《医院网络中的安全风险与防范措施.docx》由会员分享,可在线阅读,更多相关《医院网络中的安全风险与防范措施.docx(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、医院网络中的安全风险与防范措施 随着信息技术的高速发展,互联网越来越被人们所重视,从农业到工业再到高科技产业各行各业都在运用互联网参加行业生存与竞争。企业对网络的依存度越来越高,网络在企业中所处的位置也越来越重要,系统中存储着维系企业生存与竞争的重要资产-企业信息资源。但是,诸多因素威逼着计算机系统的正常运转。如,自然灾难、人员的误操作等,不仅会造成系统信息丢失甚至完全瘫痪,而且会给企业造成无法估量的损失。因此,企业必需有一套完整的平安管理措施,以确保整个计算机网络系统正常、高效、平安地运行。本文就影响医院计算机网络平安的因素、存在的平安隐患及其应对策略三个方面进行了做了论述。一、医院网络平安
2、存在的风险及其缘由1.自然因素:1.1病毒攻击因为医院网络同样也是连接在互联网上的一个网络,所以它不行避开的要遭到这样或者那样的病毒的攻击。这些病毒有些是一般没有太大破坏的,而有些却是能造成系统崩溃的高危急病毒。病毒一方面会感染大量的机器,造成机器“罢工“并成为感染添另一方面会大量占用网络带宽,堵塞正常流量,形成拒绝服务攻击。我们醒悟地知道,完全避开全部终端上的病毒是不行能的,但要尽量削减病毒爆发造成的损失和复原时延是完全可能的。但是由于一些工作人员的疏忽,使得医院网络被病毒攻击的频率越来越高,所以病毒的攻击应当引起我们的关注。1.2软件漏洞任何的系统软件和应用软件都不能是百分之百的无缺陷和无
3、漏洞的,而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。针对固有的平安漏洞进行攻击,主要在以下几个方面:1.2.1、协议漏洞。例如,IMAP和POP3协议肯定要在Unix根书目下运行,攻击者利用这一漏洞攻击IMAP破坏系统的根书目,从而获得超级用户的特权。1.2.2、缓冲区溢出。许多系统在不检查程序与缓冲区之间改变的状况下,就接受任何长度的数据输入,把溢出部分放在堆栈内,系统仍照常执行吩咐。攻击者就利用这一漏洞发送超出缓冲区所能处理的长度的指令,来造成系统不稳定状态。1.2.3、口令攻击。例如,Unix系统软件通常把加密的口令保存在一个文件中,而该文件可通过拷贝或口令
4、破译方法受到入侵。因此,任何不刚好更新的系统,都是简单被攻击的。2、人为因素:2.1操作失误操作员平安配置不当造成的平安漏洞,用户平安意识不强.用户口令选择不慎.用户将自己的帐号随意转借他人或与别人共享等都会对网络平安带来威逼。这种状况在企业计算机网络运用初期较常见,随着网络管理制度的建立和对运用人员的培训,此种状况渐渐削减.对网络平安己不构成主要威逼。2.2恶意攻击这是医院计算机网络所面临的最大威逼,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的状况下.进行截获、窃取、
5、破译以获得重要机密信急。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。网络黑客和计算机病毒对企业网络(内联网)和公网平安构成巨大威逼,每年企业和网络运营商都要花费大量的人力和物力用于这方而的网络平安防范,因此防范人为的恶意攻击将是医院网络平安工作的重点。二、构建平安的网络体系结构1.设计网络平安体系的原则1.1、体系的平安性:设计网络平安体系的最终目的是为爱护信息与网络系统的平安所以平安性成为首要目标。要保证体系的平安性,必需保证体系的完备性和可扩展性。1.2、系统的高效性:构建网络平安体系的目的是能保证系统的正常运行,假如平安影响了系统的运行,那么就须要进行权衡了,必需在平
6、安和性能之间选择合适的平衡点。网络系统的平安体系包含一些软件和硬件,它们也会占用网络系统的一些资源。因此,在设计网络平安体系时必需考虑系统资源的开销,要求平安防护系统本身不能阻碍网络系统的正常运转。1.3、体系的可行性:设计网络平安体系不能纯粹地从理论角度考虑,再完备的方案,假如不考虑实际因素,也只能是一些废纸。设计网络平安体系的目的是指导实施,假如实施的难度太大以至于无法实施,那么网络平安体系本身也就没有了实际价值。1.4、体系的可担当性:网络平安体系从设计到实施以及平安系统的后期维护、平安培训等各个方面的工作都要由企业来支持,要为此付出肯定的代价和开销假如我们付出的代价比从平安体系中获得的
7、利益还要多,那么我们就不该采纳这个方案。所以,在设计网络平安体系时,必需考虑企业的业务特点和实际承受实力,没有必要按电信级、银行级标准来设计这四个原则,可以简洁的归纳为:平安第一、保障性能、投入合理、考虑发展。2、网络平安体系的建立网络平安体系的定义:网络平安管理体系是一个在网络系统内结合平安技术与平安管理,以实现系统多层次平安保证的应用体系。网络系统完整的平安体系系统物理平安性主要是指从物理上保证系统中各种硬件设备的平安牢靠,确保应用系统正常运行。主要包括以下几个方面:(1)防止非法用户破坏系统设备,干扰系统的正常运行。(2)防止内部用户通过物理手段接近或窃取系统设备,非法取得其中的数据。(
8、3)为系统关键设备的运行供应平安、相宜的物理空间,确保系统能够长期、稳定和高效的运行。例如:中心机房配置温控、除尘设备等。网络平安性主要包括以下几个方面:(1)限制非法用户通过网络远程访问和破坏系统数据,窃取传输线路中的数据。(2)确保对网络设备的平安配置。对网络来说,首先要确保网络设备的平安配置,保证非授权用户不能访问随意一台计算机、路由器和防火墙。(3)网络通讯线路平安牢靠,抗干扰。屏蔽性能好,防止电磁泄露,减少信号衰减。(4)防止那些为网络通讯供应频繁服务的设备泄露电磁信号,可以在该设备上增加信号干扰器,对泄露的电磁信号进行干扰,以防他人顺当接收到泄露的电磁信号。应用平安性主要是指利用通
9、讯基础设施、应用系统和先进的应用平安限制技术,对应用系统中的数据进行平安爱护,确保能够在数据库级、文档/记录级、段落级和字段级限制非法用户的访问。另外,对存放重要数据的计算机(服务器、用户机)应运用平安等级较高的操作系统,利用操作系统的平安特性。三、网络平安的技术实现1、防火墙技术在外部网络同内部网络之间应设置防火墙设备。通过防火墙过滤进出网络的数据,对进出网络的访问行为进行限制和阻断,封锁某些禁止的业务,记录通过防火墙的信息内容和活动。对网络攻击进行监测和告警。防火墙可分为包过滤型、检测型、代理型等,应依据不同的须要安装不同的防火墙。2、划分并隔离不同平安域依据不同的平安需求、威逼,划分不同
10、的平安域。采纳访问限制、权限限制的机制,限制不同的访问者对网络和设备的访问,防止内部访问者对无权访问区域的访问和误操作。我们可以根据网络区域平安级别把网络划分成两大平安区域,即关键服务器区域和外部接入网络区域,在这两大区域之间须要进行平安隔离。在关键服务器区域内部,也同样须要根据平安级别的不同进行进一步平安隔离。划分并隔离不同平安域要结合网络系统的安防与监控须要,与实际应用环境、工作业务流程和机构组织形式亲密结合起来。3、防范病毒和外部入侵防病毒产品要定期更新升级,定期扫描。在不影响业务的前提下,关闭系统本身的弱点及漏洞并刚好打上最新的平安补丁。防毒除了通常的工作站防毒外,email防毒和网关
11、式防毒己经越来越成为消退病毒源的关键。还应运用扫描器软件主动扫描,进行平安性检查,找到漏洞并刚好修补,以防黑客攻击。医院网管可以在CISCO路由设备中,利用CISCOIOS操作系统的平安爱护,设置用户口令及ENABLE口令,解决网络层的平安问题,可以利用UNIX系统的平安机制,保证用户身份、用户授权和基于授权的系统的平安,:对各服务器操作系统和数据库设立访问权限,同时利用UNIX的平安文件,例如/etc/hosts.equiv文件等,限制远程登录主机,以防非法用户运用TELNET、FTP等远程登录工具,进行非法入侵。4、备份和复原技术备份是保证系统平安最基本、最常用的手段。实行数据的备份和复原
12、措施,有些重要数据还须要实行异地备份措施,防止灾难性事故的发生。5、加密和认证技术加密可保证信息传输的保密性、完整性、抗抵赖等,是一个特别传统,但又特别有效的技术。加密技术主要用于网络平安传输、公文平安传输、桌面平安防护、可视化数字签名等方面。6、实时监测实行信息侦听的方式找寻未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发觉系统遭遇的攻击损害。网络实时监测系统作为应付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征。7、PKI技术公开密钥基础设施(PKI)是通过运用公开密钥技术和数字证书来确保系统网络平安并负责验证数字证书持有者身份的一种体系。PKI可以供应的服务包括:认证服务,保密性服务(加密),完整性服务,平安通信,平安时间戳,小可否认服务(抗抵赖服务),特权管理,密钥管理等。四、结束语:网络的平安与医院利益休戚相关,一个平安的网络系统的爱护不仅和系统管理员的系统平安学问有关,而且和领导的决策、工作环境中每个员工的平安操作等都有关系。网络平安是动态的,新的Internet黑客站点、病毒与平安技术每日剧增,医院网络管理人员要驾驭最先进的技术,把握住医院网络平安的大门。