XXX市醫(yī)院網絡安全防護技術方案

1、網絡安全方案網絡現狀及安全需求 網絡現狀分析由于XXX市醫(yī)院網絡安全防護等級低，存在病毒、非法外聯、越權訪問、被植入木馬等各種安全問題。網絡安全需求分析通過前述的網絡系統現狀和安全風險分析，目前在網絡安全所面臨著幾大問題主要集中在如下幾點：來自互連網的黑客攻擊來自互聯網的惡意軟件攻擊和惡意掃描來自互聯網的病毒攻擊來自內部網絡的P2P下載占用帶寬問題來自內部應用服務器壓力和物理故障問題、來自內部網絡整理設備監(jiān)控管理問題來自數據存儲保護的壓力和數據安全管理問題來自內部數據庫高級信息如何監(jiān)控審計問題來自內部客戶端桌面行為混亂無法有效管理帶來的安全問題來自機房物理設備性能無法有效監(jiān)控導致物理設備安全的

2、問題總體安全策略分析為確保XXX市醫(yī)院網絡系統信息安全，降低系統和外界對內網數據的安全威脅，根據需求分析結果針對性制定總體安全策略：在網關處部署防火墻來保證網關的安全，抵御黑客攻擊在網絡主干鏈路上部署IPS來保證內部網絡安全，分析和控制來自互連網的惡意入侵和掃描攻擊行為。在網絡主干鏈路上部署防毒墻來過濾來自互聯網的病毒、木馬等威脅在網絡主干鏈路上部署上網行為管理設備來控制內部計算機上網行為，規(guī)范P2P下載等一些上網行為。在應用區(qū)域部署負載均衡設備來解決服務器壓力和單臺物理故障問題在網絡內部部署網絡運維產品，對網絡上所有設備進行有效的監(jiān)控和管理。在服務器前面部署網閘隔離設備，保證訪問服務器數據流

3、的安全性在服務器區(qū)域部署存儲設備，提供數據保護能力以及安全存儲和管理能力部署容災網關，提供應用系統和數據系統容災解決辦法，抵御災難事件帶來的應用宕機風險。部署數據庫審計系統，實時監(jiān)測數據庫操作和訪問信息，做到實時監(jiān)控。部署內網安全管理軟件系統，對客戶端進行有效的安全管理部署機房監(jiān)控系統，對機房整體物理性能做到實時監(jiān)控，及時了解和排除物理性能的安全隱患。 安全拓撲防火墻訪問控制Internet與服務器區(qū)域存在網絡連接，必須明確邊界，實施邊界防護控制。而部署防火墻產品是實施邊界防護控制最為簡潔而又有效的方式。由于服務器區(qū)域的安全等級高于Internet網絡，因此Internet網絡與服務器區(qū)域之間

4、的安全防護設備應部署在服務器區(qū)域一側。Internet網絡作為防火墻的不可信網絡、服務器安全域放到防火墻DMZ區(qū)、網醫(yī)院內部網絡作為可信任網絡；嚴格限定Internet網絡對DMZ區(qū)所開放的服務訪問的源、目的地址和服務類型；嚴格限定DMZ區(qū)對網管網的訪問的源、目的地址和服務類型；嚴格控制Internet網絡對醫(yī)院內網的直接訪問。病毒防護針對防病毒危害性極大并且傳播極為迅速，必須配備從服務器到單機的整套防病毒軟件，防止病毒入侵主機并擴散到全網，實現全網的病毒安全防護。并且由于新病毒的出現比較快，所以要求防病毒系統的病毒代碼庫的更新周期必須比較短。針對信息系統的具體情況，我們建議在Internet

5、網絡與醫(yī)院內網之間安裝防病毒網關防范病毒，檢查所有通過的網絡數據包，防范通過SMTP、 FTP、HTTP、POP3、IMAP、 NNTP等多種協議傳播的病毒。對于主機，則采用統一管理，分組部署的管理模式。入侵檢測系統在許多人看來，有了防火墻，網絡就安全了，就可以高枕無憂了。其實，這是一種錯誤的認識，防火墻是實現網絡安全最基本、最經濟、最有效的措施之一。防火墻可以對所有的訪問進行嚴格控制（允許、禁止、報警）。但它是靜態(tài)的，而網絡安全是動態(tài)的、整體的，黑客的攻擊方法有無數，防火墻不是萬能的，不可能完全防止這些有意或無意的攻擊。必須配備入侵檢測系統，對透過防火墻的攻擊進行檢測并做相應反應（記錄、報警

6、、阻斷）。入侵檢測系統和防火墻配合使用，這樣可以實現多重防護，構成一個整體的、完善的網絡安全保護系統。上網行為管理按照一定的安全策略，利用記錄、系統活動和用戶活動等信息，檢查、審查和檢驗操作事件的環(huán)境及活動，幫助用戶更好地駕馭和使用互聯網。全面細致地幫助用戶實現上網行為管理、內容安全管理、帶寬分配管理、網絡應用管理、外發(fā)信息管理，有效解決互聯網帶來的管理、安全、效率、資源、法律等問題。整體安全解決方案通過對XXX醫(yī)院整體網絡結構深入、全面的分析，提出XXX醫(yī)院網絡安全優(yōu)化方案。防火墻部署防火墻部署描述如下：防火墻選擇四個網絡端口；一個Untrust口連接Internet網絡；一個Trust口連

7、接醫(yī)院內網絡；一個DMZ口連接開放服務域；一個口備用；策略默認配置為全禁止；Internet網絡相關IP可以訪問DMZ相應IP的相應服務端口；Internet網絡訪問醫(yī)院內網全禁止；DMZ相應IP可以訪問醫(yī)院內網相應IP的相應服務端口。病毒防護策略設定為SMTP、 FTP、HTTP、 POP3、 IMAP、NNTP協議病毒分析；病毒處理方式為刪除、隔離等方式；自動在線病毒碼更新，更新方式可以通過辦公機設定更新代理方式實現；統一升級，留有備份；緊急處理措施和對新病毒的響應方式。入侵檢測系統部署實時監(jiān)控系統事件和傳輸的網絡 數據，并對可疑的行為進行自動監(jiān)測和安全響應，使用戶的系統在受到危害之前即可截取并終止非法入侵的行為和內部網絡的誤用，從而最大程度地降低安全風險，保護企業(yè)網絡的系統安全。監(jiān)控探頭部署在防火墻DMZ區(qū)的交換機上，通過端口流量映射的方式旁聽出入的網絡數據包；策略配置可以設定放行、報警、阻斷、封堵等處理策略，對于Port Scan、口令猜測、緩沖溢出、特定URL攻擊等明顯的攻擊行為可采用阻斷連接session的方式防止攻擊，嚴格的策略可以封堵相應的來源IP地址，禁止該地址的所有訪問。上網行為管理器上網行為管理器部署在醫(yī)院內網核心交換機的上層，通過策略對網頁過濾，屏蔽員工對非法網站的訪問；基于時間、用戶、應用精細管理控制，管控工作人員工在上班時間玩網絡游