医院网络安全建议和方案

医院网络安全建议和方案内容摘要：

允许 /禁止端口等， 支持当前互联网流行的大多数应用以及协议分析，包括 HTTP、网络层协议、文件访问协议、邮件、 FTP 等多种协议，还可以对 、MSN、 ICQ、 Yahoo Massenger 等应用进行封堵 实时 观察 系统 可 实时显示最新的网络活动的 日志信息；包括：上网账号、机器名、分组、上网活动、访问时间；所有实时数据分析的数据图表支持自动刷新 流量分析 实时 流量审计：各主机所产生的内外网流量统计； TOP10 地址内 网流量统计、并以图标形式显示；单主机的内外网各种协议流量统计。 历史流量审计：可以按地址范围、数据流向、时间范围、排名的名次数等用户定义的内容生成流量统计报表 14 地址分类库管理 内置 URL 分类过滤库包含百万个站点以上的记录，含有超过一亿以上的网 址， 支持用户根据企业内部的网络应用特点自行定义网站分类和网站站点，系统可以对自定义的网站进行按管理 策略进行封堵或放行等监控 报 警管理 将所有的 报 警记录按 使用者、上网账号、机器名称、机器 IP、时间、外网 IP、外网端口、协议种类、备注 等信息列表显示，对告警信息进行分析和统计。 产生的告警信息能够通过 短信报警 、邮件方式通知管理人员 报表管理 提供丰富的报表管理功能；根据时间、数据类型等生成报表，提供打印、导出服务；直观地为管理员提供决策和分析的数据基础，帮助管理员掌握网络及业务系统的状况。 报表可以保存为 html 格式 认证管理 不改变用户网络结构的情况下，系统以机器 IP 管理或 账号 管理方式管理监控范围内的机器 ，可以对机器或 账号 实施各种不同的策略。 账号 控制模式实现了网络实名制管理，同时支持多种第三方认证方式，比如本地认证、 Window 域服务器、 LDAP 机器 管理 自动发现 企业的 内网中的机器，将被监控主机的 IP 地址按照子网分类，便于查看，方便管理员的管理工作； 可设定空闲 IP，限制非法机器连接网络 权限管理 采用基于角色的权限管理机制，通过角色定义支持多用户访问。 角色能够从设备和功能两个维度进 行定义，从而达到控制谁可以对什么设备进行什么操作的控制粒度 系统配置 完成对 NBA 系统自身的各项配置工作 系统安全性 用户登陆时 ，采用了加密的通讯协议，确保了登陆账号、密码及审计数据的保密性；审计数据加密存储 性能 抓包速率 最低配置下 50000pps（数据包每秒），峰值达到 120200pps 事件存储性能 事件存储量仅取决于系统所用存储空间大小，标配情况下最少 60天 平均无故障运行时间（ MBTF） 不少于 60000 小时 15 5 配置清单 设备名称 设备参数 备注 防火墙 网御神州 SecGate 3600F3 百兆， 1U 机架式；吞吐量≥ 300Mbps，并发连接数≥ 40 万，配置 3 个独立网口和 8 个交换口 ，共计 11 个 10/100M 自适应电口 ；集成 IPSec、 SSL VPN 功能，资质：必须提供公安部销售许可证、中国信息安全技术产品安全测评证书，中国国家信息安全产品认证证书（ CCC 认证）、商用密码产品生产定点单位证书、商用密码产品销售许可证；为保证售后服务，必须提供原厂商授权原件。 部署于 医院网络出口 ， 安 全 接 入Inter，同时对医保网络的访问进行控制，禁止未经授权的非法访问 上网行为管理系统 网御神州 SecFoxNBAF 性能 : 标准机架式设备，产品标配 4 个10/100/1000M 自适应以太网口，抓包 率 :不低于50000pps（数据包每秒），峰值可达到 120200pps, 数据保存时间≥ 60 天； 采用自主开发的 SecOS 网关安全操作系统； 采用 B/S 结构，无需安装任何插件，采用旁路侦听方式接入，在不改变网络结构的情况下精确监控，不会对网络内部的流量与数据信息造成任何瓶颈； 上网行为审计：能够记录用户网页浏览的时间、URL 地址、标题、源目的 IP 地址、源 MAC 地址、源目的端口、网址分类信息、机器名称、使用者信息，并且支持对指定的发起网页浏览的 IP 进行还原。 并可实时显示；记录用户炒股用的大智慧、同花顺、钱龙等股票工具的使用时间、源 IP 地址、源 MAC 地址、软件名称、机器名称、使用者。 并可实时显示。 能够审计通过 GOOGLE、百度、淘宝、 MSN、天网、雅虎等搜索引擎搜索的关键字； 上网内容审计：记录通过 MSN、 ICQ、 YAHOO MESSENGER、 聊天室私聊的内容和通过聊天工具传输的文件。 并可实时显示； 上网行为控制：控制每一种上网行为在从周一到周日任意的时间段（基数为半小时），在允许的时间段内对应的上网行为可以正常进行，在禁止审计和控制上网行为，实时追踪记录 审计和控制员工外发数据内容，防止公司资料泄密 减少员工因互联网活动所带来的法律责任风险 优化使用 IT 资源，包括带宽和计算机资源 实施因特网和应用程序使用策略 16 的时间段系统对对应的上网行为采用封堵策略；可结合 windows AD 认证和 LADP 认证；提供本地认证； 上网行为分析：系统实时显示最新的网络活动的日志信息；包括：上网帐号、机器名、分组、上网活动、访问时间；所有实时数据分析的数据图表支持自动刷新，且刷新时间不大于 30 秒 ； 资质：公安部销售许可证、军用信息安全产品认证证书 ,中国信息安全技术产品安全测评证书，中国国家信息安全产品认证证书（ CCC 认证）、国家保密局证书，为了保证产品服务需提供原厂授权及原厂服务承诺函原件。 防火墙硬件服务 7*24 小时，三年维护服务，硬件备机支持，软件终身升级 原厂服务 17 第二部分 网神 SecGate 3600 防火墙介绍 18 目 录 1 概 述 ..........................................................................................................................................................................20 2 网神 SECGATE 3600 防火墙 企业级 主要功能列表 .....................................................................................20 3 网神 SECGATE 3600 防火墙 企业级 六大特色 .............................................................................................22 独立的 SECOS 安全协议栈 ..................................................................................................................... 22 独创的智能高效搜索算法 ...................................................................................................................... 23 深度的网络行为关联分析 ...................................................................................................................... 23 全面的连接状态监控和实时阻断 ......................................................................................................... 23 强大的网络拓扑自适应性 ...................................................................................................................... 23 智能便捷的配置向导和管理方式 ......................................................................................................... 23 4 网神 SECGATE 3600 防火墙 企业级 主要功能介 绍 .....................................................................................24 自适应的网络接入模式 ........................................................................................................................... 24 完善的智能包过滤 .................................................................................................................................... 24 强大的抗攻击能力 .................................................................................................................................... 24 全面的 NAT 地址转换 ............................................................................................................................. 25 丰富的预定义代理和自定义代理 ......................................................................................................... 26 独创的高效安全规则搜索算法 .............................................................................................................. 26 全面灵活的连接限制 ............................................................................................................................... 26 策略路由和链路聚合 ............................................................................................................................... 27 动态路由支持 ............................................................................................................................................. 27 深度内容过滤 ........................................................................................................................................ 27 深度动态协议分析 ............................................................................................................................... 27 全面的 VLAN 支持 .............................................................................................................................. 28 用户认证 ..............................。