APP安全建设方案

1、安全建设方案安全建设方案 PAGE PAGE 4医院服务窗2014 9 月目录 HYPERLINK l _TOC_250015 一、医院服务窗背景介绍3 HYPERLINK l _TOC_250014 二、医院服务窗网络安全解决方案3 HYPERLINK l _TOC_250013 三、安全设备效果及性能简介4 HYPERLINK l _TOC_250012 防火墙4 HYPERLINK l _TOC_250011 设备技术参数5 HYPERLINK l _TOC_250010 网闸5 HYPERLINK l _TOC_250009 设备技术参数6 HYPERLINK l _TOC_25000

2、8 入侵检测6 HYPERLINK l _TOC_250007 设备详细技术参数7Web应用安全防护7设备技术参数8防病毒网关8 HYPERLINK l _TOC_250006 设备技术参数9 HYPERLINK l _TOC_250005 四、安全设备架构建议9 HYPERLINK l _TOC_250004 五、安全设备部署实施时间计划表10 HYPERLINK l _TOC_250003 六、安全设备厂商及产品选择参考11 HYPERLINK l _TOC_250002 七、安全防护应用等级参考价13 HYPERLINK l _TOC_250001 安全防护套装A系列：13 HYPERL

3、INK l _TOC_250000 安全防护套装B系列：14一、 医院服务窗背景介绍随着 3G、4G 时代的到来，大家越来越习惯使用智能手机来查询、和商户的互动。来自中国互联网络信息中心（CNNIC）的2013 2013 4.6 78.5%。13 问题。医院的信赖感和黏度，从而达到和谐医患关系的目标。二、 医院服务窗网络安全解决方案（病友及访客IIS 服务器获取信息，由于医院服务窗的IIS 服务器位于医院内部网络且需要向医院HIS 数据流设计如下网络安全防护体系。（智能手机、智能平板等）经过互联网IIS -IIS IIS 服务器得HIS HIS 服务器。在医院内部核心交换机处还有一个安全防护设

4、备-IDS 来保证监视整个医院内部网络的攻击行为或产品部署网络拓扑图如下：三、 安全设备效果及性能简介防火墙防火墙部署于医院内部网络与互联网边界处，是整个网络安全防护的基础实施。主要对需要访问医院服务窗IIS 于网络层数据流和攻击的防御。同时在蠕虫病毒大爆发的时候可防止外部用户将其感染到本安全域之内，造成更大更严重的损失。安全建设方案安全建设方案 PAGE PAGE 10防火墙按性能可分为万兆、千兆、百兆三大类，其中千兆及百兆应用最为普遍。万兆高端防火墙主要应用于 ISP 应用于企事业单位，百兆的低端防火墙主要针对桌面级应用。如医院网络边界处已有防火墙设备则此处不用考虑。设备技术参数防火墙防火

5、墙(百兆)网御星云 PowerV6000-F1500-ZK防火墙(千兆)VSPMiniOS、SystemA、SystemB，均可启动配置选择，且在WEB 界面可明确启动选项，用户可自由选择当前引导系统，保障稳定性；并发连接数150800MbpsIPSec2000；1U1010/100MBASE-T现零成本扩展带宽；支持异常主机快速定位功能。VSPMiniOS、SystemASystemB，均可启动配置选择，且在WEBPower 明确启动选项，用户可自由选择当前引导系统，保障稳定性； V6000-F2050-JW 并发连接数180IPSec5000；1U610/100/1000BASE-T，4S

6、FP多端口聚合，实现零成本扩展带宽；支持异常主机快速定位功能。网闸网闸的部署至关重要。它部署在IIS 服务器与HIS 过IIS 服务器向HIS 网闸的部署进一步提升了安全的等级，到达物理隔离。两个网络之间没有任何物理连接，没有任何网络协议可以直接穿透。并可以实现“协议落地、内容检测”，这样，既从物理上隔离、阻断了具有潜在攻击可能的一切连接，又进行了强制内容检测，从而实现最高级别的安全。有效的将两网之间实现了安全隔离与业务数据安全、可靠的交换。通过这种部署方式，可以为访问提供更高的安全性保障。确保核心数据库在对外提供数据时不被攻击、篡改、破坏。（网闸与信息交换系统在以下四种网络环境下应用：不同的

7、涉密网络之间；同一涉密网络的不同安全域之间；与Internet物理隔离的网络与秘密级涉密网络之间；未与涉密网络连接的网络与Internet之间。设备技术参数网闸网闸2+1810/100/1000M网主机系统分别具有独立的网络口、管理口、HA（热备口）；4USB网御星云5ms1ms10ns，SIS-3000-Z1A00-ZK200Mbps15000FTP访问、数据库传输、邮件传输、安全浏览、定制访问、安全通道、视频传输等模块；支持所有模块全面病毒过滤。网闸2+11210/100/1000MHA（热备口网御星云1ms1ms10ns，SIS-3000-Z2A00-JW750Mbps50000FTP访

8、问、数据库传输、邮件传输、安全浏览、定制访问、安全通道、视频传输等模块；支持所有模块全面病毒过滤。入侵检测（IDS）在安全防护系统中，若不良来访者被允许访问，它会对用户网络做出令网络管理者无法控制的事情，如果系统配备了入侵检测（IDS），这种破坏性行为将被抑制。我们知道，网络总是要提供服务的，对于一些常用的服务如浏览和E-mail 收发等，防火墙只做到允许或者拒绝各种各样访问者访问这些服务，无法判定具有攻击行为的访问是否会摧毁防火墙。这就好像门卫难以判定每个来访者是办事者还是偷窃者一样。如果墙角 (或其他什么位置 )安装了微型摄像机，能够监视来访者的一举一动，保安人员便可以根据来访者的行为及时

9、发现不法分子，及时报警，确保办公与居住人员的安全。我们在核心交换区域部署IDS 监听设备，在此位置，它在不影响整体网络业务性能的情况下，能监听到所有访问业务服务器区域和内网区域的所有行为举动，若有异常行为可联合防火墙等进行安全联动，阻断非法行为，同时为我们出现问题后的事后取证与行为还原提供了充分的依据。设备详细技术参数统统网御星云TD3000-FS1000-ZK网御星云TD3000-GS1820-JWVSP安全、健壮、易扩展等特点（提供相关证明材料），要求IDSIPS110/100/1000M500Mbps1003000CVEBugTraqVSP安全、健壮、易扩展等特点（提供相关证明材料），要

10、求IDSIPS152SFP1Gbps，不小于1203000CVE、BugTraqWeb应用安全防护WAF Application Firewall）工作在应用层，提供专业的针对医院服务窗IIS服务器Web应用的防护，提供Web应用交互内容以及Web页面中代码漏洞的检测防御和Web2.0时代动态网站的应用防护，通过执行应用会话内部的请求来处理应用层，它专门保护Web 应用通信流和所有相关的应用资源免受利用Web 协议或应用程序漏洞发动的攻击。WAF 可以阻止将应用行为用于恶意目的的浏览器和 HTTP 攻击，一些强大的应用安全网关甚至能够模拟代理成为基于web的应用服务器接受应用交付部署与所有基于

11、web应用的服务器群签名形象的来说相当于给原 web应用服务器群加上了一个安全的绝缘外壳WAF针对常见的Web业务系统，提供综合的Web应用安全解决方案，确用户Web业务风险最小化。WAF Web http 流量相关内容的实时分析检测、过Web Web 应用服务器的恶意SQL 注入、XSS、Cookie DoS 攻击等，有IIS IIS 应用安IIS 应用的高可用性和可靠性。通过部署一台WAF管理多个独立的Web应用，各Web应用可采用不同的安全策略，可以在不修改用户网络架构的情况下增加新的应用，为多元化的Web业务运营机构提供显著的运营优势与便利条件，可以实时配置修改多个后台Web系统， 而

12、无需让Web系统下线。设备技术参数Web火墙Web火墙网御星云Leadsec-280WAF-ZK网御星云Leadsec-850WAF-JW1RJ-45 Console，110/100 Base-Tx 带外管理口，810/100/1000Base-TMIPS 多核硬件架构，非INTEL 多核、非X86 2800Mbps，不100HTTP/HTTPS/FTP间谍软件、灰色软件、网络钓鱼等基本攻击；CGIXSS 攻击等Web1RJ-45 Console，110/100 Base-Tx MIPSINTELX8641.8Gbps150HTTP/HTTPS/FTP灰色软件、网络钓鱼等基本攻击；CGIXSS

13、WebDNS防病毒网关在网络边界部署防病毒网关，采用高检测度接入方式，在最接近病毒发生源安全边界 处进行集中防护，对夹杂在网络交换数据中的各类网络病毒进行过滤，可以对网络病毒、 蠕虫、混合攻击、端口扫描、间谍软件、P2P 截。阻止病毒通过网络的快速扩散，将经网络传播的病毒阻挡在外，可以有效防止病毒从 其他区域传播到内部其他安全域中。通过部署防病毒网关，截断了病毒通过网络传播的途 径，净化了网络流量。如医院网络边界处已有防火墙设备则此处不用考虑。设备技术参数（百兆）（千兆）Power V6000-A1300-ZKPower V6000-A2390-JW机架式，210/100M410/100/10

14、00M600Mbps，并发连接数1,800,000接数12,000；支持路由、透明、混合等各种工作模式下的网络病毒检测，支持无IPVPN 模式下的病毒扫描。机架式，610/100/1000M2SFP1.5Gbps，并发连接数2,000,000，每秒新建连接数20,000； 支持路由、透明、混合等各种工作模式下的网络病毒检测，支持无IPVPN 模式下的病毒扫描。四、安全设备架构建议医院服务窗系统安全防护建设本着信息安全建设四原则进行，即： 入手，全面的保障。 逐步建立完善的信息安全体系。同步建设、同步运行，在任何一个环节的疏忽都可能给业务系统带来危害。“适度安全”原则：没有绝对的安全，安全和易用

15、性是矛盾的，需要做到适度安全，找到安全和易用性的平衡点。在实施过程中基于以上四原则在安全设备的配置部署上也因医院具体情况而定，下面给出本方案中安全设备在几种常见情况下的配置组合为用户提供参考。对于威胁的防护，可分为三个防护等级：基础防护：防火墙IP Port 的访问，并采用记录。该防护等级可阻止大部分已知攻击行为，但对内容不能进行检测，对系统漏洞的防护力较弱。防护效果：所需安全设备：防火墙、入侵检测系统主动防护：在基础防护等级的基础上，采用 Web 应用安全防护系统重点针对系统应用服务器进行保护，对进出服务器数据的协议和内容进行分析，并对应用流程进行限定，对于内容包含威胁或不符合协议和应用流程

16、的行为进行阻断。同时增加防病毒安全网关护等级可阻止绝大部分网络攻击及病毒传播。防护效果：所需安全设备：防火墙、入侵检测系统、Web 应用安全防护系统、防病毒安全网关（AV）物理隔离： 在主动防护等级的基础上，利用 完全隔离与信息交换系统（网闸）对内网和外网进行物理隔离，同时实现指定业务数据的高等级安全交换。该防护等级可阻止所有未经授权的网络操作和数据传递，杜绝外网对内网的所有安全威胁。防护效果：所需安全设备：防火墙、入侵检测系统、Web 毒安全网关（、完全隔离与信息交换系统（网闸）五、 安全设备部署实施时间计划表项目内容项目内容时间前期调研网络状况及详细需求2-3天上架实施制定各种安全策略2-

17、3天上线试运行观察，随时调整策略至稳定4 天安全建设方案安全建设方案 PAGE PAGE 12技术文档移交技术文档移交1天日常使用及维护培训1-2天六、 安全设备厂商及产品选择参考虑对安全产品品牌及厂商的选择。1、 本土化目迷信国外厂商。且国内厂商更熟悉国情及国人的使用习惯。2、 拥有自主知识产权的一线品牌厂商主要有网御星云、天融信、东软、启明星辰。3、提供本地化安全服务支撑4、拥有各种行业、数量较大的实施案例及客户群产品名选择要素（产品选择时至少要具备以下特征保证产品品质）产品名选择要素（产品选择时至少要具备以下特征保证产品品质）称网闸具备双系统引导，及备份恢复系统，支持Web 及客户端认证

18、、具备Web 用安全防护系统入侵检测系统防火墙防病毒网关病毒检测专用模块、具备抗 DoS、DDoS 功能、配置、管理确保实现真正的网闸隔离机制SQL、XSS 攻击防御技术HTTPS HTTPS应用的攻击防护支持计算机病毒检测，病毒库数量超过 100 万、支持Web 攻击检测扫描、具备威胁事件实时展示功能具备两个操作系统，和单独的备份恢复系统，保障操作系统稳定性ISP 路由表，可实现基于运营商路由的链路负载均衡、具备服1000 级网址智能特征库支持 HTTP,SMTP,FTP,PO3P,IMAP 等多种协议下病毒防护，支持自定义非标准端口的 HTTP,SMTP,FTP,POP3,IMAP 协议中

19、的病毒检测；支持过滤邮件病毒、文件病毒、恶意网页代码、木马后门、蠕虫等多种类型的病毒，支持基于病毒防护规则设置阻断并清除病毒、记录日志，发送电子邮件报警等。旗下的安全产品。安全建设方案安全建设方案 PAGE PAGE 14七、 安全防护应用等级参考价A系列：安全防护套装A 1500 任突发集中访问出现的高负荷状况，以及业务高峰时频繁访问等极端条件下的处理能力。A1：基础防护级A1：基础防护级产品名称产品规格中联价格市场建议价网御星云防火墙Power V6000-F2050-JW55000.0070000.00网御星云入侵检测系统（IDS）TD3000-GS1820-JW135000.00160

20、000.00合计190000.00230000.00套装 A2：主动防护级网御星云防火墙Power V6000-F2050-JW55000.0070000.00网御星云入侵检测系统（IDS）TD3000-GS1820-JW135000.00160000.00防病毒安全网关（AV）Power V6000-A2390-JW65000.0080000.00Web 应用安全防护系统（WAF）Leadsec-850WAF-JW125000.00150000.00合计380000.00460000.00套装 A3：物理隔离级网御星云防火墙Power V6000-F2050-JW55000.0070000.00网御星云入侵检测系统（IDS）TD3000-GS1820-JW135000.00160000.00防病毒安全网关（AV）Power V6000-A2390-JW65000.0080000.00Web 应用安全防护系统（WAF）Leadsec-850WAF-JW125000.00150000.00（网闸）SIS-3000-Z2A00-JW115000.00140000.00合计495000.0060000