公司网络安全方案范文

时间:2023-09-14 17:50:20

导语:如何才能写好一篇公司网络安全方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

公司网络安全方案

篇1

关键词:攻击;僵尸;网络

中图分类号:TP311 文献标识码:a DoI: 10.3969/j.issn.1003-6970.2012.02.016

Thoughts on the security defense against the network attack from one college waNG Qi(Network Information Center,Jiangsu Animal Husbandry&Veterinary College,Taizhou 225300 China)

【Abstract】In recent years, the Internet attacks increase in various ways, and their technical innovation is far more rapid developed

than that of the network defense technology. The kinds of Botnet attack data flow bring the network management greater challenges and higher demand. In this paper, we take a targeted attack for a university network for example, record the whole attack process, summarize its attacking principle, present the corresponding measures taken by colleges, and finally we concluded the attacking trend, therefore, we put forward some improvement countermeasures from the stand of user and operators to provide a more stable and high-quality network services.

【Key words】attack; botnet; network

0 引 言

僵尸网络和DDOS攻击是近年来黑客广泛利用的攻击跳板与手段,它们无意识的受控于网络攻击者,向指定目标发送大量的DOS数据包,不仅严重影响被攻击者对互联网的访问与对外服务,还会严重冲击互联网络提供商(ISP)网络的正常运行。本文通过对对去年发生于江苏某高校教育网线路的网络攻击事件进行分析,总结出当前网络攻击的新趋势,并有针对性地从运行商、用户角度提出应对思路,保证互联网的安全。

1 攻击事件背景

众所周知,教育网以其独特的edu域名而为高校所推崇,作为一个公益性质的实验研究网络,它扮演着国内几乎所有高校的网站信息等各类对外应用服务网络支持者的角色,是高校对外一个重要窗口。高校作为一个非商业盈利性单位,理论上应该不存在商业竞争为目的的恶意攻击,但本次攻击时间之长(14天)、攻击手段变化之频繁为20年内江苏省高校界中很罕见的一次记录。

2 攻击过程

2011年6月,江苏省某高校教育网线路遭受网络攻击,造成edu域名的web服务器、邮件服务器、DNS服务器等所有对外应用无法使用。

在6月1日开始,学院网络中心发现系部服务器长时间无响应,因为所有二级院系网站新闻功能及软件代码部署都在该服务器上,所以求助电话很快就反馈过来。

2.1 TCP SYN泛洪攻击

6月1日下午经过抓包分析,服务器受到攻击,攻击流量来自教育网线路。攻击数据采用TCP SYN泛洪冲击服务器,服务器CPU资源迅速被消耗完毕,进入死机状态,所以无法响应正常访问数据请求。技术人员在咨询防火墙厂商后,调整了防火墙处理TCP SYN请求的模式,将TCP SYN网关模式调整为TCP SYN模式中继模式。防火墙收到SYN请求包后,不向服务器转发该请求,而是主动向请求方发送SYN/ACK包,在收到请求方的ACK确认包并判断为正常访问后,才将SYN请求包发送给服务器,完成会话建立。调整后可以基本过滤不可用的恶意连接发往服务器,同时服务器CPU内存高利用率的状况得到缓解。

2.2 海量访问攻击

6月2日上午,攻击者采用了海量访问方式,在防火墙连接数监控中发现访问源IP地址数呈现几何级数增长。虽然每个IP都与服务器完成正常的三次握手协议,但同时递交了相当多的无用查询请求,查询目标为一些并不存在的数据条目或者页面。海量的访问又造成了服务器CPU资源耗尽,无法提供对外服务,攻击包抓包解析如图1。

图1 攻击包解析

针对这种情况,技术人员采取防御策略是更换服务器硬件,将服务器代码从台式机迁移至刀片服务器阵列中,这样使服务器的CPU与内存资源都得到了一定程度的提升。同时,还更改了新服务器IP地址,相应在DNS服务器中更换了域名记录。但数小时后,攻击立刻转向至新更换的IP地址上,仍然造成了服务器失效宕机。当时邀请了天融信、山石网科防火墙厂商在现场协助解决,用不同的防火墙轮流切换使用,并在防火墙上额外加载了IPS入侵防御功能模块,设置访问控制粒度,设定了相对严格的IP访问阀值。最后使用山石网科的M3150识别遏制该种攻击效果较好,能降低服务器部分负载。山石防火墙的粒度控制和安全防护设置界面如图2和3。

2.3 分布式泛洪攻击

2011年6月4日,经过抓包分析,攻击数据转换为TCP 、UDP随机端口方式,也就是分布式拒绝服务攻击,并且把攻击目标扩展到了国示范专题网站及校园门户网站,但不以冲垮服务器为目的。这是一个很致命的问题,虽然防火墙的安全策略拒绝攻击包涌入内网,但攻击包堵塞了防火墙上游的数据带宽。教育网在6月7日,6月8日分别将学院的线路带宽从10Mbit/s紧急升级到35Mbit/s和100Mbit/s,但攻击流量水涨船高。技术人员通过外网交换机统计端口查看瞬时数据后发现,在短短几分钟之内,带宽就消耗殆尽。教育网清华维护中心在与学院沟通后暂时设置了路由黑洞,将210.29.233.0全网段屏蔽。虽然学院的线路带宽利用率立即下降到正常值,但该网段的所有服务应用全部无法被外网访问了,反而达到了骇客攻击的目的。期间曾经尝试部署金盾防御DDOS硬件设备在学院出口处防火墙设备前端,但效果不明显。在沟通后,厂方工程师也认为该类型设备应部署在教育网的江苏高校总出口处才能起到防御效果。同时教育网东南大学地网中心配置了一台小型号的流量清洗设备来过滤学院的数据流,但因为地网中心至北京的互联带宽有限,为了防止骨干通道被攻击数据堵塞,所以不能无限制放宽流量来支援受害院校,所以这样部署后的效果是仅能维持江苏教育网内用户访问受害学院,效果不理想。分布式拒绝服务攻击数据包解析如图4。

图4 分布式DDOS攻击包

2.4 查找攻击源

当时学院按照流程报警,警方力量接入,并与教育网方面开会讨论,布置任务,根据收集到的抓包文件,确认了一个真实攻击僵尸IP地址是镇江某IDC机房的一台服务器,其他的IP地址归属地则是世界各地,可以确认为伪造或无法完成追踪。当天警方到IDC机房将该服务器下线,并将硬盘数据进行备份,分析硬盘中的入侵痕迹顺藤摸瓜寻找上游控制端,但未能发现进一步证据来查询到上游控制端。

2.5 SYN-ACK反射攻击

2011年6月10日下午,经过抓包解析,分布式拒绝服务攻击数据消失了。但网络中出现大量的SYN-ACK数据包,经过详细研究查阅了部分资料后了解到,这是一种间接的反射攻击。受控于上游控制端的大量僵尸机器向各类合法在线用户 发送伪造的以学院IP地址为源地址的SYN请求包,合法用户或服务器误认为该数据由学院的IP地址发出请求访问,根据三次握手原理于是便回复SYN-ACK包来响应请求,间接成了被利用的反射节点,反射攻击的原理如图5。一旦反射节点数量足够多,同样能消耗尽受害者的网络带宽。所幸这种攻击的数据量已经不如先前的规模,未造成带宽耗尽的情况。

图5 反射攻击示意图

2.6 攻击停止

2011年6月14日之后,针对教育网线路的网络攻击完全停止。在攻击后的各方交流中,大家普遍对此次攻击的目的性表示疑惑,因为未曾有相应的经济或政治勒索,所以东南大学的龚教授认为此次攻击是初级网络骇客利用受控的僵尸网络可能性较大。

3 防御方的经验和体会

通过本次事件,作为受害方的学院技术人员,经过反思,也从中总结出一些受害方和运营商方面的可以借鉴的经验教训。

在用户方面:

学院方面没有使用智能DNS解析来实现不同运营商接入用户从不同线路进行访问,并且没有异地服务器节点与部署多播源发现协议MSDP。因为该协议原理是当网络设备接到对服务器的访问请求,则检查距离最近的服务器是否可用,如服务器不可用,选播机制将请求转发给不同地理位置的下一个服务器来相应请求,同时能将DDOS带来的攻击数据自动分配到最接近攻击源的服务器上[1]。经过资料查询,这个方式是百度及谷歌等大型全球性网站进行流量分担的一种策略。由于异地服务器部署的代价较大,受经费及技术力量所限,在短期内无法实现,但仍旧不失为一种优异的防御方式。

目前重要服务器仍旧是单发引擎,没有配置本地负载均衡设备和多机容灾。大部分服务器没有后台与前台隔离,导致到服务后台直接面向网络攻击,一旦收到大量的搜索页面或者数据库请求,则瘫痪无法正常工作。而有前台与编辑后台的机制则优势明显,即使前台服务器瘫痪了,但后台数据和编辑功能仍旧不受影响,能保护核心数据安全不受侵犯。

大部分的服务器未能部署反篡改软件,有许多不安全的的服务或端口开启着,如文件共享TCP135 139,有可上传文件权限的FTP默认用户存在。在内网用户访问服务器时,没有内网防火墙来过滤数据包,只使用了一台三层交换机进扩展ACL进行过滤,服务器代码老化少有维护。鉴于本次事故,受害学院已经邀请测评中心对全域服务器做全方位的第三方安全检测,并出具检测报告并提出相应修复建议。

未注意网络安全的木桶效应,去弥补最薄弱的环节―终端用户。堡垒往往从内部攻破,保护未能从终端做起。众所周知WINDOWS系统漏洞非常多,微软要定期补丁来修复,所以很容易受到入侵。用户计算机安全意识较差,无杀毒软件使用的情况较多,所以造成僵尸机器横行。在本次攻击中抓包发现不少内网机器已经沦为被利用的僵尸机器,成为被利用的工具,所以要在用户终端接入方面设置准入系统,强制性安装杀毒软件及反木马软件。目前主要网络互联节点及出口处未部署IDS或者IPS,没有定期对比数据流变化报告或者安全分析。

防范社会行为学行为泄密,在外来人员较多的情况下,需要注意拓扑结构、数据组成、出口带宽、部门结构、骨干网规模方面的信息保密。

在运营商方:

教育网方面缺乏相应的应对此类危害事故的紧急状态机制,同时由于其自身的科研和公益性等特点,维护人员组成多为大学教授和研究生以及少量兼职工程师,所以服务响应与质量较大型运营商有一定的差距。

分配给最终用户的带宽过于狭小(10Mbit/s),一次小的攻击往往就立竿见影起到破坏效果。

全网没有部署反向路由追踪功能,造成伪造的IP流量横行。因为URPF全面部署后能阻断虚假源IP的攻击,能提供快速定位能力来杜绝伪造源IP地址的数据包在网络中传输,从而阻断部分黑客攻击流量,并对攻击的溯源有很大帮助[2]。

有限能力的流量清洗,仅能实现清洗处下游访问正常,上游数据仍旧被堵塞。江苏高校的出口上联至北京清华维护中心的带宽只有数Gbit/s,所以无法提供更多带宽来支援被攻击的学院。在参考过几篇联通电信技术人员的相关文档论文后,我们也了解到大型运营商防御分布式攻击的思路和原理:提供分布式的清洗中心,针对不同级别的城域网出口部署不同层次的防DDOS设备,可以根据用户请求手动添加被攻击IP进入BGP路由或由设备发现攻击后自动添加路由方式,将有问题的流量引导进入防DDOS设备进行流量清洗后回灌到原有网络中。不同的清洗中心可以互为备份增强清洗效果,如一个10GB清洗能力的中心,在相互交叉支持的情况下甚至可以1TB带宽的用户范围的保护。下图6是引用的清洗流程,源自北京联通防DDOS攻击服务介绍。

图6 运营商流量清洗示意图

4 反思与展望:

随着网关服务器、交换机、防火墙、服务器硬件、操作系统软件更新升级由TCP SYN发起的DDOS攻击看似得到了缓解。但本次针对消耗带宽方式的DDOS攻击最后仍旧是不了了之,目前我们能做的似乎就仅此而已了。即使大型运行商,提供的解决方案或大致思路应该也是用ISP的带宽资源、防御设备去消耗抵御僵尸网络的流量,这也是一个减法问题,如果未来僵尸网络的流量大于ISP能力极限的情况后如何应对,是一个值得研究的问题。

伴随着电信联通光城市计划的推广,现今宽带用户大规模提速,10M、20M甚至100M家庭入户已经成为现实,企业千兆早已不是传说。即使用于GB流速的出口带宽,也禁不住越来越强劲的僵尸网络攻击,所以最后提出的问题已经逐步有了研究的现实基础。正如业内著名的防御DDOS服务商Arbor Networks 公司首席解决方案专家Roland Dobbins在NANOG 的邮件中所说的:“DDoS 攻击只是表象,真正的问题根源是僵尸网络。”而僵尸网络的问题,不是一时半会儿就能彻底解决的[3]。

参考文献

[1] DDOS. 尝试阻止DDOS攻击[J].网络与信息,2011,(04):53. DDOS . Try to stop DDOS Attack [J]. Network and Information,2011,(04):53.

篇2

关键字: 网络安全; 攻击图; 贝叶斯网络; 通用漏洞评分系统

中图分类号: TN915.08?34; TP393 文献标识码: A 文章编号: 1004?373X(2013)09?0084?04

0 引 言

网络如今运行在一个高科技和开放的环境中。企业越来越依靠他们的网络在本土和国际市场中竞争。世界范围的广泛连接既为企业提供了竞争力同时也将企业暴露在多种多样的攻击前。高科技犯罪和信息的误用和滥用给越来越多的企业带来巨大的损失[1],随着网络的发展,自动化的评估网络的攻击漏洞已变得越来越重要。

许多研究者提出了使用攻击树和攻击图来建模网络安全的风险评估方法[2?3]。通过在模型中寻找攻击路径来确定可能导致损失的状况。但是,绝大多数模型并不能定量地分析漏洞的风险,忽略了漏洞之间的相互关系。

在本文中,介绍一种新方法来构建带标记的攻击图(AG),攻击图中的每个节点都标注了概率值来表示该漏洞被成功利用的概率,图中的边代表了漏洞之间的关联。采用通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)作为计算每个漏洞概率的基础,并采用贝叶斯网络计算累积的概率。

1 攻击图的产生

攻击图用来建模如何将漏洞组成一次攻击的专家知识,攻击图通过使用与网络安全相关的条件表现系统的状态。通过攻击图,可以看出在那台主机上具有什么样的漏洞,主机之间的联系,以及漏洞被利用之后的状态转变,攻击图是一个有向无环图。

篇3

广州某医院拥有专业技术人员1100余人、床位850张、专业学科43个,现已发展成为集医疗、教学、科研、预防、保健、康复功能于一体的、面向海内外开放的综合性现代化医院。随着信息化的发展,该医院的医疗系统也进入了数字化和信息化时代,大型的数字化医疗设备、各种医院管理信息系统和医疗临床信息系统在医院中得到应用。数字化医疗建设,不但使医院的工作流程发生了变化,同时也对医院信息化建设提出了更高的要求。

目前,该医院已应用了HIS、EMR、LIS、PACS等信息系统,涵盖了医院日常工作流程,比如挂号、诊疗、化验、划价、收费等,同时也覆盖医院各个角落,如病房、药房、医疗设备等。随着电子病历、远程医疗的不断发展,病人在就医过程中的信息将越来越多地以数字化的方式保存在医院的医疗信息系统中。

如何保证这些医疗数据的安全性、有效性,是医院信息系统所面临的、不可回避的问题。

2011年底,该医院新大楼建成,华侨医院的信息网络改造项目也同步启动。这次改造不仅要提高网络与信息系统基础设施建设,而且还将信息系统安全建设纳入其中。该医院的信息安全主管人员清醒地认识到:医院信息系统的正常运行,不仅包含网络、主机设备的正常运行,还包括存储在医院应用系统中的各种数据的安全性和可靠性得到保障。

此前,该医院的信息系统已部署了防火墙、入侵检测系统和网络防病毒系统等安全产品。为了此次新大楼的网络安全改造建设,医院邀请产品供应商和业界优秀的公司共同探讨新信息系统的安全建设方案。该医院希望其安全建设方案能够实现以下功能:既要考虑现有系统的安全、有效运行,又要兼顾华侨医院未来五年的信息化发展。

作为该医院原有信息安全产品供应商,北京冠群金辰软件有限公司(简称冠群金辰)也参与了新信息系统的安全建设,并提出针对该医院的安全解决方案建议。

解决之道

冠群金辰认为,该医院现有信息安全系统中的防火墙、防毒墙、IDS和防病毒的防护架构可以保留,但随着医院新大楼投入使用,网络中的终端节点会增多,网络流量将大幅增长,所以,需要对现有防火墙、IDS等系统进行升级,提升现有防护系统的处理能力,以适应网络提速的要求,保障正常的网络业务运行;同时,针对网络中新增的客户端节点,继续部署防病毒系统和终端安全管理系统,以应对越来越复杂的终端安全防护问题。

针对目前医院网站服务器保护的安全盲点,冠群金辰提出了针对Web网站安全建议:使用专业的网站防护系统采用层次化的Web主动防护技术,对医院网站服务器进行有效防护。

实际上,冠群金辰为该医院提出的网络安全整体解决方案涵盖了从边界、网络到主机,多层次的纵深防御体系。该方案在边界通过防火墙、物理隔离设备将非法访问、病毒、入侵攻击等阻挡在网络外部。在网络层面,该解决方案对网络中的流量进行检测,查找正在发生或将要发生的网络攻击,并及时采取措施,比如报警、阻断、记录等。

对于网络安全中常见的病毒、信息泄露等安全威胁,该方案中的防病毒软件和终端安全管理系统为主机系统提供了基本的安全保障。

冠群金辰为此方案提供了KILL系列安全产品,即KILL防火墙、KILL入侵检测系统、KILL上网行为管理系统、KILL防毒墙、KILL网络防病毒系统、KILL终端安全管理系统和KILL Web安全网关,为该医院的网络构筑了一个多层次的安全防护体系。从网络访问控制、流量控制、入侵攻击、病毒查杀、终端准入和Web防护等方面,该方案对该医院的网络提供全面的安全保护。

篇4

而在目前的全球化竞争环境下,灾难影响、病毒侵袭、网络安全等都能导致企业IT系统中断。因此,包括惠普在内的很多领先的IT厂商,都从上述这几个方面出发,提供包括业务连续性规划、容灾备份、信息和网络安全等一系列全面的业务连续性与高可用性解决方案,帮助企业合理规避风险,实现关键业务的连续运营。

业务连续规划:描绘业务持续运营的总体蓝图

为保证企业从灾难中生存并迅速恢复正常,惠普提供了业务连续规划解决方案,这是一种以IT为主的运作计划,包含一系列针对业务持续运行和灾难恢复的策略、手段、条件设定以及人力资源安排,其目的是为了使企业面对意外的灾难时可以从容面对,将损失降低到最小限度。惠普业务连续规划详细说明了企业发生人为破坏或自然灾害时对各种潜在危害企业的事件所采取的策略和过程,帮助企业远离灾难,保障企业业务的连续性运行。(见图1)

惠普的资深咨询顾问将与企业一起首先明确业务连续计划的范围与目标,以确定计划将保护的范围、恢复的要求与恢复的目标。其次,通过风险的评估分析合理定义风险,从而达到降低与管理风险的目的。然后进入业务影响分析阶段,这主要是对企业业务系统进行标准化定义。确定了风险和影响之后,惠普就会制定合理的策略来满足企业的成本效益和恢复时间目标。当所有业务连续架构构建完成后,惠普还将对业务连续计划进行预演,以确定其是否满足业务需要和达到设定的恢复目标。

容灾备份:防患于未然的有力保证

为了防患于未然,以备份的数据帮助企业实现灾难时的连续运营,惠普向客户提供全方位的容灾备份解决方案。惠普将充分考虑到企业IT环境现状、企业发展、组织结构、分支机构、地域、链路等诸多因素,对企业的业务应用、数据库、网络进行数据复制、灾难恢复以及性能等诸多方面,进行满足容灾备份要求的统一设计与规划。惠普可以根据客户环境和需求的不同,设计多层次多级别的容灾模式,形成灵活多样的容灾拓扑结构。通过洲际群集系统,实现跨地区、跨城市、跨洲际的自动切换,实现企业发生灾难时业务的连续性运行。

惠普提供的容灾备份解决方案,不是简单的硬件产品的结构的建立,更重要的是对企业容灾系统进行统一的规划、咨询和合理的设计,并会为客户提供一整套方法论,通过风险管理与业务影响分析、流程开发、业务连续计划、实现、预演、交接验收等六个阶段,提供全面的业务连续与容灾备份的咨询与集成服务。

信息与网络安全:全方位服务的放心工程

病毒侵袭、黑客攻击等网络和信息安全问题,已经是当今任何企业不能回避的问题。目前业内对此已达成共识:安全是一个动态的、整体的、持续性的问题。对此,惠普出于从最大程度上提高信息系统整体安全的水平和预防安全事件发生的角度来考虑,帮助企业建立的信息安全系统不仅仅局限于若干安全产品的简单意义上的集成,而是从技术、人员和管理流程三个方面构建完善的安全体系,提供一种全方位的安全服务,提高企业关键业务系统的可用性和可靠性。

惠普不仅遵循和参照最新的、最权威的、最具有代表性的国家和国际信息安全标准,进行企业安全方案设计和实施。而且,惠普同时提供风险管理服务、安全战略服务、安全基础架构服务、安全技术实施服务,以及入侵检测、安全扫描、病毒防范、访问控制、身份认证、单一用户登录、防火墙、公共密钥基础设施(PKI)等相关技术。(见图2)

篇5

中国移动

中国移动主要针对终端使用安全展览,手机诈骗防治、手机病毒软件治理、网络病毒监控处置、客户信息和保护、伪基站专项治理等内容均围绕目前备受关注的终端安全带来的如信息盗取、金融诈骗等问题,提供电信级的的规避和防护手段。

中国电信

中国电信以“天翼・安全可信赖”为主题,同时关注个人用户与企业用户。记者在现场了解到,中国电信此次主要展出的加密通信、安全办公、云堤、网站安全专家、安全手机、垃圾短信治理、通讯信息诈骗、恶意程序防治共八个主要内容。

其中,安全手机及加密通信等产品为个人用户提供“端到端”的通信加密服务,能够大大降低日前被曝光的信息诈骗案件。

中国电信此次展出的一大亮点是其整合“云、管、端”资源的办公应用类APP“安全办公”和运营商级DDOS安全防护产品“云堤”两大面向企业用户的产品。结合为政企客户网站提供的实时网站安全监控、网络安全防护及专家服务的“网站安全专家”,从终端、网络到数据中心,为企业移动信息化保驾护航。

关键词1:安全服务

三大运营商展出的服务与首届相比,显得更接地气,主要针对企业客户在移动信息化过程中面对的安全隐患与危害个人客户切身利益的具体内容展开。运营商作为成为电信服务的提供者与保障者,“安全服务”成为其聚焦重点,更多显示出的是面向社会推进网络安全的正能量。

腾讯开始安全领域战略布局

在宣传周公众体验展,腾讯联手知道创宇公司打造了最大最引人瞩目的展台。而在内容方面,此次腾讯重点围绕与用户切身安全和利益相关内容展开,如反信息诈骗、支付安全、智能硬件设备安全等方面,包括TAV自研杀毒引擎、安全云库、腾讯手机管家、腾讯电脑管家等产品。除了联手亮相的知道创宇,腾讯在网络安全周期间与启明星辰共同签署协议,开启企业安全战略合作,更加可以看出腾讯在安全领域布局的思路,通过投资及战略合作的方式,加快在政企安全市场的布局。

中国联通中国联通面向政企及行业客户的安全解决方案此次全数亮相,与联通政企业务相结合的安全即时通信、网络流量清洗、网络攻击与防护等成为企业客户关注重点。同时,基于联通4G网络完善的终端、网络、应用端到端的全方位的安全体系架构与不良信息监测系统等六大信息安全系统,突出其智能的安全感知能力,应对LTE特有的安全威胁,全方位保障4G网络安全运营。

百度人工智能构建安全生态体系

百度此次主推基于其“人工智能安全技术”,并在现场向观众展示了百度通过人工智能技术,对互联网安全预警、感知、查杀等多项创新,包括BaiduEye、百度筷搜等贴近生活的智能硬件将安全的概念延伸到生活的细节中。记者了解到,目前百度已经构建起了从手机、PC到云端三位一体的完整安全生态体系,并形成联动。在展会现场,百度“全国实时伪基站监测地图”和“全国网站攻击实况地图”再度亮相,实时全流量监控,通过大数据智能分析及挖掘技术,呈现全国的伪基站分布和木马病毒等检测情况。

篇6

关键词:网络安全;医院网络;防火墙

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)26-7364-02

Hospital-based Network Security Solutions

SUN Ping-bo

(Department of Information, Changhai Hospital, Shanghai 200433, China)

Abstract: The hospital network security is to protect the basis of normal medical practice, this paper, the hospital network security solutions design and implementation of safety programs related to the model, firewalls isolation, and health care business data capture. This article is the construction of the hospital network security system to provide a reference for the role.

Key words: network security; the hospital network; firewall

随着科学技术的发展和信息时代的来临,几乎所有的医院都建立了信息网络,实现了信息资源的网络共享。但在具体建设这个医院网络平台时中,往往都只重视怎样迅速把平台搭建起来和能够马上投入使用,而忽视了在医院网络平台建设过程中信息安全的建设,包括如何保障医疗业务的正常进行、患者及医生信息的合法访问,如何使医院网络平台免受黑客、病毒、恶意软件和其它不良意图的攻击已经成为急需解决的问题。

1 医院网络安全解决方案的设计

1.1网络方案的模型

本文研究的医院网络安全解决方案是采用基于主动策略的医院网络安全系统,它的主导思想是围绕着P2DR模型思想建立一个完整的信息安全体系框架。P2DR模型最早是由ISS公司提出的动态安全模型的代表性模型,它主要包含4个部分:安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)。

安全策略是P2DR安全模型的核心。在整体安全策略的控制和指导下,运用防护工具(防火墙、操作系统身份认证、加密等)对网络进行安全防护;利用检测工具(如漏洞扫描、入侵检测系统等等)了解和评估系统的安全状态,检测针对系统的攻击行为;通过适当的反应机制将系统的安全状态提升到最优状态。这个过程是一个动态的、不断循环的过程,检测到的威胁将作为响应和加强防护的依据,防护加强后,将继续进行检测过程,依次循环下去,从而达到网络安全性不断增强的目的[1]。

根据对网络安全的技术分析和设计目标,医院网络安全解决方案要解决7个实现的技术问题,分别是:数据检测,入侵行为控制,行为分析,行为记录,服务模拟,行为捕获和数据融合。医院网络安全解决方案以P2DR模型为基础,合理利用主动防御技术和被动防御技术来构建动态安全防御体系,根据现有安全措施和工具,在安全策略的基础上,提出基于主动策略的医院网络安全方案模型,如图1所示。

医院网络安全解决方案模型入侵检测监视网络的异常情况,当发现有可疑行为或者入侵行为时,将监测结果通知入侵行为控制,并将可疑行为数据传给服务模拟;服务模拟在入侵行为控制的监控下向可疑行为提供服务,并调用行为捕获对系统所有活动作严格和详细的记录;数据融合定期地从行为记录的不同数据源提取数据,按照统一数据格式整理、融合、提炼后,一发给行为分析,对可疑行为及入侵行为作进一步分析,同时通知入侵行为控制对入侵行为进行控制,并提取未知攻击特征通过入侵行为控制对入侵检测知识库进行更新,将新的模式添加进去。

1.2 防火墙隔离的设计

防火墙技术是医院网络安全系统中使用最广泛的一项网络安全技术。它的作用是防止不希望的、未经授权的通信进入被保护的内部网络,通过边界控制强化内部网络的安全策略。在医院网络中,既有允许被内部网络和外部网络同时访问的一些应用服务器(如医疗费用查询系统、专家号预约系统、病情在线咨询系统等),也有只允许医院网络内部之间进行通信,不可以外部网络访问的内部网络[2]。因此,对应用服务器和内部网络应该采用不同的安全策略。

本文研究的医院网络安全解决方案采用的是屏蔽子网结构的防火墙配置。将应用服务器放置在屏蔽子网机构中的DMZ区域内,由外部防火墙保护,内部网络和外部网络的用户都可以访问该区域。内部网络除了外部防火墙的保护外。还采用堡垒主机(服务器)对内部网络进行更加深一些层的保护。通过核心交换机的路由功能将想要进入内部网络的数据包路由到服务器中,由包过滤原则。过滤一些内部网络不应看到的网站信息等。内部路由器将所有内部用户到因特网的访问均路由到服务嚣,服务器进行地址翻译。为这些用户提供服务.以此屏蔽内部网络。这种结构使得应用服务器与内部网络采用不同级别的安全策略,既实现医院网络的需求,也保护医院网络的安全。防火墙系统结构设计如图2所示。

虽然防火墙系统能够为医院的网络提供很多安全方面的保障,但并不能够解决全部安全问题。因此,医院的网络安全系统还采取了其他的网络安全技术和手段来确保医院网络的安全。

1.3 医疗业务数据的捕获

如果本文研究的医院网络安全系统不能捕获到任何数据,那它将是一堆废物。只有捕获到数据,我们才能利用这些数据研究攻击者的技术、工具和动机。本文设计的医院安全系统实现了三层数据捕获,即防火墙日志、嗅探器捕获的网络数据包、管理主机系统日志。

其中,嗅探器记录各种进出医院内管理网的数据包内容,嗅探器可以用各种工具,如Ethereal等,我们使用了Tcpdump。记录的数据以Tcpdump日志的格式进行存储,这些数据不仅以后可用通过Tcpreplay进行回放,也可以在无法分析数据时,发送给别的研究人员进行分析。

防火墙和嗅探器捕获的是网络数据,还需要捕获发生有管理主机上的所有系统和用户活动。对于windows系统,可以借助第三方应用程序来记录系统日志信息。现在大多数的攻击者都会使用加密来与被黑系统进行通信。要捕获击键行为,需要从管理主机中获得,如可以通过修改系统库或者开发内核模块来修改内核从而记录下攻击者的行为。

2 医院网络安全解决方案的实现

2.1 防火墙系统的布置

本文研究的医院防火墙系统采用的是屏蔽子网结构,在该结构中,采用Quidway SecPath 1000F硬件防火墙与外部网络直接相连,通过核心交换机Quidway S6506R将屏蔽子网结构中的DMZ区域和内部网络连接起来,DMZ区域中的各种应用的服务器都采用的是IBM xSeries 346,其中一台作为堡垒主机使用。这台堡垒主机起到的就是服务器的作用。防火墙根据管理员设定的安全规则保护内部网络,提供完善的安全设置,通过高性能的医院网络核心进行访问控制。

2.2 医疗业务数据捕获的实现

本文研究的数据捕获主要从三层进行数据捕获。我们在网桥下运行如下命令进行捕获:

TCPDUMP -c 10 Ci eth1 -s 0 Cw /log

为了不让攻击者知道我们在监视他在主机上的活动,我们采用Sebek来实现我们的目标。Sebek是个隐藏的记录攻击者行为的内核补丁。一旦在主机上安装了Sebek的客户端,它就在系统的内核级别运行,记录的数据并不是记录在本地硬盘上,而是通过UDP数据包发送到远程服务器上,入侵者很难发现它的存在。

医院的网络安全系统数据捕获是由内核模块来完成的,本文研究使用这个模块获得主机内核空间的访问,从而捕获所有read()的数据。Sebek替换系统调用表的read()函数来实现这个功能,这个替换的新函数只是简单的调用老read()函数,并且把内容拷贝到一个数据包缓存,然后加上一个头,再把这个数据包发送到服务端。替换原来的函数就是改变系统调用表的函数指针。

本文通过配置参数决定了Sebek收集什么样的信息,发送信息的目的地。以下就是一个linux配置文件的实例:

INTERFACE="eth0" //设定接口

DESTINATION_IP="172.17.1.2" //设定远程服务器IP

DESTINATION_MAC="00:0C:29:I5:96:6E" //设定远程服务器MAC

SOURCE_PORT=1101 //设定源地址UDP端口

DESTINATION_PORT=1101 //设定目标地址UDP端口

MAGIC_VALUE=XXXXX //如果同一网段有多个客户端,则设定相同的数值

KEYSTOKE_ONLY=1 //是否只记录键击记录

3 结束语

该文对医院网络安全的解决方案进行了较深入的研究,但该系统采用的技术也不能说是完善的,一方面因为它们也在不断发展中,另一方面是因为设计者的水平有局限。比如医院网络的数据捕获技术,它本身就是一个十分复杂的技术问题,解决的手段也是多样的。

参考文献:

篇7

关键词信息安全;PKI;CA;VPN

1引言

随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。

随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。

在下面的描述中,以某公司为例进行说明。

2信息系统现状

2.1信息化整体状况

1)计算机网络

某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。

图1

2)应用系统

经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。

2.2信息安全现状

为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。

3风险与需求分析

3.1风险分析

通过对我们信息系统现状的分析,可得出如下结论:

(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。

通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:

(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。

目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。

当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。

针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。

美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。

信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。

(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。

已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。

网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。

3.2需求分析

如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:

(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。

(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。

(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。

(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。

4设计原则

安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。

4.1标准化原则

本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。

4.2系统化原则

信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。

4.3规避风险原则

安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。

4.4保护投资原则

由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。

4.5多重保护原则

任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。

4.6分步实施原则

由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。

5设计思路及安全产品的选择和部署

信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。

图2网络与信息安全防范体系模型

信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。

5.1网络安全基础设施

证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:

身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。

数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。

数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。

不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。

5.2边界防护和网络的隔离

VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。

通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。

集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。

集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

5.3安全电子邮件

电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。

目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。

5.4桌面安全防护

对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。

1)电子签章系统

利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。

2)安全登录系统

安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。

3)文件加密系统

文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。

5.5身份认证

身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。

基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。

6方案的组织与实施方式

网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。

图3

因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:

(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。

(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。

(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。

(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。

7结论

本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。

也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。

篇8

本报讯 9月8日,以“融合.萃聚”为主题的SAPPHIRE蓝宝主板会于北京举行,至此蓝宝科技正式宣布全线进军主板市场。会上,蓝宝科技正式了分别面向超级发烧友、游戏玩家和主流市场的PureBlack(黑钻)、PurePlatinum(铂爵)以及PureWhite(冰晶)三大系列6款新品。产品涵盖Intel和AMD两大平台,搭配了双BIOS设计、LED监控以及防雷防静电等设计;在软件构建上,采用了独创的Trixx超频工具、CPU电压负载线调整功能及Windows7硬件监控工具,并拥有三年全国联保。

Parallels

Desktop 7 Mac版

本报讯日前,Parallels公司宣布正式发行Parallels Desktop 7 Mac版,这款软件无需重启就可在Macbook上同时运行Mac和Windows应用程序,并引进了90多项全新增强功能。该版本具备3大亮点:可在应用Windows程序的同时使用包括Mission Control及Launch Pad在内的Lion功能;可在Macbook上运行OS X Lion或Windows的多个版本以及其所有应用程序;可使用iPad、iPhone或iPod touch观看Macbook上Windows程序下的Flash视频,在Macbook上访问与运行OS X、Windows、Chrome、Ubuntu等操作系统和应用程序。

Check Point 推

新网络安全方案

本报讯日前,Check Point 软件技术有限公司在北京基于其软件刀片架构的最新网络安全方案软件刀片R75.20,及两款高端数据中心系统方案Check Point 61000和Check Point 21400。此外,还推出了评定安全性能的新标准 SecurityPower。R75.20能为web冲浪提供实时的细致控制,并为企业检查其所有软件刀片SSL加密数据传输,提供深入安全分析。Check Point 61000支持7000万个并发连接和每秒60万个会话,为多元数据传输传输环境带来安全保护。Check Point 21400 结合高速网络技术、100 Gbps防火墙吞吐量及21Gbps的IPS吞吐量,为大型企业和数据中心提供安全保护。SecurityPower帮助客户评估其安全需要,提高安全设备性能的准确度测量。目前,新方案均已上市。

移通创建联手银联

篇9

借外力 蓄内功

“网络安全风险评估、等级保护测评、网络安全加固代码、网站挂马扫描、外网舆情监控、数据备份与恢复、司法取证与鉴定、侦测伪基站等,我们都能做。”雨人网安创始人、总经理邓庭波介绍了公司的业务范围。自成立至今,雨人网安已从最初的产品发展到提供信息安全服务、系统集成,近年来,公司又着力研发了自主创新产品――“隐鹰”超小型隐蔽式伪基站侦测系统。

仅仅是出于对网络安全产业前景的肯定,2003年,没有专业背景的邓庭波成立了雨人网安。那时的公司缺资金、缺技术、缺人才,只能借外力求生存。凭着初生牛犊不怕虎的干劲,她和一些网络安全企业达成合作,在湖南其网络安全产品。“单一的产品满足不了客户需求,在有了固定的客户群后,我们就开始做服务。当企业网络出现安全问题时,我们可为企业提供多种方案,如通过改进硬件设备、提供技术服务、进行安全知识培训等,帮助企业解决问题。”

站稳脚跟后,公司要谋发展。2009年,雨人网安组建了一支信息安全等级测评队伍,成为湖南省第一家通过等级测评机构能力评估的第三方测评机构。“以前客户是在问题出现后再寻找解决办法,现在是问题发生之前,我们就能找出疑点,将其扼杀在摇篮里。”邓庭波如此形容。该业务推出后,雨人网安的服务对象扩展到了政府、金融、医疗、通信、交通、广电等领域,每年都有近千个客户网络接受等级测评。

市场的需求逐渐旺盛,公司发展的脚步越来越快,但邓庭波始终有一个信念:雨人网安需要一个真正属于自己的核心产品来提高竞争力。为此,“从2008年起,公司就开始尝试自主研发第一款产品。”她介绍,当时的想法是搭建一个服务于政府和企事业单位的“网络安全监控平台”,客户把自己的网络放在该平台上,技术人员通过远程监控,检测网络的可用性,若发现技术漏洞、木马植入或服务器被篡改,可实时采取措施。然而,由于缺乏足够资金和人才,计划进展缓慢,“随着大数据、云服务理念的提出,几大网络巨头都已经推出了类似产品。我们做了近三年后,只能不了了之。”

这次失败并未阻止雨人网安转型创新的脚步。近年来,电信虚假信息诈骗等新型犯罪行为日益猖獗,公司找到了新的突破口:针对伪基站的犯罪活动,公司从2014年开始自主研发和生产“隐鹰”超小型隐蔽式伪基站侦测系统。在系统交付试用的第一天,技术人员便发现长沙砂子塘附近有伪基站活动,赶赴该区域后,通过侦测主机和手机专用APP,对伪基站进行精确定位,之后与附近派出所合作,现场取证,打击了违法犯罪活动。从2015年底开始投入使用后的短短3个月内,雨人网安已联合公安、电信运营商成功抓捕伪基站犯罪团伙20多个,涉案金额达数千万元。

问题就是机会

黑客坐在电脑前敲打着键盘,一行行攻击代码在电脑屏幕上闪现;而另一端的“白帽子”们则在努力寻找电脑系统和网站中的漏洞,并将之公布,使其在被不法分子利用前得到修复。

“白帽子”稀缺一直是雨人网安在前行道路上的阻碍。邓庭波清醒地知道,在互联网行业,能让公司立于不败之地的只有领先的技术,而技术创新靠人才。“正是技术力量的缺失,第一款自主创新产品的研发错过了时机。那次失败让我更加明白人才的重要性。”为此,她频繁地跑高校,与中南大学、国防科大、湖南大学等院校合作,组建了一支由十多名专家构成的顾问团队,把关公司的网络安全项目。

而让员工受益更多的是公司组织的内部培训。“学校没有对口人才,我们只能招一个培养一个。每年公司都会邀请专家来授课,去外省交流学习,组织员工参加等级认证考试等,现在已培养了10多名高级测评师。”邓庭波表示,“公司鼓励员工参加比赛,提升他们的临场应战能力,员工最佳成绩是在代表国内顶级水平的‘中国网络安全技术对抗赛’中获得第二名。”培养人才的同时也要留住人才。从月度考核到新项目扩展奖金,从调薪到出国旅游,无论是前端市场人员,还是后端研发工程师,雨人网安都从多维度给予员工激励和提升空间。

在解决问题的同时,邓庭波看到了潜在的机会。人才缺失是信息安全领域普遍存在的问题,有着巨大的市场需求,雨人网安能为自己培养人才,也能为行业服务。目前,公司正策划与相关培训机构、高校联合举办测评师认证培训班,为信息安全人才贡献力量。

篇10

对于医疗业信息化系统的安全问题,大多数医疗行业考虑最多的还是病毒,认为病毒对医疗行业的HIS和 OA系统影响最大,所以大部分的财力人力都投向了防病毒系统,当然这是对的;但这还远远不够,仍然会有很多心怀叵测的人或者组织对医疗行业发起攻击,甚至数据窃密等,往往会对医疗行业的核心数据造成不可弥补的损失。

1 影响网络安全性的因素主要有以下几个方面

1.1网络结构因素 例如1家3甲综合性医院一般有计算机几百台,通过内部网相互连接,根据该医院的统一规划,在内部网络中,各计算机在同一网段,通过交换机连接。

1.2网络协议因素 在建造内部网时,科室为了节省开支,会保护原有的网络基础设施,对网络协议的兼容性要求越来越高,使众多厂商的协议能互联、兼容和相互通信,同时,也带来了安全隐患。

1.3用户因素 医疗行业建造自己的内部网是为了加快信息交流,更好地适应市场需求。建立之后,用户的范围必将从企业员工扩大到客户和想了解行业情况的人。用户的增加,也给网络的安全性带来了威胁,因为这里可能就有商业间谍或“黑客” 。

1.4主机因素 建立内部网时,使原来的各局域网、单机互联,增加了主机的种类,如工作站、服务器,甚至小型机、大中型机。由于它们所使用的操作系统和网络操作系统不尽相同,某个操作系统出现漏洞,就可能造成整个网络的大隐患。

1.5单位安全政策 实践证明,80%的安全问题是由网络内部引起的,因此,单位对自己内部网的安全性要有高度的重视,必须制订出一套安全管理的规章制度。

1.6人员因素 人的因素是安全问题的薄弱环节。要对用户进行必要的安全教育,选择有较高职业道德修养的人做网络管理员,制订出具体措施,提高安全意识。

1.7其他 其他因素如自然灾害等,也是影响网络安全的因素。

2 医疗行业网络安全漏洞分析

2.1物理防护不足 普遍医院都部署了防弹式的防御体系来应对“典型的”互联网攻击,如:病毒、木马、蠕虫以及间谍软件,由于员工违法使用iPod音乐播放系统和P-to-P,网络性能被大大削弱。同时单位的知识产权会因为员工的不当操作或不道德的行为通过邮件泄露出去。肆意的使用即时消息会使单位陷入员工服从性的危险之中。

2.2防火墙性能不足 用户网络中现有的防火墙一般都是采用X86架构,采用Asic架构的都很少。他们的网络性能一般都不高,尤其是对于Internet应用骤增的网络环境来说,现有防火墙的网络性能更是导致网络传输延迟增大的直接原因,使其成为整个网络传输的瓶颈之一,严重影响医疗行业的正常办公需求,已经不能够满足医疗行业持续发展的需要。而一款高性能、高吞吐、价格适中的防火墙是医疗行业用户所急切需要的。

2.3缺乏防攻击手段及有效性能 一般认为Internet上充斥着各种病毒和攻击源,但随着局域网技术的发展,网络安全不再只是外网的专利,在内网,同样面临着巨大的攻击压力。如:Arp欺骗攻击、Mac欺骗攻击、流量攫取、地址欺骗、地址扫描和端口扫描。而医疗行业现有防火墙并不具备内、外网防攻击手段及能力,在面临大范围病毒爆发或攻击发作的时候无法提供良好的处理性能,严重时将导致设备宕机,严重影响医疗行业用户的正常工作。

2.4对于应用层无法有效管控 网络中所有的网络通讯都是基于应用的。而目前Internet上的应用以几何倍数在增长,每天都有大量新应用出现,如何有效管控这些网络应用是用户急需解决的问题。

2.5网络需要更好的冗余备份机制 医疗行业网络在医疗行业生产中扮演着至关重要的角色,医疗行业网络的稳定性严重影响着医疗行业生产的稳定性,冗余技术是解决网络单点故障、维护网络持续稳定性的最有效解决方案。医疗行业网络建设需要充分考虑冗余技术的应用,尤其是网络关键节点,如网络接入端、网络核心层等等。

2.6医疗行业需要更简单实用的VPN VPN 在医疗行业网络应用中极为广泛,是医疗行业扩展远程应用的有效解决方案。随着医疗行业规模的扩大及业务发展的需要,各分支机构之间、移动办公员工和公司之间以及合作伙伴和公司之间的VPN加密远程数据传输是医疗行业解决远程传输数据的私密性、安全性和降低费用的有效办法。而如何简单、方便快捷的维护整个医疗行业的VPN以及降低医疗行业VPN的维护成本是医疗行业用户同样需要考虑的。

3 医疗行业网络安全对策

在企业对于信息化系统严重依赖的情况下,如何有效地增强企业安全防范以及有效的控制安全。

3.1建立网络安全的体系结构 网络安全的体系结构是一个理论基础,可以使网络安全建设纲举目张、有条不紊、全面周到、相对完善。赵战先生在提出了适合中国国情的模型,即WPDRRC(预警、保护、检测、反应、恢复和反击)。

3.2专网与互联网的隔离 为了安全而与外部网物理隔绝,会使内部网变成“信息孤岛”,大大降低使用效能;采用相对完善的安全方案,使内部网与外部网安全互联,使专网用户也能共享互联网的丰富资源。

3.3防火墙技术 防火墙是1种按某种规则对专网和互联网,或对互联网的一部分和其余部分之间的信息交换进行有条件的控制(包括隔离),从而阻断不希望发生的网络间通信的系统。防火墙可以为专网加强访问控制、提供信息过滤、应用层的专用、日志分析统计报告、对用户进行“钥匙口令+防火墙一次性口令”的双因于认证等功能。

3.4入侵检测技术 入侵检测被认为是继防火墙、信息加密之后的新一代网络安全技术。入侵检测是在指定的网段上及早发现具有入侵特征的网络连接,并予以即时地报警、切断连接或其它处置。难点在于:检测耗费时间加响应耗费时间之和必须小于攻击耗费时间,要对非法入侵发现得及时、抓住特征、防止销毁证据并做出反击,是一场不折不扣的高科技战争。

3.5虚拟安全专网(VPN) VPN是指业务提供商利用公众网(如互联网)将多个用户子网连接成1个专用网,VPN是1个逻辑网络而非物理网络,它既拥有公众网的丰富资源而又拥有专用网的安全性和灵活性。

3.6其它网络安全对策 除了上述几条外,网络安全方面还应采用以下一些对策:①适当强度的密码算法,密码始终是网络安全的基石,也是一切安全对策的核心;②采用安全性好的操作系统;③采用电磁防护措施,一方面要防止有用信息的电磁漏泻发射,另一方面要采用抗电磁干扰传输方式;④采用防雷电的保护措施;⑤采用适当的物理防护措施;⑥加强行政管理、完善规章制度、严格人员选任、法律介入网络等。

4 医疗行业网络安全解决方案

4.1物理安全 医疗行业定制好符合其策略和优先级的互联网安全防护解决方案,接着使用健全报表功能来很好控制医疗行业所面临的商业风险,彻底关闭点对点网络,释放重要网络资源并消除版权侵权的风险。

4.2数据库控制 对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。

4.3用户访问控制 对医疗行业信息安全的威胁不仅来自医疗行业网络外部,大量的安全威胁来自医疗行业内部。由于是内部人员所为,这样的安全犯罪往往目的明确,如针对医疗行业机密和专利信息的窃取、财务欺骗等,因此,对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

4.4防火墙部署 网络安全性问题关系到未来网络应用的深入发展,它涉及安全策略、移动代码、指令保护、密码学、操作系统、软件工程和网络安全管理等内容。一般专用的内部网与公用的互联网的隔离主要使用“防火墙”技术。

5 总结

本文对医疗网络安全问题分析与研究,主要做了以下几项工作。首先,从各个方面对网络信息系统存在的脆弱点和面临的各种威胁与攻击进行分析与探讨。其次,就目前常用的信息系统的安全保护措施进行分析与研究,探讨了各种技术措施的优点及不足。为建立和完善网络安全体系,选择安全手段提供了重要的参考。最后,分析和探讨了设计安全信息系统应遵循的原则和步骤,并根据实际情况选择实施方案。

网络信息系统安全问题是信息系统设计应考虑的重要方面。安全问题伴随着信息系统的整个生命周期而存在.在本文中分析和讨论了多种安全技术,但在网络系统的安全保护上,没有一种网络安全技术是万能的。信息安全体系的建立与管理只有从法律道德、基础实施、网络管理、网络设备、软件系统、密码体制、密钥管理、产品认证等各方面入手,根据多重保护的原则,建立多层次的防御框架,才能更有效地保证整个系统的安全性。

参考文献:

[1]袁家政.计算机网络安全与应用技术[M].北京:清华大学出版社,2002.

[2]王常吉,龙冬阳.信息与网络安全实验教程[M].北京:清华大学出版社,2007.

[3]王其良,高敬瑜.计算机网络安全技术[M].北京:北京大学出版社,2006.

[4]贺思德,申浩如.计算机网络安全与应用[M].北京:科学出版社,2007.

[5]唐正军,李建华.入侵检测技术[M].北京:清华大学出版社.2008

Adis药学核心期刊数据库检索方法例析

刘秉文,汪新久

(沈阳药科大学图书馆,辽宁 沈阳 110016)

摘要:本文以实例说明Adis药学核心期刊数据库的检索方法,旨在为药学研究人员检索高质量药学文献提供参考。

关键词:Adis;数据库;检索方法

Retrieval Methods of Adis Pharmaceutical Core Periodical Database

LIU Bing-wen,WANG Xin-jiu

(Library of Shenyang Pharmaceutical University,Shenyang 110016,Liaonin,China)