xxx医院网络安全解决方案V2【参考】.doc

XXX医院 网络安全解决方案 建议书 二零一三年三月 目录 目录 2 1.概述 1 1.1前言 1 1.2 项目概述 1 1.3设计参考标准 1 2系统分析 2 2.1 江苏省xxx医院应用系统分析 2 2.1.1江苏省xxx医院网络结构 3 2.1.2 江苏省xxx医院应用系统说明 3 2.1.3 江苏省xxx医院目前部署设备说明 4 2.1.4 内部网络拓扑图 4 2.1.5网络安全现状 5 2.2 威胁分析 5 3 需求分析 6 3.1功能需求 6 3.2管理需求 7 3.3服务需求 7 4 省xxx医院网络安全解决方案 8 4.1边界安全解决方案 8 4.1.1防火墙+IPS联动解决方案 8 4.1.2 UTM统一一体化安全网关解决方案 11 4.1.3 WEB应用安全解决方案 13 4.2内部网络安全解决方案 15 4.2.1数据库审计和运维安全运维审计解决方案 15 数据库审计解决方案 15 安全运维审计解决方案 17 4.2.2入侵检测解决方案 23 4.2.3 桌面终端安全管理解决方案 24 4.2.4安全管理平台解决方案 25 5 安全建设最终目标 27 5.1 网络改造后的拓扑图 27 5.2边界安全设备详细部署说明 29 5.3数据库审计与安全运维设备详细部署说明 30 5.4入侵检测设备详细部署说明 31 5.5 桌面终端设备详细部署说明 31 5.6安全管理平台详细部署说明 32 6投入说明 33 1.概述 1.1前言 随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，网络正逐步改变着人类的生活和工作方式。越来越多的建立了依赖于网络的业务信息系统，对产生了巨大深远的影响， 江苏省xxx医院做为江苏省规模较大、技术力量雄厚、医疗设备先进、学术水平较高，融医、教、研、防于一体的现代化综合性医院，医院的大部分业务是基于信息化实现，其网络的稳定运行与否，直接影响医院的运营。 为保证网络的安全、可靠、稳定的运行，目前省xxx医院已经按照国家对信息安全的相关要求，完成了等级保护相关测评工作。为了给江苏省xxx医院提供更加稳定的网络环境，我们应当正视差距分析报告中罗列的各种安全风险，对网络威胁给予充分的重视。我们将根据目前的安全现状并结合当前的安全形势为江苏省xxx医院提供一个完整的安全改进方案。 1.2 项目概述 为了提高江苏省xxx医院网络的稳定性，针对现有的网络环境，通过加入相应的安全设备，建议在信息系统正常运转的前提下，力求达到提高整网的安全性能提高。 通过改造，实现对于网络攻击和病毒进行必要的防御，对应用服务的访问权限进行限制，对来自医保网络或者内部网络的攻击进行实时防护，有利于震慑不法分子的违法犯罪行为，保障江苏省xxx医院应用系统的正常运营。 1.3设计参考标准 GB17859-1999 计算机信息系统安全保护等级划分准则 公通字 [2007]43号关于印发《信息安全等级保护管理办法》的通知 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T XXXXX-200x信息安全技术 信息系统等级保护安全设计技术要求 GB/T XXXXX-200x信息安全技术 信息系统安全等级保护测评要求 GB/T XXXXX-200x信息安全技术 信息系统安全等级保护测评过程指南 GB/T 20269-2006 信息安全技术 信息系统安全管理要求 GB/T 20270-2006 信息安全技术 网络基础安全技术要求 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求 GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求 GB/T 21028-2007 信息安全技术 服务器安全技术要求 GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求 2.1 江苏省xxx医院应用系统分析 针对江苏省xxx医院的网络结构的分析，应当在现有网络基础上，根据国家有关信息网络安全系统建设法律法规和标准规范，以及系统对安全性设计的具体要求，并结合当前信息安全技术的发展水平，针对可能存在的安全漏洞和安全需求，在不同层次上提出安全级别要求，制定相应的安全策略，设计一套科学合理、多层次、分布式、并且融合技术和管理的安全体系，采用合理、先进的技术实施安全工程，加强安全管理，保证江苏省xxx医院信息系统的安全性。根据对江苏省xxx医院信息系统的了解，对其应用系统现状简要说明如下： 2.1.1江苏省xxx医院网络结构 从目前我院的全局网络结构