医疗系统协同审计解决方案v1.1.doc

重庆融势科技有限公司安全、稳定、高效 E-DC阳光网络V1.0 医疗协同审计解决方案重庆融势科技有限公司2版权声明重庆融势科技有限公司版权所有，保留一切权利。本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属重庆融势科技有限公司所有，受到有关产权及版权法保护。任何个人、机构未经重庆融势科技有限公司的书面授权许可，不得复制或引用本文件的任何片断，无论通过电子形式或非电子形式。免责条款本文档所包含的一切内容均按原样提供，并在法律允许的程度内不提供任何种类的(无论是明示还是暗含的)保证，包括但不限于对适销性、就某一用途的适用性或非侵权的任何暗含保证。在任何情况下，重庆融势科技有限公司均不对因使用本文档而导致的任何直接的、间接的、特别的或其它后果性的损害承担赔偿责任，包括但不限于任何利润损失、业务中断、程序丢失或您的信息处理系统或其它设备上的数据丢失等，即使我们已被明确告知存在发生这些损害的可能性。 目 录第一章 互联网对医院提出的管理挑战5第二章 SunAva医疗协同审计对医院带来的价值52.1医院网络资料备份52.2职员上网管理52.3优化带宽分配62.4 保护服务器安全6第三章 SunAva医疗协同审计解决方案63.1 网络构架63.1.1 透明网桥模式63.1.2 旁路模式73.2 管理方式83.3功能概述9第四章 详细功能介绍104.1 用户管理104.2防火墙114.2.1 高级过滤124.2.2 防DDOS攻击124.2.3 反ARP攻击134.2.4 服务器安全策略134.3医疗协同审计144.3.1 访问控制144.3.2 应用过滤144.3.3 网站过滤164.3.4 关键字过滤184.3.5 用户访问认证184.4 QoS204.5上网信息审计234.5.1 网页浏览244.5.2电子邮件254.5.3 文件传输264.5.4 即时聊天284.5.5 游戏304.5.6 语音电话304.5.7 其他应用304.6 流量审计314.6.1网络流量314.6.2用户流量324.6.3 用户连接334.7 图表报告334.7.1 计算机信息344.7.2 用户每日报告354.7.3 历史记录分析374.7.4 用户记录，流量TOP10排名（记录、流量、服务）38第五章 产品优势39第一章 互联网对医院提出的管理挑战随着信息技术、特别是网络技术的普及，互联网已经渗透到工作、学习和生活的各方面成为人们不可或缺的工具。医院的日常办公也已经和互联网密不可分。互联网的开放性、交互性、延展性可很好的服务于医院，使得医院有更广阔的视野、更强大的竞争力、更高超的效率、更丰富的渠道以及更快捷的交流，为医院的成功提供了莫大的帮助。与此同时，医院内部职员使用即时聊天、网上购物、浏览与工作无关的网站、玩网络游戏、炒股、听音乐看电影、通过P2P进行互联网资源下载等行为，又使得医院面临经营成本提高、工作效率下降、管理混乱等新问题。另外，医院的商业机密、核心成果也有可能因为互联网的便捷而轻易的泄露出去，给医院造成难以估量的损失。为了加强和规范对互联网接入行为的控制和管理，国务院和公安部相继颁布了互联网信息服务管理办法、计算机信息网络国际联网安全保护管理办法、互联网安全保护技术措施规定（即公安部82号令）等法律、法规。国家要求所有接入互联网的单位和政府部门其网络接入条件必须严格遵守并符合以上又国家制定的信息安全管理法律、法规要求。医院想主动阻止内部信息的泄露，规范职员的上网行为，避免违反国家互联网法律、法规，仅依靠传统的网关设备、网管方式很难实现，这些设备无法对网络数据进行深度分析和过滤，无法记录内网用户的上网日志以及上网内容。因此，医院管理者急需一种能够实现医疗协同审计的解决方案，从而维护医院自身权益，减少因互联网而带来的各种隐患。第二章 SunAva医疗协同审计对医院带来的价值2.1医院网络资料备份 现代办公以电子方式为主，方便快捷，但是一旦职员的计算机发生硬件故障，磁盘损坏的时候，重要的邮件、与客户沟通的聊天记录、下载的文件以及浏览过的网页将永远丢失，如果无法及时恢复，将给医院带来巨大的经济损失。SunAva医疗协同审计能实时备份网内所有职员的网络资料，资料可以保存几年，使医院轻松地在任何时间找回自己的资料。 2.2职员上网管理 在上班时间进行私人聊天，浏览无关网站，网络游戏或者炒股等，足以令多数管理人员头疼不已。SunAva医疗协同审计产品能帮助您知道职员在做什么，包括上网记录，程序运行记录，邮件记录，聊天记录。更能帮助您轻松管理，限制职员不能做什么，比如能禁止游戏，禁止BT下载，禁止网络看视频，只允许运行与工作有关的软件等。计算机和互联网现已被许多医院应用，提升互联网的有效使用将会为医院带来巨大的经济效益。 2.3优化带宽分配 医院的上网带宽是一个重要资源，有两个方面会严重影响带宽使用。其一如有职员私下下载或观看在线视频，占用大部分带宽，其他职员的工作将受到影响，对网络依赖严重的医院更将是办公效率急剧下降。其二是当网络内部电脑中毒，比如受到ARP攻击，传统的路由器及抓包软件也无法识别到底哪个电脑中毒，因为包内信息都是虚假，SunAva医疗协同审计产品可以识别出哪个电脑并且阻止它上网并发邮件通知网络管理员。SunAva科技致力于优化医院带宽合理分配，智能识别限制大流量，多连接的客户，同时可以对不同部门采取不同方案，确保医院网络资源物尽其用。2.4 保护服务器安全 如今很多医院内网架设邮件服务器，FTP文件服务器，医院网站服务器。有些时候需要提供对外服务，最普遍的是医院网站服务器。当对外服务器被非法份子攻击，会导致重要数据丢失，服务器停止工作。例如：车牌拍卖的服务器被有利益团伙使用分布式拒绝服务攻击，传统的路由器无法识别哪些是正常应用，哪些是攻击行为，SunAva科技花费几年时间终于研发出动态识别攻击技术,分析网站服务器、文件服务器、邮件服务器的攻击行为，动态识别每一个攻击连接并断开其连接，保护医院对外服务器的安全。 第三章 SunAva医疗协同审计解决方案通过对市场的分析，我们发现：对安全隐患的预防、对机密信息的保护和对职员工作效率的保证将成为中国医院日常管理的重中之重！SunAva医疗协同审计产品正是集内网用户医疗协同管理、审计为一体的综合型网管设备。3.1 网络构架 3.1.1 透明网桥模式 SunAva医疗协同审计产品无需担负路由的工作，在网络拓扑结构上相当于一个交换机或者网桥，故称为透明网桥的工作模式。如同在出口网关和内网交换机之间的智能网线,对流经的所有网络数据进行控制、拦截等操作。透明网桥模式示意图部署方式：SunAva医疗协同审计产品的口和网关相连，LAN口和局域网交换机相连。局域网内任何网络设备和无需更改和网关地址，也不会感觉到该设备的存在，将设备从网络中撤出也不会影响网络的连通性。总而言之设备的存在与否均不会改变网络逻辑结构和可用性。3.1.2 旁路模式为满足不同的客户需求，我们同时还提供旁路模式供客户选择。此种接入方式的优点在于能够完全不影响现有网络环境，审计系统接入与拆除更加方便快捷。旁路模式示意图部署方式：将SunAva医疗协同审计设备接入交换机的镜像端口，即可实现审计和部分管控功能，降低了网络单点故障的发生概率。 3.2 管理方式完全采用B/S构架，除网页浏览器外无需安装任何本地客户端管理软件，随时随地通过浏览器即可以轻松访问到管理页面。另外，内网网关可设置端口映射，这样即便出差在外，管理员仍可使用外部网络访问，对公司内部网络进行管理操作。下图为管理界面，管理员输入预设定的用户名密码后便可正常登陆，进行查看，管理等工作。显示面板显示面板是本机当前状态的一个概况，大致内容为：系统信息，系统资源，上网管控汇总信息、防火墙汇总信息，端口状态，用户汇总信息，当前审计信息统计，当前网络流量汇总信息以及设备许可证相关信息。 3.3功能概述 用户管理以部门和用户为单位并根据时间段来设定不同的管理策略。防火墙防火墙有四大功能，分别是高级过滤、拒绝服务攻击、反ARP攻击、内网服务器(WEB服务器，邮件服务器，FTP服务器)安全，保护内外服务器不受到外部攻击。 医疗协同审计访问控制、应用过滤、网站过滤、网页关键字过滤、流量控制、用户访问认证、IP/MAC绑定等。上网信息审计网页浏览、电子邮件、文件传输、即时聊天、在线游戏、证券软件、语音通话、虚拟专网（VPN）等。带宽管理合理分配带宽，管理用户P2P下载等多连接占带宽应用，限定用户带宽等。网络流量审计网络流量、用户流量、用户连接等。图表报告内网计算机信息、用户每日报告、历史记录分析、协议/流量/记录TOP10排名等。第四章 详细功能介绍4.1 用户管理 SunAva医疗协同审计产品通过用户和部门两个层次来管理内网。通过时间段、部门、例外用户等设定，能够有针对性的进行区别管理。如公司研发部与销售部职能不同，所需上网的管控亦有明显区别，比如销售部需要允许即时聊天工具，而研发部则不需要。用户列表可同时监管多网段的用户，除自身所在网段外还能另设三个内网网段。例如自身IP为子网掩码为，则默认可监控192.168.1.X网段，另外网络管理员还能添加 3个内部子网网段，如下图 监管子网配置页面部门管理可将不同的IP划分到不同的部门中进行合理分类。除可设定部门成员外，还能设定是否监管该部门、监控规则以及是否重点监控等。部门 4.2防火墙 高级过滤可对任意IP段进行时间段控制、拒绝服务攻击、反ARP攻击、内网服务器(WEB服务器，邮件服务器，FTP服务器)安全，保护内外服务器不受到外部攻击。4.2.1 高级过滤 高级过滤设置是可根据时间段设置过滤规则，可设定任意IP、IP段、单一IP以及任意端口之间的访问过滤规则。过滤规则设置4.2.2 防DDOS攻击 拒绝服务攻击可开启部分或全部支持的拒绝攻击策略并设定阈值。包括：拒绝SYN Flood攻击、UDP Flood攻击、ICMP Flood攻击、端口扫描攻击、Ping Of Death攻击。 拒绝服务攻击配置界面4.2.3 反ARP攻击反ARP攻击可以侦测到内网的ARP攻击源IP，并对其实施隔离处理并即时警告网络管理员。反ARP攻击4.2.4 服务器安全策略服务器安全策略可以很好的保护内网WEB服务器、FTP服务器、邮件服务器不受到外部恶意攻击。可针对公司需要选择相应的防御敏感强度。服务器安全策略配置4.3医疗协同审计医疗协同审计分为5个部分：访问控制、应用过滤、网站过滤、网页内容过滤、IP/MAC绑定。所有部分都通过预定义规则，然后将规则应用到部门和用户的方式来实现配置。4.3.1 访问控制访问控制可选择分时段全部禁止或部分通过。全部禁止则在规定的时间段内禁止被管控用户使用互联网。部分通过适用于某医院只希望开放邮件功能给职员，其他所有应用都禁用。不同与其他同类产品的做法对其他应用一个个选择禁止（应用的特征识别需经常升级更新），这样做难免会不能做到所有应用禁用的正确性。访问控制设定档4.3.2 应用过滤应用过滤是针对不同的网络应用程序进行过滤，能有选择性的阻止内网用户使用无关网络应用程序，提高工作效率。同样是先设定过滤规则，然后应用到不同的用户和部门。目前我们支持百种主流应用的过滤。多种应用过滤产生几个设定档可以给不同部门不同用户进行选择适用。应用过滤设定档部门进行选择相应的设定档。部门应用过滤设定某个部门的某个用户需要不同的策略，我们可以在用户配置中把这个用户例外出来，只需要对他选择其他设定档。设置例外用户4.3.3 网站过滤网站过滤是针对不同的网站域名进行过滤，能有选择性的避免内网用户访问无关网站，提高工作效率。同样是先设定过滤规则，然后应用到不同的用户和部门。我们强大的网站url分类数据库为用户提供上百万网站域名，可根据不同类型进行勾选过滤。网站过滤url库分类同时网站过滤功能还支持自定义网站扩充（白名单/黑名单），白名单中可手动添加允许访问的网站，黑名单中则可手动添加需要过滤的url。网站过滤白名单另外，我们还支持网站访问屏蔽提示，并支持自定义提示信息。网络管理员只需在文本输入框中输入相应的html格式内容即可。如下图：自定义提示信息如输入以上显示的提示信息，则内网用户访问被屏蔽网站会出现相关画面返回，如下图：自定义屏蔽界面4.3.4 关键字过滤 不仅可以通过网站域名进行过滤，同时也支持网页内容关键字过滤，比如股票、体育、娱乐、等等关键字。如果出现这类关键字的网站，即会被屏蔽。4.3.5 用户访问认证用户访问认证对用户和部门提供访问权限认证功能，针对每个用户可制定不同的当日限额（时间或流量），当用户网络使用量达到预设上限用户当日将无法再访问到互联网。当前认证用户状态访问认证设定档用户通过web或者认证客户端方式输入正确的密码进行身份识别，认证通过方可对互联网进行访问。图23 web认证窗口上网认证客户端程序禁止内网用户随意更改IP，造成管理不便，一旦绑定则更改IP后无法正常访问互联网。4.4 QoSQoS功能旨在解决多电脑状态下带宽滥用造成的Internet使用带宽不足问题，通过七层封包深度检测技术过对网络数据包的深度扫描分析，完全针对各种应用进行数据分类排序和收发，确保最关键的应用以最高的优先级通过；与此同时，针对次要应用以及一些管制应用，例如BT下载，可以使用 QoS 中的最大带宽对其进行限制，保障和限制并举，使网络得以最顺畅的运行。使用此功能首先需要开启此功能，并设定真实的Internet上下行带宽。然后到应用 QoS，IPQoS以及混合QoS页面设置好规则，再回到此页面使用上下箭头对各种QoS规则进行优先级排序。IPQoS可以基于IP网段，IP范围进行分组QoS，针对分组来做批量带宽控制，当有大量的电脑用户需要使用QoS进行带宽优化时，设置起来非常快捷。应用QoS功能是SunAva应用层深度检测QoS的核心功能，普通的所谓应用层检测往往是指 HTTP，邮件等标准协议的检测，而实际上这些分类方法只是简单的对IP端口进行检测，无法应对各种非常规端口的通信数据进行鉴别和整流。而SunAva则提供了高达100多种的应用识别，不仅仅包括常见的 HTTP，邮件，FTP 等应用，而且包括了 BT，电驴，视频网站在线视频，在线游戏等各种应用，可以真正意义上做到全方位的应用层管控。混合QoS则是IPQoS和应用QoS的结合，管理员如果希望针对某些用户进行应用流量整流，则可以使用此功能来进行。4.5上网信息审计支持多种协议及应用的内容审计：网页浏览（web浏览 网站发帖 网上搜索引擎关键字）、telnet、电子邮件（SMTP,POP3网页邮箱收发）、文件传输（FTP,WEBDOWN,P2P下载,迅雷下载）、聊天（支持国内主流即时聊天工具MSN,QQ,ICQ,飞信）、游戏（联众等国内主流棋牌游戏平台）、证券（国内主流股票软件）、语音电话(记录并且转换成语音文件)、虚拟专用网络等。首先管理员对部门或用户添加监控配置设定。部门监控设定档4.5.1 网页浏览可监控内网用户的网站访问记录，获得访问网址的标题，URL以及点击次数等信息。很好的掌握内网用户网页访问的即时情况。标题全部以Unicode编码格式显示，支持任何地区的网页分析，避免出现不同编码造成的乱码情况，同时也更好的支持全球语言显示。网页浏览监控记录同时还能监控到利用热门搜索引擎（googlebaiduyahoobing等）进行的关键字搜索内容。了解内网用户现需求动向。搜索关键字4.5.2电子邮件邮件内容审计实现全面完整的邮件备份，无论SMTP、POP3、网页邮箱收发，都能够完整的记录邮件内容以及附件信息，不仅达到了内容监控的目的，同时也实现了邮件备份的功能。邮件详细信息同时各个监控协议还支持历史记录查询，根据不同协议的要求给出查询依据，便能轻松找到想要的信息。历史查询4.5.3 文件传输 文件传输内容审计支持FTP文件上传下载、网页下载、BT下载、电驴下载、迅雷下载等。文件传输FTP能够监控并直接备份内网用户的下载内容。同时考虑到存储磁盘空间的因素，管理员可设定单个下载文件备份大小上限，超过上限值的大文件可不备份到本机。FTP下载网页下载只记录下载文件的文件名，以及下载文件的URL地址，并不备份下载内容，原因在于网页下载通常比较多，也比较杂，全部备份必要性不强，同时也占用磁盘空间，只要通过记录的URL备份，则可以轻松再次下载。网页下载BT电驴迅雷下载，则是记录内网下载用户的一些即时流量信息和历史流量信息等等。电驴下载4.5.4 即时聊天大部分主流聊天工具的内容监控（包括加密传输的QQ阿里旺旺SKYPE等的聊天内容），同时还在不断增加更多的聊天工具监控支持。目前有：MSN、QQ、阿里旺旺、SKYPE飞信、ICQ、雅虎通、Google Talk、等。当日即时聊天概况预览记录聊天的具体内容如下msn聊天具体信息 QQ聊天具体信息4.5.5 游戏游戏审计是针对国内主流棋牌类游戏平台做的登录信息监控。包括：联众世界、中国游戏在线、QQ游戏、上游棋牌等。根据市场后期还会加入新的监控游戏平台。游戏预览4.5.6 语音电话可监控VOIP语音通话，除通话时间、双方信息外同时能获取通话的内容，以音频文件的形式存储，可点击播放收听。语音电话4.5.7 其他应用证券支持国内5款主流股票软件的监控，包括查看的具体股票信息，使用时间等。根据市场后期还会加入新的股票软件。证券预览 虚拟专用网络可抓取PPP、L2TP、IPSEC等VPN链接的信息，管理员可以通过此信息及时找到试图通过VPN方式逃过内网监管的用户。VPN链接预览4.6 流量审计流量审计对于网络管理员来说是最基本也是最需要的一项功能，通过流量能够很好的了解当前网络的使用情况，从而进行优化配置以及故障排除，保证内网用户网络使用畅通高效流量审计分为：网络流量、用户流量、用户连接。4.6.1网络流量可查看当日流量的统计信息，分类型显示（如TCP、UDP），包括：总数据包包数、总流量、接收包数、接收流量、发送包数、发送流量等。同时还可查看即时的流量信息：总速率、接收速率、发送速率、总发包速率、总接收包速率、总发送包速率、广播包速率以及广播流量等。网络流量汇总 同时还可查看历史信息从而为管理者提供详实的参考数据，更加方便管理策略的制定。网络流量详细4.6.2用户流量网络流量是对整个网络的流量信息，这部分则是针对内网每个用户更为详细的流量统计。当网络带宽被占用导致其他用户无法流畅使用时，这里可以一目了然的看到占用带宽的用户。用户流量汇总 4.6.3 用户连接可方便查看当前的TCP会话链接状态，如果有异常网络攻击则也能及时反映出来。用户连接4.7 图表报告图表报告包括了：计算机信息、用户每日报告、历史记录分析、Top10记录、Top10流