医院内外网部署方案-精选版

1 15 iO 医院版 内外网隔离安全方案 二二 一二年五月一二年五月 2 15 目目 录录 第第 1 章 章 医院信息化发展与网络安全现状医院信息化发展与网络安全现状 3 1 1医院信息化概述 3 1 2现有安全风险简析 3 第第 2 章 章 内外网部署技术发展内外网部署技术发展 4 2 1方案一 继续物理隔离 5 2 2方案二 采用网关设备 5 2 3方案三 采用前置机加交换系统 6 2 4方案四 采用接近物理隔离设备隔离两网 6 第第 3 章 章 内外网部署建议内外网部署建议 6 3 1网闸方案 7 3 1 1核心思路 7 3 1 2隔离方案 8 第第 4 章 章 方案详述方案详述 9 4 1产品内部架构 9 4 2网闸技术的优势 9 4 3网闸产品特点 10 4 4网闸功能 12 4 4 1系统可靠性 12 4 4 2系统可用性 12 4 4 3安全功能 12 4 4 4应用支持 14 3 15 第 1 章 医院信息化发展与网络安全现状 1 1 医院信息化概述 目前在省立医院网络物理上为一张网 逻辑 比如通过 VLAN 等技术措施 上分为两部分 外部服务部分通常为办公 内部服务部分通常为医院业务系统 对外运行的业务情况 对外运行的业务情况 主要为 OA 系统 完成医院的行政办公 文件审批 邮件收发等业务流程 医院网站系统 主要完成医院的宣传 论坛 网上挂号等业务 随着业务 的发展 在保证信息安全的前提下 网站上将提供更多的业务 比如 将体检 影像等结果通过外网提供给病人 对内运行的业务情况 对内运行的业务情况 HIS 系统 该系统是医院的核心业务系统 医院信息系统对医院及其所属 各部门对人流 物流 财流进行综合管理 对在医疗活动各阶段中产生的数据 进行采集 存贮 处理 提取 传输 汇总 加工生成各种信息 从而为医院 的整体运行提供全面的 自动化的管理及各种服务的信息系统 医院信息应该 以病人医疗信息为核心 采集 整理 传输 汇总 分析与之相关的财务 管 理 统计 决策等信息 其他业务系统 PACS 影像 检验系统 CIS 电子病历 体检等系统 本部 分还需做详细调研 1 2 现有安全风险简析 文件数据拷贝风险 文件数据拷贝风险 目前采用 U 盘拷贝两网的数据 拷贝的数据中可能存在恶意代码 如 病 4 15 毒 蠕虫 木马等 将外网的恶意代码扩散到内网的风险 由于有业务联动的需求 如果在两网间部署网关类安全设备 如 防火墙 UTM 等 这存在外部黑客通过网关穿透到内部核心业务服务器的可能 通过 实验 目前的穿墙技术能穿过大部分国产防火墙 应用和系统漏洞风险 应用和系统漏洞风险 针对 XXX 医院的两网信息隔离交换需求 如果不是物理隔离方案 无论 采用什么安全设备 都存在因为设备自身应用 操作系统 数据库的漏洞风险 随着漏洞挖掘技术及漏洞提交机制的完善 将会有更多的安全漏洞将会公布于 众 针对特定漏洞带来的定向攻击将会增加 随着网络攻击技术的门槛不断降 低 网络攻击工具使用不断简便 这种针对特定漏洞的攻击行为几乎每时每刻 都会发生 再加上软件厂商更新不及时和经济利益的影响 所以针对这种漏洞 的攻击防不胜防 业务数据风险 业务数据风险 一但医院两网通过网关设备 而不是采用接近物理隔离 连接起来 内网 数据的安全性得不到保障 很多安全事件发生于外部黑客发起攻击 窃取单位 内部敏感数据 医院内部 HIS 系统的数据库中存在医嘱数据 处方数据 一旦 外泄对本医院损伤很大 例如 一些黑客组织把病毒木马等恶意软件的制作商业化 通过让特定需 求者定购个性化的恶意软件并自动发送 来获得特殊利益 即 MAAS malware as a service 恶意软件即服务 进一步还可通过各种恶意软件控制的僵尸网络 迅速大规模地对政府 企事业单位的基础网络设施进行攻击 目前除了政府部 分和金融服务业外 大多数行业对于这类攻击几乎毫无准备 其中包括医疗 电信 运输 服务业 化工和物流业 第 2 章 内外网部署技术发展 5 15 2 1 方案一 继续物理隔离 采用人工拷贝方式进行两网的数据交换 文件和数据库 实际实施过程中 存在以下几个问题 1 不及时 2 效率低 3 很多医院要求对 U 盘杀毒 但操作人员因为繁琐未完全实施 4 部分恶意代码是杀毒软件检测不到的 2 2 方案二 采用网关设备 部分医院采用防火墙隔离两网 有的单位采用 UTM 防火墙产品主要包括 包过滤防火墙 状态检测包过滤防火墙和应用层代理防火墙 采用此方案存在 以下几个问题 1 其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安 全 2 不能防御绕过防火墙的攻击行为 从根本上讲 防火墙是一种被动 的防御手段 只能守株待兔式地对通过它的数据报进行检查 如果该数 据由于某种原因没有通过防火墙 则防火墙就不会采取任何的措施 3 不能防御完全新的威胁 防火墙只能防御已知的威胁 但是人们发 现可信赖的服务中存在新的侵袭方法 可信赖的服务就变成不可信赖的 了 4 防火墙不能防御数据驱动的攻击 虽然防火墙扫描分析所有通过的 信息 但是这种扫描分析多半是针对 IP 地址和端口号或者协议内容的 而非数据细节 这样一来 基于数据驱动的攻击 比如病毒 可以附在 诸如电子邮件之类的东西上面进入你的系统中并发动攻击 5 目前国内防火墙本身的软件 操作系统 数据库等方面有缺陷 通 过实验 很多穿墙技术能穿过大部分国产防火墙 6 15 2 3 方案三 采用前置机加交换系统 有少部分医疗机构在方案二的基础上再进行数据操作和数据交换进行检查 过滤 实现方式就是在两网前段加前置设备 同时通过应用开发商再开发交换 数据接口 定义格式和 API 在交换设备上安装交换系统实现内外网的交换 该方案存在以下问题 1 当业务扩充了 需要开发商支持 2 投入大 交换前置设备投入 软件开发投入 3 仍然没有从网络层面隔离 数据在两网的穿透仍然带有协议 协议 本身就存在缺陷 存在安全风险 2 4 方案四 采用接近物理隔离设备隔离两网 目前公安部门 保密部门已经将网闸定义为接近物理隔离的设备 备注 传统的单部件网闸不合规 三部件被认为是接近物理隔离设备 允许采用到机 密域 秘密域 非密域间的边界隔离 该方案近几年也被一些医疗机构采用 就是在两网的边界采用网闸隔离 网络层面完全断开 通过摆渡完成两网的数据交换 该方案优点是安全性大幅度提高 使用过程中也存在性能问题 因此在选 购医院型号的时候 我们队两网交换的数据量大小进行了详细的分析 第 3 章 内外网部署建议 基于前面的风险分析 我们在分析信息方便交换和信息安全方面进行权衡 在此采取一套 接近物理隔离的安全方案 本方案采用网闸来隔离两网 7 15 3 1 网闸方案 3 1 1 核心思路核心思路 保证任何时间内外都是断开的 不存在直接的物理和链路层连接通路 见 下图 Data GeneralData General OA 网站 等业务 HIS LIS PACS 等系统 中医院外网 中医院内网 交换池 半半导导体体电电子子开开关关的的实实现现 中间这部分就代表网闸 当外部网摆渡数据到内部网 1 电子开关接通外网 2 摆渡数据到交换池 数据还原为裸数据 并做安全性检查 3 电子开关接通内网 摆渡数据 可见 任何时刻电子开关不会让内外接通 对用户来讲 表面一样 好像 直接连接一样 由于半导体电子开关以纯物理方式实现了电路的导通与断开 与加 解密等 逻辑断开方式不同 它具有固化的不可编程特性 不会因溢出等逻辑问题导致 系统的崩溃 在最低层即物理层面上保证了网络断开功能的实现 具有最高的 安全可靠性 8 15 3 1 2 隔离方案隔离方案 通过前期的需求分析 我们建议采用如下的方案实施 核核心心 核核心心 医院网站 域服务 文件服务 邮件服务器等 OA系统 中医院核心业务系统 HIS LIS PACS 电 子病历 体检 等 数数 据据 数数 据据 阵阵列列 在内外网间部署网闸 完成内到外 外到内的数据交换 例如 当本院领导在家用 PDA 或笔记本远程使用医院业务系统时 1 访问 WEB 如需登录则登录 2 输入相关信息 形成表单提交 程序上体现为 Form POST 操作 3 外网的服务器发送操作请求到网闸 因为 OA 系统部署于医院内网 中 4 网闸将请求 通常是 TCP IP 协议的数据 由应用到物理层中层剥 离 得到裸数据请求 并按隔离硬件中的配置格式 如 XML 格式 组织 5 将该数据按私有的协议封装后摆渡到内网主机 注意 我们的设 9 15 备包括三部分 外网主机 内网主机 隔离硬件 6 内网主机接收数据后 按对应格式向内部相应的服务器发起请求并 返回结果 返回的数据按前面几步类似的流程摆渡到外网 第 4 章 方案详述 下面将对前一章的方案进行展开阐述 4 1 产品内部架构 网闸交换系统的系统结构如下图表所示 P PC CI I L LV VD DS S 数数据据流流 数数据据流流 P PC CI I 外外部部安安全全板板内内部部安安全全板板 内内部部 网网络络 接接口口 外外部部 网网络络 接接口口 图表 1 安全隔离交换系统的隔离体系结构 网闸交换系统的所有控制逻辑由硬件实现的 不能被软件修改 安全隔离 交换系统在内外安全主板上各设计了一个隔离开关 称反射 GAP 反射 GAP 实 现内外网络之间的物理断开 但同时能交换数据的目的 反射 GAP 使得内外网中继数据的速率达到物理连通状态的 100 从而消 除了因物理断开内外网络而可能造成的通信瓶颈 4 2 网闸技术的优势 同传统的防火墙等逻辑隔离访问控制技术相比 隔离网闸独特的模型结构 天然具有了一些其它安全技术难以达到的安全特性 主要包括以下几个方面 10 15 1 对网络层 OS 层已知和未知攻击的全面防护能力 由于在网闸 2 1 隔离 架构模型中内外网间实际上物理断开 所有访问被转化成应用层数据形式通过 独立的存储介质在内外网移动 因此 移动的数据中并不包含相对低层的网络 层 OS 层控制信息 换句话说 隐藏在网络层 OS 层的攻击行为根本没有进入受 保护内网网络的可能 无论该攻击方式是已知的还是未知的 而目前其它安全 技术基本上还是基于特征匹配的方式过滤这些攻击行为 遗漏和处理不当都在 所难免 并且对未知攻击毫无办法 对受保护网络造成严重安全隐患 2 不再依赖操作系统的安全性 目前所有安全技术的实现都必须依赖操 作系统作为平台提供低层服务支持 操作系统的安全性实际上就影响到整个安 全产品的安全性 目前主流的 OS 主要是微软和 UNIX Linux 两大类 所有这些 操作系统都具有一定数量的 Bugs 这些漏洞也随之成为整个安全产品的漏洞 而隔离网闸很好地解决了这个问题 其内网处理服务器上的操作系统完全不对 外暴露 暴露在外的仅仅是负责外网处理的服务器 即使该服务器因操作系统 Bugs 被攻击 实际上也无法进一步影响内网处理服务器 因为内外网是物理断 开的 实际上 与防火墙等其它安全产品不同 黑客无法利用现有操作系统 Bugs 获得对隔离网闸结构的控制权 3 强化安全决策过程的安全性 安全决策是最重要和基础的安全防御手 段之一 安全决策包括认证 访问控制列表 ACL 内容过滤以及格式检查等 一系列方式 安全决策功能一旦失效 恶意访问将无阻碍地进入受保护网络 例如访问控制列表被更改 已禁止端口被开放等 目前的网络安全产品对决 策模块的防护能力相对较弱 而隔离网闸则将所有安全决策过程置于中立的与 内外网没有连接的隔离区内完成 且关键的策略库置于与被检查数据物理断开 的受保护端 LAN 服务器上 因此 策略库和决策过程都十分安全 未经严格 检查的数据将始终被隔离在受保护网络 LAN 以外 确保决策过程的安全 4 数据静态化 在隔离网闸中 所有进入网闸内的数据在传递过程中都 是静态的 其内容不被任何程序执行 仅仅是对静态内容实施检查和决策 因 此 这些数据本身携带的任何恶意代码都无法执行 也就无法危及系统的安全 整个系统安全可靠 11 15 4 3 网闸产品特点 采用独特的 2 1 安全体系架构 通过基于 ASIC 芯片技术设计的专 用隔离电子开关系统 实现用户关键网络及服务系统与外界的物理隔断 实现链路层与网络层的彻底断开 采用高性能和多条流水线设计的 ASIC 芯片为基础建立的全新硬件隔离 架构 拥有全线速隔离交换性能 满足大型网络应用所面对大用户量 低延时访问的需求 在核心的 GAP 电子开关隔离芯片上采用了含 TRUE LVDS 功能强大的 APXII 系列 EP2A70 作为 FPGA 设计硬件基片 该芯片 具有 500 万门电路以及多路 Giga 位的通道 支持内部高达 1060 个硬件 I Os 通道 使得电子开关具有高速的数据传输能力和并发处理能力 充分考虑关键应用对可靠性 可用性的要求 独家采用负载均衡技术以 及基于应用协议连接资源保护的 QOS 服务质量控制技术消除单点故障和 网络实现对网络服务的高可靠性及可用性保证 采用无协议的 GAP Reflective GAP 隔离反射技术实现开放网络通 讯协议的剥离与重组 有效阻断来自网络层及服务器 OS 层的各类已知 未知攻击 弥补其它安全技术对网络未知攻击的防御盲区 广泛支持各类通用应用协议 HTTP FTP SMTP DNS SQL 等 包括 支持视频会议 流媒体以及 VPN 等特殊应用代理以及用户定制协议 无 需再进行二次开发或单独购买模块 采用专利技术的应用层安全防御系统 ViGap500 特别针对广泛应用的 WEB EMAIL 和 FTP 等服务采用专利技术 Web Application 实现了全 面应用层安全防护 可防止 WEB 溢出漏洞 Unicode 漏洞 Inject 攻击 Cookie 中毒 恶意 JavaScript ActiveX 控件甚至 CGI 脚本等各类应 用层安全风险 智能化攻击识别与过滤 ViGap500 采用先进的应用层协议分析技术智 能识别并过滤大量基于应用层协议的攻击行为 ViGap500 提供目前市 场上丰富的协议分析模块 全面防护各类应用系统安全风险 包括 HTTP FTP SMTP POP3 IMAP DNS 等数十种协议分析模块 12 15 4 4 网闸功能 4 4 1 系统可靠性系统可靠性 双机热备功能模块 网闸产品针对大型网络的应用提供了双机热备份功能 实现系统的稳定可 靠运行 通过内置的双机热备系统 连接在同一个网络内的多台网闸产品可以 建立双机热备机制 并通过虚拟 IP 统一对外提供服务 从设备不断发出心跳信 息侦测主设备状态 一旦主设备出现故障从设备将立即接管并继续提供服务 系统工作状态检测与报警 网闸产品采用基于工业控制系统的架构设计 具备良好的稳定性 并且建 立了设备状态检测系统 在开机状态下持续对系统各硬件板卡及软件模块进行 检查 并将系统状态显示在液晶面板上 管理员可针对故障信息迅速了解故障 原因并作出响应 同时 网闸产品系列软件系统采用了先进的自愈技术 当故障发生时可迅 速命令系统重启恢复到正常工作状态 4 4 2 系统可用性系统可用性 网闸产品系列为满足高性能的网络处理而设计 因此 必须支持大规模的 并发访问和高带宽的数据吞吐 除了采用更高端的处理系统 内存以及接口以 外 网闸产品还可以最大支持 32 台设备的负载平衡系统来实现高可用性 网闸产品的负载平衡系统通过仲裁网络流量方式实现流量在网闸产品集群 中的平均分配 从而将处理性能大幅提升 4 4 3 安全功能安全功能 网络隔离功能 网闸产品具有网络隔离功能 通过基于 ASIC 设计的硬件电子开关实现可信 不可信网络间的物理断开 保护可信网络免遭黑客攻击 数据静态化 13 15 采用 裸数据 机制 运用协议剥离和重组技术 在网闸内部实现 裸数 据 和数据静态化 有效的防止网络上未知攻击 IDS 入侵检测功能 网闸产品在设备两端内置了 IDS 入侵检测引擎 该引擎可有效保护系统自身 及受保护网络免受攻击者的频繁攻击 该系统将自动分析对受保护内网的访问 请求 并与 ViGAP500 隔离系统实现内部联动对可疑数据包采取拒绝连接的方式 防御攻击 SAT 服务器地址映射 功能 网闸产品具备完善的 SAT 功能 可信端服务器可通过 SAT 功能将自身的特定 服务虚拟映射到 ViGap500 系列的不可信端接口上 通过隔离系统的不可信端虚 拟端口对外提供服务 访问者仅能访问虚拟端口而无法直接连接服务器 从而 对外屏蔽服务器 防止服务器遭到攻击 身份认证功能 不同于部门级网络 大型网络对身份认证的要求极高 且需要基于第三方的 统一身份认证服务 网闸产品除了提供基本的用户名 口令身份认证功能以外 还可与外部认证系统集成支持扩展的 Radius PKI 数字证书 SecureID 等多种 强身份认证功能 安全代理服务功能 网闸产品允许可信端用户以应用代理方式访问不可信网络 网闸产品作为应 用代理网关对内网访问请求进行检测 相对于传统的基于网络层的 NAT 方式来 说 由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素 因此 对访问具有更高的安全控制能力 AI 安全过滤功能 应用智能能够使您根据来源 目的地 用户特权和时间来控制对特定的 HTTP SMTP 或 FTP 等资源的访问 网闸产品通过协议分析技术提供应用级的 安全过滤以保护数据和应用服务器免受恶意 Java 和 ActiveX applet 的攻击 网闸产品在 AI 功能中新增了安全功能 包括 确认通信是否遵循相关的协议标 准 进行异常协议检测 限制应用程序携带恶意数据的能力 对应用层操作进 行控制 这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强 14 15 化作用 防病毒功能 系统内嵌防病毒引擎 可实现对内外网摆渡数据的病毒查杀 其防水墙模块 可有效阻止内网信息的外泄及木马 蠕虫等恶意程序通过 HTTP SMTP 等方式向 外泄漏信息 实现对病毒的高效查杀 支持包括 HTTP SMTP POP3 协议的网关 级病毒过滤 内容及格式检测功能 网闸产品具备内容过滤及文件格式检查功能 对管理员指定格式的文件或指 定内容关键字的邮件 网页 FTP 文件等具有安全过滤功能 能够阻止敏感的 信息外泄或恶意程序的入侵 VPN 通讯安全 网闸产品对受保护 WEB 服务器提供内置的 SSL VPN 加密通讯机制 建立客户 端与虚拟服务端口间的 SSL 加密 VPN 链路 实现通讯安全 该加密方式无需修 改客户端设置 透明实现客户端与服务器端的加密通讯 WEB 站点保护功能 目前大量应用基于 B S 架