XXX省藥品集中采購交易監(jiān)督管理平臺(tái)安全建議方案

XXX省藥品集中采購交易監(jiān)督管理平臺(tái)安全建議方案■文檔編號(hào)■密級(jí)限制分發(fā)■版本編號(hào)Ver1.0■日期?DATE\@"yyyy"2014綠盟科技-PAGE\*ROMAN-PAGE\*ROMANI-目錄TOC\h\z\t"附錄1（綠盟科技）,1,附錄2（綠盟科技）,2,附錄3（綠盟科技）,3,附錄4（綠盟科技）,4,標(biāo)題1（綠盟科技）,1,標(biāo)題2（綠盟科技）,2,標(biāo)題3（綠盟科技）,3"一.現(xiàn)狀 1二.安全需求 2三.建議方案 33.1完善管理 33.2建立集中管理審計(jì)系統(tǒng)（堡壘機(jī)） 33.2.1系統(tǒng)功能 33.2.2系統(tǒng)體系 53.3風(fēng)險(xiǎn)分析 8四.運(yùn)維 84.1日志備份與維護(hù) 84.2權(quán)限梳理 8 PAGE2-現(xiàn)狀目前XXX省衛(wèi)生信息中心將對(duì)其所屬的XXX省藥品集中采購交易監(jiān)督管理平臺(tái)進(jìn)行遷移，需要對(duì)該平臺(tái)所在系統(tǒng)進(jìn)行安全建設(shè)。該建設(shè)文檔的目的在于通過部署安全產(chǎn)品對(duì)管理平臺(tái)進(jìn)行最大的安全層面的防護(hù)。安全需求XXX省藥品集中采購交易監(jiān)督管理平臺(tái)目前所在網(wǎng)絡(luò)拓?fù)浯笾氯缦聢D：通過拓?fù)鋱D，我們可以看出，需要在網(wǎng)絡(luò)出口增加一臺(tái)防火墻進(jìn)行網(wǎng)絡(luò)層訪問控制。在核心層，應(yīng)該在核心交換機(jī)上部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，來檢查Internet上潛在的網(wǎng)絡(luò)攻擊是否進(jìn)入到本網(wǎng)絡(luò)中，對(duì)本網(wǎng)絡(luò)中的網(wǎng)絡(luò)流量中是否含有網(wǎng)絡(luò)攻擊進(jìn)行一個(gè)實(shí)時(shí)監(jiān)控。同時(shí)因?yàn)閷?duì)外發(fā)布WEB網(wǎng)站，需要在服務(wù)器接入交換機(jī)前部署一臺(tái)專業(yè)的WEB防火墻，針對(duì)目前網(wǎng)絡(luò)上攻擊層面到應(yīng)用層的網(wǎng)絡(luò)攻擊，可以有效地進(jìn)行阻斷。這樣網(wǎng)絡(luò)從三層到七層都能有一個(gè)較好的防護(hù)功能。建議方案根據(jù)此前的完全需求，我們推出如上圖的安全建議方案。此方案中涉及到5個(gè)產(chǎn)品，RSAS（遠(yuǎn)程安全評(píng)估系統(tǒng)，通常業(yè)內(nèi)叫它漏洞掃描器），SG（安全網(wǎng)關(guān)，在這里起防火墻的作用），SAS(安全審計(jì)系統(tǒng)，專做網(wǎng)絡(luò)流量內(nèi)容審計(jì))，IDS（網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，專作為檢測(cè)網(wǎng)絡(luò)攻擊事件的利器），WAF（WEB防火墻，針對(duì)WEB服務(wù)器量身定制，專業(yè)防護(hù)到七層）。RSAS（漏洞掃描器）依托專業(yè)的NSFOCUS安全小組，綜合運(yùn)用信息重整化（NSIP）等多種領(lǐng)先技術(shù)，自動(dòng)、高效、及時(shí)準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)存在的安全漏洞；提供OpenVM（OpenVulnerabilityManagement開放漏洞管理）工作流程平臺(tái)，將先進(jìn)的漏洞管理理念貫穿整個(gè)產(chǎn)品實(shí)現(xiàn)過程中；專業(yè)的Web應(yīng)用掃描模塊，可以自動(dòng)化進(jìn)行Web應(yīng)用、Web

服務(wù)及支撐系統(tǒng)等多層次全方位的安全漏洞掃描，簡化安全管理員發(fā)現(xiàn)和修復(fù)

Web

應(yīng)用安全隱患的過程?！拔鍌€(gè)”過程漏洞預(yù)警：獲得權(quán)威漏洞信息漏洞檢測(cè)：檢測(cè)資產(chǎn)存在的漏洞風(fēng)險(xiǎn)管理：結(jié)合資產(chǎn)定位風(fēng)險(xiǎn)漏洞修復(fù)：補(bǔ)丁系統(tǒng)聯(lián)動(dòng)漏洞審計(jì)：確認(rèn)漏洞風(fēng)險(xiǎn)“三個(gè)”思想流程化自動(dòng)化開放性擁有頂級(jí)安全專家的獨(dú)立安全研究機(jī)構(gòu)（NSFOCUSSecurityTeam）發(fā)現(xiàn)包括Microsoft、HP、SUN、CISCO、Juniper等多家廠商的40余個(gè)嚴(yán)重安全漏洞七年來一直維護(hù)國內(nèi)最大最權(quán)威的中文安全漏洞庫NSBL，數(shù)目超過14000條。所支持的檢測(cè)規(guī)則庫從2002年起出口美國市場(chǎng)基于國內(nèi)最權(quán)威中文漏洞庫，精心構(gòu)造2800余條漏洞檢測(cè)庫，識(shí)別各種安全漏洞隱患。掃描涵蓋了常見操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備和應(yīng)用程序的遠(yuǎn)程可利用漏洞。定期升級(jí)，重大漏洞兩天通過CVE兼容性認(rèn)證掃描涵蓋了常見操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備和應(yīng)用程序的遠(yuǎn)程和本地可利用漏洞。SG(安全網(wǎng)關(guān))高性能的防火墻綠盟安全網(wǎng)關(guān)采用智能狀態(tài)檢測(cè)技術(shù)，支持路由、透明、混合模式部署，可實(shí)現(xiàn)基于源/目的IP地址、協(xié)議/端口、時(shí)間、用戶、VLAN、VPN、安全區(qū)的訪問控制。綠盟安全網(wǎng)關(guān)支持支持基于策略的雙向NAT、動(dòng)態(tài)/靜態(tài)NAT、端口PAT，支持靜態(tài)路由、動(dòng)態(tài)路由、策略路由，支持DNS、DHCP、VLANTrunk。強(qiáng)大的病毒防御能力綠盟安全網(wǎng)關(guān)采用國際著名防病毒廠商的防病毒引擎，采用基于特征掃描和啟發(fā)式掃描技術(shù)，對(duì)利用HTTP、SMTP、POP3、IMAP、FTP、IM等多種協(xié)議的病毒進(jìn)行處理，完成對(duì)木馬病毒、蠕蟲病毒、宏病毒、腳本病毒等的查殺。此外，綠盟安全網(wǎng)關(guān)將專業(yè)防病毒引擎和多核并行處理技術(shù)完美融合，實(shí)現(xiàn)高速病毒處理性能。超強(qiáng)的攻擊防護(hù)能力綠盟安全網(wǎng)關(guān)集成了綠盟科技專業(yè)的IPS模塊，可實(shí)現(xiàn)基于IP地址/網(wǎng)段、規(guī)則（組、集）、時(shí)間、動(dòng)作等對(duì)象的虛擬IDS/IPS，結(jié)合綠盟獨(dú)特的抗DDoS技術(shù)，可防護(hù)抗拒絕服務(wù)、遠(yuǎn)程掃描、暴力破解、緩存區(qū)溢出、蠕蟲病毒、木馬后門、SQL注入、跨站腳本等各種攻擊。統(tǒng)一的安全管理中心綠盟安全網(wǎng)關(guān)兼容綠盟安全中心，可實(shí)現(xiàn)從安全中心對(duì)多種綠盟科技安全產(chǎn)品的統(tǒng)一管理和監(jiān)控，實(shí)現(xiàn)策略配置、報(bào)警信息處理、日志分析等多種管理功能，實(shí)現(xiàn)多產(chǎn)品安全事件統(tǒng)一報(bào)警，多臺(tái)設(shè)備安全策略統(tǒng)一配置，極大的提高了用戶安全管理的工作效率。SAS(安全審計(jì)系統(tǒng))強(qiáng)大的審計(jì)特性多維度網(wǎng)絡(luò)行為審計(jì)全程數(shù)據(jù)庫操作審計(jì)精細(xì)的敏感信息審計(jì)先進(jìn)的技術(shù)業(yè)界首家內(nèi)容安全審計(jì)技術(shù)專利“網(wǎng)站內(nèi)容安全主動(dòng)審計(jì)”智能內(nèi)容識(shí)別引擎——NCRE可識(shí)別100種以上應(yīng)用層協(xié)議Web應(yīng)用安全業(yè)界領(lǐng)先的超過1000萬條URL網(wǎng)頁分類數(shù)據(jù)庫智能Web信譽(yù)管理通過網(wǎng)絡(luò)數(shù)據(jù)的采集、分析、識(shí)別，實(shí)時(shí)動(dòng)態(tài)監(jiān)測(cè)通信內(nèi)容、網(wǎng)絡(luò)行為和網(wǎng)絡(luò)流量，發(fā)現(xiàn)和捕獲各種敏感信息、違規(guī)行為，實(shí)時(shí)報(bào)警響應(yīng)，全面記錄網(wǎng)絡(luò)系統(tǒng)中的各種會(huì)話和事件，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息的智能關(guān)聯(lián)分析、評(píng)估及安全事件的準(zhǔn)確全程跟蹤定位，為整體網(wǎng)絡(luò)安全策略的制定提供權(quán)威可靠的支持。NIDS(網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng))全面、準(zhǔn)確識(shí)別各類安全威脅覆蓋2~7層的風(fēng)險(xiǎn)識(shí)別能力，全面識(shí)別超過100種以上的應(yīng)用協(xié)議內(nèi)置先進(jìn)的Web信譽(yù)機(jī)制，協(xié)助用戶識(shí)別各類Web威脅可擴(kuò)展的企業(yè)安全管理能力面向應(yīng)用的網(wǎng)絡(luò)流量合規(guī)性監(jiān)測(cè)內(nèi)嵌專業(yè)的病毒、蠕蟲風(fēng)險(xiǎn)預(yù)知能力可擴(kuò)展的敏感信息審計(jì)和在線入侵防御解決方案可擴(kuò)展的企業(yè)安全管理能力協(xié)助管理員及時(shí)了解網(wǎng)絡(luò)安全和流量分布狀況，為企業(yè)安全建設(shè)及流量合規(guī)管理，提供決策依據(jù)獲得多項(xiàng)國際國內(nèi)認(rèn)證WAF(Web應(yīng)用防火墻)雙向HTTP/HTTPS內(nèi)容清洗緩解來自Internet的各類WEB安全威脅針對(duì)WEB服務(wù)器側(cè)響應(yīng)的出錯(cuò)信息、惡意內(nèi)容及不合規(guī)內(nèi)容進(jìn)行過濾對(duì)被篡改的頁面內(nèi)容進(jìn)行恢復(fù)加速降低服務(wù)響應(yīng)時(shí)間、顯著改善終端用戶體驗(yàn)，優(yōu)化業(yè)務(wù)資源、提高應(yīng)用系統(tǒng)敏捷性，提高數(shù)據(jù)中心的效率和服務(wù)器的投資回報(bào)率(ROI)合規(guī)協(xié)助客戶滿足安全監(jiān)管機(jī)構(gòu)合規(guī)要求避免用戶敏感信息泄露產(chǎn)品選型根據(jù)現(xiàn)網(wǎng)實(shí)際情況（包括網(wǎng)