大兴中医院网络安全解决方案

大兴中医院网络安全解决方案前言随着信息化建设的蓬勃发展，网络与信息系统安全成为受人们关注的焦点问题，越来越多的安全设备与软件被集成到管理系统内，大家逐渐开始用系统化、整体化的思想处理安全问题。基于这种观点，只有动态地、系统地考虑安全问题才有可能真正为用户提供有效的安全保障。目前，大兴中医院的业务系统对网络的依赖性越来越高，内网安全问题对用户的工作效率的影响愈加明显，内部网络的安全性显得更加重要，一些内部的无察觉甚至故意的操作往往造成对网络运营的破坏及重要资料的外露，造成明显经济损失。只有发现问题、明确问题，才能应对和解决问题，以下结合大兴中医院的网络实际应用环境就内网安全威胁作一些简单分析。一、网络环境目前，大兴区中医院的网络环境为内外网分离，核心交换使用的是华为的S3900。内部网络全部接入一个VLAN中。且服务器上没有安装杀毒软件。IP使用DHCP方式获得，其中服务器使用了固定的IP。所有的应用包括HIS系统、OA系统都在同一个网段中运行。二、存在的问题根据我公司技术人员在大兴区中医院网络应用的调查结果，发现有以下一些问题：IP地址采用DHCP方式，在没有对IP地址统一管理的情况下（如ip和mac的绑定）。会存在IP地址盗用和混用的问题。从而存在IP冲突的危险。尤其是前一段时间发生的盗用服务器IP造成服务器无法正常连接的恶性事件，更突显了对IP地址规划和管理的迫切性；网络设备的IP地址有冲突现象存在，在进行网络诊断过程中发现核心交换的VLAN1的IP与未知的某个设备有冲突。核心交换IP冲突直接会影响交换机的性能（此问题通过更改VLAN1的IP解决）。冲突和更换IP后的截图如下：通过对核心交换的流量分析得出以下结论1、流量分配不均匀，流量较大的交换机接口5天流量达到3000M，中等流量的交换机端口5天流量900M，流量较小的交换机端口100M。还有极少数流量极小的端口忽略不计；2、广播包比较多，5天时间里，最高的交换机端口达到近5千万个广播包。3、组播报也比较多，5天时间里，最高的交换机端口达到3千万个以上的组播包。4、丢包率不是很高，通过性能监视器测试，丢包率3%分析结果：1、流量分布不均衡，有的交换机端口负载过重。最大流量端口和最小流量端口之间相差几十倍；2、广播和组播包的数量超出了正常情况，导致无效带宽的使用过大。5天的数据显示组播包和广播包的数量都是几千万级别，这样大量的组播和广播包充斥在内网中，对网络的影响是显而易见的。3、交换机曾经在5天前重启过，作为核心交换重启如果是非正常重启则问题比较严重；4、丢包率很低，说明网络中在监测过程中没有发现恶意攻击行为，可以断定大量的组播包和广播都来自于终端。中医院核心交换流量图通过以上分析可以发现。中医院的网络应用问题主要出现在终端一级。考虑到大量未知的广播和组播发生，可以基本断定是终端上大量发包的进程，大量的广播和组播包的发送之间会影响到终端机对网络的正常使用。因核心交换上面获得的数据仅为宏观数据，详细定位并解决问题需要在接入交换机和终端PC上面进行管理和分析。但是，宏观数据可以明确显示问题发生在接入层和终端机上。终端接入管理混乱1.各种未授权的客户端不受控制地任意介入内部网络；2.客户端权限不清晰；3.客户端能访问的资源不确定；4.缺乏集中、有效的客户端行为监控；终端管理混乱，各类软件进程使用不受限制1.终端软件安装混乱，业务软件与非业务软件并存；2.软件来源复杂，终端使用人员自行安装的软件因为没有经过安全检测，所以可能内置了木马、病毒等3.目前内网安全问题的都是来自于桌面计算机（互联网或移动介质），而目前防火墙、病毒网关都侧重于网络边界的安全防护，不能消除用户桌面的安全隐患，更不可能避免内部人员的不规范操作。所以说，安全的真实边界在于内网终端。4.系统补丁管理缺乏，蠕虫病毒、木马程序、间谍软件、骚扰广告、垃圾邮件等恶意代码进入内网主要是利用桌面计算机的安全漏洞技术管理手段缺失1.信息系统主管部门在对内网的运行情况进行判断时信息不足，通常只能够通过网络设备获得网络流量、协议分布等简要信息，而对网络信息的制造者－内部员工的计算机的基本信息、健康状况、运行的软件等基本上一无所知。这样，管理部门就很难及时发现网络中有异常的机器和异常的网络行为，提前采取预防措施。当内网安全问题已经严重影响正常运营时才发现问题的存在，此时采取补救措施已经为时已晚！同时，由于没有强有力的管理手段，使网络管理的规章制度流于形式，造成运营故障责任不明确的严重后果！2.只要内部有一台机器感染病毒或木马，很快就会把该病毒载体传染到内网的其他机器，所以能在第一时间找到内网中有问题的机器，是保护网络正常运营的前提条件。三、内网安全管理需求1内网安全需求为了更加有效在保护内部信息及保障安全运营，安全管理、安全控制等目标，需采用事先和主动的安全管理和安全控制的方式，将内部网络的安全隐患以技术的手段进行有效的控制，以全面保护网络、系统、应用和数据。通过对每一个网络用户行为的监视和记录，将网络的安全隐患可视化，提供实时监控，并形成完整的日志，为审计提供依据，从而大大提高内部专用网络的安全性，真正保障每一个网络用户都在授权的范围内合法地使用网络和数据。2内网管理需求内网安全的实现，更多地要通过技术手段来提升管理能力，通过管理手段来发挥安全产品的实施效果，从而达到总体的安全管理目标。1）优化员工对网络资源的使用，避免工作时间在网上进行其他活动，确保员工正常工作。2）为了减轻网管的工作量,提高网管的工作效率,应实施智能的自动补丁分发与软件分发的系统，终端的远程维护恢复系统，建立通过强制规则进行管理的安全新模式。达到实现和主动防范安全事件的效果。3）对于终端用户来说，虽然已经部署了桌面防病毒软件，但是现有的国内外防毒厂商都不能够做到对所有病毒及其变种进行查杀。通过部署终端安全管理系统，通过进程检测、应用程序准入、安全状态监测等手段，能够控制第一时间进到用户桌面的病毒，使其不能执行，从而做到桌面病毒的蔓延的新的控制体系。能够作到第一时间发现，第一时间处理，降低由于恶意代码感染带来的业务风险和处理成本。四解决思路北京桥盟创联科技有限公司常年专著于信息安全领域的服务和技术研发，结合多年安全领域的工作经验和强大的研发实力，在深入分析目前内网安全问题形成的根本原因的基础上，研发成功BTA™运营保障系统。BTA™运营保障系统一套综合性安全管理产品，具有完全的自主知识产权。该平台通过对网络中各种网络安全设备和安全软件的集中管理和监控，把一个个原本分离的网络安全设备联结成一个有机协作的整体，实现网络安全管理过程中的实时状态监测、动态策略调整、综合安全审计、数据关联处理以及恰当及时的威胁响应，从而有效提升用户网络的可管理性和安全水平，为整体安全策略的制定和实施提供可靠的依据。1可知是内网安全的基本前提内网安全问题的产生90％以上来自职员的个人计算机，如蠕虫病毒、Spyware、Adware等，目前的常见的网络安全产品很难了解桌面计算机的具体情况，因而导致网络管理员很难真实了解到网络中运行的应用程序情况。IntraSec™一个非常实用的功能是能够协助管理员了解并统计内网的具体应用情况，这包括两个方面：1）桌面终端的静态信息，如操作系统类型、安装的软件、硬件配置、用户的网络配置、运行的服务等；2）动态信息的可知，相对于静态信息，它可以使网络管理部门及时掌握网络中动态应用的情况，BTA运营保障系统能够自学习网络通信应用程序、网络流量等信息。3）更重要的是基于这种“可知”的管理模式，对于内部重要信息安全的泄密或资源浪费的应用都可以报表的形式体现，从而提供了强大的内部网络审计，网络安全取证功能。4）对于网络异常的情况，以往在网络中很难进行定位。即哪里是破坏源？什么原因导致的异常？从而让管理人员明知有问题却无从下手改善。BTA可以有效地定位异常客户端的物理信息，以及动态的基于程序及进程的异常源点，不仅能隔离防治而且为管理做了简化及明确的认定。能在第一时间定位内网机器病毒的来源，第一时间预防病毒的扩散，找出问题所在。2可控是内网管理的必要手段信息管理部门通过对网络中应用的动态分析和跟踪，能够及时判断潜在的威胁及现有问题，这是就要求我们能够制定相应的安全策略，并通过技术手段将这些策略落实到每个用户终端上。IntraSec™系统的使这个思想得以实现，通过与BTA客户端安全助理配合，我们能够针对不同部门、不同用户应用不同的安全策略，如防火墙策略、应用程序策略、数据安全策略等。策略的实现是不需要普通职员参与的，我们能够自动的提升每个用户桌面的安全强度，从而达到内网安全强度整体提升的目的。3桥盟公司BTA产品状况北京桥盟创联提出了整体的计算机终端安全理念，提出的终端生命周期管理（EndpointLifecycleManagement,ELM）模型，终端管理可以分类为：资产管理、终端保护、应用监管和审计分析。资产管理用于在企业范围内收集终端硬件信息、软件信息、用户信息等，实现企业级全面实时的资产管理；终端保护用于控制来自终端以外的安全威胁，通过恶意代码防范、个人防火墙技术、设备使用控制、数据文件保护等措施对终端的安全使用提供保护；应用监管用于对终端用户的行为进行监视和控制，比如终端准入控制、非法外联控制、网络滥用控制（上网、网络聊天、游戏等）、应用程序使用限制等；良好的审计分析机制是确保策略得到有效执行的保障手段。在终端的使用、管理、保护以及监管的过程中，需要有一套行之有效的审计措施，并且由专门人员进行日志的分析整理，发现违反策略的行为，或者策略需要改进的地方。在北京桥盟创联构造的BTA运营保障系统可信计算环境的体系结构中，整个系统分别从被保护的终端安全引擎代理、下发各种安全策略的中心策略管理服务器、管理员直观可视的管理员控制台、内网隔离策略强制访问控制系统、各种终端升级与补丁管理系统等五部分组成，这五部分共同协作，构成了BTA运营保障系统安全功能体系。同时，在BTA运营保障系统中，引入了信息资产管理的概念，将所需要保护的人、硬件、软件、系统都以信息资产的保护形式进行资产登记，如果安装BTA的客户端程序，则可以收集到各种信息资产，存放在服务器的数据库中，并不断跟踪终端的变化，从而保证管理员随时得到最新的信息，资产管理收集的信息包括各种硬件信息（IP地址、MAC地址、CPU、内存等）和软件信息（安装的软件产品、补丁等）。针对内网终端安全管理需求的多样性和富有变化的特点，BTA产品的设计和开发基于SOA架构——面向服务的产品体系。简单讲，就是实现了工作逻辑同具体功能的分离。利用标准而且细粒化的功能模块对需求和需求的变化进行快速的构建实现。目前，公司主要销售的产品为BTA运营保障系统Intrasec4.0系列产品。BTA运营保障系统Intrasec4.0已通过公安部安全产品检测中心的测试并取得公安部安全产品销售许可，已在数十家用户安装实施，取得非常好的经济和社会效益。五、解决方案根据大兴区中医院目前碰到的网络及终端安全问题，建议通过部署北京桥盟创联科技有限公司的BTA运营保障系统，从三个方面进行解决：1、终端管理，主要实现以下功能：资产管理1、能够自动登记终端的硬件资产详细信息：1）主板型号及类型；2）BIOS型号、版本、序列号；3）CPU型号、序列号、内核数量；4）显示器及显卡型号、显存；5）内存大小；6）磁盘及光驱型号、数量和容量；7）网卡型号、IP配置、MAC地址2、能够自动登记每个终端的：1）安装的软件名称、版本、发行商等信息；2）系统中安装的服务名称、描述、状态信息；3）系统中的帐号信息；4）共享信息。3、终端的硬件型号、容量等发生变化时系统产生告警信息；4、可根据管理要求生成各类动态资产管理报表；软件、补丁分发1、软件分发：1）要求支持WEB、FTP、第三方服务器等多种分发方式；2）支持强制分发策略或者提示性分发策略；3）对于标准安装格式的软件，支持使用静默方式安装到终端中，安装过程不需使用者参与；4）可定义软件分发的条件和标准并进行