XXX省药品集中采购交易监督管理平台安全建议方案

XXX省药品集中采购交易监督管理平台安全建议方案■文档编号■密级限制分发■版本编号Ver1.0■日期©DATE\@"yyyy"2014绿盟科技-PAGE\*ROMAN-PAGE\*ROMANI-目录TOC\h\z\t"附录1（绿盟科技）,1,附录2（绿盟科技）,2,附录3（绿盟科技）,3,附录4（绿盟科技）,4,标题1（绿盟科技）,1,标题2（绿盟科技）,2,标题3（绿盟科技）,3"一.现状 1二.安全需求 2三.建议方案 33.1完善管理 33.2建立集中管理审计系统（堡垒机） 33.2.1系统功能 33.2.2系统体系 53.3风险分析 8四.运维 84.1日志备份与维护 84.2权限梳理 8 PAGE2-现状目前XXX省卫生信息中心将对其所属的XXX省药品集中采购交易监督管理平台进行迁移，需要对该平台所在系统进行安全建设。该建设文档的目的在于通过部署安全产品对管理平台进行最大的安全层面的防护。安全需求XXX省药品集中采购交易监督管理平台目前所在网络拓扑大致如下图：通过拓扑图，我们可以看出，需要在网络出口增加一台防火墙进行网络层访问控制。在核心层，应该在核心交换机上部署网络入侵检测系统，来检查Internet上潜在的网络攻击是否进入到本网络中，对本网络中的网络流量中是否含有网络攻击进行一个实时监控。同时因为对外发布WEB网站，需要在服务器接入交换机前部署一台专业的WEB防火墙，针对目前网络上攻击层面到应用层的网络攻击，可以有效地进行阻断。这样网络从三层到七层都能有一个较好的防护功能。建议方案根据此前的完全需求，我们推出如上图的安全建议方案。此方案中涉及到5个产品，RSAS（远程安全评估系统，通常业内叫它漏洞扫描器），SG（安全网关，在这里起防火墙的作用），SAS(安全审计系统，专做网络流量内容审计)，IDS（网络入侵检测系统，专作为检测网络攻击事件的利器），WAF（WEB防火墙，针对WEB服务器量身定制，专业防护到七层）。RSAS（漏洞扫描器）依托专业的NSFOCUS安全小组，综合运用信息重整化（NSIP）等多种领先技术，自动、高效、及时准确地发现网络资产存在的安全漏洞；提供OpenVM（OpenVulnerabilityManagement开放漏洞管理）工作流程平台，将先进的漏洞管理理念贯穿整个产品实现过程中；专业的Web应用扫描模块，可以自动化进行Web应用、Web

服务及支撑系统等多层次全方位的安全漏洞扫描，简化安全管理员发现和修复

Web

应用安全隐患的过程。“五个”过程漏洞预警：获得权威漏洞信息漏洞检测：检测资产存在的漏洞风险管理：结合资产定位风险漏洞修复：补丁系统联动漏洞审计：确认漏洞风险“三个”思想流程化自动化开放性拥有顶级安全专家的独立安全研究机构（NSFOCUSSecurityTeam）发现包括Microsoft、HP、SUN、CISCO、Juniper等多家厂商的40余个严重安全漏洞七年来一直维护国内最大最权威的中文安全漏洞库NSBL，数目超过14000条。所支持的检测规则库从2002年起出口美国市场基于国内最权威中文漏洞库，精心构造2800余条漏洞检测库，识别各种安全漏洞隐患。扫描涵盖了常见操作系统、数据库、网络设备和应用程序的远程可利用漏洞。定期升级，重大漏洞两天通过CVE兼容性认证扫描涵盖了常见操作系统、数据库、网络设备和应用程序的远程和本地可利用漏洞。SG(安全网关)高性能的防火墙绿盟安全网关采用智能状态检测技术，支持路由、透明、混合模式部署，可实现基于源/目的IP地址、协议/端口、时间、用户、VLAN、VPN、安全区的访问控制。绿盟安全网关支持支持基于策略的双向NAT、动态/静态NAT、端口PAT，支持静态路由、动态路由、策略路由，支持DNS、DHCP、VLANTrunk。强大的病毒防御能力绿盟安全网关采用国际著名防病毒厂商的防病毒引擎，采用基于特征扫描和启发式扫描技术，对利用HTTP、SMTP、POP3、IMAP、FTP、IM等多种协议的病毒进行处理，完成对木马病毒、蠕虫病毒、宏病毒、脚本病毒等的查杀。此外，绿盟安全网关将专业防病毒引擎和多核并行处理技术完美融合，实现高速病毒处理性能。超强的攻击防护能力绿盟安全网关集成了绿盟科技专业的IPS模块，可实现基于IP地址/网段、规则（组、集）、时间、动作等对象的虚拟IDS/IPS，结合绿盟独特的抗DDoS技术，可防护抗拒绝服务、远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、SQL注入、跨站脚本等各种攻击。统一的安全管理中心绿盟安全网关兼容绿盟安全中心，可实现从安全中心对多种绿盟科技安全产品的统一管理和监控，实现策略配置、报警信息处理、日志分析等多种管理功能，实现多产品安全事件统一报警，多台设备安全策略统一配置，极大的提高了用户安全管理的工作效率。SAS(安全审计系统)强大的审计特性多维度网络行为审计全程数据库操作审计精细的敏感信息审计先进的技术业界首家内容安全审计技术专利“网站内容安全主动审计”智能内容识别引擎——NCRE可识别100种以上应用层协议Web应用安全业界领先的超过1000万条URL网页分类数据库智能Web信誉管理通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位，为整体网络安全策略的制定提供权威可靠的支持。NIDS(网络入侵检测系统)全面、准确识别各类安全威胁覆盖2~7层的风险识别能力，全面识别超过100种以上的应用协议内置先进的Web信誉机制，协助用户识别各类Web威胁可扩展的企业安全管理能力面向应用的网络流量合规性监测内嵌专业的病毒、蠕虫风险预知能力可扩展的敏感信息审计和在线入侵防御解决方案可扩展的企业安全管理能力协助管理员及时了解网络安全和流量分布状况，为企业安全建设及流量合规管理，提供决策依据获得多项国际国内认证WAF(Web应用防火墙)双向HTTP/HTTPS内容清洗缓解来自Internet的各类WEB安全威胁针对WEB服务器侧响应的出错信息、恶意内容及不合规内容进行过滤对被篡改的页面内容进行恢复加速降低服务响应时间、显著改善终端用户体验，优化业务资源、提高应用系统敏捷性，提高数据中心的效率和服务器的投资回报率(ROI)合规协助客户满足安全监管机构合规要求避免用户敏感信息泄露产品选型根据现网实际情况（包括网