邱壽軒

摘要：“互聯(lián)網(wǎng)+”時(shí)代背景下，計(jì)算機(jī)和網(wǎng)絡(luò)的廣泛使用為醫(yī)院各方面工作的開展提供了極大的便利。本文首先概述了新時(shí)期醫(yī)院局域網(wǎng)面臨的安全威脅，隨后提出了多種局域網(wǎng)安全放于措施，并就其中應(yīng)用效果最好、適用范圍最廣的主動(dòng)防御系統(tǒng)進(jìn)行了詳細(xì)分析。

關(guān)鍵詞：醫(yī)院局域網(wǎng)；安全威脅；防御措施；主動(dòng)防御系統(tǒng)

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）09-0181-02

隨著信息技術(shù)的不斷成熟，現(xiàn)階段醫(yī)院局域網(wǎng)也采用了防火墻、身份認(rèn)證、數(shù)據(jù)加密等措施來保證信息安全。但是這些手段均屬于被動(dòng)型防御措施，局域網(wǎng)的安全保護(hù)效果不理想。因此，新時(shí)期迫切需要一種主動(dòng)防御體系來為局域網(wǎng)提供穩(wěn)定性和可靠性運(yùn)行環(huán)境，保障醫(yī)院信息安全。

1 醫(yī)院局域網(wǎng)面臨的安全威脅

近年來，國(guó)內(nèi)接連發(fā)生多起企事業(yè)單位網(wǎng)絡(luò)受攻擊的案例，例如2014年國(guó)內(nèi)兩大型物流公司局域網(wǎng)受到攻擊，將近1500萬條消費(fèi)者信息泄露[1]。因此，醫(yī)院局域網(wǎng)也面臨嚴(yán)重的安全威脅。

1.1 醫(yī)院內(nèi)部網(wǎng)絡(luò)用戶的安全意識(shí)淡薄帶來隱患

對(duì)于醫(yī)院的醫(yī)務(wù)人員來說，計(jì)算機(jī)多數(shù)情況下只是一種辦公設(shè)備，除了利用計(jì)算機(jī)輔助完成工作外，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全缺乏一個(gè)明確的認(rèn)識(shí)。而事實(shí)上，無論是醫(yī)院網(wǎng)絡(luò)管理人員還是廣大醫(yī)務(wù)人員，都沒有接受過專門的網(wǎng)絡(luò)安全培訓(xùn)，這就導(dǎo)致日常局域網(wǎng)的運(yùn)行管理工作不到位，一些網(wǎng)絡(luò)漏洞或安全隱患難以及時(shí)發(fā)現(xiàn)，容易成為不法分子攻擊的對(duì)象。

1.2 計(jì)算機(jī)病毒的特性使得局域網(wǎng)防護(hù)體系形同虛設(shè)

計(jì)算機(jī)病毒具有隱蔽性、潛伏性和變異性等特點(diǎn)，并且計(jì)算機(jī)病毒的更新速度總是快于網(wǎng)絡(luò)安全系統(tǒng)的升級(jí)速度。也就是說，只有當(dāng)某一種計(jì)算機(jī)病毒攻擊網(wǎng)絡(luò)并造成損失后，技術(shù)人員才逆向升級(jí)安全防御系統(tǒng)。除此之外，計(jì)算機(jī)病毒一旦爆發(fā)，短時(shí)間內(nèi)以指數(shù)形式快速蔓延，甚至?xí)?dǎo)致整個(gè)局域網(wǎng)癱瘓，由此帶來嚴(yán)重的損失。

1.3 計(jì)算機(jī)操作系統(tǒng)本身存在一些安全漏洞

根據(jù)相關(guān)部門統(tǒng)計(jì)，現(xiàn)階段國(guó)內(nèi)計(jì)算機(jī)用戶中使用XP系統(tǒng)的大約在1.3億左右，部分醫(yī)院使用的計(jì)算機(jī)也是XP系統(tǒng)。但是自2014年微軟公司停止對(duì)XP系統(tǒng)的更新維護(hù)后，用戶只能使用商務(wù)殺毒軟件來保障計(jì)算機(jī)系統(tǒng)安全[2]。而隨著相關(guān)專業(yè)軟件的不斷升級(jí)，計(jì)算機(jī)操作系統(tǒng)不兼容等問題也逐漸暴露出來，不僅增加了計(jì)算機(jī)的運(yùn)行負(fù)擔(dān)，而且也容易成為不法分子的攻擊對(duì)象，造成計(jì)算機(jī)內(nèi)部數(shù)據(jù)資料的泄露。

2 現(xiàn)階段醫(yī)院局域網(wǎng)常用的安全防御措施

2.1 通過強(qiáng)化制度管理提高安全防御能力

構(gòu)建完善的局域網(wǎng)管理制度，幫助醫(yī)務(wù)人員養(yǎng)成良好的計(jì)算機(jī)使用習(xí)慣，成為減少局域網(wǎng)安全風(fēng)險(xiǎn)和提高安全等級(jí)的一種有效策略。首先，可以要求本院醫(yī)務(wù)人員分批次、定期參加網(wǎng)絡(luò)安全知識(shí)的普及活動(dòng)，意識(shí)到局域網(wǎng)信息資料安全的重要性，并不斷規(guī)范計(jì)算機(jī)操作行為，養(yǎng)成良好使用習(xí)慣，定期進(jìn)行計(jì)算機(jī)殺毒等；其次，還必須加強(qiáng)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)管理人員的培訓(xùn)教育，提高網(wǎng)絡(luò)風(fēng)險(xiǎn)防控能力，切實(shí)維護(hù)好醫(yī)院局域網(wǎng)環(huán)境安全。

2.2 開展多種形式的局域網(wǎng)防御策略

現(xiàn)階段常用的被動(dòng)防御策略主要有以下幾種：設(shè)置防火墻、提高網(wǎng)站訪問安全等級(jí)、對(duì)重要文件資料加密、設(shè)置訪問權(quán)限和身份識(shí)別等。被動(dòng)防御策略能夠應(yīng)對(duì)常規(guī)的一些病毒、木馬或非法入侵，在保證局域網(wǎng)安全中有著普遍應(yīng)用。

2.3 主動(dòng)防御體系

主動(dòng)防御是指局域網(wǎng)的安全系統(tǒng)通過多種渠道接受安全信息，然后根據(jù)信息內(nèi)容對(duì)當(dāng)前的安全威脅進(jìn)行一個(gè)識(shí)別和判斷，在此基礎(chǔ)上通過劃分安全威脅等級(jí)，自行采取相應(yīng)的安全防御措施，達(dá)到有效應(yīng)對(duì)非法攻擊的效果。主動(dòng)防御體系與被動(dòng)防御策略相比，大大縮短了安全事件檢測(cè)和識(shí)別的時(shí)間，因此對(duì)于提高安全防御效率和減小安全攻擊損失起到了很好的應(yīng)用效果。

3 主動(dòng)防御體系的工作原理

3.1 主動(dòng)防御體系的組成

動(dòng)態(tài)安全體系結(jié)構(gòu)模型以整個(gè)網(wǎng)絡(luò)作為安全管理的對(duì)象，在該對(duì)象上以策略和管理為核心，部署檢測(cè)、防護(hù)、反應(yīng)和恢復(fù)等安全技術(shù)，以此來保證對(duì)象的安全。主動(dòng)防御體系則將局域網(wǎng)內(nèi)部署組織資源的主機(jī)（也可以是全部的主機(jī)）看作一個(gè)安全系統(tǒng)，將檢測(cè)、防護(hù)、反應(yīng)和恢復(fù)分散到每個(gè)安全系統(tǒng)中去，同時(shí)，各安全系統(tǒng)通過統(tǒng)一的安全消息協(xié)議進(jìn)行通訊，使各安全系統(tǒng)既各自相對(duì)獨(dú)立又相互依存[3]。如此，各安全系統(tǒng)之間形成了具有防御縱深和梯次部署的整體防線，使局域網(wǎng)形成了一個(gè)交互和聯(lián)動(dòng)的安全系統(tǒng)，從而構(gòu)成了主動(dòng)防御體系。

主動(dòng)防御系統(tǒng)以局域網(wǎng)內(nèi)部署組織資源為主要結(jié)構(gòu)，將其設(shè)為安全系統(tǒng)，并且在每個(gè)安全系統(tǒng)中需要遵循動(dòng)態(tài)安全體系結(jié)構(gòu)模型的指導(dǎo)，在各個(gè)系統(tǒng)中還需要部署安全防御防線，以便實(shí)時(shí)監(jiān)測(cè)信息系統(tǒng)，防御危險(xiǎn)入侵。系統(tǒng)之間的安全消息主要是靠統(tǒng)一的安全協(xié)議進(jìn)行傳遞，從而達(dá)到主動(dòng)防御的目的，使得整個(gè)局域網(wǎng)布局合理縝密，具備分布式以及縱深、梯次部署的防御體系，具體運(yùn)行原理如圖1所示。

3.2 安全消息的傳播形式

為了確保安全消息在傳播過程中不至于出現(xiàn)失真或丟失現(xiàn)象，因此主動(dòng)安全防御體系中采用組播形式來傳遞安全消息。每當(dāng)一個(gè)主動(dòng)防御模型接入到局域網(wǎng)后，必須向服務(wù)器提供自身的信息，服務(wù)器接受信息并確定安全后，才能確保主動(dòng)防御體系啟動(dòng)運(yùn)行。然后主動(dòng)防御體系獲取醫(yī)院局域網(wǎng)內(nèi)各臺(tái)計(jì)算機(jī)的IP地址列表，并在數(shù)據(jù)庫(kù)中進(jìn)行備份。組播采用無連接的UDP協(xié)議，在管理人員啟動(dòng)主動(dòng)防御系統(tǒng)后，組播按照備份好的IP列表順序依次完成安全信息傳播，從而實(shí)現(xiàn)了對(duì)局域網(wǎng)內(nèi)個(gè)計(jì)算機(jī)及其連接網(wǎng)絡(luò)的安全控制。

4 結(jié)語(yǔ)

局域網(wǎng)不僅為醫(yī)院內(nèi)部各計(jì)算機(jī)之間的互聯(lián)互通和信息共享提供了必要環(huán)境，而且也包含了醫(yī)院內(nèi)部所有的信息資源，包括病人信息、醫(yī)院財(cái)務(wù)等，因此保障醫(yī)院局域網(wǎng)的安全就顯得十分必要?，F(xiàn)階段醫(yī)院多采用強(qiáng)化制度管理和網(wǎng)絡(luò)系統(tǒng)被動(dòng)防御來保障局域網(wǎng)安全，雖然起到了一定的防護(hù)效果，但是仍然存在諸多漏洞和隱患。而主動(dòng)防御體系一方面利用了局域網(wǎng)內(nèi)現(xiàn)有的安全系統(tǒng)配置，另一方面又通過安全消息協(xié)議共享機(jī)制，縮短了系統(tǒng)風(fēng)險(xiǎn)和安全隱患的響應(yīng)時(shí)間，顯著提高了局域網(wǎng)安全性，具有較高的推廣應(yīng)用價(jià)值。

參考文獻(xiàn)

[1]陳起燕，黃艷琳.醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全的影響因素及完善信息網(wǎng)絡(luò)安全管理的方式[J].醫(yī)療裝備，2017，30（6）：52-53.

[2]付藍(lán)嵐.基于網(wǎng)絡(luò)安全角度分析醫(yī)院計(jì)算機(jī)信息系統(tǒng)安全技術(shù)的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2015，（3）：172-172.

[3]張蓮萍，陳琦.基于動(dòng)態(tài)網(wǎng)絡(luò)安全模型的中國(guó)數(shù)字化醫(yī)院信息安全體系建設(shè)[J].中國(guó)科技論壇，2015，（03）：48-53.endprint