Kendo UI

综合办公管理系统

掌上OA和传统的办公OA结合,解决了必须在PC终端前才可以完成邮件处理、文件办理、事务审批等日常操作,受使用场所限制较大的弊端。手机或移动设备通过的网络可以方便快速的登录现有的办公平台,进行相应的审批处理,实时的查询资料、查看文件,处理邮件。

下载软件

Kendo UI

经济核算预警系统

对医院的日常关联的关键指标进行预警,如医保病人费用,药占比等。通过设定警戒值与标准值,进行实时动态的预警,医院领导以及每个科室主任都能够掌握目前管理指标的状态,从而进行管理控制,提前干预,把问题解决在事前和事中。

下载软件

Kendo UI

数据库卫士

解决目前医疗卫生系统中数据库管理员权限过大,数据库维护及管理的行为无法进行监管,日常错误排查的知识不便积累,以及非专业值班人员无法监控数据库运行情况等系统运行维护过程中的经常遇到的难题。数据库卫士的目标是提供一套易用、安全的数据库管理及审计工具,替代数据库管理员常用的工具(如SQL Server查询分析器或Oracle SQL Plus),对数据库管理及维护提供更加方便、安全以及行为可追溯的管理工具。

下载软件

Kendo UI

出国体检管理系统

从外网出国体检预约,到内网出国体检管理系统的前台登记人员、护士、体检医生、放射医生、邮件等相关人员操作提供统一的工作流程和业务规则,以及提供符合各国领事馆要求的体检表格和各项体征报表。

下载软件

上一页 下一页
当前日期: 2019年03月20日      星期三

防火墙简要解决方案

[栏目:技术支持] [发布日期:2009/1/19 15:26:00] [阅读次数:559] 【关闭】

XXX医院网络系统存在的威胁

XXX医院信息安全的威胁主要来自信息网络上的非法操作,其威胁是多种多样的,并随着时间推移和技术的发展发生着变化,这些威胁既有针对信息运用系统物理环境的攻击破坏,也有对信息系统软件和信息资源的“软”攻击。主要表现为:信息泄露、完整性破坏、业务拒绝和非法使用。信息安全的威胁主要来自五种类型的威胁源:计算机病毒、网络“黑客”和蓄意入侵、内部失窃和反叛、预置陷阱以及有组织、有预谋的计算机犯罪等。

对于XXX医院的网络攻击目前最主要的是连接互联网和一些和医保系统的网络,这样防火墙解决方案是必不可少的。

XXX医院网络现状分析

XXX医院近些年来业务发展十分迅速,规模不断扩大,医院业务也迅速发展,但一个不容忽视的问题——网络安全越来越受到医院的关注,对网络安全体系的建立和全面解决方案的需求迫在眉睫。

从服务器角度看,现有两台服务器,分担内部业务——XXX医院的信息管理系统。现需接外网(Internet),并内部的Mail ServerWEB Server可以被外网合法访问,同时要保证内部服务器数据的安全、Mail ServerWEB Server的网络安全,不被黑客和病毒的攻击。

需要解决的问题:

通过对XXX医院现状的分析,我们可以清楚地看到,XXX医院目前主要解决如下问题:

·         ·         实现内网和外网(Internet)的互通通性

·         ·         服务器WEB Server Mail Server 需对外提供服务

·         ·         内部工作站中一部分需访问外网(Internet

·         ·         外网(Internet)只能访问医院的WEB Server Mail Server

·         ·         实现网络的安全性、可管理性及可靠性

·         ·         实现网络的入侵检测和安全扫描,防止透过防火墙的攻击

·         ·         防止恶意行为攻击医院内部业务服务器,保护医院数据的安全性

·         ·         保护WEB Server Mail Server不受攻击

XXX医院网络系统安全需求

XXX医院网络系统安全目标是为了保证医院网络系统及与之连接的内部网络系统的安全,提供内部业务网络系统到Internet的安全接入,使内部员工能安全访问网上的信息资源。同时外部访问医院数据XXX医院提供DDN专线接入Internet,有固定Internet IP地址有WWW ServerMail Server等服务器接入Internet

网络接入安全管理方案需要实现的基本功能要求如下:

具有网络隔离功能和代理服务/地址映射功能;

具有时限、流量、地址、用户、应用、节点等控制管理功能;

具有用户对Internet访问目标的监控和记录功能;

具有网络安全通讯功能;

具有实时入侵检测、识别、记录和自动响应功能;

支持流行的各种应用,包括音视频多媒体应用环境;

安全管理策略可由管理人员进行定义、修改;

防火墙对用户和应用应具有透明性,不会明显减低应用系统的效率;

防火墙应具有历史记录、审计和统计、报表功能;

防火墙的安装、维护工作量相对少、难度低;

防火墙本身及所依赖的运行平台价格合理,投资少、见效快。

XXX医院网络安全系统实施效果

根据XXX医院安全需求分析,XXX医院网络系统安全工程完成后,网络应能做到如下几点:

设置NAT模式,能保护内部的网络结构或一些托管服务器,防止非法用户入侵内部网络,造成破坏和损失。

设置认证功能,通过对用户的身份认证,控制用户对服务器进行访问。

有完整的历史记录,能查看每一个经过防火墙的连接,包括日期、源地址、目的地址等,并有识别并阻断攻击功能。

能提供集中的、图形化的安全管理功能和系统状态查看器,方便管理人员进行定义、修改。尽量减少维护工作量。

设计的网络安全解决方案能提供网络入侵检测、识别、记录和自动响应报警功能。

将公司对内提供的邮件、文件服务的服务器统一放置在防火墙后端,彻底将网络内外隔开,同时具有防止IP SpoofingSYN flood,Ping of death 手段的攻击。

安全解决方案应考虑日后系统升级和冗余的工作。

安全解决方案应考虑搭建安全的VPN通道,在公司或移动用户之间实现数据的安全传输。

●  禁止远程GUI配置:指禁止远程 GUI 界面配置。如禁止远程GUI界面的配置,则同时禁止Telnet的访问,使得对防火墙访问只有通过本地控制口进行,达到最高的安全。

默认规则:包括“缺省拒绝”与“缺省允许”两种防火墙基本安全策略。缺省拒绝指除明确允许的通信外其它都拒绝,而缺省允许指凡是未被明确拒绝的通信都被允许。缺省允许可能引入一些未知的不安全的服务,从而使系统面临更高的甚至是不可知的安全威胁。而缺省拒绝的安全强度要高,但可能限制某些服务的应用。对应不同的安全策略,在安全性和可用性之间达到平衡,选择默认允许或默认禁止。但一般都选用默认拒绝。

用户权限控制   可以根据企业安全策略,将一次性口令认证与防火墙其它安全机制结合使用,实现对用户访问权限的控制,即控制经过认证用户访问的网络、网段、主机、协议、用户等。同时,一次性口令认证方式也可以用来控制内部网络用户的对服务器访问。

流量管理        流量不足是网络管理者遇到的最麻烦的问题之一,进行适当的流量控制对IP地址等流量进行控制,以防止线路资源的不正常消耗,有效地管理专线资源,从而使网络得到充分利用。

●  防火墙日志与审计 所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

    安全管理: 提供管理员和审计员分权管理的安全机制,保证安全产品的安全使用;支持本地和远程管理完成对防火墙的设置、安全策略与规则的配置及审计信息;

XXX医院防火墙方案设计

针对XXX医院网络如上的特点和需求分析,我们认为只要在XXX医院网络与因特网的接口上设置防火墙,而在内部不再设置其它的防火墙,以减少防火墙投资。这样可以保证内部网络的可靠性和可管理性。至于在防火墙内部的攻击,可以用入侵检测和安全扫描方案来解决。这里我只讲述来自防火墙外部的攻击。

具体的设计网络安全拓扑图如下:

 

 

XXX医院网络安全系统方案说明

根据以上分析,我们建议XXX医院计算机网络系统的网关防火墙采用Netscreen-100,并作如下解决方案:

Netscreen-100防火墙可将网络分成三个区域,Trust(可信任区,连接内部局域网)Untrust(不信任区,连接Internet ),DMZ(中立区,连接公司对外发布的WEB servereMail server 等),我们统一把XXX医院的WEB Server Mail等服务器放置在其DMZ(中立区)。

把医院的内部业务服务器(Oracle Server)放置在Trust(可信任区),保证医院业务的正常进行,同时可以保证医院数据的安全性,不被一些恶意行为的攻击。同时在外部的(Internet)用户不能访问医院的内部数据。

将医院的WebMail等服务器统一放置在防火墙的DMZ区,开启HTTPMailPOP3等相应服务的端口,方便Internet用户或医院病人在外地,可随时访问医院合法资源,合法用户的访问将通过严格认证,其他的端口将禁止通讯。将严格限定内部用户直接访问DMZ区的资源,内部用户维护、管理web server Mail Serve等服务器时将通过内部地址,其他用户禁止访问Web server Mail server等内部地址。为安全起见,将在DMZ端口设置策列,如禁止用户telnet ftp 80端口,禁止匿名登录服务器等多种策列,保护www服务器和Mail系统不受来自Internet的“黑客攻击”。一旦它识别出某个数据流有“黑客攻击”的特征,它就会通知管理员断开此连接,断开的时间长短可由管理员自行定义。将公司的内部系统集中放置在Trust区。

XXX医院网络解决方案的实施

从网络的安全角度考虑,应将网络划分不同的网段;即将公司对Internet 提供的公开服务(HTTP,Ftp,Email服务)和公司内部的网络系统、文件服务器划分成不同网段,并严格控制不同网段的存取访问关系。 Netscreen –100防火墙提供三个端口,支持将网络划分成 Untrust(非信任区)Trust(信任区)、Dmz (中立区)三个不同网段的区域。下面将针对XXX医院的网络结构做如下配置:

1Netscreen –100防火墙上配置NAT模式

Netscreen-100NAT配置方法较其他的防火墙设备简单、直观,只需要为防火墙的三个端口分配不同的地址,Netscreen –100防火墙就将按NAT的模式工作。

2 、线路带宽的分配

XXX医院网站线路带宽十分重要,Netscreen-100防火墙采用ASIC芯片制作,防火墙启动时已经将不同的策略分配在芯片上,这样,Netscreen防火墙将工作流程分散在不同的芯片进行,从基本上提高了网关防火墙的处理速度,因此,Netscreen 防火墙对公司的线路带宽不会造成影响。

3 、设置Netscreen-100防火墙带宽流量控制

利用Netscreen 防火墙卓越的带宽流量控制,可以帮助XXX医院管理主机的流量分配。NetScreen 提供流量的实时监控功能,可通过查看所提供的信息记录选择策略形式,实时监控网络状态,流量记录有:流量记录表、报警记录和日志。

配置传输控制策略时,可以针对用户:

  设立时刻表,每周的每一天允许传输的速率大小和起始终止时间。

也可根据策略设置传输控制策略的端口带宽,固定分配那一条策略占有多大的带宽。

设置传输策略的带宽最大限度及最少保证。

设置传输优先级,Netscreen防火墙提供八种优先等级,XXX医院可根据网站提供服务的重要性分别做出不同等级的质量带宽分配。

 

附件