安全策略(侧重边界安全策略) 1)安全域的划分
通过对医院整体网络结构进行分析,结合对医院整体网络安全建设及各个网络区域的安全级别及安全属性的分析,建议将整个网络划分为外网和业务网;医院外网主要划分为,家属上网区域、办公网、DMZ服务器区域等。
业务网划分为医保专网、新农合专网接入区域、应用服务器区域、DMZ服务器区域和业务办公网络(包括门诊、外科、内科等楼层),以及数据库服务器区域。
通过结合网络安全设备、终端安全管理系统和VLAN、802.1X等技术的全网络部署,对同济医院信息网络中各个安全区域和终端进行安全控制与逻辑隔离,保证各个安全区域通信及数据传输安全。 2) 全策略
2.1利用VLAN和ACL功能,实现用户对访问控制的要求
在医院信息网络中全网实施VLAN与ACL访问控制列表,针对办公区域、业务办公等按照不同部门、不同科室等实施VLAN技术进行隔离,并采用ACL访问控制列表进行不同VLAN相互之间的访问控制。
2.2医院互联网边界防火墙部署设计
通过在医院互联网出口部署一台独立的硬件防火墙设备,通过独立硬件式防火墙隔离同济医院信息网络与互联网,并通过互联网边界的防火墙设备设立一个独立的DMZ区域,用来部署医院的WEB、网上挂号等应用系统。
利用防火墙的NAT和路由功能,配置NAT地址转换策略,使医院外网办公网络用户和家属区上网用户能够通过防火墙访问互联网、浏览网页、邮件收发等。同时,通过在防火墙设备配置端口映射及IP地址映射策略,将DMZ区域的应用系统发布到互联网。如对外医院网站、办公系统、网上挂号、远程医疗协助等。
通过在防火墙配置严格的基于源IP、目的IP、源端口、目的端口、时间等五元组的访问控制策略,对内部上网用户进行严格控制,只有被允许的用户和IP地址才能访问互联网,未经授权的用户及IP严格控制其访问互联网。严格禁止互联网用户访问医院的内部网络,通过配置针对端口的访问策略只允许互联网用户访问DMZ区域应用服务器所允许访问的端口和服务,确保医院内网的安全。
2.3互联网边界入侵防御系统部署设计
在互联网的出口部署入侵防御系统,对进出入侵防御系统的流量和会话进行过滤,通过入侵防御系统强大的特征库和入侵行为防御能力,能有效的过滤掉进出网络中的非法流量及入侵行为,确保医院内网终端及服务器的安全。
2.4医院内外互联边界防火墙部署设计
在医院业务网络与外部办公网络之间部署一台千兆的防火墙设备,对医院业务网络和
外部办公网络进行逻辑隔离,通过防火墙的访问控制功能,严格控制外部办公网络到业务网络的访问,通过在防火墙配置严格的访问控制策略,允许外部办公网络内允许的IP地址访问业务网络中应用服务器,允许SSLVPN客户用户访问内部DMZ应用服务器,禁止家属区上网用户直接通过防火墙访问业务网络。
2.6业务网入侵检测系统部署设计
医院业务网络由于需要对外部用户和医保专网、新农合专网提供相关的访问,在内部网络和不同单位的网络之间可能存在一些安全威胁行为,通过在医院业务网络的核心交换上旁路部署一台入侵检测系统,对核心数据区域及应用服务器区域的访问进行入侵行为的检测
2.5医院内外网DMZ区域之间网闸部署设计
为了保证医院中断服务器传输的安全性,在防火墙和服务器之间部署一台网络隔离与信息交换系统,进行物理上的隔离,阻断TCP/IP会话与通信。
2.6 SSL VPN部署设计
为了满足移动办公需要,使在外出差或专家医生远程医疗会诊能够安全、方便的接入到
医院信息网络中,实现远程办公与远程医疗协助。
为了满足远程接入的安全要求,通过在医院外网DMZ区域旁路部署SSL VPN设备,对外网移动办公及远程接入用户提供基于SSL安全套接层协议的VPN隧道,实现对医院内部网络的访问,保证在远程接入到内网访问过程中数据传输的安全性、可靠性。
2.7 WEB防火墙部署设计
通过在医院外部DMZ区域前端部署WEB安全防护系统,对DMZ区域的WEB网站、OA等应用系统提供基于B/S应用级别的安全防护,对由外部发起的SQL注入、XXS跨站、网页篡改、CC等攻击进行有效的拦截。在DMZ边界建立一道基于WEB类应用的安全防护体系。