XXX醫(yī)院網(wǎng)絡(luò)安全防護(hù)技術(shù)方案

1、1.1網(wǎng)絡(luò)安全方案1.1.1. 網(wǎng)絡(luò)現(xiàn)狀及安全需求 網(wǎng)絡(luò)現(xiàn)狀分析由于 XXX 市醫(yī)院網(wǎng)絡(luò)安全防護(hù)等級低，存在病毒、非法外聯(lián)、越權(quán)訪問、被植 入木馬等各種安全問題。網(wǎng)絡(luò)安全需求分析 通過前述的網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀和安全風(fēng)險(xiǎn)分析， 目前在網(wǎng)絡(luò)安全所面臨著幾大問題主 要集中在如下幾點(diǎn)：來自互連網(wǎng)的黑客攻擊 來自互聯(lián)網(wǎng)的惡意軟件攻擊和惡意掃描 來自互聯(lián)網(wǎng)的病毒攻擊 來自內(nèi)部網(wǎng)絡(luò)的 P2P 下載占用帶寬問題 來自內(nèi)部應(yīng)用服務(wù)器壓力和物理故障問題、 來自內(nèi)部網(wǎng)絡(luò)整理設(shè)備監(jiān)控管理問題 來自數(shù)據(jù)存儲(chǔ)保護(hù)的壓力和數(shù)據(jù)安全管理問題 來自內(nèi)部數(shù)據(jù)庫高級信息如何監(jiān)控審計(jì)問題 來自內(nèi)部客戶端桌面行為混亂無法有效管理帶來的安全問

2、題 來自機(jī)房物理設(shè)備性能無法有效監(jiān)控導(dǎo)致物理設(shè)備安全的問題1.1.2 總體安全策略分析為確保XXXP醫(yī)院網(wǎng)絡(luò)系統(tǒng)信息安全，降低系統(tǒng)和外界對內(nèi)網(wǎng)數(shù)據(jù)的安全威脅， 根據(jù)需求分析結(jié)果針對性制定總體安全策略：在網(wǎng)關(guān)處部署防火墻來保證網(wǎng)關(guān)的安全，抵御黑客攻擊在網(wǎng)絡(luò)主干鏈路上部署IPS來保證內(nèi)部網(wǎng)絡(luò)安全，分析和控制來自互連網(wǎng)的 惡意入侵和掃描攻擊行為。在網(wǎng)絡(luò)主干鏈路上部署防毒墻來過濾來自互聯(lián)網(wǎng)的病毒、木馬等威脅在網(wǎng)絡(luò)主干鏈路上部署上網(wǎng)行為管理設(shè)備來控制內(nèi)部計(jì)算機(jī)上網(wǎng)行為，規(guī)范 P2P下載等一些上網(wǎng)行為。在應(yīng)用區(qū)域部署負(fù)載均衡設(shè)備來解決服務(wù)器壓力和單臺(tái)物理故障問題 在網(wǎng)絡(luò)內(nèi)部部署網(wǎng)絡(luò)運(yùn)維產(chǎn)品，對網(wǎng)絡(luò)上所有設(shè)

3、備進(jìn)行有效的監(jiān)控和管理。 在服務(wù)器前面部署網(wǎng)閘隔離設(shè)備，保證訪問服務(wù)器數(shù)據(jù)流的安全性 在服務(wù)器區(qū)域部署存儲(chǔ)設(shè)備，提供數(shù)據(jù)保護(hù)能力以及安全存儲(chǔ)和管理能力 部署容災(zāi)網(wǎng)關(guān)，提供應(yīng)用系統(tǒng)和數(shù)據(jù)系統(tǒng)容災(zāi)解決辦法，抵御災(zāi)難事件帶來 的應(yīng)用宕機(jī)風(fēng)險(xiǎn)。部署數(shù)據(jù)庫審計(jì)系統(tǒng)，實(shí)時(shí)監(jiān)測數(shù)據(jù)庫操作和訪問信息，做到實(shí)時(shí)監(jiān)控。 部署內(nèi)網(wǎng)安全管理軟件系統(tǒng)，對客戶端進(jìn)行有效的安全管理部署機(jī)房監(jiān)控系統(tǒng)，對機(jī)房整體物理性能做到實(shí)時(shí)監(jiān)控，及時(shí)了解和排除物 理性能的安全隱患。1.121.安全拓?fù)?.122. 防火墻訪問控制In ternet與服務(wù)器區(qū)域存在網(wǎng)絡(luò)連接，必須明確邊界，實(shí)施邊界防護(hù)控制。而部 署防火墻產(chǎn)品是實(shí)施邊界防護(hù)控制

4、最為簡潔而又有效的方式。由于服務(wù)器區(qū)域的安全等級高于In ternet網(wǎng)絡(luò)，因此In ternet網(wǎng)絡(luò)與服務(wù)器區(qū)域之間的安全防護(hù)設(shè)備應(yīng)部署在 服務(wù)器區(qū)域一側(cè)。In ternet網(wǎng)絡(luò)作為防火墻的不可信網(wǎng)絡(luò)、服務(wù)器安全域放到防火墻DMZ區(qū)、網(wǎng)醫(yī)院內(nèi)部網(wǎng)絡(luò)作為可信任網(wǎng)絡(luò)；嚴(yán)格限定In ternet網(wǎng)絡(luò)對DMZ區(qū)所開放的服務(wù)訪問的源、目的地址和服務(wù)類 型；嚴(yán)格限定DMZ區(qū)對網(wǎng)管網(wǎng)的訪問的源、目的地址和服務(wù)類型； 嚴(yán)格控制In ternet網(wǎng)絡(luò)對醫(yī)院內(nèi)網(wǎng)的直接訪問。1.123. 病毒防護(hù)針對防病毒危害性極大并且傳播極為迅速，必須配備從服務(wù)器到單機(jī)的整套防 病毒軟件，防止病毒入侵主機(jī)并擴(kuò)散到全網(wǎng)，實(shí)現(xiàn)全網(wǎng)

5、的病毒安全防護(hù)。并且由于新 病毒的出現(xiàn)比較快，所以要求防病毒系統(tǒng)的病毒代碼庫的更新周期必須比較短。針對信息系統(tǒng)的具體情況，我們建議在In ternet網(wǎng)絡(luò)與醫(yī)院內(nèi)網(wǎng)之間安裝防病毒網(wǎng)關(guān)防范病毒，檢查所有通過的網(wǎng)絡(luò)數(shù)據(jù)包，防范通過SMTP、POP3 IMAP、NNTP 等多種協(xié)議傳播的病毒。對于主機(jī)，則采用統(tǒng)一管理，分組部署的管理模式。1.124. 入侵檢測系統(tǒng)在許多人看來，有了防火墻，網(wǎng)絡(luò)就安全了，就可以高枕無憂了。其實(shí)，這是 一種錯(cuò)誤的認(rèn)識，防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的措施之一。防火 墻可以對所有的訪問進(jìn)行嚴(yán)格控制（允許、禁止、報(bào)警）。但它是靜態(tài)的，而網(wǎng)絡(luò)安 全是動(dòng)態(tài)的、整體的

6、，黑客的攻擊方法有無數(shù)，防火墻不是萬能的，不可能完全防止 這些有意或無意的攻擊。必須配備入侵檢測系統(tǒng)，對透過防火墻的攻擊進(jìn)行檢測并做 相應(yīng)反應(yīng)（記錄、報(bào)警、阻斷）。入侵檢測系統(tǒng)和防火墻配合使用，這樣可以實(shí)現(xiàn)多 重防護(hù)，構(gòu)成一個(gè)整體的、完善的網(wǎng)絡(luò)安全保護(hù)系統(tǒng)。1.125. 上網(wǎng)行為管理按照一定的安全策略，利用記錄、系統(tǒng)活動(dòng)和用戶活動(dòng)等信息，檢查、審查和 檢驗(yàn)操作事件的環(huán)境及活動(dòng)，幫助用戶更好地駕馭和使用互聯(lián)網(wǎng)。 全面細(xì)致地幫助用 戶實(shí)現(xiàn)上網(wǎng)行為管理、內(nèi)容安全管理、帶寬分配管理、網(wǎng)絡(luò)應(yīng)用管理、外發(fā)信息管理, 有效解決互聯(lián)網(wǎng)帶來的管理、安全、效率、資源、法律等問題。1.13 整體安全解決方案通過對X

7、XX醫(yī)院整體網(wǎng)絡(luò)結(jié)構(gòu)深入、全面的分析，提出 XXX醫(yī)院網(wǎng)絡(luò)安全優(yōu)化萬案1.131.防火墻部署防火墻部署描述如下：防火墻選擇四個(gè)網(wǎng)絡(luò)端口；一個(gè) Un trust 口連接 In ternet 網(wǎng)絡(luò)；一個(gè)Trust 口連接醫(yī)院內(nèi)網(wǎng)絡(luò)；一個(gè)DMZ 口連接開放服務(wù)域；一個(gè)口備用；策略默認(rèn)配置為全禁止；In ternet網(wǎng)絡(luò)相關(guān)IP可以訪問DMZ相應(yīng)IP的相應(yīng)服務(wù)端口；In ternet網(wǎng)絡(luò)訪問醫(yī)院內(nèi)網(wǎng)全禁止；DMZ相應(yīng)IP可以訪問醫(yī)院內(nèi)網(wǎng)相應(yīng)IP的相應(yīng)服務(wù)端口。1.1.32病毒防護(hù)策略設(shè)定為SMTP、 POP3 IMAP、NNTP協(xié)議病毒分析；病毒處理方式為刪除、隔離等方式；自動(dòng)在線病毒碼更新，更新方式

8、可以通過辦公機(jī)設(shè)定更新代理方式實(shí)現(xiàn); 統(tǒng)一升級，留有備份；緊急處理措施和對新病毒的響應(yīng)方式。1.133.入侵檢測系統(tǒng)部署實(shí)時(shí)監(jiān)控系統(tǒng)事件和傳輸?shù)木W(wǎng)絡(luò) 數(shù)據(jù)，并對可疑的行為進(jìn)行自動(dòng)監(jiān)測和安 全響應(yīng)，使用戶的系統(tǒng)在受到危害之前即可截取并終止非法入侵的行為和內(nèi)部 網(wǎng)絡(luò)的誤用，從而最大程度地降低安全風(fēng)險(xiǎn)，保護(hù)企業(yè)網(wǎng)絡(luò)的系統(tǒng)安全。監(jiān)控探頭部署在防火墻DMZ區(qū)的交換機(jī)上，通過端口流量映射的方式旁聽出 入的網(wǎng)絡(luò)數(shù)據(jù)包；策略配置可以設(shè)定放行、報(bào)警、阻斷、圭寸堵等處理策略，對于Port Scan 口令猜測、緩沖溢出、特定URL攻擊等明顯的攻擊行為可采用阻斷連接session 的方式防止攻擊，嚴(yán)格的策略可以封堵相應(yīng)的來源 IP地址，禁止該地址的所 有訪問。1.1.34上網(wǎng)行為管理器上網(wǎng)行為管理器部署在醫(yī)院內(nèi)網(wǎng)核心交換機(jī)的上層，通過策略對網(wǎng)頁過濾，屏 蔽員工對非法網(wǎng)站的訪問；基于時(shí)間、用戶、應(yīng)用精細(xì)管理控制，管控工作人員工在 上班時(shí)