陳香芹（1.濟(jì)寧市第一人民醫(yī)院，山東　濟(jì)寧　272011；2.中南大學(xué)，山東　濟(jì)寧　272011）

?

淺析防火墻技術(shù)在醫(yī)院網(wǎng)絡(luò)中的應(yīng)用

陳香芹1，2
（1.濟(jì)寧市第一人民醫(yī)院，山東濟(jì)寧272011；2.中南大學(xué)，山東濟(jì)寧272011）

摘要：近年來(lái)，隨著計(jì)算機(jī)信息化的迅速發(fā)展，醫(yī)院網(wǎng)絡(luò)已成為人們?nèi)找骊P(guān)心的問(wèn)題。目前解決網(wǎng)絡(luò)安全問(wèn)題的最有效辦法是采用防火墻技術(shù)。本文首先分析了威脅著醫(yī)院網(wǎng)絡(luò)的一些因素，然后對(duì)防火墻技術(shù)的相關(guān)內(nèi)容進(jìn)行了簡(jiǎn)要介紹，最后就加強(qiáng)醫(yī)院網(wǎng)絡(luò)安全而采取的一些措施進(jìn)行了闡述。

關(guān)鍵詞：醫(yī)院網(wǎng)絡(luò)；防火墻；網(wǎng)絡(luò)安全問(wèn)題

1 目前構(gòu)成醫(yī)院網(wǎng)絡(luò)安全的威脅

概括來(lái)說(shuō)，影響醫(yī)院網(wǎng)絡(luò)安全的威脅有兩種：一是對(duì)網(wǎng)絡(luò)軟件程序的影響；其二是對(duì)網(wǎng)絡(luò)硬件設(shè)備的影響。醫(yī)院的內(nèi)網(wǎng)服務(wù)器上保存著病人的大量隱私，其內(nèi)的數(shù)據(jù)對(duì)服務(wù)器的安全性要求很高。但是一些攜帶病毒的文件的入侵，外部的黑客及木馬程序試圖偷走病人的敏感信息，以及自然的災(zāi)害、硬件系統(tǒng)自身的故障、內(nèi)部人員的誤操作等無(wú)法避免的因素都嚴(yán)重威脅著醫(yī)院內(nèi)部數(shù)據(jù)的安全。一旦醫(yī)院的網(wǎng)絡(luò)癱瘓，將會(huì)造成難以估計(jì)的損失，目前人們?yōu)榱吮Ｗo(hù)其醫(yī)院的數(shù)據(jù)和資源安全，結(jié)合醫(yī)院內(nèi)的網(wǎng)絡(luò)安全性特點(diǎn)，采用了最有效的辦法—防火墻技術(shù)。

2 防火墻簡(jiǎn)介

防火墻是一種安全有效的訪問(wèn)控制技術(shù)，是保證內(nèi)部網(wǎng)絡(luò)安全的硬件、軟件或兩者綜合并用的技術(shù)，它可以用來(lái)充當(dāng)訪問(wèn)網(wǎng)絡(luò)的惟一入口點(diǎn)，以決定哪些內(nèi)部服務(wù)允許外部網(wǎng)絡(luò)訪問(wèn)，或阻止攻擊者接近合法用戶去訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，及時(shí)攔截掉外部網(wǎng)絡(luò)不安全的服務(wù)和非法用戶的入侵。防火墻也是通過(guò)在網(wǎng)絡(luò)邊界上建立起來(lái)的相應(yīng)的網(wǎng)絡(luò)安全策略和防入侵措施來(lái)隔離內(nèi)、外部網(wǎng)絡(luò)，可以將口令、加密、身份認(rèn)證、審計(jì)等安全軟件配置在防火墻上，對(duì)內(nèi)、外部網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)，以達(dá)到防止外部網(wǎng)絡(luò)上的危險(xiǎn)傳播到內(nèi)部網(wǎng)絡(luò)的目的。

2.1 防火墻的種類

在整個(gè)防火墻技術(shù)的發(fā)展過(guò)程中，總體來(lái)講可分為“包過(guò)濾型”和“應(yīng)用代理型”防火墻兩大類。其中“第一代靜態(tài)包過(guò)濾”和“第二代動(dòng)態(tài)包過(guò)濾”是包過(guò)濾技術(shù)的兩種不同版本；代理型防火墻技術(shù)也經(jīng)歷了“應(yīng)用網(wǎng)關(guān)型”和“自適應(yīng)代理”防火墻兩個(gè)不同版本的發(fā)展過(guò)程。

2.2 防火墻在醫(yī)院網(wǎng)絡(luò)安全中的應(yīng)用

在我院網(wǎng)絡(luò)中主要采用了包過(guò)濾型和應(yīng)用代理型兩種類型的防火墻技術(shù)。通過(guò)采用此技術(shù)，在醫(yī)院內(nèi)網(wǎng)和外網(wǎng)之間建立了一個(gè)檢查點(diǎn)，即“阻塞點(diǎn)”用來(lái)充當(dāng)訪問(wèn)醫(yī)院網(wǎng)絡(luò)的惟一入口點(diǎn)，從里向外或從外向里的流量都必須通過(guò)它的篩選，只有本地安全策略允許的流量和服務(wù)才能通過(guò)防火墻，從而隔離內(nèi)、外部網(wǎng)絡(luò)，保護(hù)內(nèi)部的網(wǎng)絡(luò)資源和病患信息。

2.2.1 包過(guò)濾型防火墻技術(shù)的應(yīng)用

包過(guò)濾技術(shù)具有信息過(guò)濾的特點(diǎn)，此類技術(shù)與網(wǎng)絡(luò)管理者預(yù)先制定的訪問(wèn)控制表進(jìn)行對(duì)比，一般是在選擇路由的同時(shí)依據(jù)訪問(wèn)控制表在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇過(guò)濾，按照預(yù)定的安全策略判斷所傳輸?shù)男畔⑹欠癜踩?。符合?guī)則的允許通過(guò)或轉(zhuǎn)發(fā)，否則放棄或拒絕。包過(guò)濾器被建立成一組基于與IP或TCP首部中字段的匹配。如果存在與一個(gè)規(guī)則的匹配，則那條規(guī)則就會(huì)被調(diào)用來(lái)決定轉(zhuǎn)發(fā)規(guī)則還是丟棄規(guī)則。

2.2.2 應(yīng)用代理型防火墻的應(yīng)用

通過(guò)在主機(jī)上運(yùn)行代理的服務(wù)程序，代表客戶處理在服務(wù)器連接請(qǐng)求的程序，對(duì)特定的應(yīng)用層進(jìn)行直接服務(wù)。例如用戶使用www應(yīng)用程序與網(wǎng)關(guān)進(jìn)行通信，當(dāng)用戶提供了一個(gè)合法的用戶ID號(hào)后，網(wǎng)關(guān)就聯(lián)系遠(yuǎn)程主機(jī)上的應(yīng)用程序，并在兩個(gè)斷點(diǎn)之間轉(zhuǎn)送包含了此應(yīng)用數(shù)據(jù)的www字段。如果網(wǎng)關(guān)沒(méi)有為此特定的應(yīng)用程序?qū)崿F(xiàn)代理代碼，服務(wù)就不被支持，也就不能通過(guò)防火墻來(lái)傳遞。反之亦然。

另外，包過(guò)濾型和應(yīng)用代理型混合使用的防火墻新技術(shù)也迅速發(fā)展起來(lái)，它綜合了兩類防火墻的優(yōu)勢(shì)，加強(qiáng)了防護(hù)功能。

2.3 防火墻在醫(yī)院網(wǎng)絡(luò)中的優(yōu)勢(shì)及不足

防火墻技術(shù)在醫(yī)院內(nèi)網(wǎng)與外網(wǎng)之間構(gòu)筑的屏蔽，在這里將來(lái)自外部網(wǎng)絡(luò)的非法攻擊或末授權(quán)的用戶擋在被保護(hù)的內(nèi)部網(wǎng)絡(luò)之外，加強(qiáng)了網(wǎng)絡(luò)安全，并簡(jiǎn)化了網(wǎng)絡(luò)管理。但防火墻不能防范醫(yī)院內(nèi)部知情用戶對(duì)數(shù)據(jù)資源的惡意攻擊，也無(wú)法防止不通過(guò)它而進(jìn)行的信息傳輸。非法用戶可以將數(shù)據(jù)復(fù)制到網(wǎng)絡(luò)主機(jī)上，如果病毒已經(jīng)在防火墻內(nèi)部，則防火墻是無(wú)能為力的。

3 加強(qiáng)醫(yī)院網(wǎng)絡(luò)安全所采取的措施

基于上述醫(yī)院網(wǎng)絡(luò)安全的現(xiàn)狀，結(jié)合我院網(wǎng)絡(luò)的實(shí)際特點(diǎn)，采取了以下五個(gè)方面的措施來(lái)保證醫(yī)院網(wǎng)絡(luò)的安全運(yùn)行，從而建立可信可控的安全網(wǎng)絡(luò)。具體如下：

（1）加強(qiáng)醫(yī)院內(nèi)部網(wǎng)絡(luò)安全管理，按時(shí)對(duì)醫(yī)院網(wǎng)絡(luò)日志進(jìn)行統(tǒng)計(jì)，做好內(nèi)網(wǎng)監(jiān)控記錄的日常維護(hù)和登記工作；

（2）建立醫(yī)院網(wǎng)絡(luò)安全使用制度，網(wǎng)絡(luò)管理員及時(shí)對(duì)醫(yī)院內(nèi)、外網(wǎng)的安全配置、日志更新時(shí)間、安全策略進(jìn)行升級(jí)與打補(bǔ)丁，定期對(duì)醫(yī)院網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；

（3）根據(jù)廠家提供的軟件升級(jí)版本對(duì)醫(yī)院網(wǎng)絡(luò)設(shè)備進(jìn)行更新，保證所有與外部系統(tǒng)的連接均得到授權(quán)和批準(zhǔn)，并在更新前對(duì)現(xiàn)有的重要文件進(jìn)行備份；

（4）依據(jù)安全策略允許或者拒絕便攜式和移動(dòng)式設(shè)備在醫(yī)院網(wǎng)絡(luò)中的接入；

（5）指定專人定期檢查違反規(guī)定的上網(wǎng)行為，如撥號(hào)上網(wǎng)或其他不安全的網(wǎng)絡(luò)行為。

結(jié)語(yǔ)

本文通過(guò)簡(jiǎn)要分析當(dāng)前醫(yī)院網(wǎng)絡(luò)面臨的安全威脅，提出了在醫(yī)院網(wǎng)絡(luò)中運(yùn)用防火墻技術(shù)，從而把安全問(wèn)題給醫(yī)院帶來(lái)的潛在危險(xiǎn)降到最低，確保醫(yī)院網(wǎng)絡(luò)高效、安全的運(yùn)行。

參考文獻(xiàn)

[1]黃武鋒.網(wǎng)絡(luò)安全與防火墻[J].科技信息，2006（10）.

[2]孫思良.防火墻技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用[J].電腦知識(shí)與技術(shù)，2005（12）.

[3]錢喻鍔.防火墻技術(shù)初探[J].思茅師范高等?？茖W(xué)校學(xué)報(bào)，2005（03）.

[4]蔡紅柳，何新華.信息安全技術(shù)及應(yīng)用實(shí)驗(yàn)[M].北京：科學(xué)出版社，2004.

[5]劉婷，孟慶偉.防火墻技術(shù)剖析[J].太原城市職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2005.

中圖分類號(hào)：TP393

文獻(xiàn)標(biāo)識(shí)碼：A