某医院的网络安全建设情况.docxVIP

某医院内外网络安全建设方案参考网络建设三点：一、互联网出口上一台行为管理，实现对上网用户做：身份认证、应用控制、流量控制、上网行为审计。二、医院内外网之间用一台下一代应用层防火墙做安全域的隔离，实现两个不同安全级别的网络的隔离，以及边界流量IPS入侵防护、waf服务器防护等效果。三、参考其医保等对数据安全性要求比较高的业务用SSL VPN做加密和接入认证等。解决方案说明XX医院主要分内网和外网两个部分，但是目前运行也并非真正的物理隔离，采用逻辑隔离的方式；解决方案主要以实用、满足用户现阶段网络安全建设目标为基本需求，解决方案分为如下几大区域考虑：互联网接入区域图1 互联网接入区域拓扑互联网区域目前有多链路，因为国内跨运营商问题较大，容易造成用户访问体验不佳，两条线路流量不均衡。通过链路负载均衡器，实现用户最快访问业务系统，目前在大中型对外业务系统中，均会采用多链路负载均衡发布业务。另外互联网接入区域一般需要做边界隔离、入侵防御、防病毒，这些传统需求通过下一代防火墙一体化安全方案解决。另外互联网边界建议部署行为管理、流量管理、行为审计，实现一方面是业务发布的带宽保证，另外一方面保证办公区域用户访问互联网时造成出口拥堵、行为无法管控、无法审计的安全风险。外网业务系统区域图2 外网业务系统区域拓扑图外网业务系统边界部署通过互联网边界防火墙隔离，开启IPS、WAF、网页防篡改模块，实现对外发布的业务防入侵、Web安全防护、防止网页篡改，保证业务系统可靠运行，同时实现区域隔离，保证该区域属于高安全级别的区域。另外外网业务区域通过内外网边界防火墙与内网进行数据交换和安全隔离。内网业务系统区域图4 内网业务系统区域拓扑图内网业务系统区域边界部署下一代防火墙，开通IPS、waf，实现内网HIS、PACS等业务的一体化安全防护，同时进行隔离该区域。另外在内网业务系统区域建议部署负载均衡器实现业务的负载分担和灵动架构。另外作为高安全要求业务系统区域，建议通过备份系统将重要业务系统进行备份。内网外联区域图6 内网外联区域拓扑图在内网外联区域和内网核心交换直接部署下一代防火墙实现边界的安全隔离，以及入侵防御、防病毒、流量管理，通过统一的安全边界方案，实现边界安全，同时与防火墙连接银行、医保等第三方外联等，每个区域互相隔离。实现内网外联区域的安全隔离。文后寄语：book118是一个专注于电子文档的在线分享平台，用户在此平台上不但可以自由交换文档，还可以分享最新的行业资讯。book118制定了严格的文档审核策略，以保证文档来源的合法性，对有可能引起知识产权纠纷的文档，网站不予收录。同时，道客巴巴采用了行业领先的文档加密及保护技术，最大程度上保证用户上传的文档的版权不被非法侵犯。注册1、会员信息是您在book118网站的身份标识，注册后，您可以浏览文档、在线阅读或下载，建立并管理自己的文档信息库;2、打开网站的首页，点击页面上方的信息条文字【免费注册】，在用户注册页面，输入用户名、密码、电子邮件、验证码，阅读服务协议，并选中同意复选框，最后点击注册按钮;3、也可以在登录页面，点击新用户注册按钮，进入用户注册页面;