王曉春　張磊　張麗華　唐華

【摘要】防火墻和其它反病毒類軟件都是很好的安全產品，但是要讓醫(yī)院整個網絡體系具有最高級別的安全等級，還需要具有一定的主動性。每天我們都會留意各種黑客攻擊、病毒和蠕蟲入侵等消息，不過當看到這些消息時，也許系統(tǒng)已經受到了攻擊，在本文中將向大家闡述一種具有主動性的網絡安全模式，通過這種模式就算再發(fā)現新病毒，也不用擔心醫(yī)院的整個網絡系統(tǒng)的安全性。

【關鍵詞】防火墻;網絡安全;主動性

類似于防火墻或者反病毒類軟件，都是屬于被動型或者說是反應型安全措施。在攻擊到來時，這類軟件都會產生相應的對抗動作，它們可以作為整個安全體系的一部分，但是，還需要建立一種具有主動性的網絡安全模式，防護任何未知的攻擊，保護醫(yī)院的網絡安全。

１．實現主動性網絡安全防護體系的四項安全措施

在實現一個具有主動性的網絡安全架構前，需要對現有的主流網絡安全體系有一個大概的了解。防護方法包括四個方面：防火墻、VPN、反病毒軟件，以及入侵檢測系統(tǒng)(IDS)。防火墻可以檢測數據包并試圖阻止有問題的數據包，但是它并不能識別入侵，而且有時候會將有用的數據包阻止。VPN則是在兩個不安全的計算機間建立起一個受保護的專用通道，但是它并不能保護網絡中的資料。反病毒軟件是與其自身的規(guī)則密不可分的，而且面對黑客攻擊，基本沒有什么反抗能力。同樣，入侵檢測系統(tǒng)也是一個純粹的受激反應系統(tǒng)，在入侵發(fā)生后才會有所動作。[1]

雖然這四項基本的安全措施對醫(yī)院信息化來說至關重要，但是實際上，一個醫(yī)院也許花費了上百萬購買和建立的防火墻、VPN、反病毒軟件以及IDS系統(tǒng)，但是面對黑客所采用的“通用漏洞批露”(CVE)攻擊方法卻顯得無能為力。CVE本質上說是應用程序內部的漏洞，它可以被黑客利用，用來攻擊網絡、竊取信息，并使網絡癱瘓。據2004 E-Crime Survey(2004 電子犯罪調查)顯示，90%的網絡安全問題都是由于CVE引起的。這就更加需要一種具有主動性的網絡安全模式來綜合管理這四項基本安全措施。

2.四項安全措施的綜合管理具體實施的步驟

具有主動性的網絡安全模式是對上述四項安全措施的綜合管理。在這種系統(tǒng)中，使用漏洞管理系統(tǒng)來防止CVE帶來的入侵則是整個系統(tǒng)最重要的部分，下面介紹具體實施步驟：

2.1實現主動性的網絡安全模式

作為醫(yī)院的信息化技術人員，要保護醫(yī)院的網絡首先需要開發(fā)一套安全策略，并強迫所有科室人員遵守這一規(guī)則。同時，需要屏蔽所有的移動設備，并開啟無線網絡的加密功能以增強網絡的安全級別。為無線路由器打好補丁并確保防火墻可以正常工作是非常重要的。之后檢查系統(tǒng)漏洞，如果發(fā)現漏洞就立即用補丁或其它方法將其保護起來，這樣可以防止黑客利用這些漏洞竊取醫(yī)院的資料和導致網絡癱瘓。[2]

2.2開發(fā)一個安全策略

良好的網絡環(huán)境總是以一個能夠起到作用的安全策略為開始實現的?；镜囊?guī)則包括從指導操作員如何建立可靠的密碼到業(yè)務連續(xù)計劃以及災難恢復計劃(BCP和DRP)。執(zhí)行一個共同的安全策略也就意味著向具有主動性安全網絡邁出了第一步。

2.3減少對安全策略的破壞

不論是有線網絡，還是筆記本或者無線設備，都很有可能出現破壞安全策略的情況。很多系統(tǒng)沒有裝防病毒軟件、防火墻軟件，同時卻安裝了很多點對點的傳輸程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即時消息軟件等，它們都是網絡安全漏洞的根源。因此，你必須強制所有的終端安裝反病毒軟件，并開啟Windows XP內建的防火墻，或者安裝商業(yè)級的桌面防火墻軟件，同時卸載點對點共享程序以及聊天軟件。

2.4封鎖移動設備

對于醫(yī)院的網絡來說，最大的威脅可能就是來自那些隨處移動的筆記本或其它移動終端，它們具有網絡的接入權限，可以隨時接入醫(yī)院的網絡。但是正因為它們具有移動特性，可以隨著操作員遷移到其它不安全的網絡并暴露在黑客的攻擊之下，當這些筆記本電腦再次回到醫(yī)院的網絡環(huán)境時，就成了最大的安全隱患。

據Forrester Research調查，到2005年，世界總共將有3500萬移動設備用戶，而到2010年，這個數字將增加到150億。這些數字讓我們了解這將是醫(yī)院網絡安全所面臨的巨大考驗。任何一個系統(tǒng)都有可能由于未經驗證的用戶訪問而被感染。通過安全策略，可以讓網絡針對無線終端具有更多的審核，比如快速檢測到無線終端的接入，然后驗證這些終端是否符合安全策略，是否是經過認證的用戶，是否有明顯的系統(tǒng)漏洞等。

2.5設置防火墻

雖然防火墻并沒有特別強的安全主動性，但是它可以很好的完成自己該做的那份工作。防火墻要設置智能化的規(guī)則，以便關閉那些可能成為黑客入侵途徑的端口。比如1045端口就是SASSER蠕蟲的攻擊端口，因此需要為防火墻建立規(guī)則，屏蔽所有系統(tǒng)上的1045端口。另外，當筆記本或其它無線設備連接到網絡中時，防火墻也應該具有動態(tài)的規(guī)則來屏蔽這些移動終端的危險端口。[3]

2.6下載安裝商業(yè)級的安全工具

目前與安全有關的商業(yè)軟件相當豐富，可以從網上下載相應的產品來幫助保護醫(yī)院網絡。這類產品從安全策略模板到反病毒、反垃圾郵件程序等，應有盡有。微軟也針對系統(tǒng)的漏洞不斷給出升級補丁。所有這些工具都可以有效地提升網絡的安全等級，因此應該充分利用它們。

2.7禁止?jié)撛诘目杀缓诳屠玫膶ο?/p>

“瀏覽器助手(BHO)”是最常見的可被黑客利用的對象。它一般用來監(jiān)測用戶的頁面導航情況以及監(jiān)控文件下載。如果想看看自己的系統(tǒng)中到底有多少BHO，可以從Definitive Solutions公司的網站上下載BHODemon工具進行檢測。BHO是通過ADODB流對象在IE中運行的。通過禁止ADODB流對象，就可以防止BHO寫入文件、運行程序以及在系統(tǒng)上進行其它一些動作。

2.8留意最新的威脅

據計算機安全協(xié)會（CSI）表示，2002 CSI/FBI計算機犯罪和安全調查顯示，“計算機犯罪和信息安全的威脅仍然不衰退，并且趨向于金融領域”。因此，需要時刻留意網絡上的最新安全信息，以便保護醫(yī)院網絡。

2.9彌補已知的漏洞

系統(tǒng)上已知的漏洞被稱為“通用漏洞批露”(CVE)，它是由MITRE組織匯編整理的漏洞信息。通過打補丁或其它措施，可以將網絡中所有系統(tǒng)的CVE漏洞彌補好。目前通過工具軟件，可以快速檢測系統(tǒng)的CVE漏洞并將其修補好。

綜上所述，一個具有主動性的網絡安全模式是以一個良好的安全策略為起點的，之后需要確保這個安全策略可以被徹底貫徹執(zhí)行。雖然安全性永遠都不是百分之百的，但是搭建好具有主動性的網絡安全模式就可以使醫(yī)院的網絡安全處于優(yōu)勢地位。[科]

【參考文獻】

［１］鄧素平.構建網絡安全防護體系[J].山東通信技術,2001,2：17-19.

［２］劉曉瑩等.網絡安全防護體系中網絡管理技術的研究與應用[J].應用與開發(fā),2001,2001,3:30-31.

［３］江振宇.建立防火墻的主動性網絡安全防護體系[J].計算機與信息技術,2007,23：56.