人民醫(yī)院網(wǎng)絡(luò)安全建設(shè)方案

人民醫(yī)院網(wǎng)絡(luò)安全建設(shè)方案 3 4 5 62.1威脅分析 62.1.1外部威脅 6 72.2風(fēng)險分析 8 8 8 8 93.1醫(yī)院網(wǎng)絡(luò)安全建設(shè)拓?fù)鋱D 4.1綠盟下一代防火墻(訪問控制) 14.1.1部署方式 14.1.2系統(tǒng)特點 4.2綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng) 4.2.1綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)的特點 4.2.3功能與效益 4.3綠盟安全審計系統(tǒng) 4.4遠(yuǎn)程安全評估系統(tǒng)(安全基線管理系列) 4.4.1需求分析 26 36 4.5.1需求分析 374.5.2綠盟Web應(yīng)用防火墻的特點 43—2—附錄A綠盟科技公司簡介 A.2安全技術(shù)基礎(chǔ)研究 A.4專業(yè)安全服務(wù) 某市第一人民醫(yī)院是某市建院最早、具有百年發(fā)展歷史的市級現(xiàn)代化綜合性三級醫(yī)院，某市唯一一家“紅十字醫(yī)院”;1995年被國家衛(wèi)生部授予“愛嬰醫(yī)院”稱號；1999年被國家衛(wèi)生部授予“國際緊急救援網(wǎng)絡(luò)中心”醫(yī)院；2006年被授予“某市康復(fù)醫(yī)院”。某市第一人民醫(yī)院位于某市中州大道，六層門診、十三層病房大樓巍然屹立、雄偉壯觀，內(nèi)設(shè)中心供氧、中央空調(diào)、中心吸引；開放高、中、低檔病床610張，各病房均裝備有現(xiàn)代醫(yī)院所具備的先進(jìn)設(shè)備。醫(yī)院現(xiàn)有中、高級職稱專業(yè)技術(shù)426人，臨床、醫(yī)技科室43個，擁有價值上億元的大型先進(jìn)醫(yī)療設(shè)備。近年來，醫(yī)院秉承“內(nèi)抓管理、外樹形象，質(zhì)量強院、服務(wù)興院”的辦院宗旨，實施科技興院戰(zhàn)略，積極開展和引進(jìn)新業(yè)務(wù)新技術(shù)，加強醫(yī)德醫(yī)風(fēng)建設(shè)，全面提高醫(yī)療服務(wù)質(zhì)量。某市第一人民醫(yī)院治院嚴(yán)謹(jǐn)，理念超前，醫(yī)院經(jīng)營方式靈活，全體員工愛崗敬業(yè)、勤奮工作。面對競爭激烈的醫(yī)療市場，以實力求生存、憑技術(shù)謀發(fā)展、靠服務(wù)贏市場，各項工作進(jìn)展順對于醫(yī)院來講，由于患者眾多，業(yè)務(wù)繁忙，網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)連續(xù)性十分重要。為了保證醫(yī)院的業(yè)務(wù)持續(xù)性發(fā)展，就必須分析信息系統(tǒng)的信息安全需求。需求分析的主要目的是更加清晰、全面的了解網(wǎng)絡(luò)的基本安全現(xiàn)狀，了解如何解決系統(tǒng)的安全問題，為后期安全體系建設(shè)中的安全防護(hù)技術(shù)實施提供嚴(yán)謹(jǐn)?shù)陌踩碚撘罁?jù)，為決策者制定網(wǎng)絡(luò)安全策略、構(gòu)架安全體系以及確定有效的安全措施、選擇可靠的安全產(chǎn)品、建立全面的安全防護(hù)層次提供了一套完整、規(guī)范的指導(dǎo)模型。醫(yī)院網(wǎng)絡(luò)安全解決方案從兩個方面進(jìn)行闡述，一方面是重新對外網(wǎng)區(qū)域進(jìn)行網(wǎng)絡(luò)規(guī)劃，并加強網(wǎng)絡(luò)安全建設(shè)；另一個方面就是解決內(nèi)網(wǎng)和外網(wǎng)融合的問題，將內(nèi)外網(wǎng)融合同時構(gòu)建邊界防護(hù)方案。如何保證醫(yī)院的網(wǎng)絡(luò)正常運行和網(wǎng)絡(luò)安全已成為迫切需要關(guān)注的問題。隨著醫(yī)療行業(yè)信息化發(fā)展的要求，《全國衛(wèi)生信息化2003-2010年發(fā)展規(guī)劃綱要》中對信息安全提出了明確的要求：■加強與衛(wèi)生信息化相關(guān)的法律、法規(guī)、政策體系的建設(shè)；■提高信息安全意識，加強計算機(jī)和網(wǎng)絡(luò)安全培訓(xùn)，防范、打擊計算機(jī)與網(wǎng)絡(luò)犯罪；■在衛(wèi)生信息系統(tǒng)建設(shè)的同時，要進(jìn)行信息安全的總體設(shè)計和信息系統(tǒng)安全工程建設(shè)，在系統(tǒng)驗收時必須對信息系統(tǒng)安全進(jìn)行測評認(rèn)證；■對于已建的衛(wèi)生信息系統(tǒng)，要采取信息安全加固措施，進(jìn)行系統(tǒng)安全測評認(rèn)證；■衛(wèi)生信息系統(tǒng)建設(shè)中信息安全投資應(yīng)占系統(tǒng)投資的一定比例。展的需要，2006年發(fā)布的《衛(wèi)生系統(tǒng)內(nèi)部審計工作規(guī)定(衛(wèi)生部令51號)》中，明確了“為要求“設(shè)置內(nèi)部審計機(jī)構(gòu)，配備審計人員，開展審計工作”;內(nèi)部審計機(jī)構(gòu)在履行審計職責(zé)效檢測，應(yīng)按照《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院令第147號)、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)、《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)等文件要求，參考《計算機(jī)信息系統(tǒng)安全保22239-2008)等等級保護(hù)相關(guān)標(biāo)準(zhǔn)，開展等級保護(hù)整改、測評工作，為醫(yī)院內(nèi)部和社會公眾到深入，從滿足最迫切的安全需求慢慢上升到管理安全上來!以下此方案將針對這三點進(jìn)行根據(jù)實際調(diào)研與專家論證，本網(wǎng)絡(luò)需要具有如下的安全特性：●高可靠性：在受到攻擊的情況下，能夠保證各類業(yè)務(wù)系統(tǒng)正常運行，能夠保證數(shù)據(jù)的正●可擴(kuò)充性：依據(jù)現(xiàn)有網(wǎng)絡(luò)流量設(shè)計的網(wǎng)絡(luò)要留有一定擴(kuò)1.2方案設(shè)計原則《全國衛(wèi)生信息化2003-2010年發(fā)展規(guī)劃綱要》《衛(wèi)生系統(tǒng)內(nèi)部審計工作規(guī)定(衛(wèi)生部令51號)》《基于健康檔案的區(qū)域衛(wèi)生信息平臺建設(shè)指南(試行)》《中華人民共和國保守國家秘密法》(1988年9月5日中華人民共和國主席令第6號公布)《中華人民共和國保守國家秘密法實施辦法》(國家保密局文件國保發(fā)[1990]1號)《中華人民共和國國家安全法》(主席令68號，1993年2月22日第七屆全國人民代表大會常務(wù)委員會第三十次會議通過)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院令147號)《計算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要當(dāng)前醫(yī)院具有HIS、PACS、LIS、EMRWINDOS等系統(tǒng)平臺，這些平臺服務(wù)在醫(yī)院的各個業(yè)務(wù)流程上，從掛號，化驗，病歷管理等醫(yī)Oracle,SQLServer等多種數(shù)據(jù)根據(jù)信息系統(tǒng)安全建設(shè)的思路，我們以醫(yī)院的信息系相關(guān)的風(fēng)險，最后從這威脅與風(fēng)險中，我們推斷出真正的體化，實體化，最后轉(zhuǎn)變?yōu)橄嚓P(guān)的解決方案，即安全服務(wù)Internet網(wǎng)絡(luò)的惡意入侵者可能因為商業(yè)的目的或者是隨機(jī)的目的對網(wǎng)絡(luò)和WEB服務(wù)發(fā)起惡意掃描和滲透式入侵，通過滲透或繞過防火墻，進(jìn)入網(wǎng)絡(luò)和數(shù)據(jù)庫，獲取、篡改甚至破壞敏感的數(shù)據(jù)，乃至破壞醫(yī)院的正常業(yè)務(wù)，造成惡劣的社會影響和政治事件。數(shù)據(jù)竊取由于醫(yī)院網(wǎng)絡(luò)中存儲有大量重要而敏感的信息，一旦發(fā)生數(shù)據(jù)泄密，將造成嚴(yán)重的社會影響，同時由于每天大量的診療信息通過信息網(wǎng)絡(luò)流通，如果出現(xiàn)數(shù)據(jù)錯誤將會影響診療信息的準(zhǔn)確性與及時性。病毒或蠕蟲侵襲Internet網(wǎng)絡(luò)上大量肆虐的網(wǎng)絡(luò)蠕蟲病毒具備滲透防火墻的傳播能力，他們可以穿透防火墻進(jìn)入網(wǎng)絡(luò)；一旦遭受了病毒和蠕蟲的侵襲，不僅會造成網(wǎng)絡(luò)和系統(tǒng)處理性能的下降，同時也會對核心敏感的數(shù)據(jù)造成嚴(yán)重的威脅，甚至造成擁塞，導(dǎo)致系統(tǒng)的中斷和服務(wù)的宕機(jī)；而醫(yī)院由于與眾多的外聯(lián)單位互聯(lián)，病毒與蠕蟲的威脅也極其嚴(yán)峻。2.1.2內(nèi)部威脅非法數(shù)據(jù)訪問/修改等由于醫(yī)療信息所具有的商業(yè)性，公共性，政治性等原因，需要對各類對醫(yī)院網(wǎng)絡(luò)/服務(wù)器/數(shù)據(jù)庫進(jìn)行記錄與審核，否則，一旦出現(xiàn)數(shù)據(jù)泄密、非法訪問等違規(guī)行為，不僅無法第一時間知曉、記錄，而且后期也無法定位違規(guī)者、無法追溯事件源頭，這就造成了管理上的漏洞與缺陷。無意識的外部風(fēng)險引入此外，由于安全技能和安全意識存在差異，工作人員可能無意識的通過互聯(lián)網(wǎng)將Internet上危險的、惡意的木馬程序和惡意代碼下載到內(nèi)部網(wǎng)絡(luò)執(zhí)行，甚至將Internet上的蠕蟲、網(wǎng)絡(luò)病毒傳播進(jìn)入內(nèi)部網(wǎng)絡(luò)，這將對網(wǎng)絡(luò)的安全帶來嚴(yán)重威脅；惡意應(yīng)用消耗網(wǎng)絡(luò)帶寬當(dāng)前P2P等非關(guān)鍵應(yīng)用的流量幾乎占用了網(wǎng)絡(luò)60-70%的帶寬，使得關(guān)鍵性應(yīng)用得不到保障。同時P2P軟件也逐漸成為計算機(jī)病毒和木馬傳播的主要途徑。有必要對用戶或者某些特定應(yīng)用進(jìn)行流量的控制。內(nèi)部故意破壞醫(yī)院同時需要考慮內(nèi)部的不滿人員惡意破壞信息網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的可能；以及某些別有用心的人士從內(nèi)部發(fā)起的惡意攻擊。2.2風(fēng)險分析由于醫(yī)院連接到互聯(lián)網(wǎng)，且具有10多條外聯(lián)鏈路，外部攻擊者可以利用存在的漏洞進(jìn)行病人所使用的電腦以及大量業(yè)務(wù)系統(tǒng)所采用的信息載體，如何設(shè)備使用者能夠不將病毒帶入內(nèi)部網(wǎng)絡(luò)中，不全損失，防止針對Web服務(wù)的例如SQL注入，跨站腳本攻擊，網(wǎng)頁篡改等攻擊，求?！癖Ｕ厢t(yī)生等醫(yī)院內(nèi)部職員能夠通過VPN遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)服務(wù)，查詢其所需的內(nèi)網(wǎng)資源，同時保障這條VPN通道的穩(wěn)定可信。洛陽市第一人民醫(yī)院網(wǎng)絡(luò)安全拓?fù)涫疽鈭D市醫(yī)保鐵路醫(yī)保省農(nóng)合市農(nóng)合市平臺(市衛(wèi)生局)防火地中#終端接入?yún)^(qū)防火墻數(shù)據(jù)庫磁盤CDP存儲備數(shù)據(jù)庫1數(shù)據(jù)庫23審計存儲份一體機(jī)WCBP存儲備EWR院平臺2互聯(lián)網(wǎng)外網(wǎng)遠(yuǎn)程會診前置機(jī)下一代防火墻(NF)訪問控制、上網(wǎng)行為管理、出口網(wǎng)絡(luò)防護(hù)1臺網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)(IPS)入侵攻擊防護(hù)1臺安全審計系統(tǒng)(SAS)網(wǎng)絡(luò)行為、數(shù)據(jù)庫審計1臺遠(yuǎn)程安全評估系統(tǒng)(RSAS)漏洞掃描1臺Web應(yīng)用防火墻(WAF)網(wǎng)站防護(hù)、防篡改1臺安全審計堡壘機(jī)(SAS-H)運維安全審計1臺基礎(chǔ)安全建設(shè)專注于醫(yī)院的信息系統(tǒng)的建設(shè)，主要包含訪問控制，入侵防護(hù)，日志審計，漏洞管理等幾個方面，訪問控制能夠保證互聯(lián)網(wǎng)對內(nèi)網(wǎng)資源的合理有效利用，入侵防護(hù)則能全面防護(hù)互聯(lián)網(wǎng)對內(nèi)網(wǎng)發(fā)起的攻擊以及內(nèi)網(wǎng)對互聯(lián)網(wǎng)的攻擊；在日志審計方面，根據(jù)衛(wèi)生部對信息系統(tǒng)的要求，根據(jù)****省衛(wèi)生廳關(guān)于“統(tǒng)方”治理的要求，我們考慮在核心系統(tǒng)上進(jìn)行嚴(yán)格的日志審計工作；在漏洞管理上，由于大量的信息終端的存在，且當(dāng)前利用漏洞進(jìn)行攻擊的案例比比皆是，故在一起管理上，我們將這四點作為基礎(chǔ)信息安全建設(shè)來進(jìn)行處理，并在每個環(huán)節(jié)上進(jìn)行分章節(jié)詳細(xì)描述。4.1綠盟下一代防火墻(訪問控制)在醫(yī)院網(wǎng)絡(luò)出口部署一臺下一代防火墻，通過下一代防火墻可以對應(yīng)用層攻擊、病毒進(jìn)行全面阻斷，可實現(xiàn)基于源/目的IP地址、協(xié)議/端口、時間、用戶、VLAN、VPN、安全區(qū)的訪問控制，保證內(nèi)部網(wǎng)絡(luò)的安全。設(shè)備管理通過安全管理區(qū)的安全管理服務(wù)器上安裝安全中心對該設(shè)備進(jìn)行全面的管理。綠盟下一代防火墻采用了全新的設(shè)計理念，專注應(yīng)用安全的防護(hù)，具有如下功能：智能協(xié)議識別技術(shù)——NsfocusIntelligentProtocolRecognition(NIPR)和智能內(nèi)容識別技術(shù)——NsfocusIntelligentContentRecognition(NICR)是綠盟自主研發(fā)的網(wǎng)絡(luò)威脅識別技術(shù)，是綠盟科技在網(wǎng)絡(luò)攻防技術(shù)方面多年研究成果的結(jié)晶，也是綠盟安全下一代防火墻的核心技術(shù)。網(wǎng)絡(luò)應(yīng)用層防護(hù)的最大難度在于對復(fù)雜多變的應(yīng)用協(xié)議、黑客復(fù)雜的攻擊行為以及應(yīng)用內(nèi)容進(jìn)行解析識別，從而進(jìn)行針對性的防護(hù)。NIPR和NICR識別技術(shù)，它利用五個安全庫(應(yīng)用協(xié)議特征庫、協(xié)議行為特征庫、惡意URL庫、病毒庫、攻擊規(guī)則庫),通過動態(tài)分析網(wǎng)絡(luò)報文中包含的協(xié)議特征、行為特征以及非法內(nèi)容，識別出非法信息，然后遞交給相應(yīng)的處理引擎進(jìn)行防護(hù)。具備了NIPR和NICR的下一代防火墻，不再受動態(tài)端口或攻擊工具變化的影響。對于P2P等運行在任意端口的應(yīng)用層協(xié)議，或者綁定在任意端口的木馬、后門，還有黑客的靈活多變的攻擊方式，下一代防火墻都能在不需要管理員參與的情況下高速準(zhǔn)確的判斷出來，并根據(jù)網(wǎng)關(guān)策略予以阻斷或限制。高性能的防火墻下一代防火墻采用內(nèi)容狀態(tài)檢測的過濾技術(shù)，支持路由、透明、混合模式部署，可實現(xiàn)基于源/目的IP地址、協(xié)議/端口、時間、用戶、VLAN、VPN、安全區(qū)的訪問控制。下一代防火墻支持支持基于策略的雙向NAT、動態(tài)/靜態(tài)NAT、端口PAT,支持DNS、DHCP、VLAN、SNMP等協(xié)議。超強的網(wǎng)絡(luò)攻擊防護(hù)能力下一代防火墻集成了綠盟科技專業(yè)的IPS模塊，可實現(xiàn)基于IP地址/網(wǎng)段、規(guī)則(組、集)、時間、動作等對象的虛擬IPS。下一代防火墻采用虛擬補丁技術(shù)，可防護(hù)遠(yuǎn)程掃描、暴力破解、緩存區(qū)溢出、蠕蟲病毒、木馬后門、SQL注入、跨站腳本等各種攻擊。綠盟入侵防護(hù)系統(tǒng)NIPS(NetworkIntrusionPreventionSystem)提供一種主動的、實時的防護(hù)，其設(shè)計旨在對常規(guī)網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進(jìn)行檢測，阻止入侵活動，預(yù)先對攻擊性的流量進(jìn)行自動攔截，使它們無法造成損失，而不是簡單地在傳送惡意流量的同時或之后發(fā)出警報。NIPS是通過直接串聯(lián)到網(wǎng)絡(luò)鏈路中而實現(xiàn)這一功能的，即NIPS接收到外部數(shù)據(jù)流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)是綠盟科技自主知識產(chǎn)權(quán)的新一代安全產(chǎn)品，作為一種在線部署的產(chǎn)品，其設(shè)計目標(biāo)旨在準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，自動對各類攻擊性的流量，尤其是應(yīng)用層的威脅進(jìn)行實時阻斷，而不是在監(jiān)測到惡意流量的同時或之后才發(fā)出告警。這類產(chǎn)品彌補了防火墻、入侵檢測等產(chǎn)品的不足，提供動態(tài)的、深度的、主動的安全防御，為企業(yè)提供了一個全新的入侵保護(hù)解決方案。綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)采用先進(jìn)的體系架構(gòu)集成領(lǐng)先的入侵保護(hù)技術(shù)，包括以全面深入的協(xié)議分析技術(shù)為基礎(chǔ)，協(xié)議識別、協(xié)議異常檢測、關(guān)聯(lián)分析為核心的新一代入侵保護(hù)引●網(wǎng)絡(luò)防護(hù)：具有實時的、主動的網(wǎng)絡(luò)防護(hù)功能，內(nèi)置基于狀態(tài)檢測的防火墻，保護(hù)網(wǎng)絡(luò)邊界和內(nèi)部網(wǎng)絡(luò)，同時為網(wǎng)絡(luò)設(shè)備的漏洞提供防護(hù)，具有流量管理功能，對于可能出現(xiàn)的異常流量，提供抗拒絕服務(wù)攻擊功能?！駪?yīng)用防護(hù)：提供對應(yīng)用層的防護(hù)功能，針對操作系統(tǒng)，應(yīng)用軟件以及數(shù)據(jù)庫，提供深度的內(nèi)容檢測技術(shù)，過濾報文里的惡意流量和攻擊行為，保護(hù)存在的漏洞，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)。對內(nèi)部網(wǎng)絡(luò)資源提供內(nèi)容管理，可以有效檢測并阻斷間諜軟件，包括木馬后門、惡意程序和廣告軟件等，并可以對即時通訊、P2P下載、網(wǎng)絡(luò)游戲、在線視頻、網(wǎng)絡(luò)流媒體等內(nèi)容進(jìn)行監(jiān)控并阻斷。體系架構(gòu)特征檢測協(xié)議異常檢測拒絕服務(wù)檢測防火墻透明路由升級管理事件管理用戶管理規(guī)則管理日志恢復(fù)日志備份日志歸并日志分析協(xié)議回放流量監(jiān)控事件監(jiān)控狀態(tài)監(jiān)控系統(tǒng)監(jiān)控配置管理網(wǎng)絡(luò)引擎策略管理日志管理關(guān)聯(lián)分析綠盟科技網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)體系架構(gòu)綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)的體系架構(gòu)包括三個主要組件：控制臺、網(wǎng)絡(luò)探測器、升級站點，方便各種網(wǎng)絡(luò)環(huán)境的靈活部署和管理。關(guān)鍵特性●深度融合的集成平臺綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)作為自主知識產(chǎn)權(quán)的新一代安全產(chǎn)品，深度融合的防火墻/IPS/IDS集成平臺開創(chuàng)了世界先河，獨一無二的設(shè)計使綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)為用戶提供從鏈路層到應(yīng)用層的深度安全防護(hù)，圓滿解決了防火墻靜態(tài)防御和IPS動態(tài)防御的融合難題，為用戶提供全面的入侵保護(hù)解決方案。綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)集成強大的防火墻功能，采用基于狀態(tài)檢測的動態(tài)包過濾技術(shù)，實現(xiàn)靜態(tài)防御；綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)以全面深入的協(xié)議分析技術(shù)為基礎(chǔ)，協(xié)議識別、協(xié)議異常檢測、關(guān)聯(lián)分析為核心，實現(xiàn)動態(tài)防御。綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)專門設(shè)計了安全、可靠、高效的硬件運行平臺。硬件平臺采用嚴(yán)格的設(shè)計和工藝標(biāo)準(zhǔn)，保證了高可靠性；獨特的硬件體系結(jié)構(gòu)大大提升了處理能力、吞吐量；操作系統(tǒng)經(jīng)過優(yōu)化和安全性處理，保證系統(tǒng)的安全性和抗毀性。綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)提供基于對象的虛擬系統(tǒng)(VIPS),針對不同的網(wǎng)絡(luò)環(huán)境和安全需求，基于安全區(qū)、IP地址(組、段)、規(guī)則(組、集)、時間、動作等對象，制定不同的規(guī)則和響應(yīng)方式，就像一臺設(shè)備上虛擬出很多虛擬系統(tǒng)，每個虛擬系統(tǒng)分別執(zhí)行不同的規(guī)則集，實現(xiàn)面向不同對象、實現(xiàn)不同策略的智能化入侵防護(hù)。綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)提供“虛擬補丁”,主動防御已知和未知攻擊，實時阻斷各種黑客攻擊，如緩沖區(qū)溢出、SQL注入、暴力猜測、拒絕服務(wù)、掃描探測、非授權(quán)訪問、蠕蟲病毒、木馬后門、間諜軟件等，而且針對僵尸網(wǎng)絡(luò)提供主動防御，廣泛精細(xì)的應(yīng)用防護(hù)幫助用戶避免安全損失。效監(jiān)視、控制P2P下載、即時通訊、在線視頻、網(wǎng)絡(luò)流媒體、網(wǎng)絡(luò)游戲等濫用流量，提高企業(yè)工作效率。度(源/目的IP地址、網(wǎng)段)、時間維度(時間)、流量緯度(帶寬)等流量控制四元組，基管理(Mgt),能夠快速部署在各種網(wǎng)絡(luò)環(huán)(Fail-open)機(jī)制和雙機(jī)熱備(HA),避免單點故障。綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)提供豐富的響應(yīng)方式，包括主動響應(yīng)(丟棄數(shù)據(jù)包、丟棄連接會話)、被動響應(yīng)(與防火墻聯(lián)動、TCPKiller、發(fā)送郵件、控制臺顯示、日志數(shù)據(jù)庫記錄、打印機(jī)輸出、運行用戶自定義命令、寫入XML文件、snmptrap),用戶可自定義，滿足各種需要。從系統(tǒng)升級到報表系統(tǒng)，從攻擊告警到日志備份，綠盟網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)均可由系統(tǒng)定時自動后臺運行，達(dá)到“零管理”。還同時支持B/S和C/S管理方式。全中文界面、中文報表，符合中國人操作習(xí)慣，而中文規(guī)則庫對每個漏洞都有詳細(xì)描述，并提供了詳細(xì)的解決方案及補丁下載地址。根據(jù)安全風(fēng)險分析、安全目標(biāo)和設(shè)計原則，我們在充分利用現(xiàn)有資源、盡量在少投入、少改動的基礎(chǔ)上，建議使用以下集防護(hù)、檢測和響應(yīng)于一體的安全解決方案。具體部署方式如下：●在醫(yī)院內(nèi)網(wǎng)和農(nóng)保/醫(yī)保/銀行網(wǎng)絡(luò)的互聯(lián)出口下一代防火墻下，部署一臺千兆綠盟NIPS。確保醫(yī)院內(nèi)網(wǎng)和其他業(yè)務(wù)單位內(nèi)網(wǎng)的安全互聯(lián)和入侵保護(hù)；同時可做出口鏈路的備選設(shè)備。●每臺千兆綠盟NIPS設(shè)備均具備BYPASS功能，確保設(shè)備出現(xiàn)異常后，不影響正常盟NIPS同時支持C/S和B/S模式，所以可以靈活方便的管理部署在網(wǎng)絡(luò)中的綠盟由于安全領(lǐng)域的發(fā)展性，沒有靜止的安全，任何的變化都可能引起安全問題的出現(xiàn)，比如網(wǎng)絡(luò)結(jié)構(gòu)的調(diào)整，新的應(yīng)用的啟用，新的安全漏洞和新的攻擊手法的出現(xiàn)等等，所以任何時候，安全都是動態(tài)的。在這種情況下，有效的使用和維護(hù)安全產(chǎn)品和安全策略，才能使安全產(chǎn)品發(fā)揮其最大的效應(yīng)，所以，我們建議如下：網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)控制臺每周定時檢查廠商規(guī)則升級模塊部署網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)會給醫(yī)院網(wǎng)絡(luò)帶來以下安全功能的提高：●實時發(fā)現(xiàn)和阻斷來自Internet的蠕蟲、病毒、間諜軟件和黑客等攻擊和入侵，防止黑客帶來的安全損失，加強了對內(nèi)部服務(wù)器的保護(hù)；●實時發(fā)現(xiàn)和阻斷內(nèi)部蠕蟲、網(wǎng)絡(luò)病毒的大規(guī)模爆發(fā)；●對黑客的攻擊行為進(jìn)行監(jiān)控，保留異常行為日志，為事后采取補救措施作準(zhǔn)備；4.3綠盟安全審計系統(tǒng)由于醫(yī)院網(wǎng)絡(luò)分內(nèi)網(wǎng)與外網(wǎng)，網(wǎng)絡(luò)的使用者既有來自互聯(lián)網(wǎng)的用戶，也有來自單位內(nèi)部的工作人員，因此其網(wǎng)絡(luò)面臨來自安全威脅與風(fēng)險如下：工作人員在論壇內(nèi)網(wǎng)論壇發(fā)表敏感信息、傳播非法言論，造成惡劣社會影響；>單位重要業(yè)務(wù)數(shù)據(jù)庫，被工作人員或系統(tǒng)維護(hù)人員篡改牟利、外泄，給單位造成巨大的經(jīng)濟(jì)損失；針對不良網(wǎng)站進(jìn)行告警、過濾；同時全面審計網(wǎng)站訪對業(yè)務(wù)運維操作進(jìn)行細(xì)粒度的監(jiān)控可對郵件、論壇等外發(fā)信息行為進(jìn)行監(jiān)控管理，言論傳播；因此在醫(yī)院網(wǎng)絡(luò)中部署安全審計系統(tǒng)，可有效監(jiān)控業(yè)務(wù)系統(tǒng)訪問行為和敏感信安全審計系統(tǒng)具有對網(wǎng)絡(luò)通信內(nèi)容、網(wǎng)絡(luò)行為的實時監(jiān)測、報警、記錄等功能。是否能夠很好地幫助網(wǎng)絡(luò)管理員完成對網(wǎng)絡(luò)狀態(tài)的把握和安全的評價是安全審計系統(tǒng)的基本標(biāo)準(zhǔn)。一個完善的安全審計系統(tǒng)(SAS)應(yīng)該從四個方面評價：細(xì)粒度的操作內(nèi)容審計與精準(zhǔn)的網(wǎng)絡(luò)行為實時監(jiān)控；全面詳細(xì)的審計信息，豐富可定制的報表系統(tǒng)；支持分級部署、集中管理，滿足不同規(guī)模網(wǎng)絡(luò)的使用和管理需求；自身的安全性高，不易遭受攻擊；地址(組、段)、規(guī)則(組)、時間、動作等POP3)、文件上傳下載(HTTP、FTP)、網(wǎng)絡(luò)文件共享(NETBIOS)、論壇(BBS)、◆綠盟安全審計系統(tǒng)采用業(yè)界領(lǐng)先的協(xié)議識別和智能關(guān)聯(lián)技術(shù)，提供全面深入的協(xié)議分析、解碼回放，能夠分析近100種應(yīng)用層協(xié)議，包括HTTP◆綠盟安全審計系統(tǒng)通過基于業(yè)務(wù)運維行為、上網(wǎng)行為和網(wǎng)絡(luò)應(yīng)用行為的審計，達(dá)到對業(yè)務(wù)運維操作(TELNET、FTP、數(shù)據(jù)庫訪問等)、上網(wǎng)行為、網(wǎng)絡(luò)應(yīng)用行為(即時通訊、在線視頻、P2P下載等)的全過程監(jiān)控，實現(xiàn)網(wǎng)絡(luò)行為的全面多維度審計?！艟G盟安全審計系統(tǒng)具有基于協(xié)議識別的流量分析功能，如：可識別使用80端口的P2P協(xié)議，避免基于80端口的HTTP協(xié)議流量統(tǒng)計錯誤，更精確可靠；并支持對即時通訊、P2P、在線視頻等動態(tài)協(xié)議的流量分析；提供詳細(xì)的流量報表；可以通過編輯自定義統(tǒng)計指定協(xié)議流量的IPTOPN?！艟G盟安全審計系統(tǒng)具有業(yè)界領(lǐng)先的超過1000萬條的龐大中英文URL數(shù)據(jù)庫，多種分安全審計系統(tǒng)報表系統(tǒng)提供了詳細(xì)的綜合分析JPG等格式導(dǎo)出。并定時通過電子郵件自動發(fā)送報表至系統(tǒng)管理員；同時綠盟安全審IP可達(dá)地點遠(yuǎn)程管理。Web界面支持MSIE、Netscape、Firefox、O強加密的SSL加密傳輸告警日志與控制命令，完全避測驗證，及時更新URL分類數(shù)據(jù)庫和網(wǎng)絡(luò)應(yīng)用協(xié)議數(shù)據(jù)庫，提供全天候的審計技術(shù)支持。綠盟科技2001年8月成為國家第一批網(wǎng)絡(luò)安全服務(wù)試點單位，2002年獲得第一批國家正式針對網(wǎng)絡(luò)中內(nèi)部人員的敏感信息泄露、違規(guī)網(wǎng)絡(luò)行為等層出不窮的安全事件，綠盟科技綠盟安全審計系統(tǒng)(ICEYESAS)是綠盟科技自主知識產(chǎn)權(quán)的安全產(chǎn)品，通過網(wǎng)絡(luò)數(shù)據(jù)綠盟安全審計系統(tǒng)具有三大功能：流量審計流量審計行為審計冰之眼內(nèi)容審計內(nèi)容審計，業(yè)內(nèi)獨一無二的主動審計功能綠盟安全審計系統(tǒng)系統(tǒng)提供深入的內(nèi)容審計功能，具有網(wǎng)絡(luò)信息內(nèi)容監(jiān)控取證功能，可對網(wǎng)站訪問、郵件收發(fā)、遠(yuǎn)程終端訪問、數(shù)據(jù)庫訪問、數(shù)據(jù)傳輸、文件共享等提供完整的內(nèi)容檢測、信息還原功能；并可自定義關(guān)鍵字庫，進(jìn)行細(xì)粒度的審計追蹤。業(yè)內(nèi)獨一無二的主動審記功能，可根據(jù)顧客實時的需求針對Internet內(nèi)的各類網(wǎng)站，各類論壇進(jìn)行關(guān)鍵字搜索，并可根據(jù)顧客設(shè)置進(jìn)行過濾，或告警，或屏閉其中的不良信息，使信息工作能做到預(yù)防之前，達(dá)到防范于未然。綠盟安全審計系統(tǒng)具有超過1000萬條的龐大中英文URL數(shù)據(jù)庫，全面審計網(wǎng)站訪問行為，實時告警、記錄和網(wǎng)頁還原，實現(xiàn)全面、準(zhǔn)確、高效的網(wǎng)站訪問監(jiān)測。行為審計綠盟安全審計系統(tǒng)系統(tǒng)提供全面的網(wǎng)絡(luò)行為審計功能，根據(jù)設(shè)定行為審計策略，對網(wǎng)站訪問、郵件收發(fā)、數(shù)據(jù)庫訪問、遠(yuǎn)程終端訪問、數(shù)據(jù)傳輸、文件共享、網(wǎng)絡(luò)資源濫用(即時通訊、論壇、在線視頻、P2P下載、網(wǎng)絡(luò)游戲等)等網(wǎng)絡(luò)應(yīng)用行為進(jìn)行監(jiān)測，對符合行為策略的事件實時告警并記錄。流量審計綠盟安全審計系統(tǒng)系統(tǒng)提供基于協(xié)議識別的流量分析功能，實時統(tǒng)計出當(dāng)前網(wǎng)絡(luò)中的各種報文流量，進(jìn)行綜合流量分析，為流量管理策略的制定提供可靠支持。綠盟安全審計系統(tǒng)的體系架構(gòu)主要由安全中心WEB控制臺、網(wǎng)絡(luò)引擎及升級站點三個部分組成，方便各種網(wǎng)絡(luò)環(huán)境的靈活部署和管理。如下圖所示：系統(tǒng)監(jiān)控日志管理安全審計事件分析特征檢測網(wǎng)絡(luò)自學(xué)習(xí)關(guān)聯(lián)分析IP碎片重組TCP狀態(tài)跟蹤TCP流匯聚日志恢復(fù)日志備份日志歸并日志分析協(xié)議回放流量監(jiān)控事件監(jiān)控狀態(tài)監(jiān)控日志管理系統(tǒng)監(jiān)控配置管理升級管理事件管理用戶管理策略管理網(wǎng)絡(luò)引擎策略管理◆安全中心具有系統(tǒng)監(jiān)控和日志管理功能，可以集中管理多臺網(wǎng)絡(luò)引擎；并可以實現(xiàn)安全中心的主輔管理；支持任意層次的級聯(lián)部署，實現(xiàn)多級管理，滿足不同管理模式的需要；同時可以統(tǒng)一管理綠盟安全審計系統(tǒng)、內(nèi)容安全管理系統(tǒng)、入侵檢測系統(tǒng)、入侵防護(hù)系統(tǒng)，提供針對網(wǎng)絡(luò)正常行為和異常行為的全面行為檢測手段，實現(xiàn)安全數(shù)據(jù)的整體挖掘、關(guān)聯(lián)分析管理；◆WEB控制臺具有系統(tǒng)配置管理、系統(tǒng)監(jiān)控和日志管理功能，適合在任何IP可達(dá)地點遠(yuǎn)程管理?！艟W(wǎng)絡(luò)引擎采用協(xié)議識別、特征檢測和智能關(guān)聯(lián)分析技術(shù)，全面監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)包，及時發(fā)現(xiàn)違反安全策略的事件并實時告警記錄；◆升級站點提供產(chǎn)品補丁、URL分類數(shù)據(jù)庫、網(wǎng)絡(luò)應(yīng)用協(xié)議數(shù)據(jù)庫等及時升級更新支綠盟安全審計系統(tǒng)提供業(yè)界領(lǐng)先的基于對象的策略管理系統(tǒng)，完全統(tǒng)一的規(guī)則配置方式強大而靈活，實現(xiàn)基于對象的虛擬審計系統(tǒng)(VAS)。綠盟安全審計系統(tǒng)針對單位不同的網(wǎng)絡(luò)環(huán)境和安全需求，基于安全區(qū)、IP地址(組、段)、規(guī)則(組)、時間、動作等對象，制定不同的策略和響應(yīng)方式，就像一臺設(shè)備上虛擬出很多虛擬審計系統(tǒng)，每個虛擬審計系統(tǒng)分別執(zhí)行不同的策略，實現(xiàn)面向不同業(yè)務(wù)應(yīng)用、不同部門職能、不同策略的智能化安全審計。根據(jù)顧客實時的需求針對Intemet內(nèi)的各類網(wǎng)站，各類論壇進(jìn)行關(guān)鍵字搜索，并可根據(jù)顧客設(shè)置進(jìn)行過濾，或告警，或屏閉其中的不良信息，使信息工作能做到預(yù)防之前，達(dá)到防范于未然。綠盟安全審計系統(tǒng)具有超過1000萬條的龐大中英文URL數(shù)據(jù)庫，全面審計網(wǎng)站訪問行為，實時告警、記錄和網(wǎng)頁還原，實現(xiàn)全面、準(zhǔn)確、高效的網(wǎng)站訪問監(jiān)測綠盟安全審計系統(tǒng)提供全面細(xì)粒度的敏感信息審計解決方案。系統(tǒng)支持基于內(nèi)容、行為、時間、用戶等多種條件組合的信息審計策略，對郵件收發(fā)(WEBMAIL、SMTP、POP3)、文件上傳下載(HTTP、FTP)、網(wǎng)絡(luò)文件共享(NETBIOS)、論壇(BBS)、即時通訊等進(jìn)行全面信息審計，提供實時告警、信息還原功能，同時支持自定義內(nèi)容關(guān)鍵字庫，實現(xiàn)敏感信息的深度檢測識別，對機(jī)密信息外泄、非法言論傳播等行為的及時響應(yīng)處理、事后追查取證提供有力支持。綠盟安全審計系統(tǒng)采用先進(jìn)的數(shù)據(jù)處理架構(gòu)，對64bytes數(shù)據(jù)包的處理能力達(dá)到千兆線速的處理能力；同時采用先進(jìn)的IP碎片重組與智能TCP流匯聚技術(shù)，達(dá)到接近100%的檢測準(zhǔn)確率和幾乎為零的漏報率，實現(xiàn)網(wǎng)絡(luò)事件的“零遺漏”審計。綠盟安全審計系統(tǒng)采用業(yè)界領(lǐng)先的協(xié)議識別和智能關(guān)聯(lián)技術(shù)，提供全面深入的協(xié)議分析、解碼回放，能夠分析近100種應(yīng)用層協(xié)議，包括HTTP、TELNET、FTP、SMTP、WEBMAIL、NETBIOS、P2P、IM等，極大地提高內(nèi)容分析的準(zhǔn)確性，幫助管理員全面掌握網(wǎng)絡(luò)安全狀態(tài)?！舳嗑S度網(wǎng)絡(luò)行為審計綠盟安全審計系統(tǒng)通過基于業(yè)務(wù)運維行為、上網(wǎng)行為和網(wǎng)絡(luò)應(yīng)用行為的審計，達(dá)到對業(yè)務(wù)運維操作(TELNET、FTP、數(shù)據(jù)庫訪問等)、上網(wǎng)行為、網(wǎng)絡(luò)應(yīng)用行為(即時通訊、在線視頻、P2P下載等)的全過程監(jiān)控，實現(xiàn)網(wǎng)絡(luò)行為的全面多維度審計?！艋趨f(xié)議的流量分析綠盟安全審計系統(tǒng)具有基于協(xié)議識別的流量分析功能，如：可識別使用80端口的P2P協(xié)議，避免基于80端口的HTTP協(xié)議流量統(tǒng)計錯誤，更精確可靠；并支持對即時通訊、P2P、在線視頻等動態(tài)協(xié)議的流量分析；提供詳細(xì)的流量報表；可以通過編輯自定義統(tǒng)計指◆審計信息“零管理”安全審計系統(tǒng)報表系統(tǒng)提供了詳細(xì)的綜合分析報表、自定義三種類型10多個類別的報表模作強度。部署說明警響應(yīng)，全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會話和事件，實現(xiàn)對網(wǎng)絡(luò)信息的智能關(guān)聯(lián)分析、評估及安全事件的準(zhǔn)確全程跟蹤定位，為整體網(wǎng)絡(luò)安全策略的制定提供權(quán)威可靠的支持。具體部署方式說明如下：◆在核心交換機(jī)上部署1臺綠盟安全審計系統(tǒng)，網(wǎng)絡(luò)探測器的監(jiān)控端口連接兩臺交換機(jī)的鏡像端口，管理口接入到核心交換機(jī)上?！艟W(wǎng)絡(luò)探測器在旁路上實時分析鏡像過來的數(shù)據(jù)包，根據(jù)醫(yī)院網(wǎng)絡(luò)的自身特點設(shè)置合理有效的安全審計策略，全面監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)包，及時發(fā)現(xiàn)違反安全策略的事件并實時告警記錄。4.4遠(yuǎn)程安全評估系統(tǒng)(安全基線管理系列)■2009年6月9日，微軟發(fā)布補丁修復(fù)31個位于Windows、Office和數(shù)據(jù)中心軟件中的漏洞，這是微軟公司當(dāng)時單日發(fā)布補丁最多的一次?！?010年2月9日微軟針對26個安全漏洞發(fā)布13個安全補丁，4年來微軟公司在2月份發(fā)布安全補丁數(shù)量最多的一次。日凌晨，微軟8月安全更新一舉發(fā)布14個安全公告，用來修復(fù)Windows、IE瀏覽器以及Office等軟件中的34個安全漏洞，使微軟的月度補丁數(shù)量創(chuàng)下了歷史最高值。微軟產(chǎn)品漏洞不斷發(fā)現(xiàn)，安全補丁數(shù)量不斷創(chuàng)下歷史新高，從一個側(cè)面看漏洞問題愈演愈烈。從目前看，漏洞發(fā)現(xiàn)技術(shù)越來越自動和智能化，導(dǎo)致被發(fā)現(xiàn)的漏洞數(shù)量劇增；越來越多的漏洞研究組織使漏洞被利用的時間不斷縮短；更多的安全漏洞集中在IE和MSOffice等應(yīng)用軟件上；Web應(yīng)用安全漏洞的危害日益嚴(yán)重；利用漏洞的手法更為隱蔽，更具有“社會工程學(xué)”的特性；漏洞的發(fā)現(xiàn)、利用不僅僅局限于常見的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)，而且更多的第三方軟件的漏洞也是發(fā)現(xiàn)和利用的目標(biāo)?！癫槐匾M(jìn)程、端口的風(fēng)險：第三方軟件漏洞在漏洞利用中占有的比重越來越大，它已經(jīng)成為了網(wǎng)絡(luò)安全必須要面對的嚴(yán)重威脅。與微軟每月發(fā)布更新的操作系統(tǒng)相比，人們更容易忽略電腦中數(shù)量龐大，種類繁多的第三方軟件的問題。當(dāng)黑客們繞過微軟的補丁給系統(tǒng)筑就的“馬其諾防線”,直接利用第三方應(yīng)用軟件的漏洞進(jìn)行入侵的時候，用戶往往猝不及防，關(guān)閉不必要的進(jìn)程會極大的降低安全風(fēng)險。作為計算機(jī)系統(tǒng)和外界的接口，開放的端口代表了某種服務(wù)，和支撐該服務(wù)的應(yīng)用軟件。一般來講，開放的端口越多，系統(tǒng)面臨的風(fēng)險就越多。另外，一些病毒、蠕蟲等惡意軟件也會在后臺偷偷開放端口，這時系統(tǒng)已經(jīng)成為不設(shè)防的狀態(tài)?！裣到y(tǒng)配置錯誤，合規(guī)檢查困難：安全配置漏洞并不是由協(xié)議或軟件本身的問題造成的，而是由服務(wù)和軟件的不正確部署和配置造成的。通常這些軟件安裝時都會有一個默認(rèn)配置，如果管理員不更改這些配置，服務(wù)器仍然能夠提供正常的服務(wù)，但是入侵者就能夠利用這些配置對服務(wù)器造成威脅。例如，SQLServer的默認(rèn)安裝就具有用戶名為sa、密碼為空的管理員賬號，這確實是一件十分危險的事情。另外，對FTP服務(wù)器的匿名賬號也同樣應(yīng)該注意權(quán)限的管理。大多數(shù)系統(tǒng)管理員都認(rèn)識到正確進(jìn)行安全配置的重要性，一些組織與行業(yè)也制定了統(tǒng)一的安全配置標(biāo)準(zhǔn)。但是當(dāng)前的現(xiàn)狀是業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜，重要應(yīng)用和服務(wù)器的數(shù)量及種類日益增多，一旦發(fā)生人員的誤操作，或者忽略某個系統(tǒng)的某個配置細(xì)節(jié)，就可能會極大的影響系統(tǒng)的正常運轉(zhuǎn)。雖然這些情況的出現(xiàn)看似偶爾，但隨著時間的推移，系統(tǒng)規(guī)模的增加，難免會成為必然。通過采用統(tǒng)一的安全配置標(biāo)準(zhǔn)來規(guī)范技術(shù)人員在各類系統(tǒng)上的日常操作，讓運維人員有了檢查默認(rèn)風(fēng)險的標(biāo)桿，但是面對網(wǎng)絡(luò)中種類繁雜、數(shù)量眾多的設(shè)備和軟件，真正完成合規(guī)性的系統(tǒng)配置檢查和修復(fù)，卻成為一個費時費力的事情：安全配置檢查及問題修復(fù)都需人工進(jìn)行，對檢查人員的技能和經(jīng)驗要求較高；做一次普及性的細(xì)致檢查耗費時間較長，而如果改成抽查則檢查的全面性就很差；自查和檢查都需要登錄系統(tǒng)進(jìn)行，對象越多工作越繁瑣，工作效率也不高；每項檢查都要人工記錄，稍有疏漏就需要重新補測；●理論支撐的需求●核心功能的需求●控制成本的需求現(xiàn)掃描核心模塊輔助模塊擴(kuò)展模塊系統(tǒng)升級模塊整體架構(gòu)圖專用平臺是經(jīng)過優(yōu)化的專用安全系統(tǒng)平臺，具有很高的安全性和穩(wěn)定性。掃描核心模塊是系統(tǒng)最重要的模塊之一，它負(fù)責(zé)完成目標(biāo)的探測評估工作，包括判定主機(jī)存活狀態(tài)、操作系統(tǒng)識別、規(guī)則解析匹配等。漏洞知識庫包含漏洞相關(guān)信息，是系統(tǒng)運行的基礎(chǔ)，掃描調(diào)度模塊和WEB管理模塊都依賴它進(jìn)行工作。掃描結(jié)果庫包含了掃描任務(wù)的結(jié)果信息，是掃描結(jié)果報告生成的基礎(chǔ)，也是查詢和分析結(jié)果的數(shù)據(jù)來源。數(shù)據(jù)分析模塊是綜合分析、趨勢分析和報表合并的統(tǒng)計信息的數(shù)據(jù)來源，是任務(wù)合并、分布式數(shù)據(jù)匯總之后的結(jié)果。◆風(fēng)險管理模塊管理員通過此模塊可以對網(wǎng)絡(luò)風(fēng)險進(jìn)行全方位管理、定位和分析，并進(jìn)行漏洞審計，自動驗證漏洞是否修復(fù)。另外，通過資產(chǎn)管理，能夠方便用戶掌握風(fēng)險分布情況、定位風(fēng)險和高效實施風(fēng)險降低或規(guī)避措施?！鬢EB界面模塊WEB界面模塊負(fù)責(zé)和用戶進(jìn)行交互，配合用戶的請求完成管理工作。WEB管理模塊包含多個子模塊共同完成用戶的請求，其主要子模塊有：■任務(wù)管理子模塊——完成用戶評估任務(wù)的管理工作?！鰣蟊碜幽K——讀取掃描結(jié)果庫，并根據(jù)漏洞描述信息和解決方案生成掃描報表?！霾呗詤?shù)模塊——完成評估任務(wù)需要掃描的具體漏洞模板的添加、具體漏洞的選取、模板修改和刪除；口令字典管理；報表輸出模板管理；智能端口挖掘?！雎┒垂芾砟K——漏洞管理模塊主要實現(xiàn)了OpenVM漏洞管理工作流程支持，提供與其他安全產(chǎn)品、網(wǎng)絡(luò)管理平臺和安全管理平臺的接口?！鲇脩艄芾碜幽K■審計管理子模塊■系統(tǒng)配置子模塊◆系統(tǒng)升級模塊極光有網(wǎng)絡(luò)自動升級和用戶手動升級的策略，系統(tǒng)的各個模塊都可以通過升級模塊進(jìn)行◆輔助模塊■分布式模塊極光支持分布式部署功能。在下級設(shè)備完成掃描得到結(jié)果數(shù)據(jù)后，會向上級管理系統(tǒng)上傳數(shù)據(jù)，數(shù)據(jù)傳輸過程中使用SSL加密傳輸通道，保證了數(shù)據(jù)的保密性。匯總的數(shù)據(jù)可以進(jìn)行集中統(tǒng)一的分析?！鯳SUS服務(wù)器聯(lián)動功能極光支持與WSUS服務(wù)器的聯(lián)動功能，管理員可以通過部署WSUS服務(wù)器，在評估任務(wù)完成后，自動修復(fù)發(fā)現(xiàn)的風(fēng)險漏洞?！鯳EB掃描模塊極光推出了WEB應(yīng)用安全漏洞檢測模塊，通過對被檢測站點進(jìn)行深度內(nèi)容分析，找出可被瀏覽的ASP、JSP、PHP、CGI等頁面，同時可以分析被檢測站點頁面源代碼，以檢測網(wǎng)站是否存在跨站腳本和SQL注入等漏洞。■二次開發(fā)接口模塊通過此接口極光可以與其他安全產(chǎn)品和管理平臺進(jìn)行聯(lián)動，以便于統(tǒng)一的平臺管理?；诙嗄臧踩?wù)的執(zhí)著實踐，結(jié)合用戶對脆弱性檢查的實際應(yīng)用需要，綠盟科技經(jīng)過研究論證，提出了全面脆弱性檢查的安全基線檢查模型，同時自主研發(fā)了綠盟遠(yuǎn)程安全評估系統(tǒng)——安全基線管理系列(NSFOCUSRSASSeries,以下簡稱安全基線管理產(chǎn)品或RSAS),該產(chǎn)品使用安全基線檢查模型，為運維工作提供了實用高效的安全檢查自動化工具。安全基線管理產(chǎn)品基于綠盟科技完備的基線知識庫，采用高效、智能的弱點識別技術(shù)，對影響系統(tǒng)安全的脆弱性因素進(jìn)行全面檢查和分析，為系統(tǒng)安全建設(shè)提供可信的度量依據(jù)，能夠整體提高網(wǎng)絡(luò)安全管理水平。安全基線管理產(chǎn)品為網(wǎng)絡(luò)系統(tǒng)建立適用于本地業(yè)務(wù)的安全檢查基線，自動化執(zhí)行脆弱性檢查，參照安全基線自動對比分析檢查數(shù)據(jù)，讓管理員及時全面掌握網(wǎng)絡(luò)安全狀態(tài)，輕松準(zhǔn)確的完成安全運維任務(wù)，極大的提供工作效率。安全基線管理產(chǎn)品基于安全基線的檢查方式，為網(wǎng)絡(luò)脆弱性分析提供了切合實際的一致性度量標(biāo)準(zhǔn)，通過多維度分析對比，讓管理者直觀了解網(wǎng)絡(luò)脆弱性所在，為系統(tǒng)安全建設(shè)提供數(shù)據(jù)支撐。結(jié)合綠盟科技提出的安全基線模型，RSAS能夠?qū)W(wǎng)絡(luò)系統(tǒng)的漏洞、安全配置、端口、進(jìn)程/服務(wù)、重要文件進(jìn)行全面周期性的脆弱性評估與度量，給出有據(jù)可依的分析報告和趨勢報告，以方便繁雜的安全運維作業(yè)工作。依托專業(yè)的NSFOCUS安全服務(wù)團(tuán)隊，提供完善的安全配置知識庫，通過該知識庫可以全面的指導(dǎo)IT信息系統(tǒng)的安全配置及加固工作；依托專業(yè)的NSFOCUS安全小組，綜合運用信息重整化(NSIP)等多種領(lǐng)先技術(shù)，自動、高效、及時準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)存在的安全漏洞；專業(yè)的Web應(yīng)用掃描模塊，可以自動化進(jìn)行Web應(yīng)用、Web服務(wù)及支撐系統(tǒng)等多層次全方位的安全漏洞掃描，簡化安全管理員發(fā)現(xiàn)和修復(fù)Web應(yīng)用安全隱患的過程；綠盟安全基線管理產(chǎn)品中提出的安全基線模型，覆蓋了系統(tǒng)脆弱性的多個方面，包括漏洞，安全配置，開放的端口，系統(tǒng)中運行的進(jìn)程和服務(wù)，重要文件的變化狀態(tài)等，而且該模型是一個開放式的模型，能夠緊跟安全威脅的發(fā)展趨勢，把綠盟科技的最新研究成果添加到產(chǎn)品中來。根據(jù)安全基線模型建立安全基線的過程是一個對業(yè)務(wù)系統(tǒng)中資產(chǎn)安全狀況的分析、評估、再分析、再評估的過程，建立基線過程本身就是一個對系統(tǒng)脆弱性全面了解的過程。首先建立基線是分析網(wǎng)絡(luò)脆弱性的基礎(chǔ)，可以是管理人員對整個網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)有個感性認(rèn)識，需要知道網(wǎng)絡(luò)中是否存在風(fēng)險，影響范圍多大，風(fēng)險影響嚴(yán)重性程度有多大；然后進(jìn)一步需要了解網(wǎng)絡(luò)系統(tǒng)中存在風(fēng)險的類別有哪些，這些風(fēng)險的分布情況是什么樣，這些風(fēng)險在什么時間出現(xiàn)的；再進(jìn)行進(jìn)一步的分析，比較不同區(qū)域的差異，比較風(fēng)險變化的趨勢，了解風(fēng)險出現(xiàn)和地域、時間因素的關(guān)系；最后，根據(jù)分析結(jié)果有針對性的加強相關(guān)網(wǎng)絡(luò)安全建設(shè)。對網(wǎng)絡(luò)安全狀況的改進(jìn)過程是一個循環(huán)上升的過程，隨著時間的推移，這個過程也要持續(xù)的進(jìn)行。NSFOCUSRSAS提供圖形化的資產(chǎn)管理方式，緊密結(jié)合業(yè)務(wù)系統(tǒng)資產(chǎn)，通過可量化的安全基線，幫助用戶對當(dāng)前網(wǎng)絡(luò)的安全狀態(tài)有一個整體、直觀的認(rèn)識，實時掌握網(wǎng)絡(luò)安全狀NSFOCUSRSAS能夠?qū)M織、部門、主機(jī)等不同層次進(jìn)行基線安全安全檢查，能夠完全配合不同業(yè)務(wù)系統(tǒng)對不同安全配置檢查側(cè)重點的要求。并且系統(tǒng)提供由綠盟科技安全服務(wù)綠盟科技眾多專家組成的專業(yè)安全服務(wù)團(tuán)隊，和國際上享有盛名的NSFOCUS安全小組，為安全基線模型提供了理論和實踐上的雙重保障，為安全基線模型概念的發(fā)展提供了持續(xù)的動力。設(shè)計過程充分考慮了實際用戶需求和使用習(xí)慣，從用戶角度完善了很多管理功能。“一鍵式”智能任務(wù)模式、快速結(jié)果報表、智能摘要技術(shù)等，最大限度的滿足了易用性和高效性的自動處理的任務(wù)包括：評估任務(wù)下發(fā)、掃描結(jié)果自動分析、處理和發(fā)送、系統(tǒng)檢測插件的自動升級等。同時，RSAS支持多用戶管理模式，能夠?qū)τ脩舻臋?quán)限做出嚴(yán)格的限制，通過權(quán)限的劃分可以實現(xiàn)一臺設(shè)備多人的虛擬多機(jī)管理，并且提供了登錄、操作和異常等日志審計綠盟科技NSFOCUS安全小組的安全研究能力在國內(nèi)首屈一指，在國際上也有相當(dāng)?shù)挠绊懥?。在這個部門中，有多位專職的研究員進(jìn)行漏洞跟蹤和漏洞前瞻性研究，到目前為止已經(jīng)獨立發(fā)現(xiàn)了40余個關(guān)于常見操作系統(tǒng)、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備的漏洞，并且為國際上的知名網(wǎng)綠盟科技同時擁有一支業(yè)內(nèi)領(lǐng)先的安全服務(wù)團(tuán)隊。經(jīng)過多年專業(yè)安全服務(wù)的執(zhí)著實踐，形成了國內(nèi)最完善的專業(yè)安全服務(wù)體系和專業(yè)安全服務(wù)方法論，制定了完善詳細(xì)的安全配置檢查點。在這個部門中，擁有多位PMP、CISA、BS7799LA、ISO27001LA、CISSP、CISP、CCIE、CIW、COBIT、ITIL等國際/國內(nèi)認(rèn)證專家，他們不斷在安全服務(wù)實踐中進(jìn)行Checklist知識庫的完善，并將這些知識庫更新到產(chǎn)品中。操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備和應(yīng)用程序的絕大多數(shù)可以遠(yuǎn)程利用的漏洞以及本地安全漏對系統(tǒng)弱點的識別包括漏洞識別、配置檢查識別和系統(tǒng)狀態(tài)識別，評價漏洞識別的指標(biāo)在于效率和精確度，配置檢查識別和系統(tǒng)狀態(tài)識別的評價指標(biāo)除效率和精確度外，還需要能夠適應(yīng)多種復(fù)雜的應(yīng)用環(huán)境。NSIP(NSFOCUSIntelligentProfile)是綠盟科技智能Profile漏洞識別技術(shù)的簡稱，該技術(shù)在國內(nèi)甚至在國際上都是非常領(lǐng)先的漏洞識別技術(shù)，它在提高NSFOCUSRSAS的評估速度和準(zhǔn)確率方面都起到了很大的促進(jìn)作用。NSIP漏洞識別技術(shù)就是采用多種技術(shù)通過不同途徑收集目標(biāo)系統(tǒng)的多種信息，這些信息就是目標(biāo)系統(tǒng)的Profile,在進(jìn)行漏洞評估過程中，Profile不斷地對中間的結(jié)果數(shù)據(jù)進(jìn)行調(diào)整，保障了最后評估結(jié)果的準(zhǔn)確性。NSIP技術(shù)同時也在提高配置檢查識別的評估速度和準(zhǔn)確率方面都起到了很大的促進(jìn)作用。NSIP技術(shù)就是采用多種技術(shù)通過不同途徑收集目標(biāo)系統(tǒng)的多種信息，這些信息就是目標(biāo)系統(tǒng)的Profile,評估過程中，Profile不斷地對中間的結(jié)果數(shù)據(jù)進(jìn)行調(diào)整，保障了最后評估結(jié)果的準(zhǔn)確性。產(chǎn)品在配置檢查時采用機(jī)器語言，運用遠(yuǎn)程檢測與本地檢測相結(jié)合的方式，在多種復(fù)雜應(yīng)用環(huán)境下均可實現(xiàn)自動化的大規(guī)模性安全配置檢查，從而為您節(jié)省手動單點安全配置檢查NSFOCUSRSASWeb應(yīng)用掃描模塊，是綠盟科技研究團(tuán)隊多年深入研究當(dāng)前各種流行的Web攻擊手段的技術(shù)結(jié)晶，是專門面向Web應(yīng)用安全管理員進(jìn)行專業(yè)安全評估及檢測的自動化工具。通過傳統(tǒng)系統(tǒng)掃描功能與Web應(yīng)用掃描功能相結(jié)合，為網(wǎng)絡(luò)系統(tǒng)中重點關(guān)注安全風(fēng)險的WEB節(jié)點提供針對性的風(fēng)險評估，采用一機(jī)多用的方式，節(jié)省用戶投資。相關(guān)特性簡述如下：專業(yè)：模擬點擊智能爬蟲技術(shù)(NSFOCUSIntelligentCrawling,簡稱NSIC)、主動掛馬檢標(biāo)Web應(yīng)用系統(tǒng)進(jìn)行細(xì)粒度分析。任務(wù)孝數(shù)任務(wù)孝數(shù)綜述信懇漏洞列表,,白…………漏洞名稱曰檢測到目標(biāo)URL存在路站漏洞QhttpJteeIAIClaShowasp?cid=48cname=%Bhtp02ree/AtClaShowasp?cic=48cname=%DDA%00%D0%D2%85"s<script=alert(documentcookie)=isQQ圖4NSFOCUSRSASWeb掃描模塊展示圖NSFOCUSRSAS產(chǎn)品不僅提供了常見的離線報表，還提供了強大的在線報表系統(tǒng)。同NSFOCUSRSAS從宏觀和微觀兩個角度對風(fēng)險進(jìn)行了透徹地分析。宏觀上，RSAS從多個視角深刻反映網(wǎng)絡(luò)的整體安全狀況，對漏洞分布、安全配置問題分布、危害、主機(jī)信息等多視角信息進(jìn)行了細(xì)粒度的統(tǒng)計分析，并通過柱狀圖、餅圖等形式，直觀、清晰的從總體上反映了網(wǎng)絡(luò)資產(chǎn)的風(fēng)險分布情況；微觀上，RSAS對檢測到的每個漏洞、安全配置問題都提供了詳細(xì)的解決方案，使得管理員可以快速準(zhǔn)確地解決各種安全問題，同時支持用戶自己輸入關(guān)鍵字進(jìn)行相關(guān)信息的檢索，以便用戶能夠具體了解某臺主機(jī)或者某個漏洞、配置的詳細(xì)信息。NSFOCUSRSAS基于安全基線，能夠量化分析系統(tǒng)整體安全狀況，精確描繪安全風(fēng)險分布，綜合對比評定；利用安全基線能夠?qū)W(wǎng)絡(luò)安全狀態(tài)進(jìn)行趨勢對比分析，及時掌握網(wǎng)絡(luò)部署說明在核心交換機(jī)上部署“綠盟遠(yuǎn)程安全評估系統(tǒng)—安全基線管理系列”,為RSAS系統(tǒng)分配一個IP地址，就可以通過B/S方式訪問設(shè)備，同時可為內(nèi)網(wǎng)服務(wù)器區(qū)和辦公網(wǎng)內(nèi)任意網(wǎng)絡(luò)詳細(xì)配置漏洞掃描產(chǎn)品的掃描策略，定期對醫(yī)院內(nèi)網(wǎng)網(wǎng)絡(luò)中的重要主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)進(jìn)行漏洞探測和配置檢查，及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全漏洞和安全隱患，向管理員提交詳細(xì)的掃描報告。管理員依照報告中提供的詳細(xì)解決方案進(jìn)行相關(guān)操作來對發(fā)現(xiàn)的安全漏洞進(jìn)行彌補，保證重要的主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)始終處于在較高的安全級別，切實有效的保護(hù)網(wǎng)絡(luò)的安全。4.4.3功能與收益安全狀態(tài)業(yè)務(wù)系統(tǒng)安全基線的趨勢常態(tài)/頻紫安全檢查圖10NSFOCUSRSAS產(chǎn)品價值NSFOCUSRSAS使用安全基線模型，事件上是為安全管理工作提供了一整套的自動化解決方案，涵蓋了安全檢查、度量和分析的各環(huán)節(jié)，可周期自動運行讓安全檢查常態(tài)化，有針對性的分析結(jié)果為安全建設(shè)和應(yīng)急事件提供了決策支持?！癜踩€模型助力全面掌控信息系統(tǒng)風(fēng)險狀況NSFOCUSRSAS產(chǎn)品中推出了科學(xué)有效的安全基線模型概念，該模型提出了一種對網(wǎng)絡(luò)脆弱性的一種綜合評價手段，不但能夠定性的評估網(wǎng)絡(luò)是否安全，而且提供了完善的量化評估標(biāo)準(zhǔn)，實現(xiàn)了定量的脆弱性評估?；谠撃Ｐ湍軌?qū)W(wǎng)絡(luò)系統(tǒng)的安全漏洞，安全配置，開放端口，系統(tǒng)進(jìn)程/服務(wù)，文件變化等進(jìn)行全面的檢測和衡量，使系統(tǒng)管理員集中掌握當(dāng)前網(wǎng)絡(luò)安全狀態(tài)。通過持續(xù)不斷的對網(wǎng)絡(luò)脆弱性進(jìn)行安全評估，能夠掌握網(wǎng)絡(luò)完全動態(tài)變化趨勢，從而衡量安全工作達(dá)成的效果是否滿意，為安全建設(shè)和應(yīng)急事故提供決策支撐?！駷檫\維人員提高工作效率NSFOCUSRSAS能夠幫助管理員對目標(biāo)系統(tǒng)進(jìn)行自動化的漏洞、配置、狀態(tài)進(jìn)行監(jiān)測，采用專用硬件設(shè)備，能夠長期高效、自動的周期檢測，自動分析結(jié)果數(shù)據(jù)，生成HTML、WORD、EXCEL等格式報告，可以自動通過郵件發(fā)送給管理員。全自動化的設(shè)計為日常安全檢查提供了設(shè)備支持，使日常安全檢查可以作為常態(tài)工作開展，提高了管理員的工作效率，增加了網(wǎng)絡(luò)安全保障。安全基線模型為管理員整體把握網(wǎng)絡(luò)風(fēng)險位置，制定改進(jìn)工作計劃提供了有效的技術(shù)依據(jù)，并能夠直觀比較安全改進(jìn)工作的效果，體現(xiàn)了安全管理工作的重要價值?！駷橹鞴茴I(lǐng)導(dǎo)洞察全局NSFOCUSRSAS基于安全基線模型，形成業(yè)務(wù)系統(tǒng)安全基線，橫向能夠提供全面的系統(tǒng)安全狀態(tài)分析，縱向能夠提供系統(tǒng)動態(tài)變化趨勢，專用詳細(xì)的報表讓主管領(lǐng)導(dǎo)洞察整體網(wǎng)絡(luò)安全狀態(tài)，全面和集中了解網(wǎng)絡(luò)安全風(fēng)險，為安全建設(shè)和事故應(yīng)急提供了決策支撐。4.5綠盟Web應(yīng)用防火墻由于醫(yī)院網(wǎng)絡(luò)分內(nèi)網(wǎng)與外網(wǎng)，網(wǎng)絡(luò)的使用者既有來自互聯(lián)網(wǎng)的用戶，也有來自單位內(nèi)部的工作人員，因此其網(wǎng)絡(luò)面臨來自安全威脅與風(fēng)險如下：網(wǎng)頁篡改由于Internet是個開放的網(wǎng)絡(luò)，網(wǎng)站發(fā)布的信息一天二十四小時都在被查詢、閱讀、下載或轉(zhuǎn)載。網(wǎng)站內(nèi)容復(fù)制容易，轉(zhuǎn)載速度快，網(wǎng)頁如果被篡改，后果難以預(yù)料，篡改網(wǎng)頁將會被迅速、廣泛傳播，從而直接危害網(wǎng)站的利益。尤其是網(wǎng)站上發(fā)布的重要新聞、重大方針政策以及法規(guī)等，一旦被黑客篡改，將嚴(yán)重影響企業(yè)形象，甚至造成重大的政治經(jīng)濟(jì)損失和惡劣的社會影響。>網(wǎng)頁掛馬網(wǎng)頁掛馬就是攻擊者入侵了一些網(wǎng)站后，通過在正常的頁面中(通常是網(wǎng)站的主頁)將自己編寫的網(wǎng)頁木馬嵌入被黑網(wǎng)站的主頁中，瀏覽者在打開該頁面的時候，這段代碼被執(zhí)行，然后下載并運行某木馬的服務(wù)器端程序，進(jìn)而控制瀏覽者的主機(jī)。利用被黑網(wǎng)站的流量將自己的網(wǎng)頁木馬傳播開去，以達(dá)到自己不可告人的目的。。造成很大影響，還“城門失火殃及池魚”,網(wǎng)站的瀏覽者也不能幸免。網(wǎng)站被掛馬不僅會讓自己的網(wǎng)站失去信譽，丟失大量客戶，也會讓我們這些普通用戶陷入黑客設(shè)下的陷阱，淪為黑客的肉雞。因此這無論是對政府的信譽，還是對公民的信任度都是沉重的打擊。由于網(wǎng)頁的重點。>跨站腳本跨站腳本攻擊屬于被動模式攻擊，是一種迫使應(yīng)用系統(tǒng)向客戶端回顯攻擊者所提交可執(zhí)和Se