【正文】 35 醫(yī)院網(wǎng)絡(luò)安全解決方案設(shè)計(jì) 36 醫(yī)院內(nèi)網(wǎng)網(wǎng)絡(luò)安全設(shè)計(jì) 36 網(wǎng)絡(luò)邊界安全設(shè)計(jì) 38 外網(wǎng)遠(yuǎn)程接入與訪問(wèn)安全設(shè)計(jì) 42 應(yīng)用安全方案設(shè)計(jì) 43 數(shù)據(jù)中心安全設(shè)計(jì) 45 網(wǎng)絡(luò)安全解決方案整體部署方案 49 6 方案總結(jié) 50 附錄一 網(wǎng)御星云公司介紹 51 3 / 52 1 概述 項(xiàng)目背景 醫(yī)院 是一個(gè)信息和技術(shù)密集型 的 行業(yè) ，一般其計(jì)算機(jī)網(wǎng)絡(luò) 劃分為 業(yè)務(wù)網(wǎng) 絡(luò) 和辦公網(wǎng)絡(luò)，作為一個(gè)現(xiàn)代化的醫(yī)療機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò) ,除了要滿足高效的內(nèi)部自動(dòng)化辦公需求以外 ,還需要 對(duì)外界的通訊保證暢通。然而， 如果我們的數(shù)據(jù)面臨著越來(lái)越多的安全風(fēng)險(xiǎn)，將 對(duì)業(yè)務(wù)的正常運(yùn)行帶來(lái)威脅。包括 Inter 服務(wù)遠(yuǎn)程移動(dòng)辦公服務(wù)、 遠(yuǎn)程醫(yī)療寫(xiě)組、網(wǎng)上掛號(hào)等 數(shù)據(jù)信息下載及視頻會(huì)議等。具體網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)淙缦拢? 電信I n t e rn e tC e rn e tSi Sic 4 5 0 3 c 4 5 0 3 c 4 5 0 3c 4 5 0 37506E 交換線卡7 5 0 6 E F W 線卡外網(wǎng) D MZ 區(qū)辦公區(qū)網(wǎng)上掛號(hào)前置機(jī)內(nèi)網(wǎng) D M Z 區(qū)檔案服務(wù)器H I S7 5 0 6 E + F W7506E7506R研究生樓寶豐家屬區(qū)長(zhǎng)欣苑家屬區(qū)同馨花園c 3 7 4 5東軟 FW 4123C 6 5 0 9 C 6 5 0 9T i p er W a y 流控內(nèi) 科 樓 外 科 樓 門(mén) 診 樓業(yè)務(wù)網(wǎng) 外網(wǎng)P A C S R I S 應(yīng)用系統(tǒng)描述 在同濟(jì)醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)中主要有 HIS 系統(tǒng)、 PACS 系統(tǒng)、 RIS 系統(tǒng)和檔案管理系統(tǒng)等服務(wù)器 ,這些重要的應(yīng)用服務(wù)器 構(gòu)成同濟(jì)醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)的核心。 3 同濟(jì)醫(yī)院網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及需求分析 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 風(fēng)險(xiǎn)分析方法 安全風(fēng)險(xiǎn)的分析方法，主要參考 國(guó)際信息安全標(biāo)準(zhǔn) ISO13335，從信息資產(chǎn)、漏洞（弱點(diǎn)）、威脅等多個(gè)因素進(jìn)行全面的評(píng)估，具體分析模型如下圖所表示： 7 / 52 ? 同濟(jì)醫(yī)院網(wǎng)絡(luò)所面臨的安全風(fēng)險(xiǎn)的大小，是與同濟(jì)醫(yī)院網(wǎng)絡(luò)擁有的信息資產(chǎn)對(duì)應(yīng)的，因?yàn)樾畔①Y產(chǎn)擁有價(jià)值，這種價(jià)值則增加了安全風(fēng)險(xiǎn)的等級(jí)； ? 同濟(jì)醫(yī)院網(wǎng)絡(luò)信息資產(chǎn)總是會(huì)存在一些弱點(diǎn)（即漏洞），這些弱點(diǎn)被安全威脅利用后，造成安全風(fēng)險(xiǎn)的增加； ? 針對(duì)醫(yī)院的信 息資產(chǎn)，總是存在一些人為的或者非人為的威脅因素，而威脅只有利用了信息資產(chǎn)的弱點(diǎn)之后，才會(huì)轉(zhuǎn)換為對(duì)信息資產(chǎn)的風(fēng)險(xiǎn)； ? 因?yàn)橥瑵?jì)醫(yī)院網(wǎng)絡(luò)和系統(tǒng)存在安全風(fēng)險(xiǎn)，為降低安全風(fēng)險(xiǎn)，同濟(jì)醫(yī)院必須采取必要的安全措施；同時(shí)安全風(fēng)險(xiǎn)的存在使同濟(jì)醫(yī)院網(wǎng)絡(luò)產(chǎn)生了對(duì)安全的需求，安全需求只有在采取了相當(dāng)?shù)陌踩胧┮院?，才能夠被滿足。如果用戶的分布相對(duì)分散，設(shè) 備缺乏足夠的冗余措施，訪問(wèn)所經(jīng)過(guò)的跨度很大，都會(huì)給信息的保密性、安全性帶來(lái)挑戰(zhàn)，必須進(jìn)行有針對(duì)性地進(jìn)行評(píng)估和設(shè)計(jì)。 技 術(shù)局限性體現(xiàn)在網(wǎng)絡(luò)技術(shù)本身的局限性、漏洞和缺陷，典型的漏洞包括：鏈路老化、電磁輻射、設(shè)備以外鼓掌、 自然威脅可能來(lái)自于各種自然災(zāi)害、惡劣的場(chǎng)地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備自然老化等。被動(dòng)攻擊可能造成在沒(méi)有得到用戶同意或告知用戶的情況下，將信息或文件泄露給攻擊者。 物理臨近攻擊 是指 未被授權(quán)的個(gè)人，在物理意義上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，試圖改變、收集信息或拒絕他人對(duì)信息的訪問(wèn)。 TCP/IP 協(xié)議在產(chǎn)生之處，還沒(méi)有全面考慮安全方面的因素，因而在安全方面存在先天的不足，典型利用TCP/IP 協(xié)議的弱點(diǎn)，發(fā)起攻擊行為的就是“拒絕服務(wù)攻擊”，比如“ SYN FLOOD”攻擊，它就是利用了 TCP 協(xié)議中，建立可靠連接所必須經(jīng)過(guò)的三次握手行為，攻擊者只向攻擊目標(biāo)發(fā)送帶“ SYN”表示的數(shù)據(jù)包，導(dǎo)致攻擊目標(biāo)一味地等待發(fā)起連接請(qǐng)求的源地址再次發(fā)送確認(rèn)信息，而導(dǎo)致系統(tǒng)處于長(zhǎng)期等待狀態(tài)，直至系統(tǒng)的資源耗盡，而無(wú)法正常處理其他合法的連接請(qǐng)求。 此外，網(wǎng)絡(luò)結(jié)構(gòu)的脆弱性還表現(xiàn)在外聯(lián)系統(tǒng)上，我們看到， 同濟(jì)醫(yī)院 DMZ區(qū)域與互聯(lián)網(wǎng)直接相連，并且該區(qū)域內(nèi) 的服務(wù)器地址均對(duì)互聯(lián)網(wǎng)公開(kāi)，基于互聯(lián)網(wǎng)的開(kāi)放性，使信息發(fā)布區(qū)域面臨極大的安全威脅，并且一旦 DMZ 區(qū)域被成功攻擊后，互聯(lián)網(wǎng)上的黑客會(huì)利用 DMZ 區(qū)域 作為對(duì) 同濟(jì)醫(yī)院 其他 網(wǎng)絡(luò)區(qū)域發(fā)起攻擊的“跳板”，對(duì)同濟(jì)醫(yī)院其他網(wǎng)絡(luò)區(qū)域?qū)嵤┕粜袨椤? 14 / 52 此外， 同濟(jì)醫(yī)院 信息網(wǎng)絡(luò)中的各種重要應(yīng)用服務(wù)器和網(wǎng)絡(luò)設(shè)備，在提供服務(wù)的同時(shí)，也產(chǎn)生了大量的日志信息，這些日志信息 詳實(shí)地記錄了系統(tǒng)和網(wǎng)絡(luò)的運(yùn)行事件，是安全審計(jì)的重要數(shù)據(jù) ， 對(duì)于記錄、檢測(cè)、分析、識(shí)別各種安全事件和威脅有非常重要的作用，也是對(duì)當(dāng)前網(wǎng)絡(luò)安全情況進(jìn)行評(píng)估的主要數(shù)據(jù)源。 ? 缺乏有效的機(jī)房管理制度，一些與系統(tǒng)管理無(wú)關(guān)的人員也可以進(jìn)入中心機(jī)房； ? 缺乏針對(duì)性的安全策略和安全技術(shù)規(guī)范，安全管理和運(yùn)行維護(hù)的組織不健全。 ? 關(guān)鍵設(shè)備沒(méi)有做到冗余備份，如果發(fā)生設(shè)備 運(yùn)行 故障，可能導(dǎo)致系統(tǒng)癱瘓。這些攻擊行為都將導(dǎo)致 同濟(jì)醫(yī)院 信息網(wǎng)絡(luò) 和應(yīng)用系統(tǒng)的 不可用，對(duì)外服務(wù)停止，影響 同濟(jì)醫(yī)院的工作效率和 形象。 網(wǎng)絡(luò)設(shè)備存在的安全風(fēng)險(xiǎn) 在網(wǎng)絡(luò)中的重要的安全設(shè)備 如路由器交換機(jī)等有可能存在著以下的安全隱患：（以 醫(yī)院 信息網(wǎng)絡(luò)核心路由器為例） ? 路由器缺省情況下只使用簡(jiǎn)單的口令驗(yàn)證用戶的身份，并且遠(yuǎn)程 TELNET登錄時(shí)以明文傳輸口令，一旦口令泄密路由器將失去所有的保護(hù)能力。這要求保證： 1）即使硬件或軟件出故障，或進(jìn)行系統(tǒng)的日常維護(hù)時(shí)對(duì)信息和服務(wù)的訪問(wèn)也不中斷； 2）能及時(shí)識(shí)別并響應(yīng)安全事件； 19 / 52 ? 確保用戶名副其實(shí)，網(wǎng)絡(luò)服務(wù)器主機(jī)也名副其實(shí)，這叫做“相互驗(yàn)證”。例如，偽裝成一個(gè)合法用戶，參與正常的通信過(guò)程，造成數(shù)據(jù)泄密。 . 管理層安全風(fēng)險(xiǎn) 管理層面的安全風(fēng)險(xiǎn)主要表現(xiàn)在安全組織的建設(shè)、安全管理策 略和制度的制定與執(zhí)行、人員的管理等方面。 安全管理風(fēng)險(xiǎn) 同濟(jì)醫(yī)院 信息系統(tǒng) 安全管理制度的建設(shè)還不全面，如： 1) 缺乏統(tǒng)一的用戶權(quán)限管理和訪問(wèn)控制策略，用戶、口令、權(quán)限的管理不嚴(yán)密，系統(tǒng)的安全配置一般都是缺省配置，風(fēng)險(xiǎn)很大。因此在物理安全方面，同濟(jì)醫(yī)院存在以下的建設(shè)需求： ? 機(jī)房建設(shè)需要參考國(guó)家相關(guān)標(biāo)準(zhǔn)進(jìn)行規(guī)劃和建設(shè)，比如 GB501741993 電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 ? 重要房間 需要采用防盜門(mén)窗或帶身份識(shí)別功能的門(mén)鎖，能夠?qū)M(jìn)入機(jī)房的人員和時(shí)間進(jìn)行記錄和限制； ? 需要建立報(bào)警監(jiān)控措施：在重要區(qū)域設(shè)立紅外、圖像等監(jiān)控報(bào)警措施； ? 專用保險(xiǎn)機(jī)柜需要重點(diǎn)保護(hù)：對(duì)于一些重要的密碼設(shè)備，采用專用安全機(jī)柜進(jìn)行保護(hù)，避免偷竊和破壞行動(dòng)的發(fā)生。 網(wǎng)絡(luò) 入侵檢測(cè)系統(tǒng)位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過(guò)實(shí)時(shí)偵聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試。 因此，針對(duì)移動(dòng)接入、遠(yuǎn)程支隊(duì)機(jī)構(gòu)接入上，我們建議采用 VPN 加密隧道方式接入到同濟(jì)醫(yī)院內(nèi)網(wǎng)中；針對(duì)不同接入需求，針對(duì)遠(yuǎn)程分支機(jī)構(gòu)及單位我們建議采用在邊界防火墻上擴(kuò)展 IPSEC VPN 功能來(lái)滿足與分支機(jī)構(gòu)建立 IPSEV VPN隧道來(lái)保證遠(yuǎn)程的安全接入和訪問(wèn)過(guò)程的數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性和可用性。 ? 撥號(hào)監(jiān)管：對(duì)桌面系統(tǒng)的遠(yuǎn)程撥號(hào)行為進(jìn)行控制，發(fā)現(xiàn)存在違規(guī)外聯(lián)的主機(jī)，給出報(bào)警，并切斷該主機(jī)與網(wǎng)絡(luò)的連接，避免由于該設(shè)備而導(dǎo)致政法網(wǎng)遭到更大的破壞。 ? 非法內(nèi)外聯(lián)和 安全接入控制，非法客戶端禁入。能夠檢測(cè)桌面系統(tǒng)已安全的補(bǔ)丁和需要安裝的補(bǔ)丁，管理員能通過(guò) Console Portal 對(duì)桌面系統(tǒng)下發(fā)安裝未安裝補(bǔ)丁的命令。 實(shí)現(xiàn)內(nèi)網(wǎng)安全管理 由于終端 設(shè)備分布的廣泛性，使得對(duì)終端的安全防護(hù)成為難點(diǎn)，但是終端往往由于操作系統(tǒng)自身的漏洞，或者未安裝有效的病毒防護(hù)系統(tǒng)，導(dǎo)致終端很容易成為省局信息網(wǎng)絡(luò)中的安全短板，特別是由于終端設(shè)備的使用者缺乏足夠的安全 27 / 52 意識(shí)，在拷貝或傳播軟件時(shí)，導(dǎo)致一些惡意代碼，或者木馬等程序被自動(dòng)安裝在終端設(shè)備上，從而使終端成為進(jìn)一步攻擊省局信息網(wǎng)絡(luò)的跳板，因此必須采取有效的終端安全管理系統(tǒng)，實(shí)現(xiàn)對(duì)終端設(shè)備的統(tǒng)一安全管理。 因此，建議在外部 DMZ 區(qū)域與內(nèi)部 DMZ 區(qū)域的前置機(jī)之間部署物理隔離與信息交換系統(tǒng)， 通過(guò)網(wǎng)絡(luò)隔離與信息交換系統(tǒng)講兩臺(tái)前置機(jī)之間的物理連接斷開(kāi)，同時(shí)，通過(guò)網(wǎng)絡(luò)隔離與信息交換系統(tǒng)做兩臺(tái)前置機(jī)之間的數(shù)據(jù)同步與擺渡，實(shí)現(xiàn)外部 DMZ 區(qū)域服務(wù)器與內(nèi)部 DMZ 區(qū)域的服務(wù)器的數(shù)據(jù)交換與同步。建議在同濟(jì)醫(yī)院 業(yè)務(wù)網(wǎng)、外部辦公網(wǎng)、新農(nóng)合 、 醫(yī)保專網(wǎng)網(wǎng)絡(luò)互聯(lián)邊界部署一臺(tái)千兆級(jí)別的 防火墻，即可滿足外部辦公網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)之間的隔離，又能與新農(nóng)合、 醫(yī)保 、衛(wèi)生系統(tǒng)等 專網(wǎng)進(jìn)行互聯(lián)和隔離。 人員管理風(fēng)險(xiǎn) 同濟(jì)