XXX市醫(yī)院網(wǎng)絡(luò)安全防護技術(shù)方案

1、網(wǎng)絡(luò)安全方案網(wǎng)絡(luò)現(xiàn)狀及安全需求 網(wǎng)絡(luò)現(xiàn)狀分析由于XXX市醫(yī)院網(wǎng)絡(luò)安全防護等級低，存在病毒、非法外聯(lián)、越權(quán)訪問、被植入木馬等各種安全問題。網(wǎng)絡(luò)安全需求分析通過前述的網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀和安全風險分析，目前在網(wǎng)絡(luò)安全所面臨著幾大問題主要集中在如下幾點：來自互連網(wǎng)的黑客攻擊來自互聯(lián)網(wǎng)的惡意軟件攻擊和惡意掃描來自互聯(lián)網(wǎng)的病毒攻擊來自內(nèi)部網(wǎng)絡(luò)的P2P下載占用帶寬問題來自內(nèi)部應(yīng)用服務(wù)器壓力和物理故障問題、來自內(nèi)部網(wǎng)絡(luò)整理設(shè)備監(jiān)控管理問題來自數(shù)據(jù)存儲保護的壓力和數(shù)據(jù)安全管理問題來自內(nèi)部數(shù)據(jù)庫高級信息如何監(jiān)控審計問題來自內(nèi)部客戶端桌面行為混亂無法有效管理帶來的安全問題來自機房物理設(shè)備性能無法有效監(jiān)控導致物理設(shè)備安全的

2、問題總體安全策略分析為確保XXX市醫(yī)院網(wǎng)絡(luò)系統(tǒng)信息安全，降低系統(tǒng)和外界對內(nèi)網(wǎng)數(shù)據(jù)的安全威脅，根據(jù)需求分析結(jié)果針對性制定總體安全策略：在網(wǎng)關(guān)處部署防火墻來保證網(wǎng)關(guān)的安全，抵御黑客攻擊在網(wǎng)絡(luò)主干鏈路上部署IPS來保證內(nèi)部網(wǎng)絡(luò)安全，分析和控制來自互連網(wǎng)的惡意入侵和掃描攻擊行為。在網(wǎng)絡(luò)主干鏈路上部署防毒墻來過濾來自互聯(lián)網(wǎng)的病毒、木馬等威脅在網(wǎng)絡(luò)主干鏈路上部署上網(wǎng)行為管理設(shè)備來控制內(nèi)部計算機上網(wǎng)行為，規(guī)范P2P下載等一些上網(wǎng)行為。在應(yīng)用區(qū)域部署負載均衡設(shè)備來解決服務(wù)器壓力和單臺物理故障問題在網(wǎng)絡(luò)內(nèi)部部署網(wǎng)絡(luò)運維產(chǎn)品，對網(wǎng)絡(luò)上所有設(shè)備進行有效的監(jiān)控和管理。在服務(wù)器前面部署網(wǎng)閘隔離設(shè)備，保證訪問服務(wù)器數(shù)據(jù)流

3、的安全性在服務(wù)器區(qū)域部署存儲設(shè)備，提供數(shù)據(jù)保護能力以及安全存儲和管理能力部署容災(zāi)網(wǎng)關(guān)，提供應(yīng)用系統(tǒng)和數(shù)據(jù)系統(tǒng)容災(zāi)解決辦法，抵御災(zāi)難事件帶來的應(yīng)用宕機風險。部署數(shù)據(jù)庫審計系統(tǒng)，實時監(jiān)測數(shù)據(jù)庫操作和訪問信息，做到實時監(jiān)控。部署內(nèi)網(wǎng)安全管理軟件系統(tǒng)，對客戶端進行有效的安全管理部署機房監(jiān)控系統(tǒng)，對機房整體物理性能做到實時監(jiān)控，及時了解和排除物理性能的安全隱患。 安全拓撲防火墻訪問控制Internet與服務(wù)器區(qū)域存在網(wǎng)絡(luò)連接，必須明確邊界，實施邊界防護控制。而部署防火墻產(chǎn)品是實施邊界防護控制最為簡潔而又有效的方式。由于服務(wù)器區(qū)域的安全等級高于Internet網(wǎng)絡(luò)，因此Internet網(wǎng)絡(luò)與服務(wù)器區(qū)域之間

4、的安全防護設(shè)備應(yīng)部署在服務(wù)器區(qū)域一側(cè)。Internet網(wǎng)絡(luò)作為防火墻的不可信網(wǎng)絡(luò)、服務(wù)器安全域放到防火墻DMZ區(qū)、網(wǎng)醫(yī)院內(nèi)部網(wǎng)絡(luò)作為可信任網(wǎng)絡(luò)；嚴格限定Internet網(wǎng)絡(luò)對DMZ區(qū)所開放的服務(wù)訪問的源、目的地址和服務(wù)類型；嚴格限定DMZ區(qū)對網(wǎng)管網(wǎng)的訪問的源、目的地址和服務(wù)類型；嚴格控制Internet網(wǎng)絡(luò)對醫(yī)院內(nèi)網(wǎng)的直接訪問。病毒防護針對防病毒危害性極大并且傳播極為迅速，必須配備從服務(wù)器到單機的整套防病毒軟件，防止病毒入侵主機并擴散到全網(wǎng)，實現(xiàn)全網(wǎng)的病毒安全防護。并且由于新病毒的出現(xiàn)比較快，所以要求防病毒系統(tǒng)的病毒代碼庫的更新周期必須比較短。針對信息系統(tǒng)的具體情況，我們建議在Internet

5、網(wǎng)絡(luò)與醫(yī)院內(nèi)網(wǎng)之間安裝防病毒網(wǎng)關(guān)防范病毒，檢查所有通過的網(wǎng)絡(luò)數(shù)據(jù)包，防范通過SMTP、 FTP、HTTP、POP3、IMAP、 NNTP等多種協(xié)議傳播的病毒。對于主機，則采用統(tǒng)一管理，分組部署的管理模式。入侵檢測系統(tǒng)在許多人看來，有了防火墻，網(wǎng)絡(luò)就安全了，就可以高枕無憂了。其實，這是一種錯誤的認識，防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的措施之一。防火墻可以對所有的訪問進行嚴格控制（允許、禁止、報警）。但它是靜態(tài)的，而網(wǎng)絡(luò)安全是動態(tài)的、整體的，黑客的攻擊方法有無數(shù)，防火墻不是萬能的，不可能完全防止這些有意或無意的攻擊。必須配備入侵檢測系統(tǒng)，對透過防火墻的攻擊進行檢測并做相應(yīng)反應(yīng)（記錄、報警

6、、阻斷）。入侵檢測系統(tǒng)和防火墻配合使用，這樣可以實現(xiàn)多重防護，構(gòu)成一個整體的、完善的網(wǎng)絡(luò)安全保護系統(tǒng)。上網(wǎng)行為管理按照一定的安全策略，利用記錄、系統(tǒng)活動和用戶活動等信息，檢查、審查和檢驗操作事件的環(huán)境及活動，幫助用戶更好地駕馭和使用互聯(lián)網(wǎng)。全面細致地幫助用戶實現(xiàn)上網(wǎng)行為管理、內(nèi)容安全管理、帶寬分配管理、網(wǎng)絡(luò)應(yīng)用管理、外發(fā)信息管理，有效解決互聯(lián)網(wǎng)帶來的管理、安全、效率、資源、法律等問題。整體安全解決方案通過對XXX醫(yī)院整體網(wǎng)絡(luò)結(jié)構(gòu)深入、全面的分析，提出XXX醫(yī)院網(wǎng)絡(luò)安全優(yōu)化方案。防火墻部署防火墻部署描述如下：防火墻選擇四個網(wǎng)絡(luò)端口；一個Untrust口連接Internet網(wǎng)絡(luò)；一個Trust口連

7、接醫(yī)院內(nèi)網(wǎng)絡(luò)；一個DMZ口連接開放服務(wù)域；一個口備用；策略默認配置為全禁止；Internet網(wǎng)絡(luò)相關(guān)IP可以訪問DMZ相應(yīng)IP的相應(yīng)服務(wù)端口；Internet網(wǎng)絡(luò)訪問醫(yī)院內(nèi)網(wǎng)全禁止；DMZ相應(yīng)IP可以訪問醫(yī)院內(nèi)網(wǎng)相應(yīng)IP的相應(yīng)服務(wù)端口。病毒防護策略設(shè)定為SMTP、 FTP、HTTP、 POP3、 IMAP、NNTP協(xié)議病毒分析；病毒處理方式為刪除、隔離等方式；自動在線病毒碼更新，更新方式可以通過辦公機設(shè)定更新代理方式實現(xiàn)；統(tǒng)一升級，留有備份；緊急處理措施和對新病毒的響應(yīng)方式。入侵檢測系統(tǒng)部署實時監(jiān)控系統(tǒng)事件和傳輸?shù)木W(wǎng)絡(luò) 數(shù)據(jù)，并對可疑的行為進行自動監(jiān)測和安全響應(yīng)，使用戶的系統(tǒng)在受到危害之前即可截取并終止非法入侵的行為和內(nèi)部網(wǎng)絡(luò)的誤用，從而最大程度地降低安全風險，保護企業(yè)網(wǎng)絡(luò)的系統(tǒng)安全。監(jiān)控探頭部署在防火墻DMZ區(qū)的交換機上，通過端口流量映射的方式旁聽出入的網(wǎng)絡(luò)數(shù)據(jù)包；策略配置可以設(shè)定放行、報警、阻斷、封堵等處理策略，對于Port Scan、口令猜測、緩沖溢出、特定URL攻擊等明顯的攻擊行為可采用阻斷連接session的方式防止攻擊，嚴格的策略可以封堵相應(yīng)的來源IP地址，禁止該地址的所有訪問。上網(wǎng)行為管理器上網(wǎng)行為管理器部署在醫(yī)院內(nèi)網(wǎng)核心交換機的上層，通過策略對網(wǎng)頁過濾，屏蔽員工對非法網(wǎng)站的訪問；基于時間、用戶、應(yīng)用精細管理控制，管控工作人員工在上班時間玩網(wǎng)絡(luò)游