安全产品方案辽宁省人民医院Word格式文档下载.docx
《安全产品方案辽宁省人民医院Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《安全产品方案辽宁省人民医院Word格式文档下载.docx(13页珍藏版)》请在冰豆网上搜索。
✓内部的各个功能网络通过骨干交换相互连接,这样的话,重要的部门或者专网将遭到来自其他部门的越权访问。
这些越权访问可能包括恶意的攻击、误操作等等,但是它们的后果都将导致重要信息的泄漏或者是网络的瘫痪。
通过边界风险分析,建议省人民医院边界处增加天融信入侵防御系统TopIDP3000TI-31114,实现对于出入省人民医院网络的数据流深度数据检测和防御,并且结合省人民医院的防火墙系统,使医院的信息系统网络体系达到强壮的耐攻击性;
有效保证各种服务器操作系统的安全性,使其被黑客攻击的可能降为最低;
保护重要应用系统(如数据库)数据安全不受外不攻击和内部人员误操作的侵害。
网络内部的风险和建议
省人民医院内部网络的风险分析主要针对整个内网的安全风险,主要表现为以下几个方面:
✓对用户的网络行为难以监管、上网行为难以控制;
省人民医院内部员工是否在工作时间进行P2P下载、ftp及http下载、上网冲浪、聊天、地下浏览,是否访问不健康网站,是否通过网络泄漏了公司的机密信息,传播反动言论等。
✓带宽难以管理;
如何优化IT资源,提升资源价值。
关键应用质量无法保证,如视频会议、ERP、VoIP、电子邮件、网页浏览等。
✓难以掌握网络使用情况;
对内部用户网络使用情况也很重要。
✓网络行为后期取证较难;
后期取证对网络潜在威胁者予以威慑。
通过网络内部的风险分析,建议在辽宁省人民医院网络核公共办公区域配置部署天融信上网行为管理系统TopGate300TG-3314-ACM。
可实时监控、管理网络资源使用情况,提高整体工作效率。
记录有关上网日志,便于事后分析用户的日常访问情况及网络的使用情况,系统能实时记录网络中发生的日志。
可以对外访问内部局域网行为及内部网用户之间的访问行为作日志,提供分析和事后跟踪。
内外数据交互风险和建议
省人民医院内部数据机密性高,且与外部区域之间传输存在风险。
内部区域与对外数据区域(如图)之间部署天融信安全隔离与信息交换系统TopRules7000TR-7355,方便了前、后台之间的数据传输,而又达到较高的安全级别。
专用的引擎独立完成协议的剥离和重建,达到对应用数据的封包、拆包、完全内容过滤、检测和摆渡,从而实现网间隔离和数据交换。
所有经过数据流都从TCP/IP协议包中剥离,还原为应用层数据,应用层数据通过专用硬件和专用通信协议发送给仲裁系统进行安全控制和审查。
专用的硬件和专用的通信协议,有效地隔断内外网间的直接连接,借助严格的安全策略对数据流进行细粒度控制,防范恶意攻击和敏感信息的泄漏,有效的保障了网络间的安全可靠隔离和信息的受控交换。
辽宁省人民医院拓扑图
方案建议配置安全产品简介:
防火墙系统建议
功能特点介绍:
推荐网络卫士防火墙,除了它完全符合省人民医院网络安全技术要求外,还具有以下的功能特点:
自主产权的安全芯片
天融信防火墙的核心芯片—TopASIC™,是天融信在多年芯片开发的经验积累下,在上一代芯片开发的基础上完成的,从而确保该芯片在继承了原有技术优势的同时,技术的稳定性好。
TopASIC™的成功开发和应用,使天融信跻身于少数拥有芯片级核心技术自主产权的国际安全厂商的行列。
高集成度高稳定性的芯片
天融信防火墙借鉴了业内芯片SoC(SystemonChip)技术,芯片内置硬件防火墙单元、7层数据分析单元、VPN加密单元、硬件路由交换单元、快速报文缓存、MAC等众多硬件芯片单元,使得防火墙全部业务功能都在安全芯片系统内完成。
高度集成化确保产品具有低功耗、高性能、高稳定、长寿命的特点。
灵活的双引擎构架
天融信防火墙的核心构架采用高性能管理CPU与可编程ASIC技术相结合的方式,将系统的控制平面与数据平面分开,大大降低了控制平面与数据平面间的数据流量。
ASIC硬件芯片负责数据业务的处理转发;
高性能管理CPU处理器提供系统的管理控制功能,它具有强大运算能力的优势可以大大提高系统的自身抗攻击能力,以及保证在高强度攻击下的系统自身管理效率。
真正的线速性能
内置的专用硬件加速芯片,保证系统从小包64字节到1518字节的数据处理,从简单功能到复杂网络应用组合,都可以达到100%的线速转发。
加之天融信自主TAPF(TopASICPacketFashpath)报文转发技术,报文转发延迟比传统防火墙降低了数十倍。
具体表现为:
Ø
各种业务条件下的线速转发。
例如当启动NAT、各种防火墙策略后,系统性能不变。
系统大容量。
最高5Gbps总转发容量。
保证天融信防火墙千兆端口的线速转发。
低延迟。
借助报文快速处理TAPT等技术,使得报文转发延迟相对X86或者NP构架防火墙有数十倍的降低,最低可以小于3us。
高稳定性和高处理能力
专用芯片技术是当前高端网络设备广泛采用的技术。
由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术,专用芯片架构防火墙解决了带宽容量和性能不足的问题,稳定性也得到了很好的保证。
通过对用户需求的深入了解,对关键功能的处理流程进行大量的优化工作,使得关键处理部分以简单而固定的方式实现,从而固化到硬件。
通过把指令或计算逻辑固化到硬件中,可以获得很高的处理速度,因而能够很好地满足网络安全设备对处理能力、性能及稳定性的要求。
自主产权的安全操作系统平台
天融信全新的安全操作系统核心—TOS,采用了多项突破性技术,该操作系统的安全模型采用了形式化(formal)设计方法,具有高可靠,高安全,可推导、可验证等特点。
TOS采用WEBUI管理方式,同时支持CONSOLE和TELNET等多种配置管理方式,配置管理更容易。
同时,TOS采用双系统内核,系统内具有主、备两套操作系统,完全满足XX单位系统对于设备的稳定性的需求。
操作系统采用分层的设计理念,在硬件和OS内核层之间的硬件抽象层使TOS能适应各种硬件体系平台,充分利用各种计算技术的优势,TOS系统分为OS层、基础层、服务层和安全引擎层;
稳定、可靠、安全的OS核融入了多项基础层和服务层模块,提供了丰富的支撑功能,能方便的构建功能强大的设备系统,在服务层之上可以通过插入各种安全引擎(SE)来提供各种安全功能。
如:
VPN、防病毒等功能。
TOS为防火墙及多种安全产品提供了统一的、安全的基础平台。
同时,自主研发的操作系统自身进行了充分优化,具有更高的安全性。
拥有操作系统版权,没有知识产权的风险。
天融信对TOS内核的支持,目前远远高于对老版本系统内核的支持力度,因此也强烈建议采用该版本的系统内核。
采用独创的最新最先进的技术
核检测技术,即基于OS内核的会话检测技术,在OS内核实现对应用层访问控制。
它相对于包过滤和应用代理防火墙来讲,不但更加成功地实现了对应用层的细粒度控制,同时,更有效保证了防火墙的性能。
先进独特的防火墙策略体系
面向资源的防火墙策略体系。
使防火墙的策略配置更加简单,且便于维护。
适用更广泛的网络及应用环境
支持众多网络通信协议和应用协议,如DHCP、VLAN、ADSL、IPX、RIP、ISL、802.1Q、Spanningtree、DECnet、NETBEUI、IPSEC、PPTP、AppleTalk、H.323、BOOTP等,使NFFW4000防火墙适用网络的范围更加广泛,保证用户的网络应用。
方便用户扩展IP宽带接入及IP电话、视频会议、VOD点播等多媒体应用。
分层式管理结构
防火墙的管理采用集中的层次管理结构,配置简单、配置安全性高;
管理简单、维护方便;
更好的保证了性能。
支持TOPSEC技术体系的核心技术
支持TOPSEC技术体系的核心技术,可以实现防火墙、IDS、病毒防护系统、信息审计系统等的互通与联动,并支持TopsecManager综合管理系统和SAS安全审计系统。
支持多种工作模式
可以支持透明、路由和混合工作模式,方便适用于复杂网络结构和应用的接入。
支持远程集中管理
可通过安全的认证及管理信息的加密传输实现全局防火墙设备的集中管理。
实现统一的安全政策布署,保证整个系统的安全策略的一致性,提高整个系统的安全强度。
高可用性
支持多台防火墙之间的热机备份、双A(active-active)和负载均衡;
支持多台服务器之间的负载均衡。
不但更好的适用不同的网络环境,且更好的提供高性能和保证可靠性。
多层次分布式带宽管理
带宽管理完全虚拟了网络带宽应用的实际环境,并实现多层次的分布式管理模式。
而且,可以实现带宽分层、带宽分级、带宽分配、带宽优化等管理,优化网络资源的应用,提高网络资源应用效率。
支持多种身份认证
支持多种身份认证支持,如OTP、RADIUS、S/KEY、SECUREID、TACACS/TACACS+、口令方式、数字证书(CA),更好更广泛的实现了用户鉴别和访问控制。
更强的防御功能
在内核上实现对病毒防护,内容过滤(如HTTP、POP3、FTP、TELNET、SNMP)和入侵检测(IDS)功能,其中的入侵检测功能,防火墙4000-UF不但有内置的IDS功能,还可以和IDS实现联动。
这不但提高了安全性,而且保证了性能。
深层日志及灵活、强大审计分析功能
提供丰富的日志信息,用户可根据特定的需要进行日志选项(不做日志、通信日志(即传统的日志)、应用层协议日志、应用层内容日志)。
可详细审计,便于入侵行为的分析和追踪。
管理安全、方便灵活
防火墙4000经过简单的配置即可接入网络进行通信和访问控制,GUI管理界面提供了清晰的管理结构,并所有管理加密(支持SSL和SSH)和严格的审计,实现了真正的安全远程管理。
同时,可以支持TopsecManager综合管理系统方便管理和维护。
优秀的性价比
强大完善的功能、优秀的性能、高的稳定性和可靠性,及方便扩展VPN、IDS、认证、计费、审计等安全服务,体现了优秀的性价比,可有效地保护客户投资。
入侵防御系统选型建议
网络卫士入侵防御系统TopIDP(TopsecIntrusionDetectionandPrevention)是基于新一代硬件加速技术开发的网络入侵防御系统,它通过设置检测与阻断策略对流经TopIDP的网络流量进行分析过滤,并对异常及可疑流量进行积极阻断,同时向管理员通报攻击信息,从而提供对网络系统内部IT资源的安全保护。
TopIDP能够阻断各种非法攻击行为,比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等,安全地保护内部IT资源。
TopIDP是集访问控制、数据包深度过滤、漏洞攻击防御、报文完整性分析、P2P软件限制为一体的网络安全设备,为用户提供整体的立体式网络安全防护。
与现在市场上的入侵防御系统相比,TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持,代表了最新的网络安全设备和解决方案发展方向,堪称网络入侵防御系统的典范。
TopIDP不仅可以对网络进行自动化主动性防御,还能提供GB级连接速度,并通过设置细致的管理策略及高度细致的检测规则库,可以对智能化的攻击及有害网络流量进行完善的防御。
网络卫士入侵防御系统通过过滤流经网络的数据包,查找违反安全策略的行为或攻击,采取主动防御措施,并根据用户定义发出报警。
TopIDP透明嵌入到网络中,通过一个网络端口接收来自外部系统的数据,再通过另外一个端口将它传送到内部系统中;
有害流量,都能在IDP设备中被清除。
网络卫士入侵防御系统处理数据包的基本过程可以分为以下几个步骤:
(1)根据管理员设定的检测和阻断策略按照先后顺序对数据报文进行过滤,如果有匹配策略的数据报文,将按照策略指定的操作对数据报文进行检测或阻断。
如果管理员设置了在日志中记录信息,则可以在日志中查看匹配策略的情况。
(2)对通过IDP的数据流量进行分析统计,若结果符合异常配置规则,根据策略对连接的源或目的数据流进行阻断、检测或限速处理。
如果系统启用接口异常流量检测,则超过接口设定阀值后的数据流也将被系统阻断。
对于允许通过的数据报文,将检测是否符合IP排除和端口策略,如果符合,则不对其进行异常流量检测。
通过在互联网边界部署IDP,实现对于出入互联网的数据流进行完全的控制,一切出入互联网的数据流将按照管理员制定的策略进行转发、阻断。
通过IDP,管理员可以对内网使用BT、电驴等P2P软件进行下载进行完全的控制。
某单位网络合并后约有2000台终端可以接入互联网,而某单位的互联网带宽仅有20M,如果内网用户大规模的使用P2P软件下载电影、游戏,那么20M的带宽很快就会被P2P等应用挤占待尽。
由于P2P应用的特殊性,不光要下载数据还要上传数据,因此P2P应用不仅挤占互联网下载带宽,更将挤占有限的上传带宽。
传统的防火墙由于仅仅工作在4层,其对P2P下载的防范往往是通过限制P2P软件的端口号的方式来实现的。
但是随着P2P应用越来越流行,新的P2P客户端软件也层出不穷,这些软件往往可以通过自动更改下载端口来绕过防火墙进行传输。
传统的防火墙对于这些新的P2P软件已经越来越无能为力。
入侵防护系统IDP通过对P2P协议特征进行检测来实现限制P2P的应用,P2P软件无论如何更改其端口号,但是P2P传输协议是无法更改的,因此IDP对于P2P软件的控制可以收到奇效。
天融信的IDP在对P2P传输控制上功能强大,不仅可以对P2P软件使用进行限制,而且还可以针对P2P的应用限制相应的带宽。
上网行为管理系统选型建议
功能特点:
天融信网络卫士上网行为管理系统是专用于防止非法信息恶意传播,避免国家机密、商业信息、科研成果泄漏的产品;
并可实时监控、管理网络资源使用情况,提高整体工作效率。
该产品适用于需实施内容审计与行为监控、行为管理的网络环境,尤其是按等级进行计算机信息系统安全保护的相关单位或部门。
天融信网络卫士上网行为管理系统具有高性能的实时的网络数据采集能力、智能的信息处理能力、强大的审计分析、精细的行为管理功能。
该产品基于天融信公司开放性的系统架构及模块化的设计,是一款高性能、安全高效、易于管理和扩展的上网行为管理产品。
天融信网络卫士上网行为管理系统可实现:
◆对用户的网络行为监控、上网行为管理控制,如员工是否在工作时间进行P2P下载、ftp及http下载、上网冲浪、聊天、地下浏览,是否访问不健康网站,是否通过网络泄漏了公司的机密信息,传播反动言论等;
◆掌握网络使用情况,提高工作效率;
◆网络传输信息的实时采集、海量存储、统计分析;
◆网络行为后期取证,对网络潜在威胁者予以威慑;
产品特点
规范员工上网,提高工作效率
结合细致的访问控制策略,有效管理用户上网记录并审查用户的所有上网行为对违反管理规定的网络游戏、网络视频和网络聊天、股票软件等用户行为进行准入控制。
杜绝信息机密外泄对电子邮件、BBS外发信息进行分析控制
对IM聊天外发信息进行分析控制对网站访问、代理软件使用进行分析控制。
预防犯罪,提高道德水
禁止用户通过互联网搜索和浏览反动、政治敏感、色情等相关信息禁止用户通过BBS、webmail等发表反动、政治敏感及色情信息审查和阻断自由门、无极、洋葱头等地下浏览净化网络环境,为青少年营造良好的成长环境。
管理带宽,优化IT资源,提升资源价值
优化带宽,提升工作效率,保护IT资源关键应用质量无法保证,如视频会议、ERP、VoIP、电子邮件、网页浏览关键用户的网络带宽无法保证。
减少并迅速定位网络安全事故
屏蔽恶意站点,监控网络攻击,抵抗拒绝服务攻击。
配置简单,产品性能超高
配置管理简单易用,应用审查内容丰富,支持网页回放功能,产品性能高,运行非常稳定,且支持双机热备,具有全面强大的日志功能以及详细的报表系统,可实时查看用户带宽。
安全隔离与信息交换系统选型建议
天融信网络卫士安全隔离与信息交换系统经过持续的研发投入、技术改进和创新,是2008年推出的一种全新、高效、安全的网间隔离与信息交换产品,该产品首次完善了安全隔离与信息交换的理念,创造性地提出了三机系统安全隔离模型,成为“安全隔离与信息交换”产品技术领域内的技术领先者。
网络卫士安全隔离与信息交换系统采用自主研发的安全操作系统-TOS、专用的硬件设计、内核级监测、完善的身份认证、严格的访问控制和安全审计等各种安全模块,通过对信息进行还原、扫描、过滤、认证,同时与检测、审计等安全处理整合在一起,有效地防止非法攻击、恶意代码和病毒渗入,同时防止内部机密信息的泄露,实现网间信息的安全隔离和可控交换。
该产品可广泛应用于公安、金融、能源、军工、政府等行业,天融信作为中国信息安全的领先厂商,勇于创新、不懈努力,将致力于为客户提供更加安全、可行的安全隔离与信息交换解决方案。
采用先进的三机三系统设计模型,软硬件结合的方式,系统硬件平台由内网主机系统、仲裁主机系统、外网主机系统、专用的安全隔离卡四部分组成;
内网主机、仲裁主机和外网主机系统分别具有独立的运算单元和存储单元,并以天融信自主知识产权的TOS安全操作系统作为支撑平台;
仲裁主机独立于内/外网主机,不受内/外网主机系统控制,独立完成协议的剥离和重建,达到对应用数据的封包、拆包、完全内容过滤、检测和摆渡,从而实现网间隔离和数据交换。
专用硬件和专用通信协议
采用高速的专用硬件处理设备,使系统具有极高的数据吞吐能力;
通过在天融信公司专用安全操作系统TOS内核中嵌入专用协议和认证机制,使得设备的安全隔离能力大大增强;
内网主机和外网主机是内部网络和外部网络通用TCP/IP协议的终点,各自的网络协议在仲裁主机实现剥离和重建,内部网络和外部网络不可向对方延伸。
可靠的安全隔离和受控的信息交换
技术领先的三机系统结构,专用的硬件和专用的通信协议,有效地隔断内外网间的直接连接,借助严格的安全策略对数据流进行细粒度控制,防范恶意攻击和敏感信息的泄漏,有效的保障了网络间的安全可靠隔离和信息的受控交换。
防范各类攻击和信息泄漏
专用的入侵检测引擎、杀毒引擎、黑白名单、数字签名、访问控制策略、安全协议通道等技术的使用,可以使设备发现、过滤并阻塞各种已知、未知的攻击,病毒和蠕虫等恶意代码,有效保护内部网络系统的安全性,同时借助严格的内容控制技术,还可以防止内部敏感信息的泄漏。
应用级完全内容检测与审计
采用天融信公司专有的完全内容检测模块,过滤所有交换数据,全面解析网络传输信息,通过深层次细粒度的内容过滤,预先拦截内、外网用户禁止访问的内容,还具有避免常见的掩饰手段(如拆分敏感关键词、加入标点、换行等)干扰的特点,达到了完全内容检测(CCI,CompleteContentInspection);
同时仲裁系统对所有信息交换数据和行为进行审计记录,可以及时获知网络使用情况。
广泛的应用协议支持
支持常见的基于TCP和UDP的各类主流应用协议,此外,针对某些网络系统中存在的数据库和其它类型的信息交换业务,TopRules提供灵活的扩展和定制功能,能够快速方便地满足用户需求。
安全、便捷的管理
设备本身的管理和维护,都在仲裁主机上进行。
仲裁主机采用专用协议,与内外部网络没有任何关联,不但保证了设备自身的可靠性和安全性,而且做到了内外皆防。
设备的管理完全符合中国人的习惯,全中文化设计,便捷、灵活。
升级会员 