摘要：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。文章发表在《电子设计工程》上，是电子论文范文，供同行参考。

　　关键字：企业网络,医院网络,网络安全,网络体系,技术手段

　　通常，系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提供任何服务(断开)，外界是不可能构成安全威胁的。但是，企业接入国际互连网络，提供网上商店和电子商务等服务，等于将一个内部封闭的网络建成了一个开放的网络环境，各种安全包括系统级的安全问题也随之产生。

　　前言：

　　随着信息技术的高速发展，互联网越来越被人们所重视，从农业到工业再到高科技产业各行各业都在使用互联网参与行业生存与竞争。企业对网络的依存度越来越高，网络在企业中所处的位置也越来越重要，系统中存储着维系企业生存与竞争的重要资产-------企业信息资源。

　　一、医院网络安全存在的风险及其原因

　　1.自然因素：

　　1.1病毒攻击

　　因为医院网络同样也是连接在互联网上的一个网络，所以它不可避免的要遭到这样或者那样的病毒的攻击。这些病毒有些是普通没有太大破坏的，而有些却是能造成系统崩溃的高危险病毒。病毒一方面会感染大量的机器，造成机器“罢工“并成为感染添另一方面会大量占用网络带宽，阻塞正常流量，形成拒绝服务攻击。

　　1.2软件漏洞

　　任何的系统软件和应用软件都不能是百分之百的无缺陷和无漏洞的，而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。针对固有的安全漏洞进行攻击，主要在以下几个方面：

　　1.2.1、协议漏洞。例如，IMAP和POP3协议一定要在Unix根目录下运行，攻击者利用这一漏洞攻击IMAP破坏系统的根目录，从而获得超级用户的特权。

　　1.2.2、缓冲区溢出。很多系统在不检查程序与缓冲区之间变化的情况下，就接受任何长度的数据输入，把溢出部分放在堆栈内，系统仍照常执行命令。攻击者就利用这一漏洞发送超出缓冲区所能处理的长度的指令，来造成系统不稳定状态。

　　2、人为因素：

　　2.1操作失误

　　操作员安全配置不当造成的安全漏洞，用户安全意识不强.用户口令选择不慎.用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。这种情况在企业计算机网络使用初期较常见，随着网络管理制度的建立和对使用人员的培训，此种情况逐渐减少.对网络安全己不构成主要威胁。

　　2.2恶意攻击

　　这是医院计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击，它是在不影响网络正常工作的情况下.进行截获、窃取、破译以获得重要机密信急。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。

　　二、构建安全的网络体系结构

　　1.设计网络安全体系的原则

　　1.1、体系的安全性：设计网络安全体系的最终目的是为保护信息与网络系统的安全所以安全性成为首要目标。要保证体系的安全性，必须保证体系的完备性和可扩展性。

　　1.2、系统的高效性：构建网络安全体系的目的是能保证系统的正常运行，如果安全影响了系统的运行，那么就需要进行权衡了，必须在安全和性能之间选择合适的平衡点。网络系统的安全体系包含一些软件和硬件，它们也会占用网络系统的一些资源。因此，在设计网络安全体系时必须考虑系统资源的开销，要求安全防护系统本身不能妨碍网络系统的正常运转。

　　2、网络安全体系的建立

　　网络安全体系的定义：网络安全管理体系是一个在网络系统内结合安全

　　技术与安全管理，以实现系统多层次安全保证的应用体系。

　　网络系统完整的安全体系

　　系统物理安全性主要是指从物理上保证系统中各种硬件设备的安全可靠，确保应用系统正常运行。主要包括以下几个方面：

　　(1)防止非法用户破坏系统设备，干扰系统的正常运行。

　　(2)防止内部用户通过物理手段接近或窃取系统设备，非法取得其中的数据。

　　网络安全性主要包括以下几个方面：

　　(1)限制非法用户通过网络远程访问和破坏系统数据，窃取传输线路中的数据。

　　(2)确保对网络设备的安全配置。对网络来说，首先要确保网络设备的安全配置，保证非授权用户不能访问任意一台计算机、路由器和防火墙。

　　三、网络安全的技术实现

　　1、防火墙技术

　　在外部网络同内部网络之间应设置防火墙设备。通过防火墙过滤进出网络的数据，对进出网络的访问行为进行控制和阻断，封锁某些禁止的业务，记录通过防火墙的信息内容和活动。对网络攻击进行监测和告警。防火墙可分为包过滤型、检测型、代理型等，应根据不同的需要安装不同的防火墙。

　　2、划分并隔离不同安全域

　　根据不同的安全需求、威胁，划分不同的安全域。采用访问控制、权限控制的机制，控制不同的访问者对网络和设备的访问，防止内部访问者对无权访问区域的访问和误操作。

　　我们可以按照网络区域安全级别把网络划分成两大安全区域，即关键服务器区域和外部接入网络区域，在这两大区域之间需要进行安全隔离。在关键服务器区域内部，也同样需要按照安全级别的不同进行进一步安全隔离。

　　划分并隔离不同安全域要结合网络系统的安防与监控需要，与实际应用环境、工作业务流程和机构组织形式密切结合起来。

　　3、防范病毒和外部入侵

　　防病毒产品要定期更新升级，定期扫描。在不影响业务的前提下，关闭系统本身的弱点及漏洞并及时打上最新的安全补丁。防毒除了通常的工作站防毒外，email防毒和网关式防毒己经越来越成为消除病毒源的关键。还应使用扫描器软件主动扫描，进行安全性检查，找到漏洞并及时修补，以防黑客攻击。

　　医院网管可以在CISCO路由设备中，利用CISCO IOS操作系统的安全保护，设置用户口令及ENABLE 口令，解决网络层的安全问题，可以利用UNIX系统的安全机制，保证用户身份、用户授权和基于授权的系统的安全，:对各服务器操作系统和数据库设立访问权限，同时利用UNIX的安全文件，例如/etc/hosts. equiv文件等，限制远程登录主机，以防非法

　　用户使用TELNET、FTP等远程登录工具，进行非法入侵。

　　4、备份和恢复技术

　　备份是保证系统安全最基本、最常用的手段。采取数据的备份和恢复措施，有些重要数据还需要采取异地备份措施，防止灾难性事故的发生。

　　四、结束语：

　　网络的安全与医院利益息息相关，一个安全的网络系统的保护不仅和系统管理员的系统安全知识有关，而且和领导的决策、工作环境中每个员工的安全操作等都有关系。网络安全是动态的，新的Internet黑客站点、病毒与安全技术每日剧增，医院网络管理人员要掌握最先进的技术，把握住医院网络安全的大门。

　　电子论文期刊网杂志推荐：《电子设计工程》(原名《国外电子元器件》)(月刊)是经新闻出版署和国家科委批准创办的国家正式期刊。创刊于1993年，主要介绍当前比较先进的国内外电子技术、元器件技术及其应用的科学技术类期刊，主要囊括电源技术应用、工业自动化、网络与通信工程、测控与仪器仪表、图像与多媒体技术、汽车电子、消费类电子、嵌入式系统、信息安全以及计算机应用等领域。

　　五、参考文献

　　[1] 李国栋，刘克勤。Internet常用的网络安全技术。现代电力。2001. 11. 21

　　[2] 肖义等，PKI网络安全平台的研制与开发。2002. 1.23

　　[3] 钱蓉，黑客行为与网络安全。电力机车技术。2002. 1. 25

　　[4]关义章，戴宗坤，信息系统安全工程学。四川大学信息安全研究所。2002-12-10