如何做好医院计算机网络安全工作
时间:2022-09-28 10:32:14
摘要 在电子计算机及网络系统为医院信息化建设和医疗工作带来很多方便的同时,也带来了诸多安全隐患。最为突出的就是各医疗终端的操作系统受到计算机病毒的威胁,广泛使用的U盘、MP3、数码相机等移动存储设备也成为医院局域网计算机病毒传播的介质。此外,由于大多数医院目前使用微软公司出品的WINDOWSOR家族系列产品,其软件自身设计上的缺陷和漏洞也让计算机病毒和黑客攻击成为可能。针对以上问题,从经济及实用出发,我们对医院计算机网络安全工作进行了设计。
关键词 计算机网络安全
1计算机病毒的防范
由于计算机病毒的种类发展很快,其变种也非常迅猛,我们采取在医院各工作站安装杀毒防毒软件以及软件防火墙。由于各工作站计算机上的病毒库可能得不到及时更新,将导致杀毒防毒软件无法准确查杀系统中的病毒,从而对医院的医疗数据存在很大的威胁性,因此设计方案中我们选择两种杀毒软件进行防护。
防毒方案1:金山公司出品的《金山毒霸R杀毒套装》。安装此防毒软件后,为了让其病毒库自动升级而保持较新,需要在防毒服务器上安装IIS(Internet信息服务),建立病毒库升级站点,将本地病毒库更新文件放置在该站点目标文件夹后启动该服务站点;客户端机器在安装此防毒软件后,必须修改升级服务器地址配置文件,将地址指向防毒服务器所开放的升级服务站点。利用金山毒霸自带升级程序可以进行病毒库的升级,升级频率可以随意调整,从而能有效的保护工作站计算机不受病毒的侵扰。
防毒方案2:卡巴斯基病毒实验室推出的《卡巴斯基R反病毒软件7.0》。此防毒软件安装和配置较为简单,只需先在客户计算机安装卡巴斯基反病毒软件7.0后;先在文件服务器上创建共享一个文件夹,将此防毒软件的更新包放置在该文件夹下;再进入软件更新设置界面添加一个本地病毒库更新源,将本地更新源设置为系统映射在文件服务器上病毒库升级共享文件夹而成的网络驱动器即可。
综合以上两个防毒方案,考虑到医院承载信息管理系统的局域网与互联网是物理隔断的,病毒的传播、变异速度相对迟缓,所以病毒库的更新频率设置为每周更新二次。
2解决Windowsor家族漏洞
由于Windowsor家族系列产品自身设计上的缺陷和漏洞,使得计算机系统更容易被计算机病毒和有恶意企图人士利用这些缺陷和漏洞进行攻击;而微软公司也经常会针对所属产品存在的瑕疵进行相应的弥补,最常见的措施就是不定期的通过官方网站修复及完善其多个产品系列的安全更新补丁。
由于医院各工作站计算机未能连接到互联网上,所以无法下载和安装这些更新补丁,若由管理人员进行逐台安装将耗费大量时间和精力,也为后续的维护工作带来诸多不便,无形中增加了资源浪费和维护成本。因此,建议在医院网络中心安装架设Windows Server更新服务器(WSUS);通过使用WSUS更新服务,网络管理员可以快速而可靠地将 WindowsoR家族操作系统、OfficeoR家族产品和以及 SQL ServeroR家族产品的最新“关键更新”和“安全更新”部署到客户机的操作系统。客户计算机上只需开启“Windows自动更新”功能,Windows自动更新是WindowsoR家族产品的一项功能,当适用于当前计算机的重要安全更新时,它会及时提醒用户下载和安装。使用自动更新可以在第一时间更新当前操作系统、修复系统漏洞,保护计算机安全。
2.1安装WSUS 3.0 RC 服务器软件的系统要求:
(1)安装 Windows Server 2003 Service pack 1或更高版服务包;
(2)安装 Internet信息服务(IIS)6.0或更高版本;
(3)安装 Framework 2.0;
(4)安装Microsoft Management Console 3.0(Server 2003 SP2内含);
(5)安装 Microsoft Report Server (报表查看器 );
(6)可选安装: Microsoft SQL Server 2005 附Service pack 1;
PS:如果没有安装兼容版本的 Microsoft SQL Server,WSUS 3.0 将安装Windows内部数据库。
2.2配置WSUS 3.0服务器:
(1)设置更新服务器地址和同步计划,设定为每周日将WUSU服务器接入Internet从微软更新网站进行更新补丁的同步下载,保证各工作站计算机每周一可从WUSU服务器获得相关的安全更新;
(2)设置需下载的产品的类型及语言版本,医院将只下载中文版的Windows系列、Office系列、Microsoft SQL Server系列的产品更新补丁,今后随着业务和应用的扩展还可下载其他产品的更新补丁;
(3)设置计算机分组和审批规则,从全院计算机中抽调指定部分计算机组成测试组,以测试新的更新补丁,在自动审批规则里允许的产品更新补丁测试完成后,才对全院客户计算机进行全面分发部署。
2.3配置客户端计算机:
(1)编辑WUSU服务器的组策略,将各工作站客户计算机加入到Active Directory网络中进行“域”管理后,可以大大简化管理人员的工作量,只需在WUSU服务器的组策略编辑器中“启动Windows Update”并设置“WUSU升级服务器IP地址”,待服务器和客户计算机刷新应用组策略后,客户计算机即可自动联系WUSU服务器下载和安装本机所需要产品的更新补丁;
(2)编辑客户计算机本地组策略,此举仅当客户计算机未加入到“域”时使用,主要是依靠设置客户计算机本地组策略来完成与WUSU服务器的同步更新,设置方法和步骤同WUSU服务器;不同的是需要对所有客户计算机进行逐一设置,大大增加了管理人员工作量,其后续维护工作也相当烦琐。
综上所述,为保障医院医疗数据信息安全及规范化管理院局域网络,使得医院信息管理系统(HIS)安全稳定的运行、各种医疗工作顺利的开展;将全院终端计算机加入“域”进行集中式管理,并安装防毒软件对目前传播于医院网络上的计算机病毒进行彻底的防范。