业务管理及安全管理知识建设方案.doc

1 29 医院业务网网医院业务网网 安全建设方案安全建设方案 陕西虹桥科技发展有限公司 2014 02 15 2 29 目目 录录 1概述概述 4 2安全建设路线安全建设路线 6 2 1设计原则 6 2 1 1等级保护建设原则 6 2 1 2体系化的设计原则 6 2 1 3产品的先进性原则 6 2 1 4按步骤有序建设原则 6 2 1 5安全服务细致化原则 6 3安全需求分析安全需求分析 7 3 1安全技术层面需求分析 7 3 1 1外网平台安全需求 7 3 1 2计算环境安全需求 7 3 1 3应用系统安全需求 9 3 1 4管理系统安全需求 10 3 2安全管理层面需求分析 10 3 3安全服务层面需求分析 10 4安全方案设计安全方案设计 11 4 1安全体系技术层面设计 11 4 1 1网络边界安全设计 11 4 1 1 1外部边界 11 4 1 1 2内部边界 13 4 1 2计算环境安全设计 15 4 1 2 1终端安全管理 15 4 1 2 2网络防病毒 16 3 29 4 1 2 3主机审计 17 4 1 2 4数据库审计 17 4 1 2 5入侵检测系统 18 4 1 2 6主机加固 18 4 1 3应用系统安全设计 19 4 1 3 1安全评估工具 19 4 1 3 2Web 页面防护 20 4 1 3 3应用安全监控 21 4 2安全体系管理层面设计 21 5整体安全设计配置方案整体安全设计配置方案 23 5 1整体部署结构 23 4 29 1概述 网络技术的迅猛发展和广泛应用 一方面提高了数据存储 传输和分析的 能力 另一方面也增加了各单位对信息安全方面的需求 数据是网络的基础核 心和重要资源 同时也是各单位的宝贵财富 日益严重的网络信息安全问题 不仅使医院 机构及用户蒙受巨大经济损失 而且使国家的安全与主权面临严 重威胁 医疗卫生保健是人生在世不可或缺的需求 因此 医疗保健在世界各 国 普遍被列入关乎国计民生和社会发展的关键基础设施 CI 信息化的发展 为医疗卫生保健的服务质量带来了崭新的前景 因此 医疗保健信息系统在世 界各国 普遍被列入关键信息基础设施 CII 信息系统存在的安全问题是影 响医疗保健信息系统发挥其效率和效益 完成其使命的严重隐患 因此 世界 各国普遍把医疗保健信息系统的安全保护列为关键信息基础设施保护 CIIP 我国在加强信息安全保障工作的相关政策中 提出了信息系统安全等级保护的 制度性安排 医院等级安全保护体系建设主要从物理层 网络层 应用层 主机层 数 据层及管理层等方面进行构建 医院网络一般由办公外网 办公内网 医保网 组成 三个网络之间完全物理隔离 因此 需要结合信息安全等级保护要求做 好风险评估 界定医院信息安全网络的使用人群 涵盖的应用系统 并保障他 们除业务信息管理外的正常办公所需 在此基础上购置相关资源 新建该安全 防护体系 升级主要应用系统 升级相关网络安全软硬件 使其在物理环境 网络 系统 应用 数据 终端和系统集成六方面均达到对应等级要求 目前医院内部网络已经形成 网络上所涉及的业务活动包括 HIS 系统 LIS 系统 PACS 系统 药库系统 财务系统 院内网站系统 病案系统 日常办公 OA 系统等网络应用 同相关单位连接的业务包括新农合 医保 健康档案等系 统 以及使医院本部计算机网络能过 Internet 与外界安全的互联 这些应用系 统本身也不是互相独立 它们在网络上运行时需要信息交换和共享 同时这些 应用系统又要求一定的独立性 医院日常工作对网络和计算机系统的依赖越来 越强 保证网络和计算机应用系统高效和安全的运行势在必行 如果不很好的 5 29 解决这个问题 必将阻碍信息化发展的进程 在卫生部关于印发 卫生行业信息安全等级保护工作的指导意见 的通知 卫办发 2011 85 号 以下简称 85 号文件 相关内容中明确指出三级甲等医 院的核心业务信息系统应当按照 信息安全技术信息系统安全等级保护定级指 南 开展定级工作 根据以往相关同行业经验 三甲医院的的核心业务信息系 统原则上不会低于三级 那么对此系统的安全防护建设工作就必须按照等级保 护三级要求来进行 本建设方案旨在提供医院在信息安全保障体系建设方面的思路 通过阅读 本方案可以清晰的知道本期建设的内容 同时根据业务保护的重要程度进行分 期建设方案设计 6 29 2安全建设路线 2 1 设计原则设计原则 2 1 1等级保护建设原则等级保护建设原则 医院的核心业务系统属国家重要信息系统 其安全建设不能忽视国家相关 政策要求 在安全保障体系建设上最终所要达到的保护效果应符合 信息系统 安全等级保护基本要求 2 1 2体系化的设计原则体系化的设计原则 系统设计应充分考虑到各个层面的安全风险 构建完整的安全防护体系 充分保证系统的安全性 同时 应确保方案中使用的信息安全产品和技术方案 在设计和实现的全过程中有具体的措施来充分保证其安全性 2 1 3产品的先进性原则产品的先进性原则 本次建设对所需的各类安全产品提出了很高的要求 必须认真考虑各安全 产品的技术水平 合理性 先进性 安全性和稳定性等特点 共同打好工程的 技术基础 2 1 4按步骤有序建设原则按步骤有序建设原则 信息安全保障体系的建设是一项长期的工程 并非一蹴而就解决所有安全 问题 因此 在实际建设过程中要根据实际情况分轻重缓急 分期 分批的进 行部署 2 1 5安全服务细致化原则安全服务细致化原则 要使得安全保障体系发挥最大的功效 除安全产品的部署外还提供安全服 务 全面而细致的安全服务会提升日常运维及应急处理风险的能力 安全服务 就需要把安全服务商的专业技术经验与行业经验相结合 结合医院业务网的实 际信息系统量身定做才可以保障其信息系统安全稳定的运行 7 29 3安全需求分析 医院业务网安全保护体系建设应该有以下几方面分别展开建设 3 1 安全技术层面需求分析安全技术层面需求分析 3 1 1外网平台安全外网平台安全需求需求 外部边界防护外部边界防护 主要指业务网所有外部网络边界 包括 专网边界 专网边界 该边界位于院内业务网与其他单位互联的专网之间 专网边 界两侧都是内部用户 网络环境 应用环境 用户身份及规章制度都很接近 所面临的网络安全风险及相应的需求也基本类似 主要需要考虑防止内部的 非法访问以及病毒 蠕虫等恶性安全事件的快速蔓延 互联网边界 互联网边界 互联网接入主要用于提供对外基于互联网的 WEB 业务 内部人员的互联网访问 因此在同一个边界具备两种属性 外网边界直接面 临社会各界用户 使用环境复杂面临的安全风险极大 各类复合网络攻击手 段以及针对网站的流量攻击均是常见的安全威胁 应予以严格的安全防护手 段在此边界进行设防 维护整个内部网络不被外部侵入 内部安全域边界内部安全域边界 在内部网络中 可以划分处多个网络安全域 包括多个服务器区 业务区 等等 这些安全域之间存在着内部边界 为能更加有针对性的对各安全域进行 8 29 防护 在不同的边界应采取不同的边界防护措施 数据传输安全数据传输安全 对于外部单位用户的接入存在两种方式 专线方式 互联网方式 通过互 联网进行接入传输的数据属于电子政务内部的信息 这些敏感的数据信息在互 联网上十分容易被非法窃取 篡改或删除 因此必须采用技术手段保证数据的 机密性 完整性以及可用性 3 1 2计算环境安全计算环境安全需求需求 保护计算环境关注的是采用信息保障技术确保用户信息在进入 离开或驻 留客户机与服务器时具有可用性 完整性和秘密性 主要是指主机硬件 OS 应用软件等的安全需求 包括 终端行为的管理 终端设备部署较为分散 难于统一管理 操作人员的计算机水平也参差不 齐 因此终端设备的安全管理成为网络管理人员最为棘手的安全问题 终端泄 密 非授权访问 内部攻击等都都对数据中心安全造成威胁 各类终端和服务 器系统的补丁管理同样是一个重要问题 不及时的给系统打漏洞补丁会造成蠕 虫以及不怀好意者的入侵 终端防病毒 病毒是对计算环境造成危害最大的隐患 当前病毒威胁非常严峻 特别是 蠕虫病毒的爆发 会立刻向其他子网迅速蔓延 这样会大量占据正常业务十分 有限的带宽 造成网络性能严重下降甚至网络通信中断 严重影响正常业务开 展 因此必须采取有效手段进行查杀 阻止病毒的蔓延危害整个数据中心 主机审计 对于服务器和重要主机需要进行严格的行为控制 对用户的行为 使用的 命令等进行必要的记录审计 同时生成审计报表 便于日后的分析 调查 取 证 数据库审计 对于关键的数据库系统需要进行审计 异常的数据库操作将会造成数据的 9 29 不完整和数据丢失 必须对管理员特别是数据库管理员的操作行为进行审计 一方面完整记录数据库的操作行为 另一方面对高危操作进行及时阻止干预 最大限度的保护审计署核心信息资产的安全 网络入侵行为检测 攻击行为不仅来自于大家公认的互联网等外部网络 在内部也要防止攻击 行为 通过部署安全措施 要实现主动阻断针对信息系统的各种攻击 如病毒 木马 间谍软件 可疑代码 端口扫描 DoS DDoS 等 能防御针对操作系统漏 洞的攻击 能够实现应用层的安全防护 保护核心信息资产的免受攻击危害 安全加固 无论是审计 入侵检测或是防病毒 某种意义上来说都是被动防御 大都 不具备主动防御的能力 如在危险来临之前就能主动加固系统 增强系统本身 的抵御能力 则在实际运行中发挥十分重要的作用 3 1 3应用系统安全应用系统安全需求需求 对于存在于医院局域网平台上的众多应用系统 同样存在着多种类型安全 需求 包括 1 数据库审计 由于用户的计算机相关的知识水平参差不齐 一旦某些安全意识薄弱的管 理用户误操作 将给信息系统带来致命的破坏 有必要进行基于数据库的审计 从而威慑那些心存侥幸 有恶意企图的少部分用户 以利于规范正常的网络应 用行为 2 系统风险评估管理 对于外网平台上大量的服务器系统 因此 对服务器各项服务的安全配置 就显得尤为重要 如果有一点疏忽也会直接造成审计署信息系统被攻击 我们 建议定期 不定期的全面掌握网络设备 安全设备 主机 应用系统 数据库系 10 29 统的风险情况 并以此在安全事件发生前进行加固 全面提高抗风险能力 3 WEB 页面防护 Web 应用的普及使得在电子政务外网平台上中存在的 Web 服务器很容易成 为黑客的攻击目标 被篡改的网页将给业务系统带来很大的安全隐患 造成信 息丢失 泄露等安全事件 需要专业的主页防篡改工具有效阻止主页篡改事件 的发生 维护 Web 页面的安全 4 应用安全管理 从用户角度看 其业务系统的正常运转是最关心的核心问题 而业务系统 能否实施良好的监控管理则是关键因素之一 因此需要技术手段对应用系统的 状况进行全面监控 能够全盘呈现业务环境 实施主动监控 进行运行趋势分 析 及时发现存在的问题 3 1 4管理管理系统安全需求系统安全需求 完整的安全技术体系的搭建需要众多的安全设备和安全系统 型号和品牌 不一 物理部署位置分散 技术人员能力水平差异大 有限的管理人员难以对 安全设备进行集中管理 及时快捷的部署安全策略 全面掌握设备运行和网络 运行的风险状况 如何用好安全设备和安全系统支撑业务安全稳定运行成了一 个棘手的问题 所以 需要建立安全管理中心 进行运行监控和安全风险管理 3 2 安全管理层面需求分析安全管理层面需求分析 三分技术 七分管理 更加突出的是管理层面在安全体系中的重要性 除了技术管理措施外 安全管理是保障安全技术手段发挥具体作用的最有效手 段 建立健全安全管理体系不但是国家等级保护中的要求 也是作为一个安全 体系来讲 不可或缺的重要组成部分 安全管理体系依赖于国家相关标准 行业规范 国际安全标准等规范和标 准来指导 形成可操作的体系 11 29 3 3 安全服务层面需求分析安全服务层面需求分析 安全技术手段是从系统与网络层面解决问题的方式之一 可以发挥具体的 安全防护作用 但是如果把这些安全技术手段有效的利用起来 成为安全体系 建设的重中之重 安全体系中除了技术体系 管理体系之外 还需要专业的技术人员配合技 术与管理手段达到更高的具体防护效果 专业的技术人员是安全体系中更关键 更重要的因素 除了利用好安全技术产品外 还需要利用其专业的技术经验与 行业经验 通过专业的安全服务来具体解决问题 4安全方案设计 方案通过对网络边界安全 计算环境安全 应用系统安全以及安全的管理 制度的分析 采用相应的安全产品和服务来建立安全体系可以确保医院局域网 的整体安全 信息安全体系的建立是一个持续的过程 在方案设计中针对常见 的风险和安全需求提出了详细的解决办法 但并不需要一次建设完成 可根据 目前的实际情况分期建设 在后边的整体安全设计配置方案中也仅仅部署了目 前最迫切需要的安全产品和服务 4 1 安全体系技术层面设计安全体系技术层面设计 4 1 1网络边界安全设计网络边界安全设计 4 1 1 1外部边界外部边界 4 1 1 1 1防火墙防火墙 防火墙技术是目前网络边界保护最有效也是最常见的技术 采用防火墙技 术 对医院局域网重要节点和网段进行边界保护 可以对所有流经防火墙的数 据包按照严格的安全规则进行过滤 将所有不安全的或不符合安全规则的数据 包屏蔽 杜绝越权访问 防止各类非法攻击行为 12 29 对于外部安全边界来说 需要互联网边界上部署防火墙 在互联网服务器区安全域的安全边界部署防火墙 将对外提供服务的服务 器部署在防火墙的 DMZ 区 通过制定访问控制策略 来对对外的业务服务器 进行专门的保护 可以对来自互联网的用户访问请求进行访问控制 同时 可 以通过防火墙上集成的入侵检测功能 对来自互联网的入侵行为 进行检测并 阻断 由于互联网服务器区安全边界面临的安全风险较多 需要通过严格执行 安全策略发挥防火墙最佳功效 1 集中放置面向 Internet 服务的主机 在一个集中 受控的环境下监控网 络流量 2 关闭不必要的服务 3 严格限制进 出网络的 ICMP 流量和 UDP 流量 4 允许网络管理流量进局域网系统 5 严格制定防火墙策略 限制所有无关访问 由于面对的是外部复杂的网络环境 因此这些边界防火墙需要具备更多的 深度过滤功能 能够阻止常见的蠕虫扩散 能够对 P2P 带宽进行流量管理等 同时能够精细的进行设备管理 减轻管理员管理负担 4 1 1 1 2IPS 入侵防护系统入侵防护系统 在互联网边界部署了防火墙 对每个安全域进行严格的访问控制 但是 防火墙通常不具备内容检测的能力 不具备检测新型的混合攻击和防护的能力 而此边界是最容易成为入侵目标的部分 为了确保局域网内部各服务器区的安 全访问 必须建立一整套的安全防护体系 进行多层次 多手段的检测和防护 入侵防护系统 IPS 就是安全防护体系中重要的一环 它能够及时识别网络 中发生的入侵行为并实时报警并且进行有效拦截防护 IPS 是继 防火墙 信息加密 等传统安全保护方法之后的新一代安全 保障技术 它监视计算机系统或网络中发生的事件 并对它们进行分析 以寻 找危及信息的机密性 完整性 可用性或试图绕过安全机制的入侵行为并进行 13 29 有效拦截 IPS 就是自动执行这种监视和分析过程 并且执行阻断的硬件产品 将 IPS 串接在防火墙后面 在防火墙进行访问控制 保证了访问的合法性 之后 IPS 动态的进行入侵行为的保护 对访问状态进行检测 对通信协议和 应用协议进行检测 对内容进行深度的检测 阻断来自内部的数据攻击以及垃 圾数据流的泛滥 由于 IPS 对访问进行深度的检测 因此 IPS 产品需要通过 先进的硬件架构 软件架构和处理引擎对处理能力进行充分保证 4 1 1 1 3VPN 虚拟专网虚拟专网 目前新农合和健康档案等应用是采用 VPN 虚拟专网技术 各医院用户分别 通过专线或互联网的方式同外联单位互联对相关业务数据进行访问 同时 VPN 访问可以做为专线访问方式的冗余链路 在 VPN 接入安全域 医院局域网端 部署了 VPN 网关 负责与外部单位进行 VPN 互联 在医院局域网的互联边界或专网边界 部署了防火墙进行访问控制 同时 可以旁路部署 VPN 网关 保证合法的用户可以通过防火墙 与 VPN 网关建立 VPN 隧道 与厅局 及其他外联单位进行互联 保护所承载的外网网络内部的 敏感数据 VPN 在技术上采用标准的 IPSEC 协议 采用隧道技术以及加密 身 份认证等方法 在公众网络上构建专用网络的技术 数据通过安全的 加密管 道 在公众网络中传播 数据中心内部业务访问中涉及的敏感信息可以在受保 护的隧道内加密传输 IPSec 提供的安全服务包括 保密性 IPSec 在传输数据包之前将其加密 以保证数据的保密性 完整性 IPSec 在目的地要验证数据包 以保证该数据包任传输过程中没 有被修改或替换 真实性 IPSec 端要验证所有受 IPSec 保护的数据包 防重放 IPSec 防止了数据包被捕捉并重新投放到网上 即目的地会拒绝 14 29 老的或重复的数据包 它通过报文的序列号实现 4 1 1 2内部边界内部边界 4 1 1 2 1安全隔离网闸安全隔离网闸 根据医院业务网的业务需求 某些应用需要外联单位进行访问 对这些访 问行为 需要对数据交换 传输协议 传输内容 安全决策等进行严格的检查 以防止有外联单位用户引入风险 业务网划分了专门的外联服务器区安全域 将对外提供服务的 Web 服务器等部署在此区域 负责接收和相应来自外联用户 的业务访问请求 防火墙进行严格的访问控制的设定 确保访问身份的合法性 但是 防火墙无法高度保证传输内容 协议 数据的安全性 同时 需要 对外联应用服务器对局域网内网数据库的访问进行严格的管理控制 可以通过在外联业务服务器区与内网的安全边界上部署安全隔离网闸 对 外联业务服务器区进行隔离 用户可以通过外联网访问到外联业务服务器区中 的指定业务服务器中 外联网服务器区的业务服务器负责接收用户的业务访问 请求 并通过安全隔离网闸访问内网单个部门服务器安全域的相应数据库完成 业务处理 并将业务处理结果 按照用户部门的不同 存储在单个部门服务器 安全域中 访问用户所在的部门的数据库中 完成用户通过外联网对相关业务 服务器的访问 同时内网用户通过网闸可以在外联业务服务器区的相应服务器 上提交数据供本医院同外联单位进行数据的交换和同步 通过这种方式 可以为访问提供更高的安全性保障 安全隔离网闸两侧网 络之间所有的 TCP IP 连接在其主机系统上都要进行完全的应用协议还原 还原 后的应用层信息根据用户的策略进行强制检查后 以格式化数据块的方式通过 隔离交换矩阵进行单向交换 在另外一端的主机系统上通过自身建立的安全会 话进行最终的数据通信 即实现 协议落地 内容检测 这样 既从物理上隔 离 阻断了具有潜在攻击可能的一切连接 又进行了强制内容检测 从而实现 最高级别的安全 15 29 4 1 1 2 2AV 防病毒网关防病毒网关 现今 病毒的发展呈现出以下趋势病毒与黑客程序相结合 蠕虫病毒更加 泛滥 病毒破坏性更大 制作病毒的方法更简单 病毒传播速度更快 传播渠 道更多 病毒感染对象越来越广 一旦办公终端区的主机感染病毒 病毒可能 主动的对整个内部网络中所有主机进行探测 一旦发现漏洞主机 将自动传播 整个探测过程会极大的消耗网络的带宽资源 并且可能造成病毒由办公终端安 全域传播到其他重要的业务服务安全域和管理安全域中 引发攻击和破坏行为 斩断传播途径是防止传染病爆发最为有效的手段之一 而这种防治手段不 仅在传染病防治方面十分有效 在防止计算机病毒扩散方面起到了同样的效果 因此 在核心数据服务器区边界部署防病毒网关 在访问量最多并且最重 要边界处进行集中防护 可以有效防止病毒从其他区域传播到核心数据服务器 区全 部署的防病毒网关应特别注意设备性能 产品必须具备良好的体系架构 保证性能 能够灵活的进行网络部署 同时为使得达到最佳防毒效果 AV 防病 毒网关设备和桌面防病毒软件应为不同的厂家产品 4 1 2计算环境安全设计计算环境安全设计 4 1 2 1终端安全管理终端安全管理 在进行业务访问和数据处理的过程中 内部泄密和内部攻击已经成为威胁 网络安全应用的最大隐患 在内部办公终端主机上统一部署内网安全管理系统 通过对终端和访问行为进行限制和保护 达到安全业务访问的目的 同时 需 要在内网安全管理服务器区中部署内网安全管理系统的管理主机服务器 控制 台 数据库 对内网终端主机和必要的其他终端主机进行统一的管理 通过部署内网安全管理系统 可实现终端安全加固 网络接入控制 非法 外联控制 资产管理 I O 接口管理 终端配置维护 终端审计监控等功能 16 29 终端安全加固终端安全加固 实现补丁管理 对内网终端计算机补丁状态进行定期检测并自动安装与更 新 实现防病毒软件监测 判断终端计算机是否安装了防病毒软件 防病毒软 件运行是否正常以及病毒库是否保持最新等情况 并对于未进行防病毒软件部 署的主机进行内网接入限制 实现主机防火墙功能 有效防范网络入侵和攻击行为 网络接入控制网络接入控制 对接入内网的终端计算机进行身份鉴别或者安全状态检查 阻止未授权或 不安全的终端计算机接入内网和访问内网资源 非法外联控制非法外联控制 通过控制外接设备的使用和终端计算机的拨号行为进行网络非法外联控制 充分保证内网计算机安全性 资产管理资产管理 实现终端计算机的硬件配置 包括 CPU 类型 主频 内存 硬盘 显示卡 网卡等等 的自动登记 使网管人员在控制台的机器上 可以观察到各个机器 的配置信息 能够自动将终端计算机的操作系统 安装的软件 运行的程序和服务 系 统日志 共享资源 以及补丁 端口等信息统计汇总 并可进行分类管理 I O 接口管理接口管理 管理员可集中制定策略 允许或阻断用户对受控终端的各种输出设备进行 访问 包括 USB 可移动存储设备 打印机 DVD CD ROM 软盘 磁带机 PCMCIA 设备 COM LPT 端口 1394 设备 红外设备等 对本地打印机使用 情况进行审计 对受控终端的可移动存储设备的使用情况进行审计 对拨号访 问情况进行审计 终端配置维护终端配置维护 17 29 通过终端管理系统 IT 管理人员可获得终端计算机各种相关信息 如主机 名 IP 地址 网络参数 帐户信息等 IT 管理人员可以响应远程终端计算机的协助请求 临时接管远程终端计算 机 进行本地化操作 终端审计监控终端审计监控 对终端计算机运行的进程进行监控 可限制用户运行某些程序 可对终端计算机的网站访问 网络聊天和 BT 下载等行为进行管理和审计 4 1 2 2网络防病毒网络防病毒 病毒是对医院局域网网络的重大危害 病毒在爆发时将使路由器 3 层交 换机 防火墙等网关设备性能急速下降 并且占用整个网络带宽 针对病毒的风险 我们建议通过终端与网关相结合的方式 以用户终端控 制加网络防火墙进行综合控制 重点是将病毒消灭或封堵在终端这个源头上 在需要的安全边界上部署了防病毒网关 可以对病毒进行过滤 防止病毒扩散 同时 在所有终端主机和服务器上部署网络防病毒系统 加强终端主机的病毒 防护能力 与防病毒网关组成纵深防御的病毒防御体系 在安全管理服务器区中 可以部署防病毒服务器 负责制定和终端主机防 病毒策略 在内网建立全网统一的一级升级服务器 由管理中心升级服务器通 过互联网或手工方式获得最新的病毒特征库 分发到数据中心节点的各个终端 在网络边界通过防火墙进行基于通信端口 带宽 连接数量的过滤控制 可以 在一定程度上避免蠕虫病毒爆发时的大流量冲击 同时 防毒系统可以为安全 管理平台提供关于病毒威胁和事件的监控 审计日志 为全网的病毒防护管理 提供必要的信息 4 1 2 3主机审计主机审计 主机审计系统是保证内网数据安全的安全产品 在终端部署主机审计系统 可以实现对主机的控制 监控 审计和系统管理 控制功能包括计算机硬件资源控制 软件资源控制 移动存储设备使用控 18 29 制 IP 与 MAC 地址绑定等 监控功能包括服务监控 进程监控 硬件操作监控 文件系统监控 打印 机监控 非法外联监控 计算机用户账号监控等 审计功能包括文件操作审计 外挂设备操作审计 非法外联审计 IP 地址 更改审计 服务与进程审计等 系统管理功能包括系统用户管理 主机监控代理状态监控 安全策略管理 主机监控代理升级管理 计算机注册管理 实时报警 历史信息查询 统计与 报表等 另外 系统还包括其它一些辅助功能 例如资产管理 补丁分发 操作系 统日志收集 4 1 2 4数据库审计数据库审计 针对内网的关键服务器 将通过部署数据库审计系统 对用户行为 用户 事件及系统状态加以审计 从而把握数据库系统的整体安全 在核心数据服务器区部署数据库审计系统 包括数据库审计插件以及数据 库审计控制台 审计控制台采用分级模式 可以实现向下一级或引擎下达管理 策略 同时处理来自下一层监控中心的信息与事件 面对网络中的用户操作行为 如读 写记录等 用户事件 如用户帐号的 创建 删除等 和系统状态 如数据库的启动和关闭等 加以审计 审计信息 作为安全事件分析和追踪的基础 通过抓取网络中的数据包 并对抓到的包进 行分析 匹配 统计 通过数据库远程连接进行分析 从数据库访问操作入手 对抓到的数据包进行语法分析 从而审计对数据库中的哪些数据进行操作 可 以对特定的数据操作制定规则 产生报警事件 4 1 2 5入侵检测系统入侵检测系统 在重要的安全域边界已经部署了防火墙 利用防火墙技术 经过仔细的配 置 通常能够在内外网或安全域之间提供安全的网络保护 降低了网络安全风 险 但是入侵者可寻找防火墙背后可能敞开的后门 或者入侵者也可能就在防 火墙内 19 29 网络入侵检测系统位于有敏感数据需要保护的网络上 通过实时侦听网络 数据流 寻找网络违规模式和未授权的网络访问尝试 当发现网络违规行为和 未授权的网络访问时 网络监控系统能够根据系统安全策略做出反应 包括实 时报警 事件登录 或执行用户自定义的安全策略等 入侵检测系统可以部署在内网的网络的核心处 这里我们建议在核心交换 机上部署入侵检测系统 监视并记录网络中的所有访问行为和操作 尤其是内 部用户的访问行为和操作 有效防止非法操作和恶意攻击 同时 入侵检测系 统还可以形象地重现操作的过程 可帮助安全管理员发现网络安全的隐患 需要说明的是 IDS 是对防火墙的非常有必要的附加而不仅仅是简单的补 充 入侵检测系统作为网络安全体系的第二道防线 对在防火墙系统阻断攻击 失败时 可以最大限度地减少相应的损失 因此 IDS 应具备更多的检测能力 能够和其他安全产品 边界防火墙 内网安全管理软件等 进行联动 4 1 2 6主机加固主机加固 医院局域网内的业务服务器主机及其承载的关键业务系统医院重要的信息 资产 主机的安全性很大程度上决定了整个业务系统的机密性 完整性 可用 性及可确认性 可鉴别性和可靠性 主机的漏洞和弱点是资产拥有者和攻击者 的必争之地 主机的漏洞和弱点代表着风险的可能性和风险的严重性 每年系 统新的漏洞和弱点层出不穷 安全事件发生的数量成几何倍增长 而同时安全 攻击工具及方法传播速度日益加快 使得主机的安全性遭受着前所未有的挑战 主机安全加固服务根据客户主机系统应用的具体情况 制定相应系统的测 试方案 加固方案与回退方案 针对不同类型的目标系统 通过打补丁 修改 安全配置 增加安全机制等方法 合理加强设备与应用的安全性 安全加固服 务能够帮助数据中心减少误操作 减小由主机引发的安全隐患的可能性 使得 整个信息系统最大可能的安全 20 29 4 1 3应用系统安全设计应用系统安全设计 4 1 3 1安全评估工具安全评估工具 根据对医院局域网的风险评估和需求分析 建议在网络内部署漏洞扫描产 品 漏洞扫描系统在网络中并不是一个实时启动的系统 只需要定期挂接到网 络中 对当前网段上的重点服务器以及主要的桌面机和网络设备进行一次扫描 即可得到当前系统中存在的各种安全漏洞 针对性地对系统采取补救措施 即 可在相当一段时间内保证系统的安全 漏洞扫描系统通过扫描核心模块对内网中的所有的操作系统 网络设备 路由器 交换机 安全设备 防病毒软件中存在的脆弱性 同时 结合设备 本身自带的漏洞知识库进行同步数据检测 检测完之后会将相应的扫描 检测 结果反馈到扫描结果库中对所有数据进行汇总 对扫描结果可以以报告形式呈 现 安全扫描能够分析系统当前的设置和防御 指出网内潜在的安全漏洞 以 改进系统对入侵的防御能力 安全扫描技术是用来评估计算机网络系统的安全 性能 是网络安全防御中的一项重要技术 其原理是采用模拟攻击的形式对目 标可能存在的已知安全漏洞进行逐项检查 目标可以是工作站 服务器 交换 机 数据库应用等各种对象 然后根据扫描结果向管理员提供安全性分析报告 为提高网络安全整体水平产生重要依据 安全扫描技术与防火墙 入侵检测系统互相配合 能够提供很高安全性的 网络 安全扫描工具源于 黑客 在入侵网络系统时采用的工具 商品化的安 全扫描工具为网络安全漏洞的发现提供了强大的支持 在网络安全体系的建设 中 安全扫描工具的运行相对独立 能较全面检测流行漏洞 检测最严重的安 全问题 安装运行简单 可以大规模减少安全管理员的手工劳动 降低安全审 计人员的劳动强度 有利于保持全网安全政策的统一和稳定 通过部署漏洞扫描产品 可以达到如下目标 能够对网内所有的设备和主机的安全状况进行评估 给出当前网络的存在 的安全漏洞 21 29 对网内安全状况进行综合分析 找出网络的薄弱点 为决策提供参考 做 到安全建设有的放矢 对发现的安全问题给出详细描述和解决办法 帮助管理员及时地处理发现 的问题 通过升级最新的扫描插件 可以发现最新的安全漏洞 帮助预防以蠕虫为 代表的攻击破坏行为 制定周期评估计划 获得网络安全状况的变化趋势 整个过程自动进行 减轻管理人员的工作负担 大大提高工作效率 4 1 3 2Web 页面防护页面防护 医院内部的 Web 服务器对外提供 Web 服务 Web 应用的普及使得 Web 服务 器很容易成为黑客的攻击目标 需要专业的主页防篡改工具有效阻止主页篡改 事件的发生 维护 Web 页面的安全 在 web 服务器配置一套 WEB 应用安全防护系统 全面监测 WEB 服务器 的页面是否正常 对于突破网站防火墙的篡改行为 进行实时监控 确保网站 信息安全 一旦发现网站信息被篡改之后 立刻通知监控中心并迅速恢复正常 的网页文件 7 24 不间断地保护网站 任何恶意篡改痕迹将被实时保留 并主 动和及时通知管理人员 做到防范于未然 通过网络扫描网站的网页 监测网 页是否被修改 当发现网页被修改后 系统能够自动报警和恢复 4 1 3 3应用安全应用安全监控监控 目前医院有多个业务系统 由于业务系统的复杂性 一个应用往往涉及到 多台服务器的多个线程 因此出现问题的概率也相对较大 问题反馈的时间也 无法保障 另外 现在基于 Web 的三层 B S 越来越复杂 一旦出现问题变得异 常麻烦 可能需要动用网络管理员 应用管理员 数据库管理员等多个岗位的 人员进行核查 排错 在系统监控管理方面 用户最关心的是业务系统的监控管理 目前通用的 系统管理软件无法对用户多样的关键业务系统进行有效监控 管理和展现 通 过部署应用安全管理系统 可以在一个平台上实现对多个关键业务系统全面 22 29 高效 统一管理 应用安全管理系统并联在核心交换机上 对业务状态进行管理和监控 同 时 在数据中心的安全管理安全域中 部署控制台 进行集中的监控和管理 通过部署应用安全管理系统 可以实现下述功能 统一管理 统一管理 它提供了一个通用的图形界面和网络管理基础架构 用于跨设 备执行管理功能 集成应用 并实现网元管理统一化 全网络可视性 全网络可视性 借助发现 物理和逻辑拓扑图 集中事件管理 图表和统 计消息等功能 能够全面显示和深入报告网络的行为 网元管理 网元管理 它通过数据中心本地网元管理器对每个设备提供直接的访问 并允许从安全管理区中配置所有的网络设备 另外 还支持跨多种设备类型进 行基于策略的管理 4 2 安全体系管理层面设计安全体系管理层面设计 安全体系管理层面设计主要是依据 信息系统安全等级保护基本要求 中 的管理要求而设计 安全管理制度各类管理规定 管理办法和暂行规定 从 安全策略主文档中规定的安全各个方面所 应遵守的原则方法和指导性策略引出的具 体管理规定 管理办法和实施办法 是具 有可操作性 且必须得到有效推行和实施 的制度 制定严格的知足与发布流程 方式 范围 等 定期或不定期对安全管理制度进行检查和 审定 修订不足及改进 管理要求管理要求 安全管理机构包括的安全管理机构组织形式和运作方式 设置安全管理岗位 配备专职安全员 建 23 29 立授权与审批制度 建立内外部沟通合作 渠道 定期进行全面安全检查 人员安全管理制定人员录用 离岗 考核 培训几个方 面的规定 并严格执行 规定外部人员访问流程 并严格执行 系统建设管理从工程实施的前 中 后三个方面 从初 始定级设计到验收评测完整的工程周期角 度进行系统建设管理 系统运维管理信息系统日常运行维护管理 利用管理制 度以及安全管理中心进行 包括 资产管 理 设备管理 密码管理 应急管理等 使系统始终处于相应等级安全状态中 具 体参见 4 4 5 章节 安全管理设计 24 29 5整体安全设计配置方案 5 1 整体部署结构整体部署结构 根据对各个安全系统的详细设计 已经可以比较清晰的勾画出医院业务网安全建设的整体全景 如下图所示 25 29 26 29 信息安全建设是一个循序渐进的过程 不可能一蹴而就 所以 我们将本着首先定位关键资源 关键区域 先对关键资源 关键 区域进行保护 然后按照发散性的思路进行纵深层面的安全分析和扩展保护 由于边界安全防护是安全建设的基础性工作 因此本期 建设重点内容即根据划分好的安全域进行边界类防护 同时进行最常见的访问控制 上网行为管理以及与桌面安全相关的安全措施 当前总体建设可以分为以下 总体步骤描述总体步骤描述部署产品部署产品部署位置部署位置作用区域作用区域 部署作用部署作用 防火墙 互联网边界控制进出互联网的所有数据流量 对上网行为进行控制 阻止各类非法应用 安全