【正文】 醫(yī)院 信息系統(tǒng) 人員對(duì)安全的認(rèn)識(shí) 相對(duì)較高，但在具體執(zhí)行和落實(shí)、安全 23 / 52 防范的技能等還有待加強(qiáng)。由此而來(lái)的是， 同濟(jì)醫(yī)院信息網(wǎng)絡(luò) 的安全管理體制也變得非常復(fù)雜，其系統(tǒng)配置、規(guī)則設(shè)置、反應(yīng)處理、設(shè)備管理、運(yùn)行管理的復(fù)雜性所帶來(lái)的管理成本和管理難度直接制約了安全防御體系的有效性，因而導(dǎo)致了網(wǎng)絡(luò)安全的重大隱患。 應(yīng)用層安全的解決目前往 往依賴于網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫(kù)的安全，由于應(yīng)用系統(tǒng)復(fù)雜多樣，沒(méi)有特定的安全技術(shù)能夠完全解決一些特殊應(yīng)用系統(tǒng)的安全問(wèn)題。即使沒(méi)有破譯傳輸?shù)男畔?，也可以通過(guò)刪減信息內(nèi)容等方式，造成對(duì)信息的破壞，比如將一份報(bào)文的后半部分去掉，造成時(shí)間、地點(diǎn)等重要內(nèi)容的缺失，導(dǎo)致信 息的嚴(yán)重失真； ? 重放攻擊：即使攻擊者無(wú)法破譯報(bào)文內(nèi)容，也無(wú)法對(duì)報(bào)文進(jìn)行篡改或刪減，但也可以通過(guò)重新發(fā)送收到的數(shù)據(jù)包的方式，進(jìn)行重放攻擊。這要求保證： 1）只有授權(quán)用戶才可以訪問(wèn)服務(wù)和信息； 2）授權(quán)用戶只能訪問(wèn)那些他們被授權(quán)訪問(wèn)的服務(wù)； 3）信息的公開要與策略一致，否則將造成信息被非法訪問(wèn)，甚至被泄露出去； ? 維護(hù)存儲(chǔ)在服務(wù)器上信息的完整性，以免信息被破壞或被損壞，并使系統(tǒng)像期望的那樣運(yùn)行。如果攻擊的是一個(gè)基于 TCP 協(xié)議的服務(wù)，那么這些請(qǐng)求的包還會(huì)被重發(fā)，結(jié)果更加重了網(wǎng)絡(luò)的負(fù)擔(dān)。由于 同濟(jì)醫(yī)院 信息網(wǎng)絡(luò)的基礎(chǔ)協(xié)議 TCP/IP 協(xié)議自身存在一些安全隱患。 下面，我們將采用分層的方式，從物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和管理層進(jìn)行全面的分析，總結(jié)出 同濟(jì)醫(yī)院 信息網(wǎng)絡(luò)具體的安全風(fēng)險(xiǎn)： 物理層安全風(fēng)險(xiǎn) 機(jī)房 安全風(fēng)險(xiǎn) 同濟(jì)醫(yī)院信息網(wǎng)絡(luò)的中心 機(jī)房，需要考慮如下安全風(fēng)險(xiǎn)： ? 中心 機(jī)房的選址 不當(dāng)，導(dǎo)致中心機(jī)房缺乏有力的安全保護(hù)措施，無(wú)法抵抗 不法分子的物理破壞； ? 各種自然災(zāi)害對(duì) 醫(yī)院中心機(jī)房 造成不必要的麻煩 ，比如水災(zāi)、火災(zāi)將直接破壞中心機(jī)房?jī)?nèi)的設(shè)備，導(dǎo)致重要的數(shù)據(jù)被破壞 ； ? 因?yàn)橥ｋ姾碗娫吹膯?wèn)題而 導(dǎo)致系統(tǒng)中斷服務(wù)，數(shù)據(jù)完整性被破壞等； 16 / 52 ? 電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱； ? 報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。我們有必要認(rèn)真的分析管理所帶來(lái)的安全風(fēng)險(xiǎn)，并采取相應(yīng)的安全措施。同濟(jì)醫(yī)院 信息網(wǎng)絡(luò) 存在網(wǎng)絡(luò)內(nèi)訪問(wèn)混亂，外來(lái)人員也很容易接入網(wǎng)絡(luò)，地址被隨意使用等問(wèn)題，將導(dǎo)致網(wǎng)絡(luò)難以管理，網(wǎng)絡(luò)工作效率下 降 ，對(duì)攻擊者也無(wú)法進(jìn)行追蹤審計(jì)。使被信任主機(jī)喪失工作能力 。所以安全弱點(diǎn)是分析安全風(fēng)險(xiǎn)的重要因素，針對(duì) 同濟(jì)醫(yī)院信息網(wǎng)絡(luò) ，我們分析其存在以下的安全弱點(diǎn)： 網(wǎng)絡(luò)結(jié)構(gòu)脆弱性 從網(wǎng)絡(luò)結(jié)構(gòu)上看， 同 濟(jì)醫(yī)院網(wǎng)絡(luò)分為核心數(shù)據(jù)交換 區(qū)域、辦公系統(tǒng)區(qū)域、業(yè)務(wù)網(wǎng)區(qū)域、業(yè)務(wù)網(wǎng) DMZ 區(qū)域、外部 DMZ 區(qū)域和外部訪問(wèn)家屬區(qū)域共六 個(gè)部分，外部上網(wǎng)區(qū)域又按不同的物理地域劃分為辦公網(wǎng)和家屬區(qū)域， 在系統(tǒng)網(wǎng)絡(luò)的邊界采用的是基于交換機(jī)的防火墻板卡來(lái)進(jìn)行隔離的，實(shí)際上各網(wǎng)絡(luò) 區(qū)域之間沒(méi)有采取任何隔離措施，網(wǎng)絡(luò)內(nèi)所有的用戶終端都在同 核心交換機(jī) 下， 因此很容易受到非授權(quán)訪問(wèn)的攻擊行為，造成系統(tǒng)被破壞或者 數(shù)據(jù)外泄。 ? 業(yè)務(wù)拒絕：對(duì)通信設(shè)備的使用和管理被無(wú)條件地拒絕。 一般來(lái)講，這種人為的安全威脅主要包括被動(dòng)攻擊、主動(dòng)攻擊、鄰近攻 10 / 52 擊、分發(fā)攻擊和內(nèi)部威脅。 典型的自然災(zāi)難包括：地震、水災(zāi)、火災(zāi)、風(fēng)災(zāi)等。因此這些系統(tǒng)（包括應(yīng)用系統(tǒng)，以及承載應(yīng)用的數(shù)據(jù)庫(kù)系統(tǒng)），就構(gòu)成了組織最重要的信息資產(chǎn)。 從同濟(jì)醫(yī)院的應(yīng)用系統(tǒng)結(jié)構(gòu)上來(lái)看，網(wǎng)上掛號(hào)系統(tǒng)和外部 DMZ 的應(yīng)用系統(tǒng)需要與業(yè)務(wù)網(wǎng)絡(luò)的服務(wù)器進(jìn)行數(shù)據(jù)的交互，為了保證 醫(yī)院 內(nèi)外網(wǎng)數(shù)據(jù)交換的安全性，目前采用的是前置機(jī)的方式實(shí)現(xiàn)內(nèi)外數(shù)據(jù)的交換。同時(shí)為了滿足內(nèi)部應(yīng)用服務(wù)器與辦公網(wǎng) DMZ 區(qū)域服務(wù)器進(jìn)行數(shù)據(jù)交換需求，在業(yè)務(wù)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)邊界部署了一臺(tái)防火墻設(shè)備進(jìn)行兩個(gè)網(wǎng)絡(luò)之間的隔離，并在防火墻 5 / 52 劃分了一個(gè)內(nèi)部網(wǎng)絡(luò)的 DMZ 區(qū)域進(jìn)行與外部 DMZ 區(qū)域進(jìn)行數(shù)據(jù)交換的中轉(zhuǎn)站。同時(shí)院內(nèi)的醫(yī)療信息管理（ PACS/RIS/HIS 系統(tǒng)）、多媒體系統(tǒng)、遠(yuǎn)程會(huì)診系統(tǒng)、 網(wǎng)上掛號(hào)、 數(shù)據(jù)庫(kù)管理系統(tǒng)等，都可以通過(guò) 醫(yī)院信息網(wǎng)絡(luò)平臺(tái) 安全、高效的 網(wǎng)絡(luò)來(lái)運(yùn)行 和工作。 在醫(yī)院行業(yè)的信息化建設(shè)過(guò)程中，信息安全的建設(shè)雖然只是一個(gè)很小的部分，但其重要性不容忽視。結(jié)合醫(yī)院復(fù)雜的 HIS、 RIS、PACS 等應(yīng)用系統(tǒng)，需要 網(wǎng) 絡(luò)必須能夠滿足數(shù)據(jù)、語(yǔ)音、圖像等綜合業(yè)務(wù)的傳輸要求，所以需要在網(wǎng)絡(luò)上應(yīng)運(yùn)用多種高性能設(shè)備和先進(jìn)技術(shù)來(lái)保證系統(tǒng)的正常運(yùn)作和穩(wěn)定的效率。 所以，在 武漢同濟(jì) 醫(yī)院的信息化建設(shè)過(guò)程中，我們 應(yīng)當(dāng)正視 網(wǎng)絡(luò)及系統(tǒng) 可能面臨的各種安全風(fēng)險(xiǎn)， 對(duì)網(wǎng)絡(luò)威脅給予充分的重視。 在適 應(yīng)網(wǎng)絡(luò)發(fā)展趨勢(shì)和 同濟(jì) 醫(yī)院的實(shí)際網(wǎng)絡(luò)需求 基礎(chǔ)上 ，既 要 能滿足 同濟(jì) 醫(yī)院的信息網(wǎng)絡(luò)系統(tǒng)使用需求，并兼顧今后網(wǎng)絡(luò)系統(tǒng)易擴(kuò)充性和可管理性。 在應(yīng)用系統(tǒng)的部署架構(gòu)上，目前應(yīng)用系統(tǒng)、中間件和數(shù)據(jù)庫(kù)系統(tǒng)采用一體化部署方式，及數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)都部署在一臺(tái)部署其上，各應(yīng)用系 統(tǒng)架構(gòu)大多采用了 B/S、 C/S架構(gòu)。 下面，我們將根據(jù)上面所描述的信息資產(chǎn)分析的結(jié)果，進(jìn)一步從安全威脅、安全弱點(diǎn)進(jìn)行全面的縫隙，從而歸納出同濟(jì)醫(yī)院信息網(wǎng)所存在的安全風(fēng)險(xiǎn)，從而發(fā)現(xiàn)并引導(dǎo)出同濟(jì)醫(yī)院信息網(wǎng)對(duì)整體安全防護(hù)體系的需求。 而“安全威脅”，簡(jiǎn)單的說(shuō)是一種令人不快的事件，它可能由一個(gè)已確認(rèn)的威脅來(lái)源導(dǎo)致，使資產(chǎn)面臨風(fēng)險(xiǎn)。這些無(wú)目的的事件，有時(shí)會(huì)直接威脅網(wǎng)絡(luò)的安全，影響信息的存儲(chǔ)媒體。 對(duì)于 同濟(jì)醫(yī)院 來(lái)講，被動(dòng)攻擊的行為可能有以下幾種形式： ? 監(jiān)聽 醫(yī)院 信息網(wǎng)絡(luò)中傳 輸?shù)臄?shù)據(jù)包； ? 對(duì)明文傳遞的數(shù)據(jù)、報(bào)文進(jìn)行截取或篡改； ? 對(duì)加密不善的帳號(hào)和口令進(jìn)行截取，從而在網(wǎng)絡(luò)內(nèi)獲得更大的訪問(wèn)權(quán)限； ? 對(duì)網(wǎng)絡(luò)中存在漏洞的操作系統(tǒng)進(jìn)行探測(cè)； ? 對(duì)信息進(jìn)行未授權(quán)的訪問(wèn)； 主動(dòng)攻擊 主動(dòng)攻擊包括試圖阻斷或攻破保護(hù)機(jī)制、引入惡意代碼、偷竊或篡改信息。 對(duì)于 同濟(jì)醫(yī)院網(wǎng)絡(luò)系統(tǒng) 來(lái)講，物理臨近攻擊的行為可能有以下幾種形式： ? 對(duì)骨干交換設(shè)備 的毀壞、偷竊； ? 對(duì)配置數(shù)據(jù)的收集、修改； ? 對(duì)通信線路物理破壞或數(shù)據(jù)阻塞，影響 醫(yī)院 信息網(wǎng)絡(luò)的可用性； ? 利用電磁干擾，破壞線路的傳輸。 利用 TCP/IP 協(xié)議弱點(diǎn)例子還有就是 IP 欺騙攻擊， IP 欺騙由若干步驟組 成，首先，目標(biāo)主機(jī)已經(jīng)選定。 系統(tǒng)和應(yīng)用脆弱性 同濟(jì) 信息網(wǎng)絡(luò)中 運(yùn)行有重要服務(wù)器，眾所周知，每一種操作系統(tǒng)都包含有漏洞，開發(fā)廠商也會(huì)定期發(fā)布不訂包。 但由于這些日志信息都是孤立地發(fā)生并存儲(chǔ)在網(wǎng)絡(luò)設(shè)備和重要應(yīng)用服務(wù)器上，相互之間地關(guān)聯(lián)性非常薄弱，導(dǎo)致網(wǎng)絡(luò)安全管理 人員無(wú)法對(duì)系統(tǒng)訪問(wèn)的全貌有總體的了解和掌握。 15 / 52 ? 缺乏有效的安全監(jiān)控措施和評(píng)估檢查制度，無(wú)法有效的發(fā)現(xiàn)和監(jiān)控安全事 件，不利于及時(shí)發(fā)現(xiàn)安全事件并采取相應(yīng)的措施。 設(shè)備安全風(fēng)險(xiǎn) 設(shè)備 的安全風(fēng)險(xiǎn)主要有： ? 對(duì)設(shè)備的盜竊和毀壞的風(fēng)險(xiǎn)，據(jù)調(diào)研結(jié)果表明，大部分機(jī)房沒(méi)有采用電子 報(bào)警系統(tǒng) ， 并派專人值守 。 網(wǎng)絡(luò)協(xié)議存在的安全風(fēng)險(xiǎn) 同濟(jì)醫(yī)院 信息網(wǎng)絡(luò)的網(wǎng)絡(luò)基礎(chǔ)協(xié)議 TCP/IP 協(xié)議在設(shè)計(jì)之初，更多的是考慮的網(wǎng)絡(luò)互聯(lián)互通的需求，以及數(shù)據(jù)可靠傳輸?shù)囊?，沒(méi)有從安全的角度進(jìn)行考慮，這就使的協(xié)議上的許多特別會(huì)被利用來(lái)發(fā)動(dòng)一次攻擊行為，其中最典型的攻擊行為就是拒絕服務(wù)攻擊行為。而攻擊者一旦獲得路由器的訪問(wèn)口令，則很容易通過(guò)路由器對(duì) XXXX 系統(tǒng)進(jìn)行網(wǎng)絡(luò)嗅探、植入后門、暴力攻擊，使 醫(yī)院信息 系統(tǒng)癱瘓、重要信 18 / 52 息外泄等； ? 路由器口令的弱點(diǎn)是沒(méi)有計(jì)數(shù)器功能的，所有每個(gè)人都可以不限次數(shù)地嘗試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令，從而獲得對(duì)系統(tǒng)的控制權(quán)限； ? 每個(gè)管理員都可能使 用相同的口令，因此，雖然訪問(wèn)日志可以詳細(xì)記錄管理員對(duì)路由器進(jìn)行登錄、修改操作，但無(wú)法區(qū)分是哪位管理員進(jìn)行的操作，給事后分析取證帶來(lái)困難； ? 路由器實(shí)現(xiàn)的動(dòng)態(tài)路由協(xié)議存在著一定的安全漏洞，有可能被惡意的攻擊者利用，通過(guò)發(fā)布假路由，破壞網(wǎng)絡(luò)的路由設(shè)置，使 醫(yī)院信息網(wǎng)絡(luò) 內(nèi)路由混亂，無(wú)法正常發(fā)送數(shù)據(jù)或公文； ? 針對(duì)路由器的拒絕服務(wù)攻擊或分布式拒絕服務(wù)攻擊，而造成路由癱瘓，甚至造成系統(tǒng)的癱瘓。 網(wǎng)絡(luò)訪問(wèn)的合理性 對(duì)網(wǎng)絡(luò)訪問(wèn)缺乏控制手段，將導(dǎo)致對(duì)系統(tǒng)運(yùn)行的失控，系統(tǒng)將無(wú)法確認(rèn)信息總是被授權(quán)的人員獲得，特別使在網(wǎng)絡(luò)種，偽造和假冒合法用戶，對(duì)系統(tǒng)發(fā)起訪問(wèn)，是非常容易做到的。 系統(tǒng)層安全風(fēng)險(xiǎn) 同濟(jì)醫(yī)院 信息網(wǎng)絡(luò)中，主要應(yīng)用的操作系統(tǒng)是 MicroSoft Windows、 UNIX操作系統(tǒng)，而我們知道， Windows、 UNIX 系統(tǒng)自身存在許多安全漏洞，比如 RPC、IIS 等 。據(jù)調(diào)研結(jié)果表明， 同濟(jì)醫(yī)院 信息系統(tǒng) 缺乏專職管理人員，安全策略和機(jī)制、制度沒(méi)有或不健全。 2) 對(duì)安全策略和制度執(zhí)行狀況的定期審查制度及對(duì)安全策略和制度符合性的評(píng)估制度不夠完善。 ? 計(jì)算中心應(yīng)當(dāng)具有良好的防盜措施，應(yīng)當(dāng)安排專人職守；機(jī)房外部設(shè)備，應(yīng)采取加固措施，并將保管責(zé)任落實(shí)到使用者； ? 重要的核心物理設(shè)備應(yīng)當(dāng)符合不間斷運(yùn)行的要求，必要時(shí)要考慮冗余措施。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)時(shí)，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實(shí)時(shí)報(bào)警、事件登錄，或執(zhí)行用戶自定義的安全策略等。針對(duì)移動(dòng)辦公人員的遠(yuǎn)程接入，我們建議采用 SSL VPN 的方式接入到同濟(jì)醫(yī)院網(wǎng)絡(luò)訪問(wèn)相關(guān)的應(yīng)用及辦公系統(tǒng)。 ? 行為監(jiān)管，對(duì)桌面系統(tǒng)打印行為、外存使用行為、文件操作行為的監(jiān)控（文件操作只進(jìn)行監(jiān)視），確保數(shù)據(jù)的安全，避免泄密。能監(jiān)控網(wǎng)絡(luò)，對(duì)于沒(méi)有 28 / 52 安裝客戶端的非法外來(lái)機(jī)器，能夠阻斷其網(wǎng)絡(luò)訪問(wèn)。 ? 補(bǔ)丁自動(dòng)升級(jí)：幫助管理員對(duì)網(wǎng)內(nèi)基于 Windows 2020/XP 等機(jī)器快速部署最新的重要更新和安全更新。這一技術(shù)的應(yīng)用可幫助識(shí)別檢測(cè)對(duì)象的系統(tǒng)資源，分析這一資源被攻擊的可能指數(shù)，了解支撐系統(tǒng)本身的脆弱性，評(píng)估所有存在的安全風(fēng)險(xiǎn)。并對(duì)內(nèi)網(wǎng)核 心數(shù)據(jù)進(jìn)行破壞。 同時(shí)考慮到同濟(jì)醫(yī)院需要與湖北省新型農(nóng)村合作醫(yī)療、 醫(yī)保專網(wǎng)進(jìn)行互聯(lián) 25 / 52 網(wǎng)，滿足全省范圍內(nèi)進(jìn)行醫(yī)保和新農(nóng)合的結(jié)算。 6) 一些重要的安全管理崗位人員的職責(zé)過(guò)大，缺乏監(jiān)督制約機(jī)制等。用戶可能在原有的安全設(shè)施上進(jìn)行升級(jí)、添加和增強(qiáng)，也可能依照不同廠商擅長(zhǎng)的技術(shù)分別選擇產(chǎn)品，這樣多種技術(shù)和產(chǎn)品多層面、分布式共存，不同 廠商的不同產(chǎn)品產(chǎn)生大量不同形式的安全信息，使得整個(gè)系統(tǒng)的相互協(xié)作