常州市妇幼保健医院网络安全解决方案.doc

常州市妇幼保健医院内网安全解决方案 随着医院信息化的高速成长，各种业务应用越来越紧密地与网络融合在一起。网络安全已经成为我们不得不面对和解决的重要问题。 有鉴于常州妇幼保健医院的网络安全现状，我们提出以下解决方案，供院方参考： 分析院方网络安全状况，主要表现在两个方面： 一是网络出口安全得不到控制。目前网络出口缺乏深层安全检测设备，无法对进出院方网络的数据进行有效控制，直接导致计算机病毒、黑客代码、木马程序的无阻碍流入，也导致无法对出口带宽的滥用情况加以监控和限制。 二是内部网络无法做到有效的安全管理。移动存储设备的使用造成的病毒传播，内部人员滥用P2P软件，造成网络带宽被占用，导致工作效率下降等等。 因此，我们建议选用H3C UTM(统一威胁管理产品)部署在网络出口，以实现网络的主动安全防御。在网络内部部署联想网御Leadsec-ISM(内网安全管理系统)以实现对网络的主动管理。 H3C UTM(统一威胁管理产品)主要功能如下： 完善的防火墙功能： 提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表（ACL）和攻击防范等基本功能，还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、CC、SYN flood、地址扫描和端口扫描等多种恶意攻击。 丰富的VPN特性： 支持L2TP VPN、GRE VPN、IPSec VPN等远程安全接入方式，同时设备集成硬件加密引擎实现高性能的VPN处理。 实时的病毒防护： 采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。 实时的垃圾邮件防护： 可以拦截垃圾邮件，净化邮件系统，解决垃圾邮件对正常工作的干扰问题。 先进的URL过滤： 实现基于用户的URL访问控制，防止因浏览恶意或未授权的网站(如网络钓鱼攻击网站)而带来的安全威胁。 全面的流量管理： 能精确检测BitTorrent、Thunder（迅雷）、QQ等P2P/IM应用，提供告警、限速、干扰或阻断等多种方式，保障网络核心业务正常应用。 细致的行为审计： 可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录，实现细粒度的网络行为审计管理。 NAT应用： 提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。 电信级设备高可靠性 采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户，经历了多年的市场考验。 支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份。 36年的平均无故障时间(MTBF) 智能图形化的管理 简单易用的Web UI管理 联想网御内网安全管理系统产品主要功能如下： 桌面安全管理 上网控制 可以记录所有计算机各项应用运行的情况以及浏览互联网的情况，并能产生统计图表让用户查看用户的使用情况，可以阻止计算机运行某些指定的应用程序或浏览指定的网站。 实时监视计算机 透过系统的协助，管理人员可随时监控员工在计算机上所进行的活动，并可作出实时响应，还可以监控和记录屏幕。 网络连接与流量管理 监控网络接口的连接状态，根据策略可禁止以下违规事件 拨号设备和虚拟拨号网络的连接 非法网络接口连接 私自修改IP、伪造MAC、 网络流量管理 客户机发生异常流量时进行告警，达到一定阈值进行阻断。 程序与进程管理禁用 通过对员工的应用程序管理，防止员工利用上班时间做不相干的工作，停止一些windows进程，可以有效的防止病毒入侵，提高终端的工作效率。 自动检测某些程序或进程的运行状态，根据既定的安全策略予以关闭。 保证某些关键进程不被用户自行中止，一直处于运行状态 某些进程可以对用户隐藏，不可见。 运行统计 生成管理人员所关心的用户各项应用程序以及浏览的网站的统计报告，以供对工作人员的工作情况进行评估。 数据压缩归挡. 优化的数据压缩算法确保了资料的高效存取。经授权的用户可以在需要时利用系统的查看功能对特定的计算机在特定的时间段的历史信息进行查阅。 传输加密 客户机与服务器之间的数据传输利用DES算法进行加密。这种加密的处理让系统有足够的能力保护资料和防止非法资料截获。 系统认证功能 通过系统独特的服务器、代理及控制台之间的认证功能，客户机的代理只向经过认证的服务器响应，从而有效防止非法服务器窃取系统资料。 远程管理 系统允许用户通过互联网的方式连接到异地的局域网中，实时管理和查看异地的计算机使用。 友好的用户接口： 既有强大的监视和数据管理功能