實驗室信息管理系統(tǒng)(LIMS)的網(wǎng)絡安全問題

實驗室信息管理系統(tǒng)(LIMS)的網(wǎng)絡安全問題近幾年，隨著我國實驗室管理水平的逐步提高，用實驗室信息管理系統(tǒng)（LIMS）來管理的用戶越來越多。LIMS的功能也將越來越全，資源共享的X圍越來越廣，網(wǎng)絡也越來越開放。在提高管理水平的同時，我們對LIMS的依賴也越來越大。這種趨勢對系統(tǒng)的安全性也越顯重要。LIMS作為軟件工程的一種產(chǎn)品，其安全性的問題在開始系統(tǒng)設計時就應該引起充分的注意。由于計算機網(wǎng)絡具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性等特征，致使網(wǎng)絡易受黑客、病毒、蠕蟲、惡意軟件和其他惡意的攻擊。無論是有意的攻擊，還是無意的誤操作，都會給系統(tǒng)帶來不可估量的損失。安全隱患主要有以下幾個方面：1、操作系統(tǒng)、應用程序、網(wǎng)絡系統(tǒng)配置的更新和網(wǎng)絡協(xié)議本身都可能存在安全漏洞；2、個人從辦公網(wǎng)訪問Internet，增加網(wǎng)絡的外聯(lián)通道，造成攻擊隱患；3、在遭受外部黑客攻擊風險的同時，同時也存在內(nèi)部風險。內(nèi)部人員的誤操作和非法操作致使內(nèi)部安全風險上升；4．系統(tǒng)結(jié)構(gòu)（B/S,C/S）數(shù)據(jù)庫問題；實驗室信息管理系統(tǒng)(LIMS)的網(wǎng)絡安全問題全文共8頁，當前為第1頁。5、LIMS業(yè)務與外網(wǎng)的聯(lián)網(wǎng)業(yè)務不斷增多，網(wǎng)絡規(guī)模不斷擴大，開放性程度不斷提高。如：疾病控制中心與醫(yī)院，衛(wèi)生行政管理部門的聯(lián)網(wǎng)，環(huán)境檢測站LIMS與環(huán)保局的聯(lián)網(wǎng)，外網(wǎng)用戶瀏覽，外網(wǎng)用戶通過Email傳樣品的圖片，光譜請求分析，測試結(jié)果的網(wǎng)上公布，在線測量數(shù)據(jù)傳輸?shù)?，?gòu)成用戶LIMS局域網(wǎng)與其他單位的網(wǎng)絡連接；實驗室信息管理系統(tǒng)(LIMS)的網(wǎng)絡安全問題全文共8頁，當前為第1頁。6．網(wǎng)絡安全審計和風險評估系統(tǒng)。LIMS網(wǎng)絡安全系統(tǒng)的建設目標為確保LIMS系統(tǒng)安全可靠運行。應該就安全體系作整體考慮。至少應包括以下幾個方面：安全性：傳輸過程及存儲XX性：明確、嚴格的訪問授權(quán)可審查性：要對可能出現(xiàn)的網(wǎng)絡安全問題提供調(diào)查的依據(jù)和手段。3.1訪問控制應由防火墻將內(nèi)部網(wǎng)絡與外部不可信任的網(wǎng)絡隔離，對與外部網(wǎng)絡交換數(shù)據(jù)的內(nèi)部網(wǎng)絡及其主機、所交換的數(shù)據(jù)進行嚴格的訪問控制。同樣，對內(nèi)部網(wǎng)絡，由于不同的應用業(yè)務以及不同的安全級別，如果可能也需要使用防火墻將不同的LAN或網(wǎng)段進行隔離，并實現(xiàn)相互的訪問控制。3.2安全審計要具備識別與防止網(wǎng)絡攻擊行為、追查網(wǎng)絡泄密行為的能力。采用的網(wǎng)絡監(jiān)控與入侵防X系統(tǒng)能識別網(wǎng)絡各種違規(guī)操作與攻擊行為，即時響應（如報警）并進行阻斷。要對信息內(nèi)容的進行審計，防止內(nèi)部XX或敏感信息的非法泄漏。要有詳細、準確的日志紀錄。系統(tǒng)要能詳細記錄系統(tǒng)管理員，系統(tǒng)使用人員等對系統(tǒng)平臺以及對具體業(yè)務進行的操作。要避免操作人員對數(shù)據(jù)進行直接修改，在系統(tǒng)不能滿足數(shù)據(jù)維護的要求是，要嚴格遵循安全管理規(guī)X去執(zhí)行。高效，及時的防毒/殺毒。及時發(fā)現(xiàn)網(wǎng)絡設備及主機的漏洞與弱點，并及時采取補救措施。實驗室信息管理系統(tǒng)(LIMS)的網(wǎng)絡安全問題全文共8頁，當前為第2頁。6．開放性網(wǎng)絡系統(tǒng)和設備必須適應多種硬件平臺、系統(tǒng)軟件平臺和通訊協(xié)議的能力，以適應管理體制、運行機制變革的要求和通信技術(shù)、設備迅速發(fā)展變化的要求。實驗室信息管理系統(tǒng)(LIMS)的網(wǎng)絡安全問題全文共8頁，當前為第2頁。7．合法性根據(jù)國家相關(guān)的法規(guī)和政策，涉及的安全設備須經(jīng)過國家有關(guān)管理部門的認可或認證，保證其設備的合法性。如公安部安全產(chǎn)品銷售許可證書，中國國家信息安全測評認證中心認證證書和國家XX局認證證書；安全風險分析1．操作系統(tǒng)一些廣泛應用的操作系統(tǒng)，如Unix，WindowNT/2000的漏洞可能直接影響業(yè)務應用系統(tǒng)的安全。位于操作系統(tǒng)之上的LIMS系統(tǒng)，要想獲得運行的高可靠性和信息的完整性、XX性、可用性和可控性，必須依賴于操作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ)，任何脫離操作系統(tǒng)的應用軟件的安全性都是不可能的。1．1Windows系統(tǒng)WINDOWSNT/2000/XP的安全問題WindowsNT/2000/XP操作系統(tǒng)由于其簡單明了的圖形化操作界面，以及逐漸提高的系統(tǒng)穩(wěn)定性等因素，成為主要的網(wǎng)絡操作系統(tǒng)。WindowsNT/2000/XP系統(tǒng)的安全水平取決于管理員在安裝過程、補丁安裝過程、應用服務配置過程中的安全修養(yǎng)和實際考慮。缺省安裝的WINDOWSNT/2000/XP操作系統(tǒng)的安全問題非常嚴重，它們通常可能會出現(xiàn)下述安全問題：沒有安裝最新的ServicePack；沒有關(guān)閉不必要的系統(tǒng)服務；最新的SERVICEPACK沒有解決的安全漏洞；缺省安裝的服務程序帶來的各種安全問題；系統(tǒng)注冊表屬性安全問題；文件系統(tǒng)屬性安全問題；缺省系統(tǒng)管理員密碼帶來極大的安全隱患；文件共享方面的安全問題；實驗室信息管理系統(tǒng)(LIMS)的網(wǎng)絡安全問題全文共8頁，當前為第3頁。其它方面的各種安全問題。實驗室信息管理系統(tǒng)(LIMS)的網(wǎng)絡安全問題全文共8頁，當前為第3頁。1．2WINDOWS9X系統(tǒng)很多實驗室的分析儀器所帶工作站還采用WINDOWS9X系統(tǒng)，該系統(tǒng)可能會出現(xiàn)的拒絕服務攻擊漏洞，IE瀏覽器出現(xiàn)的各種安全問題，WINDOWS資源共享導致的安全問題，電子攜帶的病毒和木馬程序，IRC、ICQ、OICQ等網(wǎng)絡聯(lián)絡工具帶來的安全問題。1．3Unix系統(tǒng)UNIX類服務器和工作站由于其出色的穩(wěn)定性和高性能而成為一些大型LIMS所采用的支撐數(shù)據(jù)庫應用的操作系統(tǒng)，并且往往承擔著最核心的應用。缺省安裝的UNIX操作系統(tǒng)（以HPUNIX為例）會存在以下安全問題：FINGER（泄露系統(tǒng)信息）各類RPC（存在大量的遠程緩沖區(qū)溢出、泄露系統(tǒng)信息）SENDMAIL（許多安全漏洞、垃圾轉(zhuǎn)發(fā)等）NAMED（遠程緩沖區(qū)溢出、拒絕服務攻擊等）SNMP（泄露系統(tǒng)信息）操作系統(tǒng)內(nèi)核中的網(wǎng)絡參數(shù)存在許多安全隱患（IP轉(zhuǎn)發(fā)、堆棧參數(shù)等）存在各種緩沖區(qū)溢出漏洞存在其它方面的安全問題但一些通用的應用程序，如WebServer程序，F(xiàn)TP服務程序，服務程序，瀏覽器，MSOffice辦公軟件等這些應用程序自身的安全漏洞和由于配置不當造成的安全漏洞會導致整個網(wǎng)絡的安全性下降。2．體系結(jié)構(gòu)實驗室信息管理系統(tǒng)(LIMS)的網(wǎng)絡安全問題全文共8頁，當前為第4頁。B/S和C/S是目前LIMS中最常用的結(jié)構(gòu)。C/S（client/server(客戶/服務器)）的結(jié)構(gòu)，已運行了20多年，技術(shù)很成熟但功能落后，擴展性差。B/S（Browser/Serve（瀏覽/服務器））結(jié)構(gòu)是近幾年發(fā)展起來的新技術(shù)，Web的內(nèi)容保存在Web站點（Web服務器）中，用戶通過瀏覽器（Browser）訪問Web站點。在客戶端不必安裝專用代碼，系統(tǒng)功能全部在服務器端集中實現(xiàn)和管理。B/S最大的優(yōu)點就是可以在任何地方進行操作而不用安裝任何專門的軟件。只要有一臺能上網(wǎng)的電腦就能使用，真正做到客戶端零管理。系統(tǒng)維護升級難度和工作量明顯降低。系統(tǒng)的擴展也非常容易。LIMS的體系結(jié)構(gòu)的發(fā)展方向?qū)⑹荂/S向B/S過渡。實驗室信息管理系統(tǒng)(LIMS)的網(wǎng)絡安全問題全文共8頁，當前為第4頁。目前廣泛應用的數(shù)據(jù)庫有Oracle,Sysbase和MSSQLServer等。MySQL是專門用于網(wǎng)絡的數(shù)據(jù)庫，速度較快，維護簡便，最重要的是MySQL還是免費的?？梢匀我庀螺d源文件。很多優(yōu)秀的軟件還涉及到問題如PowerBuilder,Sysbase和Oracle等。正版軟件功能完備且售后服務有保障，但成本高。隨著LIMS系統(tǒng)越來越大，使用盜版軟件的潛在風險也將越來越大。一些優(yōu)秀軟件是免費下載的，且不斷更新。安全性能好。如PHP，MySQL和APACHE.。Web服務器安全風險服務器崩潰，各種WEB應用服務停止；WEB服務腳本的安全漏洞，遠程溢出(.Printer漏洞)；通過WEB服務獲取系統(tǒng)的超級用戶特權(quán)；WEB頁面被惡意刪改；通過WEB服務上傳木馬等非法后門程序，以達到對整個服務器的控制；WEB服務器的數(shù)據(jù)源，被非法入侵，用戶的一些私有信息被竊；利用WEB服務器作為跳板，進而攻擊內(nèi)部的重要數(shù)據(jù)庫服務器。拒絕服務攻擊或分布式拒絕服務攻擊；針對IIS攻擊的工具，如IISCrash；各種網(wǎng)絡病毒的侵襲，如Nimda，RedcodeII等。惡意的JavaApplet，ActiveX攻擊等；WEB服務的某些目錄可寫；實驗室信息管理系統(tǒng)(LIMS)的網(wǎng)絡安全問題全文共8頁，當前為第5頁。保障安全的具體功能和技術(shù)指標實驗室信息管理系統(tǒng)(LIMS)的網(wǎng)絡安全問題全文共8頁，當前為第5頁。1、防火墻：有嚴格的邊界控制策略，對跨網(wǎng)訪問進行用戶認證（用戶、IP地址、MAC地址綁定或采用用戶組與用戶綁定）、權(quán)限、內(nèi)容、時間、帶寬等方面進行控制，具備統(tǒng)計、計時功能。安全性：通過嚴格的入侵測試。抗攻擊能力：具有對典型攻擊的防御能力性能：能夠提供足夠的網(wǎng)絡吞吐能力自我完備能力：自身的安全性，F(xiàn)ail-close。方便用戶操作：能夠根據(jù)IP地址自動搜索MAC地址，靈活的帶寬控制與管理可管理能力：是否支持SNMP網(wǎng)管VPN支持：認證和加密特性服務的類型：網(wǎng)絡地址轉(zhuǎn)換能力，同時支持路由和透明的混合模式與網(wǎng)絡內(nèi)其它安全系統(tǒng)的動態(tài)適應2、入侵檢測系統(tǒng)：基于網(wǎng)絡級、主機級入侵檢測系統(tǒng),提供報警、日志功能，便于追查并阻斷非法入侵和惡意攻擊；具有強大的協(xié)議分析及檢測能力解碼效率（速度）自身安全的完備性精確度及完整度，防欺騙能力模式更新速度3、漏洞掃描：實驗室信息管理系統(tǒng)(LIMS)的網(wǎng)絡安全問題全文共8頁，當前為第6頁。一般的LIMS系統(tǒng)通常都采用通用的網(wǎng)絡設備，而通用的網(wǎng)絡設備通常都為默認的系統(tǒng)配置，而默認的系統(tǒng)配置往往具有很強的脆弱性和風險值。對此，應有針對主機、操作系統(tǒng)(WINDOWS、UNIX、LINUX)的漏洞掃描技術(shù)，能提供相關(guān)的解決方案，便于及時發(fā)現(xiàn)并修補漏洞；處理效率快，能支持多種協(xié)議和操作系統(tǒng)；實驗室信息管理系統(tǒng)(LIMS)的網(wǎng)絡安全問題全文共8頁，當前為第6頁。方便用戶操作：通過GUI的圖形界面，并能靈活、方便地選擇一組或不同網(wǎng)絡區(qū)域的設備進行檢測；支持可定制的漏洞掃描方法：提供強大的工具構(gòu)造特定的攻擊方法，便于檢測計算機網(wǎng)絡系統(tǒng)的安全性；提供詳細的報告：掃描器應該能夠給出清楚的安全漏洞報告，并能提出相應的解決方案；更新周期：能夠發(fā)現(xiàn)的漏洞數(shù)量，提供該項產(chǎn)品的廠商應盡快給出新發(fā)現(xiàn)的安全漏洞掃描特性升級，并給出相應的改進建議；4、非法外聯(lián)監(jiān)測系統(tǒng)：實時監(jiān)測外聯(lián)通路，杜絕非法撥號訪問外部網(wǎng)絡造成的安全隱患；5、線路加密：對于業(yè)務生產(chǎn)網(wǎng)絡以及重要的信息辦公網(wǎng)絡線路，采取必要的網(wǎng)絡加密措施在多個層次上（如數(shù)據(jù)鏈路層、網(wǎng)絡層等）進行數(shù)據(jù)加密；6、外部用戶接入的安全性：管理和控制移動及遠程用戶接入內(nèi)部網(wǎng)絡的安全性考慮，WEB服務器、MAIL服務器、網(wǎng)上銀行交易系統(tǒng)網(wǎng)絡連接的安全性考慮；7、風險評估：建立一套有效的與網(wǎng)絡安全相關(guān)的風險評估機制；8、相關(guān)管理制度及應急措施：制定一套有效的、嚴格的內(nèi)控機制和管理制度，規(guī)X系統(tǒng)運作，防X內(nèi)、外部非法訪問和惡意攻擊。涉及網(wǎng)絡信息安全的因素很多，有硬件設備的和軟件方面的。我們在系統(tǒng)設計之初，用戶需求表達之時就要充分考慮到安全因素。防患于未然，系統(tǒng)一旦崩潰，幾十萬條紀錄或十幾年積累的數(shù)據(jù)都可能可能功虧一簣，這是我們都不愿意看到的。實驗室信息管理系統(tǒng)(LIMS)的網(wǎng)絡安全問題全文共8頁，當前為第7頁。思鉑公司自成立以來一直專注于檢驗檢測行業(yè)，不斷追求產(chǎn)品技術(shù)先進性和行業(yè)應用個性化，努力提供卓越服務與客戶共同成長。近年來，隨著公司核心產(chǎn)品LIMS的日益成熟和業(yè)務的不斷拓展，已為包括中石