某市醫(yī)院網(wǎng)絡(luò)安全防護技術(shù)方案

1、1.1 網(wǎng)絡(luò)安全方案1.1.1.網(wǎng)絡(luò)現(xiàn)狀及安全需求網(wǎng)絡(luò)現(xiàn)狀分析由于 XXX 市醫(yī)院網(wǎng)絡(luò)安全防護等級低，存在病毒、非法外聯(lián)、越權(quán)訪問、被植入 木馬等各種安全問題。網(wǎng)絡(luò)安全需求分析通過前述的網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀和安全風(fēng)險分析，目前在網(wǎng)絡(luò)安全所面臨著幾大問題主要集中在如下幾點：來自互連網(wǎng)的黑客攻擊來自互聯(lián)網(wǎng)的惡意軟件攻擊和惡意掃描來自互聯(lián)網(wǎng)的病毒攻擊來自部網(wǎng)絡(luò)的 P2P 下載占用帶寬問題來自部應(yīng)用服務(wù)器壓力和物理故障問題、來自部網(wǎng)絡(luò)整理設(shè)備監(jiān)控管理問題來自數(shù)據(jù)存儲保護的壓力和數(shù)據(jù)安全管理問題來自部數(shù)據(jù)庫高級信息如何監(jiān)控審計問題來自部客戶端桌面行為混亂無法有效管理帶來的安全問題來自機房物理設(shè)備性能無法有效監(jiān)控

2、導(dǎo)致物理設(shè)備安全的問題Word 專業(yè)資料1.1.2 總體安全策略分析為確保 XXX 市醫(yī)院網(wǎng)絡(luò)系統(tǒng)信息安全，降低系統(tǒng)和外界對網(wǎng)數(shù)據(jù)的安全威脅，根 據(jù)需求分析結(jié)果針對性制定總體安全策略：在網(wǎng)關(guān)處部署防火墻來保證網(wǎng)關(guān)的安全，抵御黑客攻擊在網(wǎng)絡(luò)主干鏈路上部署 IPS 來保證部網(wǎng)絡(luò)安全，分析和控制來自互連網(wǎng)的惡 意入侵和掃描攻擊行為。在網(wǎng)絡(luò)主干鏈路上部署防毒墻來過濾來自互聯(lián)網(wǎng)的病毒、木馬等威脅在網(wǎng)絡(luò)主干鏈路上部署上網(wǎng)行為管理設(shè)備來控制部計算機上網(wǎng)行為，規(guī)P2P下載等一些上網(wǎng)行為。在應(yīng)用區(qū)域部署負載均衡設(shè)備來解決服務(wù)器壓力和單臺物理故障問題在網(wǎng)絡(luò)部部署網(wǎng)絡(luò)運維產(chǎn)品，對網(wǎng)絡(luò)上所有設(shè)備進行有效的監(jiān)控和管理。

3、在服務(wù)器前面部署網(wǎng)閘隔離設(shè)備，保證訪問服務(wù)器數(shù)據(jù)流的安全性在服務(wù)器區(qū)域部署存儲設(shè)備，提供數(shù)據(jù)保護能力以及安全存儲和管理能力部署容災(zāi)網(wǎng)關(guān)，提供應(yīng)用系統(tǒng)和數(shù)據(jù)系統(tǒng)容災(zāi)解決辦法，抵御災(zāi)難事件帶來 的應(yīng)用宕機風(fēng)險。部署數(shù)據(jù)庫審計系統(tǒng)，實時監(jiān)測數(shù)據(jù)庫操作和訪問信息，做到實時監(jiān)控。 部署網(wǎng)安全管理軟件系統(tǒng)，對客戶端進行有效的安全管理部署機房監(jiān)控系統(tǒng)，對機房整體物理性能做到實時監(jiān)控，及時了解和排除物 理性能的安全隱患。.安全拓撲Word 專業(yè)資料1.122.防火墻訪問控制In ternet 與服務(wù)器區(qū)域存在網(wǎng)絡(luò)連接，必須明確邊界，實施邊界防護控制。而部 署防火墻產(chǎn)品是實施邊界防護控制最為簡潔而

4、又有效的方式。由于服務(wù)器區(qū)域的安全等級高于 In ternet 網(wǎng)絡(luò)，因此 In ternet 網(wǎng)絡(luò)與服務(wù)器區(qū)域之間的安全防護設(shè)備應(yīng)部署 在服務(wù)器區(qū)域一側(cè)。In ternet 網(wǎng)絡(luò)作為防火墻的不可信網(wǎng)絡(luò)、服務(wù)器安全域放到防火墻DMZ 區(qū)、網(wǎng)醫(yī)院部網(wǎng)絡(luò)作為可信任網(wǎng)絡(luò)；嚴格限定 In ternet網(wǎng)絡(luò)對 DMZ 區(qū)所開放的服務(wù)訪問的源、 目的地址和服務(wù)類 型；嚴格限定 DMZ 區(qū)對網(wǎng)管網(wǎng)的訪問的源、 目的地址和服務(wù)類型；嚴格控制 In ternet網(wǎng)絡(luò)對醫(yī)院網(wǎng)的直接訪問。1.123.病毒防護針對防病毒危害性極大并且傳播極為迅速，必須配備從服務(wù)器到單機的整套防 病毒軟件，防止病毒入侵主機并擴散到全網(wǎng)

5、，實現(xiàn)全網(wǎng)的病毒安全防護。并且由于新 病毒的出現(xiàn)比較快，所以要求防病毒系統(tǒng)的病毒代碼庫的更新周期必須比較短。針對信息系統(tǒng)的具體情況，我們建議在 In ternet 網(wǎng)絡(luò)與醫(yī)院網(wǎng)之間安裝防病毒網(wǎng) 關(guān)防病毒，檢查所有通過的網(wǎng)絡(luò)數(shù)據(jù)包，防通過 SMTP、FTP HTTP POP3、IMAP、NNTP 等多種協(xié)議傳播的病毒。對于主機，則采用統(tǒng)一管理，分組部署的管理模式。Word 專業(yè)資料1.124.入侵檢測系統(tǒng)在許多人看來，有了防火墻，網(wǎng)絡(luò)就安全了，就可以高枕無憂了。其實，這是 一種錯誤的認識，防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的措施之一。防火 墻可以對所有的訪問進行嚴格控制（允許、禁止、報警

6、）。但它是靜態(tài)的，而網(wǎng)絡(luò)安 全是動態(tài)的、整體的，黑客的攻擊方法有無數(shù)，防火墻不是萬能的，不可能完全防止 這些有意或無意的攻擊。必須配備入侵檢測系統(tǒng)，對透過防火墻的攻擊進行檢測并做 相應(yīng)反應(yīng)（記錄、報警、阻斷）。入侵檢測系統(tǒng)和防火墻配合使用，這樣可以實現(xiàn)多 重防護，構(gòu)成一個整體的、完善的網(wǎng)絡(luò)安全保護系統(tǒng)。1.125.上網(wǎng)行為管理按照一定的安全策略，利用記錄、系統(tǒng)活動和用戶活動等信息，檢查、審查和 檢驗操作事件的環(huán)境及活動，幫助用戶更好地駕馭和使用互聯(lián)網(wǎng)。 全面細致地幫助用 戶實現(xiàn)上網(wǎng)行為管理、容安全管理、帶寬分配管理、網(wǎng)絡(luò)應(yīng)用管理、外發(fā)信息管理， 有效解決互聯(lián)網(wǎng)帶來的管理、安全、效率、資源、法律

7、等問題。1.13 整體安全解決方案通過對XXX醫(yī)院整體網(wǎng)絡(luò)結(jié)構(gòu)深入、 全面的分析， 提出XXX醫(yī)院網(wǎng)絡(luò)安全優(yōu)化方 案。1.131. 防火墻部署防火墻部署描述如下：防火墻選擇四個網(wǎng)絡(luò)端口；一個 Un trust 口連接 In ternet 網(wǎng)絡(luò)；一個 Trust 口連接醫(yī)院網(wǎng)絡(luò)；一個 DMZ 口連接開放服務(wù)域；一個口備用；策略默認配置為全禁止；In ternet 網(wǎng)絡(luò)相關(guān) IP 可以訪問 DMZ 相應(yīng) IP 的相應(yīng)服務(wù)端口；In ternet 網(wǎng)絡(luò)訪問醫(yī)院網(wǎng)全禁止；DMZ 相應(yīng) IP 可以訪問醫(yī)院網(wǎng)相應(yīng) IP 的相應(yīng)服務(wù)端口。1.1.32病毒防護策略設(shè)定為 SMTP、FTP HTTP POP3、

8、IMAP、NNTP 協(xié)議病毒分析;病毒處理方式為刪除、隔離等方式；自動在線病毒碼更新，更新方式可以通過辦公機設(shè)定更新代理方式實現(xiàn)；Word 專業(yè)資料Word 專業(yè)資料統(tǒng)一升級，留有備份；緊急處理措施和對新病毒的響應(yīng)方式。1.133.入侵檢測系統(tǒng)部署實時監(jiān)控系統(tǒng)事件和傳輸?shù)木W(wǎng)絡(luò) 數(shù)據(jù)，并對可疑的行為進行自動監(jiān)測和安 全響應(yīng)，使用戶的系統(tǒng)在受到危害之前即可截取并終止非法入侵的行為和部網(wǎng) 絡(luò)的誤用，從而最大程度地降低安全風(fēng)險，保護企業(yè)網(wǎng)絡(luò)的系統(tǒng)安全。監(jiān)控探頭部署在防火墻 DMZ 區(qū)的交換機上，通過端口流量映射的方式旁聽出 入的網(wǎng)絡(luò)數(shù)據(jù)包；策略配置可以設(shè)定放行、報警、阻斷、圭寸堵等處理策略，對于 Port Scan、口 令猜測、緩沖溢出、特定 URL 攻擊等明顯的攻擊行為可采用阻斷連接 session 的方式防止攻擊，嚴格的策略可以封堵相應(yīng)的來源 IP 地址，禁止該地址的所 有訪問。1.1.34上網(wǎng)行為管理器上網(wǎng)行為管理器部署在醫(yī)院網(wǎng)核心交換機的上層，通過策略對網(wǎng)頁過濾，屏蔽 員工對非法的訪問；基于時間、用戶、應(yīng)用精細管理控制，管控工作人員工在上班時 間玩網(wǎng)絡(luò)