医院网络安全防护技术方案

1、1.1网络平安方案1.1.1,网络现状及平安需求网络现状分析由于XXX市医院网络平安防护等级低,存在病毒、非法外联、越权访问、被植入木 马等各种平安问题.网络平安需求分析通过前述的网络系统现状和平安风险分析,目前在网络平安所面临着几大问题主要集 中在如下几点：来自互连网的黑客攻击来自互联网的恶意软件攻击和恶意扫描来自互联网的病毒攻击来自内部网络的P2P下载占用带宽问题来自内部应用效劳器压力和物理故障问题、来自内部网络整理设备监控治理问题来自数据存储保护的压力和数据平安治理问题来自内部数据库高级信息如何监控审计问题来自内部客户端桌面行为混乱无法有效治理带来的平安问题来自机房物理设备性能无法有效监

2、控导致物理设备平安的问题1.1.2.总体平安策略分析为保证xxXt医院网络系统信息平安,降低系统和外界对内网数据的平安威胁, 根据 需求分析结果针对性制定总体平安策略：在网关处部署防火墙来保证网关的平安,抵御黑客攻击在网络主干链路上部署ips来保证内部网络平安,分析和限制来自互连网的恶意 入侵和扫描攻击行为.在网络主干链路上部署防毒墙来过滤来自互联网的病毒、木马等威胁在网络主干链路上部署上网行为治理设备来限制内部计算机上网行为,标准P2P下载等一些上网行为.在应用区域部署负载均衡设备来解决效劳器压力和单台物理故障问题在网络内部部署网络运维产品,对网络上所有设备进行有效的监控和治理.在效劳器前面

3、部署网闸隔离设备,保证访问效劳器数据流的平安性 在效劳器区域部署存储设备,提供数据保护水平以及平安存储和治理水平 部署容灾网关,提供给用系统和数据系统容灾解决方法,抵御灾难事件带来的应 用宕机风险.部署数据库审计系统,实时监测数据库操作和访问信息,做到实时监控.部署内网平安治理软件系统,对客户端进行有效的平安治理部署机房监控系统,对机房整体物理性能做到实时监控,及时了解和排除物理性 能的平安隐患., 平安拓扑, 防火墙访问限制Internet与效劳器区域存在网络连接,必须明确边界,实施边界防护限制.而部署防 火墙产品是实施边界防护限制最为简洁而又有效的方式.由于效劳

4、器区域的平安等级高 于Internet网络,因此Internet网络与效劳器区域之间的平安防护设备应部署在效劳器区域 一侧.Internet网络作为防火墙的不可信网络、效劳器平安域放到防火墙DMZ区、网医院内部网络作为可信任网络；严格限定Internet网络对DMZ区所开放的效劳访问的源、目的地址和效劳类型； 严格限定DMZ区对网管网的访问的源、目的地址和效劳类型；严格限制Internet网络对医院内网的直接访问., 病毒防护针对防病毒危害性极大并且传播极为迅速,必须配备从效劳器到单机的整套防病毒 软件,预防病毒入侵主机并扩散到全网,实现全网的病毒平安防护.并且由于新病毒的 出现

5、比拟快,所以要求防病毒系统的病毒代码库的更新周期必须比拟短.针对信息系统的具体情况,我们建议在Internet网络与医院内网之间安装防病毒网关 防范病毒,检查所有通过的网络数据包,防范通过 SMTP、FTP、HTTP、POP3 IMAP、 NNTP等多种协议传播的病毒.对于主机,那么采用统一治理,分组部署的治理模式., 入侵检测系统在许多人看来,有了防火墙,网络就平安了,就可以高枕无忧了.其实,这是一种错误的熟悉,防火墙是实现网络平安最根本、最经济、最有效的举措之一.防火墙可以 对所有的访问进行严格限制允许、禁止、报警.但它是静态的,而网络平安是动态 的、整体的,黑客的攻击方法有

6、无数,防火墙不是万能的,不可能完全预防这些有意或 无意的攻击.必须配备入侵检测系统,对透过防火墙的攻击进行检测并做相应反响记 录、报警、阻断.入侵检测系统和防火墙配合使用,这样可以实现多重防护,构成一 个整体的、完善的网络平安保护系统., 上网行为治理根据一定的平安策略,利用记录、系统活动和用户活动等信息,检查、审查和检验 操作事件的环境及活动,帮助用户更好地驾驭和使用互联网.全面细致地帮助用户实现 上网行为治理、内容平安治理、带宽分配治理、网络应用治理、外发信息治理,有效解 决互联网带来的治理、平安、效率、资源、法律等问题.1.1.3,整体平安解决方案通过对XXX医院整体网络结

7、构深入、全面的分析,提出XXX医院网络平安优化方案., 防火墙部署防火墙部署描述如下：防火墙选择四个网络端口；一个Untrust口连接 Internet网络；一个Trust 口连接医院内网络；一个DMZ 口连接开放效劳域；一个口备用；策略默认配置为全禁止；Internet网络相关IP可以访问DMZ相应IP的相应效劳端口 ；Internet网络访问医院内网全禁止；DMZ相应IP可以访问医院内网相应IP的相应效劳端口., 病毒防护策略设定为SMTP、FTP、HTTP、POP3 IMAP、NNTP协议病毒分析；病毒处理方式为删除、隔离等方式；自动在线病毒码更新,更新方式可

8、以通过办公机设定更新代理方式实现；统一升级,留有备份；紧急处理举措和对新病毒的响应方式., 入侵检测系统部署实时监控系统事件和传输的网络数据,并对可疑的行为进行自动监测和平安响应,使用户的系统在受到危害之前即可截取并终止非法入侵的行为和内部网络的 误用,从而最大程度地降低平安风险,保护企业网络的系统平安.监控探头部署在防火墙DMZ区的交换机上,通过端口流量映射的方式旁听出入的 网络数据包；策略配置可以设定放行、报警、阻断、封堵等处理策略,对于 Port Scan 口令猜 测、缓冲溢出、特定URL攻击等明显的攻击行为可采用阻断连接session勺方式防 止攻击,严格的策略可以封堵相应的来源IP地址,禁止该地址的所有访问., 上网行为治理器上网行为治理器部署在医院内网核心交换机的上层,通过策略对网页过滤,屏蔽员 工对非法网站的访问；基于时间、用户、应用精细治理限制,管控工作人员工在上班时 问