医院信息安全技术体系内外网隔离建设方案.doc

医院信息安全技术体系内外网隔离建设方案在内网和外网核心交换机之间，双机部署网闸系统，实现内外网的安全隔离，实现对网络层/OS层已知和未知攻击的全面防护能力，保护可信网络免遭黑客攻击。网闸系统具有网络隔离功能，通过基于ASIC设计的硬件芯片开关实现可信、不可信网络间的物理链路断开，保护可信网络免遭黑客攻击。1.1.1 解决方案1.1.1.1 IDS入侵检测功能网闸系统在设备两端内置了IDS入侵检测引擎，该引擎可有效保护系统自身及受保护网络免受攻击者的频繁攻击。该系统将自动分析对受保护内网的访问请求，并与网闸系统实现内部联动对可疑数据包采取拒绝连接的方式防御攻击。1.1.1.2 SAT（安全服务器地址映射）网闸系统具备完善的SAT功能，可信端服务器可通过SAT功能将自身的特定服务虚拟映射到不可信端接口上，通过隔离系统的不可信端虚拟端口对外提供服务，访问者仅能访问虚拟端口而无法直接连接服务器，从而对外屏蔽服务器，防止服务器遭到攻击。1.1.1.3 身份认证除了提供基本的用户名/口令身份认证功能以外，还可与外部认证系统集成支持扩展的PKI数字证书、SecureID等多种强身份认证功能。支持SSO（Single Sign-on）单点登录，支持Radius、LDAP、AD（Active Directory）等CAS认证模式。1.1.1.4 安全上网、邮件收发高级认证支持采用专用ViIE、ViMail认证客户端实现高安全性的上网、邮件应用安全认证控制功能，防止客户端涉密信息未经授权外发。没有经过客户端认证的用户即使用IE、OUTLOOK、FOXMAIL等软件也无法上网和收发邮件。1.1.1.5 安全代理服务允许可信端用户以应用代理方式访问不可信网络，支持Socks代理，支持流媒体、视频应用代理，可作为应用代理网关对内网访问请求进行检测，相对于传统的基于网络层的NAT方式来说，由于代理服务在应用层对访问请求进行检测具有更细的粒度和检查元素，因此，对访问具有更高的安全控制能力。1.1.1.6 AI安全过滤应用智能能够使您根据来源、目的地、用户特权和时间来控制对特定的HTTP、SMTP或FTP等资源的访问。通过协议分析技术提供应用级的安全过滤以保护数据和应用服务器免受恶意Java和ActiveX applet的攻击。支持关键字、网址、恶意代码、文件类型、黑白名单等过滤功能；在AI功能中新增了安全功能，包括：确认通信是否遵循相关的协议标准；进行异常协议检测；限制应用程序携带恶意数据的能力；对应用层操作进行控制，这些新功能对单位级网络环境中应用层的安全控制起到了很重要的强化作用。1.1.1.7 防病毒网闸系统的防病毒引擎，可实现对内外网摆渡数据的病毒查杀，其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过HTTP、SMTP等方式向外泄漏信息。实现对病毒的高效查杀，支持包括HTTP、SMTP、POP3协议的网关级病毒过滤。1.1.1.8 内容及格式检测具备内容过滤及文件格式检查功能，支持黑白名单过滤，对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能，支持深层文件格式和编码检测，能够阻止敏感的信息外泄或恶意程序的入侵。1.1.1.9 VPN通讯安全对受保护WEB服务器提供内置的SSL VPN加密通讯机制，建立客户端与虚拟服务端口间的SSL加密VPN链路，实现通讯安全。该加密方式无需修改客户端设置，透明实现客户端与服务器端的加密通讯。1.1.1.10 WEB站点保护全面分析来自WEB服务的漏洞，建立了WEB站点保护系统WebAppliaction，全面抵御黑客对用户对外WEB、MAIL以及FTP系统服务系统发动的攻击。包括：Cookie安全签名、URL字段细粒度过滤、输入参数检测、操作系统屏蔽、Web service函数、CGI调用函数、特别针对WEB的IDS检测、文件目录及文件访问控制等功能。