1、1 概述1.1项目背景 医院是一个信息和技术密集型的行业,一般分为办公网络和业务网络,作为一个现代化的医疗机构的计算机网络,除了满足内部办公自动化,还需保持外部网络通畅。结合医院复杂的HIS、RIS、PACS等应用系统,需要网络必须能够满足数据、语音、图象等综合业务的传输要求。同时医院连接着INTERNET、医保网、高校网,网络边界比较复杂,所以医院如何保证数据及应用尤为重要。 现在,网络已经延伸到了各个方面,但是网络安全的脆弱性和易受攻击性不容忽视。由于现在计算机各方面还存在诸多漏洞,可以想象一下,如果需要高速信息传输的医院受到攻击,后果会是多么严重。 所以,我们应当正视网络安全中可能面临的
2、危险。为了网络的安全稳定,提出了本安全方案。1.2建设目标 医院将通过本次网络系统及网络安全规划与建设,将医院的网络建设成为一个具有现代化、多功能、结构化、智能化的综合性网络系统。 同济医院网络系统是为医院内部提供网络信息系统应用的IT基础平台,包括PACS/RIS系统、HIS/OA信息系统、管理、科研和多业务的综合信息服务网络系统。首先,通过网络系统安全进行全面的升级改造,建立可为医院内部医疗信息管理、科研提供一个技术先进、高安全性的信息化网络环境。同时院内的医疗信息管理(PACS/RIS/HIS系统)、多媒体系统、远程会诊系统、网上挂号、数据库管理系统等,都可以通过医院信息网络平台安全、高
3、效的网络来运行和工作。满足同济医院内外网的通讯要求。包括Internet服务远程移动办公服务、远程医疗写组、网上挂号等数据信息下载及视频会议等。 在适应网络发展趋势和同济医院的实际网络需求基础上,既要能满足同济医院的信息网络系统使用需求,并兼顾今后网络系统易扩充性和可管理性。通过对网络系统络进行统一的整体设计、规划,为医院网络系统打造一个长期、稳定、高效、安全的运行环境,以及医院未来的发展和建设打下良好的网络平台基础。并将重点放在系统的稳定性、开放性、可扩展能力上,使系统持续稳定运行,既可满足现有的医疗信息系统的应用需要,又可方便满足今后系统的升级及应用需求,避免重复投资。2 医院网络现状21
4、 网络结构描述通过对医院现有结构进行了解和分析,可以看出网络大致可以分为业务内网和办公外网,业务网络采用三层网络结构,通过核心交换机将医院各科室进行互联。并在业务网络单独设立和一个内部核心业务应用服务器区域,包含HIS系统、RIS系统、PACS系统和档案管理系统等应用服务器。同时为了满足内部应用服务器与办公网DMZ区域服务器进行数据交换需求,在业务网络和办公网络边界部署了一台防火墙设备进行两个网络之间的隔离,并在防火墙划分了一个内部网络的DMZ区域进行与外部DMZ区域进行数据交换的中转站。外部办公网络大致可以划分为办公网,DMZ区域和家属上网区域,在外部网络的互联网边界通过核心交换机的防火墙板
5、卡进行边界的隔离和划分DMZ区域,通过在外网的核心交换机上做NAT和PAT对外发布统计医院DMZ区域的应用。具体网络结构拓扑如下:确定网络资源硬件资源类别描述数量核心交换机CISCO 65092网络设备CISCO 45038防火墙东软FW-41231用户服务器hp eva 46408线卡7506E FW 线卡1线卡7506交换线卡1路由器CISCO 37451TIDERWAY供应流量管理设备TIDERWAY XM-1251核心交换机H3C LS-7506E1用户PC软件资源类别名称版本描述操作系统Windows xpWindowsXP Professional(专业版)部分用户使用的OSWin
6、 7Windows 7 Ultimate(旗舰版)部分用户使用的OSLinuxredhat linux 9.0部分服务器可能使用的OS应用软件MS Office2010桌面办公软件,处理文件备份软件Symantec Backup ExecTM 12(含orcle数据库、打开文件、恢复模块)备份医院信息HIS系统医院一卡通管理、挂号、收费、药房、药库、电子病历、医生站、医技系统、住院部管理、财务、院长查询、手术管理、医(农)保接口等数十个子系统,灵活组合适合不同规模医院PACS/RIS系统解决医学图像的获取、显示、存贮、传送和管理的综合系统网络通信OutLook2010处理E-Mail的工具Fo
7、xmail7.0.1.91处理E-Mail的工具FTP处理网络文件传输的客户端软件信息资产数据库Oracle文件备份管理Symantec Backup ExecTM 12(含orcle数据库、打开文件、恢复模块)需求分析1)物理安全需求:防范电磁辐射和物理临近攻击,建立相应的备份和灾难后快速恢复机制。2)网络安全需求:解决运行环境的安全问题,对应网络层安全威胁,网络安全主要的技术手段包括边界防护技术、检测与响应技术、加密传输技术等。2.1互联网边界安全需求:目前主要通过部署在网络边界的防火墙系统来实现与互联网编辑的隔离,由于防火墙只能基于ISO模型的三、四层进行防护,无法对会话层、表示层、应用
8、层的攻击和威胁行为进行有效的拦截和防护。需要在互联网的出口部署ISO二至七层的入侵行为防御系统,来部署防火墙不能防御应用层攻击行为的不足,在医院的互联网出口通过部署入侵防御和防火墙系统,共同组成同济医院互联网边界二至七层的主动防御系统,确保同济医院整体网络安全,防止黑客对同济的DMZ区域,内部家属区域和办公区域终端和网络的入侵和网络攻击。2.2办公室与业务网互联边界安全需求:主要依靠目前部署的一台东软的百兆级别的防火墙来进行隔离,由于业务网络与外部办公网络之间主干线路升级为千兆,乃至万兆骨干网络环境;目前的防火墙已经无法满足当前的网络安全需求。另外还需增加入侵检测系统。2.3远程访问与移动安全
9、接入安全:针对不同接入需求,针对远程分支机构及单位采用在边界防火墙上扩展IPSEC VPN功能来满足与分支机构建立IPSEV VPN隧道来保证远程的安全接入和访问过程的数据传输的机密性、完整性和可用性。针对移动办公人员的远程接入,采用SSL VPN的方式接入到同济医院网络访问相关的应用及办公系统。3)系统安全安全需求:安全扫描系统是现阶段最先进的系统安全评估技术,该系统能够测试和评价系统的安全性,并及时发现安全漏洞。终端安全管理系统通过对桌面安全监管、行为监管、系统监管和安全状态检测,采用统一策略下发并强制策略执行的机制,实现对局域网内部桌面系统的管理和维护,从而有效地保护终端的系统安全。不管
10、是普遍采用的UNIX还是Windows操作系统,其安全性都是远远不够的,仅通过补丁还是无法满足其日益突出的安全风险,系统需要其重要的服务器从根本上提升安全防护能力,需要在不影响现有业务的情况下,从根本上提升服务器操作系统的安全性,削弱超级用户的权限,并且高强度抵御安全威胁最严重的缓存区溢出攻击问题。网络安全分析安全风险的分析方法,主要参考国际信息安全标准ISO13335,从信息资产、漏洞(弱点)、威胁等多个因素进行全面的评估。1)安全威胁分析:针对网络和系统的安全造成风险主要来自于两个因素,一是系统的“信息资产”,二是潜在的攻击者对系统所形成的“安全威胁”。“信息资产”是指IT系统存贮、处理和
11、传输的各类信息。之所以用“信息资产”一词,是因为它们对拥有资产的那些人(个人或组织)具有某些固有的价值,同样它们对试图破坏那些资产的机密性、完整性和/或可用性的威胁代理而言也有价值,但与拥有者的愿望和利益相反。“信息资产”的界定与衡量是安全威胁分析的前提,具体方法有:衡量应用系统所处理数据的重要性,对于企业来讲,就要判断数据是否具有很高的商业价值,对于政府来讲,就要判断数据是否具有很高的机密性,这种商业价值,或者机密程度,就为这些数据赋予了相当的价值;衡量应用系统与业务的相关程度,结合越紧密,其重要性就越高,如果这些系统受到攻击及破坏,往往会给业务带来极大的损失。因此这些系统(包括应用系统,以
12、及承载应用的数据库系统),就构成了组织最重要的信息资产。比如同济医院的HIS、OA、数据库、网络挂号系统等等;对应用系统发起访问的用户分布,承载应用系统的设备,以及对应用系统的访问所经过的途径及跨度,往往成为衡量信息资产面临风险的主要途径。如果用户的分布相对分散,设备缺乏足够的冗余措施,访问所经过的跨度很大,都会给信息的保密性、安全性带来挑战,必须进行有针对性地进行评估和设计。而“安全威胁”,简单的说是一种令人不快的事件,它可能由一个已确认的威胁来源导致,使资产面临风险。为确认威胁,就必须确认: 威胁所针对的资产是什么?是否有价值?是否是组织最重要的信息资产? 什么是威胁来源?或者什么样的行为
13、会对系统形成威胁? 针对攻击者,还有必要分析他们的技术专长、机遇和动机很可能是什么。从“资产”和“威胁”两个角度,不难看出,安全威胁的分析,其本质就是要分析“组织的信息资产是什么?这些信息资产会受到什么样的威胁?如果遭到攻击后,对组织带来什么样的损失?”针对医院信息网络,我们看到,其主要的信息资产包括网络中的应用系统;承载应用系统的重要服务器(数据库、HIS系统、电子病历、网上挂号等);承载访问和数据交换的网络设备和物理线路等等;针对这些信息资产,其面临的安全威胁是全方位的,包括内部和外部的威胁主体,以及人为的和非人为的安全威胁。威胁来源 黑客:攻击网络和系统以发现在运行系统中的弱点或其它错误
14、的一些个人,这些人员可能在系统外部,也可能在系统内部,其对网络的攻击带有很强的随机性,常常以先要技术为目的,对医院的一些系统进行攻击。 有怨言的员工:怀有危害局域网络或系统想法的气愤、不满的员工,或者是一些技术爱好者,希望尝试一些技术,这些员工由于掌握了同济医院网络的一些资源,所以攻击成功的可能性很高,并且对系统的破坏能力非常强。非人为安全威胁:非人为的安全威胁主要分为两类:一类是自然灾难,另一类为技术局限性。典型的自然灾难包括:地震、水灾、火灾、风灾等。自然灾难可以对网络系统造成毁灭性的破坏,其特点是:发生概率小,但后果严重。技术局限性体现在网络技术本身的局限性、漏洞和缺陷,典型的漏洞包括:
15、链路老化、电磁辐射、设备以外鼓掌、自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。这些无目的的事件,有时会直接威胁网络的安全,影响信息的存储媒体。对于医院来讲,技术局限性还表现在系统、硬件、软件的设计和实现上存在不足,配置上没有完全执行即定的安全策略等,这些都将威胁到系统运行的稳定性、可靠性和安全性。信息系统的高度复杂性以及信息技术的高速发展和变化,使得信息系统的技术局限性成为严重威胁信息系统安全的重大隐患。人为安全威胁:人为威胁指的是针对网络的人为攻击行为。这些攻击手段都是通过寻找系统的弱点,以便达到破坏、欺骗、窃取数据等目的,造成经济上和声誉上不可估
16、量的损失。一般来讲,这种人为的安全威胁主要包括被动攻击、主动攻击、邻近攻击、分发攻击和内部威胁。网络结构的脆弱:从网络结构上看,医院网络分为核心数据交换区域、办公系统区域、业务网区域、业务网DMZ区域、外部DMZ区域和外部访问家属区域共六个部分,外部上网区域又按不同的物理地域划分为办公网和家属区域,在系统网络的边界采用的是基于交换机的防火墙板卡来进行隔离的,实际上各网络区域之间没有采取任何隔离措施,网络内所有的用户终端都在同核心交换机下,因此很容易受到非授权访问的攻击行为,造成系统被破坏或者数据外泄。此外,针对医院采用的是基础协议-TCP/IP进行组网,由于TCP/IP协议其自身的缺陷,也使医
17、院网络存在先天的一些弱点。TCP/IP协议在产生之处,还没有全面考虑安全方面的因素,因而在安全方面存在先天的不足,典型利用TCP/IP协议的弱点,发起攻击行为的就是“拒绝服务攻击”,比如“SYN FLOOD”攻击,它就是利用了TCP协议中,建立可靠连接所必须经过的三次握手行为,攻击者只向攻击目标发送带“SYN”表示的数据包,导致攻击目标一味地等待发起连接请求的源地址再次发送确认信息,而导致系统处于长期等待状态,直至系统的资源耗尽,而无法正常处理其他合法的连接请求。利用TCP/IP协议弱点例子还有就是IP欺骗攻击,IP欺骗由若干步骤组成,首先,目标主机已经选定。其次,信任模式已被发现,并找到了一
18、个被目标主机信任的主机。黑客为了进行IP欺骗,进行以下工作:使得被信任的主机丧失工作能力,同时采样目标主机发出的TCP序列号,猜测出它的数据序列号。然后,伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。如果成功,黑客可以使用一种简单的命令放置一个系统后门,以进行非授权操作。使被信任主机丧失工作能力。攻击者将要代替真正的被信任主机。此外,网络结构的脆弱性还表现在外联系统上,我们看到,医院DMZ区域与互联网直接相连,并且该区域内的服务器地址均对互联网公开,基于互联网的开放性,使信息发布区域面临极大的安全威胁,并且一旦DMZ区域被成功攻击后,互联网上的黑客会利用DMZ区域作为对医院其
19、他网络区域发起攻击的“跳板”,对医院其他网络区域实施攻击行为。系统和应用的脆弱性:信息网络中运行有重要服务器,众所周知,每一种操作系统都包含有漏洞,开发厂商也会定期发布补丁包。如何对重要服务器进行隐患扫描、入侵检测、补丁管理成为日常安全维护的重要工作。医院信息网络内部缺乏有效的设备和系统对系统级、应用级的脆弱性进行定期分析、评估和管理。由于对内部系统和应用的存在的脆弱性了解不足,很容易让人利用系统及应用系统存在的脆弱性及漏洞对内部网络和系统实施攻击。硬件平台脆弱性:硬件平台的脆弱性指硬件平台包括硬件平台的纠错能力,它的脆弱性直接影响着软件资产和数据资产的强壮性。具体而言,软件是安装在服务器、工
20、作站等硬件之上的,所以软件资产的安全威胁和脆弱性也就必然要包括这些硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。而数据是依赖于软件而存在的,也就是说数据资产也间接地依赖于某些硬件,因此数据资产的安全威胁和脆弱性也显然包括了服务器、工作站等硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。风险来源常见类型发生的可能性影响范围风险大小非人为安全威胁地震、火灾、爆炸、洪水等自然灾害及战争低所有业务、资产、人员高人为安全威胁黑客、被动攻击、主动攻击、邻近攻击、分发攻击和内部威胁中所有人员、部分业务中网络结构的脆弱性IP欺骗攻击、拒绝服务攻击中所有业务低硬件平台的脆弱性服务器、工作站
21、等硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性中IT基础设施中渗透性测试一、 Sniffer pro的应用1. Sniffer pro软件概述Sniffer Pro是一款网络监听工具,通过网卡设置为混杂模式,对网络中传输的数据包进行分析,管理员可获取网络中的数据信息,从而对网络进行安全管理,如果是黑客也可以用此软件获取网络中传输的敏感数据。2. Sniffer pro 常用功能: A. 监视功能用于计算显示实时网络通信数据 B. 捕获功能用于捕获网络通信量并将当前数据包存储在缓冲区内 C. 分析捕获缓冲区中的数据包 D. 解码和分析缓冲区中的数据包3. 监视功能介绍 A. 网络性能
22、可视化监视 B. 协议分布情况 C. 网络上传传输量并用不同的形势表现出4. 捕获功能介绍 A. 设置过滤条件 B. 抓取网络中的数据包 C. 抓取邮箱登录信息安全策略(侧重边界安全策略)1)安全域的划分通过对医院整体网络结构进行分析,结合对医院整体网络安全建设及各个网络区域的安全级别及安全属性的分析,建议将整个网络划分为外网和业务网;医院外网主要划分为,家属上网区域、办公网、DMZ服务器区域等。业务网划分为医保专网、新农合专网接入区域、应用服务器区域、DMZ服务器区域和业务办公网络(包括门诊、外科、内科等楼层),以及数据库服务器区域。通过结合网络安全设备、终端安全管理系统和VLAN、802.
23、1X等技术的全网络部署,对同济医院信息网络中各个安全区域和终端进行安全控制与逻辑隔离,保证各个安全区域通信及数据传输安全。2) 全策略2.1利用VLAN和ACL功能,实现用户对访问控制的要求在医院信息网络中全网实施VLAN与ACL访问控制列表,针对办公区域、业务办公等按照不同部门、不同科室等实施VLAN技术进行隔离,并采用ACL访问控制列表进行不同VLAN相互之间的访问控制。2.2医院互联网边界防火墙部署设计通过在医院互联网出口部署一台独立的硬件防火墙设备,通过独立硬件式防火墙隔离同济医院信息网络与互联网,并通过互联网边界的防火墙设备设立一个独立的DMZ区域,用来部署医院的WEB、网上挂号等应
24、用系统。利用防火墙的NAT和路由功能,配置NAT地址转换策略,使医院外网办公网络用户和家属区上网用户能够通过防火墙访问互联网、浏览网页、邮件收发等。同时,通过在防火墙设备配置端口映射及IP地址映射策略,将DMZ区域的应用系统发布到互联网。如对外医院网站、办公系统、网上挂号、远程医疗协助等。通过在防火墙配置严格的基于源IP、目的IP、源端口、目的端口、时间等五元组的访问控制策略,对内部上网用户进行严格控制,只有被允许的用户和IP地址才能访问互联网,未经授权的用户及IP严格控制其访问互联网。严格禁止互联网用户访问医院的内部网络,通过配置针对端口的访问策略只允许互联网用户访问DMZ区域应用服务器所允
25、许访问的端口和服务,确保医院内网的安全。2.3互联网边界入侵防御系统部署设计在互联网的出口部署入侵防御系统,对进出入侵防御系统的流量和会话进行过滤,通过入侵防御系统强大的特征库和入侵行为防御能力,能有效的过滤掉进出网络中的非法流量及入侵行为,确保医院内网终端及服务器的安全。2.4医院内外互联边界防火墙部署设计在医院业务网络与外部办公网络之间部署一台千兆的防火墙设备,对医院业务网络和外部办公网络进行逻辑隔离,通过防火墙的访问控制功能,严格控制外部办公网络到业务网络的访问,通过在防火墙配置严格的访问控制策略,允许外部办公网络内允许的IP地址访问业务网络中应用服务器,允许SSLVPN客户用户访问内部
26、DMZ应用服务器,禁止家属区上网用户直接通过防火墙访问业务网络。2.6业务网入侵检测系统部署设计医院业务网络由于需要对外部用户和医保专网、新农合专网提供相关的访问,在内部网络和不同单位的网络之间可能存在一些安全威胁行为,通过在医院业务网络的核心交换上旁路部署一台入侵检测系统,对核心数据区域及应用服务器区域的访问进行入侵行为的检测2.5医院内外网DMZ区域之间网闸部署设计为了保证医院中断服务器传输的安全性,在防火墙和服务器之间部署一台网络隔离与信息交换系统,进行物理上的隔离,阻断TCP/IP会话与通信。2.6 SSL VPN部署设计为了满足移动办公需要,使在外出差或专家医生远程医疗会诊能够安全、方便的接入到医院信息网络中,实现远程办公与远程医疗协助。为了满足远程接入的安全要求,通过在医院外网DMZ区域旁路部署SSL VPN设备,对外网移动办公及远程接入用户提供基于SSL安全套接层协议的VPN隧道,实现对医院内部网络的访问,保证在远程接入到内网访问过程中数据传输的安全性、可靠性。2.7 WEB防火墙部署设计通过在医院外部DMZ区域前端部署WEB安全防护系统,对DMZ区域的WEB网站、OA等应用系统提供基于B/S应用级别的安全防护,对由外部发起的SQL注入、XXS跨站、网页篡改、CC等攻击进行有效的拦截。在DMZ边界建立一道基于WEB类应用的安全防护体系。