2024大型医院信息系统安全建设方案

PAGE大型医院信息系统安全建设方案TIME\@"yyyy年M月"2024年4月第PAGEII页/共181页目录1 方案概述 51.1 背景 51.2 方案设计目标 61.3 方案设计原则 71.3.1木桶原则 71.3.2整体性原则 71.3.3安全性评价与平衡原则 71.3.4标准化与一致性原则 71.3.4技术与管理相结合原则 81.3.5等级性原则 81.3.6统筹规划，分布实施原则 81.3.7动态发展原则 81.3.8易操作性原则 81.4 方案设计依据 82 现状分析 112.1 网络架构描述 112.2 核心信息系统情况 112.3 安全技术现状 132.3.1物理安全现状 132.3.2网络安全现状： 132.3.3主机安全现状： 132.3.4应用安全现状： 132.3.5备份恢复现状： 132.3.6安全管理现状 133 安全需求分析 153.1 国家政策需求分析 153.2 安全指标与需求分析 154 安全建设规划方案 174.1 总体部署说明 174.2 边界访问控制解决方案 194.2.1 需求分析 194.2.2 方案设计 204.2.3 方案效果 214.3 边界入侵防御解决方案 234.3.1 需求分析 234.3.2 方案设计 244.3.3 方案效果 274.4 网络安全审计解决方案 284.4.1 需求分析 284.4.2 方案设计 294.4.3 方案效果 344.5 WAF解决方案 384.5.1 需求分析 384.5.2 方案设计 394.5.3 方案效果 404.6 运维审计系统 424.6.1 需求分析 424.6.2 方案设计 424.6.3 方案效果 444.7 抗DDOS攻击系统 484.7.1 需求分析 484.7.2 方案设计 494.7.3 方案效果 544.8 数据库审计安全加固解决方案 554.8.1 需求分析 554.8.2 方案设计 554.8.3 方案效果 574.9 安全管理中心解决方案 584.9.1 需求分析 584.9.2 方案设计 594.9.3 方案效果 744.10 网关防病毒解决方案 764.10.1 需求分析 764.10.2 方案设计 774.10.3 方案效果 784.12 IP地址管理解决方案 784.12.1需求分析 784.12.2方案设计 794.12.3 方案效果 815 信息安全专业服务 815.1 等保测评 815.1.1等保测评概述 815.1.2测评标准依据 825.1.3项目实施原则 845.1.4等保测评工作内容 855.1.5等级保护工作流程 855.1.6系统定级备案 86工作目标 86定级方法 86工作内容 91关键交付成果 925.1.7等级保护差距分析 92工作目标 92工作内容 93关键交付成果 945.1.8等级保护建设整改 945.1.9等级保护测评流程 945.2 信息安全风险评估 120评估流程 123评估准备阶段 127资产识别与分析 129二次评估 160风险处置与应对 1605.3 渗透测试实施服务 162测试路径 167测试技术 168测试工具 170测试成果 172关键交付成果 1736 方案安全产品清单 1737 详细产品参数 174方案概述背景医院是一个信息和技术密集型的行业，其计算机网络是一个完善的办公网络系统，作为一个现代化的医疗机构网络,除了要满足高效的内部自动化办公需求以外,还应对外界的通讯保证畅通。结合医院复杂的HIS、RIS、PACS等应用系统，要求网络必须能够满足数据、语音、图像等综合业务的传输要求，所以在这样的网络上应运用多种高性能设备和先进技术来保证系统的正常运作和稳定的效率。同时医院的网络系统连接着Internet、医保网和高校等，访问人员比较复杂，所以如何保证医院网络系统中的数据安全问题尤为重要。在日新月异的现代化社会进程中，计算机网络几乎延伸到了世界每一个角落，它不停的改变着我们的工作生活方式和思维方式，但是，计算机信息网络安全的脆弱性和易受攻击性是不容忽视的。由于网络设备、计算机操作系统、网络协议等安全技术上的漏洞和管理体制上的不严密，都会使计算机网络受到威胁。我们可以想象一下，对于一个需要高速信息传达的现代化医院，如果遭到致命攻击，会给社会造成多大的影响。为了保障我国关键基础设施和信息的安全，结合我国的基本国情，制定了等级保护制度。并将等级保护制度作为国家信息安全保障工作的基本制度、基本国策，促进信息化、维护国家信息安全的根本保障。而针对医疗卫生行业，卫生部于2011年11月分别发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函〔2011〕1126号），卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知（卫办发〔2011〕85号），85号文规定了主要工作内容：1.定级备案（规定了定级范围及级别）2.建设与整改（规定了二级（含）以上系统需进行差距分析与整改）3.等级测评（规定了三级（含）以上需进行等保测评）4.宣传培训（规定了各类卫生机构需进行信息安全培训，提高安全意识）5.监督检查（规定了信息化工作领导小组对各医疗机构等级保护工作进行督导）全面开展等级保护建设，对医院特别是三级甲等医院的信息化建设提出了更高的要求，其核心业务信息系统的建设应按照不低于等级保护三级的标准进行。方案设计目标本次安全建设的主要目标是：按照等级保护要求，结合实际业务系统，对核心业务系统进行充分调研及详细分析，将医院核心业务系统系统建设成为一个及满足业务需要，又符合等级保护三级系统要求的业务平台。建设一套符合国家政策要求、覆盖全面、重点突出、持续运行的信息安全保障体系，达到国内一流的信息安全保障水平，支撑和保障信息系统和业务的安全稳定运行。该体系覆盖信息系统安全所要求的各项内容，符合信息系统的业务特性和发展战略，满足信息安全要求。方案设计原则我公司在安全咨询、安全规划、总体信息安全和网络安全规划建设方面具有丰富的经验，曾多次设计过国家级、省级核心信息系统安全规划方案，如中共中央办公厅骨干网络安全保障项目、国务院办公厅信息安全防护整体解决方案，以及省级各个行业的总体安全解决方案。信息系统总体安全解决方案的设计原则，依据国际信息安全专家、网络安全专家、中国科学院院士等人共同研讨的9大原则进行设计：1.3.1木桶原则木桶的最大容积取决于最短的一块木板攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击要提高整个系统的“安全最低点”的安全性能1.3.2整体性原则在发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应包括安全防护机制、安全监测机制和安全恢复机制，从整体性考虑信息安全保障问题。1.3.3安全性评价与平衡原则建立合理的实用安全性与用户需求评价与平衡体系；正确处理需求、风险与代价的关系；评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。1.3.4标准化与一致性原则安全规划设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。1.3.4技术与管理相结合原则安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。1.3.5等级性原则等级性原则是指安全层次和安全级别；对网络安全程度分级（安全子网和安全区域），对系统实现结构的分级（应用层、网络层、链路层等），从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。1.3.6统筹规划，分布实施原则安全防护不可能一步到位；在一个比较全面的安全规划下，根据网络的实际需要，先建立基本的安全体系，保证基本的、必须的安全性。1.3.7动态发展原则要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求；规划网络与信息安全的可扩展性，尝试应用新的安全技术。1.3.8易操作性原则首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。安全措施的采用要合理。方案设计依据本方案的设计主要依据以下等级保护政策：公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号）公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》（公通字〔2007〕43号）公安部颁发的《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)公安部《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安〔2010〕303号）本方案的设计主要依据如下等级保护标准：《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）《信息安全技术信息系统等级保护安全设计技术要求》(GB/T25070-2010)本方案还参考了如下一些政策和标准：《信息安全技术信息系统安全等级保护定级指南》(GB/T22240-2008)《信息安全技术信息系统安全等级保护实施指南》《信息安全技术信息系统安全等级保护测评要求》《信息安全技术信息系统安全等级保护测评过程指南》《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《信息安全技术操作系统安全技术要求》（GB/T20272-2006）《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）《信息安全技术服务器技术要求》（GB/T21028-2007）《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）《信息安全技术信息系统安全管理要求》（GB/T20269-2006）《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）GB/T22080-2008/ISO/IEC27001:2005《信息技术安全技术信息安全管理体系要求》IATF《信息保障技术框架》

现状分析网络架构描述网络架构主要由终端安全域、安全设备运维区、互联网DMZ区、业务服务器区等安全域构成。通过对医院现有结构进行了解和分析，可以看出医院网络大致可以分为业务内网和办公外网，业务网络采用三层网络结构，通过核心交换机将医院各科室进行互联。并在业务网络单独设立和一个内部核心业务应用服务器区域，包含HIS系统、RIS系统、PACS系统和档案管理系统等应用服务器。外部办公网络大致可以划分为办公网和DMZ区域，在外部网络的互联网边界通过防火墙进行边界的隔离和划分DMZ区域，通过在外网的防火墙上做NAT和PAT对外发布统计医院DMZ区域的应用。系统使用的安全产品清单：序号设备名称品牌型号数量1防火墙山石1台2上网行为管理深信服1台3网络版杀毒软件360擎天版1套4终端安全管理系统北信源1套方案从保护用户投资的角度考虑，对于用户原有的安全产品能使用的继续使用。核心信息系统情况核心业务系统是医院信息系统（HospitalInformationSystem，HIS）和电子病历系统(ElectronicMedicalRecord,EMR)。HIS系统是基于计算机网络、按照一定的应用目标和规则对医院临床及管理业务信息进行采集、加工、存储、传输、检索和服务的人机系统。整个网络主干千兆，百兆到桌面，为两层星型结构。该系统承载着全院人、财、物的行政管理和有关门、急诊病人及住院病人的医疗事务处理业务，主要包括门诊挂号、电子医嘱和处方、计价收费、药房药库管理、住院病人管理、检验检查信息管理、病案管理、卫生统计、物资和固定资产管理等二十几个紧密耦合的子系统。各子系统必须协同运行，支持医院临床诊疗、科研教学、经营决策等方方面面的日常业务与管理工作，是一体化的信息系统。电子病历系统(ElectronicMedicalRecord,EMR)以服务临床业务工作开展为核心，为全院医务人员、业务管理人员、院级领导提供流程化、信息化、自动化、智能化的临床业务综合管理平台。该系统基于.NET多层体系结构开发平台，采用集中式数据库ORACLE10G、分布式数据库ACCESS和XML技术相结合，完成临床数据的录入、传输、交换、存储和处理。目前电子病历系统的组织实施、管理维护、安全防护均由计算机中心管理。LIS系统（LaboratoryInformationManagementSystem），将实验仪器与计算机相连，快速实现对病人样品登录、实验数据存取、报告审核、打印分发等功能，实验数据统计分析等繁杂的操作过程实现了智能化、自动化和规范化管理。有助于提高实验室的整体管理水平，减少漏洞和误操作，提高医疗检验质量。该系统为医疗集团本部重要业务系统，具有最多的接入终端。PACS系统应用在医疗集团本部影像科室的系统，把日常产生的各种医学影像（包括核磁，CT，超声，各种X光机，各种红外仪、显微仪等设备产生的图像）通过各种接口（模拟，DICOM，网络）以数字化的方式海量保存起来，当需要的时候在一定的授权下能够很快的调回使用，同时增加一些辅助诊断管理功能，负责在各种影像设备间传输数据和组织存储数据。该系统为医疗集团本部重要业务系统，需传输大量的影像视频数据，对网络带宽有很高的要求。体检系统以体检信息为主线，健康指导为纽带，通过规范体检流程管理，合理安排体检项目，通过网络传输各种检验、检查结果，减少中间环节，提高安全性和可靠性。体检系统能够提供规范的体检结果报告，并能进行分析，使体检报告更具科学性。体检系统跟HIS系统、LIS系统、RIS系统做了接口连接保证了健康状况资料连续性，能方便、快捷地进行逐年体检情况追踪，并体检信息综合分析，形成各项医疗统计报表，为体检单位提供人员整体健康状况分析。安全技术现状2.3.1物理安全现状的信息机房位于本部，机房建设时间较早，在建设初期，国家相关的法规和标准不够健全，故在机房选址和基本的物理安全方面缺少对于相关安全要求的考虑，在机房选址、访问控制、防盗防破坏、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护方面均有不同程度的安全隐患和防护建设需求。2.3.2网络安全现状：信息系统采用百兆到桌面，千兆到交换，万兆到服务器的方式建立TCP/IP网络架构，在传统的接入-汇聚-核心三层架构上，将重要服务器以及HIS、LIS、PACS等应用系统放置在服务器区，但全网安全设备缺乏，整个信息系统网络架构中仅部署了一台防火墙，没有其他安全防护措施，网络访问主要通过交换机ACL控制。2.3.3主机安全现状：主机系统主要采用windows2003、windows2008、windows7的微软操作系统和AIX操作系统，所有的操作系统的配置均使用默认的缺省配置，未进行危险配置项的规避操作和系统漏洞的升级和加固工作。2.3.4应用安全现状：应用系统多为CS架构，系统设计开发之初并未充分考虑系统的安全需求和相关的合规性要求，系统建设和开发主要以实现功能性需求为主导目标，各应用系统的分角色分权限管理和强身份认证几乎均为空白。2.3.5备份恢复现状：所有的信息系统审计日志和运行日志均没有备份机制，核心业务系统的数据库可以做到同城异地备份，但对于数据的备份没有校验机制，对于已经备份的数据没有恢复测试机制。2.3.6安全管理现状根据与医院沟通和调查，医疗集团本部现有安全管理制度如下：序号文档名称主要内容1机房管理制度机房出入登记，相关配置变更记录，机房设备管理。2安全管理制度设备安全操作和流程规定，防盗窃、防破坏。3技术管理制度软件更新升级，技术开发工作管理。4数据库备份制度数据库备份时间，备份方式及操作人员。5技术部岗位职责针对技术部所有岗位职责要求，主要为技术和管理人员约定职责范围。6机房值班人员职责机房值班时间，人员安排。7介质安全管理制度机房与办公设备区的过期或者错误资料的介质统一销毁管理。8信息发布工作管理制度对内对外的信息发布格式检查，内容校验。9数据存储和保管制度数据存储器和服务器的管理制度。10服务器故障应急处理规程服务器的热备和冷备，以及故障时处理方案。11系统维护和应急恢复制度服务器系统升级维护，以及服务器故障时的应急方案。12客户端系统安全管理制度客户端操作系统安全维护，病毒库升级。PAGE安全需求分析国家政策需求分析2007年公安部等四部委联合出台了《信息安全等级保护管理办法》，该文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上，由四部委共同会签印发的重要管理规范，主要内容包括信息安全等级保护制度的基本内容、流程及工作要求，信息系统定级、备案、安全建设整改、等级测评的实施与管理，信息安全产品和测评机构选择等，为开展信息安全等级保护工作提供了规范保障。2009年，在全国信息系统安全等级保护定级工作基础上，公安部又印发了《关于开展信息安全等级保护安全建设整改工作的指导意见》，开始部署开展信息系统等级保护安全建设整改工作。2009年下半年公安部组织各部委和各行业开展了信息安全等级保护安全建设整改工作的集中培训，明确了我国信息安全等级保护安全建设整改工作的工作目标、工作对象、工作内容和要求，并对具体的工作流程和工作方法提出了指导意见。要求各行业利用三年时间，通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评等三项重点工作，落实等级保护制度的各项要求。卫生部于2011年11月分别发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函〔2011〕1126号），卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知（卫办发〔2011〕85号）。要求医疗卫生行业全面开展等级保护建设。安全指标与需求分析核心业务系统的安全建设核心需求即满足等级保护的相关要求，因此将以满足等级保护指标为目标。根据定级结果，整体按三级来管理和建设。那么，可以确定需要满足的等级保护指标如下：单位级安全指标（三级）安全管理机构人员安全管理安全管理制度数据安全

及备份恢复网络安全物理安全系统运维管理系统建设管理控制点数量控制点数量控制点数量控制点数量控制点数量控制点数量控制点数量控制点数量岗位设置4安全意识教育和培训4管理制度4备份和恢复4安全审计4电磁防护3安全事件处置6安全方案设计5沟通和合作5人员考核3评审和修订2数据保密性2边界完整性检查2电力供应4备份与恢复管理5安全服务商选择3人员配备3人员离岗3制定和发布5数据完整性2恶意代码防范2防盗窃和防破坏6变更管理4测试验收5审核和检查4人员录用4访问控制8防火3恶意代码防范管理4产品采购和使用4授权和审批4外部人员访问管理2结构安全7防静电2环境管理4等级测评4入侵防范2防雷击3监控和安全管理中心3工程实施3防水和防潮4介质管理6外包软件开发4温湿度控制1密码管理1系统备案3物理访问控制4设备管理5系统定级4物理位置的选择2网络安全管理8系统交付5系统安全管理7自行软件开发(5)0应急预案管理5资产管理4201611825326240总计214安全建设规划方案总体部署说明根据前述的需求分析，结合项目要求，本次安全产品部署图如下图所示：网络拓扑规划图原有安全设备除了防火墙、网络版防病毒、北信源终端安全管理系统和上网行为管理设备外均需要采购新设备用于本次等保整改。新增部署产品如下：部署产品数量部署位置部署作用防火墙3安全管理运维区边界；接社保网；网络出口处控制进出各安全域的所有数据流量，阻止各类非法应用，执行既定安全策略；抗DD0S防火墙2互联网出口边界防止DOS攻击，保护内网安全IPS入侵防护2核心业务服务器区域边界。实时监控并阻断针对数据中心核心HIS、EMR业务服务器的入侵行为。网关防病毒2核心出口区，出口防火墙后面网络出口处恶意代码防护漏洞扫描1安全管理运维区扫描漏洞，发现漏洞WAF网关（web防火墙）2互联网DMZ区域边界保护DMZ区的Web应用，抵御SQL注入、XSS、跨站伪造（CSRF）、Cookie篡改以及应用层DoS防护等。网络审计系统（互联网审计）1互联网边界对内部人员上网行为的约束与审计网络审计系统（数据库审计）1旁路部署在业务服务器区对数据库操作进行记录、审计、授权、命令回放等。特别是在医疗行业防统方领域，数据库审计起到关键作用。堡垒机1部署在网络核心交换机旁边，物理旁路，逻辑串联。共享账号管理、运维审计、访问控制安全管理平台1安全运维管理区管理所有安全设备及部分网络设备；对安全设备和部分网络设备进行统一管理、状态监控、策略下发、集中审计。DDI设备1部署在服务器区域提供可管理、可控制、可审计、可扩展的CNS网络核心服务支撑平台等级保护服务/安全服务进行等级保护建设全程服务,包括：等保差距分析服务风险评估服务安全加固服务（操作系统、数据库、设备等）渗透测试服务等级测评（第三方测评机构）边界访问控制解决方案需求分析三级系统要求在主要边界处进行访问控制。作为网络安全的基础防护要求，具体需求如下：1）保护服务通过过滤不安全的服务，保证只可访问到允许访问的业务系统，其他访问均被严格控制，可以极大地提高网络安全和减少子网中主机的风险。如：可以禁止NIS、NFS服务通过，可以拒绝源路由和ICMP重定向封包等安全威胁。2）控制对系统的访问提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，允许外部访问特定的Web和FTP服务器。3）记录和统计网络日志记录和统计通过边界的网络通讯，提供关于网络使用的统计数据并对非法访问作记录日志，从设备或专门的日志服务器提供统计数据，来判断可能的攻击和探测，利用日志可以对入侵和非法访问进行跟踪以及事后分析。方案设计防火墙技术是目前网络边界保护最有效也是最常见的技术。采用防火墙技术，对重要节点和网段进行边界保护，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，防范各类攻击行为，杜绝越权访问，防止非法攻击，抵御可能的DOS和DDOS攻击。通过合理布局，形成多级的纵深防御体系。设备分别部署在互联网边界、安全设备运维区边界，进行系统内外数据的访问控制，保护系统整体的网络安全；通过边界防火墙将这两个系统内部区域与其他区域进行逻辑隔离，保护上述两个内部安全域，实现基于数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息，执行严格的访问控制。采用防火墙实现以下的安全策略：安全域隔离：各边界防火墙逻辑上隔离了网络各区域，对各个计算环境提供有效的保护；访问控制策略：防火墙工作在不同安全区域之间，对各个安全区域之间流转的数据进行深度分析，依据数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息，进行判断，确定是否存在非法或违规的操作，并进行阻断，从而有效保障了各个重要的计算环境；应用控制策略：在防火墙/UTM上执行内容过滤策略，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制，从而提供给系统更精准的安全性；会话监控策略：在防火墙/UTM配置会话监控策略，当会话处于非活跃一定时间或会话结束后，防火墙自动将会话丢弃，访问来源必须重新建立会话才能继续访问资源；会话限制策略：对于三级信息系统，从维护系统可用性的角度必须限制会话数，来保障服务的有效性，防火墙/UTM可对保护的应用服务器采取会话限制策略，当服务器接受的连接数接近或达到阀值时，防火墙自动阻断其他的访问连接请求，避免服务器接到过多的访问而崩溃；地址绑定策略：对于三级系统，必须采取IP+MAC地址绑定技术，从而有效防止地址欺骗攻击，同时采取地址绑定策略后，还应当在各个三级计算环境的交换机上绑定MAC，防止攻击者私自将终端设备接入三级计算环境进行破坏；身份认证策略：配置防火墙/UTM用户认证功能，对保护的应用系统可采取身份认证的方式（包括用户名/口令方式、S/KEY方式等），实现基于用户的访问控制；此外，防火墙还能够和第三方认证技术结合起来，实现网络层面的身份认证，进一步提升系统的安全性，同时也满足三级系统对网络访问控制的要求；日志审计策略：防火墙/UTM详细记录了转发的访问数据包，可提供给网络管理人员进行分析。这里应当将防火墙记录日志统一导入到集中的日志管理服务器。方案效果通过将防火墙部署在不同安全域之间。它是不同网络或网络安全域之间信息的唯一出入口，能根据安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在网络中部署防火墙后，可以保护内部网络免受非法访问、攻击和病毒的侵扰。把面向服务的主机放置在一个集中、受控的安全区环境下，通过防火墙监控网络流量、关闭不必要的服务，还可以通过防火墙严格限制进出网络的流量。防火墙可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，防火墙允许外部访问特定的Web和FTP服务器；防火墙可以保护脆弱的服务，如防火墙可以禁止NIS、NFS服务通过，防火墙同时可以拒绝源路由和ICMP重定向封包等安全威胁；防火墙可以对网络系统实现集中的安全管理，在防火墙上定义的安全规则可以运用于整个网络系统，而无须在网络内部每台机器上分别设立安全策略，如在防火墙可以定义不同的用户，而不需在每台机器上分别定义；防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据并对非法访问作记录日志，从防火墙或专门的日志服务器提供统计数据，来判断可能的攻击和探测，利用日志可以对入侵和非法访问进行跟踪以及事后分析等等。根据客户的实际情况，部署防火墙的主要作用如下：网络安全的基础屏障：防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的协议(如NFS)进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。对网络存取和访问进行监控审计如果所有的访问都经过防火墙，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些能够透漏内部细节的服务，如Finger，DNS等服务。边界入侵防御解决方案需求分析在区域边界，防火墙起到了协议过滤的主要作用，根据安全策略在偏重在网络层判断数据包的合法流动。但面对越来越广泛的基于应用层内容的攻击行为，防火墙并不擅长处理应用层数据。各种混合攻击多借助病毒的传播方式进行，成为黑客的攻击和入侵手段。在本项目规划中，各业务服务器区承载的HIS、EMR等核心应用，承载着最为重要的业务系统和数据，由于保存有核心信息资产，是最容易成为入侵目标的部分，可能遇到来自于内网的攻击威胁。随着移动式设备如电脑笔记本、PDA的普及，来自于内网的攻击威胁也随之增加。对于提供重要数据服务的服务器群组仍有可能遭受到来自内网的攻击威胁，通常防火墙并不具备完整全面的内容检测能力，因此必须建立一套更完整的安全防护体系，进行多层次、多手段的检测和防护。鉴于以上分析，需要其他具备检测新型的混合攻击和防护的能力的设备防御来自应用层到网络层的多种攻击类型，进行多层次、多手段的检测和防护。三级系统也对入侵防范提出了明确的要求。入侵防护是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护。方案设计通过需求分析，我们建议在核心业务区域边界部署IPS入侵防御系统设备，提供2-7层主动防御，保护内部核心网络资产。入侵防御系统是新一代安全保障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。IPS具备基于协议异常、会话状态识别和七层应用行为的攻击识别功能，动态异常流量管理和七层应用行为识别等功能，同时配合零时差更新的特征库和自定义检测特征功能，可检测阻断各种网络攻击行为，阻断各类恶意代码进行渗透。包括：病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫描、非法连接等。IPS具备以下功能：访问控制功能IPS支持基于网络接口、IP地址、服务、时间等参数自定义访问控制规则，以保证网络资源不被非法使用和非法访问。阻止蠕虫扩散蠕虫(worm)与一般的档案型病毒(virus)不同之处，在于蠕虫具备快速自我复制扩散的功能。而蠕虫之所以能够快速将自我扩散到其它系统，是因为蠕虫具备自动利用系统漏洞而入侵的能力。每当计算机的系统漏洞被公布，在短时间内便会有黑客组织在网络上发布针对新漏洞的攻击程序，接着便会有针对该漏洞的攻击程序在网络上流传，此时蠕虫作者便将这些已发布的攻击程序纳入其蠕虫程序的主体中，然后再散布新的蠕虫对外大量扩散。从漏洞公布到蠕虫产生所需的时间已大幅缩减，这让用户无法有充裕的时间测试系统厂商所发布的补丁程序。蠕虫由于是通过网络自我扩散，因此又称为网络型病毒。IPS实现了阻止已知和未知蠕虫的扩散。阻止已知蠕虫扩散针对已知蠕虫通过扫描存在漏洞的主机来进行扩散，IPS内建完善的对ZotobWorm、MSSQLSlammerWorm等蠕虫的控制攻击特征识别码，可以检测蠕虫企图扫描漏洞主机的行为，并进而拦阻丢弃其恶意数据包。阻止未知蠕虫扩散针对未知蠕虫通过扫描存在漏洞的主机来进行扩散，在及时跟踪着各种最新发布的漏洞，为相应漏洞及时构建攻击识别码，当发现蠕虫尝试利用这些漏洞来入侵时会立即拦阻丢弃尝试入侵的数据包，阻止蠕虫扩散。阻止漏洞攻击在系统程序开发的过程中，常因为程序开发者疏于程序安全性，而导致开发出有系统漏洞的操作系统或应用程序。这类系统的漏洞经常是发生在程序没有对外界输入的参数长度进行检查，而发生所谓的缓冲区溢出攻击(bufferoverflowattack)。当缓冲溢出区攻击发生时，轻则导致系统没有响应、死机，成功的缓冲区溢出攻击还可以让黑客获得整个系统控制权！针对黑客入侵，IPS采用具备基于协议异常、会话状态识别和七层应用行为等攻击识别功能。并且可针对Windows、Unix、Linux等操作系统漏洞的攻击进行阻止，漏洞类型包括了StackandHeapBufferoverflow、Formatstringerror、Memoryaccesserror、Memorycorruption、AccesscontrolandDesignweakness等等。阻止木马传播IPS在阻止木马传播上有以下特点：可检测基于ActiveX、XML、VML、MDAC等的漏洞，可阻止访问者在浏览网站时被诱使植入木马的攻击；可检测利用Dropper技术隐藏木马的MicrosoftOffice文件，可阻止下载并启动这些文档；如Rootkit的木马，它们被黑客植入系统后也会跟外界通讯或进行扫描等，IPS可以侦测这些特殊的行为，如TFN、Trin00、Stacheldraht、Phatbot、Netbus、Evilbot等跟外界通讯行为，以及TCP、UDPscan或ICMPprobing等行为；具有丰富的漏洞特征库可以实现对木马的精准拦截。阻止间谍软件大部分间谍软件由于是通过广告、浏览器漏洞、自订功能如ActiveX插件来诱使不够小心谨慎的用户安装的。IPS内置如Gator、180solutions、InternetOptimizerSpyware等相关的特征，通过检测下载可执行程序、ActiveX、Javaapplet等可疑的活动，实现阻止间谍软件通过广告、浏览器漏洞、自定义ActiveX插件等渠道实现安装。抗DoS/DDoS传统的网络安全设备仅具有单纯地设定单位时间内访问特定服务次数，来阻断未知类型的DoS/DDoS攻击。这种机制虽然可以将超过阈值的攻击数据包丢弃，但同时也会将超过阈值的合法数据包丢弃，造成正常用户不能使用网络服务。IPS对于需要重点保护的Web、DNS等服务可选择采取传统的处理机制。另外，IPS提供独特的DoS/DDoS检测及预防机制，可以辨别合法数据包以及DoS/DDoS攻击数据包，支持双向阻断TCP/UDP/IGMP/ICMP/IPFlooding、UDP/ICMPSmurfing等类型的DoS/DDoS攻击，可检测的DoS/DDoS攻击软件包括XDoS、SUPERDDoS、FATBOY等50种以上。方案效果通过IPS入侵防御系统的部署，能够为核心业务系统提供全面的安全防护：缓冲区溢出攻击的防范 缓冲区溢出漏洞主要来自系统和应用软件存在的bug，攻击者利用这些漏洞可以获得系统的管理权限，大部分蠕虫病毒的传播也主要利用了缓冲区溢出漏洞。当前网络攻击的一个非常大的特点是从漏洞信息发布到第一个攻击工具出现的周期越来越短，而厂商发布补丁不及时，给攻击者留下了充足的时间进行攻击。针对这一问题，入侵防护系统可提供“虚拟补丁”技术，及时跟踪网络中各种系统、软件存在的bug，并在第一时间提供检测特征码，为用户网络提供一个虚拟的安全补丁，防范大部分的0day攻击。Web应用攻击的防范入侵防护系统提供了Web攻击特征组，对Web应用软件、应用系统存在的漏洞，如：IISUNICODE漏洞、二次解码漏洞以及各种CGI、SQL注入、跨站脚本等攻击进行有针对性的防护。SQL注入/XSS跨站脚本攻击的防范SQL注入和XSS之所以会成为最流行的Web攻击，是因为其攻击的目标是用户的应用程序，所利用的漏洞来自用户编码而非操作系统或应用平台，因此它的位置和表现形式十分复杂，且能提取的特征信息往往很短，难以使用简单的签名匹配技术进行完整高效的检测、防范。网络安全审计解决方案需求分析信息系统的快速发展和网络安全管理问题的矛盾日益凸现。如何有效监控核心业务系统网络资源的使用和敏感信息的传播，准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，满足合规性审计要求，是本次建设迫切需要解决的问题。具体表现有以下几种：等级保护：安全等级保护技术要求，在确立为第二级（指导保护级）以及以上级的信息系统中必须建立并保存各种访问日志：网络（网络安全审计）【G2–G3–G4】ISO27001:2005（BS7799）：被普遍接受的安全管理业界标准：条款A15.1.3明确要求必须保护组织的运行记录；条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。萨班斯（SarbanesOxley）法案：2006年7月15日，美国著名的《萨班斯·奥克斯利法案》正式生效，在美国上市的公司都需要遵循的萨班斯（SarbanesOxley）法案，其合规性要求建立严肃的、完备的企业内控体系，而信息系统的安全审计又是内控体系的重中之重。公安部82号令：2005年11月23日，中国公安部颁布了第82号令《互联网安全保护技术措施规定》要求：“记录并留存用户访问的互联网地址或域名”，“在公共信息服务中发现、停止传输违法信息，并保留相关记录，能够记录并留存发布的信息内容及发布时间”，“电子邮件或者短信息”，“应当具有至少保存六十天记录备份的功能”。因此如何有效监控网络资源的使用和敏感信息的传播，准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，满足合规性审计要求，是本次建设迫切需要解决的问题。方案设计网络安全审计系统主要用于监视并记录网络中的各类操作，侦察系统中存在的现有和潜在的威胁，实时地综合分析出网络中发生的安全事件，包括各种外部事件和内部事件。本次设计两类审计，第一是互联网行为审计，用于审计内部用户的上网行为；第二是数据库审计，对所有数据库的访问操作行为进行审计，特别是在医院的防统方领域，数据库审计可用于网络取证。网络的数据采集有基于旁路监听、基于网关/网桥、或在被监控机器中安装AGENT三种方式。其中基于网关/网桥的设备需要改变原有网络结构，接入设备有可能会成为整个网络的单点故障点。而在被监控机器中安装AGENT的方法也会增加被监控主机的不稳定性，并且会占用一定的机器资源，减慢被监控机器的运行速度，同时布署升级等的维护工作量也很大。基于旁路监听的技术，安装后完全不影响原有的网络运行，也不会成为单点故障，而且布署极为方便，只要简单地安装在网络口的交换机镜象口或是共享HUB上。因此在网络的核心交换机处并接部署网络审计系统，部署方式类似入侵检测系统（IDS），形成对全网网络数据的流量监测并进行相应安全审计，同时和其它网络安全设备共同为集中安全管理提供监控数据用于分析及检测。部署的审计系统实现以下策略：日志集中管理策略：收集信息系统中各种网络设备、系统的日志信息，包括设备运行状况、网络流量、用户行为等信息，进行统一集中存储。审计分析集中展示策略：提供多样、灵活的日志信息查询，包括，事件的日期和时间、用户、事件类型、事件结果等条件进行查询，并把不同设备及平台的事件关联起来，帮助管理员实现更加全面、深入的分析事件。支持将事件进行详尽的分析及统计的基础上支持丰富的报表，实现分析结果的可视化。多种网络设备的日志收集：系统全面支持安全设备（如防火墙，IDS、AV等）、网络设备（如router、switch）等多种产品及系统的日志数据的采集和分析。自身安全策略：用户分级管理，严格限制各级用户的管理权限，同时对超级用户数量进行限制，密码采用强密码机制，避免管理用户的职权滥用。设置数据库的备份策略，定期备份导出数据，并且进行数据库上限及报警上限，避免数据库信息的不预期删除、覆盖和修改。部署的网络安全审计产品需具备以下功能：网络行为审计网络审计系统系统能够全面详实地记录网络内流经监听出口的各种网络行为，并根据国家有关法规规定保存至少60天，以便进行事后的审计和分析。日志以加密的方式存放，只有管理者才能调阅读取。网络行为日志全面地记录了包括使用者、分组、访问时间、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、访问类型、访问地址/标识等关键数据项。支持在三层交换网络环境下获取用户计算机真实MAC地址功能；支持GRE(通用路由协议封装）和MPLS（Multi-ProtocolLabelSwitching，多协议标签交换）两种协议及其应用环境下的网络数据审计还原。主要包括以下类型的协议和应用：网络内容审计针对互联网上流行的可还原协议，网络审计系统系统能够在记录网络内流经监听出口的各种网络行为产生的具体内容，包括正文、文件等信息，并根据国家有关法规规定保存至少60天，以便进行事后的审计和分析，我们称这个范畴的审计功能为内容审计。内容审计既能够无条件记录，又能通过策略指定访问者（IP地址/帐号/分组）、时间范围、内容关键字等条件下进行有条件的记录管理用户需要的访问内容。主要包括以下类型的协议和应用：标准电子邮件标准电子邮件是指POP3/SMTP两个使用最广泛的收发邮件协议。系统将详细记录访问者（IP地址/机器名/帐号）、目标IP地址、邮件时间、发件人、收件人、正文、附件等信息，并提供附件下载备份功能。网页浏览网页浏览是指基于HTTP协议的GET请求产生的查看网页内容。系统将详细记录访问者（IP地址/机器名/帐号）、目标IP地址、访问时间、网页URL、网页详细内容等信息，并提供模拟访问的功能以达到还原后的仿真浏览。支持对google,baidu,sogou,soso等常见搜索引擎的搜索关键字记录，并具备良好的扩展能力，支持用户自定义其它搜索引擎。文件传输文件传输是指基于FTP协议的文件传输、下载及其命令操作。系统将详细记录访问者（IP地址/机器名/帐号）、目标IP地址、访问时间、FTP帐号、FTP交互命令和执行回显等信息，对FTP交互过程中发生的上传和下载文件操作，系统也将涉及的文件全部还原并提供下载备份功能。即时聊天目前能够捕获还原详细内容的即时聊天工具包括MSN（WindowsLiveMessenger）、YahooMessenger、中国移动飞信等。系统将详细记录访问者（IP地址/机器名/帐号）、目标IP地址、访问时间、聊天帐号、详细聊天内容等数据，并将聊天内容按次分组保存和展示。网页外发数据网页外发数据是指基于HTTP协议的POST请求向外部的互联网站发布信息。由于HTTP的POST应用非常灵活，往往被用来实现多种应用，因此对网页外发数据的处理有其特殊性。网络审计系统系统使用了独有的表单特征匹配技术框架，摒弃了传统的逐个WEB网站分析方式，突破了逐个分析方式带来的有效网站数量限制，可以准确分析出100%的POST外发信息和文件，对WEBMAIL、网页论坛等应用方式的识别率高达95%以上。系统针对应用HTTP-POST最为广泛的WEBMAIL、网页论坛、网页聊天、网页登录进行了应用方式识别并将其分类展示，对不能识别的其它POST应用则全部归类到“网页提交”中进行展示。系统记录的主要数据包括访问者（IP地址/机器名/帐号）、目标IP地址、URL地址、访问时间、外发文本内容、外发文件等数据，并提供外发文件的下载备份功能。网络行为控制对于多数企事业单位而言，如何通过有效的技术手段实现对单位职员上网行为进行规范的管理和控制是一个非常有意义的课题。网络审计系统系统提供了丰富的网络行为控制功能，以协助管理者实现上述目标。全局控制策略对局域网内的所有机器生效的互联网访问权限控制。可设置是否允许访问包含色情、暴力、毒品等的不良站点；是否允许使用MSN、YahooMessenger、QQ、ICQ、网易泡泡、GoogleTalk、Skype等国内外流行的十多种即时通信工具；是否可以进行QQ游戏、中游、联众、远航、浩方、茶苑、CS、魔兽等国内外流行的二十多种在线网络游戏；是否允许使用P2P下载；是否可以使用Google、百度等常用搜索引擎搜索指定的关键字；是否允许使用指定的WEBMAIL；是否允许进行QQLive、PPLive等在线音视频；对指定的邮件服务器（POP3/SMTP）实施只开放或只封堵的策略。局部分组控制策略对指定的局域网内局部机器生效的互联网访问权限控制。可根据人员帐号、机器、机器组对不同的时间段设置对各类标准应用协议、各类网站、网络在线游戏、即时通讯工具、P2P下载、指定流量限制、邮件、网页文件下载等协议和应用的控制。具体支持的协议种类如前所述。黑白名单机器黑白名单：对于被设为黑名单的机器，系统将无条件禁止其与互联网的一切通讯。对于被设为白名单的机器，则其的网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，但其网络日志仍将被记录。站点黑白名单：对于被设为黑名单的站点，则互联网内的所有机器（白名单机器除外）都不能访问此站点。对于被设为白名单的站点，则互联网内的所有机器（黑名单机器除外）都可以访问此站点。日志白名单：对于被设为日志白名单的机器，其网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，并且不记录网络日志。并且支持客户端使用免审计USBKEY实现特权人物的审计豁免。帐号黑白名单：在帐号控制模式下应用，对于被设为黑名单的帐号，系统将无条件禁止其与互联网的一切通讯。对于被设为白名单的帐号，则其的网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，但其网络日志仍将被记录。基于帐号的控制可有效避免动态IP地址环境或IP人为变更造成的网络控制漏洞。数据库审计支持对MS-SQLSERVER、ORACLE等主流关系型数据库的远程访问和操作信息的审计记录；可实现命令及过程级的审计：可审计数据库用户登录事件，并记录用户帐号信息；可实现对数据库的查询、创建、插入、删除、更新等常规数据库操作过程的审计，可还原用户操作过程；可实现数据库特权操作(如权限更改、备份与恢复等)的审计，可还原操作过程。运维操作审计支持对Windows远程桌面操作的审计，可记录访问者和被访问者的IP/MAC地址，访问时间等信息；支持Telnet远程登录操作的审计，可实现命令及过程级的审计，可记录用户名、密码及整个操作过程。网络流量分析网络审计系统系统的网络流量分析是在全面记录网络出口流量数据的基础之上，以简单、直观、易理解的形式为用户提供实时和历史流量监测和统计功能。主要包括：实时流量以折线图展示全局、组、机器/帐号的实时流量趋势；以动态柱状图展示指定范围内的实时流量排名；以数据表结合饼图的形式展示指定对象的流量协议结构。当日流量系统以图表或表格的方式显示当天所有机器的流入流量和流出流量，并按总量大小排序。可选择任意一个对象，并查看当天累计流量及各种协议端口（可自定义）的流量。历史流量系统将记录每天的流量统计数据，并可以日，周，月等进行排名，产生排名报表。可以根据历史流量记录，形成流量增长或减少的趋势图。可以根据历史流量记录，形成各协议的使用状况图。自定义协议针对一些特殊应用，用户可以自己定义协议名称、类型和端口，系统将按照自定义协议参数进行统计与记录。统计报表分析根据历史上网日志数据统计产生丰富详细的报表，包括分组上网排名、人员上网排名、网络应用统计、访问资源统计、趋势分析、自定义报表等。可按年度、月度或者指定时间范围生成周期性报表。报表种类包括柱状图，饼图，曲线图，折线图等。报表可以以EXCEL、PDF、WORD、HTML等形式导出保存。并支持自定义的周期性报表自动生成和订阅。系统管理与配置为了保障系统正常、稳定、有效、安全地运行，网络审计系统系统本身的管理设置和附加功能必不可少。其主要作用在于为系统提供符合网络环境要求的基础性参数设置、为系统提供足够的访问管理权限安全保障、为一些故障判断提供辅助工具等。包括但不限于：IP地址位置查询、网络诊断工具、自定义站点分类、角色与权限管理、连接管理中心参数设置、产品升级、远程维护开关等。方案效果网络审计系统将独立的网络传感器硬件组件连接到网络中的数据会聚点设备上，对网络中的数据包进行分析、匹配、统计，通过特定的协议算法，从而实现入侵检测、信息还原等网络审计功能，根据记录生成详细的审计报表。网络行为监控和审计系统采用旁路技术，不用在目标主机中安装任何组件。同时网络审计系统可以与其它网络安全设备进行联动，将各自的监控记录送往安全管理安全域中的安全管理服务器，集中对网络异常、攻击和病毒进行分析和检测。产品实施后可以做到：广泛支持各种网络应用网络审计系统支持全面的行为审计、内容审计及行为控制功能，同时支持数据库审计、运维操作审计功能，广泛支持目前常见的各种网络应用：对于常用的HTTP协议，除支持网页浏览（HTTPGET）审计外还全面支持各种网页提交（HTTPPOST）类应用的审计，其中POST应用可细分为WEBMAIL、WEBBBS、WEBCHAT（聊天）、WEB登录等上网行为，对基于HTTPS加密协议的网页浏览行为也将记录除域名地址之外的所有关键数据；除常用的网页浏览和电子邮件应用外全面支持当前常见网络应用的审计包括：文件传输、即时通讯、P2P下载、流媒体、在线游戏、财经证券等应用；在旁路部署模式下可实现较强的网络行为控制功能，包括对网页浏览、电子邮件服务器、即时通讯、P2P下载、流媒体、在线游戏等应用的控制。深度细粒审计管理网络审计产品能够全面详实地记录网络内流经监听出口的各种网络行为，支持关于上网行为、内容、时间、用户等多种条件组合的信息审计策略和日志分析，全面监测各种网络行为，进行深度细粒审计。内容审计既能进行无条件记录，又能通过策略指定访问者（IP地址/帐号/分组）、时间范围、内容关键字等有针对条件的记录管理用户需要的访问内容。不管是行为审计还是内容审计，都具备高度的灵活性、专业性和准确性，能够为管理机构进行事后追查、取证分析提供有力技术支撑。灵活的黑白名单设置为了使审计策略更加灵活、精准，网络审计系统采用了黑白名单的机制，大大降低了审计策略的复杂程度，同时也减轻了管理人员的工作量。系统支持的黑白名单包括：机器黑白名单：对于被设为黑名单的机器，系统将无条件禁止其与互联网的一切通讯。对于被设为白名单的机器，则其的网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，但其网络日志仍将被记录。站点黑白名单：对于被设为黑名单的站点，则网内的所有机器（白名单机器除外）都不能访问此站点。对于被设为白名单的站点，则网内的所有机器（黑名单机器除外）都可以访问此站点。日志白名单：对于被设为日志白名单的机器，其网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，并且不记录网络日志。并且支持客户端使用免审计USBKEY实现特权人物的审计豁免。帐号黑白名单：在帐号控制模式下应用，对于被设为黑名单的帐号，系统将无条件禁止其与互联网的一切通讯。对于被设为白名单的帐号，则其的网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，但其网络日志仍将被记录。基于帐号的控制可有效避免动态IP地址环境或IP人为变更造成的网络控制漏洞。丰富直观的报表系统根据历史审计日志数据进行统计可产生丰富详细和直观的报表，包括分组上网排名、人员上网排名、网络应用统计、访问资源统计、趋势分析、自定义报表等。能够从上网对象、时间、分类、目标等多个维度对网络活动进行查询分析，并以柱状图，饼图，曲线图，折线图等形式来体现排名、结构、趋势等上网概况，使管理者对所掌握的数据有清晰直观的认识。报表可以以EXCEL、PDF、WORD、HTML等形式导出保存，并支持自定义的周期性报表自动生成和订阅。先进的多路捕包技术，四路同时捕包网络审计系统采用业界领先的多路并行捕包技术，单台设备最多支持高达4路数据的并行捕获与分析，为在复杂环境下的灵活部署提供先进的技术保障也提高了审计数据的准确度；并且系统还可以与其他安全设备进行集成，支持从其他安全设备直接获取审计数据，增加了审计数据来源，使得部署更加灵活，而且进一步特好了审计结果的准确性。部署灵活，支持分布式部署网络审计系统采用旁路部署方式，全面支持电口镜像与分路、光口的镜像与分光等多种线路部署方式，在复杂网络环境下的部署游刃有余，运用自如。对于单台设备无法处理的超大流量环境或含有分支机构的分布式环境，系统支持高扩展性的多台设备分布式部署方案，通过多台设备对超大的流量或各分支机构分而治之，又由统一的管理平台实现对整个网络的透明、统一的管理。多层面自身安全防护系统级安全防护在对操作系统内核进行充分剖析的基础上，在操作系统级对系统各支撑引擎进行了修改和全面优化定制，全面防止攻击与劫持，提升系统整体性能的同时保障自身系统级安全。操作级安全防护多权分离，针对各种不同性质的功能模块可灵活配置权限级别；管理员登陆时支持USBKEY+账号/口令方式的双因子认证功能，支持管理员登陆地址限制，并且管理员账户口令的认证支持基于Radius协议的集中身份认证。数据级安全防护采用自主的高效算法对关键审计数据的存储和传输进行加密防护，数据存储防篡改，数据传输防破解，多种加密防护措施保障自身数据级安全。网络级安全防护旁路部署保障对网络性能完全没有影响，保证网络无单点故障，优先保障用户网络级安全，是上网机构在内网和互联网安全监管和保密资格测评过程中最可信赖的安全工具。WAF解决方案需求分析随着B/S模式应用开发的发展，Web平台承载了越来越多的核心业务，Web的开放性给工作方式带来了高效、方便的同时也使业务重要信息完全暴露在危险中。Web应用的威胁主要来自于以下几个部分：Web网站早期开发者安全意识薄弱Web应用程序和服务的增长已超越了当初程序开发人员所接受的安全培训和安全意识的范围，给攻击者留下大量可乘之机。有些已运行的WEB应用系统由于难以更改、或更改成本过高，或系统已加密、或版权问题等原因无法更改也是WEB安全问题的重要原因。第三方内容成风险源第三方内容是现在网站编程里面经常采用的一个技术，网站的制作者会把本身网页里面嵌入一些第三方网站内容的“指针”。这些网页被客户端浏览器打开的时候，浏览器会根据这些指针去采第三方网站上面的内容，包括图片、文字、flash和一些动态脚本等等。攻击者利用这些内容源对目标进行攻击篡改Web系统数据攻击者通过SQL注入等门户网站应用程序漏洞获得网站系统权限后，可以进行网页挂马、网页篡改、修改数据等活动。黑客可以通过网页挂马，利用被攻击的网站作为后续攻击的工具，致使更多人受害；也可以通过网页篡改，丑化门户网站的声誉甚至造成政治影响；还也可以通过修改网站系统敏感数据，直接达到获取利益的目的。Cookie监听、Cookie投毒恶意用户通过对Cookie监听破译用户证书，篡改从服务器传送到浏览器的cookie数据。网站常常将一些包括用户ID、口令、账号等的cookie存储到用户系统上，通过改变这些值，恶意的用户就可以访问不属于他们的账户。方案设计规划了互联网DMZ区域，承载在WWW、FTP等外部应用，特别是web应用面临着上述一系列威胁，因此需要专业的WAF（web应用防火墙）抵御针对WEB的各类攻击行为。Web应用安全防护WAF需要防护基于HTTP/HTTPS/FTP协议的蠕虫攻击、木马后门、CGI扫描、间谍软件、灰色软件、网络钓鱼、漏洞扫描、SQL注入攻击及XSS攻击等常见的Web攻击；应用层DOS攻击防护WAF需要防护带宽及资源耗尽型拒绝服务攻击。XMLDoS攻击防护是对HTTP请求中的XML数据流进行合规检查，防止非法用户通过构造异常的XML文档对Web服务器进行DoS攻击；Web虚拟服务通过部署WAF来管理多个独立的Web应用，各Web应用可采用不同的安全策略，可在不修改用户网络架构的情况下增加新的应用，为多元化的Web业务运营机构提供显著的运营优势与便利条件；Web请求信息的安全过滤针对HTTP请求，WAF能够针对请求信息中的请求头长度、Cookie个数、HTTP协议参数个数、协议参数值长度、协议参数名长度等进行限制。对于检测出的不合规请求，允许进行丢弃或返回错误页面处理；Web敏感信息防泄露WAF应内置敏感信息泄露防护策略，可以灵活定义HTTP错误时返回的默认页面，避免因为Web服务异常，而导致的敏感信息（如：Web服务器操作系统类型、Web服务器类型、Web错误页面信息、银行卡卡号等）的泄露；Cookie防篡改WAF产品能够针对Cookie进行签名保护，避免Cookie在明文传输过程中被篡改。用户可指定需要重点保护的Cookie，对于检测出的不符合签名的请求，允许进行丢弃或删除Cookie处理，同时记录相应日志；网页防篡改WAF产品可按照网页篡改事件发生的时序，事中，实时过滤HTTP请求中混杂的网页篡改攻击流量（如SQL注入、XSS攻击等）；事后，自动监控网站所有需保护页面的完整性，检测到网页被篡改，第一时间对管理员进行告警，对外仍显示篡改前的正常页面，用户可正常访问网站；Web业务的连续性作为串行安全防护设备，WAF需要考虑了Web系统业务连续性保障措施，以有效避免单点故障；方案效果保障网络的可用性：以降低网络故障、网络攻击、不合规网络协议传输对Web应用的影响为目标，主要包含网络访问控制、代理模式部署、协议合规、应用层DoS防护等功能。保障Web应用的安全性：以Web安全防护为主要目标，主要包含HTTP/HTTPS应用防护、Web请求信息限制、Web敏感信息防护、Cookie防篡改、网页防篡改、Web应用防护事件库升级等功能。保障Web应用的快速访问：以Web应用交付为主要目标，主要包含SSL卸载、多服务器负载均衡、Web服务器访问质量监控等功能。

运维审计系统需求分析运维审计系统，扮演着看门者的职责，所有对网络设备和服务器的请求都要从这扇大门经过。网神运维审计系统能够拦截非法访问和恶意攻击，对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。方案设计运维审计系统平台采用协议分析、基于数据包还原虚拟化技术，实现操作界面模拟，将所有的操作转换为图形化界面予以展现，实现100%审计信息不丢失：针对运维操作图形化审计功能的展现外，同时还能对字符进行分析，包括命令行操作的命令以及回显信息和非字符型操作时键盘、鼠标的敲击信息。系统支持的审计协议以及工具包括：字符串操作：SSH/Telnet（工具：SecureCRT/Putty/Xshell）图形操作：RDP/VNC/X11/pcAnywhere/DameWare等其他协议：FTP/SFTP/Http/Https等数据库工具:Oracle/sqlserver/Mysql客户端工具平台对用户的管理权限严格分明，各司其职，分为系统管理员、审计管理员、运维管理员、口令管理员四种管理员角色，平台也支持管理员角色的自定义创建，对管理权限进行细粒度设置，保障了平台的用户安全管理，以满足审计需求平台集用户管理、身份认证、资源授权、访问控制、操作审计为一体，有效地实现了事前预防、事中控制和事后审计。采用模块化设计，单模块故障不影响其他模块使用，从而提高了平台的健壮性、稳定性，运维人员登陆可支持Portal统一登录，并兼容终端C/S客户端连接设备；审计平台的认证方式可以与第三方的认证设备进行定制兼容。提供基于B/S的单点登录系统，用户通过访问WEB页面一次登录系统后，就可以无需认证的访问被授权的多种基于B/S和C/S的应用系统(如有需要，可实现C/S架构系统的定制开发)。单点登录为具有多账号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高工作效率。同时，由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。单点登录可以实现与用户授权管理的无缝链接，可以通过对用户、角色、行为和资源的授权，增加对资源的保护和对用户行为的监控及审计。集中账号管理包含对所有服务器、网络设备账号的集中管理。账号和资源的集中管理是集中授权、认证和审计的基础。集中账号管理可以完成对账号整个生命周期的监控和管理，而且还降低了管理大量用户账号的难度和工作量。同时，通过统一的管理还能够发现账号中存在的安全隐患，并且制定统一的、标准的用户账号安全策略。通过建立集中账号管理，单位可以实现将账号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足审计的需要。为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。集中身份认证支持电子证书、WindowsAD域、WindowsKerberos、双因素、动态口令和生物特征识别等多种认证方式，而且系统具有灵活的定制接口，可以方便的与第三方LDAP认证服务器对接。提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能，管理员也由各自的归口管理部门委派，但是这些管理员在运维审计系统上，可以对各自的管理对象进行授权，而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作等的细粒度授权。能够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。访问控制策略是保护系统安全性的重要环节，制定良好的访问策略能够更好的提高系统的安全性。基于细粒度的访问控制下，做到：Who（谁）：控制什么用户允许操作Where（什么地点）：控制来源于什么地址的用户允许访问什么资源When（什么时间）：控制在什么时间允许用户操作What（做了什么）：控制用户执行的操作操作审计管理主要审计操作人员的账号使用（登录、资源访问）情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后，操作审计能更好地对账号的完整使用过程进行追踪。系统支持对如下协议进行审计：Telnet、FTP、SSH、RDP（WindowsTerminal）、Xwindows、VNC等。通过系统自身的用户认证系统、用户授权系统，以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方。对于生成的日志支持丰富的查询和操作：支持按服务器方式进行查询。通过对特定服务器地址进行查询，可以发现该服务器上发生的命令和行为。支持按用户名方式进行查询。通过对用户名进行查询，可以发现该用户的所有行为。方案效果实现对用户帐号的统一管理和维护在实现集中帐号管理前，每一个新上线系统均需要建立一套新的用户帐号管理系统，并且分别由各自的管理员负责维护和管理。这种相对独立的帐号管理系统不仅建设前期投入成本较高，而且后期管理维护成本也会成倍增加。而通过网络审计系统的集中帐号管理，可实现对IT系统所需的帐号基础信息（包括用户身份信息、机构部门信息、其他公司相关信息，以及生命周期信息等）进行标准化的管理，能够为各IT系统提供基础的用户信息源。通过统一用户信息维护入口，保证各系统的用户帐号信息的唯一性和同步更新。解决用户帐号共享问题主机、数据库、网络设备、应用系统中存在大量的共享帐号，当发生安全事故时，难于确定帐号的实际使用者，通过部署网络审计系统，可以解决共享帐号问题。解决帐号锁定问题用户登录失败五次，应对帐号进行锁定。网络设备、主机、数据库系统等大都不支持帐号锁定功能。通过部署网络审计系统，可以实现用户帐号锁定、一键删除等功能。提供集中身份认证服务实现用户访问IT系统的认证入口集中化和统一化，并实现高强度的认证方式，使整个IT系统的登录和认证行为可控制及可管理，从而提升业务连续性和系统安全性。实现用户密码管理，满足SOX法案内控管理的要求多数企业对主机、网络设备、数据库的访问都是基于“用户名+静态密码”访问，密码长期不更换，密码重复尝试的次数也没有限制，这些都不能满足SOX法案内控管理的需求。仅通过制度要求用户在密码更换、密码设定等方面满足SOX相关要求，无法在具体执行过程中对用户进行有效监督和检查。网络审计系统通过建设集中的认证系统，并结合集中帐号管理的相关功能，实现用户密码管理，密码自动变更，提高系统