醫(yī)院網絡安全加固拓撲分析基于信息安全等級保護基本要求優(yōu)化設計2015/4/22第一部分、 信息安全加固拓撲總體分析本方案通過全景方式對某人民醫(yī)院網絡拓撲進行展現(xiàn)?；诘燃壉Ｗo測評的信息安全問題和安全測評工程師給出的信息安全加固方案,形成下圖：醫(yī)院內網醫(yī)院內網主要承載了某人民醫(yī)院內部重要的業(yè)務系統(tǒng)，相對于醫(yī)院外網安全性要高，根據(jù)現(xiàn)狀分析，當前具有兩個網絡出口，目前已經部署了防火墻進行安全防護?？紤]醫(yī)院主要的被測系統(tǒng)的等級保護要求我們建議部署數(shù)據(jù)庫審計系統(tǒng)、堡壘機和入侵防御系統(tǒng)，進行必要的綜合審計、運維與安全防護。數(shù)據(jù)庫審計系統(tǒng)旁路端口鏡像部署在三級系統(tǒng)核心或匯聚交換機上，主要對三級業(yè)務系統(tǒng)的各種數(shù)據(jù)庫操作進行實施審計和記錄。堡壘機系統(tǒng)旁路部署在內網核心交換上，主要是針對全醫(yī)院所有的網絡設備、主機設備及安全設備進行運維審計，要是實現(xiàn)預期目標必須要和防火墻或 ACL 配合。在內網邊界防火墻下部署入侵防御系統(tǒng)。數(shù)據(jù)交換區(qū)當前由于某人民醫(yī)院內外網絡之間需要進行數(shù)據(jù)通訊， 建立一個數(shù)據(jù)交換區(qū)域，數(shù)據(jù)交換區(qū)域通過防火墻進行兩個區(qū)域之間的隔離和安全防護。從信息安全角度，我們不建議內外網絡之間進行直接區(qū)域打通，如有必要應當實現(xiàn)物理隔離。個人建議采用數(shù)據(jù)交換應該通過 VPN 等方式實現(xiàn)，每個區(qū)域應當有自己的管理系統(tǒng)，內網防病毒系統(tǒng)應當離線病毒定義升級等措施。如果現(xiàn)狀無法改變，我們建議數(shù)據(jù)交換區(qū)應當提高信息安全防護級別，主要從單一訪問控制延伸至應用層防護、入侵防御、惡意代碼防護等綜合安全措施。因此我們采用下一代安全網關或網閘這類安全設備，加強兩大區(qū)域之間的安全防護。該防火墻要執(zhí)行嚴格的安全策略。醫(yī)院外網醫(yī)院外網主要承載了醫(yī)院辦公互聯(lián)網訪問， 對外提供業(yè)務等服務。由于面向互聯(lián)網，因此該區(qū)域面臨較高的信息威脅和隱患，主要包括病毒惡意代碼、網絡攻擊、黑客入侵、數(shù)據(jù)外泄等風險?，F(xiàn)狀是單一的防火墻進行安全防護，我們建議某人民醫(yī)院首先應當對業(yè)務分級保護，重新規(guī)劃 DMZ 區(qū)，主要放置對外的各業(yè)務 WEB 服務器。重點加強網絡邊界和 DMZ區(qū)域安全防護，如在和互聯(lián)網邊界透明/路由部署抗 Ddos 系統(tǒng)，防火墻系統(tǒng)（路由模式）、入侵防御系統(tǒng)和防病毒。DMZ經過 WAF(應用層防火墻)進行過濾，保障對外業(yè)務的應用安全。第二部分、 需求分析與產品功能介紹2.1 抗 Ddos 系統(tǒng) 需求分析 拒絕服務攻擊（ DoS, Denial of Service）是指利用各種服務請求耗盡被攻擊網絡的系統(tǒng)資源，從而使被攻擊網絡無法處理合法用戶的請求。而隨著僵尸網絡的興起，同時由于攻擊方法簡單、影響較大、難以追查等特點，又使得分布式拒絕服務攻擊（ DDoS， Distributed Denial of Service）得到快速壯大和日益泛濫。 成千上萬主機組成的僵尸網絡為 DDoS 攻擊提供了所需的帶寬和主機，形成了規(guī)模 巨大的攻擊和網絡流量，對醫(yī)院出口網絡造成了極大的危害。 主要危害：醫(yī)院上網緩慢、網站或者掛號系統(tǒng)無法訪問、出口設備宕機，網絡停止服務。 產品功能 探針式流量檢測： Detector 通過 DFI 分析的方式，發(fā)現(xiàn)網絡中的異常流量并給出告警，支持主流的流量分析技術包括 Netflow、 cFlow、 sFlow、 NetStream 等。同時也支持鏡像流量進行 Flow 轉化，可以滿足各種網絡環(huán)境的流量分析需求。 手術式 DDoS 清洗：對漏洞型、流量型、應用型等各種 DDOS 攻擊進行清洗，并將清洗完后的干凈流量回注到網絡。 強勁的處理性能：采用 MIPS 多核處理平臺，單機最大同時支持 64 個 vCPU 并行工作，清洗能力強，穩(wěn)定性高。2.2 入侵防御系統(tǒng) 需求分析 隨著網絡的飛速發(fā)展，以蠕蟲、病毒、木馬、間諜軟件、黑客攻擊為代表的 應用層攻擊層出不窮。傳統(tǒng)的基于網絡層的防護只能針對報文頭進行檢查和規(guī)則匹配，而大量應用層攻擊都隱藏在正常報文中，甚至是跨越幾個報文，因此僅僅分析單個報文頭意義不大。由于業(yè)務需要，網絡連接互聯(lián)網，業(yè)務或辦公數(shù)據(jù)在網絡上傳輸，而網絡設備、主機系統(tǒng)都不同程度存在一些安全漏洞，攻擊者可以利用存在的漏洞進行破壞，可能引起數(shù)據(jù)破壞、業(yè)務中斷甚至系統(tǒng)宕機，嚴重影響醫(yī)院網絡信息系統(tǒng)的正常運行。在醫(yī)院網絡中，防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但作為工作在三層以下的訪問控制設備，防火墻無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對 WEB 服務的 Code Red 蠕蟲等。而且有些主動或被動 的攻擊行為是來自防火墻內部的，防火墻無法發(fā)現(xiàn)內部網絡中的攻擊行為。因此，如何識別醫(yī)院網絡中的攻擊行為成為了當務之急。主要功能NIPS 是網絡入侵防護系統(tǒng)產品內置先進的 Web 信譽機制，同時具備深度入侵防護、精細流量控制，以及全面用戶上網行為監(jiān)管等多項功能，能夠為用戶提 供深度攻擊防御入侵防御系統(tǒng)可以對網絡蠕蟲、間諜軟件、溢出攻擊、數(shù)據(jù)庫攻擊等多種深層攻擊行為進行主動阻斷。并在漏洞庫的基礎上，集成了專業(yè)病毒庫和應用協(xié)議庫，是針對系統(tǒng)漏洞、協(xié)議弱點、病毒蠕蟲、黑客攻擊、網頁篡改、間諜軟件、惡意攻擊、流量異常等威脅的一體化應用層深度防御平臺。部署簡單、 即插即用，配合應用 Bypass 等高可靠性設計，可滿足各種復雜網絡環(huán)境對應用層安全防護的高性能、高可靠和易管理的需求，是應用層安全保障的最佳選擇。2.3 WAF（應用層防護墻） 需求分析 WEB 應用安全問題本質上源于軟件質量問題，但WEB 應用相較傳統(tǒng)的軟件，具有其獨特性。WEB 應用往往是某個機構所獨有的應用，對其存在的漏洞，已知的通用漏洞簽名缺乏有效性；WEB需要頻繁地變更以滿足業(yè)務目標，從而使 得很難維持有序的開發(fā)周期；基于 Web 的應用日益增多，SQL 注入、跨站腳本、網頁掛馬等各種攻擊手段使得 Web 應用處于高風險的環(huán)境中，傳統(tǒng)安全設備無法對 Web 應用提供細粒度的有效防護。主要功能Web 應用防火墻（簡稱 WAF），專注于保護 Web 應用和 Web 服務，并將 成熟的DDoS 攻擊抵御機制整合在一起， WAF 提供針對 OWASP Top 10、LOIC、HOIC 的全面防御，為 Web 安全保駕護航。u 降低數(shù)據(jù)泄露風險SQL注入防護、HTTP協(xié)議防護、Web 漏洞攻擊防護、信息安全防護（狀態(tài)碼過濾/ 偽裝）、Web 內容安全防護u 支撐 Web 服務可用性HTTP Flood 防護、TCP Flood 防護u 控制惡意訪問URL訪問控制文件非法下載/上傳防護盜鏈防護爬蟲防護u 保護 Web 客戶端CSRF 防護 XSS 防護 Cookie 安全（加密/簽名）2.4 堡壘機系統(tǒng) 需求分析隨著信息化進程不斷深入，醫(yī)院的業(yè)務系統(tǒng)變得日益復雜，由員工或者外部維護人員違規(guī)操作導致的安全問題變得日益突出起來。防火墻、防病毒、入侵檢系統(tǒng)等常規(guī)的安全產品可以解決一部分安全問題，但對于內部人員的違規(guī)操作 卻無能為力。越來越多的會將非核心業(yè)務外包給設備商或者其他專業(yè)代維公司。如何有效地監(jiān)控設備廠商和代維人員的操作行為,并進行嚴格的審計是醫(yī)院面臨的一個關鍵問題。主要功能堡壘機是針對業(yè)務環(huán)境下的用戶運維操作進行控制和審計的合規(guī)性管控系統(tǒng)。它通過對自然人身份以及資源、資源賬號的集中管理建立“自然人資源 資源賬號”對應關系，實現(xiàn)自然人對資源的統(tǒng)一授權，同時，對授權人員的運維操作進行記錄、分析、展現(xiàn)，以幫助內控工作事前規(guī)劃預防、事中實時監(jiān)控、違規(guī)行為響應、事后合規(guī)報告、事故追蹤回放，加強內部業(yè)務操作行為監(jiān)管、避免核心資產（服務器、網絡設備、安全設備等）損失、保障業(yè)務系統(tǒng)的正常運營。對單位的業(yè)務系統(tǒng)來說，真正重要的核心信息資產往往存放在少數(shù)幾個關鍵 系統(tǒng)上，通過使用堡壘機，能夠加強對這些關鍵系統(tǒng)的訪問控制與審計，從而有效地減少核心信息資產的破壞和泄漏。能夠對運維人員維護過程的全面跟蹤、控制、記錄、回放；支持細粒度配置運維人員的訪問權限，實時阻斷違規(guī)、越權的 訪問行為，同時提供維護人員操作的全過程的記錄與報告；系統(tǒng)支持對加密與圖形協(xié)議進行審計，消除了傳統(tǒng)行為審計系統(tǒng)中的審計盲點，是IT系統(tǒng)內部控制最有力的支撐平臺之一。2.5 數(shù)據(jù)庫審計系統(tǒng)需求分析 數(shù)據(jù)庫系統(tǒng)作為信息的聚集體，是計算機信息系統(tǒng)的核心部件，其安全性至關重要，關系到醫(yī)院興衰、成敗。因此，如何有效地保證數(shù)據(jù)庫系統(tǒng)的安全，實現(xiàn)數(shù)據(jù)的保密性、完整性和有效性，已經成為業(yè)界人士探索研究的重要課題之一。 對醫(yī)院重要的業(yè)務應用系統(tǒng)或者網絡基礎設施，相應地具備如下需求中的部分或者全部：1、需要滿足各種合規(guī)要求，比如等級保護、分級保護等要求； 2、需要對重要/關鍵數(shù)據(jù)的訪問進行審計；3、希望有效地控制數(shù)據(jù)庫操作風險； 4、需要進行事后追查，但缺乏數(shù)據(jù)記錄與追查方法。主要功能數(shù)據(jù)庫安全審計系統(tǒng)主要用于監(jiān)視并記錄對數(shù)據(jù)庫服務器的各類操作行為，通過對網絡數(shù)據(jù)的分析，實時地、智能地解析對數(shù)據(jù)庫服務器的各種操作，并記入審計數(shù)據(jù)庫中以便日后進行查詢、分析、過濾，實現(xiàn)對目標數(shù)據(jù)庫系統(tǒng)的用戶操作的監(jiān)控和審計。數(shù)據(jù)庫審計系統(tǒng)通結合各類法令法規(guī)（如等級保護、分級保護、 醫(yī)院內控等）對數(shù)據(jù)庫安全的要求，自主研發(fā)的業(yè)界首創(chuàng)細粒度審計、雙向審計、全方位風險控制的數(shù)據(jù)庫安全審計產品?？蓭椭t(yī)院帶來如下價值點：l 全面記錄數(shù)據(jù)庫訪問行為，識別越權操作等違規(guī)行為，并完成追蹤溯源l 跟蹤敏感數(shù)據(jù)訪問行為軌跡，建立訪問行為模型，發(fā)現(xiàn)敏感數(shù)據(jù)泄漏l 檢測數(shù)據(jù)庫配置弱點、發(fā)現(xiàn) SQL 注入等漏洞、提供解決建議l 為數(shù)據(jù)庫安全管理與性能優(yōu)化提供決策依據(jù)l 提供符合法律法規(guī)的報告，滿足等級保護、醫(yī)院內控等審計要求；2.6 下一代安全網關主要面向數(shù)據(jù)交換區(qū)進行訪問控制和綜合安全防護。下一代防火墻可精確識別數(shù)千種網絡應用，并提供詳盡的應用風險分析和靈活的策略管控。結合用戶識別、內容識別，下一代防火墻可為用戶提供可視化及精細化的應用安全管理。同時，下一代防火墻內置了先進的威脅檢測引擎及專業(yè)的WEB服務器防護功能，能夠抵御包括病毒、木馬、SQL 注入、XSS 跨站腳本、CC攻擊在內的各種網絡攻擊，有效保護用戶網絡健康及WEB服務器安全?；谌⑿熊浻布軜媽崿F(xiàn)的“一次解包、并行檢測”，下一代防火墻在具備全面安全防護的同時，更為用戶提供高性能的應用安全防護。 優(yōu)化的攻擊識別算法。能夠有效抵御如 SYN Flood、UDP Flood、HTTP Flood 等 DoS/DDoS 攻擊，保障網絡與應用系統(tǒng)的安全可用性。 專業(yè) Web 攻擊防護功能。支持 SQL 注入、跨站腳本、CC攻擊等檢測與過濾，避免 Web 服務器遭受攻擊破壞； 支持外鏈檢查和目錄訪問控制，防止 Web Shell 和敏感信息泄露，避免網頁篡改與掛馬，滿足用戶 Web 服務器深層次安全 防護需求。 高性能的病毒過濾。領先的基于流掃描技術的檢測引擎可實現(xiàn)低延時的 高性能過濾。支持對 HTTP、FTP 及各種郵件傳輸協(xié)議流量和壓縮文件（ zip， gzip， rar 等）中病毒的查殺，提供近 100萬條實時更新的病毒特征庫。 超過 2000 萬條分類庫的 URL 過濾功能。可幫助網絡管理員輕松實現(xiàn)網頁 瀏覽訪問控制，避免惡意 URL 帶來的威脅滲入?；诙嗪擞布軜嫾啊耙淮谓獍?，并行檢測”技術，下一代防火墻在開啟多 種威脅防護功能時，仍可為用戶提供業(yè)界領先綜合安全性能。第三部分、安全服務與公司介紹 信息安全服務是信息安全工作重要補充，單純的安全設備是無法解決企業(yè)面臨的信息安全問題，山東新潮依靠專業(yè)的信息安全團隊幫助企業(yè)設計好企業(yè)網絡安全架構、幫助企業(yè)加固信息安全產品，幫助企業(yè)發(fā)現(xiàn)潛在的信息安全隱患，在發(fā)生突發(fā)安全事件，第一時間提供技術支撐與應用響應。 3.1 重要業(yè)務系統(tǒng)或研發(fā)網絡風險評估服務風險評估是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析網絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。并為防范和化解信息安全風險，或者將風險控制在可接受的水平，從而最大限度地為保障網絡和信息安全提供科學依據(jù)。風險評估流程將主要參考信息安全風險評估規(guī)范（ GB/T 20984-2007）， 通過現(xiàn)場調查、現(xiàn)場測試、交流訪談、分析研究等方式找出重要業(yè)務系統(tǒng)或研發(fā)網絡存在的脆弱性、面臨的威脅，以及威脅發(fā)生的可能性、造成的影響，最終確定信息系統(tǒng)面臨的風險，并給出安全加固建議。3.2 等級保護測評服務等級保護制度是一項國家信息安全基本制度。等級保護的開展主要包括定級、備案、整改、測評和檢查五個步驟。等級保護測評工作的開展主要針對被測信息系統(tǒng)的技術和管理兩個方面展開測評，技術部分包括物理安全、網絡安全、主機 安全、數(shù)據(jù)安全、應用安全；管理方面包括安全管理機構、安全管理制度、系統(tǒng)建設管理、系統(tǒng)運維管理和人員安全管理五個方面?，F(xiàn)場測評主要包括人員訪談、文檔審查、策略配置檢查、工具測試和實地察看等五個方面，并詳細記錄結果。信息安全等級保護建設就是要根據(jù)國家標準和安全要求，逐步發(fā)現(xiàn)現(xiàn)有的信息系統(tǒng)存在的安全差距和風險隱患。把各種安全問題在爆發(fā)之前進行有效的加固與完善。從而在整體上提高企業(yè)信息系統(tǒng)的業(yè)務連續(xù)性。實施信息安全等級保護，能夠有效地提高信息和信息系統(tǒng)安全建設的整體水平，有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協(xié)調有利于為信息系統(tǒng)安全建設和管理提供系統(tǒng)性、針對性、可行性的指導和服務，有效控制信息安全建設成本；有利于優(yōu)化信息安全資源的配置，對信息系統(tǒng)分級實施保護，重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全；有利于明確加強信息安全管理建設。3.3 信息安全意識或專題培訓服務信息安全培訓是成本最低、最有效利用現(xiàn)有技術和資源的、效果最快最顯著的信息安全管理措施。作為專業(yè)的信息安全咨詢服務提供者，我們提供的信息安全培訓是針對客戶不同層次的安全需求而定制的，是全面融合了技術和管理要素的專業(yè)的培訓服務。借助各項培訓課程，我們的專業(yè)培訓人員將向客戶傳授從一般性的安全意識、到具體的安全攻防操作、再到高級的信息安全管理在內的全方位的安全知識和技能，從而提升客戶在信息安全實踐當中“人”這個決定因素的關鍵作用，為有效的信息安全提供保障。我們主要為用戶提供如下培訓服務：安全意識培訓：面向組織的一般員工、非技術人員以及所有信息系統(tǒng)的用戶，目的是提高整個組織普遍的安全意識和人員安全防護能力，使組織員工充分了解既定的安全策略，并能夠切實執(zhí)行；安全技術培訓：面向組織的網絡和系統(tǒng)管理員、安全專職人員、技術開發(fā)人員等，目的是讓其掌握基本的安全攻防技術，提升其安全技術操作水平，培養(yǎng)解決安全問題和杜絕安全隱患的技能；安全管理培訓：面向組織的管理職能和信息系統(tǒng)、信息安全管理人員，目的是提升組織整體的信息安全管理水平和能力，幫助組織有效建立信息安全管 理體系；資質認證培訓：向客戶提供國內外最頂尖信息安全相關認證考試的輔導培訓，幫助客戶順利通過考試并獲得各類信息安全資質認證；安全職業(yè)教育：面向在信息安全領域尋求職業(yè)發(fā)展的人員，通過較為長期的系統(tǒng)化學習，幫助其具備信息安全從業(yè)所需的基本知識和特定技能，以滿足信息安全相關職位最普遍的要求。除此之外，我們還可以根據(jù)客戶的特殊需求，制定符合客戶自身特點的培訓方案，定制培訓內容，編寫培訓計劃，提供相關教材，并最終考核培訓效果。3.4 公司介紹山東新潮信息技術有限公司成立于 2000 年，