APP安全建设方案

安全建设方案1医院服务窗安全建设方案2014年9月安全建设方案2目录一、医院服务窗背景介绍.......................................................................................................3二、医院服务窗网络安全解决方案.......................................................................................3三、安全设备效果及性能简介...............................................................................................43.1防火墙...............................................................43.1.1设备技术参数.........................................................................................................53.2网闸.................................................................53.2.1设备技术参数..........................................................................................................63.3入侵检测（IDS）......................................................63.3.1设备详细技术参数.................................................................................................73.4Web应用安全防护——WAF.............................................73.4.1设备技术参数.........................................................................................................83.5防病毒网关...........................................................83.5.1设备技术参数.........................................................................................................9四、安全设备架构建议...........................................................................................................9五、安全设备部署实施时间计划表.....................................................................................10六、安全设备厂商及产品选择参考.....................................................................................11七、安全防护应用等级参考价.............................................................................................137.1安全防护套装A系列：................................................137.2安全防护套装B系列：................................................14安全建设方案3一、医院服务窗背景介绍随着3G、4G时代的到来，大家越来越习惯使用智能手机来查询、和商户的互动。来自中国互联网络信息中心（CNNIC）的《2013中国互联网络发展状况统计报告》显示，截至2013年底，中国手机网民规模达到约4.6亿人，占整体网民的比例达到78.5%。而最近几年，互联网在快速颠覆和改变很多传统行业，包括零售、通讯、医疗等行业。医院作为特殊的事业单位，涉及到13亿中国人的福祉，但一直存在“挂号难”“看病难、看病贵”“医生劳动与回报”突出的问题，之所以出现这种状态是由于两方信息的不对称，医患不融合。我们知道，解决任何双方矛盾的根本是平台的建设，只有双方在一个平台中共同努力，协调利益，才能有效解决问题。目前支付宝将对医疗机构开放自己的平台能力，包括账户体系、移动平台、支付及金融解决方案、云计算能力等，通过支付宝钱包中的服务窗可以提供患者与医院交流的一个公众服务平台。这也就为医院提高就医体验，掌握病人就医行为提供了可能；也为医院将更优质的服务通过互联网提供给病人提供了可能。医院服务窗正是基于支付宝钱包服务窗向患者提供的医疗服务平台。在这个平台上患者及其家属可以通过服务窗自助完成预约挂号、诊间支付以及查看患者感兴趣的信息，使医院和患者之间就建立了一种信任关系，进一步增加了患者对医院的信赖感和黏度，从而达到和谐医患关系的目标。二、医院服务窗网络安全解决方案医院服务窗的终端用户（病友及访客）是通过互联网来访问医院服务窗的IIS服务器获取信息，由于医院服务窗的IIS服务器位于医院内部网络且需要向医院的核心服务器HIS服务器提取相关数据，整个数据链路涉及内网及外网，为降低数据流被意外安全事件中断的机率，保证整个业务高效，流畅地运转，现为相关数据流设计如下网络安全防护体系。下图是医院服务窗系统在应用过程中一个典型的安全防护设备部署拓补图。医院服务窗的终端用户通过各种移动设备（智能手机、智能平板等）经过互联网向IIS服务器查询数据。数据流会先经过安全设备的第一道门槛-防火墙，然后再经防病毒网关到达第二道门槛-WEB应用防护设备到达IIS服务器。IIS服务器得安全建设方案4到请求后会根据终端要求查询的内容向HIS核心服务器提取相关数据，这时数据流会经过安全防护设备的第三道门槛-网闸到达HIS服务器。在医院内部核心交换机处还有一个安全防护设备-IDS来保证监视整个医院内部网络的攻击行为或异常现象为快速排错及故障定位提供保障。以上提到的各种安全设备层层防护，相互补充，在最大程度上保证了整个医院服务窗及网络系统的安全应用。各设备的具体防护功能及特性将在后面的章节详细介绍。产品部署网络拓扑图如下：三、安全设备效果及性能简介3.1防火墙防火墙部署于医院内部网络与互联网边界处，是整个网络安全防护的基础实施。主要对需要访问医院服务窗IIS服务器的外部用户经行访问控制，起到对于网络层数据流和攻击的防御。同时在蠕虫病毒大爆发的时候可防止外部用户将其感染到本安全域之内，造成更大更严重的损失。安全建设方案5防火墙按性能可分为万兆、千兆、百兆三大类，其中千兆及百兆应用最为普遍。万兆高端防火墙主要应用于ISP及大型骨干网中，中端千兆防火墙主要应用于企事业单位，百兆的低端防火墙主要针对桌面级应用。如医院网络边界处已有防火墙设备则此处不用考虑。3.1.1设备技术参数防火墙(百兆)网御星云PowerV6000-F1500-ZK系统为VSP通用安全平台并具备其证书；设备至少具备三操作系统，MiniOS、SystemA、SystemB，均可启动配置选择，且在WEB界面可明确启动选项，用户可自由选择当前引导系统，保障稳定性；并发连接数≥150万,吞吐量≥800Mbps，IPSec隧道数≥2000；标准1U机箱，标配10个10/100MBASE-T接口；支持多端口聚合，实现零成本扩展带宽；支持异常主机快速定位功能。防火墙(千兆)网御星云PowerV6000-F2050-JW系统为VSP通用安全平台并具备其证书；设备至少具备三操作系统，MiniOS、SystemA、SystemB，均可启动配置选择，且在WEB界面可明确启动选项，用户可自由选择当前引导系统，保障稳定性；并发连接数≥180万，吞吐量≥3Gbps，IPSec隧道数≥5000；标准1U机箱，标配6个10/100/1000BASE-T接口，4个SFP接口；支持多端口聚合，实现零成本扩展带宽；支持异常主机快速定位功能。3.2网闸网闸的部署至关重要。它部署在IIS服务器与HIS数据库之间。因为用户通过IIS服务器向HIS数据库提取数据时，无论在安全性还是保密性的角度来看，网闸的部署进一步提升了安全的等级，到达物理隔离。两个网络之间没有任何物理连接，没有任何网络协议可以直接穿透。并可以实现“协议落地、内容检测”，这样，既从物理上隔离、阻断了具有潜在攻击可能的一切连接，又进行了强制内容检测，从而实现最高级别的安全。有效的将两网之间实现了安全隔离与业务数据安全、可靠的交换。通过这种部署方式，可以为访问提供更高的安全性保障。确保核心数据库在对外提供数据时不被攻击、篡改、破坏。安全隔离信息交换系统（网闸）该产品是利用网络隔离技术的访问控制产品，处于网络边界，连接两个或多个安全等级不同的网络，主要应用于对重点数据提供高安全隔离的保护。国家保密局对安全隔离与信息交换类产品的应用也做了规定，规定安全隔离与信息交换系统在以下四种网络环境下应用：安全建设方案6不同的涉密网络之间；同一涉密网络的不同安全域之间；与Internet物理隔离的网络与秘密级涉密网络之间；未与涉密网络连接的网络与Internet之间。3.2.1设备技术参数网闸网御星云SIS-3000-Z1A00-ZK机架式设备，采用2+1架构，并提供公安部计算机信息系统安全产品质量监督检验中心检验报告证明；不少于8个10/100/1000M自适应电口，内外网主机系统分别具有独立的网络口、管理口、HA口（热备口）；4个USB口。网络延时小于5ms，系统总延时小于1ms，开关切换时间小于10ns，数据摆渡速度大于200Mbps，并发连接数大于15000；具备文件交换、FTP访问、数据库传输、邮件传输、安全浏览、定制访问、安全通道、视频传输等模块；支持所有模块全面病毒过滤。网闸网御星云SIS-3000-Z2A00-JW机架式设备，采用2+1架构，并提供公安部计算机信息系统安全产品质量监督检验中心检验报告证明；不少于12个10/100/1000M自适应电口，内外网主机系统分别具有独立的网络口、管理口、HA口（热备口）；4个USB口。网络延时小于1ms，系统总延时小于1ms，开关切换时间小于10ns，数据摆渡速度大于750Mbps，并发连接数大于50000；具备文件交换、FTP访问、数据库传输、邮件传输、安全浏览、定制访问、安全通道、视频传输等模块；支持所有模块全面病毒过滤。3.3入侵检测（IDS）在安全防护系统中，若不良来访者被允许访问，它会对用户网络做出令网络管理者无法控制的事情，如果系统配备了入侵检测（IDS），这种破坏性行为将被抑制。我们知道，网络总是要提供服务的，对于一些常用的服务如浏览和E-mail收发等，防火墙只做到允许或者拒绝各种各样访问者访问这些服务，无法判定具有攻击行为的访问是否会摧毁防火墙。这就好像门卫难以判定每个来访者是办事者还是偷窃者一样。如果墙角(或其他什么位置)安装了微型摄像机，能够监视来访者的一举一动，保安人员便可以根据来访者的行为及时发现不法分子，及时报警，确保办公与居住人员的安全。我们在核心交换区域部署IDS监听设