1、洛阳第一人民医院网络安全建设方案 文档编号 密级 限制分发 版本编号 V1.0 日期 2019 绿盟科技 版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 版本变更记录时间 版本 说明 修改人 适用性声明本文档适用于医院安全建设项目使用。 医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 1 -目录一. 背景概述 .31.1 方案设计要求 .41.2 方案设计原则 .5二. “威胁分析+ 风险分析”=需求分析 6
2、2.1 威胁分析 .62.1.1 外部威胁 62.1.2 内部威胁 72.2 风险分析 .82.2.1 外部网络带来的安全风险 82.2.2 内部网络存在的风险 82.2.3 攻击快速传播引发的安全风险 8三、需求分析 93.1 医院网络安全建设拓扑图 .103.2 网络安全设备投入列表 .10四、基础安全建设 114.1 绿盟下一代防火墙(访问控制) 114.1.1 部署方式 .114.1.2 系统特点 .124.2 绿盟网络入侵防护系统 134.2.1 绿盟网络入侵防护系统的特点 .134.2.3 功能与效益 .174.3 绿盟安全审计系统 174.3.1 需求分析 .174.3.2 解决
3、方案 184.3.3 安全审计产品选型 194.3.4 绿盟绿盟安全审计系统的特点 214.4 远程安全评估系统(安全基线管理系列) 264.4.1 需求分析 264.4.2 绿盟远程安全评估系统特点 314.4.3 功能与收益 364.5 绿盟 WEB 应用防火墙 .374.5.1 需求分析 374.5.2 绿盟 Web 应用防火墙的特点 404.6 安全审计堡垒机 SAS-H.424.6.1 系统功能 424.6.2 产品特性 43医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 2 -附录 A 绿盟科技公司简介 .45A.1 领先的专业安全厂商 .45A.2 安全技术基础研究
4、 .45A.3 安全产品研发 .46A.4 专业安全服务 .46医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 3 -一. 背景概述洛阳市第一人民医院是洛阳市建院最早、具有百年发展历史的市级现代化综合性三级医院,洛阳市唯一一家“红十字医院”;1995 年被国家卫生部授予“爱婴医院”称号;1999年被国家卫生部授予“国际紧急救援网络中心”医院;2006 年被授予“洛阳市康复医院”。洛阳市第一人民医院位于洛阳市中州大道,六层门诊、十三层病房大楼巍然屹立、雄伟壮观,内设中心供氧、中央空调、中心吸引;开放高、中、低档病床 610 张,各病房均装备有现代医院所具备的先进设备。医院现有中、高
5、级职称专业技术 426 人,临床、医技科室43 个,拥有价值上亿元的大型先进医疗设备。近年来,医院秉承“内抓管理、外树形象,质量强院、服务兴院”的办院宗旨,实施科技兴院战略,积极开展和引进新业务新技术,加强医德医风建设,全面提高医疗服务质量。洛阳市第一人民医院治院严谨,理念超前,医院经营方式灵活,全体员工爱岗敬业、勤奋工作。面对竞争激烈的医疗市场,以实力求生存、凭技术谋发展、靠服务赢市场,各项工作进展顺利。对于医院来讲,由于患者众多,业务繁忙,网络系统业务连续性十分重要。为了保证医院的业务持续性发展,就必须分析信息系统的信息安全需求。需求分析的主要目的是更加清晰、全面的了解网络的基本安全现状,
6、了解如何解决系统的安全问题,为后期安全体系建设中的安全防护技术实施提供严谨的安全理论依据,为决策者制定网络安全策略、构架安全体系以及确定有效的安全措施、选择可靠的安全产品、建立全面的安全防护层次提供了一套完整、规范的指导模型。医院网络安全解决方案从两个方面进行阐述,一方面是重新对外网区域进行网络规划,并加强网络安全建设;另一个方面就是解决内网和外网融合的问题,将内外网融合同时构建边界防护方案。如何保证医院的网络正常运行和网络安全已成为迫切需要关注的问题。随着医疗行业信息化发展的要求,全国卫生信息化 2003-2010 年发展规划纲要中对信息安全提出了明确的要求: 加强与卫生信息化相关的法律、法
7、规、政策体系的建设; 提高信息安全意识,加强计算机和网络安全培训,防范、打击计算机与网络犯罪; 在卫生信息系统建设的同时,要进行信息安全的总体设计和信息系统安全工程建设,在系统验收时必须对信息系统安全进行测评认证;医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 4 - 对于已建的卫生信息系统,要采取信息安全加固措施,进行系统安全测评认证; 卫生信息系统建设中信息安全投资应占系统投资的一定比例。发展规划纲要从宏观的角度对卫生系统信息化建设,而与此同时,由于医疗行业发展的需要,2006 年发布的卫生系统内部审计工作规定( 卫生部令 51 号)中,明确了“为加强卫生系统内部审计工作,建
8、立健全各单位内部审计制度,完善内部监督制约机制”,并要求“设置内部审计机构,配备审计人员,开展审计工作”;内部审计机构在履行审计职责时,明确具有“检查计算机系统有关电子数据和资料”的权限;由此可以看到针对卫生系统的相关审计具有明确要求。此外,公安部国家电子政务等级保护、国家保密局 BMB17-2006 号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计。以防员工随意通过网络共享文件夹、文件上传下载、EMAIL 等方式,发送重要敏感信息、业务数据,导致信息外泄事件发生。同时,针对医疗行业的门户网站 WEB 业务这类给 Internet 可用性带来极大损害的攻击,必
9、须在国家等级保护政策的指导下,采用专门的机制,综合采用各种技术手段对攻击进行有效检测,应按照中华人民共和国计算机信息系统安全保护条例 (国务院令第 147 号)、国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327 号)、信息安全等级保护管理办法(公通字200743 号)等文件要求,参考计算机信息系统安全保护等级划分准则(GB17859-1999)、信息系统安全等级保护基本要求( GB/T 22239-2008 )等等级保护相关标准,开展等级保护整改、测评工作,为医院内部和社会公众提供“一站式”的医疗公共服务目标提供有力保障。在与医院多次安全沟通与交流的基础上,我们进一步明确了
10、医院的准确需求,简单来说就是“安全访问,内外隔离,分期建设”三点,安全访问包含两方面,即从内网可以安全访问互联网,从互联网也能够安全访问内网;而在内外隔离上则是要保证内网数据与互联网之间保持逻辑或物理隔离;分期建设则是建设的思路,是根据医院的实际情况,分步骤从基础到深入,从满足最迫切的安全需求慢慢上升到管理安全上来!以下此方案将针对这三点进行详细的需求描述与解决思路陈述。1.1 方案设计要求根据实际调研与专家论证,本网络需要具有如下的安全特性: 高可靠性:在受到攻击的情况下,能够保证各类业务系统正常运行,能够保证数据的正常访问。医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 5
11、- 高保密性:网络数据/网络信息不被窃取。 管理安全性:完善的网络访问控制列表,包括不允许同级网络的非授权访问等。 可审计性:能够审计对数据中心服务器、网络设备等的各种操作信息。 可扩充性:依据现有网络流量设计的网络要留有一定扩充能力,随之的安全方案也必须具备可扩充性。1.2 方案设计原则信息系统的建设是国家信息化的一个组成部分,在促进国民经济发展和社会稳定方面具有越来越重要的作用。卫生行业作为涉及国计民生的重要行业,随着计算机应用的进一步普及和发展,计算机信息系统安全问题日益社会化、严重化,国家和行业监管机构有必要运用行政法律手段来进行有效的管理,维护社会的稳定和发展。这些政策法规主要有:全
12、国卫生信息化 2003-2010 年发展规划纲要卫生系统内部审计工作规定(卫生部令 51 号)基于健康档案的区域卫生信息平台建设指南(试行)中华人民共和国保守国家秘密法 (1988 年 9 月 5 日中华人民共和国主席令 第 6 号公布)中华人民共和国保守国家秘密法实施办法(国家保密局文件 国保发 1990 1 号) 中华人民共和国国家安全法(主席令 68 号,1993 年 2 月 22 日第七届全国人民代表大会常务委员会第三十次会议通过)中华人民共和国计算机信息系统安全保护条例(国务院令 147 号)计算机信息系统安全等级保护划分准则(GB/T17859-1999)计算机信息系统安全等级保护
13、网络技术要求(GA/T387-2002)计算机信息系统安全等级保护操作系统技术要求(GA/T388-2002)计算机信息系统安全等级保护数据库管理系统技术要求(GA/T389-2002)计算机信息系统安全等级保护通用技术要求(GA/T390-2002)计算机信息系统安全等级保护管理要求(GA/T391-2002)此次医院安全解决方案即在严格遵循上述国家法律法规以及行业的规范指南的基础之上编写而成的。医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 6 -二. “威胁分析+风险分析”=需求分析2.1 威胁分析当前医院具有 HIS、PACS、LIS、EMR WINDOS 等系统平台,这
14、些平台服务在医院的各个业务流程上,从挂号,化验,病历管理等医院医务到计费,转账等财务工作,可以说信息系统的安全稳定运行对医院的管理具有极重要的作用,而在医院的数据管理上,医院具有Oracle,SQL Server 等多种数据库,而随着当前卫生系统对“统方”的管理要求,数据库的访问、操作的安全性也需要加以关注。医院网络结构较为复杂,具有多个互联出口,其中既有与电信、移动相连接的互联网出口,又有大量与银行,社保,新农保等单位的链接。并且由于医院部署有面向 internet 的WEB 站点,内网中存有大量重要的信息,运行着非常重要的业务系统,所以既要考虑来自互联网的黑客攻击,又要考虑来自下属医疗机构
15、的非法访问,数据篡改等攻击行为。综上所述,可从外部/内部两方面对威胁进行分析:根据信息系统安全建设的思路,我们以医院的信息系统建模,这个模型即是包含医院的网络拓扑,业务系统,数据系统等多方面的信息的集合。然后分析这个模型面临的威胁以及相关的风险,最后从这威胁与风险中,我们推断出真正的安全需求,然后将这个安全需求具体化,实体化,最后转变为相关的解决方案,即安全服务与安全产品的集合。最后我们按照医院的实际情况,将这个方案按照需求进行分期描述,一期主要解决基础安全问题,二期集中在数据安全与安全服务工作,三期则上升至管理安全。根据医院的信息系统模型,我们将从内外网两个角度寻找安全威胁:2.1.1 外部
16、威胁 非授权访问没有预先经过同意,就使用网络或计算机资源被看作非授权访问。如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。非授权访问主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。严格的访问权限控制会大大提升各区域的安全性。 黑客扫描和攻击医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 7 -Internet 网络的恶意入侵者可能因为商业的目的或者是随机的目的对网络和 WEB 服务发起恶意扫描和渗透式入侵,通过渗透或绕过防火墙,进入网络和数据库,获取、篡改甚至破坏敏感的数据,乃至破坏医
17、院的正常业务,造成恶劣的社会影响和政治事件。 数据窃取由于医院网络中存储有大量重要而敏感的信息,一旦发生数据泄密,将造成严重的社会影响,同时由于每天大量的诊疗信息通过信息网络流通,如果出现数据错误将会影响诊疗信息的准确性与及时性。 病毒或蠕虫侵袭Internet 网络上大量肆虐的网络蠕虫病毒具备渗透防火墙的传播能力,他们可以穿透防火墙进入网络;一旦遭受了病毒和蠕虫的侵袭,不仅会造成网络和系统处理性能的下降,同时也会对核心敏感的数据造成严重的威胁,甚至造成拥塞,导致系统的中断和服务的宕机;而医院由于与众多的外联单位互联,病毒与蠕虫的威胁也极其严峻。2.1.2 内部威胁 非法数据访问/修改等由于医
18、疗信息所具有的商业性,公共性,政治性等原因,需要对各类对医院网络/服务器/数据库进行记录与审核,否则,一旦出现数据泄密、非法访问等违规行为,不仅无法第一时间知晓、记录,而且后期也无法定位违规者、无法追溯事件源头,这就造成了管理上的漏洞与缺陷。 无意识的外部风险引入此外,由于安全技能和安全意识存在差异,工作人员可能无意识的通过互联网将Internet 上危险的、恶意的木马程序和恶意代码下载到内部网络执行,甚至将 Internet 上的蠕虫、网络病毒传播进入内部网络,这将对网络的安全带来严重威胁; 恶意应用消耗网络带宽当前 P2P 等非关键应用的流量几乎占用了网络 6070的带宽,使得关键性应用得
19、不到保障。同时 P2P 软件也逐渐成为计算机病毒和木马传播的主要途径。有必要对用户或者某些特定应用进行流量的控制。 内部故意破坏医院同时需要考虑内部的不满人员恶意破坏信息网络、系统和数据的可能;以及某些别有用心的人士从内部发起的恶意攻击。医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 8 -2.2 风险分析当用户的信息资产面临威胁,而信息资产自身又被相应的脆弱性暴露出来的时候,威胁对信息资产就有产生影响的可能,信息资产的安全风险就产生了。依据医院的网络现状和相关业务情况,我们主要从以下几个方面关注可能面临的安全风险:2.2.1 外部网络带来的安全风险由于医院连接到互联网,且具有
20、10 多条外联链路,外部攻击者可以利用存在的漏洞进行破坏,可能引起数据破坏、业务中断甚至系统宕机,严重影响网络的正常运行。在医院,我们设计防火墙作为安全保障体系的第一道防线,防御黑客攻击。而在防火墙是无法检测或拦截嵌入到普通业务流量中的恶意攻击代码,如针对医院网站 WEB 服务的Code Red 蠕虫、SQL 注入,跨站脚本攻击,网页篡改等。采用网络入侵保护系统和 Web应用防火墙对此类攻击进行防护。2.2.2 内部网络存在的风险在医院的网络中,内部具有大量的信息节点,其中包括医生所使用的工作电脑、病房区病人所使用的电脑以及大量业务系统所采用的信息载体,如何保障信息安全意识薄弱的这些设备使用者
21、能够不将病毒带入内部网络中,不将带有木马、蠕虫等恶意软件的移动设备加载到内部办公网络使用。或者当这些恶意的文件被带入内部网络,如何控制其不对关键业务系统造成影响,甚至不对外部发起攻击。2.2.3 攻击快速传播引发的安全风险目前利用漏洞传播的蠕虫、病毒、间谍软件、DDoS 攻击、垃圾邮件等混合威胁越来越多,传播速度加快,留给人们响应的时间越来越短,使用户来不及对入侵做出响应。入侵检测系统 IDS 虽然能检测出攻击行为,但无法有效阻断攻击。另外,网络防病毒系统属于被动防护,对于新的未知蠕虫病毒,防病毒软件无法检测出。因此如何保证医院网络在安装最新安全补丁之前,网络不会被蠕虫、病毒、黑客等攻击造成网
22、络瘫痪,这是目前需关注的问题。医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 9 -三、需求分析根据对医院网络系统的风险分析,我们发现信息安全需求主要在以下方面: 防御来自外部的威胁,阻止蠕虫、网络病毒、间谍软件和黑客攻击对网络造成的安全损失,防止针对 Web 服务的例如 SQL 注入,跨站脚本攻击,网页篡改等攻击,提高医院网络的整体抗攻击能力; 防御来自内部的威胁,阻止蠕虫、网络病毒爆发对医院内部服务器和网络的破坏,保障业务系统的正常运行; 监控网络的安全运行,全面把握安全状态,以便于及时的发现安全攻击,防止安全事件的发生。 检测前置机群的操作系统、应用系统、网络设备存在的漏洞
23、,以便第一时间修补系统与应用中的漏洞,提高系统的整体抗攻击能力。 审计针对数据中心的各种网络操作与访问行为,满足系统审计的要求与取证的要求。 互联网访问内网资源的防护,合理规划互联网访问内网资源的权限,保障内网数据与服务的安全可信。 保障医生等医院内部职员能够通过 VPN 远程访问内部网络服务,查询其所需的内网资源,同时保障这条 VPN 通道的稳定可信。 在解决基础安全的问题上,如何进一步提升业务管理水平,由粗放型管理到精细化管理,信息化管理,专业化管理,打造医院的专业信息化管理队伍,更快更好地为社会大众提供安全可信的医疗服务。将上述需求进行分期规划,我们将医院的信息安全建设按照由浅入深的步骤
24、分解为三个步骤:一期建设专注于基础安全建设,二期建设专注与数据安全与安全服务,三期建设专注于安全管理体系的构建。本次建设只专注基础安全建设。医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 10 -3.1 医院网络安全建设拓扑图3.2 网络安全设备投入列表产品名称 产品功能 数量下一代防火墙(NF)访问控制、上网行为管理、出口网络防护1 台网络入侵防护系统(IPS) 入侵攻击防护 1 台安全审计系统( SAS) 网络行为、数据库审计 1 台医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 11 -远程安全评估系统(RSAS) 漏洞扫描 1 台Web 应用防火墙(WAF
25、) 网站防护、防篡改 1 台安全审计堡垒机( SAS-H) 运维安全审计 1 台四、基础安全建设基础安全建设专注于医院的信息系统的建设,主要包含访问控制,入侵防护,日志审计,漏洞管理等几个方面,访问控制能够保证互联网对内网资源的合理有效利用,入侵防护则能全面防护互联网对内网发起的攻击以及内网对互联网的攻击;在日志审计方面,根据卫生部对信息系统的要求,根据*省卫生厅关于“统方”治理的要求,我们考虑在核心系统上进行严格的日志审计工作;在漏洞管理上,由于大量的信息终端的存在,且当前利用漏洞进行攻击的案例比比皆是,故在一起管理上,我们将这四点作为基础信息安全建设来进行处理,并在每个环节上进行分章节详细
26、描述。4.1 绿盟下一代防火墙(访问控制)4.1.1 部署方式在医院网络出口部署一台下一代防火墙,通过下一代防火墙可以对应用层攻击、病毒进行全面阻断,可实现基于源/ 目的 IP 地址、协议/端口、时间、用户、VLAN 、VPN、安全区的访问控制,保证内部网络的安全。设备管理通过安全管理区的安全管理服务器上安装安全中心对该设备进行全面的管理。医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 12 -4.1.2 系统特点 绿盟下一代防火墙采用了全新的设计理念,专注应用安全的防护,具有如下功能: 具有智能协议识别(NIPR)智能内容识别(NICR)功能智能协议识别技术Nsfocus In
27、telligent Protocol Recognition(NIPR)和智能内容识别技术Nsfocus Intelligent Content Recognition(NICR )是绿盟自主研发的网络威胁识别技术,是绿盟科技在网络攻防技术方面多年研究成果的结晶,也是绿盟安全下一代防火墙的核心技术。网络应用层防护的最大难度在于对复杂多变的应用协议、黑客复杂的攻击行为以及应用内容进行解析识别,从而进行针对性的防护。NIPR 和 NICR 识别技术,它利用五个安全库(应用协议特征库 、协议行为特征库、恶意 URL 库、病毒库、攻击规则库),通过动态分析网络报文中包含的协议特征、行为特征以及非法内容
28、,识别出非法信息,然后递交给相应的处理引擎进行防护。具备了 NIPR 和 NICR 的下一代防火墙,不再受动态端口或攻击工具变化的影响。对于P2P 等运行在任意端口的应用层协议,或者绑定在任意端口的木马、后门,还有黑客的灵活多变的攻击方式,下一代防火墙都能在不需要管理员参与的情况下高速准确的判断出来,并根据网关策略予以阻断或限制。 高性能的防火墙下一代防火墙采用内容状态检测的过滤技术,支持路由、透明、混合模式部署,可实现基于源/目的 IP 地址、协议/端口、时间、用户、VLAN、 VPN、安全区的访问控制。下一代防火墙支持支持基于策略的双向 NAT、动态/静态 NAT、端口 PAT,支持DNS
29、、 DHCP、 VLAN、SNMP 等协议。 超强的网络攻击防护能力下一代防火墙集成了绿盟科技专业的 IPS 模块,可实现基于 IP 地址/网段、规则(组、集)、时间、动作等对象的虚拟 IPS。下一代防火墙采用虚拟补丁技术,可防护远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、SQL 注入、跨站脚本等各种攻击。医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 13 -4.2 绿盟网络入侵防护系统绿盟入侵防护系统 NIPS (Network Intrusion Prevention System)提供一种主动的、实时的防护,其设计旨在对常规网络流量中的恶意数据包进行检测,阻止入侵
30、活动,预先对攻击性的流量进行自动拦截,使它们无法造成损失,而不是简单地在传送恶意流量的同时或之后发出警报。NIPS 是通过直接串联到网络链路中而实现这一功能的,即 NIPS 接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。4.2.1 绿盟网络入侵防护系统的特点绿盟网络入侵防护系统是绿盟科技自主知识产权的新一代安全产品,作为一种在线部署的产品,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足,提供动
31、态的、深度的、主动的安全防御,为企业提供了一个全新的入侵保护解决方案。绿盟网络入侵防护系统采用先进的体系架构集成领先的入侵保护技术,包括以全面深入的协议分析技术为基础,协议识别、协议异常检测、关联分析为核心的新一代入侵保护引擎,能够协助客户: 网络防护:具有实时的、主动的网络防护功能,内置基于状态检测的防火墙,保护网络边界和内部网络,同时为网络设备的漏洞提供防护,具有流量管理功能,对于可能出现的异常流量,提供抗拒绝服务攻击功能。 应用防护:提供对应用层的防护功能,针对操作系统,应用软件以及数据库,提供深度的内容检测技术,过滤报文里的恶意流量和攻击行为,保护存在的漏洞,防止操作系统和应用程序损坏
32、或宕机。 内容管理:对内部网络资源提供内容管理,可以有效检测并阻断间谍软件,包括木马后门、恶意程序和广告软件等,并可以对即时通讯、P2P 下载、网络游戏、在线视频、网络流媒体等内容进行监控并阻断。医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 14 -4.2.1.1 体系架构绿盟科技网络入侵防护系统体系架构绿盟网络入侵防护系统的体系架构包括三个主要组件:控制台、网络探测器、升级站点,方便各种网络环境的灵活部署和管理。4.2.1.2 关键特性 深度融合的集成平台绿盟网络入侵防护系统作为自主知识产权的新一代安全产品,深度融合的防火墙/IPS/IDS 集成平台开创了世界先河,独一无二的
33、设计使绿盟网络入侵防护系统为用户提供从链路层到应用层的深度安全防护,圆满解决了防火墙静态防御和 IPS 动态防御的融合难题,为用户提供全面的入侵保护解决方案。绿盟网络入侵防护系统集成强大的防火墙功能,采用基于状态检测的动态包过滤技术,实现静态防御;绿盟网络入侵防护系统以全面深入的协议分析技术为基础,协议识别、协议异常检测、关联分析为核心,实现动态防御。医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 15 -绿盟网络入侵防护系统专门设计了安全、可靠、高效的硬件运行平台。硬件平台采用严格的设计和工艺标准,保证了高可靠性;独特的硬件体系结构大大提升了处理能力、吞吐量;操作系统经过优化和
34、安全性处理,保证系统的安全性和抗毁性。 基于对象的虚拟系统绿盟网络入侵防护系统提供基于对象的虚拟系统(VIPS),针对不同的网络环境和安全需求,基于安全区、IP 地址(组、段)、规则(组、集)、时间、动作等对象,制定不同的规则和响应方式,就像一台设备上虚拟出很多虚拟系统,每个虚拟系统分别执行不同的规则集,实现面向不同对象、实现不同策略的智能化入侵防护。绿盟网络入侵防护系统覆盖广泛的攻击规则库带有超过 2000 条由 NSFocus 安全小组精心提炼、经过仔细检测与时间考验的攻击特征,并通过国际最著名的安全漏洞库 CVE 严格的兼容性标准评审,获得最高级别的 CVE 兼容性认证(CVE Comp
35、atible)。绿盟科技每月平均提供 2 到 3 次升级更新,在紧急情况下可即时提供更新。而且绿盟科技具有领先的漏洞预警能力,是目前国内唯一一个向国外(美国)出口入侵检测规则库的公司。 广泛精细的应用防护绿盟网络入侵防护系统提供“虚拟补丁” ,主动防御已知和未知攻击,实时阻断各种黑客攻击,如缓冲区溢出、SQL 注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒、木马后门、间谍软件等,而且针对僵尸网络提供主动防御,广泛精细的应用防护帮助用户避免安全损失。 全面实用的内容管理绿盟网络入侵防护系统提供强大的“流量净化” 能力,通过全面实用的内容管理,能够有效监视、控制 P2P 下载、即时通讯、
36、在线视频、网络流媒体、网络游戏等滥用流量,提高企业工作效率。绿盟网络入侵防护系统具有强大的流量管理功能,采用全局维度(协议/端口)、局部维度(源/目的 IP 地址、网段)、时间维度(时间)、流量纬度(带宽)等流量控制四元组,基于对象的策略配置方便用户灵活控制网络流量。 强大丰富的管理能力绿盟网络入侵防护系统支持安全区(Zone),支持路由、透明、混合三种工作模式,支持五种安全区模式:透明(Layer2)、路由(Layer3 )、监听( Monitor)、直通(Direct)、管理(Mgt ),能够快速部署在各种网络环境中。绿盟网络入侵防护系统还支持失效开放(Fail-open)机制和双机热备(
37、HA),避免单点故障。绿盟网络入侵防护系统提供丰富的响应方式,包括主动响应(丢弃数据包、丢弃连接会话)、被动响应(与防火墙联动、TCP Killer、发送邮件、控制台显示、日志数据库记录、医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 16 -打印机输出、运行用户自定义命令、写入 XML 文件、snmp trap),用户可自定义,满足各种需要。从系统升级到报表系统,从攻击告警到日志备份,绿盟网络入侵防护系统均可由系统定时自动后台运行,达到“零管理 ”。还同时支持 B/S 和 C/S 管理方式。全中文界面、中文报表,符合中国人操作习惯,而中文规则库对每个漏洞都有详细描述,并提供了详
38、细的解决方案及补丁下载地址。 4.2.2.2 部署说明根据安全风险分析、安全目标和设计原则,我们在充分利用现有资源、尽量在少投入、少改动的基础上,建议使用以下集防护、检测和响应于一体的安全解决方案。具体部署方式如下: 在医院内网的两台互联网出口下一代防火墙下部署两台千兆绿盟网络入侵防护系统,每台 NIPS 双上联两台出口下一代防火墙。通过双机热备 的形式对进出内网的数据进行冗余保护,两台 NIPS 设备之间的心跳线检测主从设备状态,保证在单条链路出现异常后,策略仍时刻生效的同时数据业务不会中断。 在医院内网和农保/医保 /银行网络的互联出口下一代防火墙下,部署一台千兆绿盟NIPS。确保医院内网
39、和其他业务单位内网的安全互联和入侵保护;同时可做出口链路的备选设备。 每台千兆绿盟 NIPS 设备均具备 BYPASS 功能,确保设备出现异常后,不影响正常链路和业务流量。 通过在医院网络部署一台绿盟安全中心服务器,用于日常管理和日志存储。由于绿盟 NIPS 同时支持 C/S 和 B/S 模式,所以可以灵活方便的管理部署在网络中的 绿盟NIPS。4.2.2.3 绿盟网络入侵防护系统日常使用建议由于安全领域的发展性,没有静止的安全,任何的变化都可能引起安全问题的出现,比如网络结构的调整,新的应用的启用,新的安全漏洞和新的攻击手法的出现等等,所以任何时候,安全都是动态的。在这种情况下,有效的使用和
40、维护安全产品和安全策略,才能使安全产品发挥其最大的效应,所以,我们建议如下: 保障规则升级 网络入侵防护系统控制台每周定时检查厂商规则升级模块医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 17 - 离线下载或使用厂商提供的定期升级包 控制台自动推送升级到网络引擎 日志自动备份策略 设置报警日志定期备份策略,防止出现日志溢出或意外丢失的情况 定期分析与报告策略 设置综合报告每周发送策略,分别发给其他安全管理员 每月对报告进行综合分析,对疑难问题,寻求安全厂商的支持4.2.3 功能与效益部署网络入侵防护系统会给医院网络带来以下安全功能的提高: 实时发现和阻断来自 Internet
41、的蠕虫、病毒、间谍软件和黑客等攻击和入侵,防止黑客带来的安全损失,加强了对内部服务器的保护; 实时发现和阻断内部蠕虫、网络病毒的大规模爆发; 强制性规范工作人员的网络访问行为,控制和减少工作人员利用信息网络作与工作无关的行为; 可以对内部网络流量和网络资源的监控,方便及时的发现网络异常,同时可以根据需求,进行带宽管理,帮助诊断网络异常状况,提高网络带宽的使用率; 对黑客的攻击行为进行监控,保留异常行为日志,为事后采取补救措施作准备; 智能、自动化的安全防御,降低整体的安全费用以及对于网络安全领域人才的需求。4.3 绿盟安全审计系统4.3.1 需求分析4.3.1.1 威胁与风险分析由于医院网络分
42、内网与外网,网络的使用者既有来自互联网的用户,也有来自单位内部的工作人员,因此其网络面临来自安全威胁与风险如下: 工作人员在论坛内网论坛发表敏感信息、传播非法言论,造成恶劣社会影响; 单位重要业务数据库,被工作人员或系统维护人员篡改牟利、外泄,给单位造成巨大的经济损失;医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 18 - 工作人员随意通过 U 盘,在外网络共享文件夹、文件上传下载、EMAIL 等方式,发送重要敏感信息、业务数据,导致信息外泄事件发生; 内部系统维护人员对业务应用系统的越权访问、违规操作,损害业务系统的运行安全; 4.3.1.2 安全需求根据对医院网络系统的威胁
43、与风险分析,医院的信息安全需求主要在以下方面: 对论坛不良言论、色情暴力的管理, 对网页页面内容、搜索引擎的关键字过滤、审计; 针对不良网站进行告警、过滤;同时全面审计网站访问行为,实时告警、记录和网页还原,实现全面、准确、高效的网站访问监测 对业务运维操作进行细粒度的监控 数据库访问进行全面监控管理; 对邮件、论坛等外发信息行为进行有效的监控; 可对邮件、论坛等外发信息行为进行监控管理,防止单位敏感机密信息外泄、非法反动言论传播; 对网络应用行为进行监测,如:P2P 下载、在线视频等。因此在医院网络中部署安全审计系统,可有效监控业务系统访问行为和敏感信息传播,准确掌握网络系统的安全状态,及时
44、发现违反安全策略的事件并实时告警、记录,同时进行安全事件定位分析,事后追查取证,满足合规性审计要求。解决方案安全审计系统(Security Audit System)是在一个特定的企事业单位的网络环境下,为了保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取,而运用各种技术手段实时监控网络环境中的网络行为、通信内容,以便集中收集、分析、报警、处理的一种技术手段。安全审计系统是旁路并联到网络中,一般是对路由器或交换机做端口镜像,将需要监控的端口流量镜像后进行分析,不会对网络的正常运行带来影响。医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 19 -4.3.3 安全审计产品选型
45、4.3.3.1 选型依据安全审计系统具有对网络通信内容、网络行为的实时监测、报警、记录等功能。是否能够很好地帮助网络管理员完成对网络状态的把握和安全的评价是安全审计系统的基本标准。一个完善的安全审计系统(SAS)应该从四个方面评价: 细粒度的操作内容审计与精准的网络行为实时监控; 全面详细的审计信息,丰富可定制的报表系统; 支持分级部署、集中管理,满足不同规模网络的使用和管理需求; 自身的安全性高,不易遭受攻击; 4.3.3.2 选型建议经过对国内外流行产品的分析,我们建议使用绿盟科技的安全审计系统。绿盟科技主要优势有: 绿盟安全审计系统提供业界领先的基于对象的策略管理系统,完全统一的规则配置
46、方式强大而灵活,实现基于对象的虚拟审计系统(VAS)。绿盟安全审计系统针对单位不同的网络环境和安全需求,基于安全区、IP 地址(组、段)、规则(组)、时间、动作等对象,制定不同的策略和响应方式,就像一台设备上虚拟出很多虚拟审计系统,每个虚拟审计系统分别执行不同的策略,实现面向不同业务应用、不同部门职能、不同策略的智能化安全审计。 绿盟安全审计系统提供全面细粒度的敏感信息审计解决方案。系统支持基于内容、行为、时间、用户等多种条件组合的信息审计策略,对邮件收发(WEBMAIL、SMTP 、POP3)、文件上传下载(HTTP、FTP)、网络文件共享(NETBIOS)、论坛(BBS)、即时通讯等进行全
47、面信息审计,提供实时告警、信息还原功能,同时支持自定义内容关键字库,实现敏感信息的深度检测识别,对机密信息外泄、非法言论传播等行为的及时响应处理、事后追查取证提供有力支持。 绿盟安全审计系统采用先进的数据处理架构,对 64bytes 数据包的处理能力达到千兆线速的处理能力;同时采用先进的 IP 碎片重组与智能 TCP 流汇聚技术,达到接近 100%的检测准确率和几乎为零的漏报率,实现网络事件的“零遗漏”审计。医院网络安全解决方案 2019 绿盟科技 密级:限制分发 - 20 - 绿盟安全审计系统采用业界领先的协议识别和智能关联技术,提供全面深入的协议分析、解码回放,能够分析近 100 种应用层
48、协议,包括HTTP、TELNET 、FTP、SMTP、WEBMAIL、NETBIOS、P2P、IM 等,极大地提高内容分析的准确性,帮助管理员全面掌握网络安全状态。 绿盟安全审计系统通过基于业务运维行为、上网行为和网络应用行为的审计,达到对业务运维操作(TELNET、FTP、数据库访问等)、上网行为、网络应用行为(即时通讯、在线视频、P2P 下载等)的全过程监控, 实现网络行为的全面多维度审计。 绿盟安全审计系统具有基于协议识别的流量分析功能,如:可识别使用 80 端口的 P2P协议,避免基于 80 端口的 HTTP 协议流量统计错误,更精确可靠;并支持对即时通讯、P2P、在线视频等动态协议的
49、流量分析;提供详细的流量报表;可以通过编辑自定义统计指定协议流量的 IP TOPN。 绿盟安全审计系统具有业界领先的超过 1000 万条的庞大中英文 URL 数据库,多种分类,如不良言论、色情暴力等;可对访问非法网站的行为,实时告警、记录,提供全面、准确、高效的网站访问监测。 从实时升级系统到报表系统,从审计告警到日志备份,绿盟安全审计系统完全支持“零管理”技术。所有管理员需要日常进行的操作均可由系统定时自动后台运行,并且绿盟安全审计系统报表系统提供了详细的综合分析报表、自定义三种类型 10 多个类别的报表模板,支持生成:日、周、月、季度、年度综合报表。报表支持 MS Word、Html、JPG 等格式导出。并定时通过电子邮件自动发送报表至系统管理员;同时绿盟安全审计系统支持对网络引擎的不同网口或不同网络引擎,分别生成对应报表;极大地降低了维护费用与管理员的工作强度。 绿盟安全审计系统同时支持 B/S 和 C/S 两种管理方式,Web 管理灵活
