醫(yī)學(xué)院教師備課系統(tǒng)網(wǎng)絡(luò)安全防御體系設(shè)計(jì)

韓婷 劉暢 董默 宋欣

（牡丹江醫(yī)學(xué)院 黑龍江省牡丹江市 157011）

醫(yī)學(xué)院校相比于普通高等院校而言，校園網(wǎng)絡(luò)建設(shè)相對(duì)較晚，且投資經(jīng)費(fèi)預(yù)算不足，加上由于技術(shù)、學(xué)生綜合素質(zhì)等多方面的因素，醫(yī)學(xué)院校網(wǎng)絡(luò)存在諸多安全缺陷，在校園網(wǎng)絡(luò)飛速發(fā)展的今天，其完全問題越來越需要加以關(guān)注，因而研究醫(yī)學(xué)院校校園網(wǎng)絡(luò)安全防御等問題，確保其高效運(yùn)行成了勢(shì)在必行的趨勢(shì)。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全概述

1.1 網(wǎng)絡(luò)安全的定義

對(duì)于網(wǎng)絡(luò)安全定義一直沒有形成統(tǒng)一的描述，但是就內(nèi)容而言基本一致，主要表現(xiàn)為：通過網(wǎng)絡(luò)監(jiān)管技術(shù)和安全管控措施，對(duì)網(wǎng)絡(luò)體系中的應(yīng)用軟件、硬件設(shè)備、網(wǎng)絡(luò)中的數(shù)據(jù)資源實(shí)施保護(hù)，確保不會(huì)因?yàn)橥饨缫蛩兀ㄈ鐢嚯?、線路問題、黑客入侵等）是的網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)資源受到破壞或泄露，保障網(wǎng)絡(luò)系統(tǒng)不間斷的運(yùn)行，確保網(wǎng)絡(luò)數(shù)據(jù)的正確性、完整性和保密性都能得到有效保障。

1.2 網(wǎng)絡(luò)安全的基本要素

網(wǎng)絡(luò)安全的基本要素主要體現(xiàn)為五個(gè)方面：

（1）機(jī)密性。網(wǎng)絡(luò)信息只能讓擁有合法權(quán)限的用戶才能訪問和獲取，信息不能通過任何方式泄露給沒有訪問權(quán)限的對(duì)象。

（2）完整性。網(wǎng)絡(luò)信息的修改只能被擁有合法權(quán)限的用戶操作，且信息的修改及存儲(chǔ)也能夠及時(shí)進(jìn)行判斷。

（3）可用性。只有授權(quán)用戶才能在需要之時(shí)進(jìn)行數(shù)據(jù)訪問，不能出現(xiàn)未授權(quán)用戶使用網(wǎng)絡(luò)資源，而造成有權(quán)限用戶訪問遭受拒絕。

（4）可鑒別性。網(wǎng)絡(luò)應(yīng)該能夠鑒別用戶、系統(tǒng)、信息、進(jìn)程等實(shí)體身份。

（5）不可抵賴性。數(shù)據(jù)的發(fā)送方必須接受發(fā)送數(shù)據(jù)的事實(shí)，數(shù)據(jù)的接收方也不能否認(rèn)已經(jīng)傳送過數(shù)據(jù)的事實(shí)。

1.3 網(wǎng)絡(luò)安全面臨的威脅

目前網(wǎng)絡(luò)安全面臨的威脅是指能夠?qū)W(wǎng)絡(luò)資源的正常使用產(chǎn)生一定程度的危害現(xiàn)象。針對(duì)網(wǎng)絡(luò)安全的威脅，大致有兩種表現(xiàn)形式：

（1）人為的無意失誤，比如不正當(dāng)操作，無意識(shí)的誤操作等導(dǎo)致的網(wǎng)絡(luò)安全威脅；

（2）人為的有意攻擊，比如沒有權(quán)限的用戶通過不合法手段登錄系統(tǒng)，破壞網(wǎng)絡(luò)資源的完整性，數(shù)據(jù)傳輸過程中被截取并泄漏等等。

2 網(wǎng)絡(luò)安全的主要措施

2.1 防火墻技術(shù)

網(wǎng)絡(luò)應(yīng)用的普及導(dǎo)致了網(wǎng)絡(luò)用戶數(shù)量的逐年遞增，這種快速增長(zhǎng)的網(wǎng)絡(luò)用戶數(shù)量也給網(wǎng)絡(luò)安全問題帶來了挑戰(zhàn)。美國(guó)國(guó)防信息系統(tǒng)（DISA）對(duì)國(guó)防部不同的單位及部門進(jìn)行攻擊，成功率高達(dá)88%，只有極少數(shù)部門鞥能夠檢測(cè)到攻擊，并針對(duì)網(wǎng)絡(luò)安全問題提出有效解決措施。在網(wǎng)絡(luò)安全應(yīng)用的保護(hù)方面，防火墻技術(shù)是一種通用的技術(shù)，能夠用來隔離企業(yè)或單位內(nèi)外部網(wǎng)絡(luò)，從而確保網(wǎng)絡(luò)的安全。

2.2 病毒防護(hù)技術(shù)

所謂計(jì)算機(jī)病毒其實(shí)就是一段惡意指令或代碼，在一定條件下便能夠在計(jì)算機(jī)系統(tǒng)中運(yùn)行，從而損害網(wǎng)絡(luò)資源，甚至通過自我拷貝的方式產(chǎn)生更多的同類，進(jìn)行各種形式的擴(kuò)散，進(jìn)一步影響其他系統(tǒng)。計(jì)算機(jī)網(wǎng)絡(luò)病毒具有一定的破會(huì)能力，同時(shí)還具有快速擴(kuò)散的特性，為更多的網(wǎng)絡(luò)用戶造成侵犯，研究顯示，目前計(jì)算機(jī)病毒的傳播渠道主要是網(wǎng)絡(luò)，其比例高達(dá)97%，因而通過病毒防護(hù)技術(shù)可以有效阻止計(jì)算機(jī)病毒的入侵。

2.3 入侵檢測(cè)技術(shù)

防火墻技術(shù)能夠?qū)?nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進(jìn)行有效隔離，從而阻止外部網(wǎng)絡(luò)不合理的入侵，確保內(nèi)部網(wǎng)絡(luò)的安全。但是，僅僅依靠防火墻技術(shù)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全顯然還是不夠的，防火墻內(nèi)部同樣有可能存在入侵者，如果防火墻不能及時(shí)發(fā)現(xiàn)內(nèi)部風(fēng)險(xiǎn)，同樣會(huì)造成內(nèi)部網(wǎng)絡(luò)系統(tǒng)被破壞，威脅網(wǎng)絡(luò)的安全。而通過入侵檢測(cè)技術(shù)可以對(duì)防火墻內(nèi)部網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測(cè)，從而提高網(wǎng)絡(luò)安全性能。

2.4 數(shù)據(jù)加密技術(shù)

防火墻技術(shù)和入侵檢測(cè)技術(shù)能夠防止系統(tǒng)遭受破壞或攻擊，但是并不意味著網(wǎng)絡(luò)系統(tǒng)的絕對(duì)安全，網(wǎng)絡(luò)資源的共享特征意味著信息還能夠被盜取，通過數(shù)據(jù)加密技術(shù)，可以防止信息被懷有不純動(dòng)機(jī)的人或看到或破壞，數(shù)據(jù)加密技術(shù)典型應(yīng)用就是數(shù)字簽名和數(shù)據(jù)加密，從而確保數(shù)據(jù)的真實(shí)性和私密性。

2.5 虛擬專用網(wǎng)技術(shù)

虛擬網(wǎng)絡(luò)技術(shù)即通常所說的VPN 技術(shù)，是指通過某個(gè)公用網(wǎng)絡(luò)來創(chuàng)建一個(gè)臨時(shí)的安全鏈接，對(duì)數(shù)據(jù)進(jìn)行幾倍加密從而達(dá)到安全使用互聯(lián)網(wǎng)的目的。VPN 技術(shù)訪問因特網(wǎng)是通過特殊的加密通信協(xié)議來實(shí)現(xiàn)的，便于遠(yuǎn)程網(wǎng)絡(luò)用戶建立可信的安全鏈接，保障數(shù)據(jù)傳輸過程中不被竊取，VPN 技術(shù)重點(diǎn)包含數(shù)據(jù)加密、身份識(shí)別、信息驗(yàn)證、訪問控制、地址管理、秘鑰管理、安全多方協(xié)議管理等。

3 醫(yī)學(xué)院教師備課系統(tǒng)網(wǎng)絡(luò)安全需求分析

3.1 醫(yī)學(xué)院教師備課系統(tǒng)網(wǎng)絡(luò)安全隱患

醫(yī)學(xué)院相比于綜合性大學(xué)而言，具有一定的專業(yè)性，規(guī)模往往沒有綜合性高校大，且學(xué)生綜合素質(zhì)可能相對(duì)較低，加上學(xué)院領(lǐng)導(dǎo)對(duì)于網(wǎng)絡(luò)安全重要性認(rèn)識(shí)不足，對(duì)資金以及人員的投入也相對(duì)缺乏，導(dǎo)致醫(yī)學(xué)院校網(wǎng)絡(luò)信息安全存在一定的威脅，研究醫(yī)學(xué)院教師備課系統(tǒng)網(wǎng)絡(luò)目前面臨的網(wǎng)絡(luò)方面的安全危害，分析醫(yī)學(xué)院目前的校園網(wǎng)絡(luò)存在哪些安全隱患，針對(duì)具體的問題對(duì)醫(yī)學(xué)院校園網(wǎng)的網(wǎng)絡(luò)安全從多方面的需求進(jìn)行了闡述。

3.1.1 醫(yī)學(xué)院教師備課系統(tǒng)網(wǎng)絡(luò)面臨的網(wǎng)絡(luò)安全隱患

現(xiàn)階段網(wǎng)絡(luò)安全隱患主要體現(xiàn)為木馬病毒、惡意計(jì)算機(jī)病毒等。木馬技術(shù)是指通過特殊的后門技術(shù)，對(duì)計(jì)算機(jī)系統(tǒng)通過遠(yuǎn)程訪問的方式進(jìn)行入侵，且不被用戶發(fā)覺，木馬病毒也是黑客們管用的伎倆。系統(tǒng)軟件都是開發(fā)人員編寫的，雖然經(jīng)過不同程度的測(cè)試，但是可能或多或少還存有一定的漏洞，這些漏洞為不法分子入侵提供了可能，惡意計(jì)算機(jī)病毒一旦被植入系統(tǒng)，將會(huì)嚴(yán)重影響計(jì)算機(jī)網(wǎng)絡(luò)資源的正常訪問，病毒通過自我拷貝等方式進(jìn)行快速傳播，從而造成更大的惡意影響。

3.1.2 醫(yī)學(xué)院教師備課系統(tǒng)網(wǎng)絡(luò)面臨的其他安全問題

網(wǎng)絡(luò)在高校的應(yīng)用越來越廣泛，醫(yī)學(xué)院教師備課系統(tǒng)網(wǎng)絡(luò)建設(shè)整體較晚，加上高校特有的屬性導(dǎo)致其硬件設(shè)備投入通常不會(huì)很多，軟件的更新?lián)Q代也較快，經(jīng)常出現(xiàn)使用盜版軟件等現(xiàn)象，這些都會(huì)醫(yī)學(xué)院校園網(wǎng)絡(luò)安全帶來了威脅。另外，醫(yī)學(xué)院的主要研究范疇在于醫(yī)學(xué)，網(wǎng)絡(luò)技術(shù)人員的引入相對(duì)薄弱，對(duì)于網(wǎng)絡(luò)安全問題經(jīng)常成了老大難問題，甚至因?yàn)槟承┯须y度的網(wǎng)絡(luò)安全管理無從下手，錯(cuò)失了最佳防范治理時(shí)期。

3.2 醫(yī)學(xué)院校園網(wǎng)安全需求分析

醫(yī)學(xué)院校園網(wǎng)安全需要通過引入先進(jìn)的技術(shù)、設(shè)備和成功的管理方案，為校園內(nèi)一切應(yīng)用這提供安全可靠的網(wǎng)絡(luò)應(yīng)用需求，如網(wǎng)絡(luò)入侵、木馬程序、計(jì)算機(jī)病毒等網(wǎng)絡(luò)安全隱患進(jìn)行分析，建立符合醫(yī)學(xué)院自身特點(diǎn)的網(wǎng)絡(luò)安全拓?fù)浣Y(jié)構(gòu)，制定嚴(yán)格的安全防御體系。

3.2.1 校園網(wǎng)與外部網(wǎng)絡(luò)間的網(wǎng)絡(luò)安全需求分析

醫(yī)學(xué)院校園內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)如何通過防火墻技術(shù)進(jìn)行有效隔離，外網(wǎng)在進(jìn)行內(nèi)網(wǎng)訪問過程中，如何有效阻止外來有害的入侵和破壞，需要做到：嚴(yán)格隔離發(fā)合法用戶的訪問，對(duì)網(wǎng)絡(luò)進(jìn)出數(shù)據(jù)進(jìn)行動(dòng)態(tài)性掃描，一旦發(fā)現(xiàn)異常就進(jìn)行及時(shí)處理，通過多種安全技術(shù)防止網(wǎng)絡(luò)威脅進(jìn)入校園內(nèi)網(wǎng)。

3.2.2 校園網(wǎng)的內(nèi)部網(wǎng)絡(luò)的安全需求分析

校園內(nèi)部網(wǎng)絡(luò)安全需要關(guān)注的要點(diǎn)有：確保校園內(nèi)部網(wǎng)絡(luò)中的不同服務(wù)器的安全，確保校園網(wǎng)絡(luò)自身的安全。校園內(nèi)部服務(wù)器需要重點(diǎn)加以保護(hù)，比如對(duì)服務(wù)器進(jìn)行專門、特殊的保護(hù)，防止服務(wù)器遭受不法攻擊，對(duì)可能出現(xiàn)的問題進(jìn)行預(yù)防，做到服務(wù)器的頻繁檢測(cè)，階段性的對(duì)服務(wù)器進(jìn)行升級(jí)，在服務(wù)器上安裝病毒防范系統(tǒng)，確保服務(wù)器的安全不受攻擊。

4 醫(yī)學(xué)院教師備課系統(tǒng)網(wǎng)絡(luò)安全防御體系設(shè)計(jì)

4.1 防火墻部署方案

防火墻不屬于校園內(nèi)網(wǎng)和外網(wǎng)之間，可以阻止不合法的信息流入校園內(nèi)網(wǎng)，在防火墻部署時(shí)，需要部署入侵檢測(cè)系統(tǒng)，為了能夠更好的處理防火墻對(duì)網(wǎng)絡(luò)安全的威脅，可以將防火墻看成某種安全策略，通過網(wǎng)絡(luò)配置、路由器、主機(jī)系統(tǒng)等多種手段，對(duì)安全進(jìn)行認(rèn)證，比如在防火墻上配置網(wǎng)絡(luò)地址轉(zhuǎn)換，有效利用有限的合法IP地址資源，屏蔽外部私有的IP 地址，從而對(duì)內(nèi)部網(wǎng)絡(luò)安全進(jìn)行提前防御。

4.2 入侵防御系統(tǒng)的部署

在防火墻技術(shù)之外，為了更加增強(qiáng)網(wǎng)絡(luò)資源的安全保護(hù)，可以在校園內(nèi)部網(wǎng)絡(luò)中增加入侵防御系統(tǒng)，通過動(dòng)態(tài)的防御措施來彌補(bǔ)防火墻的缺失的功能，通過檢測(cè)結(jié)果針對(duì)性的提供防范措施。入侵檢測(cè)系統(tǒng)通過被動(dòng)的方式對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊性檢測(cè)，還無法對(duì)隨時(shí)變化的安全隱患進(jìn)行有效阻止，為了解決這種問題，需要引入IPS，IPS 可以實(shí)現(xiàn)主動(dòng)進(jìn)行入侵檢測(cè)。醫(yī)學(xué)院最有效的網(wǎng)絡(luò)安全防御技術(shù)就是通過防火墻和入侵防御系統(tǒng)相結(jié)合的方式，入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)惡意數(shù)據(jù)、防火墻有效阻止惡意數(shù)據(jù)，兩者相互配合能夠確保醫(yī)學(xué)院網(wǎng)絡(luò)系統(tǒng)的安全。

4.3 校園網(wǎng)中VLAN的劃分

VPN 是一種公用網(wǎng)絡(luò)，通過VPN 技術(shù)能夠?qū)崿F(xiàn)數(shù)據(jù)的幾倍加密，確保數(shù)據(jù)異地傳輸?shù)陌踩头€(wěn)定。VLAN 技術(shù)則是更多應(yīng)用于局域網(wǎng)中的一種技術(shù)，不但可以處理內(nèi)部網(wǎng)絡(luò)廣播風(fēng)暴問題，還能夠根據(jù)通信設(shè)備對(duì)通信關(guān)系進(jìn)行一定制約，從而對(duì)物理局域網(wǎng)中的成員進(jìn)行組織和管理。醫(yī)學(xué)院內(nèi)部網(wǎng)中的虛擬局域網(wǎng)，可以設(shè)置靜態(tài)的VLAN，對(duì)關(guān)鍵網(wǎng)絡(luò)段進(jìn)行安全保護(hù)，可以在減小開支的同時(shí)，充分利用網(wǎng)絡(luò)資源，解決廣播域中的沖突。

4.4 校園網(wǎng)安全管理措施

醫(yī)學(xué)院校園網(wǎng)絡(luò)安全問題，很大程度都是人為因素導(dǎo)致的，比如醫(yī)學(xué)院校園網(wǎng)絡(luò)的管理者和使用者，對(duì)于網(wǎng)絡(luò)管理人員而言，需要具有過硬的技術(shù)和專業(yè)的知識(shí)，并能夠遵守各項(xiàng)規(guī)章制度，醫(yī)學(xué)院教師備課系統(tǒng)網(wǎng)絡(luò)安全防御體系設(shè)計(jì)，需要做到：

（1）建立網(wǎng)絡(luò)運(yùn)營(yíng)管理中心，引入專業(yè)的管理人才來負(fù)責(zé)醫(yī)學(xué)院的網(wǎng)絡(luò)安全，可以設(shè)置中心主任、網(wǎng)絡(luò)管理員、安全操作員的不同的崗位，通過人員組織建設(shè)來加強(qiáng)網(wǎng)絡(luò)安全管理運(yùn)維班子的建設(shè)；

（2）對(duì)網(wǎng)絡(luò)安全管理技術(shù)人員做到及時(shí)培訓(xùn)，學(xué)習(xí)最新的網(wǎng)絡(luò)安全管理技術(shù)，并在醫(yī)學(xué)院網(wǎng)絡(luò)安全管理中加以應(yīng)用；

（3）加強(qiáng)醫(yī)學(xué)院內(nèi)全體網(wǎng)絡(luò)使用成員的安全意識(shí)的培訓(xùn)，并形成網(wǎng)絡(luò)安全管理制度，確保校園內(nèi)網(wǎng)絡(luò)能夠安全、高效的運(yùn)行。

5 結(jié)束語(yǔ)

對(duì)于醫(yī)學(xué)院而言，教師備課系統(tǒng)網(wǎng)絡(luò)安全建設(shè)只是校內(nèi)網(wǎng)絡(luò)安全建設(shè)的某一個(gè)具體場(chǎng)景，課題研究網(wǎng)絡(luò)安全的目的在于針對(duì)具體的院校，解決校園網(wǎng)絡(luò)的阿暖問題，文章通過分析網(wǎng)絡(luò)安全的定義，影響網(wǎng)絡(luò)安全的基本要素以及網(wǎng)絡(luò)安全可能面臨的威脅等，以醫(yī)學(xué)院校園網(wǎng)安全建設(shè)為例，在對(duì)安全需求分析的基礎(chǔ)上，提出了網(wǎng)絡(luò)安全的解決方案，能夠有效解決醫(yī)學(xué)院校園網(wǎng)的網(wǎng)絡(luò)安全問題。