【文章內容簡介】 政務外網平臺上中存在的 Web 服務器很容易成為黑客的攻擊目標。被篡改的網頁將給業(yè)務系統(tǒng)帶來很大的安全隱患，造成信息丟失、泄露等安全事件。需要專業(yè)的主頁防篡改工具有效阻止主頁篡改事件的發(fā)生，維護 Web 頁面的安全。4. 應用安全管理從用戶角度看，其業(yè)務系統(tǒng)的正常運轉是最關心的核心問題，而業(yè)務系統(tǒng)能否實施良好的監(jiān)控管理則是關鍵因素之一。因此需要技術手段對應用系統(tǒng)的狀況進行全面監(jiān)控，能夠全盤呈現(xiàn)業(yè)務環(huán)境，實施主動監(jiān)控，進行運行趨勢分析，及時發(fā)現(xiàn)存在的問題。 管理系統(tǒng)安全需求完整的安全技術體系的搭建需要眾多的安全設備和安全系統(tǒng)，型號和品牌不一、物理部署位置分散、技術人員能力水平差異大。有限的管理人員難以對安全設備進行集中管理、及時快捷的部署安全策略，全面掌握設備運行和網絡運行的風險狀況。如何用好安全設備和安全系統(tǒng)支撐業(yè)務安全穩(wěn)定運行成了一個棘手的問題。所以，需要建立安全管理中心，進行運行監(jiān)控和安全風險管理。 安全管理層面需求分析“三分技術、七分管理”更加突出的是管理層面在安全體系中的重要性。除了技術管理措施外，安全管理是保障安全技術手段發(fā)揮具體作用的最有效手段，建立健全安全管理體系不但是國家等級保護中的要求，也是作為一個安全體系來講，不可或缺的重要組成部分。安全管理體系依賴于國家相關標準、行業(yè)規(guī)范、國際安全標準等規(guī)范和標準來指導，形成可操作的體系。11 / 29 安全服務層面需求分析安全技術手段是從系統(tǒng)與網絡層面解決問題的方式之一，可以發(fā)揮具體的安全防護作用，但是如果把這些安全技術手段有效的利用起來，成為安全體系建設的重中之重。安全體系中除了技術體系、管理體系之外，還需要專業(yè)的技術人員配合技術與管理手段達到更高的具體防護效果。專業(yè)的技術人員是安全體系中更關鍵更重要的因素，除了利用好安全技術產品外，還需要利用其專業(yè)的技術經驗與行業(yè)經驗，通過專業(yè)的安全服務來具體解決問題。4 安全方案設計方案通過對網絡邊界安全、計算環(huán)境安全、應用系統(tǒng)安全以及安全的管理制度的分析，采用相應的安全產品和服務來建立安全體系可以確保醫(yī)院局域網的整體安全。信息安全體系的建立是一個持續(xù)的過程，在方案設計中針對常見的風險和安全需求提出了詳細的解決辦法，但并不需要一次建設完成，可根據目前的實際情況分期建設，在后邊的整體安全設計配置方案中也僅僅部署了目前最迫切需要的安全產品和服務。 安全體系技術層面設計 網絡邊界安全設計 外部邊界 防火墻防火墻技術是目前網絡邊界保護最有效也是最常見的技術。采用防火墻技術，對醫(yī)院局域網重要節(jié)點和網段進行邊界保護，可以對所有流經防火墻的數(shù)據包按照嚴格的安全規(guī)則進行過濾，將所有不安全的或不符合安全規(guī)則的數(shù)據包屏蔽，杜絕越權訪問，防止各類非法攻擊行為。12 / 29對于外部安全邊界來說，需要互聯(lián)網邊界上部署防火墻。在互聯(lián)網服務器區(qū)安全域的安全邊界部署防火墻，將對外提供服務的服務器部署在防火墻的 DMZ 區(qū)，通過制定訪問控制策略，來對對外的業(yè)務服務器進行專門的保護，可以對來自互聯(lián)網的用戶訪問請求進行訪問控制。同時，可以通過防火墻上集成的入侵檢測功能，對來自互聯(lián)網的入侵行為，進行檢測并阻斷。由于互聯(lián)網服務器區(qū)安全邊界面臨的安全風險較多，需要通過嚴格執(zhí)行安全策略發(fā)揮防火墻最佳功效：1） 集中放置面向 Inter 服務的主機，在一個集中、受控的環(huán)境下監(jiān)控網絡流量2） 關閉不必要的服務3） 嚴格限制進、出網絡的 ICMP 流量和 UDP 流量4） 允許網絡管理流量進局域網系統(tǒng)5） 嚴格制定防火墻策略，限制所有無關訪問由于面對的是外部復雜的網絡環(huán)境，因此這些邊界防火墻需要具備更多的深度過濾功能：能夠阻止常見的蠕蟲擴散，能夠對 P2P 帶寬進行流量管理等。同時能夠精細的進行設備管理，減輕管理員管理負擔。 IPS 入侵防護系統(tǒng)在互聯(lián)網邊界部署了防火墻，對每個安全域進行嚴格的訪問控制。但是，防火墻通常不具備內容檢測的能力，不具備檢測新型的混合攻擊和防護的能力。而此邊界是最容易成為入侵目標的部分。為了確保局域網內部各服務器區(qū)的安全訪問，必須建立一整套的安全防護體系，進行多層次、多手段的檢測和防護。入侵防護系統(tǒng)（IPS ）就是安全防護體系中重要的一環(huán)，它能夠及時識別網絡中發(fā)生的入侵行為并實時報警并且進行有效攔截防護。IPS 是繼“防火墻 ”、 “信息加密 ”等傳統(tǒng)安全保護方法之后的新一代安全保障技術。它監(jiān)視計算機系統(tǒng)或網絡中發(fā)生的事件，并對它們進行分析，以尋找危及信息的機密性、完整性、可用性或試圖繞過安全機制的入侵行為并進行13 / 29有效攔截。IPS 就是自動執(zhí)行這種監(jiān)視和分析過程，并且執(zhí)行阻斷的硬件產品。將 IPS 串接在防火墻后面，在防火墻進行訪問控制，保證了訪問的合法性之后，IPS 動態(tài)的進行入侵行為的保護，對訪問狀態(tài)進行檢測、對通信協(xié)議和應用協(xié)議進行檢測、對內容進行深度的檢測。阻斷來自內部的數(shù)據攻擊以及垃圾數(shù)據流的泛濫。由于 IPS 對訪問進行深度的檢測，因此， IPS 產品需要通過先進的硬件架構、軟件架構和處理引擎對處理能力進行充分保證。 VPN 虛擬專網目前新農合和健康檔案等應用是采用 VPN 虛擬專網技術，各醫(yī)院用戶分別通過專線或互聯(lián)網的方式同外聯(lián)單位互聯(lián)對相關業(yè)務數(shù)據進行訪問。同時 VPN訪問可以做為專線訪問方式的冗余鏈路。在 VPN 接入安全域（醫(yī)院局域網端）部署了 VPN 網關，負責與外部單位進行 VPN 互聯(lián)。在醫(yī)院局域網的互聯(lián)邊界或專網邊界，部署了防火墻進行訪問控制，同時，可以旁路部署 VPN 網關，保證合法的用戶可以通過防火墻，與 VPN 網關建立VPN 隧道，與廳局、及其他外聯(lián)單位進行互聯(lián)，保護所承載的外網網絡內部的敏感數(shù)據。VPN 在技術上采用標準的 IPSEC 協(xié)議，采用隧道技術以及加密、身份認證等方法，在公眾網絡上構建專用網絡的技術，數(shù)據通過安全的“加密管道”在公眾網絡中傳播。數(shù)據中心內部業(yè)務訪問中涉及的敏感信息可以在受保護的隧道內加密傳輸。IPSec 提供的安全服務包括：保密性——IPSec 在傳輸數(shù)據包之前將其加密．以保證數(shù)據的保密性。完整性——IPSec 在目的地要驗證數(shù)據包，以保證該數(shù)據包任傳輸過程中沒有被修改或替換。真實性——IPSec 端要驗證所有受 IPSec 保護的數(shù)據包。防重放——IPSec 防止了數(shù)據包被捕捉并重新投放到網上，即目的地會拒絕14 / 29老的或重復的數(shù)據包，它通過報文的序列號實現(xiàn)。 內部邊界 安全隔離網閘根據醫(yī)院業(yè)務網的業(yè)務需求，某些應用需要外聯(lián)單位進行訪問。對這些訪問行為，需要對數(shù)據交換、傳輸協(xié)議、傳輸內容、安全決策等進行嚴格的檢查，以防止有外聯(lián)單位用戶引入風險。業(yè)務網劃分了專門的外聯(lián)服務器區(qū)安全域，將對外提供服務的 Web 服務器等部署在此區(qū)域，負責接收和相應來自外聯(lián)用戶的業(yè)務訪問請求。防火墻進行嚴格的訪問控制的設定，確保訪問身份的合法性。但是，防火墻無法高度保證傳輸內容、協(xié)議、數(shù)據的安全性。同時，需要對外聯(lián)應用服務器對局域網內網數(shù)據庫的訪問進行嚴格的管理控制?？梢酝ㄟ^在外聯(lián)業(yè)務服務器區(qū)與內網的安全邊界上部署安全隔離網閘，對外聯(lián)業(yè)務服務器區(qū)進行隔離。用戶可以通過外聯(lián)網訪問到外聯(lián)業(yè)務服務器區(qū)中的指定業(yè)務服務器中，外聯(lián)網服務器區(qū)的業(yè)務服務器負責接收用戶的業(yè)務訪問請求，并通過安全隔離網閘訪問內網單個部門服務器安全域的相應數(shù)據庫完成業(yè)務處理，并將業(yè)務處理結果，按照用戶部門的不同，存儲在單個部門服務器安全域中、訪問用戶所在的部門的數(shù)據庫中，完成用戶通過外聯(lián)網對相關業(yè)務服務器的訪問。同時內網用戶通過網閘可以在外聯(lián)業(yè)務服務器區(qū)的相應服務器上提交數(shù)據供本醫(yī)院同外聯(lián)單位進行數(shù)據的交換和同步。通過這種方式，可以為訪問提供更高的安全性保障。安全隔離網閘兩側網絡之間所有的 TCP/IP 連接在其主機系統(tǒng)上都要進行完全的應用協(xié)議還原，還原后的應用層信息根據用戶的策略進行強制檢查后，以格式化數(shù)據塊的方式通過隔離交換矩陣進行單向交換，在另外一端的主機系統(tǒng)上通過自身建立的安全會話進行最終的數(shù)據通信，即實現(xiàn)“協(xié)議落地、內容檢測” 。這樣，既從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，又進行了強制內容檢測，從而實現(xiàn)最高級別的安全。15 / 29 AV 防病毒網關現(xiàn)今，病毒的發(fā)展呈現(xiàn)出以下趨勢病毒與黑客程序相結合、蠕蟲病毒更加泛濫、病毒破壞性更大、制作病毒的方法更簡單、病毒傳播速度更快，傳播渠道更多、病毒感染對象越來越廣。一旦辦公終端區(qū)的主機感染病毒，病毒可能主動的對整個內部網絡中所有主機進行探測，一旦發(fā)現(xiàn)漏洞主機，將自動傳播。整個探測過程會極大的消耗網絡的帶寬資源，并且可能造成病毒由辦公終端安全域傳播到其他重要的業(yè)務服務安全域和管理安全域中，引發(fā)攻擊和破壞行為。斬斷傳播途徑是防止傳染病爆發(fā)最為有效的手段之一，而這種防治手段不僅在傳染病防治方面十分有效，在防止計算機病毒擴散方面起到了同樣的效果。因此，在核心數(shù)據服務器區(qū)邊界部署防病毒網關，在訪問