医院网络安全解决方案 建议书

XXX医院网络安全解决方案建议书二零一三年三月目录目录21.概述11.1前言11.2 项目概述11.3设计参考标准12系统分析22.1 江苏省xxx医院应用系统分析22.1.1江苏省xxx医院网络结构32.1.2 江苏省xxx医院应用系统说明32.1.3 江苏省xxx医院目前部署设备说明42.1.4 内部网络拓扑图42.1.5网络安全现状52.2 威胁分析53 需求分析63.1功能需求63.2管理需求73.3服务需求74 省XXX医院网络安全解决方案84.1边界安全解决方案84.1.1防火墙+IPS联动解决方案84.1.2 UTM统一一体化安全网关解决方案114.1.3 WEB应用安全解决方案134.2内部网络安全解决方案154.2.1数据库审计和运维安全运维审计解决方案数据库审计解决方案安全运维审计解决方案174.2.2入侵检测解决方案234.2.3 桌面终端安全管理解决方案244.2.4安全管理平台解决方案255 安全建设最终目标275.1 网络改造后的拓扑图275.2边界安全设备详细部署说明295.3数据库审计与安全运维设备详细部署说明305.4入侵检测设备详细部署说明315.5 桌面终端设备详细部署说明315.6安全管理平台详细部署说明326投入说明33341.概述1.1前言随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，网络正逐步改变着人类的生活和工作方式。越来越多的企事业单位建立了依赖于网络的业务信息系统，对行业产生了巨大深远的影响，但安全威胁也正在飞速增长。江苏省xxx医院做为江苏省规模较大、技术力量雄厚、医疗设备先进、学术水平较高，融医、教、研、防于一体的现代化综合性医院，医院的大部分业务是基于信息化实现，其网络的稳定运行与否，直接影响医院的运营。为保证网络的安全、可靠、稳定的运行，目前省xxx医院已经按照国家对信息安全的相关要求，完成了等级保护相关测评工作。为了给江苏省xxx医院提供更加稳定的网络环境，我们应当正视差距分析报告中罗列的各种安全风险，对网络威胁给予充分的重视。我们将根据目前的安全现状并结合当前的安全形势为江苏省xxx医院提供一个完整的安全改进方案。1.2 项目概述为了提高江苏省xxx医院网络的稳定性，针对现有的网络环境，通过加入相应的安全设备，建议在信息系统正常运转的前提下，力求达到提高整网的安全性能提高。通过改造，实现对于网络攻击和病毒进行必要的防御，对应用服务的访问权限进行限制，对来自医保网络或者内部网络的攻击进行实时防护，有利于震慑不法分子的违法犯罪行为，保障江苏省xxx医院应用系统的正常运营。1.3设计参考标准q GB17859-1999 计算机信息系统安全保护等级划分准则q 公通字 200743号关于印发信息安全等级保护管理办法的通知q GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求q GB/T XXXXX-200x信息安全技术 信息系统等级保护安全设计技术要求q GB/T XXXXX-200x信息安全技术 信息系统安全等级保护测评要求q GB/T XXXXX-200x信息安全技术 信息系统安全等级保护测评过程指南q GB/T 20269-2006 信息安全技术 信息系统安全管理要求q GB/T 20270-2006 信息安全技术 网络基础安全技术要求q GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求q GB/T 20272-2006 信息安全技术 操作系统安全技术要求q GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求q GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求q GB/T 21028-2007 信息安全技术 服务器安全技术要求q GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求2系统分析2.1 江苏省xxx医院应用系统分析针对江苏省xxx医院的网络结构的分析，应当在现有网络基础上，根据国家有关信息网络安全系统建设法律法规和标准规范，以及系统对安全性设计的具体要求，并结合当前信息安全技术的发展水平，针对可能存在的安全漏洞和安全需求，在不同层次上提出安全级别要求，制定相应的安全策略，设计一套科学合理、多层次、分布式、并且融合技术和管理的安全体系，采用合理、先进的技术实施安全工程，加强安全管理，保证江苏省xxx医院信息系统的安全性。根据对江苏省xxx医院信息系统的了解，对其应用系统现状简要说明如下：2.1.1江苏省xxx医院网络结构从目前我院的全局网络结构上看，主要由用于日常医疗信息交换及办公的内部业务网以及对外发布省xxx医院网站的外部业务网两部分组成。其中，医院内部业务网是医院业务开展的重要平台，承载着核心业务，同时具有相应链路与卫生局、社保和银行等其他机构交换数据；外部业务网主要对外提供信息发布门户，对内提供Internet网络接入等服务。业务内网省xxx医院的业务内网由中心机房、各业务大楼（如：门诊楼、急诊楼、药房服务、心脏科实验室等）以及其他下属医院等几部分组成，其中中心机房是整个业务网络的核心，主要提供医疗数据交换、存储和医院业务系统的运维。各业务大楼主要提供医护人员的日常业务的开展。整个省xxx医院的业务网络由核心层、汇聚层和接入层的网络交换设备组成网络的骨干，然后通过各楼层交换机接入到各个业务大楼，为了防止网络设备由于单点故障而影响业务系统的可用性，省xxx医院设置了专职维护团队，当出现设备故障时第一时间采取措施，更替故障设备。此外，还有相应的VPN专线连接到卫生局、社保和银行等外部单位，进行相关的医疗业务数据交换。业务外网外部业务网的组网方式与业务网有些类似，但其主要职能是供本院医职人员的互联网浏览服务以及对外网站的发布，所以外部业务网采用的是成本更低廉单核心网络架构，以满足一般性的外网业务需求。2.1.2 江苏省xxx医院应用系统说明江苏省xxx医院应用系统主要包括以下几个方面：经过近十多年的发展，省xxx医院信息系统(Hospital Information System，HIS)建设初具规模，日趋完善。信息系统的发展经历了从单机系统、局部网络系统到整个医院信息系统的多个阶段，可以说，HIS系统是省xxx医院医疗信息化的最核心资产。另外，内网还运行有RIS/PACS系统、LIS系统、EMR电子病历系统和B超系统、ERP系统等科室业务应用系统，上述系统均依赖或部分依赖HIS系统2.1.3 江苏省xxx医院目前部署设备说明内部业务网主机：包括Windows，HP-UX，AIX，Solaris，Linux等平台在内的多台服务器；网络设备：以CISCO为主要网络设备的网络体系架构。外部业务网主机：包括Windows，HP-UX，AIX，Solaris，Linux等平台在内的多台服务器；网络设备：除核心交换机之外，均采用不可配置的低端网络交换设备。2.1.4 内部网络拓扑图2.1.5网络安全现状 经过分析网络状态，我们认为现在江苏省xxx医院在网络安全方面还存在这样一些问题：1 目前在内网与医保网、内网与分支机构之间均未部署网络安全设备，只是通过交换路由设备做了访问控制列表，未能进行有效的数据包过滤和状态检测。2 对来自医保及分支机构的网络攻击和病毒无有效的设备进行完整的防御3 对内部用户的网络操作行为没有必要的审计措施。4 对省xxx医院内网终端用户的终端准入、进程、移动存储及桌面安全没有必要的控制。5 没有对网络异常流量进行实时检测并告警的方法。2.2 威胁分析江苏省xxx医院是多种资产的庞大组合，其所面临的威胁也就是对网络能够造成不利影响的一些潜在的事件或者行为，同样这些威胁包括自然的、故意的以及偶然的情况，其面临的威胁同样不可避免。我们将对江苏省xxx医院面临的威胁进行分析，而我们分析江苏省xxx医院面临的安全威胁的原因，就是为了减少对其的安全威胁，把江苏省xxx医院面临的安全威胁控制在我们可接受的最理想的范围内。首先，现在的网络部署模式决定了，交换机只能对医保网络及分支访问省xxx医院本部内部网络进行必要的访问权限的限制，但无法进行细粒度基于策略的有效防护。其次，内部网络的安全稳定的运行决定了医院的正常运营，所以针对医保网络对医院内部网络的攻击行为以及病毒入侵，在现有的网络环境无法做到对其有效的防护，防火墙虽然能对网络访问权限进行控制，但无法阻断入侵和病毒行为。还有，服务集群里存放的是医院的核心业务和数据，针对网络服务集群的操作行为，无法对业务环境下的网络操作行为做到细粒度的合规审计。最后，相对边界网络设备来说，熟知操作系统和数据库系统的人员的范围要广的多，而且在互联网上，很容易就能找到许多针对各种操作系统和数据库系统的漏洞的详细描述，所以，针对操作系统和数据库的入侵攻击在互联网络中也是最多最常见的。不管是什么操作系统或者数据库系统，只要它运行于网络上，就必然会有或多或少的端口服务暴露在网络上，而这些端口服务又恰恰可能存在致命的安全漏洞，这无疑会给该系统带来严重的安全威胁，从而也给系统所在的网络带来很大的安全威胁。另外据统计，有70%的网络攻击来自于网络的内部。对于网络内部的安全防范会明显的弱于对于网络外部的安全防范，而且由于内部人员对于内部网络的熟悉程度一般是很高的，所以，由网络内部发起的攻击也就必然更容易成功，因此一旦攻击成功，其强烈的攻击目的也就必然促使了更为隐蔽和严重的网络破坏。省xxx医院目前的桌面终端未有严格的控制，通过3G网卡、无线网卡等非法外联可以接入互联网，这样一旦其感染病毒或者被攻击者控制，将导致内网资料的泄露及病毒在内网的传播，从而影响应用服务的正常使用。3 需求分析3.1功能需求 对应用访问进行严格限制，只允许访问对应应用服务的对应端口，拒绝对应用服务器的其他端口的访问。 能对整网的流量进行防病毒和入侵防御。 能从整网的角度上进行访问控制，而不是网络的某一部分才能进行访问控制。 对业务环境下的网络操作行为特别是针对核心数据库的操作要能做到细粒度的合规审计，便于在出现安全事件时有据可查。 对于来自内部的病毒入侵攻击要能进行检测，对整个网络的安全态势要能进行及时的了解。 运维人员的对于网络设备、安全设备及对数据库等的操作行为要能进行审计，对一些具有风险的、超过其权限的操作要能进行实时阻断并告警。 需要具有对交换机、路由器、安全设备、服务器等设备进行统一管理的安全管理运维平台，一旦产生安全事件，可以进行统一管理，不需要管理员登录到各个设备上查到日志，定位故障。可以减少管理员的运维时间，有利于故障的快速解决。3.2管理需求l 访问管理在管理上需要实现，对访问应用服务器的权限进行有效的管理。l 组织管理 良好的安全产品配置和过硬的安全技术，并不能很好的解决系统的安全问题，必须辅以完善的安全管理体制，才能促使其的作用得到完美体现。如果整个江苏省xxx医院系统的应用系统、网络系统管理员间的协调不利，那么有可能最终导致系统安全管理的混乱。需要制定一套完善的安全管理体系，同时需要相应的安全产品进行有效的配合，从管理和技术两个方面保证系统安全的有效实施。3.3服务需求由于黑客攻击和病毒泛滥对系统的安全随时提出了挑战，需要提供服务的公司具有专业的安全人才和专业的安全技术，能够对最新的系统安全漏洞、攻击技术以及用户行业现状有深入的理解，并能将相应的技术通过产品升级和应急服务等方式及时提供给用户，只有这样才能保证用户系统在安全性和可用性上具有持续的保障。由于需要对安全事件进行及时响应，在产品和技术服务支持上只有能同时拥有自主产品和安全服务的综合性安全公司才能对用户系统安全有所保障。4 省xxx医院网络安全解决方案根据国家等级保护的相关要求，在网络安全中必须要有入侵防范及安全审计设备，在边界完整性要求则要能够对非法接入进行控制，并能够进行实时阻断，需要部署终端桌面安全管理软件。在主机安全中有对日志进行审计的需求，需要部署安全管理平台。在数据安全方面针对重要的网络边界建议采用双机热备的方式部署安全设备。结合省xxx医院网络安全改造，建议此次部署以下安全解决方案：4.1边界安全解决方案4.1.1防火墙+IPS解决方案针对医保网络到省xxx医院总部内网的安全防护建议采用防火墙加入侵防御设备的安全解决方案。防火墙对进出分部与省xxx医院的数据包进行网络第三到第四层的状态检测与包过滤，按照源、目的IP，源、目的端口设置访问控制列表，进行细粒度的控制策略。NIPS部署在防火墙之后，是对防火墙功能的有效的补充，防火墙只能针对网络层的数据包进行检测，不能对应用层的数据进行过滤，而入侵防御设备NIPS串联的方式部署在网络中，提供主动的、实时的防护，具备对2到7层网络的线速、深度检测能力，同时配合以精心研究、及时更新的攻击特征库，即可以有效检测并实时阻断隐藏在海量网络中的病毒、攻击与滥用行为。这样运用防火墙与NIPS的联动更加有效的进行入侵与攻击检测发现、实时阻止！防火墙解决方案当前，攻击行为呈现多层次化；与以往不同的是攻击不再以网络层为主，信息本身的安全越来越被人们所重视。这些攻击包括：非法信息传输、病毒传播、恶意软件的传播与注入、资源滥用、利用服务器漏洞进行应用层攻击等；这种现状要求安全设备具有更加全面的检测能力，不仅仅对信息载体（网络层面数据）进行分析，更要对信息本身进行全面的分析，只有这样才能有效的识别出高层次的攻击行为。另外，很多恶意者已经不单单利用传统的HTTP、MAIL协议进行攻击了，即时通讯软件协议以及其他应用于互联网的协议也成为了恶意者实施攻击的承载协议，对这些协议进行完善的内容过滤显得越来越必要，新型的防火墙产品将逐步出现可防范利用这些协议进行攻击的功能。启明星辰防火墙集防火墙、VPN、上网行为管理、内网安全、反垃圾邮件、抗拒绝服务攻击（Anti-DoS）、内容过滤、NetFlow等多种安全技术于一身，高性能、绿色低炭，同时全面支持各种路由协议、QoS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护，帮助用户抵御日益复杂的安全威胁。入侵防御解决方案传统防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码；无法发现内部网络中的攻击行为。入侵防护系统IDS旁路部署在网络上，当它检测出黑客入侵攻击时，攻击可能已到达目标造成损失，无法有效阻断各种攻击；入侵防护系统IDS侧重网络监控，注重安全审计，适合对网络安全状态的了解。但是对检测到的入侵行为无法提供及时有效的反应，因此需要更加有效的入侵防护系统。入侵防御系统往往以串联的方式部署在网络中，提供主动的、实时的防护，具备对2到7层网络的线速、深度检测能力，同时配合以精心研究、及时更新的攻击特征库，即可以有效检测并实时阻断隐藏在海量网络中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络架构防护、网络性能保护和核心应用防护。在医保网络与省xxx医院内部网络之间部署NIPS，其主要功能有：l IPS-坚固的防御体系 业界最完善的攻击特征库，包括50多类，超过2000项的入侵攻击特征 漏洞机理分析技术，精确抵御黑客攻击、蠕虫、木马、后门 应用还原重组技术，抑制间谍软件、灰色软件、网络钓鱼的泛滥 网络异常分析技术，全面防止拒绝服务攻击l 完善的防火墙特性 支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制 支持流量管理、连接数控制、IP+MAC绑定、用户认证等l 实用的流量监控系统NetFlow 历史带宽使用趋势分析、带宽应用分布、带宽使用实时统计、IP流量排名等l 精确的抗DoS攻击能力 采用特征控制和异常控制相结合的手段，有效保障抗拒绝服务攻击的准确性和全面性，阻断绝大多数的DoS攻击行为l 完善的P2P、IM、流媒体、网络游戏和股票软件控制能力 P2P控制：对Emule、BitTorrent、Maze、Kazaa等进行阻断、限速 IM控制：基于黑白名单的IM登录控制、文件传输阻止、查毒；支持主流IM软件如QQ、MSN、雅虎通、Gtalk、Skype 流媒体控制：对流媒体应用进行阻断或限速，支持Kamun ppfilm 、PPLive、PPStream、QQ直播、TVAnts、沸点网络电视、猫扑播霸等 网络游戏控制：对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏大厅等的阻断 股票软件控制：对常用股票软件如同花顺、大参考、大智慧等的阻断l 强大的日志报表功能 记录内容丰富：可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录 日志快速查询：可对IP地址、端口、时间、危急程度、日志内容关键字等进行查询 报表贴近需求：根据用户具体需求，定制报表内容、定制报名名称、定制企业LOGO，并可形成多种格式的报表文件。l 方便的集中管理功能通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。4.1.2 UTM统一一体化安全网关解决方案针对省xxx医院总部内网与分支机构的安全防护建议采用启明星辰UTM一体化安全网关的安全解决方案。UTM设备启用防病毒与IPS模块。作为中国UTM市场的领导者，启明星辰不断通过技术革新带给用户更高价值的UTM产品。天清汉马USG一体化安全网关采用了业界最先进的基于MIPS64的多核硬件架构和一体化的软件设计，集防火墙、VPN、入侵防御（IPS）、防病毒、上网行为管理、内网安全、反垃圾邮件、抗拒绝服务攻击（Anti-DoS）、内容过滤、NetFlow等多种安全技术于一身，高性能、绿色低炭，同时全面支持各种路由协议、QoS、高可用性（HA）、日志审计等功能，为网络边界提供了全面实时的安全防护，帮助用户抵御日益复杂的安全威胁。除此之外，天清汉马USG一体化安全网关还融合了内网安全特性，能够为终端PC下发安全客户端，同步内网安全策略，并根据安全客户端的检查结果对终端PC进行准入控制。天清汉马UTM采用了一体化的设计方案，在一个产品中协调统一地实现了接入安全需要考虑的方方面面。采用天清汉马UTM，可以从整体上解决了接入安全的问题。用户可不必考虑产品部署、兼容性等困惑，也不再因为多个产品难于维护管理而苦恼，天清汉马UTM是低成本、高效率、易管理的理想解决方案。天清汉马UTM产品线丰富，可以为政府、教育、金融、企业、能源、运营商等用户提供所需要的全系列的安全防护产品。自从天清汉马UTM推向市场以来，很快就凭借其强大的功能和在实际应用中优异表现，赢得了众多机构和用户的广泛赞誉。天清汉马UTM能够完全满足江苏省xxx医院对网络安全的需求。l 完善的防火墙特性 支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制 支持流量管理、连接数控制、IP+MAC绑定、用户认证等l IPS-坚固的防御体系 业界最完善的攻击特征库，包括50多类，超过2000项的入侵攻击特征 漏洞机理分析技术，精确抵御黑客攻击、蠕虫、木马、后门 应用还原重组技术，抑制间谍软件、灰色软件、网络钓鱼的泛滥 网络异常分析技术，全面防止拒绝服务攻击l 安全丰富的VPN使组网变得简单 多VPN支持：GRE、IPSec、L2TP、SSL VPN 丰富的应用：专用VPN客户端、USBKEY、动态口令卡、图形认证码 灵活的部署：Hub-Spoken、Full-Mesh、DVPN、网关网关的SSL VPNl 强大的日志报表功能 记录内容丰富：可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录 日志快速查询：可对IP地址、端口、时间、危急程度、日志内容关键字等进行查询 报表贴近需求：根据用户具体需求，定制报表内容、定制报名名称、定制企业LOGO，并可形成多种格式的报表文件。l 方便的集中管理功能 通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。4.1.3 WEB应用安全解决方案目前针对网站的攻击层出不穷，网页被篡改事件屡见不鲜，有些用户会说我部署了防火墙安全设备，并已设置的相应的安全策略，但怎么网页还是会被篡改，网站被挂马、攻击呢?原因在于防火墙主要是在OSI模型三、四层访问控制设备，基于IP报文进行检测，并且可以关闭不使用的端口，但对于我们的网站通常象80端口等是不可以关闭的，此时，恶意的攻击流量将封装为HTTP请求，从80或443端口顺利通过防火墙检测，对于如SQL注入、跨站脚本、网页篡改、网页挂马、利用系统漏洞、WEB漏洞这类紧迫问题，更是没有任何防护能力。 如果说防火墙和入侵防御系统属于小区保安类型、那么WAG系统相当于是重要数据的贴身保镖。Web应用安全网关（Web Application Gateway，以下简称：天清WAG）,是启明星辰公司自行研制开发的新一代Web安全防护与应用交付类网络安全产品，主要针对服务器进行第7层流量分析，防护以应用程序漏洞为目标的攻击，并针对Web应用访问进行各方面优化，以提高Web或网络协议应用的可用性、性能和安全性，确保业务应用能够快速、安全、可靠地交付。其主要功能有：n 虚拟服务天清WAG的Web虚拟服务包括代理模式下的虚拟Web服务器配置以及SSL卸载服务配置。通过部署一台天清WAG管理多个独立的Web应用，各Web应用可采用不同的安全策略，可以在不修改用户网络架构的情况下增加新的应用，为多元化的Web业务运营机构提供显著的运营优势与便利条件，可以实时配置修改多个后台Web系统，而无需让Web系统下线。n Web应用防护对Web业务的保护，不仅需要能够阻断攻击，又要不影响正常业务的访问，因此，Web业务的防护首先需要能够精确识别常见的Web攻击，然后予以阻断。天清WAG采用启明星辰独创的VXID技术对威胁进行检测，能够精确识别并防护常见的Web攻击： 基于HTTP/HTTPS/FTP协议的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等基本攻击； CGI扫描、漏洞扫描等扫描攻击； SQL注入攻击、XSS攻击等Web攻击。n 应用层DOS防护天清WAG可防护带宽及资源耗尽型拒绝服务攻击，如对SYN Flood等常见攻击行为进行有效识别，可以使服务器在受到Flood攻击时仍然可以响应正常请求，确保Web业务的可用性及连续性。n Web请求信息限制针对HTTP请求，天清WAG能够针对请求信息中的请求头长度、Cookie个数、HTTP协议参数个数、协议参数值长度、协议参数名长度等进行限制。对于检测出的不合规请求，允许进行丢弃或返回错误页面处理，并记录相应日志。天清WAG支持请求信息自学习功能，可以在学习时间内，自动统计请求头信息的一系列数据，给用户进行参数设置提供参考。能够主动防御各种黑客攻击，避免黑客攻击或者杜绝恶意损害服务器计算资源。n Web敏感信息防护天清WAG内置敏感信息泄露防护策略，可以灵活定义HTTP错误时返回的默认页面，避免因为Web服务异常，而导致的敏感信息（如：Web服务器操作系统类型、Web服务器类型、Web错误页面信息、银行卡卡号等）的泄露：n Cookie防篡改天清WAG能够针对Cookie进行签名保护，避免Cookie在明文传输过程中被篡改。用户可指定需要重点保护的Cookie，对于检测出的不符合签名的请求，允许进行丢弃或删除Cookie处理，同时记录相应日志。n Web应用防护事件库天清WAG产品内置Web应用防护事件库，包含各类Web安全相关事件特征，启明星辰提供定期与突发Web安全事件紧急升级服务，能够针对最新的、突发的、热点的Web攻击进行快速响应。Web应用防护事件库维护由启明星辰公司AD-LAB（积极防御实验室）和博士后工作站负责，AD-LAB拥有大批漏洞发掘和分析人员，是国内独立发掘CVE漏洞数量最多的团队。启明星辰博士后工作站是业内第一家驻企业的信息安全博士后工作站，为产品Web检测算法实现、研究技术转化提供有力保障。n 保障Web业务连续性作为串行安全防护设备，天清WAG充分考虑了Web系统业务连续性保障措施，以有效避免单点故障：在桥模式部署条件下，产品提供软、硬双BYPASS功能，保障业务链路在各种情况下的通畅。软BYPASS：在天清WAG关键进程出现异常或需要重新启动（如软件升级，重置策略等）的情况下，确保链路通讯正常。硬BYPASS：在天清WAG出现硬件故障或掉电的情况下，确保链路通讯正常。4.1.4负载均衡解决方案同时医院目前还存在分如下问题： 1.新系统能动态分配各服务器之间的访问流量；同时能互为冗余，当其中 一台服务器发生故障时，其余服务器能即时替代工作，保证系统访问的不中断；2.新系统应能管理不同应用的带宽，如优先保证某些重要应用的带宽要求，同时限定某些不必要应用的带宽，合理高效地利用现有资源； 3.新系统应能对高层应用提供安全保证，在路由器和防火墙基础上提供了 更进一步的防线；4.新系统应具备较强的扩展性。容量上：如数据访问量继续增大，可再添加新的服务器加入系统；应用上：如当数据访问量增大到防火墙成为瓶颈时，防火墙的动 态负载均衡方案，又如针对链路提出新要求时关于Internet访问 链路的动态负载均衡方案等。T1 网络基于深厚的技术积累，不断探索专业有效的 ADC 解决方案以保障用户应用连续可靠运行的同时，节约用户的投资效率，并带来更好的用户体验。链路负载全局负载服务器负载4.2内部网络安全解决方案4.2.1数据库审计和运维安全运维审计解决方案数据库审计解决方案在数据库安全审计方面，我们建议采用网络安全审计产品即网络安全审计系统(业务网型),它是针对业务网络资源进行策略化审计与管理的新一代安全系统，它集内容审计、访问控制及身份认证于一体，通过对具体业务的命令级审计与认证、对越权用户与非法操作的告警与阻断，实现对主机、服务器、数据库等资源的重点保护，从而为省xxx医院网络系统提供强大的集中审计管理平台。功能 对网络操作进行实时监控、过程回放网络审计系统对数据库、FTP、Telnet、应用（业务）系统等登录的操作进行详细的审计，包括登录者输入的各种命令、操作结果等。实时监控、过程回放，就像网络世界的摄像机，真实地展现用户的操作，系统管理员通过本系统看到的就是当时的实际操作界面和过程。利用这项功能，系统管理员可以直观、方便地了解系统被使用的情况，尤其是在出现安全问题后，可以迅速地查找出责任人。 进行命令级的审计和访问控制网络审计系统可以对数据库操作、FTP、Telnet、应用（业务）系统等进行命令级的审计和访问控制。审计系统在各主机系统原有的用户权限基础上，进一步细分了主机、服务器、数据库系统的权限设置，使得每个用户仅能够从事与自己身份相符合的操作。即使是多个人使用同一个账号进行登录，审计系统也能区分出不同的用户，并且根据不同的身份采取不同的审计和访问控制措施。 强大的审计报表网络审计系统提供了强大的审计报表功能，系统管理员可以根据自己关心的内容设置审计报表的输出。通过设置合理的审计报表，管理员可以迅速、直观地了解到系统的运行情况、使用情况；如果发现异常，可以利用审计系统的查询、分析、跟踪功能，定位出现问题的人员、时间、操作内容等。在此网络中，网络综合审计是通过交换机镜像的方式获取数据源进行审计和备份。因此在具体实施上，该设备部署在核心或者重要服务器（如数据库）区交换机上，对网络内用户对网络设备的远程配置、数据库的远程操作、网络内文件共享等进行审计，可以有效的审计出本单位用户恶意或者误操作的内容，外部第三方人员在内网中进行的所有操作内容。数据是一些系统的核心资源，特别有些数据涉及到秘密级以上的话，就需要进行重点防护，以免造成泄露、更改后引起的巨大经济、社会影响。 此外，对于非法用户直接登录数据库更改数据的问题，通过防火墙可以禁止该种连接。那么排除该种情况后，只剩下能够通过防火墙的用户或者计算机绕开应用系统直接登录数据库操作数据的可能（这部分用户通过应用系统删除更改数据已经通过证书审计功能予以防范）。我们只需要在审计产品上设定相关的控制策略，也可以防止用户直接访问数据库操作数据的可能。安全运维审计解决方案传统的安全技术手段是通过对攻击特征、攻击方法进行识别而起到预警或防御作用，但一个违规的行为有可能是正常的操作行为，其本身并不包含威胁特征，这样就导致了传统技术手段无法识别出这种内部违规行为。由于省xxx医院数据库系统用户众多，涉及数据库管理员、内部员工及合作方人员等，网络管理非常复杂。省xxx医院内部都放置了大量的数据库服务器，上面存放和运行着大量的重要核心数据，一旦发生数据泄漏和操作违规，后果不堪设想。我们就针对有可能出现的违规行为来进行一下分析，看看威胁来自哪些方面： 数据库账户和权限的滥用 数据库帐户与权限的滥用主要表现在两个方面:1、 缺少针对数据库管理员的监控机制。数据库管理员拥有数据库系统管理、账号管理、权限分配等系统最高权限。如果数据库管理员利用工作之便，窃取敏感信息、篡改毁坏重要业务数据，对企业数据库安全的打击将是致命的;2、 合法用户权限滥用。数据库系统的操作管理采用分权管理形式，包括多个账号，如普通账号、用于数据库日常维护的临时账号。如果上述账号权限被内部人员或合作方人员用来窃取、恶意损毁数据库的重要业务数据，在短时间内管理者极难察觉发现数据已经被篡改或删除，事后也难以追查取证，造成难以弥补的损失，甚至带来灾难性的后果! 第三方维护人员安全隐患省xxx医院的网络在运行过程中，因为战略定位和人力等诸多原因，越来越多的会将非核心业务外包给设备商或者其他专业代维公司。这些代维公司的人员具有最高的权限，可以对安全设备、网络设备、操作系统等进行配置、修改等操作，如果他们存在误操作或者是别有用心有意窃取公司机密，那将会对公司带来巨大的损失和破坏力，那么如何有效地监视设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。运维安全审计系统业务-堡垒机就是解决上述问题的安全设备，它是针对企业内网的运维操作和业务访问行为进行细粒度控制和审计的合规性管理系统。它通过对运维人员和业务用户的身份进行认证，对各类运维操作和业务访问行为进行分析、记录、汇报，以帮助用户事前认证授权、事中实时监控、事后精确溯源，加强内外部网络行为监管、促进核心资产（数据库、服务器、网络设备等）的正常运行。其主要的功能有：n 网络运维审计启明星辰堡垒机系统支持常用的运维协议及文件传输协议，能够全程记录用户在服务器上的各种操作，包括下列协议TelnetRloginFTPSCPSFTPX11NFSn OA审计启明星辰堡垒机系统支持HTTP、POP3、SMTP、Netbios的审计，能够记录网页URL、内容、发件人、收件人、邮件内容、网络邻居的各种操作等信息。n 合规性规则和响应启明星辰堡垒机系统的审计和响应功能可以简单地描述为：“某个特定的服务（如FTP、Telnet、SQL等）可以（或不可以）被某个特定的用户（主机）怎样地访问”，这使得它提供的审计和响应具有很强的针对性和准确性。 强大的数据库规则系统能够根据访问数据库的源程序名、登陆数据库的账号、数据库命令、数据库名、数据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件，对用户关心的违规行为进行响应，特别是针对重要表、重要字段的各种操作，能够通过简单的规则定义，实现精确审计，降低过多审计数据给管理员带来的信息爆炸。 定制审计事件规则启明星辰堡垒机系统提供了事件规则用户自定义模块，允许用户自行设定和调整各种安全审计事件的触发条件与响应策略。例如，用户特别关注在telnet过程中出现rm、passwd、shutdown等命令的行为，那么用户就可以利用启明星辰堡垒机系统定义相应的审计事件规则。这样，启明星辰堡垒机系统就可以针对网络中发生的这些行为进行响应。 基于业务特征的规则库系统可以将审计员制定的多个符合业务特征的规则进行汇总、编辑和命名，形成具备某种业务特征的规则写入用户自定义的规则库。这样，审计员在针对某个特定业务用户制定审计策略时，可以直观地使用自命名的规则进行设置，方便了各种策略的制定和查询。 特定账号行为跟踪系统能够实现对“用户网络环境中出现的特定账号或特定账号执行某种操作后”的场景进行账号跟踪，提供对后继会话和事件的审计。这样，管理员能够对出现在网络中的特权账号，比如root、DBA等，进行重点的监控，特别是哪些本不应出现在网络上的特权账号突然出现的事件。 多编码环境支持启明星辰堡垒机系统适用于多种应用环境，特别是在异构环境中，比如IBM AS/400通常采用EBCDIC编码方式实现telnet协议的传输、某些数据库同时采用几种编码与客户端进行通讯，若系统不能识别多种编码，会导致审计数据出现乱码，对多编码的支持是衡量审计系统环境适应性的重要指标之一，目前启明星辰堡垒机系统支持如下编码格式ASCIIUnicodeUTF-8UTF-16GB2312EBCDIC 多种响应方式启明星辰堡垒机系统提供了多种响应方式，包括：在堡垒机中记录相应的操作过程；在日常审计报告中标注；向管理控制台发出告警信息；实时阻断会话连接；管理人员通过本系统手工RST阻断会话连接；通过Syslog方式进行告警通过SNMP Trap方式进行告警通过邮件方式进行告警 实时跟踪和回放管理员可以通过审计显示中心实时地跟踪一个或多个网络连接，通过系统提供的“时标”清晰地显示不同网络连接中每个操作的先后顺序及操作结果，当发现可疑的操作或访问时，可以实时阻断当前的访问。管理员也可以从审计数据中心中提取审计数据对通信过程进行回放，便于分析和查找系统安全问题，并以次为依据制定更符合业务特征和系统安全需求的安全规则和策略。n 审计报告输出启明星辰堡垒机系统从安全管理的角度出发，设计一套完善的审计报告输出机制。 多种筛选条件启明星辰堡垒机系统提供了强大、灵活的筛选条件设置机制。在设置筛选条件时，审计员可基于以下要素的组合进行设置：时间、客户端IP、客户端端口号、服务端IP、服务端端口、关键字、事件级别、引擎名、业务用户身份、资源账号等条件。审计员可根据需要灵活地设置审计报表的各种要素，迅速生成自己希望看到的审计内容。同时系统提供了报表模板功能，审计员无需重复输入，只需要设置模板后，即可按模板进行报表生成。 命令及字段智能分析系统能够根据审计协议的类型进行命令和字段的自动提取，用户可以选择提取后的命令或字段作为重点对象进行分析。针对数据库类协议，可分析并形成数据库名、表名、命令等列表；针对运维类协议，可分析并形成命令等列表；针对文件操作类协议，可分析并形成文件名、操作命令等列表；通过该功能，可以简化用户对审计数据的分析过程，大大提高分析的效率。 宏观事件到微观事件钻取启明星辰堡垒机系统提供了从宏观报表到微观事件的关联，审计员可以在统计报表、取证报表中查看宏观的审计数据统计信息，通过点击相应链接即可逐步下探到具体的审计事件。 自动任务支持启明星辰堡垒机系统提供报表任务功能，审计员可根据实际情况定制报表生成任务；系统支持HTML、EXCEL、CSV、PDF、Word等多种文档格式的报表输出，可以通过邮件方式自动发送给审计员。 数据和报表备份启明星辰堡垒机系统提供了审计数据和报表的手动和自动备份功能，可以将压缩后的数据自动传输到指定的FTP服务器，提供每天、每周、每月、时刻的定义方式。n 自身管理 安全管理启明星辰堡垒机系统的管理控制中心提供了集中的管理控制界面，审计员通过管理控制台就能管理和综合分析所有审计引擎的审计信息和状态信息，并形成审计报表。启明星辰堡垒机系统支持权限分级管理模式，可对不同的角色设定不同的管理权限。例如，超级管理员拥有所有的管理权限；而某些普通管理员则可能仅拥有查看审计报表的权限，某些管理员可以拥有设置审计策略或安全规则的权限。系统提供专门的自身审计日志，记录所有人员对天玥系统的操作，方便审计员对日志进行分析和查看。 状态管理启明星辰堡垒机系统提供CPU、内存、磁盘状态、网口等运行信息，管理员可以很轻松的通过GUI界面实现对审计数据中心、审计引擎的工作状态进行查看。当出现错误信息时，比如Raid故障、磁盘空间不足、引擎连接问题，系统可自动邮件通知相关管理人员。 时间同步管理启明星辰堡垒机系统提供手工和NTP两种时间同步方式，通过对全系统自身的时间同步，保证了审计数据时间戳的精确性，避免了审计事件时间误差给事后审计分析工作带来的影响，提升了工作效率。n 系统安全性设计在启明星辰堡垒机系统的设计中采用了严密的系统安全性设计，主要体系在以下几个方面：1. 操作系统安全性设计：堡垒机系统采用经裁减、加固的Linux操作系统。在设计过程中，结合堡垒机系统的功能要求和我公司在操作系统安全方面的技术和经验，对Linux进行了精心的裁减和加固，包括补丁修补，取消危险的、无用的服务等。2. 数据库安全性设计：堡垒机系统的数据库是启明星辰根据堡垒机系统的功能要求自行设计的，在设计时已经充分考虑了安全性方面的问题。3. 模块间的通信：各功能模块之间的通信均采用专门设计的通信协议，这些通信协议在设计时均采用了诸如CA认证、编码、签名、加密等安全技术。对于远程维护，则采用了SSH加密传输协议。在产品出厂测试阶段，还将进行诸如漏洞扫描之类的安全性测试，因此，启明星辰堡垒机系统具有很高的安全性。4.2.2入侵检测解决方案江苏省xxx医院目前缺乏主动的对网络的入侵威胁事件及内网的病毒进行主动扫描探测的产品，如果对内网的数据交换进行主动的威胁检测并进行智能分析则可以第一时间知道网络的安全事件及病毒情况，可以采取相应的措施进行防范则可以起到主动防御的效果。而部署威胁检测与智能分析系统则是主动防御最好的解决方案。入侵检测产品在继承传统IDS威胁检测能力之外，根据众多安全专家的经验与知识，提炼一整套威胁事件智能分析的方法，实现了专家级的威胁智能分析与辅助处理，是具备人工智能能力的威胁检测类产品。可视化成为入侵检测系统的一大亮点，其功能特点主要表现在智能分析与可视化：事件智能分析IDS产品从攻击者、被攻击者以及攻击过程三方面多个角度对微观事件进行分析，判断其对信息系统的可能威胁能力，最终将明确有较大威胁的重点事件呈现给运维人员。通过微观事件智能分析，可以大大降低运维过程中的事件分析、处理事件工作量，使安全监控工作变得简单快捷。态势智能分析IDS产品为信息系统管理者提供了宏观威胁态势智能分析模块，它根据历史事件的统计分析结果以及环比信息，结合内置的专家知识库，可以明确的给出威胁态势信息：信息系统是否面临威胁?哪里面临威胁?威胁是什么?该如何解决?历史事件处理效果等信息。根据这些信息，管理人员可以快速决策如何进一步进行安全策略加强或者安全建设。网络威胁可视化IDS产品能对网络中实时数据流量进行分析，准确发现各类入侵行为和网络异常现象。重点事件可视化IDS产品内置事件辅助预分析系统，对所有发现的安全事件进行预分析，找出需要关注处理的重点事件并突出显示。帮助省xxx医院用户轻松面对海量报警事件。事件处理可视化IDS产品提供了详尽的向导式事件处理指导意见，按步骤指导使用者进行安全事件的处理操作，并通过处理过程管理系统，对安全事件进行批量自动处理。降低事件处理的技术门槛，并同时节约了事件处理工作量。安全态势可视化IDS产品可对指定时间段内的安全事件进行统计分析，并自动对需要关注的事件、IP进行总结概述，展现整体网络安全态势，同时，还能自动与历史数据进行对比分析，帮助省xxx医院用户分析网络安全发展趋势，为省xxx医院的安全建设决策提供支撑依据。4.2.3 桌面终端安全管理解决方案针对江苏省xxx医院终端的安全需求，我们提出了终端安全管理平台的解决方案，终端安全管理平台按照功能可划分为五大模块：终端准入、终端访问控制、桌面运维、移动存储管理、终端审计。所有接入省xxx医院内网的终端都需要进行身份认证和安全检查，只有符合认证要求且满足内网安全基础要求的终端才允许接入内网，这样可以保证对接入的终端从源头上进行有效的控制和管理。依托 “五维内网合规管理模型”，基于分布式管理，构建出江苏省xxx医院全新的主动防御型可信任内网。内网中有数量众多的终端用户，这里针对江苏省xxx医院的终端管理平台应当提供以下的安全防护能力，包括：【终端准入控制】:通过多种准入方式，如：客户端准入、应用准入、网络准入等准入方式，对接入内网的终端进行准入控制，变被动防御为主动防御，为内网的安全合规提供安全保障。【终端安全控制】：能够自动检测桌面系统的安全状态，检测桌面系统的病毒防护软件是否工作正常。针对桌面系统的补丁自动检测、下发和安装，修复存在的安全漏洞，同时设置整个内网终端的安全基线，比如防病毒软件，客户端补丁必须满足某一版本，终端机器必须关闭默认共享等，只有满足安全基线的终端才能被允许接入内网，不满足安全最低标准的机器通过软件上的链接的地址进行安全基线的修复，满足条件后可以访问内网。【终端审计】：对终端上拨号行为、打印行