【文章內(nèi)容簡(jiǎn)介】 方案 設(shè)備的物理防護(hù)1） 、 機(jī)房及設(shè)備間必須具有出入控制系統(tǒng)（目前已完成） ；2） 、 設(shè)備間架設(shè)電視監(jiān)控機(jī)位；3） 、 設(shè)備柜必須鎖閉（鑰匙不能通用、由專人保管） ，涉密主機(jī)機(jī)箱加鎖；4） 、 涉密系統(tǒng)服務(wù)器、域管理服務(wù)器、通用服務(wù)器（DNS、防病毒、門戶網(wǎng)站）必須分機(jī)柜安置；5） 、 所有設(shè)備（交換機(jī)、服務(wù)器）必須設(shè)置復(fù)雜的用戶名及口令；6） 、 關(guān)鍵設(shè)備（核心交換機(jī)、核心應(yīng)用服務(wù)器等）考慮冗余備份。 網(wǎng)絡(luò)層訪問控制1） 、訪問控制策略 西安交大捷普網(wǎng)絡(luò)科技有限公司 9 根據(jù)網(wǎng)絡(luò)安全域的劃分，確定安全域之間的訪問控制策略。各區(qū)域之間的訪問關(guān)系示意圖如下圖所示：?限制：只有指定的 IP（用戶）可以有限訪問指定的 IP（資源） 。2） 、網(wǎng)絡(luò)邊界防御 在外網(wǎng)與互聯(lián)網(wǎng)網(wǎng)之間設(shè)置防火墻，是實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制，保護(hù)內(nèi)網(wǎng)安全的最主要、同時(shí)也是最有效、最經(jīng)濟(jì)的措施之一。防火墻具有以下五大基本功能：過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理（允許、拒絕）進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和告警。3） 、內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制 根據(jù)業(yè)務(wù)和角色類別劃分了子網(wǎng)（VLAN） ，在三層交換機(jī)上針對(duì)各個(gè) VLAN 的安全級(jí)別設(shè)置訪問控制列表，對(duì) VLAN 間的通信進(jìn)行訪問控制。 網(wǎng)絡(luò)安全檢測(cè) 防火墻雖然能抵御網(wǎng)絡(luò)外部安全威脅，但對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊，顯得無能為力。如果需要?jiǎng)討B(tài)地監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)部活動(dòng)并做出及時(shí)的響應(yīng)，就要依靠基于網(wǎng)絡(luò)的實(shí)時(shí)的入侵監(jiān)測(cè)技術(shù)，監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)流，從中檢測(cè)出攻擊的行為并給與響應(yīng)和處理。實(shí)時(shí)入侵監(jiān)測(cè)技術(shù)還能檢測(cè)到繞過防火墻的攻擊。入侵檢測(cè)系統(tǒng)是實(shí)時(shí)的網(wǎng)絡(luò)違規(guī)自動(dòng)識(shí)別和響應(yīng)系統(tǒng)。它運(yùn)行于敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過實(shí)時(shí)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流，識(shí)別，記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試時(shí)，網(wǎng)絡(luò)信息安全檢測(cè)系統(tǒng)預(yù)警系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應(yīng)。該系統(tǒng)可安裝于防火墻前后，可以對(duì)攻擊防火墻本身的數(shù)據(jù)流進(jìn)行響應(yīng)，同時(shí)可以對(duì)穿透防火墻進(jìn)行攻擊的數(shù)據(jù)流進(jìn)行響應(yīng)。在被保護(hù)的局域網(wǎng)中，入侵檢測(cè)設(shè)備應(yīng)安裝于易受到攻擊的服務(wù)器或防火墻附近。這些保護(hù)措施主要是為了監(jiān)控經(jīng)過出口及對(duì)重點(diǎn)服務(wù)器進(jìn)行訪問的數(shù)據(jù)流。入侵檢測(cè)報(bào)警日志的功能是通過對(duì)所有對(duì)網(wǎng)絡(luò)系統(tǒng)有可能造成危害的數(shù)據(jù)流進(jìn)行報(bào)警及響應(yīng)。由于網(wǎng)絡(luò)攻擊大 西安交大捷普網(wǎng)絡(luò)科技有限公司 10 多來自于網(wǎng)絡(luò)的出口位置，入侵檢測(cè)在此處將承擔(dān)實(shí)時(shí)監(jiān)測(cè)大量出入整個(gè)網(wǎng)絡(luò)的具有破壞性的數(shù)據(jù)流。這些數(shù)據(jù)流引起的報(bào)警日志，是作為受到網(wǎng)絡(luò)攻擊的主要證據(jù)。 應(yīng)用層安全解決方案應(yīng)用層主要是處理各種業(yè)務(wù)應(yīng)用，在這個(gè)層面我們需要解決的是主機(jī)操作行為的控制、身份認(rèn)證以及防病毒等問題。 基于個(gè)人主機(jī)的安全建議個(gè)人主機(jī)操作系統(tǒng)淘汰 Windows9X/ME 系統(tǒng)，更換為較為安全的 Windows 2022+sp4/XP+sp2 以上版本，并對(duì)使用者分配 Power user 權(quán)限，超級(jí)用戶權(quán)限由相關(guān)管理部門統(tǒng)一管理并嚴(yán)格控制使用。設(shè)置系統(tǒng)安全策略，如：設(shè)置開機(jī)密碼（BIOS 密碼） 、提高密碼的復(fù)雜度（10 位以上，3 種以上字符組合） 、啟用賬戶鎖定策略（口令限試 3 次、逾期不修改口令等） 、限制用戶登錄（只允許域登陸，禁止本地登陸） 、限制外部連接、限制特權(quán)組成員、啟用系統(tǒng)審核機(jī)制、啟用日志監(jiān)視等。 防病毒安全技術(shù)建議由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力，所以計(jì)算機(jī)病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。 管理層安全解決方案必須制訂系列的安全管理制度和普及安全教育，同時(shí)，必須通過專門機(jī)構(gòu)進(jìn)行監(jiān)督。具體如下：? 用戶守則制訂，如應(yīng)包括：? 未經(jīng)許可的請(qǐng)求一律禁止；? 嚴(yán)禁保留、安裝、使用具有攻擊、破解、偵聽等非法功能的程序；? 如果涉密主機(jī)出現(xiàn)問題，應(yīng)及時(shí)向相關(guān)部門反映，禁止私自處理；? 只有網(wǎng)絡(luò)管理員在經(jīng)過相關(guān)部門的許可后，并在相關(guān)部門的監(jiān)督下才可以進(jìn)行設(shè)備的物理訪問（修改配置、更換故障部件等行為） ；? 只有網(wǎng)絡(luò)管理人員在經(jīng)過相關(guān)部門的許可，并在相關(guān)部門的監(jiān)督下才可進(jìn)行軟件安裝工作；? 所有的設(shè)備操作及軟件安裝必須保留完整的日志，并交相關(guān)部門備案；? 重要系統(tǒng)應(yīng)使用難猜測(cè)的口令并經(jīng)常改換口令。? 保護(hù)好自己的密鑰、移動(dòng)存儲(chǔ)器，防止被他人竊取。? 嚴(yán)禁攜帶具有攝像功能的手機(jī)進(jìn)入涉密區(qū)域。? 制訂的機(jī)房管理制度： 西安交大捷普網(wǎng)絡(luò)科技有限公司 11 ? 管理員對(duì)設(shè)備操作必須有完整的操作紀(jì)錄；? 其他人員原則上不允許進(jìn)入機(jī)房，但在特殊原因需要進(jìn)入時(shí)必須登記（誰(shuí)、所屬部門、原由、進(jìn)出時(shí)間等） ，并需管理人員陪同；? 分層次的安全培訓(xùn)，對(duì)各級(jí)人員有針對(duì)地進(jìn)行培訓(xùn)。建立安全信息分發(fā)系統(tǒng)，對(duì)安全管理的階段性結(jié)果，以可讀性好的報(bào)告形式分發(fā)給各個(gè)結(jié)點(diǎn)的安全部門。應(yīng)對(duì)具體的分發(fā)方式、分發(fā)渠道、保密措施做出規(guī)定。網(wǎng)絡(luò)安全方案必須架構(gòu)在科學(xué)的安全體系和安全框架之上。安全框架是安全方案設(shè)計(jì)和分析的基礎(chǔ)。第 4 章 安全系統(tǒng)部署根據(jù)上述的解決方法，在逐步完善的前提下，我們對(duì) xxx 醫(yī)院內(nèi)部網(wǎng)絡(luò)安全提出了以下的建議：將各應(yīng)用和數(shù)據(jù)服務(wù)器整合在一起，通過防火墻與其它客戶機(jī)隔離開。將入侵檢測(cè)系統(tǒng)旁路到核心交換機(jī)上，將連接防火墻的端口鏡像到入侵檢測(cè)系統(tǒng)的監(jiān)控口上。將入侵檢測(cè)系統(tǒng)與防火墻聯(lián)動(dòng)來阻斷來自外部的非法連接，提供詳盡日志紀(jì)錄，從而有效的防止內(nèi)部網(wǎng)絡(luò)敏感信息的泄漏以及非法信息的傳播，保證了醫(yī)院核心數(shù)據(jù)的安全性。具體如下圖所示：Si核 心 交 換 機(jī)入 侵 檢 測(cè) 系統(tǒng) 管 理 機(jī)入 侵 檢 測(cè) 系 統(tǒng)防 火 墻服 務(wù) 器服 務(wù) 器 交 換 機(jī)樓 層 交 換 機(jī)工 作 站工 作 站樓 層 交 換 機(jī)工 作 站工 作 站工 作 站工 作 站工 作 站工 作 站服 務(wù) 器網(wǎng) 絡(luò) 拓 撲示 意 圖 西安交大捷普網(wǎng)絡(luò)科技有限公司 12 第 5 章 設(shè)備選型建議 捷普防火墻此次方案設(shè)計(jì)我們選用我公司研制的 Jump F 系列防火墻。Jump F 系列防火墻是建立在自主版權(quán)的安全操作系統(tǒng)之上的一種功能強(qiáng)大、操作方便、易于安裝和配置，基于狀態(tài)檢測(cè)技術(shù)的防火墻設(shè)備。它采用先進(jìn)的動(dòng)態(tài)檢測(cè)技術(shù)，集安全訪問控制、代理服務(wù)、安全審計(jì)、用戶認(rèn)證、地址翻譯多項(xiàng)功能于一體，能滿足各個(gè)行業(yè)對(duì)網(wǎng)絡(luò)安全需求。西安交大捷普網(wǎng)絡(luò)科技有限公司開發(fā)的防火墻系列產(chǎn)品，榮獲國(guó)家保密局的科學(xué)技術(shù)成果鑒定證書；通過了國(guó)家公安部的安全檢測(cè)獲得了計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品《銷售許可證》 ，并在政府、電信、電力、金融、軍隊(duì)等眾多行業(yè)中得到了廣泛應(yīng)用。 性能參數(shù)表型 號(hào)性 能 F3000140L并發(fā)連接數(shù) 100萬(wàn)用戶數(shù)限制 無限制規(guī)則數(shù)限制 無限制VPN 隧道數(shù) 2022VLAN 數(shù)量 4093接口數(shù) 百兆電口 4MTBF（小時(shí)） ≥100,000機(jī)箱規(guī)格 1U部署作用 服務(wù)器防護(hù)網(wǎng)關(guān) 技術(shù)特點(diǎn)? 專用的安全操作系統(tǒng)由于專用的安全操作系統(tǒng)沒有后門、漏洞以及多余的服務(wù)，極大的提高了防火墻系統(tǒng)的自身安全性? 專用的硬件平臺(tái)采用專用硬件基礎(chǔ)平臺(tái)，采用高性能的 CPU 和大容量的內(nèi)存保證硬件的高性能。不同型號(hào)的產(chǎn)品具有不同接口數(shù)和外形。? 專用的軟件系統(tǒng)防火墻系統(tǒng)在其專用的硬件平臺(tái)和操作系統(tǒng)之上，搭建了專用的軟件系統(tǒng)。防火墻可以說是集專用硬件基礎(chǔ)平臺(tái)、專用操作系統(tǒng)、專用軟件于一體的高效硬件防火墻產(chǎn)品。? 采用先進(jìn)狀態(tài)檢測(cè)技術(shù)采用基于連接狀態(tài)檢查的包過濾，即狀態(tài)檢測(cè)技術(shù)。它將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，通過規(guī)則表與連接狀態(tài)表的共同配合，大大地提高了系統(tǒng)的性能專 用操 作 系 統(tǒng)防火墻軟件系統(tǒng)專 用硬 件 平 臺(tái) 西安交大捷普網(wǎng)絡(luò)科技有限公司 13 數(shù)據(jù)包進(jìn)入系統(tǒng)查 找路由信息狀 態(tài)信息檢測(cè)屬于I P 流？安 全規(guī)則匹配匹配成功？默 認(rèn)處理函數(shù)基本 匹配信息匹配成 功處理函數(shù)擴(kuò)展 匹配信息基本 匹配信息匹配成 功處理函數(shù)擴(kuò)展 匹配信息基本 匹配信息匹配成 功處理函數(shù)擴(kuò)展 匹配信息YNYYY規(guī) 則 結(jié) 構(gòu)規(guī) 則 集 合...專 用操 作 系 統(tǒng)和安全性。防火墻在進(jìn)行包的檢測(cè)時(shí)不僅將其看成是獨(dú)立的單元，同時(shí)還要考慮與它的前面包的關(guān)聯(lián)性。換句話說，對(duì)于屬于同一個(gè)連接的數(shù)據(jù)包來說并不是完全孤立的，它們存在內(nèi)部的關(guān)聯(lián)信息。無連接的包過濾規(guī)則沒有考慮這些內(nèi)在的關(guān)聯(lián)信息，而是對(duì)每個(gè)數(shù)據(jù)包都進(jìn)行孤立的規(guī)則檢測(cè)這樣就降低了傳輸效率和安全性。防火墻系統(tǒng)基于狀態(tài)的檢測(cè)技術(shù)可以深入到應(yīng)用層，增加了防火墻的安全控制能力，并具有極高的性能。 功能簡(jiǎn)介? 內(nèi)核層處理通信流量一般防火墻主要在應(yīng)用程序?qū)犹幚頂?shù)據(jù)包，因此處理數(shù)據(jù)包的內(nèi)核程序與進(jìn)行分類和判斷的應(yīng)用程序間會(huì)產(chǎn)生不必要的通信量，延長(zhǎng)處理時(shí)間。因此若防火墻系統(tǒng)在內(nèi)核處理數(shù)據(jù)包，從數(shù)據(jù)包輸入、信息分類處理、到將安全信息傳輸?shù)侥繕?biāo)地點(diǎn)，所有過程都在內(nèi)核中進(jìn)行，保證了數(shù)據(jù)包的高速處理。? 高效的深層內(nèi)容過濾防火墻系統(tǒng)采用基于內(nèi)核的深層內(nèi)容過濾技術(shù)，它不采用基于用戶態(tài)的代理機(jī)制，而是將過濾技術(shù)以模塊的形式實(shí)現(xiàn),可以方便的插入到內(nèi)核之中，采用基于面向連接的狀態(tài)檢測(cè)控制技術(shù)，保證了內(nèi)容過濾的高性能；采用專用的查詢匹配算法支持，又保證了其高精確性。因?yàn)檫\(yùn)行于內(nèi)核態(tài)，解決了傳統(tǒng)基于代理的內(nèi)容過濾技術(shù)效率低下，影響防火墻性能，且無法滿足多種協(xié)議等問題。具有處理效率高、匹配精度強(qiáng)、配置靈活方便、可擴(kuò)展性好的特點(diǎn)。? 主動(dòng)式黑名單+自主防御防火墻系統(tǒng)可通過預(yù)設(shè)值的方式，對(duì)于觸犯連接限制上限，訪問了非法的 Web資源，感染了病毒，或是發(fā)起了 IPS攻擊的主機(jī)，主動(dòng)加入黑名單進(jìn)行封鎖，幫助網(wǎng)絡(luò)管理員實(shí)現(xiàn)自動(dòng)化的網(wǎng)絡(luò)防御管理。? 模塊化設(shè)計(jì)，擴(kuò)展能力強(qiáng)