《医院安全隔离及信息交互建议方案》由会员分享,可在线阅读,更多相关《医院安全隔离及信息交互建议方案(21页珍藏版)》请在金锄头文库上搜索。
1、-*人民医院网络隔离与信息交换推荐方案市利谱信息技术*2012年目录一、需求分析31.1概述31.2*人民网络的网络现状31.3网络构造说明41.4*人民医院网络隔离与信息交换建立需求41.5*人民医院的网络的平安现状4二、设计原则及技术、设备选型依据82.1设计原则8三、建立方案93.1*人民医院网络隔离与信息交换设计拓扑图93.2TIPTOP物理隔离网闸的选型与依据93.3*人民网络隔离与信息交换系统的运行14四、实施方案154.1工程建立154.2工程保障154.3应用实施154.4实施进度表16五、效劳方案和培训185.1售后效劳支持185.2故障处理程序195.3培训20一、 需求分
2、析1.1 概述医院信息化建立经历了单机操作、局部网络化、全院的网络信息化建立三个阶段。随着社会的进步,医院信息化建立也赶上时代的步伐,从最初的小规模的尝试进入了大规模的铺开。医院网通常部署有各种收费效劳器、病例资料管理效劳器和药房管理效劳器。而近些年,人们越来越热衷于使用各种银行卡、信用卡、一卡通等电子货币媒介作为缴付医疗费用的方式。政策方面,又推行了新农合、新农保等相关惠民政策,这些政策的实施,使得医院与银行、社保局等相关机构建立了越来越严密的业务联系,所以这就要求医院进一步加强部信息的平安管理。只有保证病例档案、缴费系统、社会医疗等相关信息的真实性以及快速验证性,才能够在保证业务效率的同时
3、,保障公民的切身利益。因此,如何保护部相关信息的平安,是目前的一个挑战性问题。1.2 *人民网络的网络现状*人民网络现在的网络拓扑图:1.3 网络构造说明医院各个部门如门诊收费人员、住院部人员、医生和行政管理人员通过中心交换机实现网络的互联和对医院部效劳器的访问。门诊收费处通过DDN专线可以访问医保网,门诊收费处刷卡缴费系统通过互联网可以与银行进展信息交互。1.4 *人民医院网络隔离与信息交换建立需求鉴于现有的网络状况,依据我医院信息化建立的规划,此次建立应到达以下目标:1、 从管理和技术角度上,建立多层平安体系,保证医院网络信息和各个系统的平安性、*性。同时在保持医院医保、互联网和医院各个系
4、统隔离的同时,进展适度的、可控的外网络的数据交换。保护医院各个系统网络的平安,实现隔离,防止外网黑客的攻击。2、 详细记录医院数据中心网络及医院文件交换及传输日志,做到有案可查。1.5 *人民医院的网络的平安现状网络平安风险分析:网络应用给人们带来了无尽的好处,但随*人民医院网络应用规模的扩大,网络平安风险也变得更加严重和复杂。下面从网络的技术模型并结合*人民医院系统网络现状,分析网络平安风险存在的方面。以下我们先对*人民医院网络进展概要的分析。(1) 网络构造平安风险 来自与公网互联的平安危胁由于Internet的开放性、国际性与自由性,Internet已成为之间信息战的主要战场;商业间谍会
5、利用Internet窃取企业、医院的*数据;企业之间的竞争会导致竞争对手攻击本企业的网络;黑客也随时随地想攻入企业或医院等网络。因此,只要与Internet相连,部网络将面临着严重的平安危胁。*人民医院网络,直接与互联网相联,因此存在来自公网的平安威胁。 与系统外网络互联的平安威胁如果系统部局域网络与系统外部网络间没有采取一定的平安防护措施,部网络容易造到来自外网一些不怀好意的入侵者的攻击。如:入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的平安漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等平安信息的关键文件等,并通过相应攻击程序对网进展
6、攻击。入侵者通过网络监听等先进手段获得部网用户的用户名、口令等信息,进而假冒部合法身份进展非法登录,窃取部网重要信息。恶意攻击:入侵者通过发送大量PING包对部网重要效劳器进展攻击,使得效劳器超负荷工作以至拒绝效劳甚至系统瘫痪。*人民医院网络,与医保网络、居民安康档案等网络相连,而这些网络的连接围非常广、使用人员复杂,因此也存在桌平安威胁。 部局域网的平安威胁据调查在已有的网络平安攻击事件中约70%是来自部网络的侵犯。比方部人员成心泄漏部网络的网络构造;平安管理员有意透露其用户名及口令;部不怀好意员工编些破坏程序在部网上传播或者部人员通过各种方式盗取他人涉密信息传播出去。*人民医院网络各种应用
7、系统较多、使用人员很多,多种因素都将对网络平安构成威胁。(2) 系统平安风险系统平安是指主机操作系统的平安性问题。任何操作系统都会有平安漏洞、缺陷和稳定性问题。基于检查系统的平安漏洞、缺陷和稳定性问题,来攻击一个系统,到达控制系统的目的。控制该系统之后,入侵者从一个不可信的主机转换为一个可信的主机,从而进展下一步的攻击。目前,*人民医院的各应用系统、数据库系统均建立在Windows NT效劳器之上,对于效劳器来说,Windows NT是平安性最差的操作系统,其漏洞最多,黑客对该系统也最熟悉,因此*人民医院存在极大的系统平安威胁。(3) 应用平安风险应用平安是指主机系统上应用软件层面的平安,如W
8、eb效劳器、信息交易系统和数据库的平安问题等。应用系统软件引入新的威胁,大局部Internet应用系统软件协议没有进展很好的平安性设计,且网络效劳器程序经常用超级用户特权来执行,这便造成诸多平安问题。如何防应用系统软件引入的平安问题.如何更好地发挥应用软件的功能.这是要解决的一个问题。应用系统是动态的、不断变化的。应用的平安性也是动态的。这就需要我们对不同的应用,检测平安漏洞,采取相应的平安措施,降低应用的平安风险。应用层面的平安风险包括如下方面: 资源共享*人民医院部必有自动化办公系统,而办公网络应用通常是共享网络资源,比方文件共、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信
9、息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。 电子系统电子为网系统用户提供电子应用。*人民医院部网用户可够通过拔号或其它方式进展电子发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户平安意识比拟淡薄,对一些来历不明的,没有警觉性,给入侵者提供时机,给系统带来不平安因至素。 病毒侵害 网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子、使用盗版光盘或软盘、人为投放等传播途径潜入部网。因此,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间
10、迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丧失、机器死机等不平安因素 数据信息数据平安对*人民医院来说尤其重要,数据在广域网线路上传输,很难保证在传输过程中不被非法窃取,篡改。现今很多先进技术,黑客或一些工业间谍会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息。也就造成的泄密。(4) 管理平安风险部管理人员或员工把部网络构造、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。 机房重地却是任何都可以进进出出,来去自由。存有恶意的入侵者便有时机得到入侵的条件。部不满的员工有的可能熟悉效劳器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。如传
11、出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的平安风险。 管理是网络中平安得到保证的重要组成局部,是防止来自部网络入侵必须的局部。责权不明,管理混乱、平安管理制度不健全及缺乏可操作性等都可能引起管理平安的风险。即除了从技术上下功夫外,还得依靠平安管理来实现。二、 设计原则及技术、设备选型依据2.1 设计原则 高性价比原则:构建平安体系必须在性能和价格之间进展权衡。在方案的制定、产品的选型、效劳的选择方面都尽可能表达高性能价格比的原则。 高效性:由于增加了平安产品,必将影响网络和系统的性能,包括对网络传输速率的影响,对系统本身资源的消耗等。因此需要平衡利弊,提出最为适
12、当的平安解决建议。 简单性:尽力防止造成网络构造的复杂,操作与维护的困难。平安体系的建立不能对目前信息系统的构造做出根本性的修改。 可管理性:对于平安系统来说,要求提供方便、友好的图形化管理界面。对于网络系统来说,要求不影响原有业务的开展。 开放性:平安管理工具支持广泛的平安管理标准。提供的平安产品具有相应的接口,可以利于各种平安产品之间集成使用,并可以和其他信息产品高效结合。三、 建立方案3.1 *人民医院网络隔离与信息交换设计拓扑图根据对*人民医院网络建立需求分析,我们提出*人民医院网络隔离与信息建立方案。根据*人民医院的网络平安需求,我们在改变原构造情况下做统一平台管理规划。改造后的总体
13、网络拓扑构造图:我们把TIPTOP物理隔离网闸口联接通过医院的数据中心和办公网络,网闸外口连接*人民医院医保,安康档案及互联网。通过网闸实现了*人民医院师数据中心与医保网络与互联网的隔离,但也可以实现一定平安度上的数据交换。3.2 TIPTOP物理隔离网闸的选型与依据(1) TIPTOP物理隔离网闸优点 固化单进程操作系统,确保系统本身不受黑客和病毒侵害; 数据加密传送,保障网数据不被窃取; 专用物理隔离模块,确保外网物理隔离; 完善的身份认证体系,防止非法授权用户访问外网; 完善的病毒查杀机制,防止病毒感染部数据; 完善的系统审计日志,监控数据交换全过程。(2) TIPTOP物理隔离网闸功能
14、介绍TIPTOP V2.0物理隔离网闸产品是运用国际上最先进物理隔离网络平安技术设计的平安网闸,能够保证部可信网络与外部不可信网络的物理隔断,能够阻止各种和未知的网络层和操作系统层的黑客攻击,提供比防火墙、入侵检测和扫描等技术更好的平安保障,既为客户保证了网路边界的物理隔离,又实现了在线式实时访问不可信网络如INTERNET所必需的数据交换、应用效劳访问等,通过强大的协议检查、容审查、用户审计等手段来确保外网资源、信息和数据的平安实时交换和访问。TIPTOP V2.0物理隔离网闸产品是当今最平安、最多面手的网络平安隔离设备,凭借其具有的物理隔离、双向应用代理、细粒化的容检测和过滤等功能和标配的
15、10个10M/100M/1000M自适应以太网口,可以轻松地集成到政府、教育、军队、电力、交通、能源、金融和大型企业等不同的网络环境中。为客户不仅提供提供物理隔离的平安,也提供接近线性的数据交换能力和惊人的最大并发连接数,最大并发连接数可达100000,,以满足客户对高平安、高性能、高可靠性的应用需求。注:以上仅为参考图,产品以实物为准(3) 主要特点 高平安性TIPTOP V2.0隔离网闸奉行“平安隔断、适度交换的设计思想,采用最新数据通道控制技术,在保证网系统和信息平安的前提下,实现了外网之间数据的平安、快速交换。由于采用多重平安机制、综合防策略,彻底防止了来自操作系统、命令、协议的和未知的攻击,所以,它是目前所有平安产品中具有最高平安性的网络产品之一。 高带宽TIPTOP V2.0物理隔离网闸的最高带宽可以高达1G,很好解决了绝大局部物理隔离网闸存在的效率问题。 低延时TIPTOP V2.0隔离网闸采用了专用大规模集成电路芯片ASIC来控制外端之间的数据交换,开关的转换速度在毫秒级之下,TIPTOP V2.0隔离网闸为网用户提供浏览互联网络效劳和文件交换速度之快,其延迟一般用户根本上是发觉不到的。 高可用性TIP
