XXX市人民医院DMZ区域方案
XXX市人民医院DMZ区域方案
- 背景信息
为了预防医院信息安全事件发生,保障医院业务的正常运行。我们需要的对医院内网进行安全防护,特此需增加安全防护区域。
根据前期对XXX市人民医院网络结构调研,对调研结果进行分析。医院在信息系统安全存在诸多风险。医院现网络边界区域环境为,内网区域与外网之间直接通过天融信防火墙连接,天融信防火墙直接接入到服务器内网交换机,服务器内网交换机下挂院区核心应用。医院需要进行外网访问的应用有,HRP系统、手机HRP系统和支付系统。在没有防护的情况下,支付系统在支付的同时,其数据需要与HIS系统进行数据的传输,这样就将医院最关键的HIS系统暴露于公共网络之上。在这种环境下,互联网边界作为网络重点防护区域,没有进行入侵防御与反病毒防护、DDOS防护,网络入侵风险防御。数据中区域没有单独划分安全区域,服务器区与办公区域混在一起,没有做到有效控制。部分服务器提供外网访问服务,Web服务器部署在传统服务器区,但没有对Web服务器提供网络防篡改等安全防护。
通过对XXX市人民医院内网网络现状进行深入分析,我们需要对网络设计DMZ区域。DMZ区域是为了解决外部网络和内部网络访问过程中的安全问题。DMZ是一个非安全系统与安全系统之间的缓冲区,是一个不同于外网或内网的特殊网络区域。外网用户在访问内网的时候会先访问此部分完全设备,通过此区域访问内部信息。本次DMZ区域将手机支付系统、HRP系统及掌上HRP业务需要与外网通信的系统放置此区域。DMZ区域通过网闸和下一代防火墙与内网连接。若DMZ区域遭受破坏,但不会对内网区域造成影响,因此DMZ区是信息安全纵深防护体系的第一道屏障。
根据XXX市人民医院业务安全需求分析,本项目整体安全建设方案将为两个阶段,第一个阶段为区域边界建设,此过程重点在内网边界区域,直接作用是将数据在边界上进行防御,为DMZ区域构建一个完整的边界区间。第二阶段建设DMZ安全管理区域,此区域针对数据内网进行安全审计、日志记录、漏洞扫描、防病毒和网络运维审计等。本阶段建设为一阶段建设。
- 方案设计
区域边界建设
在互联网边界区域放置下一代防火墙,将外网数据进行第一段过滤,识别位置威胁,高性能的为医院提供以应用层威胁防御为核心的下一代网络安全。提供精准的应用访问控制,最高的性能体验,最简单的安全管理,最全面的未知威胁防护。
在互联网区域边界放置组件DDoS,DDoS清洗设备是整个区域边界异常流量缓解方案的核心,他是网络中负责攻击流量缓解的重要设备。可提供最为完善的异常流量清洗解决方案,防护网络中带宽拥塞型攻击,以及基于用户正常应用的攻击行为。清洗系统提供了逐层防范机制,使用畸形报文检查,特征过滤,源认证,会话分析,行为分析,智能限速,僵木蠕检测多种防范技术对流量进行层层筛选,保证攻击流量能够被相应算法识别并丢弃。其强大的防范机制可以灵活应对当前多变的DDoS攻击现状,为服务器提供最高的安全保证。
在内网区域与DMZ区域之间布置一台安全网闸。通过部署安全隔离网闸,对内网实现按需数据同步,可以为访问提供更高的安全性保障。实现“协议落地、内容检测”,既从物理上隔离、阻断了具有潜在攻击可能的一切连接,又进行了强制内容检测,从而实现最高级别的安全。
在网闸与内网区域布放一台下一代防火墙,通过此防火墙可以对内网区域设置不同策略,对数据进行精准访问控制,最高的性能体验,最简单的安全管理,最全面的未知威胁防护。最大程度保证内网安全。
DMZ安全管理区域
安全漏洞检测系统,通过部署系统安全检测管理系统有效的实现了对DMZ区域内网络设备、主机系统、应用系统进行漏洞扫描、配置核查的全生命周期管理,将技术和管理以及等级保护合规有效地融合在了一起,为用户信息系统整体风险评估提供有力的支撑。
建立运维审计管理系统,通过建立运维审计管理系统整合DMZ区域各类系统的运维行为管理,将运维操作集中可视化管控,通过基于唯一身份标识的集中账号与访问控制策略,实现与各服务器、网络设备等无缝连接,一站直达,解决多种设备类型带来的管理问题,快速发现和处置违规事件。
建立日志审计收集分析系统,通过部署综合日志审计设备,可以全面收集网络设备(路由器、交换机等)、网络安全设备(防火墙、入侵检测系统,补丁系统等)、应用系统等运行日志和安全事件日志,平台对日志进行归并、关联分析等操作,为管理人员提供直观的日志查询、分析、展示界面,并长期妥善保存日志数据以便需要时查看,使管理员能够在综合日志审计平台上就可以了解整个数据中心的安全态势。
建立Web防护安全监控机制,通过在DMZ区域部署Web应用防火墙(WAF)设备,对Web应用服务器进行保护,即对网站的访问进行7X24小时实时监控。可以解决Web应用服务器所面临的各类网站安全问题,防止网页篡改、被挂木马等严重影响形象的安全事件发生。
需求清单
此次方案针对边界防护区域进行建设。建设方案需要服务器资源,将需访问外网区域的设备放置于DMZ区域进行安全隔离,包含手机支付、HRP系统、掌上HRP。
服务器资源需求清单
安全设备清单
| 设备名称 |
数量 |
| 下一代防火墙 |
2台 |
| DMZ区域交换机 |
1台 |
| 网闸 |
1台 |
- 预期收益
DMZ区域方案整体防护更安全更可靠,以业务系统及数据流向为整体防护目标,侧重于立体式全局防护,使用缓冲区域可大大减少内网区域受攻击的风险,人为设定逻辑的数据安全边界,保证数据合法合规的使用,从整体到局部避免了防护的短板,真正实现全生命周期无死角的安全防护,保证医院数据信息安全。
- 点赞
- 收藏
- 关注作者
评论(0)