2024大型医院信息系统安全建设方案.docx
大型医院信息系统安全建设方案2024年4月1 方案概述51.1 背景51.2 方案设计目标61.3 方案设计原则61.3.1木桶原则613.2 整体性原则713.3 安全性评价与平衡原则71.3.4标准化与一致性原则71.3.4 技术与管理相结合原则71.3.5 等级性原则71.3.6 统筹规划,分布实施原则71.3.7 动态发展原则81.3.8 易操作性原贝U81.4方案设计依据82现状分析102.1 网络架构描述102.2 核心信息系统情况102.3 安全技术现状122.3.1物理安全现状122.3.2网络安全现状:122.3.3主机安全现状:122.3.4应用安全现状:122.3.5僦恢复现状:123 安全需求分析143.1 国家政策需求分析143.2 安全指标与需求分析144 安全建设规划方案164.1 总体部署说明164.2 边界访问控制解决方案184.2.1 需求分析184.2.2 方案设计194.2.3 方案效果204.3 边界入侵防御解决方案224.3.1 需求分析224.3.2 方案设计234.3.3 方案效果264.4 网络安全审计解决方案274.4.1 需求分析274.4.2 方案设计284.4.3 方案效果334.5 WAF解决方案374.5.1 需求分析374.5.2 方案设计384.5.3 方案效果394.6 运维审计系统414.6.1 需求分析414.6.2 方案设计414.6.3 方案效果434.7 抗DDoS攻击系统474.7.1 需求分析474.7.2 方案设计484.8 数据库审计安全加固解决方案544.8.1 需求分析544.8.2 方案设计544.8.3 方案效果564.9 安全管理中心解决方案574.9.1 需求分析574.9.2 方案设计584.9.3 方案效果734.10 网关防病毒解决方案754.10.1 需求分析754.10.2 方案设计764.10.3 方案效果774.12 IP地址管理解决方案774.12.1 需求分析774.12.2 方案设计784.12.3 方案效果805 信息安全专业服务805.1等保测评805.1.1等保测评概述805.1.2测评标准依据815.1.3项目实施原则835.1.4等保测评工作内容845.1.5等级保护工作流程845. 1.6系统定级备案845.1. 6.1工作目标845.2. 6.2定级方法855.1.6.3工作内容905. 1.7等级保护差距分析915.1.1.1 7.1工作目标915.1.1.2 工作内容915.1.1.3 关键交付成果935.1.8等级保护建设整改935.1.9等级保护测评流程935.2信息安全风险评估1185.2.2.3评估流程1215.2.3.1评估准备阶段12552.32资产识别与分析1275.2.37二次评估1585.2.3.8风险处置与应对1585.3渗透测试实施服务1605.3.2.4测试路径16553.2.5 测试技术16653.2.6 测试工具16853.2.7 测试成果17053.2.8 8关键交付成果17053.2.9 方案安全产品清单17053.2.10 详细产品参数1711方案概述1.1 背景医院是一个信息和技术密集型的行业,其计算机网络是一个完善的办公网络系统,作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。结合医院复杂的HIS、RIS、PACS等应用系统,要求网络必须能够满足数据、语音、图像等综合业务的传输要求,所以在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时医院的网络系统连接着Internet、医保网和高校等,访问人员比较复杂,所以如何保证医院网络系统中的数据安全问题尤为重要。在日新月异的现代化社会进程中,计算机网络几乎延伸到了世界每一个角落,它不停的改变着我们的工作生活方式和思维方式,但是,计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密,都会使计算机网络受到威胁。我们可以想象一下,对于一个需要高速信息传达的现代化医院,如果遭到致命攻击,会给社会造成多大的影响。为了保障我国关键基础设施和信息的安全,结合我国的基本国情,制定了等级保护制度。并将等级保护制度作为国家信息安全保障工作的基本制度、基本国策,促进信息化、维护国家信息安全的根本保隙。而针对医疗卫生行业,卫生部于2011年11月分别发布卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知(卫办综函(2011)1126号),卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知(卫办发(2011)85号),85号文规定了主要工作内容:1.定级备案(规定了定级范围及级别)2 .建设与整改(规定了二级(含)以上系统需进行差距分析与整改)3 .等级测评(规定了三级(含)以上需进行等保测评)4 .宣传培训(规定了各类卫生机构需进行信息安全培训,提高安全意识)5 .监督检查(规定了信息化工作领导小组对各医疗机构等级保护工作进行督导)全面开展等级保护建设,对医院特别是三级甲等医院的信息化建设提出了更高的要求,其核心业务信息系统的建设应按照不低于等级保护三级的标准进行。6 .2方案设计目标本次安全建设的主要目标是:按照等级保护要求,结合实际业务系统,对核心业务系统进行充分调研及详细分析,将医院核心业务系统系统建设成为一个及满足业务需要,又符合等级保护三级系统要求的业务平台。建设一套符合国家政策要求、覆盖全面、重点突出、持续运行的信息安全保隙体系,达到国内一流的信息安全保障水平,支撑和保障信息系统和业务的安全稳定运行。该体系覆盖信息系统安全所要求的各项内容,符合信息系统的业务特性和发展战略,满足信息安全要求。7 .3方案设计原则我公司在安全咨询、安全规划、总体信息安全和网络安全规划建设方面具有丰富的经验,曾多次设计过国家级、省级核心信息系统安全规划方案,如中共中央办公厅骨干网络安全保障项目、国务院办公厅信息安全防护整体解决方案,以及省级各个行业的总体安全解决方案。信息系统总体安全解决方案的设计原则,依据国际信息安全专家、网络安全专家、中国科学院院士等人共同研讨的9大原则进行设计:131木桶原则木桶的最大容积取决于最短的一块木板攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击要提高整个系统的“安全最低点”的安全性能7.1.1 整体性原则在发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应包括安全防护机制、安全监测机制和安全恢复机制,从整体性考虑信息安全保障问题。7.1.2 安全性评价与平衡原则建立合理的实用安全性与用户需求评价与平衡体系;正确处理需求、风险与代价的关系;评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。7.1.3 标准化与一致性原则安全规划设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。7.1.4 技术与管理相结合原则安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。13.5 等级性原则等级性原则是指安全层次和安全级别;对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。13.6 统筹规划,分布实施原则安全防护不可能一步到位;在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。1.3.7 动态发展原则要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求;规划网络与信息安全的可扩展性,尝试应用新的安全技术。1.3.8 易操作性原则首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。安全措施的采用要合理。1.4方案设计依据本方案的设计主要依据以下等级保护政策: 公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的关于信息安全等级保护工作的实施意见(公通字2004)66号) 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的信息安全等级保护管理办法(公通字(2007)43号) 公安部颁发的关于开展信息安全等级保护安全建设整改工作的指导意见(公信安(2009)1429号) 公安部关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安(2010)303号) 本方案的设计主要依据如下等级保护标准: 信息安全技术信息系统安全等级保护基本要求(GB/T22239-2008) 信息安全技术信息系统等级保护安全设计技术要求(GB"25070-2010)本方案还参考了如下一些政策和标准: 信息安全技术信息系统安全等级保护定级指南(GB/T22240-2008) 信息安全技术信息系统安全等级保护实施指南 信息安全技术信息系统安全等级保护测评要求 信息安全技术信息系统安全等级保护测评过程指南 计算机信息系统安全保护等级划分准则(GB17859-1999) 信息安全技术信息系统通用安全技术要求(GB/T20271-2006) 信息安全技术网络基础安全技术要求(GB/T20270-2006) 信息安全技术操作系统安全技术要求(GBT202722006) 信息安全技术数据库管理系统安全技术要求(GB/T20273-2006) 信息安全技术服务器技术要求(GB/T21028-2007) 信息安全技术终端计算机系统安全等级技术要求(GA/T671-2006) 信息安全技术信息系统安全管理要求(GB/T20269-2006) 信息安全技术信息系统安全工程管理要求(GB/T20282-2006) GB/T22080-2008/ISO/IEC27001:2005信息技术安全技术信息安全管理体系要求 IATF信息保障技术框架2现状分析1.1 网络架构描述网络架构主要由终端安全域、安全设备运维区、互联网DMZ区、业务服务器区等安全域构成。通过对医院现有结构进行了解和分析,可以看出医院网络大致可以分为业务内网和办公外网,业务网络采用三层网络结构,通过核心交换机将医院各科室进行互联。并在业务网络单独设立和一个内部核心业务应用服务器区域,包含HlS系统、RlS系统、PACS系统和档案管理系统等应用服务器。外部办公网络大致可以划分为办公网和DMZ区域,在外部网络的互联网边界通过防火墙进行边界的隔离和划分DMZ区域,通过在外网的防火墙上做NAT和PAT对外发布统计医院DMZ区域的应用。系统使用的安全产品清单:序号设备名称品牌型号数量1防火墙山石1台2上网行为管理深信服1台3网络版杀毒软件360擎天版1套4终端安全管理系统北信源1套方案从保护用户投资的角度考虑,对于用户原有的安全产品能使用的继续使用。1.2 核心信息系统情况核心业务系统是医院信息系统(HospitalInformationSystem,HIS)和电子病历系统(EIeCtroniCMedicalRecord,EMR)oHIS系统是基于计算机网络、按照一定的应用目标和规则对医院临床及管理业务信息进行采集、加工、存储、传输、检索和服务的人机系统。整个网络主干千兆,百兆到桌面,为两层星型结构。该系统承载着全院人、财、物的行政管理和有关门、急诊病人及住院病人的医疗事务处理业务,主要包括门诊挂号、电子医嘱和处方、计价收费、药房药库管理、住院病人管理、检验检查信息管理、病案管理、卫生统计、物资和固定资产管理等二十几个紧密耦合的子系统。各子系统必须协同运行,支持医院临床诊疗、科研教学、经营决策等方方面面的日常业务与管理工作,是一体化的信息系统。电子病历系统(EleCtroniCMediCalRecord,EMR)以服务临床业务工作开展为核心,为全院医务人员、业务管理人员、院级领导提供流程化、信息化、自动化、智能化的临床业务综合管理平台。该系统基于.NET多层体系结构开发平台,采用集中式数据库ORAC1.E10G、分布式数据库ACCESS和XM1.技术相结合,完成临床数据的录入、传输、交换、存储和处理。目前电子病历系统的组织实施、管理维护、安全防护均由计算机中心管理。1.IS系统(1.aboratOryInformationManagementSystem),将实验仪器与计算机相连,快速实现对病人样品登录、实验数据存取、报告审核、打印分发等功能,实验数据统计分析等繁杂的操作过程实现了智能化、自动化和规范化管理。有助于提高实验室的整体管理水平,减少漏洞和误操作,提高医疗检验质量。该系统为医疗集团本部重要业务系统,具有最多的接入终端。PACS系统应用在医疗集团本部影像科室的系统,把日常产生的各种医学影像(包括核磁,CT,超声,各种X光机,各种红外仪、显微仪等设备产生的图像)通过各种接口(模拟,DICOM,网络)以数字化的方式海量保存起来,当需要的时候在一定的授权下能够很快的调回使用,同时增加一些辅助诊断管理功能,负责在各种影像设备间传输数据和组织存储数据。该系统为医疗集团本部重要业务系统,需传输大量的影像视频数据,对网络带宽有很高的要求。体检系统以体检信息为主线,健康指导为纽带,通过规范体检流程管理,合理安排体检项目,通过网络传输各种检验、检查结果,减少中间环节,提高安全性和可靠性。体检系统能够提供规范的体检结果报告,并能进行分析,使体检报告更具科学性。体检系统跟HlS系统、1.IS系统、RIS系统做了接口连接保证了健康状况资料连续性,能方便、快捷地进行逐年体检情况追踪,并体检信息综合分析,形成各项医疗统计报表,为体检单位提供人员整体健康状况分析。1.3 安全技术现状2. 3.1物理安全现状的信息机房位于本部,机房建设时间较早,在建设初期,国家相关的法规和标准不够健全,故在机房选址和基本的物理安全方面缺少对于相关安全要求的考虑,在机房选址、访问控制、防盗防破坏、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护方面均有不同程度的安全隐患和防护建设需求。3. 3.2网络安全现状:信息系统采用百兆到桌面,千兆到交换,万兆到服务器的方式建立TCP/IP网络架构,在传统的接入-汇聚-核心三层架构上,将重要服务器以及HIS、1.IS、PACS等应用系统放置在服务器区,但全网安全设备缺乏,整个信息系统网络架构中仅部署了一台防火墙,没有其他安全防护措施,网络访问主要通过交换机AC1.控制。2.3.3主机安全现状:主机系统主要采用WindOWS2003、WindoWS2008、WindOWS7的微软操作系统和AIX操作系统,所有的操作系统的配置均使用默认的缺省配置,未进行危险配置项的规避操作和系统漏洞的升级和加固工作。2.3.4应用安全现状:应用系统多为CS架构,系统设计开发之初并未充分考虑系统的安全需求和相关的合规性要求,系统建设和开发主要以实现功能性需求为主导目标,各应用系统的分角色分权限管理和强身份认证几乎均为空白。2.3.5备份恢复现状:所有的信息系统审计日志和运行日志均没有备份机制,核心业务系统的数据库可以做到同城异地备份,但对于数据的备份没有校验机制,对于已经备份的数据没有恢复测试机制。2.3.6安全管理现状根据与医院沟通和调查,医疗集团本部现有安全管理制度如下:序文档名称主要内容号1机房管理制度机房出入登记,相关配置变更记录,机房设备管理。2安全管理制度设备安全操作和流程规定,防盗窃、防破坏。3技术管理制度软件更新升级,技术开发工作管理。4数据库备份制度数据库备份时间,备份方式及操作人员。5技术部岗位职责针对技术部所有岗位职责要求,主要为技术和管理人员约定职责范围。6机房值班人员职责机房值班时间,人员安排。7介质安全管理制度机房与办公设备区的过期或者错误资料的介质统一销毁管理。8信息发布工作管理制度对内对外的信息发布格式检查,内容校验。9数据存储和保管制度数据存储器和服务器的管理制度。10服务器故障应急处理规程服务器的热备和冷备,以及故障时处理方案。11系统维护和应急恢复制度服务器系统升级维护,以及服务器故障时的应急方案。12客户端系统安全管理制度客户端操作系统安全维护,病毒库升级。3安全需求分析3.1 国家政策需求分析2007年公安部等四部委联合出台了信息安全等级保护管理办法,该文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上,由四部委共同会签印发的重要管理规范,主要内容包括信息安全等级保护制度的基本内容、流程及工作要求,信息系统定级、备案、安全建设整改、等级测评的实施与管理,信息安全产品和测评机构选择等,为开展信息安全等级保护工作提供了规范保障。2009年,在全国信息系统安全等级保护定级工作基础上,公安部又印发了关于开展信息安全等级保护安全建设整改工作的指导意见,开始部署开展信息系统等级保护安全建设整改工作。2009年下半年公安部组织各部委和各行业开展了信息安全等级保护安全建设整改工作的集中培训,明确了我国信息安全等级保护安全建设整改工作的工作目标、工作对象、工作内容和要求,并对具体的工作流程和工作方法提出了指导意见。要求各行业利用三年时间,通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评等三项重点工作,落实等级保护制度的各项要求。卫生部于2011年11月分别发布卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知(卫办综函(2011)1126号),卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知(卫办发(2011)85号)。要求医疗卫生行业全面开展等级保护建设。3.2 安全指标与需求分析核心业务系统的安全建设核心需求即满足等级保护的相关要求,因此将以满足等级保护指标为目标。根据定级结果,整体按三级来管理和建设。那么,可以确定需要满足的等级保护指标如下:单位级安全指标(三级)安全管理机构人员安全管理安全管理制度数据安全及备份恢复网络安全物理安全系统运维管理系统建设管理控制点数量控制点数量控制点数量控制点数量控制点数量控制点数量控制点数量控制点数量岗位设置4安全意识教育和培训4管理制度4备份和恢复4安全审计4电磁防护3安全事件处置6安全方案设计5沟通和合作5人员考核3评审和修订2数据保密性2边界完整性检查2电力供应4备份与恢复管理5安全服务商选择3人员配备3人员离岗3制定和发布5数据完整性2恶意代码防范2防盗窃和防破坏6变更管理4测试验收5审核和检查4人员录用4访问控制8防火3恶意代码防范管理4产品采购和使用4授权和审批4外部人员访问管理2结构安全7防静电2环境管理4等级测评4入侵防范2防雷击3监控和安全管理中心3工程实施3防水和防潮4介质管理6外包软件开发4温湿度控制1密码管理1系统备案3物理访问控制4设备管理5系统定级4物理位置的选择2网络安全管理8系统交付5系统安全管理7自行软件开发(5)0应急预案管理5资产管理4201611825326240总计214第15页/共181页4安全建设规划方案4.1 总体部署说明根据前述的需求分析,结合项目要求,本次安全产品部署图如下图所示:网络拓扑规划图原有安全设备除了防火墙、网络版防病毒、北信源终端安全管理系统和上网行为管理设备外均需要采购新设备用于本次等保整改。新增部署产品如下:部署产品数量部署位置部署作用防火墙3安全管理运维区边界;接社保网;网络出口处控制进出各安全域的所有数据流量,阻止各类非法应用,执行既定安全策略;抗DDOS防火墙2互联网出口边界防止DOS攻击,保护内网安全IPS入侵防护2核心业务服务器区域边界。实时监控并阻断针对数据中心核心HIS、EMR业务服务器的入侵行为。网关防病毒2核心出口区,出口防火墙后面网络出口处恶意代码防护漏洞扫描1安全管理运维区扫描漏洞,发现漏洞WAF网关(Web防火墙)2互联网DMZ区域边界保护DMZ区的Web应用,抵御SQ1.注入、XSS、跨站伪造(CSRF)Cookie篡改以及应用层DoS防护等。网络审计系统(互联网审计)1互联网边界对内部人员上网行为的约束与审计网络审计系统(数据库审计)1旁路部署在业务服务器区对数据库操作进行记录、审计、授权、命令回放等。特别是在医疗行业防统方领域,数据库审计起到关键作用。堡垒机1部署在网络核心交换机旁边,物理旁路,逻辑串联。共享账号管理、运维审计、访问控制安全管理平台1安全运维管理区管理所有安全设备及部分网络设备;对安全设备和部分网络设备进行统一管理、状态监控、策略下发、集中审计。DDI设备1部署在服务器区域提供可管理、可控制、可审计、可扩展的CNS网络核心服务支撑平台等级保护服务安全服务进行等级保护建设全程服务,包括: 等保差距分析服务 风险评估服务 安全加固服务(操作系统、数据库、设备等) 渗透测试服务 等级测评(第三方测评机构)4.2 边界访问控制解决方案4.2.1 需求分析三级系统要求在主要边界处进行访问控制。作为网络安全的基础防护要求,具体需求如下:1)保护服务通过过滤不安全的服务,保证只可访问到允许访问的业务系统,其他访问均被严格控制,可以极大地提高网络安全和减少子网中主机的风险。如:可以禁止NIS.NFS服务通过,可以拒绝源路由和ICMP重定向封包等安全威胁。2)控制对系统的访问提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,允许外部访问特定的Web和FTP服务器。3)记录和统计网络日志记录和统计通过边界的网络通讯,提供关于网络使用的统计数据并对非法访问作记录日志,从设备或专门的日志服务器提供统计数据,来判断可能的攻击和探测,利用日志可以对入侵和非法访问进行跟踪以及事后分析。4.2.2 方案设计防火墙技术是目前网络边界保护最有效也是最常见的技术。采用防火墙技术,对重要节点和网段进行边界保护,可以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,防范各类攻击行为,杜绝越权访问,防止非法攻击,抵御可能的De)S和DDoS攻击。通过合理布局,形成多级的纵深防御体系。设备分别部署在互联网边界、安全设备运维区边界,进行系统内外数据的访问控制,保护系统整体的网络安全;通过边界防火墙将这两个系统内部区域与其他区域进行逻辑隔离,保护上述两个内部安全域,实现基于数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息,执行严格的访问控制。采用防火墙实现以下的安全策略: 安全域隔离:各边界防火墙逻辑上隔离了网络各区域,对各个计算环境提供有效的保护; 访问控制策略:防火墙工作在不同安全区域之间,对各个安全区域之间流转的数据进行深度分析,依据数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息,进行判断,确定是否存在非法或违规的操作,并进行阻断,从而有效保隙了各个重要的计算环境; 应用控制策略:在防火墙/UTM上执行内容过滤策略,实现对应用层HTTP、FTP、TE1.NET、SMTP、PoP3等协议命令级的控制,从而提供给系统更精准的安全性; 会话监控策略:在防火墙/UTM配置会话监控策略,当会话处于非活跃一定时间或会话结束后,防火墙自动将会话丢弃,访问来源必须重新建立会话才能继续访问资源; 会话限制策略:对于三级信息系统,从维护系统可用性的角度必须限制会话数,来保障服务的有效性,防火墙/UTM可对保护的应用服务器采取会话限制策略,当服务器接受的连接数接近或达到阀值时,防火墙自动阻断其他的访问连接请求,避免服务器接到过多的访问而崩溃; 地址绑定策略:对于三级系统,必须采取IP+MAC地址绑定技术,从而有效防止地址欺骗攻击,同时采取地址绑定策略后,还应当在各个三级计算环境的交换机上绑定MAC,防止攻击者私自将终端设备接入三级计算环境进行破坏; 身份认证策略:配置防火墙/UTM用户认证功能,对保护的应用系统可采取身份认证的方式(包括用户名/口令方式、S/KEY方式等),实现基于用户的访问控制;此外,防火墙还能够和第三方认证技术结合起来,实现网络层面的身份认证,进一步提升系统的安全性,同时也满足三级系统对网络访问控制的要求; 日志审计策略:防火墙/UTM详细记录了转发的访问数据包,可提供给网络管理人员进行分析。这里应当将防火墙记录日志统一导入到集中的日志管理服务器。4.2.3 方案效果通过将防火墙部署在不同安全域之间。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。访问控制策略允许访问TCP端口80,拒绝访问TCP端口445在网络中部署防火墙后,可以保护内部网络免受非法访问、攻击和病毒的侵扰。把面向服务的主机放置在一个集中、受控的安全区环境下,通过防火墙监控网络流量、关闭不必要的服务,还可以通过防火墙严格限制进出网络的流量。防火墙可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,防火墙允许外部访问特定的Web和FTP服务器;防火墙可以保护脆弱的服务,如防火墙可以禁止NIS、NFS服务通过,防火墙同时可以拒绝源路由和ICMP重定向封包等安全威胁;防火墙可以对网络系统实现集中的安全管理,在防火墙上定义的安全规则可以运用于整个网络系统,而无须在网络内部每台机器上分别设立安全策略,如在防火墙可以定义不同的用户,而不需在每台机器上分别定义;防火墙可以记录和统计通过防火墙的网络通讯,提供关于网络使用的统计数据并对非法访问作记录日志,从防火墙或专门的日志服务器提供统计数据,来判断可能的攻击和探测,利用日志可以对入侵和非法访问进行跟踪以及事后分析等等。根据客户的实际情况,部署防火墙的主要作用如下: 网络安全的基础屏障:防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的协议(如NFS)进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 对网络存取和访问进行监控审计如果所有的访问都经过防火墙,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 防止内部信息的外泄通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些能够透漏内部细节的服务,如Finger,DNS等服务。4.3边界入侵防御解决方案4.3.1 需求分析在区域边界,防火墙起到了协议过滤的主要作用,根据安全策略在偏重在网络层判断数据包的合法流动。但面对越来越广泛的基于应用层内容的攻击行为,防火墙并不擅长处理应用层数据。各种混合攻击多借助病毒的传播方式进行,成为黑客的攻击和入侵手段。在本项目规划中,各业务服务器区承载的HIS>EMR等核心应用,承载着最为重要的业务系统和数据,由于保存有核心信息资产,是最容易成为入侵目标的部分,可能遇到来自于内网的攻击威胁。随着移动式设备如电脑笔记本、PDA的普及,来自于内网的攻击威胁也随之增加。对于提供重要数据服务的服务器群组仍有可能遭受到来自内网的攻击威胁,通常防火墙并不具备完整全面的内容检测能力,因此必须建立一套更完整的安全防护体系,进行多层次、多手段的检测和防护。鉴于以上分析,需要其他具备检测新型的混合攻击和防护的能力的设备防御来自应用层到网络层的多种攻击类型,进行多层次、多手段的检测和防护。三级系统也对入侵防范提出了明确的要求。入侵防护是安全防护体系中重要的一环,它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。4.3.2 方案设计通过需求分析,我们建议在核心业务区域边界部署IPS入侵防御系统设备,提供2-7层主动防御,保护内部核心网络资产。入侵防御系统是新一代安全保隙技术。它监视计算机系统或网络中发生的事件,并对它们进行分析,以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。IPS具备基于协议异常、会话状态识别和七层应用行为的攻击识别功能,动态异常流量管理和七层应用行为识别等功能,同时配合零时差更新的特征库和自定义检测特征功能,可检测阻断各种网络攻击行为,阻断各类恶意代码进行渗透。包括:病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫描、非法连接等。IPS具备以下功能:访问控制功能IPS支持基于网络接口、IP地址、服务、时间等参数自定义访问控制规则,以保证网络资源不被非法使用和非法访问。阻止蠕虫扩散蠕虫(WOrm)与一般的档案型病毒(VirUS)不同之处,在于蠕虫具备快速自我复制扩散的功能。而蠕虫之所以能够快速将自我扩散到其它系统,是因为蠕虫具备自动利用系统漏洞而入侵的能力。每当计算机的系统漏洞被公布,在短时间内便会有黑客组织在网络上发布针对新漏洞的攻击程序,接着便会有针对该漏洞的攻击程序在网络上流传,此时蠕虫作者便将这些已发布的攻击程序纳入其蠕虫程序的主体中,然后再散布新的蠕虫对外大量扩散。从漏洞公布到蠕虫产生所需的时间已大幅缩减,这让用户无法有充裕的时间测试系统厂商所发布的补丁程序。蠕虫由于是通过网络自我扩散,因此又称为网络型病毒。IPS实现了阻止已知和未知蠕虫的扩散。1 .阻止已知蠕虫扩散针对已知蠕虫通过扫描存在漏洞的主机来进行扩散,IPS内建完善的对ZotobWorm>MSSQ1.SlammerWOrm等蠕虫的控制攻击特征识别码,可以检测蠕虫企图扫描漏洞主机的行为,并进而拦阻丢弃其恶意数据包。2 .阻止未知蠕虫扩散针对未知蠕虫通过扫描存在漏洞的主机来进行扩散,在及时跟踪着各种最新发布的漏洞,为相应漏洞及时构建攻击识别码,当发现蠕虫尝试利用这些漏洞来入侵时会立即拦阻丢弃尝试入侵的数据包,阻止蠕虫扩散。阻止漏洞攻击在系统程序开发的过程中,常因为程序开发者疏于程序安全性,而导致开发出有系统漏洞的操作系统或应用程序。这类系统的漏洞经常是发生在程序没有对外界输入的参数长度进行检查,而发生所谓的缓冲区溢出攻击(bufferoverflowattack)o当缓冲溢出区攻击发生时,轻则导致系统没有响应、死机,成功的缓冲区溢出攻击还可以让黑客获得整个系统控制权!针对黑客入侵,IPS采用具备基于协议异常、会话状态识别和七层应用行为等攻击识别功能。并且可针对WindOWs、Unix、1.inUX等操作系统漏洞的攻击进行阻止,漏洞类型包括了StackandHeapBufferoverflowFormatstringerror>Memoryaccesserror、MemorycorruptionAccesscontrolandDesignweakness等等。阻止木马传播IPS在阻止木马传播上有以下特点:1 .可检测基于ACtiVeX、XM1.VM1.MDAC等的漏洞,可阻止访问者在浏览网站时被诱使植入木马的攻击;2 .可检测利用Dropper技术隐藏木马的MicrosoftOffice文件,可阻止下载并启动这些文档;3 .如RoOtkit的木马,它们被黑客植入系统后也会跟外界通讯或进行扫描等,IPS可以侦测这些特殊的行为,如TFN、TrinOO、Stacheldraht>PhatbOt、NetbUs、EViIbot等跟外界通讯行为,以及TCP、UDPSCan或ICMPprobing等行为;4 .具有丰富的漏洞特征库可以实现对木马的