中小型医院网络安全保障解决方案样本.docx
《中小型医院网络安全保障解决方案样本.docx》由会员分享,可在线阅读,更多相关《中小型医院网络安全保障解决方案样本.docx(18页珍藏版)》请在冰点文库上搜索。
中小型医院网络安全保障解决方案样本
中小型医院网络安全保障处理方案
一、中小型医院网络安全现实状况及挑战
现阶段,医院信息系统正在变成医疗体系结构中不可或缺基础架构。
该架构网络安全和数据可用性变得异常关键。
任何网络不可达或数据丢失轻则降低患者满意度,影响医院信誉,重则引发医患纠纷、法律问题或社会问题。
和其它行业信息系统一样,医疗信息系统在日常运行中面临多种安全风险带来安全应用事故。
目前,中小型医院在网络和应用系统保护方面均采取了一定安全方法,比如在每个网络、应用系统分别布署了防火墙、访问控制设备;也可能在一定程度上实现了区域性病毒防御,实现了病毒库升级和防病毒用户端监控和管理;采取系统账号管理、防病毒等方面含有一定步骤。
但在网络安全管理方面步骤相对比较微弱,需要深入进行加强;另外关键业务应用人员安全意识有待加强,日常业务处理中存在一定非安全操作情况,终端使用和接入情况复杂。
另外,伴随移动医疗应用越来越广泛布署,和依靠互联网平台远程医疗应用日趋广泛,怎样保障移动和远程应用安全性也是一个关键课题。
网络安全问题越演越烈,也为中小型或成长型医疗机构带来另外一个挑战:
怎样利用较为有限投资预算,处理目前最为迫切安全威胁,同时也要预留优异性和可扩展能力,避免造成投资浪费。
思科自防御网络出现,为中小型医疗网络提供了由低级到高级不停发展、演进安全处理方案,思科网络设备集成了独特安全功效,和各个安全设备联动并主动进行防护,是思科自防御网络具体实现。
基于思科自防御安全体系建设指导思想,同时结合中小型医疗机构安全现实状况,我们提议从以下多个方面构筑中小型医疗机构安全体系。
二、构建安全基础网络平台
在很多局域网安全问题中,因为历史原因,令网络管理员感到最头痛问题就是IP地址管理;最担心问题就是账号、密码盗取和信息失窃和篡改;而最棘手问题就是木马、蠕虫病毒爆发对网络造成危害。
据CSI/FBI计算机犯罪和安全调查显示,信息失窃已经成为目前最关键犯罪。
在造成经济损失全部攻击中,有75%全部是来自于园区内部。
这么,企业网络内部就必需采取更多创新方法来预防攻击,假如我们将网络中全部端口看成潜在敌对实体获取通道“端口防线”,网络管理员就必需知道这些潜在威胁全部有那些,和需要设臵哪些安全功效来锁定这些端口并预防这些潜在来自网络第二层安全攻击。
网络第二层攻击是网络安全攻击者最轻易实施,也是最不轻易被发觉安全威胁,它目标是让网络失效或经过获取诸如密码这么敏感信息而危及网络用户安全。
因为任何一个正当用户全部能获取一个以太网端口访问权限,这些用户全部有可能成为黑客,同时因为设计OSI模型时候,许可不一样通信层在相互不了解情况下也能进行工作,所以第二层安全就变得至关关键。
假如这一层受到黑客攻击,网络安全将受到严重威胁,而且其它层之间通信还会继续进行,同时任何用户全部不会感觉到攻击已经危及应用层信息安全。
所以,仅仅基于认证(如IEEE802.1x)和访问控制列表(ACL,AccessControlLists)安全方法是无法预防来自网络第二层安全攻击。
一个经过认证用户仍然能够有恶意,并能够很轻易地实施本文提到全部攻击。
现在这类攻击和欺骗工具已经很成熟和易用。
以上所提到攻击和欺骗行为关键来自网络第二层。
在网络实际环境中,其起源可概括为两个路径:
人为实施,病毒或蠕虫。
人为实施通常是指使用部分黑客工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行深入窃取机密文件。
攻击和欺骗过程往往比较隐蔽和平静,但对于信息安全要求高企业危害是极大。
木马、蠕虫病毒攻击不仅仅是攻击和欺骗,同时还会带来网络流量加大、设备CPU利用率过高、二层生成树环路、网络瘫痪等现象。
归纳前面提到局域网现在普遍存在安全问题,依据这些安全威胁特征分析,这些攻击全部来自于网络第二层,关键包含以下多个:
·MAC地址泛滥攻击
·DHCP服务器欺骗攻击
·ARP欺骗
·IP/MAC地址欺骗
利用CiscoCatalyst交换机内部集成安全特征,采取创新方法在局域网上有效地进行IP地址管理、阻止网络攻击并降低病毒危害。
CiscoCatalyst智能交换系列创新特征针对这类攻击提供了全方面处理方案,将发生在网络第二层攻击阻止在通往内部网第一入口处,关键基于下面多个关键技术。
·PortSecurity
·DHCPSnooping
·DynamicARPInspection(DAI)
·IPSourceGuard
我们可经过在思科交换机上组合利用和布署上述技术,从而预防在交换环境中“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等,更具意义是经过上面技术布署能够简化地址管理,直接跟踪用户IP和对应交换机端口,预防IP地址冲突。
同时对于大多数含有地址扫描、欺骗等特征病毒能够有效报警和隔离。
经过启用端口安全功效,可有效预防MAC地址泛洪攻击,网络管理员也能够静态设臵每个端口所许可连接正当MAC地址,实现设备级安全授权。
动态端口安全则设臵端口许可正当MAC地址数目,并以一定时间内所学习到地址作为正当MAC地址。
经过配臵PortSecurity能够控制:
·端口上最大能够经过MAC地址数量
·端口上学习或经过哪些MAC地址
·对于超出要求数量MAC处理进行违反处理
端口上学习或经过哪些MAC地址,能够经过静态手工定义,也能够在交换机自动学习。
交换机动态学习端口MAC,直到指定MAC地址数量,交换机关机后重新学习。
现在较新技术是StickyPortSecurity,交换机将学到mac地址写到端口配臵中,交换机重启后配臵仍然存在。
对于超出要求数量MAC处理进行处理通常有三种方法(针对交换机型号会有所不一样):
·Shutdown:
端口关闭。
·Protect:
丢弃非法流量,不报警。
·Restrict:
丢弃非法流量,报警。
Catalyst交换机可经过DHCPSnooping技术确保DHCP安全特征,经过建立和维护DHCPSnooping绑定表过滤不可信任DHCP信息,这些信息是指来自不信任区域DHCP信息。
经过截取一个虚拟局域网内DHCP信息,交换机能够在用户和DHCP服务器之间担任就像小型安全防火墙这么角色,“DHCP监听”功效基于动态地址分配建立了一个DHCP绑定表,并将该表存贮在交换机里。
在没有DHCP环境中,如数据中心,绑定条目可能被静态定义,每个DHCP绑定条目包含用户端地址(一个静态地址或一个从DHCP服务器上获取地址)、用户端MAC地址、端口、VLANID、租借时间、绑定类型(静态或动态)。
经过布署动态ARP检验(DAI,DynamicARPInspection)来帮助确保接入交换机只传输“正当”ARP请求和应答信息。
DHCPSnooping监听绑定表包含IP地址和MAC地址绑定信息并将其和特定交换机端口相关联,动态ARP检测(DAI-DynamicARPInspection)能够用来检验全部非信任端口ARP请求和应答(主动式ARP和非主动式ARP),确保应答来自真正ARP全部者。
Catalyst交换机经过检验端口统计DHCP绑定信息和ARP应答IP地址决定是否真正ARP全部者,不正当ARP包将被删除。
DAI配臵针对VLAN,对于同一VLAN内接口能够开启DAI也能够关闭,假如ARP包从一个可信任接口接收到,就不需要做任何检验,假如ARP包在一个不可信任接口上接收到,该包就只能在绑定信息被证实正当情况下才会被转发出去。
这么,DHCPSnooping对于DAI来说也成为必不可少,DAI是动态使用,相连用户端主机不需要进行任何设臵上改变。
对于没有使用DHCP服务器部分机器能够采取静态添加DHCP绑定表或ARPaccess-list实现。
另外,经过DAI能够控制某个端口ARP请求报文频率。
一旦ARP请求频率频率超出预先设定阈值,立即关闭该端口。
该功效能够阻止网络扫描工具使用,同时对有大量ARP报文特征病毒或攻击也能够起到阻断作用。
除了ARP欺骗外,黑客常常使用另一手法是IP地址欺骗。
常见欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗,其目标通常为伪造身份或获取针对IP/MAC特权。
CatalystIP源地址保护(IPSourceGuard)功效打开后,能够依据DHCP侦听统计IP绑定表动态产生PVACL,强制来自此端口流量源地址符合DHCP绑定表统计,这么攻击者就无法经过假定一个正当用户IP地址来实施攻击了,这个功效将只许可对拥有正当源地址数据保进行转发,正当源地址是和IP地址绑定表保持一致,它也是起源于DHCPSnooping绑定表。
所以,DHCPSnooping功效对于这个功效动态实现也是必不可少,对于那些没有用到DHCP网络环境来说,该绑定表也能够静态配臵。
IPSourceGuard不仅能够配臵成对IP地址过滤也能够配臵成对MAC地址过滤,这么,就只有IP地址和MAC地址全部于DHCPSnooping绑定表匹配通信包才能够被许可传输。
此时,必需将IP源地址保护IPSourceGuard和端口安全PortSecurity功效共同使用,而且需要DHCP服务器支持Option82时,才能够抵御IP地址+MAC地址欺骗。
和DAI不一样是,DAI仅仅检验ARP报文,IPSourceGuard对全部经过定义IPSourceGuard检验端口报文全部要检测源地址。
经过在交换机上配臵IPSourceGuard,能够过滤掉非法IP/MAC地址,包含用户有意修改和病毒、攻击等造成。
同时处理了IP地址冲突问题。
另外,在最新Catalyst3750-X和Catalyst3560-X交换机内,还内臵了一系列全新TrustSec安全技术。
比如,采取基于IEEE802.1ae标准MACSecurity技术,交换机在面向主机端口上提供了对以太网数据在数据链路层线速加密,以预防中间人攻击;支持包含802.1x、MAC认证旁路、Web认证等多个认证方法为不一样类型接入终端提供一致安全体验,等等。
以上所列基础安全防护功效,均内臵在思科Catalyst交换机内,无需另外购置。
方案包含关键Catalyst系列交换机包含:
产品系列
说明
Catalyst3750-X
支持堆叠和万兆上行智能三层交换机
Catalyst3560-X
支持万兆上行智能三层交换机
Catalyst2960-S
支持堆叠、万兆上行和静态路由交换机
另外,思科还提供了精睿系列交换机,经过基础802.1x认证、基于MAC端口安全、基于MAC/IP访问控制列表(ACL)、私有VLAN边缘(PVE)等技术,专为入门级小型医疗网络提供基础安全网络接入服务。
精睿交换机关键系列包含:
产品系列
说明
CiscoSF300
支持静态路由可网管交换机
CiscoSLM224G2
支持基于WEB浏览器简单网管
三、内网安全和网络出口安全处理方案
现在网络面临多个多样安全威胁,医院需要建立纵深防御体系来预防因某个部分侵入而造成整个系统瓦解。
只有基于网络系统之间逻辑关联性和物理位臵、功效特征,划分清楚安全层次和安全区域,在布署安全产品和策略时,才能够定义清楚地安全策略和布署模式。
安全保障包含网络基础设施、业务网、办公网、当地交换网、信息安全基础设施等多个保护区域。
这些区域是一个紧密联络整体,相互间现有纵向纵深关系,又有横向协作关系,每个范围全部有各自安全目标和安全保障职责。
主动防御、综合防范方针为各个保护范围提供安全保障,有效地协调纵向和横向关系,提升网络整体防御能力。
针对医院网络系统,我们能够依据物理位臵、功效区域、业务应用或管理策略等等划分安全区域。
不一样区域之间进行物理或逻辑隔离。
物理隔离很简单,就是建立两套网络对应不一样应用或服务,最经典就是医院业务网络和互联网访问网络隔离。
而对于内部各部门或应用来说,我们常常采取是利用防火墙逻辑隔离方法。
其次,互联网对多种规模医院来说全部十分关键。
它带来了业务发展新机遇。
经过VPN连接,它使得医院可和合作伙伴和远程职员保持联络。
但它也是将威胁带入医院网络渠道,这些威胁可能会对医院造成重大影响:
·病毒—可感染系统,使其停运,从而造成运行中止和收入损失
·间谍软件和黑客—会造成企业数据丢失和所以引发法律问题
·垃圾邮件和泄密—需要繁琐处理过程,降低职员生产率
·浏览和工作无关网站—会造成职员生产率降低,并可能使企业负担法律责任
·受感染VPN流量—使威胁原因进入网络,中止业务
针对上述安全威胁特点和需求情况,我们提议中小型医疗机构能够从以下多个方面布署思科安全处理方案。
经过CiscoASA5500布署一体化安全处理方案
CiscoASA5500系列提供了一体化安全处理方案,提供了一个易于使用、且含有医院需要安全功效全方面安全处理方案,结合了防火墙、入侵保护、Anti-X和VPN功效,您可对您医院网络受到保护充满信心。
经过终止垃圾邮件、间谍软件和其它互联网威胁,职员生产率得到了提升。
IT人员也从处理病毒和间谍软件消除和系统清洁任务中解放出来。
您可集中精力发展业务,而无需为最新病毒和威胁担忧。
图:
ASA5500系列一体化安全处理方案
CiscoASA5500系列为医院提供了全方面网关安全和VPN连接。
凭借其集成防火墙和Anti-X功效,CiscoASA5500系列能在威胁进入网络和影响业务运行前,就在网关处将它们拦截在网络之外。
这些服务也可扩展到远程接入用户,提供一条威胁防御VPN连接。
最值得信赖、广为布署防火墙技术—CiscoASA5500系列构建于CiscoPIX安全设备系列基础之上,在阻挡不受欢迎来访流量同时,许可正当业务流量进入。
凭借其应用控制功效,该处理方案可限制对等即时消息和恶意流量传输,因为它们可能会造成安全漏洞,进而威胁到网络。
市场领先Anti-X功效—经过内容安全和控制安全服务模块(CSC-SSM)提供强大Anti-X功效,CiscoASA5500系列提供了全方面保护所需关键网络周围安全性。
防间谍软件—阻止间谍软件经过互联网流量(HTTP和FTP)和电子邮件流量进入您网络。
经过在网关处阻拦间谍软件,使IT支持人员无需再进行昂贵间谍软件清除过程,并提升职员生产率。
防垃圾邮件—有效地阻拦垃圾邮件,且误报率极低,有利于保持电子邮件效率,不影响和用户、供给商和合作伙伴通信。
防病毒—屡获大奖防病毒技术在您基础设施中最有效地点-互联网网关处防御已知和未知攻击,保护您内部网络资源。
在周围清洁您电子邮件和Web流量,即无需再进行花费大量资源恶意软件感染清除工作,有利于确保业务连续性。
防泄密—确定针对泄密攻击防偷窃保护,所以可预防职员无意间泄漏企业或个人信息,以造成经济损失。
针对Web接入、电子邮件(SMTP和POP3)和FTP实时保护。
即使机构电子邮件已进行了保护,但很多职员仍会经过企业PC或笔记本电脑访问自己个人电子邮件,从而为互联网威胁提供了另一个入点。
一样,职员可能直接下载受到感染程序或文件。
在互联网网关对全部Web流量进行实时保护,可降低这一常被忽略安全易损点。
URL过滤—Web和URL过滤可用于控制职员对于互联网使用,阻止她们访问不合适或和业务无关网站,从而提升职员生产率,并降低因职员访问了不应访问Web内容而负担法律责任机会。
电子邮件内容过滤—电子邮件过滤降低了企业因收到经过电子邮件传输攻击信息而负担法律责任机会。
过滤也有利于符正当律法规,可帮助机构达成GrahamLeachBliley和数据保护法案等要求。
威胁防御VPN—CiscoASA5500系列为远程用户提供了威胁防御接入功效。
该处理方案提供了对内部网络系统和服务站点间访问和远程用户访问。
此处理方案结合了对于SSL和IPSecVPN功效支持,可实现最高灵活性。
因为这一处理方案将防火墙和Anti-X服务和VPN服务相结合,可确保VPN流量不会为医院带来恶意软件或其它威胁。
方便布署和管理—随此处理方案提供了思科自适应安全设备管理器(ASDM),它含有一个基于浏览器、功效强大、易于使用管理和监控界面。
这一处理方案在单一应用中提供了对于全部服务全方面配臵。
另外,向导可指导用户完成配臵设臵,实现快速布署。
布署CiscoIronPortS系列Web安全网关应对来自互联网Web威胁
目前,基于互联网Web数据流传输多种安全威胁,开始在全球范围盛行,使商用网络暴露在这些威胁带来内在危险之下。
现行网关防御机制已经证实不足以抵御多个基于Web恶意软件入侵。
据业内估量,大约75%商用电脑感染了间谍软件,不过在网络周围布署了恶意软件防御系统企业却不足10%。
基于Web恶意软件传输速度快,变种能力强,其危害性日益严重,对医疗机构尤其是网络安全技术相对微弱中小型医疗机构来说,拥有一个强壮能够保护医院网络周围并抵御这些安全威胁侵害安全平台就显得极为关键。
除此以外,当今基于Web威胁87%是经过正当网站发出。
基于Web恶意软件有着速度快、多样性强和变种频繁出现攻击威胁特点,这要求医院必需使用一个强大、安全平台才能将日益严峻上网威胁屏蔽在医院网络之外。
CiscoIronPortS系列Web安全网关是业界开创先河,也是唯一将传统URL过滤、信誉过滤和恶意软件过滤功效集中到单一平台来消除上述风险Web安全设备。
经过综合利用这些创新技术,CsicoIronPortS系列网关能够帮助企业在确保Web数据流安全和控制Web数据流风险方面,应对所面临日益严峻挑战。
CiscoIronPortS系列网关结合了多个优异技术,经过单台、集成网关抵御恶意软件,帮助企业实施安全策略及控制网络流量。
提供多层防护包含CiscoIronPortWeb声誉过滤器™,多层防恶意软件扫描引擎和第四层(L4)数据流监视器,它能够监控非80端口恶意软件活动。
全部这一切为企业提供了一个强大含有最优性能和功效Web安全平台。
同时CiscoIronPortS系列提供智能化HTTPS解密能力,从而对加密数据流应用全部安全及访问策略。
在实际应用环境中,医疗机构能够选择以下两种模式布署S系列网关:
·直连模式:
用户机直接连接到S系列,由S系列提供HTTP/HTTPS/FTP流量代理支持。
·透明模式:
由第四层交换机或WCCP路由器转发流量至S系列,由S系列提供对用户机透明代理支持。
布署CiscoIronPortC系列电子邮件安全网关应对来自互联网电子邮件安全威胁
垃圾邮件和随邮件传输病毒、恶意程序、间谍软件等是目前来自互联网另一个关键安全威胁。
对于安全技术相对微弱中小型医疗机构,这种威胁往往会带来极大安全风险:
随意打开来历不明电子邮件或点击邮件中附件或链接全部有可能形成对医疗业务系统攻击。
另外,网络管理人员需要花费大量精力用于清理垃圾邮件,也严重影响了对正常业务系统管理和维护。
所以,怎样对电子邮件应用进行高效安全防御和管理,也是目前中小型医疗机构布署安全处理方案时需要关键考虑内容。
CiscoIronPortC系列电子邮件安全网关是针对电子邮件安全威胁最好处理方案。
基于CiscoIronPort专有为企业目标设定AsyncOS™操作系统,IronPortC系列能够满足对电子邮件大容量和高可用性扫描需求,降低和垃圾邮件、病毒和其它多种威胁相关系统宕机时间,从而支持对医院邮件系统高效管理并有效减轻网络管理人员工作负担。
IronPortC系列在一个网关设备上集成了思科独有预防性过滤器和基于特征码反应性过滤器,配合内容过滤和高级加密技术,为用户提供了现在业界最高级邮件安全服务。
同时,利用思科安全情报运行中心和全球威胁协作组织使CiscoIronPort网关产品更聪慧,更快速。
这一优异技术使企业能够从最新互联网威胁中提升她们安全性,而且使得保护用户愈加透明化。
下图描述了C系列邮件安全网关布署方法。
对于中小型医疗机构,本方案包含ASA和IronPort系列关键产品以下表所表示:
产品系列
说明
CiscoASA5505
提供一体化安全处理方案,包含防火墙隔离、IPS、VPN、内容过滤等
CiscoASA5510
提供一体化安全处理方案,包含防火墙隔离、IPS、VPN、内容过滤等
CiscoIronPortS160
面向中小型医疗机构Web安全网关
CiscoIronPortC160
面向中小型医疗机构电子邮件安全网关
四、安全医疗分支机构处理方案
伴随国家不停深化乡镇医疗保障体系建设,乡镇卫生院、医疗点和城区中心医院之间联络也日趋紧密。
互联网普及,首先为这一趋势提供了便利信息高速公路,但同时也带来了形形色色安全隐患。
在众多广域网接入技术中,虚拟专网(VPN)能够说是处理这一问题最具经济实用性处理方案。
基于集成多业务路由器(ISR)企业级VPN处理方案,在可扩展平台、安全性、服务、应用和管理五大VPN实施要素方面,含有基于标准开放式体系结构和可扩充端到端网络互连能力。
借助优异ISR路由器,中小型医疗机构用户能够布署多个VPN连接方法,经过安全可靠加密手段,保护医疗应用系统信息资源。
下图是基于ISR路由器一个经典VPN实施方法:
·使用思科ISR高端路由器2900系列做为中心医院VPN网关,用来聚合来自分支医疗机构、合作单位、移动/远程医疗终端VPN多种应用。
·在分支医疗机构中,依据机构规模和应用情况可选择思科ISR路由器中1900系列、890c系列或880c系列做为VPN网关。
方案特点:
1.安全保障
即使实现VPN技术和方法很多,但全部VPN均应确保经过公用网络平台传输数据专用性和安全性。
在安全性方面,因为VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。
医院必需确保其VPN上传送数据不被攻击者窥视和篡改,而且要预防非法用户对网络资源或私有信息访问。
2.服务质量确保(QoS)
VPN网应该为医院数据提供不相同级服务质量确保。
不一样用户和业务对服务质量确保要求差异较大。
在网络优化方面,构建VPN另一关键需求是充足有效地利用有限广域网资源,为关键数据提供可靠带宽。
广域网流量不确定性使其带宽利用率很低,在流量高峰时引发网络阻塞,使实时性要求高数据得不到立即发送;而在流量低谷时又造成大量网络带宽空闲。
QoS经过流量估计和流量控制策略,能够根据优先级分实现带宽管理,使得各类数据能够被合理地前后发送,并预防阻塞发生。
3.可扩充性和灵活性
VPN必需能够支持经过Intranet和Extranet任何类型数据流,方便增加新节点,支持多个类型传输媒介,能够满足同时传输语音、图像和数据等新应用对高质量传输和带宽增加需求。
4.可管理性
从用户角度和运行商角度应可方便地进行管理、维护。
VPN管理目标为:
减小网络风险、含有高扩展性、经济性、高可靠性等优点。
实际上,VPN管理关键包含安全管理、设备管理、配臵管理、访问控制列表管理、QoS管理等内容。
5.多个VPN连接方法
基于ISR路由器VPN处理方案为中小型医院用户提供了多个VPN连接方法,包含IPSec、SSL、动态多点VPN(DMVPN)等。
和中心医院通常有较为完善网络安全布署不一样,对于大量分支医疗机构,如乡镇卫生院、医疗服务点等,怎样布署适宜网络连接设备应对目前多种网络威胁,比如:
黑客攻击,蠕虫病毒,非法上网行为等等,是另外一个需要考虑关键问题。
这些网络威胁,既冲击了分支医疗机构网络安全,又消耗了大量网络资源,严重影响了医疗系统正常运行。
思科ISR800系列路由器为中小型分支机构和小型办公室提供了可靠网络处理方案,来防御多种网络中
升级会员 