153医院网络安全设计方案

153医院网络安全设计方案内容摘要：

可能得到有效、可行的措施。 不同的安全措施其代价、效果对不同网络并不完全相同。 计算机网络安全应遵循整体安全性原则，根据确定的安全策略制定出合理的网络体系结构及网 络安全体系结构。 一致性原则 一致性原则主要是指网络安全问题应与整个网络的工作周期 (或生命周期 )同时存在，制定的安全体系结构必须与网络的安全需求相一致。 安全的网络系统设计 (包括初步或详细设计 )及实施计划、网络验证、验收、运行等，都要有安全的内容及措施。 实际上，在网络建设的开始就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也少得多。 易操作性原则 安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性；郑州一五三医院 网络安全设计方案 第 13 页 共 38 页 郑州苏富特软件有限公司 其次，措施的采用不能影响系统的正常运行。 适应性及灵活性原则 安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改和升级。 多重保护原则 任何安全措施都不是绝对安全的，都可能被攻破。 但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层仍可保护信息的安全。 可评价性原则 如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。 网络安全是整体的、动态的。 网络安全的整体性是指一个安全系统的建立，即包括采用相应的安全设备，又包括相应的管理手段。 安全设备不是指 单一的某种安全设备，而是指几种安全设备的综合。 网络安全的动态性是指，网络安全是随着环境、时间的变化而变化的，在一定环境下是安全的系统，环境发生变化了（如更换了某个机器），原来安全的系统就变的不安全了；在一段时间里安全的系统，时间发生变化了（如今天是安全的系统，可能因为黑客发现了某种系统的漏洞，明天就会变的不安全了），原来的系统就会变的不安全。 所以，建立网络安全系统不是一劳永逸的事情。 针对安全体系的特性，我们可以采用 统一规划、分步实施 的原则。 具体而言，我们可以先对网络做一个比较全面的安全体系规划，然后， 根据我们网络的实际应用状况，先建立一个基础的安全防护体系，保证基本的、应有的安全性。 随着今后应用的种类和复杂程度的增加，再在原来基础防护体系之上，建立增强的安全防护体系。 对于 河南省检查院 网络安全体系的建立，我们建议采取以上的原则，先对整个网络进行整体的安全规划，然后，根据实际状况建立一个从防护 检测 响应的基础的安全防护体系，提高整个网络基础的安全性，保证应用系统的安全性。 郑州一五三医院 网络安全设计方案 第 14 页 共 38 页 郑州苏富特软件有限公司 第四章 网络安全体系结构 通过对网络应用的全面了解，按照安全风险、需求分析结果、安全策略以及网络的安全目标。 具体的安全控制系统 可以从以下几个方面分述 : 物理安全、系统安全、网络安全、应用安全、管理安全。 物理安全 保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。 物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 它主要包括三个方面： 环境安全 对系统所在环境的安全保护，如区域保护和灾难保护；（参见国家标准 GB50173－ 93《电子计算机机房设计规范》、国标 GB2887－ 89《计算站场地技术条件》、 GB9361－ 88《计算站场地安全要求》 ） 设备安全 设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；设备冗余备份；通过严格管理及提高 工作人员 的整体安全意识来实现。 媒体安全 包括媒体数据的安全及媒体本身的安全。 显然，为保证信息网络系统的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。 计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算 机系统信息的保密工作带来了极大的危害。 为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。 郑州一五三医院 网络安全设计方案 第 15 页 共 38 页 郑州苏富特软件有限公司 系统安全 网络结构安全 网络结构的安全主要指，网络拓扑结构是否合理；线路是否有冗余；路由是否冗余，防止单点故障影响等。 操作系统安全 对于操作系统的安全防范可以采取如下策略：尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件（如 Windows NT 下的 LMHOST、 SAM 等）使用权限进行严格限制；加强口令字的使用（增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令），并及时给系统打补丁、系统内部的相互调用不对外公开。 通过配备操作系统安全扫描系统对操作系统进行安全性扫描，发现其中存在的安全漏洞，并有针对性地进行对网络设备重新配置或升级。 应用系统安全 在应用系统安全上，应用服务器尽量不要开放一些没有经常用的协议及协议端口号。 如文件服务、电子邮件服务器等应用系统，可以关闭服务器上如 HTTP、 FTP、 TELNET、RLOGIN 等服务。 还 有就是加强登录身份认证。 确保用户使用的合法性；并严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。 充分利用操作系统和应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。 网络安全 网络安全是整个安全解决方案的关键，从访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒分别描述。 隔离与访问控制 严格的管理制度 可制定的制度有：《用户授权实施细则》、《口令字及账户管理规范》、《权限管理制度》、《安全责任制度》等。 郑州一五三医院 网络安全设计方案 第 16 页 共 38 页 郑州苏富特软件有限公司 配备防火墙 防 火墙是实现网络安全最基本、最经济、最有效的安全措施之一。 防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。 并且防火墙可以实现单向或双向控制，对一些高层协议实现较细粒的访问控制。 入侵检测 利用防火墙并经过严格配置，可以阻止各种不安全访问通过防火墙，从而降低安全风险。 但是，网络安全不可能完全依靠防火墙单一产品来实现，网络安全是个整体的，必须配相应的安全产品，作为防火墙的必要补充。 入侵检测系统就是最好的安全产品，入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出 网段的所有操作行为进行实时监控、记录，并按制定的策略实行响应（阻断、报警、发送 Email）。 从而防止针对网络的攻击与犯罪行为。 入侵检测系统一般包括控制台和探测器（网络引擎）。 控制台用作制定及管理所有探测器（网络引擎）。 探测器（网络引擎）用作监听进出网络的访问行为，根据控制台的指令执行相应行为。 由于探测器采取的是监听不是过滤数据包，因此，入侵检测系统的应用不会对网络系统性能造成多大影响。 网络地址转换 (NAT) NAT 方式节省网络地址资源 南大苏富特 SoftWall 防火墙提供的网络地址转换（ Network Address Translation）功能不仅可以隐藏内部网路地址信息，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有 Inter 地址和私有 IP 地址的使用。 通过 NAT 功能， SoftWall 防火墙系统可以帮助采用私有地址的内部网用户顺利的访问 Inter 的信息资源，不但不会造成任何网络应用的阻碍，同时还大量节省了网络地址资源。 病毒防护 由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。 我们都知道，网络系统中使用的操作系 统一般均为 WINDOWS 系统，比较容易感染病毒。 因此计算机病毒的防范也是网络安全建设中应该考虑的重要的环节之一。 反病毒技术包括预防病毒、检测病毒和杀毒三种技术。 郑州一五三医院 网络安全设计方案 第 17 页 共 38 页 郑州苏富特软件有限公司 应用安全 资源共享 严格控制内部 工作人员 对网络共享资源的使用。 在内部子网中一般不要轻易开放共享目录，否则较容易因为疏忽而在与 工作人员 间交换信息时泄漏重要信息。 对有经常交换信息需求的用户，在共享时也必须加上必要的口令认证机制，即只有通过口令的认证才允许访问数据。 虽然说用户名加口令的机制不是很安全，但对一般用户而言，还是起到一定的安 全防护，即使有刻意破解者，只要口令设得复杂些，也得花费相当长的时间。 信息存储 对有涉及 河南省检查院 秘密信息的用户主机，使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。 对数据服务器中的数据库必须做安全备份。 如有必要，可以通过网络备份系统，对数据库进行远程备份存储。 安全管理 制定健全的安全管理体制 制定健全的安全管理体制将是网络安全得以实现的重要保证。 河南省检查院 可以根据自身的实际情况，制定如安全操作流程、安全事故的奖罚制度以及对任命安全管理人员的考查等。 构建安全管理平台 构建安全管理平台将会降低很多因为无意的人为因素而造成的风险。 构建安全管理平台从技术上如，组成安全管理子网，安装集中统一的安全管理软件，如病毒软件管理系统、网络设备管理系统以及网络安全设备统管理软件。 通过安全管理平台实现全网的安全管理。 增强人员的安全防范意识 河南省检查院 应该经常对 单位工作人员 进行网络安全防范意识的培训，全面提高 工作人员 的整体网络安全防范意识。 郑州一五三医院 网络安全设计方案 第 18 页 共 38 页 郑州苏富特软件有限公司 第五章 苏富特网络安全整体解决方案 南大苏富特网络安全系统整体解决方案以系列的网络安全产品 SoftOS（安全操作 系统）、 SoftWall（防火墙）、 SoftNET（安全网关）、 SoftBase（安全数据库）为客户的网络构筑起安全堡垒。 苏富特以 SoftOS+SoftWall 为核心的网络安全解决方案，有效的解决客户的网络系统软件／平台软件的安全。 下面将对苏富特网络安全解决方案作详细的介绍。 网络安全实施总体论述 : 根据安全代价和安全需求相匹配的原则，并充分和 河南省检查院 网络 负责 人员沟通，考虑网络实际情况和需求，南大苏富特为 河南省检查院 提供如下网络安全解决方案： 郑州一五三医院 网络安全设计方案 第 19 页 共 38 页 郑州苏富特软件有限公司  河南省检查院 内部 网络的安全威胁； 实施方案： 河南省检查院 两个华为交换机中间 处部署南大苏富特硬件防火墙企业版， 首先把所有的服务器放到其中一个交换机上作为服务器群连接防火墙的一个端口（定义为外部控制区 或 DMZ 区域 ），然后 对防火墙做安全访问控制策略，把大部分的来自网络外部的非法访问拒之门外。  在全网部署网络防病毒系统，包括桌面 PC、服务器、 Email 服务器； 实施方案： 河南省检查院 网络安装防病毒服务器防毒系统，所有计算机安装杀毒 Client 端。 防火墙 需求分析 防火墙是指设置在不同网络（如可信任的单位内部网和不可信的公共网）或网络安全域之间（如单位内部不同部门之间）的一系列部件的组合。 它是不同网络或网络安全域之间信息的唯一出入口，能根据单位的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。 它是提供信息安全服务，实现网络和信息安全的基础设施。 当一个机构将其内部网络与其他单位连接之后，所关心的一个主要问题就是安全。 内部网络上不断增加的用户需要访问 Inter 服务，如 WWW、电子邮件等服务。 当机构的内部数据和网络设施暴露给黑客时， 网络管理员越来越关心网络的安全。 为了提供所需级别的保护，机构需要有安全策略来防止非法用户访问内部网络上的资源和非法向外传递内部信息。 即使内网没有连接到 Inter 上，它也需要建立内部的安全策略来管理用户对部分网络的访问并对敏感或秘密数据提供保护。 防火墙概述 1. 技术概述 防火墙能增强机构内部网络的安全性。 防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部人员访问。 要使一个防火墙有效，所有来自和去往 Inter 的信息都必 须经过防火墙，郑州一。