返回
某医院网络安全加固拓扑分析

某医院网络安全加固拓扑分析

ID:47841470

大小:278.29 KB

页数:15页

时间:2019-11-23

某医院网络安全加固拓扑分析_第1页
某医院网络安全加固拓扑分析_第2页
某医院网络安全加固拓扑分析_第3页
某医院网络安全加固拓扑分析_第4页
某医院网络安全加固拓扑分析_第5页
资源描述:

《某医院网络安全加固拓扑分析》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、医院网络安全加固拓扑分析基于信息安全等级保护基本要求优化设计2015/4/22第一部分、信息安全加固拓扑总体分析本方案通过全景方式对某人民医院网络拓扑进行展现。基于等级保护测评的信息安全问题和安全测评工程师给出的信息安全加固方案,形成下图:医院内网医院内网主要承载了某人民医院内部重要的业务系统,相对于医院外网安全性要高,根据现状分析,当前具有两个网络出口,目前已经部署了防火墙进行安全防护。考虑医院主要的被测系统的等级保护要求我们建议部署数据库审计系统、堡垒机和入侵防御系统,进行必要的综合审计、运维与安全防护。数据库审计系统旁路端口

2、镜像部署在三级系统核心或汇聚交换机上,主要对三级业务系统的各种数据库操作进行实施审计和记录。堡垒机系统旁路部署在内网核心交换上,主要是针对全医院所有的网络设备、主机设备及安全设备进行运维审计,要是实现预期目标必须要和防火墙或ACL配合。在内网边界防火墙下部署入侵防御系统。数据交换区当前由于某人民医院内外网络之间需要进行数据通讯,建立一个数据交换区域,数据交换区域通过防火墙进行两个区域之间的隔离和安全防护。从信息安全角度,我们不建议内外网络之间进行直接区域打通,如有必要应当实现物理隔离。个人建议采用数据交换应该通过VPN等方式实现,

3、每个区域应当有自己的管理系统,内网防病毒系统应当离线病毒定义升级等措施。如果现状无法改变,我们建议数据交换区应当提高信息安全防护级别,主要从单一访问控制延伸至应用层防护、入侵防御、恶意代码防护等综合安全措施。因此我们采用下一代安全网关或网闸这类安全设备,加强两大区域之间的安全防护。该防火墙要执行严格的安全策略。医院外网医院外网主要承载了医院办公互联网访问,对外提供业务等服务。由于面向互联网,因此该区域面临较高的信息威胁和隐患,主要包括病毒恶意代码、网络攻击、黑客入侵、数据外泄等风险。现状是单一的防火墙进行安全防护,我们建议某人民医

4、院首先应当对业务分级保护,重新规划DMZ区,主要放置对外的各业务WEB服务器。重点加强网络边界和DMZ区域安全防护,如在和互联网边界透明/路由部署抗Ddos系统,防火墙系统(路由模式)、入侵防御系统和防病毒。DMZ经过WAF(应用层防火墙)进行过滤,保障对外业务的应用安全。第二部分、需求分析与产品功能介绍2.1抗Ddos系统需求分析拒绝服务攻击(DoS,DenialofService)是指利用各种服务请求耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。而随着僵尸网络的兴起,同时由于攻击方法简单、影响较大、难以追查

5、等特点,又使得分布式拒绝服务攻击(DDoS,DistributedDenialofService)得到快速壮大和日益泛滥。成千上万主机组成的僵尸网络为DDoS攻击提供了所需的带宽和主机,形成了规模巨大的攻击和网络流量,对医院出口网络造成了极大的危害。主要危害:医院上网缓慢、网站或者挂号系统无法访问、出口设备宕机,网络停止服务。产品功能探针式流量检测:Detector通过DFI分析的方式,发现网络中的异常流量并给出告警,支持主流的流量分析技术包括Netflow、cFlow、sFlow、NetStream等。同时也支持镜像流量进行Fl

6、ow转化,可以满足各种网络环境的流量分析需求。手术式DDoS清洗:对漏洞型、流量型、应用型等各种DDOS攻击进行清洗,并将清洗完后的干净流量回注到网络。强劲的处理性能:采用MIPS多核处理平台,单机最大同时支持64个vCPU并行工作,清洗能力强,稳定性高。2.2入侵防御系统需求分析随着网络的飞速发展,以蠕虫、病毒、木马、间谍软件、黑客攻击为代表的应用层攻击层出不穷。传统的基于网络层的防护只能针对报文头进行检查和规则匹配,而大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。由于业务需要,网络连接互

7、联网,业务或办公数据在网络上传输,而网络设备、主机系统都不同程度存在一些安全漏洞,攻击者可以利用存在的漏洞进行破坏,可能引起数据破坏、业务中断甚至系统宕机,严重影响医院网络信息系统的正常运行。在医院网络中,防火墙作为安全保障体系的第一道防线,防御黑客攻击。但作为工作在三层以下的访问控制设备,防火墙无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如针对WEB服务的CodeRed蠕虫等。而且有些主动或被动的攻击行为是来自防火墙内部的,防火墙无法发现内部网络中的攻击行为。因此,如何识别医院网络中的攻击行为成为了当务之急。主要功能NIPS

8、是网络入侵防护系统产品内置先进的Web信誉机制,同时具备深度入侵防护、精细流量控制,以及全面用户上网行为监管等多项功能,能够为用户提供深度攻击防御入侵防御系统可以对网络蠕虫、间谍软件、溢出攻击、数据库攻击等多种深层攻击行为进行主动阻断。并在漏洞库的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。