張海霞 王 瑜 李華偉

（山東省泰安市中心醫(yī)院信息中心，山東 泰安 271000）

1 我院網(wǎng)絡(luò)現(xiàn)行狀況

我院計算機網(wǎng)絡(luò)現(xiàn)分為兩大部分：外網(wǎng)部分通過路由器上聯(lián)互聯(lián)網(wǎng)，有近400臺工作站；內(nèi)網(wǎng)部分下聯(lián)各科室及業(yè)務(wù)數(shù)據(jù)服務(wù)器以及市醫(yī)保處專網(wǎng)，有25臺服務(wù)器，近1000臺工作站。

2 現(xiàn)在網(wǎng)絡(luò)存在的問題

外網(wǎng)部分由于受網(wǎng)絡(luò)蠕蟲病毒（如ARP類病毒）侵害，目前采用撥號方式上網(wǎng)，但在這種情況下無法搭建統(tǒng)一的OA辦公平臺。

外網(wǎng)部分沒有做Vlan劃分的規(guī)劃，一旦網(wǎng)絡(luò)蠕蟲病毒爆發(fā)，容易造成大面積的網(wǎng)絡(luò)問題。

內(nèi)網(wǎng)部分科室機器以后需同時能連接互聯(lián)網(wǎng)上傳疫情，這會給內(nèi)網(wǎng)帶來較大風險。

內(nèi)網(wǎng)部分需開拓多臺與社保通信（市醫(yī)保網(wǎng)）的系統(tǒng)平臺，包括多個終端及服務(wù)器，這些機器同時連入內(nèi)網(wǎng)，給內(nèi)網(wǎng)帶來潛在風險。

內(nèi)網(wǎng)部分存在重要業(yè)務(wù)系統(tǒng)，對業(yè)務(wù)連續(xù)性要求很高，然而隨著網(wǎng)絡(luò)規(guī)模的擴大給業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)帶來更多的威脅，因而網(wǎng)絡(luò)中缺乏一種對多網(wǎng)絡(luò)風險進行監(jiān)控的措施。

3 網(wǎng)絡(luò)安全解決辦法

根據(jù)《計算機信息系統(tǒng)安全保護等級劃分準則》，我院應(yīng)屬于等級保護的第二級，按照第二級基本要求（包括技術(shù)要求和管理要求）和我院現(xiàn)在網(wǎng)絡(luò)存在的問題，在功能上與管理上的需求如下：

完整性：網(wǎng)絡(luò)安全建設(shè)必需保證整個防御體系的完整性。一個較好的安全措施往往是多種方法適當綜合的應(yīng)用結(jié)果。單一的安全產(chǎn)品對安全問題的發(fā)現(xiàn)處理控制等能力各有優(yōu)劣，從安全性的角度考慮需要不同安全產(chǎn)品之間的安全互補，通過這種對照、比較，可以提高系統(tǒng)對安全事件響應(yīng)的準確性和全面性。

經(jīng)濟性：根據(jù)保護對象的價值、威脅以及存在的風險，制定保護策略，使得系統(tǒng)的安全和投資達到均衡，避免低價值對象采用高成本的保護，反之亦然。

動態(tài)性：隨著網(wǎng)絡(luò)脆弱性的改變和威脅攻擊技術(shù)的發(fā)展，使網(wǎng)絡(luò)安全變成了一個動態(tài)的過程，靜止不變的產(chǎn)品根本無法適應(yīng)網(wǎng)絡(luò)安全的需要。所選用的安全產(chǎn)品必須及時地、不斷地改進和完善，及時進行技術(shù)和設(shè)備的升級換代，只有這樣才能保證系統(tǒng)的安全性。

專業(yè)性：攻擊技術(shù)和防御技術(shù)是網(wǎng)絡(luò)安全的一對矛盾體，兩種技術(shù)從不同角度不斷地對系統(tǒng)的安全提出了挑戰(zhàn)，只有掌握了這兩種技術(shù)才能對系統(tǒng)的安全有全面的認識，才能提供有效的安全技術(shù)、產(chǎn)品、服務(wù)，這就需要從事安全的公司擁有大量專業(yè)技術(shù)人才，并能長期的進行技術(shù)研究、積累，從而全面、系統(tǒng)、深入的為用戶提供服務(wù)。

可管理性：由于國內(nèi)的一些企業(yè)獨有的管理特色，安全系統(tǒng)在部署的時候也要適合這種管理體系，如分布、集中、分級的管理方式在一個系統(tǒng)中同時要求滿足。

標準性：遵守國家標準、行業(yè)標準以及國際相關(guān)的安全標準，是構(gòu)建系統(tǒng)安全的保障和基礎(chǔ)。

可控性：系統(tǒng)安全的任何一個環(huán)節(jié)都應(yīng)有很好的可控性，他可以有效的保證系統(tǒng)安全在可以控制的范圍，而這一點也是安全的核心。這就要求對安全產(chǎn)品本身的安全性和產(chǎn)品的可客戶化。

易用性：安全措施要由人來完成，如果措施過于復(fù)雜，對人的要求過高，一般人員難以勝任，有可能降低系統(tǒng)的安全性。

4 遵循以上原則，我院通過物理安全和網(wǎng)絡(luò)安全方面作了以下防護。

物理安全防護：首先我們進行的VLAN的劃分，在內(nèi)外網(wǎng)都進行了全網(wǎng)的VLAN規(guī)劃。這樣在不同業(yè)務(wù)系統(tǒng)VLAN之間除非明確允許，否則不能互相訪問，有效的防止病毒的蔓延。

其次IP與MAC地址的綁定。采取交換機端口MAC地址綁定，防止局域網(wǎng)內(nèi)用戶對物理地址的隨意更改。

最后采用鏈路備份機制，對主干傳輸鏈路提供故障切換，確保傳輸數(shù)據(jù)不中斷。

網(wǎng)絡(luò)安全防護：

4.1 內(nèi)網(wǎng)聯(lián)外網(wǎng)的邊界：內(nèi)網(wǎng)本是完全獨立的網(wǎng)絡(luò)，由于醫(yī)保機制需要與市醫(yī)保處連接進行實時報銷，這就增大了內(nèi)網(wǎng)的不安全性，所以我們在內(nèi)網(wǎng)與市醫(yī)保網(wǎng)的邊界部署防火墻設(shè)備，起到邏輯隔離的效果，保護網(wǎng)絡(luò)不受醫(yī)保網(wǎng)的干擾。

4.2 外網(wǎng)聯(lián)互聯(lián)網(wǎng)的邊界：通過在外網(wǎng)邊界部署防火墻、防毒墻對辦公網(wǎng)絡(luò)進行防病毒、防攻擊、訪問控制等防護，凈化辦公網(wǎng)絡(luò)；保證來自互聯(lián)網(wǎng)的異常行為不能進入辦公網(wǎng)絡(luò)。

內(nèi)網(wǎng)與外網(wǎng)的邊界：在內(nèi)網(wǎng)與辦公網(wǎng)之間部署網(wǎng)閘，配置特殊的訪問需求，使辦公網(wǎng)在特定的情況下訪問內(nèi)網(wǎng)（例如疫情上報），就像U盤拷貝文件一樣只存取特定數(shù)據(jù)，實現(xiàn)了內(nèi)網(wǎng)與辦公網(wǎng)之間只進行按需換，避免重復(fù)輸入數(shù)據(jù)，而且保證了系統(tǒng)的網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)病毒防范：通過布署全網(wǎng)防病毒系統(tǒng)，可以對全網(wǎng)統(tǒng)一進行病毒庫升級、統(tǒng)一安全防護策略、統(tǒng)一殺毒，避免了病毒在網(wǎng)絡(luò)內(nèi)部的感染與傳播；構(gòu)建了最基本的病毒防線。

部署后的網(wǎng)絡(luò)拓撲圖如下：

通過對內(nèi)外網(wǎng)安全系統(tǒng)的防護，實現(xiàn)了醫(yī)院各種應(yīng)用系統(tǒng)的應(yīng)用，促進了信息資源的充分共享和廣泛使用，提高了醫(yī)院的辦公效率；解決了我院現(xiàn)有網(wǎng)絡(luò)存在的安全問題，同時為醫(yī)院搭建統(tǒng)一的OA平臺掃除了障礙，為醫(yī)院現(xiàn)在和未來整體信息系統(tǒng)的發(fā)展做到了保駕護航。

[1] 李永弟.基于BPR的第三方物流信息系統(tǒng)流程與功能規(guī)劃[J].長安大學(xué)，2004.06.

[2] 李壯闊.礦山信息系統(tǒng)體系結(jié)構(gòu)研究與礦山數(shù)據(jù)集成與分析基礎(chǔ)平臺開發(fā)[J].昆明理工大學(xué)，2004-10.