某医院网络安全加固拓扑分析共17页.docx

1、某医院网络安全加固拓扑分析共17页医院(yyun)网络(wnglu)安全加固拓扑(tu p)分析基于信息安全等级保护基本(jbn)要求优化设计2015/4/22第一(dy)部分、 信息安全加固拓扑总体分析本方案通过(tnggu)全景方式对某人民医院网络拓扑进行(jnxng)展现。基于等级保护测评的信息安全问题(wnt)和安全测评工程师给出的信息安全加固方案,形成下图：医院内网医院内网主要承载了某人民医院内部重要的业务系统，相对于医院外网安全性要高，根据现状分析，当前具有两个网络出口，目前已经部署了防火墙进行安全防护。考虑医院主要的被测系统的等级保护要求我们建议部署数据库审计系统、堡垒机和入侵防

2、御系统，进行必要的综合审计、运维与安全防护。数据库审计系统旁路端口镜像部署在三级系统核心或汇聚交换机上，主要对三级业务系统的各种数据库操作进行实施审计和记录。堡垒机系统旁路部署在内网核心交换上，主要是针对全医院所有的网络设备、主机设备及安全设备进行运维审计，要是实现预期目标必须要和防火墙或 ACL 配合。在内网边界防火墙下部署入侵防御系统。数据交换区当前(dngqin)由于某人民(rnmn)医院内外网络之间需要进行数据通讯， 建立一个数据交换区域，数据交换区域通过防火墙进行两个区域之间的隔离(gl)和安全防护。从信息安全角度，我们(w men)不建议内外网络之间进行直接区域打通，如有必要应当实

3、现物理隔离。个人建议采用数据交换应该通过 VPN 等方式实现，每个区域应当有自己的管理系统，内网防病毒系统应当离线病毒定义升级等措施。如果现状无法改变，我们建议数据交换区应当提高信息安全防护级别，主要从单一访问控制延伸至应用层防护、入侵防御、恶意代码防护等综合安全措施。因此我们采用下一代安全网关或网闸这类安全设备，加强两大区域之间的安全防护。该防火墙要执行严格的安全策略。医院外网医院外网主要承载了医院办公互联网访问， 对外提供业务等服务。由于面向互联网，因此该区域面临较高的信息威胁和隐患，主要包括病毒恶意代码、网络攻击、黑客入侵、数据外泄等风险。现状是单一的防火墙进行安全防护，我们建议某人民医

4、院首先应当对业务分级保护，重新规划 DMZ 区，主要放置对外的各业务 WEB 服务器。重点(zhngdin)加强网络边界和 DMZ区域安全防护，如在和互联网边界透明(tumng)/路由部署抗 Ddos 系统(xtng)，防火墙系统（路由模式）、入侵防御(fngy)系统和防病毒。DMZ经过 WAF(应用层防火墙)进行过滤，保障对外业务的应用安全。第二部分、 需求分析与产品功能介绍2.1 抗 Ddos 系统 需求分析 拒绝服务攻击（ DoS, Denial of Service）是指利用各种服务请求耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。而随着僵尸网络的兴起，同时由于攻击

5、方法简单、影响较大、难以追查等特点，又使得分布式拒绝服务攻击（ DDoS， Distributed Denial of Service）得到快速壮大和日益泛滥。 成千上万主机组成的僵尸网络为 DDoS 攻击提供了所需的带宽和主机，形成了规模 巨大的攻击和网络流量，对医院出口网络造成了极大的危害。 主要危害：医院上网缓慢、网站或者挂号系统无法访问、出口设备宕机，网络停止服务。 产品(chnpn)功能 探针式流量(liling)检测： Detector 通过(tnggu) DFI 分析的方式，发现网络(wnglu)中的异常流量并给出告警，支持主流的流量分析技术包括 Netflow、 cFlow、

6、sFlow、 NetStream 等。同时也支持镜像流量进行 Flow 转化，可以满足各种网络环境的流量分析需求。 手术式 DDoS 清洗：对漏洞型、流量型、应用型等各种 DDOS 攻击进行清洗，并将清洗完后的干净流量回注到网络。 强劲的处理性能：采用 MIPS 多核处理平台，单机最大同时支持 64 个 vCPU 并行工作，清洗能力强，稳定性高。2.2 入侵防御系统 需求分析 随着网络的飞速发展，以蠕虫、病毒、木马、间谍软件、黑客攻击为代表的 应用层攻击层出不穷。传统的基于网络层的防护只能针对报文头进行检查和规则匹配，而大量应用层攻击都隐藏在正常报文中，甚至是跨越几个报文，因此仅仅分析单个报文

7、头意义不大。由于业务需要，网络连接互联网，业务或办公数据在网络上传输，而网络设备、主机系统都不同程度存在一些安全漏洞，攻击者可以利用存在的漏洞进行破坏，可能引起数据破坏、业务中断甚至系统宕机，严重影响医院网络信息系统的正常运行。在医院网络中，防火墙作为安全保障体系的第一道防线，防御黑客攻击。但作为工作在三层以下的访问控制设备，防火墙无法检测(jin c)或拦截嵌入到普通流量中的恶意攻击代码，比如针对 WEB 服务(fw)的 Code Red 蠕虫等。而且有些主动或被动 的攻击行为是来自防火墙内部(nib)的，防火墙无法发现内部网络中的攻击行为。因此，如何识别医院网络中的攻击行为成为了当务之急。

8、主要(zhyo)功能NIPS 是网络入侵防护系统产品内置先进的 Web 信誉机制，同时具备深度入侵防护、精细流量控制，以及全面用户上网行为监管等多项功能，能够为用户提 供深度攻击防御入侵防御系统可以对网络蠕虫、间谍软件、溢出攻击、数据库攻击等多种深层攻击行为进行主动阻断。并在漏洞库的基础上，集成了专业病毒库和应用协议库，是针对系统漏洞、协议弱点、病毒蠕虫、黑客攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。部署简单、 即插即用，配合应用 Bypass 等高可靠性设计，可满足各种复杂网络环境对应用层安全防护的高性能、高可靠和易管理的需求，是应用层安全保障的最佳选择。

9、2.3 WAF（应用层防护(fngh)墙） 需求(xqi)分析 WEB 应用安全(nqun)问题本质上源于软件质量问题，但WEB 应用(yngyng)相较传统的软件，具有其独特性。WEB 应用往往是某个机构所独有的应用，对其存在的漏洞，已知的通用漏洞签名缺乏有效性；WEB需要频繁地变更以满足业务目标，从而使 得很难维持有序的开发周期；基于 Web 的应用日益增多，SQL 注入、跨站脚本、网页挂马等各种攻击手段使得 Web 应用处于高风险的环境中，传统安全设备无法对 Web 应用提供细粒度的有效防护。主要功能Web 应用防火墙（简称 WAF），专注于保护 Web 应用和 Web 服务，并将 成熟

10、的DDoS 攻击抵御机制整合在一起， WAF 提供针对 OWASP Top 10、LOIC、HOIC 的全面防御，为 Web 安全保驾护航。 降低数据泄露风险SQL注入防护、HTTP协议防护、Web 漏洞攻击防护、信息安全防护（状态码过滤/ 伪装）、Web 内容安全防护 支撑 Web 服务可用性HTTP Flood 防护、TCP Flood 防护 控制恶意访问URL访问控制文件非法下载/上传防护盗链防护爬虫防护 保护 Web 客户端CSRF 防护 XSS 防护 Cookie 安全（加密/签名）2.4 堡垒(boli)机系统(xtng) 需求(xqi)分析随着信息化进程不断深入，医院的业务系统变

11、得日益复杂，由员工或者外部维护人员违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵(rqn)检系统等常规的安全产品可以解决一部分安全问题，但对于内部人员的违规操作 却无能为力。越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地监控设备厂商和代维人员的操作行为,并进行严格的审计是医院面临的一个关键问题。主要功能堡垒机是针对业务环境下的用户运维操作进行控制和审计的合规性管控系统。它通过对自然人身份以及资源、资源账号的集中管理建立“自然人资源 资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，以帮助内控工作事前规划预防、事中

12、实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、避免核心资产（服务器、网络设备、安全设备等）损失、保障业务系统的正常运营。对单位的业务系统来说，真正重要的核心(hxn)信息资产往往存放在少数几个关键 系统上，通过使用堡垒机，能够加强对这些关键系统的访问控制与审计，从而有效地减少核心信息资产的破坏和泄漏。能够对运维人员(rnyun)维护过程(guchng)的全面跟踪、控制、记录、回放；支持细粒度配置运维人员(rnyun)的访问权限，实时阻断违规、越权的 访问行为，同时提供维护人员操作的全过程的记录与报告；系统支持对加密与图形协议进行审计，消除了传统行为审计系统中的审

13、计盲点，是IT系统内部控制最有力的支撑平台之一。2.5 数据库审计系统需求分析 数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，关系到医院兴衰、成败。因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为业界人士探索研究的重要课题之一。 对医院重要的业务应用系统或者网络基础设施，相应地具备如下需求中的部分或者全部：1、需要满足各种合规要求，比如等级保护、分级保护等要求； 2、需要对重要/关键数据的访问进行审计；3、希望(xwng)有效地控制数据库操作风险； 4、需要(xyo)进行事后追查，但缺乏数据记录与追查方法。主要(zhyo)功能数据库安

14、全审计系统主要用于监视并记录对数据库服务器的各类操作行为，通过对网络数据的分析，实时地、智能地解析对数据库服务器的各种操作，并记入审计数据库中以便日后进行查询、分析、过滤，实现对目标数据库系统的用户操作的监控和审计。数据库审计系统通结合各类法令法规（如等级保护、分级保护、 医院内控等）对数据库安全的要求，自主研发的业界首创(shuchung)细粒度审计、双向审计、全方位风险控制的数据库安全审计产品。可帮助医院带来如下价值点： 全面记录数据库访问行为，识别越权操作等违规行为，并完成追踪溯源 跟踪敏感数据访问行为轨迹，建立访问行为模型，发现敏感数据泄漏 检测数据库配置弱点、发现 SQL 注入等漏洞

15、、提供解决建议 为数据库安全管理与性能优化提供决策依据 提供符合法律法规的报告，满足等级保护、医院内控等审计要求；2.6 下一代安全(nqun)网关主要(zhyo)面向数据交换区进行访问控制和综合安全防护。下一代防火墙可精确识别数千种网络应用，并提供详尽的应用风险分析和灵活的策略管控。结合用户识别、内容识别，下一代防火墙可为用户提供可视化及精细化的应用安全管理。同时，下一代防火墙内置了先进的威胁检测(jin c)引擎及专业的WEB服务器防护(fngh)功能，能够抵御包括病毒、木马、SQL 注入、XSS 跨站脚本、CC攻击在内的各种网络攻击，有效保护用户网络健康及WEB服务器安全。基于全并行软硬件架构实现的“一次解包、并行检测”，下一代防火墙在具备全面安全防护的同时，更为用户提供高性能的应用安全防护。 优化的攻击识别算法。能够有效抵御如 SYN Flood、UDP Flood、HTTP Flood 等 DoS/DDoS 攻击，保障网络与应用系统的安全可用性。 专业 Web 攻击防护功能。支持 SQL 注入、跨站脚本、CC攻击等检测与过滤，避免 Web 服务器遭受攻击破坏； 支持外链检查和目录访问控制，防止 Web Shell 和敏感信息泄露，避免网页篡改与挂马，满足用户 We