广州市经济开发区医院网络安全解决方案.doc

广州市经济开发区医院广州市经济开发区医院 计算机网络安全解决方案计算机网络安全解决方案 广州标向信息技术有限公司广州标向信息技术有限公司 二二 六年七月十八日六年七月十八日 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 1 页 共 42 页 目目 录录 一 前言 2 二 网络安全现状及需求分析 3 2 1 网络现状 3 2 2 网络安全需求 3 三 网络安全解决方案 4 3 1 网络安全方案设计原则 4 3 2 网络安全总体解决方案 5 3 2 1 网络安全拓扑结构图 5 附图 6 3 2 2 速通防火墙 7 3 2 3 防病毒软件 20 3 2 3 1 网络版防病毒软件的选型和配置 20 3 2 4 网络哨兵网络行为审计系统功能及部署 33 四 售后培训和服务 42 4 1 售后培训 42 4 2 售后服务 42 五 系统实施试运行方案 44 5 1 安全系统安装前网络安全评估 44 5 2 漏洞修复及安全系统安装 44 5 3 安全系统安装后网络安全评估 44 5 4 试运行 44 六 速通网络安全产品典型用户名单 45 七 系统配置清单 50 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 2 页 共 42 页 一 前言一 前言 信息化在给广州市经济开发区医院带来便利的同时 也带来了新的安全问题 并且 这个问题现在显得越来越紧迫 并且随着各种软件安全漏洞的不断增加 黑客技术不断提高 更加迫切要求网络具有更高的安全防范体系 因此 广州市 经济开发区医院网络安全整体化建设已经迫在眉睫 为此 广州标向信息技术有限公司作为专门从事网络安全产品销售 网络安 全整体方案和网络安全服务的提供商 推出了一系列的网络安全产品 构成完整 的网络安全防卫体系 不只可以防卫外界网络的入侵 也能阻止内部有心人士来 自内部网络的破坏行动 到目前为止 我们已成功为广东省电信实业有限公司 广东省商品检验检疫局 全省 43 台防火墙 广东省烟草专卖局 广州医学院 中 山大学肿瘤医院 广州市第 16 中学 佛山市人事局 广东纺织学院 佛山教育学 院 惠州市残疾人联合会 惠州大学 中山市公安局森林分局 中山市海关缉私 分局 深圳市购书中心等九百多个重要政府机关和企事业单位提供安全产品和整 体服务方案 拥有丰富的网络安全经验和强硬的技术研发服务队伍 通过了解和考察 结合我们自身的技术优势和多年网络安全的经验 充分考 虑到现有网络的情况 利用现时的高新网络安全技术 提供一份具体细致的 技 术高尖的网络安全技术方案 保证网络的整体安全 为广州市经济开发区医院网 络安全提供全面的服务 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 3 页 共 42 页 二 网络安全现状及需求分析二 网络安全现状及需求分析 对于专用网络的内部而言 具有资源分类别 分级别 密级区别等特点 各 个用户 各个部门拥有自主储存 使用和传递共享的资源 因此 广州市经济开 发区医院网络内部也必须对各种信息的储存 传递和使用进行严格的权限管理 2 1 网络现状网络现状 广州市经济开发区医院的网络现状是几栋办公大楼 数台服务器 内网约 150 台 PC 通 过通过电信的一个 10M 光纤专线上网 目前广州市经济开发区医院网络的安全措施主要有 1 操作系统和应用软件自身的身份认证功能 实现访问限制 2 定期进行数据备份 可见 以上这些简单的安全措施已难以满足现代网络安全需求 2 2 网络安全需求网络安全需求 通过以上对广州市经济开发区医院网络安全现状的分析 我们提出了建设广 州市经济开发区医院网络的安全需求 1 采用防火墙技术 将内网和外网安全隔离 防止来自内 外网的攻击 2 采用网络版的防病毒技术 最大限度的保护每一台电脑的安全 防止不必 要的电子资产破坏和流失 3 采用 VPN 技术 对通过互联网传输的数据进行加密保护 4 制定完善安全管理制度 并通过培训等手段来增强员工的安全防范技术及 防范意识 5 根据信息的重要性和保密性要求 划分不同的安全区域 实施多层认证 达到多重保护 6 选择技术雄厚 服务及时周到的网络安全专业公司 做好网络安全防御工 作 保证网络的长期安全 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 4 页 共 42 页 三 网络安全解决方案三 网络安全解决方案 3 1 网络安全方案设计原则网络安全方案设计原则 网络安全建设是一个系统工程 网络系统安全体系建设应按照 统一规划 统筹安排 统一标准 相互配套 的原则进行 采用先进的 平台化 建设思想 避免重复投入 重复建设 充分考虑整体和局部的利益 坚持近期目标与远期目 标相结合 1 1 整体安全原则 整体安全原则 应用系统工程的观点 方法 分析网络的安全及具体措施 安全措施主要包 括 行政法律手段 各种管理制度 人员审查 工作流程 维护保障制度等 以 及专业措施 识别技术 存取控制 密码 低辐射 容错 防病毒 采用高安全 产品等 一个较好的安全措施往往是多种方法适当综合的应用结果 2 2 积极防御原则 积极防御原则 随着黑客技术的提高 对网络安全也提出更高的要求 所以应尽量选用智能 化 高度自动化 响应速度快的网络安全产品 配备技术力量雄厚 响应及时的 本地化服务队伍 才能做好各种预防检测工作 达到防患于未然 3 3 多重保护原则 多重保护原则 任何安全措施都不是绝对安全的 都可能被攻破 但是建立一个多重保护系 统 各层保护相互补充 当一层保护被攻破时 其它层保护仍可保护信息的安全 4 4 一致性原则 一致性原则 一致性原则主要是指网络安全问题应与整个网络的工作周期 或生命周期 同时存在 制定的安全体系结构必须与网络的安全需求相一致 安全的网络系统 设计 包括初步或详细设计 及实施计划 网络验证 验收 运行等 都要有安 全的内容及措施 实际上 在网络建设的开始就考虑网络安全对策 比在网络建 设好后再考虑安全措施 不但容易 且花费也小得多 5 5 易操作性原则 易操作性原则 安全措施需要人去完成 如果措施过于复杂 对人的要求过高 本身就降低 了安全性 其次 措施的采用不能影响系统的正常运行 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 5 页 共 42 页 6 6 可扩展性原则 可扩展性原则 由于网络系统及其应用扩展范围广阔 随着网络规模的扩大及应用的增加 网络脆弱性也会不断增加 一劳永逸地解决网络安全问题是不现实的 同时由于 实施信息安全措施需相当的费用支出 因此充分考虑系统的可扩展性 根据资金 情况分步实施 既可满足网络系统及信息安全的基本需求 亦可节省费用开支 3 2 网络安全总体解决方案网络安全总体解决方案 3 2 1 网络安全拓扑结构图网络安全拓扑结构图 网络安全系统是整体的 动态的 网络安全系统应符合 MPDRR 模型 M management P protect D detection R1 responce R2 recovery 因此 要真正 实现一个系统的安全 就需要建立一个从保护 检测 响应到恢复的一套全方位 的安全保障体系 我们提供的网络安全方案正是基于 MPDRR 模型构建的 符合网络安全系统 整体性和动态性的特点 具体见网络拓扑结构图 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 6 页 共 42 页 附图附图 附录 远程或移动用 户 VPN 连接 INTERNET DMZ 区 外网区 www e mail dns ftp 服务器 对外提供服务 内部网 防火墙 VPN IDS VPN 通道 分支机构 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 7 页 共 42 页 在广州市经济开发区医院内部网络到外网出口处位置部署一台速通防火墙 A100 4 将内部网络和外网隔开 防止来自内 外网的攻击 同时将服务器群安 置在防火墙的中间区 DMZ 作重点保护 通过对网络现状的分析 我们建议广州市经济开发区医院使用速通 VPN 进 行远程数据传输 我们建议在每一个客户端都安装安博士的网络版防病毒软件 服务器端安 装服务器版 通过网管员统一规划和查杀未知病毒 3 2 2 速通防火墙速通防火墙 3 2 2 1 防火墙的部署防火墙的部署及作用及作用 一 部署一 部署 为了保证网络整体安全 本方案在广州市经济开发区医院内部网络到互联网 出口处位置部署一台速通防火墙 将医院内部网络与外网隔开 负责出口访问控 制 既可以防止来自互联网的攻击 又能对出网进行有效控制 同时 通过对防 火墙的设置 对放置在防火墙中间区的服务器群起到保护作用 二 作用二 作用 防火墙作为网络安全的核心部件 放置在网络的出口 通过区域的合理划分 和设置有效的安全策略 实现以下的作用 过滤进出网络的数据 管理进出网络的行为 限制和监控外网对内网 的访问行为 保障广州市经济开发区医院的网络整体安全 并对各种 访问进行审计 将内部网络与外网隔开 避免信息外泄 通过控制对关键服务器的授权访问控制 拦截非法访问 对于非授权 访问和可疑存取行为进行报警 对用户可以进行授权 可以做到限制 某一用户上网 或不允许上某些网站 对外网的服务请求加以过滤 只允许正常通讯的数据包到达相应主机 对于各攻击包和探测包一律加以拦截 并可以对类似 BT 下载之类的协 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 8 页 共 42 页 议进行限制 对内部用户访问外部网络而引入的安全风险加以防范 加强内部用户 的出网管理和审计 对于黄色或反动网站可进行过滤 3 2 2 2 速通防火墙的九大竞争优势速通防火墙的九大竞争优势 1 1 国恒对速通品牌和质量的承诺国恒对速通品牌和质量的承诺 是由国恒集团旗下国恒联合科技公司持有网络安全产品品牌 速通 系列防火墙是国恒联合科技公司独立开发 具有自主知识产权 国内领先的网络 安全产品 速通防火墙强调产品品质及个性化服务 重视产品质量和服务 全力 打造中国一流防火墙产品 2 2 全面安全防护全面安全防护 基于用户的组合过滤提供强大而灵活的过滤能力 内置的入侵检测模块使速通防火墙更好的防范攻击 蠕虫阻断和报警遏制蠕虫的传播和扩散 虚拟私有网功能解决网络信息的传输安全的难题 VPN 内的数据包过滤提高了 VPN 的可管理性和安全系数 强大的内容过滤功能 包含策略 DNS 和 URL 过滤 网站过滤 网页控件过 滤 完整的防火墙日志记录 全面防御各种 DOS DDOS 攻击 采用先进的 PKI 认证机制和通讯加密 杜绝了防火墙被恶意接管的可能 通过了公安部包过滤防火墙新标准认证 GB T 18019 1999 3 3 性能优越性能优越 速通防火墙采用专门的安全操作系统 S B A 和 F 系列产品支持从 2 200 万不等的并发连接数 从而保证用户网络畅通无阻 吞吐量达到线速 小包通过率为 70 47 数据来源于北京赛迪 2003 年 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 9 页 共 42 页 8 月的测评报告 VPN 的加解密和认证过程均由专用硬件完成 效率非同寻常 4 4 稳定可靠稳定可靠 高度集成化的软硬件一体设计 适应各种环境条件 平均无故障工作时间 3 万小时 支持双机热备 网口热备 提高系统抗灾性 5 5 贴合客户应用的安全解决方案贴合客户应用的安全解决方案 完整的 H 323 支持 可在各种复杂的网络结构中完美的实现安全视频 带宽管理与流量统计 防止线路资源无谓消耗 代理服务 节省网络带宽 实现用户级访问控制 同时支持透明和路由接入模式 无需用户调整配置 适应更多网络环境 支持 VLAN 路由 桥 混杂模式 可应用在各种结构复杂的网络环境中 双向网络地址转换功能 解决用户 IP 地址不足难题 6 6 方便易用方便易用 集中管理 通过同一界面同时操作多台防火墙 方便大集中式的统一部署 防火墙实施域管理 借鉴 Windows 先进设计理念 域内帐号统一管理 提供第三方 IDS 互动功能 构建完整的安全网络 提供详细的日志记录及日志查询报表管理工具 7 7 伴随客户业务一同成长伴随客户业务一同成长 内核轻松升级 保证了整个安全系统随着技术的进步不断增强 入侵检测库 蠕虫库持续更新 保证与国际最新的黑客攻击手段同步防御 8 8 速通服务相伴全程速通服务相伴全程 客户购买时提供产品介绍 安全咨询 网上培训和在线答疑等售前服务 通过电子邮件 网站 现场支持 应急相应和保修服务解决客户使用中出 现的问题 背靠北航 哈工大等院校联合成立了网络测试实验室 信息安全联合实验 室 拥有强大技术支撑 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 10 页 共 42 页 遍布全国的 速通全程服务 授权服务中心为客户提供优质快捷的售后服 务 给客户以信心的保证 详情敬请访问 9 9 产品获得多方认可产品获得多方认可 产品正式通过了国家公安部 国家信息安全产品测评认证中心和国家保密 局认证 CCID 评测 2003 防火墙产品测评荣获 聪明买家奖 3 2 2 3 速通防火墙选型和配置速通防火墙选型和配置 选型选型 速通防火墙速通防火墙 A100 4 速通防火墙 A100 4 配置 说明 A100 4 性能性能带宽 100M 并发连接数 无性能影响时最 大并发连接数 500 000 策略 无性能影响时最 多策略数 1000 接入模式接入模式网口数 4 个百兆内网端 口 1 个百兆外网端 口 2 个扩展口 ADSL PPPoe 是 DHCP 客户端 服务器 是 应用模式应用模式路由模式 所有网口 是 透明模式 所有网口 是 混合模式路由 透明混合是 支持网络地址转换 NAT 双向 端口地址转换 PNAT 双向 vlan trunck 802 1Q 用于支持 3 层交 换设备 是 策略路由 可根据源地址来 选择应用的路由 表 是 平衡路由 用于提供备份链 路的支持 是 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 11 页 共 42 页 防火墙防火墙状态检测包过滤 是 基于时间的过滤 是 基于用户认证的过滤 是 基于内容的过滤 是 IP MAC 绑定 防 IP 地址欺骗 是 支持各种 DOS DDOS 防护 是 允许用户操作 FTP HTTP SMTP POP3 TELNET 是 病毒防范病毒防范支持蠕虫病毒阻断 是 内部蠕虫分析 是 入侵检测入侵检测防火墙联动 是 自定义入侵检测库 是 安全日志分析 是 内容过滤内容过滤基于策略 是 DNS 过滤 是 URL 过滤 是 网页过滤 是 Java ActivX Cookies ZIP exe 屏蔽 是 多媒体支持扩多媒体支持扩 展展 带状态检测的 H 323 是 多播路由 IPTV 应用需要此 项支持 是 UPNP 是 协议扩展 对常用多媒体网 络通信的协议专 门优化 是 网管功能网管功能带宽管理 是 流量计费接口 是 动态 DNS 是 DHCP Server Client 是 ICMP 代理支持是 VPNVPN 功能功能隧道数 1000 拨号用户数 2000 网关 网关模式 是 远程访问模式 是 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 12 页 共 42 页 IPSec 协议 是 TCP IP 是 IPSEC 包过滤 是 PPTP 协议 是 PPTP 包过滤 是 NAT 穿越 是 动态地址 VPN 是 DES 3DES MDS 加密 是 AES 加密 是 Ipsec 认证 MD5 或 SHA 1 是 IKE Key 管理 是 PKI x 509 是 日志功能日志功能管理日志 是 流量日志 是 网络监控日志 是 日志审计 导出 查询 分析 是 日志报表 提供自动报表 生成 支持报表 书写器 支持简 要报表 是 认证功能认证功能支持用户认证 基于用户名 口令 OTP 主机 代理 是 支持 Windows NT 域认证 是 支持 radius 认证 是 支持 NetScape Microsoft 访 问控制 是 管理功能管理功能 支持图形控制台和 WINDOWS 平 台 是 调试 Shell 否 Email 声音 Syslog SNMP 等报警 是 SNMP 支持 是 支持实时统计是 外挂程序接口 是 加密管理通道 是 管理员权限设定 是 PKI 认证保护 是 支持硬件口令管理 是 支持防火墙远程集中管理 远是 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 13 页 共 42 页 程管理通过 SSH 加密 高可靠性高可靠性双机热备 否 负载均衡是 链路备份 是 调试失败恢复 是 其它其它支持软件升级 是 交流电源输入 输入电压 220V 输入频率 50Hz 输入电流 3 0A 电源功耗最大 250W 满足 工作环境温度 0 50 摄氏度满足 工作环境湿度 0 90 无凝结 满足 存放温度 40 70 摄氏度满足 存放湿度 0 95 无凝结 满足 平均无故障时间 80000 小时 尺寸 350 167 44MM1U 证书证书 具有公安部销售许可证 国家 信息安全测评认证证书 国家 保密局鉴定证书 满足 价格价格 包含一年的免费升级和产品保 修服务 3 2 2 4 速通防火墙的主要功能模块说明速通防火墙的主要功能模块说明 速通防火墙特点速通防火墙特点 一体化的硬件设计国恒速通防火墙采用了一体化的硬件设计 采用了自己的操作系统 无需其他操作系统的支 持 这样能够发挥硬件的最大性能 同时也提高 了系统的安全性 双机热备份 接口热备 通过双机热备份 本系统提供可靠的容错 热 待机功能 备份防火墙服务器中存有主防火墙服 务器的设置镜像 当主防火墙因为某些原因不能 正常运作 备份服务器可以在 3 秒钟内取代主服 务器运作 充分保证整个网络系统运作的稳定性 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 14 页 共 42 页 完善的访问控制国恒速通防火墙符合国家最新防火墙安全标 准 采用了三级权限机制 分为管理员 策略员 和审计员 管理员负责防火墙的开关及日常维护 策略员负责配置防火墙的包过滤和入侵检测规则 审计员负责日志的管理和审计中的授权机制 这 样他们共同地负责起一个安全的管理平台 多种工作模式国恒速通防火墙可以工作在网桥 路由和混 杂三种模式下 这样可以方便用户使用 使用在 网桥模式时在 IP 层透明 使用路由模式时可以作 为三个区之间的路由器 同时提供任意网络接口 间的网络地址转换 防御 DOS DDOS 攻击普通的防火墙都是采用限制每一网络地址单 位时间内通过的 SYN 包数量来抵御 DDOS 攻击 但 是通常网络攻击者都会随机的伪造网络地址 因 此这种方法防范的效果非常差 不能从根本上抵 御 DDOS 攻击 国恒速通防火墙修改了 TCP IP 堆 栈的算法 使得新的 syn 连接包可以正常通过 避免了由于大量的攻击 SYN 包造成网络的阻塞 状态检测国恒速通防火墙可以根据数据包的地址 协 议和端口进行访问控制 同时还对任何网络连接 和会话的当前状态进行分析和监控 传统的防火 墙的包过滤只是根据规则表进行匹配 而国恒速 通防火墙对每个连接 作为一个数据流 通过规 则表与连接表共同配合来对网络状态进行控制 基于用户的组合过滤传统防火墙 仅能根据 IP 协议 端口等包 头数据进行过滤 对于诸如多人使用同一机器等 情况无法鉴别 有鉴于此 速通防火墙提供了更 深层的用户 内容的鉴别能力 同时还可与传统 的 IP 协议 端口时间等过滤条件进行自由组合 提供强大而灵活的过滤能力 可以限制某个 IP 不 能上网或不能上某些网站 双向网络地址转换系统支持动态 静态 双向的 NAT 当用户需 要从内部 IP 访问 Internet 时 NAT 系统会从 IP 池里取出一个合法的 Internet IP 为该用户建立 映射 如果需要在 Intranet 提供让外部访问的服 务 如 WWW FTP 等 NAT 系统可以为 Intranet 里的服务器建立静态映射 外部用户可以直接访 问该服务器 双向网络地址转换为企业用户连接 到 Internet 提供了良好的网络地址隐蔽 并且能 减少 IP 占用 替用户节省费用 提供多接口支持除了内部网络界面和外部网络界面 系统还 可以再增加一个或多个网络界面 让管理员灵活 应用 如建立 DMZ 军事独立区 在其中放置公 共应用服务器 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 15 页 共 42 页 ADSL 支持支持 ADSL 拨号功能 同时支持 ADSL 自动重 新拨号 在断线后保证防火墙在 ADSL 线路上可以 自动重新拨号连通网络 可管理多方式 VPN同时支持 IPSec 和 PPTP 两种协议 同时支持 服务器到服务器和服务器到客户端模式 传统架 构下 由于 VPN 的加解密过程占用了大量 CPU 资源 对于 VPN 内的数据 设备不再有能力进行 管理 速通防火墙由于其独特的 NP 架构 加解 密由专用硬件完成 不占用 CPU 资源 因此 可以对 VPN 内的数据包做进一步的包过滤 大 大提高了 VPN 的可管理性和安全系数 带宽管理和流量统计国恒速通防火墙系统使用流量统计与控制策 略 可方便的根据网段和主机等对流量进行统计 与控制管理 用户可以通过设置源地址到目的地 址单位在时间内允许通过的流量以及协议和端口 来进行带宽控制 日志审计审计功能是国恒速通防火墙非常强大的一个 部分 目前国内防火墙的审计功能都非常不完善 国恒速通防火墙提供了大量的审计内容和对审计 内容的查询功能 由于日志可能对一般用户比较 难以理解 而我们将日志记录分成了若干部分 而其中每一部分都可以进行查询和管理 这样用 户就能对防火墙的情况有一个非常透彻的了解 入侵检测国恒速通防火墙入侵检测系统采用了可扩展 的检测库方法 目前可以抵御 2000 多种攻击方法 而且可以通过升级检测库的方法来不断的抵御新 的攻击方法 自动报警和防范系统国恒速通防火墙一旦检测到有黑客进行攻击 会在第一时间内在控制机上进行报警 而且同时 会自动封禁掉攻击者的 IP 地址 这样可以做到防 火墙的防范完全自动化 而不象普通的防火墙那 样需要人工干预 蠕虫阻断和报警蠕虫 具有破坏性大 传播迅速的特点 仅 2003 年的冲击波一例 就带来了超过 12 亿美金 的损失 速通防火墙独家提供了在网关处的蠕虫 阻断和报警功能 能有效遏制蠕虫的传播和扩散 多媒体支持扩展随着宽带的普及 语音 视频会议 网络电 视等多媒体业务正以指数形式增长 速通防火墙 内置多播路由 UPNP H 323 状态检测和增强协 议支持等专门用于扩展多媒体网络应用的技术 为客户已经和将要使用的多媒体业务提供完美支 持 网页过滤随着互联网的普及 网络滥用的情况也日益 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 16 页 共 42 页 突出 速通防火墙内置网页过滤数据库 可以对 常见的色情 暴力 政治 游戏 证券类的网页 进行阻挡 降低网络滥用的风险 基于 PKI 的授权认证国恒速通防火墙的授权认证是基于 PKI 基础 之上 因此完全性极高 PKI 是一种新的安全技术 它由公开密钥密码技术 数字证书 证书发放机 构 CA 和关于公开密钥的安全策略等基本成分 共同组成的 快速安装配置国恒速通防火墙的安装和配置非常方便 管 理员只要设定好网络设备的 IP 地址 然后使用系 统提供的一些典型配置模板 适当的修改一些规 则来符合要求 除此以外还可以添加系统提供的 一些子模板来实现一些特定的功能 图形管理界面用户可以通过图形界面对防火墙进行配置和 管理 而且也可以通过图形界面来管理审计内容 而不象有些防火墙是通过命令行方式进行配置 完全中国化的设计国恒速通防火墙是由国恒联合公司自行设计 和制作的 界面 帮助文档 使用说明完全中文 化方便管理员配置防火墙 集中管理国恒速通防火墙采用基于 Windows GUI 的用 户界面进行远程集中式管理 配置管理界面直观 易于操作 可以通过一个控制机对多台国恒速通 防火墙进行集中式的管理 BT 下载限制速通防火墙支持网管按照 不同应用协议封锁一些 端口来解决类似 BT 下载的问题 也可以采用跟踪 BT 最新协议方式 灵活设置策略来封锁 如果用 户不想完全封锁 也可以限制 BT 的下载流量的方 式限制 BT 下载 3 2 2 5 速通速通 VPN 技术技术 为了保证广州市经济开发区医院和互联网其他单位 分支机构或客户 间的 数据传送不被监听 篡改 利用 VPN 强大的加密技术以及安全认证机制 保护信 息在网络上传输的机密性 真实性 完整性及可靠性 虚拟专网 VPN 技术是采用密码技术 使用 IP 隧道封装加密数据 进行信 息加密传输 保证信息完整 并结合网络访问控制技术 抵抗各种外来攻击 在 IP 层实现了认证 数据加密 防止 DOS 攻击 访问控制以及审计等安全机制 从 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 17 页 共 42 页 而使其成为安全可靠的网络信息安全传输工具 依据业务的需要 我公司推出了 高安全强度和高可靠性的 VPN 系统模块 其系统可有效保护信息的传输安全和阻 止对企业内部网的非法访问和攻击 如侦听破译 篡改报文 重发或少发报文 冒名顶替 非法访问 旁路攻击 黑客攻击等等 速通速通 VPN 的技术特点的技术特点 智能寻址技术 客户自主的解决方案 自带智能的寻址技术 通过架接在公网上的 PHP ASP 脚本来实现多方同时 互连 而且该脚本文件是提供给客户使用 畅通伟业公司并不要求提供第三方服 务 从而保障了客户自主互连的权益 对比于其他第三方服务的产品 例如 花生壳或服务器托管 客户的网络运 营不再依赖于服务提供商提供的服务器 客户可以选择讲该脚本文件放置于自己 的网站或自己信赖的公网服务器上 实现隔绝于外界其他网络的互连网络 安全灵活的加密机制 客户安全互连的基石 采用 DES 64 位的加密算法对数据进行加密 同时加密算法的密钥实行动态分 配的形式 平均每 10 分钟对加密密钥进行一次动态更新 因此数据形成的密文在 公网上传输时 即使被侦听到 也无法对其进行解密 因为在如此短暂的时间内 实行解密的可能性几乎为零 对于企业级的安全应用来说 该安全界别远远高于 现在企业的应用环境 SSL 128 位隧道协议 保证客户传输隧道安全 建立 VPN 隧道采用 SSL 128 位级别的隧道协议 保障安全互连的同时方便了 客户 由于隧道本身不用安装客户端 因此提高了客户端的系统兼容性 更高级的认证措施 绑定硬件鉴权 在建立安全连接的时候 除了会验证客户端传输到总部的口令外 还可以集 成客户端硬件绑定的认证系统 通过绑定客户端 PC 的网卡信息 实施多重认证机 理 提高接入的安全性 虚拟 IP 技术 隔绝于客户现有网络之外 安装 VPN 软件的用户会在自己的 PC 上虚拟一块网卡 此虚拟网卡是独立存在 的 使访问 VPN 网络的路径于客户本身访问局域网的路径隔绝 不会互相之间产 生影响和干扰 提高了网络传输的稳定性和效率 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 18 页 共 42 页 运行脚本 客户自定访问网络的路径 在 VPN 软件系统上集成了脚本运行策略 使客户可以通过定制不同的脚本 以达到访问不同的远程网络和路径的功能 这样客户的 VPN 网络的访问路径完全 由客户自主定义 权限设置 安全的 VPN 网络保障 系统提供了端口禁用级别的内部权限设置功能 通过对客户自身服务的定义 和相应端口访问权限的分配 实现远程不同身份的用户获得不同的访问权限 达 到安全互连的目的 集成的网上邻居 WEB FTP TELNET 工具 KDT Hlink 的特色功能 系统的使用界面上集成了网上邻居 WEB 服务访问 FTP 访问 TELNET 访问等 多个实用网络工具 使得最基本的客户都可以通过这些工具方便的访问到远程服 务器提供的多种不同服务 一键访问的功能非常贴近用户的使用习惯 信使服务 企业内部即时通讯的桥梁 系统还集成了即时通讯系统 信使服务 可以让客户的总部于分支之间通 过信使服务进行即时通讯 节省客户络通信上的费用 也可以让协同办公的意识 深入每个员工的心中 多条线路捆绑 更快速的 VPN 网络 当客户运行更大型的数据库 联入更多数量的分支时 总部带宽往往成为整 个企业内部网中的带宽瓶颈 此时 客户可以选择通过增加新的上网方式的办法 来扩充带宽 最大支持客户 4 条线路同时通过 此时的 VPN 带宽是此多条线路带 宽的集合 为客户网络速度的提高提供更广的平台 用户管理平台 更灵活的分组管理方式 支持自定义客户端的接入级别 通过分组形式组合成集分支用户 公司内部 移动办公人员 经销商 合作伙伴甚至是客户为一体的用户管理平台 对于每个 不同组的用户除了能够进行访问权限的控制外 还能控制不同用户的接入次数 达到最大可能的接入安全审核 提高数据传输的服务质量 增强的 Qos 功能 现代企业为了提高企业管理的效率 越来越趋向于通过更多的应用管理系统 来管理企业经营的各个方面 CRM OA ERP 视频会议 语音电话 MIS 等各种应 用系统组合式的出现企业经营的不同领域 同时不同应用系统在远程使用中会互 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 19 页 共 42 页 相挤占有限的带宽 造成重要的服务往往不能得到最快的响应 为了解决企业用 户的这些问题 速通 VPN 创造性的提出了 Qos 功能 通过自定义企业内部服务 为不同的应用服务指定带宽 从而保证了重要的服务总是能得到有效的响应 安全有备无患 服务器端自动设置备份功能 当总部服务器端由于 PC 硬件或系统不稳定造成系统重装时 速通 VPN 提供了 方便的备份恢复机制 只需点一下鼠标 所有的设置将恢复到备份前的状态 减 少了客户因其他因素造成的操作难度和中断延迟 适用面广 支持点对点专线接入 VPN 服务 传统的 VPN 产品都是基于 Internet 公网的服务 当客户使用的是点对点的专 线互连方式 又急需解决访问安全性和速度问题时 便不能有效支持客户的网络 状况 针对此问题独创的提出采用 UDP 传输的网络协议 支持运营商提供的点对 点专线互连和 FR 祯中继 互连 并能在此网络结构上设置访问权限和 Qos 配置 极大的提高专线接入的效率 性能出众 支持各种苛刻的网络结构和系统应用 超级连接最大支持 1600 个分支和移动用户同时接入到总部网络中 支持最大 100M 带宽的数据流量 对比起现有客户网络状况和系统应用状况有比较大的冗余 空间 对于客户公司规模和应用系统升级都有提供了更广泛的支持 硬件客户端 不需配置的傻瓜式终端接入 当客户端用户对软硬件操作使用不熟悉时 速通 VPN 提供了傻瓜式的一体使 用方案 硬件即插即用客户端 客户只需将畅通伟业公司提供的 USB 硬件客户 端插入 PC 的 USB 口上 即可实现与总部的互连互通 断开网络连接同样也只需拔 出硬件 方便快捷 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 20 页 共 42 页 3 2 3 防病毒软件防病毒软件 一 部署一 部署 为了保证网络整体安全 本方案在广州市经济开发区医院内部每台电脑都安 装安博士的防病毒客户端软件 另外 针对服务器 再安装服务器端软件 另外 我们可以在医院网络中心安装一台 安博士 APC 2 0 的管理服务器 作为总的服务 管理器 并可以在任意一台计算机上安装 APC 的服务管理控制端 该服务管理控 制端可以管理到 500 1000 个节点 二 作用二 作用 通过我们强大的 V3 管理工具 APC 2 0 我们可以集中管理所有的客户端的 V3 系列产品 及其相关的计算机硬件与软件 提供病毒库的实时升级 杀毒策略管理 及客户端信息监测 病毒情况收集及分析 INTERNET 病毒防护 主要针对 Internet EMAIL Internet Download 信 息下载 等集中进行病毒扫描 对邮件的附件 下载信息进行病毒过滤 服务器病毒防护 对各种服务器进行病毒扫描和清除 集中报警 网络客户端病毒防护 针对各种桌面操作系统 进行病毒扫描和清除 单机 包括笔记本电脑 病毒防护 服务器病毒防护 对服务器 数据库等的病毒扫描和清除 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 21 页 共 42 页 3 2 3 1 网络版防病毒软件的选型和配置网络版防病毒软件的选型和配置 3 2 3 2设计原则设计原则 建立防病毒系统需要考虑的主要内容有 控制传染源 控制传染途径 简化组织机构防病毒体系的管理 防病毒软件的集中分发和维护 病毒事件的集中管理和报警 预防胜于杀毒 防病毒的自动化 考虑明天的防病毒体系 升级能力 如何考虑性能的折中 综上所述 设计防病毒方案时一般应遵循以下原则 1 1 技术和产品的成熟性和稳定性技术和产品的成熟性和稳定性 充分考虑防病毒产品本身和技术上的成熟性 AHNLAB APC 2 0 的网络防 病毒产品正是成熟而且经受大量考验的防病毒产品 在学院使用的各种操作 系统平台和服务器平台上都有相应的病毒防范软件的版本并且能够和操作系 统紧密结合 2 2 满足需求为第一满足需求为第一 针对学院的具体应用情况 建立满足需求的病毒防护系统 我们会积极配 合开发区医院辖区的安全技术人员对整个病毒防御体系进行合理建设 尽量满 足各种需求 3 3 先进性先进性 由于防病毒领域是一个动态的发展过程 必须要求今天的防病毒系统不 仅仅能够全面检测到已经发现的病毒 还能接受明天病毒的挑战 AHNLAB APC 2 0 的 AVD 能够对已有病毒具有 100 的检测率 另外还具有独特的启发 式技术 可以检测病毒变体和未知病毒 4 4 扩展性和可升级性扩展性和可升级性 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 22 页 共 42 页 可升级能力是衡量防病毒系统是否具有生命力的重要指标 AVD 实现机制 将病毒样本文件和引擎分离 并向用户提供多种病毒特征文件和病毒引擎的 升级方式 AHNLAB APC 2 0 公司可以每当在有新的病毒特征文件和病毒引擎 时 主动从 Internet 上直接向有此项需求的用户推送这些文件 保证组织机 构的防病毒系统在第一时间内得到升级 另外 管理员还可以设置计划 Schedule 让客户端和服务器的防病毒软件在管理员指定的时间进行升级 同时 AVD 的管理能力和所包含的组件在功能 性能上都在不断采用新的技术 保证系统的向前发展 5 5 可管理性可管理性 对于像开发区医院这样一个客户端较多组织机构 IT 管理员时间是非常 宝贵和繁忙的 要管理防病毒软件的分发 升级 配置和支持是一个非常难的 事 这就要求提供一个方便管理的平台 Apc2 0 中的提供了简化管理的工具 可以在几个集中的管理点上对整个网络中的客户端和服务器按照部门或地域进 行划分 对病毒特征文件和防病毒引擎的分发升级 报警管理和日志分析整理 以及病毒处理方式配置等 6 6 易用性易用性 在一个开发区医院这样的客户较多组织机构中 大部分的使用人员并非 计算机专业人员 而且由于业务繁忙 不可能系统学习每一个工具软件 这 就要求客户端的防病毒软件必须简单易用 自动化程度高 最好无须用户干 预 而 Apc2 0 中的客户端防病毒软件 V3 VirusScan 能够自动对病毒实时检 测 清除和报告 简化了使用的复杂度 结合统一的控制台 用户几乎不需 要知道有防病毒软件的存在 而且界面全部汉化 非常易于理解和使用 7 7 跨平台和操作系统跨平台和操作系统 防病毒软件基本要覆盖已有各种机器和操作系统 在开发区医院辖区有 Microsoft 系列产品 这些机器都可能是潜在的病毒传染源 3 2 3 3 防病毒的选型防病毒的选型 设计原则针对开发区医院的复杂的网络环境和高要求的网络病毒的安全管理 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 23 页 共 42 页 我们采用了当前世界先进的安博士 V3 系列防病毒产品 V3 系列防病毒产品是一个多种网络操作系统为一体的 功能强大的新一代网 络防病毒产品 V3 系列产品包括保护您的 Windows 系列产品 Windows 2000 NT Server Windows 95 98 Windows NT Workstation Windows 3 X DOS 工作站 同时还提供对 Lotus Notes 和 Microsoft Exchange 群件系统的防护功能以及防 护 Internet 网关的保护 V3 系列产品提供与伦比的功能为您的企业网提供强大的 防护 V3 系列软件获得多家权威计算机安全机构的认证与推荐 其中包括中国公安 部检验中心的认证及销售许可 微软公司以及亚洲反病毒协会等多项奖项 3 2 3 3 防病毒防病毒 V3 的技术及性能优势的技术及性能优势 1 全球最快速的反病毒引擎 WARP 用户所使用的计算机系统处于 WARP 引擎的保护之下 任何已知病毒的入侵都 会被拒之门外 防患于未然 而用户平时使用的计算机是感觉不到防病毒产品的 存在 对用户完全透明 V3 是将已经开发的各种防病毒技术从源程序级嵌入操作系统和网络系统内 核 实现无缝联结 如将实时监控 文件动态解压缩 病毒陷阱 宏病毒分析器 等功能 组合起来嵌入操作系统和网络系统 作为系统本身的一个 补丁 与其 浑然一体 2 无缝联结技术 V3 的 WARP 引擎技术是可以保证防病毒模块从底层内核与各种操作系统 网络 硬件 应用环境密切协调 确保了在发生病毒入侵反应时 防毒操作不会伤及到 操作系统内核 同时确保杀灭来犯的病毒 无缝联结只有在充分掌握系统的底层协议和接口规范的基础上 才能开发出 与之完全兼容的产品 正是 CA 与微软深厚的合作伙伴关系 才会获得底层协议和 接口规范 并开发出与内核无缝集成的产品 3 全面的防病毒解决方案必须从系统底层做起 当代病毒技术的发展 已使病毒能够很精密的嵌入到操作系统的深层 甚至是 内核之中 这种深层次的嵌入给我们彻底杀除病毒造成了极大的困难 我们无法 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 24 页 共 42 页 保证在病毒被杀除时不破坏操作系统本身 而主动内核有利地保障了内核的安全 性 从而也保障了防病毒软件本身的安全性 4 VXD 机制 VXD 虚拟设备驱动 是微软专门为 Windows 制定的设备驱动程序接口规范 通俗的说 VXD 程序有点类似于 DOS 种的设备驱动程序 专门用于管理系统所加载 的各种设备 VXD 不仅适用于硬件设备 Windows 防病毒技术也需要利用 VXD 机制 这是因为 VXD 程序具有比其他类型应用程序更高的优先级 而且更靠近系统底层 资源 只有这样 防病毒软件才有可能全面 彻底的控制系统资源 并在病毒 入侵时及时报警 V3 的实时监测器就采用了 VXD 技术 她在系统启动时被自动加载 并对系统 所用资源进行实时监控 每当进行读写操作 它就会对相关文件进行扫描 检查 是否存在病毒或是否有类似病毒的行为 VXD 技术与 TSR 技术有很大的不同 占用 极少的内存 对系统影响极小 5 实时防病毒 V3 实时防病毒技术能够作用于计算机系统整个工作过程中 随时防止病毒从 外界侵入系统 全面提高了计算机系统整体的防护水平 动态实施的防病毒技术 克服了传统 DOS 版防病毒技术的缺点 由于 DOS 本身是一种 任务独占式 的操 作系统 在其上实现动态 实时防病毒技术相当困难 而 Windows95 NT 的准 纯 32 为多任务 多线程特性 恰好是解决实时防病毒技术的难点关键所在 实时防 病毒软件作为一个任务 对进出计算系统的数据进行监控 保证系统不受病毒侵 害 同时 用户的其他应用程序可作为其他任务在系统重并行运行 与实时防病 毒任务毫无冲突 6 对于网络资源和 CPU 资源占用低 V3 系列产品提供了强大的管理功能 不但使用户能够确定在不同的时间执行 许多不同的任务 而且可对多个服务器和平台的工作进行定时 这种集中管理可 以把在一个大环境中的许多事件大大简化 3 2 3 3 防病毒防病毒V3V3 系列产品的特点系列产品的特点 1 享有最高信义的标准疫苗 广州市经济开发区医院网络安全解决方案 Add 广州市天河软件园华景园区 C 栋 708 Tel 020 85566556 Web 第 25 页 共 42 页 装载有获得韩国专利及 KT 标志的 已被充分证实其优秀性能的强力防病毒 WARP 引擎 通过 WARP 引擎中独有 Algorithm 设计 在全球防病毒产品中脱颖而出 标榜 着其最快的诊断 治疗速度 治疗病毒感染文件时 提供出色的文件修复功能 通过周密的分析与检查 Algorithm 不仅可以诊断出未发现病毒 而且绝对没有误 诊的可能性 2 多种有效的检查 治疗选项 提供多种环境设置选项 不仅提供宏 Macro 及执行文件检查 所有文件检 查功能 还实时监视通过互联网及 PC 通信下