搜索
中小型医院网络安全保障解决方案一、中小型医院的网络安全现状及挑战现阶段,医院信息系统正在变成医疗体系结构中不可或缺的基础架构。该架构的网络安全和数据可用性变得异常重要。任何的网络不可达或数据丢失轻则降低患者的满意度,影响医院的信誉,重则引起医患纠纷、法律问题或社会问题。和其它行业的信息系统一样,医疗信息系统在日常运行中面临各种安全风险带来的安全应用事故。当前,中小型医院在网络和应用系统保护方面均采取了一定的安全措施,例如在每个网络、应用系统分别部署了防火墙、访问控制设备;也可能在一定程度上实现了区域性的病毒防御,实现了病毒库的升级和防病毒客户端的监控和管理;采用系统账号管理、防病毒等方面具有一定流程。但在网络安全管理方面的流程相对比较薄弱,需要进一步进行加强;另外主要业务应用人员安全意识有待加强,日常业务处理中存在一定非安全操作情况,终端使用和接入情况复杂。此外,随着移动医疗应用越来越广泛的部署,以及依托互联网平台的远程医疗应用的日趋广泛,如何保障移动和远程应用的安全性也是一个重要的课题。网络安全问题越演越烈,也为中小型或成长型的医疗机构带来另外一个挑战:如何利用较为有限的投资预算,解决当前最为迫切的安全威胁,同时也要预留先进性和可扩展能力,避免造成投资浪费。思科自防御网络的出现,为中小型医疗网络提供了由低级到高级不断发展、演进的安全解决方案,思科网络设备集成了独特的安全功能,以及各个安全设备的联动并主动进行防护,是思科自防御网络的具体实现。基于思科自防御安全体系的建设指导思想,同时结合中小型医疗机构的安全现状,我们建议从以下几个方面构筑中小型医疗机构的安全体系。二、构建安全的基础网络平台在诸多的局域网安全问题中,由于历史原因,令网络管理员感到最头痛的问题就是IP地址的管理;最担心的问题就是账号、密码的盗取以及信息的失窃和篡改;而最棘手的问题就是木马、蠕虫病毒爆发对网络造成的危害。据CSI/FBI计算机犯罪与安全调查显示,信息失窃已经成为当前最主要的犯罪。在造成经济损失的所有攻击中,有75%都是来自于园区内部。这样,企业网络内部就必须采用更多创新方式来防止攻击,如果我们将网络中的所有端口看成潜在敌对实体获取通道的“端口防线”,网络管理员就必须知道这些潜在威胁都有那些,以及需要设臵哪些安全功能来锁定这些端口并防止这些潜在的来自网络第二层的安全攻击。网络第二层的攻击是网络安全攻击者最容易实施,也是最不容易被发现的安全威胁,它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。因为任何一个合法用户都能获取一个以太网端口的访问权限,这些用户都有可能成为黑客,同时由于设计OSI模型的时候,允许不同通信层在相互不了解情况下也能进行工作,所以第二层的安全就变得至关重要。如果这一层受到黑客的攻击,网络安全将受到严重威胁,而且其他层之间的通信还会继续进行,同时任何用户都不会感觉到攻击已经危及应用层的信息安全。所以,仅仅基于认证(如IEEE802.1x)和访问控制列表(ACL,AccessControlLists)的安全措施是无法防止来自网络第二层的安全攻击。一个经过认证的用户仍然可以有恶意,并可以很容易地执行本文提到的所有攻击。目前这类攻击和欺骗工具已经非常成熟和易用。以上所提到的攻击和欺骗行为主要来自网络的第二层。在网络实际环境中,其来源可概括为两个途径:人为实施,病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。木马、蠕虫病毒的攻击不仅仅是攻击和欺骗,同时还会带来网络流量加大、设备CPU利用率过高、二层生成树环路、网络瘫痪等现象。归纳前面提到的局域网目前普遍存在的安全问题,根据这些安全威胁的特征分析,这些攻击都来自于网络的第二层,主要包括以下几种:·MAC地址泛滥攻击·DHCP服务器欺骗攻击·ARP欺骗·IP/MAC地址欺骗利用CiscoCatalyst交换机内部集成的安全特性,采用创新的方式在局域网上有效地进行IP的地址管理、阻止网络的攻击并减少病毒的危害。CiscoCatalyst智能交换系列的创新特性针对这类攻击提供了全面的解决方案,将发生在网络第二层的攻击阻止在通往内部网的第一入口处,主要基于下面的几个关键的技术。·PortSecurity·DHCPSnooping·DynamicARPInspection(DAI)·IPSourceGuard我们可通过在思科交换机上组合运用和部署上述技术,从而防止在交换环境中的“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户IP和对应的交换机端口,防止IP地址冲突。同时对于大多数具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。通过启用端口安全功能,可有效防止MAC地址泛洪攻击,网络管理员也可以静态设臵每个端口所允许连接的合法MAC地址,实现设备级的安全授权。动态端口安全则设臵端口允许合法MAC地址的数目,并以一定时间内所学习到的地址作为合法MAC地址。通过配臵PortSecurity可以控制:·端口上最大可以通过的MAC地址数量·端口上学习或通过哪些MAC地址·对于超过规定数量的MAC处理进行违背处理端口上学习或通过哪些MAC地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口MAC,直到指定的MAC地址数量,交换机关机后重新学习。目前较新的技术是StickyPortSecurity,交换机将学到的mac地址写到端口配臵中,交换机重启后配臵仍然存在。对于超过规定数量的MAC处理进行处理一般有三种方式(针对交换机型号会有所不同):·Shutdown:端口关闭。·Protect:丢弃非法流量,不报警。·Restrict:丢弃非法流量,报警。Catalyst交换机可通过DHCPSnooping技术保证DHCP安全特性,通过建立和维护DHCPSnooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。通过截取一个虚拟局域网内的DHCP信息,交换机可以在用户和DHCP服务器之间担任就像小型安全防火墙这样的角色,“DHCP监听”功能基于动态地址分配建立了一个DHCP绑定表,并将该表存贮在交换机里。在没有DHCP的环境中,如数据中心,绑定条目可能被静态定义,每个DHCP绑定条目包含客户端地址(一个静态地址或者一个从DHCP服务器上获取的地址)、客户端MAC地址、端口、VLANID、租借时间、绑定类型(静态的或者动态的)。通过部署动态ARP检查(DAI,DynamicARPInspection)来帮助保证接入交换机只传递“合法的”的ARP请求和应答信息。DHCPSnooping监听绑定表包括IP地址与MAC地址的绑定信息并将其与特定的交换机端口相关联,动态ARP检测(DAI-DynamicARPInspection)可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP),确保应答来自真正的ARP所有者。Catalyst交换机通过检查端口记录的DHCP绑定信息和ARP应答的IP地址决定是否真正的ARP所有者,不合法的ARP包将被删除。DAI配臵针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭,如果ARP包从一个可信任的接口接收到,就不需要做任何检查,如果ARP包在一个不可信任的接口上接收到,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样,DHCPSnooping对于DAI来说也成为必不可少的,DAI是动态使用的,相连的客户端主机不需要进行任何设臵上的改变。对于没有使用DHCP的服务器个别机器可以采用静态添加DHCP绑定表或ARPaccess-list实现。另外,通过DAI可以控制某个端口的ARP请求报文频率。一旦ARP请求频率的频率超过预先设定的阈值,立即关闭该端口。该功能可以阻止网络扫描工具的使用,同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。除了ARP欺骗外,黑客经常使用的另一手法是IP地址欺骗。常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。CatalystIP源地址保护(IPSourceGuard)功能打开后,可以根据DHCP侦听记录的IP绑定表动态产生PVACL,强制来自此端口流量的源地址符合DHCP绑定表的记录,这样攻击者就无法通过假定一个合法用户的IP地址来实施攻击了,这个功能将只允许对拥有合法源地址的数据保进行转发,合法源地址是与IP地址绑定表保持一致的,它也是来源于DHCPSnooping绑定表。因此,DHCPSnooping功能对于这个功能的动态实现也是必不可少的,对于那些没有用到DHCP的网络环境来说,该绑定表也可以静态配臵。IPSourceGuard不但可以配臵成对IP地址的过滤也可以配臵成对MAC地址的过滤,这样,就只有IP地址和MAC地址都于DHCPSnooping绑定表匹配的通信包才能够被允许传输。此时,必须将IP源地址保护IPSourceGuard与端口安全PortSecurity功能共同使用,并且需要DHCP服务器支持Option82时,才可以抵御IP地址+MAC地址的欺骗。与DAI不同的是,DAI仅仅检查ARP报文,IPSourceGuard对所有经过定义IPSourceGuard检查的端口的报文都要检测源地址。通过在交换机上配臵IPSourceGuard,可以过滤掉非法的IP/MAC地址,包含用户故意修改的和病毒、攻击等造成的。同时解决了IP地址冲突的问题。此外,在最新的Catalyst3750-X和Catalyst3560-X交换机内,还内臵了一系列全新的TrustSec安全技术。例如,采用基于IEEE802.1ae标准的MACSecurity技术,交换机在面向主机的端口上提供了对以太网数据在数据链路层的线速加密,以防止中间人攻击;支持包括802.1x、MAC认证旁路、Web认证等多种认证方式为不同类型的接入终端提供一致的安全体验,等等。以上所列的基础安全防护的功能,均内臵在思科的Catalyst交换机内,无需另外购买。方案涉及的主要Catalyst系列交换机包括:产品系列说明Catalyst3750-X支持堆叠和万兆上行的智能三层交换机Catalyst3560-X支持万兆上行的智能三层交换机Catalyst2960-S支持堆叠、万兆上行和静态路由的交换机此外,思科还提供了精睿系列交换机,通过基本的802.1x认证、基于MAC的端口安全、基于MAC/IP的访问控制列表(ACL)、私有VLAN边缘(PVE)等技术,专为入门级的小型医疗网络提供基础的安全网络接入服务。精睿交换机的主要系列包括:产品系列说明CiscoSF300支持静态路由的可网管交换机CiscoSLM224G2支持基于WEB浏览器简单网管三、内网安全与网络出口安全解决方案现在的网络面临多种多样的安全威胁,医院需要建立纵深防御体系来防止因某个部分的侵入而导致整个系统的崩溃。只有基于网络系统之间逻辑关联性和物理位臵、功能特性,划分清楚的安全层次和安全区域,在部署安全产品和策略时,才可以定义清楚地安全策略和部署模式。安全保障包括网络基础设施、业务网、办公网、本地交换网、信息安全基础设施等多个保护区域。这些区域是一个紧密联系的整体,相互间既有纵向的纵深关系,又有横向的协作关系,每个范围都有各自的安全目标和安全保障职责。积极防御、综合防范的方针为各个保护范围提供安全保障,有效地协调纵向和横向的关系,提高网络整体防御能力。针对医院的网络系统,我们可以根据物理位臵、功能区域、业务应用或者管理策略等等划分安全区域。不同的区域之间进行物理或逻辑隔离。物理隔离很简单,就是建立两套网络对应不同的应用或服务,最典型的就是医院业务网络和互联网访问网络的隔离。而对于内部各部门或应用来说,我们经常采用