L0010____市第_人民医院网络安全技术建议书.doc

XXXXXXXX 市第市第 X X 人民医院人民医院 网络安全技术网络安全技术建议书建议书 网御神州科技有限公司 20202020 年年 2 2 月月 目目 录录 1网络安全方案摘要网络安全方案摘要 3 1 1用户网络结构描述 3 1 2网络安全方案描述 4 1 3网络安全解决思路 6 1 4网络安全问题解决建议 7 2网络安全详细技术建议书网络安全详细技术建议书 8 2 1网络架构分析 8 2 1 1应用系统架构 8 2 1 2应用系统平台 8 2 2系统风险分析 9 2 2 1网络架构风险分析 9 2 2 2应用系统风险分析 13 2 2 3安全风险分析汇总 17 2 3安全需求分析 19 2 3 1边界防护的需求 19 2 3 2入侵防御系统 22 2 3 3日志集中审计安全需求 24 2 3 4桌面管理系统需求 24 2 4系统安全建议 26 2 4 1UTM安全网关子系统规划 27 2 4 2入侵防御子系统规划 29 2 4 3日志审计子系统规划 31 2 4 4桌面安全管理规划 35 2 4 5方案产品选型及预算 41 2 4 6方案总结 41 2 5附件 各产品技术资料 请参考产品白皮书 42 1网络网络安全方案摘要安全方案摘要 1 11 1用户网络结构描述用户网络结构描述 目前 XXXX 市第 X 人民医院核心采用两台 cisco 4503 作为整个网络的核心交换机 两台 交换机做互为备份使用 汇聚层采用了 5 台 cisco 的 3550 交换机 接入层采用了 cisco 的 2918 交换机作为用户接入交换机 从整个网络拓扑情况看 XXXX 市第 X 人民医院具有合理的 架构设计 完善的网络层次 同时 XXXX 市第 X 人民医院将服务器区独立出来 通过一台交换机将所有的服务器与用 户的网络进行隔离 确保了数据集中部署 管理的优势 从客户端层面 目前 XXXX 市第 X 人民医院大约有 600 多客户端 其中可上网用户大约有 100 多 内网用户大约有 400 500 左右 但这些客户端由于没有进行内网用户和外网用户的 划分 所以存在了一些安全的隐患 XXXX 市第 X 人民医院目前网络拓扑结构图 1 服务器资源服务器资源 目前 XXXX 市第 X 人民医院内部有 HIS LIS PACS EMR 防病毒服务器 病理服务器等 多台服务器 2 网络资源网络资源 核心采用两台 cisco 4503 作为整个网络的核心交换机 两台交换机做互为备份使用 汇 聚层采用了 5 台 cisco 的 3550 交换机 接入层采用了 cisco 的 2918 交换机作为用户接入交 换机 3 安全措施安全措施 目前 XXXX 市第 X 人民医院内部的安全措施主要有 卡巴斯基网络防病毒系统 终端 USB 移动设备等监控系统 1 21 2网络网络安全安全方案描述方案描述 众所周知 网络为人们提供了极大的便利 但由于构成 Internet 的 TCP IP 协议本身缺 乏安全性 提供一种开放式的环境 网络安全成为一个在开放式环境中必要的技术 成为必 须面对的一个实际问题 而由于目前网络应用的自由性 广泛性以及黑客的 流行 网络面 临着各种安全威胁 存在着各种类型的机密泄漏和攻击方式 包括 窃听报文 攻击者使用报文获取设备 从传输的数据流中获取数据并进行分析 以 获取用户名 口令或者是敏感的数据信息 通过 Internet 的数据传输 存在时间上的延迟 更存在地理位置上的跨越 要避免数据彻底不受窃听 基本是不可能的 IP 地址欺骗 攻击者通过改变自己的 IP 地址来伪装成内部网用户或可信任的外部 网络用户 发送特定的报文以扰乱正常的网络数据传输 或者是伪造一些可接受的路由报文 如发送 ICMP 的特定报文 来更改路由信息 以窃取信息 源路由攻击 报文发送方通过在 IP 报文的 Option 域中指定该报文的路由 使报文 有可能被发往一些受保护的网络 端口扫描 通过探测 UTM 安全网关在侦听的端口 来发现系统的漏洞 或者事先知道 路由器软件的某个版本存在漏洞 通过查询特定端口 判断是否存在该漏洞 然后利用这些 漏洞对路由器进行攻击 使得路由器整个 DOWN 掉或无法正常运行 拒绝服务攻击 攻击者的目的是阻止合法用户对资源的访问 比如通过发送大量报 文使得网络带宽资源被消耗 Mellisa 宏病毒所达到的效果就是拒绝服务攻击 最近拒绝服 务攻击又有了新的发展 出现了分布式拒绝服务攻击 Distributed Denial Of Service 简 称 DDOS 许多大型网站都曾被黑客用 DDOS 方式攻击而造成很大的损失 应用层攻击 有多种形式 包括探测应用软件的漏洞 特洛依木马 等等 另外 网络本身的可靠性与线路安全也是值得关注的问题 随着网络应用的日益普及 尤其是在一些敏感场合 如电子商务 政府机关等 的应用 网络安全成为日益迫切的重要需求 网络安全包括两层内容 其一是网络资源的安全性 其 二是数据交换的安全性 网络设备作为网络资源和数据通讯的关键设备 有必要提供充分的 安全保护功能 交换机 路由器 UTM 安全网关 网闸 管理平台等产品提供了多种网络安 全机制 为网络资源和数据交换提供了有力的安全保护 本文将对其技术与实现作详细的介 绍 为了便于分析网络安全和设计网络安全解决方案 我们采取对网络分层的方法 并且在 每个层面上进行细致的分析 根据风险分析的结果设计出符合具体实际的 可行的网络安全 整体解决方案 从网络 系统和应用出发 网络的安全因素可以划分到如下的五个安全层中 即物理层 网络层 系统层 应用层和安全管理 物理层安全物理层安全 网络的物理安全主要指网络周边环境和物理特性引起的网络设备和线路的 不可用 而造成网络系统的不可用 它是整个网络系统安全的前提 在网络安全考虑时 首先 要考虑物理安全 例如 设备被盗 被毁坏 设备老化 意外故障 计算机系统通过无线电 辐射泄露秘密信息等 除此之外 在一些特殊重要的网络应用中 可利用 网络隔离和信息 交换 技术 将两个网络从物理上隔断而保证应用上连通实现的 信息摆渡 网络层安全 网络层安全 网络层安全主要分为两个方面 网络传送安全和网络服务安全 网络传送 安全主要需要注意的有重要业务数据泄漏和重要业务数据破坏 重要业务数据泄漏 由于在同级局域网和上下级网络数据传输线路之间存在被窃听的威 胁 同时局域网络内部也存在着内部攻击行为 其中包括登录通行字和一些敏感信息 可能 被侵袭者搭线窃取和篡改 造成泄密 重要数据被破坏 是指不法分子针对网上传输数据做出伪造 删除 窃取 窜改等攻击 存储数据对于网络系统来说极为重要 如果由于通信线路的质量原因或者人为的恶意篡改 都将导致难以想象的后果 这也是网络犯罪的最大特征 网络服务安全是指 入侵者通过 Sniffer 等嗅探程序来探测扫描网络及操作系统存在的 安全漏洞 入侵者通过网络监听等先进手段获得内部网用户的用户名 口令等信息 进而假 冒内部合法身份进行非法登录 窃取内部网的重要信息 入侵者通过发送大量 PING 包对内部 网中重要服务器进行攻击 使得服务器超负荷工作以至拒绝服务甚至系统瘫痪 网络安全不仅来自外部网络 同样存在于内部网 而且来自内部的攻击更严重 更难防 范 如果办公系统与业务系统没有采取相应安全措施 同样是内部网用户的个别员工可能访 问到他本不该访问的信息 还可能通过可以访问的条件制造一些其它不安全因素 伪造 篡 改数据等 或者在别的用户关机后 盗用其 IP 进行非法操作 来隐瞒自已的身份 应用层安全应用层安全 网络应用系统中主要存在以下安全风险 业务网之间的非法访问 中间业 务的安全 用户提交的业务信息被监听或修改 用户对成功提交的业务进行事后抵赖 同时 还有 与 INTERNET 连接带来的安全隐患 身份认证漏洞 高速局域网服务器群安全 内部管 理服务平台的安全 系统层安全系统层安全 系统级的安全风险分析主要针对专用网络采用的操作系统 数据库 及相 关商用产品的安全漏洞和病毒威胁进行分析 专用网络通常采用的操作系统 主要为 UNIX 本 身在安全方面有一定考虑 但服务器 数据库的安全级别较低 存在一些安全隐患 管理层安全管理层安全 再安全的网络设备离不开人的管理 再好的安全策略最终要靠人来实现 因此管理是整个网络安全中最为重要的一环 尤其是对于一个比较庞大和复杂的网络 更是 如此 因此我们有必要认真的分析管理所带来的安全风险 并采取相应的安全措施 当网络出现攻击行为或网络受到其它一些安全威胁时 如内部人员的违规操作等 必须 实时的检测 监控 报告与预警 同时 当事故发生后 必须提供黑客攻击行为的追踪线索 及破案依据 即网络应该有可控性与可审查性 这就要求我们必须对站点的访问活动进行多 层次的记录 及时发现非法入侵行为 建立全新网络安全机制 必须深刻理解网络并能提供 直接的解决方案 因此 最可行的做法是管理制度和管理解决方案的结合 1 31 3网络安全解决思路网络安全解决思路 网络的安全覆盖系统的各个层面 由 物理级安全 网络级安全 应用级安全 系统级 安全和管理级安全 五个层次组成 在物理层次的安全主要依靠物理线路的可靠保障 维护 等措施防护 对于不同安全级别网络区域 可以采用网闸设备实现信息摆渡 同样网闸设备 也可以攻击者通过系统漏洞攻击受保护的服务器 系统级层次的安全主要依靠操作系统的可 靠性 漏洞补救 病毒防护等措施保障 该层次的安全性可以结合网络层 应用层和管理层 的措施共同防护 所以网络的安全解决方案应该主要从三个层次解决 网络层 应用层和管理层 包括网 络传送 网络服务 应用安全 安全识别 安全防御 安全监控 审计分析 集中管理等多 个方面 这需要依靠技术方面的安全保护和管理方面的安全管理进行全面防护 其中在技术方面主要由数据安全识别 防御 传送 监控四个部分支撑 在管理方面需 要进行实时的安全保护 审计 分析 智能管理 此外 仅仅依靠安全技术和安全的管理是 无法彻底解决安全问题的 解决安全问题是个循序的过程 还需要对紧急事件进行及时的处 理响应并完善更新策略规则 增强整个系统安全性 安安全全解解决决方方案案层层次次结结构构 安全识别技术包括用户接入身份认证 用户访问权限区分 管理员权限识别与限制 业 务使用访问控制 网络服务使用控制 管理员视图控制 访问策略服务等等 安全防御是通过 UTM 安全网关来进行安全访问控制 UTM 安全网关是在内部可信任设施 和外部非信任网络之间的屏障 UTM 安全网关的设计的原则是 只信任内部网络 对一切来 自外部 去网外部的流量进行监控 安全传送包括采用 IPsec SSL 等技术 采用 VPN 隧道对传输数据进行加密 安全监控一般采用安全网关和入侵防御系统配合的方式 UTM 安全网关是处于网络边界 的设备 自身可能被攻破 需要在内部进行监控 采用入侵防御设备识别网络行为的可信任 性 判断是否是内部系统网络或数据资源的可疑行为 并对这些行为做出处理响应 入侵防 御是对防御技术的重要补充 入侵防御设备的能效既针对外部网络 也针对内部网络 1 41 4网络安全网络安全问题解决建议问题解决建议 安全方案阐述 安全方案阐述 1 1在 XXXX 市第 X 人民医院内网和外部安全域之间部署 UTM 安全网关 用于对进出 XXXX 市第 X 人民医院网络的数据包进行过滤和有效控制 并对病毒等有害信息进行 过滤 1 2在内网服务器区部署入侵防御设备 用于监测访问服务器区数据包行为 一旦发现 有可疑数据包 则对该数据包作相应处理 1 3在网络中旁路部署日志审计系统 用于对安全设备 网络设备 重要服务器进行相 应的日志审计 及时发现安全问题 并根据公安部门的要求对日志保存 60 天以上 1 4在客户端安装桌面管理系统 对终端进行相应管理和控制 确保终端的访问在安全 合理的范围内进行 并对操作系统等进行相关的补丁分发等工作 2网络安全详细技术建议书网络安全详细技术建议书 2 12 1网络架构分析网络架构分析 2 1 12 1 1应用系统架构应用系统架构 2 1 1 1 接入与表示层接入与表示层 该层的主要作用是访问应用逻辑层提供的各种应用系统功能 并将应用逻辑层返回的结 果通过各种技术手段展现给用户 使用户能通过不同的界面和通讯方式连入应用系统 应用系统主要有以下几类用户 院内工作人员 人民群众 兄弟单位 一般都是互联网 直接连接和院内应用系统进行通讯 2 1 1 2 应用逻辑层应用逻辑层 应用逻辑层是整个应用系统架构的核心 主要的业务逻辑都是由应用逻辑层中的应用系 统实现的 此外 应用逻辑层的另一个主要作用是与数据层交换数据 2 1 1 3 数据层数据层 数据层存储的主要是业务数据 包括文件级数据和机密级数据 2 1 22 1 2应用系统平台应用系统平台 2 1 2 1 硬件平台硬件平台 XXXX 市第 X 人民医院运行数据库系统的有小型机 多为 PC 服务器 办公终端是 PC 机 2 1 2 2 操作系统平台操作系统平台 UNIX LINUX Windows NT 2000 SERVER 2003 SERVER Windows 2000 XP 2 1 2 3 数据库系统平台数据库系统平台 Oracle SQL Sever 2 1 2 4 中间件系统平台中间件系统平台 BEA WebLogic Integration IBM MQ Series 2 1 2 5 办公自动化系统平台办公自动化系统平台 Lotus Domino Notes 2 1 2 6 网站系统平台网站系统平台 IIS 4 0 5 0 Apache 2 22 2系统风险分析系统风险分析 2 2 12 2 1网络架构风险分析网络架构风险分析 从网络架构的角度 我们认为存在的安全隐患主要来自于以下几个方面 包括 XXXX 市 第 X 人民医院网络的基础 TCP IP 自身的弱点 网络设备存在的安全隐患 网络服务器存在 的安全风险 网络访问的合理性和数据传输的安全性 具体描述如下 2 2 1 1 TCP IP 协议的弱点协议的弱点 由于 TCP IP 协议作为事实上的工业标准 以其 IP Over Everything 的思想 简化了网 络构建的复杂性 并随着技术的发展 并最终实现 Everything Over IP 的网络融合 这种网 络发展的趋势是不可逆转的 是由 IP 技术的竞争优势确定的 具有非常好的扩展性 适合于 构造大型的计算机网络 因此已经成为全国 XXXX 市第 X 人民医院系统组建网络系统的基础协 议 但同时我们也看到 由于 TCP IP 协议在产生之处 还没有全面考虑安全方面的因素 就使得该协议组自身便存在一些先天的安全问题 而对于 XXXX 市第 X 人民医院系统来讲 由 于大量的应用程序都是以 TCP 作为数据的传输层协议 因此 TCP IP 协议的安全性会给 XXXX 市第 X 人民医院网络带来严重的后果 典型利用 TCP IP 协议的弱点 发起攻击行为的就是 拒绝服务攻击 比如 SYN FLOOD 攻击 它就是利用了 TCP 协议中 建立可靠连接所必须经过的三次握手行为 攻击者 只向攻击目标发送带 SYN 表示的数据包 导致攻击目标一味地等待发起连接请求的源地址 再次发送确认信息 而导致系统处于长期等待状态 直至系统的资源耗尽 而无法正常处理 其他合法的连接请求 还有就是 IP 欺骗攻击 IP 欺骗由若干步骤组成 首先 目标主机已经选定 其次 信 任模式已被发现 并找到了一个被目标主机信任的主机 黑客为了进行 IP 欺骗 进行以下工 作 使得被信任的主机丧失工作能力 同时采样目标主机发出的 TCP 序列号 猜测出它的数 据序列号 然后 伪装成被信任的主机 同时建立起与目标主机基于地址验证的应用连接 如果成功 黑客可以使用一种简单的命令放置一个系统后门 以进行非授权操作 使被信任 主机丧失工作能力 攻击者将要代替真正的被信任主机 对于 XXXX 市第 X 人民医院系统 由于 TCP IP 协议的弱点 有可能造成以下的破坏 攻击者对服务器群进行拒绝服务攻击 而使服务器无法正常工作 使 XXXX 市第 X 人民医院遭到经济上的损失 攻击者利用地址欺骗 获得更多的访问权限 有可能会渗透到 XXXX 市第 X 人民 医院系统内部 造成更大的损失 内部不满员工利用办公用机散播蠕虫病毒 使核心交换机负载加重 导致整体网络 运行故障 2 2 1 2 网络设备的风险网络设备的风险 在网络中的重要的安全设备如路由器交换机等有可能存在着以下的安全风险 以最常 用的路由器为例 路由器缺省情况下只使用简单的口令验证用户的身份 并且远程 TELNET 登录时以 明文传输口令 一旦口令泄密路由器将失去所有的保护能力 路由器口令的弱点是没有计数器功能的 所有每个人都可以不限次数地尝试登录口 令 在口令字典等工具的帮助下很容易破解登录口令 每个管理员都可能使用相同的口令 因此 虽然访问日志可以详细记录管理员对路 由器进行登录 修改操作 但无法区分是哪位管理员进行的操作 路由器实现的动态路由协议存在着一定的安全漏洞 有可能被恶意的攻击者利用来 破坏网络的路由设置 达到破坏网络或为攻击做准备 针对路由器的拒绝服务攻击或分布式拒绝服务攻击 比如 ICMP 重定向攻击 源路 由攻击等 发布假路由 路由欺骗 导致整个网络的路由混乱 2 2 1 3 网络服务器的风险网络服务器的风险 针对 XXXX 市第 X 人民医院系统来讲 运行在专网上的各种网络服务器构成了最重要 的信息资产 如何确保这些重要的网络服务器能够稳定 可靠 安全地运行 是保证 XXXX 市第 X 人民医院系统各项业务正常开展的基础 一般来讲 网络服务器所面临的安全问题包 括 维护存储在服务器上信息的机密性 这要求保证 1 只有授权用户才可以访问服务 和信息 2 授权用户只能访问那些他们被授权访问的服务 3 信息的公开要与策 略一致 维护存储在服务器上信息的完整性 以免信息被破坏或被损坏 并使系统像期望的 那样运行 这意味着要能对完整性的破坏进行识别和响应 维护服务和信息的可用性 这要求保证 1 即使硬件或软件出故障 或进行系统的 日常维护时对信息和服务的访问也不中断 2 能及时识别并响应安全事件 确保用户名副其实 网络服务器主机也名副其实 这叫做 相互验证 2 2 1 4 网络访问的合理性网络访问的合理性 网络的访问策略是不是合理 访问是不是有序 访问的目标资源是否受控等问题 都会 直接影响到 XXXX 市第 X 人民医院系统的稳定与安全 如果存在网络内访问混乱 外来人 员也很容易接入网络 地址被随意使用等问题 将导致网络难以管理 网络工作效率下将 无法部署安全设备 对攻击者也无法进行追踪审计 这就要求系统能够对网络中发生的各种访问 乃至网络中传递的数据包进行很好的监控 特别是针对 XXXX 市第 X 人民医院专网 由于其既存在对内提供服务的设备 也存在对外提供 服务的设备 这些服务器在安装的过程中有可能没有关闭掉一些毫无用处的服务 或者即使 关闭了这些服务 也因为操作系统自身存在的漏洞而给攻击者可乘之机 特别是对互联网提 供服务的设备 很容易成为 XXXX 市第 X 人民医院专网的 安全短板 被来自互联网的攻击 者利用 从而发起对内网的攻击 2 2 1 5 数据传输的安全性数据传输的安全性 从网络结构的分析上 我们看到 对于某些省份 由于其主干网络采取政务网 第三方 不可信任网络 那么当数据以明文的方式在这种不可信任网络中进行传递和交换时 就给数 据的安全性 保密性带来极大的挑战 具体来讲对数据传输安全造成威胁的主要行为有 窃听 破译传输信息 XXXX 市第 X 人民医院网络主要用于进行重要数据和报文的 传递 具有一定的敏感性 由于使用地方政务网这样的第三方不可信任网络 攻击 者能够通过线路侦听等方式 获取传输的信息内容 造成信息泄露 或通过开放环 境中的路由或交换设备 非法截取通信信息 篡改 删减传输信息 攻击者在得到报文内容后 即可对报文内容进行修改 造成 收信者的错误理解 即使没有破译传输的信息 也可以通过删减信息内容等方式 造成对信息的破坏 比如将一份报文的后半部分去掉 造成时间 地点等重要内容 的缺失 导致信息的严重失真 重放攻击 即使攻击者无法破译报文内容 也无法对报文进行篡改或删减 但也可 以通过重新发送收到的数据包的方式 进行重放攻击 对于一些业务系统 特别是 数据库系统 这种重放攻击会造成数据失真以及数据错误 伪装成合法用户 利用伪造用户标识 通过电子邮件 实时报文或请求文件传输得 以进入通信信道 实现恶意目的 例如 伪装成一个合法用户 参与正常的通信过 程 造成数据泄密 2 2 22 2 2应用系统风险分析应用系统风险分析 XXXX 市第 X 人民医院应用系统包括 HIS LIS PACS EMR 办公自动化系统 档 案文件管理与内容管理系统等 这些应用建立在硬件平台 操作系统平台 数据库系统平台 中间件系统平台 办公自动化系统平台和 XXXX 市第 X 人民医院网站系统平台之上 因此 对 应用系统安全风险的分析也就是对各种系统平台的安全风险分析 2 2 2 1 硬件平台风险分析硬件平台风险分析 硬件平台的安全风险包括硬件平台的安全威胁和脆弱性 它的某些安全威胁和脆弱性也 影响着软件资产和数据资产 具体而言 软件是安装在服务器 工作站等硬件之上的 所以 软件资产的安全威胁和脆弱性也就必然要包括这些硬件所受的技术故障 人员错误以及物理 和环境的威胁和脆弱性 而数据是依赖于软件而存在的 也就是说数据资产也间接地依赖于 某些硬件 因此数据资产的安全威胁和脆弱性也显然包括了服务器 工作站等硬件所受的技 术故障 人员错误以及物理和环境的威胁和脆弱性 硬件平台的安全风险主要表现在 火灾 水灾 鼠害 地震 雷电等意外的天灾 偷窃 是指非法用户盗窃财政机构硬件资产和数据资产的可能性 它包括内部 人员的偷窃和外部人员的偷窃 人员故意损害 是由于用户心存不满 意在报复而采取的破坏行为和引起系统 或维护环境上的物理 软件和数据损坏发生的可能性 它包括内部人员故意损 害 外部人员故意损害和恐怖主义 2 2 2 2 操作系统平台风险分析操作系统平台风险分析 操作系统平台的安全风险主要来自为针对操作系统漏洞的攻击 安全漏洞是指任意的允 许非法用户未经授权许可获得访问或提高其访问层次的硬件或软件特征 安全漏洞就是某种 形式的脆弱性 2 2 2 2 1UNIX 操作系统安全漏洞操作系统安全漏洞 UNIX 类服务器和工作站由于其出色的稳定性和高性能而成为大型网络系统常采用的操 作系统 当前承担着 XXXX 市第 X 人民医院应用的关键任务 缺省安装的 UNIX 操作系统 以 HP UNIX 为例 会存在以下安全漏洞 FINGER 泄露系统信息 各类 RPC 存在大量的远程缓冲区溢出 泄露系统信息 SENDMAIL 许多安全漏洞 垃圾邮件转发等 NAMED 远程缓冲区溢出 拒绝服务攻击等 SNMP 泄露系统信息 操作系统内核中的网络参数存在许多安全隐患 IP 转发 堆栈参数等 存在各种缓冲区溢出漏洞 存在其它方面的安全漏洞 2 2 2 2 2微软操作系统微软操作系统安全漏洞安全漏洞 Windows 操作系统由于其简单明了的图形化操作界面 以及逐渐提高的系统稳定性等因 素 正逐步成为主要的网络操作系统 并且在 XXXX 市第 X 人民医院网络中占有重要地位 Windows 系统的安全水平取决于管理员在安装过程 补丁安装过程 应用服务配置过程中的 安全修养和实际考虑 缺省安装的 WINDOWS 操作系统的安全问题非常严重 它们通常会出 现下述安全漏洞 没有安装最新的 Service Pack 没有关闭不必要的系统服务 最新的 SERVICE PACK 没有解决的安全漏洞 缺省安装的服务程序带来的各种安全漏洞 系统注册表属性安全漏洞 文件系统属性安全漏洞 缺省帐号安全漏洞 文件共享方面的安全漏洞 其它方面的各种安全漏洞 2 2 2 3 数据库系统平台风险分析数据库系统平台风险分析 数据库系统一般可以理解成两部分 一部分是数据库 按一定的方式存取数据 另一部 分是数据库管理系统 DBMS 为用户及应用程序提供数据访问 并具有对数据库进行管理 维护等多种功能 随着计算机在社会各个领域的广泛应用 信息系统中的数据库管理系统担 负着集中处理大量信息的使命 但是数据库通常没有像操作系统和网络那样在安全性上受到 重视 数据完整性和合法存取会受到很多方面的安全威胁 包括对数据库中信息的窃取 篡 改和破坏 计算机病毒 特洛伊木马等对数据库系统的渗透 攻击 系统后门以及本身的安 全缺陷等 数据库系统平台是应用系统的基础 其面临的安全风险包括 偶然的 无意的侵犯 或破坏 自然的或意外的事故 例如地震 水灾和火灾等导致 的硬件损坏 进而导致数据的损坏和丢失 硬件或软件的故障 错误导致的数据丢失 硬件或软件的故障 错误导致可能导致系统 内部的安全机制的失效 也可导致非法访问数据或系统拒绝提供数据服务 人为的失误 操作人员或系统的直接用户的错误输入 应用系统的不正确的使用 蓄意的侵犯或敌意的攻击 授权用户可能滥用他们的权限 蓄意窃取或破坏信息 病毒 病毒可以自我复制 永久的或通常是不可恢复的破坏自我复制的现场 到达破 坏信息系统 取得信息甚至使系统瘫痪 特洛伊木马 一些隐藏在公开的程序内部收集环境的信息 可能是由授权用户安装 不经意的 的 利用用户的合法权限窃取数据 隐通道 是隐藏在合法程序内部的一段代码 在特定的条件下启动 从而许可此时的 攻击可以跳过系统设置的安全稽核机制进入系统 以达到窃取数据的目的 信息的非正常的扩散 泄密 对信息的非正常的修改 包括破坏数据一致性的非法修改以及删除 绕过 DBMS 直接对数据进行读写 2 2 2 4 中间件系统平台风险分析中间件系统平台风险分析 对于中间件的安全风险主要是在网络互连及数据通信过程中来自不速之客的非法性动作 主要有非法截取阅读或修改数据 假冒他人身份进行欺骗 未授权用户访问网络资源等 2 2 2 5 办公自动化系统平台风险分析办公自动化系统平台风险分析 硬件 软件故障造成系统瘫痪 计算机病毒的入侵 特洛伊木马的恶意程序造成失密 邮件系统故障 办公终端非法连接互联网 2 2 2 6 XXXX 市第市第 X 人民医院网站系统平台风险分析人民医院网站系统平台风险分析 拒绝服务攻击 端口扫描 篡改网站主页 非授权用户访问 冒充合法用户的访问 Web 服务器主机的详细信息被泄漏 Web 服务器私人信息和保密信息被窃 利用 Bug 对 Web 站点进行破坏 互联网上传输信息被非法截获 纳税人信息和申报数据被非法篡改 2 2 32 2 3安全风险分析汇总安全风险分析汇总 安全风险类别安全风险类别安全风险描述安全风险描述安全需求安全需求 来自外接专网的越权访问越权访问访问控制 UTM 实现 来自外接专网的恶意攻击恶意攻击 入侵检测 入侵防御 实现 来自外接专网的病毒入侵病毒入侵病毒防护 UTM 实现 来自政务网系统同级 上级和 下级节点的越权访问越权访问 访问控制 UTM 实现 来自政务网系统同级 上级和 下级节点的恶意攻击恶意攻击 入侵检测 入侵防御 实现 网络访问的合理性 来自政务网系统同级 上级和 下级节点的病毒入侵病毒入侵 病毒防护 UTM 实现 利用 TCP IP 弱点进行拒绝服拒绝服 务攻击务攻击 边界隔离 UTM 实现 利用 TCP IP 弱点进行 IPIP 欺骗欺骗 攻击攻击 边界隔离 UTM 实现 TCP IP 的弱点 蠕虫病毒攻击蠕虫病毒攻击 系统加固 后期安全 项目解决 路由器弱口令的风险 漏洞扫描 后期安全 项目解决 口令明文传递的风险 加密传输 后期安全 项目解决 网网 络络 架架 构构 网络设备的风险 假路由 路由欺骗攻击 漏洞扫描 后期安全 项目解决 敏感信息在广域网 中传输的安全隐患 文件查询系统在传输过程中被 窃取 篡改 删除 通讯信道加密 后期 安全项目解决 网络及系统漏 洞的安全隐患 黑客利用已知的漏洞对网络或 系统进行恶意攻击 漏洞扫描 后期安全 项目解决 不能实时监控关键业务主机硬 件系统的运行情况 集中安全管理 主机性能监控 后 期安全项目解决 不能实时报告关键业务主机系 统故障 集中安全管理 主机稳定性监控 后期安全项目解决 关键业务主机出现故 障和系统漏洞的安全 隐患 操作系统的安全级别低 缺乏 对使用关键业务主机操作系统 用户权限的严格控制 文件系 统的保护等 访问控制 主机安全防护 UTM 实现 应应 用用 系系 统统 数据库系统的安全隐 患 不能实时监控数据库系统的运 行情况包括 数据库文件存储 空间 系统资源的使用率 配 置情况 数据库当前的各种死 锁资源情况 数据库进程的状 态 进程所占内存空间等 集中安全管理 数据库稳定性监 控 日志审计系统解 决 2 32 3安全需求分析安全需求分析 根据上面所分析的内容 可以看到 XXXX 市第 X 人民医院系统目前存在着较多的安全 隐患 作为部门 XXXX 市第 X 人民医院系统各项业务的开展直接影响到医院事务 这种职 能使 XXXX 市第 X 人民医院系统受到更多的关注 遭遇攻击威胁的可能性很高 综合上面 的描述 下面从网络安全 应用安全 管理安全的角度出发 归纳出 XXXX 市第 X 人民医 院网络主要存在的安全需求为 边界防护需求 入侵防御需求 日志审计需求 桌面管理需 求 2 3 12 3 1边界防护的需求边界防护的需求 边界防护的设计是将组织的网络 根据其信息性质 使用主体 安全目标和策略的不同 来划分为不同的安全域 从纵向上我们将 XXXX 市第 X 人民医院网络划分内网和外网两个 层面 从横向上又分为服务器群和办公内网三个组成部分 从而形成多个安全域 不同的安 全域之间形成了网络边界 通过边界保护 严格规范 XXXX 市第 X 人民医院网络系统内部 的访问 防范不同网络区域之间的非法访问和攻击 从而确保 XXXX 市第 X 人民医院网络 各个区域的有序访问 一般来说边界防护采用的主要技术是 UTM 安全网关技术 根据 XXXX 市第 X 人民医院的具体情况 并结合用户的需求 在本技术方案中 我们将在 互联网和 XXXX 市第 X 人民医院网络之间采取逻辑隔离技术 即使用 UTM 安全网关系统 而在 XXXX 市第 X 人民医院内网和数据中心之间采用入侵防御技术来实现 XXXX 市第 X 人民医院网 络和 XXXX 市第 X 人民医院数据中心之间的安全数据交换 2 3 1 1 UTM 安全网关安全网关 UTM 安全网关是指设置在不同网络 如可信任的组织内部网和不可信任的公共网 或网 络安全域之间的一系列部件组合 UTM 安全网关通常位于不同网络或网络安全域之间信息的 唯一连接处 根据组织的业务特点 行业背景 管理制度所制定的安全策略 运用包过滤 病毒过滤 代理网关 NAT 转换 IP MAC 地址绑定等技术 实现对出入网络的信息流进行全 面的控制 允许通过 拒绝通过 过程监测 控制类别包括 IP 地址 TCP UDP 端口 协议 服务 连接状态等网络信息的各个方面 UTM 安全网关本身必需具有很强的抗攻击能力 以 确保其自身的安全性 UTM 安全网关可实现以下的基本功能 监控并限制访问监控并限制访问 针对黑客攻击的不安全因素 UTM 安全网关采取控制进出内外网的数据包的方法 实时 监控网络上数据包的状态 并对这些状态加以分析和处理 及时发现存在的异常行为 同时 根据不同情况采取相应的防范措施 从而提高系统的抗攻击能力 控制协议和服务控制协议和服务 针对网络协议设计的先天缺陷 UTM 安全网关采取控制协议和服务的方法 使得只有授 权的协议和服务才可以通过 UTM 安全网关 从而大大降低了因某种服务 协议的漏洞而引起 灾难性安全事故的可能性 保护网络内部保护网络内部 针对软件及系统的漏洞或 后门 UTM 安全网关采用了与受保护网络的操作系统 应用 软件无关的体系结构 其自身建立在安全操作系统之上 同时 针对受保护的内部网络 UTM 安全网关能够及时发现系统中存在的漏洞 进行访问上的限制 UTM 安全网关还可以屏蔽受 保护网络的相关信息 使黑客无从下手 病毒过滤病毒过滤 UTM 安全网关内部具有病毒过滤功能 利用病毒过滤的功能 可以有效的防范针对内部 网络的病毒防范问题 确保安全高效的访问互联网 日志记录与审计日志记录与审计 当 UTM 安全网关系统被配置为工作在不同安全域之间的关键节点时 UTM 安全网关系统 就能够对不同安全域之间的访问请求做出日志记录 日志是对一些可能的攻击行为进行分析 和防范的十分重要的情报 另外 UTM 安全网关系统也能够对正常的网络使用情况做出统计 这样网络管理员通过对统计结果进行分析 掌握网络的运行状态 继而更加有效的管理整个 网络 针对 XXXX 市第 X 人民医院系统的具体情况 我们得到对 UTM 安全网关的需求包括以 下几个方面 访问控制访问控制 UTM 安全网关必须能够实现网络边界的隔离 具有基于状态检测的包过滤功能 能 够实现针对源地址 目的地址 网络协议 服务 时间 带宽等的访问控制 能够实现 邮件内容过滤 支持网络地址转换等功能 高效率高效率 由于 UTM 安全网关被部署在 XXXX 市第 X 人民医院系统不同安全域之间的关键节 点上 因此从某种意义上讲 UTM 安全网关的工作效率就决定了 XXXX 市第 X 人民医 院网络的工作效率 所以采用的 UTM 安全网关设备必须有较高的工作效率 确保网络原 有的吞吐率 延迟等重要的指标尽量不受到 UTM 安全网关的干扰 高可靠性高可靠性 由于 UTM 安全网关是网络中的重要设备 意外的宕机都会造成网络的瘫痪 因此 UTM 安全网关必须是运行稳定 故障率低的系统 并且要求能够实现双机热备 最好能 够实现 UTM 安全网关集群技术 以保证不间断的网络服务 病毒过滤病毒过滤 UTM 安全网关内部具有病毒过滤功能 利用病毒过滤的功能 可以有效的防范针对内部 网络的病毒防范问题 确保安全高效的访问互联网 日志和审计日志和审计 要求 UTM 安全网关能够对重要关键资源的使用情况应进行有效的监控 UTM 安全 网关系统应有较强的日志处理能力和日志分析能力 能够实现日志的分级管理 自动报 表 自动报警功能 同时希望支持第三方的日志软件 实现功能的定制 高安全性高安全性 作为安全设备 UTM 安全网关本身必须具有高安全性 本身没有安全漏洞 不开放 服务 可以抵抗各种类型的攻击 可以有效抵抗拒绝服务攻击的能力 防范攻击者利用 TCP IP 协议自身弱点发起对 XXXX 市第 X 人民医院专网系统的攻击 可以扩展可以扩展 系统的建设必须考虑到未来发展的需要 系统必须具有良好的可扩展性和良好的可升 级性 易于管理易于管理 系统的安装 配置与管理尽可能的简洁 安装便捷 配置灵活 操作简单 支持支持 VPNVPN 加密传输加密传输 针对 XXXX 市第 X 人民医院系统数据明文传输的风险 要求 UTM 安全网关必须支 持 VPN 加密模块 在 XXXX 市第 X 人民医院系统利用互联网进行数据传输的过程中 将数据进行加密 使数据以密文的方式被传递 防范数据被政务网内攻击者窃取的风险 同时 VPN 模块还支持数据完整性校验和抗重放攻击的能力 进一步加强数据传输的安全 性 2 3 22 3 2入侵入侵防御防御系统系统 利用 UTM 安全网关技术 经过仔细的配置 通常能够在内外网之间提供安全的网络保 护 降低了网络安全风险 但是入侵者可寻找 UTM 安全网关背后可能敞开的后门 或者入 侵者也可能就在 UTM 安全网关内 网络入侵防御系统位于有敏感数据需要保护的网络上 通过实时侦听网络数据流 寻找 网络违规模式和未授权的网络访问尝试 当发现网络违规行为和未授权的网络访问时 网络 监控系统能够根据系统安全策略做出反应 包括切断访问 实时报警 事件登录 或执行用 户自定义的安全策略等 入侵防御系统部署在网络中的服务器区 这里我们建议在 XXXX 市第 X 人民医院网络 中引入入侵防御系统 监视并记录网络中的所有反问行为和操作 有效防止非法操作和恶意 攻击 同时 入侵检测系统还可以形象地重现操作的过程 可帮助安全管理员发现网络安全 的隐患 UTM 安全网关系统是基于策略的对网络边界实施静态安全防范的技术 根据系统的策略 IP Address port 只允许通过策略所允许的数据包 但不能切断隐藏在正常数据包中的黑客 攻击试图 而且 对于不通过 UTM 安全网关的数据包 内部的相互访问数据或者是通过其 他手段绕过 UTM 安全网关的数据 UTM 安全网关也不能对其进行检测 UTM 安全网关在 进行边界防护方面 其局限性主要体现在以下几个方面 UTM 安全网关无法探测及完全防御流行的拒绝服务攻击 DoS DDoS 及尼姆达 Nimda 病毒等的攻击 UTM 安全网关仅对数据包头进行分析并依据策略进行判断 而不对数据包的负载 或内容进行深层次的分析 对规则中允许的端口和服务一直视为正常的用户 不 执行保安功能 在遭到黑客攻击后 因 UTM 安全网关不保留数据包内容的日志 所以事后无法把 日志作为监查日志 而入侵检测系统把数据包内容完整的作为日志保留 可用于 事后的审计 UTM 安全网关对内部用户的误用 滥用及内部用户的攻击行为无能为力 因此 入侵防御系统作为网络服务器系统的安全防线 对在 UTM 安全网关系统阻断攻击 失败时 最大限度地减少相应的损失 也可以与 UTM 安全网关等安全产品进行联动 实现动 态的安全维护 针对 XXXX 市第 X 人民医院系统的具体情况和行业特点 我们得到的入侵防御的需求 包括以下几个方面 入侵检测要求入侵检测要求 能够对攻击行为进行检测 是对入侵检测设备的核心需求 要求可以检测的种类包括 异常行为检测 包括针对各种服务器的攻击等 可移动存储设备检测 拨号上网检 测等等 自身安全性要求自身安全性要求 作为网络安全设备 入侵检测系统必须具有很高的安全性 配置文件需要加密保存 管理台和探测器之间的通讯必须采用加密的方式 探测器要可以去除协议栈 并且能 够抵抗各种攻击 日志审计要求日志审计要求 系统能对入侵警报信息分类过滤 进行统计或生成报表 对客户端 服务器端的不同 地址和不同服务协议的流量分析 可以选择不同的时间间隔生成报表 反映用户在一 定时期内受到的攻击类型 严重程度 发生频率 攻击来源等信息 使管理员随时对 网络安全状况有正确的了解 可以根据管理员的选择 定制不同形式的报表 实时响应要求实时响应要求 当入侵防御报警系统发现网络入侵和内部的违规操作时 将针对预先设置的规则 对 事件进行实时应急响应 根据不同级别的入侵行为能做出不同方式告警 用以提醒管 理人员及时发现问题 并采取有效措施 控制事态发展 报警信息要分为不同的级别 对有入侵动机的行为向用户显示提示信息 对严重的违规现象实行警告通知 对极其 危险的攻击可进行及时阻断 以及向安全管理中心报告 另外 必须在基于规则和相 应的报警条件下 对不恰当的网络流量进行拦截 服务要求服务要求 入侵防御系统必须提供全面的服务 入侵特征库的升级必须要及时 并且要提供对入 侵检测报表的分析帮助 2 3 32 3 3日志集中审计安全需求日志集中审计安全需求 在 XXXX 市第 X 人民医院信息安全保障体系使用了多种安全子系统后 为了充分发挥 各子系统的功能 建立有效的信息安全保障体系 本方案提出以下安全需求 实现安全设备和安全软件网络化集中管理 实施全面实时监控 保障安全设备和系 统正常运转的中心 实现安全日志 网络日志 服务器日志等信息收集 信息相关性分析全方位安全管 理的中心 实现系统动态反应和应急处理的中心 制订和实施安全设备和系统运行策略 确保安全设备和系统的高效运转 实现组织 安全目标的中心 各种安全资源 包括了软件 硬件 人员 规章等要素的集中管理的中心 因此 在 XXXX 市第 X 人民医院信息安全保障体系中必须建立日志集中审计体系 2 3 42 3 4桌面管理系统需求桌面管理系统需求 在 XXXX 市第 X 人民医院信息网络中 整体网络分为了内部网络和外部网络 但由于 网络目前的状况等原因 导致目前内外网没有进行明确的划分 随着用户的网络更加开放 往往需要支持包括访问互联网 访问特定网站 内部用户使用移动介质等多种应用 而内部 用户又需要访问不同级别的重要而敏感的内部信息 这使得网络的边界在不断向外延伸 也 变的越来越模糊 于是 对于网络中的端点 尤其是终端 经常处于一种高风险的状态 安 全防护尤显重要 一方面 只要网络的一个终端被入侵 整个网络都将处于危险之中 而随着边界的模糊 化 终端遭受入侵的可能性大大增加 另一方面 由于缺乏安全意识 缺少管理和监督 网络边界内部的终端合法用户时常发 生有意无意的违规行为 这些都可能导致整个网络安全的保密性 完整性和可用性面临挑战 根据 FBI 和 CSI 对 484 家公司进行的网络安全专项调查结果显示 超过 85 的安全威胁来自 公司内部 在损失金额上 由于内部人员泄密导致了 6056 5 万美元的损失 是黑客造成损失 的 16 倍 是病毒造成损失的 12 倍 另据中国国家信息安全测评认证中心调查 信息安全的 现实威胁也主要为内部信息泄露和内部人员犯罪 而非病毒和外来黑客引起 除了来自外部和内部针对终端的威胁 国家 行业主管机构 企业和组织自身越来越强 调的内控和风险管理也要求用户对边界内部的终端运行及其用户行为进行合规性审计 在国 家信息系统等级保护 国家保密局 BMB17 20 银行证券系统的内控指引 ISO27000 等各种 相关的文件规范中都涉及到了移动存储介质管理 终端设备网络接入控制 操作系统和应用 软件安全漏洞修补 终端用户操作审计 计算机违规外联监测等一系列内容 这些都对终端 安全提出了要求 针对上述挑战 桌面安全管理系统就可以为用户提供包括终端接入控制 终端安全加固 终端合规审计 终端数据保护在内的全面终端安全管理解决方案 桌面安全管理系统能够保证网络中用户和设备 例如 U 盘 的可信性 确保只有受信用 户才能使用网络资源 只有受信的设备才允许在网络中使用 只有符合安全准入标准的终端 才能接入网络 桌面安全管理系统能够对终端的操作系统脆弱性进行检查 及时分发补丁和加固系统 最大限度地提升终端的安全强度 桌面安全管理系统能够对操作终端的用户行为进行监控和合规审计 防止终端用户滥用 网络资源导致的工作效率以及网络可用性的下降 阻止终端用户的各种违规企图 例如非法 外联 非法通过邮件发送涉密信息 等等 桌面安全管理系统能够对终端上的重要数据资产进行保护 防止重要数据从网络中任何 渠道泄漏到外部 最大限度地保护企业和组织的重要资产 如果我们将网络边界之内的网络称为内网 那么终端安全管理的主要目的就是终端安全 2 42 4系统安全建议系统安全建议 本方案通过对 XXXX 市第 X 人民医院系统对外服务的网络和应用现状的细致风险分析 和安全需求理解 并与 XXXX 市第 X 人民医院的技术人员进行了