摘要：隨著信息化建設在醫(yī)院管理當中的推進，醫(yī)院網(wǎng)絡規(guī)模也在不斷擴大，而隨之而來的安全問題就成為醫(yī)院網(wǎng)絡管理當中的重點。本文主要對醫(yī)院網(wǎng)絡安全當中防火墻和入侵檢測系統(tǒng)的應用進行了分析，以期能夠不斷提升醫(yī)院網(wǎng)絡和信息化管理的安全性，提升醫(yī)院管理效率。

關(guān)鍵詞：醫(yī)院網(wǎng)絡；防火墻；入侵檢測系統(tǒng)

隨著計算機技術(shù)在現(xiàn)代生活工作當中的廣泛應用，醫(yī)院當中的信息化建設也在不斷進行當中，信息化管理在醫(yī)院管理當中的應用有效提升了醫(yī)院的管理效率，也使得醫(yī)院網(wǎng)絡的安全問題成為醫(yī)院管理當中的重點問題。

1網(wǎng)絡安全技術(shù)概述

從當前的網(wǎng)絡安全技術(shù)來看主要可以分為兩種類型，一種是靜態(tài)安全技術(shù)，一種是動態(tài)安全技術(shù)，其中靜態(tài)安全技術(shù)主要是指防火墻技術(shù)，是保護網(wǎng)絡不受外部攻擊的安全技術(shù)，在實施和維護上主要是需要借助于人力來完成，不能對入侵者進行主動跟蹤。而動態(tài)安全技術(shù)主要是指入侵檢測技術(shù)，這一種安全技術(shù)主要是能夠?qū)崿F(xiàn)主動的檢測功能，也是目前比較新型的網(wǎng)絡安全技術(shù)，在現(xiàn)代的網(wǎng)絡安全防護當中也是逐漸得到廣泛應用。

2防火墻和入侵檢測系統(tǒng)

防火墻是網(wǎng)絡安全當中的常見保護系統(tǒng)，主要是在外部和內(nèi)部網(wǎng)絡之間進行訪問控制，從而有效保護內(nèi)網(wǎng)的資源，以防受到外部非法入侵，也是網(wǎng)絡安全建設當中的基礎(chǔ)，每個客戶端上必須具備的安全基礎(chǔ)工程，多是安裝在內(nèi)外部網(wǎng)絡的連接點上，以便將外部網(wǎng)絡和內(nèi)部網(wǎng)絡有效隔離開，在拓撲結(jié)構(gòu)當中，防火墻則主要是位于網(wǎng)絡出口位置上，或者是安全等級分界的區(qū)域。防火墻雖然具備基礎(chǔ)的安全防護功能，能夠有效保護內(nèi)部網(wǎng)絡的安全性，但同時防火墻也是具有一定缺陷的，也就是防火墻能夠抵御外部的攻擊，但對于來自內(nèi)部的攻擊是無法防范的，這就使得網(wǎng)絡在受到內(nèi)部攻擊時單單依靠防火墻已經(jīng)不能起到有效的保護作用，需要有相應的內(nèi)部防范技術(shù)來抵御內(nèi)部攻擊，這樣內(nèi)外結(jié)合才能夠真正起到保護網(wǎng)絡安全的作用。

入侵檢測系統(tǒng)是現(xiàn)代網(wǎng)絡安全系統(tǒng)當中的新型防御工具，與防火墻不同，入侵檢測系統(tǒng)的核心是監(jiān)聽設備，不需要和其他的鏈路進行連接，也不用網(wǎng)絡流量來支持工作，只要將所有需要關(guān)注的鏈路都掛接到入侵檢測系統(tǒng)當中，那么就能夠?qū)λ械逆溌愤M行監(jiān)聽，從而有效檢測內(nèi)部網(wǎng)絡當中存在的安全問題，因而在安置位置上一般是選擇在受保護對象附近或者是安置在攻擊源附近，這樣能夠有效保護相應的資源，及時規(guī)避來自內(nèi)部的安全攻擊。

3防火墻和入侵檢測系統(tǒng)的聯(lián)合應用

從上面的分析可以看出，防火墻作為一種安全基礎(chǔ)工程，其只能夠?qū)ν獠抗暨M行防御，而不能對內(nèi)部網(wǎng)絡進行監(jiān)控，而且在防御措施上屬于被動防御類型，不能夠根據(jù)正在進行的攻擊具體情況來自動進行防御策略調(diào)整，因而在防護存在于其他防護檢測系統(tǒng)進行結(jié)合應用的需求。而入侵檢測系統(tǒng)作為一種內(nèi)部的監(jiān)聽系統(tǒng)，能夠?qū)︶t(yī)院內(nèi)部網(wǎng)絡的數(shù)據(jù)通訊信息進行實時的監(jiān)控分析，對其中存在入侵威脅的信息進行分辨，從而能夠在網(wǎng)絡系統(tǒng)受到有害信息入侵之前對其采取防御措施，有效保護網(wǎng)絡系統(tǒng)運行的安全性。但是入侵檢測系統(tǒng)本身只具有檢測功能，只能夠及時發(fā)現(xiàn)來自內(nèi)外部的攻擊行為和有害信息，而無法及時對此進行處理和攔截，因而也存在與具備攔截功能的系統(tǒng)進行結(jié)合的需求，所以在現(xiàn)代醫(yī)院網(wǎng)絡安全設置當中將防火墻和入侵檢測系統(tǒng)結(jié)合起來進行應用，已經(jīng)成為保障現(xiàn)代醫(yī)院網(wǎng)絡安全的關(guān)鍵所在，兩者結(jié)合之后既能夠及時發(fā)現(xiàn)內(nèi)外部攻擊行為，又能夠及時對其進行處理，從而有效提升了整個醫(yī)院網(wǎng)絡的防護性能，是目前醫(yī)院網(wǎng)絡安全防護中比較理想的設置組合。

在具體的防護系統(tǒng)設計上，可以在現(xiàn)有的防火墻系統(tǒng)基礎(chǔ)上建立入侵檢測系統(tǒng)來進行輔助，從而能夠?qū)崿F(xiàn)將入侵檢測系統(tǒng)功能和防火墻功能相互結(jié)合的目的。在入侵檢測系統(tǒng)的程序設計上，可以參考Snort開放源代碼來進行設計，通過這個簡單的檢測系統(tǒng)能夠利用軟件包中的監(jiān)聽功能來獲取醫(yī)院網(wǎng)絡當中的數(shù)據(jù)包，然后在其中增加檢測分析功能，就能夠?qū)ΡO(jiān)聽收集到的數(shù)據(jù)進行分析，從而判斷其中的有害信息。具體的方法是通過建立具體特征庫來對數(shù)據(jù)進行分析，然后通過數(shù)據(jù)內(nèi)容進行匹配，從而能夠?qū)ο鄳臄?shù)據(jù)進行分析檢測。在安裝位置上可以將入侵檢測系統(tǒng)放置在防火墻的內(nèi)部或外部均可，一般來說可以將其放置在內(nèi)部，防火墻本身能夠?qū)Υ蟛糠值暮唵喂暨M行阻止，這樣能夠?qū)z測系統(tǒng)的檢測能力都集中在重點的攻擊上。在具體的防護流程上，當外來攻擊到來時，一部分的攻擊會被防火墻隔離在外，而其中另一部分則會騙過防火墻，進入到內(nèi)部網(wǎng)絡當中，這時入侵檢測系統(tǒng)就會發(fā)揮作用，對這部分攻擊進行識別，將數(shù)據(jù)包進行分檢之后將其送到系統(tǒng)當中相關(guān)模塊中進行檢查匹配之后，就會發(fā)現(xiàn)這些數(shù)據(jù)和已經(jīng)設置好的規(guī)則庫當中的攻擊特征相匹配，這時就會發(fā)出切斷訪問的要求，這時就會通知防火墻進行攔截，從而起到保護網(wǎng)絡安全的目的。在具體互動連接實現(xiàn)上，可以先由檢測系統(tǒng)向防火墻發(fā)起連接，完成兩者之間的正常連接之后，檢測系統(tǒng)就可以通過連接將約定格式的數(shù)據(jù)包發(fā)送給防火墻，從而實現(xiàn)防火墻和檢測系統(tǒng)之間的信息傳遞功能。而防火墻在受到檢測系統(tǒng)發(fā)來的信息之后就可以實施相應的動作，并且將結(jié)果通過連接反饋給檢測系統(tǒng)。

4結(jié)論

信息化管理在醫(yī)院當中的建設是當前時代不斷向前發(fā)展對醫(yī)院管理的要求，信息化技術(shù)的推廣應用不僅能夠有效提升醫(yī)院在人事、藥品、財務等各方面的管理效率，因而醫(yī)院的網(wǎng)絡安全就顯得十分重要，而防火墻和入侵檢測系統(tǒng)的應用則能夠有效提升醫(yī)院網(wǎng)絡的安全性，從而更好地提升醫(yī)院網(wǎng)絡管理的效率。

參考文獻：

[1]荊村.醫(yī)院網(wǎng)絡安全管理的技術(shù)性問題[J].企業(yè)導報，2015，（13）：139-139.

[2]趙凱.醫(yī)院網(wǎng)絡安全存在的問題及解決對策研究[J].信息與電腦：理論版，2011，09（9）：92.

[3]Faisal，Sultan，Muhammad Tahir，et al.Development of an in-house hospital information system in a hospital in Pakistan[J].International journal of medical informatics，2014，83（3）：180-188.

[4]H.Pirnejad，Z.Niazkhani，et al.Clinical communication in diagnostic imaging studies： mixed-method study of pre- and post-implementation of a hospital information system[J].Applied clinical informatics，2013，04（4）：541-555.

[5]Eliane de Freitas，Drumond，Carla Jorge，et al.Underreporting of live births： measurement procedures using the Hospital Information System[J].Revista de saúde pública，2008，42（1）：55-63.

編輯/丁一