某市医院网络安全防护技术方案.pdf

. 1.1 网络安全方案 1.1.1. 网络现状及安全需求 网络现状分析 由于XXX 市医院网络安全防护等级低，存在病毒、非法外联、越权访问、被植 入木马等各种安全问题。 网络安全需求分析 通过前述的网络系统现状和安全风险分析， 目前在网络安全所面临着几大问题主 要集中在如下几点： 来自互连网的黑客攻击 来自互联网的恶意软件攻击和恶意扫描 来自互联网的病毒攻击 来自内部网络的 P2P 下载占用带宽问题 来自内部应用服务器压力和物理故障问题、 来自内部网络整理设备监控管理问题 来自数据存储保护的压力和数据安全管理问题 来自内部数据库高级信息如何监控审计问题 来自内部客户端桌面行为混乱无法有效管理带来的安全问题 来自机房物理设备性能无法有效监控导致物理设备安全的问题 . . 1.1.2. 总体安全策略分析 为确保 XXX 市医院网络系统信息安全，降低系统和外界对内网数据的安全威胁， 根据需求分析结果针对性制定总体安全策略： 在网关处部署防火墙来保证网关的安全，抵御黑客攻击 在网络主干链路上部署 IPS 来保证内部网络安全，分析和控制来自互连网的 恶意入侵和扫描攻击行为。 在网络主干链路上部署防毒墙来过滤来自互联网的病毒、木马等威胁 在网络主干链路上部署上网行为管理设备来控制内部计算机上网行为，规范 P2P 下载等一些上网行为。 在应用区域部署负载均衡设备来解决服务器压力和单台物理故障问题 在网络内部部署网络运维产品，对网络上所有设备进行有效的监控和管理。 在服务器前面部署网闸隔离设备，保证访问服务器数据流的安全性 在服务器区域部署存储设备，提供数据保护能力以及安全存储和管理能力 部署容灾网关，提供应用系统和数据系统容灾解决办法，抵御灾难事件带来 的应用宕机风险。 部署数据库审计系统，实时监测数据库操作和访问信息，做到实时监控。 部署内网安全管理软件系统，对客户端进行有效的安全管理 部署机房监控系统，对机房整体物理性能做到实时监控，及时了解和排除物 理性能的安全隐患。 Word 专业资料 . . 安全拓扑 . 防火墙访问控制 Internet 与服务器区域存在网络连接， 必须明确边界， 实施边界防护控制。 而部 署防火墙产品是实施边界防护控制最为简洁而又有效的方式。 由于服务器区域的安全 等级高于 Internet 网络，因此 Internet 网络与服务器区域之间的安全防护设备应部署 在服务器区域一侧。 Internet 网络作为防火墙的不可信网络、 服务器安全域放到防火墙 DMZ 区、 网医院内部网络作为可信任网络； 严格限定 Internet 网络对 DMZ 区所开放的服务访问的源、目的地址和服务 Word 专业资料 . 类型； 严格限定 DMZ 区对网管网的访问的源、目的地址和服务类型； 严格控制 Internet 网络对医院内网的直接访问。 . 病毒防护 针对防病毒危害性极大并且传播极为迅速，必须配备从服务器到单机的整套防 病毒软件， 防止病毒入侵主机并扩散到全网， 实现全网的病毒安全防护。 并且由于新 病毒的出