《XXX市医院网络安全防护技术方案设计.pdf》由会员分享,可在线阅读,更多相关《XXX市医院网络安全防护技术方案设计.pdf(7页珍藏版)》请在三一文库上搜索。
1、. . 1.1网络安全方案 1.1.1.网络现状及安全需求 网络现状分析 由于XXX 市医院网络安全防护等级低,存在病毒、非法外联、越权访问、被植入 木马等各种安全问题。 网络安全需求分析 通过前述的网络系统现状和安全风险分析,目前在网络安全所面临着几大问题主 要集中在如下几点: 来自互连网的黑客攻击 来自互联网的恶意软件攻击和恶意扫描 来自互联网的病毒攻击 来自内部网络的 P2P下载占用带宽问题 来自内部应用服务器压力和物理故障问题、 来自内部网络整理设备监控管理问题 来自数据存储保护的压力和数据安全管理问题 来自内部数据库高级信息如何监控审计问题 来自内部客户端桌面行为混乱无法有效管理带来
2、的安全问题 来自机房物理设备性能无法有效监控导致物理设备安全的问题 网管网络安全防护项目技术方案 1 1.1.2.总体安全策略分析 为确保XXX 市医院网络系统信息安全,降低系统和外界对内网数据的安全威胁, 根据需求分析结果针对性制定总体安全策略: 在网关处部署防火墙来保证网关的安全,抵御黑客攻击 在网络主干链路上部署IPS 来保证内部网络安全,分析和控制来自互连网的 恶意入侵和扫描攻击行为。 在网络主干链路上部署防毒墙来过滤来自互联网的病毒、木马等威胁 在网络主干链路上部署上网行为管理设备来控制内部计算机上网行为,规范 P2P下载等一些上网行为。 在应用区域部署负载均衡设备来解决服务器压力和
3、单台物理故障问题 在网络内部部署网络运维产品,对网络上所有设备进行有效的监控和管理。 在服务器前面部署网闸隔离设备,保证访问服务器数据流的安全性 在服务器区域部署存储设备,提供数据保护能力以及安全存储和管理能力 部署容灾网关,提供应用系统和数据系统容灾解决办法,抵御灾难事件带来 的应用宕机风险。 部署数据库审计系统,实时监测数据库操作和访问信息,做到实时监控。 部署内网安全管理软件系统,对客户端进行有效的安全管理 部署机房监控系统,对机房整体物理性能做到实时监控,及时了解和排除物 理性能的安全隐患。 1.1.2.1.安全拓扑 网管网络安全防护项目技术方案 2 1.1.2.2.防火墙访问控制 I
4、nternet与服务器区域存在网络连接,必须明确边界,实施边界防护控制。而 部署防火墙产品是实施边界防护控制最为简洁而又有效的方式。由于服务器区域的安 全等级高于 Internet网络,因此Internet网络与服务器区域之间的安全防护设备应部 署在服务器区域一侧。 Internet网络作为防火墙的不可信网络、服务器安全域放到防火墙DMZ 区、 网医院内部网络作为可信任网络; 严格限定 Internet网络对 DMZ 区所开放的服务访问的源、目的地址和服务类 型; 严格限定 DMZ 区对网管网的访问的源、目的地址和服务类型; 严格控制 Internet网络对医院内网的直接访问。 1.1.2.3
5、.病毒防护 针对防病毒危害性极大并且传播极为迅速,必须配备从服务器到单机的整套防 网管网络安全防护项目技术方案 3 病毒软件,防止病毒入侵主机并扩散到全网,实现全网的病毒安全防护。 并且由于新 病毒的出现比较快,所以要求防病毒系统的病毒代码库的更新周期必须比较短。 针对信息系统的具体情况,我们建议在Internet网络与医院内网之间安装防病 毒网关防范病毒,检查所有通过的网络数据包,防范通过SMTP 、 FTP、HTTP 、POP3 、 IMAP 、 NNTP 等多种协议传播的病毒。对于主机,则采用统一管理,分组部署的管理 模式。 1.1.2.4.入侵检测系统 在许多人看来,有了防火墙,网络就
6、安全了,就可以高枕无忧了。其实,这是 一种错误的认识,防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火 墙可以对所有的访问进行严格控制(允许、禁止、报警)。但它是静态的,而网络安 全是动态的、整体的,黑客的攻击方法有无数,防火墙不是万能的,不可能完全防止 这些有意或无意的攻击。 必须配备入侵检测系统, 对透过防火墙的攻击进行检测并做 相应反应(记录、报警、阻断)。入侵检测系统和防火墙配合使用,这样可以实现多 重防护,构成一个整体的、完善的网络安全保护系统。 1.1.2.5.上网行为管理 按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和 检验操作事件的环境及活动,
7、帮助用户更好地驾驭和使用互联网。全面细致地帮助用 户实现上网行为管理、 内容安全管理、 带宽分配管理、 网络应用管理、 外发信息管理, 有效解决互联网带来的管理、安全、效率、资源、法律等问题。 网管网络安全防护项目技术方案 4 1.1.3.整体安全解决方案 通过对XXX 医院整体网络结构深入、全面的分析,提出XXX 医院网络安全优化方 案。 1.1.3.1.防火墙部署 防火墙部署描述如下: 防火墙选择四个网络端口; 一个Untrust 口连接 Internet网络; 一个Trust 口连接医院内网络; 一个DMZ 口连接开放服务域; 一个口备用; 策略默认配置为全禁止; Internet网络相
8、关 IP可以访问 DMZ 相应IP的相应服务端口; Internet网络访问医院内网全禁止; DMZ 相应IP可以访问医院内网相应 IP的相应服务端口。 网管网络安全防护项目技术方案 5 1.1.3.2.病毒防护 策略设定为 SMTP 、 FTP、HTTP 、 POP3 、 IMAP、NNTP 协议病毒分析; 病毒处理方式为删除、隔离等方式; 自动在线病毒码更新,更新方式可以通过办公机设定更新代理方式实现; 统一升级,留有备份; 紧急处理措施和对新病毒的响应方式。 1.1.3.3.入侵检测系统部署 实时监控系统事件和传输的网络数据,并对可疑的行为进行自动监测和安 全响应,使用户的系统在受到危害
9、之前即可截取并终止非法入侵的行为和内部 网络的误用,从而最大程度地降低安全风险,保护企业网络的系统安全。 监控探头部署在防火墙 DMZ 区的交换机上,通过端口流量映射的方式旁听出入 的网络数据包; 策略配置可以设定放行、报警、阻断、封堵等处理策略,对于Port Scan、口 令猜测、缓冲溢出、特定URL 攻击等明显的攻击行为可采用阻断连接session 的方式防止攻击,严格的策略可以封堵相应的来源IP地址,禁止该地址的所 有访问。 1.1.3.4.上网行为管理器 上网行为管理器部署在医院内网核心交换机的上层,通过策略对网页过滤,屏 蔽员工对非法网站的访问;基于时间、用户、应用精细管理控制,管控工作人员工在 上班时间玩网络游戏、炒股、观看在线视频,以及无节制地网络聊天,从而保障工作 效率;对通过电子邮件、即时通讯、论坛发帖等途径的外发信息进行监控审计,避免 企业机密信息泄露;根据应用层的带宽管理功能,有效阻止、限制P2P 等严重消耗带 宽的应用,确保医院的核心业务带宽得以保障。 网管网络安全防护项目技术方案 6 单纯的课本内容,并不能满足学生的需要,通过补充,达到内容的完善 教育之通病是教用脑的人不用手,不教用手的人用脑,所以一无所能。教育革命的对策是手脑联盟,结果是手与脑的力量都可以大到不可思议。