【正文】 35 醫(yī)院網絡安全解決方案設計 36 醫(yī)院內網網絡安全設計 36 網絡邊界安全設計 38 外網遠程接入與訪問安全設計 42 應用安全方案設計 43 數據中心安全設計 45 網絡安全解決方案整體部署方案 49 6 方案總結 50 附錄一 網御星云公司介紹 51 3 / 52 1 概述 項目背景 醫(yī)院 是一個信息和技術密集型 的 行業(yè) ，一般其計算機網絡 劃分為 業(yè)務網 絡 和辦公網絡，作為一個現代化的醫(yī)療機構的計算機網絡 ,除了要滿足高效的內部自動化辦公需求以外 ,還需要 對外界的通訊保證暢通。然而， 如果我們的數據面臨著越來越多的安全風險，將 對業(yè)務的正常運行帶來威脅。包括 Inter 服務遠程移動辦公服務、 遠程醫(yī)療寫組、網上掛號等 數據信息下載及視頻會議等。具體網絡結構拓撲如下： 電信I n t e rn e tC e rn e tSi Sic 4 5 0 3 c 4 5 0 3 c 4 5 0 3c 4 5 0 37506E 交換線卡7 5 0 6 E F W 線卡外網 D MZ 區(qū)辦公區(qū)網上掛號前置機內網 D M Z 區(qū)檔案服務器H I S7 5 0 6 E + F W7506E7506R研究生樓寶豐家屬區(qū)長欣苑家屬區(qū)同馨花園c 3 7 4 5東軟 FW 4123C 6 5 0 9 C 6 5 0 9T i p er W a y 流控內 科 樓 外 科 樓 門 診 樓業(yè)務網 外網P A C S R I S 應用系統(tǒng)描述 在同濟醫(yī)院業(yè)務網絡中主要有 HIS 系統(tǒng)、 PACS 系統(tǒng)、 RIS 系統(tǒng)和檔案管理系統(tǒng)等服務器 ,這些重要的應用服務器 構成同濟醫(yī)院業(yè)務網絡的核心。 3 同濟醫(yī)院網絡安全風險及需求分析 網絡安全風險分析 風險分析方法 安全風險的分析方法，主要參考 國際信息安全標準 ISO13335，從信息資產、漏洞（弱點）、威脅等多個因素進行全面的評估，具體分析模型如下圖所表示： 7 / 52 ? 同濟醫(yī)院網絡所面臨的安全風險的大小，是與同濟醫(yī)院網絡擁有的信息資產對應的，因為信息資產擁有價值，這種價值則增加了安全風險的等級； ? 同濟醫(yī)院網絡信息資產總是會存在一些弱點（即漏洞），這些弱點被安全威脅利用后，造成安全風險的增加； ? 針對醫(yī)院的信 息資產，總是存在一些人為的或者非人為的威脅因素，而威脅只有利用了信息資產的弱點之后，才會轉換為對信息資產的風險； ? 因為同濟醫(yī)院網絡和系統(tǒng)存在安全風險，為降低安全風險，同濟醫(yī)院必須采取必要的安全措施；同時安全風險的存在使同濟醫(yī)院網絡產生了對安全的需求，安全需求只有在采取了相當的安全措施以后，才能夠被滿足。如果用戶的分布相對分散，設 備缺乏足夠的冗余措施，訪問所經過的跨度很大，都會給信息的保密性、安全性帶來挑戰(zhàn)，必須進行有針對性地進行評估和設計。 技 術局限性體現在網絡技術本身的局限性、漏洞和缺陷，典型的漏洞包括：鏈路老化、電磁輻射、設備以外鼓掌、 自然威脅可能來自于各種自然災害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網絡設備自然老化等。被動攻擊可能造成在沒有得到用戶同意或告知用戶的情況下，將信息或文件泄露給攻擊者。 物理臨近攻擊 是指 未被授權的個人，在物理意義上接近網絡、系統(tǒng)或設備，試圖改變、收集信息或拒絕他人對信息的訪問。 TCP/IP 協(xié)議在產生之處，還沒有全面考慮安全方面的因素，因而在安全方面存在先天的不足，典型利用TCP/IP 協(xié)議的弱點，發(fā)起攻擊行為的就是“拒絕服務攻擊”，比如“ SYN FLOOD”攻擊，它就是利用了 TCP 協(xié)議中，建立可靠連接所必須經過的三次握手行為，攻擊者只向攻擊目標發(fā)送帶“ SYN”表示的數據包，導致攻擊目標一味地等待發(fā)起連接請求的源地址再次發(fā)送確認信息，而導致系統(tǒng)處于長期等待狀態(tài)，直至系統(tǒng)的資源耗盡，而無法正常處理其他合法的連接請求。 此外，網絡結構的脆弱性還表現在外聯(lián)系統(tǒng)上，我們看到， 同濟醫(yī)院 DMZ區(qū)域與互聯(lián)網直接相連，并且該區(qū)域內 的服務器地址均對互聯(lián)網公開，基于互聯(lián)網的開放性，使信息發(fā)布區(qū)域面臨極大的安全威脅，并且一旦 DMZ 區(qū)域被成功攻擊后，互聯(lián)網上的黑客會利用 DMZ 區(qū)域 作為對 同濟醫(yī)院 其他 網絡區(qū)域發(fā)起攻擊的“跳板”，對同濟醫(yī)院其他網絡區(qū)域實施攻擊行為。 14 / 52 此外， 同濟醫(yī)院 信息網絡中的各種重要應用服務器和網絡設備，在提供服務的同時，也產生了大量的日志信息，這些日志信息 詳實地記錄了系統(tǒng)和網絡的運行事件，是安全審計的重要數據 ， 對于記錄、檢測、分析、識別各種安全事件和威脅有非常重要的作用，也是對當前網絡安全情況進行評估的主要數據源。 ? 缺乏有效的機房管理制度，一些與系統(tǒng)管理無關的人員也可以進入中心機房； ? 缺乏針對性的安全策略和安全技術規(guī)范，安全管理和運行維護的組織不健全。 ? 關鍵設備沒有做到冗余備份，如果發(fā)生設備 運行 故障，可能導致系統(tǒng)癱瘓。這些攻擊行為都將導致 同濟醫(yī)院 信息網絡 和應用系統(tǒng)的 不可用，對外服務停止，影響 同濟醫(yī)院的工作效率和 形象。 網絡設備存在的安全風險 在網絡中的重要的安全設備 如路由器交換機等有可能存在著以下的安全隱患：（以 醫(yī)院 信息網絡核心路由器為例） ? 路由器缺省情況下只使用簡單的口令驗證用戶的身份，并且遠程 TELNET登錄時以明文傳輸口令，一旦口令泄密路由器將失去所有的保護能力。這要求保證： 1）即使硬件或軟件出故障，或進行系統(tǒng)的日常維護時對信息和服務的訪問也不中斷； 2）能及時識別并響應安全事件； 19 / 52 ? 確保用戶名副其實，網絡服務器主機也名副其實，這叫做“相互驗證”。例如，偽裝成一個合法用戶，參與正常的通信過程，造成數據泄密。 . 管理層安全風險 管理層面的安全風險主要表現在安全組織的建設、安全管理策 略和制度的制定與執(zhí)行、人員的管理等方面。 安全管理風險 同濟醫(yī)院 信息系統(tǒng) 安全管理制度的建設還不全面，如： 1) 缺乏統(tǒng)一的用戶權限管理和訪問控制策略，用戶、口令、權限的管理不嚴密，系統(tǒng)的安全配置一般都是缺省配置，風險很大。因此在物理安全方面，同濟醫(yī)院存在以下的建設需求： ? 機房建設需要參考國家相關標準進行規(guī)劃和建設，比如 GB501741993 電子計算機機房設計規(guī)范 ? 重要房間 需要采用防盜門窗或帶身份識別功能的門鎖，能夠對進入機房的人員和時間進行記錄和限制； ? 需要建立報警監(jiān)控措施：在重要區(qū)域設立紅外、圖像等監(jiān)控報警措施； ? 專用保險機柜需要重點保護：對于一些重要的密碼設備，采用專用安全機柜進行保護，避免偷竊和破壞行動的發(fā)生。 網絡 入侵檢測系統(tǒng)位于有敏感數據需要保護的網絡上，通過實時偵聽網絡數據流，尋找網絡違規(guī)模式和未授權的網絡訪問嘗試。 因此，針對移動接入、遠程支隊機構接入上，我們建議采用 VPN 加密隧道方式接入到同濟醫(yī)院內網中；針對不同接入需求，針對遠程分支機構及單位我們建議采用在邊界防火墻上擴展 IPSEC VPN 功能來滿足與分支機構建立 IPSEV VPN隧道來保證遠程的安全接入和訪問過程的數據傳輸的機密性、完整性和可用性。 ? 撥號監(jiān)管：對桌面系統(tǒng)的遠程撥號行為進行控制，發(fā)現存在違規(guī)外聯(lián)的主機，給出報警，并切斷該主機與網絡的連接，避免由于該設備而導致政法網遭到更大的破壞。 ? 非法內外聯(lián)和 安全接入控制，非法客戶端禁入。能夠檢測桌面系統(tǒng)已安全的補丁和需要安裝的補丁，管理員能通過 Console Portal 對桌面系統(tǒng)下發(fā)安裝未安裝補丁的命令。 實現內網安全管理 由于終端 設備分布的廣泛性，使得對終端的安全防護成為難點，但是終端往往由于操作系統(tǒng)自身的漏洞，或者未安裝有效的病毒防護系統(tǒng)，導致終端很容易成為省局信息網絡中的安全短板，特別是由于終端設備的使用者缺乏足夠的安全 27 / 52 意識，在拷貝或傳播軟件時，導致一些惡意代碼，或者木馬等程序被自動安裝在終端設備上，從而使終端成為進一步攻擊省局信息網絡的跳板，因此必須采取有效的終端安全管理系統(tǒng)，實現對終端設備的統(tǒng)一安全管理。 因此，建議在外部 DMZ 區(qū)域與內部 DMZ 區(qū)域的前置機之間部署物理隔離與信息交換系統(tǒng)， 通過網絡隔離與信息交換系統(tǒng)講兩臺前置機之間的物理連接斷開，同時，通過網絡隔離與信息交換系統(tǒng)做兩臺前置機之間的數據同步與擺渡，實現外部 DMZ 區(qū)域服務器與內部 DMZ 區(qū)域的服務器的數據交換與同步。建議在同濟醫(yī)院 業(yè)務網、外部辦公網、新農合 、 醫(yī)保專網網絡互聯(lián)邊界部署一臺千兆級別的 防火墻，即可滿足外部辦公網絡與業(yè)務網絡之間的隔離，又能與新農合、 醫(yī)保 、衛(wèi)生系統(tǒng)等 專網進行互聯(lián)和隔離。 人員管理風險 同濟