XX市中心医院网络安全解决方案(1) - 图文 下载本文

XX市中心网络安全解决方案

软件。

2、防火墙选型:

硬件多核模块化设计,吞吐≥10G,并发≥300万,千兆接口≥8个,扩展插槽≥4个,冗余电源;

支持策略路由、NAT地址转换、端口映射、数据包过滤等基本功能; 支持新建/并发连接限制,包括保护主机、保护服务、限制主机、限制服务,可对任一设定地址范围内的主机进行新建连接和并发连接的保护;

可以进行活动主机、开发服务探测、服务版本探测、操作系统探测等,并能根据探测结果自动生成资源对象和安全策略;

支持基于应用(ARP/PING/TCP/HTTP)的链路探测。

4.4 边界病毒防护

4.4.1 产品部署

隔离防护区和互联网接入区之间部署2台防毒墙,双机热备,避免来之互联网的病毒流入内部网络。

核心服务器区、医院办公网接入区和业务外联接入区之间部署2台防毒墙,避免病毒传入核心服务器,保障核心数据的安全。

产品部署如下图所示:

第 13 页 共 23 页

XX市中心网络安全解决方案

图4-4:XX市中心医院边界病毒防护设备部署示意图

4.4.2 产品选型

硬件多核产品架构,并发用户数≥5000,板载病毒库≥1000万,冗余电源; 支持对HTTP、HTTPS、FTP、SMTP、POP3等5大主流网络流量的双向实时检测过滤;

支持对压缩文件进行病毒扫描,解压缩层数能支持20层; 能够对检测、拦截到的恶意代码提供时间、种类及病毒源的分析; 支持隔离染毒文件、删除染毒文件等过滤模式;

能隔离保存HTTP/HTTPS/FTP文件,能够隔离邮件和邮件附件,且隔离区里的文件和邮件能够下载;

支持80端口的加密升级病毒库,无需改变防火墙等设备的访问控制策略。

第 14 页 共 23 页

XX市中心网络安全解决方案

4.5 入侵防护

4.5.1 产品部署

隔离防护区和互联网接入区之间部署2台入侵防御系统,双机热备,防止互联网黑客非法入侵内部网络,实时阻断来自互联网的网络攻击及非法入侵行为。

核心服务器区、医院办公网接入区和业务外联接入区之间部署2台入侵防御系统,双机热备,避免农合、医保、银联及互联网等外部网络用户攻击和入侵核心服务器,保障核心数据的安全。

产品部署如下图所示:

图4-5:XX市中心医院入侵防护设备部署示意图

4.5.2 产品选型

采用多核硬件处理器,IPS吞吐量≥3G,千兆接口≥6个,冗余电源; 具备双向检测能力﹐并可自定义检测方向,以检测来自外部网络的入侵攻击与管理内部网络的蠕虫感染与网络应用;

第 15 页 共 23 页

XX市中心网络安全解决方案

可依据BotNet僵尸网络联机黑名单(RBL)以及特征码,侦测并切断僵尸网络联机;

支持硬件Bypass,保证设备在断电或宕机的情况下,不会引起网络中断;支持软件bypass,保证设备在下发策略、编译应用策略时,不影响网络以及探测器与管理器之间的正常通讯;

可针对Windows、Unix、Linux等操作系统的弱点进行防御; 支持三/四层DoS/DDoS防护;

支持虚拟IPS功能,一台设备虚拟多个设备,每个虚拟设备不同内存空间、不同检测策略、不同时间控制。

4.6 Web应用安全防护

4.6.1 产品部署

网站群服务器区和隔离防护区之间部署2台WEB应用防火墙,在事前和事中保障网站系统的安全;WEB应用防火墙上集成了应用层漏扫,可随时掌握网站系统的健康状态;

部署网页防篡改系统,保证网站页面在万一被篡改后的立即恢复; 部署1套WEB管理系统,实现对WEB应用防火墙和网页防篡改系统的可用性监控管理和日志分析、存档等。

产品部署如下图所示:

第 16 页 共 23 页