新時期醫院局域網面臨的威脅及防御途徑

邱壽軒

摘要：“互聯網+”時代背景下，計算機和網絡的廣泛使用為醫院各方面工作的開展提供了極大的便利。本文首先概述了新時期醫院局域網面臨的安全威脅，隨后提出了多種局域網安全放于措施，并就其中應用效果最好、適用范圍最廣的主動防御系統進行了詳細分析。

關鍵詞：醫院局域網；安全威脅；防御措施；主動防御系統

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2017）09-0181-02

隨著信息技術的不斷成熟，現階段醫院局域網也采用了防火墻、身份認證、數據加密等措施來保證信息安全。但是這些手段均屬于被動型防御措施，局域網的安全保護效果不理想。因此，新時期迫切需要一種主動防御體系來為局域網提供穩定性和可靠性運行環境，保障醫院信息安全。

1 醫院局域網面臨的安全威脅

近年來，國內接連發生多起企事業單位網絡受攻擊的案例，例如2014年國內兩大型物流公司局域網受到攻擊，將近1500萬條消費者信息泄露[1]。因此，醫院局域網也面臨嚴重的安全威脅。

1.1 醫院內部網絡用戶的安全意識淡薄帶來隱患

對于醫院的醫務人員來說，計算機多數情況下只是一種辦公設備，除了利用計算機輔助完成工作外，對計算機網絡安全缺乏一個明確的認識。而事實上，無論是醫院網絡管理人員還是廣大醫務人員，都沒有接受過專門的網絡安全培訓，這就導致日常局域網的運行管理工作不到位，一些網絡漏洞或安全隱患難以及時發現，容易成為不法分子攻擊的對象。

1.2 計算機病毒的特性使得局域網防護體系形同虛設

計算機病毒具有隱蔽性、潛伏性和變異性等特點，并且計算機病毒的更新速度總是快于網絡安全系統的升級速度。也就是說，只有當某一種計算機病毒攻擊網絡并造成損失后，技術人員才逆向升級安全防御系統。除此之外，計算機病毒一旦爆發，短時間內以指數形式快速蔓延，甚至會導致整個局域網癱瘓，由此帶來嚴重的損失。

1.3 計算機操作系統本身存在一些安全漏洞

根據相關部門統計，現階段國內計算機用戶中使用XP系統的大約在1.3億左右，部分醫院使用的計算機也是XP系統。但是自2014年微軟公司停止對XP系統的更新維護后，用戶只能使用商務殺毒軟件來保障計算機系統安全[2]。而隨著相關專業軟件的不斷升級，計算機操作系統不兼容等問題也逐漸暴露出來，不僅增加了計算機的運行負擔，而且也容易成為不法分子的攻擊對象，造成計算機內部數據資料的泄露。

2 現階段醫院局域網常用的安全防御措施

2.1 通過強化制度管理提高安全防御能力

構建完善的局域網管理制度，幫助醫務人員養成良好的計算機使用習慣，成為減少局域網安全風險和提高安全等級的一種有效策略。首先，可以要求本院醫務人員分批次、定期參加網絡安全知識的普及活動，意識到局域網信息資料安全的重要性，并不斷規范計算機操作行為，養成良好使用習慣，定期進行計算機殺毒等；其次，還必須加強對計算機和網絡管理人員的培訓教育，提高網絡風險防控能力，切實維護好醫院局域網環境安全。

2.2 開展多種形式的局域網防御策略

現階段常用的被動防御策略主要有以下幾種：設置防火墻、提高網站訪問安全等級、對重要文件資料加密、設置訪問權限和身份識別等。被動防御策略能夠應對常規的一些病毒、木馬或非法入侵，在保證局域網安全中有著普遍應用。

2.3 主動防御體系

主動防御是指局域網的安全系統通過多種渠道接受安全信息，然后根據信息內容對當前的安全威脅進行一個識別和判斷，在此基礎上通過劃分安全威脅等級，自行采取相應的安全防御措施，達到有效應對非法攻擊的效果。主動防御體系與被動防御策略相比，大大縮短了安全事件檢測和識別的時間，因此對于提高安全防御效率和減小安全攻擊損失起到了很好的應用效果。

3 主動防御體系的工作原理

3.1 主動防御體系的組成

動態安全體系結構模型以整個網絡作為安全管理的對象，在該對象上以策略和管理為核心，部署檢測、防護、反應和恢復等安全技術，以此來保證對象的安全。主動防御體系則將局域網內部署組織資源的主機（也可以是全部的主機）看作一個安全系統，將檢測、防護、反應和恢復分散到每個安全系統中去，同時，各安全系統通過統一的安全消息協議進行通訊，使各安全系統既各自相對獨立又相互依存[3]。如此，各安全系統之間形成了具有防御縱深和梯次部署的整體防線，使局域網形成了一個交互和聯動的安全系統，從而構成了主動防御體系。

主動防御系統以局域網內部署組織資源為主要結構，將其設為安全系統，并且在每個安全系統中需要遵循動態安全體系結構模型的指導，在各個系統中還需要部署安全防御防線，以便實時監測信息系統，防御危險入侵。系統之間的安全消息主要是靠統一的安全協議進行傳遞，從而達到主動防御的目的，使得整個局域網布局合理縝密，具備分布式以及縱深、梯次部署的防御體系，具體運行原理如圖1所示。

3.2 安全消息的傳播形式

為了確保安全消息在傳播過程中不至于出現失真或丟失現象，因此主動安全防御體系中采用組播形式來傳遞安全消息。每當一個主動防御模型接入到局域網后，必須向服務器提供自身的信息，服務器接受信息并確定安全后，才能確保主動防御體系啟動運行。然后主動防御體系獲取醫院局域網內各臺計算機的IP地址列表，并在數據庫中進行備份。組播采用無連接的UDP協議，在管理人員啟動主動防御系統后，組播按照備份好的IP列表順序依次完成安全信息傳播，從而實現了對局域網內個計算機及其連接網絡的安全控制。

4 結語

局域網不僅為醫院內部各計算機之間的互聯互通和信息共享提供了必要環境，而且也包含了醫院內部所有的信息資源，包括病人信息、醫院財務等，因此保障醫院局域網的安全就顯得十分必要。現階段醫院多采用強化制度管理和網絡系統被動防御來保障局域網安全，雖然起到了一定的防護效果，但是仍然存在諸多漏洞和隱患。而主動防御體系一方面利用了局域網內現有的安全系統配置，另一方面又通過安全消息協議共享機制，縮短了系統風險和安全隱患的響應時間，顯著提高了局域網安全性，具有較高的推廣應用價值。

參考文獻

[1]陳起燕，黃艷琳.醫院信息網絡系統安全的影響因素及完善信息網絡安全管理的方式[J].醫療裝備，2017，30（6）：52-53.

[2]付藍嵐.基于網絡安全角度分析醫院計算機信息系統安全技術的應用[J].計算機光盤軟件與應用，2015，（3）：172-172.

[3]張蓮萍，陳琦.基于動態網絡安全模型的中國數字化醫院信息安全體系建設[J].中國科技論壇，2015，（03）：48-53.endprint