X医院网络安全解决方案.docx
《X医院网络安全解决方案.docx》由会员分享,可在线阅读,更多相关《X医院网络安全解决方案.docx(10页珍藏版)》请在冰点文库上搜索。
X医院网络安全解决方案
X医院网络安全解决方案
一、背景描述3
二、问题分析3
三、安全规划
43、1安全建议:
43、2安全拓扑:
5
四、产品建议
54、1防火墙产品
54、2入侵防护IPS
64、3防病毒墙
64、4网闸隔离设备
74、5上网行为管理设备
84、6内网安全管理系统
94、7存储设备1
24、8容灾网关1
34、9机房监控系统15
五、产品表单16
一、背景描述随着IT技术发展,医疗领域的IT应用系统孕育而生。
HIS一统天下的格局终将被打破,也正在被打破。
继PACS(医疗影像信息系统)快速发展后,USIS(超声信息系统)、PIS(病理信息系统)、CMS(成本核算系统)、PEIS(体检信息系统)等也在发展,未来在电子病历、社区医疗以及更大范围的健康管理方面,还会催生更多的应用。
然而随着IT技术不断发展,网络出现的问题也越来越多,例如,黑客、病毒、木马、蠕虫、间谍软件等等,为了保证医院各类医疗应用系统和办公应用系统的安全,需要对网络进行有效的安全建设和防护。
二、问题分析目前在网络安全所面临着几大问题主要集中在如下几点:
l来自互连网的黑客攻击l来自互联网的恶意软件攻击和恶意扫描l来自互联网的病毒攻击l来自内部网络的P2P下载占用带宽问题l来自内部应用服务器压力和物理故障问题、l来自内部网络整理设备监控管理问题l来自数据存储保护的压力和数据安全管理问题l来自内部数据库高级信息如何监控审计问题l来自内部客户端桌面行为混乱无法有效管理带来的安全问题l来自机房物理设备性能无法有效监控导致物理设备安全的问题
三、安全规划
3、1安全建议:
结合上述问题分析和医疗行业特性,我们建议如下:
l建议在网关处部署防火墙来保证网关的安全,抵御黑客攻击l建议在网络主干链路上部署IPS来保证内部网络安全,分析和控制来自互连网的恶意入侵和扫描攻击行为。
l建议在网络主干链路上部署防毒墙来过滤来自互联网的病毒、木马等威胁l建议在网络主干链路上部署上网行为管理设备来控制内部计算机上网行为,规范P2P下载等一些上网行为。
l建议在应用区域部署负载均衡设备来解决服务器压力和单台物理故障问题l建议在网络内部部署网络运维产品,对网络上所有设备进行有效的监控和管理。
l建议在服务器前面部署网闸隔离设备,保证访问服务器数据流的安全性l建议在服务器区域部署存储设备,提供数据保护能力以及安全存储和管理能力l建议部署容灾网关,提供应用系统和数据系统容灾解决办法,抵御灾难事件带来的应用宕机风险。
l建议部署数据库审计系统,实时监测数据库操作和访问信息,做到实时监控。
l建议部署内网安全管理软件系统,对客户端进行有效的安全管理l建议部署机房监控系统,对机房整体物理性能做到实时监控,及时了解和排除物理性能的安全隐患。
3、2安全拓扑:
四、产品建议
4、1防火墙产品我们建议部署上海华堂HT-NW-AG04千兆防火墙,HT-NW-AG04系列是华堂网络安全防御系统千兆产品,定位于千兆级的中高端应用,是基于华堂专用操作系统(HTOS),集成了防火墙、防病毒、防垃圾邮件等众多功能在内的一体化安全网关,为大型企业、行业数据中心机构、省级政府部门等大型用户提供了一个可靠的网络安全解决方案。
产品特性:
l卓越的网络适应性HT-NW-AG04系列性能稳定可靠,功能丰富,技术成熟,是一款高稳定、高可靠的安全网关产品。
l主动防御技术HT-NW-AG04突破传统技术的局限,采用以协议识别、数据侦听、异常检测、关联分析等核心技术为基础的华堂主动防御技术,能从川流不息的网络流量中及时、准确地发现潜在威胁,并在其造成危害之前就将其消灭,无需任何手动干预。
l网络准入控制HT-NW-AG04采用最新的网络准入控制技术,构筑以可信代理、策略引擎、端点管理等为核心的可信网络安全体系,拒绝不符合安全策略的设备接入,保护整个网络免受病毒、蠕虫和恶意软件的威胁。
l一体化安全网关HT-NW-AG04集成了状态检测包过滤、DoS/DDoS攻击防范、扫描攻击和蠕虫攻击防范、地址欺骗攻击防范等众多安全功能,有效地保障了用户网络安全
4、2入侵防护IPS
4、3防病毒墙我们建议部署国际防病毒安全厂商Panda(以下简称熊猫安全)安全网关产品GDP9000,熊猫安全是一个全球领先的IT安全解决方案提供商与数百万客户,1990成立于西班牙的毕尔巴鄂,在超过200个国家和23种语言的产品。
我们的使命是开发和供应的全球安全解决方案,以防止病毒,入侵和其他网络威胁造成尽可能以最低的总拥有成本的损害我们客户的IT资源的安全。
熊猫安全提出了新的安全模式,专门设计的,坚决打击网络犯罪的新类型。
这将导致在技术及产品检测和更大的比市场平均效率得分,提供给使用者的安全水平。
熊猫安全网关Performa是可灵活扩展并完全可信赖的边界专属安全防护设备,在网关处提供最大程度的内容级威胁保护。
它能够在各类恶意软件、垃圾邮件、非法内容和其他互联网威胁进入到企业网络之前就进行阻断、它简单易用(“即插既忘”)而又能够达到全面保护,集成了恶意软件防护、反垃圾邮件、非法内容过滤等,使得熊猫安全网关Performa成为具有更高效率的安全解决方案、通过内置具有自动/手动模式的负载均衡技术都能够很好的满足各种各样的网络环境需求。
产品特性l恶意软件过滤恶意软件保护模块能够侦测并阻挡所有类型的安全威胁,并在他们进入到企业网络之前就进行拦截,例如:
病毒,蠕虫,特洛伊木马,间谍软件,拨号器,玩笑程序,网络钓鱼,黑客工具,安全风险和通过其启发式引擎的发现的未知威胁、l内容过滤内容过滤功能可让您自定义类型对文件和邮件进行过滤。
它支持的过滤内容包括:
最大文件大小,最大数量的压缩文件,密码保护,它还会扫描嵌套邮件以及邮件附件。
同样,它可以按照正文内容、主题、类型等进行过滤、l垃圾邮件保护熊猫安全网关Performa能够检查企业邮件系统,减少垃圾邮件对客户工作效率的影响、l网页内容过滤选择希望禁止访问的页面类别就可以限制进出入网络的非法网页与非业务相关站点的访问,优化资源使用,提高用户的工作、lP2P和即时通讯工具阻断熊猫安全网关Performa中可以阻止存在重要安全隐患的应用程序,例如:
即时消息(IM)和点对点(P2P)程序,使用这两种类型的程序都可以加以限制、
4、4网闸隔离设备推荐部署珠海伟思科技网闸隔离系统,珠海伟思科技自1993年成立以来,一直立足于高新技术产业,是我国专业从事网络信息安全产品研发、生产、销售的骨干企业之一,是国家认定的双软企业、高新技术企业、生产科技型企业。
迄今为止,伟思已经自主开发了五大系列四多款具有国际领先技术的信息安全产品,是一家具有自主研发能力、专业的信息安全产品生产企业。
经过多年不懈的努力,伟思已成为我国在信息安全领域的知名民族品牌之一。
伟思具有一支敬业、积极进取的团队,其中包括以信息安全技术专家为学科带头人和具有丰富实践经验的工程技术人员组成的科研开发团队,不仅具备自主研发网络信息安全技术及产品的能力,而且具备承担国家科研攻关项目的能力,曾多次承担并出色完成国家863课题。
同时,伟思也积极与国外著名网络安全企业及研究机构广泛交流合作,以保证公司研发能力能和国际先进水平同步,建立起完整的、具有自主知识产权和国际先进水平的信息安全技术平台。
伟思科技网闸隔离系统是一款面向大型网络的安全隔离系统,为各类党政部门、军事单位、金融电信、科研院校及企事业单位等关键部门的内部网络或服务器提供网络隔离环境下的实时隔离保护,并在可控状态下实现内部网络或服务器与外界的实时(适度)信息交换。
采用独特的“2+1”安全体系架构,由内网系统端,中间隔离部件,外网系统端三部分组成;通过基于ASIC芯片技术设计的专用物理隔离部件,实现用户关键网络及服务系统与外界的物理隔断,实现链路层与网络层的彻底断开。
采用独特的协议剥离与重组技术,有效阻断来自网络层及服务器OS层的各类已知/未知攻击,并通过摆渡机制在可控环境下实现内外网间应用层数据交换。
广泛支持各类通用应用协议,支持数据库访问同步、文件访问同步、视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议,无需再进行二次开发或单独购买模块。
智能化攻击识别与过滤,采用先进的应用层协议分析技术智能识别并过滤大量应用层攻击行为,提供市场上最丰富的协议分析模块,全面防护各类应用系统安全风险,包括:
HTTP、FTP、SMTP、POP
3、IMAP、DNS等数种协议分析功能。
媒体增强功能提供媒体文件格式的特征检查,实现基于应用程序绑定的认证功能,采用私有协议实现应用系统与网闸间的通讯,内置加密安全隧道,支持所有通讯加密传输。
4、5上网行为管理设备上网行为管理设备我们推荐部署北京网康科技上网行为管理产品,北京网康科技有限公司(NetentSec,Inc、)是全球内容安全领域的领先者,提供创新的上网行为管理产品与服务,帮助用户更好地驾驭和使用互联网。
网康的产品全面细致地帮助用户实现上网行为管理、内容安全管理、带宽分配管理、网络应用管理、外发信息管理,有效解决互联网带来的管理、安全、效率、资源、法律、青少年网瘾等问题。
作为国内上网行为管理行业的领导者,网康科技不断探索最前沿的互联网控制管理技术,坚持走自主创新和自主研发之路,凭借创新的产品理念、领先的技术优势以及本地化的服务优势,经过不懈努力,网康科技实现了跨越式的发展,不仅在中国市场居于领先地位,还成功打开日本市场,成为信息安全市场成长最快的厂商之一。
目前,全球越来越多的用户正在体验网康科技带来的更易管理、更加安全、更加文明的互联网空间。
网康互联网控制网关(NetentSecInternetControlGageway,简称NSICG)是北京网康科技有限公司推出的一款专业的上网行为管理产品,是面向企业用户的软硬件一体化的控制管理网关。
它提供强大的网页过滤功能,屏蔽员工对非法网站的访问;提供基于时间、用户、应用的精细管理控制策略,管理员工在上班时间玩网络游戏、炒股、观看在线视频,以及无节制地网络聊天,从而保障工作效率;提供对通过电子邮件、即时通讯、论坛发帖等途径的外发信息进行监控审计,避免企业机密信息泄露;此外,网康ICG还提供应用层的带宽管理功能,有效阻止、限制P2P等严重消耗带宽的应用,确保企业的核心业务带宽得以保障。
4、6内网安全管理系统内网安全管理系统建议部署智能网全™网络终端管理平台,智能网全™网络终端管理平台是一个具有多级管理能力的分布式系统平台,该系统平台提供了全面的多级管理,多管理点、权限分配和数据共享的能力,适用于不同规模和不同复杂程度的局域网管理需求,为网管人员提供一个可以同时面向终端用户、应用系统和计算机网络本身三个层面,依据管理、安全和维护三位一体设计思想的网络终端管理平台。
产品特性:
l发现和修补操作系统安全漏洞智能网全™系统的补丁自动升级管理功能为在局域网内实现补丁自动安装和升级提供了解决方案。
通过本系统网管可实现监控客户机补丁安装情况及补丁管理。
支持安全补丁信息自动更新、客户机补丁漏洞扫描、补丁文件自动下载及分发。
同时为了提高工作效率可完成客户端补丁自动安装。
l发现和修补违规拨号上网安全漏洞智能网全™产品在操作系统层面提供了强大的拨号上网监控功能,该功能为控制拨号上网提供三个管理级别:
①不限制使用;②禁止使用;③监视使用。
网管人员可以根据本单位的情况,利用该产品提供的组的机制,对不同的计算机实施不同级别的管理,从而有效的杜绝拨号上网这个“网络后门”l发现和修补私设代理安全漏洞智能网全™产品提供了强大的带宽管理功能。
该功能可以分别限制内网带宽和外网带宽。
对于内网计算机而言,只要把外网带宽设为零,无论其如何搭桥或私设代理都不能访问外网。
另外附以“接入管理功能”可以避免客户机成为其他计算机的代理,当代理行为发生时,系统会立即向控制台发出报警信息或直接禁止代理。
l发现和修补多网卡违规使用安全漏洞智能网全™产品提供的多网卡检测功能,可在全网统计使用多网卡的计算机,形成直观的报表,并能准确的发现具体使用多网卡的计算机,当计算机网卡数量发生变化时,可发出报警,彻底堵住私设代理的通道l发现和修补非法入网安全漏洞智能网全™产品提供了强大的非法IP地址管理功能,该功能允许管理员定义合法IP地址列表,在列表中不仅可以定义合法IP的范围,而且可以定义每个合法IP对应的MAC地址。
如果一个被使用的IP不在合法IP的范围内,或者对应的MAC地址不符,系统将阻断该IP的网络通信。
因此,有效地杜绝了非法IP地址的联入。
入网认证管理功能基于802、1X工业标准协议,可对接入局域网内的计算机实施严格的入网管理,对于未通过认证的计算机将无法接入网络l通讯端口管理智能网全™产品提供的通讯端口管理功能,可管理客户机开放的端口的使用情况,可设置通讯端口白名单和黑名单,即设置无安全隐患的端口被使用,或禁止有安全隐患的端口被使用,堵住入侵通道。
l发现和修补ARP机制无保护的安全漏洞智能网全™产品采用全新的可靠机制,在全网内独自建立真实的地址解析表并分发到每一个被管理的网络节点。
同时,在网卡驱动层过滤每一个数据包,保证识别并阻止每一个ARP欺骗包。
加之流量大屏幕产品的其他强大机制,它不仅能够识别和禁止ARP欺骗,更能准确的定位哪个节点、进程和登录账号是ARP欺骗的源头。
l发现和修补对病毒的查杀不彻底的安全漏洞“杀毒不如防毒”,只有从源头上防止感染病毒才是最根本的解决办法。
本产品“杀毒无死角”功能提供了更加完善的管理机制,对局域网中不运行客户端的计算机的网络通信予以禁止,同时允许一些特权用户不受此功能的限制,使管理更加方便与灵活。
管理员可以指定绑定应用程序,例如杀毒软件,有效保证了网络安全。
l发现和修补违规使用移动存储设备的安全漏洞智能网全™的外设管理功能可以启动和禁用USB端口、软驱和光驱,对非法使用外部设备的情况进行限制。
网管人员根据需要,针对设备制订相应管理策略,以满足单位对外置移动设备或计算机硬件的管理要求,防止企业信息和技术等机密外泄。
本系统还提供对U盘的授权/保密设置,当实施了禁用普通U盘策略后,已经授权的U盘仍可以在指定的客户机上使用,未授权的U盘将被禁止使用;当U盘被设置成保密U盘后,将无法在未安装本系统客户端的计算机上使用,保证数据安全。
在实施了使用保密U盘策略的客户机,方能使用相应的保密U盘,既要满足了特殊客户对U盘的使用需求,又保证了数据安全。
l发现和修补开启网络共享文件的安全漏洞网络中的共享资源,如文件夹等,往往也是传播病毒和引入网络攻击的另一个途径。
本产品可使网管人员及时准确地掌握共享资源的分布情况,从而实施管理,及时阻断病毒传播途径。
4、7存储设备数据集中存储设备我们推荐美国柏科数据RorkeData存储设备,柏科数据经过多年数据安全领域的探索,为用户提供增值的、先进的硬件和软件结合的数据存储设备及应用解决呃方案;以一流的专业团队来提供全面的服务;以专业的知识和高质量的产品来满足客户需求;以大型管理、数据密集、环境复杂的客户为目标,提供功能强大的存储产品及全方位数据安全解决方案,产品特性:
l高可靠性支持冗余硬件架构可同时进行业务处理;冗余电源/风扇模块;电池保护模块保证Cache数据安全;热备盘结合使用避免RAID组失效和数据丢失风险,硬盘故障侦测及时保护数据安全。
l卓越的性能与更强的可扩展性高性能的64位处理器,主机接口可选FC/iSCSI/SAS独立配置,也可选iSCSI与FC融合配置l缓存特性可针对每个逻辑独立设置为写回(Write-Back)或直写(Write-through)方式,并且在电源不稳定,风扇故障,UPS动作,过热等情况发生时,可以自动从写回方式转为直写方式,以方式阵列突然停机时可能造成Cache内数据来不及写入磁盘上,充分保障数据的安全性,l双控动态均衡技术双控制器可互为热备,并行处理业务,实现动态负载均衡,双控之间的Cache镜像采用专用的双通道,双通道之间动态负载均衡。
l高扩展性采用先进稳定FC/SAS扩展技术提供更大的容量,以满足大容量的应用l硬盘智能侦测与预报提供S、M、
A、R、T硬盘自我侦测与预报技术,及早侦测出硬盘故障并通过Clone硬盘复制技术在线复制硬盘资料l支持磁盘分级存储可实现SAS磁盘与SATA磁盘在单一箱体混用,可实施存储分级策略,获得性能、容量和投此的平衡与优化。
l异构平台的支持和数据安全最大支持2048个LUN,与主机系统无法性,可以保证2048个主机系统在SAN网络中安全的进行数据读写操作。
l设计上突出灵活性接口选择上为用户提供适合DAS、NAS、SAN等存储环境的连接方式;模块化的机构设计,可以随时在原有的存储系统结构里增加或减少疾病存储单元,为不同用户的存储和架构设计提供基础环境l完美的开发式机构可提供在线Clone技术、远程镜像、异地备份、数据快照、逻辑卷配置、数据备份、状态监控、存储池管理的功能、用户都可用web方式来管理操作简化了复杂性l可靠的配置信息保存方式可将存储系统的配置信息复制在系统中的所有硬盘上的一小块区域里,每一块硬盘上都保存有整个磁盘阵列的配置信息,当个别硬盘出现问题时,不会影响其他硬盘的正常使用。
l便捷的管理维护支持图形化GUI和CLI管理方式,便捷的管理帮助用户快速部署存储系统;易于维护可通过WE
B、邮件通知日常日志增加管理人员的维护及时性。
4、8容灾网关容灾网关我们推荐柏科DisasterRecovery应用及数据灾难保护系统。
柏科容灾网关是针对用户的不同应用环境提供本地/异地容灾的产品,该设备全面覆盖任意灾难系统,轻松实现本地/异地灾备。
容灾网关不仅可轻而易举实现本地的应用系统保护和恢复,同时能够很轻松的将保护延伸到远程,建立更加强大的异地灾备系统。
柏科容灾网关容灾方式是一种网关存储型设备,可在本地/异地前端应用服务器与后端存储系统之间的存储区域网络(SAN)加入一层数据保护网关,结合容灾网关专用存储管理器,先进的容灾网关旁路控制方式,对于I/O流量进行旁路监控和分流,实现本地及异地数据复制。
l不间断数据保护更周全等多项功能,一套方案就能完整保护你的信息系统,以最经济的投入帮助企业拥有高效、稳定、完备的应用即时保护产品。
卓越的将文件/数据库/操作系统持续备份与瞬间恢复,没有硬件限制的灾难恢复,可以随时演练的异地灾备三大功能全面整合。
超完整服务器保护,高效的快照提供快速恢复,极大减少数据损失。
在线同步实时保护服务器系统和数据无需停止业务,无备份窗口,全面覆盖所有灾难,保证在最短时间内恢复业务运行。
一体化本地/异地备份与容灾体系同时实现备份与容灾的双重效果,可在业务运行状态下随时进行异地灾备,精简的数据复制技术将新增与变化数据传送到远程。
可与先进的虚拟化技术无缝整合,无论是在本地还是在异地,都能用虚拟灾备主机取代物理服务器,灾备中心不需放置和本地机房完全相同的硬件设备,大幅度降低采购成本与维护支出。
l快速部署构造时不需更改原有的IT基础架构,只需在现有的网络环境中加入柏科容灾网关,灾备端的主机和存储设备也不需和本地端相同,用户甚至可以在灾备端采用等级较低的存储系统(如SATA磁盘阵列)。
l恢复高效性与强大的虚拟化柏科容灾网关是数据保护的高级形式,基于本地/异地网关的灾备技术已经成为一种全新的容灾技术体验,相对于传统的数据备份与容灾方式,其实现了革命性飞跃;它通过持续捕捉和连续跟踪数据块的变化,将现实数据与历史数据反映到各个保护层面,实现在本地与异地架构瞬间的恢复体系l多种先进技术完美结合柏科容灾产品设有持续数据保护模式,实现一体化的本地/异地备份与容灾体系,进行恢复时你可以自主选择在本地还是在异地进行,通过快照及代理保证数据一致性,通过恢复点可以快速访问数据
4、9机房监控系统我们推荐使用中达电通的SuperWare动力环境集中监控系统,SuperWare动力环境集中监控系统是中达电通公司积累多年在动力领域的实践经验并针对上述问题提供的专业解决方案,实现了机房设备的统一监控,减轻了机房维护人员负担,提高了系统的可靠性,另外丰富的事件历史记录对系统设备的管理有重要的参考,因而该系统对机房的科学管理有特殊的意义。
系统主要监测对象:
机房电源:
主要开关状态监视及实时监视电压(V)、电流(I)、频率(F)、有功功率(P=U*I*COS∮)视在功率(S=U*IS=√3U*I)无功功率(Q=U*I*SIN∮)等。
UPS电源:
通过通讯协议及智能通讯接口,监测UPS的工作状态及各种参数—UPS的输入、输出电压、电流、频率、功率因数、逆变器状态、电池状态、旁路状态、报警等。
机房空调:
监控空调压缩机状态、风机状态、加热器状态、抽湿器状态、加湿器状态、报警等。
门禁系统:
使用感应卡识别系统监视机房进出情况,并连接视频监控提供进出机房或重要设备使用记录。
机房视频监控:
与防盗设备联合实现图像监视,采用计算机记录并保存监视录像。
机房温度、湿度:
精确测量机房的温湿度参数、报警。
漏水检测:
对机房空调、暖气漏水情况实时监测、报警等。
机房消防报警:
烟感、温感、计算机机房气体灭火系统报警监视。
远程报警:
及时将机房故障情况通过自动语音提示告知管理员。
为便于统筹规划,可将机房内目前的各种被监控设备分为智能型和传统型两大类:
智能设备是指该设备有数据通信接口,通过该接口可将其协议转换读出数据即能达到监控目的,所以对智能设备的监控关键在于对协议的破解,正确的通信协议和解码经验是关键。
目前绝大多数的开关电源、柴油发电机、机房专用空调、UPS、逆变器等大多都是智能设备,近些年来,其便于管理维护的优点越来越得到充分的体现。
我们累积了多年的监控经验,已经对一百多种智能设备成功解码。
传统设备是指没有数据通信接口的设备,对这类设备的监控需要在设备上加装传感器、变换器、界面等,在不影响设备使用的同时将各种监控量转变为监控系统能接入的信号。
此外对于一些机房周边的环境量如温湿度、烟雾告警、红外告警、水浸等我们也可以把其归为传统设备。
对于传统设备的监控应采取分散式采集、多级电气安全隔离等措施。
以维护具体需要和建设投资合理性为基本出发点,我们确定了本期工程的监控内容如下:
UPS主机:
视为智能型设备,通过协议转换将其纳入监控系统。
可实现对其通讯协议所包含所有数据量的监测。
机房环境:
视为传统型设备,包括烟感、温湿度、漏水监测。
机房配电:
利用单相电流传感器检测市电配电柜的输入电缆。
对于上述各类智能设备,必须具备可用的监控接口板(RS232和RS485接口),且需要原厂家提供通信协议及原始测试软件。
五、产品表单以下是本次推荐产品品牌和型号品牌华堂防火墙熊猫防病毒墙伟思网闸型号报价
升级会员 