堡垒机“防统方”方案
方案综述
极地数据内控堡垒机,是国内知名的内网安全厂商极地安全,针对医药行业“防统方”现实需求,基于当前国际上最前沿主流的内网信息系统后台高端保护技术——堡垒机技术,而研发的全面“防统方”解决方案。
该方案立足于智能主动、全程管控的“防统方”理念,通过事前的堡垒机集中账号和访问通道管控,事中的单点登录、统一授权和访问控制,事后的数据走向与行为审计等功能,具备在服务器及后台数据库的核心设备层面的数据保护、智能拦截和行为审计,实现了真正意义上的智能管控和深度审计“防统方”的目的。
通过极地数据内控堡垒机“防统方”解决方案(以下简称:“防统方”堡垒机),能够有效地防止和精确审计医院系统内外的各种有权限访问内部各个核心系统的人员的统方操作,包括:医院HIS系统使用者管理者、医院信息设备管理者、外部技术维护人员,以及外部黑客等。
极地“防统方”堡垒机的核心价值在于: (1) 治本:从根源解决“防统方”难题。 (2) 全程:融预警变事后追查为主动防御。 (3) 高效:产品便捷操作,智能防御和深度审计。
(4) 整体:产品方案高屋建瓴,不光针对防统方问题,同时对整个医院内网信息系统核心数据设备,构建了高效率运维支撑和高强度安全保障的信息安全体系。
医院面临的“防统方”困境
困境一:“统方”途径多,堵漏难度大
目前,卫生行业信息系统均采用专网互联,并采用了防火墙、杀毒软件等基本的安全防护软件,但仍然存在众多安全威胁和监管漏洞,导致非法“统方”行为的发生。一般而言,现在医院统方途径主要有四大方面,简单分析如下:
- 1 -
第一,HIS应用系统相关功能提供的统方。 医院的HIS等医疗系统,集中了处方统计分析业务、处方查询(药剂科),以及挂号、病历、诊疗信息管理等核心业务模块,后台涉及到医生、药品、剂量、单价、应收金额等直接或间接能够“统方”的信息,这些功能本身提供详尽的统方表格,同时该应用系统有部分高权限用户拥有统方权限,例如,一些医院的药剂科本身就兼具正常“统方”的职责,在一定的时间药剂科科长需要对医生、药品和剂量信息进行统计,以防止医生用药比例过高导致医生停诊。因此,如果HIS应用系统本身管理制度出现漏洞,或者有权限的医院内部人员出现问题,就会导致统方数据外泄的威胁。但这个途径逐步已经不成为非法统方的主要途径,这是因为尽管这是统方最直接和便捷的通道,但也是非法统方者最危险的通道,因为HIS系统本身对相关权限和开放权限的人员,构建了严格的管理和审计体制,对于当前主流HIS系统,很难钻到空子。
第二,内部信息资源管理人员非法“统方” 随着信息化水平提升,医院信息中心人员也迅速增加,他们负责医院信息化建设,以及日常IT网络设备、数据库等程序的维护工作,这些管理人员掌握着SYS、SYSTEM等超级用户,这些用户具备了访问所有IT网络设备、服务器、应用数据库的权限;从而使毫无业务需要的信息中心工作人员能够访问所有处方数据,具备“统方”的最佳途径;另外,数据库管理员(简称:DBA人员)也可以直接查询数据库中的用户密码表,使用具备统方权限的应用用户登录到HIS系统直接进行非法“统方”。由于这个群体对于信息系统的操作熟悉程度,以及目前对于超级用户的技术审计比较薄弱,因此,事实证明,这是目前比较主要的非法统方途径。
第三,开发人员、维护人员非法“统方”。 医疗信息系统的开发和维护人员掌握着系统访问数据库的用户名和口令,这些人员经常需要在医院内部进行日常工作,完全可以使用该数据库用户直接登录数据库,构造统方SQL进行
- 2 -
非法“统方”。
第四,黑客入侵医疗系统非法“统方”。 在高额利益的驱使下,当前黑客窃取“统方”数据的问题已不容忽视。总结黑客的手段无外乎以下三种:1)利用HIS等医疗系统的Web漏洞入侵数据库;2)利用数据库漏洞直接入侵数据库;3)入侵数据库服务器主机直接窃取数据库文件、备份文件等。
综上所述,以上四大途径,除了HIS系统途径相对容易防范,且技术管理架构清晰之外,其他三个途径,都是需要从根本体系上进行信息安全保障建设才能彻底堵住漏洞,自然,目前应用较广泛的数据库审计软件等手段,难以起到根本的作用。
困境二:政策“防统方”缺乏技术手段支撑
2010年6月21日颁发的《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》中明确指出,“要对医院各个部门通过计算机网络查询医院信息的权限实行分级管理,对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理,严格统方权限和审批程序,未经批准不得统方,严禁为商业目的统方。”
福建省卫生厅近日发出《关于加强医院信息系统管理的通知》,凡是有可能涉及对药品、医用耗材用量按医生进行查询统计的模块或软件应予以卸除,并且要对信息系统中的药品相关信息查询功能模块进行清理,删除一般科室功能模块中药品信息查询统计程序。不得授权其他科室和个人查询医生用药情况。
但在以上国家政策和地方政策颁布下,由于缺乏具体的技术手段作支撑,现实中的统方事件仍然不断发生:
2005-2008年海宁某医院信息科信息管理员王力,通过医生用药数据库中的药品及医疗设备的采购资料、医生用药量等信息资料,向药品经销商沈某、方某等人出售“统方”信息,共获得14万元。
2008-2010年1月杭州某医院计算机网络中心副主任金某与职员林某,向药品销售商李某等人出售“统方”信息,共获得13万元。
2011年9月,黑客多次潜入福州多家三甲医院,接入内网窃取医院的用药信息,然后高价卖出,累计获利上百万元。
„„
困境三:单纯审计手段无法防止非法“统方”
当前部分省市医院采用审计软件“防统方”,却面临3大致命缺陷:
- 3 -
1)事后分析,无法主动阻止内部人员非法统方行为的发生;
2)难以准确地定位统方发生的具体操作人员,因此无法辨别非法统方和正常统方,不能起到震慑的作用;
3)在实际运行中,由于普通数据库审计软件,没法进行深度智能的、对统方有针对性的审计和记录,因此会出现日志量太大等问题,严重影响防统方工作效率和实际效果;
4)可以伪造IP、用户名,只能审计不能拦截,无法阻止来自于外部黑客的攻击和存储层的数据泄密。、
极地数据内控堡垒机介绍
(一)极地数据内控堡垒机 - 概念
极地安全的数据内控堡垒机是一种被加固的可以防御进攻的计算机,具备坚强的安全防护能力。极地安全数据内控堡垒机扮演着看门者的职责,所有对网络设备和服务器的请求都要从这扇大门经过。因此极地安全数据内控堡垒机能够拦截非法访问和恶意攻击,对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。
极地安全数据内控堡垒机具备强大的输入输出审计功能,不仅能够详细记录用户操作的每一条指令,而且能够将所有的输出信息全部记录下来;具备审计回放功能,能够模拟用户的在线操作过程,丰富和完善了网络的内控审计功能。极地安全数据内控堡垒机能够在自身记录审计信息的同时在外部某台计算机上做存储备份,可以极大增强审计信息的安全性,保证审计人员有据可查。
极地安全数据内控堡垒机还具备图形终端操作的审计功能,能够对多平台的多种图形终端操作做审计,例如Windows平台的RDP方式图形终端操作,Linux/Unix平台的X11方式图形终端操作。
为了给系统管理员查看审计信息提供方便性,极地安全数据内控堡垒机提供了审计查看检索功能。系统管理员可以通过多种查询条件查看审计信息。
总之,极地安全数据内控堡垒机能够极大的保护单位内部网络设备及服务器资源的安全性,确保各种服务器数据的安全保密、管理控制和操作审计,最终确保数据安全,全面而彻底地解决了目前医院防统方的难题和困境(详见上文)。
(二)极地数据内控堡垒机 - 优势与特点
- 4 -
1)高成熟性和安全性。
极地安全数据内控堡垒机脱胎于国内最早的4A项目:黑龙江移动运维支撑平台集中身份和认证管理系统。并在中国移动的全国范围做了多年的部署实施,对于内网系统和数据安全的实际需求满足充分。在运营商行业有长达6年的使用实践,最多管理省级运维网络高达3000多台设备,性能卓越。
堡垒机代为记忆了账号和密码,还可以大提高操作人员的工作效率,并能证明操作人员的合规操作, 所以也受到操作人员的欢迎。系统的开发研制中,我们尽量采用成熟的先进技术,对系统的关键技术在前期的工作中进行了大量实验和攻关及原型建立,在已开发并经广泛测试的产品中,上述的关键技术问题已解决。而且,选取的硬件平台和软件平台,是具有良好的技术支持和发展前途的成熟产品。
系统运用了先进的加密、过滤、备份、数字签名与身份认证、权限管理等安全手段,建立健全的系统安全机制,保证了用户的合法性和数据不被非法盗取,从而保证产品的安全性。
2)良好的可扩展性。
极地安全数据内控堡垒机产品从4A解决方案中抽象出来,提供最便捷的4A项目集成方案。在程序结构上充分考虑到4A项目和非4A项目的使用场景,以先进的体系结构,清晰合理的模块划分实现多种用户场景的适用性。在4A项目中,极地安全数据内控堡垒机放弃账号、认证、授权的集中管理,只提供执行单元,完成访问控制和操作审计功能;在非4A项目中极地安全将4A的一些理念融合到数据内控堡垒机产品中,除提供基础的访问控制和操作审计功能外,还提供精简的账号、认证、授权集中管理功能。
3)全面的信息系统和数据监控及访问控制功能。
极地数据内控堡垒机除了对服务器和数据库的监控, 还能控制和管理交换换机、路由器, 防止假冒网络地址的窃取行为。在日常运行中,堡垒机能够提供细粒度的智能访问控制,最大限度保护用户资源的安全。细粒度的命令策略是命令的集合,可以是一组可执行命令,也可以是一组非可执行的命令,该命令集合用来分配给具体的用户,来限制其系统行为,管理员会根据其自身的角色为其指定相应的控制策略来限定用户。
4)智能而强大的审计功能。
极地数据内控堡垒机监控的都是人工操作, 也就是所以非正常操作都被监控, 不会有冗余的无效日志(数据库审计的冗余日志多大每天几万条)。同时,极地数据内控堡垒机精确记录用户操作时间。审计结果支持多种展现方式,让操作得以完整还原。审计结果可以录像回放,支持调节播放速度,并且回放过程中支持前后拖拽,方便快速定位问题操作。方便的审计查询功能,能够一次查询多条指令。
- 5 -
5)绿色部署迅速上线,使用简单,适应各种应用。
堡垒主机操作简单, 不用设置复杂策略。 尤其是对于操作不熟练的领导来说, 只要分配下属的权限和看审计日志就行了。不增加操作和维护的复杂度,不改变用户的使用习惯,不影响被管理设备的运行。
统一操作入口,统一登录界面,管理员和操作员都使用WEB方式操作,操作简单。可对所有UNIX类服务器、LINUX类服务器、Windows类服务器、网络\\安全等重要设备的进行统一操作管理。统一运维工具,不需要用户安装SSHClient、Neteam、SecureCRT等运维工具,即可采用RDP、Telnet、FTP、SSH等常用运维方式对被管资源进行操作。物理旁路部署,不需要在被管理设备上安装代理程序;不改变原有的网络拓扑结构,不更改用户网络设备上的配置,不影响任何业务数据流,几分钟就可以部署完毕。
6)实现运维命令的实时审计和拦截控制。
对于普通用户登录到目标设备上正在进行的操作,审计管理员可以通过极地数据内控堡垒机的WEB界面做到实时监控,做到边操作边审计,真正实现实现操作透明;同时对于用户的违规操作,审计管理员还可以做到实时切断。(相比传统的并行网络侦听审计而言)
7)加密协议审计。
极地数据内控堡垒机支持对SSH、SFTP等加密类协议,以及RDP、VNC、X11等图形协议进行全面审计。可以记录操作命令、操作过程中的键盘事件,同时可以对操作过程进行实时监控、录像、回放。
(三)极地数据内控堡垒机 – 技术与性能
1)系统架构
- 6 -
2)引入4A管理理念
极地数据内控堡垒机采用4A的管理理念,圆满地解决用户现在面临的种种运维问题。
如图,IT运维管理由账号管理、认证管理、授权管理、操作管理组成:
帐号管理,需要在各系统上为新用户建立帐号、为已有用户修改帐号、为离职用户删除帐号。
认证管理,要保证各系统不被越权访问,那么就必须做好认证管理,为系统帐号定义密码、定期要求帐号密码修改、控制密码强度等等。
授权管理,授权过程其实就是把各系统上建立的帐号分配给操作人员的过程,管理员要定义帐号的权限,然后做帐号分配,根据用户置位调整做相应的帐号权限修改。
操作审计,管理员要定期做服务器的巡检,分析各系统上的日志,查看是否有越权访问,查看是否有误操作,如果有事故还需要根据日志进行故障排查和事故追踪。
以上也就是4A管理,极地数据内控堡垒机融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素,并且涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。
3)SSO单点登录
极地安全数据内控堡垒机提供了基于B/S的单点登录系统,用户通过访问WEB页面一次登录系统后,就可以无需认证的访问被授权的多种基于B/S和C/S的应用系统。单点登录为具有多账号的用户提供了方便快捷的访问途经,使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高工作效率。同时,由于系统自身是采用强认证的系统,从而提高了用户认证环节的安全性。
- 7 -
单点登录可以实现与用户授权管理的无缝链接,可以通过对用户、角色、行为和资源的授权,增加对资源的保护和对用户行为的监控及审计。
4)集中账号管理
极地数据内控堡垒机的集中账号管理包含对所有服务器、网络设备账号的集中管理。账号和资源的集中管理是集中授权、认证和审计的基础。集中账号管理可以完成对账号整个生命周期的监控和管理,而且还降低了管理大量用户账号的难度和工作量。同时,通过统一的管理还能够发现账号中存在的安全隐患,并且制定统一的、标准的用户账号安全策略。
通过建立集中账号管理,单位可以实现将账号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的行为审计,以满足审计的需要。
- 8 -
5)集中身份认证
用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。
集中身份认证支持电子证书、Windows AD域、Windows Kerberos、双因素、动态口令和生物特征识别等多种认证方式,而且系统具有灵活的定制接口,可以方便的与第三方LDAP认证服务器对接。
6)统一资源授权
极地数据内控堡垒机提供统一的界面,对用户、角色及行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。
在集中访问授权里强调的“集中”是逻辑上的集中,而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能,运维人员也由各自的归口管理部门委派,这些运维人员可以通过数据内控堡垒机对各自的管理对象进行授权,而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够实现授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权,对某些应用还可以实现限制用户的操作,以及在什么时间、什么地点进行操作等的细粒度授权。
7)细粒度访问控制
够提供细粒度的访问控制,最大限度保护用户资源的安全。细粒度的命令策略是命令的集
- 9 -
合,可以是一组可执行命令,也可以是一组非可执行的命令,该命令集合用来分配给具体的用户,来限制其系统行为,管理员会根据其自身的角色为其指定相应的控制策略来限定用户。
访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好的提高系统的安全性。
基于细粒度的访问控制下,极地数据内控堡垒机真正做到了: Who(谁): 控制什么用户允许操作
Where(什么地点):控制来源于什么地址的用户允许访问什么资源 When(什么时间): 控制在什么时间允许用户操作 What(做了什么): 控制用户执行的操作
8)运维操作审计
操作审计管理主要审计操作人员的账号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后,操作审计能更好地对账号的完整使用过程进行追踪。
系统支持对如下协议进行审计:Telnet、FTP、SSH、RDP(Windows Terminal)、X windows、VNC等。
过系统自身的用户认证系统、用户授权系统,以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方。
对于生成的日志支持丰富的查询和操作: 支持按服务器方式进行查询。
通过对特定服务器地址进行查询,可以发现该服务器上发生的命令和行为。 支持按用户名方式进行查询。
通过对用户名进行查询,可以发现该用户的所有行为。 支持按登录地址方式进行查询。
通过对特定IP地址进行查询,可以发现该地址对应主机及其用户在服务器上进行的所有操作。
支持按照登录时间进行查询。
通过对登录时间进行查询,可以发现特定时间内登录服务器的用户及其进行过的所有操作。
- 10 -
支持对命令发生时间进行查询。
可以通过对命令发生的时间进行查询,可以查询到特定时间段服务器上发生过的所有行为。 支持对命令名称进行查询
通过查询特定命令如ls,可以查询到使用过该命令的所有用户及其使用的时间等。 支持上述六个查询条件的任意组合查询。如,可以查询“谁(用户名)”“什么时间登录(登录时间)”服务器并在“什么时间(命令发生时间)”在“服务器(目标服务器)”上执行过“什么操作(命令)”。
支持对日志的备份操作处理。 支持对日志的删除处理。
极地数据内控堡垒机应用与案例(此处略,根据实际情况填写)
- 11 -
因篇幅问题不能全部显示,请点此查看更多更全内容