【正文】 采用嚴(yán)格的設(shè)計和工藝標(biāo)準(zhǔn)，保證了高可靠性；獨特的硬件體系結(jié)構(gòu)大大提升了處理能力；操作系統(tǒng)經(jīng)過優(yōu)化和安全性處理，保證系統(tǒng)的安全性和抗毀性，并且與安全中心間的通信采用強加密的SSL 加密傳輸告警日志與控制命令，完全避免了可能存在的嗅探行為，保證了數(shù)據(jù)傳輸?shù)陌踩?；設(shè)備支持熱插拔的冗余雙電源，避免電源硬件故障時設(shè)備宕機，提高設(shè)備可用性。 部署說明根據(jù)安全風(fēng)險分析、安全目標(biāo)和設(shè)計原則，我們在充分利用現(xiàn)有資源、盡量在少投入、少改動的基礎(chǔ)上，建議使用以下的安全解決方案。我們建議在核心交換機上部署一臺某科技的某安全審計系統(tǒng)，進行網(wǎng)絡(luò)安全審計，發(fā)現(xiàn)和捕獲各種敏感信息、違規(guī)行為，實時報警響人民醫(yī)院網(wǎng)絡(luò)安全建設(shè)方案 26 應(yīng)，全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會話和事件，實現(xiàn)對網(wǎng)絡(luò)信息的智能關(guān)聯(lián)分析、評估及安全事件的準(zhǔn)確全程跟蹤定位，為整體網(wǎng)絡(luò)安全策略的制定提供權(quán)威可靠的支持。具體部署方式說明如下：? 在核心交換機上部署 1 臺某安全審計系統(tǒng)，網(wǎng)絡(luò)探測器的監(jiān)控端口連接兩臺交換機的鏡像端口，管理口接入到核心交換機上。? 網(wǎng)絡(luò)探測器在旁路上實時分析鏡像過來的數(shù)據(jù)包，根據(jù)醫(yī)院網(wǎng)絡(luò)的自身特點設(shè)置合理有效的安全審計策略，全面監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)包，及時發(fā)現(xiàn)違反安全策略的事件并實時告警記錄。 遠程安全評估系統(tǒng)（安全基線管理系列） 需求分析 威脅與風(fēng)險分析? 漏洞危害嚴(yán)重：? 2022 年 6 月 9 日，微軟發(fā)布補丁修復(fù) 31 個位于 Windows、Office 和數(shù)據(jù)中心軟件中的漏洞，這是微軟公司當(dāng)時單日發(fā)布補丁最多的一次。? 2022 年 10 月 14 日凌晨，微軟向全球用戶發(fā)布 10 月安全更新，一次性提供了 13 個安全補丁，補丁數(shù)量之多，刷新了此前最高為 12 個的歷史紀(jì)錄。 8 個補丁的安全等級為最高的“嚴(yán)重”級別，5 個為“重要”等級，并首次修復(fù)了 Windows7 操作系統(tǒng)的 5 個安全漏洞，其中一個為“重要”等級。? 2022 年 2 月 9 日微軟針對 26 個安全漏洞發(fā)布 13 個安全補丁，4 年來微軟公司在 2月份發(fā)布安全補丁數(shù)量最多的一次。? 2022 年 6 月 8 日微軟會發(fā)布十個補丁修復(fù) 34 個漏洞，主要涉及WINDOWS、OFFICE、和 IE。? 2022 年 8 月 11 日凌晨，微軟 8 月安全更新一舉發(fā)布 14 個安全公告，用來修復(fù)Windows、IE 瀏覽器以及 Office 等軟件中的 34 個安全漏洞，使微軟的月度補丁數(shù)量創(chuàng)下了歷史最高值。微軟產(chǎn)品漏洞不斷發(fā)現(xiàn)，安全補丁數(shù)量不斷創(chuàng)下歷史新高，從一個側(cè)面看漏洞問題愈演愈烈。從目前看，漏洞發(fā)現(xiàn)技術(shù)越來越自動和智能化，導(dǎo)致被發(fā)現(xiàn)的漏洞數(shù)量劇增；越來越多的漏洞研究組織使漏洞被利用的時間不斷縮短；更多的安全漏洞集中在 IE 和 MS Office 等應(yīng)用軟件上；Web 應(yīng)用安全漏洞的危害日益嚴(yán)重；利用漏洞的手法更為隱蔽，更具有“社會人民醫(yī)院網(wǎng)絡(luò)安全建設(shè)方案 27 工程學(xué)”的特性；漏洞的發(fā)現(xiàn)、利用不僅僅局限于常見的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)，而且更多的第三方軟件的漏洞也是發(fā)現(xiàn)和利用的目標(biāo)。? 不必要進程、端口的風(fēng)險：第三方軟件漏洞在漏洞利用中占有的比重越來越大，它已經(jīng)成為了網(wǎng)絡(luò)安全必須要面對的嚴(yán)重威脅。與微軟每月發(fā)布更新的操作系統(tǒng)相比，人們更容易忽略電腦中數(shù)量龐大，種類繁多的第三方軟件的問題。當(dāng)黑客們繞過微軟的補丁給系統(tǒng)筑就的“馬其諾防線”，直接利用第三方應(yīng)用軟件的漏洞進行入侵的時候，用戶往往猝不及防，關(guān)閉不必要的進程會極大的降低安全風(fēng)險。作為計算機系統(tǒng)和外界的接口，開放的端口代表了某種服務(wù)，和支撐該服務(wù)的應(yīng)用軟件。一般來講，開放的端口越多，系統(tǒng)面臨的風(fēng)險就越多。另外，一些病毒、蠕蟲等惡意軟件也會在后臺偷偷開放端口，這時系統(tǒng)已經(jīng)成為不設(shè)防的狀態(tài)。? 系統(tǒng)配置錯誤，合規(guī)檢查困難：安全配置漏洞并不是由協(xié)議或軟件本身的問題造成的，而是由服務(wù)和軟件的不正確部署和配置造成的。通常這些軟件安裝時都會有一個默認配置，如果管理員不更改這些配置，服務(wù)器仍然能夠提供正常的服務(wù)，但是入侵者就能夠利用這些配置對服務(wù)器造成威脅。例如，SQL Server 的默認安裝就具有用戶名為 sa、密碼為空的管理員賬號，這確實是一件十分危險的事情。另外，對 FTP 服務(wù)器的匿名賬號也同樣應(yīng)該注意權(quán)限的管理。大多數(shù)系統(tǒng)管理員都認識到正確進行安全配置的重要性，一些組織與行業(yè)也制定了統(tǒng)一的安全配置標(biāo)準(zhǔn)。但是當(dāng)前的現(xiàn)狀是業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜，重要應(yīng)用和服務(wù)器的數(shù)量及種類日益增多，一旦發(fā)生人員的誤操作，或者忽略某個系統(tǒng)的某個配置細節(jié)，就可能會極大的影響系統(tǒng)的正常運轉(zhuǎn)。雖然這些情況的出現(xiàn)看似偶爾，但隨著時間的推移，系統(tǒng)規(guī)模的增加，難免會成為必然。通過采用統(tǒng)一的安全配置標(biāo)準(zhǔn)來規(guī)范技術(shù)人員在各類系統(tǒng)上的日常操作，讓運維人員有了檢查默認風(fēng)險的標(biāo)桿，但是面對網(wǎng)絡(luò)中種類繁雜、數(shù)量眾多的設(shè)備和軟件，真正完成合規(guī)性的系統(tǒng)配置檢查和修復(fù)，卻成為一個費時費力的事情：? 安全配置檢查及問題修復(fù)都需人工進行，對檢查人員的技能和經(jīng)驗要求較高；? 做一次普及性的細致檢查耗費時間較長，而如果改成抽查則檢查的全面性就很差；? 自查和檢查都需要登錄系統(tǒng)進行，對象越多工作越繁瑣，工作效率也不高；? 每項檢查都要人工記錄，稍有疏漏就需要重新補測；……人民醫(yī)院網(wǎng)絡(luò)安全建設(shè)方案 28 安全需求? 理論支撐的需求? 安全風(fēng)險檢查方法和過程具有充足的評估依據(jù)，符合國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)等不同層次的安全要求? 網(wǎng)絡(luò)安全風(fēng)險評定需要能夠定性及定量的進行評估? 節(jié)省資源和時間的需求? 自動發(fā)現(xiàn)和多種方式獲得資產(chǎn)信息，能夠根據(jù)業(yè)務(wù)和組織結(jié)構(gòu)統(tǒng)一劃分資產(chǎn)歸屬? 自動識別資產(chǎn)類型，對不同的系統(tǒng)和應(yīng)用制定對應(yīng)的檢查策略? 無需深厚的專業(yè)知識，采用標(biāo)準(zhǔn)化、流程化的檢查方法? 豐富專業(yè)的分析報告，一目了然的掌握系統(tǒng)宏觀風(fēng)險，快速定位安全風(fēng)險位置? 自動周期對網(wǎng)絡(luò)主機進行補丁更新、配置檢查和狀態(tài)檢查? 核心功能的需求? 能夠高效全面的掃描系統(tǒng)中存在的漏洞和配置問題，及時跟蹤系統(tǒng)運行狀態(tài)，定性和定量評估網(wǎng)絡(luò)安全風(fēng)險狀況? 量化安全狀態(tài)，跟蹤安全風(fēng)險變化趨勢，度量安全改進工作效果? 重點關(guān)注關(guān)鍵設(shè)備、關(guān)鍵應(yīng)用，降低危害出現(xiàn)的機會? 運維過程能夠針對重點系統(tǒng)或者應(yīng)用服務(wù)，制定較高的安全標(biāo)準(zhǔn)? 控制成本的需求? 漏洞掃描、配置檢查、WEB 服務(wù)重點掃描，不同的工作在統(tǒng)一的安全檢查系統(tǒng)中實現(xiàn)? 產(chǎn)品實現(xiàn)工具化，只要少量的人員，簡單的培訓(xùn)既可正確操作。? 提供正確有效的改進參考，減少損失發(fā)生后亡羊補牢的成本。人民醫(yī)院網(wǎng)絡(luò)安全建設(shè)方案 29 整體架構(gòu)圖? 專用平臺專用平臺是經(jīng)過優(yōu)化的專用安全系統(tǒng)平臺，具有很高的安全性和穩(wěn)定性。? 掃描核心模塊掃描核心模塊是系統(tǒng)最重要的模塊之一，它負責(zé)完成目標(biāo)的探測評估工作，包括判定主機存活狀態(tài)、操作系統(tǒng)識別、規(guī)則解析匹配等。? 漏洞知識庫漏洞知識庫包含漏洞相關(guān)信息，是系統(tǒng)運行的基礎(chǔ)，掃描調(diào)度模塊和 WEB 管理模塊都依賴它進行工作。? 掃描結(jié)果庫掃描結(jié)果庫包含了掃描任務(wù)的結(jié)果信息，是掃描結(jié)果報告生成的基礎(chǔ)，也是查詢和分析結(jié)果的數(shù)據(jù)來源。? 數(shù)據(jù)分析模塊數(shù)據(jù)分析模塊是綜合分析、趨勢分析和報表合并的統(tǒng)計信息的數(shù)據(jù)來源，是任務(wù)合并、分布式數(shù)據(jù)匯總之后的結(jié)果。? 風(fēng)險管理模塊人民醫(yī)院網(wǎng)絡(luò)安全建設(shè)方案 30 管理員通過此模塊可以對網(wǎng)絡(luò)風(fēng)險進行全方位管理、定位和分析，并進行漏洞審計，自動驗證漏洞是否修復(fù)。另外，通過資產(chǎn)管理，能夠方便用戶掌握風(fēng)險分布情況、定位風(fēng)險和高效實施風(fēng)險降低或規(guī)避措施。? WEB 界面模塊WEB 界面模塊負責(zé)和用戶進行交互，配合用戶的請求完成管理工作。WEB 管理模塊包含多個子模塊共同完成用戶的請求，其主要子模塊有：?任務(wù)管理子模塊——完成用戶評估任務(wù)的管理工作。?報表子模塊——讀取掃描結(jié)果庫，并根據(jù)漏洞描述信息和解決方案生成掃描報表。?策略參數(shù)模塊——完成評估任務(wù)需要掃描的具體漏洞模板的添加、具體漏洞的選取、模板修改和刪除；口令字典管理；報表輸出模板管理；智能端口挖掘。?漏洞管理模塊——漏洞管理模塊主要實現(xiàn)了 Open VM 漏洞管理工作流程支持，提供與其他安全產(chǎn)品、網(wǎng)絡(luò)管理平臺和安全管理平臺的接口。?用戶管理子模塊?審計管理子模塊?系統(tǒng)配置子模塊? 系統(tǒng)升級模塊極光有網(wǎng)絡(luò)自動升級和用戶手動升級的策略，系統(tǒng)的各個模塊都可以通過升級模塊進行升級。? 輔助模塊?分布式模塊極光支持分布式部署功能。在下級設(shè)備完成掃描得到結(jié)果數(shù)據(jù)后，會向上級管理系統(tǒng)上傳數(shù)據(jù)，數(shù)據(jù)傳輸過程中使用 SSL 加密傳輸通道，保證了數(shù)據(jù)的保密性。匯總的數(shù)據(jù)可以進行集中統(tǒng)一的分析。?WSUS 服務(wù)器聯(lián)動功能極光支持與 WSUS 服務(wù)器的聯(lián)動功能，管理員可以通過部署 WSUS 服務(wù)器，在評估任務(wù)完成后，自動修復(fù)發(fā)現(xiàn)的風(fēng)險漏洞。? 擴展模塊?WEB 掃描模塊極光推出了 WEB 應(yīng)用安全漏洞檢測模塊，通過對被檢測站點進行深度內(nèi)容分析，找出可被瀏覽的 ASP、JSP、PHP、CGI 等頁面，同時可以分析被檢測站點頁面源代碼，以檢測網(wǎng)站是否存在跨站腳本和 SQL 注入等漏洞。?二次開發(fā)接口模塊通過此接口極光可以與其他安全產(chǎn)品和管理平臺進行聯(lián)動，以便于統(tǒng)一的平臺管理。人民醫(yī)院網(wǎng)絡(luò)安全建設(shè)方案 31 某遠程安全評估系統(tǒng)特點基于多年安全服務(wù)的執(zhí)著實踐，結(jié)合用戶對脆弱性檢查的實際應(yīng)用需要，某科技經(jīng)過研究論證，提出了全面脆弱性檢查的安全基線檢查模型，同時自主研發(fā)了某遠程安全評估系統(tǒng)——安全基線管理系列（NSFOCUS RSAS Series，以下簡稱安全基線管理產(chǎn)品或 RSAS），該產(chǎn)品使用安全基線檢查模型，為運維工作提供了實用高效的安全檢查自動化工具。安全基線管理產(chǎn)品基于某科技完備的基線知識庫，采用高效、智能的弱點識別技術(shù)，對影響系統(tǒng)安全的脆弱性因素進行全面檢查和分析，為系統(tǒng)安全建設(shè)提供可信的度量依據(jù)，能夠整體提高網(wǎng)絡(luò)安全管理水平。安全基線管理產(chǎn)品為網(wǎng)絡(luò)系統(tǒng)建立適用于本地業(yè)務(wù)的安全檢查基線，自動化執(zhí)行脆弱性檢查，參照安全基線自動對比分析檢查數(shù)據(jù)，讓管理員及時全面掌握網(wǎng)絡(luò)安全狀態(tài)，輕松準(zhǔn)確的完成安全運維任務(wù)，極大的提供工作效率。安全基線管理產(chǎn)品基于安全基線的檢查方式，為網(wǎng)絡(luò)脆弱性分析提供了切合實際的一致性度量標(biāo)準(zhǔn)，通過多維度分析對比，讓管理者直觀了解網(wǎng)絡(luò)脆弱性所在，為系統(tǒng)安全建設(shè)提供數(shù)據(jù)支撐。? 結(jié)合某科技提出的安全基線模型，RSAS 能夠?qū)W(wǎng)絡(luò)系統(tǒng)的漏洞、安全配置、端口、進程/服務(wù)、重要文件進行全面周期性的脆弱性評估與度量，給出有據(jù)可依的分析報告和趨勢報告，以方便繁雜的安全運維作業(yè)工作。? 依托專業(yè)的 NSFOCUS 安全服務(wù)團隊，提供完善的安全配置知識庫，通過該知識庫可以全面的指導(dǎo) IT 信息系統(tǒng)的安全配置及加固工作；? 依托專業(yè)的 NSFOCUS 安全小組，綜合運用信息重整化（NSIP）等多種領(lǐng)先技術(shù)，自動、高效、及時準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)存在的安全漏洞；專業(yè)的 Web 應(yīng)用掃描模塊，可以自動化進行 Web 應(yīng)用、Web 服務(wù)及支撐系統(tǒng)等多層次全方位的安全漏洞掃描，簡化安全管理員發(fā)現(xiàn)和修復(fù) Web 應(yīng)用安全隱患的過程； 基于實踐的安全基線管理及展示某安全基線管理產(chǎn)品中提出的安全基線模型，覆蓋了系統(tǒng)脆弱性的多個方面，包括漏洞，安全配置，開放的端口，系統(tǒng)中運行的進程和服務(wù)，重要文件的變化狀態(tài)等，而且該模型是一個開放式的模型，能夠緊跟安全威脅的發(fā)展趨勢，把某科技的最新研究成果添加到產(chǎn)品中來。根據(jù)安全基線模型建立安全基線的過程是一個對業(yè)務(wù)系統(tǒng)中資產(chǎn)安全狀況的分析、評估、再分析、再評估的過程，建立基線過程本身就是一個對系統(tǒng)脆弱性全面了解的過程。首先建立基線是分析網(wǎng)絡(luò)脆弱性的基礎(chǔ)，可以是管理人員對整個網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)有個感性認識，需要知道網(wǎng)絡(luò)中是否存在風(fēng)險，影響范圍多大，風(fēng)險影響嚴(yán)重性程度有多大；然后進一步需人民醫(yī)院網(wǎng)絡(luò)安全建設(shè)方案 32 要了解網(wǎng)絡(luò)系統(tǒng)中存在風(fēng)險的類別有哪些，這些風(fēng)險的分布情況是什么樣，這些風(fēng)險在什么時間出現(xiàn)的；再進行進一步的分析，比較不同區(qū)域的差異，比較風(fēng)險變化的趨勢，了解風(fēng)險出現(xiàn)和地域、時間因素的關(guān)系；最后，根據(jù)分析結(jié)果有針對性的加強相關(guān)網(wǎng)絡(luò)安全建設(shè)。對網(wǎng)絡(luò)安全狀況的改進過程是一個循環(huán)上升的過程，隨著時間的推移，這個過程也要持續(xù)的進行。NSFOCUS RSAS 提供圖形化的資產(chǎn)管理方式，緊密結(jié)合業(yè)務(wù)系統(tǒng)資產(chǎn)，通過可量化的安全基線，幫助用戶對當(dāng)前網(wǎng)絡(luò)的安全狀態(tài)有一個整體、直觀的認識，實時掌握網(wǎng)絡(luò)安全狀態(tài)變化，為安全建設(shè)和事故應(yīng)急提供有數(shù)據(jù)支撐的決策支持。NSFOCUS RSAS 能夠?qū)M織、部門、主機等不同層次進行基線安全安全檢查，能夠完全配合不同業(yè)務(wù)系統(tǒng)對不同安全配置檢查側(cè)重點的要求。并且系統(tǒng)提供由某科技安全服務(wù)團隊多年實踐建立起來的基線模板庫，方便用戶在此基礎(chǔ)上定義符合切實需求的安全基線。某科技眾多專家組成的專業(yè)安全服務(wù)團隊，和國際上享有盛名的 NSFOCUS 安全小組，為安全基線模型提供了理論和實踐上的雙重保障，為安全基線模型概念的發(fā)展提供了持續(xù)的動力。 基于用戶行為模式的管理架構(gòu)作為用戶體驗性很強的產(chǎn)品，NSFOCUS RSAS 始終秉承“以人為本”的理念，在產(chǎn)品設(shè)計過程充分考慮了實際用戶需求和使用習(xí)慣，從用戶角度完善了很多管理功能。“一鍵式”智能任務(wù)模式、快速結(jié)果報表、智能摘要技術(shù)等，最大限度的滿足了易用性和高效性的需求。NSFOCUS RSAS 采用 B/S 管理架構(gòu)，能夠以 SSL 加密