APP安全建设专项方案.docx
- 文档编号:13824014
- 上传时间:2023-06-17
- 格式:DOCX
- 页数:17
- 大小:268.61KB
APP安全建设专项方案.docx
《APP安全建设专项方案.docx》由会员分享,可在线阅读,更多相关《APP安全建设专项方案.docx(17页珍藏版)》请在冰点文库上搜索。
APP安全建设专项方案
医院服务窗
安全建设方案
9月
一、医院服务窗背景介绍
伴随3G、4G时代到来,大家越来越习惯使用智能手机来查询、和商户互动。
来自中国互联网络信息中心(CNNIC)《中国互联网络发展情况统计汇报》显示,截至底,中国手机网民规模达成约4.6亿人,占整体网民百分比达成78.5%。
而最近几年,互联网在快速颠覆和改变很多传统行业,包含零售、通讯、医疗等行业。
医院作为特殊机关,包含到13亿中国人福祉,但一直存在“挂号难”“看病难、看病贵”“医生劳动和回报”突出问题,之所以出现这种状态是因为两方信息不对称,医患不融合。
我们知道,处理任何双方矛盾根本是平台建设,只有双方在一个平台中共同努力,协调利益,才能有效处理问题。
现在支付宝将对医疗机构开放自己平台能力,包含账户体系、移动平台、支付及金融处理方案、云计算能力等,经过支付宝钱包中服务窗能够提供患者和医院交流一个公众服务平台。
这也就为医院提升就医体验,掌握病人就医行为提供了可能;也为医院将更优质服务经过互联网提供给病人提供了可能。
医院服务窗正是基于支付宝钱包服务窗向患者提供医疗服务平台。
在这个平台上患者及其家眷能够经过服务窗自助完成预约挂号、诊间支付和查看患者感爱好信息,使医院和患者之间就建立了一个信任关系,深入增加了患者对医院信赖感和黏度,从而达成友好医患关系目标。
二、医院服务窗网络安全处理方案
医院服务窗终端用户(病友及访客)是经过互联网来访问医院服务窗IIS服务器获取信息,因为医院服务窗IIS服务器在医院内部网络且需要向医院关键服务器HIS服务器提取相关数据,整个数据链路包含内网及外网,为降低数据流被意外安全事件中止机率,确保整个业务高效,流畅地运转,现为相关数据流设计以下网络安全防护体系。
下图是医院服务窗系统在应用过程中一个经典安全防护设备布署拓补图。
医院服务窗终端用户经过多种移动设备(智能手机、智能平板等)经过互联网向IIS服务器查询数据。
数据流会先经过安全设备第一道门槛-防火墙,然后再经防病毒网关抵达第二道门槛-WEB应用防护设备抵达IIS服务器。
IIS服务器得到请求后会依据终端要求查询内容向HIS关键服务器提取相关数据,这时数据流会经过安全防护设备第三道门槛-网闸抵达HIS服务器。
在医院内部关键交换机处还有一个安全防护设备-IDS来确保监视整个医院内部网络攻击行为或异常现象为快速排错及故障定位提供保障。
以上提到多种安全设备层层防护,相互补充,在最大程度上确保了整个医院服务窗及网络系统安全应用。
各设备具体防护功效及特征将在后面章节具体介绍。
产品布署网络拓扑图以下:
三、安全设备效果及性能介绍
3.1防火墙
防火墙布署于医院内部网络和互联网边界处,是整个网络安全防护基础实施。
关键对需要访问医院服务窗IIS服务器外部用户经行访问控制,起到对于网络层数据流和攻击防御。
同时在蠕虫病毒大爆发时候可预防外部用户将其感染到本安全域之内,造成更大更严重损失。
防火墙按性能可分为万兆、千兆、百兆三大类,其中千兆及百兆应用最为普遍。
万兆高端防火墙关键应用于ISP及大型骨干网中,中端千兆防火墙关键应用于企机关,百兆低端防火墙关键针对桌面级应用。
如医院网络边界处已经有防火墙设备则此处不用考虑。
3.1.1设备技术参数
防火墙
(百兆)
网御星云PowerV6000-F1500-ZK
系统为VSP通用安全平台并含有其证书;设备最少含有三操作系统,MiniOS、SystemA、SystemB,均可开启配置选择,且在WEB界面可明确开启选项,用户可自由选择目前引导系统,保障稳定性;
并发连接数≥150万,吞吐量≥800Mbps,IPSec隧道数≥;标准1U机箱,标配10个10/100MBASE-T接口;支持多端口聚合,实现零成本扩展带宽;支持异常主机快速定位功效。
防火墙
(千兆)
网御星云PowerV6000-F2050-JW
系统为VSP通用安全平台并含有其证书;设备最少含有三操作系统,MiniOS、SystemA、SystemB,均可开启配置选择,且在WEB界面可明确开启选项,用户可自由选择目前引导系统,保障稳定性;
并发连接数≥180万,吞吐量≥3Gbps,IPSec隧道数≥5000;标准1U机箱,标配6个10/100/1000BASE-T接口,4个SFP接口;支持多端口聚合,实现零成本扩展带宽;支持异常主机快速定位功效。
3.2网闸
网闸布署至关关键。
它布署在IIS服务器和HIS数据库之间。
因为用户经过IIS服务器向HIS数据库提取数据时,不管在安全性还是保密性角度来看,网闸布署深入提升了安全等级,抵达物理隔离。
两个网络之间没有任何物理连接,没有任何网络协议能够直接穿透。
并能够实现“协议落地、内容检测”,这么,既从物理上隔离、阻断了含有潜在攻击可能一切连接,又进行了强制内容检测,从而实现最高等级安全。
有效将两网之间实现了安全隔离和业务数据安全、可靠交换。
经过这种布署方法,能够为访问提供更高安全性保障。
确保关键数据库在对外提供数据时不被攻击、篡改、破坏。
安全隔离信息交换系统(网闸)该产品是利用网络隔离技术访问控制产品,处于网络边界,连接两个或多个安全等级不一样网络,关键应用于对关键数据提供高安全隔离保护。
国家保密局对安全隔离和信息交换类产品应用也做了要求,要求安全隔离和信息交换系统在以下四种网络环境下应用:
●不一样涉密网络之间;
●同一涉密网络不一样安全域之间;
●和Internet物理隔离网络和秘密级涉密网络之间;
●未和涉密网络连接网络和Internet之间。
3.2.1设备技术参数
网闸
网御星云SIS-3000-Z1A00-ZK
机架式设备,采取2+1架构,并提供公安部计算机信息系统安全产品质量监督检验中心检验汇报证实;不少于8个10/100/1000M自适应电口,内外网主机系统分别含有独立网络口、管理口、HA口(热备口);4个USB口。
网络延时小于5ms,系统总延时小于1ms,开关切换时间小于10ns,数据摆渡速度大于200Mbps,并发连接数大于15000;含有文件交换、FTP访问、数据库传输、邮件传输、安全浏览、定制访问、安全通道、视频传输等模块;支持全部模块全方面病毒过滤。
网闸
网御星云SIS-3000-Z2A00-JW
机架式设备,采取2+1架构,并提供公安部计算机信息系统安全产品质量监督检验中心检验汇报证实;不少于12个10/100/1000M自适应电口,内外网主机系统分别含有独立网络口、管理口、HA口(热备口);4个USB口。
网络延时小于1ms,系统总延时小于1ms,开关切换时间小于10ns,数据摆渡速度大于750Mbps,并发连接数大于50000;含有文件交换、FTP访问、数据库传输、邮件传输、安全浏览、定制访问、安全通道、视频传输等模块;支持全部模块全方面病毒过滤。
3.3入侵检测(IDS)
在安全防护系统中,若不良来访者被许可访问,它会对用户网络做出令网络管理者无法控制事情,假如系统配置了入侵检测(IDS),这种破坏性行为将被抑制。
我们知道,网络总是要提供服务,对于部分常见服务如浏览和E-mail收发等,防火墙只做到许可或拒绝多种多样访问者访问这些服务,无法判定含有攻击行为访问是否会摧毁防火墙。
这就仿佛门卫难以判定每个来访者是办事者还是偷窃者一样。
假如墙角(或其它什么位置)安装了微型摄像机,能够监视来访者一举一动,保安人员便能够依据来访者行为立即发觉不法分子,立即报警,确保办公和居住人员安全。
我们在关键交换区域布署IDS监听设备,在此位置,它在不影响整体网络业务性能情况下,能监听到全部访问业务服务器区域和内网区域全部行为举动,若有异常行为可联合防火墙等进行安全联动,阻断非法行为,同时为我们出现问题后事后取证和行为还原提供了充足依据。
3.3.1设备具体技术参数
入侵检测系统
网御星云TD3000-FS1000-ZK
探测器引擎操作系统为VSP通用安全平台,含有高效、智能、安全、健壮、易扩展等特点(提供相关证实材料),要求IDS为专业旁路检测类产品,所以要求不得以IPS旁路布署方法提供,不能串接布署,产品应最少支持1个通讯接口,和不少于5个10/100/1000M监听口,大于500Mbps,大于100万;超出3000条检测规则,全方面兼容CVE、BugTraq等国际标准漏洞库。
入侵检测系统
网御星云TD3000-GS1820-JW
探测器引擎操作系统为VSP通用安全平台,含有高效、智能、安全、健壮、易扩展等特点(提供相关证实材料),要求IDS为专业旁路检测类产品,所以要求不得以IPS旁路布署方法提供,不能串接布署,产品应最少支持1个通讯接口,不少于5个10/100/1000M电口监听口,不少于2个千兆SFP光口监听口,冗余双电源,大于1Gbps,大于120万;超出3000条检测规则,全方面兼容CVE、BugTraq等国际标准漏洞库。
3.4Web应用安全防护——WAF
WAF(WebApplicationFirewall)工作在应用层,提供专业针对医院服务窗IIS服务器Web应用防护,提供Web应用交互内容和Web页面中代码漏洞检测防御和Web2.0时代动态网站应用防护,经过实施应用会话内部请求来处理应用层,它专门保护Web应用通信流和全部相关应用资源免受利用Web协议或应用程序漏洞发动攻击。
WAF能够阻止将应用行为用于恶意目标浏览器和HTTP攻击,部分强大应用安全网关甚至能够模拟代理成为基于web应用服务器接收应用交付,布署和全部基于web应用服务器群署名,形象来说相当于给原web应用服务器群加上了一个安全绝缘外壳。
WAF针对常见Web业务系统,提供综合Web应用安全处理方案,确保用户Web业务风险最小化。
WAF经过对进出Web应用服务器http流量相关内容实时分析检测、过滤,来正确判定并阻止多种Web应用攻击行为,阻断对Web应用服务器恶意访问和非法操作,如SQL注入、XSS、Cookie篡改和应用层DoS攻击等,有效应对网页篡改、网页挂马、敏感信息泄露等安全问题。
系统使用主动实时监测过滤技术,将恶意代码、非授权篡改、应用攻击等众多威胁进行综合防范,从而做到对医院服务窗对外提供服务IIS应用服务器多重保护,确保IIS应用安全最大化,充足保障IIS应用高可用性和可靠性。
经过布署一台WAF管理多个独立Web应用,各Web应用可采取不一样安全策略,能够在不修改用户网络架构情况下增加新应用,为多元化Web业务运行机构提供显著运行优势和便利条件,能够实时配置修改多个后台Web系统,而无需让Web系统下线。
3.4.1设备技术参数
Web应用防火墙
网御星云Leadsec-280WAF-ZK
产品最少可提供1个RJ-45Console口,1个10/100Base-Tx带外管理口,8个10/100/1000Base-T接口,产品应含有液晶显示器,需采取MIPS多核硬件架构,非INTEL多核、非X86架构,处理器最少可支持到2核,吞吐率大于800Mbps,大于100万;基于HTTP/HTTPS/FTP协议蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等基础攻击;CGI扫描、漏洞扫描等扫描攻击;SQL注入攻击、XSS攻击等Web攻击。
应采取优异协议分析技术对入侵特征进行分析,可有效一个防范DNS请求报文洪泛滥攻击,可有效对系统进行安全性识别。
Web应用防火墙
网御星云Leadsec-850WAF-JW
产品最少可提供1个RJ-45Console口,1个10/100Base-Tx带外管理口,12个光电互斥接口,产品应含有液晶显示器,需采取MIPS多核硬件架构,非INTEL多核、非X86架构,处理器最少可支持到4核,吞吐率大于1.8Gbps,大于150万;基于HTTP/HTTPS/FTP协议蠕虫攻击、木马后门、间谍软件、灰色软件、网络钓鱼等基础攻击;CGI扫描、漏洞扫描等扫描攻击;SQL注入攻击、XSS攻击等Web攻击。
应采取优异协议分析技术对入侵特征进行分析,可有效一个防范DNS请求报文洪泛滥攻击,可有效对系统进行安全性识别。
3.5防病毒网关
在网络边界布署防病毒网关,采取高检测度接入方法,在最靠近病毒发生源安全边界处进行集中防护,对夹杂在网络交换数据中各类网络病毒进行过滤,能够对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等多种广义病毒进行全方面拦截。
阻止病毒经过网络快速扩散,将经网络传输病毒阻挡在外,能够有效预防病毒从其它区域传输到内部其它安全域中。
经过布署防病毒网关,截断了病毒经过网络传输路径,净化了网络流量。
如医院网络边界处已经有防火墙设备则此处不用考虑。
3.5.1设备技术参数
防病毒网关
(百兆)
网御星云PowerV6000-A1300-ZK
机架式,2个10/100M电口、4个10/100/1000M电口和一个扩展槽位;防病毒吞吐量600Mbps,并发连接数≥1,800,000,每秒新建连接数≥12,000;支持路由、透明、混合等多种工作模式下网络病毒检测,支持无IP地址透明桥下网络病毒检测模式,支持VPN模式下病毒扫描。
防病毒网关
(千兆)
网御星云PowerV6000-A2390-JW
机架式,6个10/100/1000M电口、2个千兆SFP插槽;防病毒吞吐量1.5Gbps,并发连接数≥2,000,000,每秒新建连接数≥20,000;支持路由、透明、混合等多种工作模式下网络病毒检测,支持无IP地址透明桥下网络病毒检测模式,支持VPN模式下病毒扫描。
四、安全设备架构提议
医院服务窗系统安全防护建设本着信息安全建设四标准进行,即:
“全方面保障”标准:
信息安全风险控制需要多角度、多层次,从各个步骤入手,全方面保障。
“整体计划,分步实施”标准:
对信息安全建设进行整体计划,分步实施,逐步建立完善信息安全体系。
“同时计划、同时建设、同时运行”标准:
安全建设应和业务系统同时计划、同时建设、同时运行,在任何一个步骤疏忽全部可能给业务系统带来危害。
“适度安全”标准:
没有绝正确安全,安全和易用性是矛盾,需要做到适度安全,找到安全和易用性平衡点。
在实施过程中基于以上四标准在安全设备配置布署上也因医院具体情况而定,下面给出本方案中安全设备在多个常见情况下配置组合为用户提供参考。
对于威胁防护,可分为三个防护等级:
基础防护:
经过防火墙设置网络安全策略,限制对IP地址及Port访问,并采取入侵检测系统(IDS)对异常网络行为及攻击手段进行监测和日志统计。
该防护等级可阻止大部分已知攻击行为,但对内容不能进行检测,对系统漏洞防护力较弱。
防护效果:
★★★☆☆
所需安全设备:
防火墙、入侵检测系统
主动防护:
在基础防护等级基础上,采取Web应用安全防护系统可关键针对系统应用服务器进行保护,对进出服务器数据协议和内容进行分析,并对应用步骤进行限定,对于内容包含威胁或不符合协议和应用步骤行为进行阻断。
同时增加防病毒安全网关(AV)对网络病毒进行查杀。
该防护等级可阻止绝大部分网络攻击及病毒传输。
防护效果:
★★★★☆
所需安全设备:
防火墙、入侵检测系统、Web应用安全防护系统、防病毒安全网关(AV)
物理隔离:
在主动防护等级基础上,利用完全隔离和信息交换系统(网闸)对内网和外网进行物理隔离,同时实现指定业务数据高等级安全交换。
该防护等级可阻止全部XX网络操作和数据传输,杜绝外网对内网全部安全威胁。
防护效果:
★★★★★
所需安全设备:
防火墙、入侵检测系统、Web应用安全防护系统、防病毒安全网关(AV)、完全隔离和信息交换系统(网闸)
五、安全设备布署实施时间计划表
项目内容
时间
前期调研网络情况及具体需求
2-3天
上架实施制订多种安全策略
2-3天
上线试运行观察,随时调整策略至稳定
4天
技术文档移交
1天
日常使用及维护培训
1-2天
六、安全设备厂商及产品选择参考
在明确了我们信息安全防护目标及关键后,我们提议从以下多个方面去考虑对安全产品品牌及厂商选择。
1、本土化
因为安全产品特殊性及敏感性,提议在品牌及厂商选择上尽可能选择中国厂商。
信息安全领域行业在中国已经发展十分成熟,中国安全厂商和国外安全厂商从技术上讲不存在什么差距,产品质量上也没有什么显著差距无须盲目迷信国外厂商。
且中国厂商更熟悉国情及国人使用习惯。
2、拥有自主知识产权一线品牌厂商
鉴于安全本身是一个相对动态服务,只有拥有自主知识产权厂商产品工艺步骤能保障愈加好产品质量,其拥有强大研发团体及服务团体更能确保产品软件系统延续及升级,保障相关特殊码及病毒库立即更新。
现在一线厂商关键有网御星云、天融信、东软、启明星辰。
3、提供当地化安全服务支撑
安全服务并不只是指对安全设备提供售前售后等服务,它是针对整个信息化网络安全保障提供咨询服务、处理方案、产品实施三位一体完整信息安全保护体系。
为用户提供风险评定服务、等级保护服务、安全体系咨询、安全运维服务和信息安全培训等。
有实力、资质提供安全服务厂商对网络安全会掌握更正确了解更透彻,对用户就能提供更可靠更细致服务保障。
4、拥有多种行业、数量较大实施案例及用户群
5、产品选择要素
产品名称
选择要素(产品选择时最少要含有以下特征确保产品品质)
网闸
含有双系统引导,及备份恢复系统,支持Web及用户端认证、含有病毒检测专用模块、含有抗DoS、DDoS功效、内外网口分别独立配置、管理确保实现真正网闸隔离机制
Web应用安全防护系统
含有自由专利技术SQL、XSS攻击防御技术、支持HTTPS应用协议解密及针对HTTPS应用攻击防护
入侵检测系统
支持计算机病毒检测,病毒库数量超出100万、支持Web攻击检测扫描、含有威胁事件实时展示功效
防火墙
含有两个操作系统,和单独备份恢复系统,保障操作系统稳定性
含有ISP路由表,可实现基于运行商路由链路负载均衡、含有服务器负载均衡功效、支持扩展防病毒和入侵防御功效、含有1000万级网址智能特征库
防病毒
网关
支持HTTP,SMTP,FTP,PO3P,IMAP等多个协议下病毒防护,支持自定义非标准端口HTTP,SMTP,FTP,POP3,IMAP协议中病毒检测;
支持过滤邮件病毒、文件病毒、恶意网页代码、木马后门、蠕虫等多个类型病毒,支持基于病毒防护规则设置阻断并清除病毒、统计日志,发送电子邮件报警等。
综合以上多种条件,在产品选择上我们推荐产品线丰富、性价比较高网御星云旗下安全产品。
七、安全防护应用等级参考价
7.1安全防护套装A系列:
安全防护套装A系列能满足1500人同时在线访问,支持大数据量传输,同时也能胜任突发集中访问出现高负荷情况,和业务高峰时频繁访问等极端条件下处理能力。
推荐三甲医院采取该套装方案。
套装A1:
基础防护级
产品名称
产品规格
中联价格
市场提议价
网御星云防火墙
PowerV6000-F2050-JW
55000.00
70000.00
网御星云入侵检测系统(IDS)
TD3000-GS1820-JW
135000.00
160000.00
累计
190000.00
230000.00
套装A2:
主动防护级
网御星云防火墙
PowerV6000-F2050-JW
55000.00
70000.00
网御星云入侵检测系统(IDS)
TD3000-GS1820-JW
135000.00
160000.00
防病毒安全网关(AV)
PowerV6000-A2390-JW
65000.00
80000.00
Web应用安全防护系统(WAF)
Leadsec-850WAF-JW
125000.00
150000.00
累计
380000.00
460000.00
套装A3:
物理隔离级
网御星云防火墙
PowerV6000-F2050-JW
55000.00
70000.00
网御星云入侵检测系统(IDS)
TD3000-GS1820-JW
135000.00
160000.00
防病毒安全网关(AV)
PowerV6000-A2390-JW
65000.00
80000.00
Web应用安全防护系统(WAF)
Leadsec-850WAF-JW
125000.00
150000.00
完全隔离和信息交换系统(网闸)
SIS-3000-Z2A00-JW
115000.00
140000.00
累计
495000.00
600000.00
7.2安全防护套装B系列:
安全防护套装B系列能支持300-500人同时在线访问,该套装系列能满足中小型医院正常访问量,不过当出现超限定人数访问量、大规模集中访问等极端情况时,可能会出现该套装无法负荷情况。
推荐二甲医院或三级专科医院采取该套装方案。
套装B1:
基础防护级
产品名称
产品规格
中联价格
市场提议价
网御星云防火墙
PowerV6000-F1500-ZK
30000.00
40000.00
网御星云入侵检测系统(IDS)
TD3000-FS1000-ZK
67000.00
85000.00
累计
97000.00
125000.00
套装B2:
主动防护级
网御星云防火墙
PowerV6000-F1500-ZK
30000.00
40000.00
网御星云入侵检测系统(IDS)
TD3000-FS1000-ZK
67000.00
85000.00
防病毒安全网关(AV)
PowerV6000-A1300-ZK
48000.00
60000.00
Web应用安全防护系统(WAF)
Leadsec-280WAF-ZK
95000.00
118000.00
累计
240000.00
303000.00
套装B3:
物理隔离级
网御星云防火墙
PowerV6000-F1500-ZK
30000.00
40000.00
网御星云入侵检测系统(IDS)
TD3000-FS1000-ZK
67000.00
85000.00
防病毒安全网关(AV)
PowerV6000-A1300-ZK
48000.00
60000.00
Web应用安全防护系统(WAF)
Leadsec-280WAF-ZK
95000.00
118000.00
完全隔离和信息交换系统(网闸)
SIS-3000-Z1A00-ZK
90000.00
110000.00
累计
330000.00
413000.00
备注:
因为每种安全设备中系列众多,依据不一样规模不一样需求不一样应用环境,价格也不尽相同。
所以表中所列价格仅为参考。
具体型号及价格还是要依据实际情况有所改变。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- APP 安全 建设 专项 方案
![提示](https://static.bingdoc.com/images/bang_tan.gif)