陳香芹（1.濟寧市第一人民醫(yī)院，山東　濟寧　272011；2.中南大學，山東　濟寧　272011）

?

淺析防火墻技術在醫(yī)院網絡中的應用

陳香芹1，2
（1.濟寧市第一人民醫(yī)院，山東濟寧272011；2.中南大學，山東濟寧272011）

摘要：近年來，隨著計算機信息化的迅速發(fā)展，醫(yī)院網絡已成為人們日益關心的問題。目前解決網絡安全問題的最有效辦法是采用防火墻技術。本文首先分析了威脅著醫(yī)院網絡的一些因素，然后對防火墻技術的相關內容進行了簡要介紹，最后就加強醫(yī)院網絡安全而采取的一些措施進行了闡述。

關鍵詞：醫(yī)院網絡；防火墻；網絡安全問題

1 目前構成醫(yī)院網絡安全的威脅

概括來說，影響醫(yī)院網絡安全的威脅有兩種：一是對網絡軟件程序的影響；其二是對網絡硬件設備的影響。醫(yī)院的內網服務器上保存著病人的大量隱私，其內的數據對服務器的安全性要求很高。但是一些攜帶病毒的文件的入侵，外部的黑客及木馬程序試圖偷走病人的敏感信息，以及自然的災害、硬件系統(tǒng)自身的故障、內部人員的誤操作等無法避免的因素都嚴重威脅著醫(yī)院內部數據的安全。一旦醫(yī)院的網絡癱瘓，將會造成難以估計的損失，目前人們?yōu)榱吮Ｗo其醫(yī)院的數據和資源安全，結合醫(yī)院內的網絡安全性特點，采用了最有效的辦法—防火墻技術。

2 防火墻簡介

防火墻是一種安全有效的訪問控制技術，是保證內部網絡安全的硬件、軟件或兩者綜合并用的技術，它可以用來充當訪問網絡的惟一入口點，以決定哪些內部服務允許外部網絡訪問，或阻止攻擊者接近合法用戶去訪問內部網絡資源，及時攔截掉外部網絡不安全的服務和非法用戶的入侵。防火墻也是通過在網絡邊界上建立起來的相應的網絡安全策略和防入侵措施來隔離內、外部網絡，可以將口令、加密、身份認證、審計等安全軟件配置在防火墻上，對內、外部網絡存取和訪問進行監(jiān)控審計，以達到防止外部網絡上的危險傳播到內部網絡的目的。

2.1 防火墻的種類

在整個防火墻技術的發(fā)展過程中，總體來講可分為“包過濾型”和“應用代理型”防火墻兩大類。其中“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”是包過濾技術的兩種不同版本；代理型防火墻技術也經歷了“應用網關型”和“自適應代理”防火墻兩個不同版本的發(fā)展過程。

2.2 防火墻在醫(yī)院網絡安全中的應用

在我院網絡中主要采用了包過濾型和應用代理型兩種類型的防火墻技術。通過采用此技術，在醫(yī)院內網和外網之間建立了一個檢查點，即“阻塞點”用來充當訪問醫(yī)院網絡的惟一入口點，從里向外或從外向里的流量都必須通過它的篩選，只有本地安全策略允許的流量和服務才能通過防火墻，從而隔離內、外部網絡，保護內部的網絡資源和病患信息。

2.2.1 包過濾型防火墻技術的應用

包過濾技術具有信息過濾的特點，此類技術與網絡管理者預先制定的訪問控制表進行對比，一般是在選擇路由的同時依據訪問控制表在網絡層對數據包進行選擇過濾，按照預定的安全策略判斷所傳輸的信息是否安全。符合規(guī)則的允許通過或轉發(fā)，否則放棄或拒絕。包過濾器被建立成一組基于與IP或TCP首部中字段的匹配。如果存在與一個規(guī)則的匹配，則那條規(guī)則就會被調用來決定轉發(fā)規(guī)則還是丟棄規(guī)則。

2.2.2 應用代理型防火墻的應用

通過在主機上運行代理的服務程序，代表客戶處理在服務器連接請求的程序，對特定的應用層進行直接服務。例如用戶使用www應用程序與網關進行通信，當用戶提供了一個合法的用戶ID號后，網關就聯系遠程主機上的應用程序，并在兩個斷點之間轉送包含了此應用數據的www字段。如果網關沒有為此特定的應用程序實現代理代碼，服務就不被支持，也就不能通過防火墻來傳遞。反之亦然。

另外，包過濾型和應用代理型混合使用的防火墻新技術也迅速發(fā)展起來，它綜合了兩類防火墻的優(yōu)勢，加強了防護功能。

2.3 防火墻在醫(yī)院網絡中的優(yōu)勢及不足

防火墻技術在醫(yī)院內網與外網之間構筑的屏蔽，在這里將來自外部網絡的非法攻擊或末授權的用戶擋在被保護的內部網絡之外，加強了網絡安全，并簡化了網絡管理。但防火墻不能防范醫(yī)院內部知情用戶對數據資源的惡意攻擊，也無法防止不通過它而進行的信息傳輸。非法用戶可以將數據復制到網絡主機上，如果病毒已經在防火墻內部，則防火墻是無能為力的。

3 加強醫(yī)院網絡安全所采取的措施

基于上述醫(yī)院網絡安全的現狀，結合我院網絡的實際特點，采取了以下五個方面的措施來保證醫(yī)院網絡的安全運行，從而建立可信可控的安全網絡。具體如下：

（1）加強醫(yī)院內部網絡安全管理，按時對醫(yī)院網絡日志進行統(tǒng)計，做好內網監(jiān)控記錄的日常維護和登記工作；

（2）建立醫(yī)院網絡安全使用制度，網絡管理員及時對醫(yī)院內、外網的安全配置、日志更新時間、安全策略進行升級與打補丁，定期對醫(yī)院網絡系統(tǒng)進行漏洞掃描，對發(fā)現的網絡系統(tǒng)安全漏洞進行及時的修補；

（3）根據廠家提供的軟件升級版本對醫(yī)院網絡設備進行更新，保證所有與外部系統(tǒng)的連接均得到授權和批準，并在更新前對現有的重要文件進行備份；

（4）依據安全策略允許或者拒絕便攜式和移動式設備在醫(yī)院網絡中的接入；

（5）指定專人定期檢查違反規(guī)定的上網行為，如撥號上網或其他不安全的網絡行為。

結語

本文通過簡要分析當前醫(yī)院網絡面臨的安全威脅，提出了在醫(yī)院網絡中運用防火墻技術，從而把安全問題給醫(yī)院帶來的潛在危險降到最低，確保醫(yī)院網絡高效、安全的運行。

參考文獻

[1]黃武鋒.網絡安全與防火墻[J].科技信息，2006（10）.

[2]孫思良.防火墻技術及其在網絡安全中的應用[J].電腦知識與技術，2005（12）.

[3]錢喻鍔.防火墻技術初探[J].思茅師范高等?？茖W校學報，2005（03）.

[4]蔡紅柳，何新華.信息安全技術及應用實驗[M].北京：科學出版社，2004.

[5]劉婷，孟慶偉.防火墻技術剖析[J].太原城市職業(yè)技術學院學報，2005.

中圖分類號：TP393

文獻標識碼：A