【正文】 35 醫(yī)院網(wǎng)絡(luò)安全解決方案設(shè)計 36 醫(yī)院內(nèi)網(wǎng)網(wǎng)絡(luò)安全設(shè)計 36 網(wǎng)絡(luò)邊界安全設(shè)計 38 外網(wǎng)遠程接入與訪問安全設(shè)計 42 應(yīng)用安全方案設(shè)計 43 數(shù)據(jù)中心安全設(shè)計 45 網(wǎng)絡(luò)安全解決方案整體部署方案 49 6 方案總結(jié) 50 附錄一 網(wǎng)御星云公司介紹 51 3 / 52 1 概述 項目背景 醫(yī)院 是一個信息和技術(shù)密集型 的 行業(yè) ，一般其計算機網(wǎng)絡(luò) 劃分為 業(yè)務(wù)網(wǎng) 絡(luò) 和辦公網(wǎng)絡(luò)，作為一個現(xiàn)代化的醫(yī)療機構(gòu)的計算機網(wǎng)絡(luò) ,除了要滿足高效的內(nèi)部自動化辦公需求以外 ,還需要 對外界的通訊保證暢通。然而， 如果我們的數(shù)據(jù)面臨著越來越多的安全風(fēng)險，將 對業(yè)務(wù)的正常運行帶來威脅。包括 Inter 服務(wù)遠程移動辦公服務(wù)、 遠程醫(yī)療寫組、網(wǎng)上掛號等 數(shù)據(jù)信息下載及視頻會議等。具體網(wǎng)絡(luò)結(jié)構(gòu)拓撲如下： 電信I n t e rn e tC e rn e tSi Sic 4 5 0 3 c 4 5 0 3 c 4 5 0 3c 4 5 0 37506E 交換線卡7 5 0 6 E F W 線卡外網(wǎng) D MZ 區(qū)辦公區(qū)網(wǎng)上掛號前置機內(nèi)網(wǎng) D M Z 區(qū)檔案服務(wù)器H I S7 5 0 6 E + F W7506E7506R研究生樓寶豐家屬區(qū)長欣苑家屬區(qū)同馨花園c 3 7 4 5東軟 FW 4123C 6 5 0 9 C 6 5 0 9T i p er W a y 流控內(nèi) 科 樓 外 科 樓 門 診 樓業(yè)務(wù)網(wǎng) 外網(wǎng)P A C S R I S 應(yīng)用系統(tǒng)描述 在同濟醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)中主要有 HIS 系統(tǒng)、 PACS 系統(tǒng)、 RIS 系統(tǒng)和檔案管理系統(tǒng)等服務(wù)器 ,這些重要的應(yīng)用服務(wù)器 構(gòu)成同濟醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)的核心。 3 同濟醫(yī)院網(wǎng)絡(luò)安全風(fēng)險及需求分析 網(wǎng)絡(luò)安全風(fēng)險分析 風(fēng)險分析方法 安全風(fēng)險的分析方法，主要參考 國際信息安全標(biāo)準(zhǔn) ISO13335，從信息資產(chǎn)、漏洞（弱點）、威脅等多個因素進行全面的評估，具體分析模型如下圖所表示： 7 / 52 ? 同濟醫(yī)院網(wǎng)絡(luò)所面臨的安全風(fēng)險的大小，是與同濟醫(yī)院網(wǎng)絡(luò)擁有的信息資產(chǎn)對應(yīng)的，因為信息資產(chǎn)擁有價值，這種價值則增加了安全風(fēng)險的等級； ? 同濟醫(yī)院網(wǎng)絡(luò)信息資產(chǎn)總是會存在一些弱點（即漏洞），這些弱點被安全威脅利用后，造成安全風(fēng)險的增加； ? 針對醫(yī)院的信 息資產(chǎn)，總是存在一些人為的或者非人為的威脅因素，而威脅只有利用了信息資產(chǎn)的弱點之后，才會轉(zhuǎn)換為對信息資產(chǎn)的風(fēng)險； ? 因為同濟醫(yī)院網(wǎng)絡(luò)和系統(tǒng)存在安全風(fēng)險，為降低安全風(fēng)險，同濟醫(yī)院必須采取必要的安全措施；同時安全風(fēng)險的存在使同濟醫(yī)院網(wǎng)絡(luò)產(chǎn)生了對安全的需求，安全需求只有在采取了相當(dāng)?shù)陌踩胧┮院?，才能夠被滿足。如果用戶的分布相對分散，設(shè) 備缺乏足夠的冗余措施，訪問所經(jīng)過的跨度很大，都會給信息的保密性、安全性帶來挑戰(zhàn)，必須進行有針對性地進行評估和設(shè)計。 技 術(shù)局限性體現(xiàn)在網(wǎng)絡(luò)技術(shù)本身的局限性、漏洞和缺陷，典型的漏洞包括：鏈路老化、電磁輻射、設(shè)備以外鼓掌、 自然威脅可能來自于各種自然災(zāi)害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備自然老化等。被動攻擊可能造成在沒有得到用戶同意或告知用戶的情況下，將信息或文件泄露給攻擊者。 物理臨近攻擊 是指 未被授權(quán)的個人，在物理意義上接近網(wǎng)絡(luò)、系統(tǒng)或設(shè)備，試圖改變、收集信息或拒絕他人對信息的訪問。 TCP/IP 協(xié)議在產(chǎn)生之處，還沒有全面考慮安全方面的因素，因而在安全方面存在先天的不足，典型利用TCP/IP 協(xié)議的弱點，發(fā)起攻擊行為的就是“拒絕服務(wù)攻擊”，比如“ SYN FLOOD”攻擊，它就是利用了 TCP 協(xié)議中，建立可靠連接所必須經(jīng)過的三次握手行為，攻擊者只向攻擊目標(biāo)發(fā)送帶“ SYN”表示的數(shù)據(jù)包，導(dǎo)致攻擊目標(biāo)一味地等待發(fā)起連接請求的源地址再次發(fā)送確認信息，而導(dǎo)致系統(tǒng)處于長期等待狀態(tài)，直至系統(tǒng)的資源耗盡，而無法正常處理其他合法的連接請求。 此外，網(wǎng)絡(luò)結(jié)構(gòu)的脆弱性還表現(xiàn)在外聯(lián)系統(tǒng)上，我們看到， 同濟醫(yī)院 DMZ區(qū)域與互聯(lián)網(wǎng)直接相連，并且該區(qū)域內(nèi) 的服務(wù)器地址均對互聯(lián)網(wǎng)公開，基于互聯(lián)網(wǎng)的開放性，使信息發(fā)布區(qū)域面臨極大的安全威脅，并且一旦 DMZ 區(qū)域被成功攻擊后，互聯(lián)網(wǎng)上的黑客會利用 DMZ 區(qū)域 作為對 同濟醫(yī)院 其他 網(wǎng)絡(luò)區(qū)域發(fā)起攻擊的“跳板”，對同濟醫(yī)院其他網(wǎng)絡(luò)區(qū)域?qū)嵤┕粜袨椤? 14 / 52 此外， 同濟醫(yī)院 信息網(wǎng)絡(luò)中的各種重要應(yīng)用服務(wù)器和網(wǎng)絡(luò)設(shè)備，在提供服務(wù)的同時，也產(chǎn)生了大量的日志信息，這些日志信息 詳實地記錄了系統(tǒng)和網(wǎng)絡(luò)的運行事件，是安全審計的重要數(shù)據(jù) ， 對于記錄、檢測、分析、識別各種安全事件和威脅有非常重要的作用，也是對當(dāng)前網(wǎng)絡(luò)安全情況進行評估的主要數(shù)據(jù)源。 ? 缺乏有效的機房管理制度，一些與系統(tǒng)管理無關(guān)的人員也可以進入中心機房； ? 缺乏針對性的安全策略和安全技術(shù)規(guī)范，安全管理和運行維護的組織不健全。 ? 關(guān)鍵設(shè)備沒有做到冗余備份，如果發(fā)生設(shè)備 運行 故障，可能導(dǎo)致系統(tǒng)癱瘓。這些攻擊行為都將導(dǎo)致 同濟醫(yī)院 信息網(wǎng)絡(luò) 和應(yīng)用系統(tǒng)的 不可用，對外服務(wù)停止，影響 同濟醫(yī)院的工作效率和 形象。 網(wǎng)絡(luò)設(shè)備存在的安全風(fēng)險 在網(wǎng)絡(luò)中的重要的安全設(shè)備 如路由器交換機等有可能存在著以下的安全隱患：（以 醫(yī)院 信息網(wǎng)絡(luò)核心路由器為例） ? 路由器缺省情況下只使用簡單的口令驗證用戶的身份，并且遠程 TELNET登錄時以明文傳輸口令，一旦口令泄密路由器將失去所有的保護能力。這要求保證： 1）即使硬件或軟件出故障，或進行系統(tǒng)的日常維護時對信息和服務(wù)的訪問也不中斷； 2）能及時識別并響應(yīng)安全事件； 19 / 52 ? 確保用戶名副其實，網(wǎng)絡(luò)服務(wù)器主機也名副其實，這叫做“相互驗證”。例如，偽裝成一個合法用戶，參與正常的通信過程，造成數(shù)據(jù)泄密。 . 管理層安全風(fēng)險 管理層面的安全風(fēng)險主要表現(xiàn)在安全組織的建設(shè)、安全管理策 略和制度的制定與執(zhí)行、人員的管理等方面。 安全管理風(fēng)險 同濟醫(yī)院 信息系統(tǒng) 安全管理制度的建設(shè)還不全面，如： 1) 缺乏統(tǒng)一的用戶權(quán)限管理和訪問控制策略，用戶、口令、權(quán)限的管理不嚴(yán)密，系統(tǒng)的安全配置一般都是缺省配置，風(fēng)險很大。因此在物理安全方面，同濟醫(yī)院存在以下的建設(shè)需求： ? 機房建設(shè)需要參考國家相關(guān)標(biāo)準(zhǔn)進行規(guī)劃和建設(shè)，比如 GB501741993 電子計算機機房設(shè)計規(guī)范 ? 重要房間 需要采用防盜門窗或帶身份識別功能的門鎖，能夠?qū)M入機房的人員和時間進行記錄和限制； ? 需要建立報警監(jiān)控措施：在重要區(qū)域設(shè)立紅外、圖像等監(jiān)控報警措施； ? 專用保險機柜需要重點保護：對于一些重要的密碼設(shè)備，采用專用安全機柜進行保護，避免偷竊和破壞行動的發(fā)生。 網(wǎng)絡(luò) 入侵檢測系統(tǒng)位于有敏感數(shù)據(jù)需要保護的網(wǎng)絡(luò)上，通過實時偵聽網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。 因此，針對移動接入、遠程支隊機構(gòu)接入上，我們建議采用 VPN 加密隧道方式接入到同濟醫(yī)院內(nèi)網(wǎng)中；針對不同接入需求，針對遠程分支機構(gòu)及單位我們建議采用在邊界防火墻上擴展 IPSEC VPN 功能來滿足與分支機構(gòu)建立 IPSEV VPN隧道來保證遠程的安全接入和訪問過程的數(shù)據(jù)傳輸?shù)臋C密性、完整性和可用性。 ? 撥號監(jiān)管：對桌面系統(tǒng)的遠程撥號行為進行控制，發(fā)現(xiàn)存在違規(guī)外聯(lián)的主機，給出報警，并切斷該主機與網(wǎng)絡(luò)的連接，避免由于該設(shè)備而導(dǎo)致政法網(wǎng)遭到更大的破壞。 ? 非法內(nèi)外聯(lián)和 安全接入控制，非法客戶端禁入。能夠檢測桌面系統(tǒng)已安全的補丁和需要安裝的補丁，管理員能通過 Console Portal 對桌面系統(tǒng)下發(fā)安裝未安裝補丁的命令。 實現(xiàn)內(nèi)網(wǎng)安全管理 由于終端 設(shè)備分布的廣泛性，使得對終端的安全防護成為難點，但是終端往往由于操作系統(tǒng)自身的漏洞，或者未安裝有效的病毒防護系統(tǒng)，導(dǎo)致終端很容易成為省局信息網(wǎng)絡(luò)中的安全短板，特別是由于終端設(shè)備的使用者缺乏足夠的安全 27 / 52 意識，在拷貝或傳播軟件時，導(dǎo)致一些惡意代碼，或者木馬等程序被自動安裝在終端設(shè)備上，從而使終端成為進一步攻擊省局信息網(wǎng)絡(luò)的跳板，因此必須采取有效的終端安全管理系統(tǒng)，實現(xiàn)對終端設(shè)備的統(tǒng)一安全管理。 因此，建議在外部 DMZ 區(qū)域與內(nèi)部 DMZ 區(qū)域的前置機之間部署物理隔離與信息交換系統(tǒng)， 通過網(wǎng)絡(luò)隔離與信息交換系統(tǒng)講兩臺前置機之間的物理連接斷開，同時，通過網(wǎng)絡(luò)隔離與信息交換系統(tǒng)做兩臺前置機之間的數(shù)據(jù)同步與擺渡，實現(xiàn)外部 DMZ 區(qū)域服務(wù)器與內(nèi)部 DMZ 區(qū)域的服務(wù)器的數(shù)據(jù)交換與同步。建議在同濟醫(yī)院 業(yè)務(wù)網(wǎng)、外部辦公網(wǎng)、新農(nóng)合 、 醫(yī)保專網(wǎng)網(wǎng)絡(luò)互聯(lián)邊界部署一臺千兆級別的 防火墻，即可滿足外部辦公網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)之間的隔離，又能與新農(nóng)合、 醫(yī)保 、衛(wèi)生系統(tǒng)等 專網(wǎng)進行互聯(lián)和隔離。 人員管理風(fēng)險 同濟