1、XXX 三级医院等级保护建设整改规划方案西安交大捷普网络科技有限公司2013 年 5 月2目录第 1 章 综述 41.1 项目背景 .41.2 项目目标 .51.3 参考依据 .5第 2 章 信息系统现状和安全需求 72.1 信息系统现状 72.1.1 医院业务内网现状 .72.1.2 医院办公外网现状 .92.2 安全需求分析 92.2.1 医院业务内网安全分析 .92.2.2 医院办公外网安全分析 .102.2.3 医院业务内网和办公外网数据交换分析 .11第 3 章 总体安全规划设计 .123.1 总体设计思路 123.2 设计原则 .133.3 体系化设计框架 133.4 体系规划 .
2、143.4.1 技术体系规划 .153.4.2 管理体系规划 .153.4.3 运维体系规划 .16第 4 章 信息安全体系详细设计 174.1 安全技术体系建设 184.1.1 总体安全规划设计拓扑示意图 .184.1.2 网闸技术实施 .204.1.3 VPN 技术实施 .234.1.4 入侵检测技术 /入侵防护实施 254.1.5 WEB 应用防火墙技术实施 264.1.6 漏洞扫描实施 .274.1.7 网络及数据库安全审计技术实施 .284.1.8 堡垒主机实施 .304.1.9 防病毒技术实施 .314.1.10 终端安全管理技术实施 .324.1.11 统一身份管理建设 .334
3、.1.12 安全管理平台 .374.2 安全管理体系建设 394.2.1 安全管理体系建设必要性 .394.2.2 安全管理体系框架 .404.2.3 安全管理体系建设内容 .414.2.4 结合等保的安全管理体系文档 .444.3 安全运维体系建设 474.3.1 周期性安全评估 .474.3.2 周期性安全加固 .484.3.3 定期安全巡检 .504.3.4 应急响应方案处置 .514.3.5 定期安全通告 .534.3.6 安全培训教育 .544.3.7 系统上线检测 .54第 5 章 投资概算说明 .5635.1 软硬件产品预算 565.2 安全服务预算 584第 1 章 综述1.1
4、 项目背景随着医疗卫生行业信息化建设程度不断推进,医疗卫生业务管理逻辑与价值体系对于信息系统依赖程度不断提升,信息安全隐患的不断显露,信息安全保障盲点也日渐凸现,保障信息安全已经从一个宏观论调转化为新医改工程建设工作中不可规避的基础内容。2003 年国家信息化领导小组关于加强信息安全保障工作的意见 (中办发200327 号)提出 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南” 。今年卫生部印发了卫生部办公厅关于开展全国卫生行业信息安全等级保护工作的通知(卫办综函【2011】1126 号)其
5、中强调:“依据国家信息安全等级保护制度,遵循相关标准规范,开展信息安全等级保护定级备案、建设整改和等级测评等工作” ,因此开展信息安全等级保护工作已成为全国医疗卫生行业信息化建设的重点内容,也是医院实现自身核心业务安全稳定运行的关键。XXX 医院规模大,技术力量强,集医疗、教学、科研、急救、保健于一体的综合性三级甲等医院,为贯彻落实卫生部办公厅关于开展全国卫生行业信息安全等级保护工作的通知 (卫办综函【2011】1126 号) 、 卫生行业信息安全等级保护工作的指导意见 (卫办发【2011】85 号)文件、 北京市卫生局关于进一步加强北京市卫生行业信息安全等级保护工作的通知 (京卫办字【201
6、2】26 号) ,切实提高自身信息安全防护能力,拟按照国家信息安全等级保护制度要求,进行信息系统安全等级保护建设。同时,新近颁布的 “十二五”规划纲要中明确指出要“健全网络与信息安全法律法规,完善信息安全标准体系和认证认可体系,实施信息安全等级保护、风险评估等制度。 ”标志着信息安全等级保护工作已经上升到国家战略层面,成为关系国计民生的重要任务。本方案通过对 XXX 的重要信息系统技术层面及管理层面的全面评估和了解,整理出高风险的安全需求,并结合用户的实际业务要求,对 XXX 整体信息系统的安全工作进行规划和设计,并逐步完成安全建设,以满足 XXX 的信5息安全目标及国家相关政策和标准的要求,
7、同时为全面提高信息安全管理水平和控制能力打下坚实的基础。1.2 项目目标通过本次项目,将充分了解 XXX 自身信息安全现状、信息安全风险和安全需求,构建和实施信息技术安全管理体系、安全技术体系和安全运维体系,为将来全面提高信息安全管理水平和控制能力,适应并符合不断发展变化的业务新需求。同时,遵循国家等级保护政策法规和标准建立一整套适合 XXX 的信息系统等级化安全保障体系,并为通过国家等级保护安全测评备案工作做好前期准备。1.3 参考依据本文参考的国家信息安全政策法规、信息安全标准以及相关规范:政策法规 中华人民共和国计算机信息系统安全保护条例 (国务院1994 147号 ) 国家信息化领导小
8、组关于加强信息安全保障工作的意见 (申发办2003 127 号 ) 信息安全等级保护管理办法 (公通字2007 43 号 ) 北京市卫生局、北京市公安局关于开展北京市医疗机构卫生行业信息安全专项检查工作的通知 (京公网安字2012 739 号) 卫生行业信息安全等级保护的指导意见 (卫办发201185 号) 关于配合卫生行业开展信息安全等级保护工作的通知 (公信安20112501 号)标准规范 信息安全技术 信息系统安全等级保护基本要求GB/T 22239-2008 信息安全技术 信息系统安全等级波爱护实施指南GB/T 25058-2010 信息系统安全等级保护测评要求 (GB/T28448-
9、2012) 6 信息安全技术 信息系统通用安全技术要求 (GB/T20271-2006) 信息安全技术 网络基础安全技术要求 (GB/T20270-2006) 信息安全技术 操作系统安全技术要求 (GB/T20272-2006) 信息安全技术 数据库管理系统安全技术要求 (GB/T20273-2006)7第 2 章 信息系统现状和安全需求XXX 已构建医院业务内网和医院办公外网为核心的两套网。医院业务内网和医院办公外网属于物理隔离不能互通,医院业务内网承载医疗业务系统包括:HIS 系统、LIS 系统、PACS 系统、EMR 等,医院业务内网不与互联网相通,医院办公外网承载办公业务系统包括:OA
10、 系统、网站等系统,医院办公外网可与互联网相通。通过分析医院数字化医疗的业务安全诉求,同时考虑内外网数据交换的需要,充分结合等级保护关于三级系统要求的控制项进行全面建设。2.1 信息系统现状2.1.1 医院业务内网现状XXX 内部网络结构分层合理,结构清晰,分为核心层、汇聚层和接入层。其中核心层设备采取了双机备份措施。XXX 网络环境中最重要的应用系统有三个:LIS、HIS 、PACS 、EMR 系统,系统服务器群直连在核心交换机上,处于同一 VLAN 中。VLAN 的隔离原由思科交换机中的防火墙模块 FWSM 完成,但在测评时该模块故障。系统中的存储设备有 CDP 快照功能,通过防火墙与医院
11、办公外网中的CDP 设备连接,快照保存在 CDP 设备中,数据出现故障时可快速恢复。系统中的医保服务器需要和医保网连接,通过一台路由器做 NAT 转换实现连接。由于涉及客户敏感信息,现状示意图省略,XXX 信息系统已经采取的安全措施如下: 网络安全措施 冗余的网络架构保障网络的高可用性; 医院办公外网隔离阻断互联网对医院业务内网信息系统的威胁攻击;8 已部署网络管理软件监控链路流量和网络设备运行状态; 防火墙严格的访问控制策略控制医院办公外网快照服务器对医院业务内网数据的访问; 网络版杀毒软件提供全网的恶意代码防范,通过网络安全准入功能控制终端电脑的接入,对医院业务内网终端设备 U 盘使用进行
12、授权。 主机安全措施 HIS 服务器采用冷备份服务器、LIS 服务器采用 5 台服务器虚拟化负载均衡、PACS 服务器采用 2 台服务器负载均衡。从而保障服务器业务应用的连续性; HIS 系统、LIS 系统有专用的日志服务器。 主要系统应用安全措施 LIS 系统采用 5 台物理服务器集群进行硬件冗余; LIS 应用系统具有应急机制,总体的应急分为两种,一种是应用系统和医院基础数据库不通信的时候,为了保证应用系统能够正常运行,对病人信息进行手工输入,一种情况客户端和服务器端不通信的情况下, 保证病人及时得到救护,需要仪器直接出结果,最后再补录相关流程; HIS 应用系统具有应急机制,具体的应急分
13、为四种,一种是应用系统正常情况,通过 12 台中间件 VM 虚拟机进行数据库传输,另一种为一级应急,通过 5 台中间件服务器上的 COM 组件进行数据库传输,第三种是为了保证关键部门做的应急机制,在本地客户端上安装有数据库,保证数据不会遗失,最后一种是手工进行数据录入; PACS 系统采用 2 台双击硬件冗余;PACS 应用系统也具有应急机制,9当客户端和服务器端不通信的情况下, 保证病人及时得到救护,需要仪器直接出结果,最后再补录相关流程。 管理制度措施 建立了信息安全管理制度,覆盖了机房管理制度、网络管理制度、系统管理制度、备份与恢复管理制度、软件管理制度、系统建设、工程实施管理制度等层面
14、; 针对安全管理人员和操作人员建立了操作规程,例如网络管理操作规程,系统管理操作规程,数据库系统操作规程,中间件应用安装操作规程和指南等,为系统维护人员的安全操作提供了依据; 机房管理制度对进出管理、设备管理、环境管理、操作管理、巡检管理等方面做了明确规定; 在统一的框架下制定了针对不同事件的应急预案,制定了故障解决方案和各级应急预案的详细操作流程,并定期进行应急演练。2.1.2 医院办公外网现状XXX 医院办公外网网络环境中最重要的应用系统有三个:OA 系统、网站系统。存储快照服务器具有 CDP 功能,通过防火墙与医院业务内网中的存储设备连接。医院业务内网服务器通过 CDP 功能将快照保存在
15、医院办公外网快照服务器中,数据故障时可快速恢复。由于涉及客户敏感信息,医院外网拓扑示意图省略。2.2 安全需求分析2.2.1 医院业务内网安全分析通过对 XXX 医院业务内网信息系统的差距分析并结合信息系统的现状,汇总当前医院业务内网信息系统的安全需求如下: 网络、主机设备存在配置使用上的不规范、不合理,损坏的设备没有及10时的维修及技术上的处理留有安全隐患风险; 未划分安全域,服务器区与办公区混在一起,没有做到有效的控制,一旦办公电脑中病毒,直接会影响到服务器的安全; 医院业务内网中缺乏必要的入侵防御系统,无法对危险进行监测和控制,存在极大的安全风险; 缺乏对网络设备、操作系统和数据库三个方
16、面进行扫描,无法发现潜在的安全隐患; 网络、主机设备及应用系统都有各自的访问控制及认证方式,缺乏统一认证机制,有些网络、主机设备未正确配置身份鉴别及访问控制; 医院业务内网中的信息系统缺乏有效的内控和安全审计,对出现的问题无法实现事前监测,事后无法对问题进行追溯; 应用系统认证方式主要基于用户名/口令方式,访问控制措施薄弱,缺乏统一的认证、管理和授权保护; 设备、应用、人员三者缺乏全局、统一的管理,缺乏基于应用的单点登录访问机制; 信息化系统缺乏保密性、完整性和真实性的支撑服务; 在信息安全传输、安全存储和抗抵赖缺乏有效的防护手段; 信息系统没有按照等保要求的等级进行必要的安全测评、整改加固。
17、2.2.2 医院办公外网安全分析通过对 XXX 医院办公外网信息系统的差距分析并结合信息系统的现状,汇总当前医院办公外网信息系统的安全需求如下: 医院办公外网是可以直接连接互联网的对外接入区,通过系统调研医院办公外网基础设施缺乏必要的入侵防御系统,无法对来自互联网的病毒及恶意代码攻击进行监测和控制,存在极大的安全风险; 网络、主机设备及应用系统都有各自的访问控制及认证方式,缺乏统一认证机制,有些网络、主机设备也未正确配置身份鉴别及访问控制; 医院办公外网有对外发布的应用系统或者说网站应用,但从调研来看缺乏对 WEB 应用威胁的安全防护措施;11 信息系统没有按照等保要求的等级进行必要的安全测评
18、、整改加固。2.2.3 医院业务内网和办公外网数据交换分析通过前期调研得知医院业务内网与医院办公外网之间存在如下的信息交换需求: 医院业务内网业务系统定期会有一些信息数据发布到 XXX 医院门户网站系统中,如:出诊医生排班表、医院发布的最新医疗资源信息等,需要从医院业务内网中提取数据到医院办公外网发布; 医院业务内网与医院办公外网的融合,亟需具有特殊权限的用户可以进行业务应用访问; 专家医生有在家或外地出差办公的迫切需要,但目前安全措施无法提供保障。比如专家会诊或远程医疗,需要访问医疗业务系统; XXX 业务系统要与医保系统对接互通; 伴随 HMIS 的在国内的发展,医院可以面向所有病人提供诊
19、断结果查询、在线医生等增值服务。12第 3 章 总体安全规划设计3.1 总体设计思路当今医院信息化不断进展,医院使用的软件系统也越来越多,主要服务于医院的医疗、管理、患者和员工,XXX 信息化的建设是提高医院服务水平、提高工作效率、降低运营成本的重要手段。这些系统由于其应用特点和传统的使用方式分别部署在 XXX 的医院办公外网、医院业务内网。但随着 XXX 信息化水平不断提高,支撑业务的能力越来越强,应用和数据的更有效地服务于医疗、管理、患者和员工的需求不断涌现,医院业务内网和医院办公外网之间需要进行越来越多的数据和信息交换,彼此之间的应用交叉和访问也将愈加频繁。例如,已有内部人员要访问的医疗
20、信息和办公两种资源、向上级有关部门传输各种数据,与相关的医疗保健单位和其它医院联系等。为了有效的集成、整合信息系统,解决因内外部频繁进行信息交换而面临的数据和网络问题,为医疗业务提供更加方便、高效的支撑服务能力,在进行应用和数据有效共享的同时,亟需保证应用和数据的安全性。这就要求建立一个具有安全纵身防御体系、整合能力强、扩展性良好的医院办公外网与医院业务内网数据连接通道,实现医疗信息的快捷流通和有效共享。由于医疗信息的敏感性和隐私特征,医院信息化快速建设的过程中,不仅考虑某个业务功能实现,同时应根据国家和行业的相关政策和规范,保护信息、数据的安全性。这就需要在 XXX 的信息化建设过程中,逐步
21、建立起适应业务发展要求的信息安全整体保障体系,面向今后的业务发展,进行全局的信息安全保障体系设计与规划,将已建的安全设施逐步纳入到保障体系中,减少重复安全投资,提高安全保障能力和效果。围绕等级化信息安全保障体系建设,结合 XXX 当前信息安全需求,亟需集中解决以下关键性问题: 针对医院办公外网数据共享交互问题,需要医院办公外网交互通道之间设计安全访问控制措施,能够兼容异构环境下的安全控制技术;13 针对医院办公外网数据共享后的安全问题,为确保业务应用与数据安全,在建立信息安全技术体系的基础上,运用体系化的纵身防御模型,对医院办公外网各信息系统的各个区域、各个层次,甚至每一个层次内部部署信息安全
22、措施,实现对信息安全和业务运行综合防护; 针对未来数字化医疗新业务发展和安全要求,逐步建立并完善信息安全管理体系,确保技术、管理、运维三者相互支撑、相互配合; 针对公安等外部监管机构和行业合规要求,全面建立安全运维保障体系,主要以风险评估、安全加固、定期巡检和应急响应机制为建设重点。综上所述,在本方案中结合了 XXX 医院的业务特点和安全需求,系统的提出了信息安全保障体系的总体设计规划。3.2 设计原则安全规划方案设计遵循以下原则:1) 整体性:从 XXX 医院的整体出发、全面考虑各个方面的安全问题,综合运用技术手段和管理手段进行安全防护。2) 合规性:符合国家信息安全保障体系的总体要求,符合
23、国家信息安全等级保护和国家密码管理等相关制度、标准的要求。3) 重点保护:遵循国家信息安全等级保护相关标准规范,结合 XXX医院政务外网信息系统特点,优先保护重要信息系统,优先满足重点信息安全需求4) 针对性:根据 XXX 医院的组织结构特点、网络特点和业务特点,有针对性地提供安全防护措施,对信息系统进行有效、适度的防护。5) 可持续性:安全体系的设计可满足 XXX 医院信息系统全生命周期的持续安全保障。6) 可实施性:安全体系要符合 XXX 医院业务特性和安全现状,提供可行的实施方案与规划,具备较强的可操作和可落实。7) 先进性:安全体系的设计要具有一定的前瞻性,要考虑安全技术的发展趋势,满
24、足业务未来发展的需求。3.3 体系化设计框架XXX 信息安全保障体系包括管理体系、技术体系、运维体系信息安全保障体系框架。三个体系有机结合,相互支撑。安全体系框架如下图所示:14总体信息安全规划设计框架等级保护安全方案的设计思想是以等级保护的“一个中心、三重防护”为核心指导思想,构建集防护、检测、响应、恢复于一体的全面的安全保障体系。具体即体现为:以全面贯彻落实等级保护制度为核心,打造科学实用的信息安全防护能力、安全风险监测能力、应急响应能力和灾难恢复能力,从安全技术、安全管理、安全运维三个维度构建安全防护体系,切实保障信息安全总体防护水平。信息安全管理体系是为保障信息安全而采取的一系列管理措
25、施的总和,内容主要包括建立健全信息安全组织体系和信息安全策略体系。信息安全技术体系是为保障信息安全而采取的一系列技术措施的总和,内容主要包括网络安全、主机安全、应用安全、数据安全、基础设施等。信息安全运维体系是为保障管理措施和技术措施有效实现信息安全而采取的一系列活动的总和,内容主要包括安全评估、安全加固、安全巡检、应急响应、安全通告、安全培训、上线检测等。153.4 体系规划XXX 信息安全保障体系的建设不是单个环节、单一层面上问题的解决,必须是全方位地、多层次地从技术、管理、运维等多方面进行全面的安全设计和建设,从而有效保证和提高 XXX 信息系统抵御不断出现的安全威胁与风险,保证系统长期
26、稳定可靠的运行。3.4.1 技术体系规划XXX 信息安全技术体系规划结合信息系统现状、安全需求和业务发展实际需要,信息安全技术规划包括:网络安全、主机安全、应用安全、数据安全、基础设施多个层面。网络安全:采用防火墙、网闸、入侵检测、流量控制、上网行为管理等技术实现网络安全域划分、防御外部威胁的侵入、分配网络流量保障业务持续、管理控制用户上网行为,形成从内到外的防护体系。主机安全:采用终端安全管理、防病毒技术、漏洞扫描等技术统一管控终端实现补丁分发、病毒防护、策略定制、发现系统存在的漏洞和风险,降低终端维护和管理工作量,避免终端造成的大面积病毒爆发。应用安全:采用应用防火墙技术、堡垒主机、安全审
27、计等技术实现应用层威胁防护、实现运维人员对数据库、主机、网络设备操作全记录,事前有控制、事中有预警、事后可追溯。数据安全:采用 VPN 技术提供安全访问通道,解决用户外出办公的实际需要。基础设施:采用统一身份管理、短信认证建立统一认证和授权体系,降低了日常运行的维护和管理成本,加强系统的安全控制。3.4.2 管理体系规划信息系统安全是“ 三分技术、七分管理 ”,在加强安全防护技术的前提下,必须得到高级管理层的高度重视和密切配合,必须建立信息安全管理体系,并保障其有效落实。16XXX 安全管理体系是由两部分组成的。一部分是一系列安全策略和技术管理规范(第一、二层) ,另一部分是实施层面的工作流程
28、(第三层) 。安全管理体系总纲(以下简称总纲)位于安全体系的第一层,是整个安全体系的最高纲领。它主要阐述安全的必要性、基本原则及宏观策略。总纲具有高度的概括性,涵盖了技术和管理两个方面,对 XXX 各方面的安全工作具有通用性。安全管理体系的第二层是一系列的管理规定和技术规范,是对总纲的分解和进一步阐述,侧重于共性问题、操作实施和管理考核,提出具体的要求,对安全工作具有实际的指导作用。安全管理体系的第三层是操作层面,它根据第一层和第二层的要求,结合具体的网络和应用环境,制订具体实施的细则、流程等,具备最直观的可操作性。安全管理体系也包含了实施层面的工作流程,结合三层安全策略,进行具体实施和检查考
29、核,同时遵循动态管理和 PDCA 闭环管理的原则,通过定期的评评估不断修改完善,维持安全防护水平。3.4.3 运维体系规划信息安全运维体系是在安全管理体系和安全技术体系的运行过程中,发现和纠正各类安全保障措施存在的问题和不足,保证它们稳定可靠运行,有效执行规定的目标和原则。当运行维护过程中发现目前的信息安全保障体系不能满足信息化建设的需要时,应当制订新的安全保障体系建设规划,进而通过新一轮信息安全保障体系建设,使安全保障体系的保障能力得到全面提升。信息安全运维体系涵盖等级保护以及 ITSM 服务体系规范要求,建设内容包括:安全评估、安全加固、安全巡检、应急响应、安全通告、安全培训、系统上线检测
30、;周期性开展相关工作,加强日常维护管理、全面提高紧急事件响应能力、进行绩效评估与改进等。17第 4 章 信息安全体系详细设计通过本文第 2 章“信息系统现状和安全需求”的综合分析,依据第 3 章“总体安全规划设计”模型,拟定 XXX 医院未来信息安全的重点建设工作如下: 安全技术体系建设 网络结构优化及改造 网闸技术实施 入侵检测技术实施 漏洞扫描技术实施 应用防火墙技术实施 上网行为管理技术实施 VPN 技术实施 流量控制技术实施 防病毒技术实施 终端安全管理技术实施 安全审计实施 堡垒主机技术实施 短信认证技术实施 统一身份管理建设 安全管理体系建设 安全运维体系建设 安全评估 安全加固
31、安全巡检 应急响应 安全通告 安全培训 系统上线检查184.1 安全技术体系建设4.1.1 总体安全规划设计拓扑示意图4.1.1.1 等级保护基本要求a) 应按照信息系统的业务类别、安全等级保护等因素,划分为不同的安全域;b) 内部安全域之间应采用防火墙、VLAN 划分等方式进行逻辑隔离4.1.1.2 医院等级保护整改方案拓扑示意图根据 XXX 网络与信息系统各节点的网络结构、具体的应用以及安全等级的需求,按照技术体系中网络安全规划,部署网闸并安全隔离技术将 XXX 整体网络系统划分为两个安全网络域,即:医院业务内网安全域和医院办公外网安全域。医院业务内网安全域中根据应用、数据、用户、特定接入
32、的不同安全需求划分出五个安全子域,分别是:三级系统安全域、二级系统安全域、核心交换域、安全管理与运维域、门诊及终端接入域。医院办公外网安全域中根据应用、用户、网管、接入的不同安全需求划分出二个安全子域,分别是:互联网接入域(0A 系统、网站) 、第三方接入区域。依据安全域划分原则,同一安全域拥有相同的安全等级和属性,域内是相互信任的,安全风险主要来自不同的安全域互访,需要加强安全域边界的安全防护。区域之间依据业务及安全的需要配置安全策略,有效实现信息系统合理安全域划分。具体规划如下图所示:19XXX 医院等级保护安全整改拓扑示意图改1、医院业务内网安全域划分:三级系统安全域:医院业务内网应用安
33、全子域规划为 XXX 业务应用服务区域是重点保障区域,部署 XXX 重要临床应用业务系统,如:LIS、HIS 、PACS、EMR 等,通过与其它安全域的安全隔离保证应用服务的安全,主要部署高端防火墙、入侵防护系统、数据库审计系统解决安全隔离、行为检测阻断以及数据库行为审计,保障数据传输的连续性,避免单点故障造成的业务影响;部署双交换机与核心交换区域建立数据交换通道,避免单点故障造成的业务中断,以保障业务连续性;二级系统安全域:XXX 业务系统核心交换域,部署双击交换机解决数据交换通道,避免单点故障产生;在安全方面主要部署入侵行为检测、网络安全审计及 SSL VPN 解决异常行为检测、网络行为审
34、计及远程用户接入办公的安全需求。门诊及住院终端接入域:规划为 XXX 医院业务内网门诊和住院终端接入域,所有需要接入网络的用户都将按照本域的安全策略进行目标访问,任何越权访问都将被隔离,可以提高访问的安全性,避免用户的恶意攻击;安全管理与运维域:边界部署两台防火墙双机实现访问控制策略,并为医20院业务内网和医院办公外网安全域提供统一的安全服务,包括;安全管理、策略管理、统一身份管理、短信认证、入侵检测、漏洞扫描、运维堡垒主机、安全审计、终端安全管理、上网行为管理、防病毒系统, ;2、医院办公外网安全域划分:互联网接入域:XXX 互联网接入域提供统一的对互联网威胁的防护能力,包括:WEB 应用防
35、火墙,SSL VPN 措施与医院业务内网通过网闸安全隔离,保障网站业务连续性、安全性;第三方接入域:规划为 XXX 专有业务系统域,部署医保系统、新农合、统计系统等,由于医保系统要与医保专网相连接,为了避免外部的威胁,本域的安全策略根据实际需要配置。4.1.1.3 实现功能 网络架构更加优化,区域划分更加合理,按照功能将各部分区域进行有效隔离,可以有效制定边界安全策略; 对网络进行冗余设计,避免业务高峰期,由单点而引起网络和业务中断 便于安全产品部署,提高网络与信息系统防护能力; 满足未来发展需要,灵活性和扩展性更好; 为将来的集中管理奠定技术基础。4.1.2 网闸技术实施4.1.2.1 等级
36、保护基本要求a) 应按照信息系统的业务类别、安全等级保护等因素,划分为不同的安全域;4.1.2.2 部署说明网闸采用双机热备的方式部署于医院业务内网安全域出口处与医院办公外网安全域相连接,将整个网络有效地进行安全域隔离,可以实现所需要的安全控制、防病毒、抗拒绝服务攻击。4.1.2.3 实现功能21 安全 Web 浏览功能TopRules 的 Web 浏览有两种工作状态:客户端保护状态和服务端保护状态。Web 客户端保护状态的主要目的是保护内网用户不受到外网 Web 站点上有害内容的侵扰,本工作状态对应于受控通道的代理工作模式;而服务端保护状态的主要目的是保护内网 Web 服务器不受外来访问的恶
37、意攻击,本工作状态对应于受控通道的转发工作模式。除了基本的配置之外,TopRules 在该业务功能加入了多种安全策略供管理员配置,具体包括: 支持 Http 和 Https 协议; 支持访问控制对象:源地址、目标地址、源端口、目的端目、域名、URL、访问方式、时间等; 支持脚本过滤,如 Javascript、Applet、Activex 等; 支持基于用户名、口令的认证机制; 支持关键字过滤(采用自主研发的下推自动机的高效过滤算法) ; 支持网页获取方式和提交方式控制。 3.2 安全邮件收发功能TopRules 在处理邮件相关协议时,可将其看作一个安全的邮件信息交换平台,用户可以使用常见的邮件
38、客户端工具(如 outlook 和 foxmail)来设置在互联网上的公共邮箱,以便实现邮件信息交换。 TopRules 在业务功能的处理中加入了多种保护邮件的策略设置,具体包括: 支持 POP3、SMTP 协议; 支持邮件的主题及内容过滤,可以有效地防止内部机密信息的泄漏; 支持邮件大小控制,可限制大附件的邮件; 支持邮件附件类型的控制; 支持邮件中可执行的脚本过滤; 支持发送地址、收件地址过滤; 限制垃圾邮件,保护用户不受垃圾邮件的干扰; 支持 IP、MAC 等地址过滤; 支持邮件病毒查杀功能。 3.3 FTP 文件交换功能22TopRules 提供的 FTP 协议通道主要保护内网 FTP
39、 服务器不受攻击。除受控通道的基本安全支持外,FTP 协议还可对使用 FTP 通道传输的内容进行过滤,包括病毒等恶意代码的查杀。 支持主动模式和被动模式; 支持 FTP 命令过滤; 支持文件类型、文件大小的控制; 支持文件内容过滤; 支持病毒查杀; IP 地址、MAC 等地址过滤。 3.4 Telnet 应用功能TopRules 提供 Telnet 协议通道,可保护内网的 Telnet 服务器不受攻击。Telnet 协议处理模块暂存通过 TopRules 的用户 Telnet 命令并作分析,以阻止有害信息进入而造成危害,同时对用户登录后所有的操作进行审计记录。 3.5 数据库访问功能TopRu
40、les 的数据库访问功能提供在内外网隔离的环境下,实现内外网之间的数据库访问。 支持常见数据库的访问,如 Oracle、Sql Server、DB2 、SyBase、MySql等; 支持 Sql 语句控制; 支持 IP 地址、MAC 等地址过滤; 支持操作时间限制,设定特定时间访问数据库操作 。 3.6 文件同步功能TopRules 的文件同步功能能够实现两个网络间的文件实时交换功能,可跨平台部署。 基于专用客户端提供安全的文件同步功能,占用系统资源少,文件交换效率高,不会频繁的进行磁盘扫描; 支持 windows 平台和 linux 平台; 同步传输方向可控,双向或单向; 支持实时扫描传输;
41、 支持一对多或多对一传输;23 支持目录内子目录同步,至多支持 32 级目录; 支持中文文件名或目录同步 ; 支持文件类型控制; 文件大小过滤; 文件内容过滤; 支持病毒查杀。 3.7 数据库同步功能TopRules 的数据库同步功能通过灵活的同步机制,保证不同安全等级网络中的数据库中数据的实时同步更新,具体包括: 支持各种同构或异构的关系数据库之间的数据交换,如Oracle、 Sybase、SQL Server、DB2 等,另外,还支持数据库到文件、文件到数据库、文件到文件的数据交换; 支持异构数据结构以及代码语义的转换规则定义,并实现源数据到目标数据之间的实时数据交换,支持数据整合业务;
42、支持数据一对一、一对多、多对多的单向或双向交换和同步,支持实时交换或定时同步的策略定义; 支持数据库记录以增量方式、全表复制方式、标识方式同步; 支持二进制普通文件、图片、文本文件等大字段同步; 采用 XML 技术,具有可配置性。可以通过标准定义、规则定义、通道定义和路由定义进行个性化的数据交换策略定义。4.1.3 VPN 技术实施4.1.3.1 等级保护基本要求a) 应在网络边界部署访问控制设备,启用访问控制功能;b) 应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;c) 应能够对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进
43、行有效阻断;244.1.3.2 部署说明VPN 安全网关部署医院办公业务内网交换机上,采用双机的方式保障了用户使用的快捷,同时保障访问的连续性,提高系统的使用效率,防火墙必须为TCP 的 443 端口完全放开通道。4.1.3.3 实现功能1) 客户端免安装,免维护 远程主机上运行的客户端软件包括: 支持 SSL 的 Web 浏览器,利用操作系统自带的浏览器,就可以实现 Web 接入方式。 主机检查器:用来对远程主机的安全状态进行评估。用户登录时,远程主机会自动下载并安装主机检查器。 缓存清除器:用来在用户退出 SSL VPN 系统时,清除 SSL VPN 通信过程中使用的临时文件、配置文件和下
44、载的客户端程序,以避免系统的私密信息被泄漏。用户登录后,远程主机自动下载并安装缓存清除器。 TCP 接入客户端: TCP 接入方式中用到的客户端软件。 IP 接入客户端:IP 接入方式中用到的客户端软件。 除 Web 浏览器是远程主机自带的以外,其它的客户端软件都从 SSL VPN网关下载。这些客户端软件支持自动下载、自动安装、自动配置、自动建立连接。2) 支持多种用户认证技术 SSL VPN 支持四种认证方式: 本地认证:由管理员在 SSL VPN 网关上创建本地用户,通过将用户输入的用户名和密码与本地保存的用户名和密码比较,来验证用户的身份是否合法。RADIUS 认证:用户信息保存在 RA
45、DIUS 服务器上,SSL VPN 网关作为RADIUS 客户端,通过与 RADIUS 服务器交互认证消息,来验证用户的身份是否合法。 LDAP 认证:用户信息保存在 LDAP 服务器上,SSL VPN 网关作为 LDAP客户端查询 LDAP 服务器上的用户信息,来验证用户的身份是否合法。 AD 认证:LDAP 认证方式的一种,Microsoft 实现的 LDAP 称为 AD。 25用户通过浏览器连接到 SSL VPN 网关后进入登录页面,输入用户名、密码和认证方式,这些信息通过 SSL 连接传输到 SSL VPN 网关,保证了数据传输的安全性。3) 丰富灵活的安全策略 在 SSL VPN 网
46、关上可以设置安全策略,通过安全策略制定对远程主机进行安全检查的方法,明确需要检查的项目,并通过为安全策略指定保护资源,保证只有满足安全策略的远程主机才能访问相应的资源。 4) 细粒度的资源访问控制 SSL VPN 的资源访问控制机制可以方便灵活地控制用户访问权限,实现细粒度的资源访问权限控制。 超级管理员创建若干个域,并指定域管理员的密码;域管理员配置本域的资源和用户,将资源加入到资源组,将用户加入到用户组,然后为每个用户组指定可以访问的资源组,从而实现对用户访问权限的控制。 SSL VPN 网关还可以对远程主机进行安全检查,根据检查的结果来判断该客户端能够访问哪些资源。 SSL VPN 网关
47、根据安全检查结果及用户所在的群组找到其可以访问的资源组,进而找到可以访问的资源列表,从而实现对资源访问的控制。4.1.4 入侵检测技术/入侵防护实施4.1.4.1 等级保护基本要求a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等;b) 当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。4.1.4.2 部署说明在 XXX 医院业务内网核心交换区部署入侵检测系统(IDS ) ,并配置镜像端口对数据流实施抓取和分析,有效检测和记录来自网络外部的入侵行为。在此基础上增加
48、安全审计产品可以更好的对入侵和安全事件进行关联和管理,并26采取短信、邮件等形式的提供告警;同时在医院业务内网三级系统服务器区部署 2 台入侵防护设备,实现细粒度的入侵行为检测和阻断。4.1.4.3 实现功能 入侵检测对缓冲区溢出、SQL 注入、暴力猜测、DDoS 攻击、扫描探测、蠕虫病毒、木马后门等各类黑客攻击和恶意流量进行实时检测及报警,并通过与防火墙联动、TCP Killer、发送邮件、安全中心显示、运行用户自定义命令等方式进行动态防御。4.1.5 WEB 应用防火墙技术实施4.1.5.1 等级保护基本要求a) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻
49、击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等;b) 当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP 、POP3 等协议命令级的控制。4.1.5.2 部署说明Web 应用防火墙可以支持透明网桥模式、单臂旁路模式、反向代理模式等。本方案中采用透明网桥模式方式部署在互联网接入域网站服务器前端,由于硬件支持 BYPASS 转发功能,即使设备出现故障也不会网络中断,不影响业务运行,降低业务运行风险。4.1.5.3 实现功能应用防火墙支持软件调试模式和硬件BYPASS转发,支持常用的HTTP版本、支持常用的HTTP编码方式、支持常用的HTML解析、支持常用的文件传输方法、支持多种字符集编码。支持数据还原、支持黑名单机制、支持白名单机制、支持规则库。支持SQL注入攻击防护、支持跨站脚本
