療養(yǎng)院網(wǎng)絡(luò)安全管理措施
前言:本站為你精心整理了療養(yǎng)院網(wǎng)絡(luò)安全管理措施范文,希望能為你的創(chuàng)作提供參考價(jià)值,我們的客服老師可以幫助你提供個(gè)性化的參考范文,歡迎咨詢。
摘要:該文闡述了療養(yǎng)院網(wǎng)絡(luò)安全的概念以及在完全管理中出現(xiàn)問題的原因,并就網(wǎng)絡(luò)安全的分類及技術(shù)特點(diǎn)及影響網(wǎng)絡(luò)安全的因素,提出了相應(yīng)的解決方法,讓療養(yǎng)院網(wǎng)絡(luò)安全、可靠、高效的運(yùn)行,增強(qiáng)網(wǎng)絡(luò)的保密性。
關(guān)鍵詞:網(wǎng)絡(luò)安全;入侵監(jiān)測(cè);防火墻;包過濾
隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)和不斷發(fā)展,療養(yǎng)院信息化的也呈跨越式的發(fā)展。所有療養(yǎng)人員的信息都已經(jīng)通過網(wǎng)絡(luò)數(shù)字化存入了網(wǎng)絡(luò)數(shù)據(jù)庫(kù),使療養(yǎng)人員的健康管理,療案跟蹤以及醫(yī)護(hù)人員的定點(diǎn)服務(wù)能夠快速、準(zhǔn)確。所以療養(yǎng)院網(wǎng)絡(luò)的安全,將直接關(guān)系到療養(yǎng)工作的正常進(jìn)行。網(wǎng)絡(luò)上的漏洞、病毒等如果不進(jìn)行有效的技術(shù)控制防護(hù)殺毒,將會(huì)帶來巨大的災(zāi)難和損失。那么,對(duì)于網(wǎng)絡(luò)安全管理來說,管理員應(yīng)該從哪些方面,如何才能做到安全管理呢,我們一步一步進(jìn)行分析。
1網(wǎng)絡(luò)安全技術(shù)分析
網(wǎng)絡(luò)安全技術(shù)一般都由多種安全技術(shù)組成,如網(wǎng)絡(luò)防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)、網(wǎng)絡(luò)安全漏洞掃描技術(shù)。
1.1網(wǎng)絡(luò)防火墻技術(shù)
網(wǎng)絡(luò)防火墻又分為硬件防火墻和軟件防火墻,他們的功能基本相同,都是在療養(yǎng)院內(nèi)部可信任網(wǎng)絡(luò)和外部不可信任的公共網(wǎng)絡(luò)之架起一座橋梁,然后根據(jù)內(nèi)部網(wǎng)絡(luò)的要求,允許授權(quán)的包通過,同時(shí)防止外部未經(jīng)授權(quán)的用戶非法訪問內(nèi)部網(wǎng)絡(luò),也可以完全阻止外部用戶的訪問,進(jìn)而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵。不管是硬件防火墻還是軟件防火墻都能夠根據(jù)一定的安全規(guī)則來控制內(nèi)外網(wǎng)之間的信息流,并且保護(hù)自身不受非法用戶的攻擊。
防火墻技術(shù)從應(yīng)用上來說一般分為“包過濾”型(PacketFiltering)、“應(yīng)用”型(ApplicationProxy),網(wǎng)絡(luò)地址轉(zhuǎn)換型(NetworkAddressTranslation)三種。“包過濾”型:它是依據(jù)網(wǎng)絡(luò)中的數(shù)據(jù)包傳輸,根據(jù)防火墻制作的過濾包的規(guī)則來檢測(cè)攻擊行為。因?yàn)榫W(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)模恳粋€(gè)數(shù)據(jù)包都包含特定的信息,像數(shù)據(jù)源地址、目的地址、端口號(hào)等等。包過濾會(huì)檢查這些是否來自可信任的安全站點(diǎn),如果發(fā)現(xiàn)數(shù)據(jù)包不正常或來自不安全的地址,就會(huì)拒絕這些數(shù)據(jù)包通過。管理員可根據(jù)自身網(wǎng)絡(luò)的需要來制定相應(yīng)的包過濾規(guī)則。
包過濾也有一定的缺點(diǎn),因?yàn)樗枪ぷ髟诰W(wǎng)絡(luò)層,通過數(shù)據(jù)包的信息來判斷,如果有黑客偽造地址和端口等方法就能很容易通過包過濾型的防火墻。“應(yīng)用”型:應(yīng)用型的防火墻其實(shí)就是使用服務(wù)器作為防火墻用,服務(wù)器處于客戶機(jī)和服務(wù)器之間,內(nèi)部網(wǎng)絡(luò)用戶可以通過服務(wù)使用外部網(wǎng)絡(luò),而外部網(wǎng)絡(luò)用戶無法訪問內(nèi)部網(wǎng)絡(luò),保護(hù)了內(nèi)部網(wǎng)絡(luò)上的數(shù)據(jù)。由于內(nèi)外之間沒有直接連接,都是通過服務(wù)器進(jìn)行,所以安全性較高。服務(wù)器還可以同時(shí)提供安全審計(jì)和日志服務(wù)。服務(wù)雖然安全性較高,對(duì)病毒和木馬入侵十分有效,但是因?yàn)樗锌蛻魴C(jī)的訪問都要由服務(wù)器進(jìn)行連接,加重了服務(wù)器的負(fù)擔(dān),而且速度較慢。
“網(wǎng)絡(luò)地址轉(zhuǎn)換”型:它是把內(nèi)部網(wǎng)絡(luò)用戶的內(nèi)部IP臨時(shí)轉(zhuǎn)換成具有外部網(wǎng)絡(luò)的IP地址的計(jì)算機(jī)來訪問外網(wǎng)。外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò),所有內(nèi)部網(wǎng)絡(luò)的機(jī)器在訪問外網(wǎng)果,都由NAT服務(wù)器來產(chǎn)生一個(gè)映射地址,然后在映射出一個(gè)偽裝的端口通過網(wǎng)卡訪問,這樣就隱藏了實(shí)際的內(nèi)部網(wǎng)絡(luò)地址。“網(wǎng)絡(luò)地址轉(zhuǎn)換”型的優(yōu)點(diǎn)是可以使內(nèi)部所有的機(jī)器共享幾個(gè)外網(wǎng)的IP訪問外網(wǎng),對(duì)于內(nèi)網(wǎng)安全性較高,但是同樣網(wǎng)絡(luò)訪問速度慢。
1.2網(wǎng)絡(luò)入侵檢測(cè)技術(shù)入侵檢測(cè)
技術(shù)能夠監(jiān)視計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的各種事件并形成日志文件,并且進(jìn)行完整檢測(cè)分析,從中找到不安全的因素或系統(tǒng)中存在的漏洞。一般把入侵檢測(cè)的軟件與硬件的組合稱為入侵檢測(cè)系統(tǒng)。它是一種主動(dòng)型的安全防護(hù)系統(tǒng),可以對(duì)內(nèi)部攻擊、誤操作和外部攻擊做實(shí)時(shí)防護(hù),在計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)受到危害之前提前報(bào)警、攔截和響應(yīng)。入侵檢測(cè)系統(tǒng)可分為兩類。基于主機(jī)的入侵檢測(cè)系統(tǒng)用于保護(hù)關(guān)鍵應(yīng)用的服務(wù)器,實(shí)時(shí)監(jiān)視可疑的連接、系統(tǒng)日志檢查,非法訪問的闖入等。特點(diǎn)是:精確,可以精確地判斷入侵事件;高級(jí),可以判斷應(yīng)用層的入侵事件;對(duì)入侵時(shí)間立即進(jìn)行反應(yīng);針對(duì)不同操作系統(tǒng)特點(diǎn);占用主機(jī)寶貴資源。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息。特點(diǎn)是:能夠監(jiān)視經(jīng)過本網(wǎng)段的任何活動(dòng);實(shí)時(shí)網(wǎng)絡(luò)監(jiān)視;監(jiān)視粒度更細(xì)致;精確度較差;防入侵欺騙的能力較差;交換網(wǎng)絡(luò)環(huán)境難于配置。
1.3網(wǎng)絡(luò)防病毒技術(shù)
計(jì)算機(jī)病毒是危害網(wǎng)絡(luò)信息系統(tǒng)安全的重要問題之一,它可以通過光盤、優(yōu)盤、移動(dòng)硬盤、網(wǎng)上下載、電子郵件等方式進(jìn)行傳播,一旦網(wǎng)絡(luò)中的某一臺(tái)主機(jī)受到病毒感染,病毒程序就會(huì)很快迅速傳播,一般的蠕蟲病毒可能拖慢計(jì)算機(jī)速度,惡意的病毒則可能使用信息泄漏、文件丟失甚至造成計(jì)算機(jī)崩潰,最嚴(yán)重的病毒甚至可以造成計(jì)算機(jī)硬件燒毀,如CIH病毒等。網(wǎng)絡(luò)防病毒一般是在全網(wǎng)安裝防病毒軟件客戶端,由一臺(tái)防病毒服務(wù)器來運(yùn)行服務(wù)端軟件。服務(wù)端和客戶軟件都具有檢查和清除病毒的功能,服務(wù)端還可以設(shè)置所有在線機(jī)器的定時(shí)殺毒以及網(wǎng)全網(wǎng)殺毒。當(dāng)服務(wù)端的殺毒程序升級(jí)更新后所有的客戶端都可以自動(dòng)更新,增加內(nèi)部網(wǎng)絡(luò)的防病毒能力。
1.4網(wǎng)絡(luò)安全漏洞掃描技術(shù)
網(wǎng)絡(luò)安全漏洞掃描技術(shù)是網(wǎng)絡(luò)安全技術(shù)中不可或缺的一部分,它能夠增強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性,能夠掃描分析系統(tǒng)中存在的安全問題,并針對(duì)掃描到的安全漏洞提供詳細(xì)的安全解決方案,使系統(tǒng)管理員及時(shí)打好系統(tǒng)安全補(bǔ)丁,避免因存在的漏洞而讓黑客有可乘之機(jī),造成數(shù)據(jù)丟失。現(xiàn)在的漏洞掃描工具分為兩類,一類是基于服務(wù)的,一類是基于網(wǎng)絡(luò)的。基于服務(wù)器的漏洞掃描工具可以對(duì)服務(wù)器進(jìn)行全方位的掃描,如弱口令、共享文件、WWW服務(wù)、系統(tǒng)漏洞等,掃描完成后會(huì)給出詳盡的分析說明。基于網(wǎng)絡(luò)的安全掃描工具主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的交換機(jī)、路由器、數(shù)據(jù)庫(kù)服務(wù)器、防火墻等設(shè)備的安全漏洞,還可以設(shè)定模擬攻擊,以便測(cè)試系統(tǒng)的防御能力。通過漏洞掃描技術(shù)的應(yīng)用,管理可以針對(duì)相應(yīng)的問題,制定切實(shí)可行的安全解決方案。
2網(wǎng)絡(luò)安全管理實(shí)施對(duì)策
2.1在全網(wǎng)部署硬件防火墻
根據(jù)內(nèi)部網(wǎng)絡(luò)的需求,在內(nèi)網(wǎng)和外網(wǎng)之間架設(shè)硬件防火墻,隔離外網(wǎng)與內(nèi)網(wǎng)之間的訪問。在防火墻中打開IP和端口控制,設(shè)立DMZ區(qū),打開所需的常用網(wǎng)絡(luò)服務(wù)如HTTP、FTP等,這樣就可防范外部對(duì)內(nèi)部用戶的攻擊;及時(shí)查看防火墻的日志文件,對(duì)防火墻的管理可以指定獨(dú)立的管理IP。通過對(duì)防火墻規(guī)則的設(shè)置,使用戶需要的應(yīng)用協(xié)議才能通過,讓內(nèi)部網(wǎng)絡(luò)變得更安全。
2.2利用專用服務(wù)器安裝網(wǎng)絡(luò)版殺毒軟件
采用網(wǎng)絡(luò)版殺毒軟件,可以對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)采取全面的病毒防護(hù)。現(xiàn)在的網(wǎng)絡(luò)版殺毒軟件有瑞星和江民。他們都能對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)進(jìn)行防病毒統(tǒng)一管理,制作一定的防病毒策略,定時(shí)對(duì)全網(wǎng)系統(tǒng)進(jìn)行自動(dòng)查、殺病毒。網(wǎng)絡(luò)防病毒策略一般包括:升級(jí)和修補(bǔ),及時(shí)更新病毒程序包和殺毒軟件版本;備份,定時(shí)備份所需的重要數(shù)據(jù)以便在出現(xiàn)故障時(shí)進(jìn)行恢復(fù);安裝軟件時(shí)使用經(jīng)過確認(rèn)的軟件包;一旦某臺(tái)機(jī)器感染病毒,找到感染源并徹底清除;任何客戶端都不能自行卸載殺毒軟件,設(shè)立卸載密碼。
2.3網(wǎng)絡(luò)安全漏洞修補(bǔ)
定期采用專用的漏洞掃描軟件對(duì)內(nèi)部網(wǎng)絡(luò)的專用服務(wù)器如WWW服務(wù)器、視頻會(huì)議服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、FTP服務(wù)器等進(jìn)行漏洞掃描、分析和評(píng)估,并生成掃描報(bào)告。根據(jù)評(píng)估的安全風(fēng)險(xiǎn),及時(shí)修補(bǔ)漏洞及下載系統(tǒng)更新補(bǔ)丁,還要對(duì)重要數(shù)據(jù)進(jìn)行備份,以達(dá)到增強(qiáng)網(wǎng)絡(luò)的安全性的目的。
2.4用戶級(jí)訪問控制
對(duì)所有用戶采用專用的用戶口令和訪問規(guī)則及權(quán)限,以確保只有合法用戶才能訪問合法資源。網(wǎng)絡(luò)管理員應(yīng)該對(duì)不同的設(shè)備設(shè)置不同的口令,而且設(shè)置的口令最好是大小寫字母、數(shù)字加特殊字符等,最好是8位以上的密碼,還需要定期更改密碼并將密碼記錄下來。
2.5內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)認(rèn)證訪問
我們都知道,計(jì)算機(jī)的MAC地址在全球是唯一的,在網(wǎng)絡(luò)中對(duì)所有計(jì)算機(jī)進(jìn)行IP地址和MAC地址進(jìn)行綁定,就能夠標(biāo)識(shí)每臺(tái)計(jì)算機(jī)的使用人,只有經(jīng)過綁定的計(jì)算機(jī)的IP才能夠訪問網(wǎng)絡(luò)。這種綁定可以使用具有三層功能的核心交換來做,也可以使用軟件在專用服務(wù)器上做。利用這種綁定不但可以控制網(wǎng)內(nèi)用戶隨意更換IP的問題,還可以很容易找到某些存在問題的計(jì)算機(jī)。
2.6網(wǎng)絡(luò)機(jī)房安全管理
網(wǎng)絡(luò)安全管理不僅僅要從計(jì)算機(jī)硬件、軟件和人員使用上管理到位,而且對(duì)機(jī)房也要納入安全管理范圍,并建立各種安全管理制度,如機(jī)房管理制度、設(shè)備管理制度、安全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應(yīng)急制度、各服務(wù)器檢查備份制度等,建立相應(yīng)的各種檢查記錄文件,定期修訂不安全的因素,最終采取切實(shí)有效的措施保證制度的執(zhí)行。通過以上對(duì)各種網(wǎng)絡(luò)安全技術(shù)的分析,我們給出了相應(yīng)的解決問題的對(duì)策,從技術(shù)和制度管理上保證了療養(yǎng)院信息網(wǎng)絡(luò)安全的運(yùn)行。我相信,隨著網(wǎng)絡(luò)安全管理人員的進(jìn)一步學(xué)習(xí)和實(shí)踐,并積極參加國(guó)內(nèi)外的各種網(wǎng)絡(luò)安全培訓(xùn),必將會(huì)進(jìn)一步提高我們信息網(wǎng)絡(luò)管理的安全,使網(wǎng)絡(luò)安全正常的運(yùn)行。
參考文獻(xiàn):
[1]AnneCarasik-Henmi.防火墻核心技術(shù)精解[M].北京:中國(guó)水利水電出版社,2005:10-14.
[2]戴浩,楊林.端端通信系統(tǒng)安全體系結(jié)構(gòu)[J].計(jì)算機(jī)安全,2004(2).
[3]譚兵,吳宗文,黃偉.網(wǎng)絡(luò)入侵檢測(cè)技術(shù)綜述[J].電腦編程技巧與維護(hù),2010(2).
作者:張華貴1,王海燕2 單位:1.大連療養(yǎng)院信息科,2.65066部隊(duì)教育技術(shù)中心
