常州市妇幼保健医院网络安全解决方案.doc

常州市妇幼保健医院内网安全解决方案随着医院信息化的高速成长，各种业务应用越来越紧密地与网络融合在一起。网络安全已经成为我们不得不面对和解决的重要问题。有鉴于常州妇幼保健医院的网络安全现状，我们提出以下解决方案，供院方参考：分析院方网络安全状况，主要表现在两个方面：一是网络出口安全得不到控制。目前网络出口缺乏深层安全检测设备，无法对进出院方网络的数据进行有效控制，直接导致计算机病毒、黑客代码、木马程序的无阻碍流入，也导致无法对出口带宽的滥用情况加以监控和限制。二是内部网络无法做到有效的安全管理。移动存储设备的使用造成的病毒传播，内部人员滥用P2P软件，造成网络带宽被占用，导致工作效率下降等等。因此，我们建议选用H3C UTM(统一威胁管理产品)部署在网络出口，以实现网络的主动安全防御。在网络内部部署联想网御Leadsec-ISM(内网安全管理系统)以实现对网络的主动管理。UTMUTM统一威胁管理产品H3C UTM(统一威胁管理产品)主要功能如下： 完善的防火墙功能： 提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表（ACL）和攻击防范等基本功能，还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、CC、SYN flood、地址扫描和端口扫描等多种恶意攻击。 丰富的VPN特性： 支持L2TP VPN、GRE VPN、IPSec VPN等远程安全接入方式，同时设备集成硬件加密引擎实现高性能的VPN处理。 实时的病毒防护： 采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。 实时的垃圾邮件防护： 可以拦截垃圾邮件，净化邮件系统，解决垃圾邮件对正常工作的干扰问题。 先进的URL过滤： 实现基于用户的URL访问控制，防止因浏览恶意或未授权的网站(如网络钓鱼攻击网站)而带来的安全威胁。 全面的流量管理： 能精确检测BitTorrent、Thunder（迅雷）、QQ等P2P/IM应用，提供告警、限速、干扰或阻断等多种方式，保障网络核心业务正常应用。 细致的行为审计： 可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录，实现细粒度的网络行为审计管理。 NAT应用： 提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。 电信级设备高可靠性 采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户，经历了多年的市场考验。 支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份。36年的平均无故障时间(MTBF) 智能图形化的管理 简单易用的Web UI管理 联想网御内网安全管理系统产品主要功能如下：1. 桌面安全管理 上网控制可以记录所有计算机各项应用运行的情况以及浏览互联网的情况，并能产生统计图表让用户查看用户的使用情况，可以阻止计算机运行某些指定的应用程序或浏览指定的网站。 实时监视计算机透过系统的协助，管理人员可随时监控员工在计算机上所进行的活动，并可作出实时响应，还可以监控和记录屏幕。 网络连接与流量管理l 监控网络接口的连接状态，根据策略可禁止以下违规事件n 拨号设备和虚拟拨号网络的连接n 非法网络接口连接n 私自修改IP、伪造MAC、l 网络流量管理n 客户机发生异常流量时进行告警，达到一定阈值进行阻断。 程序与进程管理禁用l 通过对员工的应用程序管理，防止员工利用上班时间做不相干的工作，停止一些windows进程，可以有效的防止病毒入侵，提高终端的工作效率。l 自动检测某些程序或进程的运行状态，根据既定的安全策略予以关闭。l 保证某些关键进程不被用户自行中止，一直处于运行状态l 某些进程可以对用户隐藏，不可见。 运行统计生成管理人员所关心的用户各项应用程序以及浏览的网站的统计报告，以供对工作人员的工作情况进行评估。 数据压缩归挡.优化的数据压缩算法确保了资料的高效存取。经授权的用户可以在需要时利用系统的查看功能对特定的计算机在特定的时间段的历史信息进行查阅。 传输加密客户机与服务器之间的数据传输利用DES算法进行加密。这种加密的处理让系统有足够的能力保护资料和防止非法资料截获。 系统认证功能通过系统独特的服务器、代理及控制台之间的认证功能，客户机的代理只向经过认证的服务器响应，从而有效防止非法服务器窃取系统资料。 远程管理系统允许用户通过互联网的方式连接到异地的局域网中，实时管理和查看异地的计算机使用。 友好的用户接口：既有强大的监视和数据管理功能，又有简单易用的用户接口，图形化的用户接口让系统的所有功能一目了然。2. 补丁分发管理 补丁分发补丁分发功能是补丁管理系统的核心功能。补丁管理服务器负责对用户网络中的安装了客户端的桌面或服务器进行补丁分发与安装。补丁管理系统中补丁的含义是广义的，它不仅包括针对于各种操作系统漏洞的修补程序，也包括对用户系统中不安全配置的修复程序，对用户系统中间谍程序探测与自动删除，对用户系统中受阻止应用程序的屏蔽与删除，对用户定制漏洞定义进行修复的程序等。 补丁管理补丁管理功能实现对补丁库中的补丁程序进行日常的管理与维护，包括补丁的添加，补丁删除，漏洞信息查询，补丁信息查询，补丁信息修改，自定义补丁等。通过自定义补丁，还可以实现软件分发的功能。 策略管理实现对补丁分发策略的管理，补丁管理服务器将遵照分发策略进行补丁分发与安装。允许用户定制，修改，删除策略。定制策略可以适应不同的用户场景，自动化地实现补丁的检测与分发。 流量控制在进行大规模补丁分发时，为了避免占用过多网络带宽，影响用户正常的业务流量，对网络流量进行合理有效的控制显得十分重要。补丁管理系统考虑到这一点，在大规模补丁分发过程中采用多种方式进行流量控制：l 分发线程数调节：通过对分发线程数的调节，实现对流量的限制。允许用户根据网络的状况自由调节分发线程数。l 带宽控制：实现灵活的带宽控制。既可以对补丁服务器的带宽进行控制，同时也可以对每一个分发线程的带宽进行控制。 计划任务在进行大规模补丁分发时要尽量避开用户网络业务高峰期，通过创建计划任务，设置好分发范围，分发策略，以及分发时间等参数可以将补丁分发时间安排在非业务流量高峰期进行，尽可能降低对用户正常业务流量的影响。同时也减轻了管理员的工作量，实现自动，快捷，及时地补丁分发。 级联功能补丁管理系统通过支持无限级联功能，使之具有很强的可扩展性。对于大型网络，一台服务器难以满足需要，通过架设多台支持级联的补丁服务器，可以很好的满足大型网络中的补丁分发与管理。服务器的级联还可以更好地支持安全域管理。3. 外设与接口管理不同于其它以“封堵”为特点的管理方式，移动介质管理系统支持授权移动介质的正常使用，同时它也支持特定介质只能在特定的一些计算机上使用，有效降低介质丢失或被盗造成的风险。 全面的设备管理可以规定何人何时，在哪台PC上可以何种方式使用哪个移动存储设备。利用它可以很方便的启、禁用诸如软盘（Floppy）、光盘（CD/DVD/CD-R）、Flash（U盘及MP3播放器）、移动硬盘（USB或1394）等移动存储设备，也可以控制用户是否可以使用串口、并口、红外、1394接口、PCMCIA、Modem、打印机等外设。 操作模式设置可以根据需要细致地设置以上存储设备的只读、读写、禁用、只写等使用方式； 操作记录可以根据需要做出使用记录，以满足灵活应用的要求； 集中日志IT安全管理员可以集中监视和记录PC机移动存储设备的使用情况。通过事件及时上报和日志记录，可以做到对移动存储管理全局的掌握。 专用U盘每个专用U盘出厂时即有惟一的数字标签，该标识不能被克隆仿冒； U盘格式化专用U盘的惟一数字标签不能被清除，因此如果误操作而被未部署移动介质管理系统的PC格式化后，可以非常方便地重新在部署了移动介质管理系统的PC上重新格式化而接入被控PC； 介质跟踪通过专用U盘的惟一数字标签，系统可以跟踪、定位每个专用U盘的使用情况。 内容加密专用U盘采用专用格式，以使未经许可的PC不能访问专用U盘，这样加强了整个系统得安全性，将系统安全域延伸至使用中的专用U盘。4. 接入控制 阻断服务器设置可以增加阻断服务器，设置服务器的控制范围，通过IP和MAC组合的方式来控制非法主机的接入。 合法主机白名单手工设置合法的主机，给系统管理员以特权来允许未执行安全策略的主机的接入，满足特殊人群以及特殊应用的需要。 自动策略生成系统可以自动生成默认的合法主机列表，根据是否安装安全管理客户端或者是否执行安全策略，来过滤合法主机列表，快速实现合法主机列表的生成，降低管理员的工作量。 主机策略验证对于已经列入合法主机列表的机器，也可以在每次主机登陆时验证该主机是否执行了安全策略，是否卸载了安全管理客户端等，防止用户的非法操作。 联动扩展对于支持联动协议的网关设备，可以设置和防火墙等安全管理网关的联动，实现更灵活的安全接入控制策略。5. 资产管理l 资产分析：分析客户端的计算机名、域名、操作系统、版本、内部版本号、物理内存、处理器类型、处理器速度、处理器个数、数学协处理器、总线类型、BIOS 日期、服务、共享、软件等。l 自定义资产统计：可以用户输入自定义的信息，包括所有人、使用人、部门、序列号、资产标签、位置等。 l 资产查询统计：通过组合查询，用列表列出硬件的各种信息、软件的各种信息、自定义信息等；组合查询可以基于硬件、操作系统、部门、存储容量、资产价值等多种关键字进行。l 软件授权管理：通过自动的分析已安装软件和授权登记表中的信息相比对，统计非授权软件的使用并告警，或者重新调整软件授权，节省整体费用。l 预定义报表：包括外设一览表、IP 地址一览表、子网中的计算机、处理器分布、特定硬盘大小的计算机、显存一览表、可升级计算机列表、按软件供应商列出的计算机安装情况、操作系统一览表、防病毒程序一览表等。l 日志管理：系统提供强大的日志管理功能，可以记录系统的每一步操作和每一步的状态，同时提供多种方式的日志检索分析功能便于用户查询分析。附:产品及服务报价序号产品型号产品描述数量单价 (RMB)H3C SecPath UTM系列安全产品1NS-SecPath U200-A-ACH3C SecPath U200-A 统一威胁管理设备主机,交流电源,国内版145,600.002LIS-U200A-AV-1YH3C SecPath U200-A AV特征库升级服务-1