- 1、本文档共8页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
.
.
.
1.1 网络安全方案
网络现状及安全需求
网络现状分析
由于XXX市医院网络安全防护等级低,存在病毒、非法外联、越权访问、被植入木马等各种安全问题。
网络安全需求分析
通过前述的网络系统现状和安全风险分析, 目前在网络安全所面临着几大问题主要集中在如下几点:
来自互连网的黑客攻击
来自互联网的恶意软件攻击和恶意扫描来自互联网的病毒攻击
来自部网络的 P2P 下载占用带宽问题
来自部应用服务器压力和物理故障问题、来自部网络整理设备监控管理问题
来自数据存储保护的压力和数据安全管理问题
来自部数据库高级信息如何监控审计问题
来自部客户端桌面行为混乱无法有效管理带来的安全问题
来自机房物理设备性能无法有效监控导致物理设备安全的问题
.
.
Word
Word 专业资料
总体安全策略分析
为确保XXX市医院网络系统信息安全,降低系统和外界对网数据的安全威胁, 根据需求分析结果针对性制定总体安全策略:
在网关处部署防火墙来保证网关的安全,抵御黑客攻击
在网络主干链路上部署 IPS 来保证部网络安全,分析和控制来自互连网的恶意入侵和扫描攻击行为。
在网络主干链路上部署防毒墙来过滤来自互联网的病毒、木马等威胁
在网络主干链路上部署上网行为管理设备来控制部计算机上网行为,规 P2P
下载等一些上网行为。
在应用区域部署负载均衡设备来解决服务器压力和单台物理故障问题
在网络部部署网络运维产品,对网络上所有设备进行有效的监控和管理。在服务器前面部署网闸隔离设备,保证访问服务器数据流的安全性
在服务器区域部署存储设备,提供数据保护能力以及安全存储和管理能力
部署容灾网关,提供应用系统和数据系统容灾解决办法,抵御灾难事件带来的应用宕机风险。
部署数据库审计系统,实时监测数据库操作和访问信息,做到实时监控。
部署网安全管理软件系统,对客户端进行有效的安全管理
部署机房监控系统,对机房整体物理性能做到实时监控,及时了解和排除物理性能的安全隐患。
安全拓扑
防火墙访问控制
Internet 与服务器区域存在网络连接, 必须明确边界, 实施边界防护控制。 而部署防火墙产品是实施边界防护控制最为简洁而又有效的方式。 由于服务器区域的安全等级高于 Internet 网络,因此 Internet 网络与服务器区域之间的安全防护设备应部署 在服务器区域一侧。
Internet 网络作为防火墙的不可信网络、 服务器安全域放到防火墙 DMZ 区 、网医院部网络作为可信任网络;
严格限定 Internet 网络对 DMZ 区所开放的服务访问的源、目的地址和服务
类型;
严格限定 DMZ 区对网管网的访问的源、目的地址和服务类型; 严格控制 Internet 网络对医院网的直接访问。
病毒防护
针对防病毒危害性极大并且传播极为迅速,必须配备从服务器到单机的整套防
病毒软件, 防止病毒入侵主机并扩散到全网, 实现全网的病毒安全防护。 并且由于新病毒的出现比较快,所以要求防病毒系统的病毒代码库的更新周期必须比较短。
针对信息系统的具体情况, 我们建议在 Internet 网络与医院网之间安装防病毒网
关防病毒,检查所有通过的网络数据包, 防通过SMTP 、 FTP、HTTP 、POP3 、IMAP 、
NNTP 等多种协议传播的病毒。对于主机,则采用统一管理,分组部署的管理模式。
入侵检测系统
在许多人看来,有了防火墙,网络就安全了,就可以高枕无忧了。其实,这是 一种错误的认识,防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火 墙可以对所有的访问进行严格控制(允许、禁止、报警)。但它是静态的,而网络安 全是动态的、整体的,黑客的攻击方法有无数,防火墙不是万能的,不可能完全防止 这些有意或无意的攻击。 必须配备入侵检测系统, 对透过防火墙的攻击进行检测并做相应反应(记录、报警、阻断)。入侵检测系统和防火墙配合使用,这样可以实现多 重防护,构成一个整体的、完善的网络安全保护系统。
上网行为管理
按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和
检验操作事件的环境及活动, 帮助用户更好地驾驭和使用互联网。 全面细致地帮助用户实现上网行为管理、容安全管理、带宽分配管理、网络应用管理、外发信息管理, 有效解决互联网带来的管理、安全、效率、资源、法律等问题。
整体安全解决方案
通过对XXX医院整体网络结构深入、全面的分析,提出 XXX医院网络安全优化方案。
防火墙部署
防火墙部署描述如下:
防火墙选择四个网络端口;
一个Untrust 口连接Internet 网络; 一个Trust 口连接医院网络;
一个DMZ 口连接开放服务域; 一个口备用;
策略默认配置为全禁止;
Internet 网络相关 IP可以访问 DMZ 相应IP的相应服
文档评论(0)