【正文】 多媒體系統(tǒng)、遠(yuǎn)程會(huì)診系統(tǒng)、 網(wǎng)上掛號(hào)、 數(shù)據(jù)庫管理系統(tǒng)等，都可以通過 醫(yī)院信息網(wǎng)絡(luò)平臺(tái) 安全、高效的 網(wǎng)絡(luò)來運(yùn)行 和工作。 通過對網(wǎng)絡(luò)系統(tǒng)絡(luò)進(jìn)行統(tǒng)一的整體設(shè)計(jì)、規(guī)劃， 為 同濟(jì) 醫(yī)院網(wǎng)絡(luò)系統(tǒng) 打造一個(gè) 長期、穩(wěn)定、高效 、安全 的運(yùn)行 環(huán)境， 以及 醫(yī)院 未來的發(fā)展和建設(shè)打下良好的網(wǎng)絡(luò)平臺(tái)基礎(chǔ)。同時(shí)為了滿足內(nèi)部應(yīng)用服務(wù)器與辦公網(wǎng) DMZ 區(qū)域服務(wù)器進(jìn)行數(shù)據(jù)交換需求，在業(yè)務(wù)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)邊界部署了一臺(tái)防火墻設(shè)備進(jìn)行兩個(gè)網(wǎng)絡(luò)之間的隔離，并在防火墻 5 / 52 劃分了一個(gè)內(nèi)部網(wǎng)絡(luò)的 DMZ 區(qū)域進(jìn)行與外部 DMZ 區(qū)域進(jìn)行數(shù)據(jù)交換的中轉(zhuǎn)站。在應(yīng)用服務(wù)器操作系統(tǒng)上，大多采用 WINDOS 操作系統(tǒng)。 從同濟(jì)醫(yī)院的應(yīng)用系統(tǒng)結(jié)構(gòu)上來看，網(wǎng)上掛號(hào)系統(tǒng)和外部 DMZ 的應(yīng)用系統(tǒng)需要與業(yè)務(wù)網(wǎng)絡(luò)的服務(wù)器進(jìn)行數(shù)據(jù)的交互，為了保證 醫(yī)院 內(nèi)外網(wǎng)數(shù)據(jù)交換的安全性，目前采用的是前置機(jī)的方式實(shí)現(xiàn)內(nèi)外數(shù)據(jù)的交換。 安全威脅分析 針 對網(wǎng)絡(luò)和系統(tǒng)的安全造成風(fēng)險(xiǎn)主要來自于兩個(gè)因素，一是系統(tǒng)的“信息資產(chǎn)”，二是潛在的攻擊者對系統(tǒng)所形成的“安全威脅”。因此這些系統(tǒng)（包括應(yīng)用系統(tǒng)，以及承載應(yīng)用的數(shù)據(jù)庫系統(tǒng)），就構(gòu)成了組織最重要的信息資產(chǎn)。為確認(rèn)威脅，就必須確認(rèn)： ? 威脅所針對的資產(chǎn)是什么？是否有價(jià)值？是否是組織最重要的信息資產(chǎn)？ ? 什么是威脅來源？或者什么樣的行為會(huì)對系統(tǒng)形成威脅？ ? 針對攻擊者，還有必要分析他們的技術(shù)專長、機(jī)遇和動(dòng)機(jī)很可能是什么。 典型的自然災(zāi)難包括：地震、水災(zāi)、火災(zāi)、風(fēng)災(zāi)等。 對于 同濟(jì)醫(yī)院 來講，技術(shù)局限性還表現(xiàn)在系統(tǒng)、硬件、軟件的設(shè)計(jì)和實(shí)現(xiàn)上存在不足，配置上沒有完全執(zhí)行即定的安全策略等，這些都將威脅到系統(tǒng)運(yùn)行的穩(wěn)定性、可靠性和安全性。 一般來講，這種人為的安全威脅主要包括被動(dòng)攻擊、主動(dòng)攻擊、鄰近攻 10 / 52 擊、分發(fā)攻擊和內(nèi)部威脅。主動(dòng)進(jìn)攻可能造成數(shù)據(jù)資料的泄露和散播，或?qū)е戮芙^服務(wù)以及數(shù)據(jù)的篡改。 ? 業(yè)務(wù)拒絕：對通信設(shè)備的使用和管理被無條件地拒絕。 內(nèi)部人員攻擊 內(nèi)部人員攻擊可以分為惡意或無惡意攻擊。所以安全弱點(diǎn)是分析安全風(fēng)險(xiǎn)的重要因素，針對 同濟(jì)醫(yī)院信息網(wǎng)絡(luò) ，我們分析其存在以下的安全弱點(diǎn)： 網(wǎng)絡(luò)結(jié)構(gòu)脆弱性 從網(wǎng)絡(luò)結(jié)構(gòu)上看， 同 濟(jì)醫(yī)院網(wǎng)絡(luò)分為核心數(shù)據(jù)交換 區(qū)域、辦公系統(tǒng)區(qū)域、業(yè)務(wù)網(wǎng)區(qū)域、業(yè)務(wù)網(wǎng) DMZ 區(qū)域、外部 DMZ 區(qū)域和外部訪問家屬區(qū)域共六 個(gè)部分，外部上網(wǎng)區(qū)域又按不同的物理地域劃分為辦公網(wǎng)和家屬區(qū)域， 在系統(tǒng)網(wǎng)絡(luò)的邊界采用的是基于交換機(jī)的防火墻板卡來進(jìn)行隔離的，實(shí)際上各網(wǎng)絡(luò) 區(qū)域之間沒有采取任何隔離措施，網(wǎng)絡(luò)內(nèi)所有的用戶終端都在同 核心交換機(jī) 下， 因此很容易受到非授權(quán)訪問的攻擊行為，造成系統(tǒng)被破壞或者 數(shù)據(jù)外泄。其次，信任模式已被發(fā)現(xiàn)，并找到了一個(gè)被目標(biāo)主機(jī)信任的主機(jī)。使被信任主機(jī)喪失工作能力 。如何對重要服務(wù)器進(jìn)行 隱患掃描 、入侵檢測、補(bǔ)丁管理成為日常安全維護(hù)的重要工作。同濟(jì)醫(yī)院 信息網(wǎng)絡(luò) 存在網(wǎng)絡(luò)內(nèi)訪問混亂，外來人員也很容易接入網(wǎng)絡(luò)，地址被隨意使用等問題，將導(dǎo)致網(wǎng)絡(luò)難以管理，網(wǎng)絡(luò)工作效率下 降 ，對攻擊者也無法進(jìn)行追蹤審計(jì)。 硬件平臺(tái)脆弱性 硬件平臺(tái)的脆弱性指硬件平臺(tái)包括硬件平臺(tái)的糾錯(cuò)能力，它的脆弱性直接影響著軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)的強(qiáng)壯性。我們有必要認(rèn)真的分析管理所帶來的安全風(fēng)險(xiǎn)，并采取相應(yīng)的安全措施。 ? 缺乏完善的災(zāi)難應(yīng)急計(jì)劃和制度，對突發(fā)的安全事件沒有制定有效的應(yīng)對措施，沒有有效的對安全事件的處理流程和制度。 下面，我們將采用分層的方式，從物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和管理層進(jìn)行全面的分析，總結(jié)出 同濟(jì)醫(yī)院 信息網(wǎng)絡(luò)具體的安全風(fēng)險(xiǎn)： 物理層安全風(fēng)險(xiǎn) 機(jī)房 安全風(fēng)險(xiǎn) 同濟(jì)醫(yī)院信息網(wǎng)絡(luò)的中心 機(jī)房，需要考慮如下安全風(fēng)險(xiǎn)： ? 中心 機(jī)房的選址 不當(dāng)，導(dǎo)致中心機(jī)房缺乏有力的安全保護(hù)措施，無法抵抗 不法分子的物理破壞； ? 各種自然災(zāi)害對 醫(yī)院中心機(jī)房 造成不必要的麻煩 ，比如水災(zāi)、火災(zāi)將直接破壞中心機(jī)房內(nèi)的設(shè)備，導(dǎo)致重要的數(shù)據(jù)被破壞 ； ? 因?yàn)橥ｋ姾碗娫吹膯栴}而 導(dǎo)致系統(tǒng)中斷服務(wù)，數(shù)據(jù)完整性被破壞等； 16 / 52 ? 電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱； ? 報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。 設(shè)備或部件沒有明顯的不可去除的標(biāo)記，丟失后無法追查；機(jī)房外的網(wǎng)絡(luò)設(shè)備沒有防護(hù)措施，不能防范盜毀等。由于 同濟(jì)醫(yī)院 信息網(wǎng)絡(luò)的基礎(chǔ)協(xié)議 TCP/IP 協(xié)議自身存在一些安全隱患。 一般地，拒絕服務(wù)攻擊并不針對系統(tǒng)的信息，也并不進(jìn)入 系統(tǒng)進(jìn)行破壞，它是通過對系統(tǒng)資源的刻意消耗，將 大量的服務(wù)請求發(fā)向一臺(tái)計(jì)算機(jī)中的服務(wù)守護(hù)進(jìn)程時(shí)，就會(huì)發(fā)生服務(wù)過載。如果攻擊的是一個(gè)基于 TCP 協(xié)議的服務(wù)，那么這些請求的包還會(huì)被重發(fā)，結(jié)果更加重了網(wǎng)絡(luò)的負(fù)擔(dān)。比如 ICMP 重定向攻擊、源路由攻擊等。這要求保證： 1）只有授權(quán)用戶才可以訪問服務(wù)和信息； 2）授權(quán)用戶只能訪問那些他們被授權(quán)訪問的服務(wù)； 3）信息的公開要與策略一致，否則將造成信息被非法訪問，甚至被泄露出去； ? 維護(hù)存儲(chǔ)在服務(wù)器上信息的完整性，以免信息被破壞或被損壞，并使系統(tǒng)像期望的那樣運(yùn)行。 ? 對訪問來源沒有鑒別機(jī)制，將給入侵者發(fā)起偽裝類攻 擊造成機(jī)會(huì)，造成沒有授權(quán)的訪問者假冒合法用戶，獲取系統(tǒng)的信息資源，造成機(jī)密信息外泄； ? 對訪問類型沒有控制措施，可能會(huì)造成合法用戶的越權(quán)訪問，仍舊會(huì)導(dǎo)致機(jī)密信息外泄； ? 對訪問目標(biāo)沒有鑒別機(jī)制，將有可能使合法用戶訪問了攻擊者蓄意假冒的目的，從而獲得合法用戶的帳號(hào)和口令，使攻擊者具備訪問 同濟(jì)醫(yī)院 信息網(wǎng)絡(luò)的條件，從而更有效的發(fā)動(dòng)對系統(tǒng)的攻擊； 對系統(tǒng)中的各類 網(wǎng)絡(luò) 訪問缺乏審計(jì)手段，將造成網(wǎng)絡(luò)安全管理人員的“盲區(qū)”，網(wǎng)絡(luò)安全管理人員無法了解到系統(tǒng)的運(yùn)行情況和系統(tǒng)的訪問態(tài)勢，無法及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的安全隱患，更談不上采取 安全措施了； 對系統(tǒng)中各類日志信息缺乏關(guān)聯(lián)分析將使網(wǎng)絡(luò)安全管理人員陷入“一葉障目，不見森林”的誤區(qū)，網(wǎng)絡(luò)安全管理人員無法從全局的角度對系統(tǒng)運(yùn)行情況和安全態(tài)勢進(jìn)行把握。即使沒有破譯傳輸?shù)男畔?，也可以通過刪減信息內(nèi)容等方式，造成對信息的破壞，比如將一份報(bào)文的后半部分去掉，造成時(shí)間、地點(diǎn)等重要內(nèi)容的缺失，導(dǎo)致信 息的嚴(yán)重失真； ? 重放攻擊：即使攻擊者無法破譯報(bào)文內(nèi)容，也無法對報(bào)文進(jìn)行篡改或刪減，但也可以通過重新發(fā)送收到的數(shù)據(jù)包的方式，進(jìn)行重放攻擊。這些“后門”或安全漏洞都將存在重大安全隱患。 應(yīng)用層安全的解決目前往 往依賴于網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫的安全，由于應(yīng)用系統(tǒng)復(fù)雜多樣，沒有特定的安全技術(shù)能夠完全解決一些特殊應(yīng)用系統(tǒng)的安全問題。安全管理 人員安全意識(shí)缺乏且 專業(yè)素質(zhì)有待提高。由此而來的是， 同濟(jì)醫(yī)院信息網(wǎng)絡(luò) 的安全管理體制也變得非常復(fù)雜，其系統(tǒng)配置、規(guī)則設(shè)置、反應(yīng)處理、設(shè)備管理、運(yùn)行管理的復(fù)雜性所帶來的管理成本和管理難度直接制約了安全防御體系的有效性，因而導(dǎo)致了網(wǎng)絡(luò)安全的重大隱患。 3) 沒有根據(jù)各類信息的不同安全要求確定相應(yīng)的安全級(jí)別，信息安全管理范圍不明確。 人員管理風(fēng)險(xiǎn) 同濟(jì)醫(yī)院 信息系統(tǒng) 人員對安全的認(rèn)識(shí) 相對較高，但在具體執(zhí)行和落實(shí)、安全 23 / 52 防范的技能等還有待加強(qiáng)。 此外，我們看到，同濟(jì)信息網(wǎng)絡(luò)中 存在許多關(guān)鍵應(yīng)用系統(tǒng)，隨著同濟(jì)醫(yī)院業(yè)務(wù)的開展，許多重要 的數(shù)據(jù)都將匯總在數(shù)據(jù)庫中，這些數(shù)據(jù)構(gòu)成了同濟(jì)醫(yī)院最重要的信息資產(chǎn)，因此，必須建立相應(yīng)的備份和災(zāi)難后快速恢復(fù)機(jī)制，以保障重要業(yè)務(wù)的連續(xù)性，對于災(zāi)難備份的安全需求如下： ? 確定 同濟(jì)醫(yī)院 的關(guān)鍵業(yè)務(wù)、應(yīng)用系統(tǒng)及關(guān)鍵地點(diǎn)； ? 確定關(guān)鍵業(yè)務(wù)的可容忍恢復(fù)時(shí)間及恢復(fù)程度； ? 盡量縮短業(yè)務(wù)操作和資源遭受嚴(yán)重性破壞的時(shí)間； ? 降低災(zāi)難恢復(fù)任務(wù)的復(fù)雜性； ? 降低直接損失； ? 建立緊急事故恢復(fù)能力； ? 利于 同濟(jì)醫(yī)院 各部門協(xié)作有效的完成災(zāi)難恢復(fù)任務(wù) 24 / 52 網(wǎng)絡(luò)安全的 需求 網(wǎng)絡(luò)是信息系統(tǒng)賴以存在的實(shí)體，離開了網(wǎng)絡(luò)平臺(tái)，信息的傳遞、業(yè)務(wù)的開展將無從依托，因 此如何保障網(wǎng)絡(luò)的安全，是構(gòu)件 同濟(jì)醫(yī)院 信息網(wǎng)絡(luò)系統(tǒng)安全架構(gòu)的基礎(chǔ)性工作，對于 同濟(jì)醫(yī)院 來講，網(wǎng)絡(luò)安全主要解決運(yùn)行環(huán)境的安全問題，對應(yīng)網(wǎng)絡(luò)層安全威脅，網(wǎng)絡(luò)安全主要的技術(shù)手段包括邊界防護(hù)技術(shù)、檢測與響應(yīng)技術(shù)、加密傳輸技術(shù)等，對照 同濟(jì)醫(yī)院 的實(shí)際情況，我們 主要從以下幾個(gè)方面來分析： 網(wǎng)絡(luò)邊界的安全防護(hù) 互聯(lián)網(wǎng)邊界 安全需求 在同濟(jì)醫(yī)院外部辦公網(wǎng)絡(luò)的互聯(lián)網(wǎng)邊界，目前主要通過部署在 網(wǎng)絡(luò)邊界 的防火墻 系統(tǒng) 來實(shí)現(xiàn)與互聯(lián)網(wǎng)編輯的隔離，由于防火墻 只能基于 ISO 模型的三、四層進(jìn)行防護(hù)，無法對會(huì)話層、表示層、應(yīng)用層的攻擊和威脅行為進(jìn)行有效 的攔截和防護(hù)。建議在同濟(jì)醫(yī)院 業(yè)務(wù)網(wǎng)、外部辦公網(wǎng)、新農(nóng)合 、 醫(yī)保專網(wǎng)網(wǎng)絡(luò)互聯(lián)邊界部署一臺(tái)千兆級(jí)別的 防火墻，即可滿足外部辦公網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)之間的隔離，又能與新農(nóng)合、 醫(yī)保 、衛(wèi)生系統(tǒng)等 專網(wǎng)進(jìn)行互聯(lián)和隔離。 入侵檢測系統(tǒng)可以部署在 同濟(jì)醫(yī)院業(yè)務(wù) 網(wǎng)絡(luò)中的核心，這里我們建議在 同濟(jì)醫(yī)院信息 網(wǎng)絡(luò)中采用 入侵檢測 系統(tǒng) ，監(jiān)視并記錄 網(wǎng)絡(luò)中 的所有 反問行為和 操作，有效防止非法操作和惡意攻擊。 因此，建議在外部 DMZ 區(qū)域與內(nèi)部 DMZ 區(qū)域的前置機(jī)之間部署物理隔離與信息交換系統(tǒng)， 通過網(wǎng)絡(luò)隔離與信息交換系統(tǒng)講兩臺(tái)前置機(jī)之間的物理連接斷開，同時(shí)，通過網(wǎng)絡(luò)隔離與信息交換系統(tǒng)做兩臺(tái)前置機(jī)之間的數(shù)據(jù)同步與擺渡，實(shí)現(xiàn)外部 DMZ 區(qū)域服務(wù)器與內(nèi)部 DMZ 區(qū)域的服務(wù)器的數(shù)據(jù)交換與同步。 系統(tǒng)安全的需求 安全隱患發(fā)現(xiàn)需求 一般來講，安全的威脅主要來自于系統(tǒng)的弱點(diǎn)，針對 同濟(jì)醫(yī)院 在系統(tǒng)層面 存在的安全隱患，很容易成為內(nèi)部用戶或外部非法入侵者進(jìn)行攻擊的對象，因此，有必要進(jìn)行分析 和評估 ，發(fā)現(xiàn)存在的隱患或弱點(diǎn)后，進(jìn)行修補(bǔ) 及加固。 實(shí)現(xiàn)內(nèi)網(wǎng)安全管理 由于終端 設(shè)備分布的廣泛性，使得對終端的安全防護(hù)成為難點(diǎn)，但是終端往往由于操作系統(tǒng)自身的漏洞，或者未安裝有效的病毒防護(hù)系統(tǒng)，導(dǎo)致終端很容易成為省局信息網(wǎng)絡(luò)中的安全短板，特別是由于終端設(shè)備的使用者缺乏足夠的安全 27 / 52 意識(shí)，在拷貝或傳播軟件時(shí)，導(dǎo)致一些惡意代碼，或者木馬等程序被自動(dòng)安裝在終端設(shè)備上，從而使終端成為進(jìn)一步攻擊省局信息網(wǎng)絡(luò)的跳板，因此必須采取有效的終端安全管理系統(tǒng)，實(shí)現(xiàn)對終端設(shè)備的統(tǒng)一安全管理。 ? 系統(tǒng)監(jiān) 管，使管理員能夠輕松進(jìn)行局域網(wǎng)的管理維護(hù)。能夠檢測桌面系統(tǒng)已安全的補(bǔ)丁和需要安裝的補(bǔ)丁，管理員能通過 Console Portal 對桌面系統(tǒng)下發(fā)安裝未安裝補(bǔ)丁的命令。網(wǎng)絡(luò)阻斷方式包括。 ? 非法內(nèi)外聯(lián)和