◆沈曉利 郭 璞 樊紅彬
(徐州醫(yī)科大學附屬醫(yī)院信息中心 江蘇 221000)
醫(yī)院網(wǎng)絡安全體系構建與實現(xiàn)
◆沈曉利 郭 璞 樊紅彬
(徐州醫(yī)科大學附屬醫(yī)院信息中心 江蘇 221000)
網(wǎng)絡安全是大數(shù)據(jù)時代面臨的首要問題,互聯(lián)網(wǎng)的開放性給醫(yī)院網(wǎng)絡化帶來了隱患,基于此,醫(yī)院需構建網(wǎng)絡安全體系。通過該體系使安全隱患得到有效的防控,從而使其成為醫(yī)院走向繁榮的動力。本文結合醫(yī)院網(wǎng)絡運行狀況,將網(wǎng)絡安全體系分為五個模塊,以此為模型構建網(wǎng)絡安全體系,促使醫(yī)院網(wǎng)絡系統(tǒng)安全運行。
醫(yī)院信息系統(tǒng);網(wǎng)絡安全;體系構建
改革開放以來,我國各項事業(yè)逐漸走向繁榮,醫(yī)療事業(yè)日益壯大,為中華復興帶來了新的契機。醫(yī)院系統(tǒng)經(jīng)過更新后,采用信息化管理機制,其功能性和服務性得到大幅提升,然而網(wǎng)絡安全仍舊棘手,構建安全體系迫在眉睫。以下為醫(yī)院安全系統(tǒng)構建模型,通過該模型的構建規(guī)避網(wǎng)絡風險,增強管理效能。
機房監(jiān)測系統(tǒng)中包含的主要有空調、供電系統(tǒng)、消防系統(tǒng)、自動警報系統(tǒng)等。機房監(jiān)測實際上屬于網(wǎng)絡外部的監(jiān)測,機房監(jiān)測可以通過web進行在線監(jiān)控機房內部的各項參數(shù)。例如配電間的溫度和濕度、主機房的冷風道溫度、濕度和空調系統(tǒng)的安全等,在web的監(jiān)控下確保硬件系統(tǒng)安全運行,使系統(tǒng)中的各項數(shù)據(jù)和信息得到完整、高效的保存和運行[1]。
系統(tǒng)控制主要包括空調、供電、防雷電和監(jiān)控。首先,空調系統(tǒng),在機房中設置精密空調,兩個主用一個備用[2]。在其中設置兩種不同的模式,一種為夏季模式,一種為冬季模式,從而確保機房內的溫度低于25℃,濕度處于40%到60%;其次,供電系統(tǒng),在其中設置兩臺UPS電源,要求兩臺電源能夠持續(xù)供電三小時,對關鍵設備使用冗余電源,同時采用靈活的開關對其進行控制,確保供電安全;再次,防雷電系統(tǒng),在對機房的各種電源和機柜材料選取時,選取金屬外殼,預防電磁干擾,同時采用隔離的方式,將容易受到干擾的設備與干擾源隔開,確保網(wǎng)絡不受干擾;最后,設置門禁,禁止不相關的人進入機房,強化視頻監(jiān)控,若出現(xiàn)異常立即解決。
在對網(wǎng)絡結構進行選取時,應選取三層網(wǎng)絡結構,第一層為核心,第二層為匯聚,第三層為接入。核心交換區(qū)選取兩臺性能好的交換機連接作為鏈路聚合。其各項參數(shù)如表1所示,其各項重要器件均使用冗余設計,提升處理速率。
表1 交換機參數(shù)
鏈路采用冗余設計,其中主干鏈路的傳輸采用萬兆,PASC和醫(yī)院核心連接的交換器的連接方式為雙鏈路,桌面則采用自適應交換機,這種設計能夠讓數(shù)據(jù)、文本、音頻和視頻等信息更加快速的傳輸,避免以往帶寬不夠的狀況,解決單鏈路的弊端。
VLAN要具有一定的獨立性,這種獨立性是指其功能,每個VLAN的信息實際上是共享的,這樣就能確保在某個VLAN出現(xiàn)異?;蚬收蠒r,其余VLAN不受其影響,各種業(yè)務能夠持續(xù)運行,如此便能防治病毒的擴散,保護系統(tǒng)內的重要區(qū)域,確保系統(tǒng)安全。
醫(yī)院的網(wǎng)絡系統(tǒng)應根據(jù)不同的等級采取具體的措施進行保護,采用電子密鑰技術。首先,綜合信息網(wǎng)可以將防火墻和網(wǎng)閘融合使用,構建控制機制,網(wǎng)段不同的區(qū)域需要權限方可訪問;其次,在設置衛(wèi)星專網(wǎng)、智能網(wǎng)的防火墻時,需要確保內部和外部的連接點皆受到防護,避免非法供給;最后,在對各種醫(yī)療保險和各種資金相關的結算中,使用安全網(wǎng)關和網(wǎng)閘來防護,除此之外還要構建安全防護套件,加強訪問控制,以此深入檢測數(shù)據(jù)包,避免防火墻無法檢測應用層的漏洞。由于醫(yī)院的特殊性質,將互聯(lián)網(wǎng)與醫(yī)院內部的網(wǎng)絡采用物理方式隔離,置留接口備用。
針對醫(yī)院網(wǎng)絡系統(tǒng)的所有主機均采取網(wǎng)絡準入控制,所有的主機需要經(jīng)檢查確保符合安全策略時,方可準許其登入網(wǎng)絡。如果在進行身份認證時,出現(xiàn)認證失敗的狀況,該用戶就會被隔離并展開相關的修復工作,修復完成后再經(jīng)查驗,直至其符合安全標準方可訪問,如此一來主機完全就得以保證。若非必要,禁止使用USB和光驅,避免病毒感染。
首先,對全部與網(wǎng)絡相關設備的控制口和Telnet登錄設置密碼,在設置時對其安全進行分級,根據(jù)不同的等級來確定密碼的難度,從而起到避免非法人員入侵;其次,使用KVM交換機來管理所有的網(wǎng)絡設備和控制口,讓其處于控制之中使安全系數(shù)得到提升,減少不相關人員進入機房的次數(shù),將設備存在的危險狀況降到最低。
在對性能進行監(jiān)測時采取拓撲管理,觀察物理視圖,查看其中網(wǎng)元和鏈路圖表的狀態(tài)和色彩狀況,對整個網(wǎng)絡的運行狀況展開實時管控。對存在風險和漏洞的位置進行安全預警,明確其危險等級并做出相應的處理,若其中出現(xiàn)緊急告警,能夠立即進行處理。
建立完善的管理體系,總結網(wǎng)絡安全中的重要性能指標,對通斷率、信息傳輸時延和CPU狀況展開監(jiān)控,將其中的數(shù)據(jù)進行收集并分析,根據(jù)分析的數(shù)據(jù)來判斷網(wǎng)絡在未來的變化狀態(tài),力求將故障扼殺在萌芽狀態(tài),防止網(wǎng)絡風險的出現(xiàn)。定期對系統(tǒng)內部各個構成部件的性能進行檢測,確保安全無虞。
明確告警設備所處的區(qū)域,對其設備的類型和其所處的等級進行總結后構建相應的查詢模板。對網(wǎng)絡內部的各種網(wǎng)元進行檢測,若出現(xiàn)告警訊號,系統(tǒng)立即對危險事件發(fā)生的時間和時間類型進行匯總,分析告警信息以確保安全,從而使網(wǎng)絡的運行更具安全性,告警處理流程如圖1所示。同時采用流量分析器對整個網(wǎng)絡設備中的各個部分進行分析,若其中出現(xiàn)異常狀況,則可以提供協(xié)助,定位出故障所在部位,以便做出準確的處理。
圖1 告警流程
安全管理包括兩個方面,一方面是對硬件設備的管理,另一方面是對網(wǎng)絡運行的管理。首先,提升設備性能,定時對設備進行維修和清理,確保設備運行安全;其次,根據(jù)醫(yī)院信息安全對網(wǎng)絡進行分級,展開不同的加密處理,增強網(wǎng)絡防火墻功效。同時制定完善的管理制度,細化管理規(guī)程。其中包括維修、值班、管理等多項安全細則。
確定每周一對門診和中心機房進行全面的檢測和巡查,構建故障數(shù)據(jù)庫,并針對存儲的數(shù)據(jù)展開分析,尋找規(guī)律制定對策避免故障發(fā)生。還可以通過日常的性能檢測來制定風險策略,強化預防機制。
醫(yī)院管理人員帶領工作人員制定應急預案,在充分分析醫(yī)院整體狀況后,定期進行預案演練,提升網(wǎng)絡處理能力和網(wǎng)絡恢復能力。
在醫(yī)院每個科室中建立完善的值班制度,加強各個科室之間的聯(lián)系,匯總各種故障處理對策,增強值班人員的管理能力和處理故障的水平。同時組織培訓提升全體人員的網(wǎng)絡安全意識,交流經(jīng)驗并組織外出學習,加強應用各種先進技術提升醫(yī)院網(wǎng)絡安全系數(shù),挖掘人才、開拓視野強化管理效能。
通過對以上措施和模型的應用,醫(yī)院安全系統(tǒng)得到了安全穩(wěn)定的運行,除運行速度加快外,各項安全性能也呈現(xiàn)出優(yōu)異的狀態(tài)。各種不規(guī)范的網(wǎng)絡行為得以抑制,醫(yī)院的辦公和服務都得到了良好的保護,此后還要在技術上和管理上逐步探索,應對各種威脅,為醫(yī)療事業(yè)的繁榮積蓄動力。
[1] 陳擁軍,肖新文,陳泓伶.醫(yī)院網(wǎng)絡安全體系構建與實現(xiàn)[J].中國數(shù)字醫(yī)學,2016.
[2] 徐雷.醫(yī)院信息化建設過程中的網(wǎng)絡安全防護分析[J].網(wǎng)絡安全技術與應用,2016.