论文部分内容阅读
摘 要:认真研究当前医院信息网络风险,采取有效策略及时应对和化解,把整个医院的信息网络管理和安全防范有机结合起来,构建一个强大又坚固的架构平台,依靠强有力的措施和技术保障,确保医院信息网络安全。
关键词:医院;信息网络;信息安全;风险;对策
中图分类号:TP393.08
随着我国社会经济的飞速发展,信息化技术在社会各个领域不断应用,我国的医疗建设事业不断发展,医院大量采购现代化的医疗设备,医疗技术水平显著的提升,医院管理逐渐实现信息化、自动化,各种先进的设备都要通过信息化操作,医院的综合管理实现了信息化。在提高我国医院的医疗水平和管理效率的同时,也不得不面对一个非常大的问题——医院的信息网络风险,如何更好地防患,如何更好的应对和化解,成为重点研究的问题。
1 医院信息网络安全存在的风险分析
1.1 医院信息网络系统存在的风险分析
医院信息系统和信息网络的存在风险。任何信息系统都不可能完全完美,都会存在一定的问题,作为当前信息网络和系统的最为重要的应用系统和软件TCP/IP协议、Windows操作系统、SPL数据库以及在医疗设备管理和信息设备管理等方面的各种硬软件,都无法避免会存在各种各样的缺陷,也可能某一个系统或者某一个软件存在较为隐蔽的安全漏洞,这些都可能会成为医院信息系统和网络的风险因素,直接导致整个医院系统会出现各种无法预料的问题,造成医院业务系统停止运转。不仅仅会影响医院的工作效率、管理效率,也可能会带来灾难性的后果,出现各种无法预见的各种医疗事故,甚至是生命安全事故。产生这些安全隐患的途径有两种,可能是源,医院的内部网络,也可能是来自医院的外部网络攻击,因此就需要对医院信息管理系统和网络做好各个方面的加固,对操作系统业务软件以及网络方面做好重点保障,切实加强安全建设。
1.2 系统误用和系统内部黑客的风险
每一个内部网络都可能会存在着一定的未经授权便来访问数据中心的风险,这些数据一旦被人访问,很可能会造成大量的信息泄密,同时会造成各种数据被篡改;也有一些人想方设法的获取信息中心的数据,他们通过各种形式的攻击入侵,这样就会给信息安全带来非常大隐患,一旦发生就会造成大量信息泄露,甚至会造成灾难性后果。医院的信息管理系统必须将数据中心加以重点保护,确保信息办公网、内网隔离,只有通过一定的授权才能够进入数据中心调取信息。
1.3 系统日志审计分析风险
在医院系统信息管理方面,需要制定一个较为完善的审计机制,对于一些重要的业务系统日志,还有比较重要的应用日志、关键系统的日志以及网络设备,他们的日志做好及时全面系统的分析,当出现问题的时候能够进行逐个排查,也能够追本溯源,找到问题的关键所在。如果没有能够建立较为完善的审计机制,出现问题无法及时发现,更不能采取有针对性的措施进行排除,会造成无法预料的后果。因此,应该建立一个较为统一的日志管理系统,并且做好对相关日志的备份管理。
1.4 管理系统安全可能会存在的风险
医院信息网络安全管理需要做好统筹兼顾,子管理和中心管理做好协调统一,尤其整个医院的系统应该做好集中统一的安全管理,建立整个医院的安全信息管理中心。同时,做好各方面的分权监督,每个子系统都应该做好相应的集中管制,确保子系统管理和中心管理系统的管理相统一。作为整个医院的安全信息管理中心,需要集中控制,集中配置,设置专人管理。当前,不少医院信息网络管理中缺乏较为统一的安全信息管理中心,不能够对整个的信息网络系统做好全面安全管理,会带来较大的信息安全管理风险。
1.5 系统外部或者内部的拒绝服务攻击风险
DD0S分布式拒绝服务攻击方式非常多,可以通过UDP洪水,也可以通过TCPSYN以及TCPLAND等方式,这些都可以在短时间里让整个服务器处于瘫痪,直接耗尽整个服务器的所有子系统资源,造成整个的系统资源性能严重下降,很多的正常的业务访问无法维持,系统处于一种瘫痪状态,必须通过部署防火墙的方式防止各种攻击。
2 来自网络方面的风险分析
2.1 来自外部网络的风险
医院的信息系统一般情况下都要和互联网接通,这样就会给外部的网络攻击、网络侵犯提供可乘之机,给整个的医院的系统带来较大的风险。医疗信息安全需要跟随技术革命,应用最新的安全防御技术,这样才能更好的进行防御。如果信息化服务仅仅停留在原来的层面上,那么就不能够保证最新的信息网络安全,会给医院的业务带来诸多影响,造成整个系统的瘫痪,给医院的服务工作带来灾害性后果。
2.2 互联网木马网络病毒威胁等各方面的风险
互联网技术飞速发展,人们在不断获得各种信息的同时,各种网络病毒和木马传播的速度也越来越快,木马的传播途径也越来越广,病毒已成为当前计算机信息安全的巨大的隐患之一,给当前的医疗信息系统也带来了极大的风险,把当前的医疗系统置于一种极大的风险之中。
2.3 医院信息管理应用的风险
医院信息系统为医院提供综合信息服务,各种技术和管理人员通过技术设备获取各项服务和管理权限,他们在工作之余也会进行与工作无关的各种操作。尤其是不少年轻的工作管理人员下载大型电影,也有不少人员玩大型网游,占用了大部分带宽,给整个医院的信息系统造成拥堵,影响各种信息的传递和交换,下载各种资源也会给各种病毒与木马入侵提供了可乘之机。
3 各种风险的对策分析
针对信息系统存在的各种风险形势与特点,通过设置多个支撑系统来保护各种数据,构建网络数据系统的动态立体保障体系,制定安全可靠的系统保护方案。
3.1 服务器端的数据安全方案
3.1.1 借助VM服务器虚拟化技术构建云集群。该集群有两台以上的高端服务器构成,通过HIS、LIS等业务系统虚拟化操作,在做好数据保护的同时,及时备份各种重要数据,这样能够防止机器故障,保护正常运转,即使出现意外也能及时完成系统迁移。 3.1.2 SAN存储架构。建设基于医院信息系统安保需要的多套架构存储网络,以更大容量更快速度的固态硬盘存储HIS、PAS、OS系统数据,选择更高容量、更快读写速度的支持多层次扩展的存储器,满足存储增长需求。及时应用最新的网络技术为数据存储加工,比如运用RAID5、LanFree对数据提供高效而又可靠的存储读写保护。
3.2 保护网络安全的策略方案
3.2.1 建立医院信息系统数据中心。医院信息系统网络中的重要设备均采用两台设置,以双机热备份结构确保安全,以集群方式来存储信息系统的关键数据。在网络结构设置一个DMZ区域数据中心,该中心需要对外部与内部数据做好隔离,无论是内部还是外部的访问都应该经过防火墙,实现安全过滤,以防火墙下的认证网关设备来防止外部攻击内部数据。这样,想要通过访问,必须同时打开两道安全防护门,确保内部服务器数据的安全。
3.2.2 核心交换虚拟化集群。依靠最新的IRF2智能集群技术及时将医院信息系统的核心设备交换机构建成一个统一的虚拟化集群,确保两台机器相互配合。在其中一台核心设备出现故障的情况下,也能保障系统正常运转。依靠LAND攻击、DDOS防御以及灵活多变的IP欺骗等攻防技术保护各种管理信息数据,组建坚固的防火墙,依靠VLAN来隔离各个部门间的直接交换访问联系,确保彼此独立,互不影响。
3.2.3 设置专网系统。医院构建属于自己的专用网络,不和互联网直接互联,依靠平板电脑来构建医院专用的茶坊系统,防止外部网络对系统的攻击,避免因各种病毒与木马的入侵篡改管理数据和信息,也防止访问外部网络造成信息拥堵,依靠专用的物理网络将整个查房系统置于安全高效的保护之中。
3.2.4 做好网关认证设置管理。在系统的网络出口处设置先进的网关认证设备和严格的程序,要接入互联网必须通过PPPOE认证,这样就能减少内网与外网的直接互联,这样,整个局域网内就可以免除MAC地址攻击以及ARP攻击,只有获得PPPOE密码才能有访问权限,才能安全接入互联网。
3.2.5 规范上网行为。设置监控上网行为的设备,防止因过多的浏览外部网络给病毒、木马入侵以可乘之机,有效拦截各种不良信息和通告,防止非法上网。随着医院管理人员的电脑技术不断提升,有些管理或者工作人员也有可能会翻墙从事各种操作,这给系统安全带来极大的危险;还有工作人员不规范上网,一些无意的上网行为也能造成危害。设置必要的上网管理设备能够拦截种种非法访问,防止医院数据泄露,也能确保上网行为有据可查。
3.3 确保网络安全的有效管理手段
3.3.1 医院信息安全需要有必备的硬件设备和软件保障,更为重要的是人的管理,完善的管理政策和制度加上认真负责的管理能够确保网络安全可靠。对VLAN的划分一定要确保合理全面,虚拟局域网基于端口能够最大限度的利用基础设施。组建较为完善的网络数据信息库,读IP地址严加管控,借助PORT、IP、MAC技术管理整个医院的电脑终端,依靠安全的网络准入系统严格管理各种终端接入和应用,防止电脑随意接入医院网络。对计算机外围设备的使用严加控制管理,采用有效技术和管理手段防止使用不安全的外围设备,禁用医院计算机终端系统的光驱、USB外设、并行接入,不等将医院的信息网络无限共享。同时,对系统做好全程实时监控,优化网络资源管理,根据部门需要合理分布带宽,并做好流量监控,一旦出现流量超限或者异常及时检查监控,并对业务之外的流量做好监督和管制,防止各种网络下载和上传,保障医院信息安全。
3.3.2 构建完善合理的管理制度。一方面制定好医院网络管理制度,对员工做好宣传教育,提高他们的操作能力,防止因出现各种技术故障和不当操作,杜绝各种人为风险,强制实行密码登陆,防止非工作人员使用网络终端和操作电脑。
及时查找管理中出现的问题,安排专人负责网络信息监控,及时发现信息漏洞、安全风险,第一时间才有有效措施化解风险,防止非法访问以及各种外围、内部攻击。做好记录操作日志,确保信息系统安全稳定运行。
参考文献:
[1]于晓鸣,张晓辉.信息网络安全基本知识[J].电脑知识与技术,2010(29).
[2]胡刚,邹德清,孔华峰.云防御系统中用户隐私保护机制[J].武汉大学学报(理学版),2014(06).
[3]沙琨,李载程,王晔.军队医院信息网络安全现状分析[J].解放军医院管理杂志,2011(03).
作者简介:程东萍(1979.10-),女,江苏苏州人,工程师,硕士,研究方向:计算机技术。
作者单位:苏州大学附属第一医院,江苏苏州 215006
关键词:医院;信息网络;信息安全;风险;对策
中图分类号:TP393.08
随着我国社会经济的飞速发展,信息化技术在社会各个领域不断应用,我国的医疗建设事业不断发展,医院大量采购现代化的医疗设备,医疗技术水平显著的提升,医院管理逐渐实现信息化、自动化,各种先进的设备都要通过信息化操作,医院的综合管理实现了信息化。在提高我国医院的医疗水平和管理效率的同时,也不得不面对一个非常大的问题——医院的信息网络风险,如何更好地防患,如何更好的应对和化解,成为重点研究的问题。
1 医院信息网络安全存在的风险分析
1.1 医院信息网络系统存在的风险分析
医院信息系统和信息网络的存在风险。任何信息系统都不可能完全完美,都会存在一定的问题,作为当前信息网络和系统的最为重要的应用系统和软件TCP/IP协议、Windows操作系统、SPL数据库以及在医疗设备管理和信息设备管理等方面的各种硬软件,都无法避免会存在各种各样的缺陷,也可能某一个系统或者某一个软件存在较为隐蔽的安全漏洞,这些都可能会成为医院信息系统和网络的风险因素,直接导致整个医院系统会出现各种无法预料的问题,造成医院业务系统停止运转。不仅仅会影响医院的工作效率、管理效率,也可能会带来灾难性的后果,出现各种无法预见的各种医疗事故,甚至是生命安全事故。产生这些安全隐患的途径有两种,可能是源,医院的内部网络,也可能是来自医院的外部网络攻击,因此就需要对医院信息管理系统和网络做好各个方面的加固,对操作系统业务软件以及网络方面做好重点保障,切实加强安全建设。
1.2 系统误用和系统内部黑客的风险
每一个内部网络都可能会存在着一定的未经授权便来访问数据中心的风险,这些数据一旦被人访问,很可能会造成大量的信息泄密,同时会造成各种数据被篡改;也有一些人想方设法的获取信息中心的数据,他们通过各种形式的攻击入侵,这样就会给信息安全带来非常大隐患,一旦发生就会造成大量信息泄露,甚至会造成灾难性后果。医院的信息管理系统必须将数据中心加以重点保护,确保信息办公网、内网隔离,只有通过一定的授权才能够进入数据中心调取信息。
1.3 系统日志审计分析风险
在医院系统信息管理方面,需要制定一个较为完善的审计机制,对于一些重要的业务系统日志,还有比较重要的应用日志、关键系统的日志以及网络设备,他们的日志做好及时全面系统的分析,当出现问题的时候能够进行逐个排查,也能够追本溯源,找到问题的关键所在。如果没有能够建立较为完善的审计机制,出现问题无法及时发现,更不能采取有针对性的措施进行排除,会造成无法预料的后果。因此,应该建立一个较为统一的日志管理系统,并且做好对相关日志的备份管理。
1.4 管理系统安全可能会存在的风险
医院信息网络安全管理需要做好统筹兼顾,子管理和中心管理做好协调统一,尤其整个医院的系统应该做好集中统一的安全管理,建立整个医院的安全信息管理中心。同时,做好各方面的分权监督,每个子系统都应该做好相应的集中管制,确保子系统管理和中心管理系统的管理相统一。作为整个医院的安全信息管理中心,需要集中控制,集中配置,设置专人管理。当前,不少医院信息网络管理中缺乏较为统一的安全信息管理中心,不能够对整个的信息网络系统做好全面安全管理,会带来较大的信息安全管理风险。
1.5 系统外部或者内部的拒绝服务攻击风险
DD0S分布式拒绝服务攻击方式非常多,可以通过UDP洪水,也可以通过TCPSYN以及TCPLAND等方式,这些都可以在短时间里让整个服务器处于瘫痪,直接耗尽整个服务器的所有子系统资源,造成整个的系统资源性能严重下降,很多的正常的业务访问无法维持,系统处于一种瘫痪状态,必须通过部署防火墙的方式防止各种攻击。
2 来自网络方面的风险分析
2.1 来自外部网络的风险
医院的信息系统一般情况下都要和互联网接通,这样就会给外部的网络攻击、网络侵犯提供可乘之机,给整个的医院的系统带来较大的风险。医疗信息安全需要跟随技术革命,应用最新的安全防御技术,这样才能更好的进行防御。如果信息化服务仅仅停留在原来的层面上,那么就不能够保证最新的信息网络安全,会给医院的业务带来诸多影响,造成整个系统的瘫痪,给医院的服务工作带来灾害性后果。
2.2 互联网木马网络病毒威胁等各方面的风险
互联网技术飞速发展,人们在不断获得各种信息的同时,各种网络病毒和木马传播的速度也越来越快,木马的传播途径也越来越广,病毒已成为当前计算机信息安全的巨大的隐患之一,给当前的医疗信息系统也带来了极大的风险,把当前的医疗系统置于一种极大的风险之中。
2.3 医院信息管理应用的风险
医院信息系统为医院提供综合信息服务,各种技术和管理人员通过技术设备获取各项服务和管理权限,他们在工作之余也会进行与工作无关的各种操作。尤其是不少年轻的工作管理人员下载大型电影,也有不少人员玩大型网游,占用了大部分带宽,给整个医院的信息系统造成拥堵,影响各种信息的传递和交换,下载各种资源也会给各种病毒与木马入侵提供了可乘之机。
3 各种风险的对策分析
针对信息系统存在的各种风险形势与特点,通过设置多个支撑系统来保护各种数据,构建网络数据系统的动态立体保障体系,制定安全可靠的系统保护方案。
3.1 服务器端的数据安全方案
3.1.1 借助VM服务器虚拟化技术构建云集群。该集群有两台以上的高端服务器构成,通过HIS、LIS等业务系统虚拟化操作,在做好数据保护的同时,及时备份各种重要数据,这样能够防止机器故障,保护正常运转,即使出现意外也能及时完成系统迁移。 3.1.2 SAN存储架构。建设基于医院信息系统安保需要的多套架构存储网络,以更大容量更快速度的固态硬盘存储HIS、PAS、OS系统数据,选择更高容量、更快读写速度的支持多层次扩展的存储器,满足存储增长需求。及时应用最新的网络技术为数据存储加工,比如运用RAID5、LanFree对数据提供高效而又可靠的存储读写保护。
3.2 保护网络安全的策略方案
3.2.1 建立医院信息系统数据中心。医院信息系统网络中的重要设备均采用两台设置,以双机热备份结构确保安全,以集群方式来存储信息系统的关键数据。在网络结构设置一个DMZ区域数据中心,该中心需要对外部与内部数据做好隔离,无论是内部还是外部的访问都应该经过防火墙,实现安全过滤,以防火墙下的认证网关设备来防止外部攻击内部数据。这样,想要通过访问,必须同时打开两道安全防护门,确保内部服务器数据的安全。
3.2.2 核心交换虚拟化集群。依靠最新的IRF2智能集群技术及时将医院信息系统的核心设备交换机构建成一个统一的虚拟化集群,确保两台机器相互配合。在其中一台核心设备出现故障的情况下,也能保障系统正常运转。依靠LAND攻击、DDOS防御以及灵活多变的IP欺骗等攻防技术保护各种管理信息数据,组建坚固的防火墙,依靠VLAN来隔离各个部门间的直接交换访问联系,确保彼此独立,互不影响。
3.2.3 设置专网系统。医院构建属于自己的专用网络,不和互联网直接互联,依靠平板电脑来构建医院专用的茶坊系统,防止外部网络对系统的攻击,避免因各种病毒与木马的入侵篡改管理数据和信息,也防止访问外部网络造成信息拥堵,依靠专用的物理网络将整个查房系统置于安全高效的保护之中。
3.2.4 做好网关认证设置管理。在系统的网络出口处设置先进的网关认证设备和严格的程序,要接入互联网必须通过PPPOE认证,这样就能减少内网与外网的直接互联,这样,整个局域网内就可以免除MAC地址攻击以及ARP攻击,只有获得PPPOE密码才能有访问权限,才能安全接入互联网。
3.2.5 规范上网行为。设置监控上网行为的设备,防止因过多的浏览外部网络给病毒、木马入侵以可乘之机,有效拦截各种不良信息和通告,防止非法上网。随着医院管理人员的电脑技术不断提升,有些管理或者工作人员也有可能会翻墙从事各种操作,这给系统安全带来极大的危险;还有工作人员不规范上网,一些无意的上网行为也能造成危害。设置必要的上网管理设备能够拦截种种非法访问,防止医院数据泄露,也能确保上网行为有据可查。
3.3 确保网络安全的有效管理手段
3.3.1 医院信息安全需要有必备的硬件设备和软件保障,更为重要的是人的管理,完善的管理政策和制度加上认真负责的管理能够确保网络安全可靠。对VLAN的划分一定要确保合理全面,虚拟局域网基于端口能够最大限度的利用基础设施。组建较为完善的网络数据信息库,读IP地址严加管控,借助PORT、IP、MAC技术管理整个医院的电脑终端,依靠安全的网络准入系统严格管理各种终端接入和应用,防止电脑随意接入医院网络。对计算机外围设备的使用严加控制管理,采用有效技术和管理手段防止使用不安全的外围设备,禁用医院计算机终端系统的光驱、USB外设、并行接入,不等将医院的信息网络无限共享。同时,对系统做好全程实时监控,优化网络资源管理,根据部门需要合理分布带宽,并做好流量监控,一旦出现流量超限或者异常及时检查监控,并对业务之外的流量做好监督和管制,防止各种网络下载和上传,保障医院信息安全。
3.3.2 构建完善合理的管理制度。一方面制定好医院网络管理制度,对员工做好宣传教育,提高他们的操作能力,防止因出现各种技术故障和不当操作,杜绝各种人为风险,强制实行密码登陆,防止非工作人员使用网络终端和操作电脑。
及时查找管理中出现的问题,安排专人负责网络信息监控,及时发现信息漏洞、安全风险,第一时间才有有效措施化解风险,防止非法访问以及各种外围、内部攻击。做好记录操作日志,确保信息系统安全稳定运行。
参考文献:
[1]于晓鸣,张晓辉.信息网络安全基本知识[J].电脑知识与技术,2010(29).
[2]胡刚,邹德清,孔华峰.云防御系统中用户隐私保护机制[J].武汉大学学报(理学版),2014(06).
[3]沙琨,李载程,王晔.军队医院信息网络安全现状分析[J].解放军医院管理杂志,2011(03).
作者简介:程东萍(1979.10-),女,江苏苏州人,工程师,硕士,研究方向:计算机技术。
作者单位:苏州大学附属第一医院,江苏苏州 215006