xxx医院网络安全解决方案V2

1XXX医院网络安全解决方案建议书二零一三年三月2目录目录---------------------------------------------------------------------------------------------------------21.概述------------------------------------------------------------------------------------------------------11.1前言----------------------------------------------------------------------------------------------------11.2项目概述----------------------------------------------------------------------------------------------11.3设计参考标准----------------------------------------------------------------------------------------12系统分析------------------------------------------------------------------------------------------------22.1江苏省XXX医院应用系统分析-----------------------------------------------------------------22.1.1江苏省xxx医院网络结构-----------------------------------------------------------------22.1.2江苏省xxx医院应用系统说明----------------------------------------------------------32.1.3江苏省xxx医院目前部署设备说明----------------------------------------------------32.1.4内部网络拓扑图----------------------------------------------------------------------------42.1.5网络安全现状--------------------------------------------------------------------------------52.2威胁分析----------------------------------------------------------------------------------------------53需求分析-----------------------------------------------------------------------------------------------63.1功能需求----------------------------------------------------------------------------------------------63.2管理需求----------------------------------------------------------------------------------------------73.3服务需求----------------------------------------------------------------------------------------------74省XXX医院网络安全解决方案------------------------------------------------------------------84.1边界安全解决方案----------------------------------------------------------------------------------84.1.1防火墙+IPS联动解决方案---------------------------------------------------------------84.1.2UTM统一一体化安全网关解决方案--------------------------------------------------114.1.3WEB应用安全解决方案------------------------------------------------------------------134.2内部网络安全解决方案---------------------------------------------------------------------------164.2.1数据库审计和运维安全运维审计解决方案------------------------------------------164.2.1.1数据库审计解决方案-------------------------------------------------------------------1634.2.1.2安全运维审计解决方案----------------------------------------------------------------174.2.2入侵检测解决方案-------------------------------------------------------------------------234.2.3桌面终端安全管理解决方案------------------------------------------------------------244.2.4安全管理平台解决方案-------------------------------------------------------------------265安全建设最终目标----------------------------------------------------------------------------------275.1网络改造后的拓扑图-----------------------------------------------------------------------------275.2边界安全设备详细部署说明--------------------------------------------------------------------295.3数据库审计与安全运维设备详细部署说明-------------------------------------------------315.4入侵检测设备详细部署说明--------------------------------------------------------------------315.5桌面终端设备详细部署说明--------------------------------------------------------------------325.6安全管理平台详细部署说明--------------------------------------------------------------------326投入说明-----------------------------------------------------------------------------------------------3311.概述1.1前言随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，网络正逐步改变着人类的生活和工作方式。越来越多的企事业单位建立了依赖于网络的业务信息系统，对行业产生了巨大深远的影响，但安全威胁也正在飞速增长。江苏省xxx医院做为江苏省规模较大、技术力量雄厚、医疗设备先进、学术水平较高，融医、教、研、防于一体的现代化综合性医院，医院的大部分业务是基于信息化实现，其网络的稳定运行与否，直接影响医院的运营。为保证网络的安全、可靠、稳定的运行，目前省xxx医院已经按照国家对信息安全的相关要求，完成了等级保护相关测评工作。为了给江苏省xxx医院提供更加稳定的网络环境，我们应当正视差距分析报告中罗列的各种安全风险，对网络威胁给予充分的重视。我们将根据目前的安全现状并结合当前的安全形势为江苏省xxx医院提供一个完整的安全改进方案。1.2项目概述为了提高江苏省xxx医院网络的稳定性，针对现有的网络环境，通过加入相应的安全设备，建议在信息系统正常运转的前提下，力求达到提高整网的安全性能提高。通过改造，实现对于网络攻击和病毒进行必要的防御，对应用服务的访问权限进行限制，对来自医保网络或者内部网络的攻击进行实时防护，有利于震慑不法分子的违法犯罪行为，保障江苏省xxx医院应用系统的正常运营。1.3设计参考标准GB17859-1999计算机信息系统安全保护等级划分准则公通字[2007]43号关于印发《信息安全等级保护管理办法》的通知GB/T22239-2008信息安全技术信息系统安全等级保护基本要求2GB/TXXXXX-200x信息安全技术信息系统等级保护安全设计技术要求GB/TXXXXX-200x信息安全技术信息系统安全等级保护测评要求GB/TXXXXX-200x信息安全技术信息系统安全等级保护测评过程指南GB/T20269-2006信息安全技术信息系统安全管理要求GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20272-2006信息安全技术操作系统安全技术要求GB/T20273-2006信息安全技术数据库管理系统安全技术要求GB/T20282-2006信息安全技术信息系统安全工程管理要求GB/T21028-2007信息安全技术服务器安全技术要求GB/T21052-2007信息安全技术信息系统物理安全技术要求2系统分析2.1江苏省xxx医院应用系统分析针对江苏省xxx医院的网络结构的分析，应当在现有网络基础上，根据国家有关信息网络安全系统建设法律法规和标准规范，以及系统对安全性设计的具体要求，并结合当前信息安全技术的发展水平，针对可能存在的安全漏洞和安全需求，在不同层次上提出安全级别要求，制定相应的安全策略，设计一套科学合理、多层次、分布式、并且融合技术和管理的安全体系，采用合理、先进的技术实施安全工程，加强安全管理，保证江苏省xxx医院信息系统的安全性。根据对江苏省xxx医院信息系统的了解，对其应用系统现状简要说明如下：2.1.1江苏省xxx医院网络结构从目前我院的全局网络结构上看，主要由用于日常医疗信息交换及办公的内部业务网以及对外发布省xxx医院网站的外部业务网两部分组成。3其中，医院内部业务网是医院业务开展的重要平台，承载着核心业务，同时具有相应链路与卫生局、社保和银行等其他机构交换数据；外部业务网主要对外提供信息发布门户，对内提供Internet网络接入等服务。业务内网省xxx医院的业务内网由中心机房、各业务大楼（如：门诊楼、急诊楼、药房服务、心脏科实验室等）以及其他下属医院等几部分组成，其中中心机房是整个业务网络的核心，主要提供医疗数据交换、存储和医院业务系统的运维。各业务大楼主要提供医护人员的日常业务的开展。整个省xxx医院的业务网络由核心层、汇聚层和接入层的网络交换设备组成网络的骨干，然后通过各楼层交换机接入到各个业务大楼，为了