外网接入安全及网络行为审计方案 深信服科技有限公司 2018年4月 需求分析 随着医院业务的不断发展，医院内部IT运用与业务结合的不断深入，网上业务的发展使得信息交互越来越频繁，重要的数据和信息在网络中的传输也越来越多，安全性要求也越来越重要。同时对于医院出口安全接入用户的行为由于医院外网接入的复杂性。需要针对外网用户进行外网用户有线无线统一的行为审计。 问题分析 1. 医院内部人员的远程移动办公和远程医疗系统的应用，需要保证合法人员外出时可以安全访问医院内部网络进行日常操作，并同时确保数据的安全。因此必须在选择方法时，充分考虑多种接入方式以及各个接入方式的安全性。 2. 外网办公区域越来越多的无线终端接入，因此如何有效的进行有线无线的一体化管理，成为了外网接入的安全必须重点关注的问题。 3. 对于外网合法用户的内容审计同样也需要关注，随着医院WiFi热点的普及，医院的互联网伴随着各类人群的使用，因此有效的审计工作可以充分预防的前提下还能及时的作为事后回溯的依据。 方案设计 业务外网身份鉴别及审计系统拓扑图 外网用户接入方案设计 对于从互联网接入医院用户，采用SSL VPN 方式进行解决，能实现对重要业务系统的身份鉴别，而且可以采用多种身份鉴别方式，实现对应用的系统的双因素认证。 SSL VPN身份认证安全、终端访问安全、数据传输安全、权限划分安全、应用访问审计安全五大安全体系，由头至尾保证整个SSL VPN接入访问的安全性。 医院出口VPN部署在局域网内重要的应用都是采用最简单的用户名密码进行验证。使用单一用户名密码进行验证存在帐号密码遭人盗用而导致越权访问的问题，尤其对于重要的应用系统如财务、客户信息等限定在特定部门、特定人员访问的核心系统，一旦遭遇用户名密码被盗窃，其后果所造成的威胁将是不可估量的。 用户可以通过多种认证方式的多因素组合认证，除了最基本的用户名密码认证之外，还支持LDAP/AD、Radius、CA等第三方认证，支持USB KEY、硬件特征码、短信认证（短信猫和短信网关）、动态令牌卡等加强认证方式。实现接入身份的唯一性和安全性。 互联网用户应用管理方案设计 医院互联网的用户行为，因访问类型种类较多，因此设备需要内置庞大应用识别规则库，可识别目前网络中各种主流常见应用，如微博、社区论坛、网盘、在线视频等。同时，具备千万级的URL库，能够识别和定义出主流网站。 通过对URL和应用的识别，行为管理能够对用户的日常上网行为进行管理及流量的控制，同时能够记录下用户的日常上网行为。 内容审计方案设计 医院互联网用户接入医院外网可能成为黑客的跳板进入到内网的系统获取内部的信息。同时内部办公人员也可能通过互联网外泄一些医院内部信息。因此审计系统实时监控和完善的访问审计功能可有效防止信息通过Internet泄漏。对邮件类型应用采用邮件延迟审计技术保证先审计后发送。 对于通过Webmail发送邮件，审计系统全面记录邮件正文和附件等；对于QQ、MSN、Gtalk等聊天内容提供全面记录功能；对于微博、社交论坛发帖不仅根据关键字进行过滤，成功发布的内容也能全面记录；内网用户访问的URL地址、网页标题、甚至整个网页内容，审计系统也能完全监控和记录等。 同时，对于经过SSL加密的webmail外发邮件、SSL加密的SMTP/POP3和网页，审计系统可以基于关键字过滤和内容审计记录。 同时，能够根据外发文件的后缀名实现告警。通过添加关键后缀名，实现对日常上网过程中的外发文件进行检测，如匹配关键后缀名名单则向管理邮箱发送告警邮件，并产品日志几率。 方案价值 提高管理效率 审计系统能够全面记录内网用户的上网行为，并实现深入的内容审计。通过行为审计，管理员知道在什么时间、哪个用户、做了什么，能够时刻掌握用户动态，为网络管理提供决策依据。对于在公共场合WIFI环境下，通过上网行为审计，能够了解用户的上网行为习惯、个人爱好等，为业务推广提供有效的用户数据。 避免法律风险 网络违法事件也层出不穷：网络间谍、网络泄密、网络造谣和非法言论等。如果内网用户利用机构网络发生，则法律问题和风险将难以避免；如果没有证据，无法找到直接责任人，IT部门则将成为该违法事件的直接责任人。通过对内网用户上网行为实施记录审计，能够在发生网络违法事件的时候通过审计日志追查相关责任人，避免由医院承担相应法律责任。 安全的业务发布 采用SSL VPN对内部应用平台的统一发布，全面的保障了应用的安全性。结合SSL VPN身份认证安全机制、终端安全控制机制、高强度加密机制、细粒度授权机制，保证应用仅可由指定用户、使用指定安全级别的终端、访问到指定应用的强控制。