摘 要 隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)安全的地位越來越高�；ヂ�(lián)網(wǎng)應(yīng)用越來越多，信息量成井噴式爆發(fā)，做好數(shù)據(jù)安全和網(wǎng)絡(luò)安全工作將是各個(gè)單位和企業(yè)的重要戰(zhàn)略目標(biāo)。在醫(yī)院信息化建設(shè)過程中同樣面臨網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)，因此本文從四川大學(xué)華西第二醫(yī)院實(shí)際出發(fā)，將網(wǎng)絡(luò)安全的思考和實(shí)際應(yīng)用進(jìn)行討論。
　　關(guān)鍵詞 互聯(lián)網(wǎng)，網(wǎng)絡(luò)安全，數(shù)據(jù)安全，醫(yī)院信息化
　　引言
　　隨著我國(guó)醫(yī)療信息化的快速發(fā)展，醫(yī)院信息化不僅僅局限在物理隔離的院內(nèi)，各醫(yī)學(xué)領(lǐng)域?yàn)榱颂嵘��?jìng)爭(zhēng)力，方便患者就醫(yī)，逐步完善將銀行、社保、新農(nóng)保等單位互聯(lián)互通，醫(yī)院信息化建設(shè)正邁入高速發(fā)展的快車道，但在為廣大就醫(yī)人群提供便捷的同時(shí)也逐漸暴露出了安全建設(shè)的不足，醫(yī)療信息系統(tǒng)本身所隱藏的巨大安全隱患也越來越受到人們的重視[1]。本文主要從網(wǎng)絡(luò)安全的三層防御機(jī)制和本院從安全性設(shè)計(jì)上進(jìn)行討論。
　　1 三層防御機(jī)制
　　為了保障四川大學(xué)第二醫(yī)院每個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性，以及院區(qū)網(wǎng)站、服務(wù)器和存儲(chǔ)數(shù)據(jù)不受到外來網(wǎng)絡(luò)或內(nèi)部的人員的入侵、攻擊和篡改等。本次需要從網(wǎng)絡(luò)控制、數(shù)據(jù)轉(zhuǎn)發(fā)、設(shè)備管理三個(gè)方向進(jìn)行安全防御，嚴(yán)格授權(quán)訪問操作權(quán)限，確保網(wǎng)絡(luò)信息安全和用戶數(shù)據(jù)安全。
　　1.1 網(wǎng)絡(luò)控制層面
　　使用可MD5加密的路由協(xié)議，禁止在協(xié)議部署范圍外發(fā)布承載協(xié)議的網(wǎng)段地址，禁止使用（IPV6）鏈路本地地址建協(xié)議鄰居；使用ACL、前綴列表、路由策略等手段控制外部路由滲入滲出，并使能日志記錄功能，確保每次變更操作記錄在冊(cè)。
　　1.2 數(shù)據(jù)轉(zhuǎn)發(fā)層面
　　外網(wǎng)攻擊常見有DDOS攻擊，端口掃描，病毒攻擊、文件篡改等；內(nèi)網(wǎng)常見攻擊有ARP攻擊、廣播風(fēng)暴、端口安全，用戶攻擊。
　　1.3 設(shè)備管理層面
　　嚴(yán)格控制管理設(shè)備的接入地址，登賬號(hào)權(quán)限，配置賬號(hào)生命周期、密碼生命周期、密碼更改提示等（條件允許可以采用靜態(tài)賬號(hào)+動(dòng)態(tài)口令方式登錄），提醒網(wǎng)絡(luò)管理員定時(shí)更新賬號(hào)信息，對(duì)于臨時(shí)管理員應(yīng)有臨時(shí)賬號(hào)，使用完畢后即時(shí)注銷[2]。設(shè)備登錄禁止使用HTTP協(xié)議和TELNET協(xié)議，使用更加安全協(xié)議HTTPS和SSH協(xié)議，核心數(shù)據(jù)操作一定要做到層層授權(quán)，確保操作流程和操作過程可查，禁止全網(wǎng)使用相同賬號(hào)和密碼管理設(shè)備。
　　2 安全性設(shè)計(jì)
　　四川大學(xué)華西第二醫(yī)院錦江院區(qū)從以下幾個(gè)大的方面進(jìn)行了安全性設(shè)計(jì)和實(shí)際應(yīng)用。
　　2.1 訪問控制列表
　　訪問控制列表ACL（Access Control List）是由一系列規(guī)則組成的集合，ACL通過這些規(guī)則對(duì)報(bào)文進(jìn)行分類，從而使設(shè)備可以對(duì)不同類報(bào)文進(jìn)行不同的處理。通過部署ACL可以切實(shí)保障了網(wǎng)絡(luò)傳輸?shù)姆�(wěn)定性、可靠性和安全性。ACL負(fù)責(zé)管理用戶配置的所有規(guī)則，并提供報(bào)文匹配規(guī)則的算法。每個(gè)ACL作為一個(gè)規(guī)則組，可以包含多個(gè)規(guī)則。每個(gè)規(guī)則通過規(guī)則ID（rule-id）來標(biāo)識(shí)，根據(jù)ACL的“permit”（允許）動(dòng)作和“deny”（拒絕）動(dòng)作執(zhí)控制數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、管理數(shù)據(jù)的控制實(shí)現(xiàn)以下功能。防止對(duì)網(wǎng)絡(luò)的攻擊，例如IP（Internet Protocol）報(bào)文、TCP（Transmission Control Protocol）報(bào)文、ICMP（Internet Control Message Protocol）報(bào)文的攻擊。
　　2.2 反病毒技術(shù)
　　隨著網(wǎng)絡(luò)的不斷發(fā)展和應(yīng)用程序的日新月異，企業(yè)用戶越來越頻繁地開始在網(wǎng)絡(luò)上傳輸和共享文件，隨之而來的病毒威脅也越來越大。企業(yè)只有拒病毒于網(wǎng)絡(luò)之外，才能保證數(shù)據(jù)的安全，系統(tǒng)的穩(wěn)定。因此，保證計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)免受病毒的侵害，讓系統(tǒng)正常運(yùn)行便成為企業(yè)所面臨的一個(gè)重要問題。反病毒是一種安全機(jī)制，它可以通過識(shí)別和處理病毒文件來保證網(wǎng)絡(luò)安全，避免由病毒文件而引起的數(shù)據(jù)破壞、權(quán)限更改和系統(tǒng)崩潰等情況的發(fā)生。反病毒功能可以憑借龐大且不斷更新的病毒特征庫有效地保護(hù)網(wǎng)絡(luò)安全，防止病毒文件侵害系統(tǒng)數(shù)據(jù)。將病毒檢測(cè)設(shè)備部署在企業(yè)網(wǎng)的入口，可以真正將病毒抵御于網(wǎng)絡(luò)之外，為企業(yè)網(wǎng)絡(luò)提供了一個(gè)堅(jiān)固的保護(hù)層。反病毒典型應(yīng)用場(chǎng)景如圖：
　　2.3 反病毒技術(shù)
　　攻擊防范是一種重要的網(wǎng)絡(luò)安全特性。它通過分析上送CPU處理的報(bào)文的內(nèi)容和行為，判斷報(bào)文是否具有攻擊特性，并配置對(duì)具有攻擊特性的報(bào)文執(zhí)行一定的防范措施。攻擊防范主要分為畸形報(bào)文攻擊防范、分片報(bào)文攻擊防范和泛洪攻擊防范。特別是對(duì)網(wǎng)絡(luò)設(shè)備的攻擊，將會(huì)導(dǎo)致設(shè)備或者網(wǎng)絡(luò)癱瘓等嚴(yán)重后果。攻擊防范針對(duì)上送CPU的不同類型攻擊報(bào)文，采用丟棄或者限速的手段，以保障設(shè)備不受攻擊的影響，使業(yè)務(wù)正常運(yùn)行。
　　2.4 流量抑制及風(fēng)暴控制
　　當(dāng)設(shè)備某個(gè)二層以太接口收到廣播、未知組播或未知單播報(bào)文時(shí)，如果根據(jù)報(bào)文的目的MAC地址設(shè)備不能明確報(bào)文的出接口，設(shè)備會(huì)向同一VLAN內(nèi)的其他二層以太接口轉(zhuǎn)發(fā)這些報(bào)文，這樣可能導(dǎo)致廣播風(fēng)暴，降低設(shè)備轉(zhuǎn)發(fā)性能。流量抑制和風(fēng)暴控制是兩種用于控制廣播、未知組播以及未知單播報(bào)文，防止這三類報(bào)文引起廣播風(fēng)暴的安全技術(shù)。流量抑制主要通過配置閾值來限制流量，而風(fēng)暴控制則主要通過關(guān)閉端口來阻斷流量。引入流量抑制和風(fēng)暴控制特性，可以控制這三類報(bào)文流量，防范廣播風(fēng)暴。
　　3 結(jié)束語
　　進(jìn)入21世紀(jì)，隨著信息化建設(shè)和IT技術(shù)的快速發(fā)展，各種網(wǎng)絡(luò)技術(shù)的應(yīng)用更加廣泛深入，同時(shí)出現(xiàn)很多網(wǎng)絡(luò)安全問題，致使網(wǎng)絡(luò)安全技術(shù)的重要性更加突出，網(wǎng)絡(luò)安全已經(jīng)成為各國(guó)關(guān)注的焦點(diǎn)，不僅關(guān)系到機(jī)構(gòu)和個(gè)人用戶的信息資源和資產(chǎn)風(fēng)險(xiǎn)，也關(guān)系到國(guó)家安全和社會(huì)穩(wěn)定，已成為熱門研究和人才需求的新領(lǐng)域。必須在法律、管理、技術(shù)、道德各方面采取切實(shí)可行的有效措施，才能確保網(wǎng)絡(luò)建設(shè)與應(yīng)用“又好又快”地穩(wěn)定發(fā)展。因此各行各界都應(yīng)該對(duì)網(wǎng)絡(luò)安全重視起來。
　　參考文獻(xiàn)
　　[1] 周丁華，呂曉娟，張麟等.數(shù)字化醫(yī)院信息安全建設(shè)與管理策略[J].中華醫(yī)學(xué)圖書情報(bào)雜志，2015，24（6）：62-65.
　　[2] 任玉嶺.中國(guó)醫(yī)療改革回顧與展望[J].中國(guó)市場(chǎng)，2014，（36）：3-11.
　　作者簡(jiǎn)介
　　王梓名（1987-），男，漢，四川成都人，碩士研究生，四川大學(xué)華西第二醫(yī)院，研究方向：云計(jì)算、醫(yī)院信息管理。
　　何毅（1987-），男，漢，四川成都人，碩士研究生，四川大學(xué)華西第二醫(yī)院，研究方向：醫(yī)院網(wǎng)絡(luò)管理、信息安全。

相關(guān)熱詞搜索：網(wǎng)絡(luò)安全 重要作用 信息化 醫(yī)院 建設(shè)中