同济医院网络安全方案V10

同济医院信息网络安全 解决方案 北京网御星云信息技术有限公司 2011年8月 1 / 52 目 录 1 概述 --------------------------------------------------------------------------------------------------------------------- 3 1.1 项目背景 ---------------------------------------------------------------------------------------------------- 3 1.2 建设目标 ---------------------------------------------------------------------------------------------------- 4 2 同济医院网络现状 ------------------------------------------------------------------------------------------------- 4 2.1 网络结构描述 ---------------------------------------------------------------------------------------------- 4 2.2 应用系统描述 ---------------------------------------------------------------------------------------------- 5 2.3 同济医院网络安全现状 -------------------------------------------------------------------------------- 5 3 同济医院网络安全风险及需求分析 ------------------------------------------------------------------------- 6 3.1 网络安全风险分析 --------------------------------------------------------------------------------------- 6 3.1.1 风险分析方法 ------------------------------------------------------------------------------------ 6 3.1.2 安全威胁分析 ------------------------------------------------------------------------------------ 7 3.1.3 安全弱点分析 ---------------------------------------------------------------------------------- 12 3.1.4 安全风险分析 ---------------------------------------------------------------------------------- 15 3.2 网络安全需求分析 ------------------------------------------------------------------------------------- 23 3.2.1 物理安全的需求 ------------------------------------------------------------------------------ 23 3.2.2 网络安全的需求 ------------------------------------------------------------------------------ 24 3.2.3 系统安全的需求 ------------------------------------------------------------------------------ 26 3.2.4 应用安全的需求 ------------------------------------------------------------------------------ 28 3.2.5 数据安全需求 ---------------------------------------------------------------------------------- 32 3.2.6 管理安全的需求 ------------------------------------------------------------------------------ 32 4 网络结构与安全规划 -------------------------------------------------------------------------------------------- 33 4.1 安全区域的划分 ---------------------------------------------------------------------------------------- 33 4.2 网络安全规划 -------------------------------------------------------------------------------------------- 33 5 同济医院网络安全解决方案 --------------------------------------------------------------------------- 35 5.1 设计原则 -------------------------------------------------------------------------------------------------- 35 5.2 医院网络安全解决方案设计 ----------------------------------------------------------------------- 36 5.2.1 医院内网网络安全设计 -------------------------------------------------------------------- 36 5.2.2 网络边界安全设计 --------------------------------------------------------------------------- 38 5.2.3 外网远程接入与访问安全设计 ---------------------------------------------------------- 42 5.2.4 应用安全方案设计 --------------------------------------------------------------------------- 43 5.2.5 数据中心安全设计 --------------------------------------------------------------------------- 45 5.3 网络安全解决方案整体部署方案 ----------------------------------------------------------------- 49 6 方案总结 ------------------------------------------------------------------------------------------------------------ 50 附录一 网御星云公司介绍 ------------------------------------------------------------------------------------------ 51 2 / 52 1 概述 1.1 项目背景 医院是一个信息和技术密集型的行业，一般其计算机网络划分为业务网络和办公网络，作为一个现代化的医疗机构的计算机网络,除了要满足高效的内部自动化办公需求以外,还需要对外界的通讯保证畅通。结合医院复杂的HIS、RIS、PACS等应用系统，需要网络必须能够满足数据、语音、图像等综合业务的传输要求，所以需要在网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时医院的网络系统连接着Internet、医保专网和高校等网络，访问人员和物理上的网路边界比较复杂，所以如何保证同济医院网络系统中的数据及应用的安全显得尤为重要。 在日新月异的现代化社会进程中，计算机网络几乎延伸到了世界每一个角落，它不停的改变着我们的工作生活方式和思维方式，但是，计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密，都会使计算机网络受到威胁。我们可以想象一下，对于一个需要高速信息传达的现代化医院，如果遭到致命攻击，会给社会造成多大的影响。 在医院行业的信息化建设过程中，信息安全的建设虽然只是一个很小的部分，但其重要性不容忽视。便捷、开放的网络环境，是医院信息化建设的基础，在数据传递和共享的过程当中，业务数据的安全性要切实地得到保障，才能保障医院信息化业务系统的正常运行。然而，如果我们的数据面临着越来越多的安全风险，将对业务的正常运行带来威胁。 所以，在武汉同济医院的信息化建设过程中，我们应当正视网络及系统可能面临的各种安全风险，对网络威胁给予充分的重视。为了武汉同济医院信息网络的安全稳定运行，确保医院信息系统建设项目的顺利实施，结合具体的网络和应用系统现状，根据武汉同济医院目前的计算机信息网网络特点及安全需求，本着切合实际、保护资产、着眼未来医疗信息化动态发展的原则，提出本安全解决方案。 3 / 52 1.2 建设目标 同济医院将通过本次网络系统及网络安全规划与建设，将医院的网络建设成为一个具有现代化、多功能、结构化、智能化的综合性网络系统。 同济医院网络系统是为医院内部提供网络信息系统应用的IT基础平台，包括PACS/RIS系统、HIS/OA信息系统、管理、科研和多业务的综合信息服务网络系统。 首先，通过网络系统安全进行全面的升级改造，建立可为医院内部医疗信息管理、科研提供一个技术先进、高安全性的信息化网络环境。同时院内的医疗信息管理(PACS/RIS/HIS系统)、多媒体系统、远程会诊系统、网上挂号、数据库管理系统等，都可以通过医院信息网络平台安全、高效的网络来运行和工作。满足同济医院内外网的通讯要求。包括Internet服务远程移动办公服务、远程医疗写组、网上挂号等数据信息下载及视频会议等。 在适应网络发展趋势和同济医院的实际网络需求基础上，既要能满足同济医院的信息网络系统使用需求，并兼顾今后网络系统易扩充性和可管理性。通过对网络系统络进行统一的整体设计、规划，为同济医院网络系统打造一个长期、稳定、高效、安全的运行环境，以及医院未来的发展和建设打下良好的网络平台基础。并将重点放在系统的稳定性、开放性、可扩展能力上，使系统持续稳定运行，既可满足现有的医疗信息系统的应用需要，又可方便满足今后系统的升级及应用需求，避免重复投资。 2 同济医院网络现状 2.1 网络结构描述 通过对同济医院现有结构进行了解和分析，可以看出同济一个网络大致可以分为业务内网和办公外网，业务网络采用三层网络结构，通过核心交换机将同济医院各科室进行互联。并在业务网络单独设立和一个内部核心业务应用服务器区域，包含HIS系统、RIS系统、PACS系统和档案管理系统等应用服务器。同时为了满足内部应用服务器与办公网DMZ区域服务器进行数据交换需求，在业务网络和办公网络边界部署了一台防火墙设备进行两个网络之间的隔离，并在防火墙 4 / 52 划分了一个内部网络的DMZ区域进行与外部DMZ区域进行数据交换的中转站。 外部办公网络大致可以划分为办公网，DMZ区域和家属上网区域，在外部网络的互联网边界通过核心交换机的防火墙板卡进行边界的隔离和划分DMZ区域，通过在外网的核心交换机上做NAT和PAT对外发布统计医院DMZ区域的应用。具体网络结构拓扑如下: 内科楼外科楼门诊楼外网DMZ区 c4503c4503c4503c4503 网上挂号前置机 7506E FW线卡 SiSi外网业务网7506E交换线卡 C6509C6509TiperWay流控 东软FW-4123办公区7506E+FW 研究生楼 c37457506E PACSRIS档案服务器宝丰家属区HIS同馨花园内网DMZ区 7506R长欣苑家属区 2.2 应用系统描述 在同济医院业务网络中主要有HIS系统、PACS系统、RIS系统和档案管理系统等服务器,这些重要的应用服务器构成同济医院业务网络的核心。在应用系统的部署架构上，目前应用系统、中间件和数据库系统采用一体化部署方式，及数据库和应用系统都部署在一台部署其上，各应用系统架构大多采用了B/S、C/S架构。在应用服务器操作系统上，大多采用WINDOS操作系统。 2.3 同济医院网络安全现状 从同济医院目前的网络结构上来看，在外部办公网络的互联网边界主要采用了防火墙系统，但是由于DMZ区域WEB、OA、网上挂号等应用的安全主要依靠 5 / 52 防火墙的地址映射和访问控制进行保护，由于应用系统本身可能存在一些安全漏洞或者软件设计上的缺陷，外网非法访者可直接通过防火墙允许的端口对DMZ区域的应用服务器进行注入、跨站、拒绝服务、缓冲溢出攻击。给同济医院网络造成极大的威胁。 在外部办公网络和业务网络的边界上，采用防火墙做网络边界的隔离设备，但是由于设备采购时间较长，设备比较老旧，且是百兆级别的防火墙设备，无法满足现有的网络核心骨干千兆乃至扩展到万兆的网络环境的需求。 从同济医院的应用系统结构上来看，网上挂号系统和外部DMZ的应用系统需要与业务网络的服务器进行数据的交互，为了保证医院内外网数据交换的安全性，目前采用的是前置机的方式实现内外数据的交换。但是这样存在一个问题，业务网络的核心数据服务器是整个业务网络的重点部位，是整个网络安全防御的重点，如果采用前置机的方式与外网DMZ区域进行数据传输，如果前置机遭到非法访问者的控制，会严重威胁到业务网络数据服务器的安全。 3 同济医院网络安全风险及需求分析 3.1 网络安全风险分析 3.1.1 风险分析方法 安全风险的分析方法，主要参考国际信息安全ISO13335，从信息资产、漏洞(弱点)、威胁等多个因素进行全面的评估，具体分析模型如下图所表示: 6 / 52 , 同济医院网络所面临的安全风险的大小，是与同济医院网络拥有的信息资产 对应的，因为信息资产拥有价值，这种价值则增加了安全风险的等级; , 同济医院网络信息资产总是会存在一些弱点(即漏洞)，这些弱点被安全威 胁利用后，造成安全风险的增加; , 针对医院的信息资产，总是存在一些人为的或者非人为的威胁因素，而威胁 只有利用了信息资产的弱点之后，才会转换为对信息资产的风险; , 因为同济医院网络和系统存在安全风险，为降低安全风险，同济医院必须采 取必要的安全措施;同时安全风险的存在使同济医院网络产生了对安全的需 求，安全需求只有在采取了相当的安全措施以后，才能够被满足。 下面，我们将根据上面所描述的信息资产分析的结果，进一步从安全威胁、安全弱点进行全面的缝隙，从而归纳出同济医院信息网所存在的安全风险，从而发现并引导出同济医院信息网对整体安全防护体系的需求。 3.1.2 安全威胁分析 针对网络和系统的安全造成风险主要来自于两个因素，一是系统的“信息资产”，二是潜在的攻击者对系统所形成的“安全威胁”。 “信息资产”是指IT系统存贮、处理和传输的各类信息。之所以用“信息资产”一词，是因为它们对拥有资产的那些人(个人或组织)具有某些固有的价 7 / 52 值，同样它们对试图破坏那些资产的机密性、完整性和/或可用性的威胁代理而言也有价值，但与拥有者的愿望和利益相反。“信息资产”的界定与衡量是安全威胁分析的前提，具体方法有: 衡量应用系统所处理数据的重要性，对于企业来讲，就要判断数据是否具有很高的商业价值，对于政府来讲，就要判断数据是否具有很高的机密性，这种商业价值，或者机密程度，就为这些数据赋予了相当的价值; 衡量应用系统与业务的相关程度，结合越紧密，其重要性就越高，如果这些系统受到攻击及破坏，往往会给业务带来极大的损失。因此这些系统(包括应用系统，以及承载应用的数据库系统)，就构成了组织最重要的信息资产。比如同济医院的HIS、OA、数据库、网络挂号系统等等; 对应用系统发起访问的用户分布，承载应用系统的设备，以及对应用系统的访问所经过的途径及跨度，往往成为衡量信息资产面临风险的主要途径。如果用户的分布相对分散，设备缺乏足够的冗余措施，访问所经过的跨度很大，都会给信息的保密性、安全性带来挑战，必须进行有针对性地进行评估和设计。 而“安全威胁”，简单的说是一种令人不快的事件，它可能由一个已确认的威胁来源导致，使资产面临风险。为确认威胁，就必须确认: , 威胁所针对的资产是什么,是否有价值,是否是组织最重要的信息资 产, , 什么是威胁来源,或者什么样的行为会对系统形成威胁, , 针对攻击者，还有必要分析他们的技术专长、机遇和动机很可能是什么。 从“资产”和“威胁”两个角度，不难看出，安全威胁的分析，其本质就是要分析“组织的信息资产是什么,这些信息资产会受到什么样的威胁,如果遭到攻击后，对组织带来什么样的损失,” 针对同济医院信息网络，我们看到，其主要的信息资产包括网络中的应用系统;承载应用系统的重要服务器(数据库、HIS系统、电子病历、网上挂号等);承载访问和数据交换的网络设备和物理线路等等;针对这些信息资产，其面临的安全威胁是全方位的，包括内部和外部的威胁主体，以及人为的和非人为的安全威胁，具体分析如下: 8 / 52 3.1.2.1 威胁来源 对于同济医院的主要威胁来源包括: , 黑客:攻击网络和系统以发现在运行系统中的弱点或其它错误的一些个人， 这些人员可能在系统外部，也可能在系统内部，其对网络的攻击带有很强 的随机性，常常以先要技术为目的，对医院的一些系统进行攻击。 , 有怨言的员工:怀有危害局域网络或系统想法的气愤、不满的员工，或者是 一些技术爱好者，希望尝试一些技术，这些员工由于掌握了同济医院网络 的一些资源，所以攻击成功的可能性很高，并且对系统的破坏能力非常强。 3.1.2.2 非人为安全威胁 非人为的安全威胁主要分为两类:一类是自然灾难，另一类为技术局限性。 典型的自然灾难包括:地震、水灾、火灾、风灾等。自然灾难可以对网络系统造成毁灭性的破坏，其特点是:发生概率小，但后果严重。 技术局限性体现在网络技术本身的局限性、漏洞和缺陷，典型的漏洞包括:链路老化、电磁辐射、设备以外鼓掌、自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。这些无目的的事件，有时会直接威胁网络的安全，影响信息的存储媒体。 对于同济医院来讲，技术局限性还表现在系统、硬件、软件的设计和实现上存在不足，配置上没有完全执行即定的安全策略等，这些都将威胁到系统运行的稳定性、可靠性和安全性。 信息系统的高度复杂性以及信息技术的高速发展和变化，使得信息系统的技术局限性成为严重威胁信息系统安全的重大隐患。 3.1.2.3 人为安全威胁 人为威胁指的是针对网络的人为攻击行为。这些攻击手段都是通过寻找系统的弱点，以便达到破坏、欺骗、窃取数据等目的，造成经济上和声誉上不可估量的损失。一般来讲，这种人为的安全威胁主要包括被动攻击、主动攻击、邻近攻 9 / 52 击、分发攻击和内部威胁。 3.1.2.3.1 被动攻击 被动攻击包括分析通信流，监视未被保护的通讯，解密弱加密通讯，获取鉴别信息(比如口令)。被动攻击可能造成在没有得到用户同意或告知用户的情况下，将信息或文件泄露给攻击者。 对于同济医院来讲，被动攻击的行为可能有以下几种形式: , 监听医院信息网络中传输的数据包; , 对明文传递的数据、报文进行截取或篡改; , 对加密不善的帐号和口令进行截取，从而在网络内获得更大的访问权限; , 对网络中存在漏洞的操作系统进行探测; , 对信息进行未授权的访问; 3.1.2.3.2 主动攻击 主动攻击包括试图阻断或攻破保护机制、引入恶意代码、偷窃或篡改信息。主动进攻可能造成数据资料的泄露和散播，或导致拒绝服务以及数据的篡改。 对于医院网络来讲，主动攻击的行为可能有以下几种形式: , 字典攻击:黑客利用一些自动执行的程序猜测用户命和密码，获取对系统的 访问权限; , 劫持攻击:在双方进行会话时被第三方(黑客)入侵，黑客黑掉其中一方， 并冒充他继续与另一方进行会话，获得其关注的信息; , 假冒:某个实体假装成另外一个实体，以便使一线的防卫者相信它是一个合 法的实体，取得合法用户的权利和特权，这是侵入安全防线最为常用的方 法; , 截取:企图截取并修改医院网络内传输的数据; , 欺骗:进行IP地址欺骗，在设备之间发布假路由，虚假ARP数据包，比如 一个互联网上的攻击者将数据包的源地址更改为内网地址，就有可能越过 医院网络边界部署的问控制设备; 10 / 52 , 重放:攻击者对截获的某次合法数据进行拷贝，以后出于非法目的而重新发 送。 , 篡改:通信数据在传输过程中被改变、删除或替代。 , 恶意代码:恶意代码可以通过医院信息网络的外部接口和软盘上的文件、软 件侵入系统，对医院信息网络造成损害。 , 业务拒绝:对通信设备的使用和管理被无条件地拒绝。 绝对防止主动攻击是十分困难的，因为需要随时随地对通信设备和通信线路进行物理保护，因此抗击主动攻击的主要途径是检测，以及对此攻击造成的破坏进行恢复。 3.1.2.3.3 物理临近攻击 是指未被授权的个人，在物理意义上接近网络、系统或设备，试图改变、收集信息或拒绝他人对信息的访问。 对于同济医院网络系统来讲，物理临近攻击的行为可能有以下几种形式: , 对骨干交换设备的毁坏、偷窃; , 对配置数据的收集、修改; , 对通信线路物理破坏或数据阻塞，影响医院信息网络的可用性; , 利用电磁干扰，破坏线路的传输。 3.1.2.3.4 内部人员攻击 内部人员攻击可以分为恶意或无恶意攻击。前者指内部人员对信息的恶意破坏或不当使用，或使他人的访问遭到拒绝;后者指由于粗心、无知以及其它非恶意的原因而造成的破坏。 对于同济医院网络系统来讲，内部人员攻击的行为可能有以下几种形式: , 恶意修改设备的配置参数，比如修改医院网络中部署的防火墙访问控制策 略，扩大自己的访问权限; , 恶意进行设备、传输线路的物理损坏和破坏; 出于粗心、好奇或技术尝试进行无意的配置和攻击，这种行为往往对组织造成 11 / 52 严重的后果，而且防范难度比较高。 3.1.3 安全弱点分析 弱点是资产本身存在的，可以被威胁利用、引起组织信息资产或业务系统的损害，一般来讲，安全风险总是针对系统的安全弱点，所谓安全弱点就是系统在某些方面存在缺陷，而有可能被系统的攻击者利用，对系统发起攻击，对系统造成破坏，并且安全威胁只有通过安全弱点，才能有效发动攻击，形成安全风险。所以安全弱点是分析安全风险的重要因素，针对同济医院信息网络，我们分析其存在以下的安全弱点: 3.1.3.1 网络结构脆弱性 从网络结构上看，同济医院网络分为核心数据交换区域、办公系统区域、业务网区域、业务网DMZ区域、外部DMZ区域和外部访问家属区域共六个部分，外部上网区域又按不同的物理地域划分为办公网和家属区域，在系统网络的边界采用的是基于交换机的防火墙板卡来进行隔离的，实际上各网络区域之间没有采取任何隔离措施，网络内所有的用户终端都在同核心交换机下，因此很容易受到非授权访问的攻击行为，造成系统被破坏或者数据外泄。 此外，针对同济医院采用的是基础协议-TCP/IP进行组网，由于TCP/IP协议其自身的缺陷，也使同济医院网络存在先天的一些弱点。TCP/IP协议在产生之处，还没有全面考虑安全方面的因素，因而在安全方面存在先天的不足，典型利用TCP/IP协议的弱点，发起攻击行为的就是“拒绝服务攻击”，比如“SYN FLOOD”攻击，它就是利用了TCP协议中，建立可靠连接所必须经过的三次握手行为，攻击者只向攻击目标发送带“SYN”表示的数据包，导致攻击目标一味地等待发起连接请求的源地址再次发送确认信息，而导致系统处于长期等待状态，直至系统的资源耗尽，而无法正常处理其他合法的连接请求。 利用TCP/IP协议弱点例子还有就是IP欺骗攻击，IP欺骗由若干步骤组成，首先，目标主机已经选定。其次，信任模式已被发现，并找到了一个被目标主机信任的主机。黑客为了进行IP欺骗，进行以下工作:使得被信任的主机丧失工 12 / 52 作能力，同时采样目标主机发出的TCP序列号，猜测出它的数据序列号。然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作。使被信任主机丧失工作能力。攻击者将要代替真正的被信任主机。 此外，网络结构的脆弱性还表现在外联系统上，我们看到，同济医院DMZ区域与互联网直接相连，并且该区域内的服务器地址均对互联网公开，基于互联网的开放性，使信息发布区域面临极大的安全威胁，并且一旦DMZ区域被成功攻击后，互联网上的黑客会利用DMZ区域作为对同济医院其他网络区域发起攻击的“跳板”，对同济医院其他网络区域实施攻击行为。 3.1.3.2 系统和应用脆弱性 同济信息网络中运行有重要服务器，众所周知，每一种操作系统都包含有漏洞，开发厂商也会定期发布不订包。如何对重要服务器进行隐患扫描、入侵检测、补丁管理成为日常安全维护的重要工作。同济医院信息网络内部缺乏有效的设备和系统对系统级、应用级的脆弱性进行定期分析、评估和管理。 由于对内部系统和应用的存在的脆弱性了解不足，很容易让人利用系统及应用系统存在的脆弱性及漏洞对内部网络和系统实施攻击。 3.1.3.3 网络访问脆弱性 网络的访问策略是不是合理，访问是不是有序，访问的来源是否合法，访问的目标资源是否受控等问题，都会直接影响到同济医院信息网络的稳定与安全。同济医院信息网络存在网络内访问混乱，外来人员也很容易接入网络，地址被随意使用等问题，将导致网络难以管理，网络工作效率下降，对攻击者也无法进行追踪审计。 另外，同济医院还没有对访问行为的审计措施，信息网络中所传递的数据，和系统的各类访问，对网络人员不透明，使网络安全管理人员无法及时了解网络的运行状态，和信息网络中的访问动态，因此无法对系统的安全态势有全面的掌握。 13 / 52 此外，同济医院信息网络中的各种重要应用服务器和网络设备，在提供服务的同时，也产生了大量的日志信息，这些日志信息详实地记录了系统和网络的运行事件，是安全审计的重要数据，对于记录、检测、分析、识别各种安全事件和威胁有非常重要的作用，也是对当前网络安全情况进行评估的主要数据源。但由于这些日志信息都是孤立地发生并存储在网络设备和重要应用服务器上，相互之间地关联性非常薄弱，导致网络安全管理人员无法对系统访问的全貌有总体的了解和掌握。 3.1.3.4 硬件平台脆弱性 硬件平台的脆弱性指硬件平台包括硬件平台的纠错能力，它的脆弱性直接影响着软件资产和数据资产的强壮性。具体而言，软件是安装在服务器、工作站等硬件之上的，所以软件资产的安全威胁和脆弱性也就必然要包括这些硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。而数据是依赖于软件而存在的，也就是说数据资产也间接地依赖于某些硬件，因此数据资产的安全威胁和脆弱性也显然包括了服务器、工作站等硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。 3.1.3.5 管理脆弱性 再安全的网络设备离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整个网络安全中最为重要的一环。我们有必要认真的分析管理所带来的安全风险，并采取相应的安全措施。 , 数据的存储没有有效的备份措施，一旦因存储介质故障、发生意外事件 (比如地震、火灾、水灾等)而造成数据丢失、完整性被破坏后，数据 无法复原。 , 缺乏有效的机房#管理#，一些与系统管理无关的人员也可以进入中心 机房; , 缺乏针对性的安全策略和安全技术规范，安全管理和运行维护的组织不 健全。 14 / 52 , 缺乏有效的安全监控措施和评估检查制度，无法有效的发现和监控安全 事件，不利于及时发现安全事件并采取相应的措施。 , 缺乏完善的灾难应急和制度，对突发的安全事件没有制定有效的应 对措施，没有有效的对安全事件的处理流程和制度。 , 随着同济医院信息网络安全建设的深入，将有越来越多的安全防护产品 被引入到网络中，这样多种技术和产品多层面、分布式共存，不同厂商 的不同产品产生大量不同形式的安全信息，使得整个系统的相互协作和 统一管理成为安全管理的难点。整体的安全管理体制也变得非常复杂， 其系统配置、规则设置、反应处理、设备管理、运行管理的复杂性所带 来的管理成本和管理难度直接制约了安全防御体系的有效性，因而导致 了网络安全的重大隐患。 3.1.4 安全风险分析 根据安全威胁的来源，针对同济医院信息网络平台，需要对其信息和信息处理设施的威胁(Threat)、影响(Impact)和弱点(Vulnerability)及威胁发生的可能性进行全面分析，从而提出明确的防范措施，全面保障信息的保密性、完整性和可用性。 下面，我们将采用分层的方式，从物理层、网络层、系统层、应用层和管理层进行全面的分析，总结出同济医院信息网络具体的安全风险: 3.1.4.1 物理层安全风险 3.1.4.1.1 机房安全风险 同济医院信息网络的中心机房，需要考虑如下安全风险: , 中心机房的选址不当，导致中心机房缺乏有力的安全保护措施，无法抵 抗不法分子的物理破坏; , 各种自然灾害对医院中心机房造成不必要的麻烦，比如水灾、火灾将直 接破坏中心机房内的设备，导致重要的数据被破坏; , 因为停电和电源的问题而导致系统中断服务，数据完整性被破坏等; 15 / 52 , 电磁辐射可能造成数据信息被窃取或偷阅; , 报警系统的设计不足可能造成原本可以防止但实际发生了的事故。 , 数据备份不完善或手段简陋，一旦系统发生问题，将会造成不可挽回的 损失。 , 关键设备没有做到冗余备份，如果发生设备运行故障，可能导致系统瘫 痪。 3.1.4.1.2 设备安全风险 设备的安全风险主要有: , 对设备的盗窃和毁坏的风险，据调研结果表明，大部分机房没有采用电 子报警系统，并派专人值守。设备或部件没有明显的不可去除的标记， 丢失后无法追查;机房外的网络设备没有防护措施，不能防范盗毁等。 , 设备可用性的风险，如计算机主机、外部设备、网络设备及其它辅助设 备等没有有效的故障报警、诊断机制;设备提供商不能及时提供技术支 持等，这些因素将会严重影响系统的运行持续性。 3.1.4.1.3 介质安全风险 存储介质的安全风险主要有: , 介质由于霉变、电磁干扰、物理损伤等原因很可能会导致部分甚至全部 数据的损坏; , 介质老化造成的数据丢失和数据交换可靠性的降低; , 介质和介质数据因机房出入控制不严或管理不善丢失或被盗窃、毁坏; , 介质管理不严或废弃介质处理不当，导致信息的随意复制或泄漏; , 由于数据存储介质中的作废数据没有被彻底销毁，造成数据被恢复，泄 漏重要信息。 3.1.4.2 网络层安全风险 网络层是网络入侵者进攻信息系统的渠道和通路，许多安全问题都集中体现 16 / 52 在网络的安全方面。由于同济医院信息网络的基础协议-TCP/IP协议自身存在一些安全隐患。网络入侵者一般利用协议上的隐患，采用预攻击探测、窃听等搜集信息，然后利用 IP欺骗、重放或重演、拒绝服务攻击(SYN FLOOD，PING FLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。这些攻击行为都将导致同济医院信息网络和应用系统的不可用，对外服务停止，影响同济医院的工作效率和形象。 3.1.4.2.1 网络协议存在的安全风险 同济医院信息网络的网络基础协议-TCP/IP协议在设计之初，更多的是考虑的网络互联互通的需求，以及数据可靠传输的要求，没有从安全的角度进行考虑，这就使的协议上的许多特别会被利用来发动一次攻击行为，其中最典型的攻击行为就是拒绝服务攻击行为。 一般地，拒绝服务攻击并不针对系统的信息，也并不进入系统进行破坏，它是通过对系统资源的刻意消耗，将大量的服务请求发向一台计算机中的服务守护进程时，就会发生服务过载。这些请求可以通过许多方式发出，许多是故意的。在分时机制中，这些潮水般的请求，使得计算机十分忙碌地处理这些不断到来的请求，以至于无法处理常规的任务。同时，许多新到来的请求被丢弃，因为没有空间来存放这些请求。如果攻击的是一个基于TCP协议的服务，那么这些请求的包还会被重发，结果更加重了网络的负担。最终导致网络瘫痪，无法响应正常的访问，破坏系统的可用性。 3.1.4.2.2 网络设备存在的安全风险 在网络中的重要的安全设备如路由器交换机等有可能存在着以下的安全隐患:(以医院信息网络核心路由器为例) , 路由器缺省情况下只使用简单的口令验证用户的身份，并且远程TELNET 登录时以明文传输口令，一旦口令泄密路由器将失去所有的保护能力。 而攻击者一旦获得路由器的访问口令，则很容易通过路由器对XXXX系 统进行网络嗅探、植入后门、暴力攻击，使医院信息系统瘫痪、重要信 17 / 52 息外泄等; , 路由器口令的弱点是没有计数器功能的，所有每个人都可以不限次数地 尝试登录口令，在口令字典等工具的帮助下很容易破解登录口令，从而 获得对系统的控制权限; , 每个管理员都可能使用相同的口令，因此，虽然访问日志可以详细记录 管理员对路由器进行登录、修改操作，但无法区分是哪位管理员进行的 操作，给事后分析取证带来困难; , 路由器实现的动态路由协议存在着一定的安全漏洞，有可能被恶意的攻 击者利用，通过发布假路由，破坏网络的路由设置，使医院信息网络内 路由混乱，无法正常发送数据或公文; , 针对路由器的拒绝服务攻击或分布式拒绝服务攻击，而造成路由瘫痪， 甚至造成系统的瘫痪。比如ICMP重定向攻击、源路由攻击等。 3.1.4.2.3 网络服务器的风险 针对同济医院信息网络来讲，运行在网络上的各种网络服务器构成了最重要的信息资产，特别是核心业务区域内的服务器，构成同济医院信息网络中最重要的信息资产。如何确保这些重要的网络服务器能够稳定、可靠、安全地运行，是保证同济医院信息网络各项业务正常开展的基础。一般来讲，网络服务器所面临的安全问题包括: , 维护存储在服务器上信息的机密性。这要求保证:1)只有授权用户才 可以访问服务和信息;2)授权用户只能访问那些他们被授权访问的服 务;3)信息的公开要与策略一致，否则将造成信息被非法访问，甚至 被泄露出去; , 维护存储在服务器上信息的完整性，以免信息被破坏或被损坏，并使系 统像期望的那样运行。这意味着要能对完整性的破坏进行识别和响应， 否则将无法识别信息在存储的过程中是否被修改; , 维护服务和信息的可用性。这要求保证:1)即使硬件或软件出故障， 或进行系统的日常维护时对信息和服务的访问也不中断;2)能及时识 别并响应安全事件; 18 / 52 , 确保用户名副其实，网络服务器主机也名副其实，这叫做“相互验证”。 3.1.4.2.4 网络访问的合理性 对网络访问缺乏控制手段，将导致对系统运行的失控，系统将无法确认信息总是被授权的人员获得，特别使在网络种，伪造和假冒合法用户，对系统发起访问，是非常容易做到的。 , 对访问来源没有鉴别机制，将给入侵者发起伪装类攻击造成机会，造成没 有授权的访问者假冒合法用户，获取系统的信息资源，造成机密信息外泄; , 对访问类型没有控制措施，可能会造成合法用户的越权访问，仍旧会导致 机密信息外泄; , 对访问目标没有鉴别机制，将有可能使合法用户访问了攻击者蓄意假冒的 目的，从而获得合法用户的帐号和口令，使攻击者具备访问同济医院信息 网络的条件，从而更有效的发动对系统的攻击; 对系统中的各类网络访问缺乏审计手段，将造成网络安全管理人员的“盲区”，网络安全管理人员无法了解到系统的运行情况和系统的访问态势，无法及时发现系统中存在的安全隐患，更谈不上采取安全措施了; 对系统中各类日志信息缺乏关联分析将使网络安全管理人员陷入“一叶障目，不见森林”的误区，网络安全管理人员无法从全局的角度对系统运行情况和安全态势进行把握。 信息网络缺乏有效的抗抵赖措施，导致发信者事后否认曾经发送过某条信息，或者接收者否认曾经受到过某条信息时，系统无法提供有力的证据。 3.1.4.2.5 数据传输的安全风险 从网络结构的分析上，我们看到，由于同济医院信息网络内、外部，各种网络访问数据，包括一些重要的信息和访问认证信息均以明文的方式被传递，使信息很容易遭到窃取和篡改的风险，造成重要数据外泄，或者重要数据的完整性被破坏，给同济医院造成很大的信息损失，具体来讲对数据传输存在的主要风险包括: 19 / 52 , 窃听、破译传输信息:同济医院移动办公人员通过互联网远程接入到医 院内部网络OA、远程医疗等进行，如果访问数据没有进行加密处理， 很容易遭到窃听和破解，得到进行医院内部应用系统的个人账号及密码 信息。 , 篡改、删减传输信息:攻击者在得到报文内容后，即可对报文内容进行 修改，造成收信者的错误理解。即使没有破译传输的信息，也可以通过 删减信息内容等方式，造成对信息的破坏，比如将一份报文的后半部分 去掉，造成时间、地点等重要内容的缺失，导致信息的严重失真; , 重放攻击:即使攻击者无法破译报文内容，也无法对报文进行篡改或删 减，但也可以通过重新发送收到的数据包的方式，进行重放攻击。对于 一些业务系统，特别是数据库系统，这种重放攻击会造成数据失真以及 数据错误; , 伪装成合法用户:利用伪造用户标识，通过电子邮件、实时报文或请求 文件传输得以进入通信信道，实现恶意目的。例如，伪装成一个合法用 户，参与正常的通信过程，造成数据泄密。 3.1.4.3 系统层安全风险 同济医院信息网络中，主要应用的操作系统是MicroSoft Windows、UNIX操作系统，而我们知道， Windows、UNIX系统自身存在许多安全漏洞，比如RPC、IIS等。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用的角度，系统的安全程度跟对其进行安全配置及系统的应用面有很大关系，操作系统如果没有采用相应的安全配置，则其是漏洞百出，掌握一般攻击技术的人都可能入侵得手，给系统造成极大的破坏。 此外，根据CNCERT的年度报告中我们看到，目前对于UNIX、AIX、SOLARIAS等操作系统，仍然存在着许多安全漏洞和后门，这些弱点将很容易被攻击者所利用，进而发起对系统的攻击，造成同济医院信息网络被破坏，而操作系统又是重要应用系统的支撑，一旦操作系统层面受到入侵和破坏，很容易使应用系统的安全性面临安全威胁，造成信息外泄，或者系统瘫痪，使同济医院的业务无法正常开展。 20 / 52 3.1.4.4 应用层安全风险 对支撑同济医院重要业务的应用系统，包括公文应用系统，HIS系统、LIS 、OA等网络基本服务和系统、PRAS系统、电子病历、档案管理系统、WEB门户 业务系统，办公系统，财务系统等，构成了同济医院最重要的信息资产，由于这些应用系统同济医院的业务紧密关联，在受到攻击后将直接影响同济医院的业务，因此必须重点加以防护。 应用层安全的解决目前往往依赖于网络层、操作系统、数据库的安全，由于应用系统复杂多样，没有特定的安全技术能够完全解决一些特殊应用系统的安全问题。但一些通用的应用程序，如Web Server程序，数据库，中间件程序，浏览器，MS Office办公软件等这些应用程序自身的安全漏洞和由于配置不当造成的安全漏洞会导致整个网络的安全性下降。 1.1.1.1. 管理层安全风险 管理层面的安全风险主要表现在安全组织的建设、安全管理策略和制度的制定与执行、人员的管理等方面。据调研结果表明，同济医院信息系统缺乏专职管理人员，安全策略和机制、制度没有或不健全。安全管理人员安全意识缺乏且专业素质有待提高。主要表现在: 3.1.4.4.1 管理的脆弱性 同济医院信息系统在安全管理方面的脆弱性主要表现在缺乏针对性的安全策略、安全技术规范、安全事件应急计划，管理制度不完善，安全管理和运行维护组织不健全，对规章、制度落实的检查不够等。 随着同济医院信息系统的扩展，对安全防护的要求也逐渐增加，边界防护、系统加固、应用防护、灾备等一系列安全产品在不断进驻同济医院信息网络中。用户可能在原有的安全设施上进行升级、添加和增强，也可能依照不同厂商擅长的技术分别选择产品，这样多种技术和产品多层面、分布式共存，不同厂商的不同产品产生大量不同形式的安全信息，使得整个系统的相互协作和统一管理成为 21 / 52 安全管理的难点。由此而来的是，同济医院信息网络的安全管理体制也变得非常复杂，其系统配置、规则设置、反应处理、设备管理、运行管理的复杂性所带来的管理成本和管理难度直接制约了安全防御体系的有效性，因而导致了网络安全的重大隐患。 3.1.4.4.2 安全组织建设风险 随着同济医院信息网络的发展，信息系统安全体系的建设对组织保障提出了更高的要求，同济医院信息系统现有的机构设置、岗位设定、人员配备等不能完全满足对信息系统安全管理的需求，这些问题在很大程度上制约了同济信息系统信息安全体系建设的发展。 3.1.4.4.3 安全管理风险 同济医院信息系统安全管理制度的建设还不全面，如: 1) 缺乏统一的用户权限管理和访问控制策略，用户、口令、权限的管理不 严密，系统的安全配置一般都是缺省配置，风险很大。 2) 对安全策略和制度执行状况的定期审查制度及对安全策略和制度符合 性的评估制度不够完善。 3) 没有根据各类信息的不同安全要求确定相应的安全级别，信息安全管理 范围不明确。 4) 缺乏有效的安全监控措施和评估检查制度，不利于在发生安全事件后及 时发现，并采取措施。 5) 缺乏完善的灾难应急计划和制度，对突发的安全事件没有制定有效的应 对措施，没有有效的机制和手段来发现和监控安全事件，没有有效的对 安全事件的处理流程和制度。 6) 一些重要的安全管理岗位人员的职责过大，缺乏监督制约机制等。 3.1.4.4.4 人员管理风险 同济医院信息系统人员对安全的认识相对较高，但在具体执行和落实、安全 22 / 52 防范的技能等还有待加强。 3.2 网络安全需求分析 3.2.1 物理安全的需求 物理安全主要考虑两个方面的风险:电磁辐射和物理临近攻击。因此在物理安全方面，同济医院存在以下的建设需求: , 机房建设需要参考国家相关标准进行规划和建设，比如GB50174-1993 电子计算机机房设计规范 , 重要房间需要采用防盗门窗或带身份识别功能的门锁，能够对进入机房 的人员和时间进行记录和限制; , 需要建立报警监控措施:在重要区域设立红外、图像等监控报警措施; , 专用保险机柜需要重点保护:对于一些重要的密码设备，采用专用安全 机柜进行保护，避免偷窃和破坏行动的发生。 , 计算中心应当具有良好的防盗措施，应当安排专人职守;机房外部设备， 应采取加固措施，并将保管责任落实到使用者; , 重要的核心物理设备应当符合不间断运行的要求，必要时要考虑冗余措 施。 此外，我们看到，同济信息网络中存在许多关键应用系统，随着同济医院业务的开展，许多重要的数据都将汇总在数据库中，这些数据构成了同济医院最重要的信息资产，因此，必须建立相应的备份和灾难后快速恢复机制，以保障重要业务的连续性，对于灾难备份的安全需求如下: , 确定同济医院的关键业务、应用系统及关键地点; , 确定关键业务的可容忍恢复时间及恢复程度; , 尽量缩短业务操作和资源遭受严重性破坏的时间; , 降低灾难恢复任务的复杂性; , 降低直接损失; , 建立紧急事故恢复能力; , 利于同济医院各部门协作有效的完成灾难恢复任务 23 / 52 3.2.2 网络安全的需求 网络是信息系统赖以存在的实体，离开了网络平台，信息的传递、业务的开展将无从依托，因此如何保障网络的安全，是构件同济医院信息网络系统安全架构的基础性工作，对于同济医院来讲，网络安全主要解决运行环境的安全问题，对应网络层安全威胁，网络安全主要的技术手段包括边界防护技术、检测与响应技术、加密传输技术等，对照同济医院的实际情况，我们主要从以下几个方面来分析: 3.2.2.1 网络边界的安全防护 3.2.2.1.1 互联网边界安全需求 在同济医院外部办公网络的互联网边界，目前主要通过部署在网络边界的防火墙系统来实现与互联网编辑的隔离，由于防火墙只能基于ISO模型的三、四层进行防护，无法对会话层、表示层、应用层的攻击和威胁行为进行有效的拦截和防护。 此外，从网络安全技术的发展和网络安全攻击行为越来越简单这个层次考虑，需要在互联网的出口部署ISO二至七层的入侵行为防御系统，来部署防火墙不能防御应用层攻击行为的不足，在同济医院的互联网出口通过部署入侵防御和防火墙系统，共同组成同济医院互联网边界二至七层的主动防御系统，确保同济医院整体网络安全，防止黑客对同济的DMZ区域，内部家属区域和办公区域终端和网络的入侵和网络攻击。 3.2.2.1.2 办公网与业务网互联边界 在同济医院业务网络与外部办公网络互联的边界主要依靠目前部署的一台东软的百兆级别的防火墙来进行隔离，由于防火墙使用已久，设备老化严重，此外，由于业务网络与外部办公网络之间主干线路升级为千兆，乃至万兆骨干网络环境;目前的防火墙已经无法满足当前的网络安全需求。 同时考虑到同济医院需要与湖北省新型农村合作医疗、医保专网进行互联 24 / 52 网，满足全省范围内进行医保和新农合的结算。建议在同济医院业务网、外部办公网、新农合、医保专网网络互联边界部署一台千兆级别的防火墙，即可满足外部办公网络与业务网络之间的隔离，又能与新农合、医保、卫生系统等专网进行互联和隔离。 虽然在同济医院业务网络与医保专网、外部办公网络之间部署了防火墙设备，利用防火墙技术，经过仔细的配置，通常能够在业务网络与医保、外部办公网之间提供安全的网络保护，降低了网络安全风险，但是入侵者可寻找防火墙背后可能敞开的后门，或者入侵者也可能就在防火墙内。 入侵检测系统位于有敏感数据需要保护的网络上，通过实时侦听网络数网络 据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录，或执行用户自定义的安全策略等。 入侵检测系统可以部署在同济医院业务网络中的核心，这里我们建议在同济医院信息网络中采用入侵检测系统，监视并记录网络中的所有反问行为和操作，有效防止非法操作和恶意攻击。同时，入侵检测系统还可以形象地重现操作的过程，可帮助安全管理员发现网络安全的隐患。 3.2.2.1.3 网络隔离安全需求 由于同济医院外部DMZ应用服务器需要跟内网DMZ区域有数据的交换，为了保证两个网络之间的数据交换的安全性，目前主要采用的通过前置机的方式进行数据同步;虽然通过前置机方式可以给内网增加一层防护堡垒，但是依然与内网的重要服务器有物理上的互联，如果一旦堡垒主机受到黑客攻击并控制，就可以直接对内网络的服务器进行访问。并对内网核心数据进行破坏。 因此，建议在外部DMZ区域与内部DMZ区域的前置机之间部署物理隔离与信息交换系统，通过网络隔离与信息交换系统讲两台前置机之间的物理连接断开，同时，通过网络隔离与信息交换系统做两台前置机之间的数据同步与摆渡，实现外部DMZ区域服务器与内部DMZ区域的服务器的数据交换与同步。 25 / 52 3.2.2.2 远程访问与移动安全接入安全 为了满足地方卫生系统专网的远程接入、医院远程办公、分支机构的接入、移动办公等接入到同济医院内部办公网络进行访问，如果保证这些远程接入、分支机构和移动办公的安全接入，如何保护在远程访问过程中数据传输的安全。 因此，针对移动接入、远程支队机构接入上，我们建议采用VPN加密隧道方式接入到同济医院内网中;针对不同接入需求，针对远程分支机构及单位我们建议采用在边界防火墙上扩展IPSEC VPN功能来满足与分支机构建立IPSEV VPN隧道来保证远程的安全接入和访问过程的数据传输的机密性、完整性和可用性。针对移动办公人员的远程接入，我们建议采用SSL VPN的方式接入到同济医院网络访问相关的应用及办公系统。 3.2.3 系统安全的需求 3.2.3.1 安全隐患发现需求 一般来讲，安全的威胁主要来自于系统的弱点，针对同济医院在系统层面存在的安全隐患，很容易成为内部用户或外部非法入侵者进行攻击的对象，因此，有必要进行分析和评估，发现存在的隐患或弱点后，进行修补及加固。 安全扫描系统是现阶段最先进的系统安全评估技术，该系统能够测试和评价系统的安全性，并及时发现安全漏洞。 漏洞检测和安全风险评估技术，因其可预知主体受攻击的可能性，并具体指证将要发生的行为和产生的后果，而受到网络安全业界的重视。这一技术的应用可帮助识别检测对象的系统资源，分析这一资源被攻击的可能指数，了解支撑系统本身的脆弱性，评估所有存在的安全风险。 3.2.3.2 实现内网安全管理 由于终端设备分布的广泛性，使得对终端的安全防护成为难点，但是终端往往由于操作系统自身的漏洞，或者未安装有效的病毒防护系统，导致终端很容易成为省局信息网络中的安全短板，特别是由于终端设备的使用者缺乏足够的安全 26 / 52 意识，在拷贝或传播软件时，导致一些恶意代码，或者木马等程序被自动安装在终端设备上，从而使终端成为进一步攻击省局信息网络的跳板，因此必须采取有效的终端安全管理系统，实现对终端设备的统一安全管理。 终端安全管理系统通过对桌面安全监管、行为监管、系统监管和安全状态检测，采用统一策略下发并强制策略执行的机制，实现对局域网内部桌面系统的管理和维护，从而有效地保护终端的系统安全，执行以下的安全策略: , 桌面安全监管策略:通过统一策略配置的主机防火墙和主机IDS，实现 对桌面系统的网络安全检测和防护，当IDS检测到报警后能够与主机防 火墙进行联动，自动阻断外部攻击行为。 , 拨号监管:对桌面系统的远程拨号行为进行控制，发现存在违规外联的 主机，给出报警，并切断该主机与网络的连接，避免由于该设备而导致 政法网遭到更大的破坏。 , 行为监管，对桌面系统打印行为、外存使用行为、文件操作行为的监控 (文件操作只进行监视)，确保数据的安全，避免泄密。 , 系统监管，使管理员能够轻松进行局域网的管理维护。通过系统监管模 块管理员能够远程查看桌面系统的详细硬件配置信息和已经安装的软 件;能够很容易的进行IP地址管理，避免IP地址混乱;还可以轻松完 成网络内Windows系统的补丁检测、下发和安装。 , 安全状态检测策略:系统能够自动检测桌面系统的病毒防护工作是否正 常，如果发觉终端未安装防病毒系统，或者安装的防病毒系统没有及时 升级到最新版本，那么终端安全管理系统将自动通知终端用户，督促其 尽快安装防病毒软件或者将病毒库进行升级。 , 补丁自动升级:帮助管理员对网内基于 Windows 2000/XP等机器快速部 署最新的重要更新和安全更新。能够检测桌面系统已安全的补丁和需要 安装的补丁，管理员能通过Console Portal对桌面系统下发安装未安 装补丁的命令。只要终端接入到省局信息网络中，通过统一的终端安全 管理平台，便可自动获得补丁，实现操作系统补丁的自动升级，从而确 保操作系统的强壮性。 , 非法内外联和安全接入控制，非法客户端禁入。能监控网络，对于没有 27 / 52 安装客户端的非法外来机器，能够阻断其网络访问。网络阻断方式包括 ARP干扰、802.1x协议联动、网关联动(防火墙、UTM等安全网关)等 多种方式 3.2.3.3 实现系统核心防护 针对同济医院信息网络，其关键资源就是数据，而这些数据就存放在系统重要服务器的操作系统之上。所以，操作系统本身的安全性是至关重要的。但是遗憾的是不管是普遍采用的UNIX还是Windows操作系统，其安全性都是远远不够的，访问控制粒度、超级用户的存在以及不断被发现的安全漏洞是操作系统存在的几个致命性问题。 因此针对这些重要的服务器，仅通过补丁还是无法满足其日益突出的安全风险，系统需要其重要的服务器从根本上提升安全防护能力，需要在不影响现有业务的情况下，从根本上提升服务器操作系统的安全性，削弱超级用户的权限，并且高强度抵御安全威胁最严重的缓存区溢出攻击问题。 针对系统加固，存在以下的安全需求 , 能够有效对超级用户的权限进行削弱和再分配 , 基于时间、地点、访问手段等多种限制条件形成完整的策略数据库，能 够针对重要的服务器系统，进行细粒度的访问控制 , 能够对服务器的文件、进程、服务、注册表、外设、共享资源等资源的 全方位保护 , 能够对服务器上的关键文件和关键业务程序的防篡改保护 , 能够防止通过木马和后门实施的攻击 缓存区溢出保护技术(STOP)。STOP能够高强度抵御黑客使用所有的缓存区溢出方法对系统进行攻击 3.2.4 应用安全的需求 应用系统是同济医院业务开展的重要手段和工具，应用系统包括OA 平台、各种应用系统、HIS、PACS、RIS、档案管理、网上挂号系统、远程医疗系统、财 28 / 52 务结算系统等应用系统。应用层安全主要考虑操作系统、数据库以及应用系统的安全防范，由于应用系统复杂多样，没有特定的安全技术能够完全解决一些特殊应用系统的安全问题，主要通过口令强化、补丁、关闭服务、软件能力成熟度评审、软件生命期内全程质量控制、病毒防范等手段来保障其安全，针对同济医院信息网络现状，结合当前成熟的技术，我们建议从网络防病毒、日志审计、WEB安全来提供应用安全防护手段，包括: 3.2.4.1 实现网络防毒体系 随着网络的飞速发展，单机版的防病毒软件面临着集中管理、智能更新等多方面的问题，已经不能满足同济医院多级分布式的应用环境，无法对蠕虫、邮件性病毒进行全网整体的防护，所以构件同济医院信息网络整体病毒防护体系已成为必然。 网络防病毒系统应基于策略集中管理的方式，使得移动、分布式的企业级病毒防护不再困难，而且应提供病毒定义的实时自动更新功能，所有操作都应对终端用户透明，不需用户的干预，使用户在不知不觉中将病毒拒之门外。从结构组成上分为:网关级防病毒(部署在网络入口处，对病毒、蠕虫和垃圾邮件进行有效过滤);服务器防病毒(服务器作为网络的核心，为资源共享和信息交换提供了便利条件，但同时也给病毒的传播和扩散以可乘之机。所以应重点加强对服务器进行保护，安装服务器端防病毒系统，以提供对病毒的检测、清除、免疫和对抗能力);桌面级防病毒(在客户端安装，将病毒在本地清除而不至于扩散到其他主机或服务器);病毒管理中心(实现防病毒软件的集中管理和分发、病毒库分发、病毒事件集中审计等);这样，由单机防毒到网络防毒，再加上防病毒制度与措施，就构成了一套完整的防病毒体系。 3.2.4.2 实现全面网络行为审计 安全审计系统是根据跟踪检测、协议还原技术开发的功能强大的安全审计系统为网上信息的监测和审查提供完备的解决方案。它能以旁路、透明的方式实时高速的对进出内部网络的电子邮件和传输信息等进行数据截取和还原，并可根据 29 / 52 用户需求对通信内容进行审计，提供高速的敏感关键词检索和标记功能，从而为防止内部网络敏感信息的泄漏以及非法信息的传播，它能完整的记录各种信息的起始地址和使用者，为调查取证提供第一手的资料。 针对同济医院信息网络，网络中有大量的访问和数据包被传递，如何在这些访问中发现存在的安全隐患，除了利用入侵检测系统进行实时监测以外，还需要有一种手段，可以对访问过程进行还原，在发生安全事故时，通过对访问过程的还原，一方面能有效发现系统中可能存在的安全隐患，另一方面还为安全事故的事后处理提供证据，因此而产生了对安全审计的需求。 此外，对于同济医院信息网络的管理人员，为了保障系统的安全，需要知道内网用户通过终端平台，进行了哪些操作，访问了哪些资源，访问的过程是什么情况，访问的结果是什么，从而全面了解内网的活动情况，安全审计技术就是为满足这些需求而产生的技术。 通常安全审计系统为了分析、判断特定行为或者事件是否为违反安全策略的异常行为，需要经过下列四个过程。 , 数据采集:网络安全审计系统需要采集必要的数据用于审计分析。 , 数据过滤/协议还原:根据预定义的设置，进行必要的数据过滤及缩略，从 而提高检测、分析的效率。同时对数据进行协议还原，提取用户关心的内容 数据。 , 数据存储:将内容数据按一定的策略进行本地或远程存储。 , 数据分析/审计/报警:根据定义的安全策略，进行审计/分析。一旦检测到违 反安全策略的行为或者事件，进行报警。 3.2.4.3 WEB安全防护需求 由于医院信息网络中部署了大量的B/S类应用系统，由于B/S类应用系统在软件开发、运维、升级过程中开发管理人员安全意识不强，使应用系统产生一些安全隐患，当然，各种B/S脚本语言本身存在的一些安全问题，例如，高风险函数的处理、调用过程中的存在的逻辑错误所带来的安全风险和溢出攻击等风险，也是我们必须重视的关键点之一。 如果保证B/S类型应用系统的安全，保障应用系统能够高效运行和提供服 30 / 52 务，使我们针对B/S类型应用系统的安全防护必须重视起来。随着网络安全技术的发展，针对B/S系统的安全防护产品WEB防火墙的技术也越来越成熟，通过在医院信息网络中部署WEB防火墙系统，能够有效对针对B/S应用系统的攻击进行拦截，有效防止SQL注入攻击、XXS跨站脚本攻击、缓冲溢出攻击、网页篡改CC攻击等攻击行为。保证医院B/S类应用服务器的安全。 3.2.4.4 实现集中日志审计 通过对同济医院的信息资产的分析我们看到，同济医院部署着大量的网络设备、重要应用服务器和数据库，并且随着网络安全的建设，必将采用大量的安全产品，这些系统在工作过程中将有针对性地记录各种网络运行日志，这些日志对于监控用户的网络安全状态，分析网络安全的发展趋势，有着重要的意义，是用户网络安全管理的重要依据。但是，由于各网络安全产品一般独立工作、各自为战，产生的安全事件信息也是格式不一，内容不同，且数量巨大，导致安全管理员难于对这些信息进行综合分析，对网络中各种安全事件也就无法准确识别、及时响应，以致直接影响整个安全防御体系效能的有效发挥。 要对各类系统产生的安全日志实现全面、有效的综合分析，就必须为安全管理员建立一个能够集中收集、管理、分析各种安全日志的日志审计系统，使网络管理员不用像以前那样从庞杂的日志信息中手工搜寻网络入侵的行为，为管理员提供一个方便、高效、直观的审计平台，大大提高安全管理员的工作效率和质量，更加有效地保障网络的安全运行。 日志审计系统为不同的网络设备提供了统一的事件管理分析平台，打破了不同网络设备存在的信息鸿沟，系统提供了强大监控能力，从网络到设备直至应用系统的监控。在对事件的监控信息的集中及关联分析的基础上，有效的实现了全网的安全预警、入侵行为的实时发现、入侵事件动态响应，通过于其它安全设备的联动来真正实现动态防御。 31 / 52 3.2.5 数据安全需求 3.2.5.1 数据存储安全需求 建立健全数据备份/恢复和应急处理机制，确保网络信息系统的各种数据实时备份，当数据资源在受到侵害破坏损失时，及时的启动备份恢复机制，可以保证系统的快速恢复，而不影响整个网络信息系统的正常运转。 对于一些重要的或敏感的数据，如含有患者的身份信息的数据象姓名、地址、身份证号等，含有资金账户、财务信息、患者电子病历等细节信息，以及其他业务敏感文件资料或敌对份子设法获得的医疗专利成果技术信息与数据等，在进行离线存储时，一方面要确保存储设备的物理安全性，另一方面应尽量采取可靠的手段进行加密存储，最大程度地保护核心数据信息不被泄露。 3.2.5.2 设备冗余和应用备份需求 关键业务数据访问路径上的任何一条通信链路、任何一台网关设备和交换设备，与关键业务处理和数据访问有关的任何一台应用服务器、数据库服务器等，都应当采用可靠的冗余备份机制，以最大化保障数据访问的可用性和业务的连续性。 3.2.5.3 数据传输安全需求 采用必要的加密技术对数据进行传输加密，保证所传输的私有信息数据的保密性、完整性、真实性。 3.2.6 管理安全的需求 如前所术，管理安全主要考虑的是“人”的因素，即在安全建设及维护的过程中，如何通过“人”来对技术进行安全的“操作”和“配置”，针对同济医院信息网络，在管理方面存在以下需求: , 需要建立完善的机房管理制度，确保重要的安全区域内，只有授权的人 32 / 52 员才能进入; , 需要建立完善的网络与安全人员管理制度; , 需要定期进行培训，提升网络管理人员的技术水平，还需要对全员进行 安全意识的培训; , 需要对重要的信息资产进行统一的管理，防范信息资产被破坏或窃取; 需要对异构的信息安全平台实现统一的策略下发，安全事件集中关联分析，从而最大化发挥信息与网络安全平台的防护功效。 4 网络结构与安全规划 4.1 安全区域的划分 通过对同济医院整体网络结构进行分析，结合对同济医院整体网络安全建设及各个网络区域的安全级别及安全属性的分析，建议将整个网络划分为外网和业务网;同济医院外网主要划分为，家属上网区域(包含宝丰家属区、同馨花园家属区、长欣苑家属区、研究生楼等)、办公网、DMZ服务器区域等。 业务网划分为医保专网、新农合专网接入区域、应用服务器区域、DMZ服务器区域和业务办公网络(包括门诊、外科、内科等楼层)，以及数据库服务器区域。 通过结合网络安全设备、终端安全管理系统和VLAN、802.1X等技术的全网络部署，对同济医院信息网络中各个安全区域和终端进行安全控制与逻辑隔离，保证各个安全区域通信及数据传输安全。 4.2 网络安全规划 通过对同济医院整个网络进行安全区域的划分之后，出于对不同网络区域的安全属性和防护等级要求，对同济医院整体网络作如下安全规划: , 互联网边界的安全防御:在互联网边界采用部署入侵防御和防火墙系统，建 立针对同济医院整个网络进行二至七层的立体防护体系，将由互联网发起的 安全威胁拒之门外。并通过互联网边界的防火墙设备划分一个外部的DMZ 33 / 52 服务器区域，发布DMZ区域对外提供的WEB、网上挂号等服务。 , 不同安全区域之间的VLAN隔离:通过在网络核心交换及、汇聚层、接入层 交换机上实施全网的VLAN部署方案，对各个科室、楼层、家属区进行VLAN 的隔离，并通过实施ACL进行控制。 , 安全准入控制:利用交换机的802.1X协议与内网部署的终端安全管理系统， 对接入网络的终端进行网络准入控制，保证未经授权的计算机及终端接入网 络，并通过终端安全管理系统对网络中的计算机进行行为控制和审计、非法 内外联控制、终端系统管理、补丁分发功能。 , 内外边界与医保专网接入边界的隔离:通过在同济医院内外网互联的边界部 署一台千兆防火墙设备，用来隔离外网和业务网;同时，通过该防火墙接入 到医保和新农合专网，对新农合和医保专网与业务网络进行逻辑上的隔离和 控制。并通过防火墙建立一个业务网络的DMZ区域，用于与外部DMZ区域 进行数据的交换。 , 业务应用服务器区域: 由于内部业务服务器(HIS、PACS、LIS服务器)与数 据库部署在同一台设备，如果一台应用系统产生漏洞并被利用，或者内部人 员的误操作，都将给服务器带来灾难性的后果，因此，在此将应用系统与数 据进行分开部署，建立核心数据库服务器区域。用于存储医院内部的核心数 据。并建立依序了的冗余、备份、恢复策略，保证核心数据的安全。具体网 络安全规划如下图: 34 / 52 外网档案服务器DMZ区域LIS新农合医保 入侵防御PARS防火墙 WEB防火墙HISSSLVPNTiperWay流控 网络审计数据库服务器SiSiSi核心技术交换区域办公区防火墙C6509C65097506R 外网业务网入侵检测 防火墙应用服务器 门诊楼外科楼内科楼研究生楼长欣苑家属区宝丰家属区终端管理服务器同馨花园 网闸 5 同济医院网络安全解决方案设计 5.1 设计原则 同济医院信息网安全体系的建设应遵循国家相关信息安全保障体系建设的总体原则，按照统一规划、统一标准、适度超前;重点部门推进、分步实施;互联互通、资源共享、数据保密;以实际安全需求为导向、以应用促发展的原则进行网络安全建设，并严格遵从以下的建设原则: 坚持综合防范的原则 坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护同济医院信息系统及资源的安全。 管理与技术并进的原则 同济医院信息网络是一个高技术的系统工程，要实现系统的安全功能和性能，既要采取先进的安全技术，又要对已建立的系统实施有效的安全管理，在进 35 / 52 行安全技术基础设施建设时应注意建立配套的运行管理机制和安全规章制度。 经济实用性原则 同济医院信息网络安全体系设计时，既要考虑安全风险和需求，又要考虑系统建设的成本，在保证整体安全的前提下，尽可能的减少投资规模，压缩开支。优化系统设计，合理进行系统配置，所采用的产品，要便于操作、实用高效。 标准化原则 技术的标准化是信息系统建设的基本要求，也是电子化和信息化的前提。同济医院信息网安全体系是一个较大的系统工程，结构复杂，设备种类多，应用多种多样，为了保证信息的安全互通互连，确保安全保障体系建设的典型意义和全面推广应用价值，必须严格遵循国家和有关部门关于信息系统安全管理的规定及建设规范，按照统一的标准进行设计。 适度安全原则 任何信息系统都不能做到绝对的安全，同济医院信息网络也不例外。因此，在安全体系设计时，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。 分期分步实施原则 同济医院信息网络安全体系是一个复杂的、庞大的系统工程，涉及面广，技术应用复杂，建设项目比较多，体系设计应根据实际情况提出项目实施过程中分阶段、分系统实施的具体要求。 5.2 医院网络安全解决方案设计 5.2.1 医院内网网络安全设计 5.2.1.1 利用VLAN和ACL功能，实现用户对访问控制的要求 在同济医院信息网络中全网实施VLAN与ACL访问控制列表，针对办公区域、业务办公等按照不同部门、不同科室等实施VLAN技术进行隔离，并采用ACL访问控制列表进行不同VLAN相互之间的访问控制。 36 / 52 VLAN技术是近年来在计算机网络领域使用广泛一种局域网技术。虚拟网在逻辑上等于OSI七层模型上第二层的广播域，它与具体的物理网及地理位置无关 在传统的网络技术中，同一物理网段中的用户在网络层上很难实施安全措施，而在虚拟网络环境中，不同的虚拟网络间用户之间的通信控制则可以做到。虚拟网间的安全与虚拟网间的通信方式有关，由于虚拟网间通信是通过第三层交换功能实现的，第三层交换功能使得通信双方不能直接连接，而第三层交换模块的ACL功能可被用来对不同虚拟网间用户的通信做逐项检查，通信可以按照网络管理人员的要求被允许或禁止，从而实现不同部门或不同应用系统间的访问控制，从而提高了网络的安全性。 5.2.1.2 基于802.1x的端口认证技术 采用802.1X端口认证技术对接入同济医院网络中的计算机进行认证，保证交换机的每个端口只能接入合法的计算机，利用交换机的端口认证与MAC认证技术，保证每个端口只能学习一个MAC地址，防止未经授权的计算机接入网络中，对同济医院网络机型非法访问与破坏。并可与终端安全管理系统配合，对接入网络的计算机进行认证、授权、审计等。 5.2.1.3 终端安全管理系统部署设计 在同济医院网络中部署终端安全管理系统对办公网实现桌面行为监管、外设和接口管理、网络准入控制、非法外联监控和终端资产管理功能。通过它以强制执行统一安全策略为核心，实现从“自主安全”到“强制安全”。 在网络管理中心部署可信终端管理服务器软件，集中下发统一的安全策略。 通过可信终端管理系统，可以实现以下主要的安全目标: 1. 通过进程管理，采用黑白名单方式，约束终端只能运行经过允许的应用 程序，禁止用户使用违规软件，防止病毒进程在系统中潜伏。 2. 通过对终端的外设与接口管理，可以控制各种外设和接口的使用，防止 通过这些接口进行文件拷贝、数据读取等操作行为带来各种潜在安全风 险。 37 / 52 3. 通过网络准入控制，使接入办公网的计算机必须符合相应的安全要求， 如防病毒安装、运行情况，主机补丁安装情况。只有符合安全策略检查 的终端，才可以接入网络。 4. 对终端的非法外联行为进行监控，主要用于发现和管理内网非法建立通 路连接互联网或其它网络的行为。通过对非法外联的监控管理，可以防 止外联行为引入安全风险或导致信息泄密。 5. 与边界安全设备进行联动，一旦发现终端上有不安全行为，立即通知边 界安全设备，阻断相应终端的网络访问行为。 通过强化终端操作行为的管理，一方面，可以加强网络管理中心管理员对终端系统的控制;另一方面，减少终端引入各种攻击、木马、病毒、蠕虫等风险源，降低对办公网的安全威胁。 5.2.2 网络边界安全设计 5.2.2.1 医院互联网边界防火墙部署设计 通过在同济医院互联网出口部署一台独立的硬件防火墙设备，通过独立硬件式防火墙隔离同济医院信息网络与互联网，并通过互联网边界的防火墙设备设立一个独立的DMZ区域，用来部署同济医院的WEB、网上挂号等应用系统。 利用防火墙的NAT和路由功能，配置NAT地址转换策略，使同济医院外网办公网络用户和家属区上网用户能够通过防火墙访问互联网、浏览网页、邮件收发等。同时，通过在防火墙设备配置端口映射及IP地址映射策略，将DMZ区域的应用系统发布到互联网。如对外医院网站、办公系统、网上挂号、远程医疗协助等。 通过在防火墙配置严格的基于源IP、目的IP、源端口、目的端口、时间等五元组的访问控制策略，对内部上网用户进行严格控制，只有被允许的用户和IP地址才能访问互联网，未经授权的用户及IP严格控制其访问互联网。严格禁止互联网用户访问医院的内部网络，通过配置针对端口的访问策略只允许互联网用户访问DMZ区域应用服务器所允许访问的端口和服务，确保医院内网的安全。 38 / 52 5.2.2.2 互联网边界入侵防御系统部署设计 利用防火墙的访问控制可以很好的过滤掉来自互联网威胁访问，但是由于防火墙只能提供ISO三至四层的访问控制和过滤，无法做到应用层的安全防护。同时，由于医院内部网络部署了大量的应用服务器，有些服务器需要对互联网用户提供访问，为了保证应用服务器在被外网用户访问过程中的安全，在互联网的出口部署入侵防御系统，对进出入侵防御系统的流量和会话进行过滤，通过入侵防御系统强大的特征库和入侵行为防御能力，能有效的过滤掉进出网络中的非法流量及入侵行为，确保同济医院内网终端及服务器的安全。 通过互联网出口部署入侵防御系统能够有效的缓冲溢出攻击、WEB服务的注入、XSS跨站攻击、DDOS攻击、蠕虫、木马扫描等攻击行为进行有效的拦截，还能够有效对内部上网用户进行行为的管理和流量控制，能够有效对P2P下载、P2P视频、在线游戏、网络电视、视频网站、炒股软件、即时通讯攻击进行控制和过滤。 入侵防御系统通过与防火墙协同配合，在同济医院的互联网出口建立一道二至七层的安全防护体系，保证内网应用服务器和计算终端的安全，免遭黑客和非法访问者的攻击、蠕虫木马的危害。确保同济医院整体网络安全。 5.2.2.3 医院内外互联边界防火墙部署设计 在同济医院业务网络与外部办公网络之间部署一台千兆的防火墙设备，对同济医院业务网络和外部办公网络进行逻辑隔离，通过防火墙的访问控制功能，严格控制外部办公网络到业务网络的访问，通过在防火墙配置严格的访问控制策略，允许外部办公网络内允许的IP地址访问业务网络中应用服务器，允许SSLVPN客户用户访问内部DMZ应用服务器，禁止家属区上网用户直接通过防火墙访问业务网络。如果家属需要访问业务网络，建议采用SSL VPN方式进行访问。 通过防火墙在业务网络与外部办公网络之间建立一个内部的DMZ区域，用于与外部的DMZ区域进行数据的交换。通过防火墙的访问控制策略，只允许授权的IP地址能够访问DMZ区域的服务器，严格禁止其他未经授权的用户及IP地址访问DMZ区域的服务器。 39 / 52 由于后期医院将接入到新农合和医保专网，由于医保专网和医院内部网络属于两个不同单位的核心网络，其安全级别和安全防护要求不一样，所以在网络的边界必须用安全设备进行隔离，通过将新农合和医保专网接入到同济医院内网外互联的边界防火墙上，通过防火墙的路由及NAT功能，实现同济医院的信息网络对医保、新农合专网的访问。并通过在防火墙配置严格的访问控制措施，只允许授权用户及IP地址访问医保专网，同样只允许授权的用户及IP地址访问同济医院信息网络，其他未经授权的用户不得相互访问。 5.2.2.4 业务网入侵检测系统部署设计 同济医院业务网络由于需要对外部用户和医保专网、新农合专网提供相关的访问，在内部网络和不同单位的网络之间可能存在一些安全威胁行为，通过在同济医院业务网络的核心交换上旁路部署一台入侵检测系统，对核心数据区域及应用服务器区域的访问进行入侵行为的检测，针对部署在数据中心区域的入侵检测系统，是针对服务器进行细粒度的检测和防护，本方案仅设计全局型防护策略如下: , 网络检测策略:在检测过程中入侵检测系统综合运用多种检测手段，在检测 的各个部分使用合适的检测方式，综合采用误用检测技术和异常行为检测技 术，能够有效发现网络中异常的访问行为和数据包; , 协议检测策略:同济医院业务网底层协议为TCP/IP，入侵检测系统采用细粒 度检测技术，协议分析技术，误用检测技术，协议异常检测，可有效防止各 种攻击和欺骗。并且还能够通过策略编辑器中的用户自定义功能定制针对网 络中各种TCP/IP协议的网络事件监控; , 协议解码策略:部署的入侵检测系统通过对应用服务器区内、以及数据中心 区域内采用基于TCP/IP的各种协议分析事件技术,如:HTTP、SMTP、FTP、 TELNET等应用层协议连接、关闭，Pop3命令连接请求、应答，各种应用层 协议的关键字解码等，保护服务的持续性; , 智能IP碎片重组策略:对所监视网络中的IP碎片报文重组后进行分析，防 止IP碎片欺骗，在业务网边界部署的防火墙进行访问控制基础上，进一步提 40 / 52 高系统的抗攻击能力; , 事件风暴处理策略:可将一定时间范围内的同种攻击类型事件合并成同一条 在控制台进行显示并记录攻击次数，从而达到防止控制台被报警事件洪水淹 没屏幕的目的; , 安全联动策略:与防火墙安全联动策略类似，通过安全联动策略，使防火墙 能够与入侵检测系统进行联动，当入侵检测系统发现攻击行为时，及时通知 防火墙，防火墙在接收到信息后动态生成安全规则，将攻击来源进行阻断， 从而形成动态的防护体系; , 监控管理策略:入侵检测系统提供人性化的控制台，提供初次安装探测器向 导、探测器高级配置向导、报表定制向导等，易于用户使用。一站式管理结 构，简化了配置流程。强大的日志报表功能，用户可定制查询和报表。 , 异常报警策略:入侵检测系统通过报警类型的制定，明确哪类事件，通过什 么样的方式，进行报警，可以选择的包括声音、电子邮件、消息以及与防火 墙联动 同样，入侵检测系统策略的制定与应用系统要保持高度的一致性，。本次项目我们将在实施的过程中，根据同济医院的真实环境和应用系统，制定详细的入侵检测策略。 5.2.2.5 医院内外网DMZ区域之间网闸部署设计 为了保证同济医院内外网DMZ区域数据同步与传输的安全性，在内外网DMZ区域的前置机之间部署一台网络隔离与信息交换系统，经内外网前置机进行物理上的隔离，阻断TCP/IP会话与通信。确保内外DMZ区域之间前置机之间没有物理上的连接，保证两个网络的安全。 通过网络隔离与信息交换的数据传输与同步功能，对两台前置机之间的数据访问进行数据的摆渡，在确保网络安全的前提下，满足内外网DMZ区域之间数据传输与同步的要求。 通过这种部署方式，可以为访问提供更高的安全性保障。网络隔离与信息交 41 / 52 换系统采用“2+1”的高安全架构实现了高度安全防护。其专有隔离交换模块可实现基于硬件的安全隔离，ASIC芯片将数据块转化为自有协议格式的数据包;两个网络之间没有任何物理连接，没有任何网络协议可以直接穿透。可以实现“协议落地、内容检测”。这样，既从物理上隔离、阻断了具有潜在攻击可能的一切连接，又进行了强制内容检测，从而实现最高级别的安全。有效的将两网之间实现了安全隔离与业务数据安全、可靠的交换。 5.2.3 外网远程接入与访问安全设计 5.2.3.1 互联网边界IPSEC VPN部署设计 为了满足同济医院下属的分支机构接入到同济医院信息中来，实现同济医院与下属单位之间的信息共享与网络访问、远程医疗支持、视频会诊等，同时保证这个数据和网络访问数据在传输过程中的安全性，在采用与下属单位进行互联时采用基于IPSEC 协议的VPN隧道技术，搭建基于同济医院与下属分支机构的虚拟专用网络。 由于现在的防火墙都支持IPSEC VPN功能，通过购买防火墙IPSEC VPN模块，在防火墙上扩展IPSEC VPN功能，与分支机构建立基于IPSEC的VPN隧道，实现与同济医院分支机构的安全互联，保证在于分支机构网络之间相互访问时数据传输的安全性。 5.2.3.2 SSL VPN部署设计 为了满足移动办公需要，使在外出差或专家医生远程医疗会诊能够安全、方便的接入到同济医院信息网络中，实现远程办公与远程医疗协助。 为了满足远程接入的安全要求，通过在同济医院外网DMZ区域旁路部署SSL VPN设备，对外网移动办公及远程接入用户提供基于SSL安全套接层协议的VPN隧道，实现对同济医院内部网络的访问，保证在远程接入到内网访问过程中数据传输的安全性、可靠性。 SSL VPN以单臂旁路方式接入同济医院网络中。单臂旁路接入不改变原有网络结构和网路配置，不增加故障点，部署简单灵活，同时提供完整的SSL VPN 42 / 52 服务。远程用户只需应用标准IE浏览器即可登陆网关，通过身份鉴别，在基于角色的策略控制下实现对企业内部资源的存取访问。 SSL VPN可满足各个规模组织用户通过标准Web浏览器和SSL协议与组织内部服务器建立安全传输通道。可提供灵活的部署防暑、简便的连接、完整的身份认证、细粒度的授权管理、可靠的安全传输和详细的日志审计，为用户提供高易用性、高安全性、高管理性、高可靠性和高性价比的远程接入方案。无论用户在何时、何地，以何种方式连接互联网，都可以通过SSL VPN轻松接入同济医院内网，安全获取所需资源。 5.2.4 应用安全方案设计 5.2.4.1 网络安全审计系统部署设计 通过在同济医院外部办公网络的核心交换机上并接方式部署一台网络行为审计系统，对医院信息网络中有大量的访问和数据包进行安全审计并将审计日志存在本地磁盘，通过安全审计系统发现网络中存在的安全隐患，并可以对访问过程进行还原，在发生安全事故时，通过对访问过程的还原，即能有效发现系统中可能存在的安全隐患，还为安全事故的事后处理提供证据。 此外，通过部署网络安全审计系统对于同济医院信息网络的管理人员日常的网络管理、保障系统及网络的安全现状，知道内网用户通过终端平台进行了哪些操作，访问了哪些资源，访问的过程是什么情况，访问的结果是什么，从而全面了解内网的活动情况。 通常安全审计系统为了分析、判断特定行为或者事件是否为违反安全策略的异常行为，主要有如下四个步骤。 , 数据采集:网络安全审计系统需要采集必要的数据用于审计分析。 , 数据过滤/协议还原:根据预定义的设置，进行必要的数据过滤及缩略，从 而提高检测、分析的效率。同时对数据进行协议还原，提取用户关心的内容 数据。 , 数据存储:将内容数据按一定的策略进行本地或远程存储。 数据分析/审计/报警:根据定义的安全策略，进行审计/分析。一旦检测到 43 / 52 违反安全策略的行为或者事件，进行报警。 5.2.4.2 WEB防火墙部署设计 通过在同济医院外部DMZ区域前端部署WEB安全防护系统，对DMZ区域的WEB网站、OA等应用系统提供基于B/S应用级别的安全防护，对由外部发起的SQL注入、XXS跨站、网页篡改、CC等攻击进行有效的拦截。在DMZ边界建立一道基于WEB类应用的安全防护体系。以下WEB防火墙安主要功能: , Web应用安全防护 WAF需要防护基于HTTP/HTTPS/FTP协议的蠕虫攻击、木马后门、CGI扫描、间谍软件、灰色软件、网络钓鱼、漏洞扫描、SQL注入攻击及XSS攻击等常见的Web攻击; , 应用层DOS攻击防护 WAF需要防护带宽及资源耗尽型拒绝服务攻击。 XML DoS攻击防护是对HTTP请求中的XML数据流进行合规检查，防止非法用户通过构造异常的XML文档对Web服务器进行DoS攻击; , Web虚拟服务 通过部署WAF来管理多个独立的Web应用，各Web应用可采用不同的安全策略，可在不修改用户网络架构的情况下增加新的应用，为多元化的Web业务运营机构提供显著的运营优势与便利条件; , Web请求信息的安全过滤 针对HTTP请求，WAF能够针对请求信息中的请求头长度、Cookie个数、HTTP协议参数个数、协议参数值长度、协议参数名长度等进行限制。对于检测出的不合规请求，允许进行丢弃或返回错误页面处理; , Web敏感信息防泄露 WAF应内置敏感信息泄露防护策略，可以灵活定义HTTP错误时返回的默认页面，避免因为Web服务异常，而导致的敏感信息(如:Web服务器操作系统类型、Web服务器类型、Web错误页面信息、银行卡卡号等)的泄露; , Cookie防篡改 WAF产品能够针对Cookie进行签名保护，避免Cookie在明文传输过程中被 44 / 52 篡改。用户可指定需要重点保护的Cookie，对于检测出的不符合签名的请求，允许进行丢弃或删除Cookie处理，同时记录相应日志; , 网页防篡改 WAF产品可按照网页篡改事件发生的时序，事中，实时过滤HTTP请求中混杂的网页篡改攻击流量(如SQL注入、XSS攻击等);事后，自动监控网站所有需保护页面的完整性，检测到网页被篡改，第一时间对管理员进行告警，对外仍显示篡改前的正常页面，用户可正常访问网站; , Web业务的连续性 作为串行安全防护设备，WAF需要考虑了Web系统业务连续性保障措施，以有效避免单点故障; 5.2.5 数据中心安全设计 5.2.5.1 数据容灾备份设计 同济医院重要的数据都集中在业务网络的核心数据中心区域，这些数据与同济医院的业务紧密相关，一旦发生损坏，后果非常严重，甚至会对同济医院造成损害，因此必须要采取必要的数据灾备措施，将重要的数据进行备份，以防出现意外时，系统能够自动恢复，确保系统持续运行，更好地支撑同济医院的业务系统。 常见的备份手段有两种，一种是在数据存放所在地部署备份设备，我们称之为“本地备份”，这种备份方式由于备份设备与数据、系统支撑设备距离非常近，而且常采用光纤高速通路进行数据交换，因此优点是速度快，一旦数据或系统被破坏，能够很快恢复，但缺点是安全性不足，一旦发生地震、火灾、战争等不可抗安全事件导致本地机房损坏，那么备份在本地的设备一样也会遭到破坏，造成数据或系统根本无法恢复，为解决此问题，常见的另一种备份手段就是“异地灾备”，就是在离数据及系统的其他地方建立备份中心，备份中心与源数据、系统存放地具有相当的距离，一旦数据或系统所在地发生不可抗事件时，破坏不会殃及灾备中心。这里我们建议同济医院采取本地灾备加异地灾备的混合方式，来确保数据或系统的安全性。 45 / 52 对于灾备方法，传统上利用磁带库进行数据备份和恢复的方法主要有两种:网络备份和直接连接备份。 网络备份模式需要使用一个专用的备份服务器。数据从目标主机通过网络移到备份服务器然后再到和备份服务器直接相连的磁带库和磁带驱动器。这种方法的主要缺陷是网络带宽经常会成为系统容量和性能的瓶颈;而且通过主局域网进行备份往往也会给网络性能带来负面影响。 在直接连接备份模式中，磁带驱动器是直接连到要备份的每一个服务器这种方法虽然提供了高性能的磁带存储，但磁带库中所能有的磁带驱动器的数目是有限的，这就限制了所能备份的服务器的数量;而且因为每个磁带驱动器是专门配属给某一个服务器的，当那个服务器不使用其专用磁带驱动器时，其他服务器也不能使用，这也造成了大量的资源浪费。 Client network AIXNTSolaris 鉴于传统的备份方案越来越难以满足日益复杂的备份需求，也可以考虑采用磁带库 存储局域网(Storage Area Network，即SAN)来建立同济医院备份系统。 46 / 52 SAN是一个独立于服务器网络系统之外的高速存储网络，这种网络采用高速的光纤通道作为传输媒体，将存储子系统网络化，实现了真正高速共享存储的目标。和传统的服务器/存储连接相比，SAN提供了更大的适应性和可用性，更好的集成管理能力和更优的性能。 在SAN备份模式中，磁带驱动器和磁带库通过一个高速光纤通道网络连到各个主机。每个主机可以看到一个似乎是其专用的磁带启动器。安装在每个主机上的备份软件管理着对磁带驱动器的访问，将来自多个主机的备份任务按顺序放入可用的磁带驱动器池。 采用SAN备份解决方案的特点: , 高性能性:提供了和直接连接模式类似的性能，却消除了传统的网络备 份模式所特有的受网络带宽限制的缺陷。 , 可扩展性: 磁带资源集中管理并被所有的主机共享。一旦采用这种方 案，系统容量可以很容易的通过增加额外的磁带驱动器来扩展。 , 灵活性:备份容量可以随着环境的改变随时被分配和重新分配。象在直 接连接模式中一样，磁带驱动器是被指定或锁定到特定的服务器。 , 充分利用投资:磁带驱动器和带库是集中管理的。在备份设备上的投资 由整个企业数据中心分摊。 , 降低管理费用:统一备份操作、集中安放和管理硬件降低了相应的管理 费用。 5.2.5.2 容灾恢复建议方案设计 保持业务的持续性是同济医院系统进行数据存储需要考虑的一个重要方面。系统故障的出现，可能导致生产停顿，造成经济上和无形的损失。因此，保持业务的持续性是评估业务的重要指标。究其根本，保护业务持续性的重要手段就是提高计算机系统的高可靠性。 高可靠性系统必须能够解决各种导致计算机系统失效的意外情况，保护业务应用在7x24小时不间歇运行。 , 避免单点失效的情况出现。普通的高可靠性方案主要是利用冗余硬件设 备保护用户IT环境内某个服务器，网络设备，如双网卡，双交换机等 47 / 52 等。 , 避免灾难发生后所导致的数据灾难。即如何有效利用用户实施的灾难恢 复方案在应急地点迅速地重新恢复业务应用。在这里，灾难的定义主要 是指自然的和人为的灾难，包括系统硬件，网络故障，机房断电甚至火 灾地震，例如台湾的台北大地震导致该区域内建筑及大部分机器均遭到 严重破坏。而灾难发生从而引发的系统宕机的损失可能导致生产停顿。 因此，高可靠性方案应该考虑到应用、数据和系统各级的保护。一个有效的高可靠性计算环境应该能够做到: , 数据中心任何计算机系统硬件，软件，应用故障将不影响整个中心的处 理工作; , 数据中心由于灾难(火灾、地震)等原因无法工作时，应有一个备份数据 中心能够立即接管关键应用，继续运行; , 主数据中心恢复后，应用、数据应迅速切换回主中心运行。 在同济医院系统业务中，主要是进行数据处理，关键数据和数据库的备份操作已经成为日常运行处理的一个组成部分，以确保出现问题时及时恢复重要数据。但是由于通常数据采用磁带离线备份，当数据量较大或突发灾难发生时，备份磁带无法真正及时恢复数据，所以一套完整的灾难恢复方案应该包括服务器，存储设备，软件，特别对相关的备份和灾难恢复的解决。 应该包括主数据中心和备份中心，主数据中心采用高可靠性集群解决方案设计，备份数据中心与主中心通过光纤或电信网相连接。主中心系统配置主机包括两台或多台服务器以及其他相关服务器，组成多机高可靠性环境。数据存储在主中心存储磁盘阵列中。同时在异地备份中心配置相同结构的存储磁盘阵列和一台或多台备份服务器。在主数据中心，还可以配置磁带备份服务器，用来安装备份软件，以及磁带库。备份服务器直接连接到存储阵列和磁带库，控制系统的日常数据的磁带备份。 备份中心必须满足以下条件: , 具备与主中心相似的网络，通信设置; , 具备业务应用运行的基本系统配置; , 具备稳定，高效的电信通路连接主中心，例如光纤，E3/T3，ATM，确保 48 / 52 数据的实时备份; , 具备日常维护条件; , 与主中心相距足够安全的距离。 在主数据中心，按照高可靠性原则，推荐用户配置双服务器高可靠性环境。双机同时连接到存储阵列。任何一台服务器出现故障时，另一台服务器即可自动立即接管故障服务器的所有应用继续运行，保证用户业务应用的持续运转。同时，将用户数据随时通过远程连接通道实时传送到备份中心的存储阵列中。当灾难情况发生，为了确保业务系统的有效运转，保护关键数据，可以立即在备份中心的备份服务器上重新启动主中心应用系统，依靠实时备份数据恢复主中心业务。当主数据中心系统恢复后，备份中心存储系统的更新数据可以在应用运行不停机的情况下，一次性将数据重新拷贝回主中心继续使用。此外，还可以为用户提供灵活的备份方式，主备中心可以同时运行不同应用，互相备份。 建立灾难恢复计算环境后至少具有以下优势: , 极大降低同济医院业务系统在各种不可预料灾难发生时的损失保证业 务系统的7x24小时不间断运转。 , 最大限度地保护数据的实时性，完整性和一致性。业务数据是医院最宝 贵的资产之一，数据的损失就是同济医院资产利润的损失，所以保护业 务数据是医院计算系统的主要功能之一。实施的容灾方案可以将用户数 据的损失降至最低。 , 为医院计算系统的正常升级，更换部件提供不停机环境。 5.3 网络安全解决方案整体部署方案 通过对同济医院整体网络安全建设方案进行设计，以及所涉及到的安全产品的部署说明，主要部署拓扑结构如下: 49 / 52 外网DMZ档案服务器区域 LIS新农合医保 入侵防御PARS防火墙 WEB防火墙HISSSLVPNTiperWay流控 数据库服务器Si网络审计SiSi 办公区C6509C6509核心技术交换区域7506R防火墙 外网业务网入侵检测 防火墙应用服务器门诊楼外科楼内科楼研究生楼长欣苑家属区宝丰家属区同馨花园终端管理服务器网闸 6 方案总结 网络安全防护的主要目的是确保信息及网络系统的安全性，就是确保基础网络设施和边界的安全性，通过在同济医院各个网络安全区域边界实施防护手段，将实现以下的安全建设效果: 通过引入防火墙技术，将同济医院的整个信息网络划分互联网边界接入区、数据服务区、核心交换区、办公区、应用服务器区、DMZ区、互联网访问区，防火墙根据各个区域的访问特点，制定不同的访问控制策略，保障区域之间的边界安全，避免非授权和非法的访问，形成同济医院信息网络安全防护的第一道屏障。 入侵检测、入侵防护系统、WEB防护、网络安全审计系统的引入，在防火墙边界隔离与访问控制的基础上，进一步针对数据服务区以及DMZ区的访问数据包进行检测与深入分析，有效防范各类攻击行为，进一步保障应用系统的安全性，也形成同济医院新网络安全防护的第二道安全屏障; 主机及服务器上部署的终端安全管理系统，也是在防火墙对安全区域进行隔离和访问控制的基础上，对同济医院整个网络终端进行安全行为的管理与审计，终端计算机的网络安全准入、非法外联、网络访问审计等形成同济医院信息网络安全防护的第三道屏障; 50 / 52 针对移动办公人员，利用在互联网访问区边界的防火墙上扩展IPSEC VPN功能和在DMZ部署的SSLVPN系统，形成远程访问的加密隧道，确保远程访问的机密性、完整性，有效杜绝了对通信数据的窃取和篡改的行为，形成同济医院信息网络安全防护的第四道屏障; 通过对同济医院网络进行安全需求分析，并在网络中部署上述安全设备，通过各个安全设备的功能互补与协同配合，建设一个基于同济医院信息网络现状及未来发展需求的全方位、立体的的安全防护体系，确保同济医院信息网络安全、高效、可靠的运营。 附录一 网御星云公司介绍 北京网御星云信息技术有限公司是由联想网御科技(北京)有限公司更名而来，其前身为联想集团信息安全事业部。在过去的十多年里，网御星云始终坚持让用户放心地使用互联网的企业宗旨，坚持以核心技术和专业服务成就客户事业的经营理念，得到了广大客户和众多合作伙伴的大力支持与高度认可，成为唯一一家在所有安全网关类细分市场(FW/UTM/IPS/VPN)中都名列前茅的中国信息安全领军企业。 在信息安全领域拥有众多核心技术，先后申请发明专利近50项，软件著作权近30项。主营业务涵盖网络边界安全防护、应用与数据安全防护、全网安全风险管理等方面。主要产品包括防火墙、UTM、IPSec VPN、防病毒网关、IPS、SSL VPN安全接入网关、