1.安全解决方案详细设计

我们对信息系统安全建设进行了风险及需求的分析。同时根据安全方案设计原则，我们将等级保护建设方案分为以下几个方面进行了详细的介绍。

1.1.方案整体部署拓扑

方案的整体部署效果如下图： 

                                       部署效果图

1.2.互联网安全设计

参考等级保护基本技术要求，结合实际安全保障需要，本着“适度安全，保护重点”的原则，在原有的基础上建议部署专业的防护设备。

1.2.1. 下一代安全网关

在入口处部署“下一代安全网关”，同时具备防火墙、入侵防御、网络防病毒的功能，同时多项功能融为一体，提供更少的故障点、更高的安全防护效率。

下一代安全网关的防病毒功能，可对进出的网络数据内容进行病毒、恶意代码扫描和和过滤处理，并提供防病毒引擎和病毒库的自动在线升级，彻底阻断病毒、蠕虫及各种恶意代码向网络中心其他区域网络传播。

1.2.2. 网闸

在“下一代安全网关”之后部署安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。

部署安全隔离网闸可有效的进行互连网与内网之间数据流量传输的控制，实现“物理层”隔离。

1.2.3. APT攻击监测

目前针对医疗行业的攻击越来越多，不惜使用大量的0day和花费大量的时间对一个目标进行深度长期的攻击。而这块的检测手段有限，目前的设备无法有效的发现这些安全攻击事件。所以我们需要一种能检测此类攻击的设备。这类设备的功能应包含：

l 对常规攻击的发现；

l 对已知漏洞攻击的发现；

l 对0day攻击的发现；

l 深度威胁分析能力。

1.   内网业务安全设计

内网运维安全是保障本单位整个网络中心网络内的服务器、重要应用系统的安全运行，减少这些信息资产的安全漏洞，提升它们的防护能力，实现服务器终端的可控安全管理，并对内部网络上的一些攻击行为进行监控及防护。

我们建议将根据内网业务系统的重要级别，遵循重点防护的原则，对重要信息系统加强安全防护措施。对于保密业务、核心应用和数据库的安全防护不仅靠网络中心网络边界及骨干网络的安全防护措施，还需要对各区域内部加强安全监控预警。另外，需要控制和规范终端用户的操作行为，并对各种操作行为进行全过程的记录，防止信息泄露、内网攻击等安全事件的发生。

建议在内网服务器区和内网办公区域之间部署防火墙，对内网各区域提供边界访问控制，严格控制进出该安全区域的访问，明确访问的来源、访问的对象及访问的类型，确保合法访问的正常进行，杜绝非法及越权访问；同时有效预防、发现、处理异常的网络访问，确保该区域信息网络正常访问活动。

1.3.1. 下一代安全网关

在内网业务区域前部署下一代安全网关，具备防火墙、入侵防御、网络防病毒的功能，同时多项功能融为一体，提供更少的故障点、更高的安全防护效率。

下一代安全网关的防病毒功能，可对进出的网络数据内容进行病毒、恶意代码扫描和和过滤处理，并提供防病毒引擎和病毒库的自动在线升级，彻底阻断病毒、蠕虫及各种恶意代码向网络中心其他区域网络传播。

1.3.2. WEB应用防火墙

在内网Web服务器前，部署专业的、面向业务的Web应用防火墙，比传统的网络层防火墙提供更细粒度的安全防护。针对Web业务面临的跨站脚本(XSS)、注入式攻击（包括SQL注入、命令注入 、Cookie 注入、代码注入、LDAP注入、SSI注入文件注入等）、跨站请求伪造等应用攻击行为，对上述攻击行为进行有效监测、防护、告警，有效防护医院的业务系统。

1.3.3. 汇聚交换机

主要实现内业务服务器组进行统一接入，方便管理，同时为运维管理安全设计提供必要的接入环境。

1.4.终端安全设计

当前，互联网病毒、蠕虫、木马、流氓软件等各类恶意代码已经成为互联网接入所面临的重要威胁之一，面对越发复杂的网络环境，传统的网络防病毒控制体系没有从引入威胁的最薄弱环节进行控制，即便采取一些手段加以简单的控制，也仍然不能消除来自外界的继续攻击，短期消灭的危害仍会继续存在。建议在终端区域部署防病毒软件，对办公终端的数据内容进行病毒、恶意代码扫描和过滤处理，并提供防病毒引擎和病毒库的自动在线升级，彻底阻断病毒、蠕虫及各种恶意代码向数据中心其他区域网络传播。

1.5.运维管理安全设计

运维管理的核心任务是保证整个网络中心网络、服务器、存储等基础设施和业务系统的正常安全运行，需要重点考虑网络中心的边界安全防护、数据库审计、终端安全、运维审计、安全管理、运维管理、远程VPN安全接入、以及由信息安全公司提供的包括远程网站安全监测与恢复、安全事件审计与预警、安全策略风险评估等在内的安全云服务等。

运维管理区与整个网络的任何一个安全区域互通，负责监管和收集整个网络中心网络的安全事件。

1.5.1. 风险管理体系

建议在该区域网络中部署漏洞扫描系统，对Web服务器、服务器以及数据库等进行弱点评估，发现设备和系统存在的安全风险，并给出解决建议，方便运维人员针对弱点进行加固，将信息系统的隐患消除在弱点被利用之前。安全漏洞扫描主要针对以下五个方面进行：

1.5.1.1. 服务器安全检测系统

服务器安全检测系统主要针对服务器系统进行系统状态、各类安全配置等方面的检测，并支持USB使用记录的检测。如支持审查系统的配置信息，内容包含但不限于：计算机名、用户名、操作系统、内存大小、磁盘大小、系统路径、共享目录；支持审查系统所有系统账号，包含隐藏账号（影子账号）及活动状态；支持审查主机审计策略。

1.5.1.2. 应用系统恶意代码检测系统

应用系统恶意代码检测系统主要功能包括：支持各类WEB编程语言的应用的深度网页后门漏洞扫描；支持IIS、Websphere、Weblogic、Apache等所有的应用服务器；支持Asp、Jsp、.Net、J2EE、Php、Perl等所有的编程应用语音；具有快速扫描功能，并可提供详细的检测报告，报告内容包括但不限于扫描的URL信息、漏洞类型等，并可对所有弱点的相关背景提供详细的描述、引用。

1.5.1.3. 远程安全评估系统

远程安全评估系统即漏洞扫描系统，主要针对服务器、网络设备进行系统漏洞的检测。系统扫描主要用于分析和指出网络的安全漏洞及被测系统的薄弱环节，给出详细的检测报告，并针对检测到的网络安全隐患给出相应的修补措施和安全建议。是提高内部网络安全防护性能和抗破坏能力，检测评估已运行网络的安全性能，为网络系统管理员提供实时安全建议等。

1.5.1.4. 网页防篡改

网页防篡改软件内嵌于Web服务器中，是一种主动和直接的网站文件保护方式，它不仅可以实现多个站点文件的保护，还可以实现单个站点中文件夹或文件夹中单个文件的保护。采用该技术，可以预先把站点或站点目录文件保护起来，除了指定的合法进程和端口服务之外，禁止其它任何进程和端口访问对保护的目录及文件的所有更改操作，在非法进程开始侵入系统之前就切断其连接，禁止其下一步行为。

1.5.1.5. 网络准入控制系统

通过旁路部署网络准入控制系统，针对外来人员非法接入网络，将拒绝入网；针对仿冒ip/mac/计算机名的非法行为，通过抓取终端网络指纹，形成终端快照，秒级实时对比终端快照，快照变化视为非法仿冒，自动阻断入网，同时可实现终端识别，包括终端的ip、mac、主机名、所属VLAN、所属端口、终端类型（台式机、笔记本、手机、pad、交换机、无线AP等）；

1.5.2. 安全审计体系

1.5.2.1. 数据库审计与风险控制系统

数据库审计与风险控制系统是业级的数据库协议解析设备，能够对进出核心数据库的访问流量进行数据报文字段级的解析操作，完全还原出操作的细节，并给出详尽的操作返回结果，以可视化的方式将所有的访问都呈现在管理者的面前，数据库不再处于不可知、不可控的情况，数据威胁将被迅速发现和响应。

可保护业界主流的数据库系统，防止受到特权滥用、已知漏洞攻击、人为失误等等的侵害。当用户与数据库进行交互时，数据库审计与风险控制系统会自动根据预设置的风险控制策略，结合对数据库活动的实时监控信息，进行特征检测及审计规则检测，任何尝试的攻击或违反审计规则的操作都会被检测到并实时阻断或告警。

系统通过对双向数据包的解析、识别及还原，不仅对数据库操作请求进行实时审计，而且还可对数据库系统返回结果进行完整的还原和审计，包括数据库命令执行时长、执行的结果集等内容；在详细信息中能够看到格式化的操作结果，更有利于事后的取证和追溯。

用户只需要将web服务器的流量镜像到数据库审计与风险控制系统，就能够对所有基于web的应用的访问行为进行解析还原，形成数据库审计和web审计的双重审计模式。

数据库审计与风险控制系统能够提取出URL、POST/GET值、cookie、操作系统类型、浏览器类型、原始客户端IP、MAC地址、提交参数、返回码等字段，并形成详尽的web审计记录。

数据库审计与风险控制系统能够将web审计记录与数据库审计记录进行关联，直接追溯到应用层的原始访问者及请求信息（如：操作发生的URL、客户端的IP等信息），从而实现将威胁来源定位到最前端的终端用户的三层审计的效果。通过三层审计能更精确地定位事件发生前后所有层面的访问及操作请求。

数据库审计与风险控制系统提供细粒度的审计规则，如精细到表、字段、具体报文内容的细粒度审计规则，实现对敏感信息的精细监控；基于IP地址、MAC地址和端口号审计；提供可定义作用数量动作门限、可设定关联表数目动作门限、根据SQL执行时间长短、根据SQL执行回应以及具体报文内容等设定规则。

数据库审计与风险控制系统自带了按安全经验、行业需求分类的20种以上的报表类型，能够从数据库访问模型、源、行为、时间、风险告警等各种角度满足用户的报表需求。

1.5.2.2. 运维安全审计

安全运维审计是一种符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)要求的统一安全管理平台，在网络访问控制系统（如：防火墙、带有访问控制功能的交换机）的配合下，成为进入内部网络的一个检查点，拦截对目标设备的非法访问、操作行为。

运维审计设备能够极大的保护客户内部网络设备及服务器资源的安全性，使得客户的网络管理合理化、专业化。

建议在核心交换机上以旁路方式部署一台运维审计系统。运维审计（堡垒主机）系统，为运维人员提供统一的运维操作审计。通过部署运维审计设备能够实现对所有的网络设备，网络安全设备，应用系统的操作行为全面的记录，包括登录IP、登录用户、登录时间、操作命令全方位细粒度的审计。同时支持过程及行为回放功能，从而使安全问题得到追溯，提供有据可查的功能和相关能力。

本方案设计的运维审计支持传统的旁路模式部署，部署在核心/骨干网络区的访问路径上，通过防火墙或者交换机的访问控制策略限定只能由运维审计直接访问设备的远程维护端口。维护人员维护被管服务器或者网络设备时，首先以 WEB 方式登录运维审计设备，然后通过运维审计上展现的访问资源列表直接访问授权资源。

1.5.2.3. 综合日志审计

为了不断应对新的安全挑战，每个中大型单位和组织先后部署了防火墙、NGFW、IDS、IPS、漏洞扫描系统、防病毒系统、终端管理系统、WAF、DB-AUDIT等，构建起了一道道安全防线。然而，这些安全防线都仅仅抵御来自某个方面的安全威胁，形成了一个个“安全防御孤岛”，无法产生协同效应。更为严重地，这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，形成了大量“信息孤岛”。

有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。另一方面，单位和组织日益迫切的信息系统审计和内控要求、等级保护要求，以及不断增强的业务持续性需求，也对客户提出了严峻的挑战。

综合日志审计作为信息资产的综合性管理平台，通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保客户业务的不间断运营安全。

综合日志审计为客户提供全维度、跨设备、细粒度的关联分析，透过事件的表象真实地还原事件背后的信息，为客户提供真正可信赖的事件追责依据和业务运行的深度安全。同时提供集中化的统一管理平台，将所有的日志信息收集到平台中，实现信息资产的统一管理、监控资产的运行状况，协助用户全面审计信息系统整体安全状况。

建议在核心交换机上以旁路方式部署综合日志审计设备，综合日志审计可以全面收集网络设备（路由器、交换机等）、网络安全设备（防火墙、入侵检测系统，补丁系统等）、应用系统等运行日志和安全事件日志，平台对日志进行归并、关联分析等操作把海量日志中有价值的信息提取出来，并且平台提供统计、查询及审计报表，为管理人员提供直观的日志查询、分析、展示界面，并长期妥善保存日志数据以便需要时查看，使管理员能够在综合日志审计平台上就可以了解整个网络中心的安全态势。

在核心交换机旁路部署综合日志审计设备， 通过综合日志审计收集网络设备（路由器、交换机等）、网络安全设备（防火墙、入侵检测系统，补丁系统等）、应用系统等运行日志和安全事件日志。