返回
医院网络安全防护体系的构建

医院网络安全防护体系的构建

ID:4131710

大小:516.35 KB

页数:7页

时间:2017-11-29

医院网络安全防护体系的构建_第1页
医院网络安全防护体系的构建_第2页
医院网络安全防护体系的构建_第3页
医院网络安全防护体系的构建_第4页
医院网络安全防护体系的构建_第5页
资源描述:

《医院网络安全防护体系的构建》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、医院网络安全防护体系的构建栾松兰刘继庆①北京回龙观医院计算机中心,100096,北京昌平区回龙观镇关键词医院网络安全防护体系摘要我院网络信息系统经过多年的建设,已经具备了一定的网络规模,但随着业务系统的逐步扩展应用,网络黑客、网络恶意软件的出现和泛滥,给网络管理带来更多的复杂性,同时给医院信息系统造成了一定的潜在威胁。为了有效的保证医院信息化网络和医疗业务信息系统的安全,建立一个统一的立体安全防护体系,以达到更加完善的网络系统安全。网络安全是一项动态的系统工程,它需要集中多种安全手段,相辅相成。我院信息与网络系统经过多年的建设,已经具备了一定的网络规模,

2、包括医院HIS系统及远程门诊的互联等都具备了一定的基础。随着信息化系统的建设,医院在网络信息化方面投入了很大的精力,并且在网络及应用基础架构方面具备了一定的基础。但随着业务系统的逐步扩展应用,给网络管理带来更多的复杂性,加之网络恶意软件技术的逐步发展,给医院信息系统造成了一定的潜在威胁。如何保障医院信息化网络系统正常运行,已经成为当前信息化健康发展所要考虑的重要事情之一。一个完整的安全体系由四个方面构成:安全策略、保护、检测和响应。安全策略包括信息安全管理策略、信息安全策略、信息安全审计考核。保护是采用安全技术即方法来实现的,主要有防火墙、加密、认证等。

3、检测是强制落实信息安全策略的有力工具。响应是在检测到安全漏洞和安全事件之后必须及时做出正确的响应,从而把系统调整到安全状态。信息安全的保护、检测和响应是一个相互紧密整合的整体。因此,参照国家相关法律法规和行业标准对信息化安全的要求,我们着重从风险的角度来分析我院的网络安全需求。1网络层安全风险1486我们知道,基于Internet公网的开放性、国际性与自由性,网络系统面临的安全威胁主要来自黑客攻击、病毒、蠕虫、恶意代码、垃圾邮件等各种各样的攻击。由于我院的医疗信息系统与互联网系统均在同一网络之中,自然存在着被黑客攻击的可能。同时,通过Internet传播

4、的病毒、蠕虫等也会给我院的网络带来相当大的安全风险。在网络内部,没有部署专业的入侵检测与防御设备,而我院的诸多业务是通过Internet提供服务的(如远程拨号VPN)。一旦在网络边界处出现安全问题,包括黑客攻击、病毒及蠕虫的破坏导致的系统不可用,将会给网络带来重大影响。2统层安全风险系统层安全通常是指网络操作系统的安全。对一个网络系统而言操作系统或应用系统存在不安全因素,将是黑客攻击得手的关键因素。我们都知道就目前的操作系统或应用系统,无论是微软的Windows系统,还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统都存在着各种各样的漏洞,而这些

5、漏洞都将存在重大安全隐患。我院的关键业务系统采用的操作系统都是Windows,因此不可避免地存在着各种安全漏洞,并且漏洞被发现与漏洞被利用之间的时间差越来越小,这就使得操作系统本身的安全性给整个信息系统安全带来巨大的风险。3应用层安全风险对于我院的应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。目前针对应用系统存在的安全风险主要有以下几个方面:用户身份假冒,非法用户假冒合法用户的身份访问应用资源;授权访问,非法用户或者合法用户访问在其权限之外

6、的系统资源。4管理层安全风险信息系统离不开人的管理,再好的安全策略最终要靠人来制定和执行,因此管理既是安全保障体系的核心,又是安全保障体系可靠运行的基石。责权不明,1487管理混乱、安全管理制度不健全以及缺乏可操作性等都可能给信息系统的安全带来风险。当网络中出现攻击行为或网络受到安全威胁时(如内部人员的违规操作等),无法进行有效的检测、监控,及时报告与预警。当事故发生后,也无法提供攻击行为的追踪线索及破案依据。因此,缺乏对网络控制和审查的管理手段,缺乏必要的安全管理制度和安全管理解决方案,将会给系统带来很严重的安全隐患。5防御体系基于我院面临的种种网络安

7、全风险,为了更为有效的保证我院信息化网络和医疗业务信息系统的安全,我们应用了比较先进的信息安全建设理念,建立一个统一的立体安全防护体系,并通过对安全体系的建设来达到更加完善的安全。5.1制定安全防护策略,建立健全网络安全防护管理体系一个完整的安全防护体系应包括安全策略、组织管理、技术防范体系等几个方面。其中,安全策略是从整个网络安全角度出发编写的管理性项目文件。安全策略由人和系统行为的规范和要求组成,它的意义在于执行后所产生的效果。在整体的安全策略的控制和指导下,综合运用防护工具(如防火墙、身份认证、防病毒程序等)的同时,利用如扫描、入侵检测等检测工具了

8、解和评估系统的安全状态,通过适当的安全响应将系统调整到“最安全”和“风险最低”的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。