1.1网络安全方案1.1.1.网络现状及安全需求 网络现状分析由于XXX市医院网络安全防护等级低,存在病毒、非法外联、越权访问、被植入木马等各种安全问题。网络安全需求分析通过前述的网络系统现状和安全风险分析,目前在网络安全所面临着几大问题主要集中在如下几点:来自互连网的黑客攻击来自互联网的恶意软件攻击和恶意扫描来自互联网的病毒攻击来自内部网络的 P2P 下载占用带宽问题来自内部应用服务器压力和物理故障问题、来自内部网络整理设备监控管理问题来自数据存储保护的压力和数据安全管理问题来自内部数据库高级信息如何监控审计问题来自内部客户端桌面行为混乱无法有效管理带来的安全问题来自机房物理设备性能无法有效监控导致物理设备安全的问题1.1.2.总体安全策略分析为确保XXX市医院网络系统信息安全,降低系统和外界对内网数据的安全威胁,根据需求分析结果针对性制定总体安全策略:在网关处部署防火墙来保证网关的安全,抵御黑客攻击在网络主干链路上部署 IPS 来保证内部网络安全,分析和控制来自互连网的恶意入侵和扫描攻击行为。在网络主干链路上部署防毒墙来过滤来自互联网的病毒、木马等威胁在网络主干链路上部署上网行为管理设备来控制内部计算机上网行为,法律规范 P2P 下载等一些上网行为。在应用区域部署负载均衡设备来解决服务器压力和单台物理故障问题在网络内部部署网络运维产品,对网络上所有设备进行有效的监控和管理。在服务器前面部署网闸隔离设备,保证访问服务器数据流的安全性在服务器区域部署存储设备,提供数据保护能力以及安全存储和管理能力部署容灾网关,提供应用系统和数据系统容灾解决办法,抵御灾难事件带来的应用宕机风险。部署数据库审计系统,实时监测数据库操作和访问信息,做到实时监控。部署内网安全管理软件系统,对客户端进行有效的安全管理部署机房监控系统,对机房整体物理性能做到实时监控,及时了解和排除物理性能的安全隐患。1.1.2.1. 安全拓扑1.1.2.2.防火墙访问控制Internet与服务器区域存在网络连接,必须明确边界,实施边界防护控制。而部署防火墙产品是实施边界防护控制最为简洁而又有效的方式。由于服务器区域的安全等级高于Internet网络,因此Internet网络与服务器区域之间的安全防护设备应部署在服务器区域一侧。Internet网络作为防火墙的不可信网络、服务器安全域放到防火墙DMZ区、网医院内部网络作为可信任网络;严格限定...
