市医院网络安全防护技术方案

1、1.1 网络安全方案1.1.1. 网络现状及安全需求网络现状分析由于xxx市医院网络安全防护等级低，存在病毒、非法外联、越权访问、被植入木 马等各种安全问题。网络安全需求分析通过前述的网络系统现状和安全风险分析，目前在网络安全所面临着几大问题主要集 中在如下几点：llllllllll来自互连网的黑客攻击来自互联网的恶意软件攻击和恶意扫描来自互联网的病毒攻击来自内部网络的 p2p 下载占用带宽问题来自内部应用服务器压力和物理故障问题、来自内部网络整理设备监控管理问题来自数据存储保护的压力和数据安全管理问题来自内部数据库高级信息如何监控审计问题来自内部客户端桌面行为混乱无法有效管理带来的安全问题

2、来自机房物理设备性能无法有效监控导致物理设备安全的问题1.1.2. 总体安全策略分析为确保xxx市医院网络系统信息安全，降低系统和外界对内网数据的安全威胁，根据 需求分析结果针对性制定总体安全策略：lllll在网关处部署防火墙来保证网关的安全，抵御黑客攻击在网络主干链路上部署 ips 来保证内部网络安全，分析和控制来自互连网的恶意 入侵和扫描攻击行为。在网络主干链路上部署防毒墙来过滤来自互联网的病毒、木马等威胁在网络主干链路上部署上网行为管理设备来控制内部计算机上网行为，规范 p2p 下载等一些上网行为。在应用区域部署负载均衡设备来解决服务器压力和单台物理故障问题lllllll在网络内部部署网

3、络运维产品，对网络上所有设备进行有效的监控和管理。 在服务器前面部署网闸隔离设备，保证访问服务器数据流的安全性在服务器区域部署存储设备，提供数据保护能力以及安全存储和管理能力 部署容灾网关，提供应用系统和数据系统容灾解决办法，抵御灾难事件带来的应 用宕机风险。部署数据库审计系统，实时监测数据库操作和访问信息，做到实时监控。 部署内网安全管理软件系统，对客户端进行有效的安全管理部署机房监控系统，对机房整体物理性能做到实时监控，及时了解和排除物理性 能的安全隐患。..安全拓扑 防火墙访问控制internet与服务器区域存在网络连接，必须明确边界，实施边界防护控制。而部署

4、防 火墙产品是实施边界防护控制最为简洁而又有效的方式。由于服务器区域的安全等级高 于internet网络，因此internet网络与服务器区域之间的安全防护设备应部署在服务器区域 一侧。llll.internet网络作为防火墙的不可信网络、服务器安全域放到防火墙dmz区、网医 院内部网络作为可信任网络；严格限定internet网络对dmz区所开放的服务访问的源、目的地址和服务类型； 严格限定dmz区对网管网的访问的源、目的地址和服务类型；严格控制internet网络对医院内网的直接访问。病毒防护针对防病毒危害性极大并且传播极为迅速，必须配备从服务器到单机的整套防病毒 软件，防止病

5、毒入侵主机并扩散到全网，实现全网的病毒安全防护。并且由于新病毒的 出现比较快，所以要求防病毒系统的病毒代码库的更新周期必须比较短。针对信息系统的具体情况，我们建议在internet网络与医院内网之间安装防病毒网关 防范病毒，检查所有通过的网络数据包，防范通过smtp、 ftp、http 、pop3、imap、 nntp等多种协议传播的病毒。对于主机，则采用统一管理，分组部署的管理模式。.入侵检测系统在许多人看来，有了防火墙，网络就安全了，就可以高枕无忧了。其实，这是一种错误的认识，防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以 对所有的访问进行严格控制（允许、禁

6、止、报警）。但它是静态的，而网络安全是动态 的、整体的，黑客的攻击方法有无数，防火墙不是万能的，不可能完全防止这些有意或 无意的攻击。必须配备入侵检测系统，对透过防火墙的攻击进行检测并做相应反应（记 录、报警、阻断）。入侵检测系统和防火墙配合使用，这样可以实现多重防护，构成一 个整体的、完善的网络安全保护系统。.上网行为管理按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和检验 操作事件的环境及活动，帮助用户更好地驾驭和使用互联网。全面细致地帮助用户实现 上网行为管理、内容安全管理、带宽分配管理、网络应用管理、外发信息管理，有效解 决互联网带来的管理、安全、效率

7、、资源、法律等问题。1.1.3. 整体安全解决方案通过对xxx医院整体网络结构深入、全面的分析，提出xxx医院网络安全优化方案。.防火墙部署防火墙部署描述如下：l 防火墙选择四个网络端口；l 一个untrust口连接 internet网络；l 一个trust口连接医院内网络；l 一个dmz口连接开放服务域；l 一个口备用；l 策略默认配置为全禁止；l internet网络相关ip可以访问dmz相应 ip的相应服务端口； l internet网络访问医院内网全禁止；ldmz相应 ip可以访问医院内网相应ip的相应服务端口。.病毒防护l 策略设定为smtp、 ftp、h

8、ttp、 pop3、 imap、nntp协议病毒分析； l 病毒处理方式为删除、隔离等方式；l自动在线病毒码更新，更新方式可以通过办公机设定更新代理方式实现；l 统一升级，留有备份；l 紧急处理措施和对新病毒的响应方式。.入侵检测系统部署实时监控系统事件和传输的网络 数据，并对可疑的行为进行自动监测和安全响应，使用户的系统在受到危害之前即可截取并终止非法入侵的行为和内部网络的 误用，从而最大程度地降低安全风险，保护企业网络的系统安全。l 监控探头部署在防火墙dmz区的交换机上，通过端口流量映射的方式旁听出入的 网络数据包；l 策略配置可以设定放行、报警、阻断、封堵等处理策略，对于port scan、口令猜 测、缓冲溢出、特定url攻击等明显的攻击行为可采用阻断连接session的方式防 止攻击，严格的策略可以封堵相应的来源ip地址，禁止该地址的所有访问。.上网行为管理器上网行为管理器部署在医院内网核心交换机的上层，通过策略对网页过滤，屏蔽员 工对非法网站的访问；基于时间、用户、应用精细管理控制，管控工作人员工在上班