【文章內容簡介】 網(wǎng)行為管理、出口網(wǎng)絡防護1 臺網(wǎng)絡入侵防護系統(tǒng)（IPS） 入侵攻擊防護 1 臺安全審計系統(tǒng)（ SAS） 網(wǎng)絡行為、數(shù)據(jù)庫審計 1 臺人民醫(yī)院網(wǎng)絡安全建設方案 11 遠程安全評估系統(tǒng)（RSAS） 漏洞掃描 1 臺Web 應用防火墻（WAF ） 網(wǎng)站防護、防篡改 1 臺安全審計堡壘機（ SASH） 運維安全審計 1 臺四、基礎安全建設基礎安全建設專注于醫(yī)院的信息系統(tǒng)的建設，主要包含訪問控制，入侵防護，日志審計，漏洞管理等幾個方面，訪問控制能夠保證互聯(lián)網(wǎng)對內網(wǎng)資源的合理有效利用，入侵防護則能全面防護互聯(lián)網(wǎng)對內網(wǎng)發(fā)起的攻擊以及內網(wǎng)對互聯(lián)網(wǎng)的攻擊；在日志審計方面，根據(jù)衛(wèi)生部對信息系統(tǒng)的要求，根據(jù)****省衛(wèi)生廳關于“統(tǒng)方”治理的要求，我們考慮在核心系統(tǒng)上進行嚴格的日志審計工作；在漏洞管理上，由于大量的信息終端的存在，且當前利用漏洞進行攻擊的案例比比皆是，故在一起管理上，我們將這四點作為基礎信息安全建設來進行處理，并在每個環(huán)節(jié)上進行分章節(jié)詳細描述。 某下一代防火墻（訪問控制） 部署方式在醫(yī)院網(wǎng)絡出口部署一臺下一代防火墻，通過下一代防火墻可以對應用層攻擊、病毒進行全面阻斷，可實現(xiàn)基于源/ 目的 IP 地址、協(xié)議/端口、時間、用戶、VLAN 、VPN、安全區(qū)的訪問控制，保證內部網(wǎng)絡的安全。設備管理通過安全管理區(qū)的安全管理服務器上安裝安全中心對該設備進行全面的管理。人民醫(yī)院網(wǎng)絡安全建設方案 12 系統(tǒng)特點 某下一代防火墻采用了全新的設計理念，專注應用安全的防護，具有如下功能：? 具有智能協(xié)議識別（NIPR）智能內容識別（NICR）功能智能協(xié)議識別技術——Nsfocus Intelligent Protocol Recognition（NIPR）和智能內容識別技術——Nsfocus Intelligent Content Recognition（NICR ）是某自主研發(fā)的網(wǎng)絡威脅識別技術，是某科技在網(wǎng)絡攻防技術方面多年研究成果的結晶，也是某安全下一代防火墻的核心技術。網(wǎng)絡應用層防護的最大難度在于對復雜多變的應用協(xié)議、黑客復雜的攻擊行為以及應用內容進行解析識別，從而進行針對性的防護。NIPR 和 NICR 識別技術，它利用五個安全庫（應用協(xié)議特征庫 、協(xié)議行為特征庫、惡意 URL 庫、病毒庫、攻擊規(guī)則庫），通過動態(tài)分析網(wǎng)絡報文中包含的協(xié)議特征、行為特征以及非法內容，識別出非法信息，然后遞交給相應的處理引擎進行防護。具備了 NIPR 和 NICR 的下一代防火墻，不再受動態(tài)端口或攻擊工具變化的影響。對于P2P 等運行在任意端口的應用層協(xié)議，或者綁定在任意端口的木馬、后門，還有黑客的靈活多變的攻擊方式，下一代防火墻都能在不需要管理員參與的情況下高速準確的判斷出來，并根據(jù)網(wǎng)關策略予以阻斷或限制。? 高性能的防火墻下一代防火墻采用內容狀態(tài)檢測的過濾技術，支持路由、透明、混合模式部署，可實現(xiàn)基于源/目的 IP 地址、協(xié)議/端口、時間、用戶、VLAN、 VPN、安全區(qū)的訪問控制。下一代防火墻支持支持基于策略的雙向 NAT、動態(tài)/靜態(tài) NAT、端口 PAT，支持DNS、 DHCP、 VLAN、SNMP 等協(xié)議。? 超強的網(wǎng)絡攻擊防護能力下一代防火墻集成了某科技專業(yè)的 IPS 模塊，可實現(xiàn)基于 IP 地址/網(wǎng)段、規(guī)則（組、集）、時間、動作等對象的虛擬 IPS。下一代防火墻采用虛擬補丁技術，可防護遠程掃描、暴力破解、緩存區(qū)溢出、蠕蟲病毒、木馬后門、SQL 注入、跨站腳本等各種攻擊。人民醫(yī)院網(wǎng)絡安全建設方案 13 某網(wǎng)絡入侵防護系統(tǒng)某入侵防護系統(tǒng) NIPS （Network Intrusion Prevention System）提供一種主動的、實時的防護，其設計旨在對常規(guī)網(wǎng)絡流量中的惡意數(shù)據(jù)包進行檢測，阻止入侵活動，預先對攻擊性的流量進行自動攔截，使它們無法造成損失，而不是簡單地在傳送惡意流量的同時或之后發(fā)出警報。NIPS 是通過直接串聯(lián)到網(wǎng)絡鏈路中而實現(xiàn)這一功能的，即 NIPS 接收到外部數(shù)據(jù)流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進內部網(wǎng)絡。 某網(wǎng)絡入侵防護系統(tǒng)的特點某網(wǎng)絡入侵防護系統(tǒng)是某科技自主知識產權的新一代安全產品，作為一種在線部署的產品，其設計目標旨在準確監(jiān)測網(wǎng)絡異常流量，自動對各類攻擊性的流量，尤其是應用層的威脅進行實時阻斷，而不是在監(jiān)測到惡意流量的同時或之后才發(fā)出告警。這類產品彌補了防火墻、入侵檢測等產品的不足，提供動態(tài)的、深度的、主動的安全防御，為企業(yè)提供了一個全新的入侵保護解決方案。某網(wǎng)絡入侵防護系統(tǒng)采用先進的體系架構集成領先的入侵保護技術，包括以全面深入的協(xié)議分析技術為基礎，協(xié)議識別、協(xié)議異常檢測、關聯(lián)分析為核心的新一代入侵保護引擎，能夠協(xié)助客戶： ? 網(wǎng)絡防護：具有實時的、主動的網(wǎng)絡防護功能，內置基于狀態(tài)檢測的防火墻，保護網(wǎng)絡邊界和內部網(wǎng)絡，同時為網(wǎng)絡設備的漏洞提供防護，具有流量管理功能，對于可能出現(xiàn)的異常流量，提供抗拒絕服務攻擊功能。 ? 應用防護：提供對應用層的防護功能，針對操作系統(tǒng)，應用軟件以及數(shù)據(jù)庫，提供深度的內容檢測技術,過濾報文里的惡意流量和攻擊行為，保護存在的漏洞，防止操作系統(tǒng)和應用程序損壞或宕機。? 內容管理：對內部網(wǎng)絡資源提供內容管理，可以有效檢測并阻斷間諜軟件，包括木馬后門、惡意程序和廣告軟件等，并可以對即時通訊、P2P 下載、網(wǎng)絡游戲、在線視頻、網(wǎng)絡流媒體等內容進行監(jiān)控并阻斷。人民醫(yī)院網(wǎng)絡安全建設方案 14 體系架構某科技網(wǎng)絡入侵防護系統(tǒng)體系架構某網(wǎng)絡入侵防護系統(tǒng)的體系架構包括三個主要組件：控制臺、網(wǎng)絡探測器、升級站點，方便各種網(wǎng)絡環(huán)境的靈活部署和管理。 關鍵特性? 深度融合的集成平臺某網(wǎng)絡入侵防護系統(tǒng)作為自主知識產權的新一代安全產品，深度融合的防火墻/IPS/IDS集成平臺開創(chuàng)了世界先河，獨一無二的設計使某網(wǎng)絡入侵防護系統(tǒng)為用戶提供從鏈路層到應用層的深度安全防護，圓滿解決了防火墻靜態(tài)防御和 IPS 動態(tài)防御的融合難題，為用戶提供全面的入侵保護解決方案。某網(wǎng)絡入侵防護系統(tǒng)集成強大的防火墻功能，采用基于狀態(tài)檢測的動態(tài)包過濾技術，實現(xiàn)靜態(tài)防御；某網(wǎng)絡入侵防護系統(tǒng)以全面深入的協(xié)議分析技術為基礎，協(xié)議識別、協(xié)議異常檢測、關聯(lián)分析為核心，實現(xiàn)動態(tài)防御。人民醫(yī)院網(wǎng)絡安全建設方案 15 某網(wǎng)絡入侵防護系統(tǒng)專門設計了安全、可靠、高效的硬件運行平臺。硬件平臺采用嚴格的設計和工藝標準，保證了高可靠性；獨特的硬件體系結構大大提升了處理能力、吞吐量；操作系統(tǒng)經過優(yōu)化和安全性處理，保證系統(tǒng)的安全性和抗毀性。? 基于對象的虛擬系統(tǒng)某網(wǎng)絡入侵防護系統(tǒng)提供基于對象的虛擬系統(tǒng)（VIPS），針對不同的網(wǎng)絡環(huán)境和安全需求，基于安全區(qū)、IP 地址（組、段）、規(guī)則（組、集）、時間、動作等對象，制定不同的規(guī)則和響應方式，就像一臺設備上虛擬出很多虛擬系統(tǒng)，每個虛擬系統(tǒng)分別執(zhí)行不同的規(guī)則集，實現(xiàn)面向不同對象、實現(xiàn)不同策略的智能化入侵防護。某網(wǎng)絡入侵防護系統(tǒng)覆蓋廣泛的攻擊規(guī)則庫帶有超過 2022 條由 NSFocus 安全小組精心提煉、經過仔細檢測與時間考驗的攻擊特征，并通過國際最著名的安全漏洞庫 CVE 嚴格的兼容性標準評審，獲得最高級別的 CVE 兼容性認證（CVE Compatible）。某科技每月平均提供 2 到 3 次升級更新，在緊急情況下可即時提供更新。而且某科技具有領先的漏洞預警能力，是目前國內唯一一個向國外（美國）出口入侵檢測規(guī)則庫的公司。? 廣泛精細的應用防護某網(wǎng)絡入侵防護系統(tǒng)提供“虛擬補丁 ”，主動防御已知和未知攻擊，實時阻斷各種黑客攻擊，如緩沖區(qū)溢出、SQL 注入、暴力猜測、拒絕服務、掃描探測、非授權訪問、蠕蟲病毒、木馬后門、間諜軟件等，而且針對僵尸網(wǎng)絡提供主動防御，廣泛精細的應用防護幫助用戶避免安全損失。? 全面實用的內容管理某網(wǎng)絡入侵防護系統(tǒng)提供強大的“流量凈化” 能力，通過全面實用的內容管理，能夠有效監(jiān)視、控制 P2P 下載、即時通訊、在線視頻、網(wǎng)絡流媒體、網(wǎng)絡游戲等濫用流量，提高企業(yè)工作效率。某網(wǎng)絡入侵防護系統(tǒng)具有強大的流量管理功能，采用全局維度（協(xié)議/端口）、局部維度（源/ 目的 IP 地址、網(wǎng)段）、時間維度（時間）、流量緯度（帶寬）等流量控制四元組，基于對象的策略配置方便用戶靈活控制網(wǎng)絡流量。? 強大豐富的管理能力某網(wǎng)絡入侵防護系統(tǒng)支持安全區(qū)（Zone），支持路由、透明、混合三種工作模式，支持五種安全區(qū)模式：透明（Layer2）、路由（Layer3 ）、監(jiān)聽（ Monitor）、直通（Direct）、管理（Mgt ），能夠快速部署在各種網(wǎng)絡環(huán)境中。某網(wǎng)絡入侵防護系統(tǒng)還支持失效開放（Failopen）機制和雙機熱備（HA），避免單點故障。某網(wǎng)絡入侵防護系統(tǒng)提供豐富的響應方式，包括主動響應（丟棄數(shù)據(jù)包、丟棄連接會話）、被動響應（與防火墻聯(lián)動、TCP Killer、發(fā)送郵件、控制臺顯示、日志數(shù)據(jù)庫記錄、打印人民醫(yī)院網(wǎng)絡安全建設方案 16 機輸出、運行用戶自定義命令、寫入 XML 文件、snmp trap），用戶可自定義，滿足各種需要。從系統(tǒng)升級到報表系統(tǒng)，從攻擊告警到日志備份，某網(wǎng)絡入侵防護系統(tǒng)均可由系統(tǒng)定時自動后臺運行，達到“零管理 ”。還同時支持 B/S 和 C/S 管理方式。全中文界面、中文報表，符合中國人操作習慣，而中文規(guī)則庫對每個漏洞都有詳細描述，并提供了詳細的解決方案及補丁下載地址。 部署說明根據(jù)安全風險分析、安全目標和設計原則，我們在充分利用現(xiàn)有資源、盡量在少投入、少改動的基礎上，建議使用以下集防護、檢測和響應于一體的安全解決方案。具體部署方式如下：? 在醫(yī)院內網(wǎng)的兩臺互聯(lián)網(wǎng)出口下一代防火墻下部署兩臺千兆某網(wǎng)絡入侵防護系統(tǒng)，每臺 NIPS 雙上聯(lián)兩臺出口下一代防火墻。通過雙機熱備 的形式對進出內網(wǎng)的數(shù)據(jù)進行冗余保護，兩臺 NIPS 設備之間的心跳線檢測主從設備狀態(tài)，保證在單條鏈路出現(xiàn)異常后，策略仍時刻生效的同時數(shù)據(jù)業(yè)務不會中斷。? 在醫(yī)院內網(wǎng)和農保/醫(yī)保 /銀行網(wǎng)絡的互聯(lián)出口下一代防火墻下，部署一臺千兆 某NIPS。確保醫(yī)院內網(wǎng)和其他業(yè)務單位內網(wǎng)的安全互聯(lián)和入侵保護；同時可做出口鏈路的備選設備。? 每臺千兆某 NIPS 設備均具備 BYPASS 功能，確保設備出現(xiàn)異常后，不影響正常鏈路和業(yè)務流量。? 通過在醫(yī)院網(wǎng)絡部署一臺某安全中心服務器，用于日常管理和日志存儲。由于某NIPS 同時支持 C/S 和 B/S 模式，所以可以靈活方便的管理部署在網(wǎng)絡中的某NIPS。 某網(wǎng)絡入侵防護系統(tǒng)日常使用建議由于安全領域的發(fā)展性，沒有靜止的安全，任何的變化都可能引起安全問題的出現(xiàn)，比如網(wǎng)絡結構的調整，新的應用的啟用，新的安全漏洞和新的攻擊手法的出現(xiàn)等等，所以任何時候，安全都是動態(tài)的。在這種情況下，有效的使用和維護安全產品和安全策略，才能使安全產品發(fā)揮其最大的效應，所以，我們建議如下：? 保障規(guī)則升級? 網(wǎng)絡入侵防護系統(tǒng)控制臺每周定時檢查廠商規(guī)則升級模塊人民醫(yī)院網(wǎng)絡安全建設方案 17 ? 離線下載或使用廠商提供的定期升級包? 控制臺自動推送升級到網(wǎng)絡引擎? 日志自動備份策略? 設置報警日志定期備份策略，防止出現(xiàn)日志溢出或意外丟失的情況? 定期分析與報告策略? 設置綜合報告每周發(fā)送策略，分別發(fā)給其他安全管理員? 每月對報告進行綜合分析，對疑難問題，尋求安全廠商的支持 功能與效益部署網(wǎng)絡入侵防護系統(tǒng)會給醫(yī)院網(wǎng)絡帶來以下安全功能的提高：? 實時發(fā)現(xiàn)和阻斷來自 Inter 的蠕蟲、病毒、間諜軟件和黑客等攻擊和入侵，防止黑客帶來的安全損失，加強了對內部服務器的保護；? 實時發(fā)現(xiàn)和阻斷內部蠕蟲、網(wǎng)絡病毒的大規(guī)模爆發(fā)；? 強制性規(guī)范工作人員的網(wǎng)絡訪問行為，控制和減少工作人員利用信息網(wǎng)絡作與工作無關的行為； ? 可以對內部網(wǎng)絡流量和網(wǎng)絡資源的監(jiān)控，方便及時的發(fā)現(xiàn)網(wǎng)絡異常，同時可以根據(jù)需求，進行帶寬管理，幫助診斷網(wǎng)絡異常狀況，提高網(wǎng)絡帶寬的使用率；? 對黑客的攻擊行為進行監(jiān)控，保留異常行為日志，為事后采取補救措施作準備；? 智能、自動化的安全防御，降低整體的安全費用以及對于網(wǎng)絡安全領域人才的需求。 某安全審計系統(tǒng) 需求分析 威脅與風險分析由于醫(yī)院網(wǎng)絡分內網(wǎng)與外網(wǎng)，網(wǎng)絡的使用者既有來自互聯(lián)網(wǎng)的用戶，也有來自單位內部的工作人員，因此其網(wǎng)絡面臨來自安全威脅與風險如下：? 工作人員在論壇內網(wǎng)論壇發(fā)表敏感信息、傳播非法言論，造成惡劣社會影響；? 單位重要業(yè)務數(shù)據(jù)庫，被工作人員或系統(tǒng)維護人員篡改牟利、外泄，給單位造成巨大的經濟損失；人民醫(yī)院網(wǎng)絡安全建設方案 18 ? 工作人員隨意通過 U 盤，在外網(wǎng)絡共享文件夾、文件上傳下載、EMAIL 等方式，發(fā)送重要敏感信息、業(yè)務數(shù)據(jù)，導致信息外泄事件發(fā)生；? 內部系統(tǒng)維護人員對業(yè)務應用系統(tǒng)的越權訪問、違規(guī)操作，損害業(yè)務系統(tǒng)的運行安全； 安全需求根據(jù)對醫(yī)院網(wǎng)絡系統(tǒng)的威脅與風險分析，醫(yī)院的信息安全需求主要在以下方面：? 對論壇不良言論、色情暴力的管理，? 對網(wǎng)頁頁面內容、搜索引擎的關鍵字過濾、審計。? 針對不良網(wǎng)站進行告警、過濾；同時全面審計網(wǎng)站訪問行為，實時告警、記錄和網(wǎng)頁還原，實現(xiàn)全面、準確、高效的網(wǎng)站訪問監(jiān)測? 對業(yè)務運維操作進行細粒度的監(jiān)控? 數(shù)據(jù)庫訪問進行全面監(jiān)控管理；? 對郵件、論壇等外發(fā)信息行為進行有效的監(jiān)控；? 可對郵件、論壇等外發(fā)信息行為進行監(jiān)控管理，防止單位敏感機密信息外泄、非法反動言論傳播；? 對網(wǎng)絡應用行為進行監(jiān)測，如:P2P 下載、在線視頻等。因