導(dǎo)語：如何才能寫好一篇醫(yī)院網(wǎng)絡(luò)安全保障方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

信息安全問題與互聯(lián)網(wǎng)的發(fā)展相伴相生，在網(wǎng)絡(luò)時代，我們一方面要享受到信息爆炸、社交便捷的福利，另一方面也需要應(yīng)對信息泄露的風(fēng)險。在醫(yī)院的內(nèi)部管理中，信息化建設(shè)已經(jīng)成為一股不可逆轉(zhuǎn)的發(fā)展趨勢，因此，醫(yī)院要想利用互聯(lián)網(wǎng)提高管理效率，優(yōu)化醫(yī)療衛(wèi)生服務(wù)，就應(yīng)該正視網(wǎng)絡(luò)體系構(gòu)建中存在的安全問題，并構(gòu)建嚴(yán)密可行的管理措施，防范網(wǎng)絡(luò)安全風(fēng)險，讓醫(yī)療信息、管理信息能夠更好地服務(wù)于患者，確保醫(yī)院的有效運行。

2醫(yī)院網(wǎng)絡(luò)安全體系構(gòu)建中存在的問題

雖然網(wǎng)絡(luò)體系的構(gòu)建是醫(yī)院信息化管理的必要環(huán)節(jié)，但是其在安全風(fēng)險防范方面卻依舊漏洞百出，使得醫(yī)院的網(wǎng)絡(luò)安全體系建設(shè)形同虛設(shè)，難以充分發(fā)揮其風(fēng)險控制與防范的實際效果。具體來講，醫(yī)院網(wǎng)絡(luò)安全體系構(gòu)建中存在的問題如下：第一，醫(yī)院內(nèi)部系統(tǒng)對數(shù)據(jù)的收集與應(yīng)用效果并不理想，目前多數(shù)醫(yī)院對于網(wǎng)絡(luò)系統(tǒng)的建設(shè)還處于起步階段，許多數(shù)據(jù)的收集并不完整，例如電子病歷的形成尚處于“模板+標(biāo)簽”階段，缺乏專業(yè)化處理，影響了數(shù)據(jù)傳輸與共享效果，各部門之間的信息溝通不暢，“信息孤島”的狀況沒有被完全打破。第二，網(wǎng)絡(luò)安全規(guī)劃缺乏投入，對信息安全的預(yù)期投入嚴(yán)重不足，雖然信息安全問題是醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)構(gòu)建的關(guān)鍵，但是從整體上來看，相關(guān)部門對于信息安全體系的構(gòu)建并不積極，例如在硬件投入中缺乏預(yù)算支持，使得硬件設(shè)備一旦出現(xiàn)損毀就會造成大量醫(yī)療衛(wèi)生信息的丟失；對軟件技術(shù)的應(yīng)用不到位，防火墻、加密系統(tǒng)的建立存在漏洞；各部門對于安全系統(tǒng)的認識存在偏見，在某一科室出現(xiàn)網(wǎng)絡(luò)安全問題的時候則相互推諉，缺乏有效的追責(zé)與監(jiān)督。第三，網(wǎng)絡(luò)安全體系構(gòu)建與實現(xiàn)的方案缺乏有效的落實，任何網(wǎng)絡(luò)安全問題在沒有爆發(fā)前往往都顯得不那么重要，醫(yī)院在網(wǎng)絡(luò)安全體系建設(shè)中也存在這種僥幸，對安全規(guī)劃的設(shè)計頭頭是道，但是到了具體的落實階段卻又推三阻四，影響了網(wǎng)絡(luò)安全體系建設(shè)工作的實效性。

3醫(yī)院網(wǎng)絡(luò)安全體系構(gòu)建與實現(xiàn)的相關(guān)對策

醫(yī)院網(wǎng)絡(luò)安全體系的構(gòu)建與實現(xiàn)需要從硬件設(shè)備、軟件系統(tǒng)、組織管理者三個方面入手。

3.1硬件設(shè)備安全的構(gòu)建與實現(xiàn)

根據(jù)信息化管理的技術(shù)需要，醫(yī)院的硬件設(shè)備安全管理主要包括以下內(nèi)容：第一，網(wǎng)絡(luò)布線。對于醫(yī)院的信息化建設(shè)而言，網(wǎng)絡(luò)布線不僅影響著系統(tǒng)的信息傳遞速度，更關(guān)系著信息溝通的安全，因此，相關(guān)技術(shù)人員應(yīng)采取內(nèi)外網(wǎng)物理斷開的方法，對醫(yī)院網(wǎng)絡(luò)系統(tǒng)進行科學(xué)布線；考慮到信息安全，對于各樓宇的主干線可以采用光纖和備份光纖相結(jié)合的方式；在連接客戶端的時候，應(yīng)做好屏蔽處理，及時排除干擾源，保證信號強度，以及信息數(shù)據(jù)傳遞的有效性和完整性。第二，根據(jù)《電子信息系統(tǒng)機房設(shè)計規(guī)范》做好對機房的設(shè)計，如根據(jù)“電子信息系統(tǒng)機房的耐火等級不能低于2級”等規(guī)定做好防火安全管理；根據(jù)“主機房氣流組織、風(fēng)口及送回風(fēng)溫差”的相關(guān)數(shù)據(jù)做好防潮工作等，確保主機房能夠充分發(fā)揮信息存儲與傳輸?shù)墓δ?。第三，服?wù)器、交換機的數(shù)據(jù)安全，在醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建中，技術(shù)人員應(yīng)對關(guān)鍵設(shè)備的基本性能以及冗余做好分析，并確保系統(tǒng)能時刻運行。為避免停電故障造成信息丟失，醫(yī)院的服務(wù)器應(yīng)采用不間斷電源，并在出現(xiàn)安全故障的時候，自動接入另一個服務(wù)器完成信息備份，從而做好“雙保險”，提高網(wǎng)絡(luò)系統(tǒng)運行的持續(xù)性和安全性。

3.2軟件安全系統(tǒng)的構(gòu)建與實現(xiàn)

在網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建中，系統(tǒng)軟件可以通過與硬件設(shè)備的交互作用，實現(xiàn)對系統(tǒng)的控制與調(diào)度，并連接網(wǎng)絡(luò)，實現(xiàn)信息的傳輸與存儲。因此，醫(yī)院在網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建與實現(xiàn)中，應(yīng)該不斷完善軟件系統(tǒng)，從而確保信息數(shù)據(jù)的安全。醫(yī)院在軟件安全系統(tǒng)的構(gòu)建與實現(xiàn)上可以從以下幾個方面入手：第一，設(shè)置安全口令。軟件系統(tǒng)的登錄應(yīng)控制開放程度，利用安全口令對訪問者的身份進行確定，在使用軟件系統(tǒng)的過程中，口令的設(shè)置也應(yīng)該提高安全系數(shù)，避免使用缺省值，保證長度不少于八位，且內(nèi)容包含字母和數(shù)字及至少包含兩個特殊字符。此外，為進一步確保軟件系統(tǒng)的安全，相關(guān)部門的操作人員應(yīng)對安全口令進行定期更換，提高被破譯的難度。第二，安裝殺毒軟件。在醫(yī)院的網(wǎng)絡(luò)系統(tǒng)建設(shè)中，內(nèi)外網(wǎng)的完全物理隔離是不可能的，只要存在接入外網(wǎng)的機會，病毒就會見縫插針對網(wǎng)絡(luò)系統(tǒng)進行攻擊。針對此，醫(yī)院在網(wǎng)絡(luò)安全系統(tǒng)構(gòu)建中應(yīng)該要求客戶機及服務(wù)器安裝殺毒軟件，利用軟件對病毒進行甄別與抵御，及時檢測違規(guī)操作，并對高風(fēng)險行為做出提示，控制病毒對網(wǎng)絡(luò)系統(tǒng)的威脅。第三，應(yīng)用防火墻。目前一些軟件公司在技術(shù)研發(fā)中，對防火墻的設(shè)計更加嚴(yán)謹(jǐn)，醫(yī)院在網(wǎng)絡(luò)安全系統(tǒng)建設(shè)中，應(yīng)利用方便、快捷的防火墻進行定期掃描，及時檢測出危險信息，控制惡意腳本在目標(biāo)計算機上的執(zhí)行過程，避免外網(wǎng)攻擊的入侵，以及信息的泄露。第四，加強對工作站的安全管理。各個工作站在使用系統(tǒng)的過程中，都應(yīng)該利用賬號、用戶權(quán)限、網(wǎng)絡(luò)訪問以及文件訪問等實行嚴(yán)格管理程序規(guī)范進行安全控制，嚴(yán)格監(jiān)控光驅(qū)、軟驅(qū)，USB接口等外來信息的接入，提高安全管理效果。

3.3組織機構(gòu)的構(gòu)建與實現(xiàn)

在醫(yī)院的網(wǎng)絡(luò)安全保障系統(tǒng)建設(shè)中，工作人員是落實安全措施、執(zhí)行安全方案的主體。再高端的硬件設(shè)備、再完善的軟件系統(tǒng)都需要人的操作來發(fā)揮作用。因此，醫(yī)院在網(wǎng)絡(luò)安全保障體系的建設(shè)中，應(yīng)該將人的因素納入其中，并確定、尊重其主體地位，利用安全管理制度，提高工作人員構(gòu)建網(wǎng)絡(luò)安全保障體系的能力。具體來講：第一，建立一支強有力的安全管理小組，體現(xiàn)組織管理效果，并在管理小組內(nèi)部做好明確分工，確保一旦出現(xiàn)安全問題能夠迅速做出反應(yīng)。第二，完善安全制度建設(shè)，對于醫(yī)院網(wǎng)絡(luò)安全管理人員而言，制度建設(shè)是規(guī)范其安全行為，提高安全方案執(zhí)行效果的關(guān)鍵，因此醫(yī)院應(yīng)該從多方面做出安全規(guī)定，明確管理細則，推動安全管理人員工作的有序開展。第三，規(guī)范內(nèi)部人員網(wǎng)絡(luò)操作，根據(jù)信息安全問題的調(diào)查顯示，操作者的不規(guī)范操作是造成病毒入侵，信息泄露的主要問題。因此，在組織管理中，醫(yī)院應(yīng)對內(nèi)部人員的違規(guī)操作進行嚴(yán)格控制。第四，做好應(yīng)急預(yù)案的制定與演練，對出現(xiàn)的信息安全問題應(yīng)做好各部門的聯(lián)動，提高應(yīng)急能力，及時止損。

4結(jié)束語

總之，進入到互聯(lián)網(wǎng)時代，信息化已經(jīng)成為醫(yī)院內(nèi)部管理創(chuàng)新的基本思路，信息化的實現(xiàn)需要網(wǎng)路系統(tǒng)的支持，但是在網(wǎng)絡(luò)系統(tǒng)構(gòu)建的過程中，無處不在的安全問題使得醫(yī)院的信息化建設(shè)舉步維艱。針對此，醫(yī)院應(yīng)該從網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)要點出發(fā)，增加對硬件設(shè)備的投入，做好軟件系統(tǒng)的技術(shù)應(yīng)用，加強組織管理建設(shè)，進而完成醫(yī)院的網(wǎng)絡(luò)安全體系構(gòu)建與實現(xiàn)。

參考文獻：

[1]張寶偉.醫(yī)院網(wǎng)絡(luò)安全體系構(gòu)建及實現(xiàn)方式分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018.

篇2

【關(guān)鍵詞】 醫(yī)院信息化建設(shè) IT運維與安全管理

引言：

目前，隨著信息技術(shù)的日新月異和網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用的發(fā)展，醫(yī)院、企業(yè)網(wǎng)絡(luò)技術(shù)的應(yīng)用層次正在從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展。面對日趨復(fù)雜的IT系統(tǒng)，不同背景的運維人員已給企事業(yè)信息系統(tǒng)安全運行帶來較大的潛在風(fēng)險，如醫(yī)院信息系統(tǒng)是醫(yī)院日常工作的重要應(yīng)用，存儲著重要的數(shù)據(jù)資源，是醫(yī)院正常運行必不可少的組成部分，所以必須加強安全保障體系的建設(shè)。于是，堡壘機在醫(yī)院中的應(yīng)用，為醫(yī)院工作的應(yīng)用提供了安全可靠的運行環(huán)境。

傳統(tǒng)的網(wǎng)絡(luò)安全審計系統(tǒng)給醫(yī)院的的運維安全問題帶來了很多風(fēng)險，如：賬號管理無秩序，暗藏巨大隱患；粗放式權(quán)限管理的安全性難以保證；設(shè)備自身陳舊，無法審計運維加密協(xié)議、遠程桌面內(nèi)容等，從而難以有效定位安全事件。

以上所面臨的風(fēng)險嚴(yán)重破壞政府、醫(yī)院、企業(yè)等的信息系統(tǒng)安全，已經(jīng)成為其信息系統(tǒng)安全運行的嚴(yán)重隱患，尤其是醫(yī)院，將影響其效益。尤其醫(yī)院信息系統(tǒng)是一個復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實現(xiàn)。

因此在考慮安全保障體系時，必須將各種安全技術(shù)與運行管理機制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。

如何有效監(jiān)控業(yè)務(wù)系統(tǒng)訪問行為和敏感信息的傳播，準(zhǔn)確掌握網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)，及時發(fā)現(xiàn)違反安全策略的事件并實時告警、記錄，同時進行安全事件定位分析，事后追查取證，滿足合規(guī)性審計要求，是企事業(yè)迫切需要解決的問題，即IT運維安全管理的變革已刻不容緩！

堡壘機提供一套先進的運維安全管控與審計解決方案，它通過網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識別，實時動態(tài)監(jiān)測通信內(nèi)容、網(wǎng)絡(luò)行為和網(wǎng)絡(luò)流量，發(fā)現(xiàn)和捕獲各種敏感信息、違規(guī)行為，實時報警響應(yīng)，全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會話和事件，實現(xiàn)對網(wǎng)絡(luò)信息的智能關(guān)聯(lián)分析、評估及安全事件的準(zhǔn)確全程跟蹤定位，為整體網(wǎng)絡(luò)安全策略的制定提供權(quán)威可靠的支持。

隨著堡壘機在醫(yī)院中的應(yīng)用，其主要實現(xiàn)了以下功能：

1）賬號管理集中

堡壘機建立于唯一身份標(biāo)識的全局實名制管理，支持統(tǒng)一賬號管理策略，實現(xiàn)與各服務(wù)器、網(wǎng)絡(luò)設(shè)備等無縫連接，集中管理主賬號（普通用戶）、從賬號（目標(biāo)設(shè)備系統(tǒng)賬號）及相關(guān)屬性。

2）訪問控制集中

堡壘機通過集中對應(yīng)用系統(tǒng)的訪問控制，通過對主機、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫等網(wǎng)絡(luò)中所有資源的統(tǒng)一訪問控制，確保用戶擁有的權(quán)限是完成任務(wù)所需的最小權(quán)限，實現(xiàn)集中有序的運維操作管理，防止非法、越權(quán)訪問事件的發(fā)生。

3）安全審計集中

基于唯一身份標(biāo)識，堡壘機通過對用戶從登錄到退出的全程操作行為審計，監(jiān)控用戶對被管理設(shè)備的所有敏感的關(guān)鍵操作，提供分級告警，聚焦關(guān)鍵事件，能完成對醫(yī)院內(nèi)網(wǎng)所有網(wǎng)上行為的監(jiān)控和對安全事件及時預(yù)警發(fā)現(xiàn)、準(zhǔn)確可查的功能。

通過此體系監(jiān)控到的數(shù)據(jù)能對醫(yī)院內(nèi)部網(wǎng)絡(luò)的使用率、數(shù)據(jù)流量、應(yīng)用提供比例、安全事件記錄、網(wǎng)絡(luò)設(shè)備的動作情況、網(wǎng)絡(luò)內(nèi)人員的網(wǎng)上行為記錄、網(wǎng)絡(luò)整體風(fēng)險情況等這些情況有較全面的了解。

信息安全是一個動態(tài)的過程，要根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施，適應(yīng)新的網(wǎng)絡(luò)環(huán)境，M足新的網(wǎng)絡(luò)安全需求。

安全管理制度也有一個不斷完善的過程，經(jīng)過安全事件的處理和安全風(fēng)險評估，會發(fā)現(xiàn)原有的安全管理制定中存在的不足之處。根據(jù)安全事件處理經(jīng)驗教訓(xùn)和安全風(fēng)險評估的結(jié)果，對信息安全管理策略進行修改，對信息安全管理范圍進行調(diào)整。

參 考 文 獻

[1]趙瑞霞.構(gòu)建堡壘主機抵御網(wǎng)絡(luò)攻擊[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010，08.

篇3

關(guān)鍵詞：醫(yī)院；計算機；網(wǎng)絡(luò)安全

1醫(yī)院計算機網(wǎng)絡(luò)安全的威脅影響因素

醫(yī)院計算機網(wǎng)絡(luò)安全存在的安全隱患是對醫(yī)院造成威脅的重要殺手。分析了解醫(yī)院計算機網(wǎng)絡(luò)安全的威脅因素尤為重要。

1.1機器設(shè)備是醫(yī)院計算機網(wǎng)絡(luò)安全的影響因素

機器設(shè)備的優(yōu)良狀況是醫(yī)院計算機網(wǎng)絡(luò)安全保障的奠基石，也是醫(yī)院計算機網(wǎng)絡(luò)安全應(yīng)重視的部分[1]。如果細化醫(yī)院計算機網(wǎng)絡(luò)系統(tǒng)的機器設(shè)備，會發(fā)現(xiàn)計算機的安放、計算機的各種接線、計算機中心機房的選址、計算機系統(tǒng)服務(wù)器的安全性能保障這一系列因素都會直接對醫(yī)院計算機網(wǎng)絡(luò)安全產(chǎn)生威脅。計算機的安放是一個重要問題，因此，醫(yī)院計算機網(wǎng)絡(luò)的設(shè)置以及接線除要考慮如何選擇可以使網(wǎng)絡(luò)信號更好外，還要考慮計算機網(wǎng)絡(luò)中心機房的電壓等問題。計算機網(wǎng)絡(luò)安全系統(tǒng)的服務(wù)器是整個醫(yī)院計算機網(wǎng)絡(luò)系統(tǒng)的心臟中樞，保證其持續(xù)處于工作狀態(tài)是最重要的問題之一。

1.2計算機病毒的侵襲

硬件設(shè)備是影響醫(yī)院計算機網(wǎng)絡(luò)安全的一大元兇，此外，軟件系統(tǒng)也是影響醫(yī)院計算機網(wǎng)絡(luò)安全的一個重要威脅點。而計算機病毒是軟件系統(tǒng)中一個比較常見的威脅。多數(shù)人聽到計算機病毒時都會提高警惕，家庭用戶一般會為自己的計算機安裝一個殺毒軟件。若計算機病毒入侵醫(yī)院的計算機網(wǎng)絡(luò)系統(tǒng)，將會給醫(yī)院帶來嚴(yán)重損害，因為醫(yī)院的計算機網(wǎng)絡(luò)系統(tǒng)一旦陷入癱瘓狀態(tài)，一切工作都不能正常運轉(zhuǎn)。因此，降低醫(yī)院計算機的病毒入侵概率，可以保障醫(yī)院的計算機網(wǎng)絡(luò)的穩(wěn)定性。

1.3周圍環(huán)境的影響

計算機網(wǎng)絡(luò)安全不僅只受外部設(shè)備和內(nèi)部軟件的影響，還受周圍環(huán)境的威脅[2]。醫(yī)院計算機網(wǎng)絡(luò)所處的環(huán)境溫度和濕度都會成為威脅醫(yī)院計算機網(wǎng)絡(luò)安全的重要部分。當(dāng)醫(yī)院計算機網(wǎng)絡(luò)系統(tǒng)所在環(huán)境的溫度上升時，整個醫(yī)院計算機網(wǎng)絡(luò)會受到一個網(wǎng)絡(luò)數(shù)據(jù)的轉(zhuǎn)變，更有甚者，計算機網(wǎng)絡(luò)系統(tǒng)的內(nèi)部電源將被破壞，后果不堪設(shè)想。此外，濕度也是一個重要影響因素，如果醫(yī)院計算機網(wǎng)絡(luò)設(shè)施所處環(huán)境的濕度較大時，醫(yī)院計算機的一些設(shè)備可能出現(xiàn)被侵蝕、生出銹等問題，計算機的設(shè)備會出現(xiàn)連電、短路或接觸不好等問題。此外，若濕度較大，還會使設(shè)備粘附很多灰塵，計算機網(wǎng)絡(luò)系統(tǒng)在運行時會發(fā)出較大聲響。

2醫(yī)院計算機網(wǎng)絡(luò)安全的維護策略

2.1計算機網(wǎng)絡(luò)硬件設(shè)施的選擇與維護

計算機網(wǎng)絡(luò)硬件設(shè)施的選擇與維護是保障醫(yī)院計算機網(wǎng)絡(luò)安全的重要前提和基礎(chǔ)，應(yīng)結(jié)合各醫(yī)院的業(yè)務(wù)情況選用計算機網(wǎng)絡(luò)硬件設(shè)施。維護計算機應(yīng)從三個方面入手[3]：首先，要注意網(wǎng)絡(luò)線路，保證網(wǎng)絡(luò)信號處于最佳狀態(tài)；其次，要重視計算機網(wǎng)絡(luò)系統(tǒng)機房的選址，中心機房設(shè)置點的一個關(guān)鍵條件是要有足夠的電能[4]；最后，保障醫(yī)院計算機網(wǎng)絡(luò)系統(tǒng)服務(wù)器的正常運行，因為服務(wù)器如果中間罷工，就意味著計算機網(wǎng)絡(luò)數(shù)據(jù)庫中的一些資料丟失。

2.2維護計算機網(wǎng)絡(luò)系統(tǒng)軟件

醫(yī)院計算機網(wǎng)絡(luò)系統(tǒng)軟件是安全維護工作的重中之重，同時，軟件的安全維護也是較有難度的一項任務(wù)[5]。醫(yī)院的計算機網(wǎng)絡(luò)安全工作人員應(yīng)重視病毒的入侵，進行定期和不定期的病毒檢測，要經(jīng)常更新病毒庫，完善醫(yī)院計算機網(wǎng)絡(luò)的各種殺毒軟件，及時補充更新計算機病毒軟件的漏洞，把醫(yī)院計算機網(wǎng)絡(luò)安全的維護等級提升一個層次。同時，對醫(yī)院計算機數(shù)據(jù)庫內(nèi)容進行備份也是計算機網(wǎng)絡(luò)安全維護的一個重要舉措。

2.3創(chuàng)造一個符合標(biāo)準(zhǔn)的外部環(huán)境

計算機的外部環(huán)境也是計算機網(wǎng)絡(luò)安全持續(xù)保證的沃土。而外部環(huán)境的維護主要依靠醫(yī)院的工作人員，因此，要定期及時地向醫(yī)院相關(guān)工作人員普及相關(guān)知識，定期組織培訓(xùn)，不僅使其充分掌握書面知識，還要使其應(yīng)用到實際操作中，只有綜合素質(zhì)與技能得到提升，才能保證操作得當(dāng)。工作人員還要嚴(yán)格控制外部環(huán)境的溫度和濕度，保證醫(yī)院電力充足。

2.4制定計算機網(wǎng)絡(luò)規(guī)章制度

計算機網(wǎng)絡(luò)規(guī)章制度是對計算機網(wǎng)絡(luò)安全的一個重要的保障。醫(yī)院計算機網(wǎng)絡(luò)需要定期進行維護，良好規(guī)范的制度是最好的保護網(wǎng)。只有在計算機網(wǎng)絡(luò)制度的嚴(yán)格約束下，計算機網(wǎng)絡(luò)人員才能提起警惕，最大化地降低計算機網(wǎng)絡(luò)的故障幾率。同時，應(yīng)在規(guī)章制度的約束下，對醫(yī)院的工作人員進行網(wǎng)絡(luò)安全教育。要及時宣傳計算機網(wǎng)絡(luò)安全的重要性，讓工作人員了解計算機網(wǎng)絡(luò)黑客的危害，注意設(shè)置安全密碼等，對陌生的軟盤等信息載體應(yīng)提高警惕，注意查殺病毒。要在無形當(dāng)中提高醫(yī)院工作人員的計算機網(wǎng)絡(luò)安全意識，讓工作人員養(yǎng)成良好的網(wǎng)絡(luò)安全習(xí)慣，使維護保障醫(yī)院計算機安全成為工作人員的重要職責(zé)，最大程度上提升醫(yī)院計算機網(wǎng)絡(luò)的使用效能，為醫(yī)院醫(yī)療建設(shè)的不斷進步做出應(yīng)有的貢獻。

3醫(yī)院計算機網(wǎng)絡(luò)安全管理的意義

醫(yī)院計算機網(wǎng)絡(luò)安全管理不僅是醫(yī)院現(xiàn)代化管理的必由之路，更是醫(yī)療硬件條件提升的重要保障，對醫(yī)院的科學(xué)決策起著不可小覷的作用。醫(yī)院的計算機網(wǎng)絡(luò)安全管理在醫(yī)院信息化構(gòu)建過程中是一座橋梁，可以更加充分地與醫(yī)院現(xiàn)代化管理有效結(jié)合。醫(yī)院事務(wù)的辦公自動化發(fā)展也離不開醫(yī)院計算機網(wǎng)絡(luò)安全管理，只有充分保障計算機網(wǎng)絡(luò)安全，醫(yī)院的硬件設(shè)施應(yīng)用辦公的利用率才會越來越高。同時，醫(yī)院計算機網(wǎng)絡(luò)安全的管理對醫(yī)院領(lǐng)導(dǎo)的科學(xué)決策也有重要意義。醫(yī)院的領(lǐng)導(dǎo)層需要對事務(wù)進行決策分析時，必然要應(yīng)用到計算機，通過計算機網(wǎng)絡(luò)系統(tǒng)收集、整合資料，為醫(yī)院的領(lǐng)導(dǎo)者提供可靠的數(shù)據(jù)資料。此外，還可以更加及時透明地公開醫(yī)院的醫(yī)療信息，最大程度上充分利用信息。

4結(jié)語

醫(yī)院計算機網(wǎng)絡(luò)安全是醫(yī)院各項工作正常運轉(zhuǎn)的保障。盡管當(dāng)下有很多威脅醫(yī)院計算機網(wǎng)絡(luò)安全的不良因素，但在醫(yī)院工作人員的努力下，將有效避免威脅，使醫(yī)院計算機網(wǎng)絡(luò)安全水平到達一個新的高度，為醫(yī)院工作的正常開展做好充分準(zhǔn)備和保障。

作者:宋恒飛 單位:江蘇省邳州市人民醫(yī)院微機中心

參考文獻

[1]桂凌.基于醫(yī)院管理信息系統(tǒng)安全性策略的研究[J].科技信息,2010(32).

[2]仲大偉.淺談醫(yī)院網(wǎng)絡(luò)信息的不安全因素及防護措施[J].信息與電腦,2009(10).

[3]王偉護,李曉宏,賴宇斌.醫(yī)院計算機網(wǎng)絡(luò)建設(shè)方案[J].中國當(dāng)代醫(yī)藥,2009(13).

篇4

關(guān)鍵詞：醫(yī)院信息系統(tǒng)；HIS安全體系；內(nèi)網(wǎng)

引論

醫(yī)院信息系統(tǒng)(HospitaI Information Svstem，HIS)是利用計算機網(wǎng)絡(luò)和通信設(shè)備，為醫(yī)院各部門提供病人診療信息和行政管理信息的收集、存儲、處理、提取和交換能力，并滿足授權(quán)用戶功能需求的管理信息系統(tǒng)。醫(yī)院是信息流高度密集的單位；醫(yī)院的組織管理結(jié)構(gòu)非常嚴(yán)謹(jǐn)。對其中任何一部分業(yè)務(wù)流程的改變，都可能引起連鎖反應(yīng)，牽一發(fā)而動全身；不同體制的醫(yī)院的管理模式也有很大不同。因此，HIS是當(dāng)今世界企業(yè)級信息系統(tǒng)中處理邏輯最為復(fù)雜的一類。

廣義的HIS的網(wǎng)絡(luò)拓撲一般分為內(nèi)網(wǎng)(醫(yī)保系統(tǒng))、專網(wǎng)(行政系統(tǒng))和外網(wǎng)(醫(yī)院網(wǎng)站)三個部分，形成了內(nèi)網(wǎng)核心數(shù)據(jù)層、內(nèi)網(wǎng)辦公業(yè)務(wù)層、外網(wǎng)公眾服務(wù)層和網(wǎng)間信息交換層四個相對獨立的網(wǎng)絡(luò)安全管理域，信息安全與管理的技術(shù)手段相當(dāng)復(fù)雜。

以作者所在單位上海市普陀區(qū)中心醫(yī)院為例，HIS、RIS、PACS等系統(tǒng)投入運營多年，每天成百上千臺計算機同時運行，成為醫(yī)院提供醫(yī)療服務(wù)的業(yè)務(wù)平臺。隨著醫(yī)院HIS應(yīng)用的不斷深入，網(wǎng)絡(luò)安全形勢日益嚴(yán)峻。現(xiàn)有的安全技術(shù)手段逐漸暴露出局限性，需要從規(guī)章制度、技術(shù)和管理等層面加強HIS的信息安全保障。

我院信息系統(tǒng)和網(wǎng)絡(luò)的維護由醫(yī)院信息科實施。信息科是醫(yī)院的行政職能科室，下設(shè)病案室、計算中心、圖書館三個部門。計算中心現(xiàn)有技術(shù)人員10人，擁有軟件自主研發(fā)能力，學(xué)術(shù)氛圍濃厚。根據(jù)醫(yī)院授權(quán)已制訂《普陀區(qū)中心醫(yī)院HIS系統(tǒng)管理安全操作規(guī)范》、《普陀區(qū)中心醫(yī)院醫(yī)保前置機管理規(guī)范》、《普陀區(qū)中心醫(yī)院應(yīng)急預(yù)案制度》、《中心機房管理制度》等規(guī)章制度，建立了定期安全檢測、口令管理、人員培訓(xùn)與管理、策略管理、備份管理、日志管理等一系列管理方法和長效機制。

1　HIS安全威脅

HIS面臨的安全攻擊指危及醫(yī)院信息安全的任何行為。HIS安全機制指設(shè)計用于檢測、防止或從安全攻擊中恢復(fù)的一種機制。Hls安全服務(wù)指加強醫(yī)院各部門數(shù)據(jù)處理和信息傳送安全性的一種服務(wù)，目標(biāo)是對抗安全攻擊。它們利用一種或多種安全機制來提供該服務(wù)。本文的工作在于提出HIS安全體系結(jié)構(gòu)和部署策略，并在網(wǎng)絡(luò)層面上介紹了HIS安全體系的技術(shù)實現(xiàn)。

就安全攻擊方法而言，根據(jù)信息安全層次分析HIS的安全威脅?？梢詮臋C房環(huán)境和物理層、網(wǎng)絡(luò)層、操作系統(tǒng)和數(shù)據(jù)庫層、應(yīng)用層及管理層五個層面著手。

(1)機房環(huán)境和物理層

我院機房分布在住院部、住院二部、門診樓、急診樓四處。機房網(wǎng)絡(luò)設(shè)備、硬件設(shè)施可能遭受地震、水災(zāi)、火災(zāi)等自然災(zāi)害以及人為操作失誤和各種針對計算機的破壞行為。

(2)網(wǎng)絡(luò)層

作為事實標(biāo)準(zhǔn)的TCP／IP協(xié)議并非專為安全通信設(shè)計，這一先天不足致使網(wǎng)絡(luò)通信存在大量安全隱患。協(xié)議漏洞造成預(yù)攻擊探測、竊聽、篡改、IP欺騙、重放、拒絕服務(wù)攻擊(包括同步潮水攻擊SYN FLOOD和PING FLOOD)、分布式拒絕服務(wù)攻擊(DOS)和堆棧溢出等。

網(wǎng)絡(luò)環(huán)境下病毒、蠕蟲、木馬和流氓軟件的傳播快速、隱蔽，嚴(yán)重威脅系統(tǒng)安全。病毒的傳播破壞文件和系統(tǒng)可用性；木馬潛伏在系統(tǒng)內(nèi)并截獲用戶輸入的密碼、鍵盤動作等重要信息，并將這些信息發(fā)送出去。2008年末ARP木馬爆發(fā)曾導(dǎo)致我院局域網(wǎng)性能顯著下降。

(3)操作系統(tǒng)和數(shù)據(jù)庫層

操作系統(tǒng)設(shè)計時疏漏或預(yù)留的安全漏洞、用戶配置不當(dāng)、多余的系統(tǒng)服務(wù)、脆弱的基于口令的身份鑒別機制，都使惡意用戶的攻擊變得輕而易舉。醫(yī)院醫(yī)保前置機和數(shù)據(jù)庫服務(wù)器采用Windows2000／XP／2003操作系統(tǒng)，健壯性、安全性較差。醫(yī)院使用的Or-acle數(shù)據(jù)庫系統(tǒng)可以從端口尋址。院內(nèi)聯(lián)網(wǎng)的計算機，任何人只要有合適的SQL查詢工具，就能和數(shù)據(jù)庫系統(tǒng)直接連接，并能繞開操作系統(tǒng)的安全機制，如果誤用就會嚴(yán)重危及數(shù)據(jù)安全。

(4)應(yīng)用層

應(yīng)用層的安全風(fēng)險有：來自內(nèi)部和外界對業(yè)務(wù)系統(tǒng)的非授權(quán)訪問、由于用戶名和口令等身份標(biāo)志泄漏造成的系統(tǒng)管理權(quán)限喪失、用戶提交的業(yè)務(wù)信息被監(jiān)聽或修改、用戶對成功提交的事務(wù)進行事后抵賴、偽裝成系統(tǒng)服務(wù)以騙取用戶口令、操作不當(dāng)或外界攻擊引起的系統(tǒng)崩潰、網(wǎng)絡(luò)病毒的傳播或其他軟硬件原因造成的系統(tǒng)損壞、HIS程序開發(fā)遺留的安全漏洞等。

(5)管理層

責(zé)權(quán)不明、管理混亂、人員管理和安全管理制度不健全及缺乏可操作性都可能引起管理層安全風(fēng)險。

2　HIS安全體系結(jié)構(gòu)

網(wǎng)絡(luò)安全遵循“木桶原理”，系統(tǒng)的安全強度等于它最薄弱環(huán)節(jié)的安全強度。據(jù)統(tǒng)計，在所有的HIS信息安全事件中。超過70％發(fā)生在內(nèi)網(wǎng)。因此，HIS系統(tǒng)必須建立在一個完備的多層次的網(wǎng)絡(luò)安全體系之上，消除瓶頸。

完整的HIS安全體系由五部分構(gòu)成：可信的基礎(chǔ)安全設(shè)施、安全技術(shù)支撐平臺、容錯與恢復(fù)系統(tǒng)、安全管理保障體系和信息安全系統(tǒng)。如圖1所示。

3　HIS安全體系的部署和安全審計

根據(jù)HIS網(wǎng)絡(luò)安全要求設(shè)計的HIS安全模型如圖2：

HIS網(wǎng)絡(luò)安全模型給出了HIS安全體系部署的邏輯框架，部署的過程是一個復(fù)雜的系統(tǒng)工程。是整個HIS應(yīng)用得以實現(xiàn)的前提保證。

HIS安全審計是在醫(yī)院網(wǎng)絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外網(wǎng)和內(nèi)網(wǎng)用戶的入侵和破壞，而運用各種技術(shù)手段實時監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、收集安全事件，以便集中報警、分析、處理。安全審計方案主要有：

(1)日志審計。通過SNMP、SYSLOG、OPSEC或其他日志接口從路由器、交換機、服務(wù)器、醫(yī)保前置機應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備中收集日志，進行統(tǒng)一管理、分析和報警；

(2)主機審計。在服務(wù)器、醫(yī)保前置機安裝“威盾”客戶端，審計安全漏洞、合法或非法操作，監(jiān)控聯(lián)網(wǎng)行為；

(3)網(wǎng)絡(luò)審計。通過旁路和串接的方式捕獲網(wǎng)絡(luò)數(shù)據(jù)包，進行協(xié)議分析和還原。網(wǎng)絡(luò)審計包括了網(wǎng)絡(luò)漏洞掃描產(chǎn)品、防火墻和IDS／IPS安全審計、互聯(lián)網(wǎng)行為監(jiān)控等類型的產(chǎn)品。

4　HIS安全體系的技術(shù)實現(xiàn)

(1)內(nèi)網(wǎng)與外網(wǎng)的物理隔離

內(nèi)網(wǎng)涉及醫(yī)保、財務(wù)和電子病歷信息。必須與外網(wǎng)實現(xiàn)完全的網(wǎng)絡(luò)隔離和設(shè)備隔離。內(nèi)網(wǎng)與外網(wǎng)的隔離采用物理隔離網(wǎng)閘。物理隔離網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。這兩個獨立主機系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在基于協(xié)議的 數(shù)據(jù)包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令，因而從物理上隔離、阻斷了具有潛在攻擊可能的一切連接。

(2)內(nèi)網(wǎng)中劃分VLAN

虛擬局域網(wǎng)(VLAN)是一種采用交換機將局域網(wǎng)內(nèi)的主機邏輯地而不是物理地劃分為一個個網(wǎng)段。從而實現(xiàn)虛擬工作組的技術(shù)。在一個交換網(wǎng)絡(luò)中，VLAN提供了網(wǎng)段和部門科室的彈性組合機制。醫(yī)院可根據(jù)不同的業(yè)務(wù)性質(zhì)將各部門劃分成不同的VLAN。

(3)網(wǎng)絡(luò)邊界安裝防火墻

防火墻是一類防范措施的總稱。它使內(nèi)網(wǎng)與Internet之間或者內(nèi)網(wǎng)與其他外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪來保護內(nèi)部網(wǎng)絡(luò)。由于防火墻劃定了網(wǎng)絡(luò)邊界和服務(wù)，因此更適合于相對獨立的網(wǎng)絡(luò)。任何關(guān)鍵性的服務(wù)器，都建議放在防火墻之后。

(4)專網(wǎng)用戶采用VPN技術(shù)訪問內(nèi)網(wǎng)

虛擬專網(wǎng)技術(shù)(VPN)目前主要采用IPSec協(xié)議，有比較成熟的產(chǎn)品。例如與路由器或防火墻集成的硬件VPN模塊，組建方便快捷。內(nèi)網(wǎng)與衛(wèi)生局、醫(yī)保局的信息往來。彼此間應(yīng)該采用VPN技術(shù)相連，以保證通信安全。

(5)入侵監(jiān)測

防火墻雖然能抵御網(wǎng)絡(luò)外部安全威脅，但對從網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊無能為力。實時入侵監(jiān)測技術(shù)動態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動并做出及時響應(yīng)：能監(jiān)控網(wǎng)絡(luò)的數(shù)據(jù)流，從中檢測出攻擊行為并給予相應(yīng)處理；還能檢測到繞過防火墻的攻擊。

(6)漏洞掃描

解決網(wǎng)絡(luò)層安全問題，首先要弄清網(wǎng)絡(luò)中存在哪些安全隱患和薄弱環(huán)節(jié)。面對醫(yī)院大型網(wǎng)絡(luò)的復(fù)雜性，僅僅依靠技術(shù)人員的經(jīng)驗是不現(xiàn)實的。解決方案是獲取一種能自動探測網(wǎng)絡(luò)安全漏洞、并提出評估和建議的網(wǎng)絡(luò)安全掃描工具。

(7)數(shù)據(jù)庫服務(wù)器和醫(yī)保前置機的安全設(shè)置

現(xiàn)有的網(wǎng)絡(luò)設(shè)備以及操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)都有一套自身的安全機制。路由器、交換機應(yīng)配置好協(xié)議和訪問控制列表：數(shù)據(jù)庫服務(wù)器應(yīng)關(guān)閉無關(guān)的系統(tǒng)服務(wù)和端口，并采用服務(wù)器分片備份網(wǎng)絡(luò)數(shù)據(jù)。如門診部用一臺服務(wù)器、住院部用一臺服務(wù)器、影像系統(tǒng)用一臺服務(wù)器，按時定期做好數(shù)據(jù)備份。發(fā)生系統(tǒng)故障，能盡快回滾事務(wù)、恢復(fù)系統(tǒng)。

每臺醫(yī)保前置機都安裝了“威盾”遠程控制軟件客戶端。USB端口和光驅(qū)被自動禁用。通過設(shè)定對應(yīng)賬戶權(quán)限(管理員賬戶和來賓賬戶)，控制用戶訪問特定數(shù)據(jù)。每個用戶(醫(yī)生、護士、管理人員等)在整個系統(tǒng)中具有唯一的賬號。禁止用戶對無關(guān)文件進行讀寫，以防非法用戶侵入網(wǎng)絡(luò)。

篇5

信息大集中 威脅接踵來

隨著“金保工程”的推進,社保信息化正從分散建設(shè)向統(tǒng)一集中建設(shè)邁進。金保工程應(yīng)用系統(tǒng)實現(xiàn)全國聯(lián)網(wǎng),很多異地業(yè)務(wù)將逐漸通過網(wǎng)絡(luò)實現(xiàn)。隨著申請發(fā)卡規(guī)模擴大,對網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的穩(wěn)定性、可靠性要求越來越高。

張家港社保信息中心負責(zé)人對社保業(yè)務(wù)系統(tǒng)安全的重要性深有體會:“社保業(yè)務(wù)因其自身特點,對實時、穩(wěn)定要求非常高,因此目前的IT部門必須投入大量人力、精力去維護社保業(yè)務(wù)系統(tǒng)的安全性。在社保系統(tǒng)的運維中,如何有效、合理地利用資源,如何快速發(fā)現(xiàn)、定位、解決安全問題,顯得尤為重要?！?/p>

TDA 網(wǎng)絡(luò)安全的“風(fēng)險保障”

目前張家港社保內(nèi)部網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng),并且有很多相關(guān)單位與之有連接,如醫(yī)院和其社保關(guān)聯(lián)的單位。而出于安全性考慮,內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)和可以訪問Internet的網(wǎng)絡(luò)采用隔離的方式。通過和客戶的深入交流,趨勢科技為張家港社保設(shè)計的威脅監(jiān)控方案,采用同時監(jiān)控內(nèi)網(wǎng)外網(wǎng)的方式,利用鏡像端口是單向端口的特性,既實現(xiàn)了兩網(wǎng)使用一臺設(shè)備監(jiān)控,又避免了數(shù)據(jù)交叉帶來的威脅風(fēng)險,在提升資源合理利用率的同時,又不影響兩網(wǎng)隔離的要求。

半年來TDA為用戶提供對威脅的實時監(jiān)控,提供每日和每周報告,幫助用戶發(fā)現(xiàn)各類網(wǎng)絡(luò)威脅,還通過每日報告和每周報告,幫助用戶總結(jié)前24小時和前7天的高危事件,提供病毒威脅的早期預(yù)警,快速定位,并且及時提供相應(yīng)的解決和預(yù)防方案,再配合專業(yè)工程師的技術(shù)支持,快速高效地解決問題,既縮短了病毒處理的時間,又節(jié)省了用戶的人力資源。例如,有社保行業(yè)用戶因為內(nèi)網(wǎng)PC中微軟系統(tǒng)補丁無法在線更新導(dǎo)致出現(xiàn)系統(tǒng)漏洞,WORM_DOWNAD病毒普遍都有感染。該病毒利用系統(tǒng)漏洞,快速傳播擴散。TDA可以通過對網(wǎng)絡(luò)流量的分析,快速定位感染源,并且利用有針對性的解決方案,在最短時間內(nèi)控制感染源頭,清除受感染PC上的病毒,并且可以提供一份列表,告知用戶內(nèi)網(wǎng)中還有哪些PC存在會受此病毒攻擊的安全漏洞,幫助用戶進行預(yù)防,避免今后再感染此類病毒。

該負責(zé)人表示:“有了TDA的監(jiān)控,再結(jié)合社保自身IT部門的管理規(guī)章制度和流程的優(yōu)化,目前安全狀況明顯改善,潛在威脅和風(fēng)險得到控制,網(wǎng)絡(luò)安全狀況一目了然,并且在人力資源的協(xié)調(diào)上也比之前有更大的靈活度,不必再安排大量人力去做繁瑣的病毒查找和清除工作”。

桌面終端的安全保障

張家港社保用戶的病毒防護要求,除了包括病毒的查殺效果之外,誤殺率、兼容性、穩(wěn)定性、可管理性也都是重要的衡量指標(biāo)。在為張家港社保規(guī)劃終端防護方案時,充分考慮到以上因素,采用趨勢科技防毒墻網(wǎng)絡(luò)版OfficeScan很好地實現(xiàn)了客戶的需求。

篇6

這家成立剛剛兩年的公司再一次填補了我國在工業(yè)控制系統(tǒng)（下稱“工控系統(tǒng)”）網(wǎng)絡(luò)安全風(fēng)險評估領(lǐng)域缺乏有效工具和方法的空白。

近年來，國內(nèi)外發(fā)生的越來越多的工控網(wǎng)絡(luò)安全事件，用慘重的經(jīng)濟損失和被危及的國家安全警示我們：工業(yè)控制網(wǎng)絡(luò)安全正在成為網(wǎng)絡(luò)空間對抗的主戰(zhàn)場和反恐新戰(zhàn)場。 匡恩網(wǎng)絡(luò)總裁孫一桉說，預(yù)計匡恩網(wǎng)絡(luò)在今年可以實現(xiàn)可信和自主控制，形成―個基于可信計算的安全體系。

隨著“中國制造2025”和“互聯(lián)網(wǎng)+”在各個領(lǐng)域的深度滲透和廣泛推進，我們期待出現(xiàn)基于智能化、網(wǎng)絡(luò)化的新的經(jīng)濟發(fā)展形態(tài)。而這個目標(biāo)的實現(xiàn)，離不開自主可控的工控系統(tǒng)，離不開我國工控網(wǎng)絡(luò)安全行業(yè)的健康快速發(fā)展和像匡恩網(wǎng)絡(luò)這樣專注于智能工業(yè)網(wǎng)絡(luò)安全解決方案的高科技創(chuàng)新企業(yè)。

近日，就我國工控網(wǎng)絡(luò)安全的行業(yè)現(xiàn)狀和產(chǎn)業(yè)發(fā)展等相關(guān)問題，《中國經(jīng)濟周刊》記者專訪了匡恩網(wǎng)絡(luò)總裁孫一桉。

匡恩網(wǎng)絡(luò)是工控安全行業(yè)最強的技術(shù)力量

《中國經(jīng)濟周刊》：在國內(nèi)工控網(wǎng)絡(luò)安全行業(yè)，匡恩網(wǎng)絡(luò)是規(guī)模最大、實力最強的企業(yè)之一，匡恩網(wǎng)絡(luò)在發(fā)展工控網(wǎng)絡(luò)安全產(chǎn)業(yè)方面有哪些優(yōu)勢？

孫一桉：匡恩網(wǎng)絡(luò)作為中國的工控安全民營企業(yè)，源于中國，扎根于中國，對中國工控網(wǎng)絡(luò)安全行業(yè)有自己的見解和應(yīng)對之道。

首先，匡恩網(wǎng)絡(luò)匯聚了網(wǎng)絡(luò)安全、工控系統(tǒng)等領(lǐng)域的優(yōu)秀人才，是國內(nèi)安全界普遍認可的工控網(wǎng)絡(luò)安全領(lǐng)域技術(shù)實力最強、規(guī)模最大的一支技術(shù)力量。

其次，匡恩網(wǎng)絡(luò)擁有完全自主知識產(chǎn)權(quán)的安全檢測和防護技術(shù)，國際領(lǐng)先，填補國內(nèi)空白，申請和取得了發(fā)明專利30余項和著作權(quán)30余項。

再就是，以“4+1”防護理念為指導(dǎo)思想，匡恩網(wǎng)絡(luò)已完成3大系列、12條產(chǎn)品線，成為國內(nèi)首家以全產(chǎn)品線和服務(wù)覆蓋工控網(wǎng)絡(luò)全業(yè)務(wù)領(lǐng)域的高技術(shù)創(chuàng)新公司;獨創(chuàng)了從設(shè)備檢測、安全服務(wù)到威脅管理、監(jiān)測審計再到智能保護的全生命周期自主可控的解決方案。

“四個安全性”加“時間持續(xù)性”缺一不可

《中國經(jīng)濟周刊》：我們了解到，您提出了“4+1”工控網(wǎng)絡(luò)安全防護理念，這一理念應(yīng)該如何理解，對匡恩網(wǎng)絡(luò)的產(chǎn)品研發(fā)有什么意義？

孫一桉：匡恩網(wǎng)絡(luò)在實踐探索中創(chuàng)新性地提出了“4+1”的立體化工控安全防護理念。

第一是結(jié)構(gòu)安全性，包括網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化和防護類設(shè)備的部署;第二是本體安全性，主要關(guān)注工控系統(tǒng)中設(shè)備自身的安全性;第三是行為安全性，工控系統(tǒng)對行為的判斷、處理原則和入侵容忍度與信息系統(tǒng)不同，要根據(jù)工控系統(tǒng)的行業(yè)特點，判斷系統(tǒng)內(nèi)部發(fā)起的行為是否具有安全隱患，系統(tǒng)外部發(fā)起的行為是否具有安全威脅，并采取相應(yīng)的機制;第四是基因安全性，實現(xiàn)工控安全設(shè)備基礎(chǔ)軟硬件的自主可控、安全可信，并進一步將可信平臺植入到工業(yè)控制設(shè)備上;最后是時間持續(xù)性，即安全的持續(xù)管理與運維，在持續(xù)的對抗中保障安全。 在“4?29首都網(wǎng)絡(luò)安全日”博覽會上，匡恩網(wǎng)絡(luò)推出的部分保護類產(chǎn)品。

綜上，四個安全性加時間持續(xù)性，就構(gòu)成了我們的工控安全防護體系。

匡恩網(wǎng)絡(luò)已實現(xiàn)全系列產(chǎn)品自主可控

《中國經(jīng)濟周刊》：工控網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵就是自主可控?？锒骶W(wǎng)絡(luò)在這方面是如何布局并逐步推進的？

孫一桉：匡恩網(wǎng)絡(luò)是做工業(yè)控制網(wǎng)絡(luò)安全的，行業(yè)涉及國家關(guān)鍵基礎(chǔ)設(shè)施、制造、軍隊軍工等重大領(lǐng)域，所以我們從一開始就在硬件和軟件方面全部堅持自主研發(fā)，所有的解決方案都是自主開發(fā)，也申請了大量的專利和知識產(chǎn)權(quán)保護，目前已做到了全系列十幾款產(chǎn)品的自主可控，是國內(nèi)同類廠商中的佼佼者。下一步，我們將把自己開發(fā)的硬件、軟件全部納入可信計算體系。我們可以保證任何篡改、植入的系統(tǒng)都不能在我們的環(huán)境下運行。預(yù)計匡恩網(wǎng)絡(luò)在今年可以實現(xiàn)可信和自主控制，形成一個基于可信計算的安全體系。

工控系統(tǒng)的特點是行業(yè)差異化大、投資大

《中國經(jīng)濟周刊》：許多業(yè)內(nèi)人士表示，工控網(wǎng)絡(luò)安全是一個很大的市場，也是將來能出現(xiàn)大公司的行業(yè)。關(guān)于這個市場，目前工控網(wǎng)絡(luò)安全主要針對或服務(wù)的是哪些行業(yè)？

孫一桉： 工控網(wǎng)絡(luò)安全的市場應(yīng)從三個層次去看。

第一，工控網(wǎng)絡(luò)安全本身。我國制造業(yè)、基礎(chǔ)設(shè)施的規(guī)模非常大，它們在安全方面的花費有一個固定的比例。

第二，更大范圍內(nèi)的大安全的概念。工業(yè)網(wǎng)絡(luò)安全也是生產(chǎn)安全的一部分，在大安全概念中的市場就更廣泛了，涉及到與功能安全相結(jié)合、數(shù)據(jù)安全相結(jié)合等，而不僅僅是網(wǎng)絡(luò)安全。 匡恩網(wǎng)絡(luò)推出的虛擬電子沙盤，展示智能制造等六大行業(yè)解決方案。

第三，做安全一方面是為了保護、防御系統(tǒng)安全，另一方面也是為了提高生產(chǎn)力，所以，在此基礎(chǔ)上衍生出了工控系統(tǒng)本身智能化的提升和生產(chǎn)力的提高。匡恩網(wǎng)絡(luò)的定位是從“工控的安全”做到“安全的工控”。這個過程當(dāng)然不是一蹴而就，我們先要解決工控系統(tǒng)的網(wǎng)絡(luò)安全，之后再擴大到大安全的概念，最后再擴大到工業(yè)智能化，以安全為基因的智能化生產(chǎn)和智能化服務(wù)。

我們自2015年成立匡恩網(wǎng)絡(luò)智能工業(yè)安全研究院以來，就已經(jīng)突破了傳統(tǒng)的、簡單的工業(yè)網(wǎng)絡(luò)安全的概念，在新能源和智能制造等領(lǐng)域開始布局新的產(chǎn)品，今年會有一系列新的產(chǎn)品。隨后我們還會再進一步擴大范圍。

之前的一兩年我們著重做平臺建設(shè)。工控系統(tǒng)的特點是行業(yè)差異化太大，我們投入巨大的研發(fā)力量，做了一個適應(yīng)性非常好的平臺。這些前期的工作現(xiàn)在已經(jīng)開花結(jié)果了，我們針對各個行業(yè)的特點做行業(yè)解決方案，提供定制化服務(wù)。目前覆蓋的行業(yè)主要包括能源電力、軌道交通、石油石化、智能制造等，凡是智能化水平比較高的工業(yè)和制造業(yè)企業(yè)都是我們的客戶。也包括基礎(chǔ)設(shè)施如燃氣、水、電、軌道交通、高鐵、航空、港口等。今后我們還要繼續(xù)拓展行業(yè)范圍，比如防疫站、醫(yī)院，未來也會關(guān)注更多的物聯(lián)網(wǎng)終端。

工控安全市場只開發(fā)了冰山一角

《中國經(jīng)濟周刊》：工控網(wǎng)絡(luò)安全的需求這么大，您估計國內(nèi)市場有多大規(guī)模？

孫一桉：我一直都不認為工控網(wǎng)絡(luò)安全是整體信息安全的一個細分市場，它更像是傳統(tǒng)信息安全領(lǐng)域的平行市場，市場規(guī)模非常大。但是這個市場的成長，從大家認識到開始采用再到大量采用，跳躍性很強，需要一個比較長的培養(yǎng)過程。

這種跳躍是由幾個原因造成的：一、這個市場更大程度上是一個事件驅(qū)動、政策驅(qū)動的市場，是跳躍性的。二、行業(yè)進入門檻非常高。不管是匡恩網(wǎng)絡(luò)還是華為、思科，要進入一個新行業(yè)，都要經(jīng)過一個很長時間的試點和適應(yīng)階段，而且在此期間看不到效益。但一個小小的試點，隨之而來的可能就是復(fù)制性很強的、爆炸性的市場。

現(xiàn)在我們所做的點點滴滴，只是未來更大的市場的冰山一角。盡管我們2015年相比2014年有10倍的增長，今年預(yù)計還會有大幅增長，但這并不是我們最看重的。在工控安全市場爆發(fā)點來臨之前，我們要做的，就是全力以赴地練內(nèi)功，做品牌，做產(chǎn)品，讓用戶的認可度和滿意度不斷提升。

我們與傳統(tǒng)信息安全廠商主要還是合作關(guān)系，我們做工業(yè)控制網(wǎng)絡(luò)安全，介于信息安全和工業(yè)控制之間。這是一個新生態(tài)，我們在努力適應(yīng)并融入這個新的生態(tài)圈。

專家點評

北京中安國發(fā)信息技術(shù)研究院院長、信息安全應(yīng)急演練關(guān)鍵技術(shù)研究中心主任張勝生：我國工控安全保障需要從業(yè)務(wù)安全需求出發(fā)

在“兩化融合”“工業(yè)4.0”和“中國制造2025”的大背景下，隨著信息化的推進和工業(yè)化進程的加速，越來越多的計算機和網(wǎng)絡(luò)技術(shù)應(yīng)用于工業(yè)控制系統(tǒng)，在為工業(yè)生產(chǎn)帶來極大推動作用的同時，也帶來了工控系統(tǒng)的安全及泄密問題。我國工控系統(tǒng)及設(shè)備的安全保護水平明顯偏低，長期以來沒有得到關(guān)注，如系統(tǒng)終端平臺安全防護弱點，系統(tǒng)配置和軟件安全漏洞、工控協(xié)議安全問題、私有協(xié)議的安全問題、隱藏的后門和未知漏洞、TCP/IP自身的安全問題、用戶權(quán)限控制的接入、網(wǎng)絡(luò)安全邊界防護，以及內(nèi)部非法人員、密鑰管理、當(dāng)前國際復(fù)雜環(huán)境等，存在各種網(wǎng)絡(luò)安全的風(fēng)險和漏洞。

篇7

【關(guān)鍵詞】雙中心機房 虛擬化網(wǎng)絡(luò)

1 系統(tǒng)實施背景

隨著醫(yī)院信息化進程的不斷推進，醫(yī)療業(yè)務(wù)的開展對信息系統(tǒng)的依賴程度的逐步加深，這就要求醫(yī)院網(wǎng)絡(luò)系統(tǒng)必須提供不間斷的高可用。對于醫(yī)療行業(yè)而言，時間就是生命，醫(yī)院網(wǎng)絡(luò)的核心部署要求實現(xiàn)的效果是在信息網(wǎng)絡(luò)系統(tǒng)災(zāi)難發(fā)生時，信息網(wǎng)絡(luò)系統(tǒng)的災(zāi)難恢復(fù)體系要提供快速無感知的切換，從而保障業(yè)務(wù)系統(tǒng)永不停歇。目前多數(shù)三甲醫(yī)院一般都設(shè)有網(wǎng)絡(luò)交換冗余和數(shù)據(jù)級的容災(zāi)備份機制，而對整個網(wǎng)絡(luò)進行實時雙活配置的并不多，并且大多數(shù)醫(yī)院的信息中心機房只有一個，當(dāng)真正的災(zāi)難來臨之時業(yè)務(wù)系統(tǒng)立即會陷入癱瘓狀態(tài)，雖然這是一個極小概率的事件，但對醫(yī)院的影響是災(zāi)難性的。因此如果在醫(yī)院的不同地理位置（最好是不同院區(qū)或樓宇）建立災(zāi)備機房，并且基于雙機房利用網(wǎng)絡(luò)虛擬化技術(shù)建立起實時的網(wǎng)絡(luò)互備系統(tǒng)是根本解決網(wǎng)災(zāi)隱患比較可行的方式。在進行網(wǎng)絡(luò)虛擬化改造前，我院的網(wǎng)絡(luò)架構(gòu)如圖1所示。

因為受當(dāng)時網(wǎng)絡(luò)技術(shù)所限以及實施成本的影響，這樣的核心網(wǎng)絡(luò)架構(gòu)在我院已經(jīng)運行約7年，雖未出現(xiàn)過較大的災(zāi)難性故障，但存在非常大的風(fēng)險，一旦出現(xiàn)哪怕是單點的核心故障，都會導(dǎo)致長時間的大面積網(wǎng)癱，其不足之處體現(xiàn)在以下幾個方面：

（1）內(nèi)網(wǎng)核心網(wǎng)絡(luò)設(shè)備采用兩臺華三S7506E交換機作為全院核心交換設(shè)備，兩臺設(shè)備通過VRRP協(xié)議互為備份，但由于核心層與匯聚層、接入層存在單鏈路的情況，兩臺核心設(shè)備只能實現(xiàn)核心冷備的方式，這種冷備的方式在切換時需要很長的切換時間，無法滿足醫(yī)院持續(xù)化服務(wù)能力。

（2）內(nèi)網(wǎng)接入層設(shè)備品牌和型號比較多，并且存在一些不可網(wǎng)管交換機，在管理和安全保障上存在很大的問題，由于接入層設(shè)備直接互聯(lián)醫(yī)療終端、直接面對醫(yī)療信息化應(yīng)用，因此其可靠性、穩(wěn)定性也相當(dāng)重要，較多的品牌和型號容易導(dǎo)致兼容方面的問題。

（3）內(nèi)網(wǎng)生產(chǎn)數(shù)據(jù)集中存在在單臺存儲設(shè)備中，雖然存儲設(shè)備具備比較高的安全性和可靠性，但生產(chǎn)數(shù)據(jù)的存儲介質(zhì)硬盤存在一定的故障率，在硬盤故障率比較高時，存在數(shù)據(jù)丟失的風(fēng)險。由于這一問題涉及的是存儲災(zāi)備系統(tǒng)的問題，不在本文討論范圍之內(nèi)，在此不做贅述。

2 系統(tǒng)方案規(guī)劃

針對實施背景所述，如何通過網(wǎng)絡(luò)改造實現(xiàn)全冗余可以實時切換的核心網(wǎng)絡(luò)系統(tǒng)已經(jīng)成為我院非常急迫的任務(wù)。從2016年初開始，我們通過多次與網(wǎng)絡(luò)服務(wù)公司溝通和論證，確立了基于雙中心機房采用網(wǎng)絡(luò)虛擬化技術(shù)構(gòu)建雙活分布式網(wǎng)絡(luò)系統(tǒng)的方案，該方案通過對三層網(wǎng)絡(luò)架構(gòu)的全面改造和升級，構(gòu)建了我院全新的雙活核心網(wǎng)絡(luò)系統(tǒng)，依照功能區(qū)分，各層網(wǎng)絡(luò)詳細規(guī)劃如下：

2.1 核心層部署

如圖2所示，在現(xiàn)有機房和新門診樓機房分別部署 1 臺高性能、高可靠性的核心交換機，作為整個院區(qū)數(shù)據(jù)交換主核心，2 臺核心交換機通過機房之間的多條單模光纖鏈路互聯(lián)，采用虛擬化技術(shù)將 2 臺物理核心交換機虛擬為一臺邏輯核心設(shè)備，實現(xiàn)核心的高可靠性、高分布性和高管理性。在現(xiàn)有機房和新門診樓機房分別部署 2 臺高性能、高可靠性的服務(wù)器匯聚交換機，作為兩個機房 HIS、LIS、PACS 等服務(wù)器的接入設(shè)備，2 臺本機房的交換機通過高速堆疊線纜互聯(lián)，采用虛擬化技術(shù)虛擬為一臺邏輯交換機，兩個機房之間的 2 組邏輯交換機通過多條單模光纖鏈路，采用虛擬化技術(shù)虛擬為一個跨中心的邏輯交換機，實現(xiàn)服務(wù)器接入的高可靠性、高分布性和高管理性，在核心層虛擬化后，成倍提升了核心層的交換性能和骨干帶寬的處理性能，并且設(shè)備之間的切換時間少于 50MS，可以保障業(yè)務(wù)無感知快速切換。核心交換機與數(shù)據(jù)中心交換機之間通過鏈路聚合協(xié)議，在實現(xiàn)鏈路冗余的同時，提升了傳輸帶寬。在核心層虛擬化后，可以在虛擬交換機上規(guī)劃一個或者幾個二層 VLAN，作為兩個數(shù)據(jù)中心服務(wù)器的專用 VLAN，通過 VLAN 網(wǎng)關(guān)終結(jié)在核心虛擬交換機上實現(xiàn)跨中心的大二層 VLAN互聯(lián)，來滿足虛擬機的遷移和服務(wù)器的集群切換。在兩個機房核心交換機上分別旁掛 1 臺負載均衡設(shè)備，通過啟用服務(wù)器均衡功能，實現(xiàn)對來自客戶端的合理請求調(diào)度。為了實現(xiàn)對服務(wù)器等核心設(shè)備的安全防護，在兩臺核心交換機上分別配置 1 塊 20G 吞吐量的防火墻板卡，此防火墻可采用虛擬化技術(shù)虛擬化為一臺邏輯防火墻，在簡化管理的同時提高了整體性能；同時防火墻支持 1：N 的虛擬化，可以將一臺防火墻虛擬化為多臺虛擬防火墻，來實現(xiàn)對多個應(yīng)用系統(tǒng)的差異化安全防護。

2.2 匯聚層部署

如圖3所示，在第一、二、三住院部和原門診樓分別部署 1 臺高性能和高可靠性匯聚交換機，此交換機上行通過萬兆光纖鏈路分別互聯(lián)兩個數(shù)據(jù)中心的核心交換機，下行通過千兆光纖鏈路互聯(lián)本樓宇的接入交換機，為了提高上行鏈路的可靠性和高性能，此交換機的兩個上行萬兆端口采用鏈路聚合的技術(shù)與兩臺核心交換機實現(xiàn)高速對接?？紤]到門診樓業(yè)務(wù)的重要性，同時為保護原有投資，借助原有 2 臺光纖交換機作為門診樓的匯聚交換設(shè)備，兩臺交換機之間采用虛擬化技術(shù)虛擬為一臺邏輯交換機，上行通過兩條萬兆光纖鏈路互聯(lián)兩個數(shù)據(jù)中心的核心交換機，下行通過多條千兆光纖鏈路互聯(lián)本樓宇的接入交換機，為了提高鏈路的可靠性和高性能，兩臺交換機的兩個上行萬兆端口和下行千兆端口采用鏈路聚合的技術(shù)與兩臺核心交換機和樓層接入交換機實現(xiàn)高速對接。

2.3 接入層部署

考慮到各樓宇有若干臺不同品牌和不可網(wǎng)管交換機，為提高接入可靠性、高安全性，采用若干臺高安全性接入交換機作為各樓宇醫(yī)療終端的接入設(shè)備，除新門診樓接入交換機采用雙鏈路捆綁上行外，其他樓宇采用單鏈路上行到匯聚交換機。這種接入部署方式把實時要求最高的門診接入層進行全冗余部署，把單點故障分散在各住院分部接入的最后一層，雖不能保證網(wǎng)絡(luò)系統(tǒng)交換機的全冗余，但大大簡化了網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性，同時有效降低了實施成本。

3 系統(tǒng)設(shè)計特點

3.1 技g先進性

在保證滿足基本業(yè)務(wù)應(yīng)用的同時，把先進的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮到信息化應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢。

3.2 高可靠性

系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運行的關(guān)鍵，方案設(shè)計選用高可靠性的產(chǎn)品設(shè)備，充分考慮冗余、容錯和備份能力，同時合理設(shè)計信息化架構(gòu)，系統(tǒng)具有故障自愈的能力，最大限度地支持各應(yīng)用系統(tǒng)的可靠運行。

3.3 高性能

系統(tǒng)的性能是整個應(yīng)用系統(tǒng)良好運行的基礎(chǔ)，該方案保障了網(wǎng)絡(luò)的高帶寬和設(shè)備的高處理能力，保證了應(yīng)用系統(tǒng)各種信息（數(shù)據(jù)、語音、圖象）的高質(zhì)量傳輸、處理和存儲。

3.4 可擴展性

根據(jù)未來業(yè)務(wù)的增長和變化，系統(tǒng)可以平滑地擴充和升級，最大程度的減少對系統(tǒng)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。

3.5 可管理性

選用先進的運維管理平臺，具有對設(shè)備、端口等的管理及流量統(tǒng)計分析，并可提供故障自動報警。

3.6 安全性

具有統(tǒng)一的安全策略，整體考慮信息化平臺的安全性。做到業(yè)務(wù)數(shù)據(jù)的安全 傳遞和不受黑客攻擊。

3.7 經(jīng)濟性

在充分利用現(xiàn)有資源的情況下，最大限度地降低系統(tǒng)的總體投資，有計劃、 有步驟地實施，在保證整體性能的前提下，充分利用現(xiàn)有的設(shè)備或做必要的升級。

4 系統(tǒng)實施效果

該方案自2016年初開始規(guī)劃，經(jīng)過多次修改確認，至2016年底已在我院順利實施完成，目前網(wǎng)絡(luò)運行狀態(tài)良好，我們經(jīng)過幾次模擬斷網(wǎng)測試均驗證了系統(tǒng)的安全和高效性。由于技術(shù)的復(fù)雜性和各醫(yī)院網(wǎng)絡(luò)系統(tǒng)的差別，方案必然也具有一定的局限性，雖然不能保證適合所有的同級醫(yī)院，但它是我們積極探索醫(yī)院網(wǎng)絡(luò)安全道路上的心血結(jié)晶，希望能幫助到有同樣需求的同行，起到積極的參考作用。

參考文獻

[1]江逸茗.網(wǎng)絡(luò)虛擬化技術(shù)綜述[J].網(wǎng)絡(luò)新媒體技術(shù)，2016（05）.

[2]李小慶.雙活數(shù)據(jù)中心的構(gòu)建及運維[J].金融科技時代，2016（01）.

篇8

關(guān)鍵詞：無線網(wǎng)絡(luò)；軍隊；安全；物理層安全；可見光通信

中圖分類號：TN 929.3

文獻標(biāo)識碼：A

DOI： 10.3969/j.issn.1003-6970.2015.08.004

0 引言

進入二十一世紀(jì)的第二個十年以來，信息已經(jīng)成為人類社會文明進步的要素資源，成為現(xiàn)代社會持續(xù)發(fā)展的基本條件。信息網(wǎng)絡(luò)空間已經(jīng)成為繼陸、海、空、天之后的第五大國家疆域，成為世界各國戰(zhàn)略競爭的重要領(lǐng)域。信息安全已成為與國防安全、能源安全、糧食安全并列的四大國家安全領(lǐng)域之一。

近些年來，以美國為代表的信息技術(shù)強國利用自身所壟斷的全球信息技術(shù)優(yōu)勢，加緊構(gòu)建信息安全保障和攻擊體系，以進一步鞏固其在網(wǎng)絡(luò)空間的統(tǒng)治地位。在美國現(xiàn)有的國家信息安全體系中，政府、IT企業(yè)和社會團體分工協(xié)作，相互配合，共同推進美國國家和軍隊的信息安全體系建設(shè)。當(dāng)前，美國政府部門作為信息安全戰(zhàn)略制定、網(wǎng)絡(luò)和信息安全項目策劃、網(wǎng)絡(luò)情報偵查、網(wǎng)絡(luò)防御以及網(wǎng)絡(luò)進攻的主導(dǎo)者，引領(lǐng)了整個美國信息安全領(lǐng)域的發(fā)展和規(guī)劃。其主要部門包括國土安全部、國防部、美軍網(wǎng)電司令部、商務(wù)部、聯(lián)邦調(diào)查局以及中央情報局；美國的IT企業(yè)則是網(wǎng)絡(luò)攻防的具體實施機構(gòu)和重要支撐單位，是美國政府和軍隊海量情報數(shù)據(jù)的來源，同時也是實施網(wǎng)絡(luò)作戰(zhàn)的實施主體；而美國及其盟國中一些非營利性團體和學(xué)術(shù)組織則為美國政府和軍隊提供了輿論和技術(shù)層面的支持，同時進行了人才的輸出，以支撐日益強大的美國信息作戰(zhàn)部隊。

隨著無線與移動通信技術(shù)的高速發(fā)展，拋開有線束縛的無線通信技術(shù)為國家和軍隊的指揮和作戰(zhàn)帶來了極大的便利性，然而也埋下了極大的安全隱患。截至2014年年底，美國情報和軍隊相關(guān)部門在無線網(wǎng)絡(luò)中偵收和攻擊獲得的情報已經(jīng)占到美國情報總量的約57.6%，凸顯了當(dāng)前國家和軍隊無線網(wǎng)絡(luò)安全的嚴(yán)峻態(tài)勢。美軍網(wǎng)電司令部2015年戰(zhàn)略規(guī)劃指南顯示，未來美軍網(wǎng)電部隊將把無線領(lǐng)域作為網(wǎng)絡(luò)攻防作戰(zhàn)的重點，這對我國國防和軍隊網(wǎng)絡(luò)安全體系和技術(shù)提出了新的考驗。本論文從歷史出發(fā)，對交換技術(shù)進行了簡要的回顧，指出了當(dāng)前交換網(wǎng)絡(luò)發(fā)展的瓶頸以及問題，并基于前沿的下一代智能網(wǎng)絡(luò)以及大數(shù)據(jù)交換網(wǎng)絡(luò)提出了展望和設(shè)想。

1 軍隊無線網(wǎng)絡(luò)安全現(xiàn)狀

我國的互聯(lián)網(wǎng)、電信網(wǎng)、廣電網(wǎng)和各類專網(wǎng)（包含軍網(wǎng)）組成的國家基礎(chǔ)網(wǎng)絡(luò)是國家和軍隊信息安全防護的重要對象，但是這些基礎(chǔ)社會建設(shè)過程中普遍存在著重建輕防，甚至只建不防的問題，造成網(wǎng)絡(luò)信息安全體系構(gòu)建的極大障礙。

當(dāng)前，我軍無線網(wǎng)絡(luò)通信手段主要包含戰(zhàn)場衛(wèi)星通信、短波電臺通信、水下潛艇長波通信等戰(zhàn)時通信手段，以及軍隊日常辦公所使用的蜂窩網(wǎng)移動手機通信、單位無線局域網(wǎng)（Wi-Fi）以及家庭使用的寬帶及家庭無線局域網(wǎng)等非戰(zhàn)時通信手段。由于戰(zhàn)時通信技術(shù)具有較強的應(yīng)用層加密以及物理層跳頻和擴頻保障，傳統(tǒng)的竊密和攻擊手段并不能很快奏效，反而是和平時期工作用無線局域網(wǎng)、個人手機、家庭Wi-Fi等上網(wǎng)和通話極易被偵聽和竊密，導(dǎo)致無意識泄密。據(jù)不完全統(tǒng)計，2014年以來軍隊、軍工企業(yè)等軍事相關(guān)單位因手機、家庭寬帶/Wi-Fi等被攻擊及竊聽的事件約470起，造成不可估量的軍事、經(jīng)濟以及國家核心技術(shù)損失。

美國憑借其在信息領(lǐng)域的絕對優(yōu)勢，不斷將其技術(shù)和設(shè)備輸出到中國，而國產(chǎn)化設(shè)備的低性能、高價格等不足進一步導(dǎo)致了黨政軍系統(tǒng)中日常無線網(wǎng)絡(luò)通信設(shè)備國產(chǎn)化程度極低，使得日常無線網(wǎng)絡(luò)的安全防線處于近乎失靈的狀態(tài)。在美國IT跨國公司和美國網(wǎng)絡(luò)部隊等諸如“棱鏡”項目面前，我軍的基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)幾乎完全處于不設(shè)防狀態(tài)。諸如思科、微軟、英特爾、IBM等IT企業(yè)幾乎完全控制了我國高端IT產(chǎn)品的生產(chǎn)及應(yīng)用。據(jù)Gartner數(shù)據(jù)顯示，Windows系列操作系統(tǒng)在我國市場占有率超過9成，英特爾在微處理器市場上占有率也超過8成，谷歌的安卓操作系統(tǒng)在我國市場占有率達到8成。即使是國產(chǎn)的聯(lián)想、酷派等手機，其核心芯片和操作系統(tǒng)也多是國外生產(chǎn)，使得我國無法從技術(shù)層面根除安全隱患。

2 解決方案：物理層安全技術(shù)和可見光通信技術(shù)

針對目前日常軍隊無線網(wǎng)絡(luò)安全性的問題，本文提出了兩種可行的改進方案，能夠在現(xiàn)有技術(shù)的基礎(chǔ)上，從防止無線信號被偵收和泄漏的角度實現(xiàn)日常狀態(tài)下部隊營區(qū)無線通信的安全保密。

在現(xiàn)有的通信系統(tǒng)中，通信的保密性主要依賴于基于計算密碼學(xué)的加密體制，早在20世紀(jì)初就已有人提出將傳輸?shù)男畔⑴c密鑰取異或的方法來增強信息傳遞的安全性。這種基于密鑰的加密方法首次由Shannon于1949年給出了數(shù)學(xué)的理論分析。假設(shè)發(fā)送者希望把信息M秘密地發(fā)送給接收者，稱M為明文信息。則加密的過程為，在發(fā)送端，發(fā)送者通過密鑰K以及加密算法f對所要傳輸?shù)拿魑腗進行加密，得到密文S。在接收端，接收者通過密鑰K以及與加密算法相應(yīng)的解密算法，我們用f-1標(biāo)記，來進行解密，從而得到明文M。通過對加解密過程的觀察，可以得知，有兩個方法防止竊聽者從竊聽到的S中獲取明文M： 一個是竊聽者不知道密鑰K，另外一個是解密算法非常困難，竊聽者難以在有限的時間用有限的資源進行解密?；谶@兩個方法，延伸出了現(xiàn)代通信系統(tǒng)中非常常見的兩種加密形式，一個是對稱密鑰加密，一個是非對稱密鑰加密。

現(xiàn)代密碼學(xué)的加密體制主要是在物理層之上的幾層來實現(xiàn)的，譬如MAC層、網(wǎng)絡(luò)層、應(yīng)用層等等，故有時也稱基于現(xiàn)代密碼學(xué)的安全為上層安全。物理層對于現(xiàn)代密碼學(xué)加密體制來說是透明的，即物理層安全與上層安全是獨立的。下面分別介紹物理層安全的兩個基礎(chǔ)知識，分別是：竊聽信道模型和安全傳輸速率。竊聽信道模型是物理層安全所研究的基本信道模型，安全傳輸速率是衡量物理層安全系統(tǒng)性能的重要指標(biāo)。

物理層安全主要是利用特殊的信道編碼和無線信道的隨機特性使得秘密通信得以進行，它與現(xiàn)代密碼學(xué)不同之處在于，其安全程度并不依賴于Eve的計算強度，而是依賴無線信道環(huán)境的隨機特性。但是，從保密環(huán)節(jié)上來說，物理層安全與傳統(tǒng)的計算密碼學(xué)的安全卻有著本質(zhì)的相似之處。如圖1所示。物理層安全中的編碼調(diào)制環(huán)節(jié)和信道的隨機性是安全通信的必要條件，正如現(xiàn)代密碼學(xué)體制中的加密算法和密鑰。編碼調(diào)制環(huán)節(jié)是指Alice根據(jù)Alice-Bob和Alice-Eve信道的信道條件，通過獨特的信道編碼來保證Alice與Bob之間安全又可靠的通信。從安全的角度來說，編碼調(diào)制環(huán)境可以被看作現(xiàn)代密碼學(xué)中的加密過程，信息加密后生成的密文記為Xn。密文經(jīng)過無線信道和解調(diào)譯碼可以等同為現(xiàn)代密碼學(xué)中的解密環(huán)節(jié)，其中信道信息{h，g}可以看作公共密鑰，而Bob接收端的噪聲可以看作Bob的私鑰，Eve是沒有辦法獲得的。因此密文通過Bob的無線信道和解調(diào)譯碼，可以被Bob正確地譯碼解密；而此密文通過Eve的無線信道和解調(diào)譯碼，Eve是不能獲得任何信息的。由此可見，雖然物理層安全與傳統(tǒng)的基于現(xiàn)代密碼學(xué)的加密原理是完全不同的，但是它們在實現(xiàn)框架上卻也能夠找到共同點。物理層安全可以看作是以調(diào)制編碼等發(fā)送端的技術(shù)為“加密算法”，充分利用Alice-Bob和Alice-Eve之間無線信道的差異性，把無線信道看作“加密密鑰”，從而使得Alice與Bob之間形成了安全可靠的通信。

物理層安全技術(shù)由于可以獨立于上層而單獨實現(xiàn)秘密通信，因此在無線通信系統(tǒng)中，可以在保證現(xiàn)有上層安全措施不變的情況下，補充物理層傳輸?shù)陌踩?。這使得通信系統(tǒng)的安全性能得到額外一層的保護。另一方面，將物理層安全用來傳輸現(xiàn)代密碼學(xué)中的密鑰，也是增強系統(tǒng)的安全性的一種方法。

從實現(xiàn)的角度講，當(dāng)前傳統(tǒng)的無線路由器等均使用了全向天線進行傳輸，有可能導(dǎo)致無線信號泄漏至營區(qū)外部造成泄密。由于物理層安全技術(shù)方案的存在，除了進行傳統(tǒng)的上層密碼和傳輸加密以外，考慮利用物理層定向天線和波束賦形技術(shù)使得無線信號定向的向營區(qū)內(nèi)部輻射，使得竊聽者獲取的信息量近乎為0，從而進一步降低失泄密的風(fēng)險，這是物理層安全技術(shù)在現(xiàn)有無線網(wǎng)絡(luò)中的應(yīng)用改進。

根據(jù)香農(nóng)公式，假設(shè)發(fā)射端信號表示為：y=hx+z，那么正常接收者bob收到的信號可以表示為：

此時人造噪聲設(shè)計對Bob沒有產(chǎn)生干擾的方向上均勻分布，從而實現(xiàn)了對目標(biāo)用戶的正常信號發(fā)送，但是使得竊聽用戶獲得的干擾最大化，可用信息最小。

可見光通信（Visible Light Communications）是指利用可見光波段的光作為信息載體，不使用光纖等有線信道的傳輸介質(zhì)，而在空氣中直接傳輸光信號的通信方式，簡稱“VLC”。

普通的燈具如白熾燈、熒光燈（節(jié)能燈）不適合當(dāng)作光通信的光源，而LED燈非常適合做可見光通信的光源。可見光通信技術(shù)可以通過LED燈在完成照明功能的同時，實現(xiàn)數(shù)據(jù)網(wǎng)絡(luò)的覆蓋，用戶可以方便地使用自己的手機、平板電腦等移動智能終端接收這些燈光發(fā)送的信息。該技術(shù)可廣泛用于導(dǎo)航定位、安全通信與支付、智能交通管控、智能家居、超市導(dǎo)購、燈箱廣告等領(lǐng)域，特別是在不希望或不可能使用無線電傳輸網(wǎng)絡(luò)的場合比如飛機上、醫(yī)院里更能發(fā)揮它的作用?？梢姽馔ㄐ偶骖櫿彰髋c通信，具有傳輸數(shù)據(jù)率高、安全性強、無電磁干擾、節(jié)能、無需頻譜認證等優(yōu)點，帶寬是Wi-Fi的1萬倍、第四代移動通信技術(shù)的100倍，是理想的室內(nèi)高速無線接人方案之一。

據(jù)美國DAPRA報道，美軍已經(jīng)生產(chǎn)出軍用可見光網(wǎng)絡(luò)及相關(guān)設(shè)備，用于國防部等軍事機關(guān)和設(shè)施的高速無線網(wǎng)絡(luò)通信。由于可見光室內(nèi)傳輸光源直接指向用戶且傳輸距離遠小于傳統(tǒng)的微波無線通信，在不考慮人為主動泄密的情況下，可見光通信信號是無法截獲的，從技術(shù)上為通信的有效性和可靠性提供了強有力的支撐。

圖2給出了微波無線通信和可見光通信之間的比較。對于手機、Wi-Fi等微波無線通信手段，除了目標(biāo)用戶能夠接收到無線信號以外，由于無線電波是全向發(fā)射的，竊聽者完全可以收到相同的信號，從而進行破譯或者攻擊，帶來安全隱患；而可見光通信依賴于室內(nèi)的LED燈具，通常燈具會直接部署在工位上方，而照明具有定向發(fā)射的特點，因此位于營區(qū)外部的竊聽者無法收到任何信號，不能進行竊聽。從實現(xiàn)上講，可見光通信可以方便的利用LED臺燈、屋頂燈等照明燈具，通過加裝調(diào)制解調(diào)模塊即可使得燈具具有高速數(shù)據(jù)傳輸功能，可供營區(qū)內(nèi)臺式機、筆記本電腦、平板電腦等高速無線上網(wǎng)，滿足高清視頻會議等高帶寬需求。

目前，關(guān)于可見光通信在室內(nèi)外各種復(fù)雜環(huán)境下的信道測量與建模的工作還很欠缺，只有少量的研究結(jié)果。尤其是在有強光干擾、煙霧和灰塵遮擋的環(huán)境下的信道干擾模型，更是需要亟待解決的問題。

3 結(jié)論

軍隊作為國家的武裝力量，其信息安全問題尤為重要。在和平時期，如何從技術(shù)手段保證軍隊手機、Wi-Fi等無線通信安全，防止和平時期敵對勢力進行的無線網(wǎng)絡(luò)信號偵收和網(wǎng)絡(luò)攻擊，是當(dāng)前要重點關(guān)注的問題。

篇9

關(guān)鍵詞：醫(yī)療衛(wèi)生行業(yè)；信息安全；等級保護；管理制度

1引言

隨著信息化、數(shù)字化、網(wǎng)絡(luò)化的發(fā)展，大數(shù)據(jù)和換聯(lián)網(wǎng)+也進入了醫(yī)療衛(wèi)生行業(yè)，加快了醫(yī)院信息化的發(fā)展。隨著醫(yī)院業(yè)務(wù)的發(fā)展，醫(yī)院信息系統(tǒng)的應(yīng)用也更加廣泛，醫(yī)院對其依賴性會越來越強，風(fēng)險也隨之會提高。但醫(yī)療服務(wù)的特殊性決定了醫(yī)院信息系統(tǒng)需要24小時不間斷運行，這就對醫(yī)院的信息安全管理提出了更高要求。信息安全管理是指導(dǎo)和控制組織關(guān)于信息安全風(fēng)險相互協(xié)調(diào)的活動，它是了解體系安全狀態(tài)、實現(xiàn)信息安全目標(biāo)的重要關(guān)口，主要包括信息安全風(fēng)險評估、風(fēng)險管理和技術(shù)措施的控制。如何更好地進行信息安全管理成為一個不可忽視的問題，因此，在醫(yī)院信息化建設(shè)的同時加強信息安全管理建設(shè)是解決醫(yī)院信息安全問題的必然選擇。

2我國衛(wèi)生行業(yè)信息安全管理政策

2010年原衛(wèi)生部制定的《衛(wèi)生信息化建設(shè)指導(dǎo)意見與發(fā)展規(guī)劃（2011-2015）》（“十二五”規(guī)劃）明確提出了我國醫(yī)療信息化發(fā)展的藍圖和發(fā)展方向“35212工程”，建設(shè)信息安全體系即是最后一個“2”中的一項。按照《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》（衛(wèi)辦綜函〔2011〕1126號）的要求，三級甲等醫(yī)院應(yīng)于2015年12月30日前全部完成信息安全等級保護建設(shè)整改工作，并通過等級測評。這標(biāo)志著我國衛(wèi)生行業(yè)開始通過信息安全等級保護加強對醫(yī)院信息安全的管理。原衛(wèi)生部、國家中醫(yī)藥管理局在2012年6月15日的《關(guān)于加強衛(wèi)生信息化建設(shè)的指導(dǎo)意見》指出，要加強衛(wèi)生信息安全保障體系建設(shè)，落實國家信息安全等級保護制度。國家衛(wèi)生計生委規(guī)劃信息司在2014中國健康大會上也指出，醫(yī)療衛(wèi)生信息化是國家信息化發(fā)展的重點，已納入“十三五”國家網(wǎng)絡(luò)安全和信息化建設(shè)重點。

3醫(yī)院信息安全管理需求

據(jù)《南方都市報》報道，2008年5月以來，香港連續(xù)爆出泄密事件：先是醫(yī)管局下屬醫(yī)院陸續(xù)發(fā)現(xiàn)患者資料遺失，共涉及1.6萬名患者，此事立刻轟動了全港。2010年5月23日，一張神秘的清單在網(wǎng)上曝光，其中列出了寧波市某醫(yī)院45名醫(yī)生的工號、名字和所屬科室，后面還注明了他們使用藥品氨曲南的數(shù)量和總價，雖然腐敗得到懲戒，大快人心，但所暴露的醫(yī)院的潛在威脅值得警惕。2013年7月，寧波兩家醫(yī)院掛號系統(tǒng)癱瘓事件，同樣也引起了社會各界對醫(yī)院信息系統(tǒng)安全的高度關(guān)注。2015年10月份的澳門山頂醫(yī)院最大泄密事件，患者資料隨街散落，也折射出醫(yī)療衛(wèi)生行業(yè)信息安全問題的嚴(yán)峻性。信息化在給醫(yī)院帶來便利的同時，也帶來了醫(yī)院信息安全的隱患，上述嚴(yán)重的信息安全事件給醫(yī)院的信息安全管理敲響了警鐘。醫(yī)院信息系統(tǒng)承擔(dān)著整個醫(yī)院的內(nèi)外各項業(yè)務(wù)，其安全狀況直接關(guān)乎患者隱私和健康、社會秩序及穩(wěn)定等。加強信息安全、消除信息安全隱患，已經(jīng)成為醫(yī)院當(dāng)前必須要面對的問題。

4醫(yī)院信息安全管理制度的發(fā)展對策

在《信息系統(tǒng)安全等級保護基本要求》和醫(yī)院評審的相關(guān)標(biāo)準(zhǔn)中都提到了信息管理部分，都強調(diào)了信息安全管理，并且都是對醫(yī)院進行此兩方面評審時的重要的評審部分。結(jié)合這兩方面的評審要求，可以分別從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理、系統(tǒng)運行安全管理五個方面，對醫(yī)院信息安全進行管理。

4.1建立完善的總體安全管理制度

醫(yī)院應(yīng)根據(jù)自身的實際情況制訂總信息安全管理制度，總信息安全管理制度是一個醫(yī)院的根本管理制度，規(guī)定醫(yī)院信息安全管理的根本任務(wù)和根本制度，是醫(yī)院信息安全工作的總體方針、總體目標(biāo)、總體原則，是其他信息安全管理制度制訂的依據(jù)和基本要求?？傂畔踩芾碇贫戎袘?yīng)嚴(yán)格明確制度制定與的流程、方式、范圍等，應(yīng)定期組織相關(guān)部門對安全管理制度進行評審與修訂，以滿足醫(yī)院信息化不斷發(fā)展的需要。

4.2應(yīng)建立穩(wěn)固的安全管理機構(gòu)

醫(yī)院應(yīng)根據(jù)總體安全管理制度的基本要求設(shè)置安全管理機構(gòu)和安全管理崗位，并制定《崗位設(shè)置與職責(zé)管理制度》，應(yīng)明確“三員”（系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員）崗位與職責(zé)。醫(yī)院信息安全管理不是某一個部門的職責(zé)，而是全醫(yī)院相關(guān)部門都要參與，從自身做起，從上述某醫(yī)院的信息安全管理機構(gòu)圖來看，信息安全領(lǐng)導(dǎo)小組對醫(yī)院信息安全管理進行定期評審，再由醫(yī)院最高領(lǐng)導(dǎo)的支持，然后直到一線的人員，每個崗位都有明解的崗位職責(zé)，達到穩(wěn)固的管理，責(zé)任到人，能滿足醫(yī)院信息化不斷發(fā)展的需要。

4.3配備專業(yè)的信息化人員，制定完善的員工信息安全管理制度

醫(yī)院人事主管部門，應(yīng)針對醫(yī)院的實際情況例如可制定《人員錄用制度》、《人員離崗制度》、《人員考核制度》、《安全教育和培訓(xùn)制度》、《外部人員參觀訪問制度》等人員工信息安全管理制度。在人員錄用方面應(yīng)按照制度流程對被錄用人員進行資格審查，對于在醫(yī)院從事關(guān)鍵崗位的人員應(yīng)當(dāng)簽署保密協(xié)議等，在離職時應(yīng)按照制度流程辦理離職手續(xù)，例如應(yīng)回收醫(yī)院發(fā)放的各種身份證件、鑰匙、秘鑰并注銷一切其所擁有的信息系統(tǒng)賬號等；在人員考核方面應(yīng)定期對各個崗位的人員進行信息安全技術(shù)及信息安全認知的考核，確保在崗人員都有維護醫(yī)院信息安全的義務(wù)；在人員的安全教育和培訓(xùn)方面，應(yīng)對各類人員定期進行信息安全教育和培訓(xùn)，提高其安全意識，明確責(zé)任和獎懲措施；在外部人員來醫(yī)院參觀訪問方面，應(yīng)用按照制度進行授權(quán)和審批，確保醫(yī)院運行安全。

4.4完善醫(yī)院各類信息系統(tǒng)的建設(shè)，制定切實可行的信息系統(tǒng)安全管理制度

信息化數(shù)字化醫(yī)院建設(shè)只有起點沒有終點，醫(yī)院在各類信息系統(tǒng)建設(shè)方面應(yīng)根據(jù)自身的實際情況，制定完善可行的信息系統(tǒng)建設(shè)規(guī)章，可保障醫(yī)院相關(guān)部門在信息系統(tǒng)建設(shè)過程有據(jù)可依、有規(guī)可循。例如醫(yī)院可制定如下關(guān)于醫(yī)院信息系統(tǒng)建設(shè)的管理制度：《醫(yī)院信息系統(tǒng)定級管理制度》、《醫(yī)院信息系統(tǒng)安全方案設(shè)計管理制度》、《醫(yī)院信息系統(tǒng)產(chǎn)品采購和使用制度》、《醫(yī)院信息系統(tǒng)自行軟件開發(fā)制度》、《醫(yī)院信息系統(tǒng)外包軟件開發(fā)制度》、《醫(yī)院信息系統(tǒng)工程實施管理制度》、《醫(yī)院信息系統(tǒng)測試驗收管理制度》、《醫(yī)院信息系統(tǒng)交付管理制度》等。

4.5制定切實可行的醫(yī)院各類信息系統(tǒng)運行管理制度，滿足醫(yī)院各類業(yè)務(wù)的適時訪問需求

醫(yī)院各類信息系統(tǒng)建設(shè)的目的是為了更好地滿足各類業(yè)務(wù)的需求，保障建設(shè)好的各類信息系統(tǒng)更好的運行。醫(yī)院信息系統(tǒng)管理者應(yīng)從管理方面制定切實可行的管理制度，同時針對不同的醫(yī)院使用人員，制定不同的使用操作手冊，讓醫(yī)院的使用者達到規(guī)范操作，這樣可以大大減少人為誤操作導(dǎo)致的系統(tǒng)故障，方便運維人員對系統(tǒng)的維護。例如醫(yī)院可根據(jù)信息系統(tǒng)的實際情況制定如下運行管理制度：《醫(yī)院信息系統(tǒng)環(huán)境管理制度》、《醫(yī)院信息系統(tǒng)資產(chǎn)管理制度》、《醫(yī)院信息化介質(zhì)管理制度》、《設(shè)備管理制度》、《醫(yī)院網(wǎng)絡(luò)安全管理制度》、《醫(yī)院信息系統(tǒng)安全管理制度》、《醫(yī)院惡意代碼防范管理制度》、《醫(yī)院信息系統(tǒng)密碼管理制度》、《醫(yī)院信息系統(tǒng)備份與恢復(fù)管理制度》、《醫(yī)院信息系統(tǒng)安全事件處置制度》、《醫(yī)院信息系統(tǒng)應(yīng)急預(yù)案管理制度》等。

5總結(jié)

信息化、數(shù)字化醫(yī)院建設(shè)只有起點沒有終點，醫(yī)院信息系統(tǒng)安全伴隨著信息化數(shù)字化醫(yī)院建設(shè)同樣沒有終點。醫(yī)院需要高度重視信息安全管理，制定一套切實可行的信息安全管理制度和措施，才能更好地保證醫(yī)院信息系統(tǒng)安全、高效、穩(wěn)定的運行。

參考文獻：

[1]蔡文濤.淺談醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全[J].中國現(xiàn)代醫(yī)生,2009(32):116-117.

[2]李剛.醫(yī)院信息系統(tǒng)安全管理問題淺析[J].中國管理信息化,2013(1):39.

[3]楊棟,劉立輝,任志剛.醫(yī)院信息安全管理與措施[J].中國醫(yī)療設(shè)備,2011,26(6):70-72.

篇10

關(guān)鍵詞：信息系統(tǒng)；網(wǎng)絡(luò)機房；安全管理

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2014）04-0728-02

許多網(wǎng)絡(luò)設(shè)備、存儲設(shè)備、服務(wù)器以及計算機都在醫(yī)院的網(wǎng)絡(luò)機房中進行運載，那么對醫(yī)院的信息資料進行處理、存儲、管理與傳遞等則是網(wǎng)絡(luò)機房承擔(dān)的重要作用。計算機在我們的日常生活中越來越普及，成為各行各業(yè)都離不開的工具，當(dāng)然醫(yī)院也包括在內(nèi)。對醫(yī)院網(wǎng)絡(luò)機房的安全維護與日常管理的過程中，各式各樣的問題都有可能出現(xiàn)，面臨這種狀況，就要努力把出現(xiàn)的問題解決掉，才能保證醫(yī)院網(wǎng)絡(luò)信息的安全。

1 建立網(wǎng)絡(luò)機房

1.1 建筑裝修方面

考慮到日后機房的安全使用狀況，網(wǎng)絡(luò)機房的裝修就顯得非常重要，對網(wǎng)絡(luò)機房的裝修包括鋪設(shè)抗靜電地板與強弱電管道、安裝微孔回風(fēng)吊頂以及對機房內(nèi)部隔斷、密封、內(nèi)墻、門窗、棚頂?shù)难b修等。

1）地面裝修

對機房這一特殊場所，不僅地面要采取防潮處理，鋪設(shè)的地板通常選用的都是抗靜電活動的。地板下面有單獨設(shè)計的安裝強電與弱電的金屬架，同時，為了防止電磁干擾的出現(xiàn)，都設(shè)有相對應(yīng)的管道來安裝所有設(shè)備的電源線路以及數(shù)據(jù)線路，這樣做又使得日后檢查與維修線路更加方便。

2）棚頂?shù)难b修

為了能夠分割出機房上部空間來設(shè)置通風(fēng)管道，機房的棚頂通常都采用吊頂方式，這樣做還可以安裝燈具或者布置通風(fēng)口等。微孔金屬鋁是大多數(shù)醫(yī)院網(wǎng)絡(luò)機房吊頂?shù)氖走x材質(zhì)，其具有很多方面的優(yōu)點，如防火、防潮、不吸塵、量輕、吸音等，更重要的是使機房上部空間的衛(wèi)生與安全得到保障，同時安裝配套設(shè)施也變得更加便捷。

3）內(nèi)墻的裝修

為了使機房里的設(shè)備能夠正常運行，需要裝修機房的內(nèi)墻，這樣還能為工作在里面的人員提供一個舒適、整潔的大環(huán)境。功能性與美觀性是在裝飾內(nèi)墻時首要考慮的因素，一般選用鋁塑板和彩鋼板等作為裝修材料。當(dāng)內(nèi)墻的裝修材料選用鋁塑板時，能夠使機房內(nèi)墻的表面平滑光整，同時還具有透氣性好、方便清潔，不易起灰，隔熱、保溫等多方面的優(yōu)點。

4）門窗的裝修

網(wǎng)絡(luò)機房的門，一般考慮使用防火防盜門，關(guān)于機房的窗戶，一方面為了保持室內(nèi)溫度，通常采用全密封的雙層玻璃結(jié)構(gòu)，另一方面為了保證機房內(nèi)的財產(chǎn)安全，需要安裝防盜網(wǎng)。為了使整個機房內(nèi)更加直觀、明亮，無框大玻璃門是很多醫(yī)院機房采用的方式，同時使里面的工作人員的視野范圍也更加寬闊。

5）機房的隔斷

計算機的散熱狀況是裝修機房時必須考慮的因素。首先，依據(jù)相關(guān)情況將設(shè)備進行分類，然后采用鋼化玻璃根據(jù)前面的類別數(shù)將機房分割成相應(yīng)的區(qū)域，最后安裝空調(diào)設(shè)備、凈化設(shè)備等來滿足設(shè)備的溫度需求。

1.2 監(jiān)控系統(tǒng)

在安裝機房監(jiān)控系統(tǒng)時，需要考慮以下幾方面的問題：首先，為了與醫(yī)院的保衛(wèi)部門配合一致，錄像的存儲要統(tǒng)一；第二，使工作人員對機房內(nèi)的監(jiān)控更及時、更方便；最后對機房的監(jiān)督要有合理的管理體制，同時能夠有效執(zhí)行。當(dāng)機房有了監(jiān)控系統(tǒng)后，監(jiān)控信號會一并傳達給醫(yī)院監(jiān)控中心與值班室人員，因此在配置監(jiān)控系統(tǒng)攝像機時，夜晚監(jiān)控錄像問題就要考慮在內(nèi)。

2 網(wǎng)絡(luò)安全的防護方法

2.1 網(wǎng)絡(luò)的劃分

整個網(wǎng)絡(luò)分成內(nèi)、外網(wǎng)，兩網(wǎng)之間不連通，并且兩者間設(shè)有防火墻，這種情況下，不僅能夠很好的對數(shù)據(jù)流進行監(jiān)控、過濾、記錄與報告等功能，還能夠防止內(nèi)部與外部網(wǎng)絡(luò)之間相互聯(lián)系。醫(yī)院的計算機有上網(wǎng)需求的都掛在外網(wǎng)上，外面的用戶訪問到的信息也是部分指定可以公開的；相對來說重要的信息都裝在內(nèi)部網(wǎng)絡(luò)上，并且內(nèi)網(wǎng)計算機是不允許上網(wǎng)的。

2.2 防治網(wǎng)絡(luò)病毒

現(xiàn)在的網(wǎng)絡(luò)病毒不僅種類多，傳播速度也是十分迅速的，那么醫(yī)院計算機網(wǎng)絡(luò)的安全就會受到威脅，當(dāng)計算機中了病毒，輕者會使某些功能不能使用，嚴(yán)重的會導(dǎo)致計算機多個系統(tǒng)癱瘓。因此為了防止電腦中病毒，就需要給網(wǎng)絡(luò)機房中的每臺電腦安裝金山、瑞星等正版殺毒軟件，并實時更新這些軟件，同時對所有病毒預(yù)防系統(tǒng)借助控制臺來進行統(tǒng)一管理。當(dāng)運行一個新軟件時，首先要對此軟件進行檢查看是否帶有病毒，最好用殺毒軟件先進行掃描，安全后再使用。

2.3 對硬盤的維護

硬盤是操作系統(tǒng)、軟件以及數(shù)據(jù)唯一的載體，因此要定時對硬盤進行系統(tǒng)垃圾清理與碎片整理，維護最少每月進行一次。然而電腦表面的干凈也很重要，否則硬盤的散熱會出現(xiàn)問題，從而引發(fā)故障。與此同時，不能隨意搬動計算機，特別是硬盤工作時，否則會使硬盤在移動中受到損傷，產(chǎn)生文件丟失的后果。鑒于以上情況，要及時備份那些重要的文件，并且考慮到硬盤的使用壽命，應(yīng)避免經(jīng)常開關(guān)機或者格式化硬盤。

2.4 監(jiān)測系統(tǒng)

網(wǎng)絡(luò)的監(jiān)測系統(tǒng)要能夠做到尋找安全漏洞快速準(zhǔn)確，并能及時報警，這樣就能最大限度的消除安全隱患、更新安全漏洞。同時，檢測系統(tǒng)不僅要全面監(jiān)測服務(wù)器、網(wǎng)絡(luò)及業(yè)務(wù)，并且要動態(tài)監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)流，當(dāng)攻擊行為被檢查出時，還要做出響應(yīng)，然后采用合理、有效的防治措施。

3 對網(wǎng)絡(luò)機房的管理

3.1 建立機房規(guī)章制度

把責(zé)任具體到個人，是實現(xiàn)更好管理網(wǎng)絡(luò)機房的保障，一旦出現(xiàn)問題就能夠直接找到相應(yīng)負責(zé)人，避免責(zé)任的推卸。操作權(quán)限規(guī)定與規(guī)章制度是要求所有工作人員都要遵守的，為了防止文件數(shù)據(jù)的丟失，與機房沒有關(guān)系的人是不允許訪問服務(wù)器的。重要的是專管服務(wù)器的工作人員一定要將保密工作做好，定時更換操作口令，絕不能將其透露給任何人。

3.2 電源的管理

計算機用電與市電存在一定差距，一般使用 220V 單相交流電為計算機供電，因此為了使計算機能夠維持正常工作，就要用交流穩(wěn)壓電源不間斷地對其進行充電。依據(jù)網(wǎng)絡(luò)服務(wù)器的數(shù)目，計算出所需 UPS 功率，要求 UPS 至少能夠?qū)C房連續(xù)提供半小時甚至更長的時間，與此同時，為了避免意外狀況，網(wǎng)絡(luò)機房也要有自己的發(fā)電機作為備用。

3.3 機房內(nèi)部環(huán)境的管理

機房空間的安全保障是首要考慮的，同時要盡可能的寬敞，服務(wù)器需放在彼此之間留有空隙的機柜里。其次，也要注意機房內(nèi)的溫度，因為服務(wù)器的正常工作需要一個合適的溫度范圍，如果過高，就會導(dǎo)致某些元器件不能正常工作，因此，空調(diào)的安裝顯得十分必要，機房內(nèi)部標(biāo)準(zhǔn)溫度一般控制在 22℃上下，波動幅度不宜超過 2℃。同樣，合適的濕度也是十分重要的，最好控制在 25% 到 65% 。機房內(nèi)部還要安裝避雷系統(tǒng)、火災(zāi)監(jiān)測系統(tǒng)等，并且設(shè)有網(wǎng)絡(luò)機房的大樓，一定要設(shè)置防雷設(shè)備。

4 結(jié)束語

面對復(fù)雜的醫(yī)院網(wǎng)絡(luò)機房，機房內(nèi)各個系統(tǒng)間就要做到相互聯(lián)系、相互配合，這樣才能保護機房設(shè)備。在機房的日常管理與維護過程中，遇到問題要視具體情況采取應(yīng)對措施，并很好的解決。同時網(wǎng)絡(luò)機房的安全是至關(guān)重要的，這也關(guān)系到機房能否正常進行工作。對醫(yī)院網(wǎng)絡(luò)機房我們要做到安排合理、安裝準(zhǔn)確、維護及時、管理有效，這樣才能使網(wǎng)絡(luò)機房的作用真正的發(fā)揮出來，進而很好的幫助醫(yī)院進行工作。

參考文獻：

[1] 王蓓.醫(yī)院計算機中心機房的設(shè)計與建設(shè)[J].信息與電腦：理論版， 2010（11）.

[2] 朱瑞芳.淺談高校機房管理人員必需掌握的技能[J].信息與電腦：理論版， 2011（5） .

[3] 陸侃.數(shù)據(jù)中心機房系統(tǒng)設(shè)計[J].現(xiàn)代建筑電氣， 2010（11） .

[4] 楊海瑞.淺談機房使用GHOST恢復(fù)系統(tǒng)的方法[J].河套大學(xué)學(xué)報，2009（4） .

[5] 邱坤.網(wǎng)絡(luò)在學(xué)院機房的管理中的應(yīng)用[J].科技信息，2010（17）.

[6] 許利軍，鮑合晶.機房節(jié)能降耗技術(shù)淺析[J].電腦知識與技術(shù)， 2013（25）.

[7] 丁鐵.高職院校開放型公共機房運行機制探討與實踐——以中山職業(yè)技術(shù)學(xué)院為例[J].電腦知識與技術(shù)，2013（25）.