APP安全建设实施计划方案Word格式文档下载.docx
《APP安全建设实施计划方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《APP安全建设实施计划方案Word格式文档下载.docx(15页珍藏版)》请在冰豆网上搜索。
各设备的具体防护功能及特性将在后面的章节详细介绍。
产品部署网络拓扑图如下:
三、平安设备效果及性能简介
3.1防火墙
防火墙部署于医院部网络与互联网边界处,是整个网络平安防护的根底实施。
主要对需要访问医院效劳窗IIS效劳器的外部用户经行访问控制,起到对于网络层数据流和攻击的防御。
同时在蠕虫病毒大爆发的时候可防止外部用户将其感染到本平安域之,造成更大更严重的损失。
防火墙按性能可分为万兆、千兆、百兆三大类,其中千兆及百兆应用最为普遍。
万兆高端防火墙主要应用于ISP及大型骨干网中,中端千兆防火墙主要应用于企事业单位,百兆的低端防火墙主要针对桌面级应用。
如医院网络边界处已有防火墙设备那么此处不用考虑。
3.1.1设备技术参数
防火墙
(百兆)
网御星云PowerV6000-F1500-ZK
系统为VSP通用平安平台并具备其证书;
设备至少具备三操作系统,MiniOS、SystemA、SystemB,均可启动配置选择,且在WEB界面可明确启动选项,用户可自由选择当前引导系统,保障稳定性;
并发连接数≥150万,吞吐量≥800Mbps,IPSec隧道数≥2000;
标准1U机箱,标配10个10/100MBASE-T接口;
支持多端口聚合,实现零本钱扩展带宽;
支持异常主机快速定位功能。
(千兆)
网御星云PowerV6000-F2050-JW
并发连接数≥180万,吞吐量≥3Gbps,IPSec隧道数≥5000;
标准1U机箱,标配6个10/100/1000BASE-T接口,4个SFP接口;
3.2网闸
网闸的部署至关重要。
它部署在IIS效劳器与HIS数据库之间。
因为用户通过IIS效劳器向HIS数据库提取数据时,无论在平安性还是性的角度来看,网闸的部署进一步提升了平安的等级,到达物理隔离。
两个网络之间没有任何物理连接,没有任何网络协议可以直接穿透。
并可以实现“协议落地、容检测〞,这样,既从物理上隔离、阻断了具有潜在攻击可能的一切连接,又进展了强制容检测,从而实现最高级别的平安。
有效的将两网之间实现了平安隔离与业务数据平安、可靠的交换。
通过这种部署方式,可以为访问提供更高的平安性保障。
确保核心数据库在对外提供数据时不被攻击、篡改、破坏。
平安隔离信息交换系统〔网闸〕该产品是利用网络隔离技术的访问控制产品,处于网络边界,连接两个或多个平安等级不同的网络,主要应用于对重点数据提供高平安隔离的保护。
国家局对平安隔离与信息交换类产品的应用也做了规定,规定平安隔离与信息交换系统在以下四种网络环境下应用:
●不同的涉密网络之间;
●同一涉密网络的不同平安域之间;
●与Internet物理隔离的网络与秘密级涉密网络之间;
●未与涉密网络连接的网络与Internet之间。
3.2.1设备技术参数
网闸
网御星云SIS-3000-Z1A00-ZK
机架式设备,采用2+1架构,并提供公安部计算机信息系统平安产品质量监视检验中心检验报告证明;
不少于8个10/100/1000M自适应电口,外网主机系统分别具有独立的网络口、管理口、HA口〔热备口〕;
4个USB口。
网络延时小于5ms,系统总延时小于1ms,开关切换时间小于10ns,数据摆渡速度大于200Mbps,并发连接数大于15000;
具备文件交换、FTP访问、数据库传输、传输、平安浏览、定制访问、平安通道、视频传输等模块;
支持所有模块全面病毒过滤。
网御星云SIS-3000-Z2A00-JW
不少于12个10/100/1000M自适应电口,外网主机系统分别具有独立的网络口、管理口、HA口〔热备口〕;
网络延时小于1ms,系统总延时小于1ms,开关切换时间小于10ns,数据摆渡速度大于750Mbps,并发连接数大于50000;
3.3入侵检测〔IDS〕
在平安防护系统中,假设不良来访者被允许访问,它会对用户网络做出令网络管理者无法控制的事情,如果系统配备了入侵检测〔IDS〕,这种破坏性行为将被抑制。
我们知道,网络总是要提供效劳的,对于一些常用的效劳如浏览和收发等,防火墙只做到允许或者拒绝各种各样访问者访问这些效劳,无法判定具有攻击行为的访问是否会摧毁防火墙。
这就好似门卫难以判定每个来访者是办事者还是偷窃者一样。
如果墙角(或其他什么位置)安装了微型摄像机,能够监视来访者的一举一动,保安人员便可以根据来访者的行为及时发现不法分子,及时报警,确保办公与居住人员的平安。
我们在核心交换区域部署IDS监听设备,在此位置,它在不影响整体网络业务性能的情况下,能监听到所有访问业务效劳器区域和网区域的所有行为举动,假设有异常行为可联合防火墙等进展平安联动,阻断非法行为,同时为我们出现问题后的事后取证与行为复原提供了充分的依据。
3.3.1设备详细技术参数
入侵检测系统
网御星云TD3000-FS1000-ZK
探测器引擎的操作系统为VSP通用平安平台,具备高效、智能、平安、强健、易扩展等特点〔提供相关证明材料〕,要求IDS为专业的旁路检测类产品,因此要求不得以IPS旁路部署的方式提供,不能串接部署,产品应至少支持1个通讯接口,以及不少于5个10/100/1000M监听口,不小于500Mbps,不小于100万;
超过3000条的检测规那么,全面兼容CVE、BugTraq等国际标准漏洞库。
网御星云TD3000-GS1820-JW
探测器引擎的操作系统为VSP通用平安平台,具备高效、智能、平安、强健、易扩展等特点〔提供相关证明材料〕,要求IDS为专业的旁路检测类产品,因此要求不得以IPS旁路部署的方式提供,不能串接部署,产品应至少支持1个通讯接口,不少于5个10/100/1000M电口监听口,不少于2个千兆SFP光口监听口,冗余双电源,不小于1Gbps,不小于120万;
3.4Web应用平安防护——WAF
WAF〔WebApplicationFirewall〕工作在应用层,提供专业的针对医院效劳窗IIS效劳器Web应用的防护,提供Web应用交互容以及Web页面中代码漏洞的检测防御和Web2.0时代动态的应用防护,通过执行应用会话部的请求来处理应用层,它专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。
WAF可以阻止将应用行为用于恶意目的的浏览器和攻击,一些强大的应用平安网关甚至能够模拟代理成为基于web的应用效劳器承受应用交付,部署与所有基于web应用的效劳器群签名,形象的来说相当于给原web应用效劳器群加上了一个平安的绝缘外壳。
WAF针对常见的Web业务系统,提供综合的Web应用平安解决方案,确保用户Web业务风险最小化。
WAF通过对进出Web应用效劳器的流量相关容的实时分析检测、过滤,来准确判定并阻止各种Web应用攻击行为,阻断对Web应用效劳器的恶意访问与非法操作,如SQL注入、XSS、Cookie篡改以及应用层DoS攻击等,有效应对网页篡改、网页挂马、敏感信息泄露等平安问题。
系统使用主动实时监测过滤技术,将恶意代码、非授权篡改、应用攻击等众多威胁进展综合防,从而做到对医院效劳窗对外提供效劳的IIS应用效劳器的多重保护,确保IIS应用平安的最大化,充分保障IIS应用的高可用性和可靠性。
通过部署一台WAF管理多个独立的Web应用,各Web应用可采用不同的平安策略,可以在不修改用户网络架构的情况下增加新的应用,为多元化的Web业务运营机构提供显著的运营优势与便利条件,可以实时配置修改多个后台Web系统,而无需让Web系统下线。
3.4.1设备技术参数
Web应用防火墙
网御星云Leadsec-280WAF-ZK
产品至少可提供1个RJ-45Console口,1个10/100Base-Tx带外管理口,8个10/100/1000Base-T接口,产品应具备液晶显示屏,需采用MIPS多核硬件架构,非INTEL多核、非X86架构,处理器至少可支持到2核,吞吐率不小于800Mbps,不小于100万;
基于/S/FTP协议的蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等根本攻击;
CGI扫描、漏洞扫描等扫描攻击;
SQL注入攻击、XSS攻击等Web攻击。
应采用先进的协议分析技术对入侵特征进展分析,可有效一种防DNS请求报文洪泛滥攻击,可有效对系统进展平安性识别。
网御星云Leadsec-850WAF-JW
产品至少可提供1个RJ-45Console口,1个10/100Base-Tx带外管理口,12个光电互斥接口,产品应具备液晶显示屏,需采用MIPS多核硬件架构,非INTEL多核、非X86架构,处理器至少可支持到4核,吞吐率不小于1.8Gbps,不小于150万;
3.5防病毒网关
在网络边界部署防病毒网关,采用高检测度接入方式,在最接近病毒发生源平安边界处进展集中防护,对夹杂在网络交换数据中的各类网络病毒进展过滤,可以对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进展全面的拦截。
阻止病毒通过网络的快速扩散,将经网络传播的病毒阻挡在外,可以有效防止病毒从其他区域传播到部其他平安域中。
通过部署防病毒网关,截断了病毒通过网络传播的途径,净化了网络流量。
3.5.1设备技术参数
防病毒网关
〔百兆〕
网御星云PowerV6000-A1300-ZK
机架式,2个10/100M电口、4个10/100/1000M电口和一个扩展槽位;
防病毒吞吐量600Mbps,并发连接数≥1,800,000,每秒新建连接数≥12,000;
支持路由、透明、混合等各种工作模式下的网络病毒检测,支持无IP地址的透明桥下的网络病毒检测模式,支持VPN模式下的病毒扫描。
〔千兆〕
网御星云PowerV6000-A2390-JW
机架式,6个10/100/1000M电口、2个千兆SFP插槽;
防病毒吞吐量1.5Gbps,并发连接数≥2,000,000,每秒新建连接数≥20,000;
四、平安设备架构建议
医院效劳窗系统平安防护建立本着信息平安建立四原那么进展,即:
“全面保障〞原那么:
信息平安风险的控制需要多角度、多层次,从各个环节入手,全面的保障。
“整体规划,分步实施〞原那么:
对信息平安建立进展整体规划,分步实施,逐步建立完善的信息平安体系。
“同步规划、同步建立、同步运行〞原那么:
平安建立应与业务系统同步规划、同步建立、同步运行,在任何一个环节的疏忽都可能给业务系统带来危害。
“适度平安〞原那么:
没有绝对的平安,平安和易用性是矛盾的,需要做到适度平安,找到平安和易用性的平衡点。
在实施过程中基于以上四原那么在平安设备的配置部署上也因医院具体情况而定,下面给出本方案中平安设备在几种常见情况下的配置组合为用户提供参考。
对于威胁的防护,可分为三个防护等级:
根底防护:
通过防火墙设置网络平安策略,限制对IP地址及Port的访问,并采用入侵检测系统〔IDS〕对异常网络行为及攻击手段进展监测和日志记录。
该防护等级可阻止大局部攻击行为,但对容不能进展检测,对系统漏洞的防护力较弱。
防护效果:
★★★☆☆
所需平安设备:
防火墙、入侵检测系统
主动防护:
在根底防护等级的根底上,采用Web应用平安防护系统可重点针对系统应用效劳器进展保护,对进出效劳器数据的协议和容进展分析,并对应用流程进展限定,对于容包含威胁或不符合协议和应用流程的行为进展阻断。
同时增加防病毒平安网关〔AV〕对网络病毒进展查杀。
该防护等级可阻止绝大局部网络攻击及病毒传播。
★★★★☆
防火墙、入侵检测系统、Web应用平安防护系统、防病毒平安网关〔AV〕
物理隔离:
在主动防护等级的根底上,利用完全隔离与信息交换系统〔网闸〕对网和外网进展物理隔离,同时实现指定业务数据的高等级平安交换。
该防护等级可阻止所有XX的网络操作和数据传递,杜绝外网对网的所有平安威胁。
★★★★★
防火墙、入侵检测系统、Web应用平安防护系统、防病毒平安网关〔AV〕、完全隔离与信息交换系统〔网闸〕
五、平安设备部署实施时间方案表
工程容
时间
前期调研网络状况及详细需求
2-3天
上架实施制定各种平安策略
上线试运行观察,随时调整策略至稳定
4天
技术文档移交
1天
日常使用及维护培训
1-2天
六、平安设备厂商及产品选择参考
在明确了我们信息平安防护的目的及重点后,我们建议从以下几个方面去考虑对平安产品品牌及厂商的选择。
1、外乡化
因为平安产品的特殊性及敏感性,建议在品牌及厂商选择上尽量选择国的厂商。
信息平安领域行业在国已经开展的十分成熟,国的平安厂商与国外的平安厂商从技术上讲不存在什么差距,产品质量上也没有什么明显的差距不必盲目迷信国外厂商。
且国厂商更熟悉国情及国人的使用习惯。
2、拥有自主知识产权的一线品牌厂商
鉴于平安本身是一个相对动态的效劳,只有拥有自主知识产权厂商的产品的工艺流程能保障更好的产品质量,其拥有强大的研发团队及效劳团队更能保证产品软件系统的延续及升级,保障相关特殊码及病毒库的及时更新。
目前一线厂商主要有网御星云、天融信、东软、启明星辰。
3、提供本地化平安效劳支撑
平安效劳并不只是指对平安设备提供的售前售后等效劳,它是针对整个信息化网络的平安保障提供咨询效劳、解决方案、产品实施三位一体的完整的信息平安保护体系。
为客户提供风险评估效劳、等级保护效劳、平安体系咨询、平安运维效劳和信息平安培训等。
有实力、资质提供平安效劳的厂商对网络平安会掌握的更准确理解的更透彻,对用户就能提供更可靠更细致的效劳保障。
4、拥有各种行业、数量较大的实施案例及客户群
5、产品选择要素
产品名称
选择要素〔产品选择时至少要具备以下特征保证产品品质〕
具备双系统引导,及备份恢复系统,支持Web及客户端认证、具备病毒检测专用模块、具备抗DoS、DDoS功能、外网口分别独立配置、管理确保实现真正的网闸隔离机制
Web应用平安防护系统
具备自由专利技术的SQL、XSS攻击防御技术、支持S应用协议解密及针对S应用的攻击防护
支持计算机病毒检测,病毒库数量超过100万、支持Web攻击检测扫描、具备威胁事件实时展示功能
具备两个操作系统,和单独的备份恢复系统,保障操作系统稳定性
具备ISP路由表,可实现基于运营商路由的链路负载均衡、具备效劳器负载均衡功能、支持扩展防病毒和入侵防御功能、具备1000万级网址智能特征库
防病毒
网关
支持,SMTP,FTP,PO3P,IMAP等多种协议下病毒防护,支持自定义非标准端口的,SMTP,FTP,POP3,IMAP协议中的病毒检测;
支持过滤病毒、文件病毒、恶意网页代码、木马后门、蠕虫等多种类型的病毒,支持基于病毒防护规那么设置阻断并去除病毒、记录日志,发送电子报警等。
综合以上各种条件,在产品选择上我们推荐产品线丰富、性价比拟高的网御星云旗下的平安产品。
七、平安防护应用等级参考价
7.1平安防护套装A系列:
平安防护套装A系列能满足1500人同时在线访问,支持大数据量的传输,同时也能胜任突发集中访问出现的高负荷状况,以及业务顶峰时频繁访问等极端条件下的处理能力。
推荐三甲医院采用该套装方案。
套装A1:
根底防护级
产品规格
中联价格
市场建议价
网御星云防火墙
PowerV6000-F2050-JW
55000.00
70000.00
网御星云入侵检测系统〔IDS〕
TD3000-GS1820-JW
135000.00
160000.00
合计
190000.00
230000.00
套装A2:
主动防护级
防病毒平安网关〔AV〕
PowerV6000-A2390-JW
65000.00
80000.00
Web应用平安防护系统〔WAF〕
Leadsec-850WAF-JW
125000.00
150000.00
380000.00
460000.00
套装A3:
物理隔离级
完全隔离与信息交换系统〔网闸〕
SIS-3000-Z2A00-JW
115000.00
140000.00
495000.00
600000.00
7.2平安防护套装B系列:
平安防护套装B系列能支持300-500人同时在线访问,该套装系列能满足中小型医院的正常访问量,但是当出现超限定人数访问量、大规模集中访问等极端状况时,可能会出现该套装无法负荷的状况。
推荐二甲医院或三级专科医院采用该套装方案。
套装B1:
PowerV6000-F1500-ZK
30000.00
40000.00
TD3000-FS1000-ZK
67000.00
85000.00
97000.00
套装B2:
PowerV6000-A1300-ZK
48000.00
60000.00
Leadsec-280WAF-ZK
95000.00
118000.00
240000.00
303000.00
套装B3:
SIS-3000-Z1A00-ZK
90000.00
110000.00
330000.00
413000.00
备注:
因为每种平安设备中系列众多,根据不同规模不同需求不同的应用环境,价格也不尽一样。
所以表中所列价格仅为参考。
具体型号及价格还是要根据实际情况有所变化。
升级会员 