而“安全威胁”,简单的说是一种令人不快的事件,它可能由一个已确认的威胁来源导致,使资产面临风险。为确认威胁,就必须确认:
? 威胁所针对的资产是什么?是否有价值?是否是组织最重要的信息资产? ? 什么是威胁来源?或者什么样的行为会对系统形成威胁?
? 针对攻击者,还有必要分析他们的技术专长、机遇和动机很可能是什么。 从“资产”和“威胁”两个角度,不难看出,安全威胁的分析,其本质就是要分析“组织的信息资产是什么?这些信息资产会受到什么样的威胁?如果遭到攻击后,对组织带来什么样的损失?”
针对医院信息网络,我们看到,其主要的信息资产包括网络中的应用系统;承载应用系统的重要服务器(数据库、HIS系统、电子病历、网上挂号等);承载访问和数据交换的网络设备和物理线路等等;针对这些信息资产,其面临的安全威胁是全方位的,包括内部和外部的威胁主体,以及人为的和非人为的安全威胁。 威胁来源
? 黑客:攻击网络和系统以发现在运行系统中的弱点或其它错误的一些个人,这些人
员可能在系统外部,也可能在系统内部,其对网络的攻击带有很强的随机性,常常以先要技术为目的,对医院的一些系统进行攻击。
? 有怨言的员工:怀有危害局域网络或系统想法的气愤、不满的员工,或者是一些技
术爱好者,希望尝试一些技术,这些员工由于掌握了同济医院网络的一些资源,所以攻击成功的可能性很高,并且对系统的破坏能力非常强。
非人为安全威胁:非人为的安全威胁主要分为两类:一类是自然灾难,另一类为
技术局限性。
典型的自然灾难包括:地震、水灾、火灾、风灾等。自然灾难可以对网络系统造成毁灭性的破坏,其特点是:发生概率小,但后果严重。
技术局限性体现在网络技术本身的局限性、漏洞和缺陷,典型的漏洞包括:链路老化、电磁辐射、设备以外鼓掌、自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。这些无目的的事件,有时会直接威胁网络的安全,影响信息的存储媒体。
对于医院来讲,技术局限性还表现在系统、硬件、软件的设计和实现上存在不足,配置上没有完全执行即定的安全策略等,这些都将威胁到系统运行的稳定性、可靠性和安全性。
信息系统的高度复杂性以及信息技术的高速发展和变化,使得信息系统的技术局限性成为严重威胁信息系统安全的重大隐患。
人为安全威胁:人为威胁指的是针对网络的人为攻击行为。这些攻击手段都是通过
寻找系统的弱点,以便达到破坏、欺骗、窃取数据等目的,造成经济上和声誉上不可估量的损失。一般来讲,这种人为的安全威胁主要包括被动攻击、主动攻击、邻近攻击、分发攻击和内部威胁。
网络结构的脆弱:从网络结构上看,医院网络分为核心数据交换区域、办公系统
区域、业务网区域、业务网DMZ区域、外部DMZ区域和外部访问家属区域共六个部分,外部上网区域又按不同的物理地域划分为办公网和家属区域,在系统网络的边界采用的是基于交换机的防火墙板卡来进行隔离的,实际上各网络区域之间没有采取任何隔离措施,网络内所有的用户终端都在同核心交换机下,因此很容易受到非授权访问的攻击行为,造成系统被破坏或者数据外泄。
此外,针对医院采用的是基础协议-TCP/IP进行组网,由于TCP/IP协议其自身的缺陷,也使医院网络存在先天的一些弱点。TCP/IP协议在产生之处,还没有全面考虑安全方面的因素,因而在安全方面存在先天的不足,典型利用TCP/IP协议的弱点,发起攻击行为的就是“拒绝服务攻击”,比如“SYN FLOOD”攻击,它就是利用了TCP协议中,建立可靠连接所必须经过的三次握手行为,攻击者只向攻击目标发送带“SYN”表示的数据包,导致攻击目标一味地等待发起连接请求的源地址再次发送确认信息,而导致系统处于长期等待状态,直至系统的资源耗尽,而无法正常处理其他合法的连接请求。
利用TCP/IP协议弱点例子还有就是IP欺骗攻击,IP欺骗由若干步骤组成,首先,目标主机已经选定。其次,信任模式已被发现,并找到了一个被目标主机信任的主机。黑客为了进行IP欺骗,进行以下工作:使得被信任的主机丧失工作能力,同时采样目标主机发出的TCP序列号,猜测出它的数据序列号。然后,伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接。如果成功,黑客可以使用一种简单的命令放置一个系统后门,以进行非授权操作。使被信任主机丧失工作能力。攻击者将要代替真正的被信任主机。 此外,网络结构的脆弱性还表现在外联系统上,我们看到,医院DMZ区域与互联网直接相连,并且该区域内的服务器地址均对互联网公开,基于互联网的开放性,使信息发布区域面临极大的安全威胁,并且一旦DMZ区域被成功攻击后,互联网上的黑客会利用DMZ区域作为对医院其他网络区域发起攻击的“跳板”,对医院其他网络区域实施攻击行为。
系统和应用的脆弱性:信息网络中运行有重要服务器,众所周知,每一种操作系统都包含有漏洞,开发厂商也会定期发布补丁包。如何对重要服务器进行隐患扫描、入侵检测、补丁管理成为日常安全维护的重要工作。医院信息网络内部缺乏有效的设备和系统对系统级、应用级的脆弱性进行定期分析、评估和管理。
由于对内部系统和应用的存在的脆弱性了解不足,很容易让人利用系统及应用系统存在的脆弱性及漏洞对内部网络和系统实施攻击。
硬件平台脆弱性:硬件平台的脆弱性指硬件平台包括硬件平台的纠错能力,它的
脆弱性直接影响着软件资产和数据资产的强壮性。具体而言,软件是安装在服务器、工作站等硬件之上的,所以软件资产的安全威胁和脆弱性也就必然要包括这些硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。而数据是依赖于软件而存在的,也就是说数据资产也间接地依赖于某些硬件,因此数据资产的安全威胁和脆弱性也显然包括了服务器、工作站等硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。 风险来源 非人为安全威胁 人为安全威胁 常见类型 地震、火灾、爆炸、洪水等自然灾害及战争 黑客、被动攻击、主动攻击、邻近攻击、分发攻击和内部威胁 网络结构的脆弱性 硬件平台的脆弱性 IP欺骗攻击、拒绝服务攻击 服务器、工作站等硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性
中 IT基础设施 中 中 所有业务 低 中 发生的可能性 低 所有业务、资产、人员 所有人员、部分业务 中 高 影响范围 风险大小 渗透性测试
一、Sniffer pro的应用
1. Sniffer pro软件概述
Sniffer Pro是一款网络监听工具,通过网卡设置为混杂模式,对网络中传输的数据包进行分析,管理员可获取网络中的数据信息,从而对网络进行安全管理,如果是黑客也可以用此软件获取网络中传输的敏感数据。
2. Sniffer pro 常用功能:
A. 监视功能用于计算显示实时网络通信数据
B. 捕获功能用于捕获网络通信量并将当前数据包存储在缓冲区内 C. 分析捕获缓冲区中的数据包 D. 解码和分析缓冲区中的数据包
3. 监视功能介绍
A. 网络性能可视化监视