浅谈医院网络安全管理和监测的实用措施

朱彦华，庄榕

1.广东药学院第一附属医院 信息科，广东 广州 510080；2.长沙理工大学 计算机与通信工程学院，湖南长沙 410114

浅谈医院网络安全管理和监测的实用措施

朱彦华1，庄榕2

1.广东药学院第一附属医院 信息科，广东 广州 510080；2.长沙理工大学 计算机与通信工程学院，湖南长沙 410114

网络安全是医院信息系统安全、稳定运行的基础，只有医院信息系统安全、稳定的运行，医院的业务才能更好地开展，病人才能得到更好的医治。本文从物理安全、访问安全、操作系统安全、网络流量、信息的实时监测和防护等多个方面阐述了医院网络安全管理的实用措施。

医院网络；内网安全；网络监测和防护；HIS

随着计算机网络技术的迅猛发展，网络安全成为网络发展中的一大课题[1-2]。网络安全是指利用网络管理控制和技术措施，保证在一个网络环境中，信息数据的机密性、完整性及可使用性受到保护。医院是一个特殊的服务行业，其信息系统（HIS）必须保证24h不间断运行，医疗信息数据必须安全、完整。因此，医院的网络安全的主要内容是：① 保证HIS的不间断正常运行；② 数据的安全、完整、准确。为了保证医疗业务的网络安全，很多医院都采用了医院信息系统的网络与INTERNET网从物理上隔离。即内网与外网隔离。此做法从源头上断绝了病毒和攻击的发生。然而根据调查，一个网络信息系统的安全威胁往往不是来自于INTERNET，而是系统内部[3-4]。下面将以我院的内部网络的安全管理和监测为例，分别从物理安全、访问安全、操作系统安全、网络流量、信息的实时监测和防护等多个方面，谈谈医院网络安全管理、监测的方法和实用措施。

1 物理安全

具体是指用来保护计算机硬件和存储介质的装置和工作程序，包括防盗、防火、防静电、防雷击和防电磁泄漏、冗余的UPS设备、服务器双机热备、网络设备安全等内容。我院2009年将放置服务器和核心交换设备的主机房改造成符合国家标准的，室内温度控制在20～25℃，设置防雷、防电击装置、带门禁的中心机房。为了保证服务器（7×24）h不间断工作，配备两套UPS电源。为了保证应用的不间断、数据的安全性，应用服务器、数据库服务器都采取双机容错、双机热备的解决方案。网络设备的安全：对于不同的网络设备，其安全的着重点也不同。路由器：定期检查指示灯是否正常。用PING 命令访问路由器的IP地址是否正常。交换机或集线器：定期查看指示灯状态，插头是否松动，注意防垢、防水。网卡：查看与主板是否接触不良，网卡配置是否被篡改。网线：是否有压断、扯坏、错接等故障。RJ-45头：线插的不到位，线序不一致等[5-6]。

2 访问安全

⑴ 采用口令字、文件许可、加密、检查日志等方法来实现。具体措施有： 对试探性访问网络或服务器操作加上时间限制；把重要的文档、程序和文件加密等。WINDOWS SERVER域控制器将操作系统的用户分组，保证控制。不同用户组有不同的权限，标准用户组仅能查看、操作计算机，但不允许查看和修改由另一个用户组产生的数据、文件；定制域用户策略也能保证禁止标准用户组的一些安装、卸载程序；删除设备等误操作。

⑵ 采用VLAN 技术将医院局域网在逻辑上划分为多个相互独立的虚拟子局域网。例如：服务器、办公楼的电脑、住院楼、财务楼等各设一个VLAN，在核心交换机添加访问控制列表保证多个虚拟子网间不能通讯，但都可以访问服务器网络。这样在确保业务不受影响的情况下，使计算机和数据库服务器得到重点保护，同时缩小了病毒和攻击的通讯范围。

3 操作系统安全

医院内网的每台工作站设置主机CMOS的密码，屏蔽USB接口，安装好防病毒软件客户端。一部分用于科研、办公的计算机，因工作需要必须开放USB接口，容易形成一个病毒源向内网上其他机器传播病毒，造成内部网络病毒泛滥。针对上述问题，我院内网安装了网络版杀毒软件，该防毒软件一监测到网络上有病毒爆发的某机器后立即启用爆发阻止功能阻断该机器的网络端口、关闭文件共享以及限制对病毒文件和文件夹进行读写来阻断病毒程序的传播，保证我院局域网内任一台机器感染病毒不会传染给服务器或其他机器，在整体上防止病毒蔓延。

4 网络流量与信息监测

网络管理员使用CS-MARS对整个网络的流量、攻击行为等做日常监测，并给予响应和处理[7-8]。思科安全监控分析和响应系统(CS-MARS)，是接受各种设备的事件和数据，进行事件分析、汇总，然后根据需要生成相关的报告结果，以达到识别和消除网络攻击的目的。它通过对所有被管理安全设备的分析，可以生成完整的网络拓扑图。MARS可以实时地显示系统的统计信息：如收到的安全事件数量，分别属于什么等级（高、中、低）；能对收到的Session数量和收到的Netflow事件数量进行关汇总、分析，得出从源到目的的一系列路径并提供出色性能和内部经验；能在攻击传播到整个网络前发现它们并提供防御建议；能端到端网络感知——集成NAT/PAT和MAC地址信息，以图形方式显示攻击者、攻击目标和网络热点，以快速采取措施；使用所有网络设备和终端系统的完整配置；能显示NAT前后的地址集成安全漏洞评估——确定某一网络攻击是真正的攻击还是误报，以减少报警数目，缩短采取措施的时间。

为了配合CS-MARS的更好使用，我院网络统一换成了思科交换机。对每台二层交换机启用日志收集，并启用核心交换机和MARS的NetFlow功能保证将所有交换机的日志、流量发给MARS。现在我们通过MARS事件安全界面，能很快获得网络当前发生的所有事件，能准确分辨网络攻击和网络事件；能清晰的看到网络攻击的源头及目标等，参考MARS对网络攻击给出的缓解建议，我们能及时采取措施保证网络的正常运行。这一点对于网络管理人员来说是非常重要的。MARS不仅提供了大量预定制报表供我们分析信息，还允许自定义报表查询、分析。例如：查询过去1h网络内流量最高的目的端口数据流量，并查询主要是哪些主机发出最多该目的端口流量；查询条件为过去1h网络内流量最高的目的端口数据流量，并以流量大小作排序等等。这些查询的结果都能让我们对整个网络的流量、端口使用情况等进行分析，及时发现异常。

5 数据安全

双机冗余、异地同步复制数据、定时磁带备份、数据导出迁移等都是数据保护的有效措施。医院信息数据安全的重要性是不言而喻的，而数据所面临的风险不仅仅是病毒和网络攻击，用户的一次错误操作、系统的一次不正常断电以及其他一些意外，都可能引起灾难性的数据流失或损坏，所以必须建立一套完善的保护方案和应急措施。我院现在对数据的保护措施是：每天定时数据完整备份和中午数据差异备份相结合的办法。我院计划在2011年建立异地灾备系统，并逐步建立数据异地同步复制机制来保护无法预料的灾害事件对数据的侵害，真正做到防范于未然。

综上所述，网络安全问题日趋严峻，万能的网络安全解决方案是不存在的[9,10]。医院网络安全体系应量力而行、结合自身业务特点，不单纯追求技术的先进性，从安全防护的多个方面采取有效措施和监测为医院信息网络安全提供保障。

[1] 王温君.计算机安全概述[M].北京:高等教育出版社,2002.

[2] 张文学,赵雯,陶艺红,等.关于医院网络安全的思考[J].中国信息界,2005(8):36.

[3] 马李明,徐艳蕾.医院网络安全管理[J].安徽冶金科技职业学院学报,2008,18(2):46-48.

[4] 杨力平.网络安全管理概要与探讨[J].信息网络安全,2008(2):31-43.

[5] Andrew S.Tanenbaum.计算机网络[M].胡道元,译.北京:清华大学出版社,1999.

[6] 张志伟,刘沛先,王磊,等.医院网络安全分析及措施[J].中国医学装备,2006(5):26-28.

[7] 李全凯.医院网络安全管理策略分析[J].医学情报工作,2006,27(1):31-33.

[8] 沈崑,杨松.应用网络安全管理策略探讨[J].中国医疗设备,2009(12):80-81.

[9] 周爽.谈计算机网络安全维护[J].科技风,2010(6):242.

[10] 孙平波.基于应用的网络安全解决方案[J].电脑知识与技术,2009(26):48-49.

Discussion on Practical Measures of Hospital Network Security Management and Monitoring

ZHU Yan-hua1, ZHUANG Rong2
1.Information Department, the First Affiliated Hospital of Guangdong College of Pharmacy,Guangzhou Guangdong 510080, China;2. Computer and Communications Engineering Department,Changsha University of Science and Technology, Changsha Hunan 410114,China

Network security is the base of hospital information system stable running.This paper summarizes the physical safety, access safety, operation system safety, network flow, information real-time monitoring and protection about hospital network security management.

hospital network; inner-network safety; network monitoring and protection; HIS

1674-1633(2010)12-0069-02

2010-06-13

2010-09-20

作者邮箱：ahzhu@tom.com

TP393.08；R197.324

C

10.3969/j.issn.1674-1633.2010.12.028