龙岩医疗保险网络信息系统安全建设方案

龙岩医保局信息系统安全建设方案（草案）龙岩医疗保险网络信息系统安全建设方案Page1of32摘要本方案针对龙岩医保业务特点和整体网络结构，提供网络安全问题的整体解决方案。方案共分四章，第一章分析了龙岩医保网络的安全需求，并提出了针对该网络安全体系模型；第二章分析了目前实现安全体系的成熟技术；第三章分析了目前市场上的主要产品及这些产品的集成；第四章阐述了如何使用以上产品建设龙岩医保网络信息系统的安全体系。第一章平台安全体系概述龙岩医保局的网络整体结构是—个通过CHINAPAC或CHINADDN或PSTN等中国公共网络连接的多级网络，在网络每一级的节点上具有一个局域网，在网络上运行着医疗保险业务系统等不同的系统，由于应用系统的复杂化，网络安全体系及网络管理系统的建立和全面解决方案更是迫在眉睫，总体上龙岩医保局的网络安全及管理方案包括以下几个主要方面：(1)龙岩医保局业务系统网络安全需求。(2)网络中心集中监控的需求。(3)Internet服务网络。(5)各个地级市系统之间的网络安全及监控。(6)各种应用的认证体系。以上几个方面均有不同的安全需求，单一的防火墙远不能满足以上的复杂要求，每种应用会有不同的安全需求，要求建立不同的安全策略，但同时，象不同的应用运行在同一个网络上—样，网络安全也应该是—个统一全面的解决方案。本章将针对以上应用类型，给出适应该平台的层次化安全体系结构。当我们建立好一个网络应用体系结构之后，为了保证应用系统的健康状态，对网络运行情况的管理和监控就显得非常重要，包括实时检测故障地点、实时监控网络带宽、网络中心集中监控等。通过以下的分析，我们提供的解决方案力图从网络安全的威胁及管理入手，在网络的各个层次上提供全面的解决方案。1.1安全威胁自信息系统开始运行以来就存在信息系统安全问题，通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过１70亿美元。由于龙岩医保局网络内运行的有多种网络协议，而这些网络协议并非专为安全通讯而设计。所以，龙岩医保局网络可能存在的安全威胁来自以下方面：(1)操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。(2)防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检龙岩医疗保险网络信息系统安全建设方案Page2of32验。(3)来自内部网用户的安全威胁。(4)缺乏有效的手段监视、评估网络系统的安全性。(5)采用的TCP/IP协议族软件，本身缺乏安全性。(6)未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。(7)应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。1.2平台安全的需求龙岩医保局网络平台将支持龙岩医保局的多种应用系统，对于每种系统均在不同程度上要求充分考虑平台安全。1.2.1龙岩医保局网络的基本安全需求满足基本的安全要求，是该网络成功运行的必要条件，在此基础上提供强有力的安全保障，是建设龙岩医保局网络系统安全的重要原则。龙岩医保局网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是龙岩医保局网络的基本安全需求。对于各种各样的网络攻击，如何在提供灵活且高效的网络通讯及信息服务的同时，抵御和发现网络攻击，并且提供跟踪攻击的手段，是本项目需要解决的问题。龙岩医保局网络基本安全要求：(1)网络正常运行。在受到攻击的情况下，能够保证网络系统继续运行。(2)网络管理/网络部署的资料不被窃取。(3)具备先进的入侵检测及跟踪体系。(4)提供灵活而高效的内外通讯服务。1.2.2业务系统的安全需求与普通网络应用不同的是，业务系统是龙岩医保机构应用的核心。对于业务系统应该具有最高的网络安全措施。龙岩医保局网络应保障：(1)访问控调，确保业务系统不被非法访问。(2)数据安全，保证数据库软硬件系统的整体安全性和可靠性。(3)入侵检测，对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪，提供非法攻击的犯罪证据。(4)来自网络内部其他系统的破坏，或误操作造成的安全隐患。1.3平台安全与平台性能和功能的关系通常，系统安全与性能和功能是一对矛盾的关系。如果某个系统不向外界提龙岩医疗保险网络信息系统安全建设方案Page3of32供任何服务（断开)，外界是不可能构成安全威胁的。但是，龙岩医疗保险的网络系统是一个开放式的网络，在网上进行关键业务服务，等于将一个内部封闭的网络建成了一个开放的网络环境，各种安全包括系统级的安全问题也随之产生。来自网络的安全威胁是实际存在的，特别是在网络上运行关键业务时，网络安全是首先要解决的问题。选择适当的技术和产品，制订灵活的网络安全策略，在保证网络安全的情况下，提供灵活的网络服务通道。采用适当的安全体系设计和管理计划，能够有效降低网络安全对网络性能的影响并降低管理费用。1.4平台安全的体系结构龙岩医保局网络的安全涉及到平台的各个方面。按照网络OSI的7层模型，网络安全贯穿于整个7层模型。针对龙岩医保局网络实际运行的TCP/IP协议，网络安全贯穿于信息系统的4个层次。平台安全的层次模型下图表示了对应龙岩医保局网络的安全体系层次模型：图1-1安全体系层次模型物理层的安全物理层信息安全，主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击（干扰等）链路层的安全链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN（局域网）、加密通讯（远程网）等手段。网络层的安全网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。操作系统的安全操作系统安全要求保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。会话层应用层应用系统应用平台网络层链路层物理层会话安全应用层应用系统安全应用平台安全安全路由/访问机制链路安全物理层信息安全龙岩医疗保险网络信息系统安全建设方案Page4of32应用平台的安全应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂，通常采用多种技术（如SSL等)来增强应用平台的安全性。应用系统的安全应用系统完成网络系统的最终目的--为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全，如通讯内容安全，通讯双方的认证，审计等手段。龙岩医疗保险网络信息系统安全建设方案Page5of321.5全方位的安全体系与其它安全体系（如保安系统）类似，龙岩医疗保险应用系统的安全休系应包含：(1)访问控制。通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。(2)检查安全漏洞。通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。(3)攻击监控。通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。(4)加密通讯。主动的加密通讯，可使攻击者不能了解、修改敏感信息。(5)认证。良好的认证体系可防止攻击者假冒合法用户。(6)备份和恢复。良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。(7)多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。(8)隐藏内部信息，使攻击者不能了解系统内的基本情况。(9)设立安全监控中心，为信息系统提供安全体系管理、监控，渠护及紧急情况服务。1.6平台安全的管理因素平台安全可以采用多种技术来增强和执行。但是，很多安全威胁来源于管理上的松懈及对安全威胁的认识。安全威胁主要利用以下途径：(1)系统实现存在的漏洞。(2)系统安全体系的缺陷。(3)使用人员的安全意识薄弱。(4)管理制度的薄弱。良好的平台管理有助于增强系统的安全性：(1)及时发现系统安全的漏洞。(2)审查系统安全体系。(3)加强对使用人员的安全知识教育。(4)建立完善的系统管理制度。龙岩医疗保险网络信息系统安全建设方案Page6of32第二章安全及监控体系的实现技术基于以上的分析，龙岩医保局网络系统涉及到各方面的网络安全及管理问题，我们认为整个龙岩医保局的运行体系必须集成多种安全技术及管理实现。如防火墙技术，入侵监控技术、安全漏洞扫描技术、故障性能管理技术、专家分析系统技术等。2.1虚拟网技术虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。由以上运行机制带来的网络安全的好处是显而易见的：(1)信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。(2)通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是，虚拟网技术也带来了新的安全问题：(1)执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。(2)基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。(3)基于MAC的VLAN不能防止MAC欺骗攻击。2.1.1以太网的链路安全以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。但是，采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。网络层通讯可以跨越路由器，因此攻击可以从远方发起。IP协议族各厂家实现的不完善，因此，在网络层发现的安全漏洞相对更多，如IPsweep,teardrop,sync-flood,IPspoofing攻击等。2.2防火墙枝术防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。龙岩医疗保险网络信息系统安全建设方案Page7of322.2.1使用Firewall的益处保护脆弱的服务通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。控制对系统的访问Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，Firewall允许外部访问特定的MailServer和WebServer。集中的安全管理Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。增强的保密性使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS。记录和统计网络利用数据以及非法使用数据Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。策略执行Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。2.2.2设置Firewall的要素网络策略影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。服务访问策略服务访问策略集中在Internet访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等）。服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知