1、中小型醫(yī)院網(wǎng)絡(luò)平安保障解決方案一、中小型醫(yī)院的網(wǎng)絡(luò)平安現(xiàn)狀及挑戰(zhàn)現(xiàn)階段，醫(yī)院信息系統(tǒng)正在變成醫(yī)療體系結(jié)構(gòu)中不可或缺的根底架構(gòu)。該架構(gòu)的網(wǎng)絡(luò)平安和數(shù)據(jù)可用性變得異常重要。任何的網(wǎng)絡(luò)不可達(dá)或數(shù)據(jù)喪失輕那么降低患者的滿意度，影響醫(yī)院的信譽(yù)，重那么引起醫(yī)患糾紛、法律問題或社會(huì)問題。和其它行業(yè)的信息系統(tǒng)一樣,醫(yī)療信息系統(tǒng)在日常運(yùn)行中面臨各種平安風(fēng)險(xiǎn)帶來的平安應(yīng)用事故。當(dāng)前，中小型醫(yī)院在網(wǎng)絡(luò)和應(yīng)用系統(tǒng)保護(hù)方面均釆取了一定的平安措施，例如在每個(gè)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)分別部署了防火墻、訪問控制設(shè)備；也可能在一定程度上實(shí)現(xiàn)了區(qū)域性的病毒防御，實(shí)現(xiàn)了病毒庫的升級(jí)和防病毒客戶端的監(jiān)控和管理；釆用系統(tǒng)賬號(hào)管理、防病毒等方面具

2、有一定流程。但在網(wǎng)絡(luò)平安管理方面的流程相比照擬薄弱，需要進(jìn)一步進(jìn)行加強(qiáng)；另外主要業(yè)務(wù)應(yīng)用人員平安意識(shí)有待加強(qiáng)，日常業(yè)務(wù)處理中存在一定非平安操作情況，終端使用和接入情況復(fù)雜。此外,隨著移動(dòng)醫(yī)療應(yīng)用越來越廣泛的部署，以及依托互聯(lián)網(wǎng)平臺(tái)的遠(yuǎn)程醫(yī)療應(yīng)用的日趨廣泛,如何保障移動(dòng)和遠(yuǎn)程應(yīng)用的平安性也是一個(gè)重要的課題。網(wǎng)絡(luò)平安問題越演越烈，也為中小型或成長型的醫(yī)療機(jī)構(gòu)帶來另外一個(gè)挑戰(zhàn)：如何利用較為有限的投資預(yù)算，解決當(dāng)前最為迫切的平安威脅，同時(shí)也要預(yù)留先進(jìn)性和可擴(kuò)展能力，防止造成投資浪費(fèi)。思科自防御網(wǎng)絡(luò)的出現(xiàn)，為中小型醫(yī)療網(wǎng)絡(luò)提供了由低級(jí)到高級(jí)不斷開展、演進(jìn)的平安解決方案，思科網(wǎng)絡(luò)設(shè)備集成了獨(dú)特的平安功能，

3、以及各個(gè)平安設(shè)備的聯(lián)動(dòng)并主動(dòng)進(jìn)行防護(hù),是思科自防御網(wǎng)絡(luò)的具體實(shí)現(xiàn)。基于思科自防御平安體系的建設(shè)指導(dǎo)思想，同時(shí)結(jié)合中小型醫(yī)療機(jī)構(gòu)的平安現(xiàn)狀，我們建議從以下幾個(gè)方面構(gòu)筑中小型醫(yī)療機(jī)構(gòu)的平安體系。二、構(gòu)建平安的根底網(wǎng)絡(luò)平臺(tái)在諸多的局域網(wǎng)平安問題中，因?yàn)闅v史原因，令網(wǎng)絡(luò)管理員感到最頭痛的問題就是IP地址的管理；最擔(dān)憂的問題就是賬號(hào)、密碼的盜取以及信息的失竊和篡改；而最棘手的問題就是木馬、蠕蟲病毒爆發(fā)對(duì)網(wǎng)絡(luò)造成的危害。據(jù)CSI/FBI計(jì)算機(jī)犯罪與平安調(diào)査顯示，信息失竊已經(jīng)成為當(dāng)前最主要的犯罪。在造成經(jīng)濟(jì)損失的所有攻擊中，有75%都是來自于園區(qū)內(nèi)部。這樣，企業(yè)網(wǎng)絡(luò)內(nèi)部就必須釆用更多創(chuàng)新方式來防止攻擊，如果

4、我們將網(wǎng)絡(luò)中的所有端口看成潛在敵對(duì)實(shí)體獲取通道的“端口防線”，網(wǎng)絡(luò)管理員就必須知道這些潛在威脅都有那些，以及需要設(shè)谿哪些平安功能來鎖定這些端口并防止這些潛在的來自網(wǎng)絡(luò)第二層的平安攻擊。網(wǎng)絡(luò)第二層的攻擊是網(wǎng)絡(luò)平安攻擊者最容易實(shí)施，也是最不容易被發(fā)現(xiàn)的平安威脅,它的目標(biāo)是讓網(wǎng)絡(luò)失效或者通過獲取諸如密碼這樣的敏感信息而危及網(wǎng)絡(luò)用戶的平安。因?yàn)槿魏我粋€(gè)合法用戶都能獲取一個(gè)以太網(wǎng)端口的訪問權(quán)限，這些用戶都有可能成為黑客，同時(shí)因?yàn)樵O(shè)計(jì)OSI模型的時(shí)候，允許不同通信層在相互不了解情況下也能進(jìn)行工作，所以第二層的平安就變得至關(guān)重要。如果這個(gè)層受到黑客的攻擊，網(wǎng)絡(luò)平安將受到嚴(yán)重威脅，而且其他層之間的通信還會(huì)繼續(xù)

5、進(jìn)行，同時(shí)任何用戶都不會(huì)感覺到攻擊已經(jīng)危及應(yīng)用層的信息平安。所以，僅僅基于認(rèn)證如)和訪問控制列表(ACL,AccessControlLists)的平安措施是無法防止來自網(wǎng)絡(luò)第二層的平安攻擊。一個(gè)經(jīng)過認(rèn)證的用戶仍然能夠有惡意，并能夠很容易地執(zhí)行本文提到的所有攻擊。當(dāng)前這類攻擊和欺騙工具己經(jīng)非常成熟和易用。以上所提到的攻擊和欺騙行為主要來自網(wǎng)絡(luò)的第二層。在網(wǎng)絡(luò)實(shí)際環(huán)境中，其來源可概括為兩個(gè)途徑：人為實(shí)施，病毒或蠕蟲。人為實(shí)施通常是指使用一些黑客的工具對(duì)網(wǎng)絡(luò)進(jìn)行掃描和嗅探,獲取管理帳戶和相關(guān)密碼，在網(wǎng)絡(luò)上中安插木馬，從而進(jìn)行進(jìn)一步竊取機(jī)密文件。攻擊和欺騙過程往往比較隱蔽和安靜，但對(duì)于信息平安要求高的

6、企業(yè)危害是極大的。木馬、蠕蟲病毒的攻擊不但僅是攻擊和欺騙，同時(shí)還會(huì)帶來網(wǎng)絡(luò)流量加大、設(shè)備CPU利用率過高、二層生成樹環(huán)路、網(wǎng)絡(luò)癱瘓等現(xiàn)象。歸納前面提到的局域網(wǎng)當(dāng)前普遍存在的平安問題，根據(jù)這些平安威脅的特征分析，這些攻擊都來自于網(wǎng)絡(luò)的第二層，主要包括以下幾種：MAC地址泛濫攻擊DHCP效勞器欺騙攻擊ARP欺騙IP/MAC地址欺騙利用CiscoCatalyst交換機(jī)內(nèi)部集成的平安特性，采用創(chuàng)新的方式在局域網(wǎng)上有效地進(jìn)行IP的地址管理、阻止網(wǎng)絡(luò)的攻擊并減少病毒的危害。CiscoCatalyst智能交換系列的創(chuàng)新特性針對(duì)這類攻擊提供了全面的解決方案,將發(fā)生在網(wǎng)絡(luò)第二層的攻擊阻止在通往內(nèi)部網(wǎng)的第一入口處

7、，主要基于下面的幾個(gè)關(guān)鍵的技術(shù)。PortSecurityDHCPSnoopingDynamicARPInspection(DAI)IPSourceGuard我們可通過在思科交換機(jī)上組合使用和部署上述技術(shù)，從而防止在交換環(huán)境中的“中間人”攻擊、MAC/CAM攻擊、DHCP攻擊、地址欺騙等，更具意義的是通過上面技術(shù)的部署能夠簡化地址管理，直接跟蹤用戶IP和對(duì)應(yīng)的交換機(jī)端口，防止IP地址沖突。同時(shí)對(duì)于大多數(shù)具有地址掃描、欺騙等特征的病毒能夠有效的報(bào)警和隔離。通過啟用端口平安功能，可有效防止MAC地址泛洪攻擊，網(wǎng)絡(luò)管理員也能夠靜態(tài)設(shè)谿每個(gè)端口所允許連接的合法MAC地址，實(shí)現(xiàn)設(shè)備級(jí)的平安授權(quán)。動(dòng)態(tài)端口平

8、安那么設(shè)谿端口允許合法MAC地址的數(shù)目，并以一定時(shí)間內(nèi)所學(xué)習(xí)到的地址作為合法MAC地址。通過配谿PortSecurity能夠控制：端口上最大能夠通過的MAC地址數(shù)量端口上學(xué)習(xí)或通過哪些MAC地址對(duì)于超過規(guī)定數(shù)量的MAC處理進(jìn)行違背處理端口上學(xué)習(xí)或通過哪些MAC地址，能夠通過靜態(tài)手工定義，也能夠在交換機(jī)自動(dòng)學(xué)習(xí)。交換機(jī)動(dòng)態(tài)學(xué)習(xí)端口MAC,直到指定的MAC地址數(shù)量，交換機(jī)關(guān)機(jī)后重新學(xué)習(xí)。當(dāng)前較新的技術(shù)是StickyPortSecurity,交換機(jī)將學(xué)到的mac地址寫到端口配谿中，交換機(jī)重啟后配谿仍然存在。對(duì)于超過規(guī)定數(shù)量的MAC處理進(jìn)行處理一般有三種方式針對(duì)交換機(jī)型號(hào)會(huì)有所不同）：Shutdown

9、：端口關(guān)閉。Protect：丟棄非法流量，不報(bào)警。Restrict：丟棄非法流量，報(bào)警。Catalyst交換機(jī)可通過DHCPSnooping技術(shù)保證DHCP平安特性,通過建立和維護(hù)DHCPSnooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。通過截取一個(gè)虛擬局域網(wǎng)內(nèi)的DHCP信息,交換機(jī)能夠在用戶和DHCP效勞器之間擔(dān)任就像小型平安防火墻這樣的角色，“DHCP監(jiān)聽”功能基于動(dòng)態(tài)地址分配建立了一個(gè)DHCP綁定表，并將該表存貯在交換機(jī)里。在沒有DHCP的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個(gè)DHCP綁定條目包含客戶端地址一個(gè)靜態(tài)地址或者一個(gè)從DHCP

10、效勞器上獲取的地址）、客戶端MAC地址、端口、VLANID、租借時(shí)間、綁定類型（靜態(tài)的或者動(dòng)態(tài)的）。通過部署動(dòng)態(tài)ARP檢査DAI,DynamicARPInspection）來幫助保證接入交換機(jī)只傳遞“合法的”的ARP請(qǐng)求和應(yīng)答信息。DHCPSnooping監(jiān)聽綁定表包括IP地址與MAC地址的綁定信息并將其與特定的交換機(jī)端口相關(guān)聯(lián)，動(dòng)態(tài)ARP檢測(cè)(DAI-DynamicARPInspection)能夠用來檢査所有非信任端口的ARP請(qǐng)求和應(yīng)答(主動(dòng)式ARP和非主動(dòng)式ARP),確保應(yīng)答來自真正的ARP所有者。Catalyst交換機(jī)通過檢查端口記錄的DHCP綁定信息和ARP應(yīng)答的IP地址決定是否真正的

11、ARP所有者，不合法的ARP包將被刪除。DAI配務(wù)針對(duì)VLAN,對(duì)于同一VLAN內(nèi)的接口能夠開啟DAI也能夠關(guān)閉，如果ARP包從一個(gè)可信任的接口接收到，就不需要做任何檢査，如果ARP包在一個(gè)不可信任的接口上接收到，該包就只能在綁定信息被證明合法的情況下才會(huì)被轉(zhuǎn)發(fā)出去。這樣，DHCPSnooping對(duì)于DAI來說也成為必不可少的，DAI是動(dòng)態(tài)使用的，相連的客戶端主機(jī)不需要進(jìn)行任何設(shè)爵上的改變。對(duì)于沒有使用DHCP的效勞器個(gè)別機(jī)器能夠釆用靜態(tài)添加DHCP綁定表或ARPaccess-list實(shí)現(xiàn)。另外，通過DAI能夠控制某個(gè)端口的ARP請(qǐng)求報(bào)文頻率。一旦ARP請(qǐng)求頻率的頻率超過預(yù)先設(shè)定的閾值，立即關(guān)

12、閉該端口。該功能能夠阻止網(wǎng)絡(luò)掃描工具的使用，同時(shí)對(duì)有大量ARP報(bào)文特征的病毒或攻擊也能夠起到阻斷作用。除了ARP欺騙外，黑客經(jīng)常使用的另一手法是IP地址欺騙。常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙，其目的一般為偽造身份或者獲取針對(duì)IP/MAC的特權(quán)。CatalystIP源地址保護(hù)(IPSourceGuard)功能翻開后，能夠根據(jù)DHCP偵聽記錄的IP綁定表動(dòng)態(tài)產(chǎn)生PVACL,強(qiáng)制來自此端口流量的源地址符合DHCP綁定表的記錄，這樣攻擊者就無法通過假定一個(gè)合法用戶的IP地址來實(shí)施攻擊了，這個(gè)功能將只允許對(duì)擁有合法源地址的數(shù)據(jù)保進(jìn)行轉(zhuǎn)發(fā)，合法源地址是與IP地址綁定表保持一致的，它也

13、是來源于DHCPSnooping綁定表。所以,DHCPSnooping功能對(duì)于這個(gè)功能的動(dòng)態(tài)實(shí)現(xiàn)也是必不可少的，對(duì)于那些沒有用到DHCP的網(wǎng)絡(luò)環(huán)境來說，該綁定表也能夠靜態(tài)配谿。IPSourceGuard不但能夠配谿成對(duì)IP地址的過濾也能夠配務(wù)成對(duì)MAC地址的過濾，這樣，就只有IP地址和MAC地址都于DHCPSnooping綁定表匹配的通信包才能夠被允許傳輸。此時(shí)，必須將IP源地址保護(hù)IPSourceGuard與端口平安PortSecurity功能共同使用，并且需要DHCP效勞器支持Option82時(shí)，才能夠抵御IP地址+MAC地址的欺騙。與DAI不同的是，DAI僅僅檢查ARP報(bào)文，IPSour

14、ceGuard對(duì)所有經(jīng)過定義IPSourceGuard檢查的端口的報(bào)文都要檢測(cè)源地址。通過在交換機(jī)上配密IPSourceGuard,能夠過濾掉非法的IP/MAC地址，包含用戶成心修改的和病毒、攻擊等造成的。同時(shí)解決了IP地址沖突的問題。此外，在最新的Catalyst3750-X和Catalyst3560-X交換機(jī)內(nèi)，還內(nèi)谿了一系列全新的TrustSec平安技術(shù)。例如，釆用基于標(biāo)準(zhǔn)的MACSecurity技術(shù)，交換機(jī)在面向主機(jī)的端口上提供了對(duì)以太網(wǎng)數(shù)據(jù)在數(shù)據(jù)鏈路層的線速加密，以防止中間人攻擊；支持包括、MAC認(rèn)證旁路、Web認(rèn)證等多種認(rèn)證方式為不同類型的接入終端提供一致的平安體熟，寸文。以上所列

15、的根底平安防護(hù)的功能，均內(nèi)務(wù)在思科的Catalyst交換機(jī)內(nèi)，無需另外購置。方案涉及的主要Catalyst系列交換機(jī)包括：產(chǎn)品系列說明Catalyst3750-X支持堆疊和萬兆上行的智能三層交換機(jī)Catalyst3560-X支持萬兆上行的智能三層交換機(jī)Catalyst2960-S支持堆疊、萬兆上行和靜態(tài)路由的交換機(jī)此外，思科還提供了精睿系列交換機(jī)，通過根本的認(rèn)證、基于MAC的端口平安、基于MAC/IP的訪問控制列表(ACL)、私有VLAN邊緣(PVE)等技術(shù)，專為入門級(jí)的小型醫(yī)療網(wǎng)絡(luò)提供根底的平安網(wǎng)絡(luò)接入效勞。精睿交換機(jī)的主要系列包括：產(chǎn)品系列說明CiscoSF300支持靜態(tài)路由的可網(wǎng)管交換機(jī)

16、CiscoSLM224G2支持基于WEB瀏覽器簡單網(wǎng)管三、內(nèi)網(wǎng)平安與網(wǎng)絡(luò)出口平安解決方案現(xiàn)在的網(wǎng)絡(luò)面臨多種多樣的平安威脅，醫(yī)院需要建立縱深防御體系來防止因某個(gè)局部的侵入而導(dǎo)致整個(gè)系統(tǒng)的崩潰。只有基于網(wǎng)絡(luò)系統(tǒng)之間邏輯關(guān)聯(lián)性和物理位路、功能特性，劃分清楚的平安層次和平安區(qū)域，在部署平安產(chǎn)品和策略時(shí)，才能夠定義清楚地平安策略和部署模式。平安保障包括網(wǎng)絡(luò)根底設(shè)施、業(yè)務(wù)網(wǎng)、辦公網(wǎng)、本地交換網(wǎng)、信息平安根底設(shè)施等多個(gè)保護(hù)區(qū)域。這些區(qū)域是一個(gè)緊密聯(lián)系的整體，相互間既有縱向的縱深關(guān)系，又有橫向的協(xié)作關(guān)系，每個(gè)范圍都有各自的平安目標(biāo)和平安保障職責(zé)。積極防御、綜合防范的方針為各個(gè)保護(hù)范圍提供平安保障，有效地協(xié)調(diào)縱

17、向和橫向的關(guān)系，提高網(wǎng)絡(luò)整體防御能力。針對(duì)醫(yī)院的網(wǎng)絡(luò)系統(tǒng)，我們能夠根據(jù)物理位谿、功能區(qū)域、業(yè)務(wù)應(yīng)用或者管理策略等等劃分平安區(qū)域。不同的區(qū)域之間進(jìn)行物理或邏輯隔離。物理隔離很簡單，就是建立兩套網(wǎng)絡(luò)對(duì)應(yīng)不同的應(yīng)用或效勞,最典型的就是醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)和互聯(lián)網(wǎng)訪問網(wǎng)絡(luò)的隔離。而對(duì)于內(nèi)部各部門或應(yīng)用來說，我們經(jīng)常采用的是利用防火墻邏輯隔離的方法。另一方面，互聯(lián)網(wǎng)對(duì)各種規(guī)模的醫(yī)院來說都十分重要。它帶來了業(yè)務(wù)開展的新機(jī)遇。通過VPN連接，它使得醫(yī)院可與合作伙伴和遠(yuǎn)程員工保持聯(lián)系。但它也是將威脅帶入醫(yī)院網(wǎng)絡(luò)的渠道，這些威脅可能會(huì)對(duì)醫(yī)院造成重大影響：病毒一可感染系統(tǒng)，使其停運(yùn)，從而導(dǎo)致運(yùn)行中斷和收入損失間諜軟件和黑

18、客一會(huì)導(dǎo)致公司數(shù)據(jù)喪失和所以引起法律問題垃圾郵件和泄密一需要繁瑣的處理過程，降低員工生產(chǎn)率瀏覽與工作無關(guān)的網(wǎng)站一會(huì)導(dǎo)致員工生產(chǎn)率降低，并可能使公司承擔(dān)法律責(zé)任受感染的VPN流量一使威脅因素進(jìn)入網(wǎng)絡(luò)，中斷業(yè)務(wù)針對(duì)上述的平安威脅特點(diǎn)和需求狀況，我們建議中小型醫(yī)療機(jī)構(gòu)能夠從以下幾個(gè)方面部署思科的平安解決方案。通過CiscoASA5500部署一體化平安解決方案CiscoASA5500系列提供了一體化平安解決方案，提供了一個(gè)易于使用、且具有醫(yī)院需要的平安功能的全面平安解決方案，結(jié)合了防火墻、入侵保護(hù)、Anti-X和VPN功能，您可對(duì)您的醫(yī)院網(wǎng)絡(luò)受到的保護(hù)充滿信心。通過終止垃圾郵件、間諜軟件和其他互聯(lián)網(wǎng)威

19、脅,員工生產(chǎn)率得到了提高。IT人員也從處理病毒和間諜軟件消除以及系統(tǒng)清潔任務(wù)中解放出來。您可集中精力開展業(yè)務(wù)，而無需為最新病毒和威脅擔(dān)憂。圖：ASA5500系列一體化平安解決方案CiscoASA5500系列為醫(yī)院提供了全面的網(wǎng)關(guān)平安和VPN連接。憑借其集成的防火墻和Anti-X功能，CiscoASA5500系列能在威脅進(jìn)入網(wǎng)絡(luò)和影響業(yè)務(wù)運(yùn)營前，就在網(wǎng)關(guān)處將它們攔截在網(wǎng)絡(luò)之外。這些效勞也可擴(kuò)展到遠(yuǎn)程接入用戶，提供一條威脅防御VPN連接。最值得信賴、廣為部署的防火墻技術(shù)CiscoASA5500系列構(gòu)建于CiscoPIX平安設(shè)備系列的根底之上，在阻擋不受歡迎的來訪流量的同時(shí)，允許合法業(yè)務(wù)流量進(jìn)入。憑

20、借其應(yīng)用控制功能，該解決方案可限制對(duì)等即時(shí)消息和惡意流量的傳輸，因?yàn)樗鼈兛赡軙?huì)導(dǎo)致平安漏洞，進(jìn)而威脅到網(wǎng)絡(luò)。市場(chǎng)領(lǐng)先的Anti-X功能一通過內(nèi)容平安和控制平安效勞模塊(CSC-SSM)提供的強(qiáng)大的Anti-X功能，CiscoASA5500系列提供了全面保護(hù)所需的重要的網(wǎng)絡(luò)周邊平安性。防間諜軟件一阻止間諜軟件通過互聯(lián)網(wǎng)流量(HTTP和FTP)和電子郵件流量進(jìn)入您的網(wǎng)絡(luò)。通過在網(wǎng)關(guān)處阻攔間諜軟件，使IT支持人員無需再進(jìn)行昂貴的間諜軟件去除過程，并提高員工生產(chǎn)率。防垃圾郵件一有效地阻攔垃圾郵件，且誤報(bào)率極低，有助于保持電子郵件效率，不影響與客戶、供應(yīng)商和合作伙伴的通信。防病毒一屢獲大獎(jiǎng)的防病毒技術(shù)在

21、您根底設(shè)施中最有效的地點(diǎn)一互聯(lián)網(wǎng)網(wǎng)關(guān)處防御和未知攻擊，保護(hù)您的內(nèi)部網(wǎng)絡(luò)資源。在周邊清潔您的電子郵件和Web流量，即無需再進(jìn)行消耗大量資源的惡意軟件感染去除工作，有助于確保業(yè)務(wù)連續(xù)性。防泄密一確定針對(duì)泄密攻擊的防盜竊保護(hù)，所以可防止員工無意間泄漏公司或個(gè)人信息，以導(dǎo)致經(jīng)濟(jì)損失。針對(duì)Web接入、電子郵件(SMTP和POP3)以及FTP的實(shí)時(shí)保護(hù)。即使機(jī)構(gòu)的電子郵件已進(jìn)行了保護(hù)，但很多員工仍會(huì)通過公司PC或筆記本電腦訪問自己的個(gè)人電子郵件，從而為互聯(lián)網(wǎng)威脅提供了另一個(gè)入點(diǎn)。同樣，員工可能直接下載受到感染的程序或文件。在互聯(lián)網(wǎng)網(wǎng)關(guān)對(duì)所有Web流量進(jìn)行實(shí)時(shí)保護(hù)，可減少這個(gè)常被忽略的平安易損點(diǎn)。URL過濾

22、一Web和URL過濾可用于控制員工對(duì)于互聯(lián)網(wǎng)的使用，阻止他們?cè)L問不適當(dāng)?shù)幕蚺c業(yè)務(wù)無關(guān)的網(wǎng)站，從而提高員工生產(chǎn)率，并減少因員工訪問了不應(yīng)訪問的Web內(nèi)容而承擔(dān)法律責(zé)任的時(shí)機(jī)。電子郵件內(nèi)容過濾一電子郵件過濾減少了公司因收到通過電子郵件傳輸?shù)墓粜畔⒍袚?dān)法律責(zé)任的時(shí)機(jī)。過濾也有助于符合法律法規(guī)，可幫助機(jī)構(gòu)到達(dá)GrahamLeachBliley和數(shù)據(jù)保護(hù)法案等的要求。威脅防御VPNCiscoASA5500系列為遠(yuǎn)程用戶提供了威脅防御接入功能。該解決方案提供了對(duì)內(nèi)部網(wǎng)絡(luò)系統(tǒng)和效勞的站點(diǎn)間訪問和遠(yuǎn)程用戶訪問。此解決方案結(jié)合了對(duì)于SSL和IPSecVPN功能的支持,可實(shí)現(xiàn)最高靈活性。因?yàn)檫@個(gè)解決方案將防火

23、墻和Anti-X效勞與VPN效勞相結(jié)合，可確保VPN流量不會(huì)為醫(yī)院帶來惡意軟件或其他威脅。方便的部署和管理一隨此解決方案提供了思科自適合平安設(shè)備管理器(ASDM),它具有一個(gè)基于瀏覽器的、功能強(qiáng)大、易于使用的管理和監(jiān)控界面。這個(gè)解決方案在單一應(yīng)用中提供了對(duì)于所有效勞的全面配谿。此外，向?qū)Э芍笇?dǎo)用戶完成配銘的設(shè)谿，實(shí)現(xiàn)迅速部署。部署CiscoIronPortS系列Web平安網(wǎng)關(guān)應(yīng)對(duì)來自互聯(lián)網(wǎng)的Web威脅當(dāng)前，基于互聯(lián)網(wǎng)Web數(shù)據(jù)流傳播的各種平安威脅，開始在全球范圍盛行，使商用網(wǎng)絡(luò)暴露在這些威脅帶來的內(nèi)在危險(xiǎn)之下。現(xiàn)行的網(wǎng)關(guān)防御機(jī)制己經(jīng)證明缺乏以抵御多種基于Web的惡意軟件入侵。據(jù)業(yè)內(nèi)估計(jì)，大約7

24、5%的商用電腦感染了間諜軟件，但是在網(wǎng)絡(luò)周邊部署了惡意軟件防御系統(tǒng)的企業(yè)卻缺乏10%。基于Web的惡意軟件傳播速度快，變種能力強(qiáng)，其危害性日益嚴(yán)重，對(duì)醫(yī)療機(jī)構(gòu)特別是網(wǎng)絡(luò)平安技術(shù)相對(duì)薄弱的中小型醫(yī)療機(jī)構(gòu)來說，擁有一個(gè)強(qiáng)健的能夠保護(hù)醫(yī)院網(wǎng)絡(luò)周邊并抵御這些平安威脅侵害的平安平臺(tái)就顯得極為重要。除此以外，當(dāng)今基于Web的威脅87%是通過合法的網(wǎng)站發(fā)出的。基于Web的惡意軟件有著速度快、多樣性強(qiáng)和變種頻繁出現(xiàn)的攻擊威脅特點(diǎn)，這要求醫(yī)院必須使用一個(gè)強(qiáng)大的、平安平臺(tái)才能將日益嚴(yán)峻的上網(wǎng)威脅屏蔽在醫(yī)院網(wǎng)絡(luò)之外。CiscoIronPortS系列Web平安網(wǎng)關(guān)是業(yè)界開創(chuàng)先河的，也是唯一的將傳統(tǒng)的URL過濾、信譽(yù)過

25、濾和惡意軟件過濾功能集中到單一平臺(tái)來消除上述風(fēng)險(xiǎn)的Web平安設(shè)備。通過綜合利用這些創(chuàng)新的技術(shù),CsicoIronPortS系列網(wǎng)關(guān)能夠幫助企業(yè)在保證Web數(shù)據(jù)流平安和控制Web數(shù)據(jù)流風(fēng)險(xiǎn)方面，應(yīng)對(duì)所面臨的日益嚴(yán)峻的挑戰(zhàn)。CiscoIronPortS系列網(wǎng)關(guān)結(jié)合了多種先進(jìn)技術(shù)，通過單臺(tái)、集成的網(wǎng)關(guān)抵御惡意軟件，幫助企業(yè)實(shí)施平安策略及控制網(wǎng)絡(luò)流量。提供的多層防護(hù)包括CiscoIronPortWeb名譽(yù)過濾器叫多層防惡意軟件掃描引擎和第四層(L4)數(shù)據(jù)流監(jiān)視器，它能夠監(jiān)控非80端口的惡意軟件活動(dòng)。所有這個(gè)切為企業(yè)提供了一個(gè)強(qiáng)大的具有最優(yōu)性能和成效的Web平安平臺(tái)。同時(shí)CiscoIronPortS系列

26、提供智能化的HTTPS解密的能力，從而對(duì)加密數(shù)據(jù)流應(yīng)用所有的平安及訪問策略。在實(shí)際的應(yīng)用環(huán)境中，醫(yī)療機(jī)構(gòu)能夠選擇以下兩種模式部署S系列網(wǎng)關(guān)：直連模式：客戶機(jī)直接連接到S系列，由S系列提供HTTP/HTTPS/FTP流量的代理支持。FirewallClient connecting in Explicit Forward Mode to S-SerlesL4TrafficMonitorPortsconnectedviaTAPorspanport透明模式：由第四層交換機(jī)或WCCP路由器轉(zhuǎn)發(fā)流量至S系列，由SClients connecting Transparently to the S-Seri

27、esFirewall系列提供對(duì)客戶機(jī)透明的代理支持。部署CiscoIronPortC系列電子郵件平安網(wǎng)關(guān)應(yīng)對(duì)來自互聯(lián)網(wǎng)電子郵件的平安威脅垃圾郵件以及隨郵件傳播的病毒、惡意程序、間諜軟件等是當(dāng)前來自互聯(lián)網(wǎng)的另一種主要的平安威脅。對(duì)于平安技術(shù)相對(duì)薄弱的中小型醫(yī)療機(jī)構(gòu)，這種威脅往往會(huì)帶來極大的平安風(fēng)險(xiǎn)：隨意翻開來歷不明的電子郵件或者點(diǎn)擊郵件中的附件或鏈接都有可能形成對(duì)醫(yī)療業(yè)務(wù)系統(tǒng)的攻擊。此外，網(wǎng)絡(luò)管理人員需要消耗大量精力用于清理垃圾郵件，也嚴(yán)重影響了對(duì)正常業(yè)務(wù)系統(tǒng)的管理和維護(hù)。所以，如何對(duì)電子郵件應(yīng)用進(jìn)行高效的平安防御和管理,也是當(dāng)前中小型醫(yī)療機(jī)構(gòu)部署平安解決方案時(shí)需要重點(diǎn)考慮的內(nèi)容。CiscoIr

28、onPortC系列電子郵件平安網(wǎng)關(guān)是針對(duì)電子郵件平安威脅的最正確解決方案。基于CiscoIronPort專有的為企業(yè)目標(biāo)設(shè)定的AsyncOS操作系統(tǒng)，IronPortC系列能夠滿足對(duì)電子郵件的大容量和高可用性的掃描需求，減少與垃圾郵件、病毒和其他各種威脅相關(guān)的系統(tǒng)宕機(jī)時(shí)間，從而支持對(duì)醫(yī)院郵件系統(tǒng)的高效管理并有效減輕網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)。IronPortC系列在一個(gè)網(wǎng)關(guān)設(shè)備上集成了思科獨(dú)有的預(yù)防性過濾器和基于特征碼的反響性過濾器，配合內(nèi)容過濾和高級(jí)加密技術(shù),為客戶提供了當(dāng)前業(yè)界最高級(jí)的郵件平安效勞。同時(shí)，利用思科平安情報(bào)運(yùn)營中心和全球威脅協(xié)作組織使CiscoIronPort網(wǎng)關(guān)產(chǎn)品更聰明，更迅

29、速。這個(gè)先進(jìn)技術(shù)使企業(yè)能夠從最新的互聯(lián)網(wǎng)威脅中提高他們的平安性，并且使得保護(hù)用戶更加透明化。以下圖描述了C系列郵件平安網(wǎng)關(guān)的部署方式。對(duì)于中小型醫(yī)療機(jī)構(gòu)，本方案涉及的ASA和IronPort系列主要產(chǎn)品如下表所示：產(chǎn)品系列說明CiscoASA5505提供一體化的平安解決方案，包括防火墻隔離、IPS、VPN、內(nèi)容過濾等CiscoASA5510提供一體化的平安解決方案，包括防火墻隔離、IPS、VPN、內(nèi)容過濾等CiscoIronPortS160面向中小型醫(yī)療機(jī)構(gòu)的Web平安網(wǎng)關(guān)CiscoIronPortC160面向中小型醫(yī)療機(jī)構(gòu)的電子郵件平安網(wǎng)關(guān)四、平安的醫(yī)療分支機(jī)構(gòu)解決方案隨著國家不斷深化鄉(xiāng)鎮(zhèn)醫(yī)

30、療保障體系的建設(shè)，鄉(xiāng)鎮(zhèn)衛(wèi)生院、醫(yī)療點(diǎn)與城區(qū)中心醫(yī)院之間的聯(lián)系也日趨緊密。互聯(lián)網(wǎng)的普及，一方面為這個(gè)趨勢(shì)提供了便利的信息高速公路，但同時(shí)也帶來了形形色色的平安隱患。在眾多的廣域網(wǎng)接入技術(shù)中，虛擬專網(wǎng)(VPN)能夠說是解決這個(gè)問題的最具經(jīng)濟(jì)實(shí)用性的解決方案。基于集成多業(yè)務(wù)路由器(ISR)的企業(yè)級(jí)VPN解決方案，在可擴(kuò)展的平臺(tái)、平安性、效勞、應(yīng)用和管理五大VPN實(shí)施要素方面，具有基于標(biāo)準(zhǔn)的開放式的體系結(jié)構(gòu)和可擴(kuò)充的端到端網(wǎng)絡(luò)互連能力。借助先進(jìn)的ISR路由器，中小型醫(yī)療機(jī)構(gòu)用戶能夠部署多種VPN連接方式，通過平安可靠的加密手段，保護(hù)醫(yī)療應(yīng)用系統(tǒng)的信息資源。以下圖是基于ISR路由器的一個(gè)典型的VPN實(shí)施

31、方式：SSL VPN合作伙伴思科VPN軟件客分支機(jī)構(gòu)1分支機(jī)構(gòu)”分支機(jī)構(gòu)2冗余聚合的VPN網(wǎng)關(guān)Cisco DMVPN移動(dòng)電遠(yuǎn)程辦公人員 話VPN On-Oemand Tunnels遠(yuǎn)程Easy VPNCisco_ Easy VPN使用思科ISR高端路由器2900系列做為中心醫(yī)院的VPN網(wǎng)關(guān),用來聚合來自分支醫(yī)療機(jī)構(gòu)、合作單位、移動(dòng)/遠(yuǎn)程醫(yī)療終端的VPN各種應(yīng)用o在分支醫(yī)療機(jī)構(gòu)中，根據(jù)機(jī)構(gòu)的規(guī)模和應(yīng)用狀況可選擇思科ISR路由器中的1900系列、890c系列或880c系列做為VPN的網(wǎng)關(guān)。方案特點(diǎn)：平安保障雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多,但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和平安

32、性。在平安性方面，因?yàn)閂PN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡單、方便、靈活，但同時(shí)其平安問題也更為突出。醫(yī)院必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問。效勞質(zhì)量保證(QoS)VPN網(wǎng)理應(yīng)為醫(yī)院數(shù)據(jù)提供不同等級(jí)的效勞質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)效勞質(zhì)量保證的要求差異較大。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源,為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量頂峰時(shí)引起網(wǎng)絡(luò)阻塞，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過流量預(yù)測(cè)與流量控制策略，能夠按

33、照優(yōu)先級(jí)分實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。可擴(kuò)充性和靈活性VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，能夠滿足同時(shí)傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。可管理性從用戶角度和運(yùn)營商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括平安管理、設(shè)備管理、配谿管理、訪問控制列表管理、QoS管理等內(nèi)容。多種VPN的連接方式基于ISR路由器VPN解決方案為中小型醫(yī)院用戶提供了多種VPN的連接方式，包括

34、IPSec、SSL、動(dòng)態(tài)多點(diǎn)VPN(DMVPN)等。與中心醫(yī)院通常有較為完善的網(wǎng)絡(luò)平安部署不同，對(duì)于大量的分支醫(yī)療機(jī)構(gòu)，如鄉(xiāng)鎮(zhèn)衛(wèi)生院、醫(yī)療效勞點(diǎn)等，如何部署適宜的網(wǎng)絡(luò)連接設(shè)備應(yīng)對(duì)當(dāng)前的各種網(wǎng)絡(luò)威脅，例如：黑客攻擊，蠕蟲病毒，非法上網(wǎng)行為等等，是另外一個(gè)需要考慮的重要問題。這些網(wǎng)絡(luò)威脅，既沖擊了分支醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)平安，又消耗了大量網(wǎng)絡(luò)資源，嚴(yán)重影響了醫(yī)療系統(tǒng)的正常運(yùn)行。思科的ISR800系列路由器為中小型的分支機(jī)構(gòu)和小型辦公室提供了可靠的網(wǎng)絡(luò)解決方案，來防御各種網(wǎng)絡(luò)中的威脅，保證了網(wǎng)絡(luò)資源應(yīng)用，確保了醫(yī)療機(jī)構(gòu)廣域網(wǎng)絡(luò)的正常運(yùn)行。思科ISR路由器部署在分支機(jī)構(gòu)，提供了平安的Internet訪問提供

35、先進(jìn)的防火墻，能夠監(jiān)控電子郵件，即時(shí)消息傳遞和HTTP流量能夠在分支機(jī)構(gòu)的本地設(shè)備實(shí)施防御蠕蟲病毒的平安策略，節(jié)省廣域網(wǎng)絡(luò)帶寬入侵防御系統(tǒng)(IPS)：這種深度包檢測(cè)特性能夠有效阻止各種網(wǎng)絡(luò)攻擊內(nèi)容過濾：一種基于預(yù)訂的集成平安解決方案，能夠提供基于類別的分級(jí)；關(guān)鍵字?jǐn)r截；并可抵御廣告軟件、惡意軟件、間諜軟件和URL阻截即使是DOS攻擊，也可保持可用性方案中涉及的主要ISR路由器產(chǎn)品：產(chǎn)品系列說明Cisco2921部署在中心醫(yī)院Ciscol941部署在較大規(guī)模的分支機(jī)構(gòu)，例如分院Cisco860/880C/890C部署在衛(wèi)生院、醫(yī)療效勞站等此外，思科還提供精睿系列VPN路由器，專為需要根本遠(yuǎn)程平安互連且嚴(yán)格控制投資預(yù)算的小型醫(yī)療分支機(jī)構(gòu)提供入門級(jí)的IPSecVPN連接，并且能夠與中心醫(yī)療機(jī)構(gòu)的思科ISR路由器統(tǒng)一部署，提供一體化的VPN解決方案。常用的精睿系列VPN路由器如下：產(chǎn)品系列說明CiscoRV120W部署在小型分支機(jī)構(gòu)，支持10個(gè)IPSec隧道和CiscoWRV210部署在小型分支機(jī)構(gòu)，支持5個(gè)IPSec隧道和CiscoRVS4000部署在小型分支機(jī)構(gòu)，支持5個(gè)IPSec隧道和IP