医院内外网部署实施方案

iO医院版内外网隔离安全方案二〇一二年五月第1章、医院信息化发展与网络安全现状1.1医院信息化概述目前在省立医院网络物理上为一张网,逻辑(比如通过VLAN等技术措施）上分为两部分，外部服务部分通常为办公，内部服务部分通常为医院业务系统.对外运行的业务情况：主要为OA系统，完成医院的行政办公、文件审批、邮件收发等业务流程.医院网站系统，主要完成医院的宣传、论坛、网上挂号等业务。随着业务的发展，在保证信息安全的前提下，网站上将提供更多的业务,比如:将体检、影像等结果通过外网提供给病人。对内运行的业务情况：HIS系统：该系统是医院的核心业务系统,医院信息系统对医院及其所属各部门对人流、物流、财流进行综合管理，对在医疗活动各阶段中产生的数据进行采集、存贮、处理、提取、传输、汇总、加工生成各种信息，从而为医院的整体运行提供全面的、自动化的管理及各种服务的信息系统。医院信息应该以病人医疗信息为核心，采集、整理、传输、汇总、分析与之相关的财务、管理、统计、决策等信息。其他业务系统:PACS影像、检验系统、CIS电子病历、体检等系统(本部分还需做详细调研）1.2现有安全风险简析文件数据拷贝风险：目前采用U盘拷贝两网的数据，拷贝的数据中可能存在恶意代码（如：病毒、蠕虫、木马等），将外网的恶意代码扩散到内网的风险.由于有业务联动的需求，如果在两网间部署网关类安全设备（如：防火墙、UTM等），这存在外部黑客通过网关穿透到内部核心业务服务器的可能.通过实验,目前的穿墙技术能穿过大部分国产防火墙。应用和系统漏洞风险：针对XXX医院的两网信息隔离交换需求,如果不是物理隔离方案，无论采用什么安全设备，都存在因为设备自身应用、操作系统、数据库的漏洞风险。随着漏洞挖掘技术及漏洞提交机制的完善,将会有更多的安全漏洞将会公布于众,针对特定漏洞带来的定向攻击将会增加.随着网络攻击技术的门槛不断降低，网络攻击工具使用不断简便，这种针对特定漏洞的攻击行为几乎每时每刻都会发生,再加上软件厂商更新不及时和经济利益的影响,所以针对这种漏洞的攻击防不胜防。业务数据风险:一但医院两网通过网关设备（而不是采用接近物理隔离）连接起来，内网数据的安全性得不到保障,很多安全事件发生于外部黑客发起攻击,窃取单位内部敏感数据。医院内部HIS系统的数据库中存在医嘱数据、处方数据，一旦外泄对本医院损伤很大。例如：一些黑客组织把病毒木马等恶意软件的制作商业化，通过让特定需求者定购个性化的恶意软件并自动发送,来获得特殊利益,即MAAS（malwareasaservice，恶意软件即服务）.进一步还可通过各种恶意软件控制的僵尸网络迅速大规模地对政府、企事业单位的基础网络设施进行攻击。目前除了政府部分和金融服务业外，大多数行业对于这类攻击几乎毫无准备,其中包括医疗、电信、运输、服务业、化工和物流业。第2章、内外网部署技术发展2.1方案一：继续物理隔离采用人工拷贝方式进行两网的数据交换(文件和数据库），实际实施过程中存在以下几个问题：1、不及时2、效率低3、很多医院要求对U盘杀毒，但操作人员因为繁琐未完全实施。4、部分恶意代码是杀毒软件检测不到的。2.2方案二：采用网关设备部分医院采用防火墙隔离两网,有的单位采用UTM。防火墙产品主要包括包过滤防火墙,状态检测包过滤防火墙和应用层代理防火墙，采用此方案存在以下几个问题：1、其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。2、不能防御绕过防火墙的攻击行为：从根本上讲，防火墙是一种被动的防御手段，只能守株待兔式地对通过它的数据报进行检查，如果该数据由于某种原因没有通过防火墙,则防火墙就不会采取任何的措施。3、不能防御完全新的威胁：防火墙只能防御已知的威胁，但是人们发现可信赖的服务中存在新的侵袭方法，可信赖的服务就变成不可信赖的了.4、防火墙不能防御数据驱动的攻击：虽然防火墙扫描分析所有通过的信息，但是这种扫描分析多半是针对IP地址和端口号或者协议内容的,而非数据细节.这样一来，基于数据驱动的攻击,比如病毒，可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击。5、目前国内防火墙本身的软件、操作系统、数据库等方面有缺陷,通过实验，很多穿墙技术能穿过大部分国产防火墙。2.3方案三：采用前置机加交换系统有少部分医疗机构在方案二的基础上再进行数据操作和数据交换进行检查过滤.实现方式就是在两网前段加前置设备，同时通过应用开发商再开发交换数据接口（定义格式和API)在交换设备上安装交换系统实现内外网的交换。该方案存在以下问题:1、当业务扩充了，需要开发商支持2、投入大，交换前置设备投入、软件开发投入3、仍然没有从网络层面隔离，数据在两网的穿透仍然带有协议，协议本身就存在缺陷,存在安全风险。2.4方案四:采用接近物理隔离设备隔离两网目前公安部门、保密部门已经将网闸定义为接近物理隔离的设备（备注：传统的单部件网闸不合规，三部件被认为是接近物理隔离设备)，允许采用到机密域、秘密域、非密域间的边界隔离.该方案近几年也被一些医疗机构采用，就是在两网的边界采用网闸隔离，网络层面完全断开,通过摆渡完成两网的数据交换。该方案优点是安全性大幅度提高,使用过程中也存在性能问题,因此在选购医院型号的时候,我们队两网交换的数据量大小进行了详细的分析.第3章、内外网部署建议基于前面的风险分析，我们在分析信息方便交换和信息安全方面进行权衡，在此采取一套“接近物理隔离的安全方案”本方案采用网闸来隔离两网。3.1网闸方案3.1.1核心思路保证任何时间内外都是断开的，不存在直接的物理和链路层连接通路!见下图:中间这部分就代表网闸，当外部网摆渡数据到内部网：1、电子开关接通外网2、摆渡数据到交换池,数据还原为裸数据，并做安全性检查3、电子开关接通内网，摆渡数据可见，任何时刻电子开关不会让内外接通，对用户来讲,表面一样，好像直接连接一样。由于半导体电子开关以纯物理方式实现了电路的导通与断开,与加/解密等逻辑断开方式不同，它具有固化的不可编程特性，不会因溢出等逻辑问题导致系统的崩溃,在最低层即物理层面上保证了网络断开功能的实现,具有最高的安全可靠性.3.1.2隔离方案通过前期的需求分析,我们建议采用如下的方案实施：在内外网间部署网闸,完成内到外，外到内的数据交换。例如:当本院领导在家用PDA或笔记本远程使用医院业务系统时:1、访问WEB,如需登录则登录2、输入相关信息，形成表单提交。（程序上体现为FormPOST操作）3、外网的服务器发送操作请求到网闸(因为OA系统部署于医院内网中）。4、网闸将请求（通常是TCP/IP协议的数据)由应用到物理层中层剥离,得到裸数据请求，并按隔离硬件中的配置格式（如：XML格式）组织。5、将该数据按私有的协议封装后摆渡到内网主机。（注意：我们的设备包括三部分,外网主机、内网主机、隔离硬件）6、内网主机接收数据后，按对应格式向内部相应的服务器发起请求并返回结果，返回的数据按前面几步类似的流程摆渡到外网.第4章、方案详述下面将对前一章的方案进行展开阐述。4.1产品内部架构网闸交换系统的系统结构如下图表所示：图表1安全隔离交换系统的隔离体系结构网闸交换系统的所有控制逻辑由硬件实现的，不能被软件修改；安全隔离交换系统在内外安全主板上各设计了一个隔离开关,称反射GAP。反射GAP实现内外网络之间的物理断开,但同时能交换数据的目的。反射GAP使得内外网中继数据的速率达到物理连通状态的100％，从而消除了因物理断开内外网络而可能造成的通信瓶颈。4.2网闸技术的优势同传统的防火墙等逻辑隔离访问控制技术相比，隔离网闸独特的模型结构天然具有了一些其它安全技术难以达到的安全特性，主要包括以下几个方面：1）对网络层/OS层已知和未知攻击的全面防护能力。由于在网闸2+1隔离架构模型中内外网间实际上物理断开，所有访问被转化成应用层数据形式通过独立的存储介质在内外网移动，因此，移动的数据中并不包含相对低层的网络层/OS层控制信息，换句话说,隐藏在网络层/OS层的攻击行为根本没有进入受保护内网网络的可能，无论该攻击方式是已知的还是未知的。而目前其它安全技术基本上还是基于特征匹配的方式过滤这些攻击行为,遗漏和处理不当都在所难免，并且对未知攻击毫无办法，对受保护网络造成严重安全隐患。2)不再依赖操作系统的安全性。目前所有安全技术的实现都必须依赖操作系统作为平台提供低层服务支持，操作系统的安全性实际上就影响到整个安全产品的安全性，目前主流的OS主要是微软和UNIX/Linux两大类，所有这些操作系统都具有一定数量的Bugs，这些漏洞也随之成为整个安全产品的漏洞。而隔离网闸很好地解决了这个问题，其内网处理服务器上的操作系统完全不对外暴露，暴露在外的仅仅是负责外网处理的服务器，即使该服务器因操作系统Bugs被攻击，实际上也无法进一步影响内网处理服务器,因为内外网是物理断开的。实际上,与防火墙等其它安全产品不同，黑客无法利用现有操作系统Bugs获得对隔离网闸结构的控制权.3）强化安全决策过程的安全性。安全决策是最重要和基础的安全防御手段之一，安全决策包括认证、访问控制列表（ACL）、内容过滤以及格式检查等一系列方式。安全决策功能一旦失效,恶意访问将无阻碍地进入受保护网络（例如访问控制列表被更改，已禁止端口被开放等).目前的网络安全产品对决策模块的防护能力相对较弱,而隔离网闸则将所有安全决策过程置于中立的与内外网没有连接的隔离区内完成,且关键的策略库置于与被检查数据物理断开的受保护端（LAN）服务器上,因此,策略库和决策过程都十分安全，未经严格检查的数据将始终被隔离在受保护网络（LAN）以外，确保决策过程的安全。4）数据静态化.在隔离网闸中，所有进入网闸内的数据在传递过程中都是静态的,其内容不被任何程序执行，仅仅是对静态内容实施检查和决策，因此，这些数据本身携带的任何恶意代码都无法执行，也就无法危及系统的安全，整个系统安全可靠。4.3网闸产品特点●采用独特的“2＋1”安全体系架构，通过基于ASIC芯片技术设计的专用隔离电子开关系统，实现用户关键网络及服务系统与外界的物理隔断,实现链路层与网络层的彻底断开。●采用高性能和多条流水线设计的ASIC芯片为基础建立的全新硬件隔离架构，拥有全线速隔离交换性能,满足大型网络应用所面对大用户量、低延时访问的需求。在核心的GAP电子开关隔离芯片上采用了含TRUELVDS功能强大的APXII系列EP2A70作为FPGA设计硬件基片,该芯片具有500万门电路以及多路Giga位的通道，支持内部高达1060个硬件I/Os通道,使得电子开关具有高速的数据传输能力和并发处理能力。●充分考虑关键应用对可靠性、可用性的要求,独家采用负载均衡技术以及基于应用协议连接资源保护的QOS服务质量控制技术消除单点故障和网络实现对网络服务的高可靠性及可用性保证。●采用无协议的“GAPReflective”,GAP隔离反射技术实现开放网络通讯协议的剥离与重组，有效阻断来自网络层及服务器OS层的各类已知/未知攻击，弥补其它安全技术对网络未知攻击的防御盲区。●广泛支持各类通用应用协议（HTTP、FTP、SMTP、DNS、SQL等），包括支持视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议，无需再进行二次开发或单独购买模块.●采用专利技术的应用层安全防御系统，ViGap500特别针对广泛应用的WEB、EMAIL和FTP等服务采用专利技术WebApplication™,实现了全面应用层安全防护，可防止WEB溢出漏洞、Unicode漏洞、Inject攻击、Cookie中毒、恶意JavaScript、ActiveX控件甚至CGI脚本等各类应用层安全风险。●智能化攻击识别与过滤，ViGap500采用先进的应用层协议分析技术智能识别并过滤大量基于应用层协议的攻击行为，ViGap500提供目前市场上丰富的协议分析模块，全面防护各类应用系统安全风险，包括:HTTP、FTP、SMTP、POP3、IMAP、DNS等数十种协议分析模块。4.4网闸功能4.4.1系统可靠性●双机热备功能模块网闸产品针对大型网络的应用提供了双机热备份功能,实现系统的稳定可靠运行。通过内置的双机热备系统,连接在同一个网络内的多台网闸产品可以建立双机热备机制，并通过虚拟IP统一对外提供服务.从设备不断发出心跳信息侦测主设备状态,一旦主设备出现故障从设备将立即接管并继续提供服务。●系统工作状态检测与报警网闸产品采用基于工业控制系统的架构设计，具备良好的稳定性。并且建立了设备状态检测系统,在开机状态下持续对系统各硬件板卡及软件模块进行检查，并将系统状态显示在液晶面板上,管理员可针对故障信息迅速了解故障原因并作出响应.同时,网闸产品系列软件系统采用了先进的自愈技术，当故障发生时可迅速命令系统重启恢复到正常工作状态。4.4.2系统可用性网闸产品系列为满足高性能的网络处理而设计，因此,必须支持大规模的并发访问和高带宽的数据吞吐。除了采用更高端的处理系统、内存以及接口以外，网闸产品还可以最大支持32台设备的负载平衡系统来实现高可用性。网闸产品的负载平衡系统通过仲裁网络流量方式实现流量在网闸产品集群中的平均分配,从而将处理性能大幅提升.4.4.3安全功能●网络隔离功能网闸产品具有网络隔离功能,通过基于ASIC设计的硬件电子开关实现可信、不可信网络间的物理断开，保护可信网络免遭黑客攻击。●数据静态化采用“裸数据”机制,运用协议剥离和重组技术，在网闸内部实现“裸数据”和数据静态化,有效的防止网络上未知攻击。●IDS入侵检测功能网闸产品在设备两端内置了IDS入侵检测引擎,该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求，并与ViGAP500隔离系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。●SAT（服务器地址映射）功能网闸产品具备完善的SAT功能，可信端服务器可通过SAT功能将自身的特定服务虚拟映射到ViGap500系列的不可信端接口上,通过隔离系统的不可信端虚拟端口对外提供服务,访问者仅能访问虚拟端口而无法直接连接服务器，从而对外屏蔽服务器,防止服务器遭到攻击。●身份认证功能不同于部门级网络,大型网络对身份认证的要求极高,且需要基于第三方的统一身份认证服务。网闸产品除了提供基本的用户名/口令身份认证功能以外，还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecureID等多种强身份认证功能。●安全代理服务功能网闸产品允许可信端用户以应用代理方式访问不可信网络，网闸产品作为应用代理网关对内网访问请求进行检测，相对于传统的基于网络层的NAT方式来说，由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素，因此，对访问具有更高的安全控制能力.●AI安全过滤功能应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的HTTP、SMTP或FTP等资源的访问.网闸产品通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意Java和ActiveXapplet的攻击。网闸产品在AI功能中新增了安全功能，包括:确认通信是否遵循相关的协议标准；进行异常协议检测;限制应用程序携带恶意数据的能力；对应用层操作进行控制,这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强化作用。●防病毒功能系统内嵌防病毒引擎，可实现对内外网摆渡数据的病毒查杀，其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过HTTP、SMTP等方式向外泄漏信息。实现对病毒的高效查杀,支持包括HTTP、SMTP、POP3协议的网关级病毒过滤。●内容及格式检测功能网闸产品具备内容过滤及文件格式检查功能，对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能,能够阻止敏感的信息外泄或恶意程序的入侵。●VPN通讯安全网闸产品对受保护WEB服务器提供内置的SSLVPN加密通讯机制，建立客户端与虚拟服务端口间的SSL加密VPN链路，实现通讯安全。该加密方式无需修改客户端设置,透明实现客户端与服务器端的加密通讯.●WEB站点保护功能目前大量应用基于B/S架构开发，WEB服务成为了越来越通用的服务，然而WEB服务器的大量漏洞也时时威胁着应用系统的安全.网闸产品全面分析