浅谈计算机网络安全及防范技术

2010-08-15陈观

科学之友 2010年22期

陈观

（中国人民解放军第三0三医院，广西南宁 530021）

随着计算机网络技术的飞速发展，计算机网络已成为全球信息基础设施的主要组成部分。网络的发展在不断改变人们的工作、生活方式，使信息的获取、传递、处理和利用更加高效、迅速。虽然计算机网络给人们带来了巨大的便利，但互联网是一个面向大众的开放系统，对信息的保密和系统的安全考虑得并不完备，存在着安全隐患。各类系统陷阱、计算机病毒、黑客攻击、网络瘫痪等问题，都是医院实现网络化面临的外部威胁。医院的计算机网络系统一旦崩溃，将会造成无法估计的损失。因此，如何提高计算机网络系统的安全性已经成为医院网络管理人员的一个重要课题。

1 计算机网络安全的概念

计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的熟悉和要求也就不同。从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾难、军事打击等对网络硬件的破坏以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。网络安全包括系统安全、网络运行安全和内部网络安全。

2 影响网络安全的因素

2.1 外部环境影响

（1）温度会导致逻辑电路产生逻辑错误，技术参数偏离，还会导致系统内部电源烧毁或烧坏某些元器件，影响机器运转和导致一些热敏器件内部损坏或不能正常工作。

（2）湿度过高，会使接插件和集成电路的引线等结合部氧化、生锈、霉烂，造成接触不良、开路或短路；湿度过低，会吸附灰尘，加剧噪声。

（3）对于机器内部的电路板上的双列直插或组件的接线器，灰尘的阻塞会形成错误的运行结果。过多的尘埃可造成绝缘电阻减小、泄漏电流增加，机器出现错误动作，如果空气潮湿将会引起元器件间放电、打火，从而损坏设备，严重的还会引起火灾。

（4）静电是网络使用中面临的比较严重的问题，以上谈到的温度、湿度、尘埃等很多原因都可能引起静电。计算机元器件和集成电路对静电非常敏感，它的破坏常常是在不知不觉中发生的。

（5）靠近网络的计算机、大型医疗设备和网络设备自身等，都能产生电磁辐射，通过辐射、传导等方式对网络系统形成干扰。他们会引发以下问题：设备的一些部件会失效，但那些部件的失效看起来又是由于其他部件引起的，像这样的问题很容易被忽略，而且很难诊断，需要专门的诊断软件和硬件来检测。

2.2 人为安全因素

操作员安全配置不当造成的安全漏洞，用户安全意识不强，操作员违规操作，用户口令选择不慎，用户将自己的账号随意转借他人或与他人共享等都会给网络安全带来威胁。

2.3 病毒攻击

医院要和各医保中心有业务往来，医院的网络不可避免的和外界网络有连接，所以它不可避免的要遭到这样或者那样的病毒的攻击。计算机病毒是利用程序干扰或破坏系统正常工作的一种手段，它的产生和蔓延给信息系统的可靠性和安全性带来严重的威胁和巨大的损失。计算机感染上病毒后，轻则使系统工作效率下降，重则造成系统死机或毁坏，导致硬件系统完全瘫痪。目前已知的计算机病毒有14 000多种，几乎每天都有新的计算机病毒产生，加上计算机病毒机理的不断演变和变种的出现，使人们对计算机病毒的检测与清除变得更加困难而使计算机网络的信息安全难以保障。由于一些工作人员的疏忽，使得医院网络被病毒攻击的频率越来越高，所以病毒的攻击应该引起我们极大的关注。

2.4 黑客入侵

这是计算机网络所面临的最大威胁。黑客问题的出现，并非黑客能够制造入侵的机会，而是他们善于利用操作系统的安全漏洞、软件本身缺陷、系统安装或设置上的疏忽、操作上的失误等对逻辑实体或物理实体发起攻击。此类攻击又可分为两种：一种是网络攻击，就是以各种方式有选择地破坏对方信息的有效性和完整性；另一种是网络侦察，就是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得对方重要的机密信息。方式不一样，后果也各不相同，从间歇性停机到整个系统的瘫痪、数据错误、大批量盗窃信息、盗用服务，甚至进行非法监视和收集情报、引入假电文、提取数据进行欺诈等等。

2.5 系统漏洞

没有任何一个系统可以排除漏洞的存在，许多网络系统都存在着这样或那样的漏洞，这些漏洞有可能是系统本身就有的。另外，局域网内网络用户使用盗版软件，随处下载软件及网管的疏忽都容易造成网络系统漏洞。这不但影响了局域网的网络正常工作，也在很大程度上把局域网的安全性置于危险之地，黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。

3 计算机网络安全防范措施

3.1 加强内部管理

（1）网络安全是一项动态的、整体的系统工程。从网络设备的选择上来说，应该选择可靠性强，性能稳定，并且便于升级系统的一类设备。有些医院认为，搞网络建设投入大，不如投入医疗设备见效快，这样就容易导致在网络建设中只看价格，不注重网络设备的质量。由于医院工作是7～24 h不间断的，如果网络设备性能不稳定甚至出现故障，必定会影响医院的正常工作，尤其是核心交换机、服务器出现问题，将导致医院整个网络的瘫痪。因此在购买重要设备时，一要考虑性能质量，二要考虑冗余。

（2）从软件选择上来说，应尽量选择正版的安全漏洞较少的操作系统和应用软件，并时常更新漏洞补丁，对操作系统进行合理的安全策略配置，管理好超级用户并定期更换其密码非常重要。对关键操作应开启审计，并记录用户的误操作或恶意行为，以便事后跟踪及管理。同时也要加强对数据的冗余备份和恢复工作。

（3）此外，必须建立健全网络安全管理规章制度，强化计算机操作培训，开展网络安全教育；封闭全部计算机终端的移动存储设备接口，禁用移动存储器，禁止共享系统文件，禁止工作站安装非工作性程序或软件；加强密码管理，避免使用易被破解的生日、电话号码等作为口令或密码以及多系统使用同一种口令，服务器等关键部位的密码口令只能由网管人员掌握，不得对外泄漏，并定期变更；工程技术人员应定期检查计算机终端使用情况，有利于及时发现并解决问题。

3.2 防范外来入侵

（1）设备工作环境方面，应尽可能保证系统中各计算机通信设备及相关设施的物理安全，避免人为或自然的破坏，使系统和设备处于良好的工作环境。应该保证房间温湿度适中，地面干净，还可以安装防雷系统，将所有插座的地线严格接地，确保工程通过防雷装置检测中心认证。机房应该使用不间断电源（UPS），保证断电后的供电量，并且为电压不稳的高发区的工作站点配备稳压源。

（2）由于医院每天都会产生大量数据，如每天都会产生大量病人费用、各种检查、临床医嘱、护理费及电子病历等重要数据，自从全国实行医疗保险以后，医院网络还要负责与各单位、社保局发生数据交谈，其数据重要性更是对网络安全提出了更高的要求。目前现有医院计算机网络系统在数据的选择上多采用SQL Server、Oracle数据库。医院的数据库记录时刻都处于动态变化之中，网管人员定时异地备份是不够的，因为一旦系统崩溃，势必存在部分数据的丢失，所以建立一套实时备份系统，这对医院来说非常重要。现在很多医院采用磁盘阵列的方式对数据进行实时备份，但是成本比较高，安全系数也很低。根据医院这个特殊的网络系统，可建议设计数据保护计划来实现文件系统和网络数据全脱机备份。例如，采用多个低价位的服务器分片负责，如门诊收费系统采用一台服务器，住院部系统采用另一台服务器，同时再增设总服务器，在总服务器中全套备份所有医院管理系统中的应用软件，每日往总服务器中备份各个管理系统中产生的数据，与此同时也做好磁带、光盘的备份，若有一台分服务器出现异常，该系统就转总服务器进行。这种运行机制，在一些医院取得了很好的效果。

（3）此外，要保护数据安全，就要保证服务器免受来自医院网络外部的攻击和破坏。通常情况下，内网和外网之间需要配备防火墙、防毒墙等网络安全设备以保障医院内网的相对安全性，对于保密网络，甚至要求与外网物理隔断。这就对防火墙位置及功能有严格要求。一般情况下，有些医院只对外网进行防火墙设置，但实事证明，对于大量攻击都来自医院网络内部。所以在设置防火墙时，要分别对外网出口和内网出口做设置，使核心路由器处在一个“真空”地带，内网与外网之间需要传递的数据通过核心路由器进行审查，由于两个独立的防火墙之间，不存在非法的逻辑连接、信息传输命令、信息传输协议，可有效保护医院数据主服务器，web服务器及PACS服务器等重要服务器的安全，实现隔离，防止外网黑客的攻击。配合病毒防护软件，对于防护外网安全有非常好的效果。