網(wǎng)絡(luò)信息安全需求分析演示教學(xué)

1、文檔編碼 : CE10E1C4Z8F10 HO9V8V3V5I10 ZL7B5I3Q2N9網(wǎng)絡(luò)信息安全需求分析隨著醫(yī)院信息化建設(shè)步伐的不斷加快,信息網(wǎng)絡(luò)技術(shù)在醫(yī)療行業(yè)的應(yīng)用日趨廣泛 ,這些先進(jìn)的技術(shù)給醫(yī)院的治理帶來了前所未有的便利 ,也提升了醫(yī)院的治理質(zhì)量和服務(wù)水平 ,同時醫(yī)療業(yè)務(wù)對行業(yè)信息和數(shù)據(jù)的依靠程度也越來越高 ,也帶來了不行忽視的網(wǎng)絡(luò)系統(tǒng)安全問題 ,本文主要從網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及對應(yīng)用系統(tǒng)中數(shù)據(jù)的愛惜 ,不受破壞、更換、泄露 ,系統(tǒng)連續(xù)牢靠、正常地運(yùn)行 ,網(wǎng)絡(luò)服務(wù)不中斷等方面探討醫(yī)院網(wǎng)絡(luò)信息安全的需求；醫(yī)療業(yè)務(wù)對行業(yè)信息和數(shù)據(jù)的依靠程度越來越高 統(tǒng)安全問題 ,現(xiàn)分析如下 : 一、網(wǎng)絡(luò)

2、安全建設(shè)內(nèi)容,帶來了不行忽視的網(wǎng)絡(luò)系在醫(yī)院信息網(wǎng)絡(luò)建設(shè)中 ,網(wǎng)絡(luò)安全體系是確保其安全牢靠運(yùn)行的重要支柱 ,能否有效地愛惜信息資源 ,愛惜信息化健康、有序、可連續(xù)地進(jìn)展 ,是關(guān)系到醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)成敗的關(guān)鍵；保證網(wǎng)絡(luò)信息安全 ,要防止來自外部的惡意攻擊和內(nèi)部的惡意破壞；運(yùn)用網(wǎng)絡(luò)的安全策略 ,實(shí)行統(tǒng)一的身份認(rèn)證和基于角色的拜望把握；醫(yī)院運(yùn)算機(jī)網(wǎng)絡(luò)供應(yīng)統(tǒng)一的證書治理、全；證書查詢驗(yàn)證服務(wù)及網(wǎng)絡(luò)環(huán)境的安建立和完善統(tǒng)一的授權(quán)服務(wù)體系,實(shí)現(xiàn)靈敏有效的授權(quán)治理,解決復(fù)雜的權(quán)限拜望把握問題；通過日志系統(tǒng)對用戶的操作進(jìn)行記錄；二、網(wǎng)絡(luò)安全體系建設(shè)網(wǎng)絡(luò)安全體系建設(shè)應(yīng)從多個層次完整地、全方位地對醫(yī)院的信息網(wǎng)絡(luò)及應(yīng)

3、用情形進(jìn)行分析 ,所制定的安全機(jī)制基本包括了對各種安全隱患的考慮 ,從而愛惜關(guān)鍵業(yè)務(wù)系統(tǒng)的正常運(yùn)行 ,把握內(nèi)網(wǎng)用戶接入 ,防止患者電子信息以及醫(yī)院重要數(shù)據(jù)的泄密；如圖 1；2.1 物理設(shè)備安全需求即使應(yīng)用了功能最強(qiáng)大的安全軟件 ,假如沒有留意物理安全 ,會大大地破壞系統(tǒng)安全的整體性 ,攻擊者會通過物理接觸系統(tǒng)來達(dá)到破壞的目的 ,因此 ,物理安全是安全策略中最為關(guān)鍵的一步；設(shè)備和操作系統(tǒng)都供應(yīng)了通過物理接觸繞過現(xiàn)有密碼的功能；機(jī)房內(nèi)各服務(wù)器和網(wǎng)絡(luò)設(shè)備均放置在上鎖的機(jī)柜中 時要在中心機(jī)房安裝視頻監(jiān)視設(shè)備進(jìn)行監(jiān)控；,鑰匙專人負(fù)責(zé)保管 ,同網(wǎng)絡(luò)整體要部署防雷系統(tǒng) ,機(jī)房要有防靜電地板 ,配線間留意散熱

4、且定期進(jìn)行除塵工作；主要網(wǎng)絡(luò)設(shè)備可以接受雙路供電或者安裝 UPS；2.2 口令安全需求網(wǎng)絡(luò)設(shè)備口令一律不接受缺省值 ,長度至少是 8 位,接受字母和數(shù)字的組合且其中至少包含兩個特殊字符；醫(yī)院信息系統(tǒng)如 HIS、LIS、PACS、CIS 對于醫(yī)院一般用戶的帳號 ,要求密碼應(yīng)包含字母、特殊字符和數(shù)字；對于重要部門或者崗位操作人員的系統(tǒng)密碼要提示其定期檢查和更換；網(wǎng)絡(luò)設(shè)備的 SNMP 通信字串和口令具有同樣的重要性 ,也應(yīng)當(dāng)遵循和口令要求相同的原就 ,建議接受 SNMP探測功能進(jìn)行弱 SNMP 通信字串的檢測；2.3 傳輸安全需求醫(yī)院網(wǎng)絡(luò)基礎(chǔ)建設(shè)中接受的 VPN 技術(shù)可以從最底層確保安全 4, 既可

5、防止其他網(wǎng)絡(luò)的用戶未經(jīng)授權(quán)使用醫(yī)院信息網(wǎng)絡(luò)的信息資源 ,也可防止本網(wǎng)絡(luò)的用戶進(jìn)入其他的網(wǎng)絡(luò)； 為了保證醫(yī)院關(guān)鍵業(yè)務(wù)應(yīng)用 24 小時不間斷地運(yùn)行 ,部分重要科室應(yīng)設(shè)計(jì)為冗余的網(wǎng)絡(luò)鏈路；如圖 1 示:門診收費(fèi)處、住院收費(fèi)處等關(guān)鍵科室匯聚層交換機(jī)互為冗余 ,從而最大限度地防止了單點(diǎn)傳輸故障造成的業(yè)務(wù)系統(tǒng)崩潰；2.4 網(wǎng)絡(luò)通信安全需求2.4.1 防火墻應(yīng)用醫(yī)院運(yùn)算機(jī)網(wǎng)絡(luò)需要與Internet 外網(wǎng)進(jìn)行互聯(lián) ,這種互聯(lián)方式面臨多種安全威逼 ,會受到外界的探測與攻擊；防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描 5, 這樣能夠過濾掉一些來自 Internet 的攻擊 ,如拒絕服務(wù)攻擊 DoS,阻擋 ActiveX 、

6、Java、Cookies、Javas cript侵入；通過防火墻的病毒掃描和內(nèi)容過濾功能可以防止惡意腳本在目標(biāo)運(yùn)算機(jī)上被執(zhí)行；防火墻仍可以關(guān)閉不使用的端口 ,而且它仍能禁止特定端口的流出通信 ,封鎖特洛伊木馬 ,禁止來自特殊站點(diǎn)的拜望 ,從而防止來自不明入侵者的全部通信；2.4.2 IDS 系統(tǒng)應(yīng)用IDS入侵檢測系統(tǒng) 針對醫(yī)院網(wǎng)絡(luò)中的各種病毒和攻擊 ,進(jìn)行有效的檢測 ,依照確定的安全策略 ,對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視,從而供應(yīng)入侵實(shí)時警告；通過 IDS 與防火墻的聯(lián)動 ,可以更有效地阻斷所發(fā)生的攻擊大事 ,同時也可以加強(qiáng)網(wǎng)絡(luò)的安全治理 ,保證主機(jī)資源不受來自內(nèi)、外部網(wǎng)絡(luò)的安全威逼；2.4.

7、3 VLAN 劃分治理在一個交換網(wǎng)絡(luò)中 ,VLAN供應(yīng)了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制；利用虛擬網(wǎng)絡(luò)技術(shù) ,可以大大減輕醫(yī)院網(wǎng)絡(luò)治理和愛惜工作的負(fù)擔(dān) ,也有效地從物理層防止了廣播風(fēng)暴 ,防止網(wǎng)絡(luò)病毒的擴(kuò)散；2.5 網(wǎng)絡(luò)防病毒體系 在醫(yī)院運(yùn)算機(jī)網(wǎng)絡(luò)中 ,由于設(shè)計(jì)的范疇比較廣 ,部門又多 ,通信比較頻繁 ,很容 易導(dǎo)致病毒的泛濫 ,對系統(tǒng)文件、數(shù)據(jù)庫等造成不行推測的破壞；面對日益復(fù)雜的網(wǎng)絡(luò)環(huán)境 ,網(wǎng)絡(luò)防病毒應(yīng)不只是一個單純的系統(tǒng) 系,包括如下幾個方面的內(nèi)容；2.5.1 網(wǎng)絡(luò)防病毒中心,而應(yīng)是一個聯(lián)動相互協(xié)作的體一旦病毒入侵系統(tǒng)或者從系統(tǒng)向其他資源感染 ,網(wǎng)絡(luò)防病毒軟件會立刻檢測 到并加以刪除；此外 ,網(wǎng)

8、絡(luò)防病毒軟件仍能夠防止病毒對網(wǎng)絡(luò)操作系統(tǒng)本身的攻 擊,如某些針對 Windows 系統(tǒng)、Unix 系統(tǒng)的病毒； 醫(yī)院運(yùn)算機(jī)網(wǎng)絡(luò)建立網(wǎng)絡(luò)防病 毒系統(tǒng)時應(yīng)考慮集中治理和自動下載、更新以及分發(fā)病毒庫等；2.5.2 網(wǎng)絡(luò)分析中心通過部署專業(yè)的網(wǎng)絡(luò)分析軟件能夠在各種網(wǎng)絡(luò)環(huán)境中 ,對網(wǎng)絡(luò)中全部傳輸?shù)?數(shù)據(jù)進(jìn)行檢測、分析、診斷 ,形成拓?fù)鋷兔τ脩襞懦W(wǎng)絡(luò)事故 ,規(guī)避安全風(fēng)險 ,提高 網(wǎng)絡(luò)性能 ,增大網(wǎng)絡(luò)可用性價值；醫(yī)院不用再擔(dān)憂網(wǎng)絡(luò)事故難以解決 ,網(wǎng)絡(luò)分析系統(tǒng)可以把網(wǎng)絡(luò)故障和安全風(fēng)險會降到最低 2.5.3 SUS服務(wù)中心,找到網(wǎng)絡(luò)瓶頸逐步提升網(wǎng)絡(luò)性能；Software Update ServicesSUS可

9、以幫忙基于 Microsoft 用戶快速部署最新的重要更新和安全更新；通過使用方案發(fā)布的SUS,治理員可以完全把握治理通過Windows Update發(fā)布給網(wǎng)絡(luò)中運(yùn)算機(jī)的更新分發(fā) 和修復(fù)安全漏洞；,從而統(tǒng)一更新全網(wǎng)主機(jī)的補(bǔ)丁2.5.4 桌面治理中心通過部署集中的局域網(wǎng)桌面治理軟件,愛惜終端操作系統(tǒng)的安全,對局域網(wǎng)進(jìn)行有效監(jiān)控治理就顯得特殊必要 能如下 : ,也可大大降低愛惜工作量；桌面治理軟件的功把握網(wǎng)絡(luò)主機(jī)的USB、光驅(qū)、軟驅(qū)等常見的硬件接口,能夠阻斷病毒傳播途經(jīng)；把握用戶主機(jī)使用或者安裝非法軟件,能夠遠(yuǎn)程檢測終端主機(jī)的界面,便利治理；對不良網(wǎng)站進(jìn)行嚴(yán)格限制 網(wǎng)絡(luò)帶寬；2.6 儲備以及數(shù)據(jù)安全,禁止終端主機(jī)拜望 ,禁止 BT 以及 P2P 軟件占用醫(yī)療業(yè)務(wù)系統(tǒng) 24 小時不間斷運(yùn)行需要對儲備以及數(shù)據(jù)進(jìn)行有效的愛惜 ,目前 ,多數(shù)醫(yī)院已經(jīng)部署了基于 Fibre ChannelFC技術(shù)的 SANstorage area network存儲系統(tǒng) ,集中治理與整合儲存設(shè)備資源；SAN 解決方案中 ,你可以得到一個完全冗余的儲備網(wǎng)絡(luò) ,SAN 具有不同平常的擴(kuò)展性 ,通過數(shù)據(jù)權(quán)限治理、 數(shù)據(jù)復(fù)制、備份、容災(zāi)等技術(shù)確儲儲備數(shù)據(jù)的安全；三、安全治理安全體系的建立和愛惜需要有良好的治理制度和很高的安全意識來保證；安 全意識可以通過安全常識培訓(xùn)來提高 ,行為的約束只能通過嚴(yán)