L0010XXXX市第X人民医院网络安全技术建议书

《L0010XXXX市第X人民医院网络安全技术建议书》由会员分享，可在线阅读，更多相关《L0010XXXX市第X人民医院网络安全技术建议书（42页珍藏版）》请在装配图网上搜索。

1、XXX市第X人民医院网络安全技术建议书 XXXX市第X人民医院网络安全技术建议书网御神州科技有限公司2022年7月目 录1网络安全方案摘要31.1用户网络结构描述31.2网络安全方案描述41.3网络安全解决思路61.4网络安全问题解决建议72网络安全详细技术建议书82.1网络架构分析82.1.1应用系统架构82.1.2应用系统平台82.2系统风险分析92.2.1网络架构风险分析92.2.2应用系统风险分析132.2.3安全风险分析汇总172.3安全需求分析192.3.1边界防护的需求192.3.2入侵防御系统222.3.3日志集中审计安全需求242.3.4桌面管理系统需求242.4系统安全建议

2、262.4.1UTM安全网关子系统规划272.4.2入侵防御子系统规划292.4.3日志审计子系统规划312.4.4桌面安全管理规划352.4.5方案产品选型及预算412.4.6方案总结412.5附件：各产品技术资料，请参考产品白皮书421 网络安全方案摘要1.1 用户网络结构描述目前XXXX市第X人民医院核心采用两台cisco 4503作为整个网络的核心交换机，两台交换机做互为备份使用，汇聚层采用了5台cisco的3550交换机，接入层采用了cisco的2918交换机作为用户接入交换机，从整个网络拓扑情况看，XXXX市第X人民医院具有合理的架构设计，完善的网络层次。同时，XXXX市第X人民医

3、院将服务器区独立出来，通过一台交换机将所有的服务器与用户的网络进行隔离，确保了数据集中部署、管理的优势。从客户端层面，目前XXXX市第X人民医院大约有600多客户端，其中可上网用户大约有100多，内网用户大约有400-500左右，但这些客户端由于没有进行内网用户和外网用户的划分，所以存在了一些安全的隐患。XXXX市第X人民医院目前网络拓扑结构图1、 服务器资源目前XXXX市第X人民医院内部有HIS、LIS、PACS、EMR、防病毒服务器、病理服务器等多台服务器。2、 网络资源核心采用两台cisco 4503作为整个网络的核心交换机，两台交换机做互为备份使用，汇聚层采用了5台cisco的3550

4、交换机，接入层采用了cisco的2918交换机作为用户接入交换机。3、 安全措施目前XXXX市第X人民医院内部的安全措施主要有：卡巴斯基网络防病毒系统、终端USB移动设备等监控系统。1.2 网络安全方案描述众所周知，网络为人们提供了极大的便利。但由于构成Internet的TCP/IP协议本身缺乏安全性，提供一种开放式的环境，网络安全成为一个在开放式环境中必要的技术，成为必须面对的一个实际问题。而由于目前网络应用的自由性、广泛性以及黑客的“流行”，网络面临着各种安全威胁，存在着各种类型的机密泄漏和攻击方式，包括：窃听报文 攻击者使用报文获取设备，从传输的数据流中获取数据并进行分析，以获取用户名/

5、口令或者是敏感的数据信息。通过Internet的数据传输，存在时间上的延迟，更存在地理位置上的跨越，要避免数据彻底不受窃听，基本是不可能的。IP地址欺骗 攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户，发送特定的报文以扰乱正常的网络数据传输，或者是伪造一些可接受的路由报文（如发送ICMP的特定报文）来更改路由信息，以窃取信息。源路由攻击 报文发送方通过在IP报文的Option域中指定该报文的路由，使报文有可能被发往一些受保护的网络。端口扫描 通过探测UTM安全网关在侦听的端口，来发现系统的漏洞；或者事先知道路由器软件的某个版本存在漏洞，通过查询特定端口，判断是否存在该漏洞

6、。然后利用这些漏洞对路由器进行攻击，使得路由器整个DOWN掉或无法正常运行。拒绝服务攻击 攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。Mellisa宏病毒所达到的效果就是拒绝服务攻击。最近拒绝服务攻击又有了新的发展，出现了分布式拒绝服务攻击，Distributed Denial Of Service，简称DDOS。许多大型网站都曾被黑客用DDOS方式攻击而造成很大的损失。应用层攻击 有多种形式，包括探测应用软件的漏洞、“特洛依木马”等等。另外，网络本身的可靠性与线路安全也是值得关注的问题。随着网络应用的日益普及，尤其是在一些敏感场合（如电子商务、政府机关

7、等）的应用，网络安全成为日益迫切的重要需求。网络安全包括两层内容：其一是网络资源的安全性，其二是数据交换的安全性。网络设备作为网络资源和数据通讯的关键设备，有必要提供充分的安全保护功能，交换机、路由器、UTM安全网关、网闸、管理平台等产品提供了多种网络安全机制，为网络资源和数据交换提供了有力的安全保护。本文将对其技术与实现作详细的介绍。为了便于分析网络安全和设计网络安全解决方案，我们采取对网络分层的方法，并且在每个层面上进行细致的分析，根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。从网络、系统和应用出发，网络的安全因素可以划分到如下的五个安全层中，即物理层、网络层、系统层

8、、应用层和安全管理。物理层安全网络的物理安全主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。它是整个网络系统安全的前提。在网络安全考虑时，首先要考虑物理安全。例如：设备被盗、被毁坏；设备老化、意外故障；计算机系统通过无线电辐射泄露秘密信息等。除此之外，在一些特殊重要的网络应用中，可利用“网络隔离和信息交换”技术，将两个网络从物理上隔断而保证应用上连通实现的“信息摆渡”。网络层安全网络层安全主要分为两个方面：网络传送安全和网络服务安全。网络传送安全主要需要注意的有重要业务数据泄漏和重要业务数据破坏。重要业务数据泄漏：由于在同级局域网和上下级网络数据传输线路之间存

9、在被窃听的威胁，同时局域网络内部也存在着内部攻击行为，其中包括登录通行字和一些敏感信息，可能被侵袭者搭线窃取和篡改，造成泄密。重要数据被破坏：是指不法分子针对网上传输数据做出伪造、删除、窃取、窜改等攻击。存储数据对于网络系统来说极为重要，如果由于通信线路的质量原因或者人为的恶意篡改，都将导致难以想象的后果，这也是网络犯罪的最大特征。网络服务安全是指：入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞；入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网的重要信息；入侵者通过发送大量PING包对内部网中重要服务器进行攻

10、击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。网络安全不仅来自外部网络，同样存在于内部网，而且来自内部的攻击更严重、更难防范。如果办公系统与业务系统没有采取相应安全措施，同样是内部网用户的个别员工可能访问到他本不该访问的信息。还可能通过可以访问的条件制造一些其它不安全因素（伪造、篡改数据等）。或者在别的用户关机后，盗用其IP进行非法操作，来隐瞒自已的身份。应用层安全网络应用系统中主要存在以下安全风险：业务网之间的非法访问；中间业务的安全；用户提交的业务信息被监听或修改；用户对成功提交的业务进行事后抵赖。同时还有：与INTERNET连接带来的安全隐患；身份认证漏洞；高速局域网服务器群安全；内

11、部管理服务平台的安全。系统层安全系统级的安全风险分析主要针对专用网络采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁进行分析。专用网络通常采用的操作系统(主要为UNIX)本身在安全方面有一定考虑，但服务器、数据库的安全级别较低，存在一些安全隐患。管理层安全再安全的网络设备离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整个网络安全中最为重要的一环，尤其是对于一个比较庞大和复杂的网络，更是如此。因此我们有必要认真的分析管理所带来的安全风险，并采取相应的安全措施。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），必须实时的检测、监控、报告与预警。同时，当

12、事故发生后，必须提供黑客攻击行为的追踪线索及破案依据，即网络应该有可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案。因此，最可行的做法是管理制度和管理解决方案的结合。1.3 网络安全解决思路网络的安全覆盖系统的各个层面，由“物理级安全、网络级安全、应用级安全、系统级安全和管理级安全”五个层次组成。在物理层次的安全主要依靠物理线路的可靠保障、维护等措施防护，对于不同安全级别网络区域，可以采用网闸设备实现信息摆渡，同样网闸设备也可以攻击者通过系统漏洞攻击受保护的服务器。系统级层次的安全主要依靠操作

13、系统的可靠性、漏洞补救、病毒防护等措施保障，该层次的安全性可以结合网络层、应用层和管理层的措施共同防护。所以网络的安全解决方案应该主要从三个层次解决：网络层、应用层和管理层。包括网络传送、网络服务、应用安全、安全识别、安全防御、安全监控、审计分析、集中管理等多个方面。这需要依靠技术方面的安全保护和管理方面的安全管理进行全面防护。其中在技术方面主要由数据安全识别、防御、传送、监控四个部分支撑；在管理方面需要进行实时的安全保护、审计、分析、智能管理。此外，仅仅依靠安全技术和安全的管理是无法彻底解决安全问题的，解决安全问题是个循序的过程，还需要对紧急事件进行及时的处理响应并完善更新策略规则，增强整个

14、系统安全性。安全解决方案层次结构安全识别技术包括用户接入身份认证、用户访问权限区分、管理员权限识别与限制、业务使用访问控制、网络服务使用控制、管理员视图控制、访问策略服务等等。安全防御是通过UTM安全网关来进行安全访问控制，UTM安全网关是在内部可信任设施和外部非信任网络之间的屏障，UTM安全网关的设计的原则是：只信任内部网络，对一切来自外部/去网外部的流量进行监控。安全传送包括采用IPsec、SSL等技术，采用VPN隧道对传输数据进行加密。安全监控一般采用安全网关和入侵防御系统配合的方式，UTM安全网关是处于网络边界的设备，自身可能被攻破，需要在内部进行监控，采用入侵防御设备识别网络行为的可

15、信任性，判断是否是内部系统网络或数据资源的可疑行为，并对这些行为做出处理响应；入侵防御是对防御技术的重要补充，入侵防御设备的能效既针对外部网络，也针对内部网络。1.4 网络安全问题解决建议安全方案阐述：1.1 在XXXX市第X人民医院内网和外部安全域之间部署UTM安全网关，用于对进出XXXX市第X人民医院网络的数据包进行过滤和有效控制，并对病毒等有害信息进行过滤；1.2 在内网服务器区部署入侵防御设备，用于监测访问服务器区数据包行为，一旦发现有可疑数据包，则对该数据包作相应处理；1.3 在网络中旁路部署日志审计系统，用于对安全设备、网络设备、重要服务器进行相应的日志审计，及时发现安全问题，并根

16、据公安部门的要求对日志保存60天以上。1.4 在客户端安装桌面管理系统，对终端进行相应管理和控制，确保终端的访问在安全合理的范围内进行，并对操作系统等进行相关的补丁分发等工作。2 网络安全详细技术建议书2.1 网络架构分析2.1.1 应用系统架构2.1.1.1 接入与表示层该层的主要作用是访问应用逻辑层提供的各种应用系统功能，并将应用逻辑层返回的结果通过各种技术手段展现给用户，使用户能通过不同的界面和通讯方式连入应用系统。应用系统主要有以下几类用户：院内工作人员、人民群众、兄弟单位，一般都是互联网直接连接和院内应用系统进行通讯。2.1.1.2 应用逻辑层应用逻辑层是整个应用系统架构的核心，主要

17、的业务逻辑都是由应用逻辑层中的应用系统实现的。此外，应用逻辑层的另一个主要作用是与数据层交换数据。2.1.1.3 数据层数据层存储的主要是业务数据，包括文件级数据和机密级数据。2.1.2 应用系统平台2.1.2.1 硬件平台XXXX市第X人民医院运行数据库系统的有小型机，多为PC服务器、办公终端是PC机。2.1.2.2 操作系统平台 UNIX/LINUX Windows NT/2000 SERVER/2003 SERVER Windows 2000/XP2.1.2.3 数据库系统平台 Oracle SQL Sever2.1.2.4 中间件系统平台 BEA WebLogic Integratio

18、n IBM MQ Series 2.1.2.5 办公自动化系统平台 Lotus Domino/Notes。2.1.2.6 网站系统平台 IIS 4.0/5.0 Apache2.2 系统风险分析2.2.1 网络架构风险分析从网络架构的角度，我们认为存在的安全隐患主要来自于以下几个方面，包括XXXX市第X人民医院网络的基础-TCP/IP自身的弱点，网络设备存在的安全隐患、网络服务器存在的安全风险、网络访问的合理性和数据传输的安全性。具体描述如下：2.2.1.1 TCP/IP协议的弱点由于TCP/IP协议作为事实上的工业标准，以其IP Over Everything的思想，简化了网络构建的复杂性，并

19、随着技术的发展，并最终实现Everything Over IP的网络融合，这种网络发展的趋势是不可逆转的，是由IP技术的竞争优势确定的。具有非常好的扩展性，适合于构造大型的计算机网络。因此已经成为全国XXXX市第X人民医院系统组建网络系统的基础协议。但同时我们也看到，由于TCP/IP协议在产生之处，还没有全面考虑安全方面的因素，就使得该协议组自身便存在一些先天的安全问题，而对于XXXX市第X人民医院系统来讲，由于大量的应用程序都是以TCP作为数据的传输层协议，因此TCP/IP协议的安全性会给XXXX市第X人民医院网络带来严重的后果。典型利用TCP/IP协议的弱点，发起攻击行为的就是“拒绝服务攻

20、击”，比如“SYN FLOOD”攻击，它就是利用了TCP协议中，建立可靠连接所必须经过的三次握手行为，攻击者只向攻击目标发送带“SYN”表示的数据包，导致攻击目标一味地等待发起连接请求的源地址再次发送确认信息，而导致系统处于长期等待状态，直至系统的资源耗尽，而无法正常处理其他合法的连接请求。还有就是IP欺骗攻击，IP欺骗由若干步骤组成，首先，目标主机已经选定。其次，信任模式已被发现，并找到了一个被目标主机信任的主机。黑客为了进行IP欺骗，进行以下工作：使得被信任的主机丧失工作能力，同时采样目标主机发出的TCP序列号，猜测出它的数据序列号。然后，伪装成被信任的主机，同时建立起与目标主机基于地址验

21、证的应用连接。如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作。使被信任主机丧失工作能力。攻击者将要代替真正的被信任主机。对于XXXX市第X人民医院系统，由于TCP/IP协议的弱点，有可能造成以下的破坏。 攻击者对服务器群进行拒绝服务攻击，而使服务器无法正常工作，使XXXX市第X人民医院遭到经济上的损失； 攻击者利用地址欺骗，获得更多的访问权限，有可能会渗透到XXXX市第X人民医院系统内部，造成更大的损失； 内部不满员工利用办公用机散播蠕虫病毒，使核心交换机负载加重，导致整体网络运行故障；2.2.1.2 网络设备的风险在网络中的重要的安全设备如路由器交换机等有可能存在着以

22、下的安全风险：（以最常用的路由器为例） 路由器缺省情况下只使用简单的口令验证用户的身份，并且远程TELNET登录时以明文传输口令。一旦口令泄密路由器将失去所有的保护能力。 路由器口令的弱点是没有计数器功能的，所有每个人都可以不限次数地尝试登录口令，在口令字典等工具的帮助下很容易破解登录口令。 每个管理员都可能使用相同的口令，因此，虽然访问日志可以详细记录管理员对路由器进行登录、修改操作，但无法区分是哪位管理员进行的操作。 路由器实现的动态路由协议存在着一定的安全漏洞，有可能被恶意的攻击者利用来破坏网络的路由设置，达到破坏网络或为攻击做准备。 针对路由器的拒绝服务攻击或分布式拒绝服务攻击。比如I

23、CMP重定向攻击、源路由攻击等。 发布假路由，路由欺骗，导致整个网络的路由混乱。2.2.1.3 网络服务器的风险针对XXXX市第X人民医院系统来讲，运行在专网上的各种网络服务器构成了最重要的信息资产，如何确保这些重要的网络服务器能够稳定、可靠、安全地运行，是保证XXXX市第X人民医院系统各项业务正常开展的基础。一般来讲，网络服务器所面临的安全问题包括： 维护存储在服务器上信息的机密性。这要求保证：1）只有授权用户才可以访问服务和信息；2）授权用户只能访问那些他们被授权访问的服务；3）信息的公开要与策略一致； 维护存储在服务器上信息的完整性，以免信息被破坏或被损坏，并使系统像期望的那样运行。这意

24、味着要能对完整性的破坏进行识别和响应； 维护服务和信息的可用性。这要求保证：1）即使硬件或软件出故障，或进行系统的日常维护时对信息和服务的访问也不中断；2）能及时识别并响应安全事件； 确保用户名副其实，网络服务器主机也名副其实，这叫做“相互验证”。2.2.1.4 网络访问的合理性网络的访问策略是不是合理，访问是不是有序，访问的目标资源是否受控等问题，都会直接影响到XXXX市第X人民医院系统的稳定与安全。如果存在网络内访问混乱，外来人员也很容易接入网络，地址被随意使用等问题，将导致网络难以管理，网络工作效率下将，无法部署安全设备、对攻击者也无法进行追踪审计。这就要求系统能够对网络中发生的各种访问

25、，乃至网络中传递的数据包进行很好的监控，特别是针对XXXX市第X人民医院专网，由于其既存在对内提供服务的设备，也存在对外提供服务的设备，这些服务器在安装的过程中有可能没有关闭掉一些毫无用处的服务，或者即使关闭了这些服务，也因为操作系统自身存在的漏洞而给攻击者可乘之机，特别是对互联网提供服务的设备，很容易成为XXXX市第X人民医院专网的“安全短板”，被来自互联网的攻击者利用，从而发起对内网的攻击。2.2.1.5 数据传输的安全性从网络结构的分析上，我们看到，对于某些省份，由于其主干网络采取政务网（第三方不可信任网络），那么当数据以明文的方式在这种不可信任网络中进行传递和交换时，就给数据的安全性、

26、保密性带来极大的挑战，具体来讲对数据传输安全造成威胁的主要行为有： 窃听、破译传输信息：XXXX市第X人民医院网络主要用于进行重要数据和报文的传递，具有一定的敏感性。由于使用地方政务网这样的第三方不可信任网络，攻击者能够通过线路侦听等方式，获取传输的信息内容，造成信息泄露；或通过开放环境中的路由或交换设备，非法截取通信信息； 篡改、删减传输信息：攻击者在得到报文内容后，即可对报文内容进行修改，造成收信者的错误理解。即使没有破译传输的信息，也可以通过删减信息内容等方式，造成对信息的破坏，比如将一份报文的后半部分去掉，造成时间、地点等重要内容的缺失，导致信息的严重失真； 重放攻击：即使攻击者无法破

27、译报文内容，也无法对报文进行篡改或删减，但也可以通过重新发送收到的数据包的方式，进行重放攻击。对于一些业务系统，特别是数据库系统，这种重放攻击会造成数据失真以及数据错误； 伪装成合法用户：利用伪造用户标识，通过电子邮件、实时报文或请求文件传输得以进入通信信道，实现恶意目的。例如，伪装成一个合法用户，参与正常的通信过程，造成数据泄密。2.2.2 应用系统风险分析XXXX市第X人民医院应用系统包括：HIS、LIS、PACS、EMR、办公自动化系统、档案文件管理与内容管理系统等。这些应用建立在硬件平台、操作系统平台、数据库系统平台、中间件系统平台、办公自动化系统平台和XXXX市第X人民医院网站系统平

28、台之上。因此，对应用系统安全风险的分析也就是对各种系统平台的安全风险分析。2.2.2.1 硬件平台风险分析硬件平台的安全风险包括硬件平台的安全威胁和脆弱性，它的某些安全威胁和脆弱性也影响着软件资产和数据资产。具体而言，软件是安装在服务器、工作站等硬件之上的，所以软件资产的安全威胁和脆弱性也就必然要包括这些硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。而数据是依赖于软件而存在的，也就是说数据资产也间接地依赖于某些硬件，因此数据资产的安全威胁和脆弱性也显然包括了服务器、工作站等硬件所受的技术故障、人员错误以及物理和环境的威胁和脆弱性。硬件平台的安全风险主要表现在： 火灾 水灾 鼠害 地

29、震、雷电等意外的天灾 偷窃，是指非法用户盗窃财政机构硬件资产和数据资产的可能性，它包括内部人员的偷窃和外部人员的偷窃。 人员故意损害，是由于用户心存不满、意在报复而采取的破坏行为和引起系统或维护环境上的物理、软件和数据损坏发生的可能性，它包括内部人员故意损害、外部人员故意损害和恐怖主义。2.2.2.2 操作系统平台风险分析 操作系统平台的安全风险主要来自为针对操作系统漏洞的攻击。安全漏洞是指任意的允许非法用户未经授权许可获得访问或提高其访问层次的硬件或软件特征。安全漏洞就是某种形式的脆弱性。2.2.2.2.1 UNIX操作系统安全漏洞UNIX类服务器和工作站由于其出色的稳定性和高性能而成为大型

30、网络系统常采用的操作系统，当前承担着XXXX市第X人民医院应用的关键任务。缺省安装的UNIX操作系统（以HP UNIX为例）会存在以下安全漏洞： FINGER（泄露系统信息） 各类RPC（存在大量的远程缓冲区溢出、泄露系统信息） SENDMAIL（许多安全漏洞、垃圾邮件转发等） NAMED（远程缓冲区溢出、拒绝服务攻击等） SNMP（泄露系统信息） 操作系统内核中的网络参数存在许多安全隐患（IP转发、堆栈参数等） 存在各种缓冲区溢出漏洞 存在其它方面的安全漏洞2.2.2.2.2 微软操作系统安全漏洞Windows操作系统由于其简单明了的图形化操作界面，以及逐渐提高的系统稳定性等因素，正逐步成为

31、主要的网络操作系统，并且在XXXX市第X人民医院网络中占有重要地位。Windows系统的安全水平取决于管理员在安装过程、补丁安装过程、应用服务配置过程中的安全修养和实际考虑。缺省安装的WINDOWS操作系统的安全问题非常严重，它们通常会出现下述安全漏洞： 没有安装最新的Service Pack. 没有关闭不必要的系统服务 最新的SERVICE PACK没有解决的安全漏洞 缺省安装的服务程序带来的各种安全漏洞 系统注册表属性安全漏洞 文件系统属性安全漏洞 缺省帐号安全漏洞 文件共享方面的安全漏洞 其它方面的各种安全漏洞2.2.2.3 数据库系统平台风险分析 数据库系统一般可以理解成两部分：一部分

32、是数据库，按一定的方式存取数据；另一部分是数据库管理系统（DBMS），为用户及应用程序提供数据访问，并具有对数据库进行管理、维护等多种功能。随着计算机在社会各个领域的广泛应用，信息系统中的数据库管理系统担负着集中处理大量信息的使命，但是数据库通常没有像操作系统和网络那样在安全性上受到重视。数据完整性和合法存取会受到很多方面的安全威胁，包括对数据库中信息的窃取、篡改和破坏，计算机病毒、特洛伊木马等对数据库系统的渗透、攻击，系统后门以及本身的安全缺陷等。数据库系统平台是应用系统的基础，其面临的安全风险包括： 偶然的、无意的侵犯/或破坏。自然的或意外的事故。例如地震，水灾和火灾等导致的硬件损坏，进而

33、导致数据的损坏和丢失。 硬件或软件的故障/错误导致的数据丢失。硬件或软件的故障/错误导致可能导致系统内部的安全机制的失效，也可导致非法访问数据或系统拒绝提供数据服务。 人为的失误。操作人员或系统的直接用户的错误输入、应用系统的不正确的使用。 蓄意的侵犯或敌意的攻击。授权用户可能滥用他们的权限，蓄意窃取或破坏信息。 病毒。病毒可以自我复制，永久的或通常是不可恢复的破坏自我复制的现场，到达破坏信息系统、取得信息甚至使系统瘫痪。 特洛伊木马。一些隐藏在公开的程序内部收集环境的信息，可能是由授权用户安装（不经意的）的，利用用户的合法权限窃取数据。 隐通道。是隐藏在合法程序内部的一段代码，在特定的条件下

34、启动，从而许可此时的攻击可以跳过系统设置的安全稽核机制进入系统，以达到窃取数据的目的。 信息的非正常的扩散泄密。 对信息的非正常的修改，包括破坏数据一致性的非法修改以及删除。 绕过DBMS直接对数据进行读写。2.2.2.4 中间件系统平台风险分析对于中间件的安全风险主要是在网络互连及数据通信过程中来自不速之客的非法性动作，主要有非法截取阅读或修改数据、假冒他人身份进行欺骗、未授权用户访问网络资源等。2.2.2.5 办公自动化系统平台风险分析 硬件/软件故障造成系统瘫痪 计算机病毒的入侵 特洛伊木马的恶意程序造成失密 邮件系统故障 办公终端非法连接互联网2.2.2.6 XXXX市第X人民医院网站

35、系统平台风险分析 拒绝服务攻击 端口扫描 篡改网站主页 非授权用户访问 冒充合法用户的访问 Web服务器主机的详细信息被泄漏 Web服务器私人信息和保密信息被窃 利用Bug对Web站点进行破坏 互联网上传输信息被非法截获，纳税人信息和申报数据被非法篡改2.2.3 安全风险分析汇总安全风险类别安全风险描述安全需求网络架构网络访问的合理性来自外接专网的越权访问访问控制(UTM实现)来自外接专网的恶意攻击入侵检测（入侵防御实现）来自外接专网的病毒入侵病毒防护(UTM实现)来自政务网系统同级、上级和下级节点的越权访问访问控制(UTM实现)来自政务网系统同级、上级和下级节点的恶意攻击入侵检测（入侵防御实

36、现）来自政务网系统同级、上级和下级节点的病毒入侵病毒防护(UTM实现)TCP/IP的弱点利用TCP/IP弱点进行拒绝服务攻击边界隔离(UTM实现)利用TCP/IP弱点进行IP欺骗攻击边界隔离(UTM实现)蠕虫病毒攻击系统加固（后期安全项目解决）网络设备的风险路由器弱口令的风险漏洞扫描（后期安全项目解决）口令明文传递的风险加密传输（后期安全项目解决）假路由、路由欺骗攻击漏洞扫描（后期安全项目解决）敏感信息在广域网中传输的安全隐患文件查询系统在传输过程中被窃取、篡改、删除通讯信道加密（后期安全项目解决）网络及系统漏洞的安全隐患黑客利用已知的漏洞对网络或系统进行恶意攻击漏洞扫描（后期安全项目解决）应

37、用系统关键业务主机出现故障和系统漏洞的安全隐患不能实时监控关键业务主机硬件系统的运行情况集中安全管理（主机性能监控）（后期安全项目解决）不能实时报告关键业务主机系统故障集中安全管理（主机稳定性监控）（后期安全项目解决）操作系统的安全级别低，缺乏对使用关键业务主机操作系统用户权限的严格控制、文件系统的保护等访问控制（主机安全防护）(UTM实现)数据库系统的安全隐患不能实时监控数据库系统的运行情况包括：数据库文件存储空间、系统资源的使用率、配置情况、数据库当前的各种死锁资源情况、数据库进程的状态、进程所占内存空间等。集中安全管理（数据库稳定性监控）(日志审计系统解决)2.3 安全需求分析根据上面所

38、分析的内容，可以看到，XXXX市第X人民医院系统目前存在着较多的安全隐患，作为部门，XXXX市第X人民医院系统各项业务的开展直接影响到医院事务，这种职能使XXXX市第X人民医院系统受到更多的关注，遭遇攻击威胁的可能性很高，综合上面的描述，下面从网络安全、应用安全、管理安全的角度出发，归纳出XXXX市第X人民医院网络主要存在的安全需求为：边界防护需求、入侵防御需求、日志审计需求、桌面管理需求。2.3.1 边界防护的需求边界防护的设计是将组织的网络，根据其信息性质、使用主体、安全目标和策略的不同来划分为不同的安全域（从纵向上我们将XXXX市第X人民医院网络划分内网和外网两个层面，从横向上又分为服务

39、器群和办公内网三个组成部分，从而形成多个安全域），不同的安全域之间形成了网络边界，通过边界保护，严格规范XXXX市第X人民医院网络系统内部的访问，防范不同网络区域之间的非法访问和攻击，从而确保XXXX市第X人民医院网络各个区域的有序访问。一般来说边界防护采用的主要技术是UTM安全网关技术。根据XXXX市第X人民医院的具体情况，并结合用户的需求，在本技术方案中，我们将在互联网和XXXX市第X人民医院网络之间采取逻辑隔离技术，即使用UTM安全网关系统；而在XXXX市第X人民医院内网和数据中心之间采用入侵防御技术来实现XXXX市第X人民医院网络和XXXX市第X人民医院数据中心之间的安全数据交换。2.

40、3.1.1 UTM安全网关UTM安全网关是指设置在不同网络（如可信任的组织内部网和不可信任的公共网）或网络安全域之间的一系列部件组合。UTM安全网关通常位于不同网络或网络安全域之间信息的唯一连接处，根据组织的业务特点、行业背景、管理制度所制定的安全策略，运用包过滤、病毒过滤、代理网关、NAT转换、IP+MAC地址绑定等技术，实现对出入网络的信息流进行全面的控制（允许通过、拒绝通过、过程监测），控制类别包括IP地址、TCP/UDP端口、协议、服务、连接状态等网络信息的各个方面。UTM安全网关本身必需具有很强的抗攻击能力，以确保其自身的安全性。UTM安全网关可实现以下的基本功能。l 监控并限制访问

41、针对黑客攻击的不安全因素，UTM安全网关采取控制进出内外网的数据包的方法，实时监控网络上数据包的状态，并对这些状态加以分析和处理，及时发现存在的异常行为；同时，根据不同情况采取相应的防范措施，从而提高系统的抗攻击能力。l 控制协议和服务针对网络协议设计的先天缺陷，UTM安全网关采取控制协议和服务的方法，使得只有授权的协议和服务才可以通过UTM安全网关，从而大大降低了因某种服务、协议的漏洞而引起灾难性安全事故的可能性。l 保护网络内部针对软件及系统的漏洞或“后门”，UTM安全网关采用了与受保护网络的操作系统、应用软件无关的体系结构，其自身建立在安全操作系统之上；同时，针对受保护的内部网络，UTM

42、安全网关能够及时发现系统中存在的漏洞，进行访问上的限制；UTM安全网关还可以屏蔽受保护网络的相关信息，使黑客无从下手。l 病毒过滤UTM安全网关内部具有病毒过滤功能，利用病毒过滤的功能，可以有效的防范针对内部网络的病毒防范问题，确保安全高效的访问互联网。l 日志记录与审计当UTM安全网关系统被配置为工作在不同安全域之间的关键节点时，UTM安全网关系统就能够对不同安全域之间的访问请求做出日志记录。日志是对一些可能的攻击行为进行分析和防范的十分重要的情报。另外,UTM安全网关系统也能够对正常的网络使用情况做出统计。这样网络管理员通过对统计结果进行分析，掌握网络的运行状态，继而更加有效的管理整个网络

43、。针对XXXX市第X人民医院系统的具体情况，我们得到对UTM安全网关的需求包括以下几个方面：l 访问控制UTM安全网关必须能够实现网络边界的隔离，具有基于状态检测的包过滤功能，能够实现针对源地址、目的地址、网络协议、服务、时间、带宽等的访问控制，能够实现邮件内容过滤，支持网络地址转换等功能。l 高效率由于UTM安全网关被部署在XXXX市第X人民医院系统不同安全域之间的关键节点上，因此从某种意义上讲，UTM安全网关的工作效率就决定了XXXX市第X人民医院网络的工作效率，所以采用的UTM安全网关设备必须有较高的工作效率，确保网络原有的吞吐率、延迟等重要的指标尽量不受到UTM安全网关的干扰。l 高可

44、靠性由于UTM安全网关是网络中的重要设备，意外的宕机都会造成网络的瘫痪，因此UTM安全网关必须是运行稳定，故障率低的系统，并且要求能够实现双机热备，最好能够实现UTM安全网关集群技术，以保证不间断的网络服务。l 病毒过滤UTM安全网关内部具有病毒过滤功能，利用病毒过滤的功能，可以有效的防范针对内部网络的病毒防范问题，确保安全高效的访问互联网。l 日志和审计要求UTM安全网关能够对重要关键资源的使用情况应进行有效的监控，UTM安全网关系统应有较强的日志处理能力和日志分析能力，能够实现日志的分级管理、自动报表、自动报警功能，同时希望支持第三方的日志软件，实现功能的定制。l 高安全性作为安全设备，U

45、TM安全网关本身必须具有高安全性，本身没有安全漏洞，不开放服务，可以抵抗各种类型的攻击。可以有效抵抗拒绝服务攻击的能力，防范攻击者利用TCP/IP协议自身弱点发起对XXXX市第X人民医院专网系统的攻击。l 可以扩展系统的建设必须考虑到未来发展的需要，系统必须具有良好的可扩展性和良好的可升级性。l 易于管理系统的安装、配置与管理尽可能的简洁，安装便捷、配置灵活、操作简单。l 支持VPN加密传输针对XXXX市第X人民医院系统数据明文传输的风险，要求UTM安全网关必须支持VPN加密模块，在XXXX市第X人民医院系统利用互联网进行数据传输的过程中，将数据进行加密，使数据以密文的方式被传递，防范数据被政

46、务网内攻击者窃取的风险，同时VPN模块还支持数据完整性校验和抗重放攻击的能力，进一步加强数据传输的安全性。2.3.2 入侵防御系统利用UTM安全网关技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险，但是入侵者可寻找UTM安全网关背后可能敞开的后门，或者入侵者也可能就在UTM安全网关内。网络入侵防御系统位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括切断访问、实时报警、事件登录，或执行用户自定义的安全策略等。入侵防御系统部署在网络中

47、的服务器区，这里我们建议在XXXX市第X人民医院网络中引入入侵防御系统，监视并记录网络中的所有反问行为和操作，有效防止非法操作和恶意攻击。同时，入侵检测系统还可以形象地重现操作的过程，可帮助安全管理员发现网络安全的隐患。UTM安全网关系统是基于策略的对网络边界实施静态安全防范的技术，根据系统的策略 (IP Address/port/)只允许通过策略所允许的数据包，但不能切断隐藏在正常数据包中的黑客攻击试图。而且，对于不通过UTM安全网关的数据包（内部的相互访问数据或者是通过其他手段绕过UTM安全网关的数据），UTM安全网关也不能对其进行检测。UTM安全网关在进行边界防护方面，其局限性主要体现在

48、以下几个方面： UTM安全网关无法探测及完全防御流行的拒绝服务攻击 (DoS/DDoS)及尼姆达(Nimda)病毒等的攻击。 UTM安全网关仅对数据包头进行分析并依据策略进行判断，而不对数据包的负载或内容进行深层次的分析，对规则中允许的端口和服务一直视为正常的用户，不执行保安功能。 在遭到黑客攻击后，因UTM安全网关不保留数据包内容的日志，所以事后无法把日志作为监查日志，而入侵检测系统把数据包内容完整的作为日志保留，可用于事后的审计。 UTM安全网关对内部用户的误用、滥用及内部用户的攻击行为无能为力。因此，入侵防御系统作为网络服务器系统的安全防线，对在UTM安全网关系统阻断攻击失败时，最大限度

49、地减少相应的损失。也可以与UTM安全网关等安全产品进行联动，实现动态的安全维护。针对XXXX市第X人民医院系统的具体情况和行业特点，我们得到的入侵防御的需求包括以下几个方面：l 入侵检测要求能够对攻击行为进行检测，是对入侵检测设备的核心需求，要求可以检测的种类包括：异常行为检测（包括针对各种服务器的攻击等）、可移动存储设备检测、拨号上网检测等等。l 自身安全性要求作为网络安全设备，入侵检测系统必须具有很高的安全性，配置文件需要加密保存，管理台和探测器之间的通讯必须采用加密的方式，探测器要可以去除协议栈，并且能够抵抗各种攻击。l 日志审计要求系统能对入侵警报信息分类过滤、进行统计或生成报表。对客

50、户端、服务器端的不同地址和不同服务协议的流量分析。可以选择不同的时间间隔生成报表，反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息，使管理员随时对网络安全状况有正确的了解。可以根据管理员的选择，定制不同形式的报表。l 实时响应要求当入侵防御报警系统发现网络入侵和内部的违规操作时，将针对预先设置的规则，对事件进行实时应急响应。根据不同级别的入侵行为能做出不同方式告警，用以提醒管理人员及时发现问题，并采取有效措施，控制事态发展。报警信息要分为不同的级别：对有入侵动机的行为向用户显示提示信息、对严重的违规现象实行警告通知、对极其危险的攻击可进行及时阻断、以及向安全管理中心报告。

51、另外，必须在基于规则和相应的报警条件下，对不恰当的网络流量进行拦截。l 服务要求入侵防御系统必须提供全面的服务，入侵特征库的升级必须要及时，并且要提供对入侵检测报表的分析帮助。2.3.3 日志集中审计安全需求在XXXX市第X人民医院信息安全保障体系使用了多种安全子系统后，为了充分发挥各子系统的功能，建立有效的信息安全保障体系，本方案提出以下安全需求： 实现安全设备和安全软件网络化集中管理、实施全面实时监控、保障安全设备和系统正常运转的中心 实现安全日志、网络日志、服务器日志等信息收集、信息相关性分析全方位安全管理的中心； 实现系统动态反应和应急处理的中心 制订和实施安全设备和系统运行策略、确保

52、安全设备和系统的高效运转、实现组织安全目标的中心 各种安全资源，包括了软件、硬件、人员、规章等要素的集中管理的中心 因此，在XXXX市第X人民医院信息安全保障体系中必须建立日志集中审计体系。2.3.4 桌面管理系统需求在XXXX市第X人民医院信息网络中，整体网络分为了内部网络和外部网络，但由于网络目前的状况等原因，导致目前内外网没有进行明确的划分，随着用户的网络更加开放，往往需要支持包括访问互联网、访问特定网站、内部用户使用移动介质等多种应用，而内部用户又需要访问不同级别的重要而敏感的内部信息。这使得网络的边界在不断向外延伸，也变的越来越模糊。于是，对于网络中的端点、尤其是终端，经常处于一种高

53、风险的状态，安全防护尤显重要。一方面，只要网络的一个终端被入侵，整个网络都将处于危险之中。而随着边界的模糊化，终端遭受入侵的可能性大大增加。另一方面，由于缺乏安全意识，缺少管理和监督，网络边界内部的终端合法用户时常发生有意无意的违规行为，这些都可能导致整个网络安全的保密性、完整性和可用性面临挑战。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示：超过85%的安全威胁来自公司内部，在损失金额上，由于内部人员泄密导致了6056.5万美元的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而

54、非病毒和外来黑客引起。除了来自外部和内部针对终端的威胁，国家、行业主管机构、企业和组织自身越来越强调的内控和风险管理也要求用户对边界内部的终端运行及其用户行为进行合规性审计。在国家信息系统等级保护、国家保密局BMB17/20、银行证券系统的内控指引、ISO27000等各种相关的文件规范中都涉及到了移动存储介质管理、终端设备网络接入控制、操作系统和应用软件安全漏洞修补、终端用户操作审计、计算机违规外联监测等一系列内容。这些都对终端安全提出了要求。针对上述挑战，桌面安全管理系统就可以为用户提供包括终端接入控制、终端安全加固、终端合规审计、终端数据保护在内的全面终端安全管理解决方案。桌面安全管理系统

55、能够保证网络中用户和设备（例如U盘）的可信性，确保只有受信用户才能使用网络资源，只有受信的设备才允许在网络中使用，只有符合安全准入标准的终端才能接入网络。桌面安全管理系统能够对终端的操作系统脆弱性进行检查，及时分发补丁和加固系统，最大限度地提升终端的安全强度。桌面安全管理系统能够对操作终端的用户行为进行监控和合规审计，防止终端用户滥用网络资源导致的工作效率以及网络可用性的下降，阻止终端用户的各种违规企图（例如非法外联，非法通过邮件发送涉密信息，等等）。桌面安全管理系统能够对终端上的重要数据资产进行保护，防止重要数据从网络中任何渠道泄漏到外部，最大限度地保护企业和组织的重要资产。如果我们将网络边

56、界之内的网络称为内网，那么终端安全管理的主要目的就是终端安全。2.4 系统安全建议本方案通过对XXXX市第X人民医院系统对外服务的网络和应用现状的细致风险分析和安全需求理解，并与XXXX市第X人民医院的技术人员进行了广泛的沟通，有针对性的部署了以下具有针对性的安全策略，其中采用的安全技术有：UTM安全网关技术、入侵防御技术、日志审计技术、桌面管理技术。需要提出的是有了较完善产品部署只是对抗安全风险的一部分，更重要的是建立完善的安全管理制度、明确安全管理职责、重视日常安全运维、树立安全意识，这样才能保证安全产品真正有效地发挥作用，从多方面、多层次构建一个深度防御体系。下图是系统的整体部署示意图：

57、设备整体部署示意图2.4.1 UTM安全网关子系统规划控制大型网络的安全的一种方法就是把网络化分成单独的逻辑网域，如组织内部的网络域，和外部网络域，每一个网域有所定义的安全边界来保护。这种边界的实施可通过在相连的两个网络之间安全网关来控制其间访问和信息流。网关要经过配置，以过滤两个区域之间的通信量和根据组织的访问控制方针来堵塞未授权访问。这种网关的一个例子就是通常所说的UTM安全网关。本方案中UTM安全网关主要用于XXXX市第X人民医院外部网络和互联网的逻辑隔离。UTM安全网关是一个或一组系统，它在网络之间执行访问控制策略。实现UTM安全网关的实际方式各不相同，但是在原则上，UTM安全网关可以

58、被认为是这样一对机制：一种机制是拦阻传输流通行，另一种机制是允许传输流通过。一些UTM安全网关偏重拦阻传输流的通行，而另一些UTM安全网关则偏重允许传输流通过。了解有关UTM安全网关的最重要的概念可能就是它实现了一种访问控制策略。边界保护机制的需求1. 对源地址、目的地址和服务做出限制，并阻断危险的协议，比如ICMP协议。进出边界的通信都需要进行控制；2. 限制可执行代码的服务和下载能力；3. 使用访问控制列表；4. 使用身份验证机制；5. 使用网络地址转换隐藏内部网络（地址和拓扑结构）防止潜在攻击者；6. 记录和分析源路径和其他信息包，并对攻击做出反应和进行限制；7. 操作者能够方便正确的配

59、置边界保护机制，如采取友好图形用户界面；8. 监控并且有产生告警的能力。9. 加强互联网出口病毒防护需求。2.4.1.1 UTM安全网关安全解决方案2.4.1.1.1 安全域划分的原则XXXX市第X人民医院网络安全系统安全域的设计主要遵循以下设计原则：（1）明确网络资源事实上我们不能确定谁会来攻击系统，所以在制订安全策略和框架之初应当充分了解部门的内部构架，了解要保护什么，需要什么样的访问，以及如何协调所有的网络资源和访问。（2）确定网络访问点网络管理员应当了解潜在的入侵者会从哪里进入系统。通常是通过网络连接、拨号访问以及配置不当的主机入侵系统。（3）限制用户访问的范围应当在网络中构筑多道屏障

60、，使得非法闯入系统者不能自动进入整个系统，尤其要注意网络中关键敏感地区的防范。（4）明确安全设想每个安全系统都有一定的假设。一定要认真检查和确认安全假设，否则隐藏的问题就会成为系统潜在的安全漏洞。（5）充分考虑人的因素在构建安全体系时，人的因素是非常重要的。即便制定了非常完善的安全制度，如果操作员不认真执行，也无疑会为不法入侵者大开方便之门。（6）实现深层次的安全对系统的任何改动都可能会影响安全，因此系统管理员、程序员和用户需要充分考虑变动将会造成的附带影响。构建安全体系的目标之一是使系统具有良好的可伸缩性，而且不易影响系统的安全性。2.4.1.1.2 UTM安全网关部署方案根据前文描述，XX

61、XX市第X人民医院网络可以划分为Internet边界和数据中心网络边界，内部网络边界、服务器区边界，按照安全对策分析，需要分别在Internet边界部署高性能UTM安全网关，通过UTM安全网关的访问控制策略严格限制Internet对内部网络系统的访问。通过对以上部署示意图的分析，在本方案中充分考虑了设备的高可用性，因此在Internet与XXXX市第X人民医院外网之间部署了一台UTM安全网关。考虑到XXXX市第X人民医院外网的应用较多，为了确保每个应用系统独立运行的安全，我们采用UTM安全网关将该区域进行了逻辑划分，共分为3个逻辑区域，分别为：办公内网区、服务器区、数据中心区，各个区域之间的访

62、问必须符合UTM安全网关的控制策略，因此也就确保了每个应用系统的相对独立性，从而避免了网络风险的扩大化。UTM安全网关基本安全策略： UTM安全网关以路由方式接入； UTM安全网关通过NAT地址转换隐藏XXXX市第X人民医院网络拓扑结构； Internet网络用户只允许访问XXXX市第X人民医院网络的网上查询服务器的受理端口； 只允许查询受理服务器访问数据中心区的数据服务器的特定端口； 公共服务区的计算机只允许访问Internet; 在UTM安全网关上开启病毒过滤功能；2.4.2 入侵防御子系统规划2.4.2.1 设计目标入侵防御系统是控制黑客最有效的手段之一，包括监测、预警、控制三大功能，它也是对UTM安全网关功能的合理补充，是防范网络攻击的又一道防线。入侵防御系统帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。入侵防御系统应能实时监测外部黑客入侵、内部用户越权访问和误用，并能对攻击作出反应，以及提供补救措施。其主要功能如下： 实时网络数据流跟踪，分析网络通信会话轨迹； 网络攻击模式识别； 网络安全违规活动捕获； 网络安全事件的自动响应； 提供智能化网络安全审计方案； 支持用户自定义网络安全策略和网络安全事件； 具有生成分析报告的能力； 自动或人工方式更新知识库； 能相互监视和