【正文】 和統(tǒng)一管理成為 22 / 52 安全管理的難點(diǎn)。 21 / 52 應(yīng)用層安全風(fēng)險(xiǎn) 對(duì)支撐 同濟(jì)醫(yī)院 重要業(yè)務(wù)的應(yīng)用系統(tǒng)，包括公文應(yīng)用系統(tǒng)， HIS 系統(tǒng) 、 LIS系統(tǒng)、 PRAS 系統(tǒng)、電子病歷、檔案管理系統(tǒng)、 WEB 門戶 、 OA 等網(wǎng)絡(luò)基本服務(wù)和業(yè)務(wù)系統(tǒng)，辦公系統(tǒng)，財(cái)務(wù)系統(tǒng)等，構(gòu)成了 同濟(jì)醫(yī)院 最重要的信息資產(chǎn)，由于這些應(yīng)用系統(tǒng) 同濟(jì)醫(yī)院 的業(yè)務(wù)緊密關(guān)聯(lián)，在受到攻擊后將直接影響 同濟(jì)醫(yī)院 的業(yè)務(wù)，因此必須重點(diǎn)加以防護(hù)。 ? 篡改、刪減傳輸信息：攻擊者在得到報(bào)文內(nèi)容后，即可對(duì)報(bào)文內(nèi)容進(jìn)行修改，造成收信者的錯(cuò)誤理解。一般來(lái)講，網(wǎng)絡(luò)服務(wù)器所面臨的安全問(wèn)題包括： ? 維護(hù)存儲(chǔ)在服務(wù)器上信息的機(jī)密性。同時(shí)，許多新到來(lái)的請(qǐng)求被丟棄，因?yàn)闆](méi)有空間來(lái)存放這些請(qǐng)求。 網(wǎng)絡(luò)層安全風(fēng)險(xiǎn) 網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者進(jìn)攻信息系統(tǒng)的渠道和通路，許多安全問(wèn)題都集中體現(xiàn) 17 / 52 在網(wǎng)絡(luò)的安全方面。 安全風(fēng)險(xiǎn)分析 根據(jù)安全威脅的來(lái)源，針對(duì) 同濟(jì)醫(yī)院信息網(wǎng)絡(luò) 平臺(tái)，需要對(duì)其 信息和信息處理設(shè)施的 威脅 (Threat)、 影響 (Impact)和 弱點(diǎn) (Vulnerability)及威脅發(fā)生的 可能性 進(jìn)行全面分析，從而提出明確的防范措施，全面保障信息的保密性、完整性和可用性。 管理脆弱性 再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，再好的安全策略最終要靠人來(lái)實(shí)現(xiàn)，因此管理是整個(gè)網(wǎng)絡(luò)安全中最為重要的一環(huán)。 網(wǎng)絡(luò)訪問(wèn)脆弱性 網(wǎng)絡(luò)的訪問(wèn)策略是不是合理，訪問(wèn)是不是有序， 訪問(wèn)的來(lái)源是否合法， 訪問(wèn)的目標(biāo)資源是否受控等問(wèn)題，都會(huì)直接影響到 同濟(jì)醫(yī)院 信息網(wǎng)絡(luò) 的穩(wěn)定與安全。如果成功，黑客可以使用一種簡(jiǎn)單的命令放置一個(gè)系統(tǒng)后門，以進(jìn)行非授權(quán)操作。 安全弱點(diǎn)分析 弱點(diǎn)是資產(chǎn)本身存在的，可以被威脅利用、引起 組織信息 資產(chǎn)或 業(yè)務(wù)系統(tǒng) 的損害 ，一般來(lái)講 ，安全風(fēng)險(xiǎn)總是針對(duì)系統(tǒng)的安全弱點(diǎn)，所謂安全弱點(diǎn)就是系統(tǒng)在某些 方面存在缺陷，而有可能被系統(tǒng)的攻擊者利用，對(duì)系統(tǒng)發(fā)起攻擊，對(duì)系統(tǒng)造成破壞，并且安全威脅只有通過(guò)安全弱點(diǎn)，才能有效發(fā)動(dòng)攻擊，形成安全風(fēng)險(xiǎn)。 ? 惡意代碼：惡意代碼可以通過(guò) 醫(yī)院 信息網(wǎng)絡(luò)的外部接口和軟盤上的文件、軟件侵入系統(tǒng)，對(duì) 醫(yī)院 信息網(wǎng)絡(luò)造成損害。這些攻擊手段都是通過(guò) 尋找 系統(tǒng)的弱點(diǎn)，以便達(dá)到破壞、欺騙、竊取數(shù)據(jù)等目的，造成經(jīng)濟(jì)上和聲譽(yù) 上不可估量的損失。 非人為 安全威脅 非 人 為的安全威脅主要分為兩類：一類是自然 災(zāi)難 ，另一類 為技術(shù)局限性?！靶畔①Y產(chǎn)”的界定與衡量是安全威脅分析的前提，具體方法有： 衡量應(yīng)用系統(tǒng)所處理數(shù)據(jù)的重要性，對(duì)于企業(yè)來(lái)講，就要判斷數(shù)據(jù)是否具有很高的商業(yè)價(jià)值，對(duì)于政府 來(lái)講，就要判斷數(shù)據(jù)是否具有很高的機(jī)密性，這種商業(yè)價(jià)值，或者機(jī)密程度，就為這些數(shù)據(jù)賦予了相當(dāng)?shù)膬r(jià)值； 衡量應(yīng)用系統(tǒng)與業(yè)務(wù)的相關(guān)程度，結(jié)合越緊密，其重要性就越高，如果這些系統(tǒng)受到攻擊及破壞，往往會(huì)給業(yè)務(wù)帶來(lái)極大的損失。 在 外部辦公網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)的邊界 上，采用防火墻做網(wǎng)絡(luò)邊界的隔離設(shè)備，但是由于設(shè)備采購(gòu)時(shí)間較長(zhǎng)，設(shè)備比較老舊，且是百兆級(jí)別的防火墻設(shè)備，無(wú)法滿足現(xiàn)有的網(wǎng)絡(luò)核心骨干千兆乃至擴(kuò)展到萬(wàn)兆的 網(wǎng)絡(luò)環(huán)境的 需求。并在業(yè)務(wù)網(wǎng)絡(luò)單獨(dú)設(shè)立和一個(gè)內(nèi)部核心業(yè)務(wù)應(yīng)用服務(wù)器區(qū)域，包含 HIS 系統(tǒng)、 RIS 系統(tǒng)、 PACS 系統(tǒng)和檔案管理系統(tǒng)等應(yīng)用服務(wù)器。 首先，通過(guò)網(wǎng)絡(luò)系統(tǒng) 安全 進(jìn)行全面的 升級(jí)改造， 建立可為醫(yī)院內(nèi)部醫(yī)療信息管理、科研提供一個(gè) 技術(shù) 先進(jìn) 、高安全性的信息化網(wǎng)絡(luò)環(huán)境 。我們可以想象 一下，對(duì)于一個(gè)需要高速信息傳達(dá)的現(xiàn)代化醫(yī)院，如果遭到致命攻擊，會(huì)給社會(huì)造成多大的影響。同時(shí)醫(yī)院的網(wǎng)絡(luò)系統(tǒng)連接著 Inter、醫(yī)保 專 網(wǎng)和高校等 網(wǎng)絡(luò) ，訪問(wèn)人員 和物理上的網(wǎng)路邊界 比較復(fù)雜，所以如何保證 同濟(jì) 醫(yī)院網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù) 及應(yīng)用的安全顯得 尤為重要。 為了 武漢同濟(jì) 醫(yī)院信息網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，確保醫(yī)院信息系統(tǒng)建設(shè)項(xiàng)目的順利實(shí)施，結(jié)合具體的網(wǎng)絡(luò)和應(yīng)用系統(tǒng) 現(xiàn)狀 ，根據(jù) 武漢同濟(jì)醫(yī)院目前的計(jì)算機(jī)信息網(wǎng)網(wǎng)絡(luò)特點(diǎn)及安全需求，本著切合實(shí)際、保護(hù)資產(chǎn) 、著眼未來(lái) 醫(yī)療信息化動(dòng)態(tài)發(fā)展的原則，提出本安全解決 方案。 通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)絡(luò)進(jìn)行統(tǒng)一的整體設(shè)計(jì)、規(guī)劃， 為 同濟(jì) 醫(yī)院網(wǎng)絡(luò)系統(tǒng) 打造一個(gè) 長(zhǎng)期、穩(wěn)定、高效 、安全 的運(yùn)行 環(huán)境， 以及 醫(yī)院 未來(lái)的發(fā)展和建設(shè)打下良好的網(wǎng)絡(luò)平臺(tái)基礎(chǔ)。在應(yīng)用服務(wù)器操作系統(tǒng)上，大多采用 WINDOS 操作系統(tǒng)。 安全威脅分析 針 對(duì)網(wǎng)絡(luò)和系統(tǒng)的安全造成風(fēng)險(xiǎn)主要來(lái)自于兩個(gè)因素，一是系統(tǒng)的“信息資產(chǎn)”，二是潛在的攻擊者對(duì)系統(tǒng)所形成的“安全威脅”。為確認(rèn)威脅，就必須確認(rèn)： ? 威脅所針對(duì)的資產(chǎn)是什么？是否有價(jià)值？是否是組織最重要的信息資產(chǎn)？ ? 什么是威脅來(lái)源？或者什么樣的行為會(huì)對(duì)系統(tǒng)形成威脅？ ? 針對(duì)攻擊者，還有必要分析他們的技術(shù)專長(zhǎng)、機(jī)遇和動(dòng)機(jī)很可能是什么。 對(duì)于 同濟(jì)醫(yī)院 來(lái)講，技術(shù)局限性還表現(xiàn)在系統(tǒng)、硬件、軟件的設(shè)計(jì)和實(shí)現(xiàn)上存在不足，配置上沒(méi)有完全執(zhí)行即定的安全策略等，這些都將威脅到系統(tǒng)運(yùn)行的穩(wěn)定性、可靠性和安全性。主動(dòng)進(jìn)攻可能造成數(shù)據(jù)資料的泄露和散播，或?qū)е戮芙^服務(wù)以及數(shù)據(jù)的篡改。 內(nèi)部人員攻擊 內(nèi)部人員攻擊可以分為惡意或無(wú)惡意攻擊。其次，信任模式已被發(fā)現(xiàn)，并找到了一個(gè)被目標(biāo)主機(jī)信任的主機(jī)。如何對(duì)重要服務(wù)器進(jìn)行 隱患掃描 、入侵檢測(cè)、補(bǔ)丁管理成為日常安全維護(hù)的重要工作。 硬件平臺(tái)脆弱性 硬件平臺(tái)的脆弱性指硬件平臺(tái)包括硬件平臺(tái)的糾錯(cuò)能力，它的脆弱性直接影響著軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)的強(qiáng)壯性。 ? 缺乏完善的災(zāi)難應(yīng)急計(jì)劃和制度，對(duì)突發(fā)的安全事件沒(méi)有制定有效的應(yīng)對(duì)措施，沒(méi)有有效的對(duì)安全事件的處理流程和制度。 設(shè)備或部件沒(méi)有明顯的不可去除的標(biāo)記，丟失后無(wú)法追查；機(jī)房外的網(wǎng)絡(luò)設(shè)備沒(méi)有防護(hù)措施，不能防范盜毀等。 一般地，拒絕服務(wù)攻擊并不針對(duì)系統(tǒng)的信息，也并不進(jìn)入 系統(tǒng)進(jìn)行破壞，它是通過(guò)對(duì)系統(tǒng)資源的刻意消耗，將 大量的服務(wù)請(qǐng)求發(fā)向一臺(tái)計(jì)算機(jī)中的服務(wù)守護(hù)進(jìn)程時(shí)，就會(huì)發(fā)生服務(wù)過(guò)載。比如 ICMP 重定向攻擊、源路由攻擊等。 ? 對(duì)訪問(wèn)來(lái)源沒(méi)有鑒別機(jī)制，將給入侵者發(fā)起偽裝類攻 擊造成機(jī)會(huì)，造成沒(méi)有授權(quán)的訪問(wèn)者假冒合法用戶，獲取系統(tǒng)的信息資源，造成機(jī)密信息外泄； ? 對(duì)訪問(wèn)類型沒(méi)有控制措施，可能會(huì)造成合法用戶的越權(quán)訪問(wèn)，仍舊會(huì)導(dǎo)致機(jī)密信息外泄； ? 對(duì)訪問(wèn)目標(biāo)沒(méi)有鑒別機(jī)制，將有可能使合法用戶訪問(wèn)了攻擊者蓄意假冒的目的，從而獲得合法用戶的帳號(hào)和口令，使攻擊者具備訪問(wèn) 同濟(jì)醫(yī)院 信息網(wǎng)絡(luò)的條件，從而更有效的發(fā)動(dòng)對(duì)系統(tǒng)的攻擊； 對(duì)系統(tǒng)中的各類 網(wǎng)絡(luò) 訪問(wèn)缺乏審計(jì)手段，將造成網(wǎng)絡(luò)安全管理人員的“盲區(qū)”，網(wǎng)絡(luò)安全管理人員無(wú)法了解到系統(tǒng)的運(yùn)行情況和系統(tǒng)的訪問(wèn)態(tài)勢(shì)，無(wú)法及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的安全隱患，更談不上采取 安全措施了； 對(duì)系統(tǒng)中各類日志信息缺乏關(guān)聯(lián)分析將使網(wǎng)絡(luò)安全管理人員陷入“一葉障目，不見(jiàn)森林”的誤區(qū)，網(wǎng)絡(luò)安全管理人員無(wú)法從全局的角度對(duì)系統(tǒng)運(yùn)行情況和安全態(tài)勢(shì)進(jìn)行把握。這些“后門”或安全漏洞都將存在重大安全隱患。安全管理 人員安全意識(shí)缺乏且 專業(yè)素質(zhì)有待提高。 3) 沒(méi)有根據(jù)各類信息的不同安全要求確定相應(yīng)的安全級(jí)別，信息安全管理范圍不明確。 此外，我們看到，同濟(jì)信息網(wǎng)絡(luò)中 存在許多關(guān)鍵應(yīng)用系統(tǒng)，隨著同濟(jì)醫(yī)院業(yè)務(wù)的開展，許多重要 的數(shù)據(jù)都將匯總在數(shù)據(jù)庫(kù)中，這些數(shù)據(jù)構(gòu)成了同濟(jì)醫(yī)院最重要的信息資產(chǎn)，因此，必須建立相應(yīng)的備份和災(zāi)難后快速恢復(fù)機(jī)制，以保障重要業(yè)務(wù)的連續(xù)性，對(duì)于災(zāi)難備份的安全需求如下： ? 確定 同濟(jì)醫(yī)院 的關(guān)鍵業(yè)務(wù)、應(yīng)用系統(tǒng)及關(guān)鍵地點(diǎn)； ? 確定關(guān)鍵業(yè)務(wù)的可容忍恢復(fù)時(shí)間及恢復(fù)程度； ? 盡量縮短業(yè)務(wù)操作和資源遭受嚴(yán)重性破壞的時(shí)間； ? 降低災(zāi)難恢復(fù)任務(wù)的復(fù)雜性； ? 降低直接損失； ? 建立緊急事故恢復(fù)能力； ? 利于 同濟(jì)醫(yī)院 各部門協(xié)作有效的完成災(zāi)難恢復(fù)任務(wù) 24 / 52 網(wǎng)絡(luò)安全的 需求 網(wǎng)絡(luò)是信息系統(tǒng)賴以存在的實(shí)體，離開了網(wǎng)絡(luò)平臺(tái)，信息的傳遞、業(yè)務(wù)的開展將無(wú)從依托，因 此如何保障網(wǎng)絡(luò)的安全，是構(gòu)件 同濟(jì)醫(yī)院 信息網(wǎng)絡(luò)系統(tǒng)安全架構(gòu)的基礎(chǔ)性工作，對(duì)于 同濟(jì)醫(yī)院 來(lái)講，網(wǎng)絡(luò)安全主要解決運(yùn)行環(huán)境的安全問(wèn)題，對(duì)應(yīng)網(wǎng)絡(luò)層安全威脅，網(wǎng)絡(luò)安全主要的技術(shù)手段包括邊界防護(hù)技術(shù)、檢測(cè)與響應(yīng)技術(shù)、加密傳輸技術(shù)等，對(duì)照 同濟(jì)醫(yī)院 的實(shí)際情況，我們 主要從以下幾個(gè)方面來(lái)分析： 網(wǎng)絡(luò)邊界的安全防護(hù) 互聯(lián)網(wǎng)邊界 安全需求 在同濟(jì)醫(yī)院外部辦公網(wǎng)絡(luò)的互聯(lián)網(wǎng)邊界，目前主要通過(guò)部署在 網(wǎng)絡(luò)邊界 的防火墻 系統(tǒng) 來(lái)實(shí)現(xiàn)與互聯(lián)網(wǎng)編輯的隔離，由于防火墻 只能基于 ISO 模型的三、四層進(jìn)行防護(hù)，無(wú)法對(duì)會(huì)話層、表示層、應(yīng)用層的攻擊和威脅行為進(jìn)行有效 的攔截和防護(hù)。 入侵檢測(cè)系統(tǒng)可以部署在 同濟(jì)醫(yī)院業(yè)務(wù) 網(wǎng)絡(luò)中的核心，這里我們建議在 同濟(jì)醫(yī)院信息 網(wǎng)絡(luò)中采用 入侵檢測(cè) 系統(tǒng) ，監(jiān)視并記錄 網(wǎng)絡(luò)中 的所有 反問(wèn)行為和 操作，有效防止非法操作和惡意攻擊。 系統(tǒng)安全的需求 安全隱患發(fā)現(xiàn)需求 一般來(lái)講，安全的威脅主要來(lái)自于系統(tǒng)的弱點(diǎn)，針對(duì) 同濟(jì)醫(yī)院 在系統(tǒng)層面 存在的安全隱患，很容易成為內(nèi)部用戶或外部非法入侵者進(jìn)行攻擊的對(duì)象，因此，有必要進(jìn)行分析 和評(píng)估 ，發(fā)現(xiàn)存在的隱患或弱點(diǎn)后，進(jìn)行修補(bǔ) 及加固。 ? 系統(tǒng)監(jiān) 管，使管理員能夠輕松進(jìn)行局域網(wǎng)的管理維護(hù)。網(wǎng)絡(luò)阻斷方式包括。 ? 安全狀態(tài)檢測(cè)策略：系統(tǒng)能夠自動(dòng)檢測(cè)桌面系統(tǒng)的病毒防護(hù)工作是否正常，如果發(fā)覺(jué)終端未安裝防病毒系統(tǒng)，或者安裝的防病毒系統(tǒng)沒(méi)有及時(shí)升級(jí)到最新版本，那么終端安全管理系統(tǒng)將自動(dòng)通知終端用戶，督促其盡快安裝防病毒軟件或者將病毒庫(kù)進(jìn)行升級(jí)。 漏洞檢測(cè)和安全風(fēng)險(xiǎn)評(píng)估技術(shù)，因其可預(yù)知主體受攻擊的可能性，并具體指證將要發(fā)生的行為和產(chǎn)生的后果，而受到網(wǎng)絡(luò)安全業(yè)界的重視。 網(wǎng)絡(luò)隔離安全需求 由于同濟(jì)醫(yī)院外部 DMZ 應(yīng)用服務(wù)器需要跟內(nèi)網(wǎng) DMZ 區(qū)域有數(shù)據(jù)的交換，為了保證兩個(gè)網(wǎng)絡(luò)之間的數(shù)據(jù)交換的安全性，目前主要采用的通過(guò)前置機(jī)的方式進(jìn)行數(shù)據(jù)同步；雖然通過(guò)前置機(jī)方式可以給內(nèi)網(wǎng)增加一層防護(hù)堡壘，但是依然與內(nèi)網(wǎng)的重要服務(wù)器有物理上的互聯(lián)，如果一旦堡壘主機(jī)受到黑客攻擊并控制，就可以直接對(duì)內(nèi)網(wǎng)絡(luò)的服務(wù)器進(jìn)行訪問(wèn)。 辦公網(wǎng)與業(yè)務(wù)網(wǎng)互聯(lián)邊界 在同濟(jì)醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)與外部辦公網(wǎng)絡(luò)互聯(lián)的邊界主要依靠目前部署的一臺(tái)東軟的百兆級(jí)別的防火墻來(lái)進(jìn)行隔離， 由于防火墻使用已久，設(shè)備老化嚴(yán)重，此外，由于業(yè)務(wù)網(wǎng)絡(luò)與外部辦公網(wǎng)絡(luò)之間主干線路升級(jí)為千兆，乃至萬(wàn)兆骨干 網(wǎng)絡(luò)環(huán)境 ；目前的防火墻已經(jīng)無(wú)法滿足當(dāng)前的網(wǎng)絡(luò)安全需求。 5) 缺乏完善的災(zāi)難應(yīng)急計(jì)劃和制度，對(duì)突發(fā)的安全事件沒(méi)有制 定有效的應(yīng)對(duì)措施，沒(méi) 有有效的機(jī)制和手段來(lái)發(fā)現(xiàn)和監(jiān)