业务管理及安全管理知识建设方案.docx

资源描述

医院业务网网安全建设方案陕西虹桥科技发展有限公司 2014-02-15 目录 1 概述 4 2 安全建设路线 6 2.1 设计原则 6 2.1.1 等级保护建设原则 6 2.1.2 体系化的设计原则 6 2.1.3 产品的先进性原则 6 2.1.4 按步骤有序建设原则 6 2.1.5 安全服务细致化原则 6 3 安全需求分析 7 3.1 安全技术层面需求分析 7 3.1.1 外网平台安全需求 7 3.1.2 计算环境安全需求 7 3.1.3 应用系统安全需求 9 3.1.4 管理系统安全需求 10 3.2 安全管理层面需求分析 10 3.3 安全服务层面需求分析 10 4 安全方案设计 11 4.1 安全体系技术层面设计 11 4.1.1 网络边界安全设计 11 4.1.1.1 外部边界 11 4.1.1.2 内部边界 13 4.1.2 计算环境安全设计 15 4.1.2.1 终端安全管理 15 4.1.2.2 网络防病毒 16 4.1.2.3 主机审计 17 4.1.2.4 数据库审计 17 4.1.2.5 入侵检测系统 18 4.1.2.6 主机加固 18 4.1.3 应用系统安全设计 19 4.1.3.1 安全评估工具 19 4.1.3.2 Web页面防护 20 4.1.3.3 应用安全监控 21 4.2 安全体系管理层面设计 21 5 整体安全设计配置方案 23 5.1 整体部署结构 23 1 概述网络技术的迅猛发展和广泛应用，一方面提高了数据存储、传输和分析的能力，另一方面也增加了各单位对信息安全方面的需求。数据是网络的基础核心和重要资源，同时也是各单位的宝贵财富。日益严重的网络信息安全问题，不仅使医院、机构及用户蒙受巨大经济损失，而且使国家的安全与主权面临严重威胁。医疗卫生保健是人生在世不可或缺的需求，因此，医疗保健在世界各国，普遍被列入关乎国计民生和社会发展的关键基础设施（CI）。信息化的发展，为医疗卫生保健的服务质量带来了崭新的前景。因此，医疗保健信息系统在世界各国，普遍被列入关键信息基础设施（CII）。信息系统存在的安全问题是影响医疗保健信息系统发挥其效率和效益，完成其使命的严重隐患。因此，世界各国普遍把医疗保健信息系统的安全保护列为关键信息基础设施保护（CIIP）。我国在加强信息安全保障工作的相关政策中，提出了信息系统安全等级保护的制度性安排。医院等级安全保护体系建设主要从物理层、网络层、应用层、主机层、数据层及管理层等方面进行构建。医院网络一般由办公外网、办公内网、医保网组成，三个网络之间完全物理隔离。因此，需要结合信息安全等级保护要求做好风险评估，界定医院信息安全网络的使用人群、涵盖的应用系统，并保障他们除业务信息管理外的正常办公所需，在此基础上购置相关资源，新建该安全防护体系，升级主要应用系统，升级相关网络安全软硬件，使其在物理环境、网络、系统、应用、数据、终端和系统集成六方面均达到对应等级要求。目前医院内部网络已经形成，网络上所涉及的业务活动包括HIS系统、LIS系统、PACS系统、药库系统、财务系统、院内网站系统、病案系统、日常办公OA系统等网络应用，同相关单位连接的业务包括新农合、医保、健康档案等系统，以及使医院本部计算机网络能过Internet与外界安全的互联。这些应用系统本身也不是互相独立，它们在网络上运行时需要信息交换和共享，同时这些应用系统又要求一定的独立性。医院日常工作对网络和计算机系统的依赖越来越强，保证网络和计算机应用系统高效和安全的运行势在必行。如果不很好的解决这个问题，必将阻碍信息化发展的进程。在卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知（卫办发[2011]85号）（以下简称85号文件）相关内容中明确指出三级甲等医院的核心业务信息系统应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作，根据以往相关同行业经验，三甲医院的的核心业务信息系统原则上不会低于三级。那么对此系统的安全防护建设工作就必须按照等级保护三级要求来进行。本建设方案旨在提供医院在信息安全保障体系建设方面的思路，通过阅读本方案可以清晰的知道本期建设的内容，同时根据业务保护的重要程度进行分期建设方案设计。 2 安全建设路线 2.1 设计原则 2.1.1 等级保护建设原则医院的核心业务系统属国家重要信息系统，其安全建设不能忽视国家相关政策要求，在安全保障体系建设上最终所要达到的保护效果应符合《信息系统安全等级保护基本要求》。 2.1.2 体系化的设计原则系统设计应充分考虑到各个层面的安全风险，构建完整的安全防护体系，充分保证系统的安全性。同时，应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。 2.1.3 产品的先进性原则本次建设对所需的各类安全产品提出了很高的要求。必须认真考虑各安全产品的技术水平、合理性、先进性、安全性和稳定性等特点，共同打好工程的技术基础。 2.1.4 按步骤有序建设原则信息安全保障体系的建设是一项长期的工程，并非一蹴而就解决所有安全问题。因此，在实际建设过程中要根据实际情况分轻重缓急，分期、分批的进行部署。 2.1.5 安全服务细致化原则要使得安全保障体系发挥最大的功效，除安全产品的部署外还提供安全服务，全面而细致的安全服务会提升日常运维及应急处理风险的能力。安全服务就需要把安全服务商的专业技术经验与行业经验相结合，结合医院业务网的实际信息系统量身定做才可以保障其信息系统安全稳定的运行。 3 安全需求分析医院业务网安全保护体系建设应该有以下几方面分别展开建设： 3.1 安全技术层面需求分析 3.1.1 外网平台安全需求 l 外部边界防护主要指业务网所有外部网络边界，包括：专网边界：该边界位于院内业务网与其他单位互联的专网之间。专网边界两侧都是内部用户，网络环境、应用环境、用户身份及规章制度都很接近，所面临的网络安全风险及相应的需求也基本类似。主要需要考虑防止内部的非法访问以及病毒、蠕虫等恶性安全事件的快速蔓延。互联网边界：互联网接入主要用于提供对外基于互联网的WEB业务、内部人员的互联网访问，因此在同一个边界具备两种属性。外网边界直接面临社会各界用户，使用环境复杂面临的安全风险极大。各类复合网络攻击手段以及针对网站的流量攻击均是常见的安全威胁。应予以严格的安全防护手段在此边界进行设防，维护整个内部网络不被外部侵入。 l 内部安全域边界在内部网络中，可以划分处多个网络安全域，包括多个服务器区、业务区等等。这些安全域之间存在着内部边界，为能更加有针对性的对各安全域进行防护，在不同的边界应采取不同的边界防护措施。 l 数据传输安全对于外部单位用户的接入存在两种方式：专线方式、互联网方式。通过互联网进行接入传输的数据属于电子政务内部的信息，这些敏感的数据信息在互联网上十分容易被非法窃取、篡改或删除。因此必须采用技术手段保证数据的机密性、完整性以及可用性。 3.1.2 计算环境安全需求保护计算环境关注的是采用信息保障技术确保用户信息在进入、离开或驻留客户机与服务器时具有可用性、完整性和秘密性。主要是指主机硬件、OS，应用软件等的安全需求。包括： l 终端行为的管理终端设备部署较为分散，难于统一管理，操作人员的计算机水平也参差不齐，因此终端设备的安全管理成为网络管理人员最为棘手的安全问题。终端泄密、非授权访问、内部攻击等都都对数据中心安全造成威胁。各类终端和服务器系统的补丁管理同样是一个重要问题。不及时的给系统打漏洞补丁会造成蠕虫以及不怀好意者的入侵。 l 终端防病毒病毒是对计算环境造成危害最大的隐患，当前病毒威胁非常严峻，特别是蠕虫病毒的爆发，会立刻向其他子网迅速蔓延，这样会大量占据正常业务十分有限的带宽，造成网络性能严重下降甚至网络通信中断，严重影响正常业务开展。因此必须采取有效手段进行查杀，阻止病毒的蔓延危害整个数据中心。 l 主机审计对于服务器和重要主机需要进行严格的行为控制，对用户的行为、使用的命令等进行必要的记录审计，同时生成审计报表，便于日后的分析、调查、取证。 l 数据库审计对于关键的数据库系统需要进行审计。异常的数据库操作将会造成数据的不完整和数据丢失，必须对管理员特别是数据库管理员的操作行为进行审计，一方面完整记录数据库的操作行为，另一方面对高危操作进行及时阻止干预。最大限度的保护审计署核心信息资产的安全。 l 网络入侵行为检测攻击行为不仅来自于大家公认的互联网等外部网络，在内部也要防止攻击行为。通过部署安全措施，要实现主动阻断针对信息系统的各种攻击，如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等，能防御针对操作系统漏洞的攻击，能够实现应用层的安全防护，保护核心信息资产的免受攻击危害。 l 安全加固无论是审计、入侵检测或是防病毒，某种意义上来说都是被动防御，大都不具备主动防御的能力。如在危险来临之前就能主动加固系统，增强系统本身的抵御能力，则在实际运行中发挥十分重要的作用。 3.1.3 应用系统安全需求对于存在于医院局域网平台上的众多应用系统，同样存在着多种类型安全需求，包括： 1. 数据库审计由于用户的计算机相关的知识水平参差不齐，一旦某些安全意识薄弱的管理用户误操作，将给信息系统带来致命的破坏。有必要进行基于数据库的审计。从而威慑那些心存侥幸、有恶意企图的少部分用户，以利于规范正常的网络应用行为。 2. 系统风险评估管理对于外网平台上大量的服务器系统，因此，对服务器各项服务的安全配置就显得尤为重要，如果有一点疏忽也会直接造成审计署信息系统被攻击。我们建议定期/不定期的全面掌握网络设备、安全设备、主机、应用系统、数据库系统的风险情况，并以此在安全事件发生前进行加固，全面提高抗风险能力。 3. WEB页面防护 Web应用的普及使得在电子政务外网平台上中存在的Web服务器很容易成为黑客的攻击目标。被篡改的网页将给业务系统带来很大的安全隐患，造成信息丢失、泄露等安全事件。需要专业的主页防篡改工具有效阻止主页篡改事件的发生，维护Web页面的安全。 4. 应用安全管理从用户角度看，其业务系统的正常运转是最关心的核心问题，而业务系统能否实施良好的监控管理则是关键因素之一。因此需要技术手段对应用系统的状况进行全面监控，能够全盘呈现业务环境，实施主动监控，进行运行趋势分析，及时发现存在的问题。 3.1.4 管理系统安全需求完整的安全技术体系的搭建需要众多的安全设备和安全系统，型号和品牌不一、物理部署位置分散、技术人员能力水平差异大。有限的管理人员难以对安全设备进行集中管理、及时快捷的部署安全策略，全面掌握设备运行和网络运行的风险状况。如何用好安全设备和安全系统支撑业务安全稳定运行成了一个棘手的问题。所以，需要建立安全管理中心，进行运行监控和安全风险管理。 3.2 安全管理层面需求分析 “三分技术、七分管理”更加突出的是管理层面在安全体系中的重要性。除了技术管理措施外，安全管理是保障安全技术手段发挥具体作用的最有效手段，建立健全安全管理体系不但是国家等级保护中的要求，也是作为一个安全体系来讲，不可或缺的重要组成部分。安全管理体系依赖于国家相关标准、行业规范、国际安全标准等规范和标准来指导，形成可操作的体系。 3.3 安全服务层面需求分析安全技术手段是从系统与网络层面解决问题的方式之一，可以发挥具体的安全防护作用，但是如果把这些安全技术手段有效的利用起来，成为安全体系建设的重中之重。安全体系中除了技术体系、管理体系之外，还需要专业的技术人员配合技术与管理手段达到更高的具体防护效果。专业的技术人员是安全体系中更关键更重要的因素，除了利用好安全技术产品外，还需要利用其专业的技术经验与行业经验，通过专业的安全服务来具体解决问题。 4 安全方案设计方案通过对网络边界安全、计算环境安全、应用系统安全以及安全的管理制度的分析，采用相应的安全产品和服务来建立安全体系可以确保医院局域网的整体安全。信息安全体系的建立是一个持续的过程，在方案设计中针对常见的风险和安全需求提出了详细的解决办法，但并不需要一次建设完成，可根据目前的实际情况分期建设，在后边的整体安全设计配置方案中也仅仅部署了目前最迫切需要的安全产品和服务。 4.1 安全体系技术层面设计 4.1.1 网络边界安全设计 4.1.1.1 外部边界 4.1.1.1.1 防火墙防火墙技术是目前网络边界保护最有效也是最常见的技术。采用防火墙技术，对医院局域网重要节点和网段进行边界保护，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。对于外部安全边界来说，需要互联网边界上部署防火墙。在互联网服务器区安全域的安全边界部署防火墙，将对外提供服务的服务器部署在防火墙的DMZ区，通过制定访问控制策略，来对对外的业务服务器进行专门的保护，可以对来自互联网的用户访问请求进行访问控制。同时，可以通过防火墙上集成的入侵检测功能，对来自互联网的入侵行为，进行检测并阻断。由于互联网服务器区安全边界面临的安全风险较多，需要通过严格执行安全策略发挥防火墙最佳功效： 1）集中放置面向Internet服务的主机，在一个集中、受控的环境下监控网络流量 2）关闭不必要的服务 3）严格限制进、出网络的ICMP流量和UDP流量 4）允许网络管理流量进局域网系统 5）严格制定防火墙策略，限制所有无关访问由于面对的是外部复杂的网络环境，因此这些边界防火墙需要具备更多的深度过滤功能：能够阻止常见的蠕虫扩散，能够对P2P带宽进行流量管理等。同时能够精细的进行设备管理，减轻管理员管理负担。 4.1.1.1.2 IPS入侵防护系统在互联网边界部署了防火墙，对每个安全域进行严格的访问控制。但是，防火墙通常不具备内容检测的能力，不具备检测新型的混合攻击和防护的能力。而此边界是最容易成为入侵目标的部分。为了确保局域网内部各服务器区的安全访问，必须建立一整套的安全防护体系，进行多层次、多手段的检测和防护。入侵防护系统（IPS）就是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。 IPS是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。IPS就是自动执行这种监视和分析过程，并且执行阻断的硬件产品。将IPS串接在防火墙后面，在防火墙进行访问控制，保证了访问的合法性之后，IPS动态的进行入侵行为的保护，对访问状态进行检测、对通信协议和应用协议进行检测、对内容进行深度的检测。阻断来自内部的数据攻击以及垃圾数据流的泛滥。由于IPS对访问进行深度的检测，因此，IPS产品需要通过先进的硬件架构、软件架构和处理引擎对处理能力进行充分保证。 4.1.1.1.3 VPN虚拟专网目前新农合和健康档案等应用是采用VPN虚拟专网技术，各医院用户分别通过专线或互联网的方式同外联单位互联对相关业务数据进行访问。同时VPN访问可以做为专线访问方式的冗余链路。在VPN接入安全域（医院局域网端）部署了VPN网关，负责与外部单位进行VPN互联。在医院局域网的互联边界或专网边界，部署了防火墙进行访问控制，同时，可以旁路部署VPN网关，保证合法的用户可以通过防火墙，与VPN网关建立VPN隧道，与厅局、及其他外联单位进行互联，保护所承载的外网网络内部的敏感数据。VPN在技术上采用标准的IPSEC协议，采用隧道技术以及加密、身份认证等方法，在公众网络上构建专用网络的技术，数据通过安全的“加密管道”在公众网络中传播。数据中心内部业务访问中涉及的敏感信息可以在受保护的隧道内加密传输。 IPSec提供的安全服务包括：保密性——IPSec在传输数据包之前将其加密．以保证数据的保密性。完整性——IPSec在目的地要验证数据包，以保证该数据包任传输过程中没有被修改或替换。真实性——IPSec端要验证所有受IPSec保护的数据包。防重放——IPSec防止了数据包被捕捉并重新投放到网上，即目的地会拒绝老的或重复的数据包，它通过报文的序列号实现。 4.1.1.2 内部边界 4.1.1.2.1 安全隔离网闸根据医院业务网的业务需求，某些应用需要外联单位进行访问。对这些访问行为，需要对数据交换、传输协议、传输内容、安全决策等进行严格的检查，以防止有外联单位用户引入风险。业务网划分了专门的外联服务器区安全域，将对外提供服务的Web服务器等部署在此区域，负责接收和相应来自外联用户的业务访问请求。防火墙进行严格的访问控制的设定，确保访问身份的合法性。但是，防火墙无法高度保证传输内容、协议、数据的安全性。同时，需要对外联应用服务器对局域网内网数据库的访问进行严格的管理控制。可以通过在外联业务服务器区与内网的安全边界上部署安全隔离网闸，对外联业务服务器区进行隔离。用户可以通过外联网访问到外联业务服务器区中的指定业务服务器中，外联网服务器区的业务服务器负责接收用户的业务访问请求，并通过安全隔离网闸访问内网单个部门服务器安全域的相应数据库完成业务处理，并将业务处理结果，按照用户部门的不同，存储在单个部门服务器安全域中、访问用户所在的部门的数据库中，完成用户通过外联网对相关业务服务器的访问。同时内网用户通过网闸可以在外联业务服务器区的相应服务器上提交数据供本医院同外联单位进行数据的交换和同步。通过这种方式，可以为访问提供更高的安全性保障。安全隔离网闸两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原，还原后的应用层信息根据用户的策略进行强制检查后，以格式化数据块的方式通过隔离交换矩阵进行单向交换，在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信，即实现“协议落地、内容检测”。这样，既从物理上隔离、阻断了具有潜在攻击可能的一切连接，又进行了强制内容检测，从而实现最高级别的安全。 4.1.1.2.2 AV防病毒网关现今，病毒的发展呈现出以下趋势病毒与黑客程序相结合、蠕虫病毒更加泛滥、病毒破坏性更大、制作病毒的方法更简单、病毒传播速度更快，传播渠道更多、病毒感染对象越来越广。一旦办公终端区的主机感染病毒，病毒可能主动的对整个内部网络中所有主机进行探测，一旦发现漏洞主机，将自动传播。整个探测过程会极大的消耗网络的带宽资源，并且可能造成病毒由办公终端安全域传播到其他重要的业务服务安全域和管理安全域中，引发攻击和破坏行为。斩断传播途径是防止传染病爆发最为有效的手段之一，而这种防治手段不仅在传染病防治方面十分有效，在防止计算机病毒扩散方面起到了同样的效果。因此，在核心数据服务器区边界部署防病毒网关，在访问量最多并且最重要边界处进行集中防护，可以有效防止病毒从其他区域传播到核心数据服务器区全。部署的防病毒网关应特别注意设备性能，产品必须具备良好的体系架构保证性能，能够灵活的进行网络部署。同时为使得达到最佳防毒效果，AV防病毒网关设备和桌面防病毒软件应为不同的厂家产品。 4.1.2 计算环境安全设计 4.1.2.1 终端安全管理在进行业务访问和数据处理的过程中，内部泄密和内部攻击已经成为威胁网络安全应用的最大隐患。在内部办公终端主机上统一部署内网安全管理系统，通过对终端和访问行为进行限制和保护，达到安全业务访问的目的。同时，需要在内网安全管理服务器区中部署内网安全管理系统的管理主机服务器、控制台、数据库，对内网终端主机和必要的其他终端主机进行统一的管理。通过部署内网安全管理系统，可实现终端安全加固、网络接入控制、非法外联控制、资产管理、I/O接口管理、终端配置维护、终端审计监控等功能终端安全加固实现补丁管理，对内网终端计算机补丁状态进行定期检测并自动安装与更新。实现防病毒软件监测，判断终端计算机是否安装了防病毒软件、防病毒软件运行是否正常以及病毒库是否保持最新等情况，并对于未进行防病毒软件部署的主机进行内网接入限制实现主机防火墙功能，有效防范网络入侵和攻击行为网络接入控制对接入内网的终端计算机进行身份鉴别或者安全状态检查，阻止未授权或不安全的终端计算机接入内网和访问内网资源。非法外联控制通过控制外接设备的使用和终端计算机的拨号行为进行网络非法外联控制，充分保证内网计算机安全性资产管理实现终端计算机的硬件配置（包括CPU类型、主频、内存、硬盘、显示卡、网卡等等）的自动登记，使网管人员在控制台的机器上，可以观察到各个机器的配置信息能够自动将终端计算机的操作系统、安装的软件、运行的程序和服务、系统日志、共享资源、以及补丁、端口等信息统计汇总，并可进行分类管理 I/O接口管理管理员可集中制定策略，允许或阻断用户对受控终端的各种输出设备进行访问，包括USB可移动存储设备、打印机、DVD/CD-ROM、软盘、磁带机、PCMCIA设备、COM/LPT端口、1394设备、红外设备等；对本地打印机使用情况进行审计；对受控终端的可移动存储设备的使用情况进行审计；对拨号访问情况进行审计终端配置维护通过终端管理系统，IT管理人员可获得终端计算机各种相关信息，如主机名、IP地址、网络参数、帐户信息等 IT管理人员可以响应远程终端计算机的协助请求，临时接管远程终端计算机，进行本地化操作终端审计监控对终端计算机运行的进程进行监控，可限制用户运行某些程序。可对终端计算机的网站访问、网络聊天和BT下载等行为进行管理和审计 4.1.2.2 网络防病毒病毒是对医院局域网网络的重大危害，病毒在爆发时将使路由器、3层交换机、防火墙等网关设备性能急速下降，并且占用整个网络带宽。针对病毒的风险，我们建议通过终端与网关相结合的方式，以用户终端控制加网络防火墙进行综合控制。重点是将病毒消灭或封堵在终端这个源头上。在需要的安全边界上部署了防病毒网关，可以对病毒进行过滤、防止病毒扩散。同时，在所有终端主机和服务器上部署网络防病毒系统，加强终端主机的病毒防护能力，与防病毒网关组成纵深防御的病毒防御体系。在安全管理服务器区中，可以部署防病毒服务器，负责制定和终端主机防病毒策略，在内网建立全网统一的一级升级服务器，由管理中心升级服务器通过互联网或手工方式获得最新的病毒特征库，分发到数据中心节点的各个终端。在网络边界通过防火墙进行基于通信端口、带宽、连接数量的过滤控制，可以在一定程度上避免蠕虫病毒爆发时的大流量冲击。同时，防毒系统可以为安全管理平台提供关于病毒威胁和事件的监控、审计日志，为全网的病毒防护管理提供必要的信息。 4.1.2.3 主机审计主机审计系统是保证内网数据安全的安全产品，在终端部署主机审计系统，可以实现对主机的控制、监控、审计和系统管理。控制功能包括计算机硬件资源控制、软件资源控制、移动存储设备使用控制、IP与MAC地址绑定等。监控功能包括服务监控、进程监控、硬件操作监控、文件系统监控、打印机监控、非法外联监控、计算机用户账号监控等。审计功能包括文件操作审计、外挂设备操作审计、非法外联审计、IP地址更改审计、服务与进程审计等。系统管理功能包括系统用户管理、主机监控代理状态监控、安全策略管理、主机监控代理升级管理、计算机注册管理、实时报警、历史信息查询、统计与报表等。另外，系统还包括其它一些辅助功能，例如资产管理、补丁分发、操作系统日志收集。 4.1.2.4 数据库审计针对内网的关键服务器，将通过部署数据库审计系统，对用户行为、用户事件及系统状态加以审计，从而把握数据库系统的整体安全。在核心数据服务器区部署数据库审计系统，包括数据库审计插件以及数据库审计控制台。审计控制台采用分级模式，可以实现向下一级或引擎下达管理策略，同时处理来自下一层监控中心的信息与事件。面对网络中的用户操作行为（如读、写记录等）、用户事件（如用户帐号的创建、删除等）和系统状态（如数据库的启动和关闭等）加以审计，审计信息作为安全事件分析和追踪的基础。通过抓取网络中的数据包，并对抓到的包进行分析、匹配、统计，通过数据库远程连接进行分析，从数据库访问操作入手，对抓到的数据包进行语法分析，从而审计对数据库中的哪些数据进行操作，可以对特定的数据操作制定规则，产生报警事件。 4.1.2.5 入侵检测系统在重要的安全域边界已经部署了防火墙。利用防火墙技术，经过仔细的配置，通常能够在内外网或安全域之间提供安全的网络保护，降低了网络安全风险，但是入侵者可寻找防火墙背后可能敞开的后门，或者入侵者也可能就在防火墙内。网络入侵检测系统位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录，或执行用户自定义的安全策略等。入侵检测系统可以部署在内网的网络的核心处，这里我们建议在核心交换机上部署入侵检测系统，监视并记录网络中的所有访问行为和操作，尤其是内部用户的访问行为和操作，有效防止非法操作和恶意攻击。同时，入侵检测系统还可以形象地重现操作的过程，可帮助安全管理员发现网络安全的隐患。需要说明的是，IDS是对防火墙的非常有必要的附加而不仅仅是简单的补充。入侵检测系统作为网络安全体系的第二道防线，对在防火墙系统阻断攻击失败时，可以最大限度地减少相应的损失。因此，IDS应具备更多的检测能力，能够和其他安全产品（边界防火墙、内网安全管理软件等）进行联动。 4.1.2.6 主机加固医院局域网内的业务服务器主机及其承载的关键业务系统医院重要的信息资产，主机的安全性很大程度上决定了整个业务系统的机密性、完整性、可用性及可确认性、可鉴别性和可靠性。主机的漏洞和弱点是资产拥有者和攻击者的必争之地，主机的漏洞和弱点代表着风险的可能性和风险的严重性，每年系统新的漏洞和弱点层出不穷，安全事件发生的数量成几何倍增长，而同时安全攻击工具及方法传播速度日益加快，使得主机的安全性遭受着前所未有的挑战。主机安全加固服务根据客户主机系统应用的具体情况，制定相应系统的测试方案、加固方案与回退方案，针对不同类型的目标系统，通过打补丁、修改安全配置、增加安全机制等方法，合理加强设备与应用的安全性。安全加固服务能够帮助数据中心减少误操作，减小由主机引发的安全隐患的可能性，使得整个信息系统最大可能的安全。 4.1.3 应用系统安全设计 4.1.3.1 安全评估工具根据对医院局域网的风险评估和需求分析，建议在网络内部署漏洞扫描产品。漏洞扫描系统在网络中并不是一个实时启动的系统，只需要定期挂接到网络中，对当前网段上的重点服务器以及主要的桌面机和网络设备进行一次扫描，即可得到当前系统中存在的各种安全漏洞，针对性地对系统采取补救措施，即可在相当一段时间内保证系统的安全。漏洞扫描系统通过扫描核心模块对内网中的所有的操作系统、网络设备（路由器、交换机）、安全设备、防病毒软件中存在的脆弱性。同时，结合设备本身自带的漏洞知识库进行同步数据检测，检测完之后会将相应的扫描、检测结果反馈到扫描结果库中对所有数据进行汇总，对扫描结果可以以报告形式呈现。安全扫描能够分析系统当前的设置和防御，指出网内潜在的安全漏洞，以改进系统对入侵的防御能力。安全扫描技术是用来评估计算机网络系统的安全性能，是网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向管理员提供安全性分析报告，为提高网络安全整体水平产生重要依据。安全扫描技术与防火墙、入侵检测系统互相配合，能够提供很高安全性的网络。安全扫描工具源于“黑客”在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。在网络安全体系的建设中，安全扫描工具的运行相对独立，能较全面检测流行漏洞，检测最严重的安全问题，安装运行简单，可以大规模减少安全管理员的手工劳动，降低安全审计人员的劳动强度，有利于保持全网安全政策的统一和稳定。通过部署漏洞扫描产品，可以达到如下目标： l 能够对网内所有的设备和主机的安全状况进行评估，给出当前网络的存在的安全漏洞。 l 对网内安全状况进行综合分析，找出网络的薄弱点，为决策提供参考，做到安全建设有的放矢。 l 对发现的安全问题给出详细描述和解决办法。帮助管理员及时地处理发现的问题。 l 通过升级最新的扫描插件，可以发现最新的安全漏洞，帮助预防以蠕虫为代表的攻击破坏行为。 l 制定周期评估计划，获得网络安全状况的变化趋势。整个过程自动进行。 l 减轻管理人员的工作负担，大大提高工作效率。 4.1.3.2 Web页面防护医院内部的Web服务器对外提供Web服务，Web应用的普及使得Web服务器很容易成为黑客的攻击目标。需要专业的主页防篡改工具有效阻止主页篡改事件的发生，维护Web页面的安全。在web服务器配置一套WEB应用安全防护系统，全面监测WEB服务器的页面是否正常。对于突破网站防火墙的篡改行为，进行实时监控，确保网站信息安全。一旦发现网站信息被篡改之后，立刻通知监控中心并迅速恢复正常的网页文件。7´24不间断地保护网站，任何恶意篡改痕迹将被实时保留，并主动和及时通知管理人员，做到防范于未然。通过网络扫描网站的网页，监测网页是否被修改，当发现网页被修改后，系统能够自动报警和恢复。 4.1.3.3 应用安全监控目前医院有多个业务系统，由于业务系统的复杂性，一个应用往往涉及到多台服务器的多个线程，因此出现问题的概率也相对较大，问题反馈的时间也无法保障，另外现在基于Web的三层B/S越来越复杂，一旦出现问题变得异常麻烦，可能需要动用网络管理员、应用管理员、数据库管理员等多个岗位的人员进行核查、排错。在系统监控管理方面，用户最关心的是业务系统的监控管理，目前通用的系统管理软件无法对用户多样的关键业务系统进行有效监控、管理和展现。通过部署应用安全管理系统，可以在一个平台上实现对多个关键业务系统全面、高效、统一管理。应用安全管理系统并联在核心交换机上，对业务状态进行管理和监控。同时，在数据中心的安全管理安全域中，部署控制台，进行集中的监控和管理。通过部署应用安全管理系统，可以实现下述功能：统一管理：它提供了一个通用的图形界面和网络管理基础架构，用于跨设备执行管理功能、集成应用，并实现网元管理统一化。全网络可视性：借助发现、物理和逻辑拓扑图、集中事件管理、图表和统计消息等功能，能够全面显示和深入报告网络的行为。网元管理：它通过数据中心本地网元管理器对每个设备提供直接的访问，并允许从安全管理区中配置所有的网络设备。另外，还支持跨多种设备类型进行基于策略的管理。 4.2 安全体系管理层面设计安全体系管理层面设计主要是依据《信息系统安全等级保护基本要求》中的管理要求而设计。管理要求安全管理制度各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是具有可操作性，且必须得到有效推行和实施的制度。制定严格的知足与发布流程，方式，范围等；定期或不定期对安全管理制度进行检查和审定，修订不足及改进。安全管理机构包括的安全管理机构组织形式和运作方式：设置安全管理岗位、配备专职安全员、建立授权与审批制度、建立内外部沟通合作渠道、定期进行全面安全检查。人员安全管理制定人员录用，离岗、考核、培训几个方面的规定，并严格执行；规定外部人员访问流程，并严格执行。系统建设管理从工程实施的前、中、后三个方面，从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。系统运维管理信息系统日常运行维护管理，利用管理制度以及安全管理中心进行，包括：资产管理、设备管理、密码管理、应急管理等，使系统始终处于相应等级安全状态中。具体参见4.4.5章节“安全管理设计”。 5 整体安全设计配置方案 5.1 整体部署结构根据对各个安全系统的详细设计，已经可以比较清晰的勾画出医院业务网安全建设的整体全景，如下图所示：信息安全建设是一个循序渐进的过程，不可能一蹴而就。所以，我们将本着首先定位关键资源、关键区域，先对关键资源、关键区域进行保护, 然后按照发散性的思路进行纵深层面的安全分析和扩展保护。由于边界安全防护是安全建设的基础性工作，因此本期建设重点内容即根据划分好的安全域进行边界类防护，同时进行最常见的访问控制、上网行为管理以及与桌面安全相关的安全措施。当前总体建设可以分为以下：总体步骤描述部署产品部署位置作用区域/部署作用局域网主要边界防护，包括内、外部各主要边界；局域网计算环境安全建设的终端安全管理的建设；周期性安全运维。防火墙互联网边界控制进出互联网的所有数据流量，对上网行为进行控制，阻止各类非法应用。安全隔离网闸外联业务服务器区同局域网其他安全域边界之间汇聚外联业务服务器，进行统一威胁管理，利用网闸双主机系统和安全摆渡机制，将外联业务服务器区同内部网络进行逻辑隔离，彻底切断不同安全级别网络间的任何连接；同时利用自有协议将合法的数据访问和数据交换在网闸内进行安全摆渡，同时实现了高安全的隔离和实时的数据交换。内网安全管理系统省数据中心互联网边界作用于局域网内所有安全域终端；统一进行内网终端的安全管理，通过对终端和访问行为进行限制和保护，实现终端安全加固、网络接入控制、非法外联控制、资产管理、I/O接口管理、终端配置维护、终端审计监控等。数据中心计算环境安全建设，包括安全审计，数据库审计；边界入侵防护及网络防病毒系统的建设；漏洞扫描、周期性安全运维的建设。安全管理制度的逐步制定。 VPN网关局域网同专网边界作用于需通过VPN接入专网或互联网的应用服务器及终端；为各接入终端及服务器提供VPN接入服务。网络入侵检测系统核心交换机，通过端口进行对内部数据访问进行监听作用于各内部安全域；实时监测目标网络流量，及时发现入侵行为并进行报警和审计。数据库审计核心数据库服务器区作用于核心数据库服务器区；对数据库用户行为、用户事件及系统状态加以审计，从而把握数据库系统的整体安全。 IPS入侵防护系统互联网边界作用于互联网边界；实时监控并阻断针对内网服务器安全域中各业务服务器及主机的入侵行为，与该区域边界防火墙共同作用。 AV防病毒网关核心数据库服务器区边界作用于核心数据库服务器区；边界集中进行病毒过滤，防止病毒侵入或向外扩散，与网络、终端防病毒组成多层次深度防御。漏洞扫描核心交换机，网络可达各服务器即可作用于省数据中心所有主机、网络设备及服务器；提供工具对外网平台各类主机、服务器、网络设备等进行安全漏洞扫描，及时发现问题，提供解决方案。有线网络基础架设核心交换机局域网网络核心核心层的主要提供不同网络模块之间优化传输服务，将分组尽可能快地从一个网络传到另一个网络，作为所有网络流量的传输中枢，核心层除了要求高性能交换设备和高带宽传输链路外，还需考虑选用支持负载均衡或负载分担特性的设备实现负荷均衡。同时保证双机热备汇聚交换机楼层网络汇聚提供对网络流量模式控制、服务访问控制、QoS、定义路由路径度量（path metr

展开阅读全文