1、醫院網絡安全加固拓撲分析基于信息安全等級保護基本要求優化設計2015/4/22第一部分、 信息安全加固拓撲總體分析本方案通過全景方式對某人民醫院網絡拓撲進行展現。基于等級保護測評的信息安全問題和安全測評工程師給出的信息安全加固方案,形成下圖：醫院內網醫院內網主要承載了某人民醫院內部重要的業務系統，相對于醫院外網安全性要高，根據現狀分析，當前具有兩個網絡出口，目前已經部署了防火墻進行安全防護。考慮醫院主要的被測系統的等級保護要求我們建議部署數據庫審計系統、堡壘機和入侵防御系統，進行必要的綜合審計、運維與安全防護。數據庫審計系統旁路端口鏡像部署在三級系統核心或匯聚交換機上，主要對三級業務系統的各種

2、數據庫操作進行實施審計和記錄。堡壘機系統旁路部署在內網核心交換上，主要是針對全醫院所有的網絡設備、主機設備及安全設備進行運維審計，要是實現預期目標必須要和防火墻或 ACL 配合。在內網邊界防火墻下部署入侵防御系統。數據交換區當前由于某人民醫院內外網絡之間需要進行數據通訊， 建立一個數據交換區域，數據交換區域通過防火墻進行兩個區域之間的隔離和安全防護。從信息安全角度，我們不建議內外網絡之間進行直接區域打通，如有必要應當實現物理隔離。個人建議采用數據交換應該通過 VPN 等方式實現，每個區域應當有自己的管理系統，內網防病毒系統應當離線病毒定義升級等措施。如果現狀無法改變，我們建議數據交換區應當提高

3、信息安全防護級別，主要從單一訪問控制延伸至應用層防護、入侵防御、惡意代碼防護等綜合安全措施。因此我們采用下一代安全網關或網閘這類安全設備，加強兩大區域之間的安全防護。該防火墻要執行嚴格的安全策略。醫院外網醫院外網主要承載了醫院辦公互聯網訪問， 對外提供業務等服務。由于面向互聯網，因此該區域面臨較高的信息威脅和隱患，主要包括病毒惡意代碼、網絡攻擊、黑客入侵、數據外泄等風險。現狀是單一的防火墻進行安全防護，我們建議某人民醫院首先應當對業務分級保護，重新規劃 DMZ 區，主要放置對外的各業務 WEB 服務器。重點加強網絡邊界和 DMZ區域安全防護，如在和互聯網邊界透明/路由部署抗 Ddos 系統，防

4、火墻系統（路由模式）、入侵防御系統和防病毒。DMZ經過 WAF(應用層防火墻)進行過濾，保障對外業務的應用安全。第二部分、 需求分析與產品功能介紹2.1 抗 Ddos 系統 需求分析 拒絕服務攻擊（ DoS, Denial of Service）是指利用各種服務請求耗盡被攻擊網絡的系統資源，從而使被攻擊網絡無法處理合法用戶的請求。而隨著僵尸網絡的興起，同時由于攻擊方法簡單、影響較大、難以追查等特點，又使得分布式拒絕服務攻擊（ DDoS， Distributed Denial of Service）得到快速壯大和日益泛濫。 成千上萬主機組成的僵尸網絡為 DDoS 攻擊提供了所需的帶寬和主機，形成

5、了規模 巨大的攻擊和網絡流量，對醫院出口網絡造成了極大的危害。 主要危害：醫院上網緩慢、網站或者掛號系統無法訪問、出口設備宕機，網絡停止服務。 產品功能 探針式流量檢測： Detector 通過 DFI 分析的方式，發現網絡中的異常流量并給出告警，支持主流的流量分析技術包括 Netflow、 cFlow、 sFlow、 NetStream 等。同時也支持鏡像流量進行 Flow 轉化，可以滿足各種網絡環境的流量分析需求。 手術式 DDoS 清洗：對漏洞型、流量型、應用型等各種 DDOS 攻擊進行清洗，并將清洗完后的干凈流量回注到網絡。 強勁的處理性能：采用 MIPS 多核處理平臺，單機最大同時支

6、持 64 個 vCPU 并行工作，清洗能力強，穩定性高。2.2 入侵防御系統 需求分析 隨著網絡的飛速發展，以蠕蟲、病毒、木馬、間諜軟件、黑客攻擊為代表的 應用層攻擊層出不窮。傳統的基于網絡層的防護只能針對報文頭進行檢查和規則匹配，而大量應用層攻擊都隱藏在正常報文中，甚至是跨越幾個報文，因此僅僅分析單個報文頭意義不大。由于業務需要，網絡連接互聯網，業務或辦公數據在網絡上傳輸，而網絡設備、主機系統都不同程度存在一些安全漏洞，攻擊者可以利用存在的漏洞進行破壞，可能引起數據破壞、業務中斷甚至系統宕機，嚴重影響醫院網絡信息系統的正常運行。在醫院網絡中，防火墻作為安全保障體系的第一道防線，防御黑客攻擊。

7、但作為工作在三層以下的訪問控制設備，防火墻無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對 WEB 服務的 Code Red 蠕蟲等。而且有些主動或被動 的攻擊行為是來自防火墻內部的，防火墻無法發現內部網絡中的攻擊行為。因此，如何識別醫院網絡中的攻擊行為成為了當務之急。主要功能NIPS 是網絡入侵防護系統產品內置先進的 Web 信譽機制，同時具備深度入侵防護、精細流量控制，以及全面用戶上網行為監管等多項功能，能夠為用戶提 供深度攻擊防御入侵防御系統可以對網絡蠕蟲、間諜軟件、溢出攻擊、數據庫攻擊等多種深層攻擊行為進行主動阻斷。并在漏洞庫的基礎上，集成了專業病毒庫和應用協議庫，是針對系統漏洞

8、、協議弱點、病毒蠕蟲、黑客攻擊、網頁篡改、間諜軟件、惡意攻擊、流量異常等威脅的一體化應用層深度防御平臺。部署簡單、 即插即用，配合應用 Bypass 等高可靠性設計，可滿足各種復雜網絡環境對應用層安全防護的高性能、高可靠和易管理的需求，是應用層安全保障的最佳選擇。2.3 WAF（應用層防護墻） 需求分析 WEB 應用安全問題本質上源于軟件質量問題，但WEB 應用相較傳統的軟件，具有其獨特性。WEB 應用往往是某個機構所獨有的應用，對其存在的漏洞，已知的通用漏洞簽名缺乏有效性；WEB需要頻繁地變更以滿足業務目標，從而使 得很難維持有序的開發周期；基于 Web 的應用日益增多，SQL 注入、跨站腳

9、本、網頁掛馬等各種攻擊手段使得 Web 應用處于高風險的環境中，傳統安全設備無法對 Web 應用提供細粒度的有效防護。主要功能Web 應用防火墻（簡稱 WAF），專注于保護 Web 應用和 Web 服務，并將 成熟的DDoS 攻擊抵御機制整合在一起， WAF 提供針對 OWASP Top 10、LOIC、HOIC 的全面防御，為 Web 安全保駕護航。u 降低數據泄露風險SQL注入防護、HTTP協議防護、Web 漏洞攻擊防護、信息安全防護（狀態碼過濾/ 偽裝）、Web 內容安全防護u 支撐 Web 服務可用性HTTP Flood 防護、TCP Flood 防護u 控制惡意訪問URL訪問控制文件

10、非法下載/上傳防護盜鏈防護爬蟲防護u 保護 Web 客戶端CSRF 防護 XSS 防護 Cookie 安全（加密/簽名）2.4 堡壘機系統 需求分析隨著信息化進程不斷深入，醫院的業務系統變得日益復雜，由員工或者外部維護人員違規操作導致的安全問題變得日益突出起來。防火墻、防病毒、入侵檢系統等常規的安全產品可以解決一部分安全問題，但對于內部人員的違規操作 卻無能為力。越來越多的會將非核心業務外包給設備商或者其他專業代維公司。如何有效地監控設備廠商和代維人員的操作行為,并進行嚴格的審計是醫院面臨的一個關鍵問題。主要功能堡壘機是針對業務環境下的用戶運維操作進行控制和審計的合規性管控系統。它通過對自然人

11、身份以及資源、資源賬號的集中管理建立“自然人資源 資源賬號”對應關系，實現自然人對資源的統一授權，同時，對授權人員的運維操作進行記錄、分析、展現，以幫助內控工作事前規劃預防、事中實時監控、違規行為響應、事后合規報告、事故追蹤回放，加強內部業務操作行為監管、避免核心資產（服務器、網絡設備、安全設備等）損失、保障業務系統的正常運營。對單位的業務系統來說，真正重要的核心信息資產往往存放在少數幾個關鍵 系統上，通過使用堡壘機，能夠加強對這些關鍵系統的訪問控制與審計，從而有效地減少核心信息資產的破壞和泄漏。能夠對運維人員維護過程的全面跟蹤、控制、記錄、回放；支持細粒度配置運維人員的訪問權限，實時阻斷違規

12、、越權的 訪問行為，同時提供維護人員操作的全過程的記錄與報告；系統支持對加密與圖形協議進行審計，消除了傳統行為審計系統中的審計盲點，是IT系統內部控制最有力的支撐平臺之一。2.5 數據庫審計系統需求分析 數據庫系統作為信息的聚集體，是計算機信息系統的核心部件，其安全性至關重要，關系到醫院興衰、成敗。因此，如何有效地保證數據庫系統的安全，實現數據的保密性、完整性和有效性，已經成為業界人士探索研究的重要課題之一。 對醫院重要的業務應用系統或者網絡基礎設施，相應地具備如下需求中的部分或者全部：1、需要滿足各種合規要求，比如等級保護、分級保護等要求； 2、需要對重要/關鍵數據的訪問進行審計；3、希望有

13、效地控制數據庫操作風險； 4、需要進行事后追查，但缺乏數據記錄與追查方法。主要功能數據庫安全審計系統主要用于監視并記錄對數據庫服務器的各類操作行為，通過對網絡數據的分析，實時地、智能地解析對數據庫服務器的各種操作，并記入審計數據庫中以便日后進行查詢、分析、過濾，實現對目標數據庫系統的用戶操作的監控和審計。數據庫審計系統通結合各類法令法規（如等級保護、分級保護、 醫院內控等）對數據庫安全的要求，自主研發的業界首創細粒度審計、雙向審計、全方位風險控制的數據庫安全審計產品。可幫助醫院帶來如下價值點：l 全面記錄數據庫訪問行為，識別越權操作等違規行為，并完成追蹤溯源l 跟蹤敏感數據訪問行為軌跡，建立訪

14、問行為模型，發現敏感數據泄漏l 檢測數據庫配置弱點、發現 SQL 注入等漏洞、提供解決建議l 為數據庫安全管理與性能優化提供決策依據l 提供符合法律法規的報告，滿足等級保護、醫院內控等審計要求；2.6 下一代安全網關主要面向數據交換區進行訪問控制和綜合安全防護。下一代防火墻可精確識別數千種網絡應用，并提供詳盡的應用風險分析和靈活的策略管控。結合用戶識別、內容識別，下一代防火墻可為用戶提供可視化及精細化的應用安全管理。同時，下一代防火墻內置了先進的威脅檢測引擎及專業的WEB服務器防護功能，能夠抵御包括病毒、木馬、SQL 注入、XSS 跨站腳本、CC攻擊在內的各種網絡攻擊，有效保護用戶網絡健康及W

15、EB服務器安全。基于全并行軟硬件架構實現的“一次解包、并行檢測”，下一代防火墻在具備全面安全防護的同時，更為用戶提供高性能的應用安全防護。 優化的攻擊識別算法。能夠有效抵御如 SYN Flood、UDP Flood、HTTP Flood 等 DoS/DDoS 攻擊，保障網絡與應用系統的安全可用性。 專業 Web 攻擊防護功能。支持 SQL 注入、跨站腳本、CC攻擊等檢測與過濾，避免 Web 服務器遭受攻擊破壞； 支持外鏈檢查和目錄訪問控制，防止 Web Shell 和敏感信息泄露，避免網頁篡改與掛馬，滿足用戶 Web 服務器深層次安全 防護需求。 高性能的病毒過濾。領先的基于流掃描技術的檢測引

16、擎可實現低延時的 高性能過濾。支持對 HTTP、FTP 及各種郵件傳輸協議流量和壓縮文件（ zip， gzip， rar 等）中病毒的查殺，提供近 100萬條實時更新的病毒特征庫。 超過 2000 萬條分類庫的 URL 過濾功能。可幫助網絡管理員輕松實現網頁 瀏覽訪問控制，避免惡意 URL 帶來的威脅滲入。基于多核硬件架構及“一次解包，并行檢測”技術，下一代防火墻在開啟多 種威脅防護功能時，仍可為用戶提供業界領先綜合安全性能。第三部分、安全服務與公司介紹 信息安全服務是信息安全工作重要補充，單純的安全設備是無法解決企業面臨的信息安全問題，山東新潮依靠專業的信息安全團隊幫助企業設計好企業網絡安全

17、架構、幫助企業加固信息安全產品，幫助企業發現潛在的信息安全隱患，在發生突發安全事件，第一時間提供技術支撐與應用響應。 3.1 重要業務系統或研發網絡風險評估服務風險評估是從風險管理角度，運用科學的方法和手段，系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。并為防范和化解信息安全風險，或者將風險控制在可接受的水平，從而最大限度地為保障網絡和信息安全提供科學依據。風險評估流程將主要參考信息安全風險評估規范（ GB/T 20984-2007）， 通過現場調查、現場測試、交流訪談、分析研究等方式找出重要業務系統或

18、研發網絡存在的脆弱性、面臨的威脅，以及威脅發生的可能性、造成的影響，最終確定信息系統面臨的風險，并給出安全加固建議。3.2 等級保護測評服務等級保護制度是一項國家信息安全基本制度。等級保護的開展主要包括定級、備案、整改、測評和檢查五個步驟。等級保護測評工作的開展主要針對被測信息系統的技術和管理兩個方面展開測評，技術部分包括物理安全、網絡安全、主機 安全、數據安全、應用安全；管理方面包括安全管理機構、安全管理制度、系統建設管理、系統運維管理和人員安全管理五個方面。現場測評主要包括人員訪談、文檔審查、策略配置檢查、工具測試和實地察看等五個方面，并詳細記錄結果。信息安全等級保護建設就是要根據國家標準

19、和安全要求，逐步發現現有的信息系統存在的安全差距和風險隱患。把各種安全問題在爆發之前進行有效的加固與完善。從而在整體上提高企業信息系統的業務連續性。實施信息安全等級保護，能夠有效地提高信息和信息系統安全建設的整體水平，有利于在信息化建設過程中同步建設信息安全設施，保障信息安全與信息化建設相協調有利于為信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務，有效控制信息安全建設成本；有利于優化信息安全資源的配置，對信息系統分級實施保護，重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統的安全；有利于明確加強信息安全管理建設。3.3 信息安全意識或專題培訓服務信息安全

20、培訓是成本最低、最有效利用現有技術和資源的、效果最快最顯著的信息安全管理措施。作為專業的信息安全咨詢服務提供者，我們提供的信息安全培訓是針對客戶不同層次的安全需求而定制的，是全面融合了技術和管理要素的專業的培訓服務。借助各項培訓課程，我們的專業培訓人員將向客戶傳授從一般性的安全意識、到具體的安全攻防操作、再到高級的信息安全管理在內的全方位的安全知識和技能，從而提升客戶在信息安全實踐當中“人”這個決定因素的關鍵作用，為有效的信息安全提供保障。我們主要為用戶提供如下培訓服務：Ø安全意識培訓：面向組織的一般員工、非技術人員以及所有信息系統的用戶，目的是提高整個組織普遍的安全意識和人員安全防

21、護能力，使組織員工充分了解既定的安全策略，并能夠切實執行；Ø安全技術培訓：面向組織的網絡和系統管理員、安全專職人員、技術開發人員等，目的是讓其掌握基本的安全攻防技術，提升其安全技術操作水平，培養解決安全問題和杜絕安全隱患的技能；Ø安全管理培訓：面向組織的管理職能和信息系統、信息安全管理人員，目的是提升組織整體的信息安全管理水平和能力，幫助組織有效建立信息安全管 理體系；Ø資質認證培訓：向客戶提供國內外最頂尖信息安全相關認證考試的輔導培訓，幫助客戶順利通過考試并獲得各類信息安全資質認證；Ø安全職業教育：面向在信息安全領域尋求職業發展的人員，通過較為長期的系統化學習，幫助其具備信息安全從業所需的基本知識和特定技能，以滿足信息安全相關職位最普遍的要求。除此之外，我們還可以根據客戶的特殊需求，制定符合客戶自身特點的培訓方案，定制培訓內容，編寫培訓計劃，提供相關教材，并最終考核培訓效果。3.4 公司介紹山東新潮信息技術有限公司成立于 2000