等保下的网络结构设计

网络结构设计对策

可信验证-终端入网防护对策

面对医院办公客户端的安全隐患问题，需要对办公终端进行管理和监控，做到对终端接入进行控制并能够识别弱口令，对防病毒软件和系统补丁软件进行管理，并能够对系统进程、USB接口操作、收发电子邮件行为进行监控。
具体要求包括但不限于如要求：

1. U盘管理和监控：有效控制U盘的使用，避免敏感信息通过U盘外传，能立即阻断最好，避免U盘将病毒、木马、间谍软件等带进办公网。
2. 补丁管理功能：客户端自动检查批准接入办公计算机的操作系统补丁情况、防病毒软件情况，提示终端用户需要更新的补丁列表，让用户自行下载安装，或通过控制中心强制下载安装。
3. 终端入网：对上网设备进行审查，如果非法接入局域网，可以根据策略自动或手动进行阻断，维护局域网的封闭性，避免非法入侵。
4. 终端软、硬件管理：能够实时显示和统计合法主机、非法接入主机的信息，记录的客户端信息（运行进程、开放端口、IP、mac等），并对运行软件进行限制。
5. 进程管理：远程审计终端系统进程运行信息，列表正在运行的进程，对非法进程能够及时停止，保证合法进程的运行。
   在实际应用中，可以使用具有以上功能的终端安全管理系统实现对于终端用户的安全监控与管理。

网络架构-医院网络架构设计

医院网络安全设计框架

在进行一个完整的拓扑结构设计之前有必要结合医院的网络需求进行框架设计，如图 4.1所示，业务系统是安全的中心，容灾备份是业务系统的后勤保障，安全技术体系是对安全中心有组织、有规划、有系统的保障壁垒，安全管理体系是坚实壁垒上的哨兵，时时刻刻准备应对突发性事件以及监护安全中心事件的发生，安全服务体系贯穿整个医院安全策略体系，以业务系统的安全运营为信息安全保障建设的核心，并辅以安全评估、安全培训、安全加固和应急响应，形成风险可控的安全保障框架体系，弥补安全防护的不足之处。
数据中心医院安全保障框架的核心，是所有的安全服务的对象。安全策略体系是指导医院信息系统安全设计、建设和维护管理工作的基本依据，整个围绕中心的防护工作都是依据策略进行建设。安全管理体系是落实、指导安全管理机构管理、建设、运维、实施安全管理等相关要求，服务的对象是对数据安全进行管理的管理人员。安全技术体系是在等保2.0的标准控制要求下，实现物理、网络、主机、应用和数据的所有安全控制项。安全服务体系通过安全评估、安全加固、应急相应及安全培训等服务，对信息系统的各个阶段进行检查、控制与修正，保障信息系统的持续安全运营。

医院网络拓扑规划设计

在等保标准的要求下，根据医院安全策略体系规划，设计出如图 4.2所示网络拓扑

• 1外网。首先将部分患者需要访问的以及对外公开的服务器迁移至云端，使用云防护平台进行防护，简化外网需要防护的部分服务器的管理以及服务工作；为满足出差异地工作人员对内部网络数据的访问，部署VPN，使用威胁情报系统进行监控；对于Internet数据交换以及其他相同医疗机构附属单位数据交换，使用边界防火墙、防病毒网关、上网行为管理等其他安全硬件进行数据清洗和访问限制；对外网网站使用WEB应用防火墙进行保护、外网其他系统使用IDS防护。
• 2
  内网。安全管理区部署ids检测内外网交换的数据流是否含有病毒；态势感知和运营平台利用设备的SYSLOG功能进行日志收集、系统分析和安全审计，检测内网内部每一台设备的运行情况，并随时生成内网数据检测报告并呈现；漏洞扫描定时定点对内网指定设备进行漏洞扫描，并生成报告；一体化终端管控平台对内网入网客户端进行系统监护，防止病毒入侵；堡垒机是实现管理人员对内网所有需要管控设备的操作，具有可回溯新以及管理人实名制操作日志，极大的便利了日常的维护以及管理；由于堡垒机和一体化终端管控平台的重要性，所以使用防护墙进行保护。内网核心业务区均使用双备硬件保证数据无论在哪一个环节都不会出现阻断问题，如核心交换机、接入交换机、负载均衡、服务器防火墙；对于内网服务器采用虚拟化方案，底层资源虚拟化，上层调用资源，实现资源的合理化使用，以及服务器的安全性加固，然后在使用虚拟化管理系统进行统一管理。容灾备份区域使用使用存储平台进行数据存储。无线接入区域使用移动终端管理进行管控；终端接入区使用终端管理进行管控。
• 3内外网交互处。使用网闸进行数据的摆渡，由于单个网闸的不稳定性和数据的传输速度限制的原因，再设计中再用双网闸结构进行内外网数据的交互，这样既可以保证在其中某一台网闸出现故障的情况下，业务数据依然不影响正常业务的需求又可以使得内外网数据的传输速度得到提高。
• 4为满足等保中边界完整性检查设计实现，在边界防火墙上实现基于业务的端口级访问控制，并严格限制接入IP及外联IP，杜绝在网络层发生的非法外联与内联；对服务器进行加固，防止因服务器设备自身安全性而造成后边界完整性损害；其他非法内联或非法外网的终端接入区域，使用一体化终端安全管理系统进行管控。
• 4为满足等保中入侵检测设计实现，在安全管理区部署网络入侵检测系统，在互联网边界前端部署带有入侵防御系统，符合等保重对病毒攻击的防护、记录、阻断和报警要求。
• 5为满足网络边界恶意代码防范实现，医院外网边界已部署防病毒网关，在网络中的终端上部署了杀毒软件，已满足了等保三级的要求，对网络边界处对恶意代码进行检测和清除，但是维护恶意代码库的升级和检测系统的更新需要持续进行，建议后期如果趋势杀毒软件无法更新后，更换杀毒软件。