李文健 高 勇
青岛市胶州中心医院信息科,山东胶州 266300
[摘要] 在互联网信息化广泛普及的今天,上下级公文的传递、医院管理、医药技术信息、采购招标等医院日常业务需要经常与外界进行数据交流。而属于医院内部网络的电子病案类系统数据及综合性金融、管理类敏感数据,历来都是做为行业内部涉密信息需要妥善加以防护。本文着重探讨如何安全、有效的在医疗单位内部应用互联网信息技术。
[教育期刊网 http://www.jyqkw.com
关键词 ] 医疗;信息技术;安全;网络;互联网
[中图分类号]R197.4[文献标识码] A[文章编号] 1672-5654(2014)10(c)-0060-02
[作者简介] 李文健(1977-),男,山东潍坊,大学本科,助理工程师,电脑软硬件、网络维护及使用。
医疗行业信息化因其涉及到医院电子病案系统数据及各类敏感金融、管理类数据,历来都是做为行业内涉密信息妥善加以防护。而在互联网时代的今天,上下级公文的传递、医院管理、医药技术信息、采购招标等医院日常业务的需要又不可能闭关锁国不与外界产生数据交互。如何安全、经济、快捷的应用互联网技术就承现出相互矛盾的态势。
1 国内医疗行业互联网信息技术应用现状
就目前而言,国内医疗行业普遍采取的是以下两种方式应用互联网信息:
1.1采取内外网物理隔离,各自使用一套单独的网络系统,独立运行,互不干扰
此种方法的优点在于内外网数据使用各自的核心交换机及各自的主干网络独立传输数据,没有交汇点,不会对医院内部敏感数据造成泄密、黑客攻击破坏、感染病毒等潜在危害;但缺点也是显而易见的,独立的两套网络系统造成了资金及技术资源的巨大浪费。
1.2内外网采用路由器及交换机等网络设备共同使用一套网络系统,共享网络资源
此种方法的优点是经济、实惠,资源利用率高。但缺点则更为突出,在没有针对性防护的前提下内网系统非常容易遭到黑客、病毒、木马程序等各类威胁的窥觊和破坏。就内网应用而言潜在危害同样很大,内网用户为非法使用外网任意篡改IP地址从而影响到合法用户的使用;客户端电脑一旦感染病毒将通过服务器将病毒扩散至全网导致大面积网络瘫痪;工作时间私玩网游、看电影、炒股等行为将严重影响工作秩序。
2应用实例
通过参考部分国内同行医疗单位信息化系统应用案例及参加各类信息化安全讲座培训,权衡各方面利弊后,我单位在2013年采取了通过应用四级综合防控手段实现了内外网数据资源共享平台。
2.1采用入侵防护系统(IPS)抵御来自互联网的各类入侵及攻击行为
将互联网光纤使用路由器跳转后接入IPS,对互联网信息实行首次过滤,形成了网络数据平台的第一级防护。
入侵防护系统(IPS)能对目前已知网络攻击类型(如HTTP网页攻击、IIS、CGI远程攻击等)及入侵模式作出相应的防御处理,并在其危险行为开始之前就将其进程结束;同时根据往来IP地址、端口号、协议等实时状态判断数据流是否正常,是否有访问潜在不安全因素网址等行为,发现后即时进行拦阻。在目前单位应用中监控到的攻击类型里,以事件类型为 “CGI_Access HTTP_IIS_ISAPI_.idq_访问”的低安全级别攻击为最多,截止自2014年7月23日17时已发生1110多例。通过数据分析可以得出结论:IPS在单位运行期间网络环境得到了较高的安全保障。
2.2采用网络防火墙(硬件)防御来自互联网的非法数据类型,与入侵防护系统(IPS)形成双层防火墙技术共同抵御黑客入侵及在线扫描攻击等非法网络行为
入侵防护系统(IPS)通过网络端口与防火墙形成级联,部署在互联网入口位置,实现双层过滤,组成了网络数据平台的第二级防护。
计算机一旦连接网络,计算机系统的安全性就显得尤为重要,既要考虑网络病毒的查杀,还得提防外部非法用户的侵入,防火墙技术就成为网络安全最重要的防范措施和手段。目前技术条件下,能够有效保护网络安全(内部网络安全和服务器安全)的措施就是设置双层防火墙。防火墙限制不明身份人员对内部网络访问,同时也是对内部用户和外网连接进行必要限制的一种安全设置。双层过滤技术主要包括外部防火墙和内部防火墙,外部防火墙的功能是过滤,内部防火墙则可以确保内部网络对外部网络访问的安全。在内、外部防火墙之间存在着一个独立的空间区域,这一区域的存在为内部网络安全提供了保障。即使非法入侵者攻破了外部防火墙,由于这一区域的存在,他们也无法侵入到内部网络。所以将提供对外网络访问的服务器放置在这一空间区域内就能确保其安全性。当客户端工作时防火墙能对用户网络访问日志进行记录,计算机系统一旦发生异常,防火墙就能及时地进行阻隔,从而防止用户信息的泄露,并为用户提供相关的信息记录。选择并安装适当的防火墙能够有效地提高计算机使用的安全性,控制不明身份人员对用户信息的偷窥,降低网络使用的危险性,更好地保护计算机和网络使用的安全性[1]。
2.3采用上网行为管理系统(硬件)对内网用户的网络应用行为进行管控,限制各类非办公软件的使用,并对网络流量资源进行调配
经过二次过滤的数据通过防火墙级联至上网行为管理机,经上网行为管理机的下行端口联接至核心交换机就完成了网络数据平台的第三级硬件管控措施。
在使用上网行为管理系统之前,单位的互联网使用一直处于粗放式管理模式。部分未授权职工通过扫描网络IP地址的方式,使用笔记本电脑和更改办公电脑IP地址达到非法上网的目的。由此造成的IP地址冲突时有发生,影响了合法用户的使用;而上班时间玩网游、看电影、网购、下载超大软件等非正常上网行为则严重影响了单位的正常工作秩序。启用上网行为管理系统之后针对上述问题采取了绑定合法用户电脑IP和设置用户名、密码验证上网的方式,杜绝了非授权用户利用非法手段使用互联网现象;通过配置用户权限,限制了在线视频、P2P下载、网购、网游、炒股等明令禁止的网络行为。以2014年7月23日为例,当天单位全网内共拦截到P2P行为433例、网络流媒体134例、危险行为0例、游戏应用16例、股票交易及行情分析0例;对网络流量的策略化管理,保证了网页浏览、收发邮件、视频会议等基础应用的网络带宽,规范了办公人员的上网行为。在方便管理的同时保障了单位正常上网环境的畅通。
2.4采用网络版杀毒软件对全院范围内客户端电脑安装病毒防护程序,及时查杀病毒,实时抵御病毒对网络环境所带来的威胁
网络版杀毒软件是整个数据资源平台中的最后一个防护环节,选择一个适用于本单位的网络版杀毒软件至关重要,它的正常运行决定着作为系统中最末端的工作电脑的安全运转与否。
普通杀毒软件最大的败笔是将正在使用的工作软件当作病毒误报误杀,不仅不能保护客户端的正常应用,反而成了危害医院正常工作的“元凶”。在征求了信息化管理软件生产厂商的意见后单位决定选用一款处理策略相对比较温和的病毒防护软件。该杀毒软件对感染了病毒的电脑采取先隔离审查再清除病毒的方式,对医院等大型企事业单位敏感数据有良好的包容性,适用于医院的工作环境需要。
配置好网络版杀毒软件服务器端设置及自动查杀病毒的策略后,该杀毒软件可自动在线升级服务器端病毒知识库并对客户端进行更新,同时根据预置策略唤醒客户端对整机进行查杀处理。在对最近一次的服务器日志例行分析中发现自2014年初至7月23日止,全院范围内发现病毒104种,共计40329个;通过预设扫描方式处理病毒1220个,实时扫描处理病毒39095个,而手工扫描处理的病毒数量仅为14个;在随后的全院范围内调查问卷中也没有发现漏杀、误杀、杀毒不完全等现象。对正在使用的工作软件普调中也没有发现拦截报警等情况,这说明目前在我单位的工作应用中网络版杀毒软件已成功发挥了堡垒作用,自动处理工作中的不安全因素已成为常态化运行。
3结语
通过应用以上四级管控措施,本单位在利用前期投入的一套主干网资源的基础上,缩减了对网络基础设施的重复投资,降低了用于维护网络硬件和基础设施方面的资金、人力、技术资源,提高了整体网络资源的利用率,在保证网络安全应用的同时为单位节省出了大批的资金。而二网合一的数据平台经实际应用的检测原有的网络传输速率并没有受到明显影响,完全可以胜任现有的医院工作需要。
[教育期刊网 http://www.jyqkw.com
参考文献]
[1]冯洪玉.网络普及背景下的计算机网络安全问题研究[J].煤炭技术杂志,2013,32(1):235-236。
(收稿日期:2014-08-20)