張海霞 王 瑜 李華偉

（山東省泰安市中心醫(yī)院信息中心，山東 泰安 271000）

1 我院網(wǎng)絡(luò)現(xiàn)行狀況

我院計(jì)算機(jī)網(wǎng)絡(luò)現(xiàn)分為兩大部分：外網(wǎng)部分通過路由器上聯(lián)互聯(lián)網(wǎng)，有近400臺(tái)工作站；內(nèi)網(wǎng)部分下聯(lián)各科室及業(yè)務(wù)數(shù)據(jù)服務(wù)器以及市醫(yī)保處專網(wǎng)，有25臺(tái)服務(wù)器，近1000臺(tái)工作站。

2 現(xiàn)在網(wǎng)絡(luò)存在的問題

外網(wǎng)部分由于受網(wǎng)絡(luò)蠕蟲病毒（如ARP類病毒）侵害，目前采用撥號(hào)方式上網(wǎng)，但在這種情況下無法搭建統(tǒng)一的OA辦公平臺(tái)。

外網(wǎng)部分沒有做Vlan劃分的規(guī)劃，一旦網(wǎng)絡(luò)蠕蟲病毒爆發(fā)，容易造成大面積的網(wǎng)絡(luò)問題。

內(nèi)網(wǎng)部分科室機(jī)器以后需同時(shí)能連接互聯(lián)網(wǎng)上傳疫情，這會(huì)給內(nèi)網(wǎng)帶來較大風(fēng)險(xiǎn)。

內(nèi)網(wǎng)部分需開拓多臺(tái)與社保通信（市醫(yī)保網(wǎng)）的系統(tǒng)平臺(tái)，包括多個(gè)終端及服務(wù)器，這些機(jī)器同時(shí)連入內(nèi)網(wǎng)，給內(nèi)網(wǎng)帶來潛在風(fēng)險(xiǎn)。

內(nèi)網(wǎng)部分存在重要業(yè)務(wù)系統(tǒng)，對(duì)業(yè)務(wù)連續(xù)性要求很高，然而隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大給業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)帶來更多的威脅，因而網(wǎng)絡(luò)中缺乏一種對(duì)多網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行監(jiān)控的措施。

3 網(wǎng)絡(luò)安全解決辦法

根據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，我院應(yīng)屬于等級(jí)保護(hù)的第二級(jí)，按照第二級(jí)基本要求（包括技術(shù)要求和管理要求）和我院現(xiàn)在網(wǎng)絡(luò)存在的問題，在功能上與管理上的需求如下：

完整性：網(wǎng)絡(luò)安全建設(shè)必需保證整個(gè)防御體系的完整性。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。單一的安全產(chǎn)品對(duì)安全問題的發(fā)現(xiàn)處理控制等能力各有優(yōu)劣，從安全性的角度考慮需要不同安全產(chǎn)品之間的安全互補(bǔ)，通過這種對(duì)照、比較，可以提高系統(tǒng)對(duì)安全事件響應(yīng)的準(zhǔn)確性和全面性。

經(jīng)濟(jì)性：根據(jù)保護(hù)對(duì)象的價(jià)值、威脅以及存在的風(fēng)險(xiǎn)，制定保護(hù)策略，使得系統(tǒng)的安全和投資達(dá)到均衡，避免低價(jià)值對(duì)象采用高成本的保護(hù)，反之亦然。

動(dòng)態(tài)性：隨著網(wǎng)絡(luò)脆弱性的改變和威脅攻擊技術(shù)的發(fā)展，使網(wǎng)絡(luò)安全變成了一個(gè)動(dòng)態(tài)的過程，靜止不變的產(chǎn)品根本無法適應(yīng)網(wǎng)絡(luò)安全的需要。所選用的安全產(chǎn)品必須及時(shí)地、不斷地改進(jìn)和完善，及時(shí)進(jìn)行技術(shù)和設(shè)備的升級(jí)換代，只有這樣才能保證系統(tǒng)的安全性。

專業(yè)性：攻擊技術(shù)和防御技術(shù)是網(wǎng)絡(luò)安全的一對(duì)矛盾體，兩種技術(shù)從不同角度不斷地對(duì)系統(tǒng)的安全提出了挑戰(zhàn)，只有掌握了這兩種技術(shù)才能對(duì)系統(tǒng)的安全有全面的認(rèn)識(shí)，才能提供有效的安全技術(shù)、產(chǎn)品、服務(wù)，這就需要從事安全的公司擁有大量專業(yè)技術(shù)人才，并能長(zhǎng)期的進(jìn)行技術(shù)研究、積累，從而全面、系統(tǒng)、深入的為用戶提供服務(wù)。

可管理性：由于國(guó)內(nèi)的一些企業(yè)獨(dú)有的管理特色，安全系統(tǒng)在部署的時(shí)候也要適合這種管理體系，如分布、集中、分級(jí)的管理方式在一個(gè)系統(tǒng)中同時(shí)要求滿足。

標(biāo)準(zhǔn)性：遵守國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)以及國(guó)際相關(guān)的安全標(biāo)準(zhǔn)，是構(gòu)建系統(tǒng)安全的保障和基礎(chǔ)。

可控性：系統(tǒng)安全的任何一個(gè)環(huán)節(jié)都應(yīng)有很好的可控性，他可以有效的保證系統(tǒng)安全在可以控制的范圍，而這一點(diǎn)也是安全的核心。這就要求對(duì)安全產(chǎn)品本身的安全性和產(chǎn)品的可客戶化。

易用性：安全措施要由人來完成，如果措施過于復(fù)雜，對(duì)人的要求過高，一般人員難以勝任，有可能降低系統(tǒng)的安全性。

4 遵循以上原則，我院通過物理安全和網(wǎng)絡(luò)安全方面作了以下防護(hù)。

物理安全防護(hù)：首先我們進(jìn)行的VLAN的劃分，在內(nèi)外網(wǎng)都進(jìn)行了全網(wǎng)的VLAN規(guī)劃。這樣在不同業(yè)務(wù)系統(tǒng)VLAN之間除非明確允許，否則不能互相訪問，有效的防止病毒的蔓延。

其次IP與MAC地址的綁定。采取交換機(jī)端口MAC地址綁定，防止局域網(wǎng)內(nèi)用戶對(duì)物理地址的隨意更改。

最后采用鏈路備份機(jī)制，對(duì)主干傳輸鏈路提供故障切換，確保傳輸數(shù)據(jù)不中斷。

網(wǎng)絡(luò)安全防護(hù)：

4.1 內(nèi)網(wǎng)聯(lián)外網(wǎng)的邊界：內(nèi)網(wǎng)本是完全獨(dú)立的網(wǎng)絡(luò)，由于醫(yī)保機(jī)制需要與市醫(yī)保處連接進(jìn)行實(shí)時(shí)報(bào)銷，這就增大了內(nèi)網(wǎng)的不安全性，所以我們?cè)趦?nèi)網(wǎng)與市醫(yī)保網(wǎng)的邊界部署防火墻設(shè)備，起到邏輯隔離的效果，保護(hù)網(wǎng)絡(luò)不受醫(yī)保網(wǎng)的干擾。

4.2 外網(wǎng)聯(lián)互聯(lián)網(wǎng)的邊界：通過在外網(wǎng)邊界部署防火墻、防毒墻對(duì)辦公網(wǎng)絡(luò)進(jìn)行防病毒、防攻擊、訪問控制等防護(hù)，凈化辦公網(wǎng)絡(luò)；保證來自互聯(lián)網(wǎng)的異常行為不能進(jìn)入辦公網(wǎng)絡(luò)。

內(nèi)網(wǎng)與外網(wǎng)的邊界：在內(nèi)網(wǎng)與辦公網(wǎng)之間部署網(wǎng)閘，配置特殊的訪問需求，使辦公網(wǎng)在特定的情況下訪問內(nèi)網(wǎng)（例如疫情上報(bào)），就像U盤拷貝文件一樣只存取特定數(shù)據(jù)，實(shí)現(xiàn)了內(nèi)網(wǎng)與辦公網(wǎng)之間只進(jìn)行按需換，避免重復(fù)輸入數(shù)據(jù)，而且保證了系統(tǒng)的網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)病毒防范：通過布署全網(wǎng)防病毒系統(tǒng)，可以對(duì)全網(wǎng)統(tǒng)一進(jìn)行病毒庫(kù)升級(jí)、統(tǒng)一安全防護(hù)策略、統(tǒng)一殺毒，避免了病毒在網(wǎng)絡(luò)內(nèi)部的感染與傳播；構(gòu)建了最基本的病毒防線。

部署后的網(wǎng)絡(luò)拓?fù)鋱D如下：

通過對(duì)內(nèi)外網(wǎng)安全系統(tǒng)的防護(hù)，實(shí)現(xiàn)了醫(yī)院各種應(yīng)用系統(tǒng)的應(yīng)用，促進(jìn)了信息資源的充分共享和廣泛使用，提高了醫(yī)院的辦公效率；解決了我院現(xiàn)有網(wǎng)絡(luò)存在的安全問題，同時(shí)為醫(yī)院搭建統(tǒng)一的OA平臺(tái)掃除了障礙，為醫(yī)院現(xiàn)在和未來整體信息系統(tǒng)的發(fā)展做到了保駕護(hù)航。

[1] 李永弟.基于BPR的第三方物流信息系統(tǒng)流程與功能規(guī)劃[J].長(zhǎng)安大學(xué)，2004.06.

[2] 李壯闊.礦山信息系統(tǒng)體系結(jié)構(gòu)研究與礦山數(shù)據(jù)集成與分析基礎(chǔ)平臺(tái)開發(fā)[J].昆明理工大學(xué)，2004-10.