文档介绍：XXXX市第X人民医院
网络安全技术建议书
网御神州科技有限公司
2017年11月
目录
1 网络安全方案摘要 3
用户网络结构描述 3
网络安全方案描述 4
网络安全解决思路 6
网络安全问题解决建议 7
2 网络安全详细技术建议书 8
网络架构分析 8
应用系统架构 8
应用系统平台 8
系统风险分析 9
网络架构风险分析 9
应用系统风险分析 13
安全风险分析汇总 17
安全需求分析 19
边界防护的需求 19
入侵防御系统 22
日志集中审计安全需求 24
桌面管理系统需求 24
系统安全建议 26
UTM安全网关子系统规划 27
入侵防御子系统规划 29
日志审计子系统规划 31
桌面安全管理规划 35
方案产品选型及预算 41
方案总结 41
附件:各产品技术资料,请参考产品白皮书 42
网络安全方案摘要
用户网络结构描述
目前XXXX市第X人民医院核心采用两台cisco 4503作为整个网络的核心交换机,两台交换机做互为备份使用,汇聚层采用了5台cisco的3550交换机,接入层采用了cisco的2918交换机作为用户接入交换机,从整个网络拓扑情况看,XXXX市第X人民医院具有合理的架构设计,完善的网络层次。
同时,XXXX市第X人民医院将服务器区独立出来,通过一台交换机将所有的服务器与用户的网络进行隔离,确保了数据集中部署、管理的优势。
从客户端层面,目前XXXX市第X人民医院大约有600多客户端,其中可上网用户大约有100多,内网用户大约有400-500左右,但这些客户端由于没有进行内网用户和外网用户的划分,所以存在了一些安全的隐患。
XXXX市第X人民医院目前网络拓扑结构图
服务器资源
目前XXXX市第X人民医院内部有HIS、LIS、PACS、EMR、防病毒服务器、病理服务器等多台服务器。
网络资源
核心采用两台cisco 4503作为整个网络的核心交换机,两台交换机做互为备份使用,汇聚层采用了5台cisco的3550交换机,接入层采用了cisco的2918交换机作为用户接入交换机。
安全措施
目前XXXX市第X人民医院内部的安全措施主要有:卡巴斯基网络防病毒系统、终端USB移动设备等监控系统。
网络安全方案描述
众所周知,网络为人们提供了极大的便利。的TCP/IP协议本身缺乏安全性,提供一种开放式的环境,网络安全成为一个在开放式环境中必要的技术,成为必须面对的一个实际问题。而由于目前网络应用的自由性、广泛性以及黑客的“流行”,网络面临着各种安全威胁,存在着各种类型的机密泄漏和攻击方式,包括:
窃听报文——攻击者使用报文获取设备,从传输的数据流中获取数据并进行分析,以获取用户名/口令或者是敏感的数据信息。的数据传输,存在时间上的延迟,更存在地理位置上的跨越,要避免数据彻底不受窃听,基本是不可能的。
IP地址欺骗——攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输,或者是伪造一些可接受的路由报文(如发送ICMP的特定报文)来更改路由信息,以窃取信息。
源路由攻击——报文发送方通过在IP报文的Option域中指定该报文的路由,使报文有可能被发往一些受保护的网络。
端口扫描—通过探测UTM安全网关在侦听的端口,来发现系统的漏洞;或者事先知道路由器软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击,使得路由器整个DOWN掉或无法正常运行。
拒绝服务攻击——攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。Mellisa宏病毒所达到的效果就是拒绝服务攻击。最近拒绝服务攻击又有了新的发展,出现了分布式拒绝服务攻击,Distributed Denial Of Service,简称
DDOS。许多大型网站都曾被黑客用DDOS方式攻击而造成很大的损失。
应用层攻击——有多种形式,包括探测应用软件的漏洞、“特洛依木马”等等。
另外,网络本身的可靠性与线路安全也是值得关注的问题。
随着网络应用的日益普及,尤其是在一些敏感场合(如电子商务、政府机关等)的应用,网络安全成为日益迫切的重要需求。网络安全包括两层内容:其一是网络资源的安全性,其二是数据交换的安全性。网络设备作为网络资源和数据通讯的关键设备,有必要提供充分的安全保护功能,交换机、路由