省人民医院网络安全解决方案

省人民医院网络安全解决方案第一章 省人民医院网络环境和网络安全需求分析1.1背景飞速发展的网络技术，在为企业创造良好的商业环境和经济效益的同时，而我们对数据安全的要求也越来越高。这就给企业的网络安全带来了巨大的隐患，其中计算机病毒就是一个主要的危害因素。它对计算机系统安全的严重危害，除了来自于病毒自身发作后造成的恶性结果外，还来自于计算机病毒难以控制的传播能力和与日剧增的数量。与此同时上网的数据也遭到了不同程度的破坏,或被删除或被复制，数据的安全性和自身的利益受到了严重的威胁。网络系统内运行多种网络协议(TCP/IP，IPX/SPX，NETBEUA)，而这些网络协议并非专为安全通讯而设计，所以，网络系统存在的安全威胁。2000年二月，在三天的时间里，黑客使美国数家顶级互联网站Yahoo!、Amazon、eBay、CNN陷入瘫痪，造成了十几亿美元的损失，令美国上下如临大敌。黑客使用了DDoS（分布式拒绝服务）的攻击手段，用大量无用信息阻塞网站的服务器，使其不能提供正常服务。在随后的不到一个月的时间里，又先后有微软、ZDNet和E*TRADE等著名网站遭受攻击。国内网站也未能幸免于难，新浪、当当书店、EC123等知名网站也先后受到黑客攻击。国内第一家大型网上连锁商城IT163网站3月6日开始运营，然而仅四天，该商城突遭网上黑客袭击，界面文件全部被删除，各种数据库遭到不同程度的破坏，致使网站无法运作。客观地说，没有任何一个网络能够免受安全的困扰，依据Financial Times曾做过的统计，平均每20秒钟就有一个网络遭到入侵。仅在美国，每年由于网络安全问题造成的经济损失就超过100亿美元。就省人民医院而论，当我们享受着PC大规模的网络(Intranet)为单位带来的强大的资源共享，并通过Internet建立起良好的商业环境时，我们是否意识到，我们同时必然要面对的还有百倍于以往单机环境的可能遭受计算机病毒侵害的危险。因为，一旦省人民医院网络中的任何一台电脑感染上病毒，它就很可能在短短几分钟中内使这些病毒蔓延到我们的整个网络。如果这是一台HIS服务器的话，那造成的危害将更加严重。在这种情况下，任何单机模式的防毒措施，都无法有效的在短时间内抑制住病毒在网络中的蔓延趋势，而只能眼睁睁的等到自己的计算机被感染以后，再进行补救。病毒的发展趋势表明，防止病毒，最重要的是如何使企业网络快速响应突发性的恶意病毒，通过分析所有可能的病毒侵入点，根据各自的特点进行层层防护，建立全方位的企业网络防病毒体系，真正作到使这些猖獗计算机病毒在我们的单位网络中无所遁形。1.2.省人民医院网络安全体系需求分析建立行之有效的全方位安全体系，结合省人民医院网络自身的特点，注意的省人民医院网络安全风险主要体现在如下几个方面：来自互联网络的风险、来自内部员工的风险、来自病毒和木马的风险、来自外来单位（企业）的风险和来自网络安全管理的风险。1.2.1 来自互联网络的风险省人民医院局域网都连接INTERNET国际互联网，并有公开服务器（WWW等服务器），对外提供公开信息服务。一些公开服务器通过Internet公网为客户提供访问服务。虽然通过互联网方便了个人用户，由于国际互联网的开放性、自由性以及无国界性，使得省人民医院局域网的安全性大大降低。黑客站点越来越多，黑客工具唾手可得，攻击事件明显增加。Internet的安全正遭受着严重的威胁。目前，黑客行动几乎涉及了所有的操作系统，包括UNIX和WindowsNT。黑客在网上的攻击行动正以每年10倍的速度增长。黑客可能利用省人民医院局域网上的任何漏洞和缺陷修改网页、非法进入主机、进入系统盗取信息、发送假冒的电子邮件等。下面是他们常用的网络攻击常用手段：通常的网络攻击一般是侵入或破坏网上的服务器主机盗取服务器的敏感数据或干扰破坏服务器对外提供的服务，也有直接破坏网络设备的网络攻击，这种破坏影响较大会导致网络服务异常、甚至中断。对加密算法的攻击一般来说破译者可对密码进行惟密文攻击、已知明文攻击、选择密文攻击和选择明文攻击及穷举攻击。对特定算法还有特定攻击方法，如对DES这类迭代分组密码可选择差分密码分析、能量攻击法。但一般来说，只有国家或大型公司、组织才拥有破译特定密码的财力和人力。端口扫描端口扫描是一种获取主机信息的方法。利用端口扫描程序扫描网络上的一台主机，可以从扫描的端口数目和端口号来判断出目标主机运行的操作系统，结合其它扫描信息进而掌握一个局域网的构造。针对端口扫描，其防范措施一般是关闭那些不使用的端口。对网络协议（TCP/IP）弱点的攻击当初设计Internet各类协议时，几乎没有人考虑网络安全问题，网络协议或缺乏认证机制或缺少数据保密性，因此可能被攻击者加以利用而入侵网络，此类攻击方式主要有以下几种：网络监听（嗅探）网络监听工具可以监听网络的状态、数据流动情况以及网络上传输的信息。但此类工具被一些黑客利用，当网卡设置为混杂模式（promiscuous），此网段上的信息便被截获。通常的检测与防护方法是：对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有响应；使用安全的网络拓扑结构隔断网络阻止监听；对一些重要数据进行加密，即使被截获，信息也不易泄露。电子邮件攻击电子邮件面临着巨大的安全风险，攻击者可以通过发送邮件破坏系统文件，或者对端口25（缺省SMTP口）进行SYN-Flood攻击。这些攻击有：窃取/篡改数据；伪造邮件；拒绝服务；病毒。保护电子邮件最有效办法是加密签名技术，比如PGP（PrettyGoodPrivacy）来验证电子邮件。通过验证保证信息是从正确地方来，而且在传送过程中不被修改。 Web欺骗攻击Web欺骗是指攻击者建立一个使人相信的Web页站点拷贝，它具有该页所有的页面和链接。通过Web站点拷贝被攻击对象和真的Web站点之间的所有信息流动都被攻击者控制了。攻击者可以监视被攻击对象的所有活动，包括他的帐号和口令以及其它信息。虽然Web欺骗不易察觉，但可以采用以下方法进行保护：跟踪攻击者，断开与它的连接；关闭浏览器的javascript，使得攻击者不能隐藏攻击的迹象；使用安全性浏览器可以告诉用户连接的另一端。电子欺骗攻击电子欺骗是通过伪造源于一个可信任地址的数据库以使一台机器认证另一台机器的电子攻击手段。它可分为IP电子欺骗、ARP电子欺骗和DNS电子欺骗三种类型。1.2.2 来自内部员工的风险据调查统计，已发生的网络安全事件中，70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身网络结构、应用比较熟悉，自已攻击或泄露重要信息内外勾结，都将可能成为导致系统受攻击的最致命安全威胁。一些内部员工数目比较多，因此如何有效的防治内部员工不对自己的网络进行攻击也是一个好的网络安全方案重要的组成部分。网络防火墙最大的问题就在于“易防外，不易防内” ，因此还必须就内部互联网络进行审计和控制，在这种情况下，防火墙系统和入侵检测系统IDS结合使用将是最好的选择。一些单位用户对网络安全的认识存在一些误区：把网络安全几乎全部依赖于所安装的防火墙系统和防病毒软件，认为只要安装了这些设备，网络就安全了；他们没有认识到网络安全是动态的、整体的，不可能仅靠单一安全产品就能实现。所以，我们从网络安全可能存在的危机入手，分析并提出整体的网络安全解决方案，这就需要入侵检测系统IDS。1.2.3 来自病毒和木马的风险病毒和木马程序一直困扰着省人民医院用户的个人用机和服务器，而且现在的病毒的传播手段不断的变化和先进，比如“Code Red”病毒，通过微软的IIS的安全漏洞在网络中进行传播。因此病毒和木马程序防护也必须在网络安全方案中考虑和设计。由于省人民医院网络中的应用系统(Application)较多，而且服务器也非常多，因此防病毒软件的布置必须针对实际情况。主要来自病毒和木马的风险表现在：病毒病毒是一些程序，常常修改同一计算机中的另一些程序，将自己复制进其他程序代码中。一般的复制方法有覆盖型及附着型两种。当病毒发作时，会使系统产生不正常的动作。特洛伊木马程序特洛伊木马程序是驻留在目标计算机中的一个程序，在程序中提供了一些符合正常意愿使用的功能，但在其中却隐藏了用户不知道的其他程序代码，当目标计算机启动时，木马程序也启动，然后在某一特定端口监听。一旦条件成熟，这些非法代码就会被激活而执行一些操作，如传送或删除文件，窃取口令，重新启动机器等，使系统不能正常工作。蠕虫病毒蠕虫是一种可以在网上不同主机间传播，而不须修改目标主机上其他程序的一类程序。它不一定会破坏任何软件和硬件，蠕虫不断通过计算机网络将自己传送到各处，最后由于不断的扩展使得系统不胜负荷。它还不断地收集包含密码或文件在内的信息，蠕虫严重地消耗系统的资源和带宽。缓冲区溢出缓冲区溢出的原理是：向一个有限空间的缓冲区中拷贝了过长的字符串，它带来了两钟后果：一是过长的字串覆盖了相邻的存储单元，引起程序运行失败，严重的可引起当机、系统重新启动等后果；二是利用这种漏洞可以执行任意指令，甚至可以取得系统特权。1.2.4 来自外来单位的风险这种风险和来自分支结构的风险不尽相同，这种风险主要是指来自那些和本行业有业务往来的其他单位（企业）。在省人民医院的网络中将来要与银行、社保网络有业务往来。还可能需要和电信、证券、保险部门和等单位（企业）进行互相连接，因为银行有代收电话费、保险费和水电费等业务。在这种情况下，我们必须考虑到来自这些外来单位（企业）的安全风险，也就是说需要在这些接口出布置网络安全产品和设备。来自外来单位（企业）的风险主要表现在：电子邮件攻击电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。相对于其它的攻击手段来说，这种攻击方法具有简单、见效快等优点。 电子邮件攻击主要表现为两种方式： (1)_是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；(2)是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序。1.2.5来自系统安全漏洞的风险操作系统安全 针对省人民医院系统中存在的诸多风险，应该采取相应的安全维护措施： 及时安装操作系统和服务器软件的最新版本和修补程序。进行必要的安全配置，关闭存在安全隐患的、不需要的服务。加强登录过程的身份认证，设置复杂、不易猜测的登录口令，并经常改变口令，限制非法用户的登录。 严格限制系统中关键文件(如UNIX下的/.rhost、etc/host、passwd、shadow、group等)的使用许可权限。应用HIS系统安全 应用HIS系统一般都是针对医院的应用而开发的，但由于它的通用性，其所提供的服务并非都是每个具体医务人员所必需的，因此，对应用HIS系统的安全性，也应该进行安全配置，尽量做到只开放必须使用的服务，而关闭不经常用的协议及协议端口号。对应用系统的使用要加强用户登录身份认证。确保用户使用的合法性，严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。并充分利用应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。由于Windows NT/2000操作系统在省人民医院网络中的普及率和市场占有率比较高，所以很容易使它成为很多黑客攻击的目标。目前，Windows NT/2000最主要的漏洞有Unicode漏洞、.ida/.idq缓冲区溢出漏洞、Microsoft IIS CGI文件名错误解码漏洞、MSADCS RDS弱点漏洞、FrontPage服务器扩展和.Printer漏洞、RPC漏洞等。因此使用安全漏洞检测产品对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。对系统中不合适的设置、脆弱的口令以及其他同安全规则相抵触的对象进行检查；通过执行一些脚本文件对HIS系统进行攻击，并记录它的反应，从而发现其中的漏洞。漏洞检测的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能性。1.2.6 来自网络安全管理的风险网络安全是一个立体的结构，任何一个小的安全漏洞都可能造成整个网络的安全性的大幅度下降，因此省人民医院网络必须要有一个完善的管理体制。如果缺乏完善健全的管理体制，那么即使是非常安全的网络也不能算是一个完整的安全网络。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对WEB站点、应用系统的访问活动进行多层次的记录，及时发现非法入侵行为。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和网络解决方案的结合。1.3 省人民医院网络安全体系需求报告根据上面所描述的省人民医院网络的具体环境和相应的受病毒侵害的可能性分析，介于省人民医院客户端与服务器端没有使用任何安全系统，我们提出如下安全体系需求报告：网络安全防范体系是一个动态的、基于时间变化的概念，为确保网络与信息系统的抗攻击性能，保证信息的完整性、可用性、可控性和不可否认性，本安全体系提供这样一种思路：结合不同的安全保护因素，例如防病毒软件、防火墙和安全漏洞检测工具，来创建一个比单一防护有效得的多的综合的保护屏障。多层、安全互动的安全防护成倍地增加了黑客攻击的成本和难度，从而大大减少了他们对网络系统的攻击。1.3.1 网络防病毒需求计算机病毒防护是计算机系统安全策略中的重要组成部分，计算机系统的安全运行、各种资料、文件的安全使用是保证网络系统正常运作的重要环节，也是计算机系统的第一需要。一旦病毒染指系统，将会产生灾难性的后果，一旦病毒侵入系统内部，会借助邮件和网络共享迅速蔓延整个内部系统，摧毁应用软件、破坏系统数据，给网络正常运行带来极大的危害。省人民医院系统中使用的操作系统主要是WINDOWS操作系统。而WINDOWS系统的病毒危害尤其严重，为了防止病毒的侵害，可以在网关处设立防病毒网关，并配备能统一管理防病毒系统。1、必须对整个网络实行全方位、多层次的病毒防护，也就是说应该在网络的每一个层次都要进行有效的病毒防护。针对企业网络的具体情况，我们建议在网络中设置以下级别的病毒防护： 客户端级防护：提供基于服务器端，可集中控管的PC病毒防护体系。 文件服务器级防护：对HIS服务器进行实时监护，避免使服务器成为病毒的集散地。2、必须在主要服务器上具备24小时自动防护功能。3、必须能够在各条可能感染病毒的途径上防止病毒。尤其必须能够扫描预防电子邮件附带的病毒和未知宏病毒。4、必须具备最先进的检测清除病毒的功能。当感染传播性很强的病毒时，要能够快速从整个网络上把这一病毒清除，不让病毒残留在某台机器上。5、对已感染的病毒文件，能够通过先进的修复工具保证文件免受损害。对于感染无法处理的未知病毒，必须提供一种方法，不让其在网络上传播，同时，能够快速获得解决方案。6、对总体网络性能的影响应该非常小。7、病毒定义码和扫描病毒引擎的更新必须快速方便。8、必须能够实现对整个防病毒体系的集中管理（基于LAN/WAN），对某些重要功能实行强制性管理。9、建立网关防病毒，从而在源头上阻止病毒的进入。1.3.2 网络防火墙需求使用千兆防火墙产品 作为保护省人民医院内部网免遭外部攻击，最有效的措施就是在分别在省人民医院系统内部网与外部广域网之间放置防火墙，通过设置有效的安全策略，做到对省人民医院内部网的访问控制。防火墙是不同网络或网络安全域之间信息的唯一出入口，能根据相应的安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。千兆防火墙应具有以下几种功能：1、 防火墙提供具有线速性能，最大并发连接数：100000，Firewall吞吐率：180M（双向传输速率） 2、 必须要求高性能的带宽设置，以满足网络转输的速度,该设备可以选配硬件加密卡，其IPSEC处理速度为95Mbps(3DES+SHA高强度加密)。具有4个10/100M自适应以太网口.3、 允许管理员实时监控、分析和分配不同类型网络通信使用的网络带宽监控；同时可以很方便地监视网络的安全性，并与IDS联动报警。4、 便利的VPN功能，确保特定局域网之间在公网上以密文交互信息；ipsec吞吐率(3DES+SHA在ESP隧道模式)：95Mbps，支持的最大Ipsec(加密)并发隧道数：50005、 DMZ端口提供一个单独、隔离的网络来部署连接公网的服务器如Web、E-Mail、FTP等；将其作为向外部发布内部信息的地点。6、 利用NAT技术，将有限的公网IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。7、 健全的管理支持，允许管理员简单安全的管理设备。8、 能够预防十多种黑客攻击，具体如下：分布式服务拒绝攻击DDOS（Distributed Denial-Of-Service attacks） SYN Attack ICMP Flood UDP FloodIP碎片攻击（IP Fragmentation attacks） Ping of Death attack Tear Drop attack Land attack端口扫描攻击（Port Scan Attacks）IP源路由攻击（IP Source Attacks）IP Spoofing AttacksAddress Sweep AttacksWinNuke Attacks9、 Web内容过滤采用Web内容过滤功能，您能屏蔽三种类型的Web内容：有害内容及站点，如一些成人站点、黄色网站；不安全的Web内容：Java AppletsCookiesMalicious ScriptsActiveX1.3.3 VPN网络需求在省人民医院的网络中将来要与银行、社保网络有业务往来。还可能需要和电信、证券、保险部门和等单位（企业）进行互相连接，为了减少专线的费用和在Internet网络上的明文传输的安全性，保护将来的网络需求，需要保护数据信息从省人民医院的网络发起端到银行、社保网络接收端传输过程的安全性，在每个有重要传输数据的网点只需配备VPN安全网关系统。利用加密技术以及安全认证机制，保护信息在网络上传输的机密性、真实性、完整性及可靠性。对于VPN网络的安全网关设备需要具有功能：1、 严格遵守国际标准IPSec和IKE规范，能和主流VPN厂家设备互通。2、 考虑以后的扩展，业务的需求（如视频会议等），中心设备要支持5000个隧道以上，下属单位接入设备需要100个隧道以上。3、 支持以太网、ADSL、CABEL等多种接入方式，并支持全动态的IP VPN互联解决方案。4、 支持Ipsec-NAT穿透(NATT)，即能够穿过防火墙进行VPN互联。5、 支持完全透明的“网桥”模式，并能在桥模式下建立VPN隧道，即不改变用户网络设置，实现VPN功能。6、 状态检测Firewall模块、完备的NAT/NAPT功能和IDS微引擎，抵抗常见网络层攻击，并能和国产主流IDS设备互动。7、 支持VLAN Trunk，并能够在VLAN环境下构建VPN连接；8、 支持Windows移动客户端（Win98/Me/2000/XP），移动客户端也支持IPsec NATT；9、 支持基于“数字证书”的运营模式，适合大规模VPN网络，可以有效的进行数字签名。10、 支持Qos、DHCP和静态路由，PPPoE拨号，双机热备等；11、 能够进行统一集中管理、维护，减少网管人员的工作；12、 性能优异：100M设备ipsec吞吐率(3DES+SHA加密速率)高达95Mbps，Firewall吞吐率180Mbps(双向传输速率),支持密码委批准的国产加密卡；1.3.4 漏洞检测系统需求系统漏洞检测可以探测网络上每台主机系统乃至路由器的各种漏洞；安全评估软件从系统内部扫描安全漏洞和隐患。安全评估软件还主要涉及到网络安全检测，其主要是系统提供的网络应用和服务及相关的协议分析和检测。系统漏洞检测与安全评估软件应具有的功能主要有：l 定期分析有关网络设备的安全性，检查配置文件和日志文件；l 对网络的拓扑结构和环境的变化必须进行定期的分析，并且及时调整安全策略；l 定期分析有关网络设备的安全性，检查配置文件和日志文件；l 检测的方法主要采用安全扫描工具，测试网络系统是否具有安全漏洞和是否可以抗击有关攻击，从而判定系统的安全风险。1.3.5 入侵检测系统需求为了防范来自省人民医院系统内部网络的攻击，及来自外部透过防火墙的攻击，作为防火墙的补充，须在企业系统内部网各重要网段配备入侵检测系统，通过对网络行为的监视，来识别网络的入侵的行为，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测子系统被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。具有以下的功能：l 监视、分析用户及系统活动； l 系统构造和弱点的审计； l 识别反映已知进攻的活动模式并向相关人士报警； l 异常行为模式的统计分析； l 评估重要系统和数据文件的完整性； l 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。第二章 网络安全防范体系组成 2.1 安全产品的选型原则省人民医院的实际情况，信息安全系统的设计和实现必须遵循如下原则： 综合性原则：网络安全不单靠技术措施，必须结合管理，当前我国发生的网络安全问题中，管理问题占相当大的比例，在建立网络安全设施体系的同时必须建立相应的制度和管理体系。 节约性原则：整体方案的设计应该尽可能的不改变原来网络的设备和环境，以免资源的浪费和重复投资。 集中性原则：所有的防火墙产品要求在数据中心可以进行集中管理，这样才能保证在网管中心的服务器上可以掌握全局。 角色化原则：防火墙产品在管理上面不仅在数据中心可以完全控制外，在地方节点还需要分配适当的角色使地方可以在自己的权利下修改和查看防火墙策略和审计。 可扩展性：由于行业的网络结构更新比较快，因此整体系统需要有很好的可扩展性和可升级性。 可靠性原则：这些行业用户的网络不允许有异常情况发生，因为一旦网络发生异常情况，就会带来很大的损失。同时又由于一些网络设备一旦发生故障，网络便会断开，比如防火墙设备。在这种情况下，就必须要求这些性质的安全产品需要有双机热备的功能，从而保障网络运行的可靠性。 策略模板原则：虽然行业的网络结构复杂，地域分布性也很大，但是各个地方的网络结构比较相似。因此如何方便的配置和管理如此多的安全产品就是需要考虑的问题，网络安全产品必须针对不同的行业要有相应的配置模板，每个节点实施安全产品只需要按照模板文件进行适当的修改便可以投入使用。目前，很多公开的新闻表明美国国家安全局（NSA）有可能在许多美国大软件公司的产品中安装“后门”，其中包括一些应用广泛的操作系统。为此德国军方前些时候甚至规定在所有牵涉到机密的计算机里，不得使用美国的操作系统。作为信息安全的保障，我们在安全产品选型时强烈建议使用国内自主开发的优秀的网络安全产品，将安全风险降至最低。在为各安全产品选型时，我们立足国内，同时保证所选产品的先进性及可靠性，并要求通过国家各主要安全测评认证。2.2 网络安全防范体系的构成网络安全防范体系是一个动态的、基于时间变化的概念，为确保网络与信息系统的抗攻击性能，保证信息的完整性、可用性、可控性和不可否认性，本安全体系提供这样一种思路：结合不同的安全保护因素，例如防病毒软件、防火墙和安全漏洞检测工具，来创建一个比单一防护有效得的多的综合的保护屏障。多层、安全互动的安全防护成倍地增加了黑客攻击的成本和难度，从而大大减少了他们对网络系统的攻击。根据省人民医院的安全需求，结合安全防范模型，省人民医院网络安全防范模型及网络安全改造方案拓扑图如图所示：省人民医院安全防范体系l 安全管理一个成功的安全防范体系开始于一个全面的安全政策，它是所有安全技术和措施的基础，也是整个体系的核心。包括人和制度的管理。l 预警预警是实施安全防范体系的依据，对整个网络安全防护性能给出科学、准确的分析评估，针对地给出地防范体系的建设方案才是可行的。在本安全防范体系中采用安全评估系统。l 攻击防范攻击防范是用于提高安全性能，抵抗入侵的主动防御手段，通过建立一种机制来检查、再检查系统的安全设置，评估整个网络的风险和弱点，确保每层是相互配合而不是相互抵触地工作，检测与政策相违背的情况，确保与整体安全政策保持一致。使用漏洞扫描工具及时发现问题并进行修补，使用防火墙、VPN、PKI等技术和措施来提高网络抵抗黑客入侵的能力。l 攻击检测l攻击检测是保证及时发现攻击行为，为及时响应提供可能的关键环节，使用基于网络和基于主机的IDS，并对检测系统实施隐蔽技术，以防止黑客发现防护手段进而破坏监测系统，以及时发现攻击行为，为响应赢得时间。采用与防火墙互联互动、互动互防的技术手段，形成一个整体策略，而不是单一的部分。设立安全监控中心，掌握整个网络的安全运行状态，是防止入侵的关键环节。l 应急响应在发现入侵行为后，为及时切断入侵、抵抗攻击者的进一步破坏行动，作出及时准确的响应是必须的。比如说，当IDS发现入侵后，发送消息给防火墙，防火墙实时、自动的产生规则，阻断与攻击源的连接。l 恢复恢复是防范体系的又一个环节，无论防范多严密，都很难确保万无一失，使用完善的备份机制确保内容的可恢复，借助WEB监控恢复系统、快速恢复系统来控制和修复破坏，将损失降至最低。这六个环节互为补充，构成一个省人民医院网络有机整体，形成较完善的省人民医院网络安全防范体系。2.2.1 网络安全风险评估首先需要对省人民医院的网络有一个安全评估工作，这些评估工作包括了操作系统评估和应用服务评估。大多数操作系统都存在一些安全漏洞、后门，而这些因素往往又是被入侵者攻击所利用。因此，对操作系统必须进行安全配置、打上最新的补丁，还要利用相应的扫描软件对其进行安全性扫描评估、检测其存在的安全漏洞，分析系统的安全性，提出补救措施。管理人员应用时必须加强身份认证机制及认证强度。应用服务一般都是针对需要而开发的，比如FTP服务器软件、Email服务器软件和DNS服务器软件等都属于应用服务软件。但是由于这些软件的编写者的失误和疏忽造成一些安全漏洞，比如FTP服务器软件WuFTP2.60及其低版本都存在远程溢出漏洞，可以使黑客远程获取一个Shell，从而到达入侵系统的目的。对于这些应用服务，管理员也必须通过扫描器软件进行扫描，发现自己网络中存在的有隐患的应用服务，然后安装适当的补丁或者升级软件版本来强化网络安全。此外对应用系统的安全性，也应该进行使用防火墙系统安全配置，尽量做到只开放必须使用的服务，而关闭不使用的协议及协议端口号。综述所知，通过防火墙设备进行访问控制，然后使用扫描器软件对网络开放的服务进行检测，根据扫描器产生的报告调整网络、系统和软件。2.2.2 漏洞扫描系统漏洞扫描系统通过模拟黑客的进攻手段和技术,对被检系统进行模拟黑客攻击式的安全漏洞和隐患扫描，最大限度地暴露了现存网络系统中存在的安全隐患，并且提交风险评估报告；根据风险评估报告，提供漏洞修补、安全建议和改进措施，最大可能的消除安全隐患。随着新的漏洞的发现，黑客攻击的手段也不断的变化，因此扫描器必须具备升级的功能。扫描器的放置位置一般分为两种：网络内部扫描和网络外部扫描。网络内部扫描主要是指将扫描器软件放置在网络内部，这样可以检测网络中存在的所有服务和安全隐患。网络外部扫描主要是指将扫描器软件放置在网络外部，透过防火墙设备和入侵检测设备来检测网络中存在的安全隐患，这种扫描方式是网络内部扫描的一个子集。只能扫描出防火墙允许访问的服务的安全隐患。2.2.3防火墙系列防火墙系统采用多级立体访问控制技术，并结合规则检测技术为用户提供人性化直观便利的安全政策设置，为用户提供强有力的安全信道。并通过图形监控功能，使用户对防火墙的状态进行实时性的监控。防火墙是保证网络安全的重要屏障，也是降低网络安全风险的重要因素。防火墙根据网络流的来源和访问的目标，对网络流进行限制，允许合法网络流，并禁止非法网络流。防火墙最大的意义在网络边界处提供统一的安全策略，有效的将复杂的网络安全问题简化，大大降低管理成本和潜在风险。在应用防火墙技术时，正确的划分网络边界和制定完善的安全策略是至关重要的。2.2.4 安全网关VPN（加密）系列VPN安全网关是一种结合防火墙、VPN技术的综合的网络边界安全设备，并且具有和入侵检测系统（IDS）互动的功能；随着系统的升级，天一银河安全网关HM-FW-200系列产品，还将整合防病毒网关的功能以及基本的入侵检测功能来增强“安全网关”自身的稳定性、安全性和抗攻击性。作为网络的边界安全设备，安全网关将具有综合的安全作用，使网络的安全和投入，获得最佳的安全和效益。它不仅解决固定边界之间的信息传输安全，还能够解决固定边界和终端用户之间、终端用户与终端用户之间的信息传输安全，实现安全到桌面。目前安全网关系列主要有下面几种：HM-FW-200-SA：一款低价位的中小企业级安全网关，适合部署在家庭、中小型企业以及企业的分支机构；HM-FW-200-SB：一款中等性能、较低价位的安全网关，适合部署在中小型企业以及企业的分支机构；HM-FW-200-SC：该设备可以选配硬件加密卡，其IPSEC 处理速度为70Mbps(硬加密)(使用国产专用算法)/ 95Mbps(3DES+SHA) (3DES+SHA 高强度加密), Firewall吞吐率双向传输速率180Mbps, 150,000具有4 个10/100M 自适应以太网口，特别适合作为防火墙与VPN的一体化设备使用。支持双机热备，能够满足高可靠性应用要求。SGW 25D是一款具有3个1000M自适应以太网口,2个10/100M自适应以太网口的超高性能的安全网关，适合部署在大型企业中心节点和骨干网络。该设备的IPSec吞吐率为 200Mbps (使用3DES+SHA算法，在AH+ESP通道模式下)。根据省人民医院的需求，可能使用100M 的HM-FW-200-SC或1000M的HM-FW-200-SD的高端的安全网关防火墙设备。2.2.5 HM-IDS系统“HM-IDS”入侵检测系统是一种主机与网络结合的入侵检测系统，可以根据需要将代理灵活的部署，利用代理捕捉入侵和可疑的事件，在入侵成功之前发现并阻止入侵，即使入侵成功了也能尽快发现以减少损失，这样很大程度上提高了网络的安全性。2.2.6 安全审计管理安全审计系统必须实时监测网络上和用户系统中发生的各类与安全有关的事件，如网络入侵、内部资料窃取、泄密行为、破坏行为、违规使用等，将这些情况真实记录，并能对于严重的违规行为进行阻断。安全审计系统所做的记录如同飞机上的黑匣子，在发生网络犯罪案件时能够提供宝贵的侦破和取证辅助数据，并具有防销毁和篡改的特性。安全审计跟踪机制的内容是在安全审计跟踪中记录有关安全的信息，而安全审计管理的内容是分析和报告从安全审计跟踪中得来的信息。安全审计跟踪将考虑要选择记录什么信息以及在什么条件下记录信息。收集审计跟踪的信息，通过列举被记录的安全事件的类别（例如对安全要求可对某些潜在的侵犯安全的攻击源起到威摄作用。安全审计系统对省人民医院网络的主要作用为：l 对所有防火墙日志进行集中记录；l 记录攻击行为的全过程，为调查工作提供依据，同时也是对非法入侵者的有效震慑。l 日志记录必须完整可靠，不能出现任何错记、漏记现象。l 强大、实用、方便、可定制的报表功能，可以输出标准格式的报表：如HTML、Word、Excel等。2.2.7 朝华安博士杀毒软件【网络版】朝华安博士防病毒系统（VirusClean）是朝华软件应用服务有限公司与韩国安博士有限公司联合开发出的计算机网络防病毒系统。与国内外众多防病毒软件相比，VirusClean不仅提供最快而最强有力的病毒查/杀功能，而且还可以监控、检测并修复互联网上收到的各种数据及文件中的病毒。VirusClean内置了具有国际离领先技术的WARP 防病毒引擎，因此误报率的可能性极少，而且具有出色的文件恢复功能。【网络版】反病毒软件统一设置、管理、升级，为网内计算机构筑了一道防御病毒的“坚固长城”。第三章 省民医院网络安全防范体系解决方案 根据以上的分析，省人民医院全面的安全解决方案可以分为两种，一个是最小实施方案，提供最基本的防护；另一个是全面实施方案，对网络进行整体防护，该方案构建一个以防火墙为核心和执行中心，多种安全技术和产品协同工作的高度集成的、高性能、稳定可靠的、易于管理的、完整的、动态的、可扩充的解决方案，不但能最大程度的提高了网络的安全性，保证各种应用的安全进行，而且便于管理和维护。3.1 一期网络安全解决方案(最小化方案)第一期系统设计模型：省人民医院网络通过中心机房上联以太网交换机连接到防火墙，中间的连接为RJ45以太网接口。由防火墙通过100M光纤连接到Internet。办公网络内部IP地址使用内部私有IP地址，对外接口为统一划分的外部IP地址，即外部不能看到内部的IP地址分布。根据上述情况，中心机房的这个内网和外网的接口是网络安全系统防范的重点，也是在第一期网络系统安全建设中要解决的问题（见“网络安全系统拓扑图1”）。进而，在中心机房中，可以进一步部署“漏洞扫描”和“入侵检测”系统，以便和安全网关相互联动，构成“主动防守和被动防守”互动的网络安全全面解决方案.InternetHM-FW-200SCWEB服务器MAIL服务器DNS服务器光 纤内部局域网网络安全系统拓扑图1在该方案中，采用湖南天一银河信息产业有限公司的安全产品，天一猎鹰防火墙HM-FW-200-SC（产品详细介绍见下一章）。防火墙系统针对省人民医院的主要作用为：l 针对外部网络连接及数据访问，即湖南电力公司与国际互联网连接的出口： 保护省人民医院内部网络的安全，防止来自于国际互联网的非法访问、攻击。 控制和记录省人民医院对国际互联网上信息资源的访问，禁止访问国家法令规定禁止访问的内容，禁止访问企业规定禁止访问的特定网站和信息。 做好用户的管理、用户访问国际互联网的控制和日志记录。 保护非军事区服务器的安全。3.1.1 网络防火墙解决方案针对省人民医院的网络规模及网络安全需要、性价比以及网络拓展，推荐使用VPN HM-FW-200-SC 安全网关网络防火墙。3.1.2 网络防病毒解决方案病毒在网络中存储、传播、感染的方式各异且途径多种多样，在构建企业网络防病毒系统时，可以通过朝华安博士杀毒软件【网络版】VirusClean建立完整的防病毒体系，实施整体防御，集中管理的防病毒策略。具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。同时，所有的管理手段都可以集中在一个控制台上进行统一的管理和配置。客户端防护客户端的防护位于防毒体系的最底层，也是最显见的一道防、杀病毒的防线。考虑到网络中的工作站数量众多，如果要靠管理人员逐一到每台计算机上安装单机防毒软件，费时费力，同时难以实施统一的防病毒策略，日后的维护和更新工作也十分繁琐，容易造成部分PC机的病毒防护不彻底，成为病毒入侵的突破口。采用朝华安博士杀毒软件【网络版】VirusClean系列防病毒软件可实现：通过浏览器自动下载客户端工作站防毒软件，可简化安装过程；自动识别客户机操作系统并下载和安装相应的防毒程序，支持包括Windows NT Workstation/Windows2000/Windows XP、Windows 95/98、Win3.X、DOS等多种操作平台的工作站；通过服务器设置统一的防毒策略，实时防治病毒，获取完整的病毒活动日志，防止病毒从客户机进入系统；服务器防护服务器经常会遭受大量引导型病毒、文件型病毒、混合型病毒、Windows病毒以及宏病毒等的攻击，更为常见的是，由于服务器为网络中所有工作站提供资源共享，因而也成为病毒理想的隐身寄居场所，进而将病毒轻易扩散到网络中的所有工作站或服务器上。VirusClean能够支持Windows NT/2000、Unix等多种平台服务器的病毒防护。VirusClean for Server实时病毒监控功能，远程安装，远程管理系统，病毒码自动更新功能以及病毒活动日志、多种报警通知方式等，可为企业内服务器的病毒防护提供便利和效能。集中管理在网络病毒流行的年代，必须通过集中管理功能，将所有的防病毒软件进行集中管理，包括策略的分发，日志的管理，客户端的集中升级等等。朝华安博士策略中心 (Policy Center 3.0)软件可以帮助省人民医院网络的安全管理人员在网络中心安装的所有个人计算机上生成病毒安全策略，并通过中央服务器强制安装防病毒程序，通过对分散的各个计算机进行病毒检查及定期对病毒引擎进行更新，从而不断地实现对防病毒软件进行管理，实现整个网络内部的防病毒安全策略