【正文】 和統(tǒng)一管理成為 22 / 52 安全管理的難點(diǎn)。 21 / 52 應(yīng)用層安全風(fēng)險 對支撐 同濟(jì)醫(yī)院 重要業(yè)務(wù)的應(yīng)用系統(tǒng)，包括公文應(yīng)用系統(tǒng)， HIS 系統(tǒng) 、 LIS系統(tǒng)、 PRAS 系統(tǒng)、電子病歷、檔案管理系統(tǒng)、 WEB 門戶 、 OA 等網(wǎng)絡(luò)基本服務(wù)和業(yè)務(wù)系統(tǒng)，辦公系統(tǒng)，財務(wù)系統(tǒng)等，構(gòu)成了 同濟(jì)醫(yī)院 最重要的信息資產(chǎn)，由于這些應(yīng)用系統(tǒng) 同濟(jì)醫(yī)院 的業(yè)務(wù)緊密關(guān)聯(lián)，在受到攻擊后將直接影響 同濟(jì)醫(yī)院 的業(yè)務(wù)，因此必須重點(diǎn)加以防護(hù)。 ? 篡改、刪減傳輸信息：攻擊者在得到報文內(nèi)容后，即可對報文內(nèi)容進(jìn)行修改，造成收信者的錯誤理解。一般來講，網(wǎng)絡(luò)服務(wù)器所面臨的安全問題包括： ? 維護(hù)存儲在服務(wù)器上信息的機(jī)密性。同時，許多新到來的請求被丟棄，因為沒有空間來存放這些請求。 網(wǎng)絡(luò)層安全風(fēng)險 網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者進(jìn)攻信息系統(tǒng)的渠道和通路，許多安全問題都集中體現(xiàn) 17 / 52 在網(wǎng)絡(luò)的安全方面。 安全風(fēng)險分析 根據(jù)安全威脅的來源，針對 同濟(jì)醫(yī)院信息網(wǎng)絡(luò) 平臺，需要對其 信息和信息處理設(shè)施的 威脅 (Threat)、 影響 (Impact)和 弱點(diǎn) (Vulnerability)及威脅發(fā)生的 可能性 進(jìn)行全面分析，從而提出明確的防范措施，全面保障信息的保密性、完整性和可用性。 管理脆弱性 再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，再好的安全策略最終要靠人來實現(xiàn)，因此管理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)。 網(wǎng)絡(luò)訪問脆弱性 網(wǎng)絡(luò)的訪問策略是不是合理，訪問是不是有序， 訪問的來源是否合法， 訪問的目標(biāo)資源是否受控等問題，都會直接影響到 同濟(jì)醫(yī)院 信息網(wǎng)絡(luò) 的穩(wěn)定與安全。如果成功，黑客可以使用一種簡單的命令放置一個系統(tǒng)后門，以進(jìn)行非授權(quán)操作。 安全弱點(diǎn)分析 弱點(diǎn)是資產(chǎn)本身存在的，可以被威脅利用、引起 組織信息 資產(chǎn)或 業(yè)務(wù)系統(tǒng) 的損害 ，一般來講 ，安全風(fēng)險總是針對系統(tǒng)的安全弱點(diǎn)，所謂安全弱點(diǎn)就是系統(tǒng)在某些 方面存在缺陷，而有可能被系統(tǒng)的攻擊者利用，對系統(tǒng)發(fā)起攻擊，對系統(tǒng)造成破壞，并且安全威脅只有通過安全弱點(diǎn)，才能有效發(fā)動攻擊，形成安全風(fēng)險。 ? 惡意代碼：惡意代碼可以通過 醫(yī)院 信息網(wǎng)絡(luò)的外部接口和軟盤上的文件、軟件侵入系統(tǒng)，對 醫(yī)院 信息網(wǎng)絡(luò)造成損害。這些攻擊手段都是通過 尋找 系統(tǒng)的弱點(diǎn)，以便達(dá)到破壞、欺騙、竊取數(shù)據(jù)等目的，造成經(jīng)濟(jì)上和聲譽(yù) 上不可估量的損失。 非人為 安全威脅 非 人 為的安全威脅主要分為兩類：一類是自然 災(zāi)難 ，另一類 為技術(shù)局限性?！靶畔①Y產(chǎn)”的界定與衡量是安全威脅分析的前提，具體方法有： 衡量應(yīng)用系統(tǒng)所處理數(shù)據(jù)的重要性，對于企業(yè)來講，就要判斷數(shù)據(jù)是否具有很高的商業(yè)價值，對于政府 來講，就要判斷數(shù)據(jù)是否具有很高的機(jī)密性，這種商業(yè)價值，或者機(jī)密程度，就為這些數(shù)據(jù)賦予了相當(dāng)?shù)膬r值； 衡量應(yīng)用系統(tǒng)與業(yè)務(wù)的相關(guān)程度，結(jié)合越緊密，其重要性就越高，如果這些系統(tǒng)受到攻擊及破壞，往往會給業(yè)務(wù)帶來極大的損失。 在 外部辦公網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)的邊界 上，采用防火墻做網(wǎng)絡(luò)邊界的隔離設(shè)備，但是由于設(shè)備采購時間較長，設(shè)備比較老舊，且是百兆級別的防火墻設(shè)備，無法滿足現(xiàn)有的網(wǎng)絡(luò)核心骨干千兆乃至擴(kuò)展到萬兆的 網(wǎng)絡(luò)環(huán)境的 需求。并在業(yè)務(wù)網(wǎng)絡(luò)單獨(dú)設(shè)立和一個內(nèi)部核心業(yè)務(wù)應(yīng)用服務(wù)器區(qū)域，包含 HIS 系統(tǒng)、 RIS 系統(tǒng)、 PACS 系統(tǒng)和檔案管理系統(tǒng)等應(yīng)用服務(wù)器。 首先，通過網(wǎng)絡(luò)系統(tǒng) 安全 進(jìn)行全面的 升級改造， 建立可為醫(yī)院內(nèi)部醫(yī)療信息管理、科研提供一個 技術(shù) 先進(jìn) 、高安全性的信息化網(wǎng)絡(luò)環(huán)境 。我們可以想象 一下，對于一個需要高速信息傳達(dá)的現(xiàn)代化醫(yī)院，如果遭到致命攻擊，會給社會造成多大的影響。同時醫(yī)院的網(wǎng)絡(luò)系統(tǒng)連接著 Inter、醫(yī)保 專 網(wǎng)和高校等 網(wǎng)絡(luò) ，訪問人員 和物理上的網(wǎng)路邊界 比較復(fù)雜，所以如何保證 同濟(jì) 醫(yī)院網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù) 及應(yīng)用的安全顯得 尤為重要。 為了 武漢同濟(jì) 醫(yī)院信息網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，確保醫(yī)院信息系統(tǒng)建設(shè)項目的順利實施，結(jié)合具體的網(wǎng)絡(luò)和應(yīng)用系統(tǒng) 現(xiàn)狀 ，根據(jù) 武漢同濟(jì)醫(yī)院目前的計算機(jī)信息網(wǎng)網(wǎng)絡(luò)特點(diǎn)及安全需求，本著切合實際、保護(hù)資產(chǎn) 、著眼未來 醫(yī)療信息化動態(tài)發(fā)展的原則，提出本安全解決 方案。 通過對網(wǎng)絡(luò)系統(tǒng)絡(luò)進(jìn)行統(tǒng)一的整體設(shè)計、規(guī)劃， 為 同濟(jì) 醫(yī)院網(wǎng)絡(luò)系統(tǒng) 打造一個 長期、穩(wěn)定、高效 、安全 的運(yùn)行 環(huán)境， 以及 醫(yī)院 未來的發(fā)展和建設(shè)打下良好的網(wǎng)絡(luò)平臺基礎(chǔ)。在應(yīng)用服務(wù)器操作系統(tǒng)上，大多采用 WINDOS 操作系統(tǒng)。 安全威脅分析 針 對網(wǎng)絡(luò)和系統(tǒng)的安全造成風(fēng)險主要來自于兩個因素，一是系統(tǒng)的“信息資產(chǎn)”，二是潛在的攻擊者對系統(tǒng)所形成的“安全威脅”。為確認(rèn)威脅，就必須確認(rèn)： ? 威脅所針對的資產(chǎn)是什么？是否有價值？是否是組織最重要的信息資產(chǎn)？ ? 什么是威脅來源？或者什么樣的行為會對系統(tǒng)形成威脅？ ? 針對攻擊者，還有必要分析他們的技術(shù)專長、機(jī)遇和動機(jī)很可能是什么。 對于 同濟(jì)醫(yī)院 來講，技術(shù)局限性還表現(xiàn)在系統(tǒng)、硬件、軟件的設(shè)計和實現(xiàn)上存在不足，配置上沒有完全執(zhí)行即定的安全策略等，這些都將威脅到系統(tǒng)運(yùn)行的穩(wěn)定性、可靠性和安全性。主動進(jìn)攻可能造成數(shù)據(jù)資料的泄露和散播，或?qū)е戮芙^服務(wù)以及數(shù)據(jù)的篡改。 內(nèi)部人員攻擊 內(nèi)部人員攻擊可以分為惡意或無惡意攻擊。其次，信任模式已被發(fā)現(xiàn)，并找到了一個被目標(biāo)主機(jī)信任的主機(jī)。如何對重要服務(wù)器進(jìn)行 隱患掃描 、入侵檢測、補(bǔ)丁管理成為日常安全維護(hù)的重要工作。 硬件平臺脆弱性 硬件平臺的脆弱性指硬件平臺包括硬件平臺的糾錯能力，它的脆弱性直接影響著軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)的強(qiáng)壯性。 ? 缺乏完善的災(zāi)難應(yīng)急計劃和制度，對突發(fā)的安全事件沒有制定有效的應(yīng)對措施，沒有有效的對安全事件的處理流程和制度。 設(shè)備或部件沒有明顯的不可去除的標(biāo)記，丟失后無法追查；機(jī)房外的網(wǎng)絡(luò)設(shè)備沒有防護(hù)措施，不能防范盜毀等。 一般地，拒絕服務(wù)攻擊并不針對系統(tǒng)的信息，也并不進(jìn)入 系統(tǒng)進(jìn)行破壞，它是通過對系統(tǒng)資源的刻意消耗，將 大量的服務(wù)請求發(fā)向一臺計算機(jī)中的服務(wù)守護(hù)進(jìn)程時，就會發(fā)生服務(wù)過載。比如 ICMP 重定向攻擊、源路由攻擊等。 ? 對訪問來源沒有鑒別機(jī)制，將給入侵者發(fā)起偽裝類攻 擊造成機(jī)會，造成沒有授權(quán)的訪問者假冒合法用戶，獲取系統(tǒng)的信息資源，造成機(jī)密信息外泄； ? 對訪問類型沒有控制措施，可能會造成合法用戶的越權(quán)訪問，仍舊會導(dǎo)致機(jī)密信息外泄； ? 對訪問目標(biāo)沒有鑒別機(jī)制，將有可能使合法用戶訪問了攻擊者蓄意假冒的目的，從而獲得合法用戶的帳號和口令，使攻擊者具備訪問 同濟(jì)醫(yī)院 信息網(wǎng)絡(luò)的條件，從而更有效的發(fā)動對系統(tǒng)的攻擊； 對系統(tǒng)中的各類 網(wǎng)絡(luò) 訪問缺乏審計手段，將造成網(wǎng)絡(luò)安全管理人員的“盲區(qū)”，網(wǎng)絡(luò)安全管理人員無法了解到系統(tǒng)的運(yùn)行情況和系統(tǒng)的訪問態(tài)勢，無法及時發(fā)現(xiàn)系統(tǒng)中存在的安全隱患，更談不上采取 安全措施了； 對系統(tǒng)中各類日志信息缺乏關(guān)聯(lián)分析將使網(wǎng)絡(luò)安全管理人員陷入“一葉障目，不見森林”的誤區(qū)，網(wǎng)絡(luò)安全管理人員無法從全局的角度對系統(tǒng)運(yùn)行情況和安全態(tài)勢進(jìn)行把握。這些“后門”或安全漏洞都將存在重大安全隱患。安全管理 人員安全意識缺乏且 專業(yè)素質(zhì)有待提高。 3) 沒有根據(jù)各類信息的不同安全要求確定相應(yīng)的安全級別，信息安全管理范圍不明確。 此外，我們看到，同濟(jì)信息網(wǎng)絡(luò)中 存在許多關(guān)鍵應(yīng)用系統(tǒng)，隨著同濟(jì)醫(yī)院業(yè)務(wù)的開展，許多重要 的數(shù)據(jù)都將匯總在數(shù)據(jù)庫中，這些數(shù)據(jù)構(gòu)成了同濟(jì)醫(yī)院最重要的信息資產(chǎn)，因此，必須建立相應(yīng)的備份和災(zāi)難后快速恢復(fù)機(jī)制，以保障重要業(yè)務(wù)的連續(xù)性，對于災(zāi)難備份的安全需求如下： ? 確定 同濟(jì)醫(yī)院 的關(guān)鍵業(yè)務(wù)、應(yīng)用系統(tǒng)及關(guān)鍵地點(diǎn)； ? 確定關(guān)鍵業(yè)務(wù)的可容忍恢復(fù)時間及恢復(fù)程度； ? 盡量縮短業(yè)務(wù)操作和資源遭受嚴(yán)重性破壞的時間； ? 降低災(zāi)難恢復(fù)任務(wù)的復(fù)雜性； ? 降低直接損失； ? 建立緊急事故恢復(fù)能力； ? 利于 同濟(jì)醫(yī)院 各部門協(xié)作有效的完成災(zāi)難恢復(fù)任務(wù) 24 / 52 網(wǎng)絡(luò)安全的 需求 網(wǎng)絡(luò)是信息系統(tǒng)賴以存在的實體，離開了網(wǎng)絡(luò)平臺，信息的傳遞、業(yè)務(wù)的開展將無從依托，因 此如何保障網(wǎng)絡(luò)的安全，是構(gòu)件 同濟(jì)醫(yī)院 信息網(wǎng)絡(luò)系統(tǒng)安全架構(gòu)的基礎(chǔ)性工作，對于 同濟(jì)醫(yī)院 來講，網(wǎng)絡(luò)安全主要解決運(yùn)行環(huán)境的安全問題，對應(yīng)網(wǎng)絡(luò)層安全威脅，網(wǎng)絡(luò)安全主要的技術(shù)手段包括邊界防護(hù)技術(shù)、檢測與響應(yīng)技術(shù)、加密傳輸技術(shù)等，對照 同濟(jì)醫(yī)院 的實際情況，我們 主要從以下幾個方面來分析： 網(wǎng)絡(luò)邊界的安全防護(hù) 互聯(lián)網(wǎng)邊界 安全需求 在同濟(jì)醫(yī)院外部辦公網(wǎng)絡(luò)的互聯(lián)網(wǎng)邊界，目前主要通過部署在 網(wǎng)絡(luò)邊界 的防火墻 系統(tǒng) 來實現(xiàn)與互聯(lián)網(wǎng)編輯的隔離，由于防火墻 只能基于 ISO 模型的三、四層進(jìn)行防護(hù)，無法對會話層、表示層、應(yīng)用層的攻擊和威脅行為進(jìn)行有效 的攔截和防護(hù)。 入侵檢測系統(tǒng)可以部署在 同濟(jì)醫(yī)院業(yè)務(wù) 網(wǎng)絡(luò)中的核心，這里我們建議在 同濟(jì)醫(yī)院信息 網(wǎng)絡(luò)中采用 入侵檢測 系統(tǒng) ，監(jiān)視并記錄 網(wǎng)絡(luò)中 的所有 反問行為和 操作，有效防止非法操作和惡意攻擊。 系統(tǒng)安全的需求 安全隱患發(fā)現(xiàn)需求 一般來講，安全的威脅主要來自于系統(tǒng)的弱點(diǎn)，針對 同濟(jì)醫(yī)院 在系統(tǒng)層面 存在的安全隱患，很容易成為內(nèi)部用戶或外部非法入侵者進(jìn)行攻擊的對象，因此，有必要進(jìn)行分析 和評估 ，發(fā)現(xiàn)存在的隱患或弱點(diǎn)后，進(jìn)行修補(bǔ) 及加固。 ? 系統(tǒng)監(jiān) 管，使管理員能夠輕松進(jìn)行局域網(wǎng)的管理維護(hù)。網(wǎng)絡(luò)阻斷方式包括。 ? 安全狀態(tài)檢測策略：系統(tǒng)能夠自動檢測桌面系統(tǒng)的病毒防護(hù)工作是否正常，如果發(fā)覺終端未安裝防病毒系統(tǒng)，或者安裝的防病毒系統(tǒng)沒有及時升級到最新版本，那么終端安全管理系統(tǒng)將自動通知終端用戶，督促其盡快安裝防病毒軟件或者將病毒庫進(jìn)行升級。 漏洞檢測和安全風(fēng)險評估技術(shù)，因其可預(yù)知主體受攻擊的可能性，并具體指證將要發(fā)生的行為和產(chǎn)生的后果，而受到網(wǎng)絡(luò)安全業(yè)界的重視。 網(wǎng)絡(luò)隔離安全需求 由于同濟(jì)醫(yī)院外部 DMZ 應(yīng)用服務(wù)器需要跟內(nèi)網(wǎng) DMZ 區(qū)域有數(shù)據(jù)的交換，為了保證兩個網(wǎng)絡(luò)之間的數(shù)據(jù)交換的安全性，目前主要采用的通過前置機(jī)的方式進(jìn)行數(shù)據(jù)同步；雖然通過前置機(jī)方式可以給內(nèi)網(wǎng)增加一層防護(hù)堡壘，但是依然與內(nèi)網(wǎng)的重要服務(wù)器有物理上的互聯(lián)，如果一旦堡壘主機(jī)受到黑客攻擊并控制，就可以直接對內(nèi)網(wǎng)絡(luò)的服務(wù)器進(jìn)行訪問。 辦公網(wǎng)與業(yè)務(wù)網(wǎng)互聯(lián)邊界 在同濟(jì)醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)與外部辦公網(wǎng)絡(luò)互聯(lián)的邊界主要依靠目前部署的一臺東軟的百兆級別的防火墻來進(jìn)行隔離， 由于防火墻使用已久，設(shè)備老化嚴(yán)重，此外，由于業(yè)務(wù)網(wǎng)絡(luò)與外部辦公網(wǎng)絡(luò)之間主干線路升級為千兆，乃至萬兆骨干 網(wǎng)絡(luò)環(huán)境 ；目前的防火墻已經(jīng)無法滿足當(dāng)前的網(wǎng)絡(luò)安全需求。 5) 缺乏完善的災(zāi)難應(yīng)急計劃和制度，對突發(fā)的安全事件沒有制 定有效的應(yīng)對措施，沒 有有效的機(jī)制和手段來發(fā)現(xiàn)和監(jiān)