目录
1 项目概述
1.1 项目背景
1.2 项目简介
2 系统安全建设风险与需求
2.1 区域卫生信息化系统架构
2.2 系统的数据性质与分类
2.3 安全风险的分类
2.3.1 个人的风险
2.3.2 机构的风险
2.3.3 国家的风险
2.4 风险控制的重点是防止信息泄露
2.4.1 数据交换系统的安全架构决定系统篡改风险较低
2.4.2 数据的性质决定了篡改的无意义
2.5 风险泄露的途径
2.5.1 权限设置不当风险
2.5.2 来自于应用控制风险策略不当的风险
2.5.3 来自于管理员的风险
2.5.4 来自于第三方人员的安全风险
3 信息数据泄露解决方案
3.1 防信息泄密的建设思路
3.1.1 系统安全的重要性
3.1.2 应用安全的必要性
3.2 构建防信息泄露的城墙
3.2.1 加强系统安全体系
3.2.2 建立事前预警机制
3.2.3 建立事中防护体系
3.2.4 建立事后追溯手段
3.2.5 提升信息安全管理水平
4 方案建议设备清单
-
项目概述
- 项目背景
随着科技的发展和社会的进步,卫生工作的发展已经越来越受到各国政府和国际组织的重视和关注,也是我国建设社会主义和谐社会的重要内容。基于现代医学高新科技的广泛应用、针对每一位公民的健康维护、健康知识普及,构建以个人健康档案数据为核心,以资源共享和互联互通为基础的医疗卫生信息化已成为构建现代医疗卫生服务体系的重中之重,对深化医药卫生体制改革、维护全体公民的健康、加快和谐社会的构建和推进经济社会的发展具有十分重要的基础性和战略性意义。
卫生信息化是实现卫生现代化的重要基础,也是卫生行业转变工作模式和工作作风,提高工作效率和工作质量的重要途径,加快卫生信息化建设是深化卫生改革和卫生事业发展的必然要求。
区域卫生信息化的含义是,利用现代信息网络和通信技术,通过使全市各种卫生相关信息系统的互联互通,实现卫生信息资源的交换、存储和共享,以建成能提高医疗卫生工作质量和效率、节省有限资源、更好地服务民众和政府的综合性的信息工程。
通过区域卫生信息化整合现有的医保卡、新农合卡、健康卡,三卡融合以身份号或统一编制的身份识别号为主索引,建立全市的病人主索引和居民电子健康档案,建成城乡一体、以区域为中心的统一的医疗卫生信息系统,形成卫生信息资源共享库,支持卫生相关数据分析和领导综合决策,实现医疗服务和公共卫生信息的“一卡通”,实现全人全程健康管理,实现新医改提出的“资源整合、互联互通、信息共享、统一高效、使用便捷、实时监管”的卫生信息化目标。
-
- 项目简介
区域卫生信息化项目建立县市级卫生数据中心和区域卫生信息平台;构建电子健康档案资源库和电子病历资源库,完成覆盖试点区域90%常住人口的标准统一、信息共享的个人电子健康档案建设,并全部上传省级卫生信息平台;建立居民就诊一卡通系统,建立健康记录共享、协同、管理系统,实现健康信息在市内医疗机构的共享;改造升级现有新农合管理平台,实现参合农民在省级和绍兴市级定点医疗机构出院即时结报;完成二级以上医院医疗信息系统改造,建设标准化住院电子病历,并按省级统一传输标准上传省、地级市卫生信息平台;改造乡镇卫生院(社区卫生服务中心)的医院管理信息系统,重点建设医生工作站,对原狭义EHR(狭义电子健康档案)进行改造,与全市范围内的其他各级医疗机构整合形成区域范围内数据共享、业务协同的广义EHR(全程电子健康档案);建设健康体检信息系统;推行远程医疗和预约诊疗,实现50%的二级以上医疗机构和30%的乡镇卫生院(社区卫生服务中心)接入省级远程诊疗平台,二级以上医疗机构全面实现预约诊疗,并与全省统一的预约诊疗平台对接;建设区域检验信息系统,在中小乡镇卫生院建设区域医院信息系统;配合完成省级基本药物监测管理信息系统的建设;配合完成国家CDC信息采集试点工作;初步建立疾病控制、妇幼保健、卫生监督等公共卫生服务协同模式。
在完善医疗服务、公共服务应用的基础上,分阶段建立完善区域内业务协同系统,包括面向医疗层面的双向转诊、远程会诊等应用,以及面向健康管理层面的针对不同重点人群、重点疾病的跨机构业务协同应用;升级整合新农合卡;建立医务人员一卡通系统及配套的绩效考核系统;进一步完善远程医疗、预约诊疗、电子健康档案、电子病历、临床路径和疾病控制、妇幼保健、卫生监督、血液信息系统建设;建立居民健康记录查询系统;建立社区卫生服务绩效考核系统;建立卫生决策分析系统;完善数据中心和信息平台建设,建设市级卫生资源管理系统、建立市级健康服务网,完成数据中心等级保护测评与整改。
区域卫生信息化项目的最终目标是实现新医改提出的“资源整合、互联互通、信息共享、统一高效、使用便捷、实时监管”的卫生信息化目标。
-
系统安全建设风险与需求
- 区域卫生信息化系统架构
区域卫生信息化是以“区域卫生信息平台”的建设为核心,以建立健全市各级医疗卫生机构信息化系统为基础,通过标准规范(数据规范、业务整合规范、应用规范、管理规范、安全规范、技术规范等)的建立和实施,消除卫生领域信息化建设中存在的“信息孤岛”现象,集中整合辖区范围内各医疗机构和卫生职能部门的数据信息资源,其整体架构如下:
区域卫生信息化的的核心是个人电子健康档案(EHR),系统所有的风险也是围绕个人电子健康档案所产生。
-
- 系统的数据性质与分类
区域卫生信息化的数据包含以下几类:
注册服务包括对个人、医疗卫生人员、医疗卫生机构、医疗卫生术语的注册管理服务,系统对这些实体提供唯一的标识。针对各类实体形成各类注册库(如个人注册库、医疗卫生机构注册库等),每个注册库都具有管理和解决单个实体具有多个标识符问题的能力。注册库保有一个内部的非公布的标识符。
健康档案存储服务是一系列存储库,用于存储健康档案的信息。根据健康档案信息的分类,健康档案存储服务分为七个存储库:个人基本信息存储库、主要疾病和健康问题摘要存储库、儿童保健存储库、妇女保健存储库、疾病控制存储库、疾病管理存储库以及医疗服务存储库。
-
- 安全风险的分类
系统的安全风险,可以分为个人的风险、机构的风险、国家的风险三个层面。
-
-
- 个人的风险
个人安全健康档案,一直是一些保健品厂商、医疗仪器厂商等梦寐以求的获取目标,通过获得个人安全健康档案,可以获取特殊人群的健康状况,某些机构就可以有目的地去推销其所谓的医疗产品、医疗服务。
从更深一层面,个人安全健康档案是个人的隐私,隐私的泄露,会给个人带来不各方面的麻烦与尴尬。
-
-
- 机构的风险
通过区域卫生信息化工程,会完全泄露医疗机构的诊疗信息,包括医疗业务信息、诊疗方案、科研信息、财务信息。为一些医疗水平较低的机构获得高级治疗方案成为了可能,导致医院的负面竞争。
另一方面,由于数据的完全集中,原先卫生局纪委、医疗机构严厉打击的统方行为可以绕过医院,直接通过区域卫生信息化系统来统方,一个医药黑代表,原先要分别在各大医院做统方,难度很大,现在只要在一个数据库里完成辖区所有医院的统方。
-
-
- 国家的风险
医疗数据与健康档案的高度集中,为分析区域人口的疾病发展趋势创造了有利条件,包括区域人口的健康弱点、基因弱点。国外政治间谍通过获取此类数据,为非常状况下发动生物、化学战提供基础分析数据。
突发性传染病或者突发性医疗事件的信息是国家维持稳定的基础信息,若此类信息被泄露,会给社会稳定产生相当的风险。
VIP人群的诊疗信息,也一直是国外政治间谍、八卦记者探听的重点,通过区域医疗信息,可以获取辖区内所有VIP人群的治疗方案,从而分析国家、区域的政治走向。
-
- 风险控制的重点是防止信息泄露
数据交换的架构决定医疗机构很难向数据中心发起篡改,数据的性质与分类也决定了数据没有篡改的价值,所以,区域医疗的风险控制的重点,是如何防止数据泄露。
-
-
- 数据交换系统的安全架构决定系统篡改风险较低
数据交换总体体系结构主要由两部分所组成:数据交换中心,以及位于各个医院的数据整合平台。从部署上来讲,各个医院通过医院前置的数据整合平台,实现与数据交换中心的之间的数据交换与共享,具体数据交互的类型包括:
- 将医院端的医疗卫生数据根据主题有选择地抽取出来,采用数据采集方式采集全量或者增量的数据并发送到数据交换中心,数据交换中心在此基础上完成医疗卫生信息的汇总、转换和加载处理。
- 数据交换中心采用基于共享数据库的联机查询、Web services服务调用、基于消息流数据交换、批量和增量数据下载、基于资源目录服务的数据交换中心等方式实现面向医院端的健康档案信息共享。
医院端的数据整合平台主要由数据采集和数据整合平台两部分所组成;数据交换中心主要由数据整合平台、数据处理平台、数据存储、数据服务平台以及数据交换中心的运行环境管理系统所组成。
由于数据交换完全是由专用的数据交换系统完成,医院的终端无法向中心修改递交数据,除了基于B/S架构的医生查询系统的SQL注入途径,其余途径,都不存在数据篡改的风险。
-
-
- 数据的性质决定了篡改的无意义
由于数据中心保存的数据仅仅是个人的健康档案,不涉及金钱、不涉及利益,篡改个人健康档案不会产生经济效益,和医保、农保也仅仅是按照一定的报文格式进行的数据交换,其安全风险完全受医保、农保系统的控制,因此数据的性质决定了篡改的无意义。
-
- 风险泄露的途径
系统总体架构以CS架构为主,病人的健康档案的查询是B/S架构,由于区域卫生信息化工程试点阶段暂时不对公众提供信息化服务功能,因此风险主要来自于区域卫生信息化机构内部与医疗机构。
-
-
- 权限设置不当风险
很多的应用开发者为了自身应用开发的便利,对于数据库访问权限的控制非常的不严格,极大多数的应用直接使用单个或者多个具有dbo用户访问权限的账户对数据库进行访问,而不理会应用登录用户的级别与权限,特别地,在B/S架构的开发中,为了提高应用效率,缓冲池等技术的应用,导致数据库访问用户的权限已经完全不受控制。使得用户权限的控制完全依赖于应用层面。
目前,区域卫生信息化系统WEB应用尚没有经过全面安全评估,存在安全漏洞的概率极高。黑客完全可以通过某个医疗机构进入,通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,获取数据库的完全访问权限。
-
-
- 来自于应用控制风险策略不当的风险
应用自身风险控制策略控制的不严密,导致权限失当,例如A医院的医生,可以通过查看病人的历史病历肆意查看B医院的治疗方案。
医生应用界面可以任意查看病人健康档案,也为信息泄露提供了重要通道。
-
-
- 来自于管理员的风险
区域卫生信息化系统可能会有多个DBA,每个DBA,都掌握着dbo的权限,这些DBA,都有对数据库操作的完全权限。因此,这个DBA就可以为所欲为地去做任何事情,修改任意数据库表的数值与内容,甚至包括备份整个数据库。
管理员还可以登录服务器,直接在服务器上进行数据库操作,从而绕过数据库安全审计系统的监控。
-
-
- 来自于第三方人员的安全风险
区域卫生信息化系统,由多家应用开发商共同完成,这些第三方人员提供系统开发、运行维护、审计监督、服务咨询等,为了使得这些外部第三方人员能够对系统进行操作,往往会给这些人员开具一定权限的账户,由于这些第三方人员多以外部专家的面貌出现,一般会给予比较高的权限,甚至给予DBA的权限。这些人员的流动性较高,安全监管比较困难,往往出现不法分子。
而且,从以往医疗行业的实际情况看,医药代表手中的统方小工具,也往往是这些第三方人员开发,内置dbo权限的账户,直接进行数据统计。
-
数据泄露解决方案
- 防信息泄密的建设思路
信息安全是一项系统工程,包括物理层、网络层、系统层、应用层、数据层以及管理方面的内容。信息系统的某一层面安全了不能代表信息系统就安全了,需要各方面严格把控和完善结合,对于企业防信息泄密工程来讲,目前企业信息系统的物理层、网络层等已经具备了一定的安全性,在本方案中重点关注系统安全、应用安全以及安全管理水平等方面的内容。
-
-
- 系统安全的重要性
企业的信息系统是多种信息资产的庞大组合,包括防火墙、路由交换设备、主机等;其所面临的威胁也就是对系统能够造成不利影响的一些潜在的事件或者行为,威胁包括自然的、故意的以及偶然的情况。
系统安全重点解决操作系统、数据库和服务器等系统安全级安全问题,以建立一个安全的系统运行平台,建立有效的网络检测与监控机制,以保护主机资源,防止非法访问和恶意攻击,及时发现系统和数据库的安全漏洞,有效抵抗黑客利用系统的安全缺陷对系统进行攻击,做到防患于未然。
-
-
- 应用安全的必要性
只有系统安全的建议得到保障,再建设应用安全才能更加有效地降低信息泄露的风险。基于B/S架构对外提供服务的信息系统面临较大风险也是的应用层的攻击风险。
一方面由于WEB应用的开放性,随着Web应用程序的增多,这些Web应用程序所带来的安全漏洞越来越多,而且这些漏洞均是应用层或者说是代理层面的安全问题,通过传统的网络安全设备无法识别,这也是导致大量网站用户信息泄露的最主要原因之一。
另一方面受利益的驱使,被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,而且这种攻击已经由简单的黑盒扫描渗透转向模块代码分析,源代码白盒分析等层面进行挖掘漏洞,若应用层面得不到有效的安全控制将导致非常严重的后果。
-
-
-
- 应用安全的范畴
以B/S常见的对外提供服务的网站、论坛、业务系统等所涉及到的应用安全主要由以下几个方面构成。
一、访问控制:针对用户及恶意攻击者访问信息时进行有效地控制,对于正常请求允许访问,对于恶意请求应及时进行阻止;
二、信息保护:针对于恶意攻击者进行敏感信息访问时应及时保护;
三、安全审计:对业务系统的运行应具备安全审计功能;
四、数据库应用安全:应针对数据库系统进行安全检查,对数据库的操作行为应进行安全监控。
五、软件容错:应用系统及数据库在上线前后及更新时应做好安全性测试,减少系统存在漏洞的可能性,避免有漏洞的系统对外发布。
以上几方面的内容都应具有相应的技术手段和管理制度来实现信息系统的应用安全。
-
-
-
- 应用安全的时效性
应用安全从整个信息安全的生命周期中是一个动态的、长期的过程,是从建设开始,风险评估、安全加固、安全防护、安全审计、再评估、再加固的过程。而从实际应用考虑,应用安全至少应满足以下要求:
一、事前预警:通过应用系统及数据库的风险评估,发现可能存在的信息泄密点,并进行安全加固随着应用系统及数据库的不断升级,企业能够及时了解并掌握应用系统及数据库自身是否存在着安全隐患,尽可能地避免漏洞对外发布,降低信息受泄密的危害;
二、事中防护:恶意攻击者对应用系统及数据库进行攻击或恶意操作时,管理人员及系统能够具有有效地手段阻止恶意行为的发生,减少信息泄密的发生次数,避免对企业和信息造成影响;
三、事后追溯:对于何人何地何时访问企业信息时能够具有追溯手段,对发生的信息泄密事件提供查询工具,方便维护人员及管理员进行事件跟踪和定位,并为事件的还原提供有力依据。
-
-
-
- 应用安全的防护方法
传统网络层安全防护措施和防御体系在安全管理中相当重要,但在面临数据被泄露的安全问题中,应用安全的防护能力更加重要。使用信息技术有限公司所提倡的一种基于风险评估模型及“事前+事中+事后”的安全理念的结合传统网络层防护措施的新型应用安全解决方案,将有效降低应用安全风险和出现被泄露信息的风险。
- 风险评估与加固层面
威胁一个信息系统的风险可能来自不同的层面,从网络层、系统层到应用层,都有可能形成对信息系统直接或间接的威胁。通过风险评估对整个信息系统进行有效地安全评估,发现信息系统技术与管理方面存在的威胁。通过专业安全团队的加固,减少或降低威胁对系统造成的影响,避免因存在的威胁造成的信息泄密影响。
- 事前安全防范层面
当前绝大多数企业缺少必备的WEB安全和数据库安全的评估工具,使事前的风险评估难以实施。专业的安全产品需要有效的安全策略才能发挥应有的功能,而事前的安全评估则显得尤为重要。企业业务系统最重要的资产集中在WEB应用层和数据库系统,因此长期有效的保障企业业务系统的安全,安全运维人员应有必备的安全评估工具及技术实力。
- 事中安全防护层面
安全的信息系统需要涉及物理层、网络层、主机层、应用层方方面面的安全防御措施。目前绝大多数的企业基本上把信息系统的相关主机托管至IDC机房,根据IDC的不同等级分别具备了物理层安全和网络层安全。但企业尚缺少有力的安全防御措施如专业的远程安全接入主机的VPN,网络防火墙,WEB应用防火墙等安全设施,应切实建设相应的安全防御措施,提高系统的抗风险能力。
- 事后安全审计层面
企业核心数据库存贮有大量的用户信息,以及大量的有价值的其它信息资产。如果处理不当敏感的数据库信息被窃取将会导致极大的信誉危机,对企业造成重大影响。本项目中应部署专业的数据库审计系统实现对数据库访问的详细记录、监测访问行为的合规性,针对违规操作、异常访问等及时发出告警,同时可通过与应用层关联审计发现前端的请求与后端的数据库操作关联性,争取将安全风险控制在最小的范围之内。
-
- 构建防信息泄露的城墙
安全服务与安全产品是相辅相成的,两者如砖头和水泥的关系,一方面,脱离服务的安全产品无法发挥其固有的能力,另一方面,脱离产品的服务效率低下、成本过高。因此,提出“产品服务化、服务产品化”的理念,以优秀的产品、满意的服务为客户网络安全提供保证。
防泄密涉及网络安全、主机安全、运维安全等方方面面,建设应用安全体系是解决防泄密问题的核心所在。本方案中通过WEB应用层面、数据库层面、运维操作层面进行技术防范,降低泄密事件的风险。并针对现有系统提出了“事前+事中+事后”的安全防护方法。公司依据多年的应用与数据库安全经验,拥有自己独到的针对信息与网络安全和信息与网络安全服务的方法论,来建设应用安全体系:
一、加强系统安全体系建设,减少从系统层发生信息泄密的发生:
- 通过对系统层的安全风险评估,发现系统安全层面存在的安全隐患及问题,并进行安全加固;
- 通过部署相应的网络防火墙进行合理的访问控制及安全域划分;
- 建立运维审计系统将远程运维进行安全审计,通过三个方面的建设加强系统安全体系建设。
二、建设应用安全体系,提高应用层抗攻击能力,降低信息泄密造成影响:
- 通过对应用层的安全风险评估,发现应用安全层面存在的安全隐患及问题,并进行安全加固;
- 建立事前预警机制,建设WEB应用安全检测系统和数据库安全检测系统,对已有业务系统及数据库进行安全检查,减少信息泄密的发生;
- 建立事中防护体系,建设WEB应用防火墙,提高WEB应用系统的抗风险能力;
- 建立事后追溯手段,建设应用与数据库安全审计系统,提高系统运行的透明度,对用户访问及数据库操作行为进行安全审计。
三、提升信息安全管理水平,加强管理制度建,辅以安全培训及应急响应:
- 建立应急响应机制,通过专业的安全服务团队对发生的安全事件进行专业分析与服务,帮助用户快速地对安全事件进行响应;
- 建立安全培训体系,通过定期专业安全培训提升企业的技术人员安全管理实力。
- 通过管理制度建设,严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。
-
- 加强系统安全体系
上文提到了信息系统系统安全的重要性,据公司的实际调研,大部分的企业都把业务系统及服务器托管至IDC机房,应用服务器和数据库服务器在网络层面和应用层面均没有采取任何的防护措施,所有服务器的安全防护方面属于在“裸奔”状态下运行,应通过建立风险评估机制,充分考虑网络访问控制、安全域划分及运维审计体系等安全管理措施。
- 针对系统层安全进行信息系统风险评估与安全加固,并结合已有网络访问控制手段加固访问控制策略;
- 建立建全网络访问控制机制及安全域划分,对托管在IDC机房的所有设备进行安全域划分,管理与业务分离、应用与数据分离;
- 运维审计,通过对远程运维进行合理有效地监控,提升安全运维的透明度,对运维的操作进行监控审计;
当前系统层安全管理和网络安全技术已经非常成熟并得到广大安全运维人员的高度认可,因此本文中不再讲述这二个部份的建设内容。系统安全,特别信息安全泄密事件中,有70%以上来自内部,其中包括内部人员的越权访问、滥用、误操作等,以及访问控制不严格、设备自身日志简单、日趋复杂的系统、难以定位实际责任人、用户操作难以审计等因素都可能造成风险。因此,完善的运维审计系统是整个安全体系中不可缺少的组成部分,目前大多数企业对远程操作仍没有特别有效的审计手段,通过运维审计能够有效地监控远程操作协议,如RDP、SSH、TELNET、FTP等,以减少因远程运维而发生的信息泄密的事件。
运维审计是一种符合4A(认证Authentication、账号Account、授权Authorization、审计Audit)统一安全管理平台方案并且被加固的高性能抗网络攻击设备,具备很强安全防范能力,作为进入内部网络的一个检查点,能够拦截非法访问和恶意攻击,对不合法命令进行阻断,过滤掉所有对目标设备的非法访问行为。
运维审计应能支持Telnet、SSH、FTP、SFTP、RDP、VNC、X11等协议,支持单点登录、统一账户管理、自定义策略、日志回放、报表等功能,保证内部用户的操作和行为可控、可视、可管理、可跟踪、可审计。系统具备强大的输入输出审计功能,为企事业内部提供完全的审计信息,通过账号管理、身份认证、资源授权、实时监控、操作还原、自定义策略、日志服务等操作增强审计信息的安全性。
-
-
- 建立事前预警机制
针对现有的业务系统和数据库进行风险评估与安全加固,应用安全评估主要是通过安全漏洞扫描、人工安全检查、渗透测试等方式对业务系统的数据库系统、应用系统、WEB系统的安全性进行评估。
随着企业应用系统及数据库的不断更新升级,原有漏洞的加固或业务系统新功能的增加,或多或少都可能产生新的漏洞,企业应具备有效地检测预警手段,能够及时了解并掌握应用系统及数据库自身是否存在着安全隐患,尽可能地避免漏洞对外发布。通过建立WEB应用安全检测系统和数据库安全检测系统,发现业务系统及数据库的漏洞情况,并对其进行安全加固和升级。
-
-
-
- WEB应用系统检测机制
企业通过建立WEB应用安全检测系统,对更新升级的业务系统进行上线前的检测,及时发现WEB应用的常见技术弱点,拦截因业务系统的更新将漏洞暴露。检测系统本质是一种模拟常见WEB攻击的非破坏性的工具,在WEB应用的开发、测试、运维阶段,经常作为一种事前的安全检查用具,来快速高效地,发现系统可能存在的弱点,系统支持OWASP TOP 10检测,可以帮助用户充分了解WEB应用存在的安全隐患,建立安全可靠的WEB应用服务,改善并提升应用系统抗各类WEB应用攻击的能力(如:注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等),协助用户满足等级保护、PCI、内控审计等规范要求。功能如下图所示:
-
-
-
- 数据库检测机制
企业通过建立数据库安全检测系统,发现业务系统所依靠的核心数据库是否存在安全漏洞,如默认密码、弱口令、不安全的配置等。数据库安全检测系统是专门针对于数据库管理系统的脆弱性检测而开发的一种安全工具,主要包含前端程序和扫描引擎两部分。引擎的功能是访问要扫描的数据库,执行前端提交的扫描请求,并将扫描结果返回前端。前端功能是与用户交互,主要功能模块包含:项目管理、扫描管理、报表管理、用户权限管理、策略管理、日志管理。引擎和前端程序可以分开运行,它们之间一般采用自定义的网络协议通信。功能如下图所示:
-
-
- 建立事中防护体系
安全的信息系统需要涉及物理层、网络层、应用层、主机层方方面面的安全防御措施,目前企业的尚缺少有力的应用层安全防御措施,应切实建设相应的安全防御措施,提高系统的抗风险能力。当前最为高效的解决方法是在WEB应用前端部署WEB应用防火墙,实现对WEB应用安全防御。本项目中主要的应用系统为WEB应用尚未部署WEB应用防火墙。
-
-
-
- WEB应用防护体系
Web应用防火墙(Web Application Firewall,简称: WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。主要功能是:检测、防御并记录的WEB攻击、应用加速、抗应用层DDOS、防篡改等。它是攻击发生时,提升系统防御能力的主要手段,能够阻挡攻击者对WEB应用程序漏洞的利用,为修复程序漏洞争取时间。在WAF的保护下,也能够提升新业务系统上线的速度。甚至于,保护哪些历史上遗留下来,已经找不到开发者修复漏洞的历史遗留WEB应用系统。它的一个常见部署方式如下:
透明直连模式不需要给WAF配置IP地址,只要将WAF接入业务链路,配置好保护的WEB应用服务器的IP地址及端口,就可以实现对WEB应用业务的安全检测。而部署WAF,不但不会影响业务系统的性能,同时还能够提升应用交付。
-
-
-
- 运维安全控制体系
通常,运行维护人员使用Telnet/SSH来管理Unix/Linux服务器和网络设备,使用Windows Remote Desktop Protocol (RDP)来远程管理Windows服务器,另外,VNC /HTTP /FTP /Rlogin等在日常维护过程中也多有使用。管理员可以通过这些维护手段进行服务器、数据库的远程维护及操作。
堡垒主机(Session Auditor)是一个基于网络的行为审计与控制系统。传统的基于日志的审计系统记录的是计算机系统中分立时刻产生的各种单个事件。而堡垒主机则记录用户在一个登录会话中与所有应用交互的全过程,包括屏幕的更新、鼠标的移动与点击以及来自键盘的输入。因此在回放会话时,您可以看到用户所有行为的全过程,就像站在他身边看着他操作一样。
堡垒主机的传感器(SAS)以透明方式运行,可以智能识别流经它的各种网络协议,包括上面提到的RDP和SSH等多种加密协议,将这些网络数据严格地按照会话进行重组并且记录下来,传送回数据中心(SAD),以备审计和查询使用。控制台(SAC)可以根据审计策略实时改变传感器的工作方式和审计的范围、协议和粒度。
依靠堡垒主机可以实现功能强大的审计体系:
-
- ,包括RDP、SSH、ICA、SNMP、POP3、SMTP、Telnet、VNC、FTP、HTTP、文件共享CIFS/SMB等
-
-
-
-
依靠堡垒主机可以实现功能强大的控制体系:
-
-
- 建立事后追溯手段
企业核心数据库存贮有大量的用户信息,以及大量的有价值的其它信息资产。如果处理不当敏感的数据库信息被窃取将会导致极大的信誉危机,对企业造成重大影响。本项目中应部署专业的数据库审计系统实现对数据库访问的详细记录、监测访问行为的合规性,针对违规操作、异常访问等及时发出告警,同时可通过与应用层关联审计发现前端的请求与后端的数据库操作关联性,争取将安全风险控制在最小的范围之内。
数据库审计系统是一种检测、响应、记录并分析对数据库操作的安全管理设备。通过部署数据库审计能够实现:
-
- 对数据库的对象(包括用户(数据库)、表、字段、视图、索引、存储过程、包等)进行审计规则定制,
- 制定细粒度的审计规则,如精细到表、字段、具体报文内容的细粒度审计规则,实现对敏感信息的精细监控;
- 基于IP地址、MAC地址和端口号审计;
- 根据SQL执行时间长短、根据SQL执行回应以及具体报文内容等设定规则等。
数据库审计系统不仅能够检测、记录与回放攻击者的在任何时间的操作行为,也应当能够展现其已经获取到的信息,让运维和安全人员了解到当前造成的损失。如图所示:
对于B/S架构的应用系统而言,用户通过WEB应用服务器实现对数据库的访问,传统的数据库审计系统只能审计到WEB 应用服务器的相关信息,无法识别是哪个原始访问者发出的请求。而通过关联应用层的访问和数据库层的访问操作请求,可以追溯到应用层的原始访问者及请求信息(如:操作发生的URL、客户端的IP等信息),产品主要根据时间片、关键字等要素进行信息筛选,以确定符合数据库操作请求的WEB访问,通过三层审计更精确地定位事件发生前后所有层面的访问及操作请求。如图所示:
-
-
- 提升信息安全管理水平
企业的信息安全管理体系不仅仅做了风险评估、部署了安全产品,就认为信息系统安全了,管理与技术任何一方面存在隐患或漏洞,都可能对企业的业务系统及信息数据造成影响,甚至破坏。我们在防信息泄密的过程中不仅需要加强企业的信息系统安全技术水平,还应在信息安全管理上面进行提升。我们辅以应急响应机制、安全培训体系以及管理制度的建设,以帮助企业在信息系统安全管理方面达到一定的高度,尽可能地避免安全事件的发生,减少对企业形象的影响。
- 方案建议设备清单
| 序号 |
产品名称 |
产品型号 |
数量 |
| 事先预警检测 |
| 1 |
WEB应用弱点扫描器 |
|
|
| 2 |
数据库弱点扫描器 |
|
|
| 事中防护体系 |
| 1 |
WEB应用防火墙 |
|
|
| 2 |
运维审计与风险控制系统 |
|
|
| 事后追溯体系 |
| 1 |
数据库审计与风险控制系统 |
|
|
