医院局域网安全设计的探讨(1)
[摘要] 近年来医院局域网成为了有关专家重点关注的问题,医院局域网设计难度高且复杂。为了确保医院局域网安全、正常地运行,本文探讨了医院局域网的安全设计方案,即医院局域网的安全设计应当以稳定可靠为第一要素,采用物理安全、权限管理、防火墙、流量控制、虚拟局域网、病毒防治、加密认证、应急预案技术来进行综合、系统的设计。
[关键词] 医院局域网;安全设计;权限管理;流量控制;防火墙
[中图分类号]R197.324 [文献标识码] B[文章编号] 1673-7210(2009)07(a)-195-03
Discussion on the security management design of local area network in hospital
WANGKaimin
, 百拇医药
(College of Information Engineering, Nanchang University, Nanchang 330031, China)
[Abstract] In the recent years, hospital local area network has been a problem highly concerned by related experts. The design of hospital local area network is of great difficulty and complexity. In order to ensure security and normal operation of it, this article explores the security design scheme of hospital local area network. That is, regarding stability and reliability as core standards, then adopting technologies like equipment physics protection, access control, firewall technology, flow control, VLAN technology, virus prevention and cure, encryption and authentication, emergency plan to design the hospital local area network systematically and synthetically.
, 百拇医药
[Key words] Hospital local area network; Security design; Privilege management; Flow control; Firewall
随着信息时代的发展,在医院用局域网来实现信息管理正在逐步成熟。局域网办公相对传统的手工工作方式来说要快捷、方便得多,然而随着医院局域网规模的逐渐扩大,其信息涉及医院各个方面,一旦出错将造成比传统方式更大的损害。因此医院局域网安全一直是有关专家们研究的重要问题。本文首先列举一些威胁医院局域网安全的因素,然后介绍保障网络正常、安全工作的网络技术标准,再探讨医院网络安全的设计方案,最后对局域网的安全设计作一总结。
1 威胁医院局域网安全的因素
威胁局域网安全的因素很多,令人防不胜防,常见的威胁如下:
1.1自然威胁
, http://www.100md.com
自然威胁是指恶劣的天气现象(如雷电)、计算机房湿度过大、尘土过多、火灾隐患等。
1.2 供电系统不稳定
供电系统不稳定对局域网整个系统的危害是致命的,尤其是对服务器,一旦断电,服务器上储存的重要信息就有可能丢失,使整个系统陷入混乱。
1.3 非法接入
未授权的用户私自接入局域网,会给局域网带来很大危险,这是医院局域网系统中重大安全威胁之一。无意或恶意用户非法接入均有可能给医院信息系统造成很大危害,严重的可以使网络瘫痪。恶意用户(多数是黑客)通过高端技术破译网络运算方式,修改、盗取相关信息,给医院信息系统造成很大危害[1]。
1.4 ARP攻击
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
, 百拇医药
1.5 软件漏洞
软件漏洞是指软件在具体实现时存在的安全缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。它包括系统软件和应用软件的漏洞。
1.6 病毒
病毒的危害众所周知。病毒能通过网络或者通过移动存储介质传播,由于其传染性,一台客户机感染了病毒就可能使整个医院局域网瘫痪。
1.7 恶意插件
插件是指会随着IE浏览器的启动自动执行的程序,它很可能与其他运行中的程序发生冲突,从而导致诸如各种页面错误、运行时间错误等现象,阻塞了正常浏览。
总结上述威胁,笔者认为由于局域网安全威胁来自各方面,探讨医院局域网安全问题时,既要从计算机、网络专业方面去考虑,又不能忽视人员、自然的潜在威胁;在考虑局域网层面时,既要考虑局域网内部,又要兼顾局域网外部。
, 百拇医药
2 网络技术标准
网络安全标准用于保证网络正常工作。许多国内外组织都制订了一些技术标准以实现标准化工作,它们是保障网络正常工作和安全的准则,也是制订局域网安全方案的根据。
2.1 OSI参考模型和TCP/IP模型
2.1.1 OSIOSI模型是传统的开放式系统互连参考模型,它定义了开放系统中一个节点的应用进程发送的数据从应用层开始层层附加控制信息,最终成为比特流,通过物理媒体传输到另一个系统,然后以此处理、剥离各层的控制信息,还原成要发送的数据交给另一个开放系统中的一个节点的应用程序[2]。OSI是一种仅供参考的理想化模型。
2.1.2 TCP/IPTCP/IP模型有实用性,互联网用的就是它。TCP/IP模型采用了4层结构,其中主机、网络层、互连层、传输层、应用层分别对应OSI模型中的物理层,数据链路层,网络层,传输层,会话层、表示层和应用层。
, http://www.100md.com
2.2 IEEE 802协议
IEEE 802 LAN/MAN 标准委员会制订的局域网参考模型与OSI参考模型。
2.2.1 802.1P有关流量优先级的 LAN 第2层 QoS/CoS 协议。它使第2层交换具有以优先级区分信息流的能力,完成动态多波过滤,这对于提高局域网的性能非常有帮助。
2.2.2 802.1Q一种数据交换的协议。它还进一步完善了虚拟局域网的体系结构,并制订了虚拟局域网标准在未来一段时间内的发展方向。
2.2.3 802.1X它可以限制未经授权的用户或设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1X对连接到交换机端口上的用户及设备进行认证。
2.2.4 802.2定义了逻辑链路控制协议。, http://www.100md.com(王凯民)
[关键词] 医院局域网;安全设计;权限管理;流量控制;防火墙
[中图分类号]R197.324 [文献标识码] B[文章编号] 1673-7210(2009)07(a)-195-03
Discussion on the security management design of local area network in hospital
WANGKaimin
, 百拇医药
(College of Information Engineering, Nanchang University, Nanchang 330031, China)
[Abstract] In the recent years, hospital local area network has been a problem highly concerned by related experts. The design of hospital local area network is of great difficulty and complexity. In order to ensure security and normal operation of it, this article explores the security design scheme of hospital local area network. That is, regarding stability and reliability as core standards, then adopting technologies like equipment physics protection, access control, firewall technology, flow control, VLAN technology, virus prevention and cure, encryption and authentication, emergency plan to design the hospital local area network systematically and synthetically.
, 百拇医药
[Key words] Hospital local area network; Security design; Privilege management; Flow control; Firewall
随着信息时代的发展,在医院用局域网来实现信息管理正在逐步成熟。局域网办公相对传统的手工工作方式来说要快捷、方便得多,然而随着医院局域网规模的逐渐扩大,其信息涉及医院各个方面,一旦出错将造成比传统方式更大的损害。因此医院局域网安全一直是有关专家们研究的重要问题。本文首先列举一些威胁医院局域网安全的因素,然后介绍保障网络正常、安全工作的网络技术标准,再探讨医院网络安全的设计方案,最后对局域网的安全设计作一总结。
1 威胁医院局域网安全的因素
威胁局域网安全的因素很多,令人防不胜防,常见的威胁如下:
1.1自然威胁
, http://www.100md.com
自然威胁是指恶劣的天气现象(如雷电)、计算机房湿度过大、尘土过多、火灾隐患等。
1.2 供电系统不稳定
供电系统不稳定对局域网整个系统的危害是致命的,尤其是对服务器,一旦断电,服务器上储存的重要信息就有可能丢失,使整个系统陷入混乱。
1.3 非法接入
未授权的用户私自接入局域网,会给局域网带来很大危险,这是医院局域网系统中重大安全威胁之一。无意或恶意用户非法接入均有可能给医院信息系统造成很大危害,严重的可以使网络瘫痪。恶意用户(多数是黑客)通过高端技术破译网络运算方式,修改、盗取相关信息,给医院信息系统造成很大危害[1]。
1.4 ARP攻击
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
, 百拇医药
1.5 软件漏洞
软件漏洞是指软件在具体实现时存在的安全缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。它包括系统软件和应用软件的漏洞。
1.6 病毒
病毒的危害众所周知。病毒能通过网络或者通过移动存储介质传播,由于其传染性,一台客户机感染了病毒就可能使整个医院局域网瘫痪。
1.7 恶意插件
插件是指会随着IE浏览器的启动自动执行的程序,它很可能与其他运行中的程序发生冲突,从而导致诸如各种页面错误、运行时间错误等现象,阻塞了正常浏览。
总结上述威胁,笔者认为由于局域网安全威胁来自各方面,探讨医院局域网安全问题时,既要从计算机、网络专业方面去考虑,又不能忽视人员、自然的潜在威胁;在考虑局域网层面时,既要考虑局域网内部,又要兼顾局域网外部。
, 百拇医药
2 网络技术标准
网络安全标准用于保证网络正常工作。许多国内外组织都制订了一些技术标准以实现标准化工作,它们是保障网络正常工作和安全的准则,也是制订局域网安全方案的根据。
2.1 OSI参考模型和TCP/IP模型
2.1.1 OSIOSI模型是传统的开放式系统互连参考模型,它定义了开放系统中一个节点的应用进程发送的数据从应用层开始层层附加控制信息,最终成为比特流,通过物理媒体传输到另一个系统,然后以此处理、剥离各层的控制信息,还原成要发送的数据交给另一个开放系统中的一个节点的应用程序[2]。OSI是一种仅供参考的理想化模型。
2.1.2 TCP/IPTCP/IP模型有实用性,互联网用的就是它。TCP/IP模型采用了4层结构,其中主机、网络层、互连层、传输层、应用层分别对应OSI模型中的物理层,数据链路层,网络层,传输层,会话层、表示层和应用层。
, http://www.100md.com
2.2 IEEE 802协议
IEEE 802 LAN/MAN 标准委员会制订的局域网参考模型与OSI参考模型。
2.2.1 802.1P有关流量优先级的 LAN 第2层 QoS/CoS 协议。它使第2层交换具有以优先级区分信息流的能力,完成动态多波过滤,这对于提高局域网的性能非常有帮助。
2.2.2 802.1Q一种数据交换的协议。它还进一步完善了虚拟局域网的体系结构,并制订了虚拟局域网标准在未来一段时间内的发展方向。
2.2.3 802.1X它可以限制未经授权的用户或设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1X对连接到交换机端口上的用户及设备进行认证。
2.2.4 802.2定义了逻辑链路控制协议。, http://www.100md.com(王凯民)