人民医院网络安全建设预案培训文件

绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。■版本变更记录时间版本说明修改人■适用性声明本文档适用于医院安全建设项目使用。目录TOC\h\z\t"附录1（绿盟科技）,1,附录2（绿盟科技）,2,附录3（绿盟科技）,3,附录4（绿盟科技）,4,标题1（绿盟科技）,1,标题2（绿盟科技）,2,标题3（绿盟科技）,3"一.背景概述 31.1方案设计要求 41.2方案设计原则 5二.“威胁分析+风险分析”=需求分析 62.1威胁分析 62.1.1外部威胁 62.1.2内部威胁 72.2风险分析 82.2.1外部网络带来的安全风险 82.2.2内部网络存在的风险 82.2.3攻击快速传播引发的安全风险 8三、需求分析 93.1医院网络安全建设拓扑图 103.2网络安全设备投入列表 10四、基础安全建设 114.1绿盟下一代防火墙（访问控制） 114.1.1部署方式 114.1.2系统特点 124.2绿盟网络入侵防护系统 134.2.1绿盟网络入侵防护系统的特点 134.2.3功能与效益 174.3绿盟安全审计系统 174.3.1需求分析 174.3.2解决方案 184.3.3安全审计产品选型 194.3.4绿盟绿盟安全审计系统的特点 214.4远程安全评估系统（安全基线管理系列） 264.4.1需求分析 264.4.2绿盟远程安全评估系统特点 314.4.3功能与收益 364.5绿盟Web应用防火墙 374.5.1需求分析 374.5.2绿盟Web应用防火墙的特点 404.6安全审计堡垒机SAS-H 424.6.1系统功能 424.6.2产品特性 43附录A 绿盟科技公司简介 45A.1 领先的专业安全厂商 45A.2 安全技术基础研究 45A.3 安全产品研发 46A.4 专业安全服务 46

背景概述洛阳市第一人民医院是洛阳市建院最早、具有百年发展历史的市级现代化综合性三级医院，洛阳市唯一一家“红十字医院”；1995年被国家卫生部授予“爱婴医院”称号；1999年被国家卫生部授予“国际紧急救援网络中心”医院；2006年被授予“洛阳市康复医院”。洛阳市第一人民医院位于洛阳市中州大道，六层门诊、十三层病房大楼巍然屹立、雄伟壮观，内设中心供氧、中央空调、中心吸引；开放高、中、低档病床610张，各病房均装备有现代医院所具备的先进设备。医院现有中、高级职称专业技术426人，临床、医技科室43个，拥有价值上亿元的大型先进医疗设备。近年来，医院秉承“内抓管理、外树形象，质量强院、服务兴院”的办院宗旨，实施科技兴院战略，积极开展和引进新业务新技术，加强医德医风建设，全面提高医疗服务质量。洛阳市第一人民医院治院严谨，理念超前，医院经营方式灵活，全体员工爱岗敬业、勤奋工作。面对竞争激烈的医疗市场，以实力求生存、凭技术谋发展、靠服务赢市场，各项工作进展顺利。对于医院来讲，由于患者众多，业务繁忙，网络系统业务连续性十分重要。为了保证医院的业务持续性发展，就必须分析信息系统的信息安全需求。需求分析的主要目的是更加清晰、全面的了解网络的基本安全现状，了解如何解决系统的安全问题，为后期安全体系建设中的安全防护技术实施提供严谨的安全理论依据，为决策者制定网络安全策略、构架安全体系以及确定有效的安全措施、选择可靠的安全产品、建立全面的安全防护层次提供了一套完整、规范的指导模型。医院网络安全解决方案从两个方面进行阐述，一方面是重新对外网区域进行网络规划，并加强网络安全建设；另一个方面就是解决内网和外网融合的问题，将内外网融合同时构建边界防护方案。如何保证医院的网络正常运行和网络安全已成为迫切需要关注的问题。随着医疗行业信息化发展的要求，《全国卫生信息化2003-2010年发展规划纲要》中对信息安全提出了明确的要求：加强与卫生信息化相关的法律、法规、政策体系的建设；提高信息安全意识，加强计算机和网络安全培训，防范、打击计算机与网络犯罪；在卫生信息系统建设的同时，要进行信息安全的总体设计和信息系统安全工程建设，在系统验收时必须对信息系统安全进行测评认证；对于已建的卫生信息系统，要采取信息安全加固措施，进行系统安全测评认证；卫生信息系统建设中信息安全投资应占系统投资的一定比例。《发展规划纲要》从宏观的角度对卫生系统信息化建设，而与此同时，由于医疗行业发展的需要，2006年发布的《卫生系统内部审计工作规定(卫生部令51号）》中，明确了“为加强卫生系统内部审计工作，建立健全各单位内部审计制度，完善内部监督制约机制”，并要求“设置内部审计机构，配备审计人员，开展审计工作”；内部审计机构在履行审计职责时，明确具有“检查计算机系统有关电子数据和资料”的权限；由此可以看到针对卫生系统的相关审计具有明确要求。此外，公安部国家电子政务等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计。以防员工随意通过网络共享文件夹、文件上传下载、EMAIL等方式，发送重要敏感信息、业务数据，导致信息外泄事件发生。同时，针对医疗行业的门户网站WEB业务这类给Internet可用性带来极大损害的攻击，必须在国家等级保护政策的指导下，采用专门的机制，综合采用各种技术手段对攻击进行有效检测，应按照《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《信息安全等级保护管理办法》（公通字[2007]43号）等文件要求，参考《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护基本要求》（GB/T22239-2008）等等级保护相关标准，开展等级保护整改、测评工作，为医院内部和社会公众提供“一站式”的医疗公共服务目标提供有力保障。在与医院多次安全沟通与交流的基础上，我们进一步明确了医院的准确需求，简单来说就是“安全访问，内外隔离，分期建设”三点，安全访问包含两方面，即从内网可以安全访问互联网，从互联网也能够安全访问内网；而在内外隔离上则是要保证内网数据与互联网之间保持逻辑或物理隔离；分期建设则是建设的思路，是根据医院的实际情况，分步骤从基础到深入，从满足最迫切的安全需求慢慢上升到管理安全上来！以下此方案将针对这三点进行详细的需求描述与解决思路陈述。方案设计要求根据实际调研与专家论证，本网络需要具有如下的安全特性：高可靠性：在受到攻击的情况下，能够保证各类业务系统正常运行，能够保证数据的正常访问。高保密性：网络数据/网络信息不被窃取。管理安全性：完善的网络访问控制列表，包括不允许同级网络的非授权访问等。可审计性：能够审计对数据中心服务器、网络设备等的各种操作信息。可扩充性：依据现有网络流量设计的网络要留有一定扩充能力，随之的安全方案也必须具备可扩充性。方案设计原则信息系统的建设是国家信息化的一个组成部分，在促进国民经济发展和社会稳定方面具有越来越重要的作用。卫生行业作为涉及国计民生的重要行业，随着计算机应用的进一步普及和发展，计算机信息系统安全问题日益社会化、严重化，国家和行业监管机构有必要运用行政法律手段来进行有效的管理，维护社会的稳定和发展。这些政策法规主要有：《全国卫生信息化2003-2010年发展规划纲要》《卫生系统内部审计工作规定(卫生部令51号）》《基于健康档案的区域卫生信息平台建设指南（试行）》《中华人民共和国保守国家秘密法》（1988年9月5日中华人民共和国主席令第6号公布）《中华人民共和国保守国家秘密法实施办法》（国家保密局文件国保发[1990]1号）《中华人民共和国国家安全法》（主席令68号，1993年2月22日第七届全国人民代表大会常务委员会第三十次会议通过）《中华人民共和国计算机信息系统安全保护条例》（国务院令147号）《计算机信息系统安全等级保护划分准则》（GB/T17859-1999）《计算机信息系统安全等级保护网络技术要求》（GA/T387-2002）《计算机信息系统安全等级保护操作系统技术要求》（GA/T388-2002）《计算机信息系统安全等级保护数据库管理系统技术要求》（GA/T389-2002）《计算机信息系统安全等级保护通用技术要求》（GA/T390-2002）《计算机信息系统安全等级保护管理要求》（GA/T391-2002）此次医院安全解决方案即在严格遵循上述国家法律法规以及行业的规范指南的基础之上编写而成的。“威胁分析+风险分析”=需求分析威胁分析当前医院具有HIS、PACS、LIS、EMRWINDOS等系统平台，这些平台服务在医院的各个业务流程上，从挂号，化验，病历管理等医院医务到计费，转账等财务工作，可以说信息系统的安全稳定运行对医院的管理具有极重要的作用，而在医院的数据管理上，医院具有Oracle，SQLServer等多种数据库，而随着当前卫生系统对“统方”的管理要求，数据库的访问、操作的安全性也需要加以关注。医院网络结构较为复杂，具有多个互联出口，其中既有与电信、移动相连接的互联网出口，又有大量与银行，社保，新农保等单位的链接。并且由于医院部署有面向internet的WEB站点，内网中存有大量重要的信息，运行着非常重要的业务系统，所以既要考虑来自互联网的黑客攻击，又要考虑来自下属医疗机构的非法访问，数据篡改等攻击行为。综上所述，可从外部/内部两方面对威胁进行分析：根据信息系统安全建设的思路，我们以医院的信息系统建模，这个模型即是包含医院的网络拓扑，业务系统，数据系统等多方面的信息的集合。然后分析这个模型面临的威胁以及相关的风险，最后从这威胁与风险中，我们推断出真正的安全需求，然后将这个安全需求具体化，实体化，最后转变为相关的解决方案，即安全服务与安全产品的集合。最后我们按照医院的实际情况，将这个方案按照需求进行分期描述，一期主要解决基础安全问题，二期集中在数据安全与安全服务工作，三期则上升至管理安全。根据医院的信息系统模型，我们将从内外网两个角度寻找安全威胁：外部威胁非授权访问没有预先经过同意，就使用网络或计算机资源被看作非授权访问。如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。非授权访问主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。严格的访问权限控制会大大提升各区域的安全性。黑客扫描和攻击Internet网络的恶意入侵者可能因为商业的目的或者是随机的目的对网络和WEB服务发起恶意扫描和渗透式入侵，通过渗透或绕过防火墙，进入网络和数据库，获取、篡改甚至破坏敏感的数据，乃至破坏医院的正常业务，造成恶劣的社会影响和政治事件。数据窃取由于医院网络中存储有大量重要而敏感的信息，一旦发生数据泄密，将造成严重的社会影响，同时由于每天大量的诊疗信息通过信息网络流通，如果出现数据错误将会影响诊疗信息的准确性与及时性。病毒或蠕虫侵袭Internet网络上大量肆虐的网络蠕虫病毒具备渗透防火墙的传播能力，他们可以穿透防火墙进入网络；一旦遭受了病毒和蠕虫的侵袭，不仅会造成网络和系统处理性能的下降，同时也会对核心敏感的数据造成严重的威胁，甚至造成拥塞，导致系统的中断和服务的宕机；而医院由于与众多的外联单位互联，病毒与蠕虫的威胁也极其严峻。内部威胁非法数据访问/修改等由于医疗信息所具有的商业性，公共性，政治性等原因，需要对各类对医院网络/服务器/数据库进行记录与审核，否则，一旦出现数据泄密、非法访问等违规行为，不仅无法第一时间知晓、记录，而且后期也无法定位违规者、无法追溯事件源头，这就造成了管理上的漏洞与缺陷。无意识的外部风险引入此外，由于安全技能和安全意识存在差异，工作人员可能无意识的通过互联网将Internet上危险的、恶意的木马程序和恶意代码下载到内部网络执行，甚至将Internet上的蠕虫、网络病毒传播进入内部网络，这将对网络的安全带来严重威胁；恶意应用消耗网络带宽当前P2P等非关键应用的流量几乎占用了网络60－70％的带宽，使得关键性应用得不到保障。同时P2P软件也逐渐成为计算机病毒和木马传播的主要途径。有必要对用户或者某些特定应用进行流量的控制。内部故意破坏医院同时需要考虑内部的不满人员恶意破坏信息网络、系统和数据的可能；以及某些别有用心的人士从内部发起的恶意攻击。风险分析当用户的信息资产面临威胁，而信息资产自身又被相应的脆弱性暴露出来的时候，威胁对信息资产就有产生影响的可能，信息资产的安全风险就产生了。依据医院的网络现状和相关业务情况，我们主要从以下几个方面关注可能面临的安全风险：外部网络带来的安全风险由于医院连接到互联网，且具有10多条外联链路，外部攻击者可以利用存在的漏洞进行破坏，可能引起数据破坏、业务中断甚至系统宕机，严重影响网络的正常运行。在医院，我们设计防火墙作为安全保障体系的第一道防线，防御黑客攻击。而在防火墙是无法检测或拦截嵌入到普通业务流量中的恶意攻击代码，如针对医院网站WEB服务的CodeRed蠕虫、SQL注入，跨站脚本攻击，网页篡改等。采用网络入侵保护系统和Web应用防火墙对此类攻击进行防护。内部网络存在的风险在医院的网络中，内部具有大量的信息节点，其中包括医生所使用的工作电脑、病房区病人所使用的电脑以及大量业务系统所采用的信息载体，如何保障信息安全意识薄弱的这些设备使用者能够不将病毒带入内部网络中，不将带有木马、蠕虫等恶意软件的移动设备加载到内部办公网络使用。或者当这些恶意的文件被带入内部网络，如何控制其不对关键业务系统造成影响，甚至不对外部发起攻击。攻击快速传播引发的安全风险目前利用漏洞传播的蠕虫、病毒、间谍软件、DDoS攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应。入侵检测系统IDS虽然能检测出攻击行为，但无法有效阻断攻击。另外，网络防病毒系统属于被动防护，对于新的未知蠕虫病毒，防病毒软件无法检测出。因此如何保证医院网络在安装最新安全补丁之前，网络不会被蠕虫、病毒、黑客等攻击造成网络瘫痪，这是目前需关注的问题。三、需求分析根据对医院网络系统的风险分析，我们发现信息安全需求主要在以下方面：防御来自外部的威胁，阻止蠕虫、网络病毒、间谍软件和黑客攻击对网络造成的安全损失，防止针对Web服务的例如SQL注入，跨站脚本攻击，网页篡改等攻击，提高医院网络的整体抗攻击能力；防御来自内部的威胁，阻止蠕虫、网络病毒爆发对医院内部服务器和网络的破坏，保障业务系统的正常运行；监控网络的安全运行，全面把握安全状态，以便于及时的发现安全攻击，防止安全事件的发生。检测前置机群的操作系统、应用系统、网络设备存在的漏洞，以便第一时间修补系统与应用中的漏洞，提高系统的整体抗攻击能力。审计针对数据中心的各种网络操作与访问行为，满足系统审计的要求与取证的要求。互联网访问内网资源的防护，合理规划互联网访问内网资源的权限，保障内网数据与服务的安全可信。保障医生等医院内部职员能够通过VPN远程访问内部网络服务，查询其所需的内网资源，同时保障这条VPN通道的稳定可信。在解决基础安全的问题上，如何进一步提升业务管理水平，由粗放型管理到精细化管理，信息化管理，专业化管理，打造医院的专业信息化管理队伍，更快更好地为社会大众提供安全可信的医疗服务。将上述需求进行分期规划，我们将医院的信息安全建设按照由浅入深的步骤分解为三个步骤：一期建设专注于基础安全建设，二期建设专注与数据安全与安全服务，三期建设专注于安全管理体系的构建。本次建设只专注基础安全建设。3.1医院网络安全建设拓扑图3.2网络安全设备投入列表产品名称产品功能数量下一代防火墙（NF）访问控制、上网行为管理、出口网络防护1台网络入侵防护系统（IPS）入侵攻击防护1台安全审计系统（SAS）网络行为、数据库审计1台远程安全评估系统（RSAS）漏洞扫描1台Web应用防火墙（WAF）网站防护、防篡改1台安全审计堡垒机（SAS-H）运维安全审计1台四、基础安全建设基础安全建设专注于医院的信息系统的建设，主要包含访问控制，入侵防护，日志审计，漏洞管理等几个方面，访问控制能够保证互联网对内网资源的合理有效利用，入侵防护则能全面防护互联网对内网发起的攻击以及内网对互联网的攻击；在日志审计方面，根据卫生部对信息系统的要求，根据****省卫生厅关于“统方”治理的要求，我们考虑在核心系统上进行严格的日志审计工作；在漏洞管理上，由于大量的信息终端的存在，且当前利用漏洞进行攻击的案例比比皆是，故在一起管理上，我们将这四点作为基础信息安全建设来进行处理，并在每个环节上进行分章节详细描述。4.1绿盟下一代防火墙（访问控制）4.1.1部署方式在医院网络出口部署一台下一代防火墙，通过下一代防火墙可以对应用层攻击、病毒进行全面阻断，可实现基于源/目的IP地址、协议/端口、时间、用户、VLAN、VPN、安全区的访问控制，保证内部网络的安全。设备管理通过安全管理区的安全管理服务器上安装安全中心对该设备进行全面的管理。4.1.2系统特点绿盟下一代防火墙采用了全新的设计理念，专注应用安全的防护，具有如下功能：具有智能协议识别（NIPR）智能内容识别（NICR）功能智能协议识别技术——NsfocusIntelligentProtocolRecognition（NIPR）和智能内容识别技术——NsfocusIntelligentContentRecognition（NICR）是绿盟自主研发的网络威胁识别技术，是绿盟科技在网络攻防技术方面多年研究成果的结晶，也是绿盟安全下一代防火墙的核心技术。网络应用层防护的最大难度在于对复杂多变的应用协议、黑客复杂的攻击行为以及应用内容进行解析识别，从而进行针对性的防护。NIPR和NICR识别技术，它利用五个安全库（应用协议特征库、协议行为特征库、恶意URL库、病毒库、攻击规则库），通过动态分析网络报文中包含的协议特征、行为特征以及非法内容，识别出非法信息，然后递交给相应的处理引擎进行防护。具备了NIPR和NICR的下一代防火墙，不再受动态端口或攻击工具变化的影响。对于P2P等运行在任意端口的应用层协议，或者绑定在任意端口的木马、后门，还有黑客的灵活多变的攻击方式，下一代防火墙都能在不需要管理员参与的情况下高速准确的判断出来，并根据网关策略予以阻断或限制。高性能的防火墙下一代防火墙采用内容状态检测的过滤技术，支持路由、透明、混合模式部署，可实现基于源/目的IP地址、协议/端口、时间、用户、VLAN、VPN、安全区的访问控制。下一代防火墙支持支持基于策略的双向NAT、动态/静态NAT、端口PAT，支持DNS、DHCP、VLAN、SNMP等协议。超强的网络攻击防护能力下一代防火墙集成了绿盟科技专业的IPS模块，可实现基于IP地址/网段、规则（组、集）、时间、动作等对象的虚拟IPS。下一代防火墙采用虚拟补丁技术，可防护远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、SQL注入、跨站脚本等各种攻击。4.2绿盟网络入侵防护系统绿盟入侵防护系统NIPS（NetworkIntrusionPreventionSystem）提供一种主动的、实时的防护，其设计旨在对常规网络流量中的恶意数据包进行检测，阻止入侵活动，预先对攻击性的流量进行自动拦截，使它们无法造成损失，而不是简单地在传送恶意流量的同时或之后发出警报。NIPS是通过直接串联到网络链路中而实现这一功能的，即NIPS接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内部网络。4.2.1绿盟网络入侵防护系统的特点绿盟网络入侵防护系统是绿盟科技自主知识产权的新一代安全产品，作为一种在线部署的产品，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一个全新的入侵保护解决方案。绿盟网络入侵防护系统采用先进的体系架构集成领先的入侵保护技术，包括以全面深入的协议分析技术为基础，协议识别、协议异常检测、关联分析为核心的新一代入侵保护引擎，能够协助客户：网络防护：具有实时的、主动的网络防护功能，内置基于状态检测的防火墙，保护网络边界和内部网络，同时为网络设备的漏洞提供防护，具有流量管理功能，对于可能出现的异常流量，提供抗拒绝服务攻击功能。应用防护：提供对应用层的防护功能，针对操作系统，应用软件以及数据库，提供深度的内容检测技术,过滤报文里的恶意流量和攻击行为，保护存在的漏洞，防止操作系统和应用程序损坏或宕机。内容管理：对内部网络资源提供内容管理，可以有效检测并阻断间谍软件，包括木马后门、恶意程序和广告软件等，并可以对即时通讯、P2P下载、网络游戏、在线视频、网络流媒体等内容进行监控并阻断。体系架构 绿盟科技网络入侵防护系统体系架构绿盟网络入侵防护系统的体系架构包括三个主要组件：控制台、网络探测器、升级站点，方便各种网络环境的灵活部署和管理。关键特性深度融合的集成平台绿盟网络入侵防护系统作为自主知识产权的新一代安全产品，深度融合的防火墙/IPS/IDS集成平台开创了世界先河，独一无二的设计使绿盟网络入侵防护系统为用户提供从链路层到应用层的深度安全防护，圆满解决了防火墙静态防御和IPS动态防御的融合难题，为用户提供全面的入侵保护解决方案。绿盟网络入侵防护系统集成强大的防火墙功能，采用基于状态检测的动态包过滤技术，实现静态防御；绿盟网络入侵防护系统以全面深入的协议分析技术为基础，协议识别、协议异常检测、关联分析为核心，实现动态防御。绿盟网络入侵防护系统专门设计了安全、可靠、高效的硬件运行平台。硬件平台采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力、吞吐量；操作系统经过优化和安全性处理，保证系统的安全性和抗毁性。基于对象的虚拟系统绿盟网络入侵防护系统提供基于对象的虚拟系统（VIPS），针对不同的网络环境和安全需求，基于安全区、IP地址（组、段）、规则（组、集）、时间、动作等对象，制定不同的规则和响应方式，就像一台设备上虚拟出很多虚拟系统，每个虚拟系统分别执行不同的规则集，实现面向不同对象、实现不同策略的智能化入侵防护。绿盟网络入侵防护系统覆盖广泛的攻击规则库带有超过2000条由NSFocus安全小组精心提炼、经过仔细检测与时间考验的攻击特征，并通过国际最著名的安全漏洞库CVE严格的兼容性标准评审，获得最高级别的CVE兼容性认证（CVE

Compatible）。绿盟科技每月平均提供2到3次升级更新，在紧急情况下可即时提供更新。而且绿盟科技具有领先的漏洞预警能力，是目前国内唯一一个向国外（美国）出口入侵检测规则库的公司。广泛精细的应用防护绿盟网络入侵防护系统提供“虚拟补丁”，主动防御已知和未知攻击，实时阻断各种黑客攻击，如缓冲区溢出、SQL注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒、木马后门、间谍软件等，而且针对僵尸网络提供主动防御，广泛精细的应用防护帮助用户避免安全损失。全面实用的内容管理绿盟网络入侵防护系统提供强大的“流量净化”能力，通过全面实用的内容管理，能够有效监视、控制P2P下载、即时通讯、在线视频、网络流媒体、网络游戏等滥用流量，提高企业工作效率。绿盟网络入侵防护系统具有强大的流量管理功能，采用全局维度（协议/端口）、局部维度（源/目的IP地址、网段）、时间维度（时间）、流量纬度（带宽）等流量控制四元组，基于对象的策略配置方便用户灵活控制网络流量。强大丰富的管理能力绿盟网络入侵防护系统支持安全区（Zone），支持路由、透明、混合三种工作模式，支持五种安全区模式：透明（Layer2）、路由（Layer3）、监听（Monitor）、直通（Direct）、管理（Mgt），能够快速部署在各种网络环境中。绿盟网络入侵防护系统还支持失效开放（Fail-open）机制和双机热备（HA），避免单点故障。绿盟网络入侵防护系统提供丰富的响应方式，包括主动响应（丢弃数据包、丢弃连接会话）、被动响应（与防火墙联动、TCPKiller、发送邮件、控制台显示、日志数据库记录、打印机输出、运行用户自定义命令、写入XML文件、snmptrap），用户可自定义，满足各种需要。从系统升级到报表系统，从攻击告警到日志备份，绿盟网络入侵防护系统均可由系统定时自动后台运行，达到“零管理”。还同时支持B/S和C/S管理方式。全中文界面、中文报表，符合中国人操作习惯，而中文规则库对每个漏洞都有详细描述，并提供了详细的解决方案及补丁下载地址。部署说明根据安全风险分析、安全目标和设计原则，我们在充分利用现有资源、尽量在少投入、少改动的基础上，建议使用以下集防护、检测和响应于一体的安全解决方案。具体部署方式如下：在医院内网的两台互联网出口下一代防火墙下部署两台千兆绿盟网络入侵防护系统，每台NIPS双上联两台出口下一代防火墙。通过双机热备的形式对进出内网的数据进行冗余保护，两台NIPS设备之间的心跳线检测主从设备状态，保证在单条链路出现异常后，策略仍时刻生效的同时数据业务不会中断。在医院内网和农保/医保/银行网络的互联出口下一代防火墙下，部署一台千兆绿盟NIPS。确保医院内网和其他业务单位内网的安全互联和入侵保护；同时可做出口链路的备选设备。每台千兆绿盟NIPS设备均具备BYPASS功能，确保设备出现异常后，不影响正常链路和业务流量。通过在医院网络部署一台绿盟安全中心服务器，用于日常管理和日志存储。由于绿盟NIPS同时支持C/S和B/S模式，所以可以灵活方便的管理部署在网络中的绿盟NIPS。绿盟网络入侵防护系统日常使用建议由于安全领域的发展性，没有静止的安全，任何的变化都可能引起安全问题的出现，比如网络结构的调整，新的应用的启用，新的安全漏洞和新的攻击手法的出现等等，所以任何时候，安全都是动态的。在这种情况下，有效的使用和维护安全产品和安全策略，才能使安全产品发挥其最大的效应，所以，我们建议如下：保障规则升级网络入侵防护系统控制台每周定时检查厂商规则升级模块离线下载或使用厂商提供的定期升级包控制台自动推送升级到网络引擎日志自动备份策略设置报警日志定期备份策略，防止出现日志溢出或意外丢失的情况定期分析与报告策略设置综合报告每周发送策略，分别发给其他安全管理员每月对报告进行综合分析，对疑难问题，寻求安全厂商的支持4.2.3功能与效益部署网络入侵防护系统会给医院网络带来以下安全功能的提高：实时发现和阻断来自Internet的蠕虫、病毒、间谍软件和黑客等攻击和入侵，防止黑客带来的安全损失，加强了对内部服务器的保护；实时发现和阻断内部蠕虫、网络病毒的大规模爆发；强制性规范工作人员的网络访问行为，控制和减少工作人员利用信息网络作与工作无关的行为；可以对内部网络流量和网络资源的监控，方便及时的发现网络异常，同时可以根据需求，进行带宽管理，帮助诊断网络异常状况，提高网络带宽的使用率；对黑客的攻击行为进行监控，保留异常行为日志，为事后采取补救措施作准备；智能、自动化的安全防御，降低整体的安全费用以及对于网络安全领域人才的需求。4.3绿盟安全审计系统4.3.1需求分析威胁与风险分析由于医院网络分内网与外网，网络的使用者既有来自互联网的用户，也有来自单位内部的工作人员，因此其网络面临来自安全威胁与风险如下：工作人员在论坛内网论坛发表敏感信息、传播非法言论，造成恶劣社会影响；单位重要业务数据库，被工作人员或系统维护人员篡改牟利、外泄，给单位造成巨大的经济损失；工作人员随意通过U盘，在外网络共享文件夹、文件上传下载、EMAIL等方式，发送重要敏感信息、业务数据，导致信息外泄事件发生；内部系统维护人员对业务应用系统的越权访问、违规操作，损害业务系统的运行安全；安全需求根据对医院网络系统的威胁与风险分析，医院的信息安全需求主要在以下方面：对论坛不良言论、色情暴力的管理，对网页页面内容、搜索引擎的关键字过滤、审计;针对不良网站进行告警、过滤；同时全面审计网站访问行为，实时告警、记录和网页还原，实现全面、准确、高效的网站访问监测对业务运维操作进行细粒度的监控数据库访问进行全面监控管理；对邮件、论坛等外发信息行为进行有效的监控；可对邮件、论坛等外发信息行为进行监控管理，防止单位敏感机密信息外泄、非法反动言论传播；对网络应用行为进行监测，如:P2P下载、在线视频等。因此在医院网络中部署安全审计系统，可有效监控业务系统访问行为和敏感信息传播，准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，满足合规性审计要求。解决方案安全审计系统（SecurityAuditSystem）是在一个特定的企事业单位的网络环境下，为了保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取，而运用各种技术手段实时监控网络环境中的网络行为、通信内容，以便集中收集、分析、报警、处理的一种技术手段。安全审计系统是旁路并联到网络中，一般是对路由器或交换机做端口镜像，将需要监控的端口流量镜像后进行分析，不会对网络的正常运行带来影响。安全审计产品选型选型依据安全审计系统具有对网络通信内容、网络行为的实时监测、报警、记录等功能。是否能够很好地帮助网络管理员完成对网络状态的把握和安全的评价是安全审计系统的基本标准。一个完善的安全审计系统（SAS）应该从四个方面评价：细粒度的操作内容审计与精准的网络行为实时监控；全面详细的审计信息，丰富可定制的报表系统；支持分级部署、集中管理，满足不同规模网络的使用和管理需求；自身的安全性高，不易遭受攻击；

选型建议经过对国内外流行产品的分析，我们建议使用绿盟科技的安全审计系统。绿盟科技主要优势有：绿盟安全审计系统提供业界领先的基于对象的策略管理系统，完全统一的规则配置方式强大而灵活，实现基于对象的虚拟审计系统（VAS）。绿盟安全审计系统针对单位不同的网络环境和安全需求，基于安全区、IP地址（组、段）、规则（组）、时间、动作等对象，制定不同的策略和响应方式，就像一台设备上虚拟出很多虚拟审计系统，每个虚拟审计系统分别执行不同的策略，实现面向不同业务应用、不同部门职能、不同策略的智能化安全审计。绿盟安全审计系统提供全面细粒度的敏感信息审计解决方案。系统支持基于内容、行为、时间、用户等多种条件组合的信息审计策略，对邮件收发（WEBMAIL、SMTP、POP3）、文件上传下载（HTTP、FTP）、网络文件共享（NETBIOS）、论坛（BBS）、即时通讯等进行全面信息审计，提供实时告警、信息还原功能，同时支持自定义内容关键字库，实现敏感信息的深度检测识别，对机密信息外泄、非法言论传播等行为的及时响应处理、事后追查取证提供有力支持。绿盟安全审计系统采用先进的数据处理架构，对64bytes数据包的处理能力达到千兆线速的处理能力；同时采用先进的IP碎片重组与智能TCP流汇聚技术，达到接近100%的检测准确率和几乎为零的漏报率，实现网络事件的“零遗漏”审计。绿盟安全审计系统采用业界领先的协议识别和智能关联技术，提供全面深入的协议分析、解码回放，能够分析近100种应用层协议，包括HTTP、TELNET、FTP、SMTP、WEBMAIL、NETBIOS、P2P、IM等，极大地提高内容分析的准确性，帮助管理员全面掌握网络安全状态。绿盟安全审计系统通过基于业务运维行为、上网行为和网络应用行为的审计，达到对业务运维操作（TELNET、FTP、数据库访问等）、上网行为、网络应用行为（即时通讯、在线视频、P2P下载等）的全过程监控，实现网络行为的全面多维度审计。绿盟安全审计系统具有基于协议识别的流量分析功能，如：可识别使用80端口的P2P协议，避免基于80端口的HTTP协议流量统计错误，更精确可靠；并支持对即时通讯、P2P、在线视频等动态协议的流量分析；提供详细的流量报表；可以通过编辑自定义统计指定协议流量的IPTOPN。绿盟安全审计系统具有业界领先的超过1000万条的庞大中英文URL数据库，多种分类，如不良言论、色情暴力等；可对访问非法网站的行为，实时告警、记录，提供全面、准确、高效的网站访问监测。从实时升级系统到报表系统，从审计告警到日志备份，绿盟安全审计系统完全支持“零管理”技术。所有管理员需要日常进行的操作均可由系统定时自动后台运行，并且绿盟安全审计系统报表系统提供了详细的综合分析报表、自定义三种类型10多个类别的报表模板，支持生成：日、周、月、季度、年度综合报表。报表支持MSWord、Html、JPG等格式导出。并定时通过电子邮件自动发送报表至系统管理员；同时绿盟安全审计系统支持对网络引擎的不同网口或不同网络引擎，分别生成对应报表；极大地降低了维护费用与管理员的工作强度。绿盟安全审计系统同时支持B/S和C/S两种管理方式，Web管理灵活方便，适合在任何IP可达地点远程管理。Web界面支持MSIE、Netscape、Firefox、Opera等浏览器，真正意义上实现了跨平台；并支持三种管理模式：单级管理、多级管理、主辅管理，能够快速部署在几乎所有的网络环境中，实现从单位网络核心至边缘及分支机构的全面检测，满足不同单位不同管理模式需要。绿盟安全审计系统支持多个硬件监听口，监听口即插即用，提供对多网段的同时监听能力。绿盟安全审计系统专门设计了安全、可靠、高效的硬件运行平台。硬件平台采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力；操作系统经过优化和安全性处理，保证系统的安全性和抗毁性，并且与安全中心间的通信采用强加密的SSL加密传输告警日志与控制命令，完全避免了可能存在的嗅探行为，保证了数据传输的安全；设备支持热插拔的冗余双电源，避免电源硬件故障时设备宕机，提高设备可用性。业界著名的NSFOCUS安全研究组采用先进的网页动态分类技术，经过高智能、准确检测验证，及时更新URL分类数据库和网络应用协议数据库，提供全天候的审计技术支持。绿盟科技2001年8月成为国家第一批网络安全服务试点单位，2002年获得第一批国家正式认证的安全服务一级资质，2004年又第一批通过安全服务二级资质认证，也是迄今国内最高级别的安全服务资质认证。绿盟科技公司作为专业的安全产品及服务提供厂商，拥有覆盖全国的技术支持体系，具备完备的本地响应机制，提供及时的厂商级现场应急服务，保证客户产品故障和安全事件的及时解决；绿盟绿盟安全审计系统的特点针对网络中内部人员的敏感信息泄露、违规网络行为等层出不穷的安全事件，绿盟科技提供了完善的安全审计方案。绿盟安全审计系统（ICEYESAS）是绿盟科技自主知识产权的安全产品，通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位，为整体网络安全策略的制定提供权威可靠的支持。绿盟安全审计系统具有三大功能：内容审计，业内独一无二的主动审计功能绿盟安全审计系统系统提供深入的内容审计功能，具有网络信息内容监控取证功能，可对网站访问、邮件收发、远程终端访问、数据库访问、数据传输、文件共享等提供完整的内容检测、信息还原功能；并可自定义关键字库，进行细粒度的审计追踪。业内独一无二的主动审记功能，可根据顾客实时的需求针对Internet内的各类网站，各类论坛进行关键字搜索，并可根据顾客设置进行过滤，或告警，或屏闭其中的不良信息，使信息工作能做到预防之前，达到防范于未然。绿盟安全审计系统具有超过1000万条的庞大中英文URL数据库，全面审计网站访问行为，实时告警、记录和网页还原，实现全面、准确、高效的网站访问监测。行为审计绿盟安全审计系统系统提供全面的网络行为审计功能，根据设定行为审计策略，对网站访问、邮件收发、数据库访问、远程终端访问、数据传输、文件共享、网络资源滥用（即时通讯、论坛、在线视频、P2P下载、网络游戏等）等网络应用行为进行监测，对符合行为策略的事件实时告警并记录。流量审计绿盟安全审计系统系统提供基于协议识别的流量分析功能，实时统计出当前网络中的各种报文流量，进行综合流量分析，为流量管理策略的制定提供可靠支持。体系架构绿盟安全审计系统的体系架构主要由安全中心/WEB控制台、网络引擎及升级站点三个部分组成，方便各种网络环境的灵活部署和管理。如下图所示：绿盟安全审计体系结构安全中心具有系统监控和日志管理功能，可以集中管理多台网络引擎；并可以实现安全中心的主辅管理；支持任意层次的级联部署，实现多级管理，满足不同管理模式的需要；同时可以统一管理绿盟安全审计系统、内容安全管理系统、入侵检测系统、入侵防护系统，提供针对网络正常行为和异常行为的全面行为检测手段，实现安全数据的整体挖掘、关联分析管理；WEB控制台具有系统配置管理、系统监控和日志管理功能，适合在任何IP可达地点远程管理。网络引擎采用协议识别、特征检测和智能关联分析技术，全面监测网络数据包，及时发现违反安全策略的事件并实时告警记录；升级站点提供产品补丁、URL分类数据库、网络应用协议数据库等及时升级更新支持。关键特性基于对象的虚拟审计系统绿盟安全审计系统提供业界领先的基于对象的策略管理系统，完全统一的规则配置方式强大而灵活，实现基于对象的虚拟审计系统（VAS）。绿盟安全审计系统针对单位不同的网络环境和安全需求，基于安全区、IP地址（组、段）、规则（组）、时间、动作等对象，制定不同的策略和响应方式，就像一台设备上虚拟出很多虚拟审计系统，每个虚拟审计系统分别执行不同的策略，实现面向不同业务应用、不同部门职能、不同策略的智能化安全审计。业内独一无二的主动审计功能根据顾客实时的需求针对lntemet内的各类网站，各类论坛进行关键字搜索，并可根据顾客设置进行过滤，或告警，或屏闭其中的不良信息，使信息工作能做到预防之前，达到防范于未然。绿盟安全审计系统具有超过1000万条的庞大中英文URL数据库，全面审计网站访问行为，实时告警、记录和网页还原，实现全面、准确、高效的网站访问监测全面精细的敏感信息审计绿盟安全审计系统提供全面细粒度的敏感信息审计解决方案。系统支持基于内容、行为、时间、用户等多种条件组合的信息审计策略，对邮件收发（WEBMAIL、SMTP、POP3）、文件上传下载（HTTP、FTP）、网络文件共享（NETBIOS）、论坛（BBS）、即时通讯等进行全面信息审计，提供实时告警、信息还原功能，同时支持自定义内容关键字库，实现敏感信息的深度检测识别，对机密信息外泄、非法言论传播等行为的及时响应处理、事后追查取证提供有力支持。网络事件“零遗漏”审计绿盟安全审计系统采用先进的数据处理架构，对64bytes数据包的处理能力达到千兆线速的处理能力；同时采用先进的IP碎片重组与智能TCP流汇聚技术，达到接近100%的检测准确率和几乎为零的漏报率，实现网络事件的“零遗漏”审计。高智能深度协议分析绿盟安全审计系统采用业界领先的协议识别和智能关联技术，提供全面深入的协议分析、解码回放，能够分析近100种应用层协议，包括HTTP、TELNET、FTP、SMTP、WEBMAIL、NETBIOS、P2P、IM等，极大地提高内容分析的准确性，帮助管理员全面掌握网络安全状态。多维度网络行为审计绿盟安全审计系统通过基于业务运维行为、上网行为和网络应用行为的审计，达到对业务运维操作（TELNET、FTP、数据库访问等）、上网行为、网络应用行为（即时通讯、在线视频、P2P下载等）的全过程监控，实现网络行为的全面多维度审计。基于协议的流量分析绿盟安全审计系统具有基于协议识别的流量分析功能，如：可识别使用80端口的P2P协议，避免基于80端口的HTTP协议流量统计错误，更精确可靠；并支持对即时通讯、P2P、在线视频等动态协议的流量分析；提供详细的流量报表；可以通过编辑自定义统计指定协议流量的IPTOPN。审计信息“零管理”从实时升级系统到报表系统，从审计告警到日志备份，绿盟安全审计系统完全支持“零管理”技术。所有管理员需要日常进行的操作均可由系统定时自动后台运行，并且绿盟安全审计系统报表系统提供了详细的综合分析报表、自定义三种类型10多个类别的报表模板，支持生成：日、周、月、季度、年度综合报表。报表支持MSWord、Html、JPG等格式导出。并定时通过电子邮件自动发送报表至系统管理员；同时绿盟安全审计系统支持对网络引擎的不同网口或不同网络引擎，分别生成对应报表；极大地降低了维护费用与管理员的工作强度。强大丰富的管理能力绿盟安全审计系统同时支持B/S和C/S两种管理方式，Web管理灵活方便，适合在任何IP可达地点远程管理。Web界面支持MSIE、Netscape、Firefox、Opera等浏览器，真正意义上实现了跨平台；绿盟安全审计系统支持三种管理模式：单级管理、多级管理、主辅管理，能够快速部署在几乎所有的网络环境中，实现从单位网络核心至边缘及分支机构的全面检测，满足不同单位不同管理模式需要。方便灵活的可扩展性绿盟安全审计系统支持多个硬件监听口，监听口即插即用，提供对多网段的同时监听能力。高可靠的自身安全性绿盟安全审计系统专门设计了安全、可靠、高效的硬件运行平台。硬件平台采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大大提升了处理能力；操作系统经过优化和安全性处理，保证系统的安全性和抗毁性，并且与安全中心间的通信采用强加密的SSL加密传输告警日志与控制命令，完全避免了可能存在的嗅探行为，保证了数据传输的安全；设备支持热插拔的冗余双电源，避免电源硬件故障时设备宕机，提高设备可用性。部署说明根据安全风险分析、安全目标和设计原则，我们在充分利用现有资源、尽量在少投入、少改动的基础上，建议使用以下的安全解决方案。我们建议在核心交换机上部署一台绿盟科技的绿盟安全审计系统，进行网络安全审计，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位，为整体网络安全策略的制定提供权威可靠的支持。具体部署方式说明如下：在核心交换机上部署1台绿盟安全审计系统，网络探测器的监控端口连接两台交换机的镜像端口，管理口接入到核心交换机上。网络探测器在旁路上实时分析镜像过来的数据包，根据医院网络的自身特点设置合理有效的安全审计策略，全面监测网络数据包，及时发现违反安全策略的事件并实时告警记录。远程安全评估系统（安全基线管理系列）需求分析威胁与风险分析漏洞危害严重：2009年6月9日，微软发布补丁修复31个位于Windows、Office和数据中心软件中的漏洞，这是微软公司当时单日发布补丁最多的一次。2009年10月14日凌晨，微软向全球用户发布10月安全更新，一次性提供了13个安全补丁，补丁数量之多，刷新了此前最高为12个的历史纪录。8个补丁的安全等级为最高的“严重”级别，5个为“重要”等级，并首次修复了Windows7操作系统的5个安全漏洞，其中一个为“重要”等级。2010年2月9日微软针对26个安全漏洞发布13个安全补丁，4年来微软公司在2月份发布安全补丁数量最多的一次。2012年6月8日微软会发布十个补丁修复34个漏洞，主要涉及WINDOWS、OFFICE、和IE。2013年8月11日凌晨，微软8月安全更新一举发布14个安全公告，用来修复Windows、IE浏览器以及Office等软件中的34个安全漏洞，使微软的月度补丁数量创下了历史最高值。微软产品漏洞不断发现，安全补丁数量不断创下历史新高，从一个侧面看漏洞问题愈演愈烈。从目前看，漏洞发现技术越来越自动和智能化，导致被发现的漏洞数量剧增；越来越多的漏洞研究组织使漏洞被利用的时间不断缩短；更多的安全漏洞集中在IE和MSOffice等应用软件上；Web应用安全漏洞的危害日益严重；利用漏洞的手法更为隐蔽，更具有“社会工程学”的特性；漏洞的发现、利用不仅仅局限于常见的网络设备、操作系统，而且更多的第三方软件的漏洞也是发现和利用的目标。不必要进程、端口的风险：第三方软件漏洞在漏洞利用中占有的比重越来越大，它已经成为了网络安全必须要面对的严重威胁。与微软每月发布更新的操作系统相比，人们更容易忽略电脑中数量庞大，种类繁多的第三方软件的问题。当黑客们绕过微软的补丁给系统筑就的“马其诺防线”，直接利用第三方应用软件的漏洞进行入侵的时候，用户往往猝不及防，关闭不必要的进程会极大的降低安全风险。作为计算机系统和外界的接口，开放的端口代表了某种服务，和支撑该服务的应用软件。一般来讲，开放的端口越多，系统面临的风险就越多。另外，一些病毒、蠕虫等恶意软件也会在后台偷偷开放端口，这时系统已经成为不设防的状态。系统配置错误，合规检查困难：安全配置漏洞并不是由协议或软件本身的问题造成的，而是由服务和软件的不正确部署和配置造成的。通常这些软件安装时都会有一个默认配置，如果管理员不更改这些配置，服务器仍然能够提供正常的服务，但是入侵者就能够利用这些配置对服务器造成威胁。例如，SQLServer的默认安装就具有用户名为sa、密码为空的管理员账号，这确实是一件十分危险的事情。另外，对FTP服务器的匿名账号也同样应该注意权限的管理。大多数系统管理员都认识到正确进行安全配置的重要性，一些组织与行业也制定了统一的安全配置标准。但是当前的现状是业务系统的网络结构越来越复杂，重要应用和服务器的数量及种类日益增多，一旦发生人员的误操作，或者忽略某个系统的某个配置细节，就可能会极大的影响系统的正常运转。虽然这些情况的出现看似偶尔，但随着时间的推移，系统规模的增加，难免会成为必然。通过采用统一的安全配置标准来规范技术人员在各类系统上的日常操作，让运维人员有了检查默认风险的标杆，但是面对网络中种类繁杂、数量众多的设备和软件，真正完成合规性的系统配置检查和修复，却成为一个费时费力的事情：安全配置检查及问题修复都需人工进行，对检查人员的技能和经验要求较高；做一次普及性的细致检查耗费时间较长，而如果改成抽查则检查的全面性就很差；自查和检查都需要登录系统进行，对象越多工作越繁琐，工作效率也不高；每项检查都要人工记录，稍有疏漏就需要重新补测；……安全需求理论支撑的需求安全风险检查方法和过程具有充足的评估依据，符合国家标准、行业标准、企业标准等不同层次的安全要求网络安全风险评定需要能够定性及定量的进行评估节省资源和时间的需求自动发现和多种方式获得资产信息，能够根据业务和组织结构统一划分资产归属自动识别资产类型，对不同的系统和应用制定对应的检查策略无需深厚的专业知识，采用标准化、流程化的检查方法丰富专业的分析报告，一目了然的掌握系统宏观风险，快速定位安全风险位置自动周期对网络主机进行补丁更新、配置检查和状态检查核心功能的需求能够高效全面的扫描系统中存在的漏洞和配置问题，及时跟踪系统运行状态，定性和定量评估网络安全风险状况量化安全状态，跟踪安全风险变化趋势，度量安全改进工作效果重点关注关键设备、关键应用，降低危害出现的机会运维过程能够针对重点系统或者应用服务，制定较高的安全标准控制成本的需求漏洞扫描、配置检查、WEB服务重点扫描，不同的工作在统一的安全检查系统中实现产品实现工具化，只要少量的人员，简单的培训既可正确操作。提供正确有效的改进参考，减少损失发生后亡羊补牢的成本。整体架构图专用平台专用平台是经过优化的专用安全系统平台，具有很高的安全性和稳定性。扫描核心模块扫描核心模块是系统最重要的模块之一，它负责完成目标的探测评估工作，包括判定主机存活状态、操作系统识别、规则解析匹配等。漏洞知识库漏洞知识库包含漏洞相关信息，是系统运行的基础，扫描调度模块和WEB管理模块都依赖它进行工作。扫描结果库扫描结果库包含了扫描任务的结果信息，是扫描结果报告生成的基础，也是查询和分析结果的数据来源。数据分析模块数据分析模块是综合分析、趋势分析和报表合并的统计信息的数据来源，是任务合并、分布式数据汇总之后的结果。风险管理模块管理员通过此模块可以对网络风险进行全方位管理、定位和分析，并进行漏洞审计，自动验证漏洞是否修复。另外，通过资产管理，能够方便用户掌握风险分布情况、定位风险和高效实施风险降低或规避措施。WEB界面模块WEB界面模块负责和用户进行交互，配合用户的请求完成管理工作。WEB管理模块包含多个子模块共同完成用户的请求，其主要子模块有：任务管理子模块——完成用户评估任务的管理工作。报表子模块——读取扫描结果库，并根据漏洞描述信息和解决方案生成扫描报表。策略参数模块——完成评估任务需要扫描的具体漏洞模板的添加、具体漏洞的选取、模板修改和删除；口令字典管理；报表输出模板管理；智能端口挖掘。漏洞管理模块——漏洞管理模块主要实现了OpenVM漏洞管理工作流程支持，提供与其他安全产品、网络管理平台和安全管理平台的接口。用户管理子模块审计管理子模块系统配置子模块系统升级模块极光有网络自动升级和用户手动升级的策略，系统的各个模块都可以通过升级模块进行升级。辅助模块分布式模块极光支持分布式部署功能。在下级设备完成扫描得到结果数据后，会向上级管理系统上传数据，数据传输过程中使用SSL加密传输通道，保证了数据的保密性。汇总的数据可以进行集中统一的分析。WSUS服务器联动功能极光支持与WSUS服务器的联动功能，管理员可以通过部署WSUS服务器，在评估任务完成后，自动修复发现的风险漏洞。扩展模块WEB扫描模块极光推出了WEB应用安全漏洞检测模块，通过对被检测站点进行深度内容分析，找出可被浏览的ASP、JSP、PHP、CGI等页面，同时可以分析被检测站点页面源代码，以检测网站是否存在跨站脚本和SQL注入等漏洞。二次开发接口模块通过此接口极光可以与其他安全产品和管理平台进行联动，以便于统一的平台管理。绿盟远程安全评估系统特点基于多年安全服务的执着实践，结合用户对脆弱性检查的实际应用需要，绿盟科技经过研究论证，提出了全面脆弱性检查的安全基线检查模型，同时自主研发了绿盟远程安全评估系统——安全基线管理系列（NSFOCUSRSASSeries，以下简称安全基线管理产品或RSAS），该产品使用安全基线检查模型，为运维工作提供了实用高效的安全检查自动化工具。安全基线管理产品基于绿盟科技完备的基线知识库，采用高效、智能的弱点识别技术，对影响系统安全的脆弱性因素进行全面检查和分析，为系统安全建设提供可信的度量依据，能够整体提高网络安全管理水平。安全基线管理产品为网络系统建立适用于本地业务的安全检查基线，自动化执行脆弱性检查，参照安全基线自动对比分析检查数据，让管理员及时全面掌握网络安全状态，轻松准确的完成安全运维任务，极大的提供工作效率。安全基线管理产品基于安全基线的检查方式，为网络脆弱性分析提供了切合实际的一致性度量标准，通过多维度分析对比，让管理者直观了解网络脆弱性所在，为系统安全建设提供数据支撑。结合绿盟科技提出的安全基线模型，RSAS能够对网络系统的漏洞、安全配置、端口、进程/服务、重要文件进行全面周期性的脆弱性评估与度量，给出有据可依的分析报告和趋势报告，以方便繁杂的安全运维作业工作。依托专业的NSFOCUS安全服务团队，提供完善的安全配置知识库，通过该知识库可以全面的指导IT信息系统的安全配置及加固工作；依托专业的NSFOCUS安全小组，综合运用信息重整化（NSIP）等多种领先技术，自动、高效、及时准确地发现网络资产存在的安全漏洞；专业的Web应用扫描模块，可以自动化进行Web应用、Web

服务及支撑系统等多层次全方位的安全漏洞扫描，简化安全管理员发现和修复

Web

应用安全隐患的过程；基于实践的安全基线管理及展示绿盟安全基线管理产品中提出的安全基线模型，覆盖了系统脆弱性的多个方面，包括漏洞，安全配置，开放的端口，系统中运行的进程和服务，重要文件的变化状态等，而且该模型是一个开放式的模型，能够紧跟安全威胁的发展趋势，把绿盟科技的最新研究成果添加到产品中来。根据安全基线模型建立安全基线的过程是一个对业务系统中资产安全状况的分析、评估、再分析、再评估的过程，建立基线过程本身就是一个对系统脆弱性全面了解的过程。首先建立基线是分析网络脆弱性的基础，可以是管理人员对整个网络系统的安全状态有个感性认识，需要知道网络中是否存在风险，影响范围多大，风险影响严重性程度有多大；然后进一步需要了解网络系统中存在风险的类别有哪些，这些风险的分布情况是什么样，这些风险在什么时间出现的；再进行进一步的分析，比较不同区域的差异，比较风险变化的趋势，了解风险出现和地域、时间因素的关系；最后，根据分析结果有针对性的加强相关网络安全建设。对网络安全状况的改进过程是一个循环上升的过程，随着时间的推移，这个过程也要持续的进行。NSFOCUSRSAS提供图形化的资产管理方式，紧密结合业务系统资产，通过可量化的安全基线，帮助用户对当前网络的安全状态有一个整体、直观的认识，实时掌握网络安全状态变化，为安全建设和事故应急提供有数据支撑的决策支持。NSFOCUSRSAS能够对组织、部门、主机等不同层次进行基线安全安全检查，能够完全配合不同业务系统对不同安全配置检查侧重点的要求。并且系统提供由绿盟科技安全服务团队多年实践建立起来的基线模板库，方便用户在此基础上定义符合切实需求的安全基线。绿盟科技众多专家组成的专业安全服务团队，和国际上享有盛名的NSFOCUS安全小组，为安全基线模型提供了理论和实践上的双重保障，为安全基线模型概念的发展提供了持续的动力。基于用户行为模式的管理架构作为用户体验性很强的产品，NSFOCUSRSAS始终秉承“以人为本”的理念，在产品设计过程充分考虑了实际用户需求和使用习惯，从用户角度完善了很多管理功能。“一键式”智能任务模式、快速结果报表、智能摘要技术等，最大限度的满足了易用性和高效性的需求。NSFOCUSRSAS采用B/S管理架构，能够以SSL加密通讯方式通过浏览器来远程进行管理。RSAS的专用硬件能够长期稳定地运行，很好地保证了任务的周期性自动处理。能够自动处理的任务包括：评估任务下发、扫描结果自动分析、处理和发送、系统检测插件的自动升级等。同时，RSAS支持多用户管理模式，能够对用户的权限做出严格的限制，通过权限的划分可以实现一台设备多人的虚拟多机管理，并且提供了登录、操作和异常等日志审计功能，方便用户对系统的审计和控制。权威、完备的基线知识库绿盟科技NSFOCUS安全小组的安全研究能力在国内首屈一指，在国际上也有相当的影响力。在这个部门中，有多位专职的研究员进行漏洞跟踪和漏洞前瞻性研究，到目前为止已经独立发现了40余个关于常见操作系统、数据库和网络设备的漏洞，并且为国际上的知名网络安全厂商提供相关漏洞的规则支持。绿盟科技同时拥有一支业内领先的安全服务团队。经过多年专业安全服务的执着实践，形成了国内最完善的专业安全服务体系和专业安全服务方法论，制定了完善详细的安全配置检查点。在这个部门中，拥有多位PMP、CISA、BS7799LA、ISO27001LA、CISSP、CISP、CCIE、CIW、COBIT、ITIL等国际/国内认证专家，他们不断在安全服务实践中进行Checklist知识库的完善，并将这些知识库更新到产品中。依靠专业的NSFOCUS安全小组多年的研究，绿盟科技中文漏洞知识库已包含13500多条安全漏洞信息，每条漏洞都有详尽的描述和修补建议，其完备性和权威性在国内厂商内首屈一指。NSFOCUSRSAS产品的漏洞信息（3000余条）精选于该漏洞知识库，涵盖了常见操作系统、数据库、网络设备和应用程序的绝大多数可以远程利用的漏洞以及本地安全漏洞，已获得国际权威的CVE兼容性认证。NSFOCUS安全小组负责NSFOCUSRSAS的漏洞知识库和检测规则的维护，除定期的每两周的升级外，重大漏洞的升级在全球首次发现后两天内完成。高效、智能的弱点识别技术对系统弱点的识别包括漏洞识别、配置检查识别和系统状态识别，评价漏洞识别的指标在于效率和精确度，配置检查识别和系统状态识别的评价指标除效率和精确度外，还需要能够适应多种复杂的应用环境。NSIP(NSFOCUSIntelligentProfile)是绿盟科技智能Profile漏洞识别技术的简称，该技术在国内甚至在国际上都是非常领先的漏洞识别技术，它在提高NSFOCUSRSAS的评估速度和准确率方面都起到了很大的促进作用。NSIP漏洞识别技术就是采用多种技术通过不同途径收集目标系统的多种信息，这些信息就是目标系统的Profile，在进行漏洞评估过程中，Profile不断地对中间的结果数据进行调整，保障了最后评估结果的准确性。NSIP技术同时也在提高配置检查识别的评估速度和准确率方面都起到了很大的促进作用。NSIP技术就是采用多种技术通过不同途径收集目标系统的多种信息，这些信息就是目标系统的Profile，评估过程中，Profile不断地对中间的结果数据进行调整，保障了最后评估结果的准确性。NSFOCUSRSAS产品具备业界强劲的底层扫描引擎——NSSE（NSFOCUSScanningEngine）。通过NSIP技术、开放端口服务的智能识别、检测规则依赖关系的自动扫描等技术的运用，再加上由NSFOCUS安全小组研究员精心编写的准确的漏洞检测规则，NSFOCUSRSAS在检测速度和检测准确性之间找到了最佳的平衡点。NSFOCUSRSAS加载全部检测规则，对同样的目标系统进行检测时，扫描速度为常见同类产品3－5倍，同时仍能保证误报率低于1%。产品在配置检查时采用机器语言，运用远程检测与本地检测相结合的方式，在多种复杂应用环境下均可实现自动化的大规模性安全配置检查，从而为您节省手动单点安全配置检查的时间，并避免传统人工检查方式所带来的失误风险。集成专业的Web应用扫描模块NSFOCUSRSASWeb应用扫描模块，是绿盟科技研究团队多年深入研究当前各种流行的Web攻击手段的技术结晶，是专门面向Web应用安全管理员进行专业安全评估及检测的自动化工具。通过传统系统扫描功能与Web应用扫描功能相结合，为网络系统中重点关注安全风险的WEB节点提供针对性的风险评估，采用一机多用的方式，节省用户投资。相关特性简述如下：专业：模拟点击智能爬虫技术（NSFOCUSIntelligentCrawling，简称NSIC）、主动挂马检测技术等多种先进技术手段，为Web应用安全管理员提供专业的应用安全检测工具；全面：提供Web应用、Web

服务及支撑系统等多层次全方位的各种类型安全漏洞扫描、审计、渗透测试和辅助逻辑分析，全面发现各类安全隐患，提出针对性的修复建议；高效：通过嵌入式安全操作系统、优化的扫描引擎以及高效智能爬虫技术，能够快速的对目标Web应用系统进行细粒度分析。图SEQ图\*ARABIC4NSFOCUSRSASWeb扫描模块展示图多维、细粒度的统计分析NSFOCUSRSAS产品不仅提供了常见的离线报表，还提供了强大的在线报表系统。同时，NSFOCUSRSAS