某医院网络安全加固拓扑分析

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

医院网络安全加固拓扑分析

基于信息安全等级保护基本要求优化设计

2015/4/22

第一部分、信息安全加固拓扑总体分析本方案通过全景方式对某人民医院网络拓扑进行展现。基于等级保护测评的信息安全问题和安全测评工程师给出的信息安全加固方案,形成下图:

医院内网

医院内网主要承载了某人民医院内部重要的业务系统,相对于医院外网安全性要高,根据现状分析,当前具有两个网络出口,目前已经部署了防火墙进行安全防护。考虑医院主要的被测系统的等级保护要求我们建议部署数据库审计系统、堡垒机和入侵防御系统,进行必要的综合审计、运维与安全防护。数据库审计系统旁路端口镜像部署在三级系统核心或汇聚交换机上,主要对三级业务系统的各种数据库操作进行实施审计和记录。堡垒机系统

旁路部署在内网核心交换上,主要是针对全医院所有的网络设备、主机设备及安全设备进行运维审计,要是实现预期目标必须要和防火墙或 ACL 配合。在内网边界防火墙下部署入侵防御系统。数据交换区

当前由于某人民医院内外网络之间需要进行数据通讯,建立一个数据交换区域,数据交换区域通过防火墙进行两个区域之间的隔离和安全防护。

从信息安全角度,我们不建议内外网络之间进行直接区域打通,如有必要应当实现物理隔离。个人建议采用数据交换应该通过 VPN 等方式实现,每个区域应当有自己的管理系统,内网防病毒系统应当离线病毒定义升级等措施。

如果现状无法改变,我们建议数据交换区应当提高信息安全防护级别,主要从单一访问控制延伸至应用层防护、入侵防御、恶意代码防护等综合安全措施。

因此我们采用下一代安全网关或网闸这类安全设备,加强两大区域之间的安全防护。该防火墙要执行严格的安全策略。

医院外网

医院外网主要承载了医院办公互联网访问,对外提供业务等服务。由于面向互联网,因此该区域面临较高的信息威胁和隐患,主要包括病毒恶意代码、网络攻击、黑客入侵、数据外泄等风险。现状是单一的防火墙进行安全防护,我们建议某人民医院首先应当对业务分级保护,重新规划 DMZ 区,主要放置对外的

各业务 WEB 服务器。

重点加强网络边界和 DMZ区域安全防护,如在和互联网边界透明/路由部署抗 Ddos 系统,防火墙系统(路由模式)、入侵防御系统和防病毒。DMZ经过 WAF(应用层防火墙)进行过滤,保障对外业务的应用安全。

第二部分、需求分析与产品功能介绍

2.1 抗 Ddos 系统

需求分析

拒绝服务攻击( DoS, Denial of Service)是指利用各种服务请求耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。而随着僵尸网络的兴起,同时由于攻击方法简单、影响较大、难以追查等特点,又使得分布式拒绝服务攻击( DDoS, Distributed Denial of Service)得到快速壮大和日益泛滥。成千上万主机组成的僵尸网络为 DDoS 攻击提供了所需的带宽和主机,形成了规模巨大的攻击和网络流量,对医院出口网络造成了极大的危害。

主要危害:医院上网缓慢、网站或者挂号系统无法访问、出口设备宕机,网络停止服务。

产品功能

探针式流量检测: Detector 通过 DFI 分析的方式,发现网络中的异常流量并给出告警,支持主流的流量分析技术包括Netflow、 cFlow、 sFlow、 NetStream 等。同时也支持镜像流

量进行 Flow 转化,可以满足各种网络环境的流量分析需求。

手术式 DDoS 清洗:对漏洞型、流量型、应用型等各种 DDOS 攻击进行清洗,并将清洗完后的干净流量回注到网络。

强劲的处理性能:采用 MIPS 多核处理平台,单机最大同时支持 64 个 vCPU 并行工作,清洗能力强,稳定性高。

2.2 入侵防御系统

需求分析

随着网络的飞速发展,以蠕虫、病毒、木马、间谍软件、黑客攻击为代表的应用层攻击层出不穷。传统的基于网络层的防护只能针对报文头进行检查和规则匹配,而大量应用层攻击都隐藏在正常报文中,甚至是跨越几个报文,因此仅仅分析单个报文头意义不大。

由于业务需要,网络连接互联网,业务或办公数据在网络上传输,而网络设备、主机系统都不同程度存在一些安全漏洞,攻击者可以利用存在的漏洞进行破坏,可能引起数据破坏、业务中断甚至系统宕机,严重影响医院网络信息系统的正常运行。

在医院网络中,防火墙作为安全保障体系的第一道防线,防御黑客攻击。但作为工作在三层以下的访问控制设备,防火墙无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如针对 WEB 服务的 Code Red 蠕虫等。而且有些主动或被动的攻击行为是来自防火墙内部的,防火墙无法发现内部网络中的攻击行为。因此,如何识别医院网络中的攻击行为成为了当务之急。

主要功能

NIPS 是网络入侵防护系统产品内置先进的 Web 信誉机制,同时具备深度入侵防护、精细流量控制,以及全面用户上网行为监管等多项功能,能够为用户提供深度攻击防御入侵防御系统可以对网络蠕虫、间谍软件、溢出攻击、数据库攻击等多种深层攻击行为进行主动阻断。并在漏洞库的基础上,集成了专业病毒库和应用协议库,是针对系统漏洞、协议弱点、病毒蠕虫、黑客攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁的一体化应用层深度防御平台。部署简单、即插即用,配合应用 Bypass 等高可靠性设计,可满足各种复杂网络环境对应用层安全防护的高性能、高可靠和易管理的需求,是应用层安全保障的最佳选择。

2.3 WAF(应用层防护墙)

需求分析

WEB 应用安全问题本质上源于软件质量问题,但WEB 应用相较传统的软件,具有其独特性。WEB 应用往往是某个机构所独有的应用,对其存在的漏洞,已知的通用漏洞签名缺乏有效性;WEB需要频繁地变更以满足业务目标,从而使得很难维持有序的开发周期;

基于 Web 的应用日益增多,SQL 注入、跨站脚本、网页挂马等各种攻击手段使得 Web 应用处于高风险的环境中,传统安全设备无法对 Web 应用提供细粒度的有效防护。

主要功能

相关文档
最新文档