同济医院网络安全方案v

同济医院网络安全方案v内容摘要：

能造成数据资料的泄露和散播，或导致拒绝服务以及数据的篡改。 对于 医院网络 来讲，主动攻击的行为可能有以下几种形式： ? 字典攻击：黑客利用一些自动执行的程序猜测用户命和密码， 获取对系统的访问权限； ? 劫持攻击：在双方进行会话时被第三 方（黑客）入侵，黑 客黑掉其中一方，并冒充他继续与另一方进行会话 ，获得其关注的信息； ? 假冒：某个实体假装成另外一个实体，以便使一线的防卫者相信它是一个合法的实体，取得合法用户的权利和特权，这是侵入安全防线最为常用的方法 ； ? 截取：企图截取并修改 医院网络 内传输的数据； ? 欺骗：进行 IP 地址欺骗，在设备之间发布假路由，虚假 ARP 数据包，比如一个互联网上的攻击者将数据包的源地址更改为内网地址，就有可能越过医院网络 边界部署的问控制设备； 11 / 52 ? 重放：攻击者对截获的某次合法数据进行拷贝，以后出于非法目的而重新发送。 ? 篡改：通信数据在传输过程中被改 变、删除或替代。 ? 恶意代码：恶意代码可以通过 医院 信息网络的外部接口和软盘上的文件、软件侵入系统，对 医院 信息网络造成损害。 ? 业务拒绝：对通信设备的使用和管理被无条件地拒绝。 绝对防止主动攻击是十分困难的，因为需要随时随地对通信设备和通信线路进行物理保护，因此抗击主动攻击的主要途径是检测，以及对此攻击造成的破坏进行恢复。 物理临近攻击 是指 未被授权的个人，在物理意义上接近网络、系统或设备，试图改变、收集信息或拒绝他人对信息的访问。 对于 同济医院网络系统 来讲，物理临近攻击的行为可能有以下几种形式： ? 对骨干交换设备 的毁坏、偷窃； ? 对配置数据的收集、修改； ? 对通信线路物理破坏或数据阻塞，影响 医院 信息网络的可用性； ? 利用电磁干扰，破坏线路的传输。 内部人员攻击 内部人员攻击可以分为恶意或无恶意攻击。 前者指内部人员对信息的恶意破坏或不当使用，或使他人的访问遭到拒绝；后者指由于粗心、无知以及其它非恶意的原因而造成的破坏。 对于 同济医院网络系统 来讲， 内部人员攻击 的行为可能有以下几种形式： ? 恶意修改设备的配置参数，比如修改 医院网络 中部署的防火墙访问控制策略，扩大自己的访问权限； ? 恶意进行设备、传输线路的物理损坏和破坏； 出于粗心 、好奇或技术尝试进行无意的配置和攻击 ，这种行为往往对组织造成 12 / 52 严重的后果，而且防范难度比较高。 安全弱点分析 弱点是资产本身存在的，可以被威胁利用、引起 组织信息 资产或 业务系统 的损害 ，一般来讲 ，安全风险总是针对系统的安全弱点，所谓安全弱点就是系统在某些 方面存在缺陷，而有可能被系统的攻击者利用，对系统发起攻击，对系统造成破坏，并且安全威胁只有通过安全弱点，才能有效发动攻击，形成安全风险。 所以安全弱点是分析安全风险的重要因素，针对 同济医院信息网络 ，我们分析其存在以下的安全弱点： 网络结构脆弱性 从网络结构上看， 同 济医院网络分为核心数据交换 区域、办公系统区域、业务网区域、业务网 DMZ 区域、外部 DMZ 区域和外部访问家属区域共六 个部分，外部上网区域又按不同的物理地域划分为办公网和家属区域， 在系统网络的边界采用的是基于交换机的防火墙板卡来进行隔离的，实际上各网络 区域之间没有采取任何隔离措施，网络内所有的用户终端都在同 核心交换机 下， 因此很容易受到非授权访问的攻击行为，造成系统被破坏或者 数据外泄。 此外，针对 同济医院采用 的 是 基础协议 TCP/IP 进行组网 ，由于 TCP/IP 协议 其自身的缺陷，也使 同济医院网络 存在先天的一些弱点。 TCP/IP 协议在产生之处，还没有全面考虑安全方面的因素，因而在安全方面存在先天的不足，典型利用TCP/IP 协议的弱点，发起攻击行为的就是“拒绝服务攻击”，比如“ SYN FLOOD”攻击，它就是利用了 TCP 协议中，建立可靠连接所必须经过的三次握手行为，攻击者只向攻击目标发送带“ SYN”表示的数据包，导致攻击目标一味地等待发起连接请求的源地址再次发送确认信息，而导致系统处于长期等待状态，直至系统的资源耗尽，而无法正常处理其他合法的连接请求。 利用 TCP/IP 协议弱点例子还有就是 IP 欺骗攻击， IP 欺骗由若干步骤组 成，首先，目标主机已经选定。 其次，信任模式已被发现，并找到了一个被目标主机信任的主机。 黑客为了进行 IP 欺骗，进行以下工作：使得被信任的主机丧失工 13 / 52 作能力，同时采样目标主机发出的 TCP 序列号，猜测出它的数据序列号。 然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。 如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作。 使被信任主机丧失工作能力。 攻击者将要代替真正的被信任主机。 此外，网络结构的脆弱性还表现在外联系统上，我们看到， 同济医院 DMZ区域与互联网直接相连，并且该区域内 的服务器地址均对互联网公开，基于互联网的开放性，使信息发布区域面临极大的安全威胁，并且一旦 DMZ 区域被成功攻击后，互联网上的黑客会利用 DMZ 区域 作为对 同济医院 其他 网络区域发起攻击的“跳板”，对同济医院其他网络区域实施攻击行为。 系统和应用脆弱性 同济 信息网络中 运行有重要服务器，众所周知，每一种操作系统都包含有漏洞，开发厂商也会定期发布不订包。 如何对重要服务器进行 隐患扫描 、入侵检测、补丁管理成为日常安全维护的重要工作。 同济医院信息 网络内部缺乏有效的设备和系统对系统级、应用级的脆弱性进行定期分析、评估和管理。 由于对内部系统和应用的存在的脆弱性了解不足，很容易让人利用系统及应用系统存在的脆弱性及漏洞对内部网络和系统实施攻击。 网络访问脆弱性 网络的访问策略是不是合理，访问是不是有序， 访问的来源是否合法， 访问的目标资源是否受控等问题，都会直接影响到 同济医院 信息网络 的稳定与安全。 同济医院 信息网络 存在网络内访问混乱，外来人员也很容易接入网络，地址被随意使用等问题，将导致网络难以管理，网络工作效率下 降 ，对攻击者也无法进行追踪审计。 另外， 同济医院 还没有对访问行为的审计措施，信息网络中所传递的数据，和系统的各类访问，对网络 安全管理人员不透明，使网络安全管理人员无法及时了解网络的运行状态，和信息网络中的访问动态，因此无法对系统的安全态势有全面的掌握。 14 / 52 此外， 同济医院 信息网络中的各种重要应用服务器和网络设备，在提供服务的同时，也产生了大量的日志信息，这些日志信息 详实地记录了系统和网络的运行事件，是安全审计的重要数据 ， 对于记录、检测、分析、识别各种安全事件和威胁有非常重要的作用，也是对当前网络安全情况进行评估的主要数据源。 但由于这些日志信息都是孤立地发生并存储在网络设备和重要应用服务器上，相互之间地关联性非常薄弱，导致网络安全管理 人员无法对系统访问的全貌有总体的了解和掌握。 硬件平台脆弱性 硬件平台的脆弱性指硬件平台包括硬件平台的纠错能力，它的脆弱性直接影响着软件资产和数据资产的强壮性。 具体而言，软件是安装在服务器、工作站等硬件之上的，所以软件资产的安全威胁和脆弱性也就必然要包括这些硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。 而数据是依赖于软件而存在的，也就是说数据资产也间接地依赖于某些硬件，因此数据资产的安全威胁和脆弱性也显然包括了服务器、工作站等硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。 管理脆弱性 再安全的网络设备离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整个网络安全中最为重要的一环。 我们有必要认真的分析管理所带来的安全风险，并采取相应的安全措施。 ? 数据的存储没有有效的备份措施，一旦因存储介质故障、发生意外事件（比如地震、火灾、水灾等）而造成数据丢失、完整性被破坏后，数据无法复原。 ? 缺乏有效的机房管理制度，一些与系统管理无关的人员也可以进入中心机房； ? 缺乏针对性的安全策略和安全技术规范，安全管理和运行维护的组织不健全。 15 / 52 ? 缺乏有效的安全监控措施和评估检查制度，无法有效的发现和监控安全事 件，不利于及时发现安全事件并采取相应的措施。 ? 缺乏完善的灾难应急计划和制度，对突发的安全事件没有制定有效的应对措施，没有有效的对安全事件的处理流程和制度。 ? 随着 同济医院信息网络 安全建设的深入，将有越来越多的安全防护产品被引入到网络中，这样多种技术和产品多层面、分布式共存，不同厂商的不同产品产生大量不同形式的安全信息，使得整个系统的相互协作和统一管理成为安全管理的难点。 整体的安全管理体制也变得非常复杂，其系统配置、规则设置、反应处理、设备管理、运行管理的复杂性所带来的管理成本和管理难度直接制约了安全防御体系的 有效性，因而导致了网络安全的重大隐患。 安全风险分析 根据安全威胁的来源，针对 同济医院信息网络 平台，需要对其 信息和信息处理设施的 威胁 (Threat)、 影响 (Impact)和 弱点 (Vulnerability)及威胁发生的 可能性 进行全面分析，从而提出明确的防范措施，全面保障信息的保密性、完整性和可用性。 下面，我们将采用分层的方式，从物理层、网络层、系统层、应用层和管理层进行全面的分析，总结出 同济医院 信息网络具体的安全风险： 物理层安全风险 机房 安全风险 同济医院信息网络的中心 机房，需要考虑如下安全风险： ? 中心 机房的选址 不当，导致中心机房缺乏有力的安全保护措施，无法抵抗 不法分子的物理破坏； ? 各种自然灾害对 医院中心机房 造成不必要的麻烦 ，比如水灾、火灾将直接破坏中心机房内的设备，导致重要的数据被破坏 ； ? 因为停电和电源的问题而 导致系统中断服务，数据完整性被破坏等； 16 / 52 ? 电磁辐射可能造成数据信息被窃取或偷阅； ? 报警系统的设计不足可能造成原本可以防止但实际发生了的事故。 ? 数据备份不完善或手段简陋，一旦系统发生问题，将会造成不可挽回的损失。 ? 关键设备没有做到冗余备份，如果发生设备 运行 故障，可能导致系统瘫痪。 设备安全风险 设备 的安全风险主要有： ? 对设备的盗窃和毁坏的风险，据调研结果表明，大部分机房没有采用电子 报警系统 ， 并派专人值守。 设备或部件没有明显的不可去除的标记，丢失后无法追查；机房外的网络设备没有防护措施，不能防范盗毁等。 ? 设备可用性的风险，如计算机主机、外部设备、网络。