《APP安全建设方案》由会员分享,可在线阅读,更多相关《APP安全建设方案(12页珍藏版)》请在金锄头文库上搜索。
1、医院服务窗安全建设方案2014年9月目录二、医院服务窗网络安全解决方案 三、安全设备效果及性能简介3.1 防火墙 3.1.1设备技术参数 3.2 网闸 3.2.1设备技术参数 3.3入侵检测(IDS)3.3.1设备详细技术参数 3.4Web应用安全防护WAF3.4.1设备技术参数 3.5防病毒网关3.5.1设备技术参数 四、安全设备架构建议五、安全设备部署实施时间计划表 六、安全设备厂商及产品选择参考 七、安全防护应用等级参考价7.1安全防护套装A系列: 7.2安全防护套装B系列: 一、医院服务窗背景介绍随着 3G、4G 时代的到来,大家越来越习惯使用智能手机来查询、和商户的 互动。来自中国互
2、联网络信息中心(CNNIC)的2013中国互联网络发展状况统 计报告显示,截至2013年底,中国手机网民规模达到约4.6亿人,占整体网 民的比例达到 78.5%。而最近几年,互联网在快速颠覆和改变很多传统行业,包括零售、通讯、医 疗等行业。医院作为特殊的事业单位,涉及到13亿中国人的福祉,但一直存在 “挂号难”“看病难、看病贵”“医生劳动与回报”突出的问题,之所以出现这种 状态是由于两方信息的不对称,医患不融合。我们知道,解决任何双方矛盾的根 本是平台的建设,只有双方在一个平台中共同努力,协调利益,才能有效解决问 题。目前支付宝将对医疗机构开放自己的平台能力,包括账户体系、移动平台、 支付及金
3、融解决方案、云计算能力等,通过支付宝钱包中的服务窗可以提供患者 与医院交流的一个公众服务平台。这也就为医院提高就医体验,掌握病人就医行 为提供了可能;也为医院将更优质的服务通过互联网提供给病人提供了可能。医院服务窗正是基于支付宝钱包服务窗向患者提供的医疗服务平台。在这个 平台上患者及其家属可以通过服务窗自助完成预约挂号、诊间支付以及查看患者感兴趣的信息,使医院和患者之间就建立了一种信任关系,进一步增加了患者对 医院的信赖感和黏度,从而达到和谐医患关系的目标。二、医院服务窗网络安全解决方案医院服务窗的终端用户(病友及访客)是通过互联网来访问医院服务窗的IIS服务器获取信息,由于医院服务窗的IIS
4、服务器位于医院内部网络且需要向 医院的核心服务器HIS服务器提取相关数据,整个数据链路涉及内网及外网,为 降低数据流被意外安全事件中断的机率,保证整个业务高效,流畅地运转,现为 相关数据流设计如下网络安全防护体系。下图是医院服务窗系统在应用过程中一个典型的安全防护设备部署拓补图。 医院服务窗的终端用户通过各种移动设备(智能手机、智能平板等)经过互联网 向 IIS 服务器查询数据。数据流会先经过安全设备的第一道门槛-防火墙,然后 再经防病毒网关到达第二道门槛-WEB应用防护设备到达IIS服务器。IIS服务器 得到请求后会根据终端要求查询的内容向 HIS 核心服务器提取相关数据,这时数 据流会经过
5、安全防护设备的第三道门槛-网闸到达 HIS 服务器。在医院内部核心 交换机处还有一个安全防护设备-IDS来保证监视整个医院内部网络的攻击行为 或异常现象为快速排错及故障定位提供保障。以上提到的各种安全设备层层防 护,相互补充,在最大程度上保证了整个医院服务窗及网络系统的安全应用。各 设备的具体防护功能及特性将在后面的章节详细介绍。 产品部署网络拓扑图如下:三、安全设备效果及性能简介3.1防火墙 防火墙部署于医院内部网络与互联网边界处,是整个网络安全防护的基础实 施。主要对需要访问医院服务窗IIS服务器的外部用户经行访问控制,起到对于 网络层数据流和攻击的防御。同时在蠕虫病毒大爆发的时候可防止外
6、部用户将其 感染到本安全域之内,造成更大更严重的损失。防火墙按性能可分为万兆、千兆、百兆三大类,其中千兆及百兆应用最为普 遍。万兆高端防火墙主要应用于 ISP 及大型骨干网中,中端千兆防火墙主要应用 于企事业单位,百兆的低端防火墙主要针对桌面级应用。如医院网络边界处已有 防火墙设备则此处不用考虑。3.1.1 设备技术参数防火墙(百兆)网御星云PowerV6000-F1500-ZK系统为VSP通用安全平台并具备其证书;设备至少具备三操作 系统,MiniOS、SystemA、SystemB,均可启动配置选择,且在 WEB界面可明确启动选项,用户可自由选择当前引导系统,保 障稳定性;并发连接数三15
7、0万,吞吐量三800Mbps,IPSec隧道数三2000; 标准1U机箱,标配10个10/100MBASE-T接口;支持多端口聚 合,实现零成本扩展带宽;支持异常主机快速定位功能。防火墙(千兆)网御星云PowerV6000-F2050-JW系统为VSP通用安全平台并具备其证书;设备至少具备三操作 系统,MiniOS、SystemA、SystemB,均可启动配置选择,且在 WEB界面可明确启动选项,用户可自由选择当前引导系统,保 障稳定性;并发连接数三180万,吞吐量3Gbps,IPSec隧道数5000; 标准1U机箱,标配6个10/100/1000BASE-T接口,4个SFP接 口;支持多端口
8、聚合,实现零成本扩展带宽;支持异常主机快 速定位功能。3.2 网闸网闸的部署至关重要。它部署在IIS服务器与HIS数据库之间。因为用户通 过IIS服务器向HIS数据库提取数据时,无论在安全性还是保密性的角度来看, 网闸的部署进一步提升了安全的等级,到达物理隔离。两个网络之间没有任何物 理连接,没有任何网络协议可以直接穿透。并可以实现“协议落地、内容检测”, 这样,既从物理上隔离、阻断了具有潜在攻击可能的一切连接,又进行了强制内 容检测,从而实现最高级别的安全。有效的将两网之间实现了安全隔离与业务数 据安全、可靠的交换。通过这种部署方式,可以为访问提供更高的安全性保障。 确保核心数据库在对外提供
9、数据时不被攻击、篡改、破坏。安全隔离信息交换系统(网闸)该产品是利用网络隔离技术的访问控制产品, 处于网络边界,连接两个或多个安全等级不同的网络,主要应用于对重点数据提 供高安全隔离的保护。国家保密局对安全隔离与信息交换类产品的应用也做了规定,规定安全隔离 与信息交换系统在以下四种网络环境下应用:不同的涉密网络之间;同一涉密网络的不同安全域之间;与In ter net物理隔离的网络与秘密级涉密网络之间;未与涉密网络连接的网络与In ter net之间。网闸网御星云SIS-3000-ZlA00-ZK机架式设备,采用2+1架构,并提供公安部计算机信息系统安全产品质量 监督检验中心检验报告证明;不少
10、于8个10/100/1000M自适应电口,内外 网主机系统分别具有独立的网络口、管理口、HA 口(热备口); 4个USB 口。网络延时小于5ms,系统总延时小于1ms,开关切换时间小于10ns, 数据摆渡速度大于200Mbps,并发连接数大于15000;具备文件交换、FTP 访问、数据库传输、邮件传输、安全浏览、定制访问、安全通道、视频传 输等模块;支持所有模块全面病毒过滤。网闸网御星云SIS-3000-Z2A00-JW机架式设备,采用2+1架构,并提供公安部计算机信息系统安全产品质量 监督检验中心检验报告证明;不少于12个10/100/1000M自适应电口,内 外网主机系统分别具有独立的网络
11、口、管理口、HA 口(热备口); 4个USB 口。网络延时小于1ms,系统总延时小于1ms,开关切换时间小于10ns, 数据摆渡速度大于750Mbps,并发连接数大于50000;具备文件交换、FTP 访问、数据库传输、邮件传输、安全浏览、定制访问、安全通道、视频传 输等模块;支持所有模块全面病毒过滤。33入侵检测(IDS)在安全防护系统中,若不良来访者被允许访问,它会对用户网络做出令网络 管理者无法控制的事情,如果系统配备了入侵检测(IDS),这种破坏性行为将 被抑制。我们知道,网络总是要提供服务的,对于一些常用的服务如浏览和E-mail 收发等,防火墙只做到允许或者拒绝各种各样访问者访问这些
12、服务,无法判定具 有攻击行为的访问是否会摧毁防火墙。这就好像门卫难以判定每个来访者是办事 者还是偷窃者一样。如果墙角(或其他什么位置)安装了微型摄像机,能够监视来 访者的一举一动,保安人员便可以根据来访者的行为及时发现不法分子,及时报 警,确保办公与居住人员的安全。我们在核心交换区域部署 IDS 监听设备,在 此位置,它在不影响整体网络业务性能的情况下,能监听到所有访问业务服务器 区域和内网区域的所有行为举动,若有异常行为可联合防火墙等进行安全联动, 阻断非法行为,同时为我们出现问题后的事后取证与行为还原提供了充分的依 据。3.3.1 设备详细技术参数入侵检测系 统网御星云TD3000-FS1
13、000-ZK探测器引擎的操作系统为VSP通用安全平台,具备高效、智能、 安全、健壮、易扩展等特点(提供相关证明材料),要求IDS为 专业的旁路检测类产品,因此要求不得以IPS旁路部署的方式提 供,不能串接部署,产品应至少支持1个通讯接口,以及不少于 5个10/100/1000M监听口,不小于500Mbps,不小于100万;超 过3000条的检测规则,全面兼容CVE、BugTraq等国际标准漏洞 库。入侵检测系 统网御星云TD3000-GS1820-JW探测器引擎的操作系统为VSP通用安全平台,具备高效、智能、 安全、健壮、易扩展等特点(提供相关证明材料),要求IDS为 专业的旁路检测类产品,因
14、此要求不得以IPS旁路部署的方式提 供,不能串接部署,产品应至少支持1个通讯接口,不少于5个 10/100/1000M电口监听口,不少于2个千兆SFP光口监听口,冗 余双电源,不小于1 Gbps,不小于120万;超过3000条的检测规 贝V,全面兼容CVE、BugTraq等国际标准漏洞库。34Web应用安全防护WAFWAF (WebApplicationFirewall)工作在应用层,提供专业的针对医院服务 窗IIS服务器Web应用的防护,提供Web应用交互内容以及Web页面中代码漏洞 的检测防御和 Web2.0 时代动态网站的应用防护,通过执行应用会话内部的请求 来处理应用层,它专门保护We
15、b应用通信流和所有相关的应用资源免受利用Web 协议或应用程序漏洞发动的攻击。WAF可以阻止将应用行为用于恶意目的的浏览 器和HTTP攻击,一些强大的应用安全网关甚至能够模拟代理成为基于web的应 用服务器接受应用交付,部署与所有基于web应用的服务器群签名,形象的来说 相当于给原web应用服务器群加上了一个安全的绝缘外壳。WAF针对常见的Web 业务系统,提供综合的Web应用安全解决方案,确保用户Web业务风险最小化。WAF 通过对进出 Web 应用服务器的 http 流量相关内容的实时分析检测、过 滤,来精确判定并阻止各种Web应用攻击行为,阻断对Web应用服务器的恶意访 问与非法操作,如
16、SQL注入、XSS、Cookie篡改以及应用层DoS攻击等,有效应 对网页篡改、网页挂马、敏感信息泄露等安全问题。系统使用主动实时监测过滤 技术,将恶意代码、非授权篡改、应用攻击等众多威胁进行综合防范,从而做到 对医院服务窗对外提供服务的IIS应用服务器的多重保护,确保IIS应用安全的 最大化,充分保障IIS应用的高可用性和可靠性。通过部署一台WAF管理多个独立的Web应用,各Web应用可采用不同的安全策 略,可以在不修改用户网络架构的情况下增加新的应用,为多元化的Web业务运 营机构提供显着的运营优势与便利条件,可以实时配置修改多个后台Web系统, 而无需让Web系统下线。3.4.1 设备技术参数Web应
