第一章 省人民醫院網絡環境和網絡安全需求分析
1.1背景
飛速發展的網絡技術,在為企業創造良好的商業環境和經濟效益的同時,而我們對數據安全的要求也越來越高。這就給企業的網絡安全帶來了巨大的隱患,其中計算機病毒就是一個主要的危害因素。它對計算機系統安全的嚴重危害,除了來自于病毒自身發作后造成的惡性結果外,還來自于計算機病毒難以控制的傳播能力和與日劇增的數量。與此同時上網的數據也遭到了不同程度的破壞,或被刪除或被復制,數據的安全性和自身的利益受到了嚴重的威脅。網絡系統內運行多種網絡協議(TCP/IP,IPX/SPX,NETBEUA),而這些網絡協議并非專為安全通訊而設計,,所以,網絡系統存在的安全威脅。
2000年二月,在三天的時間里,黑客使美國數家頂級互聯網站-Yahoo!、Amazon、eBay、CNN陷入癱瘓,造成了十幾億美元的損失,令美國上下如臨大敵。黑客使用了DDoS(分布式拒絕服務)的攻擊手段,用大量無用信息阻塞網站的服務器,使其不能提供正常服務。在隨后的不到一個月的時間里,又先后有微軟、ZDNet和E*TRADE等著名網站遭受攻擊。
國內網站也未能幸免于難,新浪、當當書店、EC123等知名網站也先后受到黑客攻擊。國內第一家大型網上連鎖商城IT163網站3月6日開始運營,然而僅四天,該商城突遭網上黑客襲擊,界面文件全部被刪除,各種數據庫遭到不同程度的破壞,致使網站無法運作。
客觀地說,沒有任何一個網絡能夠免受安全的困擾,依據Financial Times曾做過的統計,平均每20秒鐘就有一個網絡遭到入侵。僅在美國,每年由于網絡安全問題造成的經濟損失就超過100億美元。
就省人民醫院而論,當我們享受著PC大規模的網絡(Intranet)為單位帶來的強大的資源共享,并通過Internet建立起良好的商業環境時,我們是否意識到,我們同時必然要面對的還有百倍于以往單機環境的可能遭受計算機病毒侵害的危險。因為,一旦省人民醫院網絡中的任何一臺電腦感染上病毒,它就很可能在短短幾分鐘中內使這些病毒蔓延到我們的整個網絡。如果這是一臺HIS服務器的話,那造成的危害將更加嚴重。在這種情況下,任何單機模式的防毒措施,都無法有效的在短時間內抑制住病毒在網絡中的蔓延趨勢,而只能眼睜睜的等到自己的計算機被感染以后,再進行補救。病毒的發展趨勢表明,防止病毒,最重要的是如何使企業網絡快速響應突發性的惡意病毒,通過分析所有可能的病毒侵入點,根據各自的特點進行層層防護,建立全方位的企業網絡防病毒體系,真正作到使這些猖獗計算機病毒在我們的單位網絡中無所遁形。
1.2.省人民醫院網絡安全體系需求分析
建立行之有效的全方位安全體系,結合省人民醫院網絡自身的特點,注意的省人民醫院網絡安全風險主要體現在如下幾個方面:來自互聯網絡的風險、來自內部員工的風險、來自病毒和木馬的風險、來自外來單位(企業)的風險和來自網絡安全管理的風險。
1.2.1 來自互聯網絡的風險
省人民醫院局域網都連接INTERNET國際互聯網,并有公開服務器(WWW等服務器),對外提供公開信息服務。一些公開服務器通過Internet公網為客戶提供訪問服務。雖然通過互聯網方便了個人用戶,由于國際互聯網的開放性、自由性以及無國界性,使得省人民醫院局域網的安全性大大降低。黑客站點越來越多,黑客工具唾手可得,攻擊事件明顯增加。Internet的安全正遭受著嚴重的威脅。目前,黑客行動幾乎涉及了所有的操作系統,包括UNIX和Windows NT。黑客在網上的攻擊行動正以每年10倍的速度增長。黑客可能利用省人民醫院局域網上的任何漏洞和缺陷修改網頁、非法進入主機、進入系統盜取信息、發送假冒的電子郵件等。
下面是他們常用的網絡攻擊常用手段:
通常的網絡攻擊一般是侵入或破壞網上的服務器主機盜取服務器的敏感數據或干擾破壞服務器對外提供的服務,也有直接破壞網絡設備的網絡攻擊,這種破壞影響較大會導致網絡服務異常、甚至中斷。
對加密算法的攻擊
一般來說破譯者可對密碼進行惟密文攻擊、已知明文攻擊、選擇密文攻擊和選擇明文攻擊及窮舉攻擊。對特定算法還有特定攻擊方法,如對DES這類迭代分組密碼可選擇差分密碼分析、能量攻擊法。但一般來說,只有國家或大型公司、組織才擁有破譯特定密碼的財力和人力。
端口掃描
端口掃描是一種獲取主機信息的方法。利用端口掃描程序掃描網絡上的一臺主機,可以從掃描的端口數目和端口號來判斷出目標主機運行的操作系統,結合其它掃描信息進而掌握一個局域網的構造。針對端口掃描,其防范措施一般是關閉那些不使用的端口。
對網絡協議(TCP/IP)弱點的攻擊
當初設計Internet各類協議時,幾乎沒有人考慮網絡安全問題,網絡協議或缺乏認證機制或缺少數據保密性,因此可能被攻擊者加以利用而入侵網絡,此類攻擊方式主要有以下幾種:
網絡監聽(嗅探)
網絡監聽工具可以監聽網絡的狀態、數據流動情況以及網絡上傳輸的信息。但此類工具被一些黑客利用,當網卡設置為混雜模式(promiscuous),此網段上的信息便被截獲。通常的檢測與防護方法是:對于懷疑運行監聽程序的機器,用正確的IP地址和錯誤的物理地址去ping,運行監聽程序的機器會有響應;使用安全的網絡拓撲結構隔斷網絡阻止監聽;對一些重要數據進行加密,即使被截獲,信息也不易泄露。
電子郵件攻擊
電子郵件面臨著巨大的安全風險,攻擊者可以通過發送郵件破壞系統文件,或者對端口25(缺省SMTP口)進行SYN-Flood攻擊。這些攻擊有:竊取/篡改數據;偽造郵件;拒絕服務;病毒。保護電子郵件最有效辦法是加密簽名技術,比如PGP(Pretty Good Privacy)來驗證電子郵件。通過驗證保證信息是從正確地方來,而且在傳送過程中不被修改。
Web欺騙攻擊
Web欺騙是指攻擊者建立一個使人相信的Web頁站點拷貝,它具有該頁所有的頁面和鏈接。通過Web站點拷貝被攻擊對象和真的Web站點之間的所有信息流動都被攻擊者控制了。攻擊者可以監視被攻擊對象的所有活動,包括他的帳號和口令以及其它信息。雖然Web欺騙不易察覺,但可以采用以下方法進行保護:跟蹤攻擊者,斷開與它的連接;關閉瀏覽器的javascript,使得攻擊者不能隱藏攻擊的跡象;使用安全性瀏覽器可以告訴用戶連接的另一端。
電子欺騙攻擊
電子欺騙是通過偽造源于一個可信任地址的數據庫以使一臺機器認證另一臺機器的電子攻擊手段。它可分為IP電子欺騙、ARP電子欺騙和DNS電子欺騙三種類型。
1.2.2 來自內部員工的風險
據調查統計,已發生的網絡安全事件中,70%的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身網絡結構、應用比較熟悉,自已攻擊或泄露重要信息內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。一些內部員工數目比較多,因此如何有效的防治內部員工不對自己的網絡進行攻擊也是一個好的網絡安全方案重要的組成部分。
網絡防火墻最大的問題就在于“易防外,不易防內” ,因此還必須就內部互聯網絡進行審計和控制,在這種情況下,防火墻系統和入侵檢測系統IDS結合使用將是最好的選擇。
一些單位用戶對網絡安全的認識存在一些誤區:把網絡安全幾乎全部依賴于所安裝的防火墻系統和防病毒軟件,認為只要安裝了這些設備,網絡就安全了;他們沒有認識到網絡安全是動態的、整體的,不可能僅靠單一安全產品就能實現。所以,我們從網絡安全可能存在的危機入手,分析并提出整體的網絡安全解決方案,這就需要入侵檢測系統IDS。
|
|
資源大小:338.92 KB 
