多兵种协同作战确保医院全局网络安全

【摘要】  医院信息化建设随着科技的发展进步，已经成为医院现代化管理的重要标志。但同时高度的数字化也带来了高度的网络风险,电脑病毒、数据丢失、系统崩溃等隐患困扰着医院的运作, 如何防范网络风险已成为积极应对新医疗信息化变革挑战的客观需求

【关键词】  多兵种协同作战;SMP防范;流量控制;用户身份认证;ARP欺骗

　　当今伴随着科技的发展进步，医院信息化建设已经成为了医院现代化管理的重要标志。同时医院网络安全形势也就显得尤为严峻，传统的网络安全措施，均只照顾到单点或局部安全。防火墙虽能有效保护出口安全或服务器区域安全，阻止某些攻击，但无法分析深层数据，尤其无法处理内部攻击;杀毒软件面对种类繁多的病毒，已经陷入亡羊补牢的被动局面，难以主动防御， “熊猫烧香”、“灰鸽子”、“ARP”病毒爆发，就让杀毒软件束手无策。而医院网络安全事关重大，院内管理、处方监控、患者服务等等信息，关乎生命健康，因此确保医院网络安全，具有重大的社会意义。

　　1引入网强网络管理系

　　统实时拓扑图展现,系统自动发现的物理拓扑图，能实时监控并动态展示网络中的每个资源类型的健康度、平均CPU利用率或内存利用率以及ICMP响应时间等资源状态，并用不同颜色进行表示。见图1。

　　1.1真实的设备背板信息系统能通过真实的背板图(见图2)对网络设备的端口进行信息查看、下联设备列表、启用端口、关闭端口、实时分析端口、设置事件规则等操作，并支持国内外各种主流的网络设备和其他设备。帮助网络管理人员实现不用跑机房现场就能了解到每个设备的当前端口状态，节省人力资源，只需点几下鼠标就可以轻松代替原来的体力劳动，解放出更多的时间用于其他事情，提高办事效率。完全的替代了登录到设备去操作的过程，大大简化了对设备的控制管理。 图1网强系统下扫描生成的全院网络拓扑图图2本院接入层交换机真实的设备背板信息

　　1.2全面的资源管理系统除能监控所有支持SNMP协议的网络设备资源，实时展现这些设备中的CPU利用率、内存利用率、各个端口流量、各个端口状态等，系统最新引进的健康度、可用度的概念能帮助用户更快的了解IT设施的运行状态。对设备问题的排查做到最快最准全的定位。同时可根据提供端口信息清晰判定端口下联设备的硬件信息，大大缩减故障排查时间。

　　2引入深信服上网行为管理设备

　　上网行为控制的实施，能够很好规范员工上网行为，提高工作效率。网络行为监控以及实时网络流量监控截图。见图3。

　　2.1网页过滤、关键字过滤、内容检测等多种控制功能，禁止员工在上班时间访问与工作无关的网站、聊天、玩游戏、看电影、BT下载等; 既保证了网络的安全，规范了工作制度同时减少了非正常使用网络占用带宽保证了医院网络速度。见图4。

　　2.2流量控制和带宽管理，优化带宽资源依据URL组策略对组、用户进行精确流量限制，合理分配上网带宽。见图5。图3全局网络行为监控以及实时网络流量监控截图图4针对网络安全需要进行的安全策略设置信息表图5依据URL组策略对组、用户进行实时的流量分配表

　　2.3通过过滤、关键字过滤，邮件过滤等技术禁止员工访问色情、非法网站、发表不良言论或反动言论，降低企业因此遭受的法律风险。

　　2.3.1危险网站阻隔用户可自定义对色情、病毒、钓鱼网站的阻隔访问。访问控制策略：提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略。

　　2.3.2 P2P拦截使用深度内容检测技术实现对包括QQ、MSN、SKYPE、BT等任何P2P软件的流量阻隔。

　　2.3.3用户认证提供Web登录认证功能，提供本地用户数据库和LDAP,Radius用户数据集成功能。

　　2.3.4文件上传下载控制对Http、Ftp文件上传、下载类型和大小进行控制，也能对QQ、MSN等P2P软件的文件。

　　2.4对使用流量过大或非法使用网络资源的用户根据系统排名进行控制或直接冻结用户上网权限(可以设置冻结时间，并自动提醒用户)。见图6。　图6对流量过大或非法使用网络资源的用户冻结上网权限

　　深信服引入成功解决了医院网络资源被不合理占用，导致正常办公时网速慢掉线等情况，同时很好地控制了网络资源的使用情况，规范的上网行为，很好地保证了网络资源使用的合理性以及网络环境的安全。

　　3锐捷SMP认证管理

　　系统的引入引入锐捷网络，对医院当时网络环境进行了全面升级改造，医院网络环境发生了质的飞跃。见图7。其三大防线功能很好地解决了企业网络存在的安全隐患。图7SMP系统实时提现认证用户绑定信息

　　3.1防线一:用户身份管理体系用户身份认证体系是SMP的第一道防线，也是整个方案的基础防线，它利用针对每个入网用户的网络准入权限控制，捍卫整个网络安全体系的执行力度。SMP采用了基于802.1X协议和Radius协议的身份验证体系，通过与安全智能交换机的联动，实现对用户访问网络的身份控制。通过严格的多元素(IP、MAC、硬盘ID、认证交换机IP、认证交换机端口、用户名、密码、数字证书)绑定措施，确保接入用户身份的合法性。见图8。图8SMP系统中客户端信息

　　3.2防线二：ARP欺骗三重立体防御功能ARP病毒是所有网络管理者最为头痛的一种病毒。因其独特实现原理使得任何杀毒软件无法对其查杀。ARP病毒使得PC伪造网关，并向全网络发送消息，使得其他正常PC获取错误消息，以为要访问的目的地址是中毒的PC从而不能去正确访问目的地址，使得全网瘫痪。ARP欺骗的防护采用锐捷网络的可信任ARP(Trusted ARP)专有技术，实现三层网管设备和客户端PC之间的联动的可信任ARP关系，从而保证了用户与网关通信的正常。在安全智能交换机上结合用户认证信息，则能够实现基于端口的ARP报文合法性检查，基于深度检测的硬件访问控制列表，将所有ARP欺骗报文全部过滤，从而彻底阻止了ARP欺骗的发生。

　　3.3防线三：专区专访控制功能为了达到医院内网相互访问的安全可靠，根据业务访问权限，我们将内网划分为不同功能的VLAN,使得办公区存在不同业务终端的PC， SMP可以依照用户身份，设置不同用户的访问权限，让用户在接入网络后，只能访问自己权限之内的服务器、网络区域等。 见图9。图9SMP系统根据不同业务需求划分不同功能及权限的VLAN

　　4杀毒

　　软件应用就像一个战士一样，如果只有坚固的铁甲，敦厚的钢盾而没有一把锋利的长矛那么想打赢敌人是不可能的。同样一个网络如果想做到安全，只靠防火墙，各种安全策略，网管软件等等是不可能做到真正的安全，它必须拥有一个好的适合自己的杀毒软件。瑞星在本院的应用，见图10。瑞星网络版2010系统中心主界面，左侧为控制台区域，可快速查看网络内的计算机。右侧分为安全状况栏和客户端列表，安全状况栏，能够实时的反 应那些计算机发现病毒，那些计算机该对其进行升级等。客户端列表可以一目了然的了解到所有客户端当前的运行状态。下方是日志部分，管理者可查看病毒日志、 事件日志、主动防御日志和运行日志，日志即客户端反馈的各项信息。 图10瑞星客户端实时监控及病毒在客户端感染情况

　　2010版瑞星新增TOP排名，管理员可根据需要对一个阶段网络内感染病毒数量种类进行排名，同时还可以对全网染毒最多的终端进行排行，使得管理员对全网终端及网内病毒有一个直观的了解，更加有助于对病毒的查杀，使得网络环境更加安全。 见图11。图11定期对全院客户端进行病毒感染情况排名

　　以上四大网络应用管理工具的联动，做到从内网底层PC使用的安全管理，到网络终端的安全控制;从内网的上网应用，到外部数据的流入，做到了很好地安全控制;四种工具协同作战，很好的管理了本院网络及网络终端的应用，对医院的网络安全起到了深入的保护作用。