【正文】 在網絡中的重要的安全設備 如路由器交換機等有可能存在著以下的安全隱患：（以 醫(yī)院 信息網絡核心路由器為例） ? 路由器缺省情況下只使用簡單的口令驗證用戶的身份，并且遠程 TELNET登錄時以明文傳輸口令，一旦口令泄密路由器將失去所有的保護能力。如果攻擊的是一個基于 TCP 協(xié)議的服務，那么這些請求的包還會被重發(fā)，結果更加重了網絡的負擔。在分時機制中，這些潮水般的請求，使得計算機十分忙碌地處理這些不斷到來的請求，以至于無法處理常規(guī)的任務。 一般地，拒絕服務攻擊并不針對系統(tǒng)的信息，也并不進入 系統(tǒng)進行破壞，它是通過對系統(tǒng)資源的刻意消耗，將 大量的服務請求發(fā)向一臺計算機中的服務守護進程時，就會發(fā)生服務過載。這些攻擊行為都將導致 同濟醫(yī)院 信息網絡 和應用系統(tǒng)的 不可用，對外服務停止，影響 同濟醫(yī)院的工作效率和 形象。由于 同濟醫(yī)院 信息網絡的基礎協(xié)議 TCP/IP 協(xié)議自身存在一些安全隱患。 介質安全風險 存儲介質的安全風險主要有： ? 介質由于霉變、電磁干擾、物理損傷等原因很可能會導致部分甚至全部數(shù)據(jù)的損壞 ； ? 介質老化造成的數(shù) 據(jù)丟失和數(shù)據(jù)交換可靠性的降低； ? 介質和介質數(shù)據(jù)因機房出入控制不嚴或管理不善丟失或被盜竊、毀壞 ； ? 介質管理不嚴或廢棄介質處理不當，導致信息的隨意復制或泄漏； ? 由于數(shù)據(jù)存儲介質中的作廢數(shù)據(jù)沒有被徹底銷毀，造成數(shù)據(jù)被恢復，泄漏重要信息。 設備或部件沒有明顯的不可去除的標記，丟失后無法追查；機房外的網絡設備沒有防護措施，不能防范盜毀等。 ? 關鍵設備沒有做到冗余備份，如果發(fā)生設備 運行 故障，可能導致系統(tǒng)癱瘓。 下面，我們將采用分層的方式，從物理層、網絡層、系統(tǒng)層、應用層和管理層進行全面的分析，總結出 同濟醫(yī)院 信息網絡具體的安全風險： 物理層安全風險 機房 安全風險 同濟醫(yī)院信息網絡的中心 機房，需要考慮如下安全風險： ? 中心 機房的選址 不當，導致中心機房缺乏有力的安全保護措施，無法抵抗 不法分子的物理破壞； ? 各種自然災害對 醫(yī)院中心機房 造成不必要的麻煩 ，比如水災、火災將直接破壞中心機房內的設備，導致重要的數(shù)據(jù)被破壞 ； ? 因為停電和電源的問題而 導致系統(tǒng)中斷服務，數(shù)據(jù)完整性被破壞等； 16 / 52 ? 電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱； ? 報警系統(tǒng)的設計不足可能造成原本可以防止但實際發(fā)生了的事故。整體的安全管理體制也變得非常復雜，其系統(tǒng)配置、規(guī)則設置、反應處理、設備管理、運行管理的復雜性所帶來的管理成本和管理難度直接制約了安全防御體系的 有效性，因而導致了網絡安全的重大隱患。 ? 缺乏完善的災難應急計劃和制度，對突發(fā)的安全事件沒有制定有效的應對措施，沒有有效的對安全事件的處理流程和制度。 ? 缺乏有效的機房管理制度，一些與系統(tǒng)管理無關的人員也可以進入中心機房； ? 缺乏針對性的安全策略和安全技術規(guī)范，安全管理和運行維護的組織不健全。我們有必要認真的分析管理所帶來的安全風險，并采取相應的安全措施。而數(shù)據(jù)是依賴于軟件而存在的，也就是說數(shù)據(jù)資產也間接地依賴于某些硬件，因此數(shù)據(jù)資產的安全威脅和脆弱性也顯然包括了服務器、工作站等硬件所受的技術故障、人員錯誤以及物理和環(huán)境的威脅和脆弱性。 硬件平臺脆弱性 硬件平臺的脆弱性指硬件平臺包括硬件平臺的糾錯能力，它的脆弱性直接影響著軟件資產和數(shù)據(jù)資產的強壯性。 14 / 52 此外， 同濟醫(yī)院 信息網絡中的各種重要應用服務器和網絡設備，在提供服務的同時，也產生了大量的日志信息，這些日志信息 詳實地記錄了系統(tǒng)和網絡的運行事件，是安全審計的重要數(shù)據(jù) ， 對于記錄、檢測、分析、識別各種安全事件和威脅有非常重要的作用，也是對當前網絡安全情況進行評估的主要數(shù)據(jù)源。同濟醫(yī)院 信息網絡 存在網絡內訪問混亂，外來人員也很容易接入網絡，地址被隨意使用等問題，將導致網絡難以管理，網絡工作效率下 降 ，對攻擊者也無法進行追蹤審計。 由于對內部系統(tǒng)和應用的存在的脆弱性了解不足，很容易讓人利用系統(tǒng)及應用系統(tǒng)存在的脆弱性及漏洞對內部網絡和系統(tǒng)實施攻擊。如何對重要服務器進行 隱患掃描 、入侵檢測、補丁管理成為日常安全維護的重要工作。 此外，網絡結構的脆弱性還表現(xiàn)在外聯(lián)系統(tǒng)上，我們看到， 同濟醫(yī)院 DMZ區(qū)域與互聯(lián)網直接相連，并且該區(qū)域內 的服務器地址均對互聯(lián)網公開，基于互聯(lián)網的開放性，使信息發(fā)布區(qū)域面臨極大的安全威脅，并且一旦 DMZ 區(qū)域被成功攻擊后，互聯(lián)網上的黑客會利用 DMZ 區(qū)域 作為對 同濟醫(yī)院 其他 網絡區(qū)域發(fā)起攻擊的“跳板”，對同濟醫(yī)院其他網絡區(qū)域實施攻擊行為。使被信任主機喪失工作能力 。然后，偽裝成被信任的主機，同時建立起與目標主機基于地址驗證的應用連接。其次，信任模式已被發(fā)現(xiàn)，并找到了一個被目標主機信任的主機。 TCP/IP 協(xié)議在產生之處，還沒有全面考慮安全方面的因素，因而在安全方面存在先天的不足，典型利用TCP/IP 協(xié)議的弱點，發(fā)起攻擊行為的就是“拒絕服務攻擊”，比如“ SYN FLOOD”攻擊，它就是利用了 TCP 協(xié)議中，建立可靠連接所必須經過的三次握手行為，攻擊者只向攻擊目標發(fā)送帶“ SYN”表示的數(shù)據(jù)包，導致攻擊目標一味地等待發(fā)起連接請求的源地址再次發(fā)送確認信息，而導致系統(tǒng)處于長期等待狀態(tài)，直至系統(tǒng)的資源耗盡，而無法正常處理其他合法的連接請求。所以安全弱點是分析安全風險的重要因素，針對 同濟醫(yī)院信息網絡 ，我們分析其存在以下的安全弱點： 網絡結構脆弱性 從網絡結構上看， 同 濟醫(yī)院網絡分為核心數(shù)據(jù)交換 區(qū)域、辦公系統(tǒng)區(qū)域、業(yè)務網區(qū)域、業(yè)務網 DMZ 區(qū)域、外部 DMZ 區(qū)域和外部訪問家屬區(qū)域共六 個部分，外部上網區(qū)域又按不同的物理地域劃分為辦公網和家屬區(qū)域， 在系統(tǒng)網絡的邊界采用的是基于交換機的防火墻板卡來進行隔離的，實際上各網絡 區(qū)域之間沒有采取任何隔離措施，網絡內所有的用戶終端都在同 核心交換機 下， 因此很容易受到非授權訪問的攻擊行為，造成系統(tǒng)被破壞或者 數(shù)據(jù)外泄。 對于 同濟醫(yī)院網絡系統(tǒng) 來講， 內部人員攻擊 的行為可能有以下幾種形式： ? 惡意修改設備的配置參數(shù)，比如修改 醫(yī)院網絡 中部署的防火墻訪問控制策略，擴大自己的訪問權限； ? 惡意進行設備、傳輸線路的物理損壞和破壞； 出于粗心 、好奇或技術嘗試進行無意的配置和攻擊 ，這種行為往往對組織造成 12 / 52 嚴重的后果，而且防范難度比較高。 內部人員攻擊 內部人員攻擊可以分為惡意或無惡意攻擊。 物理臨近攻擊 是指 未被授權的個人，在物理意義上接近網絡、系統(tǒng)或設備，試圖改變、收集信息或拒絕他人對信息的訪問。 ? 業(yè)務拒絕：對通信設備的使用和管理被無條件地拒絕。 ? 篡改：通信數(shù)據(jù)在傳輸過程中被改 變、刪除或替代。主動進攻可能造成數(shù)據(jù)資料的泄露和散播，或導致拒絕服務以及數(shù)據(jù)的篡改。被動攻擊可能造成在沒有得到用戶同意或告知用戶的情況下，將信息或文件泄露給攻擊者。 一般來講，這種人為的安全威脅主要包括被動攻擊、主動攻擊、鄰近攻 10 / 52 擊、分發(fā)攻擊和內部威脅。 人為 安全威脅 人為威脅指的是針對 網絡的人為攻擊 行為。 對于 同濟醫(yī)院 來講，技術局限性還表現(xiàn)在系統(tǒng)、硬件、軟件的設計和實現(xiàn)上存在不足，配置上沒有完全執(zhí)行即定的安全策略等，這些都將威脅到系統(tǒng)運行的穩(wěn)定性、可靠性和安全性。 技 術局限性體現(xiàn)在網絡技術本身的局限性、漏洞和缺陷，典型的漏洞包括：鏈路老化、電磁輻射、設備以外鼓掌、 自然威脅可能來自于各種自然災害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網絡設備自然老化等。 典型的自然災難包括：地震、水災、火災、風災等。 ? 有怨言的員工 ： 懷有危害局域網絡或系統(tǒng)想法的氣憤、不滿的員工 ，或者是一些技術愛好者，希望嘗試一些技術，這些員工由于掌握了 同濟醫(yī)院網絡的一些資源，所以攻擊成功的可能性很高，并且對系統(tǒng)的破壞能力非常強 。為確認威脅，就必須確認： ? 威脅所針對的資產是什么？是否有價值？是否是組織最重要的信息資產？ ? 什么是威脅來源？或者什么樣的行為會對系統(tǒng)形成威脅？ ? 針對攻擊者，還有必要分析他們的技術專長、機遇和動機很可能是什么。如果用戶的分布相對分散，設 備缺乏足夠的冗余措施，訪問所經過的跨度很大，都會給信息的保密性、安全性帶來挑戰(zhàn)，必須進行有針對性地進行評估和設計。因此這些系統(tǒng)（包括應用系統(tǒng)，以及承載應用的數(shù)據(jù)庫系統(tǒng)），就構成了組織最重要的信息資產。之所以用“信息資產”一詞，是因為它們對擁有資產的那些人（個人或組織）具有某些固有的價 8 / 52 值，同樣它們對試圖破壞那些資產的機密性、完整性和 /或可用性的威脅代理而言也有價值，但與擁有者的愿望和利益相反。 安全威脅分析 針 對網絡和系統(tǒng)的安全造成風險主要來自于兩個因素，一是系統(tǒng)的“信息資產”，二是潛在的攻擊者對系統(tǒng)所形成的“安全威脅”。 3 同濟醫(yī)院網絡安全風險及需求分析 網絡安全風險分析 風險分析方法 安全風險的分析方法，主要參考 國際信息安全標準 ISO13335，從信息資產、漏洞（弱點）、威脅等多個因素進行全面的評估，具體分析模型如下圖所表示： 7 / 52 ? 同濟醫(yī)院網絡所面臨的安全風險的大小，是與同濟醫(yī)院網絡擁有的信息資產對應的，因為信息資產擁有價值，這種價值則增加了安全風險的等級； ? 同濟醫(yī)院網絡信息資產總是會存在一些弱點（即漏洞），這些弱點被安全威脅利用后，造成安全風險的增加； ? 針對醫(yī)院的信 息資產，總是存在一些人為的或者非人為的威脅因素，而威脅只有利用了信息資產的弱點之后，才會轉換為對信息資產的風險； ? 因為同濟醫(yī)院網絡和系統(tǒng)存在安全風險，為降低安全風險，同濟醫(yī)院必須采取必要的安全措施；同時安全風險的存在使同濟醫(yī)院網絡產生了對安全的需求，安全需求只有在采取了相當?shù)陌踩胧┮院?，才能夠被滿足。 從同濟醫(yī)院的應用系統(tǒng)結構上來看，網上掛號系統(tǒng)和外部 DMZ 的應用系統(tǒng)需要與業(yè)務網絡的服務器進行數(shù)據(jù)的交互，為了保證 醫(yī)院 內外網數(shù)據(jù)交換的安全性，目前采用的是前置機的方式實現(xiàn)內外數(shù)據(jù)的交換。給同濟醫(yī)院網絡造成極大的威脅。在應用服務器操作系統(tǒng)上，大多采用 WINDOS 操作系統(tǒng)。具體網絡結構拓撲如下： 電信I n t e rn e tC e rn e tSi Sic 4 5 0 3 c 4 5 0 3 c 4 5 0 3c 4 5 0 37506E 交換線卡7 5 0 6 E F W 線卡外網 D MZ 區(qū)辦公區(qū)網上掛號前置機內網 D M Z 區(qū)檔案服務器H I S7 5 0 6 E + F