毛睿+車(chē)永茂+謝世春

摘要：為貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，提升醫(yī)院信息安全，我院進(jìn)行了信息安全等級(jí)保護(hù)定級(jí)備案和差距測(cè)評(píng)工作，該文結(jié)合我院測(cè)評(píng)結(jié)果進(jìn)行需求分析，對(duì)數(shù)據(jù)中心安全方案進(jìn)行了整體規(guī)劃設(shè)計(jì)。

關(guān)鍵詞：信息安全等級(jí)保護(hù)；定級(jí)備案；差距測(cè)評(píng)；SQL注入；DDoS

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）06-0061-02

1 項(xiàng)目背景

依據(jù)《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》和《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等國(guó)家政策與標(biāo)準(zhǔn)規(guī)范，我院按要求積極開(kāi)展信息安全等級(jí)保護(hù)工作，并根據(jù)定級(jí)備案和差距測(cè)評(píng)結(jié)果進(jìn)行建設(shè)整改。

2 需求分析

? 本次數(shù)據(jù)中心安全項(xiàng)目將依據(jù)三級(jí)等保標(biāo)準(zhǔn)進(jìn)行統(tǒng)一規(guī)劃和設(shè)計(jì)。

? 針對(duì)外聯(lián)區(qū)域，使用高性能的防火墻替換現(xiàn)有的防火墻。

? 針對(duì)服務(wù)器區(qū)域，整體考慮服務(wù)器區(qū)域安全訪問(wèn)控制，應(yīng)用層攻擊，web應(yīng)用安全，虛擬化服務(wù)器安全等。

? 針對(duì)終端接入?yún)^(qū)域，要考慮終端準(zhǔn)入和管理，防病毒等。

? 針對(duì)外網(wǎng)接入?yún)^(qū)域，本次考慮替換超期服役安全設(shè)備，以滿足當(dāng)前業(yè)務(wù)安全需求。

? 針對(duì)數(shù)據(jù)中心統(tǒng)一運(yùn)維，要對(duì)醫(yī)院網(wǎng)絡(luò)、安全、計(jì)算、存儲(chǔ)等設(shè)備進(jìn)行統(tǒng)一入口管理以及安全審計(jì)，同時(shí)實(shí)現(xiàn)整個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備監(jiān)控和運(yùn)維。

? 整個(gè)規(guī)劃要滿足3到5年業(yè)務(wù)發(fā)展要求。

? 軟硬件設(shè)備要穩(wěn)定可靠。

3 數(shù)據(jù)中心安全方案整體規(guī)劃設(shè)計(jì)

蘇北人民醫(yī)院數(shù)據(jù)中心安全方案依據(jù)等級(jí)保護(hù)三級(jí)規(guī)劃設(shè)計(jì)，通過(guò)完善數(shù)據(jù)中心服務(wù)器區(qū)域、外聯(lián)區(qū)域、終端接入?yún)^(qū)域，外網(wǎng)接入?yún)^(qū)域，統(tǒng)一運(yùn)維規(guī)劃，五個(gè)組成部分的安全規(guī)劃，滿足業(yè)務(wù)系統(tǒng)今后的安全訪問(wèn)。

3.1 服務(wù)器區(qū)域安全設(shè)計(jì)

服務(wù)器區(qū)域主要面臨非法的業(yè)務(wù)訪問(wèn)，黑客攻擊行為，WEB應(yīng)用SQL注入，跨站攻擊等惡意訪問(wèn)，另外云平臺(tái)的安全訪問(wèn)和病毒入侵等等風(fēng)險(xiǎn)。針對(duì)這些的問(wèn)題，我們采用下述方案解決該區(qū)域面臨的風(fēng)險(xiǎn)。

1） 旁路部署2臺(tái)數(shù)據(jù)中心防火墻，同時(shí)開(kāi)啟IPS功能，實(shí)現(xiàn)服務(wù)器區(qū)域各個(gè)應(yīng)用系統(tǒng)的安全訪問(wèn)，通過(guò)IPS功能實(shí)現(xiàn)應(yīng)用層安全防護(hù)。

2） 旁路部署2臺(tái)服務(wù)器負(fù)載均衡設(shè)備，實(shí)現(xiàn)應(yīng)用服務(wù)器負(fù)載均衡。

3） 在web服務(wù)器前端透明部署1臺(tái)web應(yīng)用防火墻，實(shí)現(xiàn)web服務(wù)器應(yīng)用層防護(hù)，可以防止SQL注入， 跨站攻擊等惡意訪問(wèn)。

4） 在服務(wù)器區(qū)域與外網(wǎng)之間部署兩臺(tái)安全隔離網(wǎng)閘，實(shí)現(xiàn)內(nèi)外網(wǎng)文件安全交換和訪問(wèn)。

5） 針對(duì)物理機(jī)服務(wù)器部署1套網(wǎng)絡(luò)版殺毒軟件，實(shí)現(xiàn)物理服務(wù)器防病毒。

6） 在云平臺(tái)上部署1套虛擬化版本防病毒軟件，實(shí)現(xiàn)虛擬機(jī)防病毒。

7） 在云平臺(tái)上部署1套虛擬化版本分布式防火墻軟件，實(shí)現(xiàn)云平臺(tái)流量可視化以及虛擬機(jī)之間安全隔離和管控。

3.2 外聯(lián)區(qū)域安全設(shè)計(jì)

業(yè)務(wù)內(nèi)網(wǎng)邊界區(qū)域面臨多業(yè)務(wù)鏈路接入和訪問(wèn)，業(yè)務(wù)非法訪問(wèn)等安全風(fēng)險(xiǎn)。針對(duì)這些問(wèn)題，我們采用下述方案解決該區(qū)域面臨的風(fēng)險(xiǎn)。

1） 部署2臺(tái)邊界防火墻做HA，實(shí)現(xiàn)醫(yī)保，農(nóng)合，洪泉醫(yī)院，揚(yáng)州二院等出口的安全訪問(wèn)控制。

2） 部署2臺(tái)IPS，防止通過(guò)業(yè)務(wù)內(nèi)網(wǎng)出口進(jìn)行惡意攻擊及入侵檢測(cè)。

3.3 外網(wǎng)區(qū)域安全設(shè)計(jì)

1） 在出口部署2臺(tái)鏈路負(fù)載均衡設(shè)備，同時(shí)開(kāi)啟防DDoS，可以實(shí)現(xiàn)多條電信線路outbound、inbound方向鏈路負(fù)載均衡及清洗異常攻擊流量。

2） 串接部署2臺(tái)邊界防火墻，同時(shí)透明部署2臺(tái)IPS設(shè)備，解決非法業(yè)務(wù)訪問(wèn)及應(yīng)用層攻擊。

3） 橋接部署1臺(tái)上網(wǎng)行為管理設(shè)備，規(guī)范用戶上網(wǎng)行為。該設(shè)備帶2組bypass端口，即使設(shè)備斷電或出現(xiàn)故障也不影響訪問(wèn)。

4） 部署1臺(tái)SSL VPN設(shè)備，滿足移動(dòng)辦公用戶遠(yuǎn)程安全接入。

5） 在服務(wù)器區(qū)域與外網(wǎng)之間部署兩臺(tái)隔離網(wǎng)閘，實(shí)現(xiàn)內(nèi)外網(wǎng)安全訪問(wèn)。

3.4 終端接入?yún)^(qū)域安全設(shè)計(jì)

終端接入?yún)^(qū)域有大量各種終端接入，該區(qū)域風(fēng)險(xiǎn)主要有病毒入侵，終端非法接入以及終端安全管理等，針對(duì)這些的問(wèn)題，我們采用下述方案解決該區(qū)域面臨的風(fēng)險(xiǎn)。

1） 部署1一套網(wǎng)絡(luò)版殺毒軟件，在每個(gè)終端安裝客戶端，實(shí)現(xiàn)終端防病毒。

2） 部署終端安全管理系統(tǒng)，包括終端準(zhǔn)入控制，桌面管理、主機(jī)監(jiān)控審計(jì)、上網(wǎng)行為控制與監(jiān)控、補(bǔ)丁管理、遠(yuǎn)程協(xié)助、移動(dòng)存儲(chǔ)介質(zhì)管理等11個(gè)主要功能，實(shí)現(xiàn)終端安全管理。

3.5 網(wǎng)絡(luò)運(yùn)維規(guī)劃

目前網(wǎng)絡(luò)運(yùn)維面臨安全設(shè)備管理，共享賬號(hào)問(wèn)題、非法訪問(wèn)、操作審計(jì)問(wèn)題；網(wǎng)絡(luò)設(shè)備運(yùn)維和監(jiān)控，信息安全事件孤島、海量安全日志、安全趨勢(shì)分析不全面以及數(shù)據(jù)庫(kù)非法訪問(wèn)，操作審計(jì)問(wèn)題。針對(duì)這些問(wèn)題，我們采用下述方案解決網(wǎng)絡(luò)運(yùn)維面臨的風(fēng)險(xiǎn)。

1） 旁路部署1臺(tái)堡壘機(jī)提供運(yùn)維唯一入口，實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備安全訪問(wèn)以及賬戶審計(jì)溯源等。

2） 旁路部署1臺(tái)數(shù)據(jù)庫(kù)審計(jì)設(shè)備，實(shí)現(xiàn)數(shù)據(jù)庫(kù)安全訪問(wèn)和審計(jì)。

3） 部署1臺(tái)漏洞掃描設(shè)備，可支持對(duì)主機(jī)漏洞掃描、Web漏洞掃描、弱密碼掃描。

4） 部署1套安全運(yùn)維管理平臺(tái)，不僅可以實(shí)現(xiàn)整個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備監(jiān)控和運(yùn)維，而且還可以收集、監(jiān)視和報(bào)告企業(yè)中的防火墻、入侵防御系統(tǒng)、防病毒產(chǎn)品、訪問(wèn)控制審計(jì)產(chǎn)品等各種安全信息，并匯總到一起，然后通過(guò)大數(shù)據(jù)安全智能分析，迅速識(shí)別高危風(fēng)險(xiǎn)事件。

4 結(jié)束語(yǔ)

醫(yī)院采取統(tǒng)一規(guī)劃，分步實(shí)施來(lái)構(gòu)建數(shù)據(jù)中心安全基礎(chǔ)架構(gòu)，最終達(dá)到了信息安全等級(jí)保護(hù)三級(jí)評(píng)審要求。

參考文獻(xiàn)：

[1] 黃海燕. 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與安全管理維護(hù)的研究[J]. 電腦知識(shí)與技術(shù)， 2013（11）： 2586-2588.

[2] 王紅梅，宗慧娟，王愛(ài)民. 計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J]. 價(jià)值工程， 2015（1）： 209-210.