新形勢下醫院網絡的安全問題分析與對策

摘要:隨著計算機網絡技術的迅猛發展和在醫院的廣泛應用，醫院網絡面臨著病毒、黑客等的威脅和存在重大安全隱患，本文針對常見的安全隱患提出設計方案。

關鍵詞:網絡安全 安全策略 防火墻 入侵檢測

隨著網絡技術的飛速發展，計算機網絡﹑互聯網已經成為推動社會發展的重要力量，而且許多機構(如政府、金融、醫院等)都建設企業內部網絡作為整個部門的信息系統中樞，并以多種方式接入互聯網，極大的提高了自身的信息獲取和處理能力。但是，企業在獲得網絡信息的同時，內部網絡受到網絡安全威脅變得日益嚴重。

計算機及網絡系統為我們醫院信息化建設和醫療工作帶來很多方便的同時，也帶來了諸多安全隱患。最為突出的就是各醫療終端的操作系統受到計算機病毒的威脅，由于醫院職工廣泛使用移動存儲設備也成為醫院局域網計算機病毒傳播的介質。此外，由于大多數醫院目前使用微軟公司的操作系統，其軟件自身設計上的缺陷和漏洞也讓計算機病毒和黑客攻擊成為可能。針對以上問題，從經濟及實用出發，我們對醫院計算機網絡安全采用新的安全策略。

1 影響醫院網絡安全的主要非技術性因素

1.1 網絡安全意識淡薄，缺乏防范意識 網絡安全意識淡薄，缺乏防范意識是影響網絡安全的最基本的因素之一。網絡安全意識的淡薄主要表現為：①缺乏責任感，認為計算機網絡的安全是網絡管理員或者相關部門的事，與己無關。②醫院員工在內部網隨意使用來歷不明的存儲器拷一些文檔或在網上注冊玩游戲；③部分人隨意在網絡上卸載保護軟件或文檔，或者修改系統注冊表；④密碼設置過于簡單，致使一些非法用戶隨意入侵。在網絡系統中，任何一臺計算機的安全性與整個系統的安全性能是息息相關的，一個微小的系統漏洞都有可能使整個網絡的安全系統失效。

1.2 管理觀念沒有及時跟上 一方面，部分醫院員工抱怨實施安全策略是降低了網絡的性能，影響了他們的使用。另一方面，醫院領導則仍然抱有僥幸心理，不重視系統的安全，認為在醫院這樣的網絡上進行大投資是不值得的，總認為網絡癱瘓這樣的“大紕漏”，是不可能出現的。事實上，系統遭受攻擊后的修復費用是遠高于建立安全系統的費用。信息管理部門對網絡安全的現狀認識不足在信息管理部門內部同樣存在著對網絡安全不夠重視的情況，網絡管理人員過分地依賴于安全設備，認為有了安全設備就可以“萬事大吉”了，也有個別網絡管理人員還認為醫院網絡運行的數字遠沒有銀行等金融部門那樣重要，不必去花很大的投資和精力去做安全防范，黑客是不會重視到這樣的小部門。其實，醫院的信息網絡的重要并不比銀行差多少，現在很多病患者在醫院繳費都是刷醫保卡的，在一些大醫院，每天的通過刷卡的資金并不比一個小型銀行儲蓄所的少。如果一旦由于醫院的網絡遭受嚴重攻擊，完全可以更改參保人員的醫保賬號。除此以外，比錢更重要的醫院的服務形象和救死扶傷的職責，絕對不容醫院這樣實時的網絡系統有一絲一毫停頓，更不能出現癱瘓。

2 針對影響網絡安全的非技術性因素應采取的對策

加強醫院內部員工的網絡安全教育，更新全體員工的網絡安全觀念，強化全體員工的網絡安全責任感。健全網絡安全的組織領導，強化落實管理制度。根據相關部門的要求，設置專門的安全管理人員，制定規范的網絡安全管理制度，網絡安全建設是\"三分設備，七分管理\"，沒有切實可行的安全保障體系和制度，網絡安全就變成了空談。隨著網絡技術的社會化、科技化的發展，網絡安全的面臨的形勢就越嚴峻，“3Q”大戰、網絡銀行卡詐騙、支付寶轉賬詐騙、竊取泄漏網絡用戶信息……近年來，網絡信息安全越來越受到挑戰。網絡安全的技術復雜性和廣泛性對管理的工作就愈發顯得重要和艱巨，必須要做到及時進行漏洞修補和定期詢檢，保證對網絡的監控和管理。

3 影響醫院網絡安全的主要技術性因素

3.1 開放的計算機網絡環境 醫院網絡的環境必須是開放的，從管理方面來說比其它的企事業網絡更寬松一些，這樣就留下一些安全隱患。

3.2 盜版資源泛濫 盜版軟件、影視資源在醫院網中廣泛使用，不僅占用了大量的網絡帶寬，而且從網絡上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼，給網絡安全帶來了一定的隱患。

3.3 如今黑客地下產業將更加專注于網絡釣魚、攻擊勒索、網絡刷票、個人隱私竊取等能夠直接獲利或易于獲利的攻擊方式；醫院網站將成為其的熱點目標。因為部分醫院網主機保存了高新技術信息，如重大科研項目的數據、進度和成果，這些信息對競爭對手來說非常具有吸引力；這些都會影響醫院網的安全運行。

4 針對主要技術性因素采用的對策

4.1 要以動態觀念對待任何安全防范策略。網絡安全防范策略不可能是一勞永逸的，網絡安全設備的投資也不是一次性的。計算機網絡的安全策略是一個動態的過程，網絡設備與醫療設備一樣，都存在購置、使用、故障、維修、報廢或淘汰的過程，而計算機網絡產品由于其發展的迅速，使其更新周期比其它設備短得多，網絡安全產品的變化則更快。

4.2 盡量用各種防毒軟件，給網絡建設一道可靠的防火墻。同時計算機系統應采用“雙工”系統，不但要建設主系統的，還應該有備份系統。這樣一旦主系統出現問題，備份系統就會立即啟動工作，減少網絡終端操作的損失。

4.3 盡可能采用物理隔離技術。因為物理隔離技術自身具有高度的安全性，至少在理論和實踐上要比防火墻高一個安全級別。它把外網接口和內網接口從一套操作系統中分離出來，既便黑客攻破了外網系統，仍然無法控制內網系統。

4.4 正確擺脫不請自來的黑客掃描與攻擊

4.4.1 取消文件夾隱藏共享。方法是：進入注冊表編輯器 \"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControl\\SetSevices\\L

anman\\workstation\\parameters\"，新建一個名為\"AutoShareWKs\"的雙字節值，并將其值設為\"0\"，然后重新啟動電腦，這樣共享就取消了。

4.4.2 拒絕惡意代碼。方法是：運行IE瀏覽器，點擊“工具/Internet選項/安全/自定義級別”，將安全級別定義為“安全級-高”，對“ActiveX控件和插件”中第2、3項設置為“禁用”，其它項設置為“提示”，之后點擊“確定”。這樣設置后，當你使用IE瀏覽網頁時，就能有效避免惡意網頁中惡意代碼的攻擊。

4.4.3 把Guest賬號禁用。打開控制面板，雙擊“用戶和密碼”，單擊“高級”選項卡，再單擊“高級”按鈕，彈出本地用戶和組窗口。在Guest賬號上面點擊右鍵，選擇屬性，在“常規”頁中選中“賬戶已停用”。另外，將Administrator賬號改名可以防止黑客知道自己的管理員賬號，這會在很大程度上保證計算機安全。

4.4.4 關閉“文件和打印共享”。用鼠標右擊“網絡鄰居”，選擇“屬性”，然后單擊“文件和打印共享”按鈕，將彈出的“文件和打印共享”對話框中的兩個復選框中的鉤去掉即可。同時，打開注冊表編輯器，選擇“HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\C

urrentVersion\\Policies\\NetWork”主鍵，在該主鍵下新建DWORD類型的鍵值，鍵值名為“NoFileSharingControl”，鍵值設為“1”表示禁止這項功能，從而達到禁止更改“文件和打印共享”的目的。

4.4.5 刪掉不必要的協議。

5 結束語

綜上所述，醫院網絡安全更多的是依靠管理和技術相結合。醫院可通過制定一套完整的規章制度來規范上網人員的行為，注重對醫務人員的網絡安全知識培訓， 讓醫院的全體員工都成為高素質、高能力的網絡安全人才，這樣才能構建一個安全、穩定、高效的醫院網。

參考文獻:

[1]吳松霖.虛擬專用網絡的雙層式動態帶寬配置.武漢大學碩士論文，2003.

[2]沈繼峰.一種交換式網絡中的ARP欺騙與防范.現代計算機.2006.1.

[3]趙海濤.交換機安全性研究.科學技術與工程.2007.6.

[4]楚狂.網絡安全與防火墻技術[M].北京:人民郵電出版社，2004(5):89.

[5]淡武強.Cisco交換機防ARP攻擊.網管員世界.2008.3.

[6]瑞星金山反病毒專家做客TOM談熊貓燒香[EB/OL].http:/ /fangtan.tom.com/2007-02-09/000B/22422502.ht2ml2007.