淺談信息系統安全解決方案

張海霞 王 瑜 李華偉

（山東省泰安市中心醫院信息中心，山東 泰安 271000）

1 我院網絡現行狀況

我院計算機網絡現分為兩大部分：外網部分通過路由器上聯互聯網，有近400臺工作站；內網部分下聯各科室及業務數據服務器以及市醫保處專網，有25臺服務器，近1000臺工作站。

2 現在網絡存在的問題

外網部分由于受網絡蠕蟲病毒（如ARP類病毒）侵害，目前采用撥號方式上網，但在這種情況下無法搭建統一的OA辦公平臺。

外網部分沒有做Vlan劃分的規劃，一旦網絡蠕蟲病毒爆發，容易造成大面積的網絡問題。

內網部分科室機器以后需同時能連接互聯網上傳疫情，這會給內網帶來較大風險。

內網部分需開拓多臺與社保通信（市醫保網）的系統平臺，包括多個終端及服務器，這些機器同時連入內網，給內網帶來潛在風險。

內網部分存在重要業務系統，對業務連續性要求很高，然而隨著網絡規模的擴大給業務網絡系統帶來更多的威脅，因而網絡中缺乏一種對多網絡風險進行監控的措施。

3 網絡安全解決辦法

根據《計算機信息系統安全保護等級劃分準則》，我院應屬于等級保護的第二級，按照第二級基本要求（包括技術要求和管理要求）和我院現在網絡存在的問題，在功能上與管理上的需求如下：

完整性：網絡安全建設必需保證整個防御體系的完整性。一個較好的安全措施往往是多種方法適當綜合的應用結果。單一的安全產品對安全問題的發現處理控制等能力各有優劣，從安全性的角度考慮需要不同安全產品之間的安全互補，通過這種對照、比較，可以提高系統對安全事件響應的準確性和全面性。

經濟性：根據保護對象的價值、威脅以及存在的風險，制定保護策略，使得系統的安全和投資達到均衡，避免低價值對象采用高成本的保護，反之亦然。

動態性：隨著網絡脆弱性的改變和威脅攻擊技術的發展，使網絡安全變成了一個動態的過程，靜止不變的產品根本無法適應網絡安全的需要。所選用的安全產品必須及時地、不斷地改進和完善，及時進行技術和設備的升級換代，只有這樣才能保證系統的安全性。

專業性：攻擊技術和防御技術是網絡安全的一對矛盾體，兩種技術從不同角度不斷地對系統的安全提出了挑戰，只有掌握了這兩種技術才能對系統的安全有全面的認識，才能提供有效的安全技術、產品、服務，這就需要從事安全的公司擁有大量專業技術人才，并能長期的進行技術研究、積累，從而全面、系統、深入的為用戶提供服務。

可管理性：由于國內的一些企業獨有的管理特色，安全系統在部署的時候也要適合這種管理體系，如分布、集中、分級的管理方式在一個系統中同時要求滿足。

標準性：遵守國家標準、行業標準以及國際相關的安全標準，是構建系統安全的保障和基礎。

可控性：系統安全的任何一個環節都應有很好的可控性，他可以有效的保證系統安全在可以控制的范圍，而這一點也是安全的核心。這就要求對安全產品本身的安全性和產品的可客戶化。

易用性：安全措施要由人來完成，如果措施過于復雜，對人的要求過高，一般人員難以勝任，有可能降低系統的安全性。

4 遵循以上原則，我院通過物理安全和網絡安全方面作了以下防護。

物理安全防護：首先我們進行的VLAN的劃分，在內外網都進行了全網的VLAN規劃。這樣在不同業務系統VLAN之間除非明確允許，否則不能互相訪問，有效的防止病毒的蔓延。

其次IP與MAC地址的綁定。采取交換機端口MAC地址綁定，防止局域網內用戶對物理地址的隨意更改。

最后采用鏈路備份機制，對主干傳輸鏈路提供故障切換，確保傳輸數據不中斷。

網絡安全防護：

4.1 內網聯外網的邊界：內網本是完全獨立的網絡，由于醫保機制需要與市醫保處連接進行實時報銷，這就增大了內網的不安全性，所以我們在內網與市醫保網的邊界部署防火墻設備，起到邏輯隔離的效果，保護網絡不受醫保網的干擾。

4.2 外網聯互聯網的邊界：通過在外網邊界部署防火墻、防毒墻對辦公網絡進行防病毒、防攻擊、訪問控制等防護，凈化辦公網絡；保證來自互聯網的異常行為不能進入辦公網絡。

內網與外網的邊界：在內網與辦公網之間部署網閘，配置特殊的訪問需求，使辦公網在特定的情況下訪問內網（例如疫情上報），就像U盤拷貝文件一樣只存取特定數據，實現了內網與辦公網之間只進行按需換，避免重復輸入數據，而且保證了系統的網絡安全。

網絡病毒防范：通過布署全網防病毒系統，可以對全網統一進行病毒庫升級、統一安全防護策略、統一殺毒，避免了病毒在網絡內部的感染與傳播；構建了最基本的病毒防線。

部署后的網絡拓撲圖如下：

通過對內外網安全系統的防護，實現了醫院各種應用系統的應用，促進了信息資源的充分共享和廣泛使用，提高了醫院的辦公效率；解決了我院現有網絡存在的安全問題，同時為醫院搭建統一的OA平臺掃除了障礙，為醫院現在和未來整體信息系統的發展做到了保駕護航。

[1] 李永弟.基于BPR的第三方物流信息系統流程與功能規劃[J].長安大學，2004.06.

[2] 李壯闊.礦山信息系統體系結構研究與礦山數據集成與分析基礎平臺開發[J].昆明理工大學，2004-10.