江苏省人民医院网络威胁实时监测及控制系统.pdfVIP

江苏省人民医院网络威胁实时监测及控制系统 单红伟① 刘云①*① 蔡雨蒙① 冷锴① 王忠民① 基金项目：江苏省卫生厅兴卫工程重点个人项目 (RC2011069):江苏省科技支撑项目 (BE2011802):南京医科大学第一附属医院创新团队 *通讯作者：南京医科大学第一附属医院（江苏省人民医院）信息处，210029，南京市广州 路 300 号江苏省人民医院 ① 南京医科大学第一附属医院 摘 要 文章介绍江苏省人民医院如何在当今医疗行业对于信息系统和网络的依赖达到不可 或缺的地步。在此大环境中如何保证系统和网络的安全、可靠的运行，也就成为江苏省人民 医院信息中心的重要话题。在全面提高用户体验感的同时，为全面消除异常流量和应用层漏 洞，携手全球服务器安全、虚拟化及云安全领导厂商——趋势科技，并使用趋势科技威胁实 时监测及控制系统，通过全网监控和定位 2~7 层的网络可疑活动，将威胁消灭在萌芽状态， 大幅降低了日常安全管理的压力。 关键词 TDA （趋势未知威胁发现系统）NVWE （趋势内网防毒墙）OfficeScan （趋势网络版 防毒软件）ARP 攻击（针对以太网地址解析协议（ARP）的一种攻击技术） APT 攻击（高级 持续性攻击） 1 项目背景 1.1 对信息化依赖层度 随着江苏省人民医院信息化的不断深入，对信息系统的依赖将越来 越大，如果信息系统的局部或全局的瘫痪，不仅对医院的正常业务造成严重的影响，也对医 院的形象和服务质量造成不可估计的损失。而由于信息技术的飞速发展，实施攻击的技术要 求越来越简单，成本越来越低，同时操作系统的漏洞却不断被发现，加上全球性的病毒一次 又一次的爆发，信息系统所面临的安全威胁越来越大。目前江苏省人民医院已经应用了较先 进的组网方案。全市各医院和医保中心基本上都是通过 100M 光纤相连的，医院端通过路由 器和光纤收发器连接医保网络和其他各区，由于我们难以保证外部医保网络的安全，主要通 过安装网络防火墙实现网络层的访问控制，根据医保服务进程的需要开放其使用的协议端口， 其它的均屏蔽掉。但是针对网络层的数据包并没有做内容检查，这就导致如果病毒或者恶意 程序如果是来自其他分区医院或者医保网络就会畅通无阻的进入到省人民医院内部，造成损 害。 1.2 依据国家新医改对公立医院改革的具体要求 公立医院要建设符合现代化医院发展要求 的计算机网络和管理信息系统，达到模式先进、流程优化、管理配套、支撑有力、运作高效； 实现人、财、物、信息的管理一体化，实现医院日常业务管理、临床医疗管理、医院资源管 理、控制管理的信息化和网络化，实现信息资源共享；促进医院管理和机制创新，促进经营 管理和经营决策更加科学，提升全体员工信息化素质，使医院在现代化管理方面处于领先地 位，为医院取得良好的社会与经济效益。 1.3 新型安全威胁的发展呈现出新的特点和破坏力 1.3.1传播介质与攻击对象多元化，传播速度更快，覆盖面更广。网络病毒的传播不仅可利 用磁介质，更多的是通过各种通信端口、网络和邮件等迅速传播。攻击对象由单一的个人电 脑变为所有具备通信机制的工作站、服务器甚至掌上型移动通信工具和 PDA。破坏性更强。 1.3.2 网络病毒的破坏性日益增强，它们可以造成网络拥塞，甚至瘫痪，重要数据丢失，机 密信息失窃，甚至通过病毒完全控制计算机信息系统和网络。 1.3.3在网络中，只要有一台计算机感染病毒，就可通过内部机制很快使整个网络受到影响 甚至瘫痪或拥塞, 难以控制和根治。 1.3.4应用系统是信息化系统的重中之重，随着攻击技术的发展现在针对服务器未知威胁的 攻击越来越多，针对性 APT 攻击是一般终端防护系统无法抵御的。一旦服务器收到此类攻击， 很可能造成服务终端、数据被窃取甚至影响到整个网络。 2. 项目实施 2.1 安全规划 我医现有 3000 多台终端和数十台应该用服务器，所有桌面端装有桌面版网络 防毒软件，服务器装有服务器加固防护系统，但考虑到各个分支的医疗系统都和省医疗网络 有数据交互。数据都是通过网络层进行数据传输，一台传输中出现病毒、攻击等威胁省医疗 安全防御系统无法及时防护，只能在威胁传送到本地计算机后才可以进行防护。对于基于网 络层的病毒攻击如 ARP、蠕虫、等攻击现有的安全系统防护起来较为困