经济开发区医院网络安全解决方案.docx

经济开发区医院网络安全解决方案.docx

《经济开发区医院网络安全解决方案.docx》由会员分享，可在线阅读，更多相关《经济开发区医院网络安全解决方案.docx（44页珍藏版）》请在冰豆网上搜索。

经济开发区医院网络安全解决方案

经济开发区医院

计算机网络安全解决方案

一、前言2

二、网络安全现状及需求分析3

2.1网络现状3

2.2网络安全需求3

三、网络安全解决方案4

3.1网络安全方案设计原则4

3.2网络安全总体解决方案5

3.2.1网络安全拓扑结构图5

附图6

3.2.2速通防火墙7

3.2.3防病毒软件20

3.2.3.1网络版防病毒软件的选型和配置20

3.2.4网络哨兵网络行为审计系统功能及部署33

四、售后培训和服务42

4.1售后培训42

4.2售后服务42

五、系统实施试运行方案44

5.1安全系统安装前网络安全评估44

5.2漏洞修复及安全系统安装44

5.3安全系统安装后网络安全评估44

5.4试运行44

六、速通网络安全产品典型用户45

七、系统配置清单50

一、前言

信息化在给某市经济开发区医院带来便利的同时，也带来了新的安全问题，并且，这个问题现在显得越来越紧迫。

并且随着各种软件安全漏洞的不断增加，黑客技术不断提高，更加迫切要求网络具有更高的安全防体系。

因此,某市经济开发区医院网络安全整体化建设已经迫在眉睫。

为此，某标向信息技术作为专门从事网络安全产品销售、网络安全整体方案和网络安全服务的提供商，推出了一系列的网络安全产品，构成完整的网络安全防卫体系，不只可以防卫外界网络的入侵，也能阻止部有心人士来自部网络的破坏行动。

到目前为止，我们已成功为省电信实业、省商品检验检疫局（全省43台防火墙）、省烟草专卖局、某医学院、大学肿瘤医院、某市第16中学、市人事局、纺织学院、教育学院、市残疾人联合会、大学、市公安局森林分局、市海关缉私分局、市购书中心等九百多个重要政府机关和企事业单位提供安全产品和整体服务方案，拥有丰富的网络安全经验和强硬的技术研发服务队伍。

通过了解和考察，结合我们自身的技术优势和多年网络安全的经验，充分考虑到现有网络的情况，利用现时的高新网络安全技术，提供一份具体细致的、技术高尖的网络安全技术方案，保证网络的整体安全，为某市经济开发区医院网络安全提供全面的服务。

二、网络安全现状及需求分析

对于专用网络的部而言，具有资源分类别、分级别、密级区别等特点，各个用户、各个部门拥有自主储存、使用和传递共享的资源。

因此，某市经济开发区医院网络部也必须对各种信息的储存、传递和使用进行严格的权限管理。

2.1网络现状

某市经济开发区医院的网络现状是几栋办公大楼、数台服务器，网约150台PC，通过通过电信的一个10M光纤专线上网。

目前某市经济开发区医院网络的安全措施主要有：

1、操作系统和应用软件自身的身份认证功能，实现访问限制。

2、定期进行数据备份。

可见，以上这些简单的安全措施已难以满足现代网络安全需求。

2.2网络安全需求

通过以上对某市经济开发区医院网络安全现状的分析，我们提出了建设某市经济开发区医院网络的安全需求：

1、采用防火墙技术，将网和外网安全隔离，防止来自、外网的攻击。

2、采用网络版的防病毒技术，最大限度的保护每一台电脑的安全，防止不必要的电子资产破坏和流失；

3、采用VPN技术，对通过互联网传输的数据进行加密保护；

4、制定完善安全管理制度，并通过培训等手段来增强员工的安全防技术及防意识。

5、根据信息的重要性和性要求，划分不同的安全区域，实施多层认证，达到多重保护。

6、选择技术雄厚、服务及时周到的网络安全专业公司，做好网络安全防御工作，保证网络的长期安全。

三、网络安全解决方案

3.1网络安全方案设计原则

网络安全建设是一个系统工程，网络系统安全体系建设应按照“统一规划、统筹安排，统一标准、相互配套”的原则进行，采用先进的“平台化”建设思想，避免重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合。

1、整体安全原则

应用系统工程的观点、方法，分析网络的安全及具体措施。

安全措施主要包括：

行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。

一个较好的安全措施往往是多种方法适当综合的应用结果。

2、积极防御原则

随着黑客技术的提高，对网络安全也提出更高的要求，所以应尽量选用智能化、高度自动化、响应速度快的网络安全产品，配备技术力量雄厚、响应及时的本地化服务队伍，才能做好各种预防检测工作，达到防患于未然。

3、多重保护原则

任何安全措施都不是绝对安全的，都可能被攻破。

但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

4、一致性原则

一致性原则主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。

安全的网络系统设计（包括初步或详细设计）及实施计划、网络验证、验收、运行等，都要有安全的容及措施，实际上，在网络建设的开始就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也小得多。

5、易操作性原则

安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。

其次，措施的采用不能影响系统的正常运行。

6、可扩展性原则

由于网络系统及其应用扩展围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。

一劳永逸地解决网络安全问题是不现实的。

同时由于实施信息安全措施需相当的费用支出。

因此充分考虑系统的可扩展性，根据资金情况分步实施，既可满足网络系统及信息安全的基本需求，亦可节省费用开支。

3.2网络安全总体解决方案

3.2.1网络安全拓扑结构图

网络安全系统是整体的、动态的。

网络安全系统应符合MPDRR模型（M-management，P-protect，D-detection，R1-responce，R2-recovery），因此，要真正实现一个系统的安全，就需要建立一个从保护、检测、响应到恢复的一套全方位的安全保障体系。

我们提供的网络安全方案正是基于MPDRR模型构建的，符合网络安全系统整体性和动态性的特点。

具体见网络拓扑结构图：

附图

远程或移动用户

VPN连接

INTERNET

DMZ区

外网区

www、e-mail、

dns、ftp服务器

对外提供服务

内部网

防火墙+VPN

+IDS

VPN通道

分支机构

附录

①在某市经济开发区医院部网络到外网出口处位置部署一台速通防火墙A100-4，将部网络和外网隔开，防止来自、外网的攻击；同时将服务器群安置在防火墙的中间区（DMZ），作重点保护。

②通过对网络现状的分析，我们建议某市经济开发区医院使用速通VPN进行远程数据传输。

③我们建议在每一个客户端都安装安博士的网络版防病毒软件，服务器端安装服务器版，通过网管员统一规划和查杀未知病毒。

3.2.2速通防火墙

3.2.2.1防火墙的部署及作用

一、部署

为了保证网络整体安全，本方案在某市经济开发区医院部网络到互联网出口处位置部署一台速通防火墙，将医院部网络与外网隔开，负责出口访问控制，既可以防止来自互联网的攻击，又能对出网进行有效控制；同时，通过对防火墙的设置，对放置在防火墙中间区的服务器群起到保护作用。

二、作用

防火墙作为网络安全的核心部件，放置在网络的出口，通过区域的合理划分和设置有效的安全策略，实现以下的作用：

Ø过滤进出网络的数据，管理进出网络的行为；限制和监控外网对网的访问行为，保障某市经济开发区医院的网络整体安全；并对各种访问进行审计。

Ø将部网络与外网隔开，避免信息外泄。

Ø通过控制对关键服务器的授权访问控制，拦截非法访问。

对于非授权访问和可疑存取行为进行报警，对用户可以进行授权，可以做到限制某一用户上网，或不允许上某些。

Ø对外网的服务请求加以过滤，只允许正常通讯的数据包到达相应主机，对于各攻击包和探测包一律加以拦截，并可以对类似BT下载之类的协议进行限制。

Ø对部用户访问外部网络而引入的安全风险加以防，加强部用户的出网管理和审计，对于黄色或反动可进行过滤。

3.2.2.2速通防火墙的九大竞争优势

1.国恒对速通品牌和质量的承诺

是由国恒集团旗下国恒联合科技公司持有网络安全产品品牌。

速通系列防火墙是国恒联合科技公司独立开发，具有自主知识产权，国领先的网络安全产品。

速通防火墙强调产品品质及个性化服务，重视产品质量和服务，全力打造中国一流防火墙产品。

2.全面安全防护

◆基于用户的组合过滤提供强大而灵活的过滤能力

◆置的入侵检测模块使速通防火墙更好的防攻击

◆蠕虫阻断和报警遏制蠕虫的传播和扩散

◆虚拟私有网功能解决网络信息的传输安全的难题

◆VPN的数据包过滤提高了VPN的可管理性和安全系数

◆强大的容过滤功能（包含策略、DNS和URL过滤、过滤、网页控件过滤）

◆完整的防火墙日志记录

◆全面防御各种DOS、DDOS攻击

◆采用先进的PKI认证机制和通讯加密，杜绝了防火墙被恶意接管的可能。

◆通过了公安部包过滤防火墙新标准认证（GB/T18019-1999）

3.性能优越

◆速通防火墙采用专门的安全操作系统，S、B、A和F系列产品支持从2～200万不等的并发连接数，从而保证用户网络畅通无阻。

◆吞吐量达到线速，小包通过率为70.47%％（数据来源于赛迪2003年8月的测评报告）。

◆VPN的加解密和认证过程均由专用硬件完成，效率非同寻常。

4.稳定可靠

◆高度集成化的软硬件一体设计，适应各种环境条件

◆平均无故障工作时间>3万小时

◆支持双机热备、网口热备，提高系统抗灾性

5.贴合客户应用的安全解决方案

◆完整的H.323支持，可在各种复杂的网络结构中完美的实现安全视频

◆带宽管理与流量统计，防止线路资源无谓消耗

◆代理服务，节省网络带宽，实现用户级访问控制

◆同时支持透明和路由接入模式，无需用户调整配置，适应更多网络环境

◆支持VLAN/路由/桥/混杂模式，可应用在各种结构复杂的网络环境中

◆双向网络地址转换功能，解决用户IP地址不足难题

6.方便易用

◆集中管理，通过同一界面同时操作多台防火墙，方便大集中式的统一部署

◆防火墙实施域管理，借鉴Windows先进设计理念，域统一管理

◆提供第三方IDS互动功能，构建完整的安全网络

◆提供详细的日志记录及日志查询报表管理工具

7.伴随客户业务一同成长

◆核轻松升级，保证了整个安全系统随着技术的进步不断增强

◆入侵检测库、蠕虫库持续更新，保证与国际最新的黑客攻击手段同步防御

8.速通服务相伴全程

◆客户购买时提供产品介绍、安全咨询、网上培训和在线答疑等售前服务

◆通过电子、、现场支持、应急相应和保修服务解决客户使用中出现的问题

◆背靠北航、哈工大等院校联合成立了网络测试实验室、信息安全联合实验室，拥有强大技术支撑

◆遍布全国的“速通全程服务”授权服务中心为客户提供优质快捷的售后服务，给客户以信心的保证，详情敬请访问：

9.产品获得多方认可

◆产品正式通过了国家公安部，国家信息安全产品测评认证中心和国家局认证。

◆CCID评测2003防火墙产品测评荣获“聪明买家奖”

3.2.2.3速通防火墙选型和配置

选型：

速通防火墙A100-4

速通防火墙A100-4配置：

说明

A100-4

性能

带宽

100M

并发连接数

无性能影响时最大并发连接数

500,000

策略

无性能影响时最多策略数

1000

接入模式

网口数

4个百兆网端口，

1个百兆外网端口，2个扩展口

ADSL（PPPoe）

是

DHCP客户端/服务器

是

应用模式

路由模式（所有网口）

是

透明模式（所有网口）

是

混合模式

路由、透明混合

是

支持网络地址转换（NAT）

双向

端口地址转换（PNAT）

双向

vlantrunck（802.1Q）

用于支持3层交换设备

是

策略路由

可根据源地址来选择应用的路由表

是

平衡路由

用于提供备份链路的支持

是

防火墙

状态检测包过滤

是

基于时间的过滤

是

基于用户认证的过滤

是

基于容的过滤

是

IP/MAC绑定、防IP地址欺骗

是

支持各种DOS/DDOS防护

是

允许用户操作FTP/HTTP/SMTP/POP3/TELNET

是

病毒防

支持蠕虫病毒阻断

是

部蠕虫分析

是

入侵检测

防火墙联动

是

自定义入侵检测库

是

安全日志分析

是

容过滤

基于策略

是

DNS过滤

是

URL过滤

是

网页过滤

是

Java/ActivX/Cookies/ZIP/exe屏蔽

是

多媒体支持扩展

带状态检测的H.323

是

多播路由

IPTV应用需要此项支持

是

UPNP

是

协议扩展

对常用多媒体网络通信的协议专门优化

是

网管功能

带宽管理

是

流量计费接口

是

动态DNS

是

DHCPServer/Client

是

ICMP代理支持

是

VPN功能

隧道数

1000

拨号用户数

2000

网关－网关模式

是

远程访问模式

是

IPSec协议

是

TCP/IP

是

IPSEC包过滤

是

PPTP协议

是

PPTP包过滤

是

NAT穿越

是

动态地址VPN

是

DES/3DES、MDS加密

是

AES加密

是

Ipsec认证（MD5或SHA-1）

是

IKEKey管理

是

PKI（x.509）

是

日志功能

管理日志

是

流量日志

是

网络监控日志

是

日志审计、导出、查询、分析

是

日志报表

　提供自动报表生成、支持报表书写器，支持简要报表

是

认证功能

支持用户认证

　基于用户名/口令，OTP/主机/代理

是

支持WindowsNT域认证

是

支持radius认证

是

支持NetScape、Microsoft访问控制

是

管理功能

支持图形控制台和WINDOWS平台

是

调试Shell

否

Email、声音、Syslog、SNMP等报警

是

SNMP支持

是

支持实时统计

是

外挂程序接口

是

加密管理通道

是

管理员权限设定

是

PKI认证保护

是

支持硬件口令管理

是　

支持防火墙远程集中管理，远程管理通过SSH加密

是

高可靠性

双机热备

否

负载均衡

是

链路备份

是

调试失败恢复

是

其它

支持软件升级

是

交流电源输入

输入电压220V，输入频率50Hz,输入电流3.0A,电源功耗最大250W

满足

工作环境温度

　0～50摄氏度

满足

工作环境湿度

　0％～90％，无凝结

满足

存放温度

－40～70摄氏度

满足

存放湿度

　0％～95％，无凝结

满足

平均无故障时间

80000小时

尺寸

　350*167*44MM

1U

证书

具有公安部销售许可证、国家信息安全测评认证证书、国家局鉴定证书

满足

价格

包含一年的免费升级和产品保修服务

3.2.2.4速通防火墙的主要功能模块说明

速通防火墙特点

一体化的硬件设计

国恒速通防火墙采用了一体化的硬件设计，采用了自己的操作系统，无需其他操作系统的支持，这样能够发挥硬件的最大性能，同时也提高了系统的安全性。

双机热备份（接口热备）

通过双机热备份，本系统提供可靠的容错/热待机功能。

备份防火墙服务器中存有主防火墙服务器的设置镜像，当主防火墙因为某些原因不能正常运作，备份服务器可以在3秒钟取代主服务器运作，充分保证整个网络系统运作的稳定性。

完善的访问控制

国恒速通防火墙符合国家最新防火墙安全标准，采用了三级权限机制，分为管理员，策略员和审计员。

管理员负责防火墙的开关及日常维护，策略员负责配置防火墙的包过滤和入侵检测规则，审计员负责日志的管理和审计中的授权机制。

这样他们共同地负责起一个安全的管理平台。

多种工作模式

国恒速通防火墙可以工作在网桥、路由和混杂三种模式下，这样可以方便用户使用。

使用在网桥模式时在IP层透明，使用路由模式时可以作为三个区之间的路由器，同时提供任意网络接口间的网络地址转换。

防御DOS，DDOS攻击

普通的防火墙都是采用限制每一网络地址单位时间通过的SYN包数量来抵御DDOS攻击，但是通常网络攻击者都会随机的伪造网络地址，因此这种方法防的效果非常差，不能从根本上抵御DDOS攻击。

国恒速通防火墙修改了TCP/IP堆栈的算法，使得新的syn连接包可以正常通过，避免了由于大量的攻击SYN包造成网络的阻塞。

状态检测

国恒速通防火墙可以根据数据包的地址、协议和端口进行访问控制，同时还对任何网络连接和会话的当前状态进行分析和监控。

传统的防火墙的包过滤只是根据规则表进行匹配，而国恒速通防火墙对每个连接，作为一个数据流，通过规则表与连接表共同配合来对网络状态进行控制。

基于用户的组合过滤

传统防火墙，仅能根据IP、协议、端口等数据进行过滤。

对于诸如多人使用同一机器等情况无法鉴别。

有鉴于此，速通防火墙提供了更深层的用户、容的鉴别能力，同时还可与传统的IP、协议、端口时间等过滤条件进行自由组合，提供强大而灵活的过滤能力。

可以限制某个IP不能上网或不能上某些。

双向网络地址转换

系统支持动态、静态、双向的NAT。

当用户需要从部IP访问Internet时，NAT系统会从IP池里取出一个合法的InternetIP，为该用户建立映射。

如果需要在Intranet提供让外部访问的服务（如WWW、FTP等），NAT系统可以为Intranet里的服务器建立静态映射，外部用户可以直接访问该服务器。

双向网络地址转换为企业用户连接到Internet提供了良好的网络地址隐蔽，并且能减少IP占用，替用户节省费用。

提供多接口支持

除了部网络界面和外部网络界面，系统还可以再增加一个或多个网络界面，让管理员灵活应用。

如建立DMZ（军事独立区），在其中放置公共应用服务器。

ADSL支持

支持ADSL拨号功能，同时支持ADSL自动重新拨号,在断线后保证防火墙在ADSL线路上可以自动重新拨号连通网络。

可管理多方式VPN

同时支持IPSec和PPTP两种协议。

同时支持服务器到服务器和服务器到客户端模式。

传统架构下，由于VPN的加解密过程占用了大量CPU资源，对于VPN的数据，设备不再有能力进行管理。

速通防火墙由于其独特的NP架构，加解密由专用硬件完成，不占用CPU资源，因此，可以对VPN的数据包做进一步的包过滤，大大提高了VPN的可管理性和安全系数。

带宽管理和流量统计

国恒速通防火墙系统使用流量统计与控制策略，可方便的根据网段和主机等对流量进行统计与控制管理。

用户可以通过设置源地址到目的地址单位在时间允许通过的流量以及协议和端口来进行带宽控制。

日志审计

审计功能是国恒速通防火墙非常强大的一个部分，目前国防火墙的审计功能都非常不完善，国恒速通防火墙提供了大量的审计容和对审计容的查询功能，由于日志可能对一般用户比较难以理解，而我们将日志记录分成了若干部分，而其中每一部分都可以进行查询和管理，这样用户就能对防火墙的情况有一个非常透彻的了解。

入侵检测

国恒速通防火墙入侵检测系统采用了可扩展的检测库方法，目前可以抵御2000多种攻击方法，而且可以通过升级检测库的方法来不断的抵御新的攻击方法。

自动报警和防系统

国恒速通防火墙一旦检测到有黑客进行攻击，会在第一时间在控制机上进行报警，而且同时会自动封禁掉攻击者的IP地址，这样可以做到防火墙的防完全自动化，而不象普通的防火墙那样需要人工干预。

蠕虫阻断和报警

蠕虫，具有破坏性大、传播迅速的特点，仅2003年的冲击波一例，就带来了超过12亿美金的损失。

速通防火墙独家提供了在网关处的蠕虫阻断和报警功能，能有效遏制蠕虫的传播和扩散。

多媒体支持扩展

随着宽带的普及，语音、视频会议、网络电视等多媒体业务正以指数形式增长。

速通防火墙置多播路由、UPNP、H.323状态检测和增强协议支持等专门用于扩展多媒体网络应用的技术，为客户已经和将要使用的多媒体业务提供完美支持。

网页过滤

随着互联网的普及，网络滥用的情况也日益突出。

速通防火墙置网页过滤数据库，可以对常见的、暴力、政治、游戏、证券类的网页进行阻挡，降低网络滥用的风险。

基于PKI的授权认证

国恒速通防火墙的授权认证是基于PKI基础之上，因此完全性极高。

PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。

快速安装配置

国恒速通防火墙的安装和配置非常方便，管理员只要设定好网络设备的IP地址，然后使用系统提供的一些典型配置模板，适当的修改一些规则来符合要求。

除此以外还可以添加系统提供的一些子模板来实现一些特定的功能。

图形管理界面

用户可以通过图形界面对防火墙进行配置和管理。

而且也可以通过图形界面来管理审计容，而不象有些防火墙是通过命令行方式进行配置。

完全中国化的设计

国恒速通防火墙是由国恒联合公司自行设计和制作的，界面、帮助文档、使用说明完全中文化方便管理员配置防火墙。

集中管理

国恒速通防火墙采用基于WindowsGUI的用户界面进行远程集中式管理，配置管理界面直观，易于操作。

可以通过一个控制机对多台国恒速通防火墙进行集中式的管理。

BT下载限制

速通防火墙支持网管按照不同应用协议封锁一些端口来解决类似BT下载的问题，也可以采用跟踪BT最新协议方式，灵活设置策略来封锁。

如果用户不想完全封锁，也可以限制BT的下载流量的方式限制BT下载。

3.2.2.5速通VPN技术

为了保证某市经济开发区医院和互联网其他单位（分支机构或客户）间的数据传送不被监听、篡改，利用VPN强大的加密技术以及安全认证机制，保