網絡安全建設方案范例6篇

前言：中文期刊網精心挑選了網絡安全建設方案范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

網絡安全建設方案范文1

1.1醫院信息化依附的時代背景

二十一世紀互聯網信息化飛速發展呈指數型4G時代即將被5G取代，這一關鍵的網絡技術在醫院信息化的建設中起到至關重要的作用，既提升了醫院開展各項工作的效率和質量，同時也有效的節省了患病者排隊掛號和醫生開藥的時間，也越來越得到廣大醫護人員和病者的認可，人們對其的方便也越來越依賴。因此，醫院信息化建設中的網絡的安全問題直接影響到人民的健康就醫、醫院業務的順利開展、醫院數據信息的保密等等。

1.2醫院信息化安全建設必不可少

醫院的建設不同于其他公司單位的建設，有其特殊性。醫院里存放的每一份檔案信息都是十分重要且有價值的醫學文獻，包括有醫生治療各類病人的實際病例、病人的病變情況及救治方案和結果等等。技術的更新換代也為醫院帶來了福音，如今每家醫院都有相關的醫護人員將檔案信息輸入網絡系統，提升了醫院信息管理效率，保障了醫院的日常工作安排及順利運作，這些信息對醫院來說無疑是一筆寶貴的財富。因此，醫院在管理上應在信息化建設上加大力度，需要更加重視醫院系統中網絡安全問題，并合理地制定出切實可用的方案進行防護其受到危險，更好地建設發展醫院，為更多的患者提供更人性化的服務。

2醫院信息化系統中網絡安全存在的問題

2.1系統網絡環境的安全問題

醫院信息化系統網絡安全的建立了離不開一個優良的工作環境。首先，醫院自身的硬件設備一定要盡可能的完善。一些醫院的管理層不夠重視網絡安全信息化建設、數據的保護和維護，在網絡保護方面投放的人力、物力、財力和精力都比較少，就會采用一些簡單便宜的設備存儲數據，聘請一些不成熟的技術團隊來維護等，這樣不僅不能對醫院信息化建設有好的幫助，反而還可能會對醫院重要的數據信息是一種潛在的危害。醫院在信息化建設所需環境是存儲信息的機房，它需要有專門的場地，還要在全天候供電、適宜的濕度和溫度、還需有外部的保護設備有人看管的環境下保證機房中網絡設備的萬無一失，同時也要防范靜電、火災、水災、漏電等自然災害和人為盜竊、破壞的危險因素發生，保障信息的絕對安全。外部環境的安全為信息化的建立提供了物理層面的保障，系統硬件的安全也不可忽視，不僅僅要強有力的保護，還要長期的進行維護修理、更新替換，確保硬件的壽命更加強有力的支撐軟件的流暢運作，促進醫院信息化網絡安全建設的進度。

2.2系統網絡軟件的安全問題

現代化醫院在信息化建設中有了適宜的環境和強有力的硬件支持，軟件的發展也越來越好，運用得當可以更好的為人們服務，更快更有效率地解決醫院很多業務上的麻煩，保證每一個網絡系統之間相互連接正常運作，節省醫護人員和看病者及其家屬的寶貴時間。醫院優秀的軟件開發者是人，使用者也是人在操作。軟件開發人員在研發的過程中可能因為團隊之間交流不夠，或者是在軟件編譯過程中的疏忽，亦或者在軟件測試適合沒能檢測出BUG的存在而造成軟件漏洞，漏洞的出現就會對數據安全帶來危險，漏洞一日不補救就會面臨不法分子的侵犯和網絡病毒、木馬等入侵醫院的信息系統，大量的機密文件、病者的信息都會被隨時竊取的風險，將會導致醫院丟失重要資料數據，造成非常大的影響。在醫院信息化建設中的網絡安全的保護就必須對操作系統的醫護工作人員嚴格要求，并進行專業的操作運用培訓，保障內部工作者的日常信息化管理。醫院運行的軟件對內是其整個醫院的內部管理，對外還有病人的醫保信息、還直接和醫院管理的總衛生院聯系密切，需要通過一些軟件來傳輸一些重要病例、藥品、治療方案等機密文件。由此來看，醫院因信息化網絡的建立而有條不紊地順利進行，但倘若軟件方面的安全受到威脅，則會導致醫院整體的運作水平下降，信息之間的獲取也變得困難。

2.3網絡數據的安全問題

醫院網絡安全的重要元素就是數據。信息之間傳送的過程中，數據的安全也是至關重要。如今信息化的時代，各種APP橫空出世獲取人們的信息，人們在醫院就醫用藥、支付費用等消費中信息的傳輸過程中可能會受到外來數據的干擾，從而造成重要數據被篡改、損壞、丟失、竊取等危險的發生。而一旦數據泄漏，如若不法分子竊取的數據運用在犯法的道路上給醫院和社會帶來的危害不可小覷，更有甚者直接威脅到信息相關人們的生命和財產安全。因此，數據安全的保護相當重要，在醫院所有工作人員運用信息化系統時，不能拿帶有病毒的U盤插入電腦使用，不瀏覽可疑網站，不點擊誘惑性廣告或新聞等，杜絕病毒進入系統對數據進行非法復制、利用、盜取等情況的發生。醫院購買正版高效的殺毒軟件并定期查殺木馬、病毒等消除對數據的危害，將這種危險扼殺在搖籃之中，保障醫院信息化系統的建立，確保網絡安全。

2.4醫院制度造成的安全問題

在當下醫患關系比較緊張的環境下，醫院的主要職責是為了患病者的快速就醫、正確診斷、化險為安而服務的。每一個醫院幾乎也都致力于此，所以在醫院制度的管理下，對醫院網絡安全制度方面顯得不完善，需要健全這一機制。這樣不被重視的情況就會滋生出一些問題，比如一旦有事故發生就很難將責任追究到個人身上，無法合理問責。醫院的網絡部門缺乏統一化、規范化、科學化的數據信息化建設的安全措施，一旦發現問題很難第一時間迅速做出正確的決定，實施有效的方案進行補救。同時，醫院也缺乏第三方網絡技術團隊的加入，沒有對相關的管理、技術人員實施一套合理的考核標準，醫院內部對其他部門工作人員宣傳力度不夠，無法深入理解網絡安全的重要性，更有甚者一些醫護工作人員在上班期間運用系統網絡做一些不合理的行為，被管理人員抓到后沒有及時根據事情大小作出相應的處理，而是一嘴帶過或是包庇等。這些都是醫院自身制度所造成的安全隱患，從而導致信息化建設中網絡安全產生威脅。

3醫院信息化建設中網絡安全的防護有效方法

通過對醫院信息建設中網絡安全存在的潛在危險分析，我們得出影響網絡安全的幾個重要因素有網絡內外部環境、醫院軟件的一系列問題、數據安全方面、醫院的制度等，針對這些安全隱患，應結合當前最新最有效的科學技術當對癥下藥，進行合理有效地制定預備防范方案，未雨綢繆為醫院信息網絡安全提供優質的保障。具體建議措施如下：

3.1凈化并完善醫院網絡系統的環境

3.1.1醫院網絡系統的外部環境處理措施

針對醫院信息機房的外部環境，必須加強基礎設備配置，合理安排機房所在醫院的位置，布設機房室內室外360度無死角監控設備，機房室外設有嚴格的門禁系統，機房室內裝好空調，在機房室內外裝設滅火系統以防硬件主機起火等，并要確保這些相關的設施裝備安全完好、長期使用。在物理安全層面確保網絡環境安全，主要是需要對機房內部系統的服務器、主機硬盤、路由器、發電機、交換機等硬件設備進行全面管理，避免機房內部產生靜電、外部受到電磁的干擾等，醫院負責機房部門的工作人員應嚴格遵照機房安全指南科學地對機房進行管理，確保機房的安全。

3.1.2醫院網絡系統的外部環境處理措施

凈化醫院信息化網絡的環境需要有效采用內外網隔離的方式，這樣做的原因就是醫院被黑客、病毒等入侵一般情況下是來自于醫院的外網系統。外部網絡直接和社會上的網絡連接，很容易摻雜木馬、病毒，將醫院的網絡改為內外網絡兩條路線，相關的專業人員負責安排好內外網的對接，建立醫院自己的局域網絡，設立相關的密碼密鑰。還可以應用網閘的方式來實現，這樣的好處是不必再增加網絡線路，同樣達到內外網隔離的效果。實現了內外網隔離并不是意味著就絕對安全了，在網閘上可設入病毒檢測系統，根據病毒、木馬等特征分析處理，達到“以毒攻毒”的形式檢驗入侵數據的特征，進行比對發現是病毒后隔離。針對醫院內部的重要部門實施重點保護，如領導的系統、財務系統和檔案信息系統等，這些部門的文件和數據涉及到很多醫院機密相當重要，不容有所侵犯，否則后果不僅影響醫院的安全還可能威脅社會，所以，內外網的隔離就顯得尤為重要。積極采用VLAN技術劃分子網，排除一些不被允許的用戶，將其列入子網中進行隔離。

3.2善用防火墻技術

醫院在信息化建設中不僅在網絡內外環境、物理層面和內外網隔離等方面有所防范病毒入侵，還應善用防火墻技術，杜絕不良網絡的攻擊保護好信息網絡數據安全。防火墻是一道網絡屏障，簡單來說就是在內部網絡與外部網絡之間建立的網絡安全系統，按照其特定的規則，阻隔病毒、黑客的入侵，傳輸可通過的數據?？茖W地利用好防火墻技術可以把網絡病毒直接隔離，并控制網絡訪問行為，更好的保護系統內部不受侵害，確保醫院信息化建設中網絡安全。

3.3部署更新殺毒軟件

目前市面上計算機殺毒軟件眾多，真正實用的、查殺病毒效果好的、檢測漏洞及時補救的也寥寥無幾，需要專業人員進行鑒別選擇使用。幾乎每一臺計算機都會安裝殺毒軟件，它不僅可以抵制病毒入侵，還能查找系統深處潛在的病毒，進行徹底性的殺除。病毒的不斷演變也迫使殺毒軟件的更新，有了殺毒軟件的保護，醫院的網絡安全又進一步得到了防護。

3.4信息數據備份和恢復

醫院信息化都是以數據存儲的，數據備份是確保醫院網絡安全的重要一步，也是在醫院網絡系統發生災難后及時補救、第一時間恢復的是重要途和最好的保障。在醫院日常的工作中，應嚴格要求工作人員按照文件數據信息的等級進行備份上傳，并不是所有信息都要備份，結合自己部門工作的實際情況及業務要求備份數據上傳云端，根據不同等級的安全系數、文件數據重要程度進行適當的加密處理。避免平時工作中由于操作不當可能對數據造成的危害，如信息失真、數據丟失，或者在不知情的前提下讓電腦染上木馬病毒等事故的發生，降低出事率，減緩系統主機的運作負擔，確保網絡數據存儲云端正常快速高效地工作。即便是受到了危害，也能及時恢復備份好的重要文件數據，保證醫院系統機構的正常運作，檔案信息的完整。

3.5完善網絡安全制度

當前社會倡導以人為本，醫院的信息化網絡系統建立和使用都是更好的為人服務。故而健全和完善醫院的規章制度就顯得格外重要，這也是確?？茖W合理地保障信息網絡的安全。醫院領導層應將管理層和治療的主治醫師分離開，讓管理人員專業性的管理醫院的大小事務，讓一流的主治醫師有更多的時間和精力致力于疾病研究和治療措施的實踐中去，實現各司其職。醫院信息化便民、便醫的軟件開發，需要層層把關，要實事求是的結合醫院實際情況進行調研、了解醫院各部門的需求所在、進行研發測試，健全完善問責監督機構，確保軟件安全。由軟件實施人員定期對醫院工作人員進行培訓講解軟件的使用和需要注意的地方。平時工作中，醫院也要不定期的安排網絡信息安全的講座，重點培養工作人員在上機操作過程中的規范性、科學性，普及網絡安全知識，針對一些簡單問題可自行應對解決。在備份文件的提取使用中，針對不同級別的和職位的醫護人員設置查看下載權限，確保醫院重要信息、醫療文件的安全。

4小結

綜上所述，在當前信息化、數據化的互聯網時代，幾乎所有的醫院的日常運作和業務開展都依賴于網絡，所以確保醫院系統網絡安全是重中之重?；ヂ摼W技術的更新換代，發展神速的同時，病毒、黑客等不良網絡對醫院系統的攻擊也有更多的途徑，醫院信息化網絡安全的防護工作更應加大力度，既要在技術層面防范不法入侵，也要在醫院自身制度和工作人員的網絡安全意識行動積極配合，這樣才能保證醫院信息化網絡安全的萬無一失。

參考文獻

[1]黃艷.試談醫院信息化建設中的網絡安全與防護[J].電腦編程技巧與維護,2017(2):84-86.

網絡安全建設方案范文2

在信息化技術的發展過程中，計算機網絡技術的應用提升了醫院各項業務的效率與質量，有效的縮短了患者看病的時間，在這些現代化技術應用的過程中，人們可以通過網絡進行掛號以及開藥，有效的提升管理的效率與質量[1]。但是伴隨著信息化的安全問題也是醫院必須要重視的問題，只有強化網絡安全防護才可以保障各項工作的有效開展。

1醫院信息化網絡安全防護問題

1.1網絡安全。

醫院信息化建設中存在的網絡安全技術主要就是應用服務、技術手段、產品以及物理等幾點。在應用服務領域中的網絡安全問題就是在網絡終端鏈接之中存在的各種安全隱患問題，主要就是一些黑客攻擊、病毒性感染以及垃圾郵件與違規操作等問題，這些問題都會導致醫院計算機系統出現網絡終端、服務器癱瘓等問題，甚至會導致患者的信息賬號被盜以及篡改等問題。在產品中的網絡安全就是硬件設備以及軟件操作系統中被植入了一些惡意的代碼等問題，導致其存在安全隱患問題。在技術領域中的安全隱患問題就是在相關產品以及系統的生遇中其自身存在的缺陷以及不足等問題。而在物理層面上的安全問題，就是醫護工作人員自己操作失誤問題、一些計算機攻擊以及自然災害等因素導致的網絡系統無法正常運行[2]。因為網絡安全內容相對較為復雜，在運行過程中各種因素都會對其產生一定的影響，在實踐中必須要對其進行深入、系統的研究，這樣才可以有效的規避各種安全隱患問題。

1.2系統安全問題。

系統安全問題就是在醫院的信息系統中必須要具有一定的安全應用程序，保障其操作系統以及物理的安全性。所謂的數據安全就是醫院數據自身存在的各種安全問題以及防護管理中存在的各種安全問題。隨著網絡技術的不斷發展與更新，各種網絡安全威脅問題逐漸的增多，醫院必須要加強系統安全管理，合理的規避各種問題與安全隱患，這樣才可以在根本上保障醫院信息化建設過程中網絡系統的安全性。

2醫院信息化建設過程中網絡安全的防護途徑

2.1構建完善的醫院網絡安全管理模式。

在醫院的信息化建設與發展過程中，要想真正的提升網絡環境的安全性，保障其正常運行，在實踐中就要構建完善的網絡安全管理系統，加強對網絡安全系統的管理與制約。對此在實踐中，醫院要綜合實際的管理狀況、業務活動以及工作內容，構建科學、完善的管理制度，加強對醫院信息化系統的管理，這樣才可以在根本上保障醫院系統的安全性以及系統性，而計算機安全管理制度以及網絡運行維護管理制度、信息化系統操作制度等制度與規定的構建，可以把保障醫護人員合理的、基于規定要求進行系統操作，可以避免各種違規操作問題的出現，避免因為操作不當導致的各種安全隱患問題的出現。同時，醫院必須要加強崗位培訓，定期加強對工作人員的教育，提升醫護人員的網絡安全意識，讓醫護人員了解自己工作的責任與義務，對此，醫院可以構建完善的網絡安全應急小組，對于出現的各種網絡安全問題進行及時處理，避免問題擴大，這樣才可以在一些嚴重的網絡安全問題出現的時候，保障醫院網絡信息系統的有效恢復，避免惡性影響，保障在最短的實踐中恢復醫院的網絡系統，繼而減少因為網絡系統故障導致的各種損失與問題，為醫院的各項工作的有效開展奠定基礎。

2.2數據備份和恢復。

數據備份是醫院網絡信息管理系統的關鍵內容，也是保障系統在出現安全隱患問題恢復的主要方式與途徑。對此醫院的網絡安全管理人員必須要綜合醫院的實際狀況以及業務需求，基于不同數據的等級以及重要程度對其進行合理設置保護方式，對數據進行等級劃分以及備份處理，一旦醫院的信息系統受到各種安全隱患問題的影響，或者受到不法攻擊的時候就會降低數據的損失，及時通過備份數據恢復網絡信息系統[3]。在現階段多數的醫院都是通過HIS服務器進行數據的存儲護理，這樣可以保障醫院各項信息數據的完整性，可以為醫院的數據信息恢復工作的控制在奠定基礎，進而保障醫院的各項工作有效開展。

2.3科殺毒操作，保障網絡安全。

在對醫院的網絡信息系統進行殺毒處理的過程中，必須要對一些常規性的軟件進行科學性的部署規劃，加強對一些惡意軟件的深度防護。在對一些殺毒軟件進行長規定的部署過程中，必須要選擇科學的、匹配的殺毒軟件，合理的應用防火墻技術手段，這樣才可以有效的避免病毒的入侵問題。同時也可以通過對相關殺毒軟件的在線升級等方式，加強對病毒的診斷與處理，提升網絡系統的安全性，在對一些惡意的軟件進行防護處理的時候，要加強對客戶端以及服務器管理工作的重視。同時，要及時刪除一些多余的程序以及服務，這樣才可以有效的減少系統漏洞問題，通過軟件的更新，利用防火墻及時加強對主機數據的篩選，加強對用戶的一些違規操作的限制與控制，設置權限，加強殺毒軟件的科學化管理，可以在根本上提升系統的安全性。

3結論

網絡安全就是網絡系統中的硬件，軟件以及數據等相關內容。網絡系統在應用過程中必須要具有一定的安全性，不會受到外界各種因素的影響，出現信息的泄露以及更改等問題，也不會因為各種干擾導致中斷。醫院的工作性質與其他行業有所區別，醫院的為網絡系統涉及到各個領域，多臺電腦在同時開展工作，患者在通過網絡系統進行掛號到痊愈都會應用到網絡系統，對此醫院必須要保障計算機網絡的安全性，避免因為信息故障問題導致醫院正常工作無法開展。因此在實踐中，必須要通過構建完善的醫院網絡安全管理模式、數據備份和恢復、科殺毒操作，保障網絡安全等方式開展工作，提升醫院信息系統的安全性，加強防護，這樣才可以保障醫院工作的有效開展。

參考文獻

[1]賈驗龍,裴成霞.醫院信息化建設中的網絡安全和防護[J].電子技術與軟件工程,2017,(16):211.

網絡安全建設方案范文3

現在企業很多商業業務、商業活動和財務管理系統協同工作等，都需要借助計算機網絡進行。如果沒有網絡安全性的保障，就會發生系統延遲、拒絕服務、程序錯誤、數據篡改等現象，甚至很多情況下會發生木馬病毒的侵蝕。過去企業數據是以文本文件的形式存在，雖然處理和操作不具有便捷性，但是能夠起到保密性和可靠性的作用。計算機網絡時代財務數據流能夠實現財務數據的快速傳遞，但是在數據傳輸的過程中安全性難以得到有效的保障。所以在企業數據信息管理的過程中需要有保密性和可靠性的保障，維護企業的商業機密。其次，網絡交易渠道容易發生數據信息丟失或損壞，交易雙方的信息結果發生差異的現象時有發生，嚴重影響了企業數據的精準性。所以企業急需完整性的交易信息憑證，避免交易信息的篡改或者刪除，保證交易雙方數據的一致性[1]。

2企業網絡面臨的安全風險

2.1物理安全風險

近年來，很多現代化企業加大信息建設，一些下屬公司的網絡接入企業總網絡，企業網路物理層邊界限制模糊，而電子商務的業務發展需求要求企業網絡具有共享性，能夠在一定權限下實現網絡交易，這也使得企業內部網絡邊界成為一個邏輯邊界，防火墻在網絡邊界上的設置受到很多限制，影響了防火墻的安全防護作用。

2.2入侵審計和防御體系不完善

隨著互聯網的快速發展，網絡攻擊、計算機病毒不斷變化，其破壞力強、速度快、形式多樣、難以防范，嚴重威脅企業網絡安全。當前，很多企業缺乏完善的入侵審計和防御體系，企業網絡的主動防御和智能分析能力明顯不足，檢查監控效率低，缺乏一致性的安全防護規范，安全策略落實不到位。

2.3管理安全的風險

企業網絡與信息的安全需要有效的安全管理措施作為制度體系保障，但是企業經常由于管理的疏忽，造成嚴重的網絡信息安全風險。具體管理安全的風險主要表現在以下幾個方面：企業沒有健全和完善的網絡安全管理制度，難以落實安全追責；技術人員的操作技術能力缺陷，導致操作混亂；缺乏網絡信息安全管理的意識，沒有健全的網絡信息安全培訓體系等。

3構建企業網絡安全防護體系

3.1加強規劃、預防和動態管理

首先，企業需要建立完善的網絡信息安全防護體系，保證各項安全措施都能夠滿足國家信息安全的標準和要求。對自身潛在的信息安全風險進行統籌規劃，針對性的展開安全防護系統的設計。其次，企業應該加強對安全防護系統建設的資金投入，建立適合自己網絡信息應用需求的防護體系，并且定期進行安全系統的維護和升級。最后，加強預防與動態化的管理，要制定安全風險處理的應急預案，有效降低網絡信息安全事故的發生。并且根據網絡信息動態的變化，采取動態化的管理措施，將網絡與信息安全風險控制在可接受的范圍。

3.2合理劃分安全域

現代化企業網絡可以按照系統行為、安全防護等級和業務系統這三種方式來劃分安全域。由于企業網絡在不同區域和不同層次關注的內容不同，因此在劃分企業網絡安全域時，應結合業務屬性和網絡管理，不僅要確保企業正常的生產運營，還應考慮網絡安全域劃分是否合理。針對這個問題，企業網絡安全域劃分不能僅應用一種劃分方式，應綜合應用多種方式，充分發揮不同方式的優勢，結合企業網絡管理要求和網絡業務需求，有針對性地進行企業網絡安全域劃分。

首先，根據業務需求，可以將企業網絡分為兩部分：外網和內網。由于互聯網出口全部位于外網，企業網絡可以在外網用戶端和內網之間設置隔離，使外網服務和內網服務分離，隔離各種安全威脅，確保企業內網業務的安全性。其次，按照企業業務系統方式，分別劃分外網和內網安全域，企業外網可以分為員工公寓網絡、項目網絡、對外服務網絡等子網，內網可以分為辦公網、生產網，其中再細分出材料采購網、保管網、辦公管理網等子網，通過合理劃分安全域，確定明確的網絡邊界，明確安全防護范圍和對象目標。最后，按照網絡安全防護等級和系統行為，細分各個子網的安全域，劃分出基礎保障域、服務集中域和邊界接入域?；A保障域主要用來防護網絡系統管理控制中心、軟件和各種安全設備，服務集中域主要用于防護企業網絡的信息系統，包括信息系統內部和系統之間的數據防護，并且按照不同的等級保護要求，可以采用分級防護措施，邊界接入域主要設置在企業網絡信息系統和其他系統之間的邊界上。

3.3信息安全技術的應用

（1）防火墻技術

防火墻主要的作用是對不安全的服務進行過濾和攔截，對企業網絡的信息加強訪問限制，提高網絡安全防護。例如，企業的信息數據庫只能在企業內部局域網網絡的覆蓋下才能瀏覽操作，域外訪問操作會被禁止。并且防火墻可以有效記錄使用過的統計數據，對可能存在的攻擊、侵入行為精心預測預警，最大限度地保障了企業內部網絡系統的安全。隨著業務模式的不斷發展，簡單的業務（端口）封堵已經不能適應動態的業務需要，需要采用基于內容的深度檢測技術對區域間的業務流進行過濾。并借助于大數據分析能力對異常業務流進行智能分析判斷。

（2）終端準入防御技術

終端準入防御技術主要是以用戶終端作為切入點，對網絡的接入進行控制，利用安全服務器、安全網絡設備等聯動，對接入網絡的用戶終端強制實施企業安全策略，實時掌控用戶端的網絡信息操作行為，提高用戶端的風險主動防御能力。

4結束語

綜上所述，計算機網絡有效提高了企業業務工作的效率，實現企業計算機網絡數據庫中的數據分類、整理、資源的共享。但是，系統數據的保密、安全方面還存在技術上的一些欠缺，經常會發生數據被非法侵入和截取的現象，造成了嚴重的數據安全風險。企業應該科學分析網絡與信息安全風險類型，加強規劃、預防利用防火墻技術、終端準入防御技術等，提高企業網絡與信息安全防護效率。

參考文獻

[1]戴華秀.移動互聯網時代信息安全應對策略分析[J].科技與創新，2016，（1）：36.

網絡安全建設方案范文4

［關鍵詞］ 網絡；安全威脅；中國石油；網絡安全域

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 10. 035

［中圖分類號］ TP343.08 ［文獻標識碼］ A ［文章編號］ 1673 - 0194（2012）10- 0062- 02

1 引 言

隨著市場競爭的日益加劇，業務靈活性、成本控制成為企業經營者最關心的問題，彈性靈活的業務流程需求日益加強，辦公自動化、生產上網、業務上網、遠程辦公等業務模式不斷出現，促使企業加快信息網絡的建設。越來越多的企業核心業務、數據上網，一個穩定安全的企業信息網絡已成為企業正常運營的基本條件。同時為了規范企業治理，國家監管部門對企業的內控管理提出了多項規范要求，包括 IT 數據、流程、應用和基礎結構的完整性、可用性和準確性等方面。

然而信息網絡面臨的安全威脅與日俱增，安全攻擊漸漸向有組織、有目的、趨利化方向發展，網絡病毒、漏洞依然泛濫，同時信息技術的不斷更新，信息安全面臨的挑戰不斷增加。特別是云的應用，云環境下的數據安全、應用安全、虛擬化安全是信息安全面臨的主要問題。如何構建靈活有效的企業網絡安全防護體系，滿足業務發展的需要，已成為企業信息化建設、甚至是企業業務發展必須要考慮的問題。

2 大型企業網絡面臨的安全威脅

賽門鐵克的《2011 安全狀況調查報告》顯示：29％的企業定期遭受網絡攻擊，71％ 的企業在過去的一年里遭受過網絡攻擊。大型企業由于地域跨度大，信息系統多，受攻擊面廣等特點，更是成為被攻擊的首選目標。

大型企業網絡應用存在的安全威脅主要包括：（1）內網應用不規范。企業網絡行為不加限制，P2P下載等信息占據大量的網絡帶寬，同時也不可避免地將互聯網中的大量病毒、木馬等有害信息傳播到內網，對內網應用系統安全構成威脅。（2）網絡接入控制不嚴。網絡準入設施及制度的缺失，任何人都可以隨時、隨地插線上網，極易帶來病毒、木馬等，也很容易造成身份假冒、信息竊取、信息丟失等事件。（3）VPN系統安全措施不全。企業中的VPN系統，特別是二級單位自建的VPN系統，安全防護與審計能力不高，存在管理和控制不完善，且存在非系統員工用戶，行為難以監管和約束。（4）衛星信號易泄密。衛星通信方便靈活，通信范圍廣，不受距離和地域限制，許多在僻遠地區作業的一線生產單位，通過衛星系統傳遞生產、現場視頻等信息。但由于無線信號在自由空間中傳輸，容易被截獲。（5）無線網絡安全風險較大。無線接入由于靈活方便，常在局域網絡中使用，但是存在容易侵入、未經授權使用服務、地址欺騙和會話攔截、流量偵聽等安全風險。（6）生產網隔離不徹底。企業中生產網絡與管理網絡尚沒有明確的隔離規范，大多數二級單位采用防火墻邏輯隔離，有些單位防護策略制定不嚴格，導致生產網被來自管理網絡的病毒感染。

3 大型企業網絡安全防護體系建設

中國石油信息化建設處于我國大型企業領先地位，在國資委歷年信息化評比中，都名列前茅，“十一五”期間，將企業信息安全保障體系建設列為信息化整體規劃中，并逐步實施。其中涉及管理類項目3個，控制類項目3個，技術類項目5個。中國石油網絡安全域建設是其重要建設內容。

中國石油網絡分為專網、內網與外網3類。其中專網承載與實時生產或決策相關的信息系統，是相對封閉、有隔離的專用網絡。內網是通過租用國內數據鏈路，承載對內服務業務信息系統的網絡，與外網邏輯隔離。外網是實現對外提供服務和應用的網絡，與互聯網相連（見圖1）。

為了構建安全可靠的中國石油網絡安全架構，中國石油通過劃分中國石油網絡安全域，明確安全責任和防護標準，采取分層的防護措施來提高整體網絡的安全性，同時，為安全事件追溯提供必要的技術手段。網絡安全域實施項目按照先邊界安全加固、后深入內部防護的指導思想，將項目分為：廣域網邊界防護、廣域網域間與數據中心防護、廣域網域內防護3部分。

廣域網邊界防護子項目主要包括數據中心邊界防護和區域網絡中心邊界防護。數據中心邊界防護設計主要是保障集團公司統一規劃應用系統的安全、可靠運行。區域網絡中心邊界安全防護在保障各區域內員工訪問互聯網的同時，還需保障部分自建應用系統的正常運行?，F中石油在全國范圍內建立和完善16個互聯網出口的安全防護，所有單位均通過16個互聯網出口對外聯系，規劃DMZ，制定統一的策略，對外服務應用統一部署DMZ，內網與外網邏輯隔離，內網員工能正常收發郵件、瀏覽網頁，部分功能受限。

域間防護方案主要遵循 “縱深防護，保護核心”主體思想，安全防護針對各專網與內網接入點進行部署，并根據其在網絡層面由下至上的分布，保護策略強度依次由弱至強。數據中心安全防護按照數據中心業務系統的現狀和定級情況，將數據中心劃分為4個安全區域，分別是核心網絡、二級系統區、三級系統區、網絡管理區；通過完善數據中心核心網絡與廣域網邊界，二級系統、三級系統、網絡管理區與核心區邊界，二、三級系統區內部各信息系統間的邊界防護，構成數據中心縱深防御的體系，提升整體安全防護水平。

域內防護是指分離其他網絡并制定訪問策略，完善域內安全監控手段和技術，規范域內防護標準，實現實名制上網。中國石油以現有遠程接入控制系統用戶管理模式為基礎，并通過完善現有SSL VPN系統、增加IPSEC遠程接入方式，為出差員工、分支機構接入提供安全的接入環境。實名制訪問互聯網主要以用戶身份與自然人一一對應關系為基礎，實現用戶互聯網訪問、安全設備管理準入及授權控制、實名審計；以部署設備證書為基礎，實現數據中心對外提供服務的信息系統服務器網絡身份真實可靠，從而確保區域網絡中心、數據中心互聯網接入的安全性。

4 結束語

一個穩定安全的企業信息網絡已成為企業正常運營的基本條件，然而信息網絡的安全威脅日益加劇，企業網絡安全防護體系是否合理有效一直困擾著信息化主管部門。通過借鑒中國石油網絡安全域建設，系統地解決網絡安全問題，供其他企業參考。

主要參考文獻

［1］王擁軍. 淺談企業網絡安全防護體系的建設 ［J］． 信息安全與通信保密，2011（12）.

網絡安全建設方案范文5

一、網絡安全制度建設的必要性

1、制度建設是網絡安全建設的根基

無論是電信網還是互聯網，都植根于一定的制度環境之中。制度環境是一系列基本的經濟、政治、社會及法律規則的集合，它是制定生產、交換以及分配規則的基礎。在這些規則中，支配經濟活動、產權和合約權利的基本法則和政策構成了經濟制度環境。在一定的制度環境下，存在著一系列的制度安排。制度安排可以理解為游戲規則，不同的游戲規則導致人們不同的激勵反應和不同的權衡取舍。

社會主義市場經濟的建立為調整人們之間的關系構建了最廣泛的制度環境，它作為經濟活動的外生變量是人們無法選定的既成事實，但對于具體的制度安排，人們可以隨著生產力的發展而不斷做出相應的調整。電信網和互聯網作為代表信息社會最先進的生產力組成部分，已逐漸滲透到社會的各個領域，在未來的軍事對抗和經濟競爭中，因網絡的崩潰而造成全部或局部的失敗，已成為時刻面臨的威脅。這在客觀上要求建立與之相適應的生產關系，也就是能促進網絡安全有效運行的一系列制度安排。

網絡安全可分為電信網絡的安全可靠性、互聯網的安全可靠性和信息安全三個層次。具體包括網絡服務的可用性(Availability)、網絡信息的保密性(Confi－dentiality)和網絡信息的完整性(Integrality)。技術保障、管理保障和法律保障是網絡安全運營的三項重要措施。只有從制度安排上保障網絡的安全性即網絡的可用性，才能在技術層面和管理層面上保障網絡信息的保密性和完整性，才能使殺毒軟件、防火墻、加密技術、身份驗證、存取控制、數據完整性、安全協議等發揮其最大的效力。

2、網絡的外部性客觀上要求必須進行制度建設

網絡產業具有很強的外部性特征。從經濟學角度看，通過市場機制自身對經濟活動外部性的克服主要是通過三個方面進行的。一是組織一個足夠大的經濟實體，即一體化經濟組織來將外部成本或收益內部化；二是通過界定并保護產權而使市場交易達到帕累托最優；三是以社會制裁的道德力量規范負的外部性及其行為。

首先，電信網和互聯網等網絡產業不同于制造業，其面臨的外部性不可能通過一體化效應來使外部成本或外部收益內部化。網絡的正的外部性與負的外部性都主要通過麥特卡爾夫定律(Metcalfe’s Law)表現出來。麥特卡爾夫定律表明：網絡價值同網絡用戶數量的平方成正比(即N個聯結能創造N2的效益)。隨著網絡用戶的增加，無論是技術知識等正面信息還是網絡病毒及擾亂社會政治經濟秩序等負面信息都呈幾何級數擴散，其擴散范圍之廣、速度之快、對經濟社會發展影響之深刻都是前所未有的。網絡自身對國界、民族及地域的超越，使通過一體化來解決外部性問題成本極大。

其次，通過界定和清晰產權，不能解決電信網及互聯網等網絡產業的外部性問題?？扑苟ɡ?Coase’sLaw)對外部性的解決是建立在產權明確界定并受到法律有效保護這一基礎之上的。而電信網和互聯網作為一種公共資源，使每個人都可以自主地在網絡上和獲取信息，這種對公共資源均等使用的權力，使市場機制無法在這一領域充分發揮作用，而必須通過政府的制度建設克服人們對公共資源的濫用。

最后，以道德力量來建立電信網及互聯網的安全體系幾乎是不可能的。網絡運用的趨勢是全社會廣泛參與，隨之而來的是控制權分散的管理問題。由于人們利益、目標、價值的分歧，使信息資源的保護和管理出現脫節和真空，從而使信息安全問題變得廣泛而復雜。網絡空間秩序企圖通過倫理道德、個人自律和對共同利益的維護和驅動來實現，幾乎像現實世界沒有國防、司法制度就可以保障一個國家的安全和社會的穩定一樣不可想象。因此，只有通過制度建設，才能真正建立起對電信網及互聯網安全有效運行的保護屏障。

3、信息安全要求政府必須建立網絡空間秩序 從網絡信息安全的角度看，絕對的網絡自由是不存在的。那種認為網絡空間創造了一種比以往任何文明所創造的世界更友善、更公正的新文明，從而使任何人可以在任何時間、地點自由發表自己的意見和主張，實踐證明是不可能的。電信網和互聯網不僅是重要的通信媒體，而且是各種信息特別是知識和娛樂信息的寶庫，它既給人類社會的發展帶來了巨大的福利，同時也向人們打開了一個潘多拉的盒子，而中立的技術無法對危害網絡信息安全的行為進行根本性的抑制。因此，靠網絡參與主體的自律和技術手段是不可能代替法律等制度安排來實現對網絡參與者有效的規制的?；谛畔踩目紤]，政府對電信網和互聯網進行管制也就成為國家立法的重要內容。

二、我國網絡安全在制度建設上存在的主要問題

網絡安全的本質在于促進和維持社會發展與經濟繁榮。因此，圍繞著網絡安全問題，各國都進行了一系列的制度建設，從而使技術層面和管理層面的安全設置更好地發揮其安全保障作用。

目前除了網絡黑客的攻擊和其他的網絡犯罪危及我國的網絡安全外，最大的風險是我國網絡自身缺乏一整套完整嚴密的制度安排，從而使網絡自身缺少一層制度屏障，降低了網絡自身的免疫力。這種制度缺失主要體現在以下幾個方面：

1、網絡安全缺少最基本的法律保護層

電信網絡作為國家信息化的基礎設施，在保障網絡與信息安全上擔負著重要的責任。隨著互聯網的普及、IP業務的發展，電信網、互聯網和有線電視網逐漸走向融合，如何保障電信網絡信息服務的安全，將電信網絡建成真正安全、可靠的網絡，是網絡信息社會亟待解決的重要問題之一。

市場經濟的典型特征是政府通過一系列制度安排來規范市場主體的經濟行為。電信法是網絡安全最基本的保護層，也是網絡安全技術得以發揮作用的制度安排。而在電信市場，我國政企合一的電信管理體制使電信法至今仍處于難產狀態。早在1956年我國就組織起草過電信法，幾上幾下之后，最終未能修成正果。上世紀90年代中期，政府再一次啟動電信法的起草工作，千呼萬喚的電信法到2000年也只是出臺了《電信管理條例》。2001年又開始了新一輪電信法的起草工作。電信法是保障網絡安全的最基本的制度安排，法律制度的缺失使政府無法公平公正地調整利益沖突各方的關系。有數據顯示從1998年開始，上報到信息產業部的互聯互通惡性案件達540起，至少影響到l億人次的用戶使用，造成10億元的直接損失和20億

元的間接損失①。在全國范圍內，由于惡性競爭而砍電纜、鋸鐵塔等破壞通信設施的惡性事件屢禁不止，嚴重影響了網絡安全與暢通。除了物理性破壞之外，更多的情況則是在通信軟件上做手腳或者惡意修改信令，對競爭對手經營的電信業務進行各種形式的限呼、攔截，造成了網間接通率偏低甚至完全中斷。1999年，蘭州市電信公司采用惡性競爭手段使本市27萬手機用戶打不通固定電話。目前，阻礙互聯互通的情況已經從幾年前的直接揮大刀砍電纜、互聯中繼不足、整個省不通IP卡等現象，轉化為落地攔截、掉線、噪音等更為隱蔽的技術手段，甚至出現了主導運營商不再對一個局向或者一個號段全部進行干擾攔截的方式，而是針對個別用戶特別是高端用戶直接進行攔截干擾，手段更為有效和隱蔽。對于這些影響網絡安全的無序競爭，來自體系內的監管力量發揮的作用一直相當有限。出臺電信法的呼聲越來越高。隨著我國在WTO中電信承諾表的兌現，國外電信運營商及外資的進入，會使競爭更加激烈。允許競爭但卻缺乏競爭規則，會使無序的惡性競爭愈演愈烈，這一切都使網絡隨時面臨著癱瘓的可能。因此，沒有法律制度的網絡運行是網絡最大的安全隱患。

2、制度摩擦使網絡存在安全隱患

如果一國的制度安排有利于基于網絡交易的電子商務市場容量最大化，有利于網絡安全運營及經濟效率的提高，那么就可以說該國具有高的制度資本。不利于網絡市場交易的制度，則使交易的成本變高，這種成本通常被稱為“制度成本”。當然，制度成本不僅僅指在網絡市場交易發生過程中實際要支付的成本，也包括由于制度障礙而根本無法進行或選擇放棄的市場交易所帶來的機會成本，這種機會成本包括“本來可深化的市場”因制度障礙而只能半途而廢的情況，以及市場勉強得到發展的情況。根據國際慣例，廣播和電視網絡都屬于電信。有史以來，歐洲多數國家和日本的廣播電視業都歸口國家郵電部直接管理，美國則由聯邦通信委員會統一歸口管理，國際電信聯盟(ITU)也設有廣播電視分支機構。世界公認的電信定義就是“利用有線、無線，電磁和光的設備，發射、傳輸、接收任何語音、圖像、數據、符號、信號”。但是由于我國某些歷史原因，廣播電視屬于意識形態重要宣傳機構，不能劃歸信息產業部，使網絡電視(IPTV)之類的新業務難以發展，并使不同網絡之間由于管理歸口問題而紛爭不斷，人為阻斷網絡運行的情況時有發生。

3、制度資本投入不足導致網絡安全運行成本較高

網絡互聯互通是一道世界難題，各國電信引入多家競爭機制以后，原來由一家公司完成一次通信服務現在改為多家來共同完成。網絡的全程全網性使運營商之間形成既競爭又合作的關系。因此，各國都通過電信法等一系列制度安排及相應的管制機構來協調各運營商之間的行為和利益關系。在我國，競爭規則等一系列制度安排的缺失，導致網絡安全運營成本較高。目前，RSA信息安全公司了一項新的指數來反映網絡的不安全程度，即“互聯網不安全指數”(Inter－net Insecurity Index)。計數方法從1到10，顯示每年的互聯網不安全程度。例如互聯網不安全指數從2002年的5上升到2003年6.5，說明網絡安全運行狀況越來越令人擔憂。這一指數是從網絡安全受到威脅的間接角度來衡量網絡安全的，筆者認為若直接從安全角度來衡量網絡安全，則網絡安全指數(S)最大化主要取決于以下變量的投入及其組合關系：網絡安全的制度資本(I)、技術強度(T)、管制水平(R)、資本投入量(K)和人力資本狀況㈣，并與以上各變量投入呈正相關關系。其函數關系式可寫成：

S=(I，T，R，K，L)

在技術強度、資本投入和人力資本既定的條件下，網絡安全指數大小主要取決于制度資本的投入和管制水平的高低。與互聯網相關的法律制度的健全是保障網絡安全的最基本的制度資本。而制度資本投入滯后于網絡的快速擴展和縱深延伸，致使我國網絡安全運行成本相對較高。制度資本的投入應建立最有利于促進市場交易發生、盡量使交易成本最低、保證網絡安全運營的一系列法律規章制度。當一國的制度機制不利于市場交易時，人們相當一部分技術投入、資本投入和人力資本投入等都是為了對沖制度成本而沒有形成社會經濟效益。例如，聯通公司與移動公司用戶互發短信的結算爭議，電信公司出售“手機休息站”設備攔截移動手機業務量，全國手機與固定電話互通結算問題，用戶駐地網糾紛，全國電話卡出售與結算矛盾等問題此起彼伏、接連不斷。制度成本過高致使我國為獲得同樣的網絡安全要投入更多的技術和人力物力財力。

三、完善我國網絡安全制度建設的建議

公用電信網是國家信息網的基礎，其安全方面的某一弱點可能把其他部分都置于風險之中。網絡遭到重大破壞，除了對社會和國家經濟造成重大損失外，還可能使國家安全受到威脅，因此，各國都非常重視加強對公用電信網的安全管理。

1、盡快完善以電信法為核心的一系列制度建設

國際上，特別是美國、英國等西方發達國家從20世紀70年代中期就開始高度關注網絡與信息安全問題，經過30多年的發展，在理論研究、產品開發、標準制定、保障體系建設、安全意識教育和人才培養等方面都取得了許多實用性成果。自1973年世界上第一部保護計算機安全法問世以來，各國與有關國際組織相繼制定了一系列的網絡安全法規。我國已經頒布的網絡法規主要有：《計算機軟件保護條例》、《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國信息網絡國際聯網安全管理暫行規定》、《計算機信息網絡國際聯網管理辦法》、《計算機信息系統國際聯網保密管理規定》等。與網絡安全相關的一系列制度建設是保障網絡安全運營的第一道防護屏障，也是最基本的制度保障。而電信法又是保障網絡安全運營的基礎中的基礎。在我國由于電信法至今仍未出臺，也就無法從法律制度的角度來規范電信網、互聯網等網絡參與者的行為。電信法的難產，暴露了我國新舊體制轉軌中制度建設的滯后性，使我國電信網和互聯網處于不設防的狀態，從而對網絡安全運營構成致命威脅。并使微觀經濟主體要損耗掉比市場制度健全的國家更多的人力物力和財力，才能對沖阻礙市場交易的制度成本。因此，盡快完善以電信法為核心的一系列制度建設，是市場經濟制度的必然要求，也是在國際互聯網中布設保證國內網絡安全的一道安全防線。

2、建立不同層級的網絡安全保護制度

制定“國家網絡安全計劃”，建立有效的國家信息安全管理體系。例如，美國已將信息安全戰略納入國家安全的整體戰略之中；美國的空間戰略以強化部門協調和強化政府協調的互動合作而適應網絡社會的需求和特點，其網絡空間戰略是一個全社會共同參與、實施的戰略。我國要充分研究和分析國家在信息領域的利益和所面臨的內外部威脅，結合我國國情制定的計劃

要能全面加強和指導國家政治、軍事、經濟、文化以及社會生活各個領域的網絡安全防范體系，并投入足夠的資金加強關鍵基礎設施的信息安全保護。網絡安全的制度安排和保護是分為不同層級的。要重點保護以電信網為代表的基礎信息網絡和關系信息安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南。信息安全領域中，密級分類、等級保護就是把信息資產分為不同等級，根據信息資產不同的重要等級，采取不同的制度安排及相應的技術措施進行防護。這樣就可以在投入有限的情況下，確保網絡及信息的安全性。

3、各種制度安排要隨著網絡的發展而不斷深化

一個好的制度安排必須具有激勵機制，推動生產力的快速發展，而不是阻礙生產力的發展與科學技術的進步。網絡環境的復雜性、多變性，以及信息系統的脆弱性，決定了網絡安全威脅的客觀存在。一旦一國缺乏自主創新的網絡安全策略和手段，國家的信息就有可能完全被葬送。例如，為適應電信飛速發展的要求，美國電信法幾次修改，歐洲大部分國家也都是立法在先改革在后。因為一個成熟的社會，在涉及國計民生和千家萬戶的越來越重要的網絡領域，沒有完善的法律制度約束是不可能穩步發展的。我國電信領域出現的許多問題都與制度安排有關。由于沒有完善的制度環境，企業明顯違規，政府束手無策。即使已有了較完善的制度安排，各種制度安排也還要隨著網絡的發展而不斷深化。正如制度經濟學家道格拉斯?諾思所言：“制度安排的發展才是主要的改善生產效率和要素市場的歷史原因”②。從長遠來看，在電信網和國際互聯網中，決定一國網絡安全運營的最基本的要素是其制度資本，即制度機制是否更有利于網絡社會的網絡安全。

總之，關于網絡安全問題，需要政府和各部門從上到下充分重視，并從國家政策、法律規范、技術保障和公眾意識等方面來設置防線。必須在社會主義市場經濟體制框架內進行各種制度安排，即建立游戲規則，才能不斷降低阻礙市場交易的制度成本。這種制度資本投資的增加，將會在既定的管制水平、資本投入量和人力資本條件下，挖掘出網絡安全技術的最大潛力，建立安全指數較高的網絡世界。

注釋：

①趙平：“河南互聯互通問題鐵幕調查，要如何保衛錢袋”，《中國經營報》2004年3月19日。

②道格拉斯?諾思(Douglass North)：《制度變遷與經濟增長》，引自盛洪主編：《現代制度經濟學(上卷)》，第290頁，北京大學出版社2003年版。

參考文獻：

①盛洪主編：《現代制度經濟學(上卷)》，北京大學出版社2003年版。

②李　娜：“世界各國有關互聯網信息安全的立法和管制”，《世界電信》2002年第6期。

③吳瑞堅：“我國互聯網信息政府管制制度探析”，《探求》2004年第3期。

網絡安全建設方案范文6

【 關鍵詞 】 醫院；網絡安全；安全防護

Network Security Analysis and Protection in the Construction of Hospital Informatization

Han Hui

（People's Hospital of Pei County，Jiangsu Province JiangsuPeixian 221600）

【 Abstract 】 Due to the development of modern medical technology， the hospital of dependence on the network and system has been enhanced， hospital network security directly related to the normal conduct of business. In this paper， through the analysis of internal， external security risks of hospital network that may exist， to solve the security problem through the security technology and management system， forming a system， the associated security architecture， provides a feasible solution for network security protection of hospital.

【 Keywords 】 hospital； network security； security protection

1 前言

隨著醫院信息化的不斷發展，醫院的HIS、CIS、RIS、LIS等信息系統大大提高了醫療水平與診斷準確性及效率，但是隨著業務系統的逐漸擴展，對于網絡的管理越來越復雜，而惡意軟件的猖獗，對醫院的網絡造成了更多安全威脅，網絡安全是一項動態工程，既需要技術手段，更需要人為配合，如何保障醫院網絡的健康運轉行，已成為當前醫院信息化建設過程中所需關注的重要事項之一。

2 醫院信息化建設中存在的安全隱患

2.1 影響醫院網絡安全的技術因素

醫院在進行信息化建設過程中，與其它局域網相同，涉及到基礎鏈路、網絡設備、存儲設備、服務器、客戶端、業務系統等多種元素。醫院信息化水平的不斷發展大大提高醫院的治療、服務水平，但是其網絡安全問題也日益突出，如物理環境的安全性、操作系統的安全性、數據備份的安全性等問題，采取傳統的防火墻與防病毒等被動式的防御措施已無法解決各個層面可能產生的安全問題，由此導致的重要數據損壞、丟失等問題，不僅影響了醫院業務網絡的正常運轉，同時也威脅到了患者的隱私數據甚至生命安全，需要更全面的安全解決方案。

安全設備簡單羅列，未規劃一個整體的安全防御體系。醫院在進行安全防范時，存在一定的思維誤區，認為有了防火墻就可高枕無憂，關于網絡的管理可做可不做，實際上防火墻僅是安全類產品中的之一，其功能存在一定的局限性，對于基于網絡內部或旁路的攻擊無法抵御，對基于內容的攻擊也無法防范。IDS設備也是如此，僅可對存在的安全問題提供報警信息，并不能有效防御；數據庫審計，雖可以記錄到登錄到數據庫的用戶所做的操作，可定位到操作的源IP地址，但是無法防止對數據的惡意操作者，如竊取、篡改等操作的具體醫務人員，也即無法追究到最終的責任人。

安全措施操作復雜，且無關聯性。如IP與MAC地址綁定，產生的問題之一是管理人員需要單獨操作每臺交換機，對其綁定信息進行逐條輸入，工作量非常大，操作不便。問題之二是擁有網絡基礎知識的內部人員可輕松更改IP地址與MAC地址，導致綁定失效。再如醫院主機上安全了殺毒軟件，但是由于數量之多，且對各個主機的殺毒軟件缺乏統一管理，對于病毒庫是否更新、主機是否開啟了殺毒軟件都不得而知，操作系統的補丁更新也存在同樣的問題。醫院可能花費大量的人力、物力制定了大量的安全措施與手段，但是對其可操作性，相互之間的關聯性未做評估，造成形同虛設。

2.2 影響醫院網絡安全的人為因素

無專門的網絡管理部門，無法在出現問題時責任到人；未制定統一的醫院信息系統建設的安全規范或標準；無強制性的安全檢查、監督機制，且無第三方專業機構介入；無網絡安全上崗人員資質認定標準，無定期的網絡安全知識培訓、宣傳、考核制度。

由以上因素可能造成嚴重的安全問題，如醫院內部的人員將個人電腦接入醫院內部網絡，可能會將攜帶的病毒感染至醫院內網，影響業務系統的正常運行；或醫院內部人員將業務網絡的電腦接入至互聯網，也可能將互聯網上的木馬、病毒傳播至醫院內網；醫院內部人員利用職務之便，直接訪問數據庫竊取重要數據、篡改醫患的數據數據，造成醫院的重大經濟損失。此外，黑客可利用電腦，非法接入醫院的業務網絡，發動攻擊，由于醫院與醫保等社保網絡是必須相聯進行相應的數據驗證，因此一旦被攻擊，其后果可想而知。

3 醫院信息化建設中的安全防護策略

醫院網絡安全構架見圖1所示，通過管理與技術兩方面對其安全性進行保障。

3.1 網絡安全技術手段

3.1.1運行環境安全

物理環境是所有設備、業務系統運行的基礎，因此它的安全性也是整個網絡安全的基礎。機房中旋轉服務器或網絡設備的機柜均上鎖，并設專人保管鑰匙。機房內安裝專業視頻監控設備，配備防雷、防靜電、防塵裝置。重要的網絡設備安裝UPS或提供雙路供電；部分重要科室的匯聚層交換機應設計為互相冗余，避免因單點傳輸故障造成的業務中斷，確保醫院重要業務的不間斷運行。醫院網絡基礎建設中應采取VPN技術，防止外部網絡未授權用戶的非法訪問。

3.1.2網絡邊界安全

安全隔離設備：用于實現醫院內網與互聯網的安全物理隔離，為各類威脅進入醫院內網設置第一道屏障，同時可根據配置實現相應的安全數據交換。

下一代防火墻：用于對醫院內部網絡與外部網絡通信內容的掃描，過濾來自互聯網的攻擊，如DOS攻擊、Java、JavaScript侵入等，還可用于通過關閉不必要的端口增強安全性，禁止來自非法站點的訪問，用以抵御不明通信，除了傳統防火墻功能外，下一代防火墻還具備應用識別功能，包括識別普通應用與移動應用中包含的風險，識別應用中的用戶信息，并具備主動防御功能。

入侵檢測系統IDS：依照相應的安全策略庫，監測網絡與業務系統的通信情況，對不符合安全策略的可能入侵情況進行告警，并可與防火墻進行聯動，阻斷攻擊事件，抵御主機資源免受來自內部或外部網絡的攻擊。

劃分VLAN劃分：用于劃分不同科室的用戶可訪問的信息資源，避免醫院內部網絡遭受廣播風暴，同時可降低工作人員的管理與維護負擔。

3.1.3重要信息系統安全

流量監測系統：此處的流量監測系統是針對醫院的重要信息系統，一般旁路部署于三層交換機，通過鏡像端口進行各個應用系統流量的分流，分別可對其訪問流量、訪問用戶、停留時間等進行全面監測與分析，通過用戶自行設置的閥值進行判斷，一旦發現異常則告警。

SAN存儲系統：對數據存儲設備進行集中管理與整合，可實現存儲的冗余，并利用數據的權限設置、數據備份、容災等技術保障數據的安全性。

3.1.4桌面終端安全

防病毒軟件：建立可自動下載、統一分發、同步更新、集中管理的防病毒中心，無論是最新病毒，還是流行病毒，無論是基于Windows，還是Linux，一旦發現其入侵到任意系統，便可即刻清除。

終端管理：主要用于對終端使用USB、移動硬盤等外接設備的控制，安裝和使用互聯網非法軟件的控制，訪問非法網站的控制等功能，將安全風險降到最低。

軟件升級：主要用于進行系統補丁的即時更新與分發，修復全網的安全漏洞。

3.1.5全網安全監測與管理

安全監測平臺：通過與其它安全設備的聯動，實現對醫院內部全網的所有基礎設備與安全設備進行全面監測，包括業務的運行情況、性能、配置的分析與預警、風險分析并生成量化報告、將安全運維的流程進行標準化等功能，將單點的安全防范提升為整體的安全把控。

云安全管理平臺：一般借助虛擬化平臺，將各類安全措施進行集中管理，如數據防丟失（DLP）、安全信息與事件管理（SIEM）與終端保護方案等，用于提供相應的云服務，以虛擬化降低維護成本，同時高效地解決醫院內部網絡安全問題，例如，通過防病毒廠商與VMware vSphere 5結合實現服務器的安全檢測，實時地識別網絡通信和阻止虛擬架構的配置更改，可有效停止用戶的未授權操作，并在不影響系統正常運行的前提下抵御0day攻擊。

3.2 網絡安全管理制度

一方面，需要建立套較為完善，且操作性較強的管理制度，如業務系統管理制度、病毒防范制度、安全管理登記制度、日常維護記錄查看制度等，對于未遵守相關規章制度的人員有相應的懲罰措施。另一方面，需要制度詳盡的應急預案，并成立常年的應急小組，根據事件的嚴重事件進行適時采用，當發生災難時盡快恢復，將醫院中斷時間、故障損失與社會影響降到最低，并形成問題整改的長效機制。此外，需要對醫院網絡的所有使用人員進行安全意識培訓，尤其是對于網絡管理人員，需定期對其進行考核，以確認其崗位勝任與否。

4 結束語

網絡發展越智能，其伴隨而來的安全問題越復雜，醫院在進行病患病情分析、診斷、治療等多個環節都需要借助信息系統，醫院網絡的正常運轉直接影響到其業務與服務的開展，因此醫院網絡的安全性與醫院利益息息相關，需要從技術方面、管理方面，上至領導，下至工作中的每個員工共同來維護其安全性，共同鑄造一道牢不可破的安全防線。

參考文獻

[1] 管麗瑩，黃小蓉.醫院計算機網絡及信息安全管理[J].現代醫院，2006，6（8）：144.

[2] 王瑋，魯萬鵬，牟鑫.醫院信息系統中的安全運行保障[J].中國醫療設備，2008，23（1）：63-65.

[3] 雷震甲.網絡工程師教程[M].北京：清華大學出版社，2006：320.

[4] 王輝.淺議網絡信息安全[J].農業圖書情報學刊，2008，20（6）：112-115.

[5] 陳克霞，袁耀嵐，李平.計算機網絡信息安全策略探討[J].數字石油和化工，2008，4：38-40.

[6] 肖敏.穩定與高速兼顧 安全與管理并重――珠江醫院網絡改造紀實[J].中國醫藥導報，2007，4（25）：11.

[7] 宋穎杰，于明臻.醫院信息系統的網絡安全管理與維護[J].中國現代醫生，2007，45（17）：104.