实验室信息管理系统(LIMS)的网络安全问题

实验室信息管理系统(LIMS)的网络安全问题近几年，随着我国实验室管理水平的逐步提高，用实验室信息管理系统（LIMS）来管理的用户越来越多。LIMS的功能也将越来越全，资源共享的X围越来越广，网络也越来越开放。在提高管理水平的同时，我们对LIMS的依赖也越来越大。这种趋势对系统的安全性也越显重要。LIMS作为软件工程的一种产品，其安全性的问题在开始系统设计时就应该引起充分的注意。由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、病毒、蠕虫、恶意软件和其他恶意的攻击。无论是有意的攻击，还是无意的误操作，都会给系统带来不可估量的损失。安全隐患主要有以下几个方面：1、操作系统、应用程序、网络系统配置的更新和网络协议本身都可能存在安全漏洞；2、个人从办公网访问Internet，增加网络的外联通道，造成攻击隐患；3、在遭受外部黑客攻击风险的同时，同时也存在内部风险。内部人员的误操作和非法操作致使内部安全风险上升；4．系统结构（B/S,C/S）数据库问题；实验室信息管理系统(LIMS)的网络安全问题全文共8页，当前为第1页。5、LIMS业务与外网的联网业务不断增多，网络规模不断扩大，开放性程度不断提高。如：疾病控制中心与医院，卫生行政管理部门的联网，环境检测站LIMS与环保局的联网，外网用户浏览，外网用户通过Email传样品的图片，光谱请求分析，测试结果的网上公布，在线测量数据传输等，构成用户LIMS局域网与其他单位的网络连接；实验室信息管理系统(LIMS)的网络安全问题全文共8页，当前为第1页。6．网络安全审计和风险评估系统。LIMS网络安全系统的建设目标为确保LIMS系统安全可靠运行。应该就安全体系作整体考虑。至少应包括以下几个方面：安全性：传输过程及存储XX性：明确、严格的访问授权可审查性：要对可能出现的网络安全问题提供调查的依据和手段。3.1访问控制应由防火墙将内部网络与外部不可信任的网络隔离，对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样，对内部网络，由于不同的应用业务以及不同的安全级别，如果可能也需要使用防火墙将不同的LAN或网段进行隔离，并实现相互的访问控制。3.2安全审计要具备识别与防止网络攻击行为、追查网络泄密行为的能力。采用的网络监控与入侵防X系统能识别网络各种违规操作与攻击行为，即时响应（如报警）并进行阻断。要对信息内容的进行审计，防止内部XX或敏感信息的非法泄漏。要有详细、准确的日志纪录。系统要能详细记录系统管理员，系统使用人员等对系统平台以及对具体业务进行的操作。要避免操作人员对数据进行直接修改，在系统不能满足数据维护的要求是，要严格遵循安全管理规X去执行。高效，及时的防毒/杀毒。及时发现网络设备及主机的漏洞与弱点，并及时采取补救措施。实验室信息管理系统(LIMS)的网络安全问题全文共8页，当前为第2页。6．开放性网络系统和设备必须适应多种硬件平台、系统软件平台和通讯协议的能力，以适应管理体制、运行机制变革的要求和通信技术、设备迅速发展变化的要求。实验室信息管理系统(LIMS)的网络安全问题全文共8页，当前为第2页。7．合法性根据国家相关的法规和政策，涉及的安全设备须经过国家有关管理部门的认可或认证，保证其设备的合法性。如公安部安全产品销售许可证书，中国国家信息安全测评认证中心认证证书和国家XX局认证证书；安全风险分析1．操作系统一些广泛应用的操作系统，如Unix，WindowNT/2000的漏洞可能直接影响业务应用系统的安全。位于操作系统之上的LIMS系统，要想获得运行的高可靠性和信息的完整性、XX性、可用性和可控性，必须依赖于操作系统提供的系统软件基础，任何脱离操作系统的应用软件的安全性都是不可能的。1．1Windows系统WINDOWSNT/2000/XP的安全问题WindowsNT/2000/XP操作系统由于其简单明了的图形化操作界面，以及逐渐提高的系统稳定性等因素，成为主要的网络操作系统。WindowsNT/2000/XP系统的安全水平取决于管理员在安装过程、补丁安装过程、应用服务配置过程中的安全修养和实际考虑。缺省安装的WINDOWSNT/2000/XP操作系统的安全问题非常严重，它们通常可能会出现下述安全问题：没有安装最新的ServicePack；没有关闭不必要的系统服务；最新的SERVICEPACK没有解决的安全漏洞；缺省安装的服务程序带来的各种安全问题；系统注册表属性安全问题；文件系统属性安全问题；缺省系统管理员密码带来极大的安全隐患；文件共享方面的安全问题；实验室信息管理系统(LIMS)的网络安全问题全文共8页，当前为第3页。其它方面的各种安全问题。实验室信息管理系统(LIMS)的网络安全问题全文共8页，当前为第3页。1．2WINDOWS9X系统很多实验室的分析仪器所带工作站还采用WINDOWS9X系统，该系统可能会出现的拒绝服务攻击漏洞，IE浏览器出现的各种安全问题，WINDOWS资源共享导致的安全问题，电子携带的病毒和木马程序，IRC、ICQ、OICQ等网络联络工具带来的安全问题。1．3Unix系统UNIX类服务器和工作站由于其出色的稳定性和高性能而成为一些大型LIMS所采用的支撑数据库应用的操作系统，并且往往承担着最核心的应用。缺省安装的UNIX操作系统（以HPUNIX为例）会存在以下安全问题：FINGER（泄露系统信息）各类RPC（存在大量的远程缓冲区溢出、泄露系统信息）SENDMAIL（许多安全漏洞、垃圾转发等）NAMED（远程缓冲区溢出、拒绝服务攻击等）SNMP（泄露系统信息）操作系统内核中的网络参数存在许多安全隐患（IP转发、堆栈参数等）存在各种缓冲区溢出漏洞存在其它方面的安全问题但一些通用的应用程序，如WebServer程序，FTP服务程序，服务程序，浏览器，MSOffice办公软件等这些应用程序自身的安全漏洞和由于配置不当造成的安全漏洞会导致整个网络的安全性下降。2．体系结构实验室信息管理系统(LIMS)的网络安全问题全文共8页，当前为第4页。B/S和C/S是目前LIMS中最常用的结构。C/S（client/server(客户/服务器)）的结构，已运行了20多年，技术很成熟但功能落后，扩展性差。B/S（Browser/Serve（浏览/服务器））结构是近几年发展起来的新技术，Web的内容保存在Web站点（Web服务器）中，用户通过浏览器（Browser）访问Web站点。在客户端不必安装专用代码，系统功能全部在服务器端集中实现和管理。B/S最大的优点就是可以在任何地方进行操作而不用安装任何专门的软件。只要有一台能上网的电脑就能使用，真正做到客户端零管理。系统维护升级难度和工作量明显降低。系统的扩展也非常容易。LIMS的体系结构的发展方向将是C/S向B/S过渡。实验室信息管理系统(LIMS)的网络安全问题全文共8页，当前为第4页。目前广泛应用的数据库有Oracle,Sysbase和MSSQLServer等。MySQL是专门用于网络的数据库，速度较快，维护简便，最重要的是MySQL还是免费的。可以任意下载源文件。很多优秀的软件还涉及到问题如PowerBuilder,Sysbase和Oracle等。正版软件功能完备且售后服务有保障，但成本高。随着LIMS系统越来越大，使用盗版软件的潜在风险也将越来越大。一些优秀软件是免费下载的，且不断更新。安全性能好。如PHP，MySQL和APACHE.。Web服务器安全风险服务器崩溃，各种WEB应用服务停止；WEB服务脚本的安全漏洞，远程溢出(.Printer漏洞)；通过WEB服务获取系统的超级用户特权；WEB页面被恶意删改；通过WEB服务上传木马等非法后门程序，以达到对整个服务器的控制；WEB服务器的数据源，被非法入侵，用户的一些私有信息被窃；利用WEB服务器作为跳板，进而攻击内部的重要数据库服务器。拒绝服务攻击或分布式拒绝服务攻击；针对IIS攻击的工具，如IISCrash；各种网络病毒的侵袭，如Nimda，RedcodeII等。恶意的JavaApplet，ActiveX攻击等；WEB服务的某些目录可写；实验室信息管理系统(LIMS)的网络安全问题全文共8页，当前为第5页。保障安全的具体功能和技术指标实验室信息管理系统(LIMS)的网络安全问题全文共8页，当前为第5页。1、防火墙：有严格的边界控制策略，对跨网访问进行用户认证（用户、IP地址、MAC地址绑定或采用用户组与用户绑定）、权限、内容、时间、带宽等方面进行控制，具备统计、计时功能。安全性：通过严格的入侵测试。抗攻击能力：具有对典型攻击的防御能力性能：能够提供足够的网络吞吐能力自我完备能力：自身的安全性，Fail-close。方便用户操作：能够根据IP地址自动搜索MAC地址，灵活的带宽控制与管理可管理能力：是否支持SNMP网管VPN支持：认证和加密特性服务的类型：网络地址转换能力，同时支持路由和透明的混合模式与网络内其它安全系统的动态适应2、入侵检测系统：基于网络级、主机级入侵检测系统,提供报警、日志功能，便于追查并阻断非法入侵和恶意攻击；具有强大的协议分析及检测能力解码效率（速度）自身安全的完备性精确度及完整度，防欺骗能力模式更新速度3、漏洞扫描：实验室信息管理系统(LIMS)的网络安全问题全文共8页，当前为第6页。一般的LIMS系统通常都采用通用的网络设备，而通用的网络设备通常都为默认的系统配置，而默认的系统配置往往具有很强的脆弱性和风险值。对此，应有针对主机、操作系统(WINDOWS、UNIX、LINUX)的漏洞扫描技术，能提供相关的解决方案，便于及时发现并修补漏洞；处理效率快，能支持多种协议和操作系统；实验室信息管理系统(LIMS)的网络安全问题全文共8页，当前为第6页。方便用户操作：通过GUI的图形界面，并能灵活、方便地选择一组或不同网络区域的设备进行检测；支持可定制的漏洞扫描方法：提供强大的工具构造特定的攻击方法，便于检测计算机网络系统的安全性；提供详细的报告：扫描器应该能够给出清楚的安全漏洞报告，并能提出相应的解决方案；更新周期：能够发现的漏洞数量，提供该项产品的厂商应尽快给出新发现的安全漏洞扫描特性升级，并给出相应的改进建议；4、非法外联监测系统：实时监测外联通路，杜绝非法拨号访问外部网络造成的安全隐患；5、线路加密：对于业务生产网络以及重要的信息办公网络线路，采取必要的网络加密措施在多个层次上（如数据链路层、网络层等）进行数据加密；6、外部用户接入的安全性：管理和控制移动及远程用户接入内部网络的安全性考虑，WEB服务器、MAIL服务器、网上银行交易系统网络连接的安全性考虑；7、风险评估：建立一套有效的与网络安全相关的风险评估机制；8、相关管理制度及应急措施：制定一套有效的、严格的内控机制和管理制度，规X系统运作，防X内、外部非法访问和恶意攻击。涉及网络信息安全的因素很多，有硬件设备的和软件方面的。我们在系统设计之初，用户需求表达之时就要充分考虑到安全因素。防患于未然，系统一旦崩溃，几十万条纪录或十几年积累的数据都可能可能功亏一篑，这是我们都不愿意看到的。实验室信息管理系统(LIMS)的网络安全问题全文共8页，当前为第7页。思铂公司自成立以来一直专注于检验检测行业，不断追求产品技术先进性和行业应用个性化，努力提供卓越服务与客户共同成长。近年来，随着公司核心产品LIMS的日益成熟和业务的不断拓展，已为包括中石