XXXXXXX人民医院
网络安全解决方案建议书
xxxxxx安全测评中心
二零一五年十月
目录
目录--------------------------------------------------------------------------------------------------------- 2
1.概述 ------------------------------------------------------------------------------------------------------ 1
1.1前言 ---------------------------------------------------------------------------------------------------- 1
1.2 项目概述 ---------------------------------------------------------------------------------------------- 1
1.3设计参考标准 ---------------------------------------------------------------------------------------- 1 2系统分析 ------------------------------------------------------------------------------------------------ 2
2.1 XXXXXXX人民医院应用系统分析 ----------------------------------------------------------- 2
2.1.1XXXXXXX人民医院网络结构 ------------------------------------------------------------- 2
2.1.2 XXXXXXX人民医院应用系统说明 ------------------------------------------------------ 3
2.1.3 XXXXXXX人民医院目前部署设备说明 ------------------------------------------------ 3
2.1.4 网络拓扑图 ---------------------------------------------------------------------------------- 3
2.1.5网络安全现状 -------------------------------------------------------------------------------- 3
3 需求分析 ----------------------------------------------------------------------------------------------- 4
3.1功能需求 ---------------------------------------------------------------------------------------------- 4
3.2管理需求 ---------------------------------------------------------------------------------------------- 4
3.3服务需求 ---------------------------------------------------------------------------------------------- 5 4 XXXXXXX人民医院网络安全解决方案 -------------------------------------------------------- 5
4.1边界安全解决方案 ---------------------------------------------------------------------------------- 6
4.1.2 UTM统一一体化安全网关解决方案 --------------------------------------------------- 8
4.2内部网络安全解决方案 ---------------------------------------------------------------------------- 8
4.2.1数据库审计和运维安全运维审计解决方案 ------------------------------------------- 8
4.2.1.1数据库审计解决方案 -------------------------------------------------------------------- 8
4.2.1.2安全运维审计解决方案 ----------------------------------------------------------------- 9
4.2.2入侵检测解决方案 ------------------------------------------------------------------------- 15
4.2.4安全管理平台解决方案 ------------------------------------------------------------------- 16
5 安全建设最终目标 ---------------------------------------------------------------------------------- 18
5.1 网络改造后的拓扑图 ----------------------------------------------------------------------------- 18
5.2边界安全设备详细部署说明 -------------------------------------------------------------------- 19
5.3数据库审计与安全运维设备详细部署说明 ------------------------------------------------- 19
5.6安全管理平台详细部署说明 -------------------------------------------------------------------- 20 6投入说明 ------------------------------------------------------------------------------------------------ 1
1.概述
1.1前言
随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正逐步改变着人类的生活和工作方式。越来越多的企事业单位建立了依赖于网络的业务信息系统,对行业产生了巨大深远的影响,但安全威胁也正在飞速增长。
XXXXXXX人民医院规模较大、技术力量雄厚、医疗设备先进,医院的大部分业务是基于信息化实现,其网络的稳定运行与否,直接影响医院的运营。
为了给XXXXXXX人民医院提供更加稳定的网络环境,将根据目前的安全现状并结合当前的安全形势为XXXXXXX人民医院提供一个完整的安全改进方案。
1.2 项目概述
为了提高XXXXXXX人民医院网络的稳定性,针对现有的网络环境,通过加入相应的安全设备,建议在信息系统正常运转的前提下,力求达到提高整网的安全性能提高。
通过改造,实现对于网络攻击和病毒进行必要的防御,对应用服务的访问权限进行限制,对来自医保网络或者内部网络及互联网的攻击进行实时防护,有利于震慑不法分子的违法犯罪行为,保障XXXXXXX人民医院应用系统的正常运营。
1.3设计参考标准
公通字 [2007]43号关于印发《信息安全等级保护管理办法》的通知 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求
GB/T 20269-2006 信息安全技术 信息系统安全管理要求
GB/T 20270-2006 信息安全技术 网络基础安全技术要求
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求
GB/T 21028-2007 信息安全技术 服务器安全技术要求
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求
2系统分析
2.1 XXXXXXX人民医院应用系统分析
针对XXXXXXX人民医院的网络结构的分析,应当在现有网络基础上,根据国家有关信息网络安全系统建设法律法规和标准规范,以及系统对安全性设计的具体要求,并结合当前信息安全技术的发展水平,针对可能存在的安全漏洞和安全需求,在不同层次上提出安全级别要求,制定相应的安全策略,设计一套科学合理、多层次、分布式、并且融合技术和管理的安全体系,采用合理、先进的技术实施安全工程,加强安全管理,保证XXXXXXX人民医院信息系统的安全性。
根据对XXXXXXX人民医院信息系统的初步了解,对其应用系统现状简要说明如下:
XXXXXXX人民医院现有网络设计以保证业务正常运行为主,目前网络中部署有防火墙、桌面终端管控安全产品,现有内网用户采用网络准入措施保证内网用户接入控室,针对部分终端启用了桌面终端管控功能。
2.1.1XXXXXXX人民医院网络结构
从目前XXXXXXX人民医院全局网络结构上看,主要由用于日常医疗信息交换及办公的内部业务网以及对外的外部业务网两部分组成。
其中,医院内部业务网是医院业务开展的重要平台,承载着核心业务,同时具有相应链路与卫生局、社保和银行等其他机构交换数据;外部业务网主要对外提供信息发布门户,对内提供Internet网络接入等服务。
业务内网
XXXXXXX人民医院的业务内网由中心机房、各业务大楼(如:门诊楼、综合楼、住院一部、、住院二部、住院三部等)以及其他下属医院等几部分组成,其中中心机房是整个业务网络的核心,主要提供医疗数据交换、存储和医院业务系统的运维。各业务大楼主要提供医护人员的日常业务的开展。
整个XXXXXXX人民医院的业务网络由核心层、汇聚层和接入层的网络交换设备组成网络的骨干,然后通过各楼层交换机接入到各个业务大楼。
2.1.2 XXXXXXX人民医院应用系统说明
XXXXXXX人民医院应用系统主要包括以下几个方面:
XXXXXXX人民医院信息系统(Hospital Information System,HIS)建设初具规模,日趋完善。HIS系统是XXXXXXX人民医院医疗信息化的最核心资产。另外,内网还运行有RIS/PACS系统、LIS系统、门诊叫号系统、财务系统等科室业务应用系统。
2.1.3 XXXXXXX人民医院目前部署设备说明
主机:包括hpunix、Windows平台在内的多台服务器;
网络设备:以锐捷、华三为主要网络设备的网络体系架构。
网络中部署防火墙、桌面终端管控安全产品。
2.1.4 网络拓扑图
2.1.5网络安全现状
经过分析网络状态,我们认为现在XXXXXXX人民医院在网络安全方面存在一些问题:
1. 目前在内网与医保网,未能进行有效的应用层包过滤和状态检
测。
2. 对来自医保及互联网的网络攻击和病毒无有效的设备进行完整
的防御
3. 对内部用户的网络操作行为没有必要的审计措施。
4. 没有对网络异常流量进行实时检测并告警的方法。
3 需求分析
3.1功能需求
对应用访问进行严格限制,只允许访问对应应用服务的对应端口,
拒绝对应用服务器的其他端口的访问。
能对整网的流量进行防病毒和入侵防御。 从整网的角度上进行访问控制。 对业务环境下的网络操作行为特别是针对核心数据库的操作要能做
到细粒度的合规审计,便于在出现安全事件时有据可查。
对于来自内部的病毒入侵攻击要能进行检测,对整个网络的安全态
势要能进行及时的了解。
运维人员的对于网络设备、安全设备及对数据库等的操作行为要能
进行审计,对一些具有风险的、超过其权限的操作要能进行实时阻
断并告警。
需要具有对交换机、路由器、安全设备、服务器等设备进行统一管
理的安全管理运维平台,一旦产生安全事件,可以进行统一管理,
不需要管理员登录到各个设备上查到日志,定位故障。可以减少管
理员的运维时间,有利于故障的快速解决。
3.2管理需求
访问管理
在管理上需要实现,对访问应用服务器的权限进行有效的管理。
组织管理
良好的安全产品配置和过硬的安全技术,并不能很好的解决系统的安全问题,必须辅以完善的安全管理体制,才能促使其的作用得到完美体现。如果整个XXXXXXX人民医院系统的应用系统、网络系统管理员间的协调不利,那么有可能最终导致系统安全管理的混乱。需要制定一套完善的安全管理体系,同时需要相应的安全产品进行有效的配合,从管理和技术两个方面保证系统安全的有效实施。
3.3服务需求
由于黑客攻击和病毒泛滥对系统的安全随时提出了挑战,需要提供服务的公司具有专业的安全人才和专业的安全技术,能够对最新的系统安全漏洞、攻击技术以及用户行业现状有深入的理解,并能将相应的技术通过产品升级和应急服务等方式及时提供给用户,只有这样才能保证用户系统在安全性和可用性上具有持续的保障。
由于需要对安全事件进行及时响应,在产品和技术服务支持上只有能同时拥有自主产品和安全服务的综合性安全公司才能对用户系统安全有所保障。 4网络安全解决方案
根据国家等级保护的相关要求,在网络安全中必须要有入侵防范及安全审计设备,在边界完整性要求则要能够对非法接入进行控制,并能够进行实时阻断,需要部署终端桌面安全管理软件。
在主机安全中有对日志进行审计的需求,需要部署安全管理平台。
在数据安全方面针对重要的网络边界建议采用双机热备的方式部署安全设备。
结合XXXXXXX人民医院网络安全改造,建议此次部署以下安全解决方案:
4.1边界安全解决方案
4.1.1.2入侵防御解决方案
传统防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码;无法发现内部网络中的攻击行为。入侵防护系统IDS旁路部署在网络上,当它检测出黑客入侵攻击时,攻击可能已到达目标造成损失,无法有效阻断各种攻击;入侵防护系统IDS侧重网络监控,注重安全审计,适合对网络安全状态的了解。但是对检测到的入侵行为无法提供及时有效的反应,因此需要更加有效的入侵防护系统。
入侵防御系统往往以串联的方式部署在网络中,提供主动的、实时的防护,具备对2到7层网络的线速、深度检测能力,同时配合以精心研究、及时更新的攻击特征库,即可以有效检测并实时阻断隐藏在海量网络中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络架构防护、网络性能保护和核心应用防护。
在网络出口与XXXXXXX人民医院内部网络之间部署NIPS,其主要功能有:
IPS-坚固的防御体系
业界最完善的攻击特征库,包括50多类,超过2000项的入侵攻
击特征
漏洞机理分析技术,精确抵御黑客攻击、蠕虫、木马、后门
应用还原重组技术,抑制间谍软件、灰色软件、网络钓鱼的泛滥
网络异常分析技术,全面防止拒绝服务攻击
完善的防火墙特性
支持基于源IP、目的IP、源端口、目的端口、时间、服务、用
户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行
访问控制
支持流量管理、连接数控制、IP+MAC绑定、用户认证等
实用的流量监控系统NetFlow
历史带宽使用趋势分析、带宽应用分布、带宽使用实时统计、IP
流量排名等
精确的抗DoS攻击能力
采用特征控制和异常控制相结合的手段,有效保障抗拒绝服务攻击的准确性和全面性,阻断绝大多数的DoS攻击行为
完善的P2P、IM、流媒体、网络游戏和股票软件控制能力
P2P控制:对Emule、BitTorrent、Maze、Kazaa等进行阻断、限速
IM控制:基于黑白名单的IM登录控制、文件传输阻止、查毒;支持主流IM软件如QQ、MSN、雅虎通、Gtalk、Skype
流媒体控制:对流媒体应用进行阻断或限速,支持Kamun ppfilm 、PPLive、PPStream、QQ直播、TVAnts、沸点网络电视、猫扑播霸等
网络游戏控制:对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏大厅等的阻断
股票软件控制:对常用股票软件如同花顺、大参考、大智慧等的阻断
强大的日志报表功能
记录内容丰富:可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录
日志快速查询:可对IP地址、端口、时间、危急程度、日志内容关键字等进行查询
报表贴近需求:根据用户具体需求,定制报表内容、定制报名名称、定制企业LOGO,并可形成多种格式的报表文件。
方便的集中管理功能
通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。
4.1.2 UTM统一一体化安全网关解决方案
针对XXXXXXX人民医院总部内网与分支机构的安全防护建议采用UTM一体化安全网关的安全解决方案。UTM设备启用防病毒与IPS模块。
UTM产品集防火墙、VPN、入侵防御(IPS)、防病毒、上网行为管理、内网安全、反垃圾邮件、抗拒绝服务攻击(Anti-DoS)、内容过滤、NetFlow等多种安全技术于一身,高性能、绿色低炭,同时全面支持各种路由协议、QoS、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护,帮助用户抵御日益复杂的安全威胁。
4.2内部网络安全解决方案
4.2.1数据库审计和运维安全运维审计解决方案
4.2.1.1数据库审计解决方案
在数据库安全审计方面,我们建议采用网络安全审计产品即网络安全审计系统(业务网型),它是针对业务网络资源进行策略化审计与管理的新一代安全系统,它集内容审计、访问控制及身份认证于一体,通过对具体业务的命令级审计与认证、对越权用户与非法操作的告警与阻断,实现对主机、服务器、数据库等资源的重点保护,从而为XXXXXXX人民医院网络系统提供强大的集中审计管理平台。
功能
● 对网络操作进行实时监控、过程回放
网络审计系统对数据库、FTP、Telnet、应用(业务)系统等登录的操作进行详细的审计,包括登录者输入的各种命令、操作结果等。实时监控、过程回放,就像网络世界的摄像机,真实地展现用户的操作,系统管理员通过本系统看到的就是当时的实际操作界面和过程。利用这项功能,系统管理员可以直观、方便地了解系统被使用的情况,尤其是在出现安全问题后,可以迅速地查找出责任人。
● 进行命令级的审计和访问控制
网络审计系统可以对数据库操作、FTP、Telnet、应用(业务)系统等进行命令级的审计和访问控制。审计系统在各主机系统原有的用户权限基础上,进一步细分了主机、服务器、数据库系统的权限设置,使得每个用户仅能够从事与自己身份相符合的操作。即使是多个人使用同一个账号进行登录,审计系统也能区分出不同的用户,并且根据不同的身份采取不同的审计和访问控制措施。
● 强大的审计报表
网络审计系统提供了强大的审计报表功能,系统管理员可以根据自己关心的内容设置审计报表的输出。通过设置合理的审计报表,管理员可以迅速、直观地了解到系统的运行情况、使用情况;如果发现异常,可以利用审计系统的查询、分析、跟踪功能,定位出现问题的人员、时间、操作内容等。
在此网络中,网络综合审计是通过交换机镜像的方式获取数据源进行审计和备份。因此在具体实施上,该设备部署在核心或者重要服务器(如数据库)区交换机上,对网络内用户对网络设备的远程配置、数据库的远程操作、网络内文件共享等进行审计,可以有效的审计出本单位用户恶意或者误操作的内容,外部第三方人员在内网中进行的所有操作内容。数据是一些系统的核心资源,特别有些数据涉及到秘密级以上的话,就需要进行重点防护,以免造成泄露、更改后引起的巨大经济、社会影响。
此外,对于非法用户直接登录数据库更改数据的问题,通过防火墙可以禁止该种连接。那么排除该种情况后,只剩下能够通过防火墙的用户或者计算机绕开应用系统直接登录数据库操作数据的可能(这部分用户通过应用系统删除更改数据已经通过证书审计功能予以防范)。我们只需要在审计产品上设定相关的控制策略,也可以防止用户直接访问数据库操作数据的可能。
4.2.1.2安全运维审计解决方案
传统的安全技术手段是通过对攻击特征、攻击方法进行识别而起到预警或防御作用,但一个违规的行为有可能是正常的操作行为,其本身并不包含威胁特征,这样就导致了传统技术手段无法识别出这种内部违规行为。
由于XXXXXXX人民医院数据库系统用户众多,涉及数据库管理员、内部员工及合作方人员等,网络管理非常复杂。XXXXXXX人民医院内部都放置了大量的
数据库服务器,上面存放和运行着大量的重要核心数据,一旦发生数据泄漏和操作违规,后果不堪设想。
我们就针对有可能出现的违规行为来进行一下分析,看看威胁来自哪些方面:
数据库账户和权限的滥用
数据库帐户与权限的滥用主要表现在两个方面:
1、 缺少针对数据库管理员的监控机制。
数据库管理员拥有数据库系统管理、账号管理、权限分配等系统最高权限。如果数据库管理员利用工作之便,窃取敏感信息、篡改毁坏重要业务数据,对企业数据库安全的打击将是致命的;
2、 合法用户权限滥用。
数据库系统的操作管理采用分权管理形式,包括多个账号,如普通账号、用于数据库日常维护的临时账号。如果上述账号权限被内部人员或合作方人员用来窃取、恶意损毁数据库的重要业务数据,在短时间内管理者极难察觉发现数据已经被篡改或删除,事后也难以追查取证,造成难以弥补的损失。
维护人员安全隐患
XXXXXXX人民医院的网络在运行过程中,因为人力等诸多原因,会将非核心业务委托第三方人员管理,第三方人员具有最高的权限,可以对安全设备、网络设备、操作系统等进行配置、修改等操作,如果他们存在误操作或者是别有用心有意窃取公司机密,那将会对公司带来巨大的损失和破坏力,那么如何有效地监视设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。
运维安全审计系统业务---堡垒机就是解决上述问题的安全设备,它是针对企业内网的运维操作和业务访问行为进行细粒度控制和审计的合规性管理系统。它通过对运维人员和业务用户的身份进行认证,对各类运维操作和业务访问行为进行分析、记录、汇报,以帮助用户事前认证授权、事中实时监控、事后精确溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运行。
其主要的功能有:
网络运维审计
堡垒机系统支持常用的运维协议及文件传输协议,能够全程记录用户在 服务器上的各种操作,包括下列协议Telnet、Rlogin、FTP、SCP、SFTP、X11、NFS
OA审计
堡垒机系统支持HTTP、POP3、SMTP、Netbios的审计,能够记录网页URL、内容、发件人、收件人、邮件内容、网络邻居的各种操作等信息。
合规性规则和响应
堡垒机系统的审计和响应功能可以简单地描述为:“某个特定的服务(如FTP、Telnet、SQL等)可以(或不可以)被某个特定的用户(主机)怎样地访问”,这使得它提供的审计和响应具有很强的针对性和准确性。
强大的数据库规则
系统能够根据访问数据库的源程序名、登陆数据库的账号、数据库命令、数据库名、数据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件,对用户关心的违规行为进行响应,特别是针对重要表、重要字段的各种操作,能够通过简单的规则定义,实现精确审计,降低过多审计数据给管理员带来的信息爆炸。
定制审计事件规则
堡垒机系统提供了事件规则用户自定义模块,允许用户自行设定和调整各种安全审计事件的触发条件与响应策略。
例如,用户特别关注在telnet过程中出现rm、passwd、shutdown等命令的行为,那么用户就可以利用堡垒机系统定义相应的审计事件规则。这样,堡垒机系统就可以针对网络中发生的这些行为进行响应。
基于业务特征的规则库
系统可以将审计员制定的多个符合业务特征的规则进行汇总、编辑和命名,形成具备某种业务特征的规则写入用户自定义的规则库。这样,审计员在针对某个特定业务用户制定审计策略时,可以直观地使用自命名的规则进行设置,方便了各种策略的制定和查询。
特定账号行为跟踪
系统能够实现对“用户网络环境中出现的特定账号或特定账号执行某种操作后”的场景进行账号跟踪,提供对后继会话和事件的审计。这样,管理员能够对出现在网络中的特权账号,比如root、DBA等,进行重点的监控,特别是哪些本不应出现在网络上的特权账号突然出现的事件。
多编码环境支持
堡垒机系统适用于多种应用环境,特别是在异构环境中,比如IBM AS/400通常采用EBCDIC编码方式实现telnet协议的传输、某些数据库同时采用几种编码与客户端进行通讯,若系统不能识别多种编码,会导致审计数据出现乱码,对多编码的支持是衡量审计系统环境适应性的重要指标之一,目前堡垒机系统支持如下编码格式
多种响应方式
堡垒机系统提供了多种响应方式,包括:
在堡垒机中记录相应的操作过程;
在日常审计报告中标注;
向管理控制台发出告警信息;
实时阻断会话连接;
管理人员通过本系统手工RST阻断会话连接;
通过Syslog方式进行告警
通过SNMP Trap方式进行告警
通过邮件方式进行告警
实时跟踪和回放
管理员可以通过审计显示中心实时地跟踪一个或多个网络连接,通过系统提供的“时标”清晰地显示不同网络连接中每个操作的先后顺序及操作结果,当发现可疑的操作或访问时,可以实时阻断当前的访问。管理员也可以从审计数据中心中提取审计数据对通信过程进行回放,便于分析和查找系统安全问题,并以次为依据制定更符合业务特征和系统安全需求的安全规则和策略。
审计报告输出
堡垒机系统从安全管理的角度出发,设计一套完善的审计报告输出机制。
多种筛选条件
堡垒机系统提供了强大、灵活的筛选条件设置机制。
在设置筛选条件时,审计员可基于以下要素的组合进行设置:时间、客户端IP、客户端端口号、服务端IP、服务端端口、关键字、事件级别、引擎名、业务用户身份、资源账号等条件。
审计员可根据需要灵活地设置审计报表的各种要素,迅速生成自己希望看到的审计内容。同时系统提供了报表模板功能,审计员无需重复输入,只需要设置模板后,即可按模板进行报表生成。
命令及字段智能分析
系统能够根据审计协议的类型进行命令和字段的自动提取,用户可以选择提取后的命令或字段作为重点对象进行分析。针对数据库类协议,可分析并形成数据库名、表名、命令等列表;针对运维类协议,可分析并形成命令等列表;针对文件操作类协议,可分析并形成文件名、操作命令等列表;通过该功能,可以简化用户对审计数据的分析过程,大大提高分析的效率。
宏观事件到微观事件钻取
堡垒机系统提供了从宏观报表到微观事件的关联,审计员可以在统计报表、取证报表中查看宏观的审计数据统计信息,通过点击相应链接即可逐步下探到具体的审计事件。
自动任务支持
堡垒机系统提供报表任务功能,审计员可根据实际情况定制报表生成任务;系统支持HTML、EXCEL、CSV、PDF、Word等多种文档格式的报表输出,可以通过邮件方式自动发送给审计员。
数据和报表备份
堡垒机系统提供了审计数据和报表的手动和自动备份功能,可以将压缩后的数据自动传输到指定的FTP服务器,提供每天、每周、每月、时刻的定义方式。
自身管理
安全管理
堡垒机系统的管理控制中心提供了集中的管理控制界面,审计员通过管理
控制台就能管理和综合分析所有审计引擎的审计信息和状态信息,并形成审计报表。
堡垒机系统支持权限分级管理模式,可对不同的角色设定不同的管理权限。例如,超级管理员拥有所有的管理权限;而某些普通管理员则可能仅拥有查看审计报表的权限,某些管理员可以拥有设置审计策略或安全规则的权限。
系统提供专门的自身审计日志,记录所有人员对天玥系统的操作,方便审计员对日志进行分析和查看。
状态管理
堡垒机系统提供CPU、内存、磁盘状态、网口等运行信息,管理员可以很轻松的通过GUI界面实现对审计数据中心、审计引擎的工作状态进行查看。当出现错误信息时,比如Raid故障、磁盘空间不足、引擎连接问题,系统可自动邮件通知相关管理人员。
时间同步管理
堡垒机系统提供手工和NTP两种时间同步方式,通过对全系统自身的时 间同步,保证了审计数据时间戳的精确性,避免了审计事件时间误差给事后审计分析工作带来的影响,提升了工作效率。
系统安全性设计
在堡垒机系统的设计中采用了严密的系统安全性设计,主要体系在以下几个方面:
1. 操作系统安全性设计:堡垒机系统采用经裁减、加固的Linux
操作系统。在设计过程中,结合堡垒机系统的功能要求和我公司在操
作系统安全方面的技术和经验,对Linux进行了精心的裁减和加固,包
括补丁修补,取消危险的、无用的服务等。
2. 数据库安全性设计:堡垒机系统的数据库是根据堡垒机系统的
功能要求自行设计的,在设计时已经充分考虑了安全性方面的问题。
3. 模块间的通信:各功能模块之间的通信均采用专门设计的通信
协议,这些通信协议在设计时均采用了诸如CA认证、编码、签名、加
密等安全技术。对于远程维护,则采用了SSH加密传输协议。
在产品出厂测试阶段,还将进行诸如漏洞扫描之类的安全性测试,因此,
堡垒机系统具有很高的安全性。
4.2.2入侵检测解决方案
XXXXXXX人民医院目前缺乏主动的对网络的入侵威胁事件及内网的病毒进行主动扫描探测的产品,如果对内网的数据交换进行主动的威胁检测并进行智能分析则可以第一时间知道网络的安全事件及病毒情况,可以采取相应的措施进行防范则可以起到主动防御的效果。而部署威胁检测与智能分析系统则是主动防御最好的解决方案。
入侵检测产品在继承传统IDS威胁检测能力之外,根据众多安全专家的经验与知识,提炼一整套威胁事件智能分析的方法,实现了专家级的威胁智能分析与辅助处理,是具备人工智能能力的威胁检测类产品。
可视化成为入侵检测系统的一大亮点,其功能特点主要表现在智能分析与可视化:
事件智能分析
IDS产品从攻击者、被攻击者以及攻击过程三方面多个角度对微观事件进行分析,判断其对信息系统的可能威胁能力,最终将明确有较大威胁的重点事件呈现给运维人员。通过微观事件智能分析,可以大大降低运维过程中的事件分析、处理事件工作量,使安全监控工作变得简单快捷。
态势智能分析
IDS产品为信息系统管理者提供了宏观威胁态势智能分析模块,它根据历史事件的统计分析结果以及环比信息,结合内置的专家知识库,可以明确的给出威胁态势信息:信息系统是否面临威胁?哪里面临威胁?威胁是什么?该如何解决?历史事件处理效果等信息。根据这些信息,管理人员可以快速决策如何进一步进行安全策略加强或者安全建设。
网络威胁可视化
IDS产品能对网络中实时数据流量进行分析,准确发现各类入侵行为和网络异常现象。
重点事件可视化
IDS产品内置事件辅助预分析系统,对所有发现的安全事件进行预分析,找出需要关注处理的重点事件并突出显示。帮助XXXXXXX人民医院用户轻松面对海量报警事件。
事件处理可视化
IDS产品提供了详尽的向导式事件处理指导意见,按步骤指导使用者进行安全事件的处理操作,并通过处理过程管理系统,对安全事件进行批量自动处理。降低事件处理的技术门槛,并同时节约了事件处理工作量。
安全态势可视化
IDS产品可对指定时间段内的安全事件进行统计分析,并自动对需要关注的事件、IP进行总结概述,展现整体网络安全态势,同时,还能自动与历史数据进行对比分析,帮助XXXXXXX人民医院用户分析网络安全发展趋势,为XXXXXXX人民医院的安全建设决策提供支撑依据。
4.2.4安全管理平台解决方案
传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理,这样导致安全信息分散互不相通,安全策略难以保持一致,这种传统的管理运行方式因此成为许许多多安全隐患形成的根源。
安全管理平台是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析,得出全局角度的安全风险事件,并形成统一的安全决策对安全事件进行响应和处理。
针对XXXXXXX人民医院的内网,我们认为可以部署一个安全管理平台,将多种安全设备、网络设备、服务器多进行集中管理,对于发生的安全事件,通过相互的关联分析可以快速定位,及时的作出响应。
安全管理平台子系统的功能特点主要有:
关联分析
事件关联分析
可以在一定时间范围内根据事件的源地址、目的地址、源端口、目的端口及事件的类型等结合事件的等级、CIA属性等参数,对事件进行关联分析,这种关联分析的目的在于减少报警信息,对事件进行归并过滤。
漏洞关联分析
漏洞关联分析的目的在于要识别出假报警,同时为那些尚未确定是否为假肯定或假警报的事件分配一个置信等级。这种方法的主要优点在于,它能极大提高威胁运算的有效性并可提供适用于自动响应和/或告警的事件。 安全预警
安全预警是一种有效预防措施。结合安全漏洞的跟踪和研究,及时发布有关的安全漏洞信息和解决方案,督促和指导各级安全管理部门及时做好安全防范工作,防患于未然。同时通过安全威胁管理模块所掌握的全网安全动态,有针对性指导各级安全管理机构做好安全防范工作,特别是针对当前发生频率较高的攻击做好预警和防范工作。
漏洞评估管理
脆弱性管理中心通过人工审计和漏洞扫描工具两种方式,收集整个网络
的弱点情况并进行统一管理,使得管理人员可以清楚的掌握全网的安全健康状况。
强大的事件采集
网络与安全事件监控对象涵盖网络设备、主机系统和安全系统,安全产品包括防火墙系统、NIDS系统、漏洞扫描系统、防病毒系统、网络安全审计、身份认证系统等,网络产品包括路由器、交换机、Windows操作系统主机、Solaris操作系统主机、Oracle数据库、不同版本的WebLogic、流量管理系统。
5 安全建设最终目标
5.1 网络改造后的拓扑图
此次改造建议在原有的网络架构中增加一系列安全设备,将出口防火墙入侵防范、防病毒等模块启用、在服务器集群区前端部署一台防火墙、安全管理中心、数据库审计、网络管理系统、日志集中审计系统、堡垒机管理部署在这个相应区域中。
在边界安全方面考虑:
1.在XXXXXXX人民医院的网络出口启用IPS与防病毒模块,对于XXXXXXX人民医院之间的数据传输做第三到第七层的应用过滤,保护医保与XXXXXXX人民医院网络的安全。
2.在XXXXXXX人民医院内部服务器区域串行部署防火墙/UTM一体化安全网关或防火墙与入侵防护设备,防火墙对服务器区域与XXXXXXX人民医院的数据包进行网络第三到第四层的状态检测与包过滤。
在数据库与运维安全方面考虑:
1.在核心交换处旁路部署一台数据库审计设备,对于业务环境下的网络操作行为进行细粒度的合规审计,帮助用户加强内外网安全管理,保证核心资产的正常运营。
2.将运维人员集中在一起办公,便与统一管理,IP地址单独划为一个VLAN,在运维人员的交换机与核心交换机之间串行部署一台堡垒机,对于运维人员进行统一身份认证和权限划分,其对安全设备、网络设备、服务器的具体操作都需要先登录到堡垒机上进行认证,所有的操作都可以进行实时显示,并可以对具有危险的或者其权限之外的操作进行实时阻断,保证重要资产的安全。
安全管理平台方面的考虑:
为了对整个网络的安全设备、网络设备、服务器等安全事件进行统一的管理,对这些设备的运行状态及性能进行统一的监控,对网络的安全态势进行统一的风险分析,建议在运维安全管理区域内部署安全管理平台,这样可以大大减少管理人员的工作量,在出现安全事件时能够第一时间快速发现,迅速定位,及时处理。
5.2边界安全设备详细部署说明
UTM产品部署说明:
部署位置:XXXXXXX人民医院核心与分支机构之间(持续规划)
实现效果: 通过部署一体化安全网关,可实现防火墙、VPN、入侵防御(IPS)、
防病毒、上网行为管理、反垃圾邮件、抗拒绝服务攻击(Anti-DoS)、内容过滤、NetFlow等多种安全技术于一身,同时全面支持虚拟防火墙、IPv6、路由、QoS、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护,帮助用户抵御日益复杂的安全威胁。
防火墙产品部署说明:
部署位置: XXXXXXX人民医院核心交换与服务器边界处。
实现效果: 通过部署专业的采用多核架构的防火墙产品,可实现对数据信息
进行2-3层过滤,模块匹配引擎和行为分析引擎分别根据统一特征库和行为知识库进行匹配查找,对于合法报文直接交由报文发送模块进行报文转发,对于非法报文,送交相应的处理引擎进行处理。整个过程的日志信息和数据流量信息送集中管理与数据分析中心监控和备案,管理中心负责整体的配置和调整。有效满足内网接入区域安全防护的基本要求。
5.3数据库审计与安全运维设备详细部署说明
数据库安全审计设备部署说明:
部署位置:在内网核心交换处旁路部署1台网络安全审计设备。
实现效果: 通过部署网络安全审计设备,可实现针对业务环境下的网络操作
行为进行细粒度审计及合规性管理。通过对被授权人员和系统的网络操作行为进行解析、分析、记录、汇报,以帮助管理员事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。
堡垒主机设备部署说明:
部署位置:内网核心交换处部署1台堡垒机设备。
实现效果: 通过部署堡垒机产品,可实现对内网的运维操作和业务访问行为
进行细粒度控制和审计以及合规性管理检查。通过对运维人员和业务用户的身份进行认证,对各类运维操作和业务访问行为进行分析、记录、汇报,以帮助管理人员事前认证授权、事中实时监控、事后精确溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运行。
5.6安全管理平台详细部署说明
SOC安管平台系统部署说明:
部署位置:在安全运维管理区部署1套SOC安全管理平台系统软件。 实现效果: 通过部署SOC安全管理平台系统,可实现对网络中的所有的安
全设备、网络设备、服务器、数据库等进行统一的安全管理,对于这些设备发出的海量且分散的安全事件进行范式化、汇总、过滤、归并及关联分析,得出基于整个内网的安全事件,并形成统一的安全决策对安全事件进行响应和处理;可提高了管理效率,节省了管理成本,出现安全事件时,快速定位安全事件,及时进行故障的排除,实现对网络中的资产运行监控、事件分析与审计、
安全风险的评估、安全事件的预警与响应、整个安全态势的分析,并可以借助平台自带的标准化的流程管理来保证信息系统的安全持续运营。
6投入说明
本次项目投入的安全产品见下表:
XXXXXXX人民医院
网络安全解决方案建议书
xxxxxx安全测评中心
二零一五年十月
目录
目录--------------------------------------------------------------------------------------------------------- 2
1.概述 ------------------------------------------------------------------------------------------------------ 1
1.1前言 ---------------------------------------------------------------------------------------------------- 1
1.2 项目概述 ---------------------------------------------------------------------------------------------- 1
1.3设计参考标准 ---------------------------------------------------------------------------------------- 1 2系统分析 ------------------------------------------------------------------------------------------------ 2
2.1 XXXXXXX人民医院应用系统分析 ----------------------------------------------------------- 2
2.1.1XXXXXXX人民医院网络结构 ------------------------------------------------------------- 2
2.1.2 XXXXXXX人民医院应用系统说明 ------------------------------------------------------ 3
2.1.3 XXXXXXX人民医院目前部署设备说明 ------------------------------------------------ 3
2.1.4 网络拓扑图 ---------------------------------------------------------------------------------- 3
2.1.5网络安全现状 -------------------------------------------------------------------------------- 3
3 需求分析 ----------------------------------------------------------------------------------------------- 4
3.1功能需求 ---------------------------------------------------------------------------------------------- 4
3.2管理需求 ---------------------------------------------------------------------------------------------- 4
3.3服务需求 ---------------------------------------------------------------------------------------------- 5 4 XXXXXXX人民医院网络安全解决方案 -------------------------------------------------------- 5
4.1边界安全解决方案 ---------------------------------------------------------------------------------- 6
4.1.2 UTM统一一体化安全网关解决方案 --------------------------------------------------- 8
4.2内部网络安全解决方案 ---------------------------------------------------------------------------- 8
4.2.1数据库审计和运维安全运维审计解决方案 ------------------------------------------- 8
4.2.1.1数据库审计解决方案 -------------------------------------------------------------------- 8
4.2.1.2安全运维审计解决方案 ----------------------------------------------------------------- 9
4.2.2入侵检测解决方案 ------------------------------------------------------------------------- 15
4.2.4安全管理平台解决方案 ------------------------------------------------------------------- 16
5 安全建设最终目标 ---------------------------------------------------------------------------------- 18
5.1 网络改造后的拓扑图 ----------------------------------------------------------------------------- 18
5.2边界安全设备详细部署说明 -------------------------------------------------------------------- 19
5.3数据库审计与安全运维设备详细部署说明 ------------------------------------------------- 19
5.6安全管理平台详细部署说明 -------------------------------------------------------------------- 20 6投入说明 ------------------------------------------------------------------------------------------------ 1
1.概述
1.1前言
随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正逐步改变着人类的生活和工作方式。越来越多的企事业单位建立了依赖于网络的业务信息系统,对行业产生了巨大深远的影响,但安全威胁也正在飞速增长。
XXXXXXX人民医院规模较大、技术力量雄厚、医疗设备先进,医院的大部分业务是基于信息化实现,其网络的稳定运行与否,直接影响医院的运营。
为了给XXXXXXX人民医院提供更加稳定的网络环境,将根据目前的安全现状并结合当前的安全形势为XXXXXXX人民医院提供一个完整的安全改进方案。
1.2 项目概述
为了提高XXXXXXX人民医院网络的稳定性,针对现有的网络环境,通过加入相应的安全设备,建议在信息系统正常运转的前提下,力求达到提高整网的安全性能提高。
通过改造,实现对于网络攻击和病毒进行必要的防御,对应用服务的访问权限进行限制,对来自医保网络或者内部网络及互联网的攻击进行实时防护,有利于震慑不法分子的违法犯罪行为,保障XXXXXXX人民医院应用系统的正常运营。
1.3设计参考标准
公通字 [2007]43号关于印发《信息安全等级保护管理办法》的通知 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求
GB/T 20269-2006 信息安全技术 信息系统安全管理要求
GB/T 20270-2006 信息安全技术 网络基础安全技术要求
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求
GB/T 21028-2007 信息安全技术 服务器安全技术要求
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求
2系统分析
2.1 XXXXXXX人民医院应用系统分析
针对XXXXXXX人民医院的网络结构的分析,应当在现有网络基础上,根据国家有关信息网络安全系统建设法律法规和标准规范,以及系统对安全性设计的具体要求,并结合当前信息安全技术的发展水平,针对可能存在的安全漏洞和安全需求,在不同层次上提出安全级别要求,制定相应的安全策略,设计一套科学合理、多层次、分布式、并且融合技术和管理的安全体系,采用合理、先进的技术实施安全工程,加强安全管理,保证XXXXXXX人民医院信息系统的安全性。
根据对XXXXXXX人民医院信息系统的初步了解,对其应用系统现状简要说明如下:
XXXXXXX人民医院现有网络设计以保证业务正常运行为主,目前网络中部署有防火墙、桌面终端管控安全产品,现有内网用户采用网络准入措施保证内网用户接入控室,针对部分终端启用了桌面终端管控功能。
2.1.1XXXXXXX人民医院网络结构
从目前XXXXXXX人民医院全局网络结构上看,主要由用于日常医疗信息交换及办公的内部业务网以及对外的外部业务网两部分组成。
其中,医院内部业务网是医院业务开展的重要平台,承载着核心业务,同时具有相应链路与卫生局、社保和银行等其他机构交换数据;外部业务网主要对外提供信息发布门户,对内提供Internet网络接入等服务。
业务内网
XXXXXXX人民医院的业务内网由中心机房、各业务大楼(如:门诊楼、综合楼、住院一部、、住院二部、住院三部等)以及其他下属医院等几部分组成,其中中心机房是整个业务网络的核心,主要提供医疗数据交换、存储和医院业务系统的运维。各业务大楼主要提供医护人员的日常业务的开展。
整个XXXXXXX人民医院的业务网络由核心层、汇聚层和接入层的网络交换设备组成网络的骨干,然后通过各楼层交换机接入到各个业务大楼。
2.1.2 XXXXXXX人民医院应用系统说明
XXXXXXX人民医院应用系统主要包括以下几个方面:
XXXXXXX人民医院信息系统(Hospital Information System,HIS)建设初具规模,日趋完善。HIS系统是XXXXXXX人民医院医疗信息化的最核心资产。另外,内网还运行有RIS/PACS系统、LIS系统、门诊叫号系统、财务系统等科室业务应用系统。
2.1.3 XXXXXXX人民医院目前部署设备说明
主机:包括hpunix、Windows平台在内的多台服务器;
网络设备:以锐捷、华三为主要网络设备的网络体系架构。
网络中部署防火墙、桌面终端管控安全产品。
2.1.4 网络拓扑图
2.1.5网络安全现状
经过分析网络状态,我们认为现在XXXXXXX人民医院在网络安全方面存在一些问题:
1. 目前在内网与医保网,未能进行有效的应用层包过滤和状态检
测。
2. 对来自医保及互联网的网络攻击和病毒无有效的设备进行完整
的防御
3. 对内部用户的网络操作行为没有必要的审计措施。
4. 没有对网络异常流量进行实时检测并告警的方法。
3 需求分析
3.1功能需求
对应用访问进行严格限制,只允许访问对应应用服务的对应端口,
拒绝对应用服务器的其他端口的访问。
能对整网的流量进行防病毒和入侵防御。 从整网的角度上进行访问控制。 对业务环境下的网络操作行为特别是针对核心数据库的操作要能做
到细粒度的合规审计,便于在出现安全事件时有据可查。
对于来自内部的病毒入侵攻击要能进行检测,对整个网络的安全态
势要能进行及时的了解。
运维人员的对于网络设备、安全设备及对数据库等的操作行为要能
进行审计,对一些具有风险的、超过其权限的操作要能进行实时阻
断并告警。
需要具有对交换机、路由器、安全设备、服务器等设备进行统一管
理的安全管理运维平台,一旦产生安全事件,可以进行统一管理,
不需要管理员登录到各个设备上查到日志,定位故障。可以减少管
理员的运维时间,有利于故障的快速解决。
3.2管理需求
访问管理
在管理上需要实现,对访问应用服务器的权限进行有效的管理。
组织管理
良好的安全产品配置和过硬的安全技术,并不能很好的解决系统的安全问题,必须辅以完善的安全管理体制,才能促使其的作用得到完美体现。如果整个XXXXXXX人民医院系统的应用系统、网络系统管理员间的协调不利,那么有可能最终导致系统安全管理的混乱。需要制定一套完善的安全管理体系,同时需要相应的安全产品进行有效的配合,从管理和技术两个方面保证系统安全的有效实施。
3.3服务需求
由于黑客攻击和病毒泛滥对系统的安全随时提出了挑战,需要提供服务的公司具有专业的安全人才和专业的安全技术,能够对最新的系统安全漏洞、攻击技术以及用户行业现状有深入的理解,并能将相应的技术通过产品升级和应急服务等方式及时提供给用户,只有这样才能保证用户系统在安全性和可用性上具有持续的保障。
由于需要对安全事件进行及时响应,在产品和技术服务支持上只有能同时拥有自主产品和安全服务的综合性安全公司才能对用户系统安全有所保障。 4网络安全解决方案
根据国家等级保护的相关要求,在网络安全中必须要有入侵防范及安全审计设备,在边界完整性要求则要能够对非法接入进行控制,并能够进行实时阻断,需要部署终端桌面安全管理软件。
在主机安全中有对日志进行审计的需求,需要部署安全管理平台。
在数据安全方面针对重要的网络边界建议采用双机热备的方式部署安全设备。
结合XXXXXXX人民医院网络安全改造,建议此次部署以下安全解决方案:
4.1边界安全解决方案
4.1.1.2入侵防御解决方案
传统防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码;无法发现内部网络中的攻击行为。入侵防护系统IDS旁路部署在网络上,当它检测出黑客入侵攻击时,攻击可能已到达目标造成损失,无法有效阻断各种攻击;入侵防护系统IDS侧重网络监控,注重安全审计,适合对网络安全状态的了解。但是对检测到的入侵行为无法提供及时有效的反应,因此需要更加有效的入侵防护系统。
入侵防御系统往往以串联的方式部署在网络中,提供主动的、实时的防护,具备对2到7层网络的线速、深度检测能力,同时配合以精心研究、及时更新的攻击特征库,即可以有效检测并实时阻断隐藏在海量网络中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络架构防护、网络性能保护和核心应用防护。
在网络出口与XXXXXXX人民医院内部网络之间部署NIPS,其主要功能有:
IPS-坚固的防御体系
业界最完善的攻击特征库,包括50多类,超过2000项的入侵攻
击特征
漏洞机理分析技术,精确抵御黑客攻击、蠕虫、木马、后门
应用还原重组技术,抑制间谍软件、灰色软件、网络钓鱼的泛滥
网络异常分析技术,全面防止拒绝服务攻击
完善的防火墙特性
支持基于源IP、目的IP、源端口、目的端口、时间、服务、用
户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行
访问控制
支持流量管理、连接数控制、IP+MAC绑定、用户认证等
实用的流量监控系统NetFlow
历史带宽使用趋势分析、带宽应用分布、带宽使用实时统计、IP
流量排名等
精确的抗DoS攻击能力
采用特征控制和异常控制相结合的手段,有效保障抗拒绝服务攻击的准确性和全面性,阻断绝大多数的DoS攻击行为
完善的P2P、IM、流媒体、网络游戏和股票软件控制能力
P2P控制:对Emule、BitTorrent、Maze、Kazaa等进行阻断、限速
IM控制:基于黑白名单的IM登录控制、文件传输阻止、查毒;支持主流IM软件如QQ、MSN、雅虎通、Gtalk、Skype
流媒体控制:对流媒体应用进行阻断或限速,支持Kamun ppfilm 、PPLive、PPStream、QQ直播、TVAnts、沸点网络电视、猫扑播霸等
网络游戏控制:对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏大厅等的阻断
股票软件控制:对常用股票软件如同花顺、大参考、大智慧等的阻断
强大的日志报表功能
记录内容丰富:可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录
日志快速查询:可对IP地址、端口、时间、危急程度、日志内容关键字等进行查询
报表贴近需求:根据用户具体需求,定制报表内容、定制报名名称、定制企业LOGO,并可形成多种格式的报表文件。
方便的集中管理功能
通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。
4.1.2 UTM统一一体化安全网关解决方案
针对XXXXXXX人民医院总部内网与分支机构的安全防护建议采用UTM一体化安全网关的安全解决方案。UTM设备启用防病毒与IPS模块。
UTM产品集防火墙、VPN、入侵防御(IPS)、防病毒、上网行为管理、内网安全、反垃圾邮件、抗拒绝服务攻击(Anti-DoS)、内容过滤、NetFlow等多种安全技术于一身,高性能、绿色低炭,同时全面支持各种路由协议、QoS、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护,帮助用户抵御日益复杂的安全威胁。
4.2内部网络安全解决方案
4.2.1数据库审计和运维安全运维审计解决方案
4.2.1.1数据库审计解决方案
在数据库安全审计方面,我们建议采用网络安全审计产品即网络安全审计系统(业务网型),它是针对业务网络资源进行策略化审计与管理的新一代安全系统,它集内容审计、访问控制及身份认证于一体,通过对具体业务的命令级审计与认证、对越权用户与非法操作的告警与阻断,实现对主机、服务器、数据库等资源的重点保护,从而为XXXXXXX人民医院网络系统提供强大的集中审计管理平台。
功能
● 对网络操作进行实时监控、过程回放
网络审计系统对数据库、FTP、Telnet、应用(业务)系统等登录的操作进行详细的审计,包括登录者输入的各种命令、操作结果等。实时监控、过程回放,就像网络世界的摄像机,真实地展现用户的操作,系统管理员通过本系统看到的就是当时的实际操作界面和过程。利用这项功能,系统管理员可以直观、方便地了解系统被使用的情况,尤其是在出现安全问题后,可以迅速地查找出责任人。
● 进行命令级的审计和访问控制
网络审计系统可以对数据库操作、FTP、Telnet、应用(业务)系统等进行命令级的审计和访问控制。审计系统在各主机系统原有的用户权限基础上,进一步细分了主机、服务器、数据库系统的权限设置,使得每个用户仅能够从事与自己身份相符合的操作。即使是多个人使用同一个账号进行登录,审计系统也能区分出不同的用户,并且根据不同的身份采取不同的审计和访问控制措施。
● 强大的审计报表
网络审计系统提供了强大的审计报表功能,系统管理员可以根据自己关心的内容设置审计报表的输出。通过设置合理的审计报表,管理员可以迅速、直观地了解到系统的运行情况、使用情况;如果发现异常,可以利用审计系统的查询、分析、跟踪功能,定位出现问题的人员、时间、操作内容等。
在此网络中,网络综合审计是通过交换机镜像的方式获取数据源进行审计和备份。因此在具体实施上,该设备部署在核心或者重要服务器(如数据库)区交换机上,对网络内用户对网络设备的远程配置、数据库的远程操作、网络内文件共享等进行审计,可以有效的审计出本单位用户恶意或者误操作的内容,外部第三方人员在内网中进行的所有操作内容。数据是一些系统的核心资源,特别有些数据涉及到秘密级以上的话,就需要进行重点防护,以免造成泄露、更改后引起的巨大经济、社会影响。
此外,对于非法用户直接登录数据库更改数据的问题,通过防火墙可以禁止该种连接。那么排除该种情况后,只剩下能够通过防火墙的用户或者计算机绕开应用系统直接登录数据库操作数据的可能(这部分用户通过应用系统删除更改数据已经通过证书审计功能予以防范)。我们只需要在审计产品上设定相关的控制策略,也可以防止用户直接访问数据库操作数据的可能。
4.2.1.2安全运维审计解决方案
传统的安全技术手段是通过对攻击特征、攻击方法进行识别而起到预警或防御作用,但一个违规的行为有可能是正常的操作行为,其本身并不包含威胁特征,这样就导致了传统技术手段无法识别出这种内部违规行为。
由于XXXXXXX人民医院数据库系统用户众多,涉及数据库管理员、内部员工及合作方人员等,网络管理非常复杂。XXXXXXX人民医院内部都放置了大量的
数据库服务器,上面存放和运行着大量的重要核心数据,一旦发生数据泄漏和操作违规,后果不堪设想。
我们就针对有可能出现的违规行为来进行一下分析,看看威胁来自哪些方面:
数据库账户和权限的滥用
数据库帐户与权限的滥用主要表现在两个方面:
1、 缺少针对数据库管理员的监控机制。
数据库管理员拥有数据库系统管理、账号管理、权限分配等系统最高权限。如果数据库管理员利用工作之便,窃取敏感信息、篡改毁坏重要业务数据,对企业数据库安全的打击将是致命的;
2、 合法用户权限滥用。
数据库系统的操作管理采用分权管理形式,包括多个账号,如普通账号、用于数据库日常维护的临时账号。如果上述账号权限被内部人员或合作方人员用来窃取、恶意损毁数据库的重要业务数据,在短时间内管理者极难察觉发现数据已经被篡改或删除,事后也难以追查取证,造成难以弥补的损失。
维护人员安全隐患
XXXXXXX人民医院的网络在运行过程中,因为人力等诸多原因,会将非核心业务委托第三方人员管理,第三方人员具有最高的权限,可以对安全设备、网络设备、操作系统等进行配置、修改等操作,如果他们存在误操作或者是别有用心有意窃取公司机密,那将会对公司带来巨大的损失和破坏力,那么如何有效地监视设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。
运维安全审计系统业务---堡垒机就是解决上述问题的安全设备,它是针对企业内网的运维操作和业务访问行为进行细粒度控制和审计的合规性管理系统。它通过对运维人员和业务用户的身份进行认证,对各类运维操作和业务访问行为进行分析、记录、汇报,以帮助用户事前认证授权、事中实时监控、事后精确溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运行。
其主要的功能有:
网络运维审计
堡垒机系统支持常用的运维协议及文件传输协议,能够全程记录用户在 服务器上的各种操作,包括下列协议Telnet、Rlogin、FTP、SCP、SFTP、X11、NFS
OA审计
堡垒机系统支持HTTP、POP3、SMTP、Netbios的审计,能够记录网页URL、内容、发件人、收件人、邮件内容、网络邻居的各种操作等信息。
合规性规则和响应
堡垒机系统的审计和响应功能可以简单地描述为:“某个特定的服务(如FTP、Telnet、SQL等)可以(或不可以)被某个特定的用户(主机)怎样地访问”,这使得它提供的审计和响应具有很强的针对性和准确性。
强大的数据库规则
系统能够根据访问数据库的源程序名、登陆数据库的账号、数据库命令、数据库名、数据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件,对用户关心的违规行为进行响应,特别是针对重要表、重要字段的各种操作,能够通过简单的规则定义,实现精确审计,降低过多审计数据给管理员带来的信息爆炸。
定制审计事件规则
堡垒机系统提供了事件规则用户自定义模块,允许用户自行设定和调整各种安全审计事件的触发条件与响应策略。
例如,用户特别关注在telnet过程中出现rm、passwd、shutdown等命令的行为,那么用户就可以利用堡垒机系统定义相应的审计事件规则。这样,堡垒机系统就可以针对网络中发生的这些行为进行响应。
基于业务特征的规则库
系统可以将审计员制定的多个符合业务特征的规则进行汇总、编辑和命名,形成具备某种业务特征的规则写入用户自定义的规则库。这样,审计员在针对某个特定业务用户制定审计策略时,可以直观地使用自命名的规则进行设置,方便了各种策略的制定和查询。
特定账号行为跟踪
系统能够实现对“用户网络环境中出现的特定账号或特定账号执行某种操作后”的场景进行账号跟踪,提供对后继会话和事件的审计。这样,管理员能够对出现在网络中的特权账号,比如root、DBA等,进行重点的监控,特别是哪些本不应出现在网络上的特权账号突然出现的事件。
多编码环境支持
堡垒机系统适用于多种应用环境,特别是在异构环境中,比如IBM AS/400通常采用EBCDIC编码方式实现telnet协议的传输、某些数据库同时采用几种编码与客户端进行通讯,若系统不能识别多种编码,会导致审计数据出现乱码,对多编码的支持是衡量审计系统环境适应性的重要指标之一,目前堡垒机系统支持如下编码格式
多种响应方式
堡垒机系统提供了多种响应方式,包括:
在堡垒机中记录相应的操作过程;
在日常审计报告中标注;
向管理控制台发出告警信息;
实时阻断会话连接;
管理人员通过本系统手工RST阻断会话连接;
通过Syslog方式进行告警
通过SNMP Trap方式进行告警
通过邮件方式进行告警
实时跟踪和回放
管理员可以通过审计显示中心实时地跟踪一个或多个网络连接,通过系统提供的“时标”清晰地显示不同网络连接中每个操作的先后顺序及操作结果,当发现可疑的操作或访问时,可以实时阻断当前的访问。管理员也可以从审计数据中心中提取审计数据对通信过程进行回放,便于分析和查找系统安全问题,并以次为依据制定更符合业务特征和系统安全需求的安全规则和策略。
审计报告输出
堡垒机系统从安全管理的角度出发,设计一套完善的审计报告输出机制。
多种筛选条件
堡垒机系统提供了强大、灵活的筛选条件设置机制。
在设置筛选条件时,审计员可基于以下要素的组合进行设置:时间、客户端IP、客户端端口号、服务端IP、服务端端口、关键字、事件级别、引擎名、业务用户身份、资源账号等条件。
审计员可根据需要灵活地设置审计报表的各种要素,迅速生成自己希望看到的审计内容。同时系统提供了报表模板功能,审计员无需重复输入,只需要设置模板后,即可按模板进行报表生成。
命令及字段智能分析
系统能够根据审计协议的类型进行命令和字段的自动提取,用户可以选择提取后的命令或字段作为重点对象进行分析。针对数据库类协议,可分析并形成数据库名、表名、命令等列表;针对运维类协议,可分析并形成命令等列表;针对文件操作类协议,可分析并形成文件名、操作命令等列表;通过该功能,可以简化用户对审计数据的分析过程,大大提高分析的效率。
宏观事件到微观事件钻取
堡垒机系统提供了从宏观报表到微观事件的关联,审计员可以在统计报表、取证报表中查看宏观的审计数据统计信息,通过点击相应链接即可逐步下探到具体的审计事件。
自动任务支持
堡垒机系统提供报表任务功能,审计员可根据实际情况定制报表生成任务;系统支持HTML、EXCEL、CSV、PDF、Word等多种文档格式的报表输出,可以通过邮件方式自动发送给审计员。
数据和报表备份
堡垒机系统提供了审计数据和报表的手动和自动备份功能,可以将压缩后的数据自动传输到指定的FTP服务器,提供每天、每周、每月、时刻的定义方式。
自身管理
安全管理
堡垒机系统的管理控制中心提供了集中的管理控制界面,审计员通过管理
控制台就能管理和综合分析所有审计引擎的审计信息和状态信息,并形成审计报表。
堡垒机系统支持权限分级管理模式,可对不同的角色设定不同的管理权限。例如,超级管理员拥有所有的管理权限;而某些普通管理员则可能仅拥有查看审计报表的权限,某些管理员可以拥有设置审计策略或安全规则的权限。
系统提供专门的自身审计日志,记录所有人员对天玥系统的操作,方便审计员对日志进行分析和查看。
状态管理
堡垒机系统提供CPU、内存、磁盘状态、网口等运行信息,管理员可以很轻松的通过GUI界面实现对审计数据中心、审计引擎的工作状态进行查看。当出现错误信息时,比如Raid故障、磁盘空间不足、引擎连接问题,系统可自动邮件通知相关管理人员。
时间同步管理
堡垒机系统提供手工和NTP两种时间同步方式,通过对全系统自身的时 间同步,保证了审计数据时间戳的精确性,避免了审计事件时间误差给事后审计分析工作带来的影响,提升了工作效率。
系统安全性设计
在堡垒机系统的设计中采用了严密的系统安全性设计,主要体系在以下几个方面:
1. 操作系统安全性设计:堡垒机系统采用经裁减、加固的Linux
操作系统。在设计过程中,结合堡垒机系统的功能要求和我公司在操
作系统安全方面的技术和经验,对Linux进行了精心的裁减和加固,包
括补丁修补,取消危险的、无用的服务等。
2. 数据库安全性设计:堡垒机系统的数据库是根据堡垒机系统的
功能要求自行设计的,在设计时已经充分考虑了安全性方面的问题。
3. 模块间的通信:各功能模块之间的通信均采用专门设计的通信
协议,这些通信协议在设计时均采用了诸如CA认证、编码、签名、加
密等安全技术。对于远程维护,则采用了SSH加密传输协议。
在产品出厂测试阶段,还将进行诸如漏洞扫描之类的安全性测试,因此,
堡垒机系统具有很高的安全性。
4.2.2入侵检测解决方案
XXXXXXX人民医院目前缺乏主动的对网络的入侵威胁事件及内网的病毒进行主动扫描探测的产品,如果对内网的数据交换进行主动的威胁检测并进行智能分析则可以第一时间知道网络的安全事件及病毒情况,可以采取相应的措施进行防范则可以起到主动防御的效果。而部署威胁检测与智能分析系统则是主动防御最好的解决方案。
入侵检测产品在继承传统IDS威胁检测能力之外,根据众多安全专家的经验与知识,提炼一整套威胁事件智能分析的方法,实现了专家级的威胁智能分析与辅助处理,是具备人工智能能力的威胁检测类产品。
可视化成为入侵检测系统的一大亮点,其功能特点主要表现在智能分析与可视化:
事件智能分析
IDS产品从攻击者、被攻击者以及攻击过程三方面多个角度对微观事件进行分析,判断其对信息系统的可能威胁能力,最终将明确有较大威胁的重点事件呈现给运维人员。通过微观事件智能分析,可以大大降低运维过程中的事件分析、处理事件工作量,使安全监控工作变得简单快捷。
态势智能分析
IDS产品为信息系统管理者提供了宏观威胁态势智能分析模块,它根据历史事件的统计分析结果以及环比信息,结合内置的专家知识库,可以明确的给出威胁态势信息:信息系统是否面临威胁?哪里面临威胁?威胁是什么?该如何解决?历史事件处理效果等信息。根据这些信息,管理人员可以快速决策如何进一步进行安全策略加强或者安全建设。
网络威胁可视化
IDS产品能对网络中实时数据流量进行分析,准确发现各类入侵行为和网络异常现象。
重点事件可视化
IDS产品内置事件辅助预分析系统,对所有发现的安全事件进行预分析,找出需要关注处理的重点事件并突出显示。帮助XXXXXXX人民医院用户轻松面对海量报警事件。
事件处理可视化
IDS产品提供了详尽的向导式事件处理指导意见,按步骤指导使用者进行安全事件的处理操作,并通过处理过程管理系统,对安全事件进行批量自动处理。降低事件处理的技术门槛,并同时节约了事件处理工作量。
安全态势可视化
IDS产品可对指定时间段内的安全事件进行统计分析,并自动对需要关注的事件、IP进行总结概述,展现整体网络安全态势,同时,还能自动与历史数据进行对比分析,帮助XXXXXXX人民医院用户分析网络安全发展趋势,为XXXXXXX人民医院的安全建设决策提供支撑依据。
4.2.4安全管理平台解决方案
传统的安全管理方式是将分散在各地、不同种类的安全防护系统分别管理,这样导致安全信息分散互不相通,安全策略难以保持一致,这种传统的管理运行方式因此成为许许多多安全隐患形成的根源。
安全管理平台是针对传统管理方式的一种重大变革。它将不同位置、不同安全系统中分散且海量的单一安全事件进行汇总、过滤、收集和关联分析,得出全局角度的安全风险事件,并形成统一的安全决策对安全事件进行响应和处理。
针对XXXXXXX人民医院的内网,我们认为可以部署一个安全管理平台,将多种安全设备、网络设备、服务器多进行集中管理,对于发生的安全事件,通过相互的关联分析可以快速定位,及时的作出响应。
安全管理平台子系统的功能特点主要有:
关联分析
事件关联分析
可以在一定时间范围内根据事件的源地址、目的地址、源端口、目的端口及事件的类型等结合事件的等级、CIA属性等参数,对事件进行关联分析,这种关联分析的目的在于减少报警信息,对事件进行归并过滤。
漏洞关联分析
漏洞关联分析的目的在于要识别出假报警,同时为那些尚未确定是否为假肯定或假警报的事件分配一个置信等级。这种方法的主要优点在于,它能极大提高威胁运算的有效性并可提供适用于自动响应和/或告警的事件。 安全预警
安全预警是一种有效预防措施。结合安全漏洞的跟踪和研究,及时发布有关的安全漏洞信息和解决方案,督促和指导各级安全管理部门及时做好安全防范工作,防患于未然。同时通过安全威胁管理模块所掌握的全网安全动态,有针对性指导各级安全管理机构做好安全防范工作,特别是针对当前发生频率较高的攻击做好预警和防范工作。
漏洞评估管理
脆弱性管理中心通过人工审计和漏洞扫描工具两种方式,收集整个网络
的弱点情况并进行统一管理,使得管理人员可以清楚的掌握全网的安全健康状况。
强大的事件采集
网络与安全事件监控对象涵盖网络设备、主机系统和安全系统,安全产品包括防火墙系统、NIDS系统、漏洞扫描系统、防病毒系统、网络安全审计、身份认证系统等,网络产品包括路由器、交换机、Windows操作系统主机、Solaris操作系统主机、Oracle数据库、不同版本的WebLogic、流量管理系统。
5 安全建设最终目标
5.1 网络改造后的拓扑图
此次改造建议在原有的网络架构中增加一系列安全设备,将出口防火墙入侵防范、防病毒等模块启用、在服务器集群区前端部署一台防火墙、安全管理中心、数据库审计、网络管理系统、日志集中审计系统、堡垒机管理部署在这个相应区域中。
在边界安全方面考虑:
1.在XXXXXXX人民医院的网络出口启用IPS与防病毒模块,对于XXXXXXX人民医院之间的数据传输做第三到第七层的应用过滤,保护医保与XXXXXXX人民医院网络的安全。
2.在XXXXXXX人民医院内部服务器区域串行部署防火墙/UTM一体化安全网关或防火墙与入侵防护设备,防火墙对服务器区域与XXXXXXX人民医院的数据包进行网络第三到第四层的状态检测与包过滤。
在数据库与运维安全方面考虑:
1.在核心交换处旁路部署一台数据库审计设备,对于业务环境下的网络操作行为进行细粒度的合规审计,帮助用户加强内外网安全管理,保证核心资产的正常运营。
2.将运维人员集中在一起办公,便与统一管理,IP地址单独划为一个VLAN,在运维人员的交换机与核心交换机之间串行部署一台堡垒机,对于运维人员进行统一身份认证和权限划分,其对安全设备、网络设备、服务器的具体操作都需要先登录到堡垒机上进行认证,所有的操作都可以进行实时显示,并可以对具有危险的或者其权限之外的操作进行实时阻断,保证重要资产的安全。
安全管理平台方面的考虑:
为了对整个网络的安全设备、网络设备、服务器等安全事件进行统一的管理,对这些设备的运行状态及性能进行统一的监控,对网络的安全态势进行统一的风险分析,建议在运维安全管理区域内部署安全管理平台,这样可以大大减少管理人员的工作量,在出现安全事件时能够第一时间快速发现,迅速定位,及时处理。
5.2边界安全设备详细部署说明
UTM产品部署说明:
部署位置:XXXXXXX人民医院核心与分支机构之间(持续规划)
实现效果: 通过部署一体化安全网关,可实现防火墙、VPN、入侵防御(IPS)、
防病毒、上网行为管理、反垃圾邮件、抗拒绝服务攻击(Anti-DoS)、内容过滤、NetFlow等多种安全技术于一身,同时全面支持虚拟防火墙、IPv6、路由、QoS、高可用性(HA)、日志审计等功能,为网络边界提供了全面实时的安全防护,帮助用户抵御日益复杂的安全威胁。
防火墙产品部署说明:
部署位置: XXXXXXX人民医院核心交换与服务器边界处。
实现效果: 通过部署专业的采用多核架构的防火墙产品,可实现对数据信息
进行2-3层过滤,模块匹配引擎和行为分析引擎分别根据统一特征库和行为知识库进行匹配查找,对于合法报文直接交由报文发送模块进行报文转发,对于非法报文,送交相应的处理引擎进行处理。整个过程的日志信息和数据流量信息送集中管理与数据分析中心监控和备案,管理中心负责整体的配置和调整。有效满足内网接入区域安全防护的基本要求。
5.3数据库审计与安全运维设备详细部署说明
数据库安全审计设备部署说明:
部署位置:在内网核心交换处旁路部署1台网络安全审计设备。
实现效果: 通过部署网络安全审计设备,可实现针对业务环境下的网络操作
行为进行细粒度审计及合规性管理。通过对被授权人员和系统的网络操作行为进行解析、分析、记录、汇报,以帮助管理员事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。
堡垒主机设备部署说明:
部署位置:内网核心交换处部署1台堡垒机设备。
实现效果: 通过部署堡垒机产品,可实现对内网的运维操作和业务访问行为
进行细粒度控制和审计以及合规性管理检查。通过对运维人员和业务用户的身份进行认证,对各类运维操作和业务访问行为进行分析、记录、汇报,以帮助管理人员事前认证授权、事中实时监控、事后精确溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运行。
5.6安全管理平台详细部署说明
SOC安管平台系统部署说明:
部署位置:在安全运维管理区部署1套SOC安全管理平台系统软件。 实现效果: 通过部署SOC安全管理平台系统,可实现对网络中的所有的安
全设备、网络设备、服务器、数据库等进行统一的安全管理,对于这些设备发出的海量且分散的安全事件进行范式化、汇总、过滤、归并及关联分析,得出基于整个内网的安全事件,并形成统一的安全决策对安全事件进行响应和处理;可提高了管理效率,节省了管理成本,出现安全事件时,快速定位安全事件,及时进行故障的排除,实现对网络中的资产运行监控、事件分析与审计、
安全风险的评估、安全事件的预警与响应、整个安全态势的分析,并可以借助平台自带的标准化的流程管理来保证信息系统的安全持续运营。
6投入说明
本次项目投入的安全产品见下表: