【正文】 于內(nèi)容、行為、時間、用戶等多種條件組合的信息審計策略，對郵件收發(fā)（WEBMAIL、SMTP 、POP3）、文件上傳下載（HTTP、FTP）、網(wǎng)絡(luò)文件共享（NETBIOS）、論壇（BBS）、即時通訊等進(jìn)行全面信息審計，提供實時告警、信息還原功能，同時支持自定義內(nèi)容關(guān)鍵字庫，實現(xiàn)敏感信息的深度檢測識別，對機(jī)密信息外泄、非法言論傳播等行為的及時響應(yīng)處理、事后追查取證提供有力支持。綠盟安全審計系統(tǒng)針對單位不同的網(wǎng)絡(luò)環(huán)境和安全需求，基于安全區(qū)、IP 地址（組、段）、規(guī)則（組）、時間、動作等對象，制定不同的策略和響應(yīng)方式，就像一臺設(shè)備上虛擬出很多虛擬審計系統(tǒng)，每個虛擬審計系統(tǒng)分別執(zhí)行不同的策略，實現(xiàn)面向不同業(yè)務(wù)應(yīng)用、不同部門職能、不同策略的智能化安全審計。一個完善的安全審計系統(tǒng)（SAS）應(yīng)該從四個方面評價：? 細(xì)粒度的操作內(nèi)容審計與精準(zhǔn)的網(wǎng)絡(luò)行為實時監(jiān)控；? 全面詳細(xì)的審計信息，豐富可定制的報表系統(tǒng)；? 支持分級部署、集中管理，滿足不同規(guī)模網(wǎng)絡(luò)的使用和管理需求；? 自身的安全性高，不易遭受攻擊； 選型建議經(jīng)過對國內(nèi)外流行產(chǎn)品的分析，我們建議使用綠盟科技的安全審計系統(tǒng)。19 / 48 安全審計產(chǎn)品選型 選型依據(jù)安全審計系統(tǒng)具有對網(wǎng)絡(luò)通信內(nèi)容、網(wǎng)絡(luò)行為的實時監(jiān)測、報警、記錄等功能。解決方案安全審計系統(tǒng)（Security Audit System）是在一個特定的企事業(yè)單位的網(wǎng)絡(luò)環(huán)境下，為了保障業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)信息數(shù)據(jù)不受來自用戶的破壞、泄密、竊取，而運(yùn)用各種技術(shù)手段實時監(jiān)控網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)行為、通信內(nèi)容，以便集中收集、分析、報警、處理的一種技術(shù)手段。? 針對不良網(wǎng)站進(jìn)行告警、過濾；同時全面審計網(wǎng)站訪問行為，實時告警、記錄和網(wǎng)頁還原，實現(xiàn)全面、準(zhǔn)確、高效的網(wǎng)站訪問監(jiān)測? 對業(yè)務(wù)運(yùn)維操作進(jìn)行細(xì)粒度的監(jiān)控? 數(shù)據(jù)庫訪問進(jìn)行全面監(jiān)控管理；? 對郵件、論壇等外發(fā)信息行為進(jìn)行有效的監(jiān)控；? 可對郵件、論壇等外發(fā)信息行為進(jìn)行監(jiān)控管理，防止單位敏感機(jī)密信息外泄、非法反動言論傳播；? 對網(wǎng)絡(luò)應(yīng)用行為進(jìn)行監(jiān)測，如:P2P 下載、在線視頻等。在這種情況下，有效的使用和維護(hù)安全產(chǎn)品和安全策略，才能使安全產(chǎn)品發(fā)揮其最大的效應(yīng)，所以，我們建議如下：? 保障規(guī)則升級? 網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)控制臺每周定時檢查廠商規(guī)則升級模塊? 離線下載或使用廠商提供的定期升級包17 / 48? 控制臺自動推送升級到網(wǎng)絡(luò)引擎? 日志自動備份策略? 設(shè)置報警日志定期備份策略，防止出現(xiàn)日志溢出或意外丟失的情況? 定期分析與報告策略? 設(shè)置綜合報告每周發(fā)送策略，分別發(fā)給其他安全管理員? 每月對報告進(jìn)行綜合分析，對疑難問題，尋求安全廠商的支持 功能與效益部署網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)會給醫(yī)院網(wǎng)絡(luò)帶來以下安全功能的提高：? 實時發(fā)現(xiàn)和阻斷來自 Inter 的蠕蟲、病毒、間諜軟件和黑客等攻擊和入侵，防止黑客帶來的安全損失，加強(qiáng)了對內(nèi)部服務(wù)器的保護(hù)；? 實時發(fā)現(xiàn)和阻斷內(nèi)部蠕蟲、網(wǎng)絡(luò)病毒的大規(guī)模爆發(fā)；? 強(qiáng)制性規(guī)范工作人員的網(wǎng)絡(luò)訪問行為，控制和減少工作人員利用信息網(wǎng)絡(luò)作與工作無關(guān)的行為； ? 可以對內(nèi)部網(wǎng)絡(luò)流量和網(wǎng)絡(luò)資源的監(jiān)控，方便及時的發(fā)現(xiàn)網(wǎng)絡(luò)異常，同時可以根據(jù)需求，進(jìn)行帶寬管理，幫助診斷網(wǎng)絡(luò)異常狀況，提高網(wǎng)絡(luò)帶寬的使用率；? 對黑客的攻擊行為進(jìn)行監(jiān)控，保留異常行為日志，為事后采取補(bǔ)救措施作準(zhǔn)備；? 智能、自動化的安全防御，降低整體的安全費(fèi)用以及對于網(wǎng)絡(luò)安全領(lǐng)域人才的需求。由于綠盟 NIPS 同時支持 C/S 和 B/S 模式，所以可以靈活方便的管理部署在網(wǎng)絡(luò)中的 綠盟NIPS。? 每臺千兆綠盟 NIPS 設(shè)備均具備 BYPASS 功能，確保設(shè)備出現(xiàn)異常后，不影響正常鏈路和業(yè)務(wù)流量。? 在醫(yī)院內(nèi)網(wǎng)和農(nóng)保/醫(yī)保 /銀行網(wǎng)絡(luò)的互聯(lián)出口下一代防火墻下，部署一臺千兆綠盟NIPS。具體部署方式如下：? 在醫(yī)院內(nèi)網(wǎng)的兩臺互聯(lián)網(wǎng)出口下一代防火墻下部署兩臺千兆綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)，每臺 NIPS 雙上聯(lián)兩臺出口下一代防火墻。全中文界面、中文報表，符合中國人操作習(xí)慣，而中文規(guī)則庫對每個漏洞都有詳細(xì)描述，并提供了詳細(xì)的解決方案及補(bǔ)丁下載地址。從系統(tǒng)升級到報表系統(tǒng)，從攻擊告警到日志備份，綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)均可由系統(tǒng)定時自動后臺運(yùn)行，達(dá)到“零管理 ”。綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)還支持失效開放（Failopen）機(jī)制和雙機(jī)熱備（HA），避免單點(diǎn)故障。綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)具有強(qiáng)大的流量管理功能，采用全局維度（協(xié)議/端口）、局部維度（源/目的 IP 地址、網(wǎng)段）、時間維度（時間）、流量緯度（帶寬）等流量控制四元組，基于對象的策略配置方便用戶靈活控制網(wǎng)絡(luò)流量。? 廣泛精細(xì)的應(yīng)用防護(hù)綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)提供“虛擬補(bǔ)丁” ，主動防御已知和未知攻擊，實時阻斷各種黑客攻擊，如緩沖區(qū)溢出、SQL 注入、暴力猜測、拒絕服務(wù)、掃描探測、非授權(quán)訪問、蠕蟲病毒、木馬后門、間諜軟件等，而且針對僵尸網(wǎng)絡(luò)提供主動防御，廣泛精細(xì)的應(yīng)用防護(hù)幫助用戶避免安全損失。綠盟科技每月平均提供 2 到 3 次升級更新，在緊急情況下可即時提供更新。? 基于對象的虛擬系統(tǒng)綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)提供基于對象的虛擬系統(tǒng)（VIPS），針對不同的網(wǎng)絡(luò)環(huán)境和安全需求，基于安全區(qū)、IP 地址（組、段）、規(guī)則（組、集）、時間、動作等對象，制定不同的規(guī)則和響應(yīng)方式，就像一臺設(shè)備上虛擬出很多虛擬系統(tǒng)，每個虛擬系統(tǒng)分別執(zhí)行不同的規(guī)則集，實現(xiàn)面向不同對象、實現(xiàn)不同策略的智能化入侵防護(hù)。15 / 48綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)專門設(shè)計了安全、可靠、高效的硬件運(yùn)行平臺。 關(guān)鍵特性? 深度融合的集成平臺綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)作為自主知識產(chǎn)權(quán)的新一代安全產(chǎn)品，深度融合的防火墻/IPS/IDS 集成平臺開創(chuàng)了世界先河，獨(dú)一無二的設(shè)計使綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)為用戶提供從鏈路層到應(yīng)用層的深度安全防護(hù)，圓滿解決了防火墻靜態(tài)防御和 IPS 動態(tài)防御的融合難題，為用戶提供全面的入侵保護(hù)解決方案。? 內(nèi)容管理：對內(nèi)部網(wǎng)絡(luò)資源提供內(nèi)容管理，可以有效檢測并阻斷間諜軟件，包括木馬后門、惡意程序和廣告軟件等，并可以對即時通訊、P2P 下載、網(wǎng)絡(luò)游戲、在線視頻、網(wǎng)絡(luò)流媒體等內(nèi)容進(jìn)行監(jiān)控并阻斷。綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)采用先進(jìn)的體系架構(gòu)集成領(lǐng)先的入侵保護(hù)技術(shù)，包括以全面深入的協(xié)議分析技術(shù)為基礎(chǔ)，協(xié)議識別、協(xié)議異常檢測、關(guān)聯(lián)分析為核心的新一代入侵保護(hù)引擎，能夠協(xié)助客戶： ? 網(wǎng)絡(luò)防護(hù)：具有實時的、主動的網(wǎng)絡(luò)防護(hù)功能，內(nèi)置基于狀態(tài)檢測的防火墻，保護(hù)網(wǎng)絡(luò)邊界和內(nèi)部網(wǎng)絡(luò)，同時為網(wǎng)絡(luò)設(shè)備的漏洞提供防護(hù)，具有流量管理功能，對于可能出現(xiàn)的異常流量，提供抗拒絕服務(wù)攻擊功能。 綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)的特點(diǎn)綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)是綠盟科技自主知識產(chǎn)權(quán)的新一代安全產(chǎn)品，作為一種在線部署的產(chǎn)品，其設(shè)計目標(biāo)旨在準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，自動對各類攻擊性的流量，尤其是應(yīng)用層的威脅進(jìn)行實時阻斷，而不是在監(jiān)測到惡意流量的同時或之后才發(fā)出告警。13 / 48 綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)綠盟入侵防護(hù)系統(tǒng) NIPS （Network Intrusion Prevention System）提供一種主動的、實時的防護(hù)，其設(shè)計旨在對常規(guī)網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進(jìn)行檢測，阻止入侵活動，預(yù)先對攻擊性的流量進(jìn)行自動攔截，使它們無法造成損失，而不是簡單地在傳送惡意流量的同時或之后發(fā)出警報。? 超強(qiáng)的網(wǎng)絡(luò)攻擊防護(hù)能力下一代防火墻集成了綠盟科技專業(yè)的 IPS 模塊，可實現(xiàn)基于 IP 地址/網(wǎng)段、規(guī)則（組、集）、時間、動作等對象的虛擬 IPS。? 高性能的防火墻下一代防火墻采用內(nèi)容狀態(tài)檢測的過濾技術(shù)，支持路由、透明、混合模式部署，可實現(xiàn)基于源/目的 IP 地址、協(xié)議/端口、時間、用戶、VLAN、 VPN、安全區(qū)的訪問控制。具備了 NIPR 和 NICR 的下一代防火墻，不再受動態(tài)端口或攻擊工具變化的影響。網(wǎng)絡(luò)應(yīng)用層防護(hù)的最大難度在于對復(fù)雜多變的應(yīng)用協(xié)議、黑客復(fù)雜的攻擊行為以及應(yīng)用內(nèi)容進(jìn)行解析識別，從而進(jìn)行針對性的防護(hù)。設(shè)備管理通過安全管理區(qū)的安全管理服務(wù)器上安裝安全中心對該設(shè)備進(jìn)行全面的管理。10 / 48 醫(yī)院網(wǎng)絡(luò)安全建設(shè)拓?fù)鋱D 網(wǎng)絡(luò)安全設(shè)備投入列表產(chǎn)品名稱 產(chǎn)品功能 數(shù)量下一代防火墻（NF）訪問控制、上網(wǎng)行為管理、出口網(wǎng)絡(luò)防護(hù)1 臺網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)（IPS） 入侵攻擊防護(hù) 1 臺安全審計系統(tǒng)（ SAS） 網(wǎng)絡(luò)行為、數(shù)據(jù)庫審計 1 臺11 / 48遠(yuǎn)程安全評估系統(tǒng)（RSAS） 漏洞掃描 1 臺Web 應(yīng)用防火墻（WAF ） 網(wǎng)站防護(hù)、防篡改 1 臺安全審計堡壘機(jī)（ SASH） 運(yùn)維安全審計 1 臺四、基礎(chǔ)安全建設(shè)基礎(chǔ)安全建設(shè)專注于醫(yī)院的信息系統(tǒng)的建設(shè)，主要包含訪問控制，入侵防護(hù)，日志審計，漏洞管理等幾個方面，訪問控制能夠保證互聯(lián)網(wǎng)對內(nèi)網(wǎng)資源的合理有效利用，入侵防護(hù)則能全面防護(hù)互聯(lián)網(wǎng)對內(nèi)網(wǎng)發(fā)起的攻擊以及內(nèi)網(wǎng)對互聯(lián)網(wǎng)的攻擊；在日志審計方面，根據(jù)衛(wèi)生部對信息系統(tǒng)的要求，根據(jù)****省衛(wèi)生廳關(guān)于“統(tǒng)方”治理的要求，我們考慮在核心系統(tǒng)上進(jìn)行嚴(yán)格的日志審計工作；在漏洞管理上，由于大量的信息終端的存在，且當(dāng)前利用漏洞進(jìn)行攻擊的案例比比皆是，故在一起管理上，我們將這四點(diǎn)作為基礎(chǔ)信息安全建設(shè)來進(jìn)行處理，并在每個環(huán)節(jié)上進(jìn)行分章節(jié)詳細(xì)描述。將上述需求進(jìn)行分期規(guī)劃，我們將醫(yī)院的信息安全建設(shè)按照由淺入深的步驟分解為三個步驟：一期建設(shè)專注于基礎(chǔ)安全建設(shè)，二期建設(shè)專注與數(shù)據(jù)安全與安全服務(wù)，三期建設(shè)專注于安全管理體系的構(gòu)建。? 保障醫(yī)生等醫(yī)院內(nèi)部職員能夠通過 VPN 遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)服務(wù)，查詢其所需的內(nèi)網(wǎng)資源，同時保障這條 VPN 通道的穩(wěn)定可信。? 審計針對數(shù)據(jù)中心的各種網(wǎng)絡(luò)操作與訪問行為，滿足系統(tǒng)審計的要求與取證的要求。9 / 48三、需求分析根據(jù)對醫(yī)院網(wǎng)絡(luò)系統(tǒng)的風(fēng)險分析，我們發(fā)現(xiàn)信息安全需求主要在以下方面：? 防御來自外部的威脅，阻止蠕蟲、網(wǎng)絡(luò)病毒、間諜軟件和黑客攻擊對網(wǎng)絡(luò)造成的安全損失，防止針對 Web 服務(wù)的例如 SQL 注入，跨站腳本攻擊，網(wǎng)頁篡改等攻擊，提高醫(yī)院網(wǎng)絡(luò)的整體抗攻擊能力；? 防御來自內(nèi)部的威脅，阻止蠕蟲、網(wǎng)絡(luò)病毒爆發(fā)對醫(yī)院內(nèi)部服務(wù)器和網(wǎng)絡(luò)的破壞，保障業(yè)務(wù)系統(tǒng)的正常運(yùn)行；? 監(jiān)控網(wǎng)絡(luò)的安全運(yùn)行，全面把握安全狀態(tài)，以便于及時的發(fā)現(xiàn)安全攻擊，防止安全事件的發(fā)生。另外，網(wǎng)絡(luò)防病毒系統(tǒng)屬于被動防護(hù)，對于新的未知蠕蟲病毒，防病毒軟件無法檢測出。 攻擊快速傳播引發(fā)的安全風(fēng)險目前利用漏洞傳播的蠕蟲、病毒、間諜軟件、DDoS 攻擊、垃圾郵件等混合威脅越來越多，傳播速度加快，留給人們響應(yīng)的時間越來越短，使用戶來不及對入侵做出響應(yīng)。 內(nèi)部網(wǎng)絡(luò)存在的風(fēng)險在醫(yī)院的網(wǎng)絡(luò)中，內(nèi)部具有大量的信息節(jié)點(diǎn)，其中包括醫(yī)生所使用的工作電腦、病房區(qū)病人所使用的電腦以及大量業(yè)務(wù)系統(tǒng)所采用的信息載體，如何保障信息安全意識薄弱的這些設(shè)備使用者能夠不將病毒帶入內(nèi)部網(wǎng)絡(luò)中，不將帶有木馬、蠕蟲等惡意軟件的移動設(shè)備加載到內(nèi)部辦公網(wǎng)絡(luò)使用。而在防火墻是無法檢測或攔截嵌入到普通業(yè)務(wù)流量中的惡意攻擊代碼，如針對醫(yī)院網(wǎng)站 WEB 服務(wù)的Code Red 蠕蟲、SQL 注入，跨站腳本攻擊，網(wǎng)頁篡改等。依據(jù)醫(yī)院的網(wǎng)絡(luò)現(xiàn)狀和相關(guān)業(yè)務(wù)情況，我們主要從以下幾個方面關(guān)注可能面臨的安全風(fēng)險： 外部網(wǎng)絡(luò)帶來的安全風(fēng)險由于醫(yī)院連接到互聯(lián)網(wǎng)，且具有 10 多條外聯(lián)鏈路，外部攻擊者可以利用存在的漏洞進(jìn)行破壞，可能引起數(shù)據(jù)破壞、業(yè)務(wù)中斷甚至系統(tǒng)宕機(jī)，嚴(yán)重影響網(wǎng)絡(luò)的正常運(yùn)行。? 內(nèi)部故意破壞醫(yī)院同時需要考慮內(nèi)部的不滿人員惡意破壞信息網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的可能；以及某些別有用心的人士從內(nèi)部發(fā)起的惡意攻擊。同時 P2P 軟件也逐漸成為計算機(jī)病毒和木馬傳播的主要途徑。 內(nèi)部威脅? 非法數(shù)據(jù)訪問/修改等由于醫(yī)療信息所具有的商業(yè)性，公共性，政治性等原因，需要對各類對醫(yī)院網(wǎng)絡(luò)/服務(wù)器/數(shù)據(jù)庫進(jìn)行記錄與審核，否則，一旦出現(xiàn)數(shù)據(jù)泄密、非法訪問等違規(guī)行為，不僅無法第一時間知曉、記錄，而且后期也無法定位違規(guī)者、無法追溯事件源頭，這就造成了管理上的漏洞與缺陷。? 數(shù)據(jù)竊取由于醫(yī)院網(wǎng)絡(luò)中存儲有大量重要而敏感的信息，一旦發(fā)生數(shù)據(jù)泄密，將造成嚴(yán)重的社會影響，同時由于每天大量的診療信息通過信息網(wǎng)絡(luò)流通，如果出現(xiàn)數(shù)據(jù)錯誤將會影響診療信息的準(zhǔn)確性與及時性。嚴(yán)格的訪問權(quán)限控制會大大提升各區(qū)域的安全性。如有意避開系統(tǒng)訪問控制機(jī)制，對網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問信息。最后我們按照醫(yī)院的實際情況，將這個方案按照需求進(jìn)行分期描述，一期主要解決基礎(chǔ)安全問題，二期集中在數(shù)據(jù)安全與安全服務(wù)工作，三期則上升至管理安全。綜上所述，可從外部/內(nèi)部兩方面對威脅進(jìn)行分析：根據(jù)信息系統(tǒng)安全建設(shè)的思路，我們以醫(yī)院的信息系統(tǒng)建模，這個模型即是包含醫(yī)院的網(wǎng)絡(luò)拓?fù)?，業(yè)務(wù)系統(tǒng)，數(shù)據(jù)系統(tǒng)等多方面的信息的集合。醫(yī)院網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，具有多個互聯(lián)出口，其中既有與電信、移動相連接的互聯(lián)網(wǎng)出口，又有大量與銀行，社保，新農(nóng)保等單位的鏈接。這些政策法規(guī)主要有：《全國衛(wèi)生信息化 20222022 年發(fā)展規(guī)劃綱要》《衛(wèi)生系統(tǒng)內(nèi)部審計工作規(guī)定(衛(wèi)生部令 51 號）》《基于健康檔案的區(qū)域衛(wèi)生信息平臺建設(shè)指南（試行）》《中華人民共和國保守國家秘密法 》（1988 年 9 月 5 日中華人民共和國主席令 第 6 號公布）《中華人民共和國保守國家秘密法實施辦法》（國家保密局文件 國保發(fā) [1990] 1 號） 《中華人民共和國國家安全法》（主席令 68 號，1993 年 2 月 22 日第七屆全國人民代表大會常務(wù)委員會第三十次會議通過）《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院令 147 號）《計算機(jī)信息系統(tǒng)安全等級