某市医院网络安全防护技术方案

1、1.1 网络安全方案1.1.1.网络现状及安全需求网络现状分析由于 XXX 市医院网络安全防护等级低，存在病毒、非法外联、越权访问、被植入 木马等各种安全问题。网络安全需求分析通过前述的网络系统现状和安全风险分析，目前在网络安全所面临着几大问题主要集中在如下几点：来自互连网的黑客攻击来自互联网的恶意软件攻击和恶意扫描来自互联网的病毒攻击来自部网络的 P2P 下载占用带宽问题来自部应用服务器压力和物理故障问题、来自部网络整理设备监控管理问题来自数据存储保护的压力和数据安全管理问题来自部数据库高级信息如何监控审计问题来自部客户端桌面行为混乱无法有效管理带来的安全问题来自机房物理设备性能无法有效监控

2、导致物理设备安全的问题Word 专业资料1.1.2 总体安全策略分析为确保 XXX 市医院网络系统信息安全，降低系统和外界对网数据的安全威胁，根 据需求分析结果针对性制定总体安全策略：在网关处部署防火墙来保证网关的安全，抵御黑客攻击在网络主干链路上部署 IPS 来保证部网络安全，分析和控制来自互连网的恶 意入侵和扫描攻击行为。在网络主干链路上部署防毒墙来过滤来自互联网的病毒、木马等威胁在网络主干链路上部署上网行为管理设备来控制部计算机上网行为，规P2P下载等一些上网行为。在应用区域部署负载均衡设备来解决服务器压力和单台物理故障问题在网络部部署网络运维产品，对网络上所有设备进行有效的监控和管理。

3、在服务器前面部署网闸隔离设备，保证访问服务器数据流的安全性在服务器区域部署存储设备，提供数据保护能力以及安全存储和管理能力部署容灾网关，提供应用系统和数据系统容灾解决办法，抵御灾难事件带来 的应用宕机风险。部署数据库审计系统，实时监测数据库操作和访问信息，做到实时监控。 部署网安全管理软件系统，对客户端进行有效的安全管理部署机房监控系统，对机房整体物理性能做到实时监控，及时了解和排除物 理性能的安全隐患。.安全拓扑Word 专业资料1.122.防火墙访问控制In ternet 与服务器区域存在网络连接，必须明确边界，实施边界防护控制。而部 署防火墙产品是实施边界防护控制最为简洁而

4、又有效的方式。由于服务器区域的安全等级高于 In ternet 网络，因此 In ternet 网络与服务器区域之间的安全防护设备应部署 在服务器区域一侧。In ternet 网络作为防火墙的不可信网络、服务器安全域放到防火墙DMZ 区、网医院部网络作为可信任网络；严格限定 In ternet网络对 DMZ 区所开放的服务访问的源、 目的地址和服务类 型；严格限定 DMZ 区对网管网的访问的源、 目的地址和服务类型；严格控制 In ternet网络对医院网的直接访问。1.123.病毒防护针对防病毒危害性极大并且传播极为迅速，必须配备从服务器到单机的整套防 病毒软件，防止病毒入侵主机并扩散到全网

5、，实现全网的病毒安全防护。并且由于新 病毒的出现比较快，所以要求防病毒系统的病毒代码库的更新周期必须比较短。针对信息系统的具体情况，我们建议在 In ternet 网络与医院网之间安装防病毒网 关防病毒，检查所有通过的网络数据包，防通过 SMTP、FTP HTTP POP3、IMAP、NNTP 等多种协议传播的病毒。对于主机，则采用统一管理，分组部署的管理模式。Word 专业资料1.124.入侵检测系统在许多人看来，有了防火墙，网络就安全了，就可以高枕无忧了。其实，这是 一种错误的认识，防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火 墙可以对所有的访问进行严格控制（允许、禁止、报警

6、）。但它是静态的，而网络安 全是动态的、整体的，黑客的攻击方法有无数，防火墙不是万能的，不可能完全防止 这些有意或无意的攻击。必须配备入侵检测系统，对透过防火墙的攻击进行检测并做 相应反应（记录、报警、阻断）。入侵检测系统和防火墙配合使用，这样可以实现多 重防护，构成一个整体的、完善的网络安全保护系统。1.125.上网行为管理按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和 检验操作事件的环境及活动，帮助用户更好地驾驭和使用互联网。 全面细致地帮助用 户实现上网行为管理、容安全管理、带宽分配管理、网络应用管理、外发信息管理， 有效解决互联网带来的管理、安全、效率、资源、法律

7、等问题。1.13 整体安全解决方案通过对XXX医院整体网络结构深入、 全面的分析， 提出XXX医院网络安全优化方 案。1.131. 防火墙部署防火墙部署描述如下：防火墙选择四个网络端口；一个 Un trust 口连接 In ternet 网络；一个 Trust 口连接医院网络；一个 DMZ 口连接开放服务域；一个口备用；策略默认配置为全禁止；In ternet 网络相关 IP 可以访问 DMZ 相应 IP 的相应服务端口；In ternet 网络访问医院网全禁止；DMZ 相应 IP 可以访问医院网相应 IP 的相应服务端口。1.1.32病毒防护策略设定为 SMTP、FTP HTTP POP3、

8、IMAP、NNTP 协议病毒分析;病毒处理方式为删除、隔离等方式；自动在线病毒码更新，更新方式可以通过办公机设定更新代理方式实现；Word 专业资料Word 专业资料统一升级，留有备份；紧急处理措施和对新病毒的响应方式。1.133.入侵检测系统部署实时监控系统事件和传输的网络 数据，并对可疑的行为进行自动监测和安 全响应，使用户的系统在受到危害之前即可截取并终止非法入侵的行为和部网 络的误用，从而最大程度地降低安全风险，保护企业网络的系统安全。监控探头部署在防火墙 DMZ 区的交换机上，通过端口流量映射的方式旁听出 入的网络数据包；策略配置可以设定放行、报警、阻断、圭寸堵等处理策略，对于 Port Scan、口 令猜测、缓冲溢出、特定 URL 攻击等明显的攻击行为可采用阻断连接 session 的方式防止攻击，严格的策略可以封堵相应的来源 IP 地址，禁止该地址的所 有访问。1.1.34上网行为管理器上网行为管理器部署在医院网核心交换机的上层，通过策略对网页过滤，屏蔽 员工对非法的访问；基于时间、用户、应用精细管理控制，管控工作人员工在上班时 间玩网络