疾病预防控制中心承担着公共卫生领域许多具体业务管理工作,将依据有关卫生法律、法规,在公共卫生、医疗保健等领域,开 展急慢性传染病防治、计划免疫、卫生监测、卫生检验、健康教育、预防保健、突发公共卫生事件应急处理及后勤保证等工作。
随着业务的发展,疾控传统网络安全架构已不能支撑现阶段复杂的业务需求,尤其是随着国家对突发公共卫生事业的进一步加强, 对其高效性、保密性、实时性的特殊要求加强,目前疾控中心网络面临着如下挑战:
◆ 由于业务发展的需要,疾控中心出口均会引入多条运营商链路,多链路的引入将面临着入站流量和出站流量调度的问题。
◆ 为了VPN的高可靠,往往都会部署VPN的的双机或防火墙的双机开启VPN功能,而因VPN的特殊性,传统方案均只有一台VPN在 正常提供服务,另一台处于备份状态,造成资源的利用不高, 且主用VPN设备在流量高峰时候在压力备用设备未起到分担的责任。
◆ 攻击手段越来越丰富,数据包2-7层的深度检测防御是势在必行。
◆ 疾控部分系统是基于Web建设,面临着网站篡改、SQL注入、XSS、CC攻击等多种Web层安全威胁风险。
◆ 如何防止Web服务器、数据库服务器被窃取信息?
齐杉科技疾控中心安全解决方案:
◆ 在互联网出口部署齐杉Cedar ADC产品,负责多家运营商线路的接入,主要解决出站(局域网用户和服务器主动访问互联网的流 量)和入站(医院上报疫情或其它主动对疾控中心发部业务的访问)的流量调度问题,解决VPN业务的双机同时工作流量调度;
◆ 在Cedar ADC之下部署齐杉Cedar NGFW产品,主要应对来自互联网的威胁,VPN服务等;
◆ 在医院IDC区域部署齐杉Cedar WAF产品,主要应对基于WEB的应用安全问题。
智能DNS功能是解决入站流量调度方面的问题,首先将对外发部业务的域名解析功能指向齐杉科技Cedar ADC设备,由Cedar ADC设备来进行域名A记录的解析。举个例子来说,当疫情上报用户远程通过域名访问对外发布业务系统时,逐步通过疫情上报用户 的本地DNS服务器、根DNS服务器,最终由Cedar ADC设备来进行域名的A记录解析。然后Cedar ADC设备就会通过智能DNS模块进 行发起访问疫情上报用户的运营商归属分析,给疫情上报用户返回对应的运营商访问地址,同时实现多条线路冗余,让疫情上报用户 得到最佳的访问IP地址,提高访问效率,详细实现如下:
◆ 疫情上报用户通过Cedar ADC访问后台业务服务器。
◆ 疫情上报用户请求到达设备的路径有多条,设备的每个外网接口分别对应着不同运营商的链路。
◆ 疫情上报用户访问域名时,设备对域名进行智能DNS解析,通过将域名解析为所属的运营商IP地址,返回给疫情上报用户访问同属性运营商的IP地址,通过智能DNS技术让所属不同运营商网络的疫情上报用户能通过相对应的路径完成业务请求的功能。
营商的IP地址,通过智能DNS技术让所属不同运营商网络的客户能通过相对应的路径完成业务请求的功能。
出口链路调度对应的功能是解决出站流量调度方面的问题。主要是由局域网内部用户和服务器主动发起的对公网的访问,当这部 分流量到达Cedar ADC设备时,Cedar ADC设备会通过预先设定的好策略判断每条链路的健康状况、响应时延,并决定将流量调度到 哪条链路,然后数据包的源地址转换成对应运营商的公网地址,再将该数据包发出,响应数据包返回到设备时,设备将目的地址进行 转换之后将数据包发给内部的用户或服务器。
DNS透明代理实现方式,即内网用户在对外网的域名进行访问时,Cedar ADC设备针对DNS流量进行劫持后,再通过Cedar ADC 设备配合调度算法进行DNS解析调度,将域名解析成对应的对应运营商的服务器地址,以实现达到最优访问速度。
局域网内部用户访问外网域名时,设备对域名进行解析,并保证解析的服务器地址所属的运营商类型,与当前连接外网的链路所 属的运营商类型相同。同时确保在内网与外网连接的链路发生切换时,内网的客户端仍能以最优速度访问外网。
出口部署Cedar NGFW设备的用途是开启VPN功能和安全过滤功能,通过允许、拒绝、重定向通过防火墙的数据量,提供对内部 和外部网络之间服务访问的控制和审计,包括基于用户和协议的策略定义、URL过滤、协议识别等特性。Cedar NGFW根据网络中配 置的安全规则策略,有选择的在不同网络间发送信息流,默认安全规则策略拒绝所有入站和出站的信息流,仅授权的管理员具有改变 安全规则策略的权限。典型的包过滤策略由源地址、目的地址、传输层协议、源端口、目的端口、应用协议决定,并以数据包达到或 者离开接口为基准。从而过滤外部网络发起的非法主动访问请求。
Cedar WAF设备主要防范日益猖獗的注入攻击(SQL注入、命令注入等)和XSS(Cross-Site Scripting跨站脚本攻击)攻击。SQL 注入攻击通常是由于应用程序缺乏对输入数据进行校验所引起的。攻击者一般会把一段含有SQL语句的数据发送给Web服务器,再经 由解释器将数据转恢复成指令执行。XSS指的是黑客在Web页面中增添一段恶意HTML代码,当用户访问该页或触发某项事件时,调用 了嵌入在Web页面里面的HTML代码,从而达到恶意攻击的目的。通过Cedar WAF对基于HTTP业务的防御能有效的保护医院发布业务 系统的安全。
◆ 高可靠。无论是从外向内的访问(访问发布的业务系统),还是从内向外的访问(上网业务),均能实际用户无感知的切换,真 正满足网络7*24的高可靠。
◆ 高安全。2-7层多重立体安全防护体系,保障业务系统数据安全。
◆ 高性能。满足大用户,高流量并发情况下实现万兆低延迟处理。