发起安全攻击的确切地点,无法追查责任人。

3、欺骗性的软件使数据安全性降低

由于局域网很大的一部分用处是资源共享,但正是由于共享资源的“数据开放性”,导致数据信息容易被篡改和删除,数据安全性较低。例如“网络钓鱼攻击”,钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息:如用户名、口令、账号ID、ATMPIN码或信用卡详细信息等的一种攻击方式。

三、医院计算机局域网的安全管理

医院计算机信息网络系统安全管理分为两个方面：一是网络方面，即保护网络服务的可用性；二是应用方面，即保护系统数据和用户数据的可用性。在网络方面重点解决的是数据安全问题。通过网络和应用、系统安全和数据安全相结合，架构立体的防护体系，通过与管理手段的结合，确保整个医院信息系统的安全。

1、信息化安全管理制度

局域网网络的安全管理制度是网络的安全运行的保障,在制定安全管理制度中,最重要的是关于网络各种文档的制定。其中有网络建设方案文档、机房管理制度文档、各类人员职责分工、安全保密文档、网络安全方案、安全策略文档、口令管理制度、安全防护记录、应急响应方案等等制度。实际中,通过以上各种文档,在网络运行过程中,随时可以用到,只有健全的管理制度,才能确保更快地处理遇到的各类问题。

2、提高工作人员的安全意识及操作水平

对于院内的工作人员尤其是新上岗的人员，首先加强安全意识的培训，再强化安全知识的培训，对于操作人员，必须熟练应用医院HIS系统及其它电脑操作基本常识，还需掌握一些其它应对电脑故障时的处理方法。这项工作是长期的，针对不同的人可以把培训分成各个级别，比如初级培训、中级培训、高级培训等。

3、提高局域网内的安全性

（1）对于院内每一个用户对其访问网络的权限进行设定，通过设定系统的组策略，严格划分每位操作人员的等级。

（2）禁用客户端电脑的可移动设备的端口，如光驱、USB等端口。实践证明，该策略的实施能有效地减少外界木马、蠕虫等病毒对内网的入侵，保证内网数据的安全非常有效。

（3）在必须同时使用内网与外网的电脑上，例如使用新农合软件的电脑在其进入内网的接口处加装硬件防火墙，可设定VLAN隔断两网的直接连接，还可以设定包过滤规则，有效地减少外网的木马、蠕虫等病毒对内网系统软件的冲击，减轻外网对内网数据的威胁，高效的保证院内网的数据的安全性与稳定性。

（4）对于核心层交换机，其配置较高，一般都具有QoS、VPN、安全和管理等许多功能，访问列表（AcessList）是其中一个重要的功能。访问列表是一些语句的有序集合，它根据网络中每一个数据包所含信息的内容，决定是否充许其数据包通过该端口。我们可以通过对核心交换机的每个端口设定其访问列表规则，过滤掉来致终端机的所有低层的DoS攻击，可保证数据库服务器的安全性稳定性，从而也保证了整个院内网络的安全稳定。

（5）封闭网内空闲的IP地址，设定IP地址范围，最好将IP地址与网卡的MAC地址进行绑定，禁止其它的用户随意改动IP地址，最好有一台专用的DHCP服务器对接入内网的每台计算机自动分配IP地址及与其MAC进行绑定。

4、网络硬件安全设计

网络硬件安全主要由交换机来实现。我科在设计中使用交换机断口MAC地址限制技术，有效地防止非法入侵。计算机是通过网卡来访问计算机网络的，而每一块网卡都具有全球唯一的MAC地址，就象每个人具有唯一的身份证号码一样。交换机“端口MAC地址限制”这样可以有效防止非许可的电脑访问医院的内部网络。

结束语

制定适合医院计算机局域网的安全策略有利于局域网内设备的安全运行，有效管理局域网内设备的软硬件。同时还需规定相应的授权等级，防止未授权的外部用户随意接入局域网或是低权限用户试图访问高权限数据等，做到数据传输安全，操作记录有迹可循。在制定安全策略时，既要符合局域网安全，还要兼顾工作便利，因此在制定策略上应该根据实际情况适当调整，以期更好的发挥局域网功能。

参考文献:

[1]刘克涛.刘敏.杨向阳.医院信息系统的安全管理[J].中国医药导报,2006,3(28):5.

[2]袁蓉燕.医院计算机网络的安全管理[J].现代中西医结合杂志,2005,14(2):274-275

[3]朱弋,张卫东.数字化医院的网络安全问题[J].医疗设备信息.2006,21(9):55-56.

[4]邱杰,周小龙,谢晓宇,等.医院信息网络安全防护体系建设与实践[J].中国数字医学,2008,3(12):25-26.