摘要：網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。文章發表在《電子設計工程》上，是電子論文范文，供同行參考。

　　關鍵字：企業網絡,醫院網絡,網絡安全,網絡體系,技術手段

　　通常，系統安全與性能和功能是一對矛盾的關系。如果某個系統不向外界提供任何服務(斷開)，外界是不可能構成安全威脅的。但是，企業接入國際互連網絡，提供網上商店和電子商務等服務，等于將一個內部封閉的網絡建成了一個開放的網絡環境，各種安全包括系統級的安全問題也隨之產生。

　　前言：

　　隨著信息技術的高速發展，互聯網越來越被人們所重視，從農業到工業再到高科技產業各行各業都在使用互聯網參與行業生存與競爭。企業對網絡的依存度越來越高，網絡在企業中所處的位置也越來越重要，系統中存儲著維系企業生存與競爭的重要資產-------企業信息資源。

　　一、醫院網絡安全存在的風險及其原因

　　1.自然因素：

　　1.1病毒攻擊

　　因為醫院網絡同樣也是連接在互聯網上的一個網絡，所以它不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的，而有些卻是能造成系統崩潰的高危險病毒。病毒一方面會感染大量的機器，造成機器“罷工“并成為感染添另一方面會大量占用網絡帶寬，阻塞正常流量，形成拒絕服務攻擊。

　　1.2軟件漏洞

　　任何的系統軟件和應用軟件都不能是百分之百的無缺陷和無漏洞的，而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊，主要在以下幾個方面：

　　1.2.1、協議漏洞。例如，IMAP和POP3協議一定要在Unix根目錄下運行，攻擊者利用這一漏洞攻擊IMAP破壞系統的根目錄，從而獲得超級用戶的特權。

　　1.2.2、緩沖區溢出。很多系統在不檢查程序與緩沖區之間變化的情況下，就接受任何長度的數據輸入，把溢出部分放在堆棧內，系統仍照常執行命令。攻擊者就利用這一漏洞發送超出緩沖區所能處理的長度的指令，來造成系統不穩定狀態。

　　2、人為因素：

　　2.1操作失誤

　　操作員安全配置不當造成的安全漏洞，用戶安全意識不強.用戶口令選擇不慎.用戶將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。這種情況在企業計算機網絡使用初期較常見，隨著網絡管理制度的建立和對使用人員的培訓，此種情況逐漸減少.對網絡安全己不構成主要威脅。

　　2.2惡意攻擊

　　這是醫院計算機網絡所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊，它是在不影響網絡正常工作的情況下.進行截獲、竊取、破譯以獲得重要機密信急。這兩種攻擊均可對計算機網絡造成極大的危害，并導致機密數據的泄漏。

　　二、構建安全的網絡體系結構

　　1.設計網絡安全體系的原則

　　1.1、體系的安全性：設計網絡安全體系的最終目的是為保護信息與網絡系統的安全所以安全性成為首要目標。要保證體系的安全性，必須保證體系的完備性和可擴展性。

　　1.2、系統的高效性：構建網絡安全體系的目的是能保證系統的正常運行，如果安全影響了系統的運行，那么就需要進行權衡了，必須在安全和性能之間選擇合適的平衡點。網絡系統的安全體系包含一些軟件和硬件，它們也會占用網絡系統的一些資源。因此，在設計網絡安全體系時必須考慮系統資源的開銷，要求安全防護系統本身不能妨礙網絡系統的正常運轉。

　　2、網絡安全體系的建立

　　網絡安全體系的定義：網絡安全管理體系是一個在網絡系統內結合安全

　　技術與安全管理，以實現系統多層次安全保證的應用體系。

　　網絡系統完整的安全體系

　　系統物理安全性主要是指從物理上保證系統中各種硬件設備的安全可靠，確保應用系統正常運行。主要包括以下幾個方面：

　　(1)防止非法用戶破壞系統設備，干擾系統的正常運行。

　　(2)防止內部用戶通過物理手段接近或竊取系統設備，非法取得其中的數據。

　　網絡安全性主要包括以下幾個方面：

　　(1)限制非法用戶通過網絡遠程訪問和破壞系統數據，竊取傳輸線路中的數據。

　　(2)確保對網絡設備的安全配置。對網絡來說，首先要確保網絡設備的安全配置，保證非授權用戶不能訪問任意一臺計算機、路由器和防火墻。

　　三、網絡安全的技術實現

　　1、防火墻技術

　　在外部網絡同內部網絡之間應設置防火墻設備。通過防火墻過濾進出網絡的數據，對進出網絡的訪問行為進行控制和阻斷，封鎖某些禁止的業務，記錄通過防火墻的信息內容和活動。對網絡攻擊進行監測和告警。防火墻可分為包過濾型、檢測型、代理型等，應根據不同的需要安裝不同的防火墻。

　　2、劃分并隔離不同安全域

　　根據不同的安全需求、威脅，劃分不同的安全域。采用訪問控制、權限控制的機制，控制不同的訪問者對網絡和設備的訪問，防止內部訪問者對無權訪問區域的訪問和誤操作。

　　我們可以按照網絡區域安全級別把網絡劃分成兩大安全區域，即關鍵服務器區域和外部接入網絡區域，在這兩大區域之間需要進行安全隔離。在關鍵服務器區域內部，也同樣需要按照安全級別的不同進行進一步安全隔離。

　　劃分并隔離不同安全域要結合網絡系統的安防與監控需要，與實際應用環境、工作業務流程和機構組織形式密切結合起來。

　　3、防范病毒和外部入侵

　　防病毒產品要定期更新升級，定期掃描。在不影響業務的前提下，關閉系統本身的弱點及漏洞并及時打上最新的安全補丁。防毒除了通常的工作站防毒外，email防毒和網關式防毒己經越來越成為消除病毒源的關鍵。還應使用掃描器軟件主動掃描，進行安全性檢查，找到漏洞并及時修補，以防黑客攻擊。

　　醫院網管可以在CISCO路由設備中，利用CISCO IOS操作系統的安全保護，設置用戶口令及ENABLE 口令，解決網絡層的安全問題，可以利用UNIX系統的安全機制，保證用戶身份、用戶授權和基于授權的系統的安全，:對各服務器操作系統和數據庫設立訪問權限，同時利用UNIX的安全文件，例如/etc/hosts. equiv文件等，限制遠程登錄主機，以防非法

　　用戶使用TELNET、FTP等遠程登錄工具，進行非法入侵。

　　4、備份和恢復技術

　　備份是保證系統安全最基本、最常用的手段。采取數據的備份和恢復措施，有些重要數據還需要采取異地備份措施，防止災難性事故的發生。

　　四、結束語：

　　網絡的安全與醫院利益息息相關，一個安全的網絡系統的保護不僅和系統管理員的系統安全知識有關，而且和領導的決策、工作環境中每個員工的安全操作等都有關系。網絡安全是動態的，新的Internet黑客站點、病毒與安全技術每日劇增，醫院網絡管理人員要掌握最先進的技術，把握住醫院網絡安全的大門。

　　電子論文期刊網雜志推薦：《電子設計工程》(原名《國外電子元器件》)(月刊)是經新聞出版署和國家科委批準創辦的國家正式期刊。創刊于1993年，主要介紹當前比較先進的國內外電子技術、元器件技術及其應用的科學技術類期刊，主要囊括電源技術應用、工業自動化、網絡與通信工程、測控與儀器儀表、圖像與多媒體技術、汽車電子、消費類電子、嵌入式系統、信息安全以及計算機應用等領域。

　　五、參考文獻

　　[1] 李國棟，劉克勤。Internet常用的網絡安全技術。現代電力。2001. 11. 21

　　[2] 肖義等，PKI網絡安全平臺的研制與開發。2002. 1.23

　　[3] 錢蓉，黑客行為與網絡安全。電力機車技術。2002. 1. 25

　　[4]關義章，戴宗坤，信息系統安全工程學。四川大學信息安全研究所。2002-12-10