1、1.1 網絡安全方案1.1.1.網絡現狀及安全需求網絡現狀分析由于 XXX 市醫院網絡安全防護等級低，存在病毒、非法外聯、越權訪問、被植入 木馬等各種安全問題。網絡安全需求分析通過前述的網絡系統現狀和安全風險分析，目前在網絡安全所面臨著幾大問題主要集中在如下幾點：來自互連網的黑客攻擊來自互聯網的惡意軟件攻擊和惡意掃描來自互聯網的病毒攻擊來自部網絡的 P2P 下載占用帶寬問題來自部應用服務器壓力和物理故障問題、來自部網絡整理設備監控管理問題來自數據存儲保護的壓力和數據安全管理問題來自部數據庫高級信息如何監控審計問題來自部客戶端桌面行為混亂無法有效管理帶來的安全問題來自機房物理設備性能無法有效監控

2、導致物理設備安全的問題Word 專業資料1.1.2 總體安全策略分析為確保 XXX 市醫院網絡系統信息安全，降低系統和外界對網數據的安全威脅，根 據需求分析結果針對性制定總體安全策略：在網關處部署防火墻來保證網關的安全，抵御黑客攻擊在網絡主干鏈路上部署 IPS 來保證部網絡安全，分析和控制來自互連網的惡 意入侵和掃描攻擊行為。在網絡主干鏈路上部署防毒墻來過濾來自互聯網的病毒、木馬等威脅在網絡主干鏈路上部署上網行為管理設備來控制部計算機上網行為，規P2P下載等一些上網行為。在應用區域部署負載均衡設備來解決服務器壓力和單臺物理故障問題在網絡部部署網絡運維產品，對網絡上所有設備進行有效的監控和管理。

3、在服務器前面部署網閘隔離設備，保證訪問服務器數據流的安全性在服務器區域部署存儲設備，提供數據保護能力以及安全存儲和管理能力部署容災網關，提供應用系統和數據系統容災解決辦法，抵御災難事件帶來 的應用宕機風險。部署數據庫審計系統，實時監測數據庫操作和訪問信息，做到實時監控。 部署網安全管理軟件系統，對客戶端進行有效的安全管理部署機房監控系統，對機房整體物理性能做到實時監控，及時了解和排除物 理性能的安全隱患。.安全拓撲Word 專業資料1.122.防火墻訪問控制In ternet 與服務器區域存在網絡連接，必須明確邊界，實施邊界防護控制。而部 署防火墻產品是實施邊界防護控制最為簡潔而

4、又有效的方式。由于服務器區域的安全等級高于 In ternet 網絡，因此 In ternet 網絡與服務器區域之間的安全防護設備應部署 在服務器區域一側。In ternet 網絡作為防火墻的不可信網絡、服務器安全域放到防火墻DMZ 區、網醫院部網絡作為可信任網絡；嚴格限定 In ternet網絡對 DMZ 區所開放的服務訪問的源、 目的地址和服務類 型；嚴格限定 DMZ 區對網管網的訪問的源、 目的地址和服務類型；嚴格控制 In ternet網絡對醫院網的直接訪問。1.123.病毒防護針對防病毒危害性極大并且傳播極為迅速，必須配備從服務器到單機的整套防 病毒軟件，防止病毒入侵主機并擴散到全網

5、，實現全網的病毒安全防護。并且由于新 病毒的出現比較快，所以要求防病毒系統的病毒代碼庫的更新周期必須比較短。針對信息系統的具體情況，我們建議在 In ternet 網絡與醫院網之間安裝防病毒網 關防病毒，檢查所有通過的網絡數據包，防通過 SMTP、FTP HTTP POP3、IMAP、NNTP 等多種協議傳播的病毒。對于主機，則采用統一管理，分組部署的管理模式。Word 專業資料1.124.入侵檢測系統在許多人看來，有了防火墻，網絡就安全了，就可以高枕無憂了。其實，這是 一種錯誤的認識，防火墻是實現網絡安全最基本、最經濟、最有效的措施之一。防火 墻可以對所有的訪問進行嚴格控制（允許、禁止、報警

6、）。但它是靜態的，而網絡安 全是動態的、整體的，黑客的攻擊方法有無數，防火墻不是萬能的，不可能完全防止 這些有意或無意的攻擊。必須配備入侵檢測系統，對透過防火墻的攻擊進行檢測并做 相應反應（記錄、報警、阻斷）。入侵檢測系統和防火墻配合使用，這樣可以實現多 重防護，構成一個整體的、完善的網絡安全保護系統。1.125.上網行為管理按照一定的安全策略，利用記錄、系統活動和用戶活動等信息，檢查、審查和 檢驗操作事件的環境及活動，幫助用戶更好地駕馭和使用互聯網。 全面細致地幫助用 戶實現上網行為管理、容安全管理、帶寬分配管理、網絡應用管理、外發信息管理， 有效解決互聯網帶來的管理、安全、效率、資源、法律

7、等問題。1.13 整體安全解決方案通過對XXX醫院整體網絡結構深入、 全面的分析， 提出XXX醫院網絡安全優化方 案。1.131. 防火墻部署防火墻部署描述如下：防火墻選擇四個網絡端口；一個 Un trust 口連接 In ternet 網絡；一個 Trust 口連接醫院網絡；一個 DMZ 口連接開放服務域；一個口備用；策略默認配置為全禁止；In ternet 網絡相關 IP 可以訪問 DMZ 相應 IP 的相應服務端口；In ternet 網絡訪問醫院網全禁止；DMZ 相應 IP 可以訪問醫院網相應 IP 的相應服務端口。1.1.32病毒防護策略設定為 SMTP、FTP HTTP POP3、

8、IMAP、NNTP 協議病毒分析;病毒處理方式為刪除、隔離等方式；自動在線病毒碼更新，更新方式可以通過辦公機設定更新代理方式實現；Word 專業資料Word 專業資料統一升級，留有備份；緊急處理措施和對新病毒的響應方式。1.133.入侵檢測系統部署實時監控系統事件和傳輸的網絡 數據，并對可疑的行為進行自動監測和安 全響應，使用戶的系統在受到危害之前即可截取并終止非法入侵的行為和部網 絡的誤用，從而最大程度地降低安全風險，保護企業網絡的系統安全。監控探頭部署在防火墻 DMZ 區的交換機上，通過端口流量映射的方式旁聽出 入的網絡數據包；策略配置可以設定放行、報警、阻斷、圭寸堵等處理策略，對于 Port Scan、口 令猜測、緩沖溢出、特定 URL 攻擊等明顯的攻擊行為可采用阻斷連接 session 的方式防止攻擊，嚴格的策略可以封堵相應的來源 IP 地址，禁止該地址的所 有訪問。1.1.34上網行為管理器上網行為管理器部署在醫院網核心交換機的上層，通過策略對網頁過濾，屏蔽 員工對非法的訪問；基于時間、用戶、應用精細管理控制，管控工作人員工在上班時 間玩網絡