说明:
业务场景医院信息网络是所有网络中安全性要求较高的网络之一,因此目前国内医院网络系统一般由两部分构成:一是用于日常医疗信息交换的业务网,俗称内网;二是可以及时获取Internet信息资源的办公网,俗称外网。医院内网是保障医院业务开展的平台,为了有效保障其安全,大多数医院均投入巨资从物理层面进行了严格的内、外网隔离,这两套网络互不通讯。这样的内网相对安全,对保证医院业务系统的安全稳定的运行起到积极作用。但是,随着信息产业的发展和信息化意识的逐渐深入,公众对于医院医疗信息知情的需求不断增加,与此同时许多新的医疗信息化应用也在不断的推出,譬如网上预约、网上挂号、微信挂号平台、网上诊疗服务、检验检查结果网上查询等,这些新的需求和应用,在医院原有物理隔绝的网络环境下是无法实现的。因此在如何保障网络和数据安全的情况下,通过Internet实现相应需求成为医院面临的新问题和新挑战。安全需求为了满足一些新型医疗信息化应用,医院采用内外网融合的网络结构已经成为趋势。在为工作人员及患者提供更便利更开放的网络环境同时,面临的安全问题也日益严峻。当内外网融合以后,内网相对单一的环境被打破了,医院管理信息网将同时存在来自外部(互联网)、内部安全风险、以及内外网融合后所带来的新的安全风险。对医院网络系统目前所面临的风险进行分析后,我们发现医院内外网融合信息安全建设的需求主要包含以下方面:1、外部入侵威胁阻止蠕虫、网络病毒、间谍软件和黑客攻击对网络造成的安全损失,防止针对Web服务的例如SQL注入,跨站脚本攻击,网页篡改等攻击,提高医院网络的整体抗攻击能力。2、攻击检测和分析为弥补现有安全防护产品对网络攻击防护能力的不足,需要一种新型工具提供更细粒度的攻击检测和分析机制,保证医院网络在不影响正常业务流量的前提下对攻击流量进行实时阻断。3、系统与应用中的漏洞与配置缺陷处理机制检测DMZ区的操作系统、应用系统...
说明:
业务背景高校网站作为高校对外展示的窗口,不单是面向校内,同时面向社会也提供了诸多服务功能。由于面向的用户群越来越广泛,所承载的功能也越来越全面,高校网站从一个简单的信息发布和展示平台,逐步转变为汇集了招生就业、远程教育、成果共享、招标采购等众多功能的综合性服务平台。高校网站作为教育信息化建设中大量的信息资源的入口,成为高校成熟的业务展示和应用平台。在高校网站业务发展的同时,高校门户网络面临的安全隐患也在不断增加,网站挂马、网页篡改、DDoS攻击等事件层出不穷,高校网站已经逐渐成为攻击者关注的重点目标。近几年,由于攻击者攻击,造成的修改考试成绩、伪造认证证书等事件屡有发生,高校网站的安全保障工作刻不容缓。安全挑战高校网站的安全风险存在明显的高发期,在高考、招生、学生就业等敏感时期,高校门户网站、高校招生网站会聚集大量的学生及家长访问,受到利益的趋势,攻击者通常选择在这些敏感时期对高校网站进行攻击和破环。高校网站面临的主要安全威胁有以下几方面:1. 网络入侵与僵尸主机风险攻击者入侵校园内网的主机或服务器,获取相关控制权限后成为僵尸主机,以该主机或服务器为跳板,对内网进行探测扫描,发起攻击,对内网业务稳定运行造成影响。2. 网页挂马与网页篡改风险攻击者通过SQL注入、跨站脚本等攻击方式,很容易获取到高校网站的管理权限,进而篡改网页代码,加入恶意网站连接或恶意程序,造成极其恶劣的影响。3. 拒绝服务攻击风险每逢高考招生、高校信息发布或重要节日期间,高校门户网站极易被拒绝服务攻击,导致高校网站负载加剧,无法提供正常提供服务。解决方案交大捷普针对高校网站安全挑战,为高校网站设计了事前预警、事中防护、事后应急的完整安全解决方案。借助捷普网站安全监测平台,为高校客户提供7×24小时实时网站监测服务。1. 事前预警事前预警检测以预先发现系统漏...
说明:
业务背景政府门户网站是政府职能部门信息化建设的重要内容,同时也是对外宣传政府形象、发布行业信息、开展电子政务的主要平台,是国家重要信息系统。而近年来,随着政府网站所承载业务的数量和重要性逐渐增加,以及其面向公众的性质,关于政府门户网站被篡改、网络钓鱼、SQL注入和跨站脚本等带来严重后果的攻击事件频频发生,严重影响了人们对政府网站公信力的认可。根据cncert统计,2015年我国境内政府网站被篡改数量为898个,境内被植入后门的政府网站有3514,政府网站安全形势日益严峻,而政府网站被攻击后造成的巨大政治风险、名誉损失、公信力下降已经成为电子政务健康发展的巨大障碍。安全挑战DDoS攻击问题来自内外部人员的各种接入请求中,可能夹杂着异常访问行为,如果不加以识别和清洗,会使得Web服务器充斥大量需要回复的响应信息,严重消耗网络和系统资源,导致政府网站无法对外正常提供服务,造成拒绝服务问题,影响政府形象和对外服务开展。WEB应用入侵问题WEB应用入侵是指攻击者利用WEB攻击技术来达到入侵WEB站点后台系统的目的,比较常见的攻击行为包括OWASP定义的十大WEB安全威胁,如SQL注入、XSS攻击、CSRF跨站请求伪造等,一旦入侵成功,还会进一步造成网站篡改、网页挂马、信息泄露等安全问题,从而对铁路部门的形象和信誉造成很大的损害。网页篡改/挂马问题网页篡改/挂马是指攻击者利用Web应用程序漏洞获取相关权限,将正常的网页内容替换为攻击者提供的网页/文字/图片等内容,或者在网站页面注入木马程序。一般来说,网页篡改对计算机系统本身不会产生直接的影响,但对于各级政府来说,网站代表了政府部门的脸面,由于篡改造成的信誉受损、信息误导和违法信息传递,会对政府部门造成严重的损害;而网页挂马会导致网站的访问用户感染木马程序,对政府网站的正常运作产生影响,并降低政府部门的公信度。敏感信息泄漏问题政府网站后...
说明:
现代的油气田及输油气管道作为石油化工行业重要的组成部分,属于国家关键基础设施。目前,我国正在加快油气主干管网、区域性支线管网和配气管网建设。长期以来,SCADA 系统作为长输管线项目的核心中枢,对开放性、安全性、可靠性和稳定性都有极高的要求。天然气长输管线SCADA 系统一般由设在控制中心的主机/ 服务器、设在各站的远程控制终端(RTU)或智能控制设备(LED)、或可编程逻辑控制(PLC)和高性能的通信系统构成分布式控制系统。控制中心的计算机通过数据传输系统,不断采集各站的操作数据和状态信息,并向这些设备发出操作或调整设定值的指令,从而实现对整条长输管线的统一监视、控制和调度管理。行业隐患■ 在井口、无人值守阀室、站及偏远地区的场站大量使用无线仪表,如无线压力、温度传感器等,其数据接入作业区信息网无安全防护。■ 未对分散的各场站接入作业区监控中心之间进行隔离、恶意代码监测、异常监测、访问控制等一系列的防护措施,很容易发生病毒或攻击,影响全部作业区■ 未对操作站主机及服务器进行合规的安全配置,使得暴露的终端被攻击成功的可能性很高。■ 主要控制系统及设备仍旧依赖国外厂家,国产化率不高,第三方运维人员(尤其是国外的技术人员)在进行现场或远程运维时可能会泄露重要生产数据或文件。■ 未建立统一的安全管理监控系统,使得相关工控系统事件不能统一收集、分析,不易关联分析设备间的事件和日志,难于及时发现复杂的问题。解决方案● 在各场站接入作业区的监控中心前部署具有工业协议深度解析功能的工业防火墙,实现两个区域间针对常规及工业协议的逻辑隔离、报文过滤、访问控制等功能。● 在各场站进行区域工控网络的安全监测,采用不影响原有网络环境...
说明:
业务场景随着医疗改革的推进,医院正朝着以终末质量管理向环节质量管理转变,从而提高医疗服务质量,缓和医患关系,提高医院的服务效率。与以病人为中心的服务理念相适应,医院信息化也从传统的内部管理为主的HIS系统,向以病人为核心的临床信息化系统转变。伴随着临床信息化,医院正逐步地实现无纸化、无胶片化和无线化。随着无线局域网技术的不断成熟和普及,无线局域网在全球范围内医疗行业中的应用已经成为了一种趋势。从医院无线网络的建议模式来看,通常分为运营商代建和医院自建两种。无论哪种建设模式,无线技术本身安全性的问题都无法回避。不像有线网络,只要不提供接入点,就无法侵入;无线是开放的,任何外来人员都可以和内部人员一样接收到无线信号,所以必须进行接入认证安全保护。但如果像家庭一样只提供密码接入保护,那么无线网络的安全形同虚设,因为整网单一的密码很容易外泄。除了内网及外网业务,运营商代建的无线网络还提供公共无线网接入(如电信的ChinaNet、移动的CMCC等)。公网和私网的混用还会引入更多的安全问题。安全需求由于无线局域网采用公共的电磁波作为载体,电磁波能够穿过天花板、玻璃、楼层、砖、墙等物体,因此在一个无线局域网接入点(Access Point)所服务的区域中,任何一个无线客户端都可以接受到此接入点的电磁波信号,这样就可能包括一些恶意用户也能接收到其它无线数据信号。这样恶意用户在无线局域网中相对于在有线局域网中,去窃听或干扰信息就变得容易得多。WLAN所面临的安全威胁主要有以下几下几类:1、网络窃听一般说来,大多数网络通信都是以明文(非加密)格式出现,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。这类攻击是医院网络管理员面临的较严重的安全问题。如果没有基于加密的强有力的安全服务,就医患者数据就很容易在空气中传输时被他人读取并利用。2、AP中间人欺骗在没有足够的安全防范...
说明:
业务背景智能手机、平板以及4G和无线网络的普及,让移动互联网迅速成为主流形态,并以不可阻挡之势改变人们的工作方式,成为日常办公的重要工具。利用移动设备,人们可以利用更多的碎片时间处理邮件、流程,查看数据报表,特别是作为政府监管单位,可以借助移动化手段进一步提升工作效率、加大监管力度、提高应急处理能力。然而,政府部门普遍存在业务数据机密性要求高的特点,如何有效利用移动互联网的便捷高效,并确保业务接入安全,成为新环境下需要重点考虑的安全问题。安全挑战政府行业远程安全接入场景下面临的主要安全挑战如下:政府内部人员在出差或者开会期间也需要接入办公网络,如何保证安全接入;执法人员需要借助移动终端实现快速现场取证以及回传,如何保证数据传输安全;原有适用于电脑的公文流转系统如何有效迁移到移动终端上;大量第三方企业也可以通过移动终端实现快速安全数据上报;大量的移动终端如何实现有效设备管理和身份认证。解决方案交大捷普基于多年技术积累和对政府部门移动业务的深刻理解,提供了一套完善的政府行业远程安全接入解决方案。通过部署交大捷普SSL VPN网关,可满足电脑、移动终端的随时随地安全接入,同时借助SSL VPN设备可以实现针对移动终端的统一设备管理、统一身份认证等,既保证安全接入,同时又可实现移动设备统一管理,方便政府部门移动接入管理工作。随时随地安全接入采用捷普SSL VPN系统,无需任何客户端软件的安装,即可实现对企事业单位内网的远程安全接入,实现对内网丰富资源(如:邮件系统、OA、文件共享系统、政务系统等)的快捷访问。捷普VPN支持多种接入终端和操作系统,如PC、Pad、智能手机,无缝兼容Windows、IOS、Android等底层系统,对接入环境、接入终端做到高度适应,为用户提供了方便的远程移动接入平台,真正做到随时随地。安全的接入保障政府部门IT管理员可以利用捷普SSL VPN提供的多重...
说明:
业务场景2009年4月中共中央、国务院授权新华网发布《关于深化医药卫生体制改革的意见》;要求“建立实用共享的医药卫生信息系统,以推进公共卫生、医疗、医保、药品、财务监管信息化建设为着力点,整合资源,加强信息标准化和公共服务信息平台建设,逐步实现统一高效、互联互通”;信息化成为新医改的重要支撑,卫生信息化蓬勃发展,卫生信息化建设步伐明显加快; 2012年6月,《卫生部 国家中医药管理局关于加强卫生信息化建设的指导意见》卫办发〔2012〕38号发布,明确重点任务之一“建立国家、省、区域(地市或县级)三级卫生信息平台” ,实现跨省或跨地区信息共享及业务协同,实时采集生成汇总数据,为决策者、管理者提供信息服务;区域卫生信息化管理平台在全国各地广泛开展建设。伴随着卫生信息化而来的不良信息、非法入侵、系统漏洞、蠕虫病毒等对卫生网络和应用系统产生巨大的威胁,卫生非法统方事件、患者信息泄密事件、卫生假证事件、医院信息系统病毒宕机事件等不时见诸报端,卫生网络系统的信息安全问题逐渐呈现。2011年11月“卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知”卫办发〔2011〕85号发布,明确贯彻落实国家信息安全等级保护制度;“做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义”。因此,如何设计一个稳定、可靠、安全和经济的区域卫生信息管理平台,应对日益增多的网络攻击、病毒破坏和黑客入侵等问题,已成为卫生行业信息化建设和运营关注的重点。安全需求区域卫生信息平台所面临的安全威胁主要有以下几类:1、黑客入侵造成的破坏和数据泄露随着医疗信息化的普及,个人信息逐渐以电子健康档案、电子病历和电子处方为载体,其中包括了个人在疾病控制、体检、诊断、治疗、医学研究过程中涉及到的肌体特征、健康状况、遗传基因、病史病历等个人信息...
说明:
业务背景随着高校信息化建设的不断发展和完善,各种新业务新系统不断涌现,对应用服务器数量的需求也大大增加,很多高校开始采用集中化建设的方式,加大了数据中心的建设力度。由于数据中心业务的特殊性,数据中心基础设施框架下多层应用程序与硬件、网络、操作系统的关系异常复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素,一些未实施正确安全策略的数据中心,攻击者和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害,而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备,但对于日趋成熟和危险的各类攻击手段,这些传统的防御措施仍然显得力不从心。随着计算虚拟化技术的发展,虚拟化数据中心受到越来越多的高校青睐,虚拟化技术不但可降低数据中心的建设与运行成本,而且可简化服务器管理模式,实现服务器数据快速恢复,提高数据中心的管理与运行水平。但伴随虚拟化技术的使用,虚拟化安全问题也逐渐呈现出来。安全挑战高校数据中心逻辑结构高校数据中心面临的主要安全威胁有以下几方面:1. 通用性的安全威胁包括攻击者通过恶意代码或木马程序,对网络、操作系统或应用系统进行攻击;内部人员未经授权接入外部网络,或下载/拷贝软件或文件、打开可疑邮件时引入病毒;攻击者利用应用系统、操作系统中的后门程序攻击系统;授权用户操作失误导致系统文件被覆盖、数据丢失或不能使用。2. 业务信息安全性威胁包括内部人员利用技术或管理漏洞,未经授权修改重要系统数据或系统程序;攻击者利用各种工具获取身份鉴别数据,并对鉴别数据进行分析和解剖,获得鉴别信息,未经授权访问网络、系统,或非法使用应用软件、文件和数据;以及攻击者利用网络结构设计缺陷旁路安全策略,未经授权访问网络。3. 业务服务保证性威胁包括诸如攻击者利用分布式拒绝服务攻击等拒绝服务攻击工具,恶意消耗网络、操作系统和应用系统资源,导致拒绝服务;攻击者利...
说明:
业务背景提起网络安全,人们自然就会想到网络边界安全,但是实际情况是网络的大部分安全风险均来自于内部。对于政府行业来说,随着电子政务的普遍应用,基于网络边界的安全建设已趋于完善,大量的防火墙、入侵防护、防病毒网关等系统安全设备部署于政府网络中,在这些设备的严密监控下,来自网络外部的安全威胁虽大大减小,然而政府部门内部网络的安全问题依然比较突出,如网络资源被滥用造成的网络阻塞,重要信息的非法拷贝和传播,机密泄露、数据丢失、身份冒认、非法入侵等问题频繁发生,给政府党政机关造成了重大的损失,也让政府机关的网络管理人员头痛不已。安全需求非授权人员的网络接入政府单位网络环境复杂,办公网、涉密网和外网等多个网络并存,并需要经常在不同网络间交换数据,若非授权人员可以随意接入内网,或者内部人员出现有意或无意的越权接入,极易造成数据泄密情况。内部终端的违规外连虽然大部分政府部门明令禁止内网电脑连接互联网,但由于部分用户安全意识薄弱,存在一机两用的情况,即一台机器既在内网使用也在外网使用,甚至将内、外网联通。这种行为一方面可能将互联网上的病毒、木马等带入内网,影响网络安全,另一方面终端可能会成为信息摆渡工具,将内网政务敏感信息散发到外网。内部人员的违规外联行为很可能造成重大泄密事件,危及国家安全和社会稳定。移动介质使用管理如果缺乏有效的技术手段对移动存贮介质使用进行管控,可能导致部分用户对U盘内、外网混用,拷贝敏感信息,甚至将外网病毒、木马等带入内网,造成很大的安全隐患。文件打印刻录管理文件打印和刻录也是信息泄露的重要途径,如果不对打印和刻录行为进行有效管控,确保打印刻录行为符合流程管理规范,极可能导致政府部门内部的一些敏感文件被泄露出去,造成不可挽回的损失。终端繁多管理难三分技术,七分管理。政府部门内部终端数量终端,终端用户技术水平参差不齐,内部用户面临网络、终端、系统、应用和桌面等各个方面的...
说明:
业务场景医疗卫生是重大民生问题,从行业的整体发展来看,存在众多问题,较为突出的就是医疗的资源配置不均衡,一些大城市的医疗资源供应充分但利用不足,而一些中小城市、全科诊室或农村偏远地区的乡镇、村卫生室医疗资源供应严重缺乏。目前随着计算机多媒体技术和远程通信技术的不断发展,医疗行业的信息化水平不断提高,远程医疗为医院之间的资源共享互动沟通的搭建了很好的桥梁,从过去“封闭式”独立单元过渡到开放的信息枢纽。它已从基础设备的一体化向临床信息的一体化集成和内外通信发展,为医生、患者、专家提供了高效的医疗相关数字化信息,囊括了病人基本信息、生理体征及手术参数、医学影像和远程心电诊断、远程预约、急救服务、医患交流、场景视频、交互视频等。同时,随着各项业务的不断发展,还将广泛用于手术指导示教、远程监护、病理诊断等。相信通过远程会诊,大型综合医院的优秀的医疗资源能得到更好的利用,好的专家、医师的医疗经验可以得到共享,大大提高了医疗服务质量,也方便了患者就医。安全需求1.保护患者信息隐私要求远程医疗信息系统的信息包括电子病历、健康档案、会诊信息、影像数据等,其中电子病历和健康档案涉及到个人的基本信息,包含病史等隐私数据;会诊信息是会诊专家对患者的诊断信息。患者隐私数据的泄漏直接损害患者利益、影响医院的声誉;远程医疗信息在传输、存储过程中若被篡改、丢失将会直接影响会诊的结果,导致严重的医疗事故。因此数据安全是远程医疗信息系统建设的重要需求。要保障这些信息传输的完整性,实现检测与恢复;保证数据传输和存储的保密性,必须实现本地完全数据备份,重要数据异地备份。2.保护会诊机构内部信息需求参与远程医疗的专业机构需要在企业内网与远程医疗外网之间进行部分连接与限定的信息交互,其他大量内网信息则不能外泄。这使得医疗机构内网安全面临新的挑战,在部分连通外网情况下,保证医疗机构内网信息安全无泄漏和防入侵等,成为远程...
说明:
业务背景随着我国学校信息化建设的逐步深入, 学校教务工作对信息系统依赖的程度越来越高; 教育信息化建设中大量的信息资源, 成为学校成熟的业务展示和应用平台, 在未来的教育信息化规划中占有非常重要的地位。从安全性上分析, 高校业务应用和网络系统日益复杂, 外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著, 信息化安全是业务应用 发展需要关注的核心和重点。安全挑战安全物理环境是信息系统安全运行的基础和前提,是系统安全建设的重要组成部分。在等级保护基本要求中将物理安全划分为技术要求的第一部分,从物理位置选择、物理访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面对信息系统的物理环境进行了规范。安全通信网络是在安全计算环境之间进行信息传输及实施安全策略的软硬件设备,是学校的重要基础设施,也是保证数据安全传输和业务可靠运行的关键,更是实现学校数据内部纵向交互、对外提供服务、与其它单位横向交流的重要保证。安全区域边界安全对安全计算环境边界、以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关软硬件设备。区域边界安全防护是实现各安全域边界隔离和计算环境之间安全保障的重要手段,是实现纵深防御的重要防护措施。通过边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证,实现保护环境的区域边界安全。安全计算环境是对系统的信息进行存储、处理及实施安全策略的相关软硬件设备,安全计算环境包括各类计算服务资源和操作系统层面的安全风险。作为学校用于信息存储、传输、应用处理的计算服务资源,其自身安全性涉及到承载业务的方方面面,任何一个节点安全隐患都有可能威胁到整个网络的安全。安全管理是必不可少的手段,所谓“三分技术,七分管理”更加凸显了安全管理的重要性,健全的安全管理体系是各种安全防范措施得以有效实施、网络系统安全实现和维系的保...
说明:
业务背景随着政府行业信息化建设完善,各政府单位已根据自身实际情况部署了防火墙、入侵检测、防病毒、业务主机安全等系统。与此同时,随着不同安全产品的部署,也增加了安全管理的复杂性和成本,如何将现有安全系统纳入统一监管,通过集中管理平台提升政府安全管理效率,实现全方位的安全预警和运维管理,将网络被动防御转化为主动防御,提升政府网络安全防护级别,已成为新时期政府行业信息安全建设的主要方向。安全挑战多种安全设备导致运维管理复杂、维护成本高昂;缺乏统一的安全运营管理平台,无法快速、精确的发现安全威胁;出现信息系统或网络安全故障时,故障定位繁琐、无序,预警和响应滞后;出现安全问题时应对被动,缺乏及时、有效的预警,不能智能、主动抵御复杂或定向攻击行为;需要在每台设备上查看系统日志和风险报表来确认风险状况,风险展示不直观;不满足政府单位陆续下发的网络与信息安全体系框架和策略标准要求,难以建立有效的安全评估、保护和检查体系,难以规范安全事件管理和应急响应机制。解决方案针对政府部门在运维管理方面遇到的问题,交大捷普基于多年技术积累和实践经验,推出了政府信息安全管理中心解决方案,该方案主要借助于交大捷普信息安全一体化集中管理系统(简称JSOC)。JSOC系统可实现对全网的网络设备、安全设备、应用系统、数据/存储以及分支网络等进行全方位的监管,是面向全网IT资源集中的信息化安全管理平台,该系统通过对全网安全域中不同IT资产(主机、网络设备和安全设备等)事件的实时采集、处理和分析,形成基于资产的统一安全威胁与风险管理,在出现网络故障或安全异常时通过邮件、短信等方式及时通知相关负责人,并依托安全知识库和强大的工作流服务驱动对威胁与风险进行及时、精确地响应和处理,帮助政府各行业用户构建集中化智能安全管理运维体系,极大地提高安全运维管理工作效率。捷普安全管理中心总体技术架构如下:通过捷普安全管理中心的实施部...