【正文】 和統(tǒng)一管理成為 22 / 52 安全管理的難點。 21 / 52 應(yīng)用層安全風(fēng)險 對支撐 同濟醫(yī)院 重要業(yè)務(wù)的應(yīng)用系統(tǒng)，包括公文應(yīng)用系統(tǒng)， HIS 系統(tǒng) 、 LIS系統(tǒng)、 PRAS 系統(tǒng)、電子病歷、檔案管理系統(tǒng)、 WEB 門戶 、 OA 等網(wǎng)絡(luò)基本服務(wù)和業(yè)務(wù)系統(tǒng)，辦公系統(tǒng)，財務(wù)系統(tǒng)等，構(gòu)成了 同濟醫(yī)院 最重要的信息資產(chǎn)，由于這些應(yīng)用系統(tǒng) 同濟醫(yī)院 的業(yè)務(wù)緊密關(guān)聯(lián)，在受到攻擊后將直接影響 同濟醫(yī)院 的業(yè)務(wù)，因此必須重點加以防護。 ? 篡改、刪減傳輸信息：攻擊者在得到報文內(nèi)容后，即可對報文內(nèi)容進行修改，造成收信者的錯誤理解。一般來講，網(wǎng)絡(luò)服務(wù)器所面臨的安全問題包括： ? 維護存儲在服務(wù)器上信息的機密性。同時，許多新到來的請求被丟棄，因為沒有空間來存放這些請求。 網(wǎng)絡(luò)層安全風(fēng)險 網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者進攻信息系統(tǒng)的渠道和通路，許多安全問題都集中體現(xiàn) 17 / 52 在網(wǎng)絡(luò)的安全方面。 安全風(fēng)險分析 根據(jù)安全威脅的來源，針對 同濟醫(yī)院信息網(wǎng)絡(luò) 平臺，需要對其 信息和信息處理設(shè)施的 威脅 (Threat)、 影響 (Impact)和 弱點 (Vulnerability)及威脅發(fā)生的 可能性 進行全面分析，從而提出明確的防范措施，全面保障信息的保密性、完整性和可用性。 管理脆弱性 再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，再好的安全策略最終要靠人來實現(xiàn)，因此管理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)。 網(wǎng)絡(luò)訪問脆弱性 網(wǎng)絡(luò)的訪問策略是不是合理，訪問是不是有序， 訪問的來源是否合法， 訪問的目標資源是否受控等問題，都會直接影響到 同濟醫(yī)院 信息網(wǎng)絡(luò) 的穩(wěn)定與安全。如果成功，黑客可以使用一種簡單的命令放置一個系統(tǒng)后門，以進行非授權(quán)操作。 安全弱點分析 弱點是資產(chǎn)本身存在的，可以被威脅利用、引起 組織信息 資產(chǎn)或 業(yè)務(wù)系統(tǒng) 的損害 ，一般來講 ，安全風(fēng)險總是針對系統(tǒng)的安全弱點，所謂安全弱點就是系統(tǒng)在某些 方面存在缺陷，而有可能被系統(tǒng)的攻擊者利用，對系統(tǒng)發(fā)起攻擊，對系統(tǒng)造成破壞，并且安全威脅只有通過安全弱點，才能有效發(fā)動攻擊，形成安全風(fēng)險。 ? 惡意代碼：惡意代碼可以通過 醫(yī)院 信息網(wǎng)絡(luò)的外部接口和軟盤上的文件、軟件侵入系統(tǒng)，對 醫(yī)院 信息網(wǎng)絡(luò)造成損害。這些攻擊手段都是通過 尋找 系統(tǒng)的弱點，以便達到破壞、欺騙、竊取數(shù)據(jù)等目的，造成經(jīng)濟上和聲譽 上不可估量的損失。 非人為 安全威脅 非 人 為的安全威脅主要分為兩類：一類是自然 災(zāi)難 ，另一類 為技術(shù)局限性。“信息資產(chǎn)”的界定與衡量是安全威脅分析的前提，具體方法有： 衡量應(yīng)用系統(tǒng)所處理數(shù)據(jù)的重要性，對于企業(yè)來講，就要判斷數(shù)據(jù)是否具有很高的商業(yè)價值，對于政府 來講，就要判斷數(shù)據(jù)是否具有很高的機密性，這種商業(yè)價值，或者機密程度，就為這些數(shù)據(jù)賦予了相當?shù)膬r值； 衡量應(yīng)用系統(tǒng)與業(yè)務(wù)的相關(guān)程度，結(jié)合越緊密，其重要性就越高，如果這些系統(tǒng)受到攻擊及破壞，往往會給業(yè)務(wù)帶來極大的損失。 在 外部辦公網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)的邊界 上，采用防火墻做網(wǎng)絡(luò)邊界的隔離設(shè)備，但是由于設(shè)備采購時間較長，設(shè)備比較老舊，且是百兆級別的防火墻設(shè)備，無法滿足現(xiàn)有的網(wǎng)絡(luò)核心骨干千兆乃至擴展到萬兆的 網(wǎng)絡(luò)環(huán)境的 需求。并在業(yè)務(wù)網(wǎng)絡(luò)單獨設(shè)立和一個內(nèi)部核心業(yè)務(wù)應(yīng)用服務(wù)器區(qū)域，包含 HIS 系統(tǒng)、 RIS 系統(tǒng)、 PACS 系統(tǒng)和檔案管理系統(tǒng)等應(yīng)用服務(wù)器。 首先，通過網(wǎng)絡(luò)系統(tǒng) 安全 進行全面的 升級改造， 建立可為醫(yī)院內(nèi)部醫(yī)療信息管理、科研提供一個 技術(shù) 先進 、高安全性的信息化網(wǎng)絡(luò)環(huán)境 。我們可以想象 一下，對于一個需要高速信息傳達的現(xiàn)代化醫(yī)院，如果遭到致命攻擊，會給社會造成多大的影響。同時醫(yī)院的網(wǎng)絡(luò)系統(tǒng)連接著 Inter、醫(yī)保 專 網(wǎng)和高校等 網(wǎng)絡(luò) ，訪問人員 和物理上的網(wǎng)路邊界 比較復(fù)雜，所以如何保證 同濟 醫(yī)院網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù) 及應(yīng)用的安全顯得 尤為重要。 為了 武漢同濟 醫(yī)院信息網(wǎng)絡(luò)的安全穩(wěn)定運行，確保醫(yī)院信息系統(tǒng)建設(shè)項目的順利實施，結(jié)合具體的網(wǎng)絡(luò)和應(yīng)用系統(tǒng) 現(xiàn)狀 ，根據(jù) 武漢同濟醫(yī)院目前的計算機信息網(wǎng)網(wǎng)絡(luò)特點及安全需求，本著切合實際、保護資產(chǎn) 、著眼未來 醫(yī)療信息化動態(tài)發(fā)展的原則，提出本安全解決 方案。 通過對網(wǎng)絡(luò)系統(tǒng)絡(luò)進行統(tǒng)一的整體設(shè)計、規(guī)劃， 為 同濟 醫(yī)院網(wǎng)絡(luò)系統(tǒng) 打造一個 長期、穩(wěn)定、高效 、安全 的運行 環(huán)境， 以及 醫(yī)院 未來的發(fā)展和建設(shè)打下良好的網(wǎng)絡(luò)平臺基礎(chǔ)。在應(yīng)用服務(wù)器操作系統(tǒng)上，大多采用 WINDOS 操作系統(tǒng)。 安全威脅分析 針 對網(wǎng)絡(luò)和系統(tǒng)的安全造成風(fēng)險主要來自于兩個因素，一是系統(tǒng)的“信息資產(chǎn)”，二是潛在的攻擊者對系統(tǒng)所形成的“安全威脅”。為確認威脅，就必須確認： ? 威脅所針對的資產(chǎn)是什么？是否有價值？是否是組織最重要的信息資產(chǎn)？ ? 什么是威脅來源？或者什么樣的行為會對系統(tǒng)形成威脅？ ? 針對攻擊者，還有必要分析他們的技術(shù)專長、機遇和動機很可能是什么。 對于 同濟醫(yī)院 來講，技術(shù)局限性還表現(xiàn)在系統(tǒng)、硬件、軟件的設(shè)計和實現(xiàn)上存在不足，配置上沒有完全執(zhí)行即定的安全策略等，這些都將威脅到系統(tǒng)運行的穩(wěn)定性、可靠性和安全性。主動進攻可能造成數(shù)據(jù)資料的泄露和散播，或?qū)е戮芙^服務(wù)以及數(shù)據(jù)的篡改。 內(nèi)部人員攻擊 內(nèi)部人員攻擊可以分為惡意或無惡意攻擊。其次，信任模式已被發(fā)現(xiàn)，并找到了一個被目標主機信任的主機。如何對重要服務(wù)器進行 隱患掃描 、入侵檢測、補丁管理成為日常安全維護的重要工作。 硬件平臺脆弱性 硬件平臺的脆弱性指硬件平臺包括硬件平臺的糾錯能力，它的脆弱性直接影響著軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)的強壯性。 ? 缺乏完善的災(zāi)難應(yīng)急計劃和制度，對突發(fā)的安全事件沒有制定有效的應(yīng)對措施，沒有有效的對安全事件的處理流程和制度。 設(shè)備或部件沒有明顯的不可去除的標記，丟失后無法追查；機房外的網(wǎng)絡(luò)設(shè)備沒有防護措施，不能防范盜毀等。 一般地，拒絕服務(wù)攻擊并不針對系統(tǒng)的信息，也并不進入 系統(tǒng)進行破壞，它是通過對系統(tǒng)資源的刻意消耗，將 大量的服務(wù)請求發(fā)向一臺計算機中的服務(wù)守護進程時，就會發(fā)生服務(wù)過載。比如 ICMP 重定向攻擊、源路由攻擊等。 ? 對訪問來源沒有鑒別機制，將給入侵者發(fā)起偽裝類攻 擊造成機會，造成沒有授權(quán)的訪問者假冒合法用戶，獲取系統(tǒng)的信息資源，造成機密信息外泄； ? 對訪問類型沒有控制措施，可能會造成合法用戶的越權(quán)訪問，仍舊會導(dǎo)致機密信息外泄； ? 對訪問目標沒有鑒別機制，將有可能使合法用戶訪問了攻擊者蓄意假冒的目的，從而獲得合法用戶的帳號和口令，使攻擊者具備訪問 同濟醫(yī)院 信息網(wǎng)絡(luò)的條件，從而更有效的發(fā)動對系統(tǒng)的攻擊； 對系統(tǒng)中的各類 網(wǎng)絡(luò) 訪問缺乏審計手段，將造成網(wǎng)絡(luò)安全管理人員的“盲區(qū)”，網(wǎng)絡(luò)安全管理人員無法了解到系統(tǒng)的運行情況和系統(tǒng)的訪問態(tài)勢，無法及時發(fā)現(xiàn)系統(tǒng)中存在的安全隱患，更談不上采取 安全措施了； 對系統(tǒng)中各類日志信息缺乏關(guān)聯(lián)分析將使網(wǎng)絡(luò)安全管理人員陷入“一葉障目，不見森林”的誤區(qū)，網(wǎng)絡(luò)安全管理人員無法從全局的角度對系統(tǒng)運行情況和安全態(tài)勢進行把握。這些“后門”或安全漏洞都將存在重大安全隱患。安全管理 人員安全意識缺乏且 專業(yè)素質(zhì)有待提高。 3) 沒有根據(jù)各類信息的不同安全要求確定相應(yīng)的安全級別，信息安全管理范圍不明確。 此外，我們看到，同濟信息網(wǎng)絡(luò)中 存在許多關(guān)鍵應(yīng)用系統(tǒng)，隨著同濟醫(yī)院業(yè)務(wù)的開展，許多重要 的數(shù)據(jù)都將匯總在數(shù)據(jù)庫中，這些數(shù)據(jù)構(gòu)成了同濟醫(yī)院最重要的信息資產(chǎn)，因此，必須建立相應(yīng)的備份和災(zāi)難后快速恢復(fù)機制，以保障重要業(yè)務(wù)的連續(xù)性，對于災(zāi)難備份的安全需求如下： ? 確定 同濟醫(yī)院 的關(guān)鍵業(yè)務(wù)、應(yīng)用系統(tǒng)及關(guān)鍵地點； ? 確定關(guān)鍵業(yè)務(wù)的可容忍恢復(fù)時間及恢復(fù)程度； ? 盡量縮短業(yè)務(wù)操作和資源遭受嚴重性破壞的時間； ? 降低災(zāi)難恢復(fù)任務(wù)的復(fù)雜性； ? 降低直接損失； ? 建立緊急事故恢復(fù)能力； ? 利于 同濟醫(yī)院 各部門協(xié)作有效的完成災(zāi)難恢復(fù)任務(wù) 24 / 52 網(wǎng)絡(luò)安全的 需求 網(wǎng)絡(luò)是信息系統(tǒng)賴以存在的實體，離開了網(wǎng)絡(luò)平臺，信息的傳遞、業(yè)務(wù)的開展將無從依托，因 此如何保障網(wǎng)絡(luò)的安全，是構(gòu)件 同濟醫(yī)院 信息網(wǎng)絡(luò)系統(tǒng)安全架構(gòu)的基礎(chǔ)性工作，對于 同濟醫(yī)院 來講，網(wǎng)絡(luò)安全主要解決運行環(huán)境的安全問題，對應(yīng)網(wǎng)絡(luò)層安全威脅，網(wǎng)絡(luò)安全主要的技術(shù)手段包括邊界防護技術(shù)、檢測與響應(yīng)技術(shù)、加密傳輸技術(shù)等，對照 同濟醫(yī)院 的實際情況，我們 主要從以下幾個方面來分析： 網(wǎng)絡(luò)邊界的安全防護 互聯(lián)網(wǎng)邊界 安全需求 在同濟醫(yī)院外部辦公網(wǎng)絡(luò)的互聯(lián)網(wǎng)邊界，目前主要通過部署在 網(wǎng)絡(luò)邊界 的防火墻 系統(tǒng) 來實現(xiàn)與互聯(lián)網(wǎng)編輯的隔離，由于防火墻 只能基于 ISO 模型的三、四層進行防護，無法對會話層、表示層、應(yīng)用層的攻擊和威脅行為進行有效 的攔截和防護。 入侵檢測系統(tǒng)可以部署在 同濟醫(yī)院業(yè)務(wù) 網(wǎng)絡(luò)中的核心，這里我們建議在 同濟醫(yī)院信息 網(wǎng)絡(luò)中采用 入侵檢測 系統(tǒng) ，監(jiān)視并記錄 網(wǎng)絡(luò)中 的所有 反問行為和 操作，有效防止非法操作和惡意攻擊。 系統(tǒng)安全的需求 安全隱患發(fā)現(xiàn)需求 一般來講，安全的威脅主要來自于系統(tǒng)的弱點，針對 同濟醫(yī)院 在系統(tǒng)層面 存在的安全隱患，很容易成為內(nèi)部用戶或外部非法入侵者進行攻擊的對象，因此，有必要進行分析 和評估 ，發(fā)現(xiàn)存在的隱患或弱點后，進行修補 及加固。 ? 系統(tǒng)監(jiān) 管，使管理員能夠輕松進行局域網(wǎng)的管理維護。網(wǎng)絡(luò)阻斷方式包括。 ? 安全狀態(tài)檢測策略：系統(tǒng)能夠自動檢測桌面系統(tǒng)的病毒防護工作是否正常，如果發(fā)覺終端未安裝防病毒系統(tǒng)，或者安裝的防病毒系統(tǒng)沒有及時升級到最新版本，那么終端安全管理系統(tǒng)將自動通知終端用戶，督促其盡快安裝防病毒軟件或者將病毒庫進行升級。 漏洞檢測和安全風(fēng)險評估技術(shù)，因其可預(yù)知主體受攻擊的可能性，并具體指證將要發(fā)生的行為和產(chǎn)生的后果，而受到網(wǎng)絡(luò)安全業(yè)界的重視。 網(wǎng)絡(luò)隔離安全需求 由于同濟醫(yī)院外部 DMZ 應(yīng)用服務(wù)器需要跟內(nèi)網(wǎng) DMZ 區(qū)域有數(shù)據(jù)的交換，為了保證兩個網(wǎng)絡(luò)之間的數(shù)據(jù)交換的安全性，目前主要采用的通過前置機的方式進行數(shù)據(jù)同步；雖然通過前置機方式可以給內(nèi)網(wǎng)增加一層防護堡壘，但是依然與內(nèi)網(wǎng)的重要服務(wù)器有物理上的互聯(lián)，如果一旦堡壘主機受到黑客攻擊并控制，就可以直接對內(nèi)網(wǎng)絡(luò)的服務(wù)器進行訪問。 辦公網(wǎng)與業(yè)務(wù)網(wǎng)互聯(lián)邊界 在同濟醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)與外部辦公網(wǎng)絡(luò)互聯(lián)的邊界主要依靠目前部署的一臺東軟的百兆級別的防火墻來進行隔離， 由于防火墻使用已久，設(shè)備老化嚴重，此外，由于業(yè)務(wù)網(wǎng)絡(luò)與外部辦公網(wǎng)絡(luò)之間主干線路升級為千兆，乃至萬兆骨干 網(wǎng)絡(luò)環(huán)境 ；目前的防火墻已經(jīng)無法滿足當前的網(wǎng)絡(luò)安全需求。 5) 缺乏完善的災(zāi)難應(yīng)急計劃和制度，對突發(fā)的安全事件沒有制 定有效的應(yīng)對措施，沒 有有效的機制和手段來發(fā)現(xiàn)和監(jiān)