中小型醫(yī)院網(wǎng)絡(luò)安全保障解決方案-課件

1、中小型醫(yī)院網(wǎng)絡(luò)平安保障解決方案一、中小型醫(yī)院的網(wǎng)絡(luò)平安現(xiàn)狀及挑戰(zhàn)現(xiàn)階段，醫(yī)院信息系統(tǒng)正在變成醫(yī)療體系結(jié)構(gòu)中不可或缺的根底架構(gòu)。該架構(gòu)的網(wǎng)絡(luò)平安和數(shù)據(jù)可用性變得異常重要。任何的網(wǎng)絡(luò)不可達或數(shù)據(jù)喪失輕那么降低患者的滿意度，影響醫(yī)院的信譽，重那么引起醫(yī)患糾紛、法律問題或社會問題。和其它行業(yè)的信息系統(tǒng)一樣,醫(yī)療信息系統(tǒng)在日常運行中面臨各種平安風(fēng)險帶來的平安應(yīng)用事故。當(dāng)前，中小型醫(yī)院在網(wǎng)絡(luò)和應(yīng)用系統(tǒng)保護方面均釆取了一定的平安措施，例如在每個網(wǎng)絡(luò)、應(yīng)用系統(tǒng)分別部署了防火墻、訪問控制設(shè)備；也可能在一定程度上實現(xiàn)了區(qū)域性的病毒防御，實現(xiàn)了病毒庫的升級和防病毒客戶端的監(jiān)控和管理；釆用系統(tǒng)賬號管理、防病毒等方面具

2、有一定流程。但在網(wǎng)絡(luò)平安管理方面的流程相比照擬薄弱，需要進一步進行加強；另外主要業(yè)務(wù)應(yīng)用人員平安意識有待加強，日常業(yè)務(wù)處理中存在一定非平安操作情況，終端使用和接入情況復(fù)雜。此外,隨著移動醫(yī)療應(yīng)用越來越廣泛的部署，以及依托互聯(lián)網(wǎng)平臺的遠程醫(yī)療應(yīng)用的日趨廣泛,如何保障移動和遠程應(yīng)用的平安性也是一個重要的課題。網(wǎng)絡(luò)平安問題越演越烈，也為中小型或成長型的醫(yī)療機構(gòu)帶來另外一個挑戰(zhàn)：如何利用較為有限的投資預(yù)算，解決當(dāng)前最為迫切的平安威脅，同時也要預(yù)留先進性和可擴展能力，防止造成投資浪費。思科自防御網(wǎng)絡(luò)的出現(xiàn)，為中小型醫(yī)療網(wǎng)絡(luò)提供了由低級到高級不斷開展、演進的平安解決方案，思科網(wǎng)絡(luò)設(shè)備集成了獨特的平安功能，

3、以及各個平安設(shè)備的聯(lián)動并主動進行防護,是思科自防御網(wǎng)絡(luò)的具體實現(xiàn)?；谒伎谱苑烙桨搀w系的建設(shè)指導(dǎo)思想，同時結(jié)合中小型醫(yī)療機構(gòu)的平安現(xiàn)狀，我們建議從以下幾個方面構(gòu)筑中小型醫(yī)療機構(gòu)的平安體系。二、構(gòu)建平安的根底網(wǎng)絡(luò)平臺在諸多的局域網(wǎng)平安問題中，因為歷史原因，令網(wǎng)絡(luò)管理員感到最頭痛的問題就是IP地址的管理；最擔(dān)憂的問題就是賬號、密碼的盜取以及信息的失竊和篡改；而最棘手的問題就是木馬、蠕蟲病毒爆發(fā)對網(wǎng)絡(luò)造成的危害。據(jù)CSI/FBI計算機犯罪與平安調(diào)査顯示，信息失竊已經(jīng)成為當(dāng)前最主要的犯罪。在造成經(jīng)濟損失的所有攻擊中，有75%都是來自于園區(qū)內(nèi)部。這樣，企業(yè)網(wǎng)絡(luò)內(nèi)部就必須釆用更多創(chuàng)新方式來防止攻擊，如果

4、我們將網(wǎng)絡(luò)中的所有端口看成潛在敵對實體獲取通道的“端口防線”，網(wǎng)絡(luò)管理員就必須知道這些潛在威脅都有那些，以及需要設(shè)谿哪些平安功能來鎖定這些端口并防止這些潛在的來自網(wǎng)絡(luò)第二層的平安攻擊。網(wǎng)絡(luò)第二層的攻擊是網(wǎng)絡(luò)平安攻擊者最容易實施，也是最不容易被發(fā)現(xiàn)的平安威脅,它的目標(biāo)是讓網(wǎng)絡(luò)失效或者通過獲取諸如密碼這樣的敏感信息而危及網(wǎng)絡(luò)用戶的平安。因為任何一個合法用戶都能獲取一個以太網(wǎng)端口的訪問權(quán)限，這些用戶都有可能成為黑客，同時因為設(shè)計OSI模型的時候，允許不同通信層在相互不了解情況下也能進行工作，所以第二層的平安就變得至關(guān)重要。如果這個層受到黑客的攻擊，網(wǎng)絡(luò)平安將受到嚴重威脅，而且其他層之間的通信還會繼續(xù)

5、進行，同時任何用戶都不會感覺到攻擊已經(jīng)危及應(yīng)用層的信息平安。所以，僅僅基于認證如)和訪問控制列表(ACL,AccessControlLists)的平安措施是無法防止來自網(wǎng)絡(luò)第二層的平安攻擊。一個經(jīng)過認證的用戶仍然能夠有惡意，并能夠很容易地執(zhí)行本文提到的所有攻擊。當(dāng)前這類攻擊和欺騙工具己經(jīng)非常成熟和易用。以上所提到的攻擊和欺騙行為主要來自網(wǎng)絡(luò)的第二層。在網(wǎng)絡(luò)實際環(huán)境中，其來源可概括為兩個途徑：人為實施，病毒或蠕蟲。人為實施通常是指使用一些黑客的工具對網(wǎng)絡(luò)進行掃描和嗅探,獲取管理帳戶和相關(guān)密碼，在網(wǎng)絡(luò)上中安插木馬，從而進行進一步竊取機密文件。攻擊和欺騙過程往往比較隱蔽和安靜，但對于信息平安要求高的

6、企業(yè)危害是極大的。木馬、蠕蟲病毒的攻擊不但僅是攻擊和欺騙，同時還會帶來網(wǎng)絡(luò)流量加大、設(shè)備CPU利用率過高、二層生成樹環(huán)路、網(wǎng)絡(luò)癱瘓等現(xiàn)象。歸納前面提到的局域網(wǎng)當(dāng)前普遍存在的平安問題，根據(jù)這些平安威脅的特征分析，這些攻擊都來自于網(wǎng)絡(luò)的第二層，主要包括以下幾種：MAC地址泛濫攻擊DHCP效勞器欺騙攻擊ARP欺騙IP/MAC地址欺騙利用CiscoCatalyst交換機內(nèi)部集成的平安特性，采用創(chuàng)新的方式在局域網(wǎng)上有效地進行IP的地址管理、阻止網(wǎng)絡(luò)的攻擊并減少病毒的危害。CiscoCatalyst智能交換系列的創(chuàng)新特性針對這類攻擊提供了全面的解決方案,將發(fā)生在網(wǎng)絡(luò)第二層的攻擊阻止在通往內(nèi)部網(wǎng)的第一入口處

7、，主要基于下面的幾個關(guān)鍵的技術(shù)。PortSecurityDHCPSnoopingDynamicARPInspection(DAI)IPSourceGuard我們可通過在思科交換機上組合使用和部署上述技術(shù)，從而防止在交換環(huán)境中的“中間人”攻擊、MAC/CAM攻擊、DHCP攻擊、地址欺騙等，更具意義的是通過上面技術(shù)的部署能夠簡化地址管理，直接跟蹤用戶IP和對應(yīng)的交換機端口，防止IP地址沖突。同時對于大多數(shù)具有地址掃描、欺騙等特征的病毒能夠有效的報警和隔離。通過啟用端口平安功能，可有效防止MAC地址泛洪攻擊，網(wǎng)絡(luò)管理員也能夠靜態(tài)設(shè)谿每個端口所允許連接的合法MAC地址，實現(xiàn)設(shè)備級的平安授權(quán)。動態(tài)端口平

8、安那么設(shè)谿端口允許合法MAC地址的數(shù)目，并以一定時間內(nèi)所學(xué)習(xí)到的地址作為合法MAC地址。通過配谿PortSecurity能夠控制：端口上最大能夠通過的MAC地址數(shù)量端口上學(xué)習(xí)或通過哪些MAC地址對于超過規(guī)定數(shù)量的MAC處理進行違背處理端口上學(xué)習(xí)或通過哪些MAC地址，能夠通過靜態(tài)手工定義，也能夠在交換機自動學(xué)習(xí)。交換機動態(tài)學(xué)習(xí)端口MAC,直到指定的MAC地址數(shù)量，交換機關(guān)機后重新學(xué)習(xí)。當(dāng)前較新的技術(shù)是StickyPortSecurity,交換機將學(xué)到的mac地址寫到端口配谿中，交換機重啟后配谿仍然存在。對于超過規(guī)定數(shù)量的MAC處理進行處理一般有三種方式針對交換機型號會有所不同）：Shutdown

9、：端口關(guān)閉。Protect：丟棄非法流量，不報警。Restrict：丟棄非法流量，報警。Catalyst交換機可通過DHCPSnooping技術(shù)保證DHCP平安特性,通過建立和維護DHCPSnooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。通過截取一個虛擬局域網(wǎng)內(nèi)的DHCP信息,交換機能夠在用戶和DHCP效勞器之間擔(dān)任就像小型平安防火墻這樣的角色，“DHCP監(jiān)聽”功能基于動態(tài)地址分配建立了一個DHCP綁定表，并將該表存貯在交換機里。在沒有DHCP的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個DHCP綁定條目包含客戶端地址一個靜態(tài)地址或者一個從DHCP

10、效勞器上獲取的地址）、客戶端MAC地址、端口、VLANID、租借時間、綁定類型（靜態(tài)的或者動態(tài)的）。通過部署動態(tài)ARP檢査DAI,DynamicARPInspection）來幫助保證接入交換機只傳遞“合法的”的ARP請求和應(yīng)答信息。DHCPSnooping監(jiān)聽綁定表包括IP地址與MAC地址的綁定信息并將其與特定的交換機端口相關(guān)聯(lián)，動態(tài)ARP檢測(DAI-DynamicARPInspection)能夠用來檢査所有非信任端口的ARP請求和應(yīng)答(主動式ARP和非主動式ARP),確保應(yīng)答來自真正的ARP所有者。Catalyst交換機通過檢查端口記錄的DHCP綁定信息和ARP應(yīng)答的IP地址決定是否真正的

11、ARP所有者，不合法的ARP包將被刪除。DAI配務(wù)針對VLAN,對于同一VLAN內(nèi)的接口能夠開啟DAI也能夠關(guān)閉，如果ARP包從一個可信任的接口接收到，就不需要做任何檢査，如果ARP包在一個不可信任的接口上接收到，該包就只能在綁定信息被證明合法的情況下才會被轉(zhuǎn)發(fā)出去。這樣，DHCPSnooping對于DAI來說也成為必不可少的，DAI是動態(tài)使用的，相連的客戶端主機不需要進行任何設(shè)爵上的改變。對于沒有使用DHCP的效勞器個別機器能夠釆用靜態(tài)添加DHCP綁定表或ARPaccess-list實現(xiàn)。另外，通過DAI能夠控制某個端口的ARP請求報文頻率。一旦ARP請求頻率的頻率超過預(yù)先設(shè)定的閾值，立即關(guān)

12、閉該端口。該功能能夠阻止網(wǎng)絡(luò)掃描工具的使用，同時對有大量ARP報文特征的病毒或攻擊也能夠起到阻斷作用。除了ARP欺騙外，黑客經(jīng)常使用的另一手法是IP地址欺騙。常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙，其目的一般為偽造身份或者獲取針對IP/MAC的特權(quán)。CatalystIP源地址保護(IPSourceGuard)功能翻開后，能夠根據(jù)DHCP偵聽記錄的IP綁定表動態(tài)產(chǎn)生PVACL,強制來自此端口流量的源地址符合DHCP綁定表的記錄，這樣攻擊者就無法通過假定一個合法用戶的IP地址來實施攻擊了，這個功能將只允許對擁有合法源地址的數(shù)據(jù)保進行轉(zhuǎn)發(fā)，合法源地址是與IP地址綁定表保持一致的，它也

13、是來源于DHCPSnooping綁定表。所以,DHCPSnooping功能對于這個功能的動態(tài)實現(xiàn)也是必不可少的，對于那些沒有用到DHCP的網(wǎng)絡(luò)環(huán)境來說，該綁定表也能夠靜態(tài)配谿。IPSourceGuard不但能夠配谿成對IP地址的過濾也能夠配務(wù)成對MAC地址的過濾，這樣，就只有IP地址和MAC地址都于DHCPSnooping綁定表匹配的通信包才能夠被允許傳輸。此時，必須將IP源地址保護IPSourceGuard與端口平安PortSecurity功能共同使用，并且需要DHCP效勞器支持Option82時，才能夠抵御IP地址+MAC地址的欺騙。與DAI不同的是，DAI僅僅檢查ARP報文，IPSour

14、ceGuard對所有經(jīng)過定義IPSourceGuard檢查的端口的報文都要檢測源地址。通過在交換機上配密IPSourceGuard,能夠過濾掉非法的IP/MAC地址，包含用戶成心修改的和病毒、攻擊等造成的。同時解決了IP地址沖突的問題。此外，在最新的Catalyst3750-X和Catalyst3560-X交換機內(nèi)，還內(nèi)谿了一系列全新的TrustSec平安技術(shù)。例如，釆用基于標(biāo)準的MACSecurity技術(shù)，交換機在面向主機的端口上提供了對以太網(wǎng)數(shù)據(jù)在數(shù)據(jù)鏈路層的線速加密，以防止中間人攻擊；支持包括、MAC認證旁路、Web認證等多種認證方式為不同類型的接入終端提供一致的平安體熟，寸文。以上所列

15、的根底平安防護的功能，均內(nèi)務(wù)在思科的Catalyst交換機內(nèi)，無需另外購置。方案涉及的主要Catalyst系列交換機包括：產(chǎn)品系列說明Catalyst3750-X支持堆疊和萬兆上行的智能三層交換機Catalyst3560-X支持萬兆上行的智能三層交換機Catalyst2960-S支持堆疊、萬兆上行和靜態(tài)路由的交換機此外，思科還提供了精睿系列交換機，通過根本的認證、基于MAC的端口平安、基于MAC/IP的訪問控制列表(ACL)、私有VLAN邊緣(PVE)等技術(shù)，專為入門級的小型醫(yī)療網(wǎng)絡(luò)提供根底的平安網(wǎng)絡(luò)接入效勞。精睿交換機的主要系列包括：產(chǎn)品系列說明CiscoSF300支持靜態(tài)路由的可網(wǎng)管交換機

16、CiscoSLM224G2支持基于WEB瀏覽器簡單網(wǎng)管三、內(nèi)網(wǎng)平安與網(wǎng)絡(luò)出口平安解決方案現(xiàn)在的網(wǎng)絡(luò)面臨多種多樣的平安威脅，醫(yī)院需要建立縱深防御體系來防止因某個局部的侵入而導(dǎo)致整個系統(tǒng)的崩潰。只有基于網(wǎng)絡(luò)系統(tǒng)之間邏輯關(guān)聯(lián)性和物理位路、功能特性，劃分清楚的平安層次和平安區(qū)域，在部署平安產(chǎn)品和策略時，才能夠定義清楚地平安策略和部署模式。平安保障包括網(wǎng)絡(luò)根底設(shè)施、業(yè)務(wù)網(wǎng)、辦公網(wǎng)、本地交換網(wǎng)、信息平安根底設(shè)施等多個保護區(qū)域。這些區(qū)域是一個緊密聯(lián)系的整體，相互間既有縱向的縱深關(guān)系，又有橫向的協(xié)作關(guān)系，每個范圍都有各自的平安目標(biāo)和平安保障職責(zé)。積極防御、綜合防范的方針為各個保護范圍提供平安保障，有效地協(xié)調(diào)縱

17、向和橫向的關(guān)系，提高網(wǎng)絡(luò)整體防御能力。針對醫(yī)院的網(wǎng)絡(luò)系統(tǒng)，我們能夠根據(jù)物理位谿、功能區(qū)域、業(yè)務(wù)應(yīng)用或者管理策略等等劃分平安區(qū)域。不同的區(qū)域之間進行物理或邏輯隔離。物理隔離很簡單，就是建立兩套網(wǎng)絡(luò)對應(yīng)不同的應(yīng)用或效勞,最典型的就是醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)和互聯(lián)網(wǎng)訪問網(wǎng)絡(luò)的隔離。而對于內(nèi)部各部門或應(yīng)用來說，我們經(jīng)常采用的是利用防火墻邏輯隔離的方法。另一方面，互聯(lián)網(wǎng)對各種規(guī)模的醫(yī)院來說都十分重要。它帶來了業(yè)務(wù)開展的新機遇。通過VPN連接，它使得醫(yī)院可與合作伙伴和遠程員工保持聯(lián)系。但它也是將威脅帶入醫(yī)院網(wǎng)絡(luò)的渠道，這些威脅可能會對醫(yī)院造成重大影響：病毒一可感染系統(tǒng)，使其停運，從而導(dǎo)致運行中斷和收入損失間諜軟件和黑

18、客一會導(dǎo)致公司數(shù)據(jù)喪失和所以引起法律問題垃圾郵件和泄密一需要繁瑣的處理過程，降低員工生產(chǎn)率瀏覽與工作無關(guān)的網(wǎng)站一會導(dǎo)致員工生產(chǎn)率降低，并可能使公司承擔(dān)法律責(zé)任受感染的VPN流量一使威脅因素進入網(wǎng)絡(luò)，中斷業(yè)務(wù)針對上述的平安威脅特點和需求狀況，我們建議中小型醫(yī)療機構(gòu)能夠從以下幾個方面部署思科的平安解決方案。通過CiscoASA5500部署一體化平安解決方案CiscoASA5500系列提供了一體化平安解決方案，提供了一個易于使用、且具有醫(yī)院需要的平安功能的全面平安解決方案，結(jié)合了防火墻、入侵保護、Anti-X和VPN功能，您可對您的醫(yī)院網(wǎng)絡(luò)受到的保護充滿信心。通過終止垃圾郵件、間諜軟件和其他互聯(lián)網(wǎng)威

19、脅,員工生產(chǎn)率得到了提高。IT人員也從處理病毒和間諜軟件消除以及系統(tǒng)清潔任務(wù)中解放出來。您可集中精力開展業(yè)務(wù)，而無需為最新病毒和威脅擔(dān)憂。圖：ASA5500系列一體化平安解決方案CiscoASA5500系列為醫(yī)院提供了全面的網(wǎng)關(guān)平安和VPN連接。憑借其集成的防火墻和Anti-X功能，CiscoASA5500系列能在威脅進入網(wǎng)絡(luò)和影響業(yè)務(wù)運營前，就在網(wǎng)關(guān)處將它們攔截在網(wǎng)絡(luò)之外。這些效勞也可擴展到遠程接入用戶，提供一條威脅防御VPN連接。最值得信賴、廣為部署的防火墻技術(shù)CiscoASA5500系列構(gòu)建于CiscoPIX平安設(shè)備系列的根底之上，在阻擋不受歡迎的來訪流量的同時，允許合法業(yè)務(wù)流量進入。憑

20、借其應(yīng)用控制功能，該解決方案可限制對等即時消息和惡意流量的傳輸，因為它們可能會導(dǎo)致平安漏洞，進而威脅到網(wǎng)絡(luò)。市場領(lǐng)先的Anti-X功能一通過內(nèi)容平安和控制平安效勞模塊(CSC-SSM)提供的強大的Anti-X功能，CiscoASA5500系列提供了全面保護所需的重要的網(wǎng)絡(luò)周邊平安性。防間諜軟件一阻止間諜軟件通過互聯(lián)網(wǎng)流量(HTTP和FTP)和電子郵件流量進入您的網(wǎng)絡(luò)。通過在網(wǎng)關(guān)處阻攔間諜軟件，使IT支持人員無需再進行昂貴的間諜軟件去除過程，并提高員工生產(chǎn)率。防垃圾郵件一有效地阻攔垃圾郵件，且誤報率極低，有助于保持電子郵件效率，不影響與客戶、供應(yīng)商和合作伙伴的通信。防病毒一屢獲大獎的防病毒技術(shù)在

21、您根底設(shè)施中最有效的地點一互聯(lián)網(wǎng)網(wǎng)關(guān)處防御和未知攻擊，保護您的內(nèi)部網(wǎng)絡(luò)資源。在周邊清潔您的電子郵件和Web流量，即無需再進行消耗大量資源的惡意軟件感染去除工作，有助于確保業(yè)務(wù)連續(xù)性。防泄密一確定針對泄密攻擊的防盜竊保護，所以可防止員工無意間泄漏公司或個人信息，以導(dǎo)致經(jīng)濟損失。針對Web接入、電子郵件(SMTP和POP3)以及FTP的實時保護。即使機構(gòu)的電子郵件已進行了保護，但很多員工仍會通過公司PC或筆記本電腦訪問自己的個人電子郵件，從而為互聯(lián)網(wǎng)威脅提供了另一個入點。同樣，員工可能直接下載受到感染的程序或文件。在互聯(lián)網(wǎng)網(wǎng)關(guān)對所有Web流量進行實時保護，可減少這個常被忽略的平安易損點。URL過濾

22、一Web和URL過濾可用于控制員工對于互聯(lián)網(wǎng)的使用，阻止他們訪問不適當(dāng)?shù)幕蚺c業(yè)務(wù)無關(guān)的網(wǎng)站，從而提高員工生產(chǎn)率，并減少因員工訪問了不應(yīng)訪問的Web內(nèi)容而承擔(dān)法律責(zé)任的時機。電子郵件內(nèi)容過濾一電子郵件過濾減少了公司因收到通過電子郵件傳輸?shù)墓粜畔⒍袚?dān)法律責(zé)任的時機。過濾也有助于符合法律法規(guī)，可幫助機構(gòu)到達GrahamLeachBliley和數(shù)據(jù)保護法案等的要求。威脅防御VPNCiscoASA5500系列為遠程用戶提供了威脅防御接入功能。該解決方案提供了對內(nèi)部網(wǎng)絡(luò)系統(tǒng)和效勞的站點間訪問和遠程用戶訪問。此解決方案結(jié)合了對于SSL和IPSecVPN功能的支持,可實現(xiàn)最高靈活性。因為這個解決方案將防火

23、墻和Anti-X效勞與VPN效勞相結(jié)合，可確保VPN流量不會為醫(yī)院帶來惡意軟件或其他威脅。方便的部署和管理一隨此解決方案提供了思科自適合平安設(shè)備管理器(ASDM),它具有一個基于瀏覽器的、功能強大、易于使用的管理和監(jiān)控界面。這個解決方案在單一應(yīng)用中提供了對于所有效勞的全面配谿。此外，向?qū)Э芍笇?dǎo)用戶完成配銘的設(shè)谿，實現(xiàn)迅速部署。部署CiscoIronPortS系列Web平安網(wǎng)關(guān)應(yīng)對來自互聯(lián)網(wǎng)的Web威脅當(dāng)前，基于互聯(lián)網(wǎng)Web數(shù)據(jù)流傳播的各種平安威脅，開始在全球范圍盛行，使商用網(wǎng)絡(luò)暴露在這些威脅帶來的內(nèi)在危險之下?，F(xiàn)行的網(wǎng)關(guān)防御機制己經(jīng)證明缺乏以抵御多種基于Web的惡意軟件入侵。據(jù)業(yè)內(nèi)估計，大約7

24、5%的商用電腦感染了間諜軟件，但是在網(wǎng)絡(luò)周邊部署了惡意軟件防御系統(tǒng)的企業(yè)卻缺乏10%?；赪eb的惡意軟件傳播速度快，變種能力強，其危害性日益嚴重，對醫(yī)療機構(gòu)特別是網(wǎng)絡(luò)平安技術(shù)相對薄弱的中小型醫(yī)療機構(gòu)來說，擁有一個強健的能夠保護醫(yī)院網(wǎng)絡(luò)周邊并抵御這些平安威脅侵害的平安平臺就顯得極為重要。除此以外，當(dāng)今基于Web的威脅87%是通過合法的網(wǎng)站發(fā)出的。基于Web的惡意軟件有著速度快、多樣性強和變種頻繁出現(xiàn)的攻擊威脅特點，這要求醫(yī)院必須使用一個強大的、平安平臺才能將日益嚴峻的上網(wǎng)威脅屏蔽在醫(yī)院網(wǎng)絡(luò)之外。CiscoIronPortS系列Web平安網(wǎng)關(guān)是業(yè)界開創(chuàng)先河的，也是唯一的將傳統(tǒng)的URL過濾、信譽過

25、濾和惡意軟件過濾功能集中到單一平臺來消除上述風(fēng)險的Web平安設(shè)備。通過綜合利用這些創(chuàng)新的技術(shù),CsicoIronPortS系列網(wǎng)關(guān)能夠幫助企業(yè)在保證Web數(shù)據(jù)流平安和控制Web數(shù)據(jù)流風(fēng)險方面，應(yīng)對所面臨的日益嚴峻的挑戰(zhàn)。CiscoIronPortS系列網(wǎng)關(guān)結(jié)合了多種先進技術(shù)，通過單臺、集成的網(wǎng)關(guān)抵御惡意軟件，幫助企業(yè)實施平安策略及控制網(wǎng)絡(luò)流量。提供的多層防護包括CiscoIronPortWeb名譽過濾器叫多層防惡意軟件掃描引擎和第四層(L4)數(shù)據(jù)流監(jiān)視器，它能夠監(jiān)控非80端口的惡意軟件活動。所有這個切為企業(yè)提供了一個強大的具有最優(yōu)性能和成效的Web平安平臺。同時CiscoIronPortS系列

26、提供智能化的HTTPS解密的能力，從而對加密數(shù)據(jù)流應(yīng)用所有的平安及訪問策略。在實際的應(yīng)用環(huán)境中，醫(yī)療機構(gòu)能夠選擇以下兩種模式部署S系列網(wǎng)關(guān)：直連模式：客戶機直接連接到S系列，由S系列提供HTTP/HTTPS/FTP流量的代理支持。FirewallClient connecting in Explicit Forward Mode to S-SerlesL4TrafficMonitorPortsconnectedviaTAPorspanport透明模式：由第四層交換機或WCCP路由器轉(zhuǎn)發(fā)流量至S系列，由SClients connecting Transparently to the S-Seri

27、esFirewall系列提供對客戶機透明的代理支持。部署CiscoIronPortC系列電子郵件平安網(wǎng)關(guān)應(yīng)對來自互聯(lián)網(wǎng)電子郵件的平安威脅垃圾郵件以及隨郵件傳播的病毒、惡意程序、間諜軟件等是當(dāng)前來自互聯(lián)網(wǎng)的另一種主要的平安威脅。對于平安技術(shù)相對薄弱的中小型醫(yī)療機構(gòu)，這種威脅往往會帶來極大的平安風(fēng)險：隨意翻開來歷不明的電子郵件或者點擊郵件中的附件或鏈接都有可能形成對醫(yī)療業(yè)務(wù)系統(tǒng)的攻擊。此外，網(wǎng)絡(luò)管理人員需要消耗大量精力用于清理垃圾郵件，也嚴重影響了對正常業(yè)務(wù)系統(tǒng)的管理和維護。所以，如何對電子郵件應(yīng)用進行高效的平安防御和管理,也是當(dāng)前中小型醫(yī)療機構(gòu)部署平安解決方案時需要重點考慮的內(nèi)容。CiscoIr

28、onPortC系列電子郵件平安網(wǎng)關(guān)是針對電子郵件平安威脅的最正確解決方案?；贑iscoIronPort專有的為企業(yè)目標(biāo)設(shè)定的AsyncOS操作系統(tǒng)，IronPortC系列能夠滿足對電子郵件的大容量和高可用性的掃描需求，減少與垃圾郵件、病毒和其他各種威脅相關(guān)的系統(tǒng)宕機時間，從而支持對醫(yī)院郵件系統(tǒng)的高效管理并有效減輕網(wǎng)絡(luò)管理人員的工作負擔(dān)。IronPortC系列在一個網(wǎng)關(guān)設(shè)備上集成了思科獨有的預(yù)防性過濾器和基于特征碼的反響性過濾器，配合內(nèi)容過濾和高級加密技術(shù),為客戶提供了當(dāng)前業(yè)界最高級的郵件平安效勞。同時，利用思科平安情報運營中心和全球威脅協(xié)作組織使CiscoIronPort網(wǎng)關(guān)產(chǎn)品更聰明，更迅

29、速。這個先進技術(shù)使企業(yè)能夠從最新的互聯(lián)網(wǎng)威脅中提高他們的平安性，并且使得保護用戶更加透明化。以下圖描述了C系列郵件平安網(wǎng)關(guān)的部署方式。對于中小型醫(yī)療機構(gòu)，本方案涉及的ASA和IronPort系列主要產(chǎn)品如下表所示：產(chǎn)品系列說明CiscoASA5505提供一體化的平安解決方案，包括防火墻隔離、IPS、VPN、內(nèi)容過濾等CiscoASA5510提供一體化的平安解決方案，包括防火墻隔離、IPS、VPN、內(nèi)容過濾等CiscoIronPortS160面向中小型醫(yī)療機構(gòu)的Web平安網(wǎng)關(guān)CiscoIronPortC160面向中小型醫(yī)療機構(gòu)的電子郵件平安網(wǎng)關(guān)四、平安的醫(yī)療分支機構(gòu)解決方案隨著國家不斷深化鄉(xiāng)鎮(zhèn)醫(yī)

30、療保障體系的建設(shè)，鄉(xiāng)鎮(zhèn)衛(wèi)生院、醫(yī)療點與城區(qū)中心醫(yī)院之間的聯(lián)系也日趨緊密?；ヂ?lián)網(wǎng)的普及，一方面為這個趨勢提供了便利的信息高速公路，但同時也帶來了形形色色的平安隱患。在眾多的廣域網(wǎng)接入技術(shù)中，虛擬專網(wǎng)(VPN)能夠說是解決這個問題的最具經(jīng)濟實用性的解決方案?；诩啥鄻I(yè)務(wù)路由器(ISR)的企業(yè)級VPN解決方案，在可擴展的平臺、平安性、效勞、應(yīng)用和管理五大VPN實施要素方面，具有基于標(biāo)準的開放式的體系結(jié)構(gòu)和可擴充的端到端網(wǎng)絡(luò)互連能力。借助先進的ISR路由器，中小型醫(yī)療機構(gòu)用戶能夠部署多種VPN連接方式，通過平安可靠的加密手段，保護醫(yī)療應(yīng)用系統(tǒng)的信息資源。以下圖是基于ISR路由器的一個典型的VPN實施

31、方式：SSL VPN合作伙伴思科VPN軟件客分支機構(gòu)1分支機構(gòu)”分支機構(gòu)2冗余聚合的VPN網(wǎng)關(guān)Cisco DMVPN移動電遠程辦公人員 話VPN On-Oemand Tunnels遠程Easy VPNCisco_ Easy VPN使用思科ISR高端路由器2900系列做為中心醫(yī)院的VPN網(wǎng)關(guān),用來聚合來自分支醫(yī)療機構(gòu)、合作單位、移動/遠程醫(yī)療終端的VPN各種應(yīng)用o在分支醫(yī)療機構(gòu)中，根據(jù)機構(gòu)的規(guī)模和應(yīng)用狀況可選擇思科ISR路由器中的1900系列、890c系列或880c系列做為VPN的網(wǎng)關(guān)。方案特點：平安保障雖然實現(xiàn)VPN的技術(shù)和方式很多,但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和平安

32、性。在平安性方面，因為VPN直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其平安問題也更為突出。醫(yī)院必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。效勞質(zhì)量保證(QoS)VPN網(wǎng)理應(yīng)為醫(yī)院數(shù)據(jù)提供不同等級的效勞質(zhì)量保證。不同的用戶和業(yè)務(wù)對效勞質(zhì)量保證的要求差異較大。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源,為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量頂峰時引起網(wǎng)絡(luò)阻塞，使實時性要求高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過流量預(yù)測與流量控制策略，能夠按

33、照優(yōu)先級分實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生?？蓴U充性和靈活性VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，能夠滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求?？晒芾硇詮挠脩艚嵌群瓦\營商角度應(yīng)可方便地進行管理、維護。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險、具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。事實上，VPN管理主要包括平安管理、設(shè)備管理、配谿管理、訪問控制列表管理、QoS管理等內(nèi)容。多種VPN的連接方式基于ISR路由器VPN解決方案為中小型醫(yī)院用戶提供了多種VPN的連接方式，包括

34、IPSec、SSL、動態(tài)多點VPN(DMVPN)等。與中心醫(yī)院通常有較為完善的網(wǎng)絡(luò)平安部署不同，對于大量的分支醫(yī)療機構(gòu)，如鄉(xiāng)鎮(zhèn)衛(wèi)生院、醫(yī)療效勞點等，如何部署適宜的網(wǎng)絡(luò)連接設(shè)備應(yīng)對當(dāng)前的各種網(wǎng)絡(luò)威脅，例如：黑客攻擊，蠕蟲病毒，非法上網(wǎng)行為等等，是另外一個需要考慮的重要問題。這些網(wǎng)絡(luò)威脅，既沖擊了分支醫(yī)療機構(gòu)的網(wǎng)絡(luò)平安，又消耗了大量網(wǎng)絡(luò)資源，嚴重影響了醫(yī)療系統(tǒng)的正常運行。思科的ISR800系列路由器為中小型的分支機構(gòu)和小型辦公室提供了可靠的網(wǎng)絡(luò)解決方案，來防御各種網(wǎng)絡(luò)中的威脅，保證了網(wǎng)絡(luò)資源應(yīng)用，確保了醫(yī)療機構(gòu)廣域網(wǎng)絡(luò)的正常運行。思科ISR路由器部署在分支機構(gòu)，提供了平安的Internet訪問提供

35、先進的防火墻，能夠監(jiān)控電子郵件，即時消息傳遞和HTTP流量能夠在分支機構(gòu)的本地設(shè)備實施防御蠕蟲病毒的平安策略，節(jié)省廣域網(wǎng)絡(luò)帶寬入侵防御系統(tǒng)(IPS)：這種深度包檢測特性能夠有效阻止各種網(wǎng)絡(luò)攻擊內(nèi)容過濾：一種基于預(yù)訂的集成平安解決方案，能夠提供基于類別的分級；關(guān)鍵字攔截；并可抵御廣告軟件、惡意軟件、間諜軟件和URL阻截即使是DOS攻擊，也可保持可用性方案中涉及的主要ISR路由器產(chǎn)品：產(chǎn)品系列說明Cisco2921部署在中心醫(yī)院Ciscol941部署在較大規(guī)模的分支機構(gòu)，例如分院Cisco860/880C/890C部署在衛(wèi)生院、醫(yī)療效勞站等此外，思科還提供精睿系列VPN路由器，專為需要根本遠程平安互連且嚴格控制投資預(yù)算的小型醫(yī)療分支機構(gòu)提供入門級的IPSecVPN連接，并且能夠與中心醫(yī)療機構(gòu)的思科ISR路由器統(tǒng)一部署，提供一體化的VPN解決方案。常用的精睿系列VPN路由器如下：產(chǎn)品系列說明CiscoRV120W部署在小型分支機構(gòu)，支持10個IPSec隧道和CiscoWRV210部署在小型分支機構(gòu)，支持5個IPSec隧道和CiscoRVS4000部署在小型分支機構(gòu)，支持5個IPSec隧道和IP