.
1.1网络安全方案
1.1.1.网络现状及安全需求
网络现状分析
由于XXX市医院网络安全防护等级低，存在病毒、非法外联、越权访问、被植入木马等各种安全问题。

网络安全需求分析
通过前述的网络系统现状和安全风险分析，目前在网络安全所面临着几大问题主要集中在如下几点：
●来自互连网的黑客攻击
●来自互联网的恶意软件攻击和恶意扫描
●来自互联网的病毒攻击
●来自部网络的P2P下载占用带宽问题
●来自部应用服务器压力和物理故障问题、
●来自部网络整理设备监控管理问题
●来自数据存储保护的压力和数据安全管理问题
●来自部数据库高级信息如何监控审计问题
●来自部客户端桌面行为混乱无法有效管理带来的安全问题
●来自机房物理设备性能无法有效监控导致物理设备安全的问题
1.1.
2.总体安全策略分析
为确保XXX市医院网络系统信息安全，降低系统和外界对网数据的安全威胁，根据需求分析结果针对性制定总体安全策略：
●在网关处部署防火墙来保证网关的安全，抵御黑客攻击
●在网络主干链路上部署IPS来保证部网络安全，分析和控制来自互连网的恶
意入侵和扫描攻击行为。

●在网络主干链路上部署防毒墙来过滤来自互联网的病毒、木马等威胁
●在网络主干链路上部署上网行为管理设备来控制部计算机上网行为，规P2P
下载等一些上网行为。

●在应用区域部署负载均衡设备来解决服务器压力和单台物理故障问题
●在网络部部署网络运维产品，对网络上所有设备进行有效的监控和管理。

●在服务器前面部署网闸隔离设备，保证访问服务器数据流的安全性
●在服务器区域部署存储设备，提供数据保护能力以及安全存储和管理能力
●部署容灾网关，提供应用系统和数据系统容灾解决办法，抵御灾难事件带来
的应用宕机风险。

●部署数据库审计系统，实时监测数据库操作和访问信息，做到实时监控。

●部署网安全管理软件系统，对客户端进行有效的安全管理
●部署机房监控系统，对机房整体物理性能做到实时监控，及时了解和排除物
理性能的安全隐患。

1.1.
2.1.安全拓扑
1.1.
2.2.防火墙访问控制
Internet与服务器区域存在网络连接，必须明确边界，实施边界防护控制。

而部署防火墙产品是实施边界防护控制最为简洁而又有效的方式。

由于服务器区域的安全等级高于Internet网络，因此Internet网络与服务器区域之间的安全防护设备应部署在服务器区域一侧。

●Internet网络作为防火墙的不可信网络、服务器安全域放到防火墙DMZ区、
网医院部网络作为可信任网络；
●严格限定Internet网络对DMZ区所开放的服务访问的源、目的地址和服务
类型；
●严格限定DMZ区对网管网的访问的源、目的地址和服务类型；
●严格控制Internet网络对医院网的直接访问。

1.1.
2.
3.病毒防护
针对防病毒危害性极大并且传播极为迅速，必须配备从服务器到单机的整套防病毒软件，防止病毒入侵主机并扩散到全网，实现全网的病毒安全防护。

并且由于新病毒的出现比较快，所以要求防病毒系统的病毒代码库的更新周期必须比较短。

针对信息系统的具体情况，我们建议在Internet网络与医院网之间安装防病毒网关防病毒，检查所有通过的网络数据包，防通过SMTP、FTP、HTTP、POP3、IMAP、NNTP等多种协议传播的病毒。

对于主机，则采用统一管理，分组部署的管理模式。

1.1.
2.4.入侵检测系统
在许多人看来，有了防火墙，网络就安全了，就可以高枕无忧了。

其实，这是一种错误的认识，防火墙是实现网络安全最基本、最经济、最有效的措施之一。

防火墙可以对所有的访问进行严格控制（允许、禁止、报警）。

但它是静态的，而网络安全是动态的、整体的，黑客的攻击方法有无数，防火墙不是万能的，不可能完全防止这些有意或无意的攻击。

必须配备入侵检测系统，对透过防火墙的攻击进行检测并做相应反应（记录、报警、阻断）。

入侵检测系统和防火墙配合使用，这样可以实现多重防护，构成一个整体的、完善的网络安全保护系统。

1.1.
2.5.上网行为管理
按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和检验操作事件的环境及活动，帮助用户更好地驾驭和使用互联网。

全面细致地帮助用户实现上网行为管理、容安全管理、带宽分配管理、网络应用管理、外发信息管理，有效解决互联网带来的管理、安全、效率、资源、法律等问题。

1.1.3.整体安全解决方案
通过对XXX医院整体网络结构深入、全面的分析，提出XXX医院网络安全优化方案。

1.1.3.1.防火墙部署
防火墙部署描述如下：
●防火墙选择四个网络端口；
●一个Untrust口连接Internet网络；
●一个Trust口连接医院网络；
●一个DMZ口连接开放服务域；
●一个口备用；
●策略默认配置为全禁止；
●Internet网络相关IP可以访问DMZ相应IP的相应服务端口；
●Internet网络访问医院网全禁止；
●DMZ相应IP可以访问医院网相应IP的相应服务端口。

1.1.3.
2.病毒防护
●策略设定为SMTP、FTP、HTTP、POP3、IMAP、NNTP协议病毒分析；
●病毒处理方式为删除、隔离等方式；
●自动在线病毒码更新，更新方式可以通过办公机设定更新代理方式实现；
●统一升级，留有备份；
●紧急处理措施和对新病毒的响应方式。

1.1.3.3.入侵检测系统部署
实时监控系统事件和传输的网络数据，并对可疑的行为进行自动监测和安全响应，使用户的系统在受到危害之前即可截取并终止非法入侵的行为和部网络的误用，从而最大程度地降低安全风险，保护企业网络的系统安全。

●监控探头部署在防火墙DMZ区的交换机上，通过端口流量映射的方式旁听出
入的网络数据包；
●策略配置可以设定放行、报警、阻断、封堵等处理策略，对于Port Scan、口
令猜测、缓冲溢出、特定URL攻击等明显的攻击行为可采用阻断连接session
的方式防止攻击，严格的策略可以封堵相应的来源IP地址，禁止该地址的所
有访问。

1.1.3.4.上网行为管理器
上网行为管理器部署在医院网核心交换机的上层，通过策略对网页过滤，屏蔽员工对非法的访问；基于时间、用户、应用精细管理控制，管控工作人员工在上班时间玩网络游戏、炒股、观看在线视频，以及无节制地网络聊天，从而保障工作效率；
对通过电子、即时通讯、论坛发帖等途径的外发信息进行监控审计，避免企业机密信息泄露；根据应用层的带宽管理功能，有效阻止、限制P2P等严重消耗带宽的应用，确保医院的核心业务带宽得以保障。