APP安全建设方案

安全建设方案 1 医院服务窗医院服务窗 安全建设方案安全建设方案 2014 年年 9 月月 安全建设方案 2 目目 录录 一 医院服务窗背景介绍 3 二 医院服务窗网络安全解决方案 3 三 安全设备效果及性能简介 4 3 1 防火墙 4 3 1 1 设备技术参数 5 3 2 网闸 5 3 2 1 设备技术参数 6 3 3 入侵检测 IDS 6 3 3 1 设备详细技术参数 7 3 4Web 应用安全防护 WAF 7 3 4 1 设备技术参数 8 3 5 防病毒网关 8 3 5 1 设备技术参数 9 四 安全设备架构建议 9 五 安全设备部署实施时间计划表 10 六 安全设备厂商及产品选择参考 11 七 安全防护应用等级参考价 13 7 1 安全防护套装 A 系列 13 7 2 安全防护套装 B 系列 14 安全建设方案 3 一 一 医院服务窗背景介绍医院服务窗背景介绍 随着 3G 4G 时代的到来 大家越来越习惯使用智能手机来查询 和商户 的互动 来自中国互联网络信息中心 CNNIC 的 2013 中国互联网络发展状 况统计报告 显示 截至 2013 年底 中国手机网民规模达到约 4 6 亿人 占整 体网民的比例达到 78 5 而最近几年 互联网在快速颠覆和改变很多传统行业 包括零售 通讯 医疗等行业 医院作为特殊的事业单位 涉及到 13 亿中国人的福祉 但一直 存在 挂号难 看病难 看病贵 医生劳动与回报 突出的问题 之所以出 现这种状态是由于两方信息的不对称 医患不融合 我们知道 解决任何双方 矛盾的根本是平台的建设 只有双方在一个平台中共同努力 协调利益 才能 有效解决问题 目前支付宝将对医疗机构开放自己的平台能力 包括账户体系 移动平台 支付及金融解决方案 云计算能力等 通过支付宝钱包中的服务窗可以提供患 者与医院交流的一个公众服务平台 这也就为医院提高就医体验 掌握病人就 医行为提供了可能 也为医院将更优质的服务通过互联网提供给病人提供了可 能 医院服务窗正是基于支付宝钱包服务窗向患者提供的医疗服务平台 在这 个平台上患者及其家属可以通过服务窗自助完成预约挂号 诊间支付以及查看 患者感兴趣的信息 使医院和患者之间就建立了一种信任关系 进一步增加了 患者对医院的信赖感和黏度 从而达到和谐医患关系的目标 二 二 医院服务窗网络安全解决方案医院服务窗网络安全解决方案 医院服务窗的终端用户 病友及访客 是通过互联网来访问医院服务窗的 IIS 服务器获取信息 由于医院服务窗的 IIS 服务器位于医院内部网络且需要向 医院的核心服务器 HIS 服务器提取相关数据 整个数据链路涉及内网及外网 为降低数据流被意外安全事件中断的机率 保证整个业务高效 流畅地运转 现为相关数据流设计如下网络安全防护体系 下图是医院服务窗系统在应用过程中一个典型的安全防护设备部署拓补图 医院服务窗的终端用户通过各种移动设备 智能手机 智能平板等 经过互联 网向 IIS 服务器查询数据 数据流会先经过安全设备的第一道门槛 防火墙 然 安全建设方案 4 后再经防病毒网关到达第二道门槛 WEB 应用防护设备到达 IIS 服务器 IIS 服 务器得到请求后会根据终端要求查询的内容向 HIS 核心服务器提取相关数据 这时数据流会经过安全防护设备的第三道门槛 网闸到达 HIS 服务器 在医院内 部核心交换机处还有一个安全防护设备 IDS 来保证监视整个医院内部网络的攻 击行为或异常现象为快速排错及故障定位提供保障 以上提到的各种安全设备 层层防护 相互补充 在最大程度上保证了整个医院服务窗及网络系统的安全 应用 各设备的具体防护功能及特性将在后面的章节详细介绍 产品部署网络拓扑图如下 产品部署网络拓扑图如下 三 三 安全设备效果及性能简介安全设备效果及性能简介 3 1 防火墙防火墙 防火墙部署于医院内部网络与互联网边界处 是整个网络安全防护的基础 实施 主要对需要访问医院服务窗 IIS 服务器的外部用户经行访问控制 起到 对于网络层数据流和攻击的防御 同时在蠕虫病毒大爆发的时候可防止外部用 户将其感染到本安全域之内 造成更大更严重的损失 安全建设方案 5 防火墙按性能可分为万兆 千兆 百兆三大类 其中千兆及百兆应用最为 普遍 万兆高端防火墙主要应用于 ISP 及大型骨干网中 中端千兆防火墙主要 应用于企事业单位 百兆的低端防火墙主要针对桌面级应用 如医院网络边界 处已有防火墙设备则此处不用考虑 3 1 1 设备技术参数设备技术参数 防火墙防火墙 百兆百兆 网御星云网御星云 PowerPower V6000 F1500 ZKV6000 F1500 ZK 系统为 VSP 通用安全平台并具备其证书 设备至少具备三操作系统 MiniOS SystemA SystemB 均可启动配置选择 且在 WEB 界面可 明确启动选项 用户可自由选择当前引导系统 保障稳定性 并发连接数 150 万 吞吐量 800Mbps IPSec 隧道数 2000 标 准 1U 机箱 标配 10 个 10 100MBASE T 接口 支持多端口聚合 实 现零成本扩展带宽 支持异常主机快速定位功能 防火墙防火墙 千兆千兆 网御星云网御星云 PowerPower V6000 F2050 JWV6000 F2050 JW 系统为 VSP 通用安全平台并具备其证书 设备至少具备三操作系统 MiniOS SystemA SystemB 均可启动配置选择 且在 WEB 界面可 明确启动选项 用户可自由选择当前引导系统 保障稳定性 并发连接数 180 万 吞吐量 3Gbps IPSec 隧道数 5000 标 准 1U 机箱 标配 6 个 10 100 1000BASE T 接口 4 个 SFP 接口 支持多端口聚合 实现零成本扩展带宽 支持异常主机快速定位功 能 3 2 网闸网闸 网闸的部署至关重要 它部署在 IIS 服务器与 HIS 数据库之间 因为用户 通过 IIS 服务器向 HIS 数据库提取数据时 无论在安全性还是保密性的角度来 看 网闸的部署进一步提升了安全的等级 到达物理隔离 两个网络之间没有 任何物理连接 没有任何网络协议可以直接穿透 并可以实现 协议落地 内 容检测 这样 既从物理上隔离 阻断了具有潜在攻击可能的一切连接 又进 行了强制内容检测 从而实现最高级别的安全 有效的将两网之间实现了安全 隔离与业务数据安全 可靠的交换 通过这种部署方式 可以为访问提供更高 的安全性保障 确保核心数据库在对外提供数据时不被攻击 篡改 破坏 安全隔离信息交换系统 网闸 该产品是利用网络隔离技术的访问控制产 品 处于网络边界 连接两个或多个安全等级不同的网络 主要应用于对重点 数据提供高安全隔离的保护 国家保密局对安全隔离与信息交换类产品的应用也做了规定 规定安全隔 安全建设方案 6 离与信息交换系统在以下四种网络环境下应用 不同的涉密网络之间 同一涉密网络的不同安全域之间 与Internet物理隔离的网络与秘密级涉密网络之间 未与涉密网络连接的网络与Internet之间 3 2 1 设备技术参数设备技术参数 网闸网闸 网御星云网御星云 SIS SIS 3000 Z1A00 ZK3000 Z1A00 ZK 机架式设备 采用 2 1 架构 并提供公安部计算机信息系统安全产品质量 监督检验中心检验报告证明 不少于 8 个 10 100 1000M 自适应电口 内 外网主机系统分别具有独立的网络口 管理口 HA 口 热备口 4 个 USB 口 网络延时小于 5ms 系统总延时小于 1ms 开关切换时间小于 10ns 数据摆渡速度大于 200Mbps 并发连接数大于 15000 具备文件交 换 FTP 访问 数据库传输 邮件传输 安全浏览 定制访问 安全通道 视频传输等模块 支持所有模块全面病毒过滤 网闸网闸 网御星云网御星云 SIS SIS 3000 Z2A00 JW3000 Z2A00 JW 机架式设备 采用 2 1 架构 并提供公安部计算机信息系统安全产品质量 监督检验中心检验报告证明 不少于 12 个 10 100 1000M 自适应电口 内 外网主机系统分别具有独立的网络口 管理口 HA 口 热备口 4 个 USB 口 网络延时小于 1ms 系统总延时小于 1ms 开关切换时间小于 10ns 数据摆渡速度大于 750Mbps 并发连接数大于 50000 具备文件交 换 FTP 访问 数据库传输 邮件传输 安全浏览 定制访问 安全通道 视频传输等模块 支持所有模块全面病毒过滤 3 3 入侵检测 入侵检测 IDS 在安全防护系统中 若不良来访者被允许访问 它会对用户网络做出令网 络管理者无法控制的事情 如果系统配备了入侵检测 IDS 这种破坏性行为 将被抑制 我们知道 网络总是要提供服务的 对于一些常用的服务如浏览和 E mail 收发等 防火墙只做到允许或者拒绝各种各样访问者访问这些服务 无 法判定具有攻击行为的访问是否会摧毁防火墙 这就好像门卫难以判定每个来 访者是办事者还是偷窃者一样 如果墙角 或其他什么位置 安装了微型摄像机 能够监视来访者的一举一动 保安人员便可以根据来访者的行为及时发现不法 分子 及时报警 确保办公与居住人员的安全 我们在核心交换区域部署 IDS 监听设备 在此位置 它在不影响整体网络业务性能的情况下 能监听到所有 访问业务服务器区域和内网区域的所有行为举动 若有异常行为可联合防火墙 等进行安全联动 阻断非法行为 同时为我们出现问题后的事后取证与行为还 原提供了充分的依据 安全建设方案 7 3 3 1 设备详细技术参数设备详细技术参数 入侵检测系入侵检测系 统统 网御星云网御星云 TD3000 TD3000 FS1000 ZKFS1000 ZK 探测器引擎的操作系统为 VSP 通用安全平台 具备高效 智能 安全 健壮 易扩展等特点 提供相关证明材料 要求 IDS 为专业的旁路检测类产品 因此要求不得以 IPS 旁路部署的方 式提供 不能串接部署 产品应至少支持 1 个通讯接口 以及 不少于 5 个 10 100 1000M 监听口 不小于 500Mbps 不小于 100 万 超过 3000 条的检测规则 全面兼容 CVE BugTraq 等国 际标准漏洞库 入侵检测系入侵检测系 统统 网御星云网御星云 TD3000 TD3000 GS1820 JWGS1820 JW 探测器引擎的操作系统为 VSP 通用安全平台 具备高效 智能 安全 健壮 易扩展等特点 提供相关证明材料 要求 IDS 为专业的旁路检测类产品 因此要求不得以 IPS 旁路部署的方 式提供 不能串接部署 产品应至少支持 1 个通讯接口 不少 于 5 个 10 100 1000M 电口监听口 不少于 2 个千兆 SFP 光口监 听口 冗余双电源 不小于 1Gbps 不小于 120 万 超过 3000 条的检测规则 全面兼容 CVE BugTraq 等国际标准漏洞库 3 4Web 应用安全防护应用安全防护 WAF WAF Web Application Firewall 工作在应用层 提供专业的针对医院服 务窗 IIS 服务器 Web 应用的防护 提供 Web 应用交互内容以及 Web 页面中代 码漏洞的检测防御和 Web2 0 时代动态网站的应用防护 通过执行应用会话内 部的请求来处理应用层 它专门保护 Web 应用通信流和所有相关的应用资源免 受利用 Web 协议或应用程序漏洞发动的攻击 WAF 可以阻止将应用行为用于 恶意目的的浏览器和 HTTP 攻击 一些强大的应用安全网关甚至能够模拟代理 成为基于 web 的应用服务器接受应用交付 部署与所有基于 web 应用的服务器 群签名 形象的来说相当于给原 web 应用服务器群加上了一个安全 的绝缘外壳 WAF 针对常见的 Web 业务系统 提供综合的 Web 应用安全解决 方案 确保用户 Web 业务风险最小化 WAF 通过对进出 Web 应用服务器的 http 流量相关内容的实时分析检测 过滤 来精确判定并阻止各种 Web 应用攻击行为 阻断对 Web 应用服务器的 恶意访问与非法操作 如 SQL 注入 XSS Cookie 篡改以及应用层 DoS 攻击 等 有效应对网页篡改 网页挂马 敏感信息泄露等安全问题 系统使用主动 实时监测过滤技术 将恶意代码 非授权篡改 应用攻击等众多威胁进行综合 防范 从而做到对医院服务窗对外提供服务的 IIS 应用服务器的多重保护 确 保 IIS 应用安全的最大化 充分保障 IIS 应用的高可用性和可靠性 安全建设方案 8 通过部署一台WAF管理多个独立的Web应用 各Web应用可采用不同的安全策 略 可以在不修改用户网络架构的情况下增加新的应用 为多元化的Web业务运 营机构提供显著的运营优势与便利条件 可以实时配置修改多个后台Web系统 而无需让Web系统下线 3 4 1 设备技术参数设备技术参数 WebWeb 应用防应用防 火墙火墙 网御星云网御星云 Leadsec Leadsec 280WAF ZK280WAF ZK 产品至少可提供 1 个 RJ 45 Console 口 1 个 10 100 Base Tx 带外管理口 8 个 10 100 1000 Base T 接口 产品应具备液 晶显示屏 需采用 MIPS 多核硬件架构 非 INTEL 多核 非 X86 架构 处理器至少可支持到 2 核 吞吐率不小于 800Mbps 不小于 100 万 基于 HTTP HTTPS FTP 协议的蠕虫攻 击 木马后门 间谍软件 灰色软件 网络钓鱼等基本攻击 CGI 扫描 漏洞扫描等扫描攻击 SQL 注入攻击 XSS 攻击等 Web 攻击 应采用先进的协议分析技术对入侵特征进行分析 可有效一种防范 DNS 请求报文洪泛滥攻击 可有效对系统进行 安全性识别 WebWeb 应用防应用防 火墙火墙 网御星云网御星云 Leadsec Leadsec 850WAF JW850WAF JW 产品至少可提供 1 个 RJ 45 Console 口 1 个 10 100 Base Tx 带外管理口 12 个光电互斥接口 产品应具备液晶显示屏 需采用 MIPS 多核硬件架构 非 INTEL 多核 非 X86 架构 处 理器至少可支持到 4 核 吞吐率不小于 1 8Gbps 不小于 150 万 基于 HTTP HTTPS FTP 协议的蠕虫攻击 木马后门 间谍 软件 灰色软件 网络钓鱼等基本攻击 CGI 扫描 漏洞扫描 等扫描攻击 SQL 注入攻击 XSS 攻击等 Web 攻击 应采用先 进的协议分析技术对入侵特征进行分析 可有效一种防范 DNS 请求报文洪泛滥攻击 可有效对系统进行安全性识别 3 53 5 防病毒网关防病毒网关 在网络边界部署防病毒网关 采用高检测度接入方式 在最接近病毒发生源安全边界 处进行集中防护 对夹杂在网络交换数据中的各类网络病毒进行过滤 可以对网络病毒 蠕虫 混合攻击 端口扫描 间谍软件 P2P 软件带宽滥用等各种广义病毒进行全面的拦 截 阻止病毒通过网络的快速扩散 将经网络传播的病毒阻挡在外 可以有效防止病毒从 其他区域传播到内部其他安全域中 通过部署防病毒网关 截断了病毒通过网络传播的途 径 净化了网络流量 如医院网络边界处已有防火墙设备则此处不用考虑 安全建设方案 9 3 5 1 设备技术参数设备技术参数 防病毒网关防病毒网关 百兆 百兆 网御星云网御星云 PowerPower V6000 A1300 ZKV6000 A1300 ZK 机架式 2 个 10 100M 电口 4 个 10 100 1000M 电口和一个扩展槽 位 防病毒吞吐量 600Mbps 并发连接数 1 800 000 每秒新建 连接数 12 000 支持路由 透明 混合等各种工作模式下的网络 病毒检测 支持无 IP 地址的透明桥下的网络病毒检测模式 支持 VPN 模式下的病毒扫描 防病毒网关防病毒网关 千兆 千兆 网御星云网御星云 PowerPower V6000 A2390 JWV6000 A2390 JW 机架式 6 个 10 100 1000M 电口 2 个千兆 SFP 插槽 防病毒吞吐 量 1 5Gbps 并发连接数 2 000 000 每秒新建连接数 20 000 支持路由 透明 混合等各种工作模式下的网络病毒检 测 支持无 IP 地址的透明桥下的网络病毒检测模式 支持 VPN 模 式下的病毒扫描 四 安全设备架构建议 医院服务窗系统安全防护建设本着信息安全建设四原则进行 即 全面保障 原则 信息安全风险的控制需要多角度 多层次 从各个环 节入手 全面的保障 整体规划 分步实施 原则 对信息安全建设进行整体规划 分步实施 逐步建立完善的信息安全体系 同步规划 同步建设 同步运行 原则 安全建设应与业务系统同步规 划 同步建设 同步运行 在任何一个环节的疏忽都可能给业务系统带来危害 适度安全 原则 没有绝对的安全 安全和易用性是矛盾的 需要做到 适度安全 找到安全和易用性的平衡点 在实施过程中基于以上四原则在安全设备的配置部署上也因医院具体情况 而定 下面给出本方案中安全设备在几种常见情况下的配置组合为用户提供参 考 对于威胁的防护 可分为三个防护等级 基础防护 基础防护 通过防火墙防火墙设置网络安全策略 限制对 IP 地址及 Port 的访 问 并采用入侵检测系统 入侵检测系统 IDSIDS 对异常网络行为及攻击手段进行监测和日 志记录 该防护等级可阻止大部分已知攻击行为 但对内容不能进行检测 对系统漏洞的防护力较弱 安全建设方案 10 防护效果 所需安全设备 防火墙 入侵检测系统 主动防护 主动防护 在基础防护等级的基础上 采用 Web 应用安全防护系统应用安全防护系统可 重点针对系统应用服务器进行保护 对进出服务器数据的协议和内容进行分 析 并对应用流程进行限定 对于内容包含威胁或不符合协议和应用流程的 行为进行阻断 同时增加防病毒安全网关 防病毒安全网关 AV 对网络病毒进行查杀 该 防护等级可阻止绝大部分网络攻击及病毒传播 防护效果 所需安全设备 防火墙 入侵检测系统 Web 应用安全防护系统 防 病毒安全网关 AV 物理隔离 物理隔离 在主动防护等级的基础上 利用完全隔离与信息交换系统完全隔离与信息交换系统 网闸 网闸 对内网和外网进行物理隔离 同时实现指定业务数据的高等级安全 交换 该防护等级可阻止所有未经授权的网络操作和数据传递 杜绝外网对 内网的所有安全威胁 防护效果 所需安全设备 防火墙 入侵检测系统 Web 应用安全防护系统 防 病毒安全网关 AV 完全隔离与信息交换系统 网闸 五 五 安全设备部署实施时间计划表安全设备部署实施时间计划表 项目内容项目内容时间时间 前期调研网络状况及详细需求2 3 天 上架实施制定各种安全策略2 3 天 安全建设方案 11 上线试运行观察 随时调整策略至稳定4 天 技术文档移交1 天 日常使用及维护培训1 2 天 六 六 安全设备厂商及产品选择参考安全设备厂商及产品选择参考 在明确了我们信息安全防护的目的及重点后 我们建议从以下几个方面去 考虑对安全产品品牌及厂商的选择 1 本土化本土化 因为安全产品的特殊性及敏感性 建议在品牌及厂商选择上尽量选择国内 的厂商 信息安全领域行业在国内已经发展的十分成熟 国内的安全厂商与国 外的安全厂商从技术上讲不存在什么差距 产品质量上也没有什么明显的差距 不必盲目迷信国外厂商 且国内厂商更熟悉国情及国人的使用习惯 2 拥有自主知识产权的一线品牌厂商拥有自主知识产权的一线品牌厂商 鉴于安全本身是一个相对动态的服务 只有拥有自主知识产权厂商的产品 的工艺流程能保障更好的产品质量 其拥有强大的研发团队及服务团队更能保 证产品软件系统的延续及升级 保障相关特殊码及病毒库的及时更新 目前一 线厂商主要有网御星云 天融信 东软 启明星辰 3 提供本地化安全服务支撑 提供本地化安全服务支撑 安全服务并不只是指对安全设备提供的售前售后等服务 它是针对整个信 息化网络的安全保障提供咨询服务 解决方案 产品实施三位一体的完整的信 息安全保护体系 为客户提供风险评估服务 等级保护服务 安全体系咨询 安全运维服务和信息安全培训等 有实力 资质提供安全服务的厂商对网络安 全会掌握的更准确理解的更透彻 对用户就能提供更可靠更细致的服务保障 4 拥有各种行业 数量较大的实施案例及客户群 拥有各种行业 数量较大的实施案例及客户群 5 产品选择要素 产品选择要素 产品名产品名 称称 选择要素选择要素 产品选择时至少要具备以下特征保证产品品质 安全建设方案 12 网闸网闸 具备双系统引导 及备份恢复系统 支持 Web 及客户端认证 具 备病毒检测专用模块 具备抗 DoS DDoS 功能 内外网口分别独内外网口分别独 立配置 管理确保实现真正的网闸隔离机制立配置 管理确保实现真正的网闸隔离机制 Web 应应 用安全用安全 防护系防护系 统统 具备自由专利技术的具备自由专利技术的 SQL XSS 攻击防御技术攻击防御技术 支持 HTTPS 应用 协议解密及针对 HTTPS 应用的攻击防护 入侵检入侵检 测系统测系统 支持计算机病毒检测 病毒库数量超过 100 万 支持 Web 攻击检 测扫描 具备威胁事件实时展示功能 防火墙防火墙 具备两个操作系统 和单独的备份恢复系统 保障操作系统稳定性 具备 ISP 路由表 可实现基于运营商路由的链路负载均衡 具备服 务器负载均衡功能 支持扩展防病毒和入侵防御功能 具备 1000 万级网址智能特征库 防病毒防病毒 网关网关 支持 HTTP SMTP FTP PO3P IMAP 等多种协议下病毒防护 支持自定 义非标准端口的 HTTP SMTP FTP POP3 IMAP 协议中的病毒检测 支持过滤邮件病毒 文件病毒 恶意网页代码 木马后门 蠕虫等 多种类型的病毒 支持基于病毒防护规则设置阻断并清除病毒 记 录日志 发送电子邮件报警等 综合以上各种条件 在产品选择上我们推荐产品线丰富 性价比较高的网御星 云旗下的安全产品 安全建设方案 13 七 七 安全安全防护应用等级参考价防护应用等级参考价 7 1 安全防护套装安全防护套装 A 系列 系列 安全防护套装 A 系列能满足 1500 人同时在线访问 支持大数据量的传输 同时也能 胜任突发集中访问出现的高负荷状况 以及业务高峰时频繁访问等极端条件下的处理能力 推荐三甲医院采用该套装方案 套装套装 A1A1 基础防护级 基础防护级 产品名称产品名称产品规格产品规格中联价格中联价格市场建议价市场建议价 网御星云防火墙 Power V6000 F2050 JW55000 00 70000 00 网御星云入侵检测系统 IDS TD3000 GS1820 JW135000 00 160000 00 合计合计 190000 00190000 00 230000 00230000 00 套装套装 A2A2 主动防护级 主动防护级 网御星云防火墙 Power V6000 F2050 JW55000 00 70000 00 网御星云入侵检测系统 IDS TD3000 GS1820 JW135000 00 160000 00 防病毒安全网关 AV Power V6000 A2390 JW65000 00 80000 00 Web 应用安全防护系统 WAF Leadsec 850WAF JW125000 00 150000 00 合计合计 380000 00380000 00 460000 00460000 00 套装套装 A3A3 物理隔离级 物理隔离级 网御星云防火墙 Power V6000 F2050 JW55000 00 70000 00 网御星云入侵检测系统 IDS TD3000 GS1820 JW135000 00 160000 00 防病毒安全网关 AV Power V6000 A2390 JW65000 00 80000 00 Web 应用安全防护系统 WAF Leadsec 850WAF JW1