某医院网络安全加固拓扑分析

《某医院网络安全加固拓扑分析》由会员分享，可在线阅读，更多相关《某医院网络安全加固拓扑分析（15页珍藏版）》请在金锄头文库上搜索。

1、等级保护测评的信息平安问题和平安测评工程师给出的信息平本方案通过全景方式对某人民医院网络拓扑进展展现。基于医院网络平安加固拓扑分析基于信息平安等级保护根本要求优化设计2021 /4/22第一局部、信息平安加固拓扑总体分析安加固方案，形成以下图:jiuMEitn工HIn.兼天医院网医院网主要承载了某人民医院部重要的业务系统，相对于医 院外网平安性要高，根据现状分析，当前具有两个网络出口，目 前已经部署了防火墙进展平安防护。考虑医院主要的被测系统的等级保护要求我们建议部署数据库审计系统、堡垒机和入侵防御系统，进展必要的综合审计、运维与平安防护。数据库审计系统 旁路端口镜像部署在三级系统核心或会聚交

2、换机上，主要对三级业务系统的各种数据库操作进展实施审计和记录。堡垒机系统旁路部署在网核心交换上，主要是针对全医院所有的网络设备、主机设备及平安设备进展运维审计， 要是实现预期目标必须要和防 火墙或ACL配合。在网边界防火墙下部署入侵防御系统。数据交换区当前由于某人民医院外网络之间需要进展数据通讯， 建立一个数据交换区域， 数据交换区域通过防火墙进展两个区域之间的隔离和平安防护。从信息平安角度，我们不建议外网络之间进展直接区域打通， 如有必要应当实现物理隔离。 个人建议采用数据交换应该通过 VPN 等方式实现， 每个区域应当有自己的管理系统， 网防病毒系统应当离线病毒定义升级等措施。如果现状无法

3、改变， 我们建议数据交换区应当提高信息平安防护级别，主要从单一访问控制延伸至应用层防护、入侵防御、恶意代码防护等综合平安措施。因此我们采用下一代平安网关或网闸这类平安设备， 加强两大区域之间的平安防护。该防火墙要执行严格的平安策略。医院外网医院外网主要承载了医院办公互联网访问， 对外提供业务等效劳。 由于面向互联网， 因此该区域面临较高的信息威胁和隐患，主要包括病毒恶意代码、 网络攻击、 黑客入侵、 数据外泄等风险。现状是单一的防火墙进展平安防护， 我们建议某人民医院首先应当对业务分级保护，重新规划 DMZ 区，主要放置对外的各业务 WEB 效劳器。重点加强网络边界和 DMZ 区域平安防护，

4、如在和互联网边界透明 / 路由部署抗Ddos 系统， 防火墙系统 路由模式 、 入侵防御系统和防病毒。DMZ经过 WAF（应用层防火墙）进展过滤，保障对外业务的应用平安。第二局部、需求分析与产品功能介绍2.1 抗 Ddos 系统需求分析拒绝效劳攻击DoS, Denial of Service是指利用各种效劳请求耗尽被攻击网络的系统资源， 从而使被攻击网络无法处理合法用户的请求。 而随着僵尸网络的兴起， 同时由于攻击方法简单、影响较大、难以追查等特点，又使得分布式拒绝效劳攻击DDoS , Distributed Denial of Service得到快速壮大和日益泛滥。成千上万主机组成的僵尸网络

5、为 DDoS 攻击提供了所需的带宽和主机， 形成了规模巨大的攻击和网络流量， 对医院出口网络造成了极大的危害。主要危害：医院上网缓慢、或者挂号系统无法访问、出口设备宕机，网络停顿效劳。产品功能探针式流量检测： Detector 通过 DFI 分析的方式， 发现网络中的异常流量并给出告警，支持主流的流量分析技术包括Netflow 、 cFlow、 sFlow、 NetStream 等。同时也支持镜像流量进展 Flow 转化，可以满足各种网络环境的流量分析需求。手术式 DDoS 清洗：对漏洞型、流量型、应用型等各种DDOS 攻击进展清洗，并将清洗完后的干净流量回注到网络。强劲的处理性能：采用 MI

6、PS 多核处理平台，单机最时支持 64 个 vCPU 并行工作，清洗能力强，稳定性高。2.2 入侵防御系统需求分析随着网络的飞速开展，以蠕虫、病毒、木马、间谍软件、黑客攻击为代表的应用层攻击层出不穷。 传统的基于网络层的防护只能针对报文头进展检查和规那么匹配， 而大量应用层攻击都隐藏在正常报文中， 甚至是跨越几个报文， 因此仅仅分析单个报文头意义不大。由于业务需要， 网络连接互联网， 业务或办公数据在网络上传输，而网络设备、主机系统都不同程度存在一些平安漏洞，攻击者可以利用存在的漏洞进展破坏， 可能引起数据破坏、 业务中断甚至系统宕机，严重影响医院网络信息系统的正常运行。在医院网络中， 防火墙

7、作为平安保障体系的第一道防线， 防御黑客攻击。 但作为工作在三层以下的访问控制设备， 防火墙无法检测或拦截嵌入到普通流量中的恶意攻击代码，比方针对WEB 效劳的 Code Red 蠕虫等。而且有些主动或被动的攻击行为是来自防火墙部的， 防火墙无法发现部网络中的攻击行为。 因此，如何识别医院网络中的攻击行为成为了当务之急。主要功能NIPS 是网络入侵防护系统产品置先进的 Web 信誉机制，同时具备深度入侵防护、 精细流量控制， 以及全面用户上网行为监管等多项功能， 能够为用户提供深度攻击防御入侵防御系统可以对网络蠕虫、间谍软件、溢出攻击、数据库攻击等多种深层攻击行为进展主动阻断。 并在漏洞库的根

8、底上， 集成了专业病毒库和应用协议库，是针对系统漏洞、协议弱点、病毒蠕虫、黑客攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。 部署简单、 即插即用， 配合应用 Bypass 等高可靠性设计， 可满足各种复杂网络环境对应用层平安防护的高性能、 高可靠和易管理的需求， 是应用层平安保障的最正确选择。2.3 WAF 应用层防护墙需求分析WEB 应用平安问题本质上源于软件质量问题，但WEB 应用相较传统的软件，具有其独特性。 WEB 应用往往是某个机构所独有的应用，对其存在的漏洞，的通用漏洞签名缺乏有效性；WEB 需要频繁地变更以满足业务目标，从而使得很难维持有序的开发

9、周期；基于 Web 的应用日益增多， SQL 注入、 跨站脚本、 网页挂马等各种攻击手段使得Web 应用处于高风险的环境中， 传统平安设备无法对Web 应用提供细粒度的有效防护。主要功能Web 应用防火墙简称WAF ，专注于保护 Web 应用和Web 效劳， 并将成熟的 DDoS 攻击抵御机制整合在一起， WAF提供针对 OWASP Top 10、LOIC、HOIC 的全面防御， 为 Web 平安保驾护航。降低数据泄露风险SQL 注入防护、 HTTP 协议防护、 Web 漏洞攻击防护、信息平安防护状态码过滤 / 伪装 、 Web 容平安防护 支撑 Web 效劳可用性 HTTP Flood 防护

10、、 TCP Flood 防护 控制恶意访问 URL 访问控制文件非法下载/ 上传防护盗链防护爬虫防护保护 Web 客户端 CSRF 防护 XSS 防护 Cookie平安加密 / 签名2.4 堡垒机系统需求分析随着信息化进程不断深入，医院的业务系统变得日益复杂，由员工或者外部维护人员违规操作导致的平安问题变得日益突出起来。防火墙、防病毒、入侵检系统等常规的平安产品可以解决一局部平安问题， 但对于部人员的违规操作却无能为力。 越来越多的会将非核心业务外包给设备商或者其他专业代维公司。 如何有效地监控设备厂商和代维人员的操作行为,并进展严格的审计是医院面临的一个关键问题。主要功能堡垒机是针对业务环境

11、下的用户运维操作进展控制和审计的合规性管控系统。 它通过对自然人身份以及资源、 资源账号的集中管理建立“自然人资源 资源账号对应关系，实现自然人对资源的统一授权， 同时， 对授权人员的运维操作进展记录、分析、展现，以帮助控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强部业务操作行为监管、防止核心资产效劳器、网络设备、平安设备等损失、 保障业务系统的正常运营。对单位的业务系统来说，真正重要的核心信息资产往往存放在少数几个关键系统上， 通过使用堡垒机， 能够加强对这些关键系统的访问控制与审计， 从而有效地减少核心信息资产的破坏和泄漏。能够对运维人员维护过程的全面跟踪

12、、控制、记录、回放；支持细粒度配置运维人员的访问权限，实时阻断违规、越权的访问行为， 同时提供维护人员操作的全过程的记录与报告； 系统支持对加密与图形协议进展审计， 消除了传统行为审计系统中的审计盲点，是 IT 系统部控制最有力的支撑平台之一。2.5 数据库审计系统需求分析数据库系统作为信息的聚集体， 是计算机信息系统的核心部件，其平安性至关重要，关系到医院兴衰、成败。因此，如何有效地保证数据库系统的平安，实现数据的性、完整性和有效性，已经成为业界人士探索研究的重要课题之一。 对医院重要的业务应用系统或者网络根底设施， 相应地具备如下需求中的局部或者全部：1、需要满足各种合规要求，比方等级保护

13、、分级保护等要求；2、需要对重要/ 关键数据的访问进展审计；3、希望有效地控制数据库操作风险；4、需要进展事后追查，但缺乏数据记录与追查方法。主要功能数据库平安审计系统主要用于监视并记录对数据库效劳器的各类操作行为，通过对网络数据的分析，实时地、智能地解析对数据库效劳器的各种操作， 并记入审计数据库中以便日后进展查询、分析、过滤，实现对目标数据库系统的用户操作的监控和审计。数据库审计系统通结合各类法令法规如等级保护、分级保护、医院控等对数据库平安的要求，自主研发的业界首创细粒度审计、双向审计、全方位风险控制的数据库平安审计产品。可帮助医院带来如下价值点：全面记录数据库访问行为，识别越权操作等违

14、规行为，并完成追踪溯源 跟踪敏感数据访问行为轨迹，建立访问行为模型，发现敏感数据泄漏检测数据库配置弱点、 发现 SQL 注入等漏洞、提供解决建议 为数据库平安管理与性能优化提供决策依据提供符合法律法规的报告，满足等级保护、医院控等审计要求；2.6 下一代平安网关主要面向数据交换区进展访问控制和综合平安防护。下一代防火墙可准确识别数千种网络应用， 并提供详尽的应用风险分析和灵活的策略管控。结合用户识别、容识别，下一代防火墙可为用户提供可视化及精细化的应用平安管理。 同时， 下一代防火墙置了先进的威胁检测引擎及专业的 WEB 效劳器防护功能，能够抵御包括病毒、木马、 SQL 注入、 XSS 跨站脚

15、本、CC 攻击在的各种网络攻击， 有效保护用户网络安康及WEB 效劳器平安。 基于全并行软硬件架构实现的 “一次解包、 并行检测，下一代防火墙在具备全面平安防护的同时， 更为用户提供高性能的应用平安防护。优化的攻击识别算法。 能够有效抵御如 SYN Flood 、 UDPFlood 、 HTTP Flood 等 DoS/DDoS 攻击，保障网络与应用系统的平安可用性。专业 Web 攻击防护功能。支持SQL 注入、跨站脚本、CC 攻击等检测与过滤，防止 Web 效劳器遭受攻击破坏；支持外链检查和目录访问控制，防止 Web Shell 和敏感信息泄露，防止网页篡改与挂马，满足用户 Web 效劳器深层次平安防护需求