医院网络安全解决方案|网络安全解决方案设计

【www.gpsvo.com--网络知识】

　　络安全中的入侵检测系统是近年来出现的新型络安全技术，也是重要的络安全工具。下面是有络安全解决方案设计，欢迎参阅。

　　络安全解决方案设计范文1

　　一、客户背景

　　集团内联主要以总部局域为核心，采用广域方式与外地子公司联。集团广域采用MPLS-技术，用来为各个分公司提供骨干络平台和接入，各个分公司可以在集团的骨干信息络系统上建设各自的子系统，确保各类系统间的相互独立。

　　二、安全威胁

　　某公司属于大型上市公司，在北京，上海、广州等地均有分公司。公司内部采用无纸化办公，OA系统成熟。每个局域连接着该所有部门，所有的数据都从局域中传递。同时，各分公司采用技术连接公司总部。该单位为了方便，将相当一部分业务放在了对外开放的站上，站也成为了既是对外形象窗口又是内部办公窗口。

　　由于络设计部署上的缺陷，该单位局域在建成后就不断出现络拥堵、速特别慢的情况，同时有些个别机器上的杀毒软件频频出现病毒报警，络经常瘫痪，每次时间都持续几十分钟，管简直成了救火队员，忙着清除病毒，重装系统。对外WEB站同样也遭到黑客攻击，页遭到非法篡改，有些页甚至成了传播不良信息的平台，不仅影响到站的正常运行，而且还对政府形象也造成不良影响。(安全威胁根据拓扑图分析)从络安全威胁看，集团络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播，以及安全管理漏洞等信息安全现状：经过分析发现该公司信息安全基本上是空白，主要有以下问题：

　　公司没有制定信息安全政策，信息管理不健全。 公司在建内时与internet的连接没有防火墙。 内部络(同一城市的各分公司)之间没有任何安全保障为了让络正常运行。

　　根据我国《信息安全等级保护管理办法》的信息安全要求，近期公司决定对该络加强安全防护，解决目前络出现的安全问题。

　　三、安全需求

　　从安全性和实用性角度考虑，安全需求主要包括以下几个方面：

　　1、安全管理咨询

　　安全建设应该遵照7分管理3分技术的原则，通过本次安全项目，可以发现集团现有安全问题，并且协助建立起完善的安全管理和安全组织体系。

　　2、集团骨干络边界安全

　　主要考虑骨干络中Internet出口处的安全，以及移动用户、远程拨号访问用户的安全。

　　3、集团骨干络服务器安全

　　主要考虑骨干络中关服务器和集团内部的服务器，包括OA、财务、人事、内部WEB等内部信息系统服务器区和安全管理服务器区的安全。

　　4、集团内联统一的病毒防护

　　主要考虑集团内联中，包括总公司在内的所有公司的病毒防护。

　　5、统一的增强口令认证系统

　　由于系统管理员需要管理大量的主机和络设备，如何确保口令安全称为一个重要的问题。

　　6、统一的安全管理平台

　　通过在集团内联部署统一的安全管理平台，实现集团总部对全安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全事件、以及处理各种安全突发事件。

　　7、专业安全服务

　　过专业安全服务建立全面的安全策略、管理组织体系及相关管理制度，全面评估企业络中的信息资产及其面临的安全风险情况，在必要的情况下，进行主机加固和络加固。通过专业紧急响应服务保证企业在面临紧急事件情况下的处理能力，降低安全风险。

　　四、方案设计

　　骨干边界安全

　　集团骨干共有一个Internet出口，位置在总部，在Internet出口处部署LinkTrust Cyberwall-200F/006防火墙一台。

　　在Internet出口处部署一台LinkTrust Network Defender领信络入侵检测系统，通过交换机端口镜像的方式，将进出Internet的流量镜像到入侵检测的监听端口，LinkTrust

　　Network Defender可以实时监控络中的异常流量，防止恶意入侵。

　　在各个分公司中添加一个DMZ区，保证各公司的信息安全，内部络(同一城市的各分公司)之间没有任何安全保障骨干服务器安全

　　集团骨干服务器主要指络中的关服务器和集团内部的应用服务器包括OA、财务、人事、内部WEB等，以及专为此次项目配置的、用于安全产品管理的服务器的安全。 主要考虑为在服务器区配置千兆防火墙，实现服务器区与办公区的隔离，并将内部信息系统服务器区和安全管理服务器区在防火墙上实现逻辑隔离。还考虑到在服务器区配置主机入侵检测系统，在络中配置百兆络入侵检测系统，实现主机及络层面的主动防护。

　　漏洞扫描

　　了解自身安全状况，目前面临的安全威胁，存在的安全隐患，以及定期的了解存在那些安全漏洞，新出现的安全问题等，都要求信息系统自身和用户作好安全评估。安全评估主要分成络安全评估、主机安全评估和数据库安全评估三个层面。

　　内联病毒防护

　　病毒防范是络安全的一个基本的、重要部分。通过对病毒传播、感染的各种方式和途径进行分析，结合集团络的特点，在络安全的病毒防护方面应该采用“多级防范，集中管理，以防为主、防治结合”的动态防毒策略。

　　病毒防护体系主要由桌面络防毒、服务器防毒和邮件防毒三个方面。

　　增强的身份认证系统

　　由于需要管理大量的主机和络设备，如何确保口令安全也是一个非常重要的问题。 减小口令危险的最为有效的办法是采用双因素认证方式。双因素认证机制不仅仅需要用户提供一个类似于口令或者PIN的单一识别要素，而且需要第二个要素，也即用户拥有的，通常是认证令牌，这种双因素认证方式提供了比可重用的口令可靠得多的用户认证级别。用户除了知道他的PIN号码外，还必须拥有一个认证令牌。而且口令一般是一次性的，这样每次的口令是动态变化的，大大提高了安全性。

　　统一安全平台的建立

　　通过建立统一的安全管理平台(安全运行管理中心—SOC)，建立起集团的安全风险监控体系，利于从全局的角度发现络中存在的安全问题，并及时归并相关人员处理。这里的风险监控体系包括安全信息库、安全事件收集管理系统、安全工单系统等，同时开发有效的多种手段实时告警系统，定制高效的安全报表系统。

　　络安全解决方案设计范文2

　　1.1安全系统建设目标

　　本技术方案旨在为某市政府络提供全面的络系统安全解决方案，包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施，以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下，实现对络的全面安全管理。

　　1) 将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入络，减少络的安全风险;

　　2) 通过部署不同类型的安全产品，实现对不同层次、不同类别络安全问题的防护;

　　3) 使络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。

　　具体来说，本安全方案能够实现全面络访问控制，并能够对重要控制点进行细粒度的访问控制;

　　其次，对于通过对络的流量进行实时监控，对重要服务器的运行状况进行全面监控。

　　1.1.1 防火墙系统设计方案

　　1.1.1.1 防火墙对服务器的安全保护

　　络中应用的服务器，信息量大、处理能力强，往往是攻击的主要对象。另外，服务器提供的各种服务本身有可能成为"黑客"攻击的突破口，因此，在实施方案时要对服务器的安全进行一系列安全保护。

　　如果服务器没有加任何安全防护措施而直接放在公上提供对外服务，就会面临着"黑客"各种方式的攻击，安全级别很低。因此当安装防火墙后，所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后，才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击，外界只能接触到防火墙上的特定服务，从而防止了绝大部分外界攻击。

　　1.1.1.2 防火墙对内部非法用户的防范

　　络内部的环境比较复杂，而且各子的分布地域广阔，络用户、设备接入的可控性比较差，因此，内部络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户，如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部络运行的可靠性和安全性，我们必须要对它进行详尽的分析，尽可能防护到络的每一节点。

　　对于一般的络应用，内部用户可以直接接触到络内部几乎所有的服务，络服务器对于内部用户缺乏基本的安全防范，特别是在内部络上，大部分的主机没有进行基本的安

　　全防范处理，整个系统的安全性容易受到内部用户攻击的威胁，安全等级不高。根据国际上流行的处理方法，我们把内部用户跨段的访问分为两大类：其一，是内部络用户之间的访问，即单机到单机访问。这一层次上的应用主要有用户共享文件的传输(NETBIOS)应用;其次，是内部络用户对内部服务器的访问，这一类应用主要发生在内部用户的业务处理时。一般内部用户对于络安全防范的意识不高，如果内部人员发起攻击，内部络主机将无法避免地遭到损害，特别是针对于NETBIOS文件共享协议，已经有很多的漏洞在上公开报道，如果络主机保护不完善，就可能被内部用户利用"黑客"工具造成严重破坏。

　　1.1.2入侵检测系统

　　利用防火墙技术，经过仔细的配置，通常能够在内外之间提供安全的络保护，降低了络安全风险，但是入侵者可寻找防火墙背后可能敞开的后门，入侵者也可能就在防火墙内。

　　络入侵检测系统位于有敏感数据需要保护的络上，通过实时侦听络数据流，寻找络违规模式和未授权的络访问尝试。当发现络违规行为和未授权的络访问时，络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录，或执行用户自定义的安全策略等。络监控系统可以部署在络中有安全风险的地方，如局域出入口、重点保护主机、远程接入服务器、内部重点工作站组等。在重点保护区域，可以单独各部署一套络监控系统(管理器+探测引擎)，也可以在每个需要保护的地方单独部署一个探测引擎，在全使用一个管理器，这种方式便于进行集中管理。

　　在内部应用络中的重要段，使用络探测引擎，监视并记录该段上的所有操作，在一定程度上防止非法操作和恶意攻击络中的重要服务器和主机。同时，络监视器还可以形象地重现操作的过程，可帮助安全管理员发现络安全的隐患。

　　需要说明的是，IDS是对防火墙的非常有必要的附加而不仅仅是简单的补充。

　　按照现阶段的络及系统环境划分不同的络安全风险区域，xxx市政府本期络安全系统项目的需求为：

　　区域 部署安全产品

　　内 连接到Internet的出口处安装两台互为双机热备的海信FW3010PF-4000型百兆防火墙;在主干交换机上安装海信千兆眼镜蛇入侵检测系统探测器;在主干交换机上安装NetHawk络安全监控与审计系统;在内部工作站上安装趋势防毒墙络版防病毒软件;在各服务器上安装趋势防毒墙服务器版防病毒软件。

　　DMZ区 在服务器上安装趋势防毒墙服务器版防病毒软件;安装一台InterScan

　　VirusWall防病毒关;安装百兆眼镜蛇入侵检测系统探测器和NetHawk络安全监控与审计系统。

　　安全监控与备份中心 安装FW3010-5000千兆防火墙，安装RJ-iTOP榕基络安全漏洞扫描器;安装眼镜蛇入侵检测系统控制台和百兆探测器;安装趋势防毒墙服务器版管理服务器，趋势防毒墙络版管理服务器，对各防病毒软件进行集中管理。

　　络安全解决方案设计范文3

　　络信息系统的安全技术体系通常是在安全策略指导下合理配置和部署：络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设备，并且在各个设备或系统之间，能够实现系统功能互补和协调动作。

　　络系统安全具备的功能及配置原则

　　1.络隔离与访问控制。通过对特定段、服务进行物理和逻辑隔离，并建立访问控制机制，将绝大多数攻击阻止在络和服务的边界以外。

　　2.漏洞发现与堵塞。通过对络和运行系统安全漏洞的周期检查，发现可能被攻击所利用的漏洞，并利用补丁或从管理上堵塞漏洞。

　　3.入侵检测与响应。通过对特定络(段)、服务建立的入侵检测与响应体系，实时检测出攻击倾向和行为，并采取相应的行动(如断开络连接和服务、记录攻击过程、加强审计等)。

　　4.加密保护。主动的加密通信，可使攻击者不能了解、修改敏感信息(如方式)或数据加密通信方式;对保密或敏感数据进行加密存储，可防止窃取或丢失。

　　5.备份和恢复。良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。

　　6.监控与审计。在办公络和主要业务络内配置集中管理、分布式控制的监控与审计系统。一方面以计算机终端为单元强化桌面计算的内外安全控制与日志记录;另一方面通过集中管理方式对内部所有计算机终端的安全态势予以掌控。

　　边界安全解决方案

　　在利用公共络与外部进行连接的“内”外络边界处使用防火墙，为“内部”络(段)与“外部”络(段)划定安全边界。在络内部进行各种连接的地方使用带防火墙功能的设备，在进行“内”外络(段)的隔离的同时建立络(段)之间的安全通道。

　　1.防火墙应具备如下功能：

　　使用NAT把DMZ区的服务器和内部端口影射到Firewall的对外端口;

　　允许Internet公用户访问到DMZ区的应用服务：http、ftp、smtp、dns等;

　　允许DMZ区内的工作站与应用服务器访问Internet公;

　　允许内部用户访问DMZ的应用服务：http、ftp、smtp、dns、pop3、https;

　　允许内部用户通过代理访问Internet公;

　　禁止Internet公用户进入内部络和非法访问DMZ区应用服务器;

　　禁止DMZ区的公开服务器访问内部络;

　　防止来自Internet的DOS一类的攻击;

　　能接受入侵检测的联动要求，可实现对实时入侵的策略响应;

　　对所保护的主机的常用应用通信协议(http、ftp、telnet、smtp)能够替换服务器的Banner信息，防止恶意用户信息刺探;

　　提供日志报表的自动生成功能，便于事件的分析;

　　提供实时的络状态监控功能，能够实时的查看络通信行为的连接状态(当前有那些连接、正在连接的IP、正在关闭的连接等信息)，通信数据流量。提供连接查询和动态图表显示。

　　防火墙自身必须是有防黑客攻击的保护能力。

　　2.带防火墙功能的设备是在防火墙基本功能(隔离和访问控制)基础上，通过功能扩展，同时具有在IP层构建端到端的具有加密选项功能的ESP隧道能力，这类设备也有S的，主要用于通过外部络(公共通信基础络)将两个或两个以上“内部”局域安全地连接起来，一般要求S应具有一下功能：

　　防火墙基本功能，主要包括：IP包过虑、应用代理、提供DMZ端口和NAT功能等(有些功能描述与上相同);

　　具有对连接两端的实体鉴别认证能力;

　　支持移动用户远程的安全接入;

　　支持IPESP隧道内传输数据的完整性和机密性保护;

　　提供系统内密钥管理功能;

　　S设备自身具有防黑客攻击以及上设备认证的能力。

　　入侵检测与响应方案

　　在络边界配置入侵检测设备，不仅是对防火墙功能的必要补充，而且可与防火墙一起构建络边界的防御体系。通过入侵检测设备对络行为和流量的特征分析，可以检测出侵害“内部”络或对外泄漏的络行为和流量，与防火墙形成某种协调关系的互动，从而在“内部”与外部的边界处形成保护体系。

　　入侵检测系统的基本功能如下：

　　通过检测引擎对各种应用协议，操作系统，络交换的数据进行分析，检测出络入侵事件和可疑操作行为。

　　对自身的数据库进行自动维护，无需人工干预，并且不对络的正常运行造成任何干扰。

　　采取多种报警方式实时报警、音响报警，信息记录到数据库，提供电子邮件报警、SysLog报警、SNMPTrap报警、Windows日志报警、Windows消息报警信息，并按照预设策略，根据提供的报警信息切断攻击连接。

　　与防火墙建立协调联动，运行自定义的多种响应方式，及时阻隔或消除异常行为。

　　全面查看络中发生的所有应用和连接，完整的显示当前络连接状态。

　　可对络中的攻击事件，访问记录进行适时查询，并可根据查询结果输出图文报表，能让管理人员方便的提取信息。

　　入侵检测系统犹如摄像头、监视器，在可疑行为发生前有预警，在攻击行为发生时有报警，在攻击事件发生后能记录，做到事前、事中、事后有据可查。

　　漏洞扫描方案

　　除利用入侵检测设备检测对络的入侵和异常流量外，还需要针对主机系统的漏洞采取检查和发现措施。目前常用的方法是配置漏洞扫描设备。主机漏洞扫描可以主动发现主机系统中存在的系统缺陷和可能的安全漏洞，并提醒系统管理员对该缺陷和漏洞进行修补或堵塞。

　　对于漏洞扫描的结果，一般可以按扫描提示信息和建议，属外购标准产品问题的，应及时升级换代或安装补丁程序;属委托开发的产品问题的，应与开发商协议修改程序或安装补丁程序;属于系统配置出现的问题，应建议系统管理员修改配置参数，或视情况关闭或卸载引发安全漏洞的程序模块或功能模块。

　　漏洞扫描功能是协助安全管理、掌握络安全态势的必要辅助，对使用这一工具的安全管理员或系统管理员有较高的技术素质要求。

　　考虑到漏洞扫描能检测出防火墙策略配置中的问题，能与入侵检测形成很好的互补关系：漏洞扫描与评估系统使系统管理员在事前掌握主动地位，在攻击事件发生前找出并关闭安全漏洞;而入侵检测系统则对系统进行监测以期在系统被破坏之前阻止攻击得逞。因此，漏洞扫描与入侵检测在安全保护方面不但有共同的安全目标，而且关系密切。本方案建议采购将入侵检测、管理控制中心与漏洞扫描一体化集成的产品，不但可以简化管理，而且便于漏洞扫描、入侵检测和防火墙之间的协调动作。

　　络防病毒方案

　　络防病毒产品较为成熟，且有几种主流产品。本方案建议，络防病毒系统应具备下列功能：

　　络&单机防护—提供个人或家庭用户病毒防护;

　　文件及存储服务器防护—提供服务器病毒防护;

　　邮件服务器防护—提供LotusNotes,MicrosoftExchange等病毒防护;

　　关防护—在SMTP,HTTP,和FTPservergateway阻挡计算机病毒;

　　集中管理—为企业络的防毒策略，提供了强大的集中控管能力。

　　关于安全设备之间的功能互补与协调运行

　　各种络安全设备(防火墙、入侵检测、漏洞扫描、防病毒产品等)，都有自己独特的安全探测与安全保护能力，但又有基于自身主要功能的扩展能力和与其它安全功能的对接能力或延续能力。因此，在安全设备选型和配置时，尽可能考虑到相关安全设备的功能互补与协调运行，对于提高络平台的整体安全性具有重要意义。

　　防火墙是目前广泛用于隔离络(段)边界并实施进/出信息流控制的大众型络安全产品之一。作为不同络(段)之间的逻辑隔离设备，防火墙将内部可信区域与外部危险区域有效隔离，将络的安全策略制定和信息流动集中管理控制，为络边界提供保护，是抵御入侵控制内外非法连接的。

　　但防火墙具有局限性。这种局限性并不说明防火墙功能有失缺，而且由于本身只应该承担这样的职能。因为防火墙是配置在络连接边界的通道处的，这就决定了它的基本职能只应提供静态防御，其规则都必须事先设置，对于实时的攻击或异常的行为不能做出实时反应。这些控制规则只能是粗颗粒的，对一些协议细节无法做到完全解析。而且，防火墙无法自动调整策略设置以阻断正在进行的攻击，也无法防范基于协议的攻击。

　　为了弥补防火墙在实际应用中存在的局限，防火墙厂商主动提出了协调互动思想即联动问题。防火墙联动即将其它安全设备(组件)(例如IDS)探测或处理的结果通过接口引入系统内调整防火墙的安全策略，增强防火墙的访问控制能力和范围，提高整体安全水平。

　　
看过络安全解决方案设计的人还看了：

1.2017年络安全报告格式范文

2.关于校园络安全设计方案

3.2017无线络设计方案

4.企业络安全解决方案

本文来源：http://www.gpsvo.com/diannaoxuexi/61843/