2.3.1. 2.3.1. 数据备份
网络安全界的一个玩笑就是:要想安全,就不要插上网线。这是一个简单的原理:如果网络是隔离开的,那么网络攻击就失去了其存在的介质,皮之不存,毛将焉附。
但对于需要和外界沟通的实际应用系统来说,完全的物理隔离是行不通的。
3. 3.安全架构分析与设计
网络整体结构
医院网络业务应用模式典型拓扑示意图如下。网络模式虽然简单,但是医院信息管理系统的各个模块的数据通过客户端/服务器模式从客户端采集发送到SQL-SERVER数据库服务器集中管理。所涉及到的数据有门诊业务管理数据、住院管理数据、药品管理数据、病案统计管理数据、以及医保相关数据等等。因此数据库服务器中的数据的安全性将直接影响到整个医院的业务的进行。因此我们考虑在客户端与服务器之间架设防火墙来有效地保护数据库服务器本身的安全。同时在数据库服务器上设置数据备份系统,以保证当系统瘫痪时对数据进行有效及时地恢复。这样一来,通过防火墙和数据备份系统为医院信息管理系统及数据的安全提供了强大的保障。
医 保服务器防火墙院长查询数据备份药品管理病案统计门诊管理住院管理
网络结构示意图
4. 4.产品选型
4.1. 4.1. 防火墙的选型
我们采用三星secuiWALL防火墙。三星secuiWALL防火墙是一个很优秀的防火墙,同时它集成强大的入侵检测功能。其强大的功能和卓越的性能可适应各种复杂的网络。
4.1.1. 4.1.1. 产品概述
三星secuiWALL防火墙是三星计算机安全公司公司的主要安全产品之一。由于它采用最前沿的防火墙技术,因此从功能和性能上可以满足各种不同行业用户需求。
4.1.2. 4.1.2. 产品特点
略
4.2. 4.2. 主要功能简介
略
4.3. 4.3. 漏洞评估产品选型
4.3.1. 4.3.1. 漏洞评估产品的需求
安全漏洞在近年数量递增的速度以及信息系统安全的脆弱性,黑客技术的发展等使我们处于极度的安全危机中。漏洞评估就是依据黑客攻击的思想开发的漏洞扫描产品,用以在黑客发起攻击前先堵住他可能利用的途径。
一般黒客的攻击过程: 1. 1. 系统漏洞搜集; 2. 2. 登录系统并为所欲为; 3. 3. 安装后门程序; 4. 4. 删除所有留下的痕迹; 5. 5. 退出。
使用漏洞评估,将系统与设备漏洞预先报告给您,并提出相应解决建议,可以协助您断掉黒客攻击的前提与基础。
4.3.2. 4.3.2. secuiSCAN高效、全面、透明的漏洞评估
解决方案
4.3.2.1. 4.3.2.1. secuiSCAN 漏洞评估解决方案简述
随着网络安全产业的逐步发展,漏洞评估工具逐渐成为不可替代的事前安全分析工具。三星计算机安全公司推出的漏洞评估解决方案:SECUISCAN是一种基于网络的综合漏洞评估工具。它具有网络漏洞评估工具的功能之外,还具有强大的基于主机的漏洞评估工具和数据库扫描工具的功能,是一种基于网络的综合型的漏洞评估解决方案。
从目前市场上的漏洞扫描工具来说,可以分为三类。第一种是基于网络的漏洞扫描工具;第二种是基于主机的漏洞扫描工具;第三种是应用漏洞扫描工具(主要为数据库漏洞扫描工具)。对于基于主机和应用的漏洞扫描工具来说,需要将扫描引擎安装在需要扫描的目标主机中。从安装来说,目标系统的种类繁多,其配置方法也各不相同。因此给安装和维护带来不便,同时也可能会给系统带来额外的负荷。而一般的基于网络的漏洞扫描工具对特定应用和系统的扫描功能不够强大。因此三星计算机安全公司推出了集成基于主机的漏洞扫描工具和应用漏洞扫描工具功能的基于主机的综合型漏洞评估解决方案。
通过三星计算机安全公司扫描工具可以从远程扫描目标系统,而无需将扫描引擎安装在目标系统中。此外由于它集成了基于主机和应用的漏洞扫描工具的功能,因此可以解决其所具有的弊端。
4.3.2.2. 4.3.2.2. secuiSCAN 高效、全面、透明的漏洞评估解
决方案主要特点
? ?
综合诊断网络安全漏洞
? ? 一般UNIX、Windows系列操作系统的安全漏洞
? ? 路由器等网络设备,防火墙和入侵检测系统(IDS)等安全设备的安全漏洞
? ? 安装简便,使用方便,结构简单
? ? 执行Setup.exe就可完成安装,无需重启,并且单键点击就可完成诊断功能
? ? 在WINDOWS 2000/NT上独立安装使用
? ? 扫描DBMS系统无需安装另外的Component(SQL*NET)
? ? 区域单位管理
? ? 自定义IP地址范围区域,对区域进行所有操作及再使用(打开、保存、加载)
? ? 提供智能、快速的扫描引擎
? 扫描结果跟扫描模块互参照的方式运行本身的数据仓库,以便相互连接扫描模块
? 扫描结果跟扫描模块互参照的方式? 运行本身的数据仓库,以便相互连接扫描模块
? ? 互相参照扫描结果来找出已知漏洞的连接而产生的新的漏洞 ? 检查 Oracle DBMS 时自动获取 SID 并连接到数据库进行检查自动检测操作系统并进行精细的端口扫描自动检测操作系统并按系统采取对应的扫描方式 提供包含多种秘密扫描TCP 端口扫描 以多线程方式并列检查多种系统
? ? 最多同时检查100个(选项)
? ? 自动更新漏洞检查模块
? ? 含有自动更新程序,可跟踪当前最新漏洞 ? ? 利用SECUi.COM自行开发的文件收发信协议 ? ? 检查模块以插件形式更新
? ? 时间计划(Schedule)操作 ? ? 预约检查方式及自动提供报告
? ? 在GUI预约菜单中制定计划(DOS作业窗口中利用AT Command, Scheduling完成)
? ? 可将扫描结果以邮件方式传送给指定地址
? ? 漏洞检查结果有多种报告形式 ? ? 8种HTML报告格式及精美的打印功能 ? ? 推理分析特定时间段的漏洞 ? ? 为用户提供自定义扫描选项
? ? 可选择性地检查网络服务的功能 (全部项目为默认方式)