洛阳第一人民医院网络安全建设方案.doc

洛阳第一人民医院网络安全建设方案洛阳第一人民医院网络安全建设方案 文档编号文档编号 密级密级 限制分发 版本编号版本编号V1.0 日期日期 2019 绿盟科技绿盟科技 版权声明版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿绿 盟科技盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技绿盟科技的书面授权许可，不得以任何方 式复制或引用本文的任何片断。 版本变更记录版本变更记录 时间时间版本版本说明说明修改人修改人 适用性声明适用性声明 本文档适用于医院安全建设项目使用。 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 1 - 目录目录 一. 背景概述.3 1.1 方案设计要求.4 1.2 方案设计原则.5 二. “威胁分析+风险分析”=需求分析 6 2.1 威胁分析.6 2.1.1 外部威胁6 2.1.2 内部威胁7 2.2 风险分析.8 2.2.1 外部网络带来的安全风险8 2.2.2 内部网络存在的风险8 2.2.3 攻击快速传播引发的安全风险8 三、需求分析9 3.1 医院网络安全建设拓扑图.10 3.2 网络安全设备投入列表.10 四、基础安全建设11 4.1 绿盟下一代防火墙（访问控制）11 4.1.1 部署方式.11 4.1.2 系统特点.12 4.2 绿盟网络入侵防护系统13 4.2.1 绿盟网络入侵防护系统的特点.13 4.2.3 功能与效益.17 4.3 绿盟安全审计系统17 4.3.1 需求分析.17 4.3.2 解决方案18 4.3.3 安全审计产品选型19 4.3.4 绿盟绿盟安全审计系统的特点21 4.4 远程安全评估系统（安全基线管理系列）26 4.4.1 需求分析26 4.4.2 绿盟远程安全评估系统特点31 4.4.3 功能与收益36 4.5 绿盟 WEB应用防火墙.37 4.5.1 需求分析37 4.5.2 绿盟 Web 应用防火墙的特点40 4.6 安全审计堡垒机 SAS-H.42 4.6.1 系统功能42 4.6.2 产品特性43 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 2 - 附录 A绿盟科技公司简介 .45 A.1领先的专业安全厂商 .45 A.2安全技术基础研究 .45 A.3安全产品研发 .46 A.4专业安全服务 .46 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 3 - 一一. 背景概述背景概述 洛阳市第一人民医院是洛阳市建院最早、具有百年发展历史的市级现代化综合性三级医 院，洛阳市唯一一家“红十字医院”；1995 年被国家卫生部授予“爱婴医院”称号；1999 年被国家卫生部授予“国际紧急救援网络中心”医院；2006 年被授予“洛阳市康复医院”。 洛阳市第一人民医院位于洛阳市中州大道，六层门诊、十三层病房大楼巍然屹立、雄伟 壮观，内设中心供氧、中央空调、中心吸引；开放高、中、低档病床 610 张，各病房均装备 有现代医院所具备的先进设备。医院现有中、高级职称专业技术 426 人，临床、医技科室 43 个，拥有价值上亿元的大型先进医疗设备。 近年来，医院秉承“内抓管理、外树形象，质量强院、服务兴院”的办院宗旨，实施科 技兴院战略，积极开展和引进新业务新技术，加强医德医风建设，全面提高医疗服务质量。 洛阳市第一人民医院治院严谨，理念超前，医院经营方式灵活，全体员工爱岗敬业、勤奋工 作。面对竞争激烈的医疗市场，以实力求生存、凭技术谋发展、靠服务赢市场，各项工作进 展顺利。 对于医院来讲，由于患者众多，业务繁忙，网络系统业务连续性十分重要。为了保证医 院的业务持续性发展，就必须分析信息系统的信息安全需求。需求分析的主要目的是更加清 晰、全面的了解网络的基本安全现状，了解如何解决系统的安全问题，为后期安全体系建设 中的安全防护技术实施提供严谨的安全理论依据，为决策者制定网络安全策略、构架安全体 系以及确定有效的安全措施、选择可靠的安全产品、建立全面的安全防护层次提供了一套完 整、规范的指导模型。 医院网络安全解决方案从两个方面进行阐述，一方面是重新对外网区域进行网络规划， 并加强网络安全建设；另一个方面就是解决内网和外网融合的问题，将内外网融合同时构建 边界防护方案。 如何保证医院的网络正常运行和网络安全已成为迫切需要关注的问题。 随着医疗行业信息化发展的要求，全国卫生信息化 2003-2010 年发展规划纲要中对 信息安全提出了明确的要求： 加强与卫生信息化相关的法律、法规、政策体系的建设； 提高信息安全意识，加强计算机和网络安全培训，防范、打击计算机与网络犯罪； 在卫生信息系统建设的同时，要进行信息安全的总体设计和信息系统安全工程建设， 在系统验收时必须对信息系统安全进行测评认证； 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 4 - 对于已建的卫生信息系统，要采取信息安全加固措施，进行系统安全测评认证； 卫生信息系统建设中信息安全投资应占系统投资的一定比例。 发展规划纲要从宏观的角度对卫生系统信息化建设，而与此同时，由于医疗行业发 展的需要，2006 年发布的卫生系统内部审计工作规定(卫生部令 51 号）中，明确了“为为 加强卫生系统内部审计工作，建立健全各单位内部审计制度，完善内部监督制约机制加强卫生系统内部审计工作，建立健全各单位内部审计制度，完善内部监督制约机制”，并 要求“设置内部审计机构，配备审计人员，开展审计工作设置内部审计机构，配备审计人员，开展审计工作”；内部审计机构在履行审计职责 时，明确具有“检查计算机系统有关电子数据和资料”的权限；由此可以看到针对卫生系统 的相关审计具有明确要求。 此外，公安部国家电子政务等级保护、国家保密局 BMB17-2006 号文件中要求政府、涉 密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计。以防员工随意通过 网络共享文件夹、文件上传下载、EMAIL 等方式，发送重要敏感信息、业务数据，导致信息 外泄事件发生。 同时，针对医疗行业的门户网站 WEB 业务这类给 Internet 可用性带来极大损害的攻击， 必须在国家等级保护政策的指导下，采用专门的机制，综合采用各种技术手段对攻击进行有 效检测，应按照中华人民共和国计算机信息系统安全保护条例（国务院令第 147 号）、 国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327 号）、信息 安全等级保护管理办法（公通字200743 号）等文件要求，参考计算机信息系统安全保 护等级划分准则（GB17859-1999）、信息系统安全等级保护基本要求（ GB/T 22239-2008 ）等等级保护相关标准，开展等级保护整改、测评工作，为医院内部和社会公 众提供“一站式”的医疗公共服务目标提供有力保障。 在与医院多次安全沟通与交流的基础上，我们进一步明确了医院的准确需求，简单来说 就是“安全访问，内外隔离，分期建设”三点，安全访问包含两方面，即从内网可以安全访 问互联网，从互联网也能够安全访问内网；而在内外隔离上则是要保证内网数据与互联网之 间保持逻辑或物理隔离；分期建设则是建设的思路，是根据医院的实际情况，分步骤从基础 到深入，从满足最迫切的安全需求慢慢上升到管理安全上来！以下此方案将针对这三点进行 详细的需求描述与解决思路陈述。 1.1 方案设计要求方案设计要求 根据实际调研与专家论证，本网络需要具有如下的安全特性： 高可靠性：在受到攻击的情况下，能够保证各类业务系统正常运行，能够保证数据的正 常访问。 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 5 - 高保密性：网络数据/网络信息不被窃取。 管理安全性：完善的网络访问控制列表，包括不允许同级网络的非授权访问等。 可审计性：能够审计对数据中心服务器、网络设备等的各种操作信息。 可扩充性：依据现有网络流量设计的网络要留有一定扩充能力，随之的安全方案也必须 具备可扩充性。 1.2 方案设计原则方案设计原则 信息系统的建设是国家信息化的一个组成部分，在促进国民经济发展和社会稳定方面具 有越来越重要的作用。卫生行业作为涉及国计民生的重要行业，随着计算机应用的进一步普 及和发展，计算机信息系统安全问题日益社会化、严重化，国家和行业监管机构有必要运用 行政法律手段来进行有效的管理，维护社会的稳定和发展。这些政策法规主要有： 全国卫生信息化全国卫生信息化 2003-2010 年发展规划纲要年发展规划纲要 卫生系统内部审计工作规定卫生系统内部审计工作规定(卫生部令卫生部令 51 号）号） 基于健康档案的区域卫生信息平台建设指南（试行）基于健康档案的区域卫生信息平台建设指南（试行） 中华人民共和国保守国家秘密法 （1988 年 9 月 5 日中华人民共和国主席令 第 6 号公 布） 中华人民共和国保守国家秘密法实施办法（国家保密局文件 国保发 1990 1 号） 中华人民共和国国家安全法（主席令 68 号，1993 年 2 月 22 日第七届全国人民代表大 会常务委员会第三十次会议通过） 中华人民共和国计算机信息系统安全保护条例（国务院令 147 号） 计算机信息系统安全等级保护划分准则（GB/T17859-1999） 计算机信息系统安全等级保护网络技术要求（GA/T387-2002） 计算机信息系统安全等级保护操作系统技术要求（GA/T388-2002） 计算机信息系统安全等级保护数据库管理系统技术要求（GA/T389-2002） 计算机信息系统安全等级保护通用技术要求（GA/T390-2002） 计算机信息系统安全等级保护管理要求（GA/T391-2002） 此次医院安全解决方案即在严格遵循上述国家法律法规以及行业的规范指南的基础之上 编写而成的。 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 6 - 二二. “威胁分析威胁分析+风险分析风险分析”=需求分析需求分析 2.1 威胁分析威胁分析 当前医院具有当前医院具有 HIS、PACS、LIS、EMR WINDOS 等系统平台，这些平台服务在医院的等系统平台，这些平台服务在医院的 各个业务流程上，从挂号，化验，病历管理等医院医务到计费，转账等财务工作，可以说信各个业务流程上，从挂号，化验，病历管理等医院医务到计费，转账等财务工作，可以说信 息系统的安全稳定运行对医院的管理具有极重要的作用，而在医院的数据管理上，医院具有息系统的安全稳定运行对医院的管理具有极重要的作用，而在医院的数据管理上，医院具有 Oracle，SQL Server 等多种数据库，而随着当前卫生系统对等多种数据库，而随着当前卫生系统对“统方统方”的管理要求，数据库的管理要求，数据库 的访问、操作的安全性也需要加以关注。的访问、操作的安全性也需要加以关注。 医院网络结构较为复杂，具有多个互联出口，其中既有与电信、移动相连接的互联网出 口，又有大量与银行，社保，新农保等单位的链接。并且由于医院部署有面向 internet 的 WEB 站点，内网中存有大量重要的信息，运行着非常重要的业务系统，所以既要考虑来自 互联网的黑客攻击，又要考虑来自下属医疗机构的非法访问，数据篡改等攻击行为。综上所 述，可从外部/内部两方面对威胁进行分析： 根据信息系统安全建设的思路，我们以医院的信息系统建模，这个模型即是包含医院的根据信息系统安全建设的思路，我们以医院的信息系统建模，这个模型即是包含医院的 网络拓扑，业务系统，数据系统等多方面的信息的集合。然后分析这个模型面临的威胁以及网络拓扑，业务系统，数据系统等多方面的信息的集合。然后分析这个模型面临的威胁以及 相关的风险，最后从这威胁与风险中，我们推断出真正的安全需求，然后将这个安全需求具相关的风险，最后从这威胁与风险中，我们推断出真正的安全需求，然后将这个安全需求具 体化，实体化，最后转变为相关的解决方案，即安全服务与安全产品的集合。最后我们按照体化，实体化，最后转变为相关的解决方案，即安全服务与安全产品的集合。最后我们按照 医院的实际情况，将这个方案按照需求进行分期描述，一期主要解决基础安全问题，二期集医院的实际情况，将这个方案按照需求进行分期描述，一期主要解决基础安全问题，二期集 中在数据安全与安全服务工作，三期则上升至管理安全。中在数据安全与安全服务工作，三期则上升至管理安全。 根据医院的信息系统模型，我们将从内外网两个角度寻找安全威胁： 2.1.1 外部威胁外部威胁 非授权访问非授权访问 没有预先经过同意，就使用网络或计算机资源被看作非授权访问。如有意避开系统访问没有预先经过同意，就使用网络或计算机资源被看作非授权访问。如有意避开系统访问 控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。非授权访控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。非授权访 问主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户问主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户 以未授权方式进行操作等。严格的访问权限控制会大大提升各区域的安全性。以未授权方式进行操作等。严格的访问权限控制会大大提升各区域的安全性。 黑客扫描和攻击 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 7 - Internet 网络的恶意入侵者可能因为商业的目的或者是随机的目的对网络和 WEB 服务发 起恶意扫描和渗透式入侵，通过渗透或绕过防火墙，进入网络和数据库，获取、篡改甚至破 坏敏感的数据，乃至破坏医院的正常业务，造成恶劣的社会影响和政治事件。 数据窃取 由于医院网络中存储有大量重要而敏感的信息，一旦发生数据泄密，将造成严重的社会 影响，同时由于每天大量的诊疗信息通过信息网络流通，如果出现数据错误将会影响诊疗信如果出现数据错误将会影响诊疗信 息的准确性与及时性。息的准确性与及时性。 病毒或蠕虫侵袭 Internet 网络上大量肆虐的网络蠕虫病毒具备渗透防火墙的传播能力，他们可以穿透防 火墙进入网络；一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理性能的下降，同 时也会对核心敏感的数据造成严重的威胁，甚至造成拥塞，导致系统的中断和服务的宕机； 而医院由于与众多的外联单位互联，病毒与蠕虫的威胁也极其严峻。 2.1.2 内部威胁内部威胁 非法数据访问/修改等 由于医疗信息所具有的商业性，公共性，政治性等原因，需要对各类对医院网络/服务 器/数据库进行记录与审核，否则，一旦出现数据泄密、非法访问等违规行为，不仅无法第 一时间知晓、记录，而且后期也无法定位违规者、无法追溯事件源头，这就造成了管理上 的漏洞与缺陷。 无意识的外部风险引入 此外，由于安全技能和安全意识存在差异，工作人员可能无意识的通过互联网将 Internet 上危险的、恶意的木马程序和恶意代码下载到内部网络执行，甚至将 Internet 上的 蠕虫、网络病毒传播进入内部网络，这将对网络的安全带来严重威胁； 恶意应用消耗网络带宽 当前 P2P 等非关键应用的流量几乎占用了网络 6070的带宽，使得关键性应用得不 到保障。同时 P2P 软件也逐渐成为计算机病毒和木马传播的主要途径。有必要对用户或者某 些特定应用进行流量的控制。 内部故意破坏 医院同时需要考虑内部的不满人员恶意破坏信息网络、系统和数据的可能；以及某些别 有用心的人士从内部发起的恶意攻击。 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 8 - 2.2 风险分析风险分析 当用户的信息资产面临威胁，而信息资产自身又被相应的脆弱性暴露出来的时候，威胁 对信息资产就有产生影响的可能，信息资产的安全风险就产生了。 依据医院的网络现状和相关业务情况，我们主要从以下几个方面关注可能面临的安全风 险： 2.2.1 外部网络带来的安全风险外部网络带来的安全风险 由于医院连接到互联网，且具有 10 多条外联链路，外部攻击者可以利用存在的漏洞进 行破坏，可能引起数据破坏、业务中断甚至系统宕机，严重影响网络的正常运行。 在医院，我们设计防火墙作为安全保障体系的第一道防线，防御黑客攻击。而在防火墙在医院，我们设计防火墙作为安全保障体系的第一道防线，防御黑客攻击。而在防火墙 是无法检测或拦截嵌入到普通业务流量中的恶意攻击代码，如针对医院网站是无法检测或拦截嵌入到普通业务流量中的恶意攻击代码，如针对医院网站 WEB 服务的服务的 Code Red 蠕虫、蠕虫、SQL 注入，跨站脚本攻击，网页篡改等。采用网络入侵保护系统和注入，跨站脚本攻击，网页篡改等。采用网络入侵保护系统和 Web 应用防火墙对此类攻击进行防护。应用防火墙对此类攻击进行防护。 2.2.2 内部网络存在的风险内部网络存在的风险 在医院的网络中，内部具有大量的信息节点，其中包括医生所使用的工作电脑、病房区在医院的网络中，内部具有大量的信息节点，其中包括医生所使用的工作电脑、病房区 病人所使用的电脑以及大量业务系统所采用的信息载体，如何保障信息安全意识薄弱的这些病人所使用的电脑以及大量业务系统所采用的信息载体，如何保障信息安全意识薄弱的这些 设备使用者能够不将病毒带入内部网络中，不将带有木马、蠕虫等恶意软件的移动设备加载设备使用者能够不将病毒带入内部网络中，不将带有木马、蠕虫等恶意软件的移动设备加载 到内部办公网络使用。或者当这些恶意的文件被带入内部网络，如何控制其不对关键业务系到内部办公网络使用。或者当这些恶意的文件被带入内部网络，如何控制其不对关键业务系 统造成影响，甚至不对外部发起攻击。统造成影响，甚至不对外部发起攻击。 2.2.3 攻击快速传播引发的安全风险攻击快速传播引发的安全风险 目前利用漏洞传播的蠕虫、病毒、间谍软件、DDoS 攻击、垃圾邮件等混合威胁越来越 多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应。入侵检 测系统 IDS 虽然能检测出攻击行为，但无法有效阻断攻击。另外，网络防病毒系统属于被动 防护，对于新的未知蠕虫病毒，防病毒软件无法检测出。因此如何保证医院网络在安装最新 安全补丁之前，网络不会被蠕虫、病毒、黑客等攻击造成网络瘫痪，这是目前需关注的问题。 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 9 - 三、需求分析三、需求分析 根据对医院网络系统的风险分析，我们发现信息安全需求主要在以下方面： 防御来自外部的威胁，阻止蠕虫、网络病毒、间谍软件和黑客攻击对网络造成的安 全损失，防止针对 Web 服务的例如 SQL 注入，跨站脚本攻击，网页篡改等攻击， 提高医院网络的整体抗攻击能力； 防御来自内部的威胁，阻止蠕虫、网络病毒爆发对医院内部服务器和网络的破坏， 保障业务系统的正常运行； 监控网络的安全运行，全面把握安全状态，以便于及时的发现安全攻击，防止安全 事件的发生。 检测前置机群的操作系统、应用系统、网络设备存在的漏洞，以便第一时间修补系 统与应用中的漏洞，提高系统的整体抗攻击能力。 审计针对数据中心的各种网络操作与访问行为，满足系统审计的要求与取证的要求。 互联网访问内网资源的防护，合理规划互联网访问内网资源的权限，保障内网数据 与服务的安全可信。 保障医生等医院内部职员能够通过 VPN 远程访问内部网络服务，查询其所需的内 网资源，同时保障这条 VPN 通道的稳定可信。 在解决基础安全的问题上，如何进一步提升业务管理水平，由粗放型管理到精细化 管理，信息化管理，专业化管理，打造医院的专业信息化管理队伍，更快更好地为 社会大众提供安全可信的医疗服务。 将上述需求进行分期规划，我们将医院的信息安全建设按照由浅入深的步骤分解为三个 步骤：一期建设专注于基础安全建设，二期建设专注与数据安全与安全服务，三期建设专注 于安全管理体系的构建。本次建设只专注基础安全建设。 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 10 - 3.1 医院网络安全建设拓扑图医院网络安全建设拓扑图 3.2 网络安全设备投入投入列表列表 产品名称产品名称产品功能产品功能数量数量 下一代防火墙（NF） 访问控制、上网行为管理、出口网 络防护 1 台 网络入侵防护系统（IPS）入侵攻击防护1 台 安全审计系统（SAS）网络行为、数据库审计1 台 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 11 - 远程安全评估系统（RSAS）漏洞扫描1 台 Web 应用防火墙（WAF）网站防护、防篡改1 台 安全审计堡垒机（SAS-H）运维安全审计1 台 四、基础安全建设四、基础安全建设 基础安全建设专注于医院的信息系统的建设，主要包含访问控制，入侵防护，日志审计， 漏洞管理等几个方面，访问控制能够保证互联网对内网资源的合理有效利用，入侵防护则能 全面防护互联网对内网发起的攻击以及内网对互联网的攻击；在日志审计方面，根据卫生部 对信息系统的要求，根据*省卫生厅关于“统方”治理的要求，我们考虑在核心系统上进 行严格的日志审计工作；在漏洞管理上，由于大量的信息终端的存在，且当前利用漏洞进行 攻击的案例比比皆是，故在一起管理上，我们将这四点作为基础信息安全建设来进行处理， 并在每个环节上进行分章节详细描述。 4.1 绿盟绿盟下一代防火墙（访问控制）下一代防火墙（访问控制） 4.1.1 部署方式部署方式 在医院网络出口部署一台下一代防火墙，通过下一代防火墙可以对应用层攻击、病毒进 行全面阻断，可实现基于源/目的 IP 地址、协议/端口、时间、用户、VLAN、VPN、安全区 的访问控制，保证内部网络的安全。设备管理通过安全管理区的安全管理服务器上安装安全 中心对该设备进行全面的管理。 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 12 - 4.1.2 系统特点系统特点 绿盟下一代防火墙采用了全新的设计理念，专注应用安全的防护，具有如下功能： 具有智能协议识别（具有智能协议识别（NIPR）智能内容识别（）智能内容识别（NICR）功能）功能 智能协议识别技术Nsfocus Intelligent Protocol Recognition（NIPR）和智能内容识 别技术Nsfocus Intelligent Content Recognition（NICR）是绿盟自主研发的网络威胁识 别技术，是绿盟科技在网络攻防技术方面多年研究成果的结晶，也是绿盟安全下一代防火墙 的核心技术。 网络应用层防护的最大难度在于对复杂多变的应用协议、黑客复杂的攻击行为以及应用 内容进行解析识别，从而进行针对性的防护。NIPR 和 NICR 识别技术，它利用五个安全库 （应用协议特征库 、协议行为特征库、恶意 URL 库、病毒库、攻击规则库），通过动态分 析网络报文中包含的协议特征、行为特征以及非法内容，识别出非法信息，然后递交给相应 的处理引擎进行防护。 具备了 NIPR 和 NICR 的下一代防火墙，不再受动态端口或攻击工具变化的影响。对于 P2P 等运行在任意端口的应用层协议，或者绑定在任意端口的木马、后门，还有黑客的灵活 多变的攻击方式，下一代防火墙都能在不需要管理员参与的情况下高速准确的判断出来，并 根据网关策略予以阻断或限制。 高性能的防火墙高性能的防火墙 下一代防火墙采用内容状态检测的过滤技术，支持路由、透明、混合模式部署，可实现 基于源/目的 IP 地址、协议/端口、时间、用户、VLAN、VPN、安全区的访问控制。下一代 防火墙支持支持基于策略的双向 NAT、动态/静态 NAT、端口 PAT，支持 DNS、DHCP、VLAN、SNMP 等协议。 超强的网络攻击防护能力超强的网络攻击防护能力 下一代防火墙集成了绿盟科技专业的 IPS 模块，可实现基于 IP 地址/网段、规则（组、 集）、时间、动作等对象的虚拟 IPS。下一代防火墙采用虚拟补丁技术，可防护远程扫描、 暴力破解、缓存区溢出、蠕虫病毒、木马后门、SQL 注入、跨站脚本等各种攻击。 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 13 - 4.2 绿盟网络入侵防护系统绿盟网络入侵防护系统 绿盟入侵防护系统 NIPS （Network Intrusion Prevention System）提供一种主动的、 实时的防护，其设计旨在对常规网络流量中的恶意数据包进行检测，阻止入侵活动，预先对 攻击性的流量进行自动拦截，使它们无法造成损失，而不是简单地在传送恶意流量的同时或 之后发出警报。NIPS 是通过直接串联到网络链路中而实现这一功能的，即 NIPS 接收到外 部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断， 而不把攻击流量放进内部网络。 4.2.1 绿盟网络入侵防护系统的特点绿盟网络入侵防护系统的特点 绿盟网络入侵防护系统是绿盟科技自主知识产权的新一代安全产品，作为一种在线部署 的产品，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层 的威胁进行实时阻断，而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了 防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一 个全新的入侵保护解决方案。 绿盟网络入侵防护系统采用先进的体系架构集成领先的入侵保护技术，包括以全面深入 的协议分析技术为基础，协议识别、协议异常检测、关联分析为核心的新一代入侵保护引擎， 能够协助客户： 网络防护：网络防护：具有实时的、主动的网络防护功能，内置基于状态检测的防火墙，保护网络 边界和内部网络，同时为网络设备的漏洞提供防护，具有流量管理功能，对于可能出现 的异常流量，提供抗拒绝服务攻击功能。 应用防护：应用防护：提供对应用层的防护功能，针对操作系统，应用软件以及数据库，提供深度 的内容检测技术,过滤报文里的恶意流量和攻击行为，保护存在的漏洞，防止操作系统和 应用程序损坏或宕机。 内容管理：内容管理：对内部网络资源提供内容管理，可以有效检测并阻断间谍软件，包括木马后 门、恶意程序和广告软件等，并可以对即时通讯、P2P 下载、网络游戏、在线视频、网 络流媒体等内容进行监控并阻断。 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 14 - 体系架构体系架构 绿盟科技网络入侵防护系统体系架构 绿盟网络入侵防护系统的体系架构包括三个主要组件：控制台、网络探测器、升级站点， 方便各种网络环境的灵活部署和管理。 关键特性关键特性 深度融合的集成平台深度融合的集成平台 绿盟网络入侵防护系统作为自主知识产权的新一代安全产品，深度融合的防火墙 /IPS/IDS 集成平台开创了世界先河，独一无二的设计使绿盟网络入侵防护系统为用户提供从 链路层到应用层的深度安全防护，圆满解决了防火墙静态防御和 IPS 动态防御的融合难题， 为用户提供全面的入侵保护解决方案。 绿盟网络入侵防护系统集成强大的防火墙功能，采用基于状态检测的动态包过滤技术， 实现静态防御；绿盟网络入侵防护系统以全面深入的协议分析技术为基础，协议识别、协议 异常检测、关联分析为核心，实现动态防御。 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 15 - 绿盟网络入侵防护系统专门设计了安全、可靠、高效的硬件运行平台。硬件平台采用严 格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力、吞吐量； 操作系统经过优化和安全性处理，保证系统的安全性和抗毁性。 基于对象的虚拟系统基于对象的虚拟系统 绿盟网络入侵防护系统提供基于对象的虚拟系统（VIPS），针对不同的网络环境和安全 需求，基于安全区、IP 地址（组、段）、规则（组、集）、时间、动作等对象，制定不同的 规则和响应方式，就像一台设备上虚拟出很多虚拟系统，每个虚拟系统分别执行不同的规则 集，实现面向不同对象、实现不同策略的智能化入侵防护。 绿盟网络入侵防护系统覆盖广泛的攻击规则库带有超过 2000 条由 NSFocus 安全小组精 心提炼、经过仔细检测与时间考验的攻击特征，并通过国际最著名的安全漏洞库 CVE 严格 的兼容性标准评审，获得最高级别的 CVE 兼容性认证（CVE Compatible）。绿盟科技每月 平均提供 2 到 3 次升级更新，在紧急情况下可即时提供更新。而且绿盟科技具有领先的漏洞 预警能力，是目前国内唯一一个向国外（美国）出口入侵检测规则库的公司。 广泛精细的应用防护广泛精细的应用防护 绿盟网络入侵防护系统提供“虚拟补丁”，主动防御已知和未知攻击，实时阻断各种黑客 攻击，如缓冲区溢出、SQL 注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒、 木马后门、间谍软件等，而且针对僵尸网络提供主动防御，广泛精细的应用防护帮助用户避 免安全损失。 全面实用的内容管理全面实用的内容管理 绿盟网络入侵防护系统提供强大的“流量净化”能力，通过全面实用的内容管理，能够有 效监视、控制 P2P 下载、即时通讯、在线视频、网络流媒体、网络游戏等滥用流量，提高企 业工作效率。 绿盟网络入侵防护系统具有强大的流量管理功能，采用全局维度（协议/端口）、局部维 度（源/目的 IP 地址、网段）、时间维度（时间）、流量纬度（带宽）等流量控制四元组， 基于对象的策略配置方便用户灵活控制网络流量。 强大丰富的管理能力强大丰富的管理能力 绿盟网络入侵防护系统支持安全区（Zone），支持路由、透明、混合三种工作模式，支 持五种安全区模式：透明（Layer2）、路由（Layer3）、监听（Monitor）、直通（Direct）、 管理（Mgt），能够快速部署在各种网络环境中。绿盟网络入侵防护系统还支持失效开放 （Fail-open）机制和双机热备（HA），避免单点故障。 绿盟网络入侵防护系统提供丰富的响应方式，包括主动响应（丢弃数据包、丢弃连接会 话）、被动响应（与防火墙联动、TCP Killer、发送邮件、控制台显示、日志数据库记录、 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 16 - 打印机输出、运行用户自定义命令、写入 XML 文件、snmp trap），用户可自定义，满足各 种需要。 从系统升级到报表系统，从攻击告警到日志备份，绿盟网络入侵防护系统均可由系统定 时自动后台运行，达到“零管理”。还同时支持 B/S 和 C/S 管理方式。全中文界面、中文报表， 符合中国人操作习惯，而中文规则库对每个漏洞都有详细描述，并提供了详细的解决方案及 补丁下载地址。 部署说明部署说明 根据安全风险分析、安全目标和设计原则，我们在充分利用现有资源、尽量在少投入、 少改动的基础上，建议使用以下集防护、检测和响应于一体的安全解决方案。 具体部署方式如下： 在医院内网的两台互联网出口下一代防火墙下部署两台千兆绿盟网络入侵防护系统， 每台 NIPS 双上联两台出口下一代防火墙。通过双机热备的形式对进出内网的数据 进行冗余保护，两台 NIPS 设备之间的心跳线检测主从设备状态，保证在单条链路 出现异常后，策略仍时刻生效的同时数据业务不会中断。 在医院内网和农保/医保/银行网络的互联出口下一代防火墙下，部署一台千兆绿盟 NIPS。确保医院内网和其他业务单位内网的安全互联和入侵保护；同时可做出口链 路的备选设备。 每台千兆绿盟 NIPS 设备均具备 BYPASS 功能，确保设备出现异常后，不影响正常 链路和业务流量。 通过在医院网络部署一台绿盟安全中心服务器，用于日常管理和日志存储。由于绿 盟 NIPS 同时支持 C/S 和 B/S 模式，所以可以灵活方便的管理部署在网络中的绿盟 NIPS。 绿盟网络入侵防护系统日常使用建议绿盟网络入侵防护系统日常使用建议 由于安全领域的发展性，没有静止的安全，任何的变化都可能引起安全问题的出现，比 如网络结构的调整，新的应用的启用，新的安全漏洞和新的攻击手法的出现等等，所以任何 时候，安全都是动态的。在这种情况下，有效的使用和维护安全产品和安全策略，才能使安 全产品发挥其最大的效应，所以，我们建议如下： 保障规则升级 网络入侵防护系统控制台每周定时检查厂商规则升级模块 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 17 - 离线下载或使用厂商提供的定期升级包 控制台自动推送升级到网络引擎 日志自动备份策略 设置报警日志定期备份策略，防止出现日志溢出或意外丢失的情况 定期分析与报告策略 设置综合报告每周发送策略，分别发给其他安全管理员 每月对报告进行综合分析，对疑难问题，寻求安全厂商的支持 4.2.3 功能与效益功能与效益 部署网络入侵防护系统会给医院网络带来以下安全功能的提高： 实时发现和阻断来自实时发现和阻断来自 Internet 的蠕虫、病毒、间谍软件和黑客等攻击和入侵，防止的蠕虫、病毒、间谍软件和黑客等攻击和入侵，防止 黑客带来的安全损失，加强了对内部服务器的保护；黑客带来的安全损失，加强了对内部服务器的保护； 实时发现和阻断内部蠕虫、网络病毒的大规模爆发；实时发现和阻断内部蠕虫、网络病毒的大规模爆发； 强制性规范工作人员的网络访问行为，控制和减少工作人员利用信息网络作与工作强制性规范工作人员的网络访问行为，控制和减少工作人员利用信息网络作与工作 无关的行为；无关的行为； 可以对内部网络流量和网络资源的监控，方便及时的发现网络异常，同时可以根据可以对内部网络流量和网络资源的监控，方便及时的发现网络异常，同时可以根据 需求，进行带宽管理，帮助诊断网络异常状况，提高网络带宽的使用率；需求，进行带宽管理，帮助诊断网络异常状况，提高网络带宽的使用率； 对黑客的攻击行为进行监控，保留异常行为日志，为事后采取补救措施作准备；对黑客的攻击行为进行监控，保留异常行为日志，为事后采取补救措施作准备； 智能、自动化的安全防御，降低整体的安全费用以及对于网络安全领域人才的需求。智能、自动化的安全防御，降低整体的安全费用以及对于网络安全领域人才的需求。 4.3 绿盟安全审计系统绿盟安全审计系统 4.3.1 需求分析需求分析 威胁与风险分析威胁与风险分析 由于医院网络分内网与外网，网络的使用者既有来自互联网的用户，也有来自单位内部 的工作人员，因此其网络面临来自安全威胁与风险如下： 工作人员在论坛内网论坛发表敏感信息、传播非法言论，造成恶劣社会影响； 单位重要业务数据库，被工作人员或系统维护人员篡改牟利、外泄，给单位造成巨 大的经济损失； 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 18 - 工作人员随意通过 U 盘，在外网络共享文件夹、文件上传下载、EMAIL 等方式，发 送重要敏感信息、业务数据，导致信息外泄事件发生； 内部系统维护人员对业务应用系统的越权访问、违规操作，损害业务系统的运行安 全； 安全需求安全需求 根据对医院网络系统的威胁与风险分析，医院的信息安全需求主要在以下方面： 对论坛不良言论、色情暴力的管理， 对网页页面内容、搜索引擎的关键字过滤、审计; 针对不良网站进行告警、过滤；同时全面审计网站访问行为，实时告警、记录和网页还 原，实现全面、准确、高效的网站访问监测 对业务运维操作进行细粒度的监控 数据库访问进行全面监控管理； 对邮件、论坛等外发信息行为进行有效的监控； 可对邮件、论坛等外发信息行为进行监控管理，防止单位敏感机密信息外泄、非法反动 言论传播； 对网络应用行为进行监测，如:P2P 下载、在线视频等。 因此在医院网络中部署安全审计系统，可有效监控业务系统访问行为和敏感信息传播， 准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行 安全事件定位分析，事后追查取证，满足合规性审计要求。 解决方案解决方案 安全审计系统（Security Audit System）是在一个特定的企事业单位的网络环境下，为 了保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取，而运用各种技术手段实 时监控网络环境中的网络行为、通信内容，以便集中收集、分析、报警、处理的一种技术手 段。安全审计系统是旁路并联到网络中，一般是对路由器或交换机做端口镜像，将需要监控 的端口流量镜像后进行分析，不会对网络的正常运行带来影响。 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 19 - 4.3.3 安全审计产品选型安全审计产品选型 选型依据选型依据 安全审计系统具有对网络通信内容、网络行为的实时监测、报警、记录等功能。 是否能够很好地帮助网络管理员完成对网络状态的把握和安全的评价是安全审计系统的 基本标准。 一个完善的安全审计系统（SAS）应该从四个方面评价： 细粒度的操作内容审计与精准的网络行为实时监控； 全面详细的审计信息，丰富可定制的报表系统； 支持分级部署、集中管理，满足不同规模网络的使用和管理需求； 自身的安全性高，不易遭受攻击； 选型建议选型建议 经过对国内外流行产品的分析，我们建议使用绿盟科技的安全审计系统。绿盟科技主要 优势有： 绿盟安全审计系统提供业界领先的基于对象的策略管理系统，完全统一的规则配置方式 强大而灵活，实现基于对象的虚拟审计系统（VAS）。绿盟安全审计系统针对单位不同 的网络环境和安全需求，基于安全区、IP 地址（组、段）、规则（组）、时间、动作等 对象，制定不同的策略和响应方式，就像一台设备上虚拟出很多虚拟审计系统，每个虚 拟审计系统分别执行不同的策略，实现面向不同业务应用、不同部门职能、不同策略的 智能化安全审计。 绿盟安全审计系统提供全面细粒度的敏感信息审计解决方案。系统支持基于内容、行为、 时间、用户等多种条件组合的信息审计策略，对邮件收发 （WEBMAIL、SMTP、POP3）、文件上传下载（HTTP、FTP）、网络文件共享 （NETBIOS）、论坛（BBS）、即时通讯等进行全面信息审计，提供实时告警、信息 还原功能，同时支持自定义内容关键字库，实现敏感信息的深度检测识别，对机密信息 外泄、非法言论传播等行为的及时响应处理、事后追查取证提供有力支持。 绿盟安全审计系统采用先进的数据处理架构，对 64bytes 数据包的处理能力达到千兆线 速的处理能力；同时采用先进的IP碎片重组与智能TCP流汇聚技术，达到接近 100% 的检测准确率和几乎为零的漏报率，实现网络事件的“零遗漏”审计。 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 20 - 绿盟安全审计系统采用业界领先的协议识别和智能关联技术，提供全面深入的协议分析、 解码回放，能够分析近 100 种应用层协议，包括 HTTP、TELNET、FTP、SMTP、WEBMAIL、NETBIOS、P2P、IM 等，极大地提高内 容分析的准确性，帮助管理员全面掌握网络安全状态。 绿盟安全审计系统通过基于业务运维行为、上网行为和网络应用行为的审计，达到对业 务运维操作（TELNET、FTP、数据库访问等）、上网行为、网络应用行为（即时通讯、 在线视频、P2P 下载等）的全过程监控，实现网络行为的全面多维度审计。 绿盟安全审计系统具有基于协议识别的流量分析功能，如：可识别使用 80 端口的 P2P 协议，避免基于 80 端口的 HTTP 协议流量统计错误，更精确可靠；并支持对即时通讯、 P2P、在线视频等动态协议的流量分析；提供详细的流量报表；可以通过编辑自定义统 计指定协议流量的 IP TOPN。 绿盟安全审计系统具有业界领先的超过 1000 万条的庞大中英文 URL 数据库，多种分类， 如不良言论、色情暴力等；可对访问非法网站的行为，实时告警、记录，提供全面、准 确、高效的网站访问监测。 从实时升级系统到报表系统，从审计告警到日志备份，绿盟安全审计系统完全支持“零 管理”技术。所有管理员需要日常进行的操作均可由系统定时自动后台运行，并且绿盟 安全审计系统报表系统提供了详细的综合分析报表、自定义三种类型10多个类别的报 表模板，支持生成：日、周、月、季度、年度综合报表。报表支持MS Word、Html、JPG 等格式导出。并定时通过电子邮件自动发送报表至系统管理员； 同时绿盟安全审计系统支持对网络引擎的不同网口或不同网络引擎，分别生成对应报表； 极大地降低了维护费用与管理员的工作强度。 绿盟安全审计系统同时支持 B/S 和 C/S 两种管理方式，Web 管理灵活方便，适合在任 何 IP 可达地点远程管理。Web 界面支持 MS IE、Netscape、Firefox、Opera 等浏览器， 真正意义上实现了跨平台；并支持三种管理模式：单级管理、多级管理、主辅管理，能 够快速部署在几乎所有的网络环境中，实现从单位网络核心至边缘及分支机构的全面检 测，满足不同单位不同管理模式需要。 绿盟安全审计系统支持多个硬件监听口，监听口即插即用，提供对多网段的同时监听能 力。 绿盟安全审计系统专门设计了安全、可靠、高效的硬件运行平台。硬件平台采用严格的 设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力；操作系 统经过优化和安全性处理，保证系统的安全性和抗毁性，并且与安全中心间的通信采用 强加密的SSL加密传输告警日志与控制命令，完全避免了可能存在的嗅探行为，保证 医院网络安全解决方案医院网络安全解决方案 2019 绿盟科技绿盟科技密级：限制分发密级：限制分发 - 21 - 了数据传输的安全；设备支持热插拔的冗余双电源，避免电源硬件故障时设备宕机，提 高设备可用性。 业界著名的 NSFOCUS 安全研究组采用先进的网页动态分类技术，经过高智能、准确检 测验证，及时更新 URL 分类数据库和网络应用协议数据库，提供全天候的审计技术支 持。 绿盟科技 2001 年 8 月成为国家第一批网络安全服务试点单位，2002 年获得第一批国家