外網(wǎng)接入安全及網(wǎng)絡(luò)行為審計方案深信服科技有限公司2018年4月需求分析隨著醫(yī)院業(yè)務(wù)的不斷發(fā)展，醫(yī)院內(nèi)部IT運用與業(yè)務(wù)結(jié)合的不斷深入，網(wǎng)上業(yè)務(wù)的發(fā)展使得信息交互越來越頻繁，重要的數(shù)據(jù)和信息在網(wǎng)絡(luò)中的傳輸也越來越多，安全性要求也越來越重要。同時對于醫(yī)院出口安全接入用戶的行為由于醫(yī)院外網(wǎng)接入的復(fù)雜性。需要針對外網(wǎng)用戶進行外網(wǎng)用戶有線無線統(tǒng)一的行為審計。問題分析1.醫(yī)院內(nèi)部人員的遠程移動辦公和遠程醫(yī)療系統(tǒng)的應(yīng)用，需要保證合法人員外出時可以安全訪問醫(yī)院內(nèi)部網(wǎng)絡(luò)進行日常操作，并同時確保數(shù)據(jù)的安全。因此必須在選擇方法時，充分考慮多種接入方式以及各個接入方式的安全性。2.外網(wǎng)辦公區(qū)域越來越多的無線終端接入，因此如何有效的進行有線無線的一體化管理，成為了外網(wǎng)接入的安全必須重點關(guān)注的問題。3.對于外網(wǎng)合法用戶的內(nèi)容審計同樣也需要關(guān)注，隨著醫(yī)院WiFi熱點的普及，醫(yī)院的互聯(lián)網(wǎng)伴隨著各類人群的使用，因此有效的審計工作可以充分預(yù)防的前提下還能及時的作為事后回溯的依據(jù)。方案設(shè)計業(yè)務(wù)外網(wǎng)身份鑒別及審計系統(tǒng)拓撲圖外網(wǎng)用戶接入方案設(shè)計對于從互聯(lián)網(wǎng)接入醫(yī)院用戶，采用SSLVPN方式進行解決，能實現(xiàn)對重要業(yè)務(wù)系統(tǒng)的身份鑒別，而且可以采用多種身份鑒別方式，實現(xiàn)對應(yīng)用的系統(tǒng)的雙因素認證。SSLVPN身份認證安全、終端訪問安全、數(shù)據(jù)傳輸安全、權(quán)限劃分安全、應(yīng)用訪問審計安全五大安全體系，由頭至尾保證整個SSLVPN接入訪問的安全性。醫(yī)院出口VPN部署在局域網(wǎng)內(nèi)重要的應(yīng)用都是采用最簡單的用戶名密碼進行驗證。使用單一用戶名密碼進行驗證存在帳號密碼遭人盜用而導(dǎo)致越權(quán)訪問的問題，尤其對于重要的應(yīng)用系統(tǒng)如財務(wù)、客戶信息等限定在特定部門、特定人員訪問的核心系統(tǒng)，一旦遭遇用戶名密碼被盜竊，其后果所造成的威脅將是不可估量的。用戶可以通過多種認證方式的多因素組合認證，除了最基本的用戶名密碼認證之外，還支持LDAP/AD、Radius、CA等第三方認證，支持USBKEY、硬件特征碼、短信認證（短信貓和短信網(wǎng)關(guān)）、動態(tài)令牌卡等加強認證方式。實現(xiàn)接入身份的唯一性和安全性。互聯(lián)網(wǎng)用戶應(yīng)用管理方案設(shè)計醫(yī)院互聯(lián)網(wǎng)的用戶行為，因訪問類型種類較多，因此設(shè)備需要內(nèi)置龐大應(yīng)用識別規(guī)則庫，可識別目前網(wǎng)絡(luò)中各種主流常見應(yīng)用，如微博、社區(qū)論壇、網(wǎng)盤、在線視頻等。同時，具備千萬級的URL庫，能夠識別和定義出主流網(wǎng)站。通過對URL和應(yīng)用的識別，行為管理能夠?qū)τ脩舻娜粘Ｉ暇W(wǎng)行為進行管理及流量的控制，同時能夠記錄下用戶的日常上網(wǎng)行為。內(nèi)容審計方案設(shè)計醫(yī)院互聯(lián)網(wǎng)用戶接入醫(yī)院外網(wǎng)可能成為黑客的跳板進入到內(nèi)網(wǎng)的系統(tǒng)獲取內(nèi)部的信息。同時內(nèi)部辦公人員也可能通過互聯(lián)網(wǎng)外泄一些醫(yī)院內(nèi)部信息。因此審計系統(tǒng)實時監(jiān)控和完善的訪問審計功能可有效防止信息通過Internet泄漏。對郵件類型應(yīng)用采用郵件延遲審計技術(shù)保證先審計后發(fā)送。對于通過Webmail發(fā)送郵件，審計系統(tǒng)全面記錄郵件正文和附件等；對于QQ、MSN、Gtalk等聊天內(nèi)容提供全面記錄功能；對于微博、社交論壇發(fā)帖不僅根據(jù)關(guān)鍵字進行過濾，成功發(fā)布的內(nèi)容也能全面記錄；內(nèi)網(wǎng)用戶訪問的URL地址、網(wǎng)頁標題、甚至整個網(wǎng)頁內(nèi)容，審計系統(tǒng)也能完全監(jiān)控和記錄等。同時，對于經(jīng)過SSL加密的webmail外發(fā)郵件、SSL加密的SMTP/POP3和網(wǎng)頁，審計系統(tǒng)可以基于關(guān)鍵字過濾和內(nèi)容審計記錄。同時，能夠根據(jù)外發(fā)文件的后綴名實現(xiàn)告警。通過添加關(guān)鍵后綴名，實現(xiàn)對日常上網(wǎng)過程中的外發(fā)文件進行檢測，如匹配關(guān)鍵后綴名名單則向管理郵箱發(fā)送告警郵件，并產(chǎn)品日志幾率。方案價值提高管理效率審計系統(tǒng)能夠全面記錄內(nèi)網(wǎng)用戶的上網(wǎng)行為，并實現(xiàn)深入的內(nèi)容審計。通過行為審計，管理員知道在什么時間、哪個用戶、做了什么，能夠時刻掌握用戶動態(tài)，為網(wǎng)絡(luò)管理提供決策依據(jù)。對于在公共場合WIFI環(huán)境下，通過上網(wǎng)行為審計，能夠了解用戶的上網(wǎng)行為習(xí)慣、個人愛好等，為業(yè)務(wù)推廣提供有效的用戶數(shù)據(jù)。避免法律風險網(wǎng)絡(luò)違法事件也層出不窮：網(wǎng)絡(luò)間諜、網(wǎng)絡(luò)泄密、網(wǎng)絡(luò)造謠和非法言論等。如果內(nèi)網(wǎng)用戶利用機構(gòu)網(wǎng)絡(luò)發(fā)生，則法律問題和風險將難以避免；如果沒有證據(jù)，無法找到直接責任人，IT部門則將成為該違法事件的直接責任人。通過對內(nèi)網(wǎng)用戶上網(wǎng)行為實施記錄審計，能夠在發(fā)生網(wǎng)絡(luò)違法事件的時候通過審計日志追查相關(guān)責任人，避免由醫(yī)院承擔相應(yīng)法律責任。安全的業(yè)務(wù)發(fā)布采用SSLVPN對內(nèi)部應(yīng)用平臺的統(tǒng)一