導(dǎo)語：如何才能寫好一篇公司網(wǎng)絡(luò)安全方案，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：攻擊；僵尸；網(wǎng)絡(luò)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：a DoI: 10.3969/j.issn.1003-6970.2012.02.016

Thoughts on the security defense against the network attack from one college waNG Qi(Network Information Center,Jiangsu Animal Husbandry&Veterinary College,Taizhou 225300 China)

【Abstract】In recent years, the Internet attacks increase in various ways, and their technical innovation is far more rapid developed

than that of the network defense technology. The kinds of Botnet attack data flow bring the network management greater challenges and higher demand. In this paper, we take a targeted attack for a university network for example, record the whole attack process, summarize its attacking principle, present the corresponding measures taken by colleges, and finally we concluded the attacking trend, therefore, we put forward some improvement countermeasures from the stand of user and operators to provide a more stable and high-quality network services.

【Key words】attack; botnet; network

0 引 言

僵尸網(wǎng)絡(luò)和DDOS攻擊是近年來黑客廣泛利用的攻擊跳板與手段,它們無意識(shí)的受控于網(wǎng)絡(luò)攻擊者，向指定目標(biāo)發(fā)送大量的DOS數(shù)據(jù)包，不僅嚴(yán)重影響被攻擊者對(duì)互聯(lián)網(wǎng)的訪問與對(duì)外服務(wù),還會(huì)嚴(yán)重沖擊互聯(lián)網(wǎng)絡(luò)提供商(ISP)網(wǎng)絡(luò)的正常運(yùn)行。本文通過對(duì)對(duì)去年發(fā)生于江蘇某高校教育網(wǎng)線路的網(wǎng)絡(luò)攻擊事件進(jìn)行分析,總結(jié)出當(dāng)前網(wǎng)絡(luò)攻擊的新趨勢(shì)，并有針對(duì)性地從運(yùn)行商、用戶角度提出應(yīng)對(duì)思路,保證互聯(lián)網(wǎng)的安全。

1 攻擊事件背景

眾所周知，教育網(wǎng)以其獨(dú)特的edu域名而為高校所推崇，作為一個(gè)公益性質(zhì)的實(shí)驗(yàn)研究網(wǎng)絡(luò)，它扮演著國內(nèi)幾乎所有高校的網(wǎng)站信息等各類對(duì)外應(yīng)用服務(wù)網(wǎng)絡(luò)支持者的角色，是高校對(duì)外一個(gè)重要窗口。高校作為一個(gè)非商業(yè)盈利性單位，理論上應(yīng)該不存在商業(yè)競(jìng)爭(zhēng)為目的的惡意攻擊，但本次攻擊時(shí)間之長(zhǎng)（14天）、攻擊手段變化之頻繁為20年內(nèi)江蘇省高校界中很罕見的一次記錄。

2 攻擊過程

2011年6月，江蘇省某高校教育網(wǎng)線路遭受網(wǎng)絡(luò)攻擊，造成edu域名的web服務(wù)器、郵件服務(wù)器、DNS服務(wù)器等所有對(duì)外應(yīng)用無法使用。

在6月1日開始，學(xué)院網(wǎng)絡(luò)中心發(fā)現(xiàn)系部服務(wù)器長(zhǎng)時(shí)間無響應(yīng)，因?yàn)樗卸?jí)院系網(wǎng)站新聞功能及軟件代碼部署都在該服務(wù)器上，所以求助電話很快就反饋過來。

2.1 TCP SYN泛洪攻擊

6月1日下午經(jīng)過抓包分析，服務(wù)器受到攻擊，攻擊流量來自教育網(wǎng)線路。攻擊數(shù)據(jù)采用TCP SYN泛洪沖擊服務(wù)器，服務(wù)器CPU資源迅速被消耗完畢，進(jìn)入死機(jī)狀態(tài)，所以無法響應(yīng)正常訪問數(shù)據(jù)請(qǐng)求。技術(shù)人員在咨詢防火墻廠商后，調(diào)整了防火墻處理TCP SYN請(qǐng)求的模式，將TCP SYN網(wǎng)關(guān)模式調(diào)整為TCP SYN模式中繼模式。防火墻收到SYN請(qǐng)求包后，不向服務(wù)器轉(zhuǎn)發(fā)該請(qǐng)求，而是主動(dòng)向請(qǐng)求方發(fā)送SYN/ACK包，在收到請(qǐng)求方的ACK確認(rèn)包并判斷為正常訪問后，才將SYN請(qǐng)求包發(fā)送給服務(wù)器，完成會(huì)話建立。調(diào)整后可以基本過濾不可用的惡意連接發(fā)往服務(wù)器，同時(shí)服務(wù)器CPU內(nèi)存高利用率的狀況得到緩解。

2.2 海量訪問攻擊

6月2日上午，攻擊者采用了海量訪問方式，在防火墻連接數(shù)監(jiān)控中發(fā)現(xiàn)訪問源IP地址數(shù)呈現(xiàn)幾何級(jí)數(shù)增長(zhǎng)。雖然每個(gè)IP都與服務(wù)器完成正常的三次握手協(xié)議，但同時(shí)遞交了相當(dāng)多的無用查詢請(qǐng)求，查詢目標(biāo)為一些并不存在的數(shù)據(jù)條目或者頁面。海量的訪問又造成了服務(wù)器CPU資源耗盡，無法提供對(duì)外服務(wù)，攻擊包抓包解析如圖1。

圖1 攻擊包解析

針對(duì)這種情況，技術(shù)人員采取防御策略是更換服務(wù)器硬件，將服務(wù)器代碼從臺(tái)式機(jī)遷移至刀片服務(wù)器陣列中，這樣使服務(wù)器的CPU與內(nèi)存資源都得到了一定程度的提升。同時(shí)，還更改了新服務(wù)器IP地址，相應(yīng)在DNS服務(wù)器中更換了域名記錄。但數(shù)小時(shí)后，攻擊立刻轉(zhuǎn)向至新更換的IP地址上，仍然造成了服務(wù)器失效宕機(jī)。當(dāng)時(shí)邀請(qǐng)了天融信、山石網(wǎng)科防火墻廠商在現(xiàn)場(chǎng)協(xié)助解決，用不同的防火墻輪流切換使用，并在防火墻上額外加載了IPS入侵防御功能模塊，設(shè)置訪問控制粒度，設(shè)定了相對(duì)嚴(yán)格的IP訪問閥值。最后使用山石網(wǎng)科的M3150識(shí)別遏制該種攻擊效果較好，能降低服務(wù)器部分負(fù)載。山石防火墻的粒度控制和安全防護(hù)設(shè)置界面如圖2和3。

2.3 分布式泛洪攻擊

2011年6月4日，經(jīng)過抓包分析，攻擊數(shù)據(jù)轉(zhuǎn)換為TCP 、UDP隨機(jī)端口方式，也就是分布式拒絕服務(wù)攻擊，并且把攻擊目標(biāo)擴(kuò)展到了國示范專題網(wǎng)站及校園門戶網(wǎng)站，但不以沖垮服務(wù)器為目的。這是一個(gè)很致命的問題，雖然防火墻的安全策略拒絕攻擊包涌入內(nèi)網(wǎng)，但攻擊包堵塞了防火墻上游的數(shù)據(jù)帶寬。教育網(wǎng)在6月7日，6月8日分別將學(xué)院的線路帶寬從10Mbit/s緊急升級(jí)到35Mbit/s和100Mbit/s,但攻擊流量水漲船高。技術(shù)人員通過外網(wǎng)交換機(jī)統(tǒng)計(jì)端口查看瞬時(shí)數(shù)據(jù)后發(fā)現(xiàn)，在短短幾分鐘之內(nèi)，帶寬就消耗殆盡。教育網(wǎng)清華維護(hù)中心在與學(xué)院溝通后暫時(shí)設(shè)置了路由黑洞，將210.29.233.0全網(wǎng)段屏蔽。雖然學(xué)院的線路帶寬利用率立即下降到正常值，但該網(wǎng)段的所有服務(wù)應(yīng)用全部無法被外網(wǎng)訪問了，反而達(dá)到了駭客攻擊的目的。期間曾經(jīng)嘗試部署金盾防御DDOS硬件設(shè)備在學(xué)院出口處防火墻設(shè)備前端，但效果不明顯。在溝通后，廠方工程師也認(rèn)為該類型設(shè)備應(yīng)部署在教育網(wǎng)的江蘇高?？偝隹谔幉拍芷鸬椒烙Ч?。同時(shí)教育網(wǎng)東南大學(xué)地網(wǎng)中心配置了一臺(tái)小型號(hào)的流量清洗設(shè)備來過濾學(xué)院的數(shù)據(jù)流，但因?yàn)榈鼐W(wǎng)中心至北京的互聯(lián)帶寬有限，為了防止骨干通道被攻擊數(shù)據(jù)堵塞，所以不能無限制放寬流量來支援受害院校，所以這樣部署后的效果是僅能維持江蘇教育網(wǎng)內(nèi)用戶訪問受害學(xué)院，效果不理想。分布式拒絕服務(wù)攻擊數(shù)據(jù)包解析如圖4。

圖4 分布式DDOS攻擊包

2.4 查找攻擊源

當(dāng)時(shí)學(xué)院按照流程報(bào)警，警方力量接入，并與教育網(wǎng)方面開會(huì)討論，布置任務(wù)，根據(jù)收集到的抓包文件，確認(rèn)了一個(gè)真實(shí)攻擊僵尸IP地址是鎮(zhèn)江某IDC機(jī)房的一臺(tái)服務(wù)器，其他的IP地址歸屬地則是世界各地，可以確認(rèn)為偽造或無法完成追蹤。當(dāng)天警方到IDC機(jī)房將該服務(wù)器下線，并將硬盤數(shù)據(jù)進(jìn)行備份，分析硬盤中的入侵痕跡順藤摸瓜尋找上游控制端，但未能發(fā)現(xiàn)進(jìn)一步證據(jù)來查詢到上游控制端。

2.5 SYN-ACK反射攻擊

2011年6月10日下午，經(jīng)過抓包解析，分布式拒絕服務(wù)攻擊數(shù)據(jù)消失了。但網(wǎng)絡(luò)中出現(xiàn)大量的SYN-ACK數(shù)據(jù)包，經(jīng)過詳細(xì)研究查閱了部分資料后了解到，這是一種間接的反射攻擊。受控于上游控制端的大量僵尸機(jī)器向各類合法在線用戶 發(fā)送偽造的以學(xué)院IP地址為源地址的SYN請(qǐng)求包，合法用戶或服務(wù)器誤認(rèn)為該數(shù)據(jù)由學(xué)院的IP地址發(fā)出請(qǐng)求訪問，根據(jù)三次握手原理于是便回復(fù)SYN-ACK包來響應(yīng)請(qǐng)求，間接成了被利用的反射節(jié)點(diǎn)，反射攻擊的原理如圖5。一旦反射節(jié)點(diǎn)數(shù)量足夠多，同樣能消耗盡受害者的網(wǎng)絡(luò)帶寬。所幸這種攻擊的數(shù)據(jù)量已經(jīng)不如先前的規(guī)模，未造成帶寬耗盡的情況。

圖5 反射攻擊示意圖

2.6 攻擊停止

2011年6月14日之后，針對(duì)教育網(wǎng)線路的網(wǎng)絡(luò)攻擊完全停止。在攻擊后的各方交流中，大家普遍對(duì)此次攻擊的目的性表示疑惑，因?yàn)槲丛邢鄳?yīng)的經(jīng)濟(jì)或政治勒索，所以東南大學(xué)的龔教授認(rèn)為此次攻擊是初級(jí)網(wǎng)絡(luò)駭客利用受控的僵尸網(wǎng)絡(luò)可能性較大。

3 防御方的經(jīng)驗(yàn)和體會(huì)

通過本次事件，作為受害方的學(xué)院技術(shù)人員，經(jīng)過反思，也從中總結(jié)出一些受害方和運(yùn)營(yíng)商方面的可以借鑒的經(jīng)驗(yàn)教訓(xùn)。

在用戶方面：

學(xué)院方面沒有使用智能DNS解析來實(shí)現(xiàn)不同運(yùn)營(yíng)商接入用戶從不同線路進(jìn)行訪問，并且沒有異地服務(wù)器節(jié)點(diǎn)與部署多播源發(fā)現(xiàn)協(xié)議MSDP。因?yàn)樵搮f(xié)議原理是當(dāng)網(wǎng)絡(luò)設(shè)備接到對(duì)服務(wù)器的訪問請(qǐng)求，則檢查距離最近的服務(wù)器是否可用，如服務(wù)器不可用，選播機(jī)制將請(qǐng)求轉(zhuǎn)發(fā)給不同地理位置的下一個(gè)服務(wù)器來相應(yīng)請(qǐng)求，同時(shí)能將DDOS帶來的攻擊數(shù)據(jù)自動(dòng)分配到最接近攻擊源的服務(wù)器上[1]。經(jīng)過資料查詢，這個(gè)方式是百度及谷歌等大型全球性網(wǎng)站進(jìn)行流量分擔(dān)的一種策略。由于異地服務(wù)器部署的代價(jià)較大，受經(jīng)費(fèi)及技術(shù)力量所限，在短期內(nèi)無法實(shí)現(xiàn)，但仍舊不失為一種優(yōu)異的防御方式。

目前重要服務(wù)器仍舊是單發(fā)引擎，沒有配置本地負(fù)載均衡設(shè)備和多機(jī)容災(zāi)。大部分服務(wù)器沒有后臺(tái)與前臺(tái)隔離，導(dǎo)致到服務(wù)后臺(tái)直接面向網(wǎng)絡(luò)攻擊，一旦收到大量的搜索頁面或者數(shù)據(jù)庫請(qǐng)求，則癱瘓無法正常工作。而有前臺(tái)與編輯后臺(tái)的機(jī)制則優(yōu)勢(shì)明顯，即使前臺(tái)服務(wù)器癱瘓了，但后臺(tái)數(shù)據(jù)和編輯功能仍舊不受影響，能保護(hù)核心數(shù)據(jù)安全不受侵犯。

大部分的服務(wù)器未能部署反篡改軟件，有許多不安全的的服務(wù)或端口開啟著，如文件共享TCP135 139，有可上傳文件權(quán)限的FTP默認(rèn)用戶存在。在內(nèi)網(wǎng)用戶訪問服務(wù)器時(shí)，沒有內(nèi)網(wǎng)防火墻來過濾數(shù)據(jù)包，只使用了一臺(tái)三層交換機(jī)進(jìn)擴(kuò)展ACL進(jìn)行過濾，服務(wù)器代碼老化少有維護(hù)。鑒于本次事故，受害學(xué)院已經(jīng)邀請(qǐng)測(cè)評(píng)中心對(duì)全域服務(wù)器做全方位的第三方安全檢測(cè)，并出具檢測(cè)報(bào)告并提出相應(yīng)修復(fù)建議。

未注意網(wǎng)絡(luò)安全的木桶效應(yīng)，去彌補(bǔ)最薄弱的環(huán)節(jié)―終端用戶。堡壘往往從內(nèi)部攻破，保護(hù)未能從終端做起。眾所周知WINDOWS系統(tǒng)漏洞非常多，微軟要定期補(bǔ)丁來修復(fù)，所以很容易受到入侵。用戶計(jì)算機(jī)安全意識(shí)較差，無殺毒軟件使用的情況較多，所以造成僵尸機(jī)器橫行。在本次攻擊中抓包發(fā)現(xiàn)不少內(nèi)網(wǎng)機(jī)器已經(jīng)淪為被利用的僵尸機(jī)器，成為被利用的工具，所以要在用戶終端接入方面設(shè)置準(zhǔn)入系統(tǒng)，強(qiáng)制性安裝殺毒軟件及反木馬軟件。目前主要網(wǎng)絡(luò)互聯(lián)節(jié)點(diǎn)及出口處未部署IDS或者IPS，沒有定期對(duì)比數(shù)據(jù)流變化報(bào)告或者安全分析。

防范社會(huì)行為學(xué)行為泄密，在外來人員較多的情況下，需要注意拓?fù)浣Y(jié)構(gòu)、數(shù)據(jù)組成、出口帶寬、部門結(jié)構(gòu)、骨干網(wǎng)規(guī)模方面的信息保密。

在運(yùn)營(yíng)商方：

教育網(wǎng)方面缺乏相應(yīng)的應(yīng)對(duì)此類危害事故的緊急狀態(tài)機(jī)制，同時(shí)由于其自身的科研和公益性等特點(diǎn)，維護(hù)人員組成多為大學(xué)教授和研究生以及少量兼職工程師，所以服務(wù)響應(yīng)與質(zhì)量較大型運(yùn)營(yíng)商有一定的差距。

分配給最終用戶的帶寬過于狹小（10Mbit/s），一次小的攻擊往往就立竿見影起到破壞效果。

全網(wǎng)沒有部署反向路由追蹤功能，造成偽造的IP流量橫行。因?yàn)閁RPF全面部署后能阻斷虛假源IP的攻擊,能提供快速定位能力來杜絕偽造源IP地址的數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸,從而阻斷部分黑客攻擊流量,并對(duì)攻擊的溯源有很大幫助[2]。

有限能力的流量清洗，僅能實(shí)現(xiàn)清洗處下游訪問正常，上游數(shù)據(jù)仍舊被堵塞。江蘇高校的出口上聯(lián)至北京清華維護(hù)中心的帶寬只有數(shù)Gbit/s，所以無法提供更多帶寬來支援被攻擊的學(xué)院。在參考過幾篇聯(lián)通電信技術(shù)人員的相關(guān)文檔論文后，我們也了解到大型運(yùn)營(yíng)商防御分布式攻擊的思路和原理：提供分布式的清洗中心，針對(duì)不同級(jí)別的城域網(wǎng)出口部署不同層次的防DDOS設(shè)備，可以根據(jù)用戶請(qǐng)求手動(dòng)添加被攻擊IP進(jìn)入BGP路由或由設(shè)備發(fā)現(xiàn)攻擊后自動(dòng)添加路由方式，將有問題的流量引導(dǎo)進(jìn)入防DDOS設(shè)備進(jìn)行流量清洗后回灌到原有網(wǎng)絡(luò)中。不同的清洗中心可以互為備份增強(qiáng)清洗效果，如一個(gè)10GB清洗能力的中心，在相互交叉支持的情況下甚至可以1TB帶寬的用戶范圍的保護(hù)。下圖6是引用的清洗流程，源自北京聯(lián)通防DDOS攻擊服務(wù)介紹。

圖6 運(yùn)營(yíng)商流量清洗示意圖

4 反思與展望：

隨著網(wǎng)關(guān)服務(wù)器、交換機(jī)、防火墻、服務(wù)器硬件、操作系統(tǒng)軟件更新升級(jí)由TCP SYN發(fā)起的DDOS攻擊看似得到了緩解。但本次針對(duì)消耗帶寬方式的DDOS攻擊最后仍舊是不了了之，目前我們能做的似乎就僅此而已了。即使大型運(yùn)行商，提供的解決方案或大致思路應(yīng)該也是用ISP的帶寬資源、防御設(shè)備去消耗抵御僵尸網(wǎng)絡(luò)的流量，這也是一個(gè)減法問題，如果未來僵尸網(wǎng)絡(luò)的流量大于ISP能力極限的情況后如何應(yīng)對(duì)，是一個(gè)值得研究的問題。

伴隨著電信聯(lián)通光城市計(jì)劃的推廣，現(xiàn)今寬帶用戶大規(guī)模提速，10M、20M甚至100M家庭入戶已經(jīng)成為現(xiàn)實(shí)，企業(yè)千兆早已不是傳說。即使用于GB流速的出口帶寬，也禁不住越來越強(qiáng)勁的僵尸網(wǎng)絡(luò)攻擊，所以最后提出的問題已經(jīng)逐步有了研究的現(xiàn)實(shí)基礎(chǔ)。正如業(yè)內(nèi)著名的防御DDOS服務(wù)商Arbor Networks 公司首席解決方案專家Roland Dobbins在NANOG 的郵件中所說的：“DDoS 攻擊只是表象，真正的問題根源是僵尸網(wǎng)絡(luò)?！倍┦W(wǎng)絡(luò)的問題，不是一時(shí)半會(huì)兒就能徹底解決的[3]。

參考文獻(xiàn)

[1] DDOS. 嘗試阻止DDOS攻擊[J].網(wǎng)絡(luò)與信息，2011，(04):53. DDOS . Try to stop DDOS Attack [J]. Network and Information，2011，(04):53.

篇2

關(guān)鍵字： 網(wǎng)絡(luò)安全； 攻擊圖； 貝葉斯網(wǎng)絡(luò)； 通用漏洞評(píng)分系統(tǒng)

中圖分類號(hào)： TN915.08?34； TP393 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2013）09?0084?04

0 引 言

網(wǎng)絡(luò)如今運(yùn)行在一個(gè)高科技和開放的環(huán)境中。企業(yè)越來越依靠他們的網(wǎng)絡(luò)在本土和國際市場(chǎng)中競(jìng)爭(zhēng)。世界范圍的廣泛連接既為企業(yè)提供了競(jìng)爭(zhēng)力同時(shí)也將企業(yè)暴露在多種多樣的攻擊前。高科技犯罪和信息的誤用和濫用給越來越多的企業(yè)帶來巨大的損失[1]，隨著網(wǎng)絡(luò)的發(fā)展，自動(dòng)化的評(píng)估網(wǎng)絡(luò)的攻擊漏洞已變得越來越重要。

許多研究者提出了使用攻擊樹和攻擊圖來建模網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估方法[2?3]。通過在模型中尋找攻擊路徑來確定可能導(dǎo)致?lián)p失的狀況。但是，絕大多數(shù)模型并不能定量地分析漏洞的風(fēng)險(xiǎn)，忽略了漏洞之間的相互關(guān)系。

在本文中，介紹一種新方法來構(gòu)建帶標(biāo)記的攻擊圖（AG），攻擊圖中的每個(gè)節(jié)點(diǎn)都標(biāo)注了概率值來表示該漏洞被成功利用的概率，圖中的邊代表了漏洞之間的關(guān)聯(lián)。采用通用漏洞評(píng)分系統(tǒng)（Common Vulnerability Scoring System，CVSS）作為計(jì)算每個(gè)漏洞概率的基礎(chǔ)，并采用貝葉斯網(wǎng)絡(luò)計(jì)算累積的概率。

1 攻擊圖的產(chǎn)生

攻擊圖用來建模如何將漏洞組成一次攻擊的專家知識(shí)，攻擊圖通過使用與網(wǎng)絡(luò)安全相關(guān)的條件表現(xiàn)系統(tǒng)的狀態(tài)。通過攻擊圖，可以看出在那臺(tái)主機(jī)上具有什么樣的漏洞，主機(jī)之間的聯(lián)系，以及漏洞被利用之后的狀態(tài)轉(zhuǎn)變，攻擊圖是一個(gè)有向無環(huán)圖。

篇3

廣州某醫(yī)院擁有專業(yè)技術(shù)人員1100余人、床位850張、專業(yè)學(xué)科43個(gè)，現(xiàn)已發(fā)展成為集醫(yī)療、教學(xué)、科研、預(yù)防、保健、康復(fù)功能于一體的、面向海內(nèi)外開放的綜合性現(xiàn)代化醫(yī)院。隨著信息化的發(fā)展，該醫(yī)院的醫(yī)療系統(tǒng)也進(jìn)入了數(shù)字化和信息化時(shí)代，大型的數(shù)字化醫(yī)療設(shè)備、各種醫(yī)院管理信息系統(tǒng)和醫(yī)療臨床信息系統(tǒng)在醫(yī)院中得到應(yīng)用。數(shù)字化醫(yī)療建設(shè)，不但使醫(yī)院的工作流程發(fā)生了變化，同時(shí)也對(duì)醫(yī)院信息化建設(shè)提出了更高的要求。

目前，該醫(yī)院已應(yīng)用了HIS、EMR、LIS、PACS等信息系統(tǒng)，涵蓋了醫(yī)院日常工作流程，比如掛號(hào)、診療、化驗(yàn)、劃價(jià)、收費(fèi)等，同時(shí)也覆蓋醫(yī)院各個(gè)角落，如病房、藥房、醫(yī)療設(shè)備等。隨著電子病歷、遠(yuǎn)程醫(yī)療的不斷發(fā)展，病人在就醫(yī)過程中的信息將越來越多地以數(shù)字化的方式保存在醫(yī)院的醫(yī)療信息系統(tǒng)中。

如何保證這些醫(yī)療數(shù)據(jù)的安全性、有效性，是醫(yī)院信息系統(tǒng)所面臨的、不可回避的問題。

2011年底，該醫(yī)院新大樓建成，華僑醫(yī)院的信息網(wǎng)絡(luò)改造項(xiàng)目也同步啟動(dòng)。這次改造不僅要提高網(wǎng)絡(luò)與信息系統(tǒng)基礎(chǔ)設(shè)施建設(shè)，而且還將信息系統(tǒng)安全建設(shè)納入其中。該醫(yī)院的信息安全主管人員清醒地認(rèn)識(shí)到：醫(yī)院信息系統(tǒng)的正常運(yùn)行，不僅包含網(wǎng)絡(luò)、主機(jī)設(shè)備的正常運(yùn)行，還包括存儲(chǔ)在醫(yī)院應(yīng)用系統(tǒng)中的各種數(shù)據(jù)的安全性和可靠性得到保障。

此前，該醫(yī)院的信息系統(tǒng)已部署了防火墻、入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)防病毒系統(tǒng)等安全產(chǎn)品。為了此次新大樓的網(wǎng)絡(luò)安全改造建設(shè)，醫(yī)院邀請(qǐng)產(chǎn)品供應(yīng)商和業(yè)界優(yōu)秀的公司共同探討新信息系統(tǒng)的安全建設(shè)方案。該醫(yī)院希望其安全建設(shè)方案能夠?qū)崿F(xiàn)以下功能：既要考慮現(xiàn)有系統(tǒng)的安全、有效運(yùn)行，又要兼顧華僑醫(yī)院未來五年的信息化發(fā)展。

作為該醫(yī)院原有信息安全產(chǎn)品供應(yīng)商，北京冠群金辰軟件有限公司（簡(jiǎn)稱冠群金辰）也參與了新信息系統(tǒng)的安全建設(shè)，并提出針對(duì)該醫(yī)院的安全解決方案建議。

解決之道

冠群金辰認(rèn)為，該醫(yī)院現(xiàn)有信息安全系統(tǒng)中的防火墻、防毒墻、IDS和防病毒的防護(hù)架構(gòu)可以保留，但隨著醫(yī)院新大樓投入使用，網(wǎng)絡(luò)中的終端節(jié)點(diǎn)會(huì)增多，網(wǎng)絡(luò)流量將大幅增長(zhǎng)，所以，需要對(duì)現(xiàn)有防火墻、IDS等系統(tǒng)進(jìn)行升級(jí)，提升現(xiàn)有防護(hù)系統(tǒng)的處理能力，以適應(yīng)網(wǎng)絡(luò)提速的要求，保障正常的網(wǎng)絡(luò)業(yè)務(wù)運(yùn)行；同時(shí)，針對(duì)網(wǎng)絡(luò)中新增的客戶端節(jié)點(diǎn)，繼續(xù)部署防病毒系統(tǒng)和終端安全管理系統(tǒng)，以應(yīng)對(duì)越來越復(fù)雜的終端安全防護(hù)問題。

針對(duì)目前醫(yī)院網(wǎng)站服務(wù)器保護(hù)的安全盲點(diǎn)，冠群金辰提出了針對(duì)Web網(wǎng)站安全建議：使用專業(yè)的網(wǎng)站防護(hù)系統(tǒng)采用層次化的Web主動(dòng)防護(hù)技術(shù)，對(duì)醫(yī)院網(wǎng)站服務(wù)器進(jìn)行有效防護(hù)。

實(shí)際上，冠群金辰為該醫(yī)院提出的網(wǎng)絡(luò)安全整體解決方案涵蓋了從邊界、網(wǎng)絡(luò)到主機(jī)，多層次的縱深防御體系。該方案在邊界通過防火墻、物理隔離設(shè)備將非法訪問、病毒、入侵攻擊等阻擋在網(wǎng)絡(luò)外部。在網(wǎng)絡(luò)層面，該解決方案對(duì)網(wǎng)絡(luò)中的流量進(jìn)行檢測(cè)，查找正在發(fā)生或?qū)⒁l(fā)生的網(wǎng)絡(luò)攻擊，并及時(shí)采取措施，比如報(bào)警、阻斷、記錄等。

對(duì)于網(wǎng)絡(luò)安全中常見的病毒、信息泄露等安全威脅，該方案中的防病毒軟件和終端安全管理系統(tǒng)為主機(jī)系統(tǒng)提供了基本的安全保障。

冠群金辰為此方案提供了KILL系列安全產(chǎn)品，即KILL防火墻、KILL入侵檢測(cè)系統(tǒng)、KILL上網(wǎng)行為管理系統(tǒng)、KILL防毒墻、KILL網(wǎng)絡(luò)防病毒系統(tǒng)、KILL終端安全管理系統(tǒng)和KILL Web安全網(wǎng)關(guān)，為該醫(yī)院的網(wǎng)絡(luò)構(gòu)筑了一個(gè)多層次的安全防護(hù)體系。從網(wǎng)絡(luò)訪問控制、流量控制、入侵攻擊、病毒查殺、終端準(zhǔn)入和Web防護(hù)等方面，該方案對(duì)該醫(yī)院的網(wǎng)絡(luò)提供全面的安全保護(hù)。

篇4

而在目前的全球化競(jìng)爭(zhēng)環(huán)境下，災(zāi)難影響、病毒侵襲、網(wǎng)絡(luò)安全等都能導(dǎo)致企業(yè)IT系統(tǒng)中斷。因此，包括惠普在內(nèi)的很多領(lǐng)先的IT廠商，都從上述這幾個(gè)方面出發(fā)，提供包括業(yè)務(wù)連續(xù)性規(guī)劃、容災(zāi)備份、信息和網(wǎng)絡(luò)安全等一系列全面的業(yè)務(wù)連續(xù)性與高可用性解決方案，幫助企業(yè)合理規(guī)避風(fēng)險(xiǎn)，實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)的連續(xù)運(yùn)營(yíng)。

業(yè)務(wù)連續(xù)規(guī)劃：描繪業(yè)務(wù)持續(xù)運(yùn)營(yíng)的總體藍(lán)圖

為保證企業(yè)從災(zāi)難中生存并迅速恢復(fù)正常，惠普提供了業(yè)務(wù)連續(xù)規(guī)劃解決方案，這是一種以IT為主的運(yùn)作計(jì)劃，包含一系列針對(duì)業(yè)務(wù)持續(xù)運(yùn)行和災(zāi)難恢復(fù)的策略、手段、條件設(shè)定以及人力資源安排，其目的是為了使企業(yè)面對(duì)意外的災(zāi)難時(shí)可以從容面對(duì)，將損失降低到最小限度?；萜諛I(yè)務(wù)連續(xù)規(guī)劃詳細(xì)說明了企業(yè)發(fā)生人為破壞或自然災(zāi)害時(shí)對(duì)各種潛在危害企業(yè)的事件所采取的策略和過程，幫助企業(yè)遠(yuǎn)離災(zāi)難，保障企業(yè)業(yè)務(wù)的連續(xù)性運(yùn)行。(見圖1)

惠普的資深咨詢顧問將與企業(yè)一起首先明確業(yè)務(wù)連續(xù)計(jì)劃的范圍與目標(biāo)，以確定計(jì)劃將保護(hù)的范圍、恢復(fù)的要求與恢復(fù)的目標(biāo)。其次，通過風(fēng)險(xiǎn)的評(píng)估分析合理定義風(fēng)險(xiǎn)，從而達(dá)到降低與管理風(fēng)險(xiǎn)的目的。然后進(jìn)入業(yè)務(wù)影響分析階段，這主要是對(duì)企業(yè)業(yè)務(wù)系統(tǒng)進(jìn)行標(biāo)準(zhǔn)化定義。確定了風(fēng)險(xiǎn)和影響之后，惠普就會(huì)制定合理的策略來滿足企業(yè)的成本效益和恢復(fù)時(shí)間目標(biāo)。當(dāng)所有業(yè)務(wù)連續(xù)架構(gòu)構(gòu)建完成后，惠普還將對(duì)業(yè)務(wù)連續(xù)計(jì)劃進(jìn)行預(yù)演，以確定其是否滿足業(yè)務(wù)需要和達(dá)到設(shè)定的恢復(fù)目標(biāo)。

容災(zāi)備份：防患于未然的有力保證

為了防患于未然，以備份的數(shù)據(jù)幫助企業(yè)實(shí)現(xiàn)災(zāi)難時(shí)的連續(xù)運(yùn)營(yíng)，惠普向客戶提供全方位的容災(zāi)備份解決方案?；萜諏⒊浞挚紤]到企業(yè)IT環(huán)境現(xiàn)狀、企業(yè)發(fā)展、組織結(jié)構(gòu)、分支機(jī)構(gòu)、地域、鏈路等諸多因素，對(duì)企業(yè)的業(yè)務(wù)應(yīng)用、數(shù)據(jù)庫、網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)復(fù)制、災(zāi)難恢復(fù)以及性能等諸多方面，進(jìn)行滿足容災(zāi)備份要求的統(tǒng)一設(shè)計(jì)與規(guī)劃?；萜湛梢愿鶕?jù)客戶環(huán)境和需求的不同，設(shè)計(jì)多層次多級(jí)別的容災(zāi)模式，形成靈活多樣的容災(zāi)拓?fù)浣Y(jié)構(gòu)。通過洲際群集系統(tǒng)，實(shí)現(xiàn)跨地區(qū)、跨城市、跨洲際的自動(dòng)切換，實(shí)現(xiàn)企業(yè)發(fā)生災(zāi)難時(shí)業(yè)務(wù)的連續(xù)性運(yùn)行。

惠普提供的容災(zāi)備份解決方案，不是簡(jiǎn)單的硬件產(chǎn)品的結(jié)構(gòu)的建立，更重要的是對(duì)企業(yè)容災(zāi)系統(tǒng)進(jìn)行統(tǒng)一的規(guī)劃、咨詢和合理的設(shè)計(jì)，并會(huì)為客戶提供一整套方法論，通過風(fēng)險(xiǎn)管理與業(yè)務(wù)影響分析、流程開發(fā)、業(yè)務(wù)連續(xù)計(jì)劃、實(shí)現(xiàn)、預(yù)演、交接驗(yàn)收等六個(gè)階段，提供全面的業(yè)務(wù)連續(xù)與容災(zāi)備份的咨詢與集成服務(wù)。

信息與網(wǎng)絡(luò)安全：全方位服務(wù)的放心工程

病毒侵襲、黑客攻擊等網(wǎng)絡(luò)和信息安全問題，已經(jīng)是當(dāng)今任何企業(yè)不能回避的問題。目前業(yè)內(nèi)對(duì)此已達(dá)成共識(shí)：安全是一個(gè)動(dòng)態(tài)的、整體的、持續(xù)性的問題。對(duì)此，惠普出于從最大程度上提高信息系統(tǒng)整體安全的水平和預(yù)防安全事件發(fā)生的角度來考慮，幫助企業(yè)建立的信息安全系統(tǒng)不僅僅局限于若干安全產(chǎn)品的簡(jiǎn)單意義上的集成，而是從技術(shù)、人員和管理流程三個(gè)方面構(gòu)建完善的安全體系，提供一種全方位的安全服務(wù)，提高企業(yè)關(guān)鍵業(yè)務(wù)系統(tǒng)的可用性和可靠性。

惠普不僅遵循和參照最新的、最權(quán)威的、最具有代表性的國家和國際信息安全標(biāo)準(zhǔn)，進(jìn)行企業(yè)安全方案設(shè)計(jì)和實(shí)施。而且，惠普同時(shí)提供風(fēng)險(xiǎn)管理服務(wù)、安全戰(zhàn)略服務(wù)、安全基礎(chǔ)架構(gòu)服務(wù)、安全技術(shù)實(shí)施服務(wù)，以及入侵檢測(cè)、安全掃描、病毒防范、訪問控制、身份認(rèn)證、單一用戶登錄、防火墻、公共密鑰基礎(chǔ)設(shè)施(PKI)等相關(guān)技術(shù)。(見圖2)

篇5

中國移動(dòng)

中國移動(dòng)主要針對(duì)終端使用安全展覽，手機(jī)詐騙防治、手機(jī)病毒軟件治理、網(wǎng)絡(luò)病毒監(jiān)控處置、客戶信息和保護(hù)、偽基站專項(xiàng)治理等內(nèi)容均圍繞目前備受關(guān)注的終端安全帶來的如信息盜取、金融詐騙等問題，提供電信級(jí)的的規(guī)避和防護(hù)手段。

中國電信

中國電信以“天翼?安全可信賴”為主題，同時(shí)關(guān)注個(gè)人用戶與企業(yè)用戶。記者在現(xiàn)場(chǎng)了解到，中國電信此次主要展出的加密通信、安全辦公、云堤、網(wǎng)站安全專家、安全手機(jī)、垃圾短信治理、通訊信息詐騙、惡意程序防治共八個(gè)主要內(nèi)容。

其中，安全手機(jī)及加密通信等產(chǎn)品為個(gè)人用戶提供“端到端”的通信加密服務(wù)，能夠大大降低日前被曝光的信息詐騙案件。

中國電信此次展出的一大亮點(diǎn)是其整合“云、管、端”資源的辦公應(yīng)用類APP“安全辦公”和運(yùn)營(yíng)商級(jí)DDOS安全防護(hù)產(chǎn)品“云堤”兩大面向企業(yè)用戶的產(chǎn)品。結(jié)合為政企客戶網(wǎng)站提供的實(shí)時(shí)網(wǎng)站安全監(jiān)控、網(wǎng)絡(luò)安全防護(hù)及專家服務(wù)的“網(wǎng)站安全專家”，從終端、網(wǎng)絡(luò)到數(shù)據(jù)中心，為企業(yè)移動(dòng)信息化保駕護(hù)航。

關(guān)鍵詞1：安全服務(wù)

三大運(yùn)營(yíng)商展出的服務(wù)與首屆相比，顯得更接地氣，主要針對(duì)企業(yè)客戶在移動(dòng)信息化過程中面對(duì)的安全隱患與危害個(gè)人客戶切身利益的具體內(nèi)容展開。運(yùn)營(yíng)商作為成為電信服務(wù)的提供者與保障者，“安全服務(wù)”成為其聚焦重點(diǎn)，更多顯示出的是面向社會(huì)推進(jìn)網(wǎng)絡(luò)安全的正能量。

騰訊開始安全領(lǐng)域戰(zhàn)略布局

在宣傳周公眾體驗(yàn)展，騰訊聯(lián)手知道創(chuàng)宇公司打造了最大最引人矚目的展臺(tái)。而在內(nèi)容方面，此次騰訊重點(diǎn)圍繞與用戶切身安全和利益相關(guān)內(nèi)容展開，如反信息詐騙、支付安全、智能硬件設(shè)備安全等方面，包括TAV自研殺毒引擎、安全云庫、騰訊手機(jī)管家、騰訊電腦管家等產(chǎn)品。除了聯(lián)手亮相的知道創(chuàng)宇，騰訊在網(wǎng)絡(luò)安全周期間與啟明星辰共同簽署協(xié)議，開啟企業(yè)安全戰(zhàn)略合作，更加可以看出騰訊在安全領(lǐng)域布局的思路，通過投資及戰(zhàn)略合作的方式，加快在政企安全市場(chǎng)的布局。

中國聯(lián)通中國聯(lián)通面向政企及行業(yè)客戶的安全解決方案此次全數(shù)亮相，與聯(lián)通政企業(yè)務(wù)相結(jié)合的安全即時(shí)通信、網(wǎng)絡(luò)流量清洗、網(wǎng)絡(luò)攻擊與防護(hù)等成為企業(yè)客戶關(guān)注重點(diǎn)。同時(shí)，基于聯(lián)通4G網(wǎng)絡(luò)完善的終端、網(wǎng)絡(luò)、應(yīng)用端到端的全方位的安全體系架構(gòu)與不良信息監(jiān)測(cè)系統(tǒng)等六大信息安全系統(tǒng)，突出其智能的安全感知能力，應(yīng)對(duì)LTE特有的安全威脅，全方位保障4G網(wǎng)絡(luò)安全運(yùn)營(yíng)。

百度人工智能構(gòu)建安全生態(tài)體系

百度此次主推基于其“人工智能安全技術(shù)”，并在現(xiàn)場(chǎng)向觀眾展示了百度通過人工智能技術(shù)，對(duì)互聯(lián)網(wǎng)安全預(yù)警、感知、查殺等多項(xiàng)創(chuàng)新，包括BaiduEye、百度筷搜等貼近生活的智能硬件將安全的概念延伸到生活的細(xì)節(jié)中。記者了解到，目前百度已經(jīng)構(gòu)建起了從手機(jī)、PC到云端三位一體的完整安全生態(tài)體系，并形成聯(lián)動(dòng)。在展會(huì)現(xiàn)場(chǎng)，百度“全國實(shí)時(shí)偽基站監(jiān)測(cè)地圖”和“全國網(wǎng)站攻擊實(shí)況地圖”再度亮相，實(shí)時(shí)全流量監(jiān)控，通過大數(shù)據(jù)智能分析及挖掘技術(shù)，呈現(xiàn)全國的偽基站分布和木馬病毒等檢測(cè)情況。

篇6

關(guān)鍵詞:網(wǎng)絡(luò)安全;醫(yī)院網(wǎng)絡(luò);防火墻

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)26-7364-02

Hospital-based Network Security Solutions

SUN Ping-bo

(Department of Information, Changhai Hospital, Shanghai 200433, China)

Abstract: The hospital network security is to protect the basis of normal medical practice, this paper, the hospital network security solutions design and implementation of safety programs related to the model, firewalls isolation, and health care business data capture. This article is the construction of the hospital network security system to provide a reference for the role.

Key words: network security; the hospital network; firewall

隨著科學(xué)技術(shù)的發(fā)展和信息時(shí)代的來臨,幾乎所有的醫(yī)院都建立了信息網(wǎng)絡(luò),實(shí)現(xiàn)了信息資源的網(wǎng)絡(luò)共享。但在具體建設(shè)這個(gè)醫(yī)院網(wǎng)絡(luò)平臺(tái)時(shí)中,往往都只重視怎樣迅速把平臺(tái)搭建起來和能夠馬上投入使用,而忽視了在醫(yī)院網(wǎng)絡(luò)平臺(tái)建設(shè)過程中信息安全的建設(shè),包括如何保障醫(yī)療業(yè)務(wù)的正常進(jìn)行、患者及醫(yī)生信息的合法訪問,如何使醫(yī)院網(wǎng)絡(luò)平臺(tái)免受黑客、病毒、惡意軟件和其它不良意圖的攻擊已經(jīng)成為急需解決的問題。

1 醫(yī)院網(wǎng)絡(luò)安全解決方案的設(shè)計(jì)

1.1網(wǎng)絡(luò)方案的模型

本文研究的醫(yī)院網(wǎng)絡(luò)安全解決方案是采用基于主動(dòng)策略的醫(yī)院網(wǎng)絡(luò)安全系統(tǒng),它的主導(dǎo)思想是圍繞著P2DR模型思想建立一個(gè)完整的信息安全體系框架。P2DR模型最早是由ISS公司提出的動(dòng)態(tài)安全模型的代表性模型,它主要包含4個(gè)部分:安全策略(Policy)、防護(hù)(Protection)、檢測(cè)(Detection)和響應(yīng)(Response)。

安全策略是P2DR安全模型的核心。在整體安全策略的控制和指導(dǎo)下,運(yùn)用防護(hù)工具(防火墻、操作系統(tǒng)身份認(rèn)證、加密等)對(duì)網(wǎng)絡(luò)進(jìn)行安全防護(hù);利用檢測(cè)工具(如漏洞掃描、入侵檢測(cè)系統(tǒng)等等)了解和評(píng)估系統(tǒng)的安全狀態(tài),檢測(cè)針對(duì)系統(tǒng)的攻擊行為;通過適當(dāng)?shù)姆磻?yīng)機(jī)制將系統(tǒng)的安全狀態(tài)提升到最優(yōu)狀態(tài)。這個(gè)過程是一個(gè)動(dòng)態(tài)的、不斷循環(huán)的過程,檢測(cè)到的威脅將作為響應(yīng)和加強(qiáng)防護(hù)的依據(jù),防護(hù)加強(qiáng)后,將繼續(xù)進(jìn)行檢測(cè)過程,依次循環(huán)下去,從而達(dá)到網(wǎng)絡(luò)安全性不斷增強(qiáng)的目的[1]。

根據(jù)對(duì)網(wǎng)絡(luò)安全的技術(shù)分析和設(shè)計(jì)目標(biāo),醫(yī)院網(wǎng)絡(luò)安全解決方案要解決7個(gè)實(shí)現(xiàn)的技術(shù)問題,分別是:數(shù)據(jù)檢測(cè),入侵行為控制,行為分析,行為記錄,服務(wù)模擬,行為捕獲和數(shù)據(jù)融合。醫(yī)院網(wǎng)絡(luò)安全解決方案以P2DR模型為基礎(chǔ),合理利用主動(dòng)防御技術(shù)和被動(dòng)防御技術(shù)來構(gòu)建動(dòng)態(tài)安全防御體系,根據(jù)現(xiàn)有安全措施和工具,在安全策略的基礎(chǔ)上,提出基于主動(dòng)策略的醫(yī)院網(wǎng)絡(luò)安全方案模型,如圖1所示。

醫(yī)院網(wǎng)絡(luò)安全解決方案模型入侵檢測(cè)監(jiān)視網(wǎng)絡(luò)的異常情況,當(dāng)發(fā)現(xiàn)有可疑行為或者入侵行為時(shí),將監(jiān)測(cè)結(jié)果通知入侵行為控制,并將可疑行為數(shù)據(jù)傳給服務(wù)模擬;服務(wù)模擬在入侵行為控制的監(jiān)控下向可疑行為提供服務(wù),并調(diào)用行為捕獲對(duì)系統(tǒng)所有活動(dòng)作嚴(yán)格和詳細(xì)的記錄;數(shù)據(jù)融合定期地從行為記錄的不同數(shù)據(jù)源提取數(shù)據(jù),按照統(tǒng)一數(shù)據(jù)格式整理、融合、提煉后,一發(fā)給行為分析,對(duì)可疑行為及入侵行為作進(jìn)一步分析,同時(shí)通知入侵行為控制對(duì)入侵行為進(jìn)行控制,并提取未知攻擊特征通過入侵行為控制對(duì)入侵檢測(cè)知識(shí)庫進(jìn)行更新,將新的模式添加進(jìn)去。

1.2 防火墻隔離的設(shè)計(jì)

防火墻技術(shù)是醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)中使用最廣泛的一項(xiàng)網(wǎng)絡(luò)安全技術(shù)。它的作用是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)入被保護(hù)的內(nèi)部網(wǎng)絡(luò),通過邊界控制強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全策略。在醫(yī)院網(wǎng)絡(luò)中,既有允許被內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)同時(shí)訪問的一些應(yīng)用服務(wù)器(如醫(yī)療費(fèi)用查詢系統(tǒng)、專家號(hào)預(yù)約系統(tǒng)、病情在線咨詢系統(tǒng)等),也有只允許醫(yī)院網(wǎng)絡(luò)內(nèi)部之間進(jìn)行通信,不可以外部網(wǎng)絡(luò)訪問的內(nèi)部網(wǎng)絡(luò)[2]。因此,對(duì)應(yīng)用服務(wù)器和內(nèi)部網(wǎng)絡(luò)應(yīng)該采用不同的安全策略。

本文研究的醫(yī)院網(wǎng)絡(luò)安全解決方案采用的是屏蔽子網(wǎng)結(jié)構(gòu)的防火墻配置。將應(yīng)用服務(wù)器放置在屏蔽子網(wǎng)機(jī)構(gòu)中的DMZ區(qū)域內(nèi),由外部防火墻保護(hù),內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的用戶都可以訪問該區(qū)域。內(nèi)部網(wǎng)絡(luò)除了外部防火墻的保護(hù)外。還采用堡壘主機(jī)(服務(wù)器)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行更加深一些層的保護(hù)。通過核心交換機(jī)的路由功能將想要進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包路由到服務(wù)器中,由包過濾原則。過濾一些內(nèi)部網(wǎng)絡(luò)不應(yīng)看到的網(wǎng)站信息等。內(nèi)部路由器將所有內(nèi)部用戶到因特網(wǎng)的訪問均路由到服務(wù)囂,服務(wù)器進(jìn)行地址翻譯。為這些用戶提供服務(wù).以此屏蔽內(nèi)部網(wǎng)絡(luò)。這種結(jié)構(gòu)使得應(yīng)用服務(wù)器與內(nèi)部網(wǎng)絡(luò)采用不同級(jí)別的安全策略,既實(shí)現(xiàn)醫(yī)院網(wǎng)絡(luò)的需求,也保護(hù)醫(yī)院網(wǎng)絡(luò)的安全。防火墻系統(tǒng)結(jié)構(gòu)設(shè)計(jì)如圖2所示。

雖然防火墻系統(tǒng)能夠?yàn)獒t(yī)院的網(wǎng)絡(luò)提供很多安全方面的保障,但并不能夠解決全部安全問題。因此,醫(yī)院的網(wǎng)絡(luò)安全系統(tǒng)還采取了其他的網(wǎng)絡(luò)安全技術(shù)和手段來確保醫(yī)院網(wǎng)絡(luò)的安全。

1.3 醫(yī)療業(yè)務(wù)數(shù)據(jù)的捕獲

如果本文研究的醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)不能捕獲到任何數(shù)據(jù),那它將是一堆廢物。只有捕獲到數(shù)據(jù),我們才能利用這些數(shù)據(jù)研究攻擊者的技術(shù)、工具和動(dòng)機(jī)。本文設(shè)計(jì)的醫(yī)院安全系統(tǒng)實(shí)現(xiàn)了三層數(shù)據(jù)捕獲,即防火墻日志、嗅探器捕獲的網(wǎng)絡(luò)數(shù)據(jù)包、管理主機(jī)系統(tǒng)日志。

其中,嗅探器記錄各種進(jìn)出醫(yī)院內(nèi)管理網(wǎng)的數(shù)據(jù)包內(nèi)容,嗅探器可以用各種工具,如Ethereal等,我們使用了Tcpdump。記錄的數(shù)據(jù)以Tcpdump日志的格式進(jìn)行存儲(chǔ),這些數(shù)據(jù)不僅以后可用通過Tcpreplay進(jìn)行回放,也可以在無法分析數(shù)據(jù)時(shí),發(fā)送給別的研究人員進(jìn)行分析。

防火墻和嗅探器捕獲的是網(wǎng)絡(luò)數(shù)據(jù),還需要捕獲發(fā)生有管理主機(jī)上的所有系統(tǒng)和用戶活動(dòng)。對(duì)于windows系統(tǒng),可以借助第三方應(yīng)用程序來記錄系統(tǒng)日志信息。現(xiàn)在大多數(shù)的攻擊者都會(huì)使用加密來與被黑系統(tǒng)進(jìn)行通信。要捕獲擊鍵行為,需要從管理主機(jī)中獲得,如可以通過修改系統(tǒng)庫或者開發(fā)內(nèi)核模塊來修改內(nèi)核從而記錄下攻擊者的行為。

2 醫(yī)院網(wǎng)絡(luò)安全解決方案的實(shí)現(xiàn)

2.1 防火墻系統(tǒng)的布置

本文研究的醫(yī)院防火墻系統(tǒng)采用的是屏蔽子網(wǎng)結(jié)構(gòu),在該結(jié)構(gòu)中,采用Quidway SecPath 1000F硬件防火墻與外部網(wǎng)絡(luò)直接相連,通過核心交換機(jī)Quidway S6506R將屏蔽子網(wǎng)結(jié)構(gòu)中的DMZ區(qū)域和內(nèi)部網(wǎng)絡(luò)連接起來,DMZ區(qū)域中的各種應(yīng)用的服務(wù)器都采用的是IBM xSeries 346,其中一臺(tái)作為堡壘主機(jī)使用。這臺(tái)堡壘主機(jī)起到的就是服務(wù)器的作用。防火墻根據(jù)管理員設(shè)定的安全規(guī)則保護(hù)內(nèi)部網(wǎng)絡(luò),提供完善的安全設(shè)置,通過高性能的醫(yī)院網(wǎng)絡(luò)核心進(jìn)行訪問控制。

2.2 醫(yī)療業(yè)務(wù)數(shù)據(jù)捕獲的實(shí)現(xiàn)

本文研究的數(shù)據(jù)捕獲主要從三層進(jìn)行數(shù)據(jù)捕獲。我們?cè)诰W(wǎng)橋下運(yùn)行如下命令進(jìn)行捕獲:

TCPDUMP -c 10 Ci eth1 -s 0 Cw /log

為了不讓攻擊者知道我們?cè)诒O(jiān)視他在主機(jī)上的活動(dòng),我們采用Sebek來實(shí)現(xiàn)我們的目標(biāo)。Sebek是個(gè)隱藏的記錄攻擊者行為的內(nèi)核補(bǔ)丁。一旦在主機(jī)上安裝了Sebek的客戶端,它就在系統(tǒng)的內(nèi)核級(jí)別運(yùn)行,記錄的數(shù)據(jù)并不是記錄在本地硬盤上,而是通過UDP數(shù)據(jù)包發(fā)送到遠(yuǎn)程服務(wù)器上,入侵者很難發(fā)現(xiàn)它的存在。

醫(yī)院的網(wǎng)絡(luò)安全系統(tǒng)數(shù)據(jù)捕獲是由內(nèi)核模塊來完成的,本文研究使用這個(gè)模塊獲得主機(jī)內(nèi)核空間的訪問,從而捕獲所有read()的數(shù)據(jù)。Sebek替換系統(tǒng)調(diào)用表的read()函數(shù)來實(shí)現(xiàn)這個(gè)功能,這個(gè)替換的新函數(shù)只是簡(jiǎn)單的調(diào)用老read()函數(shù),并且把內(nèi)容拷貝到一個(gè)數(shù)據(jù)包緩存,然后加上一個(gè)頭,再把這個(gè)數(shù)據(jù)包發(fā)送到服務(wù)端。替換原來的函數(shù)就是改變系統(tǒng)調(diào)用表的函數(shù)指針。

本文通過配置參數(shù)決定了Sebek收集什么樣的信息,發(fā)送信息的目的地。以下就是一個(gè)linux配置文件的實(shí)例:

INTERFACE="eth0" //設(shè)定接口

DESTINATION_IP="172.17.1.2" //設(shè)定遠(yuǎn)程服務(wù)器IP

DESTINATION_MAC="00:0C:29:I5:96:6E" //設(shè)定遠(yuǎn)程服務(wù)器MAC

SOURCE_PORT=1101 //設(shè)定源地址UDP端口

DESTINATION_PORT=1101 //設(shè)定目標(biāo)地址UDP端口

MAGIC_VALUE=XXXXX //如果同一網(wǎng)段有多個(gè)客戶端,則設(shè)定相同的數(shù)值

KEYSTOKE_ONLY=1 //是否只記錄鍵擊記錄

3 結(jié)束語

該文對(duì)醫(yī)院網(wǎng)絡(luò)安全的解決方案進(jìn)行了較深入的研究,但該系統(tǒng)采用的技術(shù)也不能說是完善的,一方面因?yàn)樗鼈円苍诓粩喟l(fā)展中,另一方面是因?yàn)樵O(shè)計(jì)者的水平有局限。比如醫(yī)院網(wǎng)絡(luò)的數(shù)據(jù)捕獲技術(shù),它本身就是一個(gè)十分復(fù)雜的技術(shù)問題,解決的手段也是多樣的。

參考文獻(xiàn):

篇7

摘  要  隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的it技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。     關(guān)鍵詞  信息安全；pki；ca；vpn   1  引言     隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營(yíng)管理帶來了更大的經(jīng)濟(jì)效益，但隨之而來的安全問題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對(duì)企業(yè)信息安全提出了更高的要求。     隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的it技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。面對(duì)這瞬息萬變的市場(chǎng)，企業(yè)就面臨著如何提高自身核心競(jìng)爭(zhēng)力的問題，而其內(nèi)部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等，又時(shí)刻在制約著自己，企業(yè)采用pki技術(shù)來解決這些問題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競(jìng)爭(zhēng)力的重要手段。     在下面的描述中，以某公司為例進(jìn)行說明。 2  信息系統(tǒng)現(xiàn)狀 2.1  信息化整體狀況     1)計(jì)算機(jī)網(wǎng)絡(luò)     某公司現(xiàn)有計(jì)算機(jī)500余臺(tái)，通過內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)在同一網(wǎng)段，通過交換機(jī)連接。

圖1      2)應(yīng)用系統(tǒng)     經(jīng)過多年的積累，某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善，計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。 2.2  信息安全現(xiàn)狀     為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目，基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。 3  風(fēng)險(xiǎn)與需求分析 3.1  風(fēng)險(xiǎn)分析     通過對(duì)我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：     (1)經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。     (2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對(duì)數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。     通過對(duì)現(xiàn)有的信息安全體系的分析，也可以看出：隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加，某公司的信息安全無論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：     (1)系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。 目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的，主要工作集中于網(wǎng)絡(luò)安全，對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證，對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問都停留在用戶名/密碼的簡(jiǎn)單認(rèn)證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。     當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。     針對(duì)外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對(duì)信息安全造成威脅，并且可以各種更加方便的手段對(duì)信息安全造成威脅，比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。     美國聯(lián)邦調(diào)查局(fbi)和計(jì)算機(jī)安全機(jī)構(gòu)(csi)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn)：超過80%的信息安全隱患是來自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。 信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。     (2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì)，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級(jí)。     已購買的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性，擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。     網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運(yùn)營(yíng)、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期，在規(guī)劃的過程中，就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段，用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。 3.2  需求分析     如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：     (1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。     (2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。     (3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。     (4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。 4  設(shè)計(jì)原則     安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。 4.1  標(biāo)準(zhǔn)化原則     本方案參照信息安全方面的國家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。 4.2  系統(tǒng)化原則     信息安全是一個(gè)復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮，既注重技術(shù)的實(shí)現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。 4.3  規(guī)避風(fēng)險(xiǎn)原則     安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動(dòng)，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行，這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí)，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。 4.4  保護(hù)投資原則     由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護(hù)信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí)，對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。 4.5  多重保護(hù)原則     任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。 4.6  分步實(shí)施原則     由于某公司應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問題是不現(xiàn)實(shí)的。針對(duì)安全體系的特性，尋求安全、風(fēng)險(xiǎn)、開銷的平衡，采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費(fèi)用開支。

5  設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署     信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終，如圖2所示。 圖2  網(wǎng)絡(luò)與信息安全防范體系模型     信息安全又是相對(duì)的，需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡，通過對(duì)某公司信息化和信息安全現(xiàn)狀的分析，對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過與計(jì)算機(jī)專業(yè)公司接觸，初步確定了本次安全項(xiàng)目的內(nèi)容。通過本次安全項(xiàng)目的實(shí)施，基本建成較完整的信息安全防范體系。 5.1 網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施     證書認(rèn)證系統(tǒng)無論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái)，都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問題的最佳方案當(dāng)數(shù)應(yīng)用pki/ca數(shù)字認(rèn)證服務(wù)。pki(public key infrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的pki/ca數(shù)字認(rèn)證服務(wù)。通過建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái)，能夠通過這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo)：     身份認(rèn)證(authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認(rèn)對(duì)方的身份。     數(shù)據(jù)的機(jī)密性(confidentiality)：對(duì)敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。     數(shù)據(jù)的完整性(integrity)：確保通信信息不被破壞(截?cái)嗷虼鄹?，通過哈希函數(shù)和數(shù)字簽名來完成。     不可抵賴性(non-repudiation)：防止通信對(duì)方否認(rèn)自己的行為，確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé)，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。 5.2  邊界防護(hù)和網(wǎng)絡(luò)的隔離     vpn(virtual private network)虛擬專用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)(如internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴?    通過安裝部署vpn系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程lan的安全連接。     集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過濾技術(shù)，可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。     集中的安全策略管理可以對(duì)整個(gè)vpn網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。 5.3  安全電子郵件     電子郵件是internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn)，電子郵件存在著很大的安全隱患。     目前廣泛應(yīng)用的電子郵件客戶端軟件如 outlook 支持的 s/mime( secure multipurpose internet mail extensions )，它是從 pem(privacy enhanced mail) 和 mime(internet 郵件的附件標(biāo)準(zhǔn) ) 發(fā)展而來的。首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織 ( 根證書 ) 之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹狀的。其次， s/mime 將信件內(nèi)容加密簽名后作為特殊的附件傳送。 保證了信件內(nèi)容的安全性。 5.4  桌面安全防護(hù)     對(duì)企業(yè)信息安全的威脅不僅來自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來自于企業(yè)內(nèi)部。同時(shí)，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對(duì)企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等，因此，對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。     桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個(gè)整體，是針對(duì)客戶端安全的整體解決方案。     1)電子簽章系統(tǒng)     利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無縫嵌入office系統(tǒng)，用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章，或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。     2) 安全登錄系統(tǒng)     安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。     3)文件加密系統(tǒng)     文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標(biāo)準(zhǔn)安全算法或國家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲(chǔ)數(shù)據(jù)的安全性。 5.5  身份認(rèn)證     身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程?；趐ki的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。usb key是一種usb接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用usb key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。     基于pki的usb key的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。 6  方案的組織與實(shí)施方式     網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應(yīng)對(duì)。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過程，也為本方案的實(shí)施提供了借鑒。 圖3     因此在本方案的組織和實(shí)施中，除了工程的實(shí)施外，還應(yīng)重視以下各項(xiàng)工作：     (1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上，方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對(duì)性和投資的回報(bào)。     (2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時(shí)可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對(duì)重大安全事件的能力。     (3)該方案投資大，覆蓋范圍廣，根據(jù)實(shí)際情況，可采取分地區(qū)、分階段實(shí)施的方式。     (4)在方案實(shí)施的同時(shí)，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。 7  結(jié)論     本文以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風(fēng)險(xiǎn)，隨后提出了一整套完整的解決方案，涵蓋了各個(gè)方面，從技術(shù)手段的改進(jìn)，到規(guī)章制度的完善；從單機(jī)系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署，為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。     也希望通過本方案的實(shí)施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來自各方面的攻擊和威脅，把風(fēng)險(xiǎn)降到最低水平。 參考文獻(xiàn)     [1] 國家信息安全基礎(chǔ)設(shè)施研究中心、國家信息安全工程技術(shù)研究中心.《電子政務(wù)總體設(shè)計(jì)與技術(shù)實(shí)現(xiàn)》

篇8

本報(bào)訊 9月8日，以“融合.萃聚”為主題的SAPPHIRE藍(lán)寶主板會(huì)于北京舉行，至此藍(lán)寶科技正式宣布全線進(jìn)軍主板市場(chǎng)。會(huì)上，藍(lán)寶科技正式了分別面向超級(jí)發(fā)燒友、游戲玩家和主流市場(chǎng)的PureBlack（黑鉆）、PurePlatinum（鉑爵）以及PureWhite（冰晶）三大系列6款新品。產(chǎn)品涵蓋Intel和AMD兩大平臺(tái)，搭配了雙BIOS設(shè)計(jì)、LED監(jiān)控以及防雷防靜電等設(shè)計(jì)；在軟件構(gòu)建上，采用了獨(dú)創(chuàng)的Trixx超頻工具、CPU電壓負(fù)載線調(diào)整功能及Windows7硬件監(jiān)控工具，并擁有三年全國聯(lián)保。

Parallels

Desktop 7 Mac版

本報(bào)訊日前，Parallels公司宣布正式發(fā)行Parallels Desktop 7 Mac版，這款軟件無需重啟就可在Macbook上同時(shí)運(yùn)行Mac和Windows應(yīng)用程序，并引進(jìn)了90多項(xiàng)全新增強(qiáng)功能。該版本具備3大亮點(diǎn)：可在應(yīng)用Windows程序的同時(shí)使用包括Mission Control及Launch Pad在內(nèi)的Lion功能；可在Macbook上運(yùn)行OS X Lion或Windows的多個(gè)版本以及其所有應(yīng)用程序；可使用iPad、iPhone或iPod touch觀看Macbook上Windows程序下的Flash視頻，在Macbook上訪問與運(yùn)行OS X、Windows、Chrome、Ubuntu等操作系統(tǒng)和應(yīng)用程序。

Check Point 推

新網(wǎng)絡(luò)安全方案

本報(bào)訊日前，Check Point 軟件技術(shù)有限公司在北京基于其軟件刀片架構(gòu)的最新網(wǎng)絡(luò)安全方案軟件刀片R75.20，及兩款高端數(shù)據(jù)中心系統(tǒng)方案Check Point 61000和Check Point 21400。此外，還推出了評(píng)定安全性能的新標(biāo)準(zhǔn) SecurityPower。R75.20能為web沖浪提供實(shí)時(shí)的細(xì)致控制，并為企業(yè)檢查其所有軟件刀片SSL加密數(shù)據(jù)傳輸，提供深入安全分析。Check Point 61000支持7000萬個(gè)并發(fā)連接和每秒60萬個(gè)會(huì)話，為多元數(shù)據(jù)傳輸傳輸環(huán)境帶來安全保護(hù)。Check Point 21400 結(jié)合高速網(wǎng)絡(luò)技術(shù)、100 Gbps防火墻吞吐量及21Gbps的IPS吞吐量，為大型企業(yè)和數(shù)據(jù)中心提供安全保護(hù)。SecurityPower幫助客戶評(píng)估其安全需要，提高安全設(shè)備性能的準(zhǔn)確度測(cè)量。目前，新方案均已上市。

移通創(chuàng)建聯(lián)手銀聯(lián)

篇9

借外力 蓄內(nèi)功

“網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)測(cè)評(píng)、網(wǎng)絡(luò)安全加固代碼、網(wǎng)站掛馬掃描、外網(wǎng)輿情監(jiān)控、數(shù)據(jù)備份與恢復(fù)、司法取證與鑒定、偵測(cè)偽基站等，我們都能做。”雨人網(wǎng)安創(chuàng)始人、總經(jīng)理鄧庭波介紹了公司的業(yè)務(wù)范圍。自成立至今，雨人網(wǎng)安已從最初的產(chǎn)品發(fā)展到提供信息安全服務(wù)、系統(tǒng)集成，近年來，公司又著力研發(fā)了自主創(chuàng)新產(chǎn)品――“隱鷹”超小型隱蔽式偽基站偵測(cè)系統(tǒng)。

僅僅是出于對(duì)網(wǎng)絡(luò)安全產(chǎn)業(yè)前景的肯定，2003年，沒有專業(yè)背景的鄧庭波成立了雨人網(wǎng)安。那時(shí)的公司缺資金、缺技術(shù)、缺人才，只能借外力求生存。憑著初生牛犢不怕虎的干勁，她和一些網(wǎng)絡(luò)安全企業(yè)達(dá)成合作，在湖南其網(wǎng)絡(luò)安全產(chǎn)品?！皢我坏漠a(chǎn)品滿足不了客戶需求，在有了固定的客戶群后，我們就開始做服務(wù)。當(dāng)企業(yè)網(wǎng)絡(luò)出現(xiàn)安全問題時(shí)，我們可為企業(yè)提供多種方案，如通過改進(jìn)硬件設(shè)備、提供技術(shù)服務(wù)、進(jìn)行安全知識(shí)培訓(xùn)等，幫助企業(yè)解決問題?！?/p>

站穩(wěn)腳跟后，公司要謀發(fā)展。2009年，雨人網(wǎng)安組建了一支信息安全等級(jí)測(cè)評(píng)隊(duì)伍，成為湖南省第一家通過等級(jí)測(cè)評(píng)機(jī)構(gòu)能力評(píng)估的第三方測(cè)評(píng)機(jī)構(gòu)?！耙郧翱蛻羰窃趩栴}出現(xiàn)后再尋找解決辦法，現(xiàn)在是問題發(fā)生之前，我們就能找出疑點(diǎn)，將其扼殺在搖籃里?！编囃ゲㄈ绱诵稳荨Ｔ摌I(yè)務(wù)推出后，雨人網(wǎng)安的服務(wù)對(duì)象擴(kuò)展到了政府、金融、醫(yī)療、通信、交通、廣電等領(lǐng)域，每年都有近千個(gè)客戶網(wǎng)絡(luò)接受等級(jí)測(cè)評(píng)。

市場(chǎng)的需求逐漸旺盛，公司發(fā)展的腳步越來越快，但鄧庭波始終有一個(gè)信念：雨人網(wǎng)安需要一個(gè)真正屬于自己的核心產(chǎn)品來提高競(jìng)爭(zhēng)力。為此，“從2008年起，公司就開始嘗試自主研發(fā)第一款產(chǎn)品?！彼榻B，當(dāng)時(shí)的想法是搭建一個(gè)服務(wù)于政府和企事業(yè)單位的“網(wǎng)絡(luò)安全監(jiān)控平臺(tái)”，客戶把自己的網(wǎng)絡(luò)放在該平臺(tái)上，技術(shù)人員通過遠(yuǎn)程監(jiān)控，檢測(cè)網(wǎng)絡(luò)的可用性，若發(fā)現(xiàn)技術(shù)漏洞、木馬植入或服務(wù)器被篡改，可實(shí)時(shí)采取措施。然而，由于缺乏足夠資金和人才，計(jì)劃進(jìn)展緩慢，“隨著大數(shù)據(jù)、云服務(wù)理念的提出，幾大網(wǎng)絡(luò)巨頭都已經(jīng)推出了類似產(chǎn)品。我們做了近三年后，只能不了了之?！?/p>

這次失敗并未阻止雨人網(wǎng)安轉(zhuǎn)型創(chuàng)新的腳步。近年來，電信虛假信息詐騙等新型犯罪行為日益猖獗，公司找到了新的突破口：針對(duì)偽基站的犯罪活動(dòng)，公司從2014年開始自主研發(fā)和生產(chǎn)“隱鷹”超小型隱蔽式偽基站偵測(cè)系統(tǒng)。在系統(tǒng)交付試用的第一天，技術(shù)人員便發(fā)現(xiàn)長(zhǎng)沙砂子塘附近有偽基站活動(dòng)，趕赴該區(qū)域后，通過偵測(cè)主機(jī)和手機(jī)專用APP，對(duì)偽基站進(jìn)行精確定位，之后與附近派出所合作，現(xiàn)場(chǎng)取證，打擊了違法犯罪活動(dòng)。從2015年底開始投入使用后的短短3個(gè)月內(nèi)，雨人網(wǎng)安已聯(lián)合公安、電信運(yùn)營(yíng)商成功抓捕偽基站犯罪團(tuán)伙20多個(gè)，涉案金額達(dá)數(shù)千萬元。

問題就是機(jī)會(huì)

黑客坐在電腦前敲打著鍵盤，一行行攻擊代碼在電腦屏幕上閃現(xiàn)；而另一端的“白帽子”們則在努力尋找電腦系統(tǒng)和網(wǎng)站中的漏洞，并將之公布，使其在被不法分子利用前得到修復(fù)。

“白帽子”稀缺一直是雨人網(wǎng)安在前行道路上的阻礙。鄧庭波清醒地知道，在互聯(lián)網(wǎng)行業(yè)，能讓公司立于不敗之地的只有領(lǐng)先的技術(shù)，而技術(shù)創(chuàng)新靠人才。“正是技術(shù)力量的缺失，第一款自主創(chuàng)新產(chǎn)品的研發(fā)錯(cuò)過了時(shí)機(jī)。那次失敗讓我更加明白人才的重要性?！睘榇耍l繁地跑高校，與中南大學(xué)、國防科大、湖南大學(xué)等院校合作，組建了一支由十多名專家構(gòu)成的顧問團(tuán)隊(duì)，把關(guān)公司的網(wǎng)絡(luò)安全項(xiàng)目。

而讓員工受益更多的是公司組織的內(nèi)部培訓(xùn)?！皩W(xué)校沒有對(duì)口人才，我們只能招一個(gè)培養(yǎng)一個(gè)。每年公司都會(huì)邀請(qǐng)專家來授課，去外省交流學(xué)習(xí)，組織員工參加等級(jí)認(rèn)證考試等，現(xiàn)在已培養(yǎng)了10多名高級(jí)測(cè)評(píng)師?！编囃ゲū硎?，“公司鼓勵(lì)員工參加比賽，提升他們的臨場(chǎng)應(yīng)戰(zhàn)能力，員工最佳成績(jī)是在代表國內(nèi)頂級(jí)水平的‘中國網(wǎng)絡(luò)安全技術(shù)對(duì)抗賽’中獲得第二名?！迸囵B(yǎng)人才的同時(shí)也要留住人才。從月度考核到新項(xiàng)目擴(kuò)展獎(jiǎng)金，從調(diào)薪到出國旅游，無論是前端市場(chǎng)人員，還是后端研發(fā)工程師，雨人網(wǎng)安都從多維度給予員工激勵(lì)和提升空間。

在解決問題的同時(shí)，鄧庭波看到了潛在的機(jī)會(huì)。人才缺失是信息安全領(lǐng)域普遍存在的問題，有著巨大的市場(chǎng)需求，雨人網(wǎng)安能為自己培養(yǎng)人才，也能為行業(yè)服務(wù)。目前，公司正策劃與相關(guān)培訓(xùn)機(jī)構(gòu)、高校聯(lián)合舉辦測(cè)評(píng)師認(rèn)證培訓(xùn)班，為信息安全人才貢獻(xiàn)力量。

篇10

對(duì)于醫(yī)療業(yè)信息化系統(tǒng)的安全問題，大多數(shù)醫(yī)療行業(yè)考慮最多的還是病毒，認(rèn)為病毒對(duì)醫(yī)療行業(yè)的HIS和 OA系統(tǒng)影響最大，所以大部分的財(cái)力人力都投向了防病毒系統(tǒng)，當(dāng)然這是對(duì)的；但這還遠(yuǎn)遠(yuǎn)不夠，仍然會(huì)有很多心懷叵測(cè)的人或者組織對(duì)醫(yī)療行業(yè)發(fā)起攻擊，甚至數(shù)據(jù)竊密等，往往會(huì)對(duì)醫(yī)療行業(yè)的核心數(shù)據(jù)造成不可彌補(bǔ)的損失。

1 影響網(wǎng)絡(luò)安全性的因素主要有以下幾個(gè)方面

1.1網(wǎng)絡(luò)結(jié)構(gòu)因素 例如1家3甲綜合性醫(yī)院一般有計(jì)算機(jī)幾百臺(tái)，通過內(nèi)部網(wǎng)相互連接，根據(jù)該醫(yī)院的統(tǒng)一規(guī)劃，在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)在同一網(wǎng)段，通過交換機(jī)連接。

1.2網(wǎng)絡(luò)協(xié)議因素 在建造內(nèi)部網(wǎng)時(shí)，科室為了節(jié)省開支，會(huì)保護(hù)原有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，對(duì)網(wǎng)絡(luò)協(xié)議的兼容性要求越來越高，使眾多廠商的協(xié)議能互聯(lián)、兼容和相互通信，同時(shí)，也帶來了安全隱患。

1.3用戶因素 醫(yī)療行業(yè)建造自己的內(nèi)部網(wǎng)是為了加快信息交流，更好地適應(yīng)市場(chǎng)需求。建立之后，用戶的范圍必將從企業(yè)員工擴(kuò)大到客戶和想了解行業(yè)情況的人。用戶的增加，也給網(wǎng)絡(luò)的安全性帶來了威脅，因?yàn)檫@里可能就有商業(yè)間諜或“黑客” 。

1.4主機(jī)因素 建立內(nèi)部網(wǎng)時(shí)，使原來的各局域網(wǎng)、單機(jī)互聯(lián)，增加了主機(jī)的種類，如工作站、服務(wù)器，甚至小型機(jī)、大中型機(jī)。由于它們所使用的操作系統(tǒng)和網(wǎng)絡(luò)操作系統(tǒng)不盡相同，某個(gè)操作系統(tǒng)出現(xiàn)漏洞，就可能造成整個(gè)網(wǎng)絡(luò)的大隱患。

1.5單位安全政策 實(shí)踐證明，80%的安全問題是由網(wǎng)絡(luò)內(nèi)部引起的，因此，單位對(duì)自己內(nèi)部網(wǎng)的安全性要有高度的重視，必須制訂出一套安全管理的規(guī)章制度。

1.6人員因素 人的因素是安全問題的薄弱環(huán)節(jié)。要對(duì)用戶進(jìn)行必要的安全教育，選擇有較高職業(yè)道德修養(yǎng)的人做網(wǎng)絡(luò)管理員，制訂出具體措施，提高安全意識(shí)。

1.7其他 其他因素如自然災(zāi)害等，也是影響網(wǎng)絡(luò)安全的因素。

2 醫(yī)療行業(yè)網(wǎng)絡(luò)安全漏洞分析

2.1物理防護(hù)不足 普遍醫(yī)院都部署了防彈式的防御體系來應(yīng)對(duì)“典型的”互聯(lián)網(wǎng)攻擊，如：病毒、木馬、蠕蟲以及間諜軟件，由于員工違法使用iPod音樂播放系統(tǒng)和P-to-P，網(wǎng)絡(luò)性能被大大削弱。同時(shí)單位的知識(shí)產(chǎn)權(quán)會(huì)因?yàn)閱T工的不當(dāng)操作或不道德的行為通過郵件泄露出去。肆意的使用即時(shí)消息會(huì)使單位陷入員工服從性的危險(xiǎn)之中。

2.2防火墻性能不足 用戶網(wǎng)絡(luò)中現(xiàn)有的防火墻一般都是采用X86架構(gòu)，采用Asic架構(gòu)的都很少。他們的網(wǎng)絡(luò)性能一般都不高，尤其是對(duì)于Internet應(yīng)用驟增的網(wǎng)絡(luò)環(huán)境來說，現(xiàn)有防火墻的網(wǎng)絡(luò)性能更是導(dǎo)致網(wǎng)絡(luò)傳輸延遲增大的直接原因，使其成為整個(gè)網(wǎng)絡(luò)傳輸?shù)钠款i之一，嚴(yán)重影響醫(yī)療行業(yè)的正常辦公需求，已經(jīng)不能夠滿足醫(yī)療行業(yè)持續(xù)發(fā)展的需要。而一款高性能、高吞吐、價(jià)格適中的防火墻是醫(yī)療行業(yè)用戶所急切需要的。

2.3缺乏防攻擊手段及有效性能 一般認(rèn)為Internet上充斥著各種病毒和攻擊源，但隨著局域網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全不再只是外網(wǎng)的專利，在內(nèi)網(wǎng)，同樣面臨著巨大的攻擊壓力。如：Arp欺騙攻擊、Mac欺騙攻擊、流量攫取、地址欺騙、地址掃描和端口掃描。而醫(yī)療行業(yè)現(xiàn)有防火墻并不具備內(nèi)、外網(wǎng)防攻擊手段及能力，在面臨大范圍病毒爆發(fā)或攻擊發(fā)作的時(shí)候無法提供良好的處理性能，嚴(yán)重時(shí)將導(dǎo)致設(shè)備宕機(jī)，嚴(yán)重影響醫(yī)療行業(yè)用戶的正常工作。

2.4對(duì)于應(yīng)用層無法有效管控 網(wǎng)絡(luò)中所有的網(wǎng)絡(luò)通訊都是基于應(yīng)用的。而目前Internet上的應(yīng)用以幾何倍數(shù)在增長(zhǎng)，每天都有大量新應(yīng)用出現(xiàn)，如何有效管控這些網(wǎng)絡(luò)應(yīng)用是用戶急需解決的問題。

2.5網(wǎng)絡(luò)需要更好的冗余備份機(jī)制 醫(yī)療行業(yè)網(wǎng)絡(luò)在醫(yī)療行業(yè)生產(chǎn)中扮演著至關(guān)重要的角色，醫(yī)療行業(yè)網(wǎng)絡(luò)的穩(wěn)定性嚴(yán)重影響著醫(yī)療行業(yè)生產(chǎn)的穩(wěn)定性，冗余技術(shù)是解決網(wǎng)絡(luò)單點(diǎn)故障、維護(hù)網(wǎng)絡(luò)持續(xù)穩(wěn)定性的最有效解決方案。醫(yī)療行業(yè)網(wǎng)絡(luò)建設(shè)需要充分考慮冗余技術(shù)的應(yīng)用，尤其是網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)，如網(wǎng)絡(luò)接入端、網(wǎng)絡(luò)核心層等等。

2.6醫(yī)療行業(yè)需要更簡(jiǎn)單實(shí)用的VPN VPN 在醫(yī)療行業(yè)網(wǎng)絡(luò)應(yīng)用中極為廣泛，是醫(yī)療行業(yè)擴(kuò)展遠(yuǎn)程應(yīng)用的有效解決方案。隨著醫(yī)療行業(yè)規(guī)模的擴(kuò)大及業(yè)務(wù)發(fā)展的需要，各分支機(jī)構(gòu)之間、移動(dòng)辦公員工和公司之間以及合作伙伴和公司之間的VPN加密遠(yuǎn)程數(shù)據(jù)傳輸是醫(yī)療行業(yè)解決遠(yuǎn)程傳輸數(shù)據(jù)的私密性、安全性和降低費(fèi)用的有效辦法。而如何簡(jiǎn)單、方便快捷的維護(hù)整個(gè)醫(yī)療行業(yè)的VPN以及降低醫(yī)療行業(yè)VPN的維護(hù)成本是醫(yī)療行業(yè)用戶同樣需要考慮的。

3 醫(yī)療行業(yè)網(wǎng)絡(luò)安全對(duì)策

在企業(yè)對(duì)于信息化系統(tǒng)嚴(yán)重依賴的情況下，如何有效地增強(qiáng)企業(yè)安全防范以及有效的控制安全。

3.1建立網(wǎng)絡(luò)安全的體系結(jié)構(gòu) 網(wǎng)絡(luò)安全的體系結(jié)構(gòu)是一個(gè)理論基礎(chǔ)，可以使網(wǎng)絡(luò)安全建設(shè)綱舉目張、有條不紊、全面周到、相對(duì)完善。趙戰(zhàn)先生在提出了適合中國國情的模型，即WPDRRC（預(yù)警、保護(hù)、檢測(cè)、反應(yīng)、恢復(fù)和反擊）。

3.2專網(wǎng)與互聯(lián)網(wǎng)的隔離 為了安全而與外部網(wǎng)物理隔絕，會(huì)使內(nèi)部網(wǎng)變成“信息孤島”，大大降低使用效能；采用相對(duì)完善的安全方案，使內(nèi)部網(wǎng)與外部網(wǎng)安全互聯(lián)，使專網(wǎng)用戶也能共享互聯(lián)網(wǎng)的豐富資源。

3.3防火墻技術(shù) 防火墻是1種按某種規(guī)則對(duì)專網(wǎng)和互聯(lián)網(wǎng)，或?qū)ヂ?lián)網(wǎng)的一部分和其余部分之間的信息交換進(jìn)行有條件的控制（包括隔離），從而阻斷不希望發(fā)生的網(wǎng)絡(luò)間通信的系統(tǒng)。防火墻可以為專網(wǎng)加強(qiáng)訪問控制、提供信息過濾、應(yīng)用層的專用、日志分析統(tǒng)計(jì)報(bào)告、對(duì)用戶進(jìn)行“鑰匙口令+防火墻一次性口令”的雙因于認(rèn)證等功能。

3.4入侵檢測(cè)技術(shù) 入侵檢測(cè)被認(rèn)為是繼防火墻、信息加密之后的新一代網(wǎng)絡(luò)安全技術(shù)。入侵檢測(cè)是在指定的網(wǎng)段上及早發(fā)現(xiàn)具有入侵特征的網(wǎng)絡(luò)連接，并予以即時(shí)地報(bào)警、切斷連接或其它處置。難點(diǎn)在于：檢測(cè)耗費(fèi)時(shí)間加響應(yīng)耗費(fèi)時(shí)間之和必須小于攻擊耗費(fèi)時(shí)間，要對(duì)非法入侵發(fā)現(xiàn)得及時(shí)、抓住特征、防止銷毀證據(jù)并做出反擊，是一場(chǎng)不折不扣的高科技戰(zhàn)爭(zhēng)。

3.5虛擬安全專網(wǎng)（VPN） VPN是指業(yè)務(wù)提供商利用公眾網(wǎng)（如互聯(lián)網(wǎng)）將多個(gè)用戶子網(wǎng)連接成1個(gè)專用網(wǎng)，VPN是1個(gè)邏輯網(wǎng)絡(luò)而非物理網(wǎng)絡(luò)，它既擁有公眾網(wǎng)的豐富資源而又擁有專用網(wǎng)的安全性和靈活性。

3.6其它網(wǎng)絡(luò)安全對(duì)策 除了上述幾條外，網(wǎng)絡(luò)安全方面還應(yīng)采用以下一些對(duì)策：①適當(dāng)強(qiáng)度的密碼算法，密碼始終是網(wǎng)絡(luò)安全的基石，也是一切安全對(duì)策的核心；②采用安全性好的操作系統(tǒng)；③采用電磁防護(hù)措施，一方面要防止有用信息的電磁漏瀉發(fā)射，另一方面要采用抗電磁干擾傳輸方式；④采用防雷電的保護(hù)措施；⑤采用適當(dāng)?shù)奈锢矸雷o(hù)措施；⑥加強(qiáng)行政管理、完善規(guī)章制度、嚴(yán)格人員選任、法律介入網(wǎng)絡(luò)等。

4 醫(yī)療行業(yè)網(wǎng)絡(luò)安全解決方案

4.1物理安全 醫(yī)療行業(yè)定制好符合其策略和優(yōu)先級(jí)的互聯(lián)網(wǎng)安全防護(hù)解決方案，接著使用健全報(bào)表功能來很好控制醫(yī)療行業(yè)所面臨的商業(yè)風(fēng)險(xiǎn)，徹底關(guān)閉點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)，釋放重要網(wǎng)絡(luò)資源并消除版權(quán)侵權(quán)的風(fēng)險(xiǎn)。

4.2數(shù)據(jù)庫控制 對(duì)用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。例如，進(jìn)行用戶身份認(rèn)證，對(duì)口令加密、更新和鑒別，設(shè)置用戶訪問目錄和文件的權(quán)限，控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限，等等。

4.3用戶訪問控制 對(duì)醫(yī)療行業(yè)信息安全的威脅不僅來自醫(yī)療行業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來自醫(yī)療行業(yè)內(nèi)部。由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對(duì)醫(yī)療行業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等，因此，對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。

4.4防火墻部署 網(wǎng)絡(luò)安全性問題關(guān)系到未來網(wǎng)絡(luò)應(yīng)用的深入發(fā)展，它涉及安全策略、移動(dòng)代碼、指令保護(hù)、密碼學(xué)、操作系統(tǒng)、軟件工程和網(wǎng)絡(luò)安全管理等內(nèi)容。一般專用的內(nèi)部網(wǎng)與公用的互聯(lián)網(wǎng)的隔離主要使用“防火墻”技術(shù)。

5 總結(jié)

本文對(duì)醫(yī)療網(wǎng)絡(luò)安全問題分析與研究，主要做了以下幾項(xiàng)工作。首先，從各個(gè)方面對(duì)網(wǎng)絡(luò)信息系統(tǒng)存在的脆弱點(diǎn)和面臨的各種威脅與攻擊進(jìn)行分析與探討。其次，就目前常用的信息系統(tǒng)的安全保護(hù)措施進(jìn)行分析與研究，探討了各種技術(shù)措施的優(yōu)點(diǎn)及不足。為建立和完善網(wǎng)絡(luò)安全體系，選擇安全手段提供了重要的參考。最后，分析和探討了設(shè)計(jì)安全信息系統(tǒng)應(yīng)遵循的原則和步驟，并根據(jù)實(shí)際情況選擇實(shí)施方案。

網(wǎng)絡(luò)信息系統(tǒng)安全問題是信息系統(tǒng)設(shè)計(jì)應(yīng)考慮的重要方面。安全問題伴隨著信息系統(tǒng)的整個(gè)生命周期而存在.在本文中分析和討論了多種安全技術(shù)，但在網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)上，沒有一種網(wǎng)絡(luò)安全技術(shù)是萬能的。信息安全體系的建立與管理只有從法律道德、基礎(chǔ)實(shí)施、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)設(shè)備、軟件系統(tǒng)、密碼體制、密鑰管理、產(chǎn)品認(rèn)證等各方面入手，根據(jù)多重保護(hù)的原則，建立多層次的防御框架，才能更有效地保證整個(gè)系統(tǒng)的安全性。

參考文獻(xiàn)：

[1]袁家政.計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用技術(shù)[M].北京：清華大學(xué)出版社，2002.

[2]王常吉，龍冬陽.信息與網(wǎng)絡(luò)安全實(shí)驗(yàn)教程[M].北京：清華大學(xué)出版社，2007.

[3]王其良，高敬瑜.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京：北京大學(xué)出版社，2006.

[4]賀思德，申浩如.計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用[M].北京：科學(xué)出版社，2007.

[5]唐正軍，李建華.入侵檢測(cè)技術(shù)[M].北京：清華大學(xué)出版社.2008

Adis藥學(xué)核心期刊數(shù)據(jù)庫檢索方法例析

劉秉文，汪新久

（沈陽藥科大學(xué)圖書館，遼寧 沈陽 110016）

摘要：本文以實(shí)例說明Adis藥學(xué)核心期刊數(shù)據(jù)庫的檢索方法，旨在為藥學(xué)研究人員檢索高質(zhì)量藥學(xué)文獻(xiàn)提供參考。

關(guān)鍵詞：Adis；數(shù)據(jù)庫；檢索方法

Retrieval Methods of Adis Pharmaceutical Core Periodical Database

LIU Bing-wen，WANG Xin-jiu

（Library of Shenyang Pharmaceutical University，Shenyang 110016，Liaonin，China）