引言

　　广州市华侨医院（以下简称“华侨医院”）网络安全系统项目是华侨医院信息化工程建设的重要组成部分。其根本目的在于结合华侨医院网络改造以及应用系统更新项目，建立一整套网络安全通讯平台，实现信息网络平台与国际互联网的有效隔离，对整个网络给予有效的防护，建立数据监听机制，建立对病毒入侵的有效阻挡体系，并在此网络上应用各业务处理软件，实现医院管理工作的信息安全化，自动化。

　　由于医院各应用系统运行于华侨医院网络平台之上，所以将涉及大量不能公开的敏感信息，并需要同步考虑随之而来的各种安全问题。方正安全的技术专家们本着对事业负责的工作态度，深入分析了系统可能存在的安全隐患，并对网络安全系统提出了指导建议。

　　华侨医院的网络情况

　　华侨医院网络目前主要承载以下应用系统：

　　 国际互联网用户通过访问WEB服务器了解华侨医院相关情况及信息资讯。同时互联网内部还有邮件服务器，未来还会规划OA应用服务器等。

　　 业务网内有则包含了大量的数据库服务器。这些重要的服务器为医院各业务系统用户提供服务。

　　华侨医院网络分为两个独立子网，业务网和互联网。

　　业务网为新建网络，主干采用千兆以太网连接。通过专网与社保局连接，用于社保提取数据使用。

　　互联网现有一个出口，100M光钎连接到暨南大学，通过校园网出口访问Internet。由于教育网封闭了大量的国外站点，不利于用于学术方面的对外交流，因此计划接入电信链路作为互联网出口的补充。核心交换机采用千兆交换产品，接入层交换机到桌面为100M双绞线。

　　华侨医院网络安全隐患分析

　　我们可以按照国际上流行的安全隐患分析方法，从网络、应用和用户等三个层次来分析其可能的安全隐患。由于应用和用户结合非常紧密，所以我们可以简化为从网络架构和应用系统这两个角度来进行安全隐患分析。

　　网络架构安全隐患分析

　　根据网络结构及其中的关键网络设备的基本情况，可以确定其中所具有的网络安全隐患包括：

　　 华侨医院网络与国际互联网相连，会受到来自国际互联网的攻击，目前医院互联网与Internet网关处没有部署防火墙，不能防御任何攻击，信息安全不容乐观。业务网目前基本上为物理隔离网络，虽然各数据服务器前端无任何防护设备，但受到Internet黑客攻击的可能性并不大。随着业务需求的不断增加，必然会带来双网业务数据的交换需求，一旦双网不能实现物理隔离则必然带来巨大的安全隐患。

　　 华侨医院网络已与国际互联网相连，由于在网关处没有防病毒产品，因此每天会有大量含有病毒的代码通过国际互联网进入内网。比如软件下载、第三方邮件、QQ、MSN聊天等都会有可能携带病毒，而目前国际上病毒的传播90%都是通过互联网进行传播的，因此没有对病毒传播途径进行控制的网络将让病毒源源不断的渗进来。

　　 华侨医院网络互联后，可能遭到来自内部的越权访问、恶意攻击和计算机病毒的入侵；例如一个对华侨医院不满的内部用户，利用从Internet下载的黑客程序恶意攻击内部的站点，致使网络局部或整体瘫痪。

　　 华侨医院内一些重要的服务器对国际互联网用户提供服务，比如用户通过浏览华侨医院的WEB服务器了解华侨医院的相关信息，毫无疑问，这些服务在相当程度上体现了华侨医院的形象，因此黑客在传统攻击不能成功（因有防火墙的保护）的情况下，极有可能用到DOS、DDOS等致命攻击，使用重要服务器不能对公众提供服务，损坏医院的社会形象，而且医院还与教育网相连，来自教育网的这类攻击远远高于互联网。

　　 华侨医院内终端众多，提供重要服务的服务器众多，由于用户有意或无意的原因，会经常造成IP地址冲突等网络管理不到位情况，而这种内部用户有意或无意的行为，有时会造成很大的影响。

　　应用系统安全隐患分析

　　根据对应用系统的现状分析，可以确定华侨医院网络应用系统具有以下安全隐患：

　　 WEB、邮件等数据服务器现直接接入国际互联网，因此直接暴露在国际互联网上，这些服务器的相关应用可能存在操作系统或应用平台漏洞，黑客将通过IP扫描、端口扫描等方式不费吹灰之力便可对其攻破进而控制。

　　 子网内大量机器存在操作系统漏洞，很容易被冲击波等蠕虫病毒感染，而蠕虫类型病毒对网络带宽及主机性能影响很大，会大大影响办公效率。

　　 华侨医院网络的应用系统各服务器，数据服务器和WEB服务器、文件服务器可能遭到内部用户的非法存取、删改和破坏。

　　 Web等应用服务，本身就是安全漏洞的温床，如果没有进行完善的设置和配套的安全防护，则非但该服务本身可能因信息被篡改、删除等原因，无法正常运转；甚至整个网络都将被破坏掉，而无法有效地运转，比如尼姆达病毒就可以利用微软IIS服务的几个漏洞而对网络实施攻击和破坏。

　　方正安全提供的解决方案

　　围绕网络安全策略中的技术安全策略，我们设计了华侨医院网络的总体安全解决方案。

　　 在华侨医院网关处部署一台百兆防火墙，实现国际互联网与医院互联网子网的有效隔离。

　　 在华侨医院网关处部署一台百兆防病毒网关，隔离Internet对内网网络的病毒入侵，真正做到把病毒拒之于网络之外。在各子网终端机器上部署方正熊猫防病毒软件，查杀通过内网传播的病毒。

　　 在网络内部署百兆IDS产品，监控所有在网络内的数据流。防止用户对重要的服务器、办公用机的攻击。及时阻断从外网利用操作系统漏洞和应用服务漏洞渗入内网的入侵。

　　 加强对华侨医院内部用户的身份鉴别、权限控制、角色管理和访问控制管理，防止对应用系统的数据库服务器、邮件服务器及文档服务器的非法存取、删改和破坏。

　　 加强对各种网络安全事件的检测与审计，其中包括：检测来自内部和外部的黑客入侵行为，监视网络流量及各种主机设备，监视数据库系统及应用系统的运行情况，并及时告警。

　　方案实施效果

　　 实现华侨医院网络中心内部与Internet之间的安全隔离，并做到细粒度的控制。

　　 在华侨医院的网络中心建立方正熊猫病毒防护管理服务器，所有的防毒对象（工作站和服务器）均采用安装代理的方式来实现集中控管。通过防毒服务器自动分发防毒策略和防病毒升级特征库，整个防毒体系只需要网管与网络安全管理中心的防毒服务器去Internet自动获取病毒库升级就可以自动完成全网的升级工作。极大地提高了防毒工作的效率。

　　 在不改变原有网络结构和设置的情况下，安全部署安全网关，病毒的防护由被动专为主动，做到未雨绸缪御敌于门之外。

　　 通过网络入侵检测技术可以实现监视经过核心交换机本网络的所有活动，并且可以精确定位源、目标机器，防入侵欺骗行为的存在；它与防火墙的联动可以实现网络非法活动的自动封禁和其他限制策略，保证华侨医院的网络安全，为网络管理提供数据支持依据。

　　采用的方正安全产品

　　方正防火墙

　　方正入侵检测系统

　　方正熊猫安全网关

　　方正熊猫企业安全套装

　　方正安全完善的售后服务体系

　　信息安全是一个长期而复杂的系统工程，它不但涉及到了安全产品的应用，更为重要的是它还需要长期、优质的安全服务，如果没有不间断的安全服务，则信息安全就无法得到保障。所以，方正信息安全技术公司为用户提供了全方位的服务，来保障客户的安全服务工作。

　　1、365*24小时的全天候热线技术支持服务：通过技术热线,用户可获得产品的相关信息及问题解答。

　　2、Internet在线支持：通过本公司网站，用户可获得本产品的相关信息及常见问题解答。

　　3、邮件技术支持：通过电子邮件，用户可获得本产品的相关信息及邮件问题解答。

　　方正信息安全技术有限公司是北大方正集团的全资子公司，是专注于信息安全产品和网络管理解决方案的研发、生产、销售、服务和咨询的专业厂商。凭借北大方正在信息安全领域深厚的技术底蕴，方正安全在经过信息安全产业5年的风雨洗练，脱颖而出，跻身信息安全第一阵营。“顾问型”安全厂商，是方正安全的宗旨，以用户需求为首要。　　

(责任编辑：刘鹏)