苏北人民医院信息安全等级保护之数据中心安全规划设计.docVIP

　　苏北人民医院信息安全等级保护之数据中心安全规划设计 摘要：为贯彻落实国家信息安全等级保护制度，提升医院信息安全，我院进行了信息安全等级保护定级备案和差距测评工作，该文结合我院测评结果进行需求分析，对数据中心安全方案进行了整体规划设计。 中国 8/vie 　　关键词：信息安全等级保护；定级备案；差距测评；SQL注入；DDoS 　　中图分类号：TP393 文献标识码：A ：1009-3044（2017）06-0061-02 　　1 项目背景 　　依据《关于信息安全等级保护工作的实施意见》和《信息系统等级保护安全设计技术要求》等国家政策与标准规范，我院按要求积极开展信息安全等级保护工作，并根据定级备案和差距测评结果进行建设整改。 　　2 需求分析 　　? 本次数据中心安全项目将依据三级等保标准进行统一规划和设计。 　　? 针对外联区域，使用高性能的防火墙替换现有的防火墙。 　　? 针对服务器区域，整体考虑服务器区域安全访问控制，应用层攻击，web应用安全，虚拟化服务器安全等。 　　? 针对终端接入区域，要考虑终端准入和管理，防病毒等。 　　? 针对外网接入区域，本次考虑替换超期服役安全设备，以满足当前业务安全需求。 　　? 针对数据中心统一运维，要对医院网络、安全、计算、存储等设备进行统一入口管理以及安全审计，同时实现整个数据中心网络设备监控和运维。 　　? 整个规划要满足3到5年业务发展要求。 　　? 软硬件设备要稳定可靠。 　　3 数据中心安全方案整体规划设计 　　苏北人民医院数据中心安全方案依据等级保护三级规划设计，通过完善数据中心服务器区域、外联区域、终端接入区域，外网接入区域，统一运维规划，五个组成部分的安全规划，满足业务系统今后的安全访问。 　　3.1 服务器区域安全设计 　　服务器区域主要面临非法的业务访问，黑客攻击行为，WEB应用SQL注入，跨站攻击等恶意访问，另外云平台的安全访问和病毒入侵等等风险。针对这些的问题，我们采用下述方案解决该区域面临的风险。 　　1） 旁路部署2台数据中心防火墙，同时开启IPS功能，实现服务器区域各个应用系统的安全访问，通过IPS功能实现应用层安全防护。 　　2） 旁路部署2台服务器负载均衡设备，实现应用服务器负载均衡。 　　3） 在web服务器前端透明部署1台web应用防火墙，实现web服务器应用层防护，可以防止SQL注入， 跨站攻击等恶意访问。 　　4） 在服务器区域与外网之间部署两台安全隔离网闸，实现内外网文件安全交换和访问。 　　5） 针对物理机服务器部署1套网络版杀毒软件，实现物理服务器防病毒。 　　6） 在云平台上部署1套虚拟化版本防病毒软件，实现虚拟机防病毒。 　　7） 在云平台上部署1套虚拟化版本分布式防火墙软件，实现云平台流量可视化以及虚拟机之间安全隔离和管控。 　　3.2 外联区域安全设计 　　业务内网边界区域面临多业务链路接入和访问，业务非法访问等安全风险。针对这些问题，我们采用下述方案解决该区域面临的风险。 　　1） 部署2台边界防火墙做HA，实现医保，农合，洪泉医院，扬州二院等出口的安全访问控制。 　　2） 部署2台IPS，防止通过业务内网出口进行恶意攻击及入侵检测。 　　3.3 外网区域安全设计 　　1） 在出口部署2台链路负载均衡设备，同时开启防DDoS，可以实现多条电信线路outbound、inbound方向链路负载均衡及清洗异常攻击流量。 　　2） 串接部署2台边界防火墙，同时透明部署2台IPS设备，解决非法业务访问及应用层攻击。 　　3） 桥接部署1台上网行为管理设备，规范用户上网行为。该设备带2组bypass端口，即使设备断电或出现故障也不影响访问。 　　4） 部署1台SSL VPN设备，满足移动办公用户远程安全接入。 　　5） 在服务器区域与外网之间部署两台隔离网闸，实现内外网安全访问。 　　3.4 终端接入区域安全设计 　　终端接入区域有大量各种终端接入，该区域风险主要有病毒入侵，终端非法接入以及终端安全管理等，针对这些的问题，我们采用下述方案解决该区域面临的风险。 　　1） 部署1一套网络版杀毒软件，在每个终端安装客户端，实现终端防病毒。 　　2） 部署终端安全管理系统，包括终端准入控制，桌面管理、主机监控审计、上网行为控制与监控、补丁管理、远程协助、移动存储介质管理等11个主要功能，实现终端安全管理。 　　3.5 网络运维规划 　　目前网络运维面临安全设备管理，共享账号问题、非法访问、操作审计问题；网络设备运维和监控，信息安全事件孤岛、海量安全日志、安全趋势分析不全面以及数据库非法访问，操作审计问题。针对这些问题，我们采用下述方案解决网络运维面临的风险。