中安威士设备实施方案之妇幼保健院防火墙设备实施方案.docx
- 文档编号:30518938
- 上传时间:2023-08-16
- 格式:DOCX
- 页数:19
- 大小:1.02MB
中安威士设备实施方案之妇幼保健院防火墙设备实施方案.docx
《中安威士设备实施方案之妇幼保健院防火墙设备实施方案.docx》由会员分享,可在线阅读,更多相关《中安威士设备实施方案之妇幼保健院防火墙设备实施方案.docx(19页珍藏版)》请在冰豆网上搜索。
中安威士设备实施方案之妇幼保健院防火墙设备实施方案
xx妇幼保健医院
数据库防火墙设备实施方案
中安威士(北京)科技有限公司
2017年06月20日
目录
1背景分析3
2需求分析3
2.1一般性需求分析3
2.2针对妇幼医院的特定性需求分析4
3解决方案策略5
3.1网络环境拓扑5
3.1.1网络拓扑5
3.2针对用户问题配置策略解决方案6
3.2.1管理方面6
3.2.2技术方面7
4方势和价值11
5客户收益12
6产品推广13
6.1数据库透明加密13
6.1.1原理13
6.1.2部署方式13
6.1.3产品优势14
6.2动态脱敏15
6.2.1原理15
6.2.2部署方式15
6.2.3产品优势16
6.3静态脱敏17
6.3.1原理17
6.3.2部署方式17
6.3.3产品优势18
1背景分析
xx市妇幼保健院(大连市妇产医院)作为该市三级妇幼保健网的龙头单位,为了进一步加强对患者的敏感信息保护,以及防止统方的产生,对其信息系统提出了整合和防护要求。
2011年卫生部发布的《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号)等文件均明确要求各级医疗单位要高度重视信息安全等级保护工作,三级甲等医院需要过等保三级,这对保障居民健康、信息安全、医疗卫生服务秩序和社会稳定具有重要意义,开展信息安全等级保护工作是医院提高信息安全防护能力的重点工作。
由于目前针对数据库的SQL注入攻击、越权访问、以及数据库权限滥用等问题频发。
为了更好的的处理、管理和限制恶性事件的发生,xx市妇幼保健院相关部门针对数据库安全防护方面,提出以下要求:
1)业务审计
2)满足等保评测
3)防止信息泄漏以及防统方
该需求充分体现院方对患者的隐私信息保护和医疗腐败整治的重视。
为了满足以上需求,妇幼医院决定在系统中部署数据库安全审计和防火墙产品,对数据库的访问和操作行为进行详细的记录、并对高危操作进行实时阻断。
2需求分析
2.1一般性需求分析
由于医疗系统的敏感性和特殊性,保障医疗系统的数据安全是非常关键、非常必要的,因此在建立一个稳定的网络实现数据共享、信息互通的同时,如何确保数据和信息的安全成为了重要保障因素。
医院信息系统HIS有以下主要业务系统:
1)LIS系统:
临床试验系统(临床、患者状况、用药、疗程)
2)EMR系统:
电子病历(接收并存放LIS的信息)
3)MIS系统:
管理信息系统(财务、客户关系)
4)PACS系统:
影像(B超、彩超、X光等)
5)OA系统:
办公自动化(门户网站、人事管理)
除此以外,还有很多重要数据库。
任何一个资源库中的数据被篡改、被删除、被窃取都会造成严重的后果。
医疗行业信息系统特点如下:
1)高速的响应速度和联机事务处理能力;
2)医疗信息数据的复杂性;
3)信息的安全、保密度要求高;
4)数据量庞大;
5)稳定性要求高;
6)瞬时并发访问量大;
7)系统后期数据维护工作量大。
因此,建立一个多层级、立体的安全网络已经成为医疗系统的核心需求。
2.2针对妇幼医院的特定性需求分析
妇幼医院采用C/S网络架构,由于目前院方的数据库开发人员、访问数据库的应用程序开发人员、以及数据库运维人员(接触真实数据),是同一团队。
而且操作数据库的用户名和密码是互通的,并且数据库开发人员有root权限,可以对数据库中的真实数据库进行增、删、改、查等所有操作。
对于如上情况,分析其需求如下:
该需求主要从性能、管理和技术三方面进行分析:
(1)性能需求
Ø连续高效的SQL处理能力
Ø快速的日志检索能力
Ø大容量的单位磁盘存储能力
(2)管理需求
Ø不同的人员对应不同的数据库用户
Ø防火墙产品三权分立
(3)技术需求
Ø全面审计
Ø部署堡垒机
Ø设置双机备份,保证业务系统的连续服务能力
Ø部署防火墙
✧通过IP、主机名、客户端进行限制
✧通过表字段、访问次数、时间、源IP进行限制
✧通过执行的SQL语句进行限制
3解决方案策略
3.1网络环境拓扑
3.1.1网络拓扑
1)院方原网络拓扑
2)串联模式拓扑(期望状态)
3)
旁路模式拓扑(目前状态)
3.2针对用户问题配置策略解决方案
解决方案需要从管理和技术两个方面解决问题。
3.2.1管理方面
(1)数据库账户管理
数据库
防火墙
审计
普通用户
1)C1
2)C2
管理员
adminroot
admin
admin1root1
Øadmin用户是普通用户登录客户端的用户名
对于现在的院方无法修改普通用户的用户名和密码的情况下,可以新增一个admin1用户,供数据库开发人员和运维人员通过客户端访问数据库。
即工作台电脑只可以通过admin用户登录,开发人员和运维人员通过admin1用户登录。
Øroot用户是客户端程序中连接访问数据库的数据库用户名
对于现在客户端程序无法修改的情况,可以通过添加root1数据库用户名,同时通过防火墙来限制开发人员和运维人员的操作。
Ø分房,分区管理---限制数据库开发人员只能用固定的IP上进行开发和运维操作。
(2)内部权限管理
Ø系统登录数据库的帐号和运维人员登录数据库的帐号不同。
Ø保证工作台电脑和运维人员电脑互相独立,即不共用电脑。
注:
工作台电脑需要绑定IP、系统用户名。
如果工作台电脑IP和和主机名不匹配,可以通过配置进行报警。
Ø运维人员帐号:
只可以通过指定电脑登录数据库进行操作,并且固定IP
Ø复核功能
运维人员修改数据库敏感数据,需要至少两个人操作确认。
Ø配合监控设备一起使用,审计该时间段的操作人员。
(3)审计和防火墙权限管理
设备支持三权分立。
---system用户—厂家配置,基本无需更改;
---sectem用户—安全管理员,对数据库进行安全策略的配置;
--Auditor用户—系统审计员,通过该用户可对操作防护设备的人员进行审计。
3.2.2技术方面
3.2.2.1总体策略
Ø开启数据库性风险评估功能,扫描弱口令、系统漏洞、配置等风险,全面评估数据库系统的风险状态。
Ø通过对生产库配合审计模块,获得完整的针对数据库的操作,如果配合防火墙联动,可以有效的减少误操作和违规操作的次数,并对违规操作第一时间报警。
3.2.2.2堡垒机
堡垒主机能够提供集中的管理平台,减少系统维护工作;能够为医院信息科提供全面的用户和资源管理,减少维护成本;能够帮助医院信息科制定严格的资源访问策略,并且采用强身份认证手段,全面保障系统资源的安全;能够详细记录用户对资源的访问及操作,达到对用户行为审计的目的。
3.2.2.3数据库审计
数据库审计以旁路的方式部署于网络当中。
采集、分析、过滤所有对数据库的访问行为。
发现违规访问行为采取告警措施通知管理人员,并提供访问行为的回溯,便于管理人员更直观的判断问题。
按规定的时间生成报表提供给监察部门审核。
数据库审计基于SQL语法分析技术,分析、过滤发往数据库的SQL语句。
根据预先制定的策略决定是否对某SQL语句或访问行为进行记录,这种审计方式可以避免记录大量无用的、无风险的日志,减少占用空间并提高发现问题的准确度。
预先制定的策略包括:
白名单规则,即遇到该名单认可的SQL语句时,就将其看作正常语句,不做记录。
黑名单规则,即专门记录未授权的SQL语句。
例外规则,即可以灵活地让适用的安全策略无效。
属性规则,即通过主客体的属性记录访问行为,如一天中的时间、IP地址、用户和SQL类等属性。
3.2.2.4数据库防火墙
3.2.2.4.1总体规则配置方案
♦开启入侵保护功能,以抵御SQL注入攻击和针对数据库漏洞的攻击,还能防止全表删除、超级权限滥用等风险;
♦开启学习功能,生成白名单规则,并手工添加黑名单规则,解决详细设置数据库防火墙规则困难的问题;
♦通过IP、应用程序名、主机名进行限制
♦通过表字段执行流程进行限制
通过手工配置,限制一个操作必须命中规则中的所有表,才认为是正常访问,否则防火墙将进行阻断。
3.2.2.4.2具体配置方案
♦财务系统(MIS系统:
管理信息系统(财务、客户关系))
A:
确定财务系统所使用IP以及对应主机名,根据源IP、主机名两个规则项进行限制(院方现在是静态IP)。
B:
确认财务系统使用的目标表,根据目标表规则进行限制。
C:
对财务表进行白名单设置,只允许A中通过的主机对财务表进行insert、update操作。
♦其他敏感数据系统
LIS系统:
临床试验系统(临床、患者状况、用药、疗程)
EMR系统:
电子病历(接收并存放LIS的信息)
MIS系统:
管理信息系统(财务、客户关系)
PACS系统:
影像(B超、彩超、X光等)
OA系统:
办公自动化(门户网站、人事管理)
A:
收集非财务系统在网络系统中所使用的具体IP以及相应的主机名,根据源IP、主机名两个规则项进行限制;
B:
收集非财务系统使用的目标表,根据目标表规则进行限制(包括任意)。
在非财务系统中不需要对财务相关表进行操作,故可以禁止非财务系统对应的IP访问财务表,或禁止其对财务表进行相关操作;甚至可以细化到各个科室、每台电脑,分别限制其访问的目标表。
即权限最小化原则。
C:
操作流程限制,针对多表查询等操作,手动配置规则,只有命中规则中的所有表且顺序一致,防火墙才会放行,否则认为是高危操作将进行阻断。
D:
如果业务人员和运维人员使用不同的数据库用户,则可以对数据库用户设置差异化的规则。
3.2.2.4.3详细的规则选项
Ø时间:
设置匹配该规则的时间,可以按天时间段、周时间段、月时间段进行设置。
Ø源IP地址:
源IP即客户端IP
Ø源应用程序:
即访问数据库服务的机器上的执行程序标题。
Ø目标表:
即对数据库的操作实际所影响到的表。
Ø存储过程:
存储过程的配置同源应用程序。
Ø操作:
分为“查询、添加、修改、删除、特权操作、登入、登出”七种操作,可选择其中的一项或几项,保存后成功配置条件“操作”。
Ø受影响行:
指的是数据库操作所影响的表中的行的数量。
Ø列/字段:
即数据库操作所影响的表中的列名。
Ø特权操作:
数据库中除了基本的增删改查外的操作都称为特权操作。
Ø操作系统主机名:
即访问数据库服务的机器的登录系统的主机。
Ø操作系统用户名
Ø表组:
在全局参数下配置好数据库表组后,在此处可以对数据库表组进行配置。
匹配到表组下的所有表则成功匹配到表组条件。
Ø执行时长:
执行时长指的是数据库查询的响应速度。
Ø认证结果:
认证结果,即一次操作的返回结果,执行是成功还是失败。
Ø数据库
Ø数据库用户:
即登录数据库的用户名称
Ø访问次数:
访问次数限定的是IP或用户的操作频率。
ØSQL语句:
可以设置一条SQL语句,对具体的SQL语句进行匹配,凡是包含此语句的操作,都会匹配到此规则。
ØSQL异常:
SQL语句有时会提示异常,例如执行超时、表不存在等情况,启用SQL异常检测,在SQL执行出现异常时会匹配到此规则。
ØSQL字符串:
设置字符串后,会检测使SQL出现异常的字符串。
Ø敏感数据判断:
如果在“敏感数据扫描”模块下扫描出了数据库的敏感数据,开启判断敏感数据后,所有对敏感数据的操作都会匹配到此条件。
注:
红色为项目需要使用的规则,黑色为之后可以根据需求添加的规则。
4方势和价值
我们审计防火墙产品较友商的优势如下:
Ø敏感数据发现:
通过数据库服务发现、敏感数据发现、分类等功能帮助企业了解数据库服务器、敏感数据的分布情况。
所发现的重要服务器、服务、数据自动分类,并生成统计报表。
所有发现和分类结果直接加入到后续模块中的规则中。
Ø数据库性能监控:
实时监控数据库运行状态,在状态异常时进行预警,提前防止业务瘫痪,保障业务系统的连续可用性。
Ø数据库风险扫描:
该功能通过扫描的方式静态的评估数据库系统的风险。
扫描内容包括:
弱口令检测、系统漏洞、配置风险等。
Ø绑定变量审计:
能审计到绑定变量的具体值,并还原成完整的语句,不丢失审计信息。
Ø双向审计:
不仅包含了SQL语句的执行状态、返回行数、执行时间等基本信息更包含了以表格形式展现的数据库的返回结果内容。
Ø告警汇聚及策略微调:
告警汇聚功能以规则为依据进行汇聚,即违反相同规则仅显示一条告警,告警数量累加。
根据告警信息调整数据库基线、SQL攻击规则等。
Ø三层审计:
支持通用型的和定制开发的插件型两种。
插件型三层审计实现100%准确的一对一关联,能审计到业务用户名、业务用户IP等。
Ø部署灵活:
对于数据库较分散、应用和数据库在一台服务其及云等虚拟化环境都能进行审计。
Ø语句级的自动学习,基本实现零配置:
通过分析实时流量,自动的侦测和学习每一个应用程序的数据访问模型(画像),从而建立正确使用数据的安全基线(规则)。
Ø检索和报表:
系统支持相当灵活的检索方式,能够实现对日志的多种检索,并基于检索结果生成报表;同时系统提供丰富美观的,所见即所得的审计报告、安全趋势、性能分析等报表;并支持自定义的报表,方便生成各种汇报文件。
Ø高处理性能:
连续最高SQL/S处理能力:
4万(防火墙)
Ø超高日志存储性能:
30~100亿条/TB
Ø高模糊检索性能:
1亿记录,模糊查询1分钟内返回结果。
5客户收益
通过上述方案能够有效解决医疗系统目前所面临的数据安全问题,提高数据库的安全性、机密性、稳定性以及可用性。
最大程度的保证不会因外部与内部攻击、有意或无意的危险操作等原因带来的信息泄露、被篡改、被删除等后果。
满足信息安全等级保护及医疗防统方相关要求。
6产品推广
6.1数据库透明加密
6.1.1原理
数据库加密的目标是让数据拿不走、看不到。
中安威士数据库透明加密通过数据库的视图、触发器、存储过程机制,防止数据存储介质丢失、数据库文件被复制、SQL注入攻击导致的DBA权限泄漏(滥用)等情况造成的数据泄密。
透明加密的效果如下:
6.1.2部署方式
加密设备部署灵活,只需要与要加密的数据库路由可达即可。
具体支持两种模式,软加密模式和硬加密模式,如下:
设备采用字段级加密方式,可以根据实际需求对表中的敏感字段进行加密。
且可以对加密后的数据进行访问授权,经过授权的账号可以访问相应的加密数据,XX的设备无法访问加密数据,强行访问也只能看到密文。
6.1.3产品优势
Ø具备字段级加密,支持AES、DES、3DES、SM1、SM4等算法。
Ø对数据库零侵入:
完全使用数据库提供的机制(视图、触发器、存储过程、自定义函数)实现加密、解密和索引。
Ø削弱DBA权限:
使DBA的数据管理权限和数据查看权限分离,即DBA可以管理数据库,但是不能解密加密数据。
Ø密文索引:
利用数据库自身的索引机制,实现密文索引。
为防止索引泄密,对索引也采用加密处理。
加密后的查询性能(返回首条记录时间)与加密前几乎没有区别。
Ø采用多级混合密钥管理方案:
每个字段一个或多个工作密钥,可以定期轮换,保证加密数据的安全。
主密钥保护工作密钥。
工作密钥加密后存储于加密设备或者UKEY中,并可以离线保存。
Ø支持对表结构的修改和动态表的加密。
Ø进行客户端、IP和时间访问权限控制。
Ø对主外键、唯一索引、NOTNULL等重要约束透明。
Ø提供独立的管理平台,管理系统以B/S方式提供,以降低对数据库的计算压力。
6.2动态脱敏
6.2.1原理
脱敏的目标是让数据所需方可见。
中安威士动态脱敏通过对数据库请求通讯协议进行解析,对SQL进行重写,为运维人员和应用提供准真实数据。
脱敏的效果如下:
静态脱敏:
将数据库中敏感数据整体脱敏后,放入另一个数据库内,所有相关人员根据授权访问脱敏后的数据库;
6.2.2部署方式
动态脱敏以网关的方式部署在网络中,如下:
6.2.3产品优势
动态脱敏的优势如下:
Ø完全透明:
对后台数据库和应用程序来说,是完全透明的。
也不需要对原有网络架构做调整。
Ø实施简单:
从上架到项目实施只花费半天时间。
Ø全面防护:
可以针对页面访问、运维工具访问、通过4A系统访问、通过VPN连接后的访问等多种数据访问途径进行模糊化。
Ø动态调整策略:
后续可以根据需求自行添加模糊化策略,无需重启服务。
Ø支持以下脱敏方式:
✧数据替换-以虚拟数据代替真实值
✧截断、隐藏或使之无效-以“无效”或*、#代替真值
✧随机化-以随机数据代替真值
✧偏移-通过随机移位改变数字数据
✧字符子链屏蔽-为特定数据创建定制屏蔽
✧限制返回行数-仅提供可用回应的一小部分子集
✧基于其他参考信息进行屏蔽-根据预定义规则仅改变部分回应内容(例如屏蔽VIP客户姓名,但显示其他客户)
Ø支持Oracle、Sqlserver、DB2、Hive等数据的脱敏。
6.3静态脱敏
6.3.1原理
医疗系统中存在大量病历、药方、医生、医保等敏感信息,在系统化建设时,开发及测试往往外包给第三方软件公司完成,软件公司需要真实数据测试系统功能、性能等,形成了我们既要给数据,但还不能让他们拿到真实的数据。
中安威士静态脱敏是针对企业非生产环境的数据进行流程化管理,对隐私数据进行漂白脱敏的一套集成平台。
VS-SDM整合了隐私数据发现、数据抽取、隐私数据漂白、测试数据管理、数据装载、访问控制、性能监控等功能于一体,能够提供优质的样例数据,以供各种非生产环境使用。
通过技术手段遵循了法规要求,很好的保障了信息的安全。
6.3.2部署方式
医院的生产网段与开发环境物理隔离,部署方式如下:
6.3.3产品优势
Ø隐私数据发现
VS-SDM内置十多种中国本土隐私数据类型的发现算法。
自动对真实数据进行分析,然后找出隐私数据所在,极大地节省了人为梳理数据的工作量。
Ø隐私数据漂白算法
内置十多种中国本地隐私数据类型的漂白规则和算法可供直接使用。
免去了二次开发和客户化的需求,大大降低了实施成本。
Ø深度压缩
数据存放在VS-SDM设备中可以使用深度压缩功能,能够极大地提高数据存储能力。
此功能对于用户使用来说完全透明,无需用户进行压缩和解压,且不影响数据的访问。
Ø异构数据库支持
生产数据库和目标测试数据库允许是异构数据库平台,VS-SDM能够自动进行元数据定义的映射和编码转换,对用户来说也是完全透明,无需专门配置。
提供了一个快捷的数据移植的通道。
Ø高速数据装载
VS-SDM缺省使用了高速批量数据写入技术,比普通的插入命令快数倍,而且比数据专用的高速装载工具要简单,真正实现了简单快捷。
Ø简单易用
基务于WEB的用户界面简洁明快,向导式的使用风格,内置了大量的规则、算法和默认配置,让用户能“傻瓜式”地操作即可完成任。
Ø界面功能强大
界面集众多项目和客户需求进行综合设计,针对该类项目的各种需求都有相应的功能,让用户在各种情况下都能轻松应对。
Ø工作时间暂停
用户能够自定义休息和工作时间,让VS-SDM在特定的休息时间内工作,在生产系统繁忙时暂停,这样就能做到对生产的影响完全可控。
Ø分布式架构
VS-SDM底层采用大数据技术,经过重新设计,架构得到大幅精简,在单台设备容量或者性能达到瓶颈时,可以通过级联多台设备搭建分布式集群环境以达到扩展的目的。
Ø支持多种数据库
中安威士静态脱敏支持Oracle、DB2、Informix、SQLServer、MySQL、SybaseACE、PostgreSQL、Teradata、GreenPlum、HadoopHive等数据库。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中安威士 设备 实施方案 妇幼保健 防火墙