洛阳第一人民医院网络安全系统建设方案设计

1、wordword45/47word某某第一人民医院网络安全建设方案 文档编号 密级 限制分发 版本编号 日期 DATE yyyy * MERGEFORMAT 2019 绿盟科技 声明本文中出现的任何文字表示、文档格式、插图、照片、方法、过程等内容，除另有特别注明，均属DOCPROPERTY pany * MERGEFORMAT绿盟科技所有，受到有关产权与法保护。任何个人、机构未经DOCPROPERTY pany * MERGEFORMAT绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 版本变更记录时间版本说明修改人 适用性声明本文档适用于医院安全建设项目使用。 目录 TOC

2、h z t 附录1绿盟科技,1,附录2绿盟科技,2,附录3绿盟科技,3,附录4绿盟科技,4,标题 1绿盟科技,1,标题 2绿盟科技,2,标题 3绿盟科技,3 HYPERLINK l _Toc450229676一. 背景概述 PAGEREF _Toc450229676 h 3HYPERLINK l _Toc4502296771.1 方案设计要求 PAGEREF _Toc450229677 h 4HYPERLINK l _Toc4502296781.2 方案设计原如此 PAGEREF _Toc450229678 h 5HYPERLINK l _Toc450229679二. “威胁分析+风险分析=需

3、求分析 PAGEREF _Toc450229679 h 6HYPERLINK l _Toc4502296802.1 威胁分析 PAGEREF _Toc450229680 h 6HYPERLINK l _Toc4502296812.1.1 外部威胁 PAGEREF _Toc450229681 h 6HYPERLINK l _Toc4502296822.1.2 内部威胁 PAGEREF _Toc450229682 h 7HYPERLINK l _Toc4502296832.2 风险分析 PAGEREF _Toc450229683 h 8HYPERLINK l _Toc4502296842.2.1

4、外部网络带来的安全风险 PAGEREF _Toc450229684 h 8HYPERLINK l _Toc4502296852.2.2 内部网络存在的风险 PAGEREF _Toc450229685 h 8HYPERLINK l _Toc4502296862.2.3 攻击快速传播引发的安全风险 PAGEREF _Toc450229686 h 8HYPERLINK l _Toc450229687三、需求分析 PAGEREF _Toc450229687 h 9HYPERLINK l _Toc450229688 PAGEREF _Toc450229688 h 10HYPERLINK l _Toc45

5、0229689 PAGEREF _Toc450229689 h 10HYPERLINK l _Toc450229690四、根底安全建设 PAGEREF _Toc450229690 h 11HYPERLINK l _Toc4502296914.1绿盟下一代防火墙访问控制 PAGEREF _Toc450229691 h 11HYPERLINK l _Toc450229692 PAGEREF _Toc450229692 h 11HYPERLINK l _Toc450229693 PAGEREF _Toc450229693 h 12HYPERLINK l _Toc450229694 PAGEREF _

6、Toc450229694 h 13HYPERLINK l _Toc450229695 PAGEREF _Toc450229695 h 13HYPERLINK l _Toc450229696 PAGEREF _Toc450229696 h 17HYPERLINK l _Toc450229697 PAGEREF _Toc450229697 h 17HYPERLINK l _Toc450229698 PAGEREF _Toc450229698 h 17HYPERLINK l _Toc4502296994.3.2 解决方案 PAGEREF _Toc450229699 h 18HYPERLINK l _

7、Toc4502297004.3.3 安全审计产品选型 PAGEREF _Toc450229700 h 19HYPERLINK l _Toc4502297014.3.4 绿盟绿盟安全审计系统的特点 PAGEREF _Toc450229701 h 21HYPERLINK l _Toc4502297024.4 远程安全评估系统安全基线管理系列 PAGEREF _Toc450229702 h 26HYPERLINK l _Toc4502297034.4.1 需求分析 PAGEREF _Toc450229703 h 26HYPERLINK l _Toc4502297044.4.2 绿盟远程安全评估系统特

8、点 PAGEREF _Toc450229704 h 31HYPERLINK l _Toc4502297054.4.3 功能与收益 PAGEREF _Toc450229705 h 36HYPERLINK l _Toc4502297064.5 绿盟Web应用防火墙 PAGEREF _Toc450229706 h 37HYPERLINK l _Toc4502297074.5.1 需求分析 PAGEREF _Toc450229707 h 37HYPERLINK l _Toc4502297084.5.2 绿盟Web应用防火墙的特点 PAGEREF _Toc450229708 h 40HYPERLINK

9、l _Toc4502297094.6 安全审计堡垒机SAS-H PAGEREF _Toc450229709 h 42HYPERLINK l _Toc4502297104.6.1 系统功能 PAGEREF _Toc450229710 h 42HYPERLINK l _Toc4502297114.6.2 产品特性 PAGEREF _Toc450229711 h 43HYPERLINK l _Toc450229712附录A绿盟科技公司简介 PAGEREF _Toc450229712 h 45HYPERLINK l _Toc450229713 PAGEREF _Toc450229713 h 45HYP

10、ERLINK l _Toc450229714 PAGEREF _Toc450229714 h 45HYPERLINK l _Toc450229715 PAGEREF _Toc450229715 h 46HYPERLINK l _Toc450229716 PAGEREF _Toc450229716 h 46背景概述某某市第一人民医院是某某市建院最早、具有百年开展历史的市级现代化综合性三级医院，某某市唯一一家“红十字医院；1995年被国家卫生部授予“爱婴医院称号；1999年被国家卫生部授予“国际紧急救援网络中心医院；2006年被授予“某某市康复医院。某某市第一人民医院位于某某市中州大道，六层门诊、

11、十三层病房大楼巍然屹立、雄伟壮观，内设中心供氧、中央空调、中心吸引；开放高、中、低档病床610X，各病房均装备有现代医院所具备的先进设备。医院现有中、高级职称专业技术426人，临床、医技科室43个，拥有价值上亿元的大型先进医疗设备。近年来，医院秉承“内抓管理、外树形象，质量强院、服务兴院的办院宗旨，实施科技兴院战略，积极开展和引进新业务新技术，加强医德医风建设，全面提高医疗服务质量。某某市第一人民医院治院严谨，理念超前，医院经营方式灵活，全体员工爱岗敬业、勤奋工作。面对竞争激烈的医疗市场，以实力求生存、凭技术谋开展、靠服务赢市场，各项工作进展顺利。对于医院来讲，由于患者众多，业务繁忙，网络系统

12、业务连续性十分重要。为了保证医院的业务持续性开展，就必须分析信息系统的信息安全需求。需求分析的主要目的是更加清晰、全面的了解网络的根本安全现状，了解如何解决系统的安全问题，为后期安全体系建设中的安全防护技术实施提供严谨的安全理论依据，为决策者制定网络安全策略、构架安全体系以与确定有效的安全措施、选择可靠的安全产品、建立全面的安全防护层次提供了一套完整、规X的指导模型。医院网络安全解决方案从两个方面进展阐述，一方面是重新对外网区域进展网络规划，并加强网络安全建设；另一个方面就是解决内网和外网融合的问题，将内外网融合同时构建边界防护方案。如何保证医院的网络正常运行和网络安全已成为迫切需要关注的问题

13、。随着医疗行业信息化开展的要求，全国卫生信息化2003-2010年开展规划纲要中对信息安全提出了明确的要求：加强与卫生信息化相关的法律、法规、政策体系的建设；提高信息安全意识，加强计算机和网络安全培训，防X、打击计算机与网络犯罪；在卫生信息系统建设的同时，要进展信息安全的总体设计和信息系统安全工程建设，在系统验收时必须对信息系统安全进展测评认证；对于已建的卫生信息系统，要采取信息安全加固措施，进展系统安全测评认证；卫生信息系统建设某某息安全投资应占系统投资的一定比例。开展规划纲要从宏观的角度对卫生系统信息化建设，而与此同时，由于医疗行业开展的需要，2006年发布的卫生系统内部审计工作规定(卫生

14、部令51号中，明确了“为加强卫生系统内部审计工作，建立健全各单位内部审计制度，完善内部监视制约机制，并要求“设置内部审计机构，配备审计人员，开展审计工作；内部审计机构在履行审计职责时，明确具有“检查计算机系统有关电子数据和资料的权限；由此可以看到针对卫生系统的相关审计具有明确要求。此外，公安部国家电子政务等级保护、国家某某局BMB17-2006号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进展安全审计。以防员工随意通过网络共享文件夹、文件上传下载、EMAIL等方式，发送重要敏感信息、业务数据，导致信息外泄事件发生。同时，针对医疗行业的门户WEB业务这类给Internet

15、可用性带来极大损害的攻击，必须在国家等级保护政策的指导下，采用专门的机制，综合采用各种技术手段对攻击进展有效检测，应按照中华人民某某国计算机信息系统安全保护条例HYPERLINK ./lkwj/News_View.asp?NewsID=281 t _blank国务院令第147号、国家信息化领导小组关于加强信息安全保障工作的意见中办发200327号、HYPERLINK ./art/2009/4/15/art_180_211119.html t _blank信息安全等级保护管理方法公通字200743号等文件要求，参考计算机信息系统安全保护等级划分准如此GB17859-1999、信息系统安全等级保护

16、根本要求 GB/T 22239-2008 等等级保护相关标准，开展等级保护整改、测评工作，为医院内部和社会公众提供“一站式的医疗公共服务目标提供有力保障。在与医院屡次安全沟通与交流的根底上，我们进一步明确了医院的准确需求，简单来说就是“安全访问，内外隔离，分期建设三点，安全访问包含两方面，即从内网可以安全访问互联网，从互联网也能够安全访问内网；而在内外隔离上如此是要保证内网数据与互联网之间保持逻辑或物理隔离；分期建设如此是建设的思路，是根据医院的实际情况，分步骤从根底到深入，从满足最迫切的安全需求慢慢上升到管理安全上来！以下此方案将针对这三点进展详细的需求描述与解决思路陈述。方案设计要求根据实

17、际调研与专家论证，本网络需要具有如下的安全特性：高可靠性：在受到攻击的情况下，能够保证各类业务系统正常运行，能够保证数据的正常访问。高某某性：网络数据/网络信息不被窃取。管理安全性：完善的网络访问控制列表，包括不允许同级网络的非授权访问等。可审计性：能够审计对数据中心服务器、网络设备等的各种操作信息。可扩大性：依据现有网络流量设计的网络要留有一定扩大能力，随之的安全方案也必须具备可扩大性。方案设计原如此信息系统的建设是国家信息化的一个组成局部，在促进国民经济开展和社会稳定方面具有越来越重要的作用。卫生行业作为涉与国计民生的重要行业，随着计算机应用的进一步普与和开展，计算机信息系统安全问题日益社

18、会化、严重化，国家和行业监管机构有必要运用行政法律手段来进展有效的管理，维护社会的稳定和开展。这些政策法规主要有：全国卫生信息化2003-2010年开展规划纲要卫生系统内部审计工作规定(卫生部令51号基于健康档案的区域卫生信息平台建设指南试行中华人民某某国保守国家秘密法 1988年9月5日中华人民某某国主席令第6号公布中华人民某某国保守国家秘密法实施方法国家某某局文件国保发 1990 1 号中华人民某某国国家安全法主席令68号，1993年2月22日第七届全国人民代表大会常务委员会第三十次会议通过中华人民某某国计算机信息系统安全保护条例国务院令147号计算机信息系统安全等级保护划分准如此GB/T

19、17859-1999计算机信息系统安全等级保护网络技术要求GA/T387-2002计算机信息系统安全等级保护操作系统技术要求GA/T388-2002计算机信息系统安全等级保护数据库管理系统技术要求GA/T389-2002计算机信息系统安全等级保护通用技术要求GA/T390-2002计算机信息系统安全等级保护管理要求GA/T391-2002 此次医院安全解决方案即在严格遵循上述国家法律法规以与行业的规X指南的根底之上编写而成的。“威胁分析+风险分析=需求分析威胁分析当前医院具有HIS、PACS、LIS、EMR WINDOS等系统平台，这些平台服务在医院的各个业务流程上，从挂号，化验，病历管理等医

20、院医务到计费，转账等财务工作，可以说信息系统的安全稳定运行对医院的管理具有极重要的作用，而在医院的数据管理上，医院具有Oracle，SQL Server等多种数据库，而随着当前卫生系统对“统方的管理要求，数据库的访问、操作的安全性也需要加以关注。医院网络结构较为复杂，具有多个互联出口，其中既有与电信、移动相连接的互联网出口，又有大量与银行，社保，新农保等单位的。并且由于医院部署有面向internet的WEB站点，内网中存有大量重要的信息，运行着非常重要的业务系统，所以既要考虑来自互联网的黑客攻击，又要考虑来自下属医疗机构的非法访问，数据篡改等攻击行为。综上所述，可从外部/内部两方面对威胁进展分

21、析：根据信息系统安全建设的思路，我们以医院的信息系统建模，这个模型即是包含医院的网络拓扑，业务系统，数据系统等多方面的信息的集合。然后分析这个模型面临的威胁以与相关的风险，最后从这威胁与风险中，我们推断出真正的安全需求，然后将这个安全需求具体化，实体化，最后转变为相关的解决方案，即安全服务与安全产品的集合。最后我们按照医院的实际情况，将这个方案按照需求进展分期描述，一期主要解决根底安全问题，二期集中在数据安全与安全服务工作，三期如此上升至管理安全。根据医院的信息系统模型，我们将从内外网两个角度寻找安全威胁：外部威胁非授权访问没有预先经过同意，就使用网络或计算机资源被看作非授权访问。如有意避开系

22、统访问控制机制，对网络设备与资源进展非正常使用，或擅自扩大权限，越权访问信息。非授权访问主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进展某某操作、合法用户以未授权方式进展操作等。严格的访问权限控制会大大提升各区域的安全性。黑客扫描和攻击Internet网络的恶意入侵者可能因为商业的目的或者是随机的目的对网络和WEB服务发起恶意扫描和渗透式入侵，通过渗透或绕过防火墙，进入网络和数据库，获取、篡改甚至破坏敏感的数据，乃至破坏医院的正常业务，造成恶劣的社会影响和政治事件。数据窃取由于医院网络中存储有大量重要而敏感的信息，一旦发生数据泄密，将造成严重的社会影响，同时由于每天大量的诊疗信息通

23、过信息网络流通，如果出现数据错误将会影响诊疗信息的准确性与与时性。病毒或蠕虫侵袭Internet网络上大量肆虐的网络蠕虫病毒具备渗透防火墙的传播能力，他们可以穿透防火墙进入网络；一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理性能的下降，同时也会对核心敏感的数据造成严重的威胁，甚至造成拥塞，导致系统的中断和服务的宕机；而医院由于与众多的外联单位互联，病毒与蠕虫的威胁也极其严峻。内部威胁非法数据访问/修改等由于医疗信息所具有的商业性，公共性，政治性等原因，需要对各类对医院网络/服务器/数据库进展记录与审核，否如此，一旦出现数据泄密、非法访问等违规行为，不仅无法第一时间知晓、记录，而且后期也无

24、法定位违规者、无法追溯事件源头，这就造成了管理上的漏洞与缺陷。无意识的外部风险引入此外，由于安全技能和安全意识存在差异，工作人员可能无意识的通过互联网将Internet上危险的、恶意的木马程序和恶意代码下载到内部网络执行，甚至将Internet上的蠕虫、网络病毒传播进入内部网络，这将对网络的安全带来严重威胁；恶意应用消耗网络带宽当前P2P等非关键应用的流量几乎占用了网络6070的带宽，使得关键性应用得不到保障。同时P2P软件也逐渐成为计算机病毒和木马传播的主要途径。有必要对用户或者某些特定应用进展流量的控制。内部故意破坏医院同时需要考虑内部的不满人员恶意破坏信息网络、系统和数据的可能；以与某些

25、别有用心的人士从内部发起的恶意攻击。风险分析当用户的信息资产面临威胁，而信息资产自身又被相应的脆弱性暴露出来的时候，威胁对信息资产就有产生影响的可能，信息资产的安全风险就产生了。依据医院的网络现状和相关业务情况，我们主要从以下几个方面关注可能面临的安全风险：外部网络带来的安全风险由于医院连接到互联网，且具有10多条外联链路，外部攻击者可以利用存在的漏洞进展破坏，可能引起数据破坏、业务中断甚至系统宕机，严重影响网络的正常运行。在医院，我们设计防火墙作为安全保障体系的第一道防线，防御黑客攻击。而在防火墙是无法检测或拦截嵌入到普通业务流量中的恶意攻击代码，如针对医院WEB服务的Code Red蠕虫、

26、SQL注入，跨站脚本攻击，网页篡改等。采用网络入侵保护系统和Web应用防火墙对此类攻击进展防护。内部网络存在的风险在医院的网络中，内部具有大量的信息节点，其中包括医生所使用的工作电脑、病房区病人所使用的电脑以与大量业务系统所采用的信息载体，如何保障信息安全意识薄弱的这些设备使用者能够不将病毒带入内部网络中，不将带有木马、蠕虫等恶意软件的移动设备加载到内部办公网络使用。或者当这些恶意的文件被带入内部网络，如何控制其不对关键业务系统造成影响，甚至不对外部发起攻击。攻击快速传播引发的安全风险目前利用漏洞传播的蠕虫、病毒、间谍软件、DDoS攻击、垃圾等混合威胁越来越多，传播速度加快，留给人们响应的时间

27、越来越短，使用户来不与对入侵做出响应。入侵检测系统IDS虽然能检测出攻击行为，但无法有效阻断攻击。另外，网络防病毒系统属于被动防护，对于新的未知蠕虫病毒，防病毒软件无法检测出。因此如何保证医院网络在安装最新安全补丁之前，网络不会被蠕虫、病毒、黑客等攻击造成网络瘫痪，这是目前需关注的问题。三、需求分析根据对医院网络系统的风险分析，我们发现信息安全需求主要在以下方面：防御来自外部的威胁，阻止蠕虫、网络病毒、间谍软件和黑客攻击对网络造成的安全损失，防止针对Web服务的例如SQL注入，跨站脚本攻击，网页篡改等攻击，提高医院网络的整体抗攻击能力；防御来自内部的威胁，阻止蠕虫、网络病毒爆发对医院内部服务器

28、和网络的破坏，保障业务系统的正常运行；监控网络的安全运行，全面把握安全状态，以便于与时的发现安全攻击，防止安全事件的发生。检测前置机群的操作系统、应用系统、网络设备存在的漏洞，以便第一时间修补系统与应用中的漏洞，提高系统的整体抗攻击能力。审计针对数据中心的各种网络操作与访问行为，满足系统审计的要求与取证的要求。互联网访问内网资源的防护，合理规划互联网访问内网资源的权限，保障内网数据与服务的安全可信。保障医生等医院内部职员能够通过VPN远程访问内部网络服务，查询其所需的内网资源，同时保障这条VPN通道的稳定可信。在解决根底安全的问题上，如何进一步提升业务管理水平，由粗放型管理到精细化管理，信息化

29、管理，专业化管理，打造医院的专业信息化管理队伍，更快更好地为社会大众提供安全可信的医疗服务。将上述需求进展分期规划，我们将医院的信息安全建设按照由浅入深的步骤分解为三个步骤：一期建设专注于根底安全建设，二期建设专注与数据安全与安全服务，三期建设专注于安全管理体系的构建。本次建设只专注根底安全建设。医院网络安全建设拓扑图网络安全设备投入列表产品名称产品功能数量下一代防火墙NF访问控制、上网行为管理、出口网络防护1台网络入侵防护系统IPS入侵攻击防护1台安全审计系统SAS网络行为、数据库审计1台远程安全评估系统RSAS漏洞扫描1台Web应用防火墙WAF防护、防篡改1台安全审计堡垒机SAS-H运维安

30、全审计1台四、根底安全建设根底安全建设专注于医院的信息系统的建设，主要包含访问控制，入侵防护，日志审计，漏洞管理等几个方面，访问控制能够保证互联网对内网资源的合理有效利用，入侵防护如此能全面防护互联网对内网发起的攻击以与内网对互联网的攻击；在日志审计方面，根据卫生部对信息系统的要求，根据*省卫生厅关于“统方治理的要求，我们考虑在核心系统上进展严格的日志审计工作；在漏洞管理上，由于大量的信息终端的存在，且当前利用漏洞进展攻击的案例比比皆是，故在一起管理上，我们将这四点作为根底信息安全建设来进展处理，并在每个环节上进展分章节详细描述。下一代防火墙访问控制在医院网络出口部署一台下一代防火墙，通过下一

31、代防火墙可以对应用层攻击、病毒进展全面阻断，可实现基于源/目的IP地址、协议/端口、时间、用户、VLAN、VPN、安全区的访问控制，保证内部网络的安全。设备管理通过安全管理区的安全管理服务器上安装安全中心对该设备进展全面的管理。绿盟下一代防火墙采用了全新的设计理念，专注应用安全的防护，具有如下功能：具有智能协议识别NIPR智能内容识别NICR功能智能协议识别技术Nsfocus Intelligent Protocol RecognitionNIPR和智能内容识别技术Nsfocus Intelligent Content RecognitionNICR是绿盟自主研发的网络威胁识别技术，是绿盟科技

32、在网络攻防技术方面多年研究成果的结晶，也是绿盟安全下一代防火墙的核心技术。网络应用层防护的最大难度在于对复杂多变的应用协议、黑客复杂的攻击行为以与应用内容进展解析识别，从而进展针对性的防护。NIPR和NICR识别技术，它利用五个安全库应用协议特征库 、协议行为特征库、恶意URL库、病毒库、攻击规如此库，通过动态分析网络报文中包含的协议特征、行为特征以与非法内容，识别出非法信息，然后递交给相应的处理引擎进展防护。具备了NIPR和NICR的下一代防火墙，不再受动态端口或攻击工具变化的影响。对于P2P等运行在任意端口的应用层协议，或者绑定在任意端口的木马、后门，还有黑客的灵活多变的攻击方式，下一代防

33、火墙都能在不需要管理员参与的情况下高速准确的判断出来，并根据网关策略予以阻断或限制。高性能的防火墙下一代防火墙采用内容状态检测的过滤技术，支持路由、透明、混合模式部署，可实现基于源/目的IP地址、协议/端口、时间、用户、VLAN、VPN、安全区的访问控制。下一代防火墙支持支持基于策略的双向NAT、动态/静态NAT、端口PAT，支持DNS、DHCP、VLAN、SNMP等协议。超强的网络攻击防护能力下一代防火墙集成了绿盟科技专业的IPS模块，可实现基于IP地址/网段、规如此组、集、时间、动作等对象的虚拟IPS。下一代防火墙采用虚拟补丁技术，可防护远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、

34、SQL注入、跨站脚本等各种攻击。绿盟入侵防护系统NIPS Network Intrusion Prevention System提供一种主动的、实时的防护，其设计旨在对常规网络流量中的恶意数据包进展检测，阻止入侵活动，预先对攻击性的流量进展自动拦截，使它们无法造成损失，而不是简单地在传送恶意流量的同时或之后发出警报。NIPS 是通过直接串联到网络链路中而实现这一功能的，即NIPS接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内部网络。绿盟网络入侵防护系统是绿盟科技自主知识产权的新一代安全产品，作为一种在线部署的产品，其设计目标旨在准确

35、监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进展实时阻断，而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一个全新的入侵保护解决方案。绿盟网络入侵防护系统采用先进的体系架构集成领先的入侵保护技术，包括以全面深入的协议分析技术为根底，协议识别、协议异常检测、关联分析为核心的新一代入侵保护引擎，能够协助客户：网络防护：具有实时的、主动的网络防护功能，内置基于状态检测的防火墙，保护网络边界和内部网络，同时为网络设备的漏洞提供防护，具有流量管理功能，对于可能出现的异常流量，提供抗拒绝服务攻击功能。

36、应用防护：提供对应用层的防护功能，针对操作系统，应用软件以与数据库，提供深度的内容检测技术,过滤报文里的恶意流量和攻击行为，保护存在的漏洞，防止操作系统和应用程序损坏或宕机。内容管理：对内部网络资源提供内容管理，可以有效检测并阻断间谍软件，包括木马后门、恶意程序和广告软件等，并可以对即时通讯、P2P下载、网络游戏、在线视频、网络流媒体等内容进展监控并阻断。绿盟科技网络入侵防护系统体系架构绿盟网络入侵防护系统的体系架构包括三个主要组件：控制台、网络探测器、升级站点，方便各种网络环境的灵活部署和管理。深度融合的集成平台绿盟网络入侵防护系统作为自主知识产权的新一代安全产品，深度融合的防火墙/IPS/

37、IDS集成平台开创了世界先河，独一无二的设计使绿盟网络入侵防护系统为用户提供从链路层到应用层的深度安全防护，圆满解决了防火墙静态防御和IPS动态防御的融合难题，为用户提供全面的入侵保护解决方案。绿盟网络入侵防护系统集成强大的防火墙功能，采用基于状态检测的动态包过滤技术，实现静态防御；绿盟网络入侵防护系统以全面深入的协议分析技术为根底，协议识别、协议异常检测、关联分析为核心，实现动态防御。绿盟网络入侵防护系统专门设计了安全、可靠、高效的硬件运行平台。硬件平台采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力、吞吐量；操作系统经过优化和安全性处理，保证系统的安全性和抗毁

38、性。基于对象的虚拟系统绿盟网络入侵防护系统提供基于对象的虚拟系统VIPS，针对不同的网络环境和安全需求，基于安全区、IP地址组、段、规如此组、集、时间、动作等对象，制定不同的规如此和响应方式，就像一台设备上虚拟出很多虚拟系统，每个虚拟系统分别执行不同的规如此集，实现面向不同对象、实现不同策略的智能化入侵防护。绿盟网络入侵防护系统覆盖广泛的攻击规如此库带有超过2000条由NSFocus安全小组精心提炼、经过仔细检测与时间考验的攻击特征，并通过国际最著名的安全漏洞库CVE严格的兼容性标准评审，获得最高级别的CVE兼容性认证CVEpatible。绿盟科技每月平均提供2到3次升级更新，在紧急情况下可即

39、时提供更新。而且绿盟科技具有领先的漏洞预警能力，是目前国内唯一一个向国外美国出口入侵检测规如此库的公司。广泛精细的应用防护绿盟网络入侵防护系统提供“虚拟补丁，主动防御和未知攻击，实时阻断各种黑客攻击，如缓冲区溢出、SQL注入、暴力猜想、拒绝服务、扫描探测、非授权访问、蠕虫病毒、木马后门、间谍软件等，而且针对僵尸网络提供主动防御，广泛精细的应用防护帮助用户防止安全损失。全面实用的内容管理绿盟网络入侵防护系统提供强大的“流量净化能力，通过全面实用的内容管理，能够有效监视、控制P2P下载、即时通讯、在线视频、网络流媒体、网络游戏等滥用流量，提高企业工作效率。绿盟网络入侵防护系统具有强大的流量管理功能

40、，采用全局维度协议/端口、局部维度源/目的IP地址、网段、时间维度时间、流量纬度带宽等流量控制四元组，基于对象的策略配置方便用户灵活控制网络流量。强大丰富的管理能力绿盟网络入侵防护系统支持安全区Zone，支持路由、透明、混合三种工作模式，支持五种安全区模式：透明Layer2、路由Layer3、监听Monitor、直通Direct、管理Mgt，能够快速部署在各种网络环境中。绿盟网络入侵防护系统还支持失效开放Fail-open机制和双机热备HA，防止单点故障。绿盟网络入侵防护系统提供丰富的响应方式，包括主动响应丢弃数据包、丢弃连接会话、被动响应与防火墙联动、TCP Killer、发送、控制台显示、

41、日志数据库记录、打印机输出、运行用户自定义命令、写入XML文件、snmp trap，用户可自定义，满足各种需要。从系统升级到报表系统，从攻击告警到日志备份，绿盟网络入侵防护系统均可由系统定时自动后台运行，达到“零管理。还同时支持B/S和C/S管理方式。全中文界面、中文报表，符合中国人操作习惯，而中文规如此库对每个漏洞都有详细描述，并提供了详细的解决方案与补丁下载地址。根据安全风险分析、安全目标和设计原如此，我们在充分利用现有资源、尽量在少投入、少改动的根底上，建议使用以下集防护、检测和响应于一体的安全解决方案。具体部署方式如下：在医院内网的两台互联网出口下一代防火墙下部署两台千兆绿盟网络入侵防

42、护系统，每台NIPS双上联两台出口下一代防火墙。通过双机热备的形式对进出内网的数据进展冗余保护，两台NIPS设备之间的心跳线检测主从设备状态，保证在单条链路出现异常后，策略仍时刻生效的同时数据业务不会中断。在医院内网和农保/医保/银行网络的互联出口下一代防火墙下，部署一台千兆绿盟NIPS。确保医院内网和其他业务单位内网的安全互联和入侵保护；同时可做出口链路的备选设备。每台千兆绿盟NIPS设备均具备BYPASS功能，确保设备出现异常后，不影响正常链路和业务流量。通过在医院网络部署一台绿盟安全中心服务器，用于日常管理和日志存储。由于绿盟NIPS同时支持C/S和B/S模式，所以可以灵活方便的管理部署

43、在网络中的绿盟NIPS。由于安全领域的开展性，没有静止的安全，任何的变化都可能引起安全问题的出现，比如网络结构的调整，新的应用的启用，新的安全漏洞和新的攻击手法的出现等等，所以任何时候，安全都是动态的。在这种情况下，有效的使用和维护安全产品和安全策略，才能使安全产品发挥其最大的效应，所以，我们建议如下：保障规如此升级网络入侵防护系统控制台每周定时检查厂商规如此升级模块离线下载或使用厂商提供的定期升级包控制台自动推送升级到网络引擎日志自动备份策略设置报警日志定期备份策略，防止出现日志溢出或意外丢失的情况定期分析与报告策略设置综合报告每周发送策略，分别发给其他安全管理员每月对报告进展综合分析，对疑

44、难问题，寻求安全厂商的支持部署网络入侵防护系统会给医院网络带来以下安全功能的提高：实时发现和阻断来自Internet的蠕虫、病毒、间谍软件和黑客等攻击和入侵，防止黑客带来的安全损失，加强了对内部服务器的保护；实时发现和阻断内部蠕虫、网络病毒的大规模爆发；强制性规X工作人员的网络访问行为，控制和减少工作人员利用信息网络作与工作无关的行为； 可以对内部网络流量和网络资源的监控，方便与时的发现网络异常，同时可以根据需求，进展带宽管理，帮助诊断网络异常状况，提高网络带宽的使用率；对黑客的攻击行为进展监控，保存异常行为日志，为事后采取补救措施作准备；智能、自动化的安全防御，降低整体的安全费用以与对于网络

45、安全领域人才的需求。由于医院网络分内网与外网，网络的使用者既有来自互联网的用户，也有来自单位内部的工作人员，因此其网络面临来自安全威胁与风险如下：工作人员在论坛内网论坛发表敏感信息、传播非法言论，造成恶劣社会影响；单位重要业务数据库，被工作人员或系统维护人员篡改牟利、外泄，给单位造成巨大的经济损失；工作人员随意通过U盘，在外网络共享文件夹、文件上传下载、EMAIL等方式，发送重要敏感信息、业务数据，导致信息外泄事件发生；内部系统维护人员对业务应用系统的越权访问、违规操作，损害业务系统的运行安全；根据对医院网络系统的威胁与风险分析，医院的信息安全需求主要在以下方面：对论坛不良言论、某某暴力的管理

46、，对网页页面内容、搜索引擎的关键字过滤、审计;针对不良进展告警、过滤；同时全面审计访问行为，实时告警、记录和网页复原，实现全面、准确、高效的访问监测对业务运维操作进展细粒度的监控数据库访问进展全面监控管理；对、论坛等外发信息行为进展有效的监控；可对、论坛等外发信息行为进展监控管理，防止单位敏感某某信息外泄、非法反动言论传播；对网络应用行为进展监测，如:P2P下载、在线视频等。因此在医院网络中部署安全审计系统，可有效监控业务系统访问行为和敏感信息传播，准确掌握网络系统的安全状态，与时发现违反安全策略的事件并实时告警、记录，同时进展安全事件定位分析，事后追查取证，满足合规性审计要求。解决方案安全审

47、计系统Security Audit System是在一个特定的企事业单位的网络环境下，为了保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取，而运用各种技术手段实时监控网络环境中的网络行为、通信内容，以便集中收集、分析、报警、处理的一种技术手段。安全审计系统是旁路并联到网络中，一般是对路由器或交换机做端口镜像，将需要监控的端口流量镜像后进展分析，不会对网络的正常运行带来影响。安全审计产品选型选型依据安全审计系统具有对网络通信内容、网络行为的实时监测、报警、记录等功能。是否能够很好地帮助网络管理员完成对网络状态的把握和安全的评价是安全审计系统的根本标准。一个完善的安全审计系统SAS应该从四

48、个方面评价：细粒度的操作内容审计与精准的网络行为实时监控；全面详细的审计信息，丰富可定制的报表系统；支持分级部署、集中管理，满足不同规模网络的使用和管理需求；自身的安全性高，不易遭受攻击；选型建议经过对国内外流行产品的分析，我们建议使用绿盟科技的安全审计系统。绿盟科技主要优势有：绿盟安全审计系统提供业界领先的基于对象的策略管理系统，完全统一的规如此配置方式强大而灵活，实现基于对象的虚拟审计系统VAS。绿盟安全审计系统针对单位不同的网络环境和安全需求，基于安全区、IP地址组、段、规如此组、时间、动作等对象，制定不同的策略和响应方式，就像一台设备上虚拟出很多虚拟审计系统，每个虚拟审计系统分别执行不

49、同的策略，实现面向不同业务应用、不同部门职能、不同策略的智能化安全审计。绿盟安全审计系统提供全面细粒度的敏感信息审计解决方案。系统支持基于内容、行为、时间、用户等多种条件组合的信息审计谋略，对收发WEBMAIL、SMTP、POP3、文件上传下载HTTP、FTP、网络文件共享NETBIOS、论坛BBS、即时通讯等进展全面信息审计，提供实时告警、信息复原功能，同时支持自定义内容关键字库，实现敏感信息的深度检测识别，对某某信息外泄、非法言论传播等行为的与时响应处理、事后追查取证提供有力支持。绿盟安全审计系统采用先进的数据处理架构，对64bytes数据包的处理能力达到千兆线速的处理能力；同时采用先进的

50、IP碎片重组与智能TCP流会聚技术，达到接近100%的检测准确率和几乎为零的漏报率，实现网络事件的“零遗漏审计。绿盟安全审计系统采用业界领先的协议识别和智能关联技术，提供全面深入的协议分析、解码回放，能够分析近100种应用层协议，包括HTTP、TELNET、FTP、SMTP、WEBMAIL、NETBIOS、P2P、IM等，极大地提高内容分析的准确性，帮助管理员全面掌握网络安全状态。绿盟安全审计系统通过基于业务运维行为、上网行为和网络应用行为的审计，达到对业务运维操作TELNET、FTP、数据库访问等、上网行为、网络应用行为即时通讯、在线视频、P2P下载等的全过程监控，实现网络行为的全面多维度审

51、计。绿盟安全审计系统具有基于协议识别的流量分析功能，如：可识别使用80端口的P2P协议，防止基于80端口的HTTP协议流量统计错误，更准确可靠；并支持对即时通讯、P2P、在线视频等动态协议的流量分析；提供详细的流量报表；可以通过编辑自定义统计指定协议流量的IP TOPN。绿盟安全审计系统具有业界领先的超过1000万条的庞大中英文URL数据库，多种分类，如不良言论、某某暴力等；可对访问非法的行为，实时告警、记录，提供全面、准确、高效的访问监测。从实时升级系统到报表系统，从审计告警到日志备份，绿盟安全审计系统完全支持“零管理技术。所有管理员需要日常进展的操作均可由系统定时自动后台运行，并且绿盟安全

52、审计系统报表系统提供了详细的综合分析报表、自定义三种类型10多个类别的报表模板，支持生成：日、周、月、季度、年度综合报表。报表支持MS Word、Html、JPG等格式导出。并定时通过电子自动发送报表至系统管理员；同时绿盟安全审计系统支持对网络引擎的不同网口或不同网络引擎，分别生成对应报表；极大地降低了维护费用与管理员的工作强度。绿盟安全审计系统同时支持B/S和C/S两种管理方式，Web管理灵活方便，适合在任何IP可达地点远程管理。Web界面支持 MS IE、Netscape、Firefox、Opera等浏览器，真正意义上实现了跨平台；并支持三种管理模式：单级管理、多级管理、主辅管理，能够快速

53、部署在几乎所有的网络环境中，实现从单位网络核心至边缘与分支机构的全面检测，满足不同单位不同管理模式需要。绿盟安全审计系统支持多个硬件监听口，监听口即插即用，提供对多网段的同时监听能力。绿盟安全审计系统专门设计了安全、可靠、高效的硬件运行平台。硬件平台采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力；操作系统经过优化和安全性处理，保证系统的安全性和抗毁性，并且与安全中心间的通信采用强加密的SSL加密传输告警日志与控制命令，完全防止了可能存在的嗅探行为，保证了数据传输的安全；设备支持热插拔的冗余双电源，防止电源硬件故障时设备宕机，提高设备可用性。业界著名的NSFOCU

54、S安全研究组采用先进的网页动态分类技术，经过高智能、准确检测验证，与时更新URL分类数据库和网络应用协议数据库，提供全天候的审计技术支持。绿盟科技2001年8月成为国家第一批网络安全服务试点单位，2002年获得第一批国家正式认证的安全服务一级资质，2004年又第一批通过安全服务二级资质认证，也是迄今国内最高级别的安全服务资质认证。绿盟科技公司作为专业的安全产品与服务提供厂商，拥有覆盖全国的技术支持体系，具备完备的本地响应机制，提供与时的厂商级现场应急服务，保证客户产品故障和安全事件的与时解决；绿盟绿盟安全审计系统的特点针对网络中内部人员的敏感信息泄露、违规网络行为等层出不穷的安全事件，绿盟科技

55、提供了完善的安全审计方案。绿盟安全审计系统ICEYE SAS是绿盟科技自主知识产权的安全产品，通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估与安全事件的准确全程跟踪定位，为整体网络安全策略的制定提供权威可靠的支持。绿盟安全审计系统具有三大功能：内容审计，业内独一无二的主动审计功能绿盟安全审计系统系统提供深入的内容审计功能，具有网络信息内容监控取证功能，可对访问、收发、远程终端访问、数据库访问、数据传输、文件共享等提供完整的内容检测、信息复原功能；并可

56、自定义关键字库，进展细粒度的审计追踪。业内独一无二的主动审记功能，可根据顾客实时的需求针对Internet内的各类，各类论坛进展关键字搜索，并可根据顾客设置进展过滤，或告警，或屏闭其中的不良信息，使信息工作能做到预防之前，达到防X于未然。绿盟安全审计系统具有超过1000万条的庞大中英文URL数据库，全面审计访问行为，实时告警、记录和网页复原，实现全面、准确、高效的访问监测。行为审计绿盟安全审计系统系统提供全面的网络行为审计功能，根据设定行为审计谋略，对访问、收发、数据库访问、远程终端访问、数据传输、文件共享、网络资源滥用即时通讯、 论坛、在线视频、P2P下载、网络游戏等等网络应用行为进展监测，

57、对符合行为策略的事件实时告警并记录。流量审计绿盟安全审计系统系统提供基于协议识别的流量分析功能，实时统计出当前网络中的各种报文流量，进展综合流量分析，为流量管理策略的制定提供可靠支持。体系架构绿盟安全审计系统的体系架构主要由安全中心/WEB控制台、网络引擎与升级站点三个局部组成，方便各种网络环境的灵活部署和管理。如如下图所示：绿盟安全审计体系结构安全中心具有系统监控和日志管理功能，可以集中管理多台网络引擎；并可以实现安全中心的主辅管理；支持任意层次的级联部署，实现多级管理，满足不同管理模式的需要；同时可以统一管理绿盟安全审计系统、内容安全管理系统、入侵检测系统、入侵防护系统，提供针对网络正常行

58、为和异常行为的全面行为检测手段，实现安全数据的整体挖掘、关联分析管理；WEB控制台具有系统配置管理、系统监控和日志管理功能，适合在任何IP可达地点远程管理。网络引擎采用协议识别、特征检测和智能关联分析技术，全面监测网络数据包，与时发现违反安全策略的事件并实时告警记录；升级站点提供产品补丁、URL分类数据库、网络应用协议数据库等与时升级更新支持。关键特性基于对象的虚拟审计系统绿盟安全审计系统提供业界领先的基于对象的策略管理系统，完全统一的规如此配置方式强大而灵活，实现基于对象的虚拟审计系统VAS。绿盟安全审计系统针对单位不同的网络环境和安全需求，基于安全区、IP地址组、段、规如此组、时间、动作等

59、对象，制定不同的策略和响应方式，就像一台设备上虚拟出很多虚拟审计系统，每个虚拟审计系统分别执行不同的策略，实现面向不同业务应用、不同部门职能、不同策略的智能化安全审计。业内独一无二的主动审计功能根据顾客实时的需求针对lntemet 内的各类，各类论坛进展关键字搜索，并可根据顾客设置进展过滤，或告警，或屏闭其中的不良信息，使信息工作能做到预防之前，达到防X于未然。绿盟安全审计系统具有超过1000万条的庞大中英文URL数据库，全面审计访问行为，实时告警、记录和网页复原，实现全面、准确、高效的访问监测全面精细的敏感信息审计绿盟安全审计系统提供全面细粒度的敏感信息审计解决方案。系统支持基于内容、行为、

60、时间、用户等多种条件组合的信息审计谋略，对收发WEBMAIL、SMTP、POP3、文件上传下载HTTP、FTP、网络文件共享NETBIOS、论坛BBS、即时通讯等进展全面信息审计，提供实时告警、信息复原功能，同时支持自定义内容关键字库，实现敏感信息的深度检测识别，对某某信息外泄、非法言论传播等行为的与时响应处理、事后追查取证提供有力支持。网络事件“零遗漏审计绿盟安全审计系统采用先进的数据处理架构，对64bytes数据包的处理能力达到千兆线速的处理能力；同时采用先进的IP碎片重组与智能TCP流会聚技术，达到接近100%的检测准确率和几乎为零的漏报率，实现网络事件的“零遗漏审计。高智能深度协议分析