1、概述
網絡安全是指整體網絡結構內部支援的所有網絡硬件設備和軟件之間的統籌安全防護,保障兩者不受惡意攻擊和破壞,保持網絡系統可靠地連續執行,保障網絡的不中斷服務。醫院的網絡系統範圍涉及醫院資訊系統中各節點間的通信鏈路、各類硬件設備、醫療軟件及其系統中的報表數據等。從網絡運維和管理者的角度分析,網絡安全可視作由多個結構分類組成的一個集合,每一個安全層次作爲一個獨立整體對應不同的功能特徵,結合醫院網絡系統的實際運用,可將醫院網絡安全分爲3個方面並提供不同策略的防護:物理方面、結構方面和應用方面。
2、網絡的物理安全
醫院網絡基礎設施的安全建設,主要涉及中心機房的安全性設計,包括網絡執行的物理環境安全(如區域保護和災難保護)以及相關設備的防護安全等。中心機房作爲醫院資訊網絡系統的核心樞紐,它承載着整個資訊系統的基礎條件,在醫院網絡工程設計與施工過程中,需充分考慮機房的地理選址、室內環境裝修以及各項防災、消防措施等事項。具體保障設施的建設需求不作一一詳述,可具體參照《電子資訊系統機房設計規範》進行規劃設計。同時,可部署機房環境監控系統(BSM),對機房的各防護體系進行集中監控和安全管理,並提供相應的機房組態介面圖,實時展示機房內各機櫃的溫溼度情況、精密空調工作狀態、機房市電工作數據和UPS供電狀況等資訊,便於管理員的日常巡視工作。
3、網絡的結構安全
醫院的局域網交互廣泛、應用複雜,網絡結構的建立要考慮物理環境、設備配置與業務應用情況、遠程聯網方式、網絡維護管理等因素。在構建醫院需求的局域網時通常採用“分層網絡模型”的設計,將醫院整體網絡結構劃分成相互分離的三層拓撲:核心層、分佈層和接入層。分層網絡具有良好的擴展性,網絡的冗餘性實現方便,有助於提高網絡的安全性且便於管理維護。在分層設計模型中,接入層是負責終端設備的接入,主要是將設備連接至網絡並提供相應的網段間通信服務;分佈層是匯聚接入層交換機傳輸的數據,透過相應訪問策略(如ACL、NAT等)控制不同網段間的通信訪問,並將透過審查的數據傳輸至核心層;核心層是網絡互聯的高速主幹道,作爲網絡匯聚的樞紐集中着所有分佈層設備需要交換的流數據量,必須具有高效的數據轉發和處理能力。通常,接入層交換機分部安裝在每層樓宇的配線間中,分佈層、核心層交換機基於嚴格的安全防護通常部署於中心機房內。接入層設備採用相較便宜的只有基礎轉發功能的二層交換機,而在分佈層和核心層上採用價格相較高昂的千兆以上高帶寬、高性能和具有冗餘功能和路由功能的三層交換機。在網絡拓撲規劃中,同時要考慮構建網絡的鏈路冗餘性,通常採用雙設備互聯備份機制,爲網絡拓撲結構的每一層的每一臺交換機與下一層的每一臺交換機之間兩兩鏈路互連,並啓用交換機的STP(生成樹協議)防止多條路徑之間可能導致的網絡環路,也可在路由器接口上啓用VRRP(虛擬路由器冗餘協議)實現VRRP組中備份路由器(可配置多臺)在主路由器失效時的接替工作,即使某一臺交換機路由器在工作中出現故障,相連的其他設備會調整選擇其他正常的備用設備與可達路徑,保持數據間的正常轉發與路由,使網絡保持暢通。在網絡結構的優化方面,可爲接入層交換機的終端設備(如服務器)接入端口配置爲快速端口(PortFast)模式,爲分佈層和核心層之間運用鏈路聚合技術,將多條物理鏈路組合成一條具有更高帶寬的邏輯鏈路,結合使用負載均衡功能實現網絡更快的傳輸效率和更高的吞吐量,提升網絡的通信性能。
4、網絡的應用安全
醫院網絡系統的應用貫穿着各項日常業務的開展,隨着醫療服務對於互聯網技術的廣泛應用,各不同醫療部門的工作業務、管理業務和科研需求都離不開網頁的瀏覽訪問、檔案的上傳、下載、電子郵件等應用程序。面向全球性開放式、結構錯綜複雜的Internet網絡,不僅使流經醫院網絡的數據流量激增,隨之而來的非法侵入的可能性也急劇增大。爲了保護各種資訊資源的安全,必需對本地、外部網絡的訪問、數據資訊的讀寫等加以保護和控制,避免遭受木馬病毒的侵入、DOS攻擊、IP位址欺詐、非法佔用和串改等網絡威脅,抵禦網絡xx的攻擊和勒索破壞。網絡的應用安全具體實施包括如下幾個方面:
4.1內外網絡的隔離
醫院的網絡體系結構一般由3個區域組成:本地網絡、外圍網絡或DMZ(非軍事區)以及邊界(外部)網絡。在兩個不同的區域間都各自部署一臺結構不同的防火牆(若採用同廠商同型號的防火牆,由於兩者的性能協議相同則而被xx輕易地逐一攻破),組成兩兩網絡區域間的第一道防護屏障,避免位於後方的網絡受到來自外界的攻擊,提供對不受信任的外部用戶的訪問限制,防止外部用戶訪問內部網絡同時也可以限制、規範內部用戶的可執行操作。防火牆作爲內外網絡進出的必經之路,透過包過濾技術可以檢測所有數據的詳細資訊,並根據已制定的相關訪問策略和過濾規則對外界流經它的數據進行監控和審查,防止外部網絡中未授權用戶的非法訪問,實現內外網的隔離與訪問控制,進一步保護網絡中業務數據、資訊資源和用戶資訊的安全。
4.2內部網絡的訪問控制
主要利用VLAN(虛擬局域網)技術並結合Trunk(中繼)和VLAN間路由技術來實現對內部子網的邏輯隔離與延伸。按照醫院區域規劃及相關職能透過在交換機上劃分VLAN將醫院內部網絡邏輯地劃分成若干個虛擬子網,每一個VLAN形成一個獨立的子網,實現內部網段的隔離,簡化了網絡拓撲的結構的同時提高了用戶間數據的保密性。VLAN間的隔離將網絡整體的大型廣播域分割成一個個互不干涉的小型獨立域,以此防止廣播風暴在整個網絡範圍的傳播,可以限制局部網絡安全問題對全局網絡造成影響。
4.3網絡安全檢測與防禦
防火牆可以阻止基於IP包頭的攻擊和非信任地址的訪問,但無法阻止基於數據內容的攻擊和病毒入侵,同時也無法控制內部網絡之間的行爲。入侵檢測(IDS)和入侵防禦(IPS)系統被視作防火牆之後的第二道安全閘門。IDS屬於一種監測系統,在網絡系統的執行遇到非法入侵的狀況時進行自動檢測和監控,並對異常行爲進行記錄並分析相應的入侵規則,在識別入侵攻擊的特徵後,向控制檯報警並提供防禦依據,隨後開展相應的防護功能並及時將入侵事件反饋給管理員。IPS可深入網絡數據的內部,感知並檢測流經的數據流量,對照數據之間的正常關係以此識別可疑情況,檢測到異常特徵後及時對透過網關或防火牆進入網絡內部的惡意代碼進行丟棄以阻斷攻擊,第一時間阻止木馬病毒的蔓延,同時還會對濫用濫反的報文進行限流以保護網絡的帶寬資源。通常將防火牆、IDS、IPS3類設備結合部署,組成一套統一威脅管理系統(UTM),實現網絡資訊的入侵檢測、防禦、阻斷爲一體的綜合性安全防護體系。
4.4網絡防病毒
目前,各種計算機病毒及惡意軟件不斷更新變異,危害和威脅極大,致使加強對網絡環境下病毒和惡意軟件的防範、檢測及清除非常重要。防病毒技術主要透過安全殺毒軟件透過它的實時監控識別、掃描和清除功能來防止木馬病毒和惡意軟件的侵入。部署的殺毒軟件應該具有可疑構造全網統一的雲安全防病毒體系功能,全面支援對整體網絡範圍內的服務器和工作終端進行實時病毒防控,並能夠在雲中心服務端控制對全院客戶端進行最新病毒庫的統一更新,雲安全功能會實時自動分析和處理病毒,可及時、快速地將解決方案提供給網絡管理員,攔截一切可疑的互聯網威脅。
5、結語
醫療資訊化是醫院推行醫療改革、推進技術創新的必經之路,隨着它的數字化應用和發展,醫院的常規業務對各類資訊系統及相關的醫療數據依賴程度日益提高,網絡作爲開展醫療資訊化的基礎,牽一髮而動全身,加強醫院資訊網絡安全已成爲醫療行業中普遍的認識。任何網絡安全事件都可能導致醫院業務的癱瘓、患者個人資訊的泄露、醫療數據的竊取與勒索等,直接影響醫院的整體運營和患者的就醫滿意度,損及醫院的信譽,處理不當則可能會引起醫患糾紛、法律問題甚至社會問題。網絡作爲保障醫院資訊系統安全與穩定的首當其衝之地,它的安全建設和管理工作是醫院資訊化建設的重中之重。