市医院网络安全防护技术方案

1、1.1网络安全方案1.1.1. 网络现状及安全需求 网络现状分析由于 XXX 市医院网络安全防护等级低，存在病毒、非法外联、越权访问、被植 入木马等各种安全问题。网络安全需求分析 通过前述的网络系统现状和安全风险分析， 目前在网络安全所面临着几大问题主 要集中在如下几点：来自互连网的黑客攻击 来自互联网的恶意软件攻击和恶意扫描 来自互联网的病毒攻击 来自内部网络的 P2P 下载占用带宽问题 来自内部应用服务器压力和物理故障问题、 来自内部网络整理设备监控管理问题 来自数据存储保护的压力和数据安全管理问题 来自内部数据库高级信息如何监控审计问题 来自内部客户端桌面行为混乱无法有效管理带来的安全问

2、题 来自机房物理设备性能无法有效监控导致物理设备安全的问题1.1.2. 总体安全策略分析为确保XXXP医院网络系统信息安全，降低系统和外界对内网数据的安全威胁，根据需求分析结果针对性制定总体安全策略：在网关处部署防火墙来保证网关的安全，抵御黑客攻击 在网络主干链路上部署 IPS 来保证内部网络安全，分析和控制来自互连网的 恶意入侵和扫描攻击行为。在网络主干链路上部署防毒墙来过滤来自互联网的病毒、木马等威胁 在网络主干链路上部署上网行为管理设备来控制内部计算机上网行为，规范 P2P下载等一些上网行为。在应用区域部署负载均衡设备来解决服务器压力和单台物理故障问题 在网络内部部署网络运维产品，对网络

3、上所有设备进行有效的监控和管理。 在服务器前面部署网闸隔离设备，保证访问服务器数据流的安全性 在服务器区域部署存储设备，提供数据保护能力以及安全存储和管理能力 部署容灾网关，提供应用系统和数据系统容灾解决办法，抵御灾难事件带来 的应用宕机风险。部署数据库审计系统，实时监测数据库操作和访问信息，做到实时监控。 部署内网安全管理软件系统，对客户端进行有效的安全管理 部署机房监控系统，对机房整体物理性能做到实时监控，及时了解和排除物 理性能的安全隐患。.安全拓扑. 防火墙访问控制In ternet与服务器区域存在网络连接，必须明确边界，实施边界防护控制。而部 署防火墙产品

4、是实施边界防护控制最为简洁而又有效的方式。 由于服务器区域的安全 等级高于In ternet网络，因此In ternet网络与服务器区域之间的安全防护设备应部署在 服务器区域一侧。In ternet网络作为防火墙的不可信网络、服务器安全域放到防火墙 DMZ区、 网医院内部网络作为可信任网络；严格限定In ternet网络对DMZ区所开放的服务访问的源、目的地址和服务类 型；严格限定DMZ区对网管网的访问的源、目的地址和服务类型； 严格控制In ternet网络对医院内网的直接访问。. 病毒防护 针对防病毒危害性极大并且传播极为迅速，必须配备从服务器到单机的整套防 病毒软件， 防止

5、病毒入侵主机并扩散到全网， 实现全网的病毒安全防护。 并且由于新 病毒的出现比较快，所以要求防病毒系统的病毒代码库的更新周期必须比较短。针对信息系统的具体情况，我们建议在In ternet网络与医院内网之间安装防病毒 网关防范病毒，检查所有通过的网络数据包，防范通过 SMTP、 FTP、 HTTP、 POP3、 IMAP、 NNTP等多种协议传播的病毒。对于主机，则采用统一管理，分组部署的管 理模式。. 入侵检测系统在许多人看来，有了防火墙，网络就安全了，就可以高枕无忧了。其实，这是 一种错误的认识，防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火 墙可以对所有的访问进

6、行严格控制（允许、禁止、报警）。但它是静态的，而网络安 全是动态的、整体的，黑客的攻击方法有无数，防火墙不是万能的，不可能完全防止 这些有意或无意的攻击。 必须配备入侵检测系统， 对透过防火墙的攻击进行检测并做 相应反应（记录、报警、阻断）。入侵检测系统和防火墙配合使用，这样可以实现多 重防护，构成一个整体的、完善的网络安全保护系统。. 上网行为管理按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和 检验操作事件的环境及活动， 帮助用户更好地驾驭和使用互联网。 全面细致地帮助用 户实现上网行为管理、 内容安全管理、 带宽分配管理、 网络应用管理、 外发信息管理，

7、 有效解决互联网带来的管理、安全、效率、资源、法律等问题。1.1.3. 整体安全解决方案通过对XXX医院整体网络结构深入、全面的分析，提出 XXX医院网络安全优化方案. 防火墙部署防火墙部署描述如下： 防火墙选择四个网络端口；一个 Un trust 口连接 In ternet 网络；一个Trust 口连接医院内网络；一个DMZ 口连接开放服务域；一个口备用；策略默认配置为全禁止；In ternet网络相关IP可以访问DMZ相应IP的相应服务端口；In ternet网络访问医院内网全禁止；DMZ相应IP可以访问医院内网相应IP的相应服务端口。. 病毒防护策略设定为SM

8、TP、 FTP、HTTP、 POP3 IMAP、NNTP协议病毒分析;病毒处理方式为删除、隔离等方式； 自动在线病毒码更新，更新方式可以通过办公机设定更新代理方式实现； 统一升级，留有备份；紧急处理措施和对新病毒的响应方式。. 入侵检测系统部署实时监控系统事件和传输的网络 数据，并对可疑的行为进行自动监测和安 全响应，使用户的系统在受到危害之前即可截取并终止非法入侵的行为和内部 网络的误用，从而最大程度地降低安全风险，保护企业网络的系统安全。监控探头部署在防火墙 DMZ 区的交换机上，通过端口流量映射的方式旁听出 入的网络数据包；策略配置可以设定放行、报警、阻断、圭寸堵等处理策略，对于Port Scan 口令猜测、缓冲溢出、特定 URL 攻击等明显的攻击行为可采用阻断连接 session 的方式防止攻击，严格的策略可以封堵相应的来源 IP地址，禁止该地址的所 有访问。. 上网行为管理器上网行为管理器部署在医院内网核心交换机的上层，通过策略对网页过滤，屏蔽员工对非法网站的访问；基于时间、用户、应用精细管理控制，管控工作人员工在