浅谈医院网络安全技术

胡顺

摘要：医院网络安全是通过采用相关网络技术，保证网络内部数据的保密性和完整性，最终实现医院网络系统的正常运行。该文首先通过对医院网络安全技术进行研究，结合实际需要，对医院信息化建设中的交换机、DOT1X端口认证技术、内网准入技术以及桌面安全技术进行了分析，结合这些技术，来实现医院信息化建设中的网络安全，保证医院信息化管理的高效、安全运营，最终服务好广大人民群众。

关键词：医院；网络安全；技术

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）24-5601-03

随着我国医院信息化技术的不断发展，越来越多的医院已经进行了信息化建设，包括医疗、管理、服务、科研等系统以及医院内网的建设，信息化提高了医院办公管理效率，改善了医疗服务质量，同时也存在内网被黑客攻击和病毒感染等不安全因素，因此，网络安全在医院信息化建设中显得非常重要。

1 医院网络安全体系架构

网络安全在医院信息化建设是至关重要的，它直接关系到医院内部保密信息的泄露，不安全因素的存在可能会让医院内部数据存在风险，甚至让医院存在风险，因此，建设一个安全可靠的网络环境是医院信息化建设的基础。医院网络安全拓扑体系结构图如图1所示。

通过上图可知，医院主服务器和Web服务都采用了双机热备份，实现了数据的同步，在外网与内网间设置了防火墙来保证内网的安全，内网交换机使用了H3C（华三）S9508双机核心交换机，为了进一步的保证整个医院的内网安全，我们采用了端口认证、内网准入和桌面安全技术，以下将对这些技术进行分析。

2 华三S9508双机核心交换机

根据需要，我院在网络建设中采用的是H3C S9508交换机，该产品基于H3C公司自适应安全网络的技术理念，在提供大容量、高性能L2/L3交换服务基础上，进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性，可为医院构建融合业务的基础网络平台。该交换机的特点如下：

2.1 线速的MPLS业务处理

H3C S9508支持分布式的MPLS业务，分布在接口板上的ASIC芯片直接完成MPLS标签的线速处理，不存在集中式处理的瓶颈，MPLS性能业界最高。

2.2 线速的IPv6业务处理

H3C S9508支持分布式的IPv6业务，分布在接口板上的ASIC芯片支持对IPv6报文的线速处理，用户通过升级操作系统可实现基于ASIC的全线速IPv6转发。

2.3 大容量高性能路由交换

H3C S9508提供业界领先的交换能力，其最高的1.44T路由交换引擎可以实现576个千兆或48个万兆端口的线速转发，三层包转发能力高达857Mpps。

3 DOT1X认证

DOT1 X 是 IEEE 802.1 X的缩写，是基于Client/Server的访问控制和认证协议。IEEE 802.1x是一种认证技术，是对交换机上的2层接口所连接的主机做认证，当主机接到开启了IEEE 802.1x认证的接口上，就有可能被认证，否则就有可能被拒绝访问网络。在接口上开启IEEE 802.1x认证后，在没有通过认证之前，只有IEEE 802.1x认证消息，CDP，以及STP的数据包能够通过。主机接到开启了IEEE 802.1x认证的接口后，需要通过认证才能访问网络，要通过认证，只要输入合法的用户名和密码即可。交换机收到用户输入的账户信息后，要判断该账户是否合法，就必须和用户数据库做个较对，如果是数据库中存在的，则认证通过，否则认证失败，最后拒绝该用户访问网络。

交换机提供给IEEE 802.1x认证的数据库可以是交换机本地的，也可以是远程服务器上的，这需要通过AAA来定义，如果AAA指定认证方式为本地用户数据库（Local），则读取本地的账户信息，如果AAA指定的认证方式为远程服务器，则读取远程服务器的账户信息，AAA为IEEE 802.1x提供的远程服务器认证只能是RADIUS服务器，该RADIUS服务器只要运行Access Control Server Version 3.0（ACS 3.0）或更高版本即可。

当开启IEEE 802.1x后，并且连接的主机支持IEEE 802.1x认证时，将得出如下结果：

1） 如果认证通过，交换机将接口放在配置好的VLAN中，并放行主机的流量。

2） 如果认证超时，交换机则将接口放入guest vlan。

3） 如果认证不通过，但是定义了失败VLAN，交换机则将接口放入定义好的失败VLAN中。

4） 如果服务器无响应，定义放行，则放行。

4 内网准入控制

内网准入控制是安全接入控制系统的一个管理组件。内网准入技术主要实现了对客户机的相关控制，如果客户机的身份不满足要求或者安全上存在在问题，该管理组件将阻止该客户机接入内部网络。只有当客户机的身份和安全都满足要求时，才能被允许进行内部网络。本组件在运行中能够实现如下功能：

1） 本组件能够预防外部的、非法的电脑进入内部网络，提高了网络安全性；

2） 本组件具有防病毒的能力，实时的阻止各种病毒或带有病毒的电脑进行内部网络；

3） 本组件能够对内网的客户机实施统一的安全管理机制；

4） 本组件能够阻止内部人员自行接入HUB和无线AP，提高了内网安全性。

内网准入控制实时的防止外部电脑访问内网，并且能够隔离具有隐患或不安全因素的电脑，阻止其访问内网，只有当这些电脑隐患和不安全因素得到解决后才能访问内网，进一步降低了这些电脑被病毒攻击的可能性。

在外部设备想要接入内部网络时，首先要经过身份认证和安全检测。接入的设备来自两方面，一个内部合法设备，另一个是外部非法设备。当接入的是外部非法设备时，本组件实现的功能如下：

1） 阻止接入；

2） 把该设备转移到访客区，并进行相关记录。

当接入的是内部合法设备时，本组件实现的功能如下：

1） 首先检测用户名和密码的有效性，其次对检测设备的安全要求；

2） 只有当客户机的身份和安全都满足要求时，才能被允许进行内部网络；

3） 当用户成功进入到内部网络后，本组件按照用户的身份信息对用户分配网络范围，用户按照身份来访问自身的网络，进一步保证了内部安全。

5 桌面安全管理系统

桌面安全系统提供了一种创新性安全访问互联网的手段。通过医院桌面安全系统，为每个用户提供访问互联网的虚拟化安全桌面，同时阻止内外网络文件的直接传输，达到内外网隔离的目的。所有上网行为均在虚拟化安全桌面中进行，并集中在服务器端，与本地计算机彻底分离，不占用其资源，使本地计算机成为一个安全高效的工作平台。

我院在在网络建设中采用了北信源VRV桌面安全管理系统。北信源桌面终端标准化管理系统应用于局域网、广域网构架，支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。系统应用主要分为以下两种构架：

基本构架：对于一般网络（例如1个C类地址或若干个C类地址的局域网范围），可使用一套本系统软件，集中管理所属区域内的所有设备。

扩展构架：对于大规模的多个局域网或者跨地域广域网（包括基于国家、省、市、县等多级管理模式的网络结构），可使用本系统提供的多区域集中管理构架，即一个或多个网段各拥有一套独立北信源桌面终端标准化管理系统的同时，将本级所有设备信息再转发给上级管理数据库，使得上一级管理人员对整个网络的设备状况也能够完全掌握。

桌面安全系统主要用于帮助医院用户在利用互联网的开放性、共享性和便利性的同时，又能抵御、控制来自互联网日益增加的风险和威胁。利用核心的技术和独特的信息安全架构，防止数据外泄，隔绝来自外界和内部的威胁，却又能不影响正常的上网和办公等操作；帮助医院防患于未然，避免在出现大的信息安全事故后，才来考虑如何补救的尴尬状况。桌面安全系统的特点如下：

1） 逻辑隔离

为每个医院用户分配一个虚拟化桌面用于上网和日常办公，与用于机密工作的本地电脑相互隔离。实现机密与非机密数据隔离、安全与非安全网络隔离；

2） 文件传输控制

安全与非安全区域的文件传输严格受控。通过主管审批、文件过滤、备份记录等方式控制机密文件

3） 上网行为管理

医院用户在虚拟化桌面里上网行为可被控制和记录；可根据URL、时间段等参数来控制，并定期生成统计报表

4） 应用程序配置

管理员可设定虚拟桌面内用户可用的应用程序；为不同的用户或组设定不同的应用程序使用权限

5） 病毒防范

将病毒隔离在虚拟桌面内，无法进一步传到内部网络；内置病毒查杀工具自动清除虚拟桌面内的病毒

6） 高安全性

安全桌面内的所有操作都是虚拟化的，对服务器操作系统本身没有影响；因此病毒和木马无法传播到服务器上，更无法进一步影响本地计算机。

7） 高易用性

不论医院用户的操作系统是 Windows9x/2000/XP/Vista/linux，均可通过上网安全桌面来访 问互联网。涉密工作和上网，只要在一台电脑上即可完成，只需切换窗口，随时转换工作内容。

8） 高效性

虚拟化的上网安全桌面由服务器集中生成，几乎不占用本地计算机资源；使本地计算机可以专注于工作任务的处理。仅有桌面图形传至本地计算机，网络流量极小，用户界面操作流畅

9） 稳定性

采用专门定制的并经严格测试硬件设备，保证了上网安全桌面可以长期、稳定运行。

10） 实施与维护

上网安全桌面系统实施简单，软硬件一体的设备省去了传统软件安装部署的繁琐步骤，真正做到简单安装，快速部署。

6 结束语

网络安全是医院信息化建设的基础，医院网络安全建设是一个不停息的过程，同时要不断的更新技术，各项技术协调应用，才能保证医院网络安全。我国医院在网络安全建设上仍然处于初级阶段，需要不断的探索和努力，进一步建设好我国医院网络安全体系。

参考文献：

[1] 何剑虎，周庆利.互联网环境下的医疗数据安全交换技术研究[J].中国医疗设备，2013（4）.

[2] 傅征，袁永林.医院信息系统建设与应用[M].北京：人民军医出版社，2002.

[3] 周小利.医院计算机网络系统安全的维护及保障之策分析[J].硅谷，2013（20）.

[4] 郝德坤，浅谈医院信息系统的安全管理 [J].中国美容医学，2012（18）.

[5] 姚力.医院网络与信息系统突发事件应急预案[J].中国数字医学.2013（2）.

[6] 尚邦治.医院局域网安全设计[J].医疗设备信息，2006（11）.