【文章內(nèi)容簡介】 方案 設(shè)備的物理防護1） 、 機房及設(shè)備間必須具有出入控制系統(tǒng)（目前已完成） ；2） 、 設(shè)備間架設(shè)電視監(jiān)控機位；3） 、 設(shè)備柜必須鎖閉（鑰匙不能通用、由專人保管） ，涉密主機機箱加鎖；4） 、 涉密系統(tǒng)服務(wù)器、域管理服務(wù)器、通用服務(wù)器（DNS、防病毒、門戶網(wǎng)站）必須分機柜安置；5） 、 所有設(shè)備（交換機、服務(wù)器）必須設(shè)置復(fù)雜的用戶名及口令；6） 、 關(guān)鍵設(shè)備（核心交換機、核心應(yīng)用服務(wù)器等）考慮冗余備份。 網(wǎng)絡(luò)層訪問控制1） 、訪問控制策略 西安交大捷普網(wǎng)絡(luò)科技有限公司 9 根據(jù)網(wǎng)絡(luò)安全域的劃分，確定安全域之間的訪問控制策略。各區(qū)域之間的訪問關(guān)系示意圖如下圖所示：?限制：只有指定的 IP（用戶）可以有限訪問指定的 IP（資源） 。2） 、網(wǎng)絡(luò)邊界防御 在外網(wǎng)與互聯(lián)網(wǎng)網(wǎng)之間設(shè)置防火墻，是實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制，保護內(nèi)網(wǎng)安全的最主要、同時也是最有效、最經(jīng)濟的措施之一。防火墻具有以下五大基本功能：過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)；管理（允許、拒絕）進、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊的檢測和告警。3） 、內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制 根據(jù)業(yè)務(wù)和角色類別劃分了子網(wǎng)（VLAN） ，在三層交換機上針對各個 VLAN 的安全級別設(shè)置訪問控制列表，對 VLAN 間的通信進行訪問控制。 網(wǎng)絡(luò)安全檢測 防火墻雖然能抵御網(wǎng)絡(luò)外部安全威脅，但對網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊，顯得無能為力。如果需要動態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動并做出及時的響應(yīng)，就要依靠基于網(wǎng)絡(luò)的實時的入侵監(jiān)測技術(shù)，監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)流，從中檢測出攻擊的行為并給與響應(yīng)和處理。實時入侵監(jiān)測技術(shù)還能檢測到繞過防火墻的攻擊。入侵檢測系統(tǒng)是實時的網(wǎng)絡(luò)違規(guī)自動識別和響應(yīng)系統(tǒng)。它運行于敏感數(shù)據(jù)需要保護的網(wǎng)絡(luò)上，通過實時監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流，識別，記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試時，網(wǎng)絡(luò)信息安全檢測系統(tǒng)預(yù)警系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應(yīng)。該系統(tǒng)可安裝于防火墻前后，可以對攻擊防火墻本身的數(shù)據(jù)流進行響應(yīng)，同時可以對穿透防火墻進行攻擊的數(shù)據(jù)流進行響應(yīng)。在被保護的局域網(wǎng)中，入侵檢測設(shè)備應(yīng)安裝于易受到攻擊的服務(wù)器或防火墻附近。這些保護措施主要是為了監(jiān)控經(jīng)過出口及對重點服務(wù)器進行訪問的數(shù)據(jù)流。入侵檢測報警日志的功能是通過對所有對網(wǎng)絡(luò)系統(tǒng)有可能造成危害的數(shù)據(jù)流進行報警及響應(yīng)。由于網(wǎng)絡(luò)攻擊大 西安交大捷普網(wǎng)絡(luò)科技有限公司 10 多來自于網(wǎng)絡(luò)的出口位置，入侵檢測在此處將承擔實時監(jiān)測大量出入整個網(wǎng)絡(luò)的具有破壞性的數(shù)據(jù)流。這些數(shù)據(jù)流引起的報警日志，是作為受到網(wǎng)絡(luò)攻擊的主要證據(jù)。 應(yīng)用層安全解決方案應(yīng)用層主要是處理各種業(yè)務(wù)應(yīng)用，在這個層面我們需要解決的是主機操作行為的控制、身份認證以及防病毒等問題。 基于個人主機的安全建議個人主機操作系統(tǒng)淘汰 Windows9X/ME 系統(tǒng)，更換為較為安全的 Windows 2022+sp4/XP+sp2 以上版本，并對使用者分配 Power user 權(quán)限，超級用戶權(quán)限由相關(guān)管理部門統(tǒng)一管理并嚴格控制使用。設(shè)置系統(tǒng)安全策略，如：設(shè)置開機密碼（BIOS 密碼） 、提高密碼的復(fù)雜度（10 位以上，3 種以上字符組合） 、啟用賬戶鎖定策略（口令限試 3 次、逾期不修改口令等） 、限制用戶登錄（只允許域登陸，禁止本地登陸） 、限制外部連接、限制特權(quán)組成員、啟用系統(tǒng)審核機制、啟用日志監(jiān)視等。 防病毒安全技術(shù)建議由于在網(wǎng)絡(luò)環(huán)境下，計算機病毒有不可估量的威脅性和破壞力，所以計算機病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。 管理層安全解決方案必須制訂系列的安全管理制度和普及安全教育，同時，必須通過專門機構(gòu)進行監(jiān)督。具體如下：? 用戶守則制訂，如應(yīng)包括：? 未經(jīng)許可的請求一律禁止；? 嚴禁保留、安裝、使用具有攻擊、破解、偵聽等非法功能的程序；? 如果涉密主機出現(xiàn)問題，應(yīng)及時向相關(guān)部門反映，禁止私自處理；? 只有網(wǎng)絡(luò)管理員在經(jīng)過相關(guān)部門的許可后，并在相關(guān)部門的監(jiān)督下才可以進行設(shè)備的物理訪問（修改配置、更換故障部件等行為） ；? 只有網(wǎng)絡(luò)管理人員在經(jīng)過相關(guān)部門的許可，并在相關(guān)部門的監(jiān)督下才可進行軟件安裝工作；? 所有的設(shè)備操作及軟件安裝必須保留完整的日志，并交相關(guān)部門備案；? 重要系統(tǒng)應(yīng)使用難猜測的口令并經(jīng)常改換口令。? 保護好自己的密鑰、移動存儲器，防止被他人竊取。? 嚴禁攜帶具有攝像功能的手機進入涉密區(qū)域。? 制訂的機房管理制度： 西安交大捷普網(wǎng)絡(luò)科技有限公司 11 ? 管理員對設(shè)備操作必須有完整的操作紀錄；? 其他人員原則上不允許進入機房，但在特殊原因需要進入時必須登記（誰、所屬部門、原由、進出時間等） ，并需管理人員陪同；? 分層次的安全培訓，對各級人員有針對地進行培訓。建立安全信息分發(fā)系統(tǒng)，對安全管理的階段性結(jié)果，以可讀性好的報告形式分發(fā)給各個結(jié)點的安全部門。應(yīng)對具體的分發(fā)方式、分發(fā)渠道、保密措施做出規(guī)定。網(wǎng)絡(luò)安全方案必須架構(gòu)在科學的安全體系和安全框架之上。安全框架是安全方案設(shè)計和分析的基礎(chǔ)。第 4 章 安全系統(tǒng)部署根據(jù)上述的解決方法，在逐步完善的前提下，我們對 xxx 醫(yī)院內(nèi)部網(wǎng)絡(luò)安全提出了以下的建議：將各應(yīng)用和數(shù)據(jù)服務(wù)器整合在一起，通過防火墻與其它客戶機隔離開。將入侵檢測系統(tǒng)旁路到核心交換機上，將連接防火墻的端口鏡像到入侵檢測系統(tǒng)的監(jiān)控口上。將入侵檢測系統(tǒng)與防火墻聯(lián)動來阻斷來自外部的非法連接，提供詳盡日志紀錄，從而有效的防止內(nèi)部網(wǎng)絡(luò)敏感信息的泄漏以及非法信息的傳播，保證了醫(yī)院核心數(shù)據(jù)的安全性。具體如下圖所示：Si核 心 交 換 機入 侵 檢 測 系統(tǒng) 管 理 機入 侵 檢 測 系 統(tǒng)防 火 墻服 務(wù) 器服 務(wù) 器 交 換 機樓 層 交 換 機工 作 站工 作 站樓 層 交 換 機工 作 站工 作 站工 作 站工 作 站工 作 站工 作 站服 務(wù) 器網(wǎng) 絡(luò) 拓 撲示 意 圖 西安交大捷普網(wǎng)絡(luò)科技有限公司 12 第 5 章 設(shè)備選型建議 捷普防火墻此次方案設(shè)計我們選用我公司研制的 Jump F 系列防火墻。Jump F 系列防火墻是建立在自主版權(quán)的安全操作系統(tǒng)之上的一種功能強大、操作方便、易于安裝和配置，基于狀態(tài)檢測技術(shù)的防火墻設(shè)備。它采用先進的動態(tài)檢測技術(shù)，集安全訪問控制、代理服務(wù)、安全審計、用戶認證、地址翻譯多項功能于一體，能滿足各個行業(yè)對網(wǎng)絡(luò)安全需求。西安交大捷普網(wǎng)絡(luò)科技有限公司開發(fā)的防火墻系列產(chǎn)品，榮獲國家保密局的科學技術(shù)成果鑒定證書；通過了國家公安部的安全檢測獲得了計算機信息系統(tǒng)安全專用產(chǎn)品《銷售許可證》 ，并在政府、電信、電力、金融、軍隊等眾多行業(yè)中得到了廣泛應(yīng)用。 性能參數(shù)表型 號性 能 F3000140L并發(fā)連接數(shù) 100萬用戶數(shù)限制 無限制規(guī)則數(shù)限制 無限制VPN 隧道數(shù) 2022VLAN 數(shù)量 4093接口數(shù) 百兆電口 4MTBF（小時） ≥100,000機箱規(guī)格 1U部署作用 服務(wù)器防護網(wǎng)關(guān) 技術(shù)特點? 專用的安全操作系統(tǒng)由于專用的安全操作系統(tǒng)沒有后門、漏洞以及多余的服務(wù)，極大的提高了防火墻系統(tǒng)的自身安全性? 專用的硬件平臺采用專用硬件基礎(chǔ)平臺，采用高性能的 CPU 和大容量的內(nèi)存保證硬件的高性能。不同型號的產(chǎn)品具有不同接口數(shù)和外形。? 專用的軟件系統(tǒng)防火墻系統(tǒng)在其專用的硬件平臺和操作系統(tǒng)之上，搭建了專用的軟件系統(tǒng)。防火墻可以說是集專用硬件基礎(chǔ)平臺、專用操作系統(tǒng)、專用軟件于一體的高效硬件防火墻產(chǎn)品。? 采用先進狀態(tài)檢測技術(shù)采用基于連接狀態(tài)檢查的包過濾，即狀態(tài)檢測技術(shù)。它將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，通過規(guī)則表與連接狀態(tài)表的共同配合，大大地提高了系統(tǒng)的性能專 用操 作 系 統(tǒng)防火墻軟件系統(tǒng)專 用硬 件 平 臺 西安交大捷普網(wǎng)絡(luò)科技有限公司 13 數(shù)據(jù)包進入系統(tǒng)查 找路由信息狀 態(tài)信息檢測屬于I P 流？安 全規(guī)則匹配匹配成功？默 認處理函數(shù)基本 匹配信息匹配成 功處理函數(shù)擴展 匹配信息基本 匹配信息匹配成 功處理函數(shù)擴展 匹配信息基本 匹配信息匹配成 功處理函數(shù)擴展 匹配信息YNYYY規(guī) 則 結(jié) 構(gòu)規(guī) 則 集 合...專 用操 作 系 統(tǒng)和安全性。防火墻在進行包的檢測時不僅將其看成是獨立的單元，同時還要考慮與它的前面包的關(guān)聯(lián)性。換句話說，對于屬于同一個連接的數(shù)據(jù)包來說并不是完全孤立的，它們存在內(nèi)部的關(guān)聯(lián)信息。無連接的包過濾規(guī)則沒有考慮這些內(nèi)在的關(guān)聯(lián)信息，而是對每個數(shù)據(jù)包都進行孤立的規(guī)則檢測這樣就降低了傳輸效率和安全性。防火墻系統(tǒng)基于狀態(tài)的檢測技術(shù)可以深入到應(yīng)用層，增加了防火墻的安全控制能力，并具有極高的性能。 功能簡介? 內(nèi)核層處理通信流量一般防火墻主要在應(yīng)用程序?qū)犹幚頂?shù)據(jù)包，因此處理數(shù)據(jù)包的內(nèi)核程序與進行分類和判斷的應(yīng)用程序間會產(chǎn)生不必要的通信量，延長處理時間。因此若防火墻系統(tǒng)在內(nèi)核處理數(shù)據(jù)包，從數(shù)據(jù)包輸入、信息分類處理、到將安全信息傳輸?shù)侥繕说攸c，所有過程都在內(nèi)核中進行，保證了數(shù)據(jù)包的高速處理。? 高效的深層內(nèi)容過濾防火墻系統(tǒng)采用基于內(nèi)核的深層內(nèi)容過濾技術(shù)，它不采用基于用戶態(tài)的代理機制，而是將過濾技術(shù)以模塊的形式實現(xiàn),可以方便的插入到內(nèi)核之中，采用基于面向連接的狀態(tài)檢測控制技術(shù)，保證了內(nèi)容過濾的高性能；采用專用的查詢匹配算法支持，又保證了其高精確性。因為運行于內(nèi)核態(tài)，解決了傳統(tǒng)基于代理的內(nèi)容過濾技術(shù)效率低下，影響防火墻性能，且無法滿足多種協(xié)議等問題。具有處理效率高、匹配精度強、配置靈活方便、可擴展性好的特點。? 主動式黑名單+自主防御防火墻系統(tǒng)可通過預(yù)設(shè)值的方式，對于觸犯連接限制上限，訪問了非法的 Web資源，感染了病毒，或是發(fā)起了 IPS攻擊的主機，主動加入黑名單進行封鎖，幫助網(wǎng)絡(luò)管理員實現(xiàn)自動化的網(wǎng)絡(luò)防御管理。? 模塊化設(shè)計，擴展能力強