一、中小型医院的网络安全现状及挑战
现阶段,医院信息系统正在变成医疗体系结构中不可或缺的基础架构。该架构的网络安全和数据可用性变得异常重要。任何的网络不可达或数据丢失轻则降低患者的满意度,影响医院的信誉,重则引起医患纠纷、法律问题或社会问题。和其它行业的信息系统一样,医疗信息系统在日常运行中面临各种安全风险带来的安全应用事故。
当前,中小型医院在网络和应用系统保护方面均采取了一定的安全措施,例如在每个网络、应用系统分别部署了防火墙、访问控制设备;也可能在一定程度上实现了区域性的病毒防御,实现了病毒库的升级和防病毒客户端的监控和管理;采用系统账号管理、防病毒等方面具有一定流程。但在网络安全管理方面的流程相对比较薄弱,需要进一步进行加强;另外主要业务应用人员安全意识有待加强,日常业务处理中存在一定非安全操作情况,终端使用和接入情况复杂。此外,随着移动医疗应用越来越广泛的部署,以及依托互联网平台的远程医疗应用的日趋广泛,如何保障移动和远程应用的安全性也是一个重要的课题。
网络安全问题越演越烈,也为中小型或成长型的医疗机构带来另外一个挑战:如何利用较为有限的投资预算,解决当前最为迫切的安全威胁,同时也要预留先进性和可扩展能力,避免造成投资浪费。思科自防御网络的出现,为中小型医疗网络提供了由低级到高级不断发展、演进的安全解决方案,思科网络设备集成了独特的安全功能,以及各个安全设备的联动并主动进行防护,是思科自防御网络的具体实现。
基于思科自防御安全体系的建设指导思想,同时结合中小型医疗机构的安全现状,我们建议从以下几个方面构筑中小型医疗机构的安全体系。
二、构建安全的基础网络平台
在诸多的局域网安全问题中,由于历史原因,令网络管理员感到最头痛的问题就是IP地址的管理;最担心的问题就是账号、密码的盗取以及信息的失窃和篡改;而最棘手的问题就是木马、蠕虫病毒爆发对网络造成的危害。据CSI/FBI计算机犯罪与安全调查显示,信息失窃已经成为当前最主要的犯罪。在造成经济损失的所有攻击中,有75%都是来自于园区内部。这样,企业网络内部就必须采用更多创新方式来防止攻击,如果我们将网络中的所有端口看成潜在敌对实体获取通道的“端口防线”,网络管理员就必须知道这些潜在威胁都有那些,以及需要设臵哪些安全功能来锁定这些端口并防止这些潜在的来自网络第二层的安全攻击。
网络第二层的攻击是网络安全攻击者最容易实施,也是最不容易被发现的安全威胁,它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。因为任何一个合法用户都能获取一个以太网端口的访问权限,这些用户都有可能成为黑客,同时由于设计OSI模型的时候,允许不同通信层在相互不了解情况下也能进行工作,所以第二层的安全就变得至关重要。如果这一层受到黑客的攻击,网络安全将受到严重威胁,而且其他层之间的通信还会继续进行,同时任何用户都不会感觉到攻击已经危及应用层的信息安全。
所以,仅仅基于认证(如IEEE 802.1x)和访问控制列表(ACL,Access Control Lists)的安全措施是无法防止来自网络第二层的安全攻击。一个经过认证的用户仍然可以有恶意,并可以很容易地执行本文提到的所有攻击。目前这类攻击和欺骗工具已经非常成熟和易用。
以上所提到的攻击和欺骗行为主要来自网络的第二层。在网络实际环境中,其来源可概括为两个途径:人为实施,病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。木马、蠕虫病毒的攻击不仅仅是攻击和欺骗,同时还会带来网络流量加大、设备CPU利用率过高、二层生成树环路、网络瘫痪等现象。
归纳前面提到的局域网目前普遍存在的安全问题,根据这些安全威胁的特征分析,这些攻击都来自于网络的第二层,主要包括以下几种:
·MAC地址泛滥攻击
·DHCP服务器欺骗攻击
·ARP欺骗
·IP/MAC地址欺骗
利用Cisco Catalyst交换机内部集成的安全特性,采用创新的方式在局域网上有效地进行IP的地址管理、阻止网络的攻击并减少病毒的危害。Cisco Catalyst 智能交换系列的创新特性针对这类攻击提供了全面的解决方案,将发生在网络第二层的攻击阻止在通往内部网的第一入口处,主要基于下面的几个关键的技术。
·Port Security
·DHCP Snooping
·Dynamic ARP Inspection (DAI)
·IP Source Guard
我们可通过在思科交换机上组合运用和部署上述技术,从而防止在交换环境中的“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户IP和对应的交换机端口,防止IP地址冲突。同时对于大多数具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。
通过启用端口安全功能,可有效防止MAC地址泛洪攻击,网络管理员也可以静态设臵每个端口所允许连接的合法MAC地址,实现设备级的安全授权。动态端口安全则设臵端口允许合法MAC地址的数目,并以一定时间内所学习到的地址作为合法MAC地址。
通过配臵Port Security可以控制:
·端口上最大可以通过的MAC地址数量
·端口上学习或通过哪些MAC地址
·对于超过规定数量的MAC处理进行违背处理
端口上学习或通过哪些MAC地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口MAC,直到指定的MAC地址数量,交换机关机后重新学习。目前较新的技术是Sticky Port Security,交换机将学到的mac地址写到端口配臵中,交换机重启后配臵仍然存在。
对于超过规定数量的MAC处理进行处理一般有三种方式(针对交换机型号会有所不同):
·Shutdown:端口关闭。
·Protect:丢弃非法流量,不报警。
·Restrict:丢弃非法流量,报警。
Catalyst交换机可通过DHCP Snooping技术保证DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。 通过截取一个虚拟局域网内的DHCP信息,交换机可以在用户和DHCP服务器之间担任就像小型安全防火墙这样的角色,“DHCP监听”功能基于动态地址分配建立了一个DHCP绑定表,并将该表存贮在交换机里。在没有DHCP的环境中,如数据中心,绑定条目可能被静态定义,每个DHCP绑定条目包含客户端地址(一个静态地址或者一个从DHCP服务器上获取的地址)、客户端MAC地址、端口、VLAN ID、租借时间、绑定类型(静态的或者动态的)。
通过部署动态ARP检查(DAI,Dynamic ARP Inspection)来帮助保证接入交换机只传递“合法的”的ARP请求和应答信息。DHCP Snooping监听绑定表包括IP地址与MAC地址的绑定信息并将其与特定的交换机端口相关联,动态ARP检测(DAI-Dynamic ARP Inspection)可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP),确保应答来自真正的ARP所有者。Catalyst交换机通过检查端口记录的DHCP绑定信息和ARP应答的IP地址决定是否真正的ARP所有者,不合法的ARP包将被删除。
DAI配臵针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭,如果ARP包从一个可信任的接口接收到,就不需要做任何检查,如果ARP包在一个不可信任的接口上接收到,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样,DHCP Snooping对于DAI来说也成为必不可少的,DAI是动态使用的,相连的客户端主机不需要进行任何设臵上的改变。对于没有使用DHCP的服务器个别机器可以采用静态添加DHCP绑定表或ARP access-list实现。
另外,通过DAI可以控制某个端口的ARP请求报文频率。一旦ARP请求频率的频率超过预先设定的阈值,立即关闭该端口。该功能可以阻止网络扫描工具的使用,同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。
除了ARP欺骗外,黑客经常使用的另一手法是IP地址欺骗。常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。Catalyst IP源地址保护(IP Source Guard)功能打开后,可以根据DHCP侦听记录的IP绑定表动态产生PVACL,强制来自此端口流量的源地址符合DHCP绑定表的记录,这样攻击者就无法通过假定一个合法用户的IP地址来实施攻击了,这个功能将只允许对拥有合法源地址的数据保进行转发,合法源地址是与IP地址绑定表保持一致的,它也是来源于DHCP Snooping绑定表。因此,DHCP Snooping功能对于这个功能的动态实现也是必不可少的,对于那些没有用到DHCP的网络环境来说,该绑定表也可以静态配臵。
IP Source Guard不但可以配臵成对IP地址的过滤也可以配臵成对MAC地址的过滤,这样,就只有IP地址和MAC地址都于DHCP Snooping绑定表匹配的通信包才能够被允许传输。此时,必须将 IP源地址保护IP Source Guard与端口安全Port Security功能共同使用,并且需要DHCP服务器支持Option 82时,才可以抵御IP地址+MAC地址的欺骗。
与DAI不同的是,DAI仅仅检查ARP报文, IP Source Guard对所有经过定义IP Source Guard检查的端口的报文都要检测源地址。
通过在交换机上配臵IP Source Guard,可以过滤掉非法的IP/MAC地址,包含用户故意修改的和病毒、攻击等造成的。同时解决了IP地址冲突的问题。
此外,在最新的Catalyst 3750-X和Catalyst 3560-X交换机内,还内臵了一系列全新的TrustSec安全技术。例如,采用基于IEEE 802.1ae标准的MAC Security技术,交换机在面向主机的端口上提供了对以太网数据在数据链路层的线速加密,以防止中间人攻击;支持包括802.1x、MAC认证旁路、Web认证等多种认证方式为不同类型的接入终端提供一致的安全体验,等等。
以上所列的基础安全防护的功能,均内臵在思科的Catalyst交换机内,无需另外购买。
方案涉及的主要Catalyst系列交换机包括:
产品系列
|
说明
|
Catalyst 3750-X
|
支持堆叠和万兆上行的智能三层交换机
|
Catalyst 3560-X
|
支持万兆上行的智能三层交换机
|
Catalyst 2960-S
|
支持堆叠、万兆上行和静态路由的交换机
|
此外,思科还提供了精睿系列交换机,通过基本的802.1x认证、基于MAC的端口安全、基于MAC/IP的访问控制列表(ACL)、私有VLAN边缘(PVE)等技术,专为入门级的小型医疗网络提供基础的安全网络接入服务。精睿交换机的主要系列包括:
产品系列
|
说明
|
Cisco SF 300
|
支持静态路由的可网管交换机
|
Cisco SLM224G2
|
支持基于WEB浏览器简单网管
|
三、内网安全与网络出口安全解决方案
现在的网络面临多种多样的安全威胁,医院需要建立纵深防御体系来防止因某个部分的侵入而导致整个系统的崩溃。只有基于网络系统之间逻辑关联性和物理位臵、功能特性,划分清楚的安全层次和安全区域,在部署安全产品和策略时,才可以定义清楚地安全策略和部署模式。安全保障包括网络基础设施、业务网、办公网、本地交换网、信息安全基础设施等多个保护区域。这些区域是一个紧密联系的整体,相互间既有纵向的纵深关系,又有横向的协作关系,每个范围都有各自的安全目标和安全保障职责。积极防御、综合防范的方针为各个保护范围提供安全保障,有效地协调纵向和横向的关系,提高网络整体防御能力。
针对医院的网络系统,我们可以根据物理位臵、功能区域、业务应用或者管理策略等等划分安全区域。不同的区域之间进行物理或逻辑隔离。物理隔离很简单,就是建立两套网络对应不同的应用或服务,最典型的就是医院业务网络和互联网访问网络的隔离。而对于内部各部门或应用来说,我们经常采用的是利用防火墙逻辑隔离的方法。
另一方面,互联网对各种规模的医院来说都十分重要。它带来了业务发展的新机遇。通过×××连接,它使得医院可与合作伙伴和远程员工保持联系。但它也是将威胁带入医院网络的渠道,这些威胁可能会对医院造成重大影响:
·病毒—可感染系统,使其停运,从而导致运行中断和收入损失
·间谍软件和黑客—会导致公司数据丢失和因此引起法律问题
·垃圾邮件和泄密—需要繁琐的处理过程,降低员工生产率
·浏览与工作无关的网站—会导致员工生产率降低,并可能使公司承担法律责任
·受感染的×××流量—使威胁因素进入网络,中断业务
针对上述的安全威胁特点和需求状况,我们建议中小型医疗机构可以从以下几个方面部署思科的安全解决方案。
通过Cisco ASA 5500部署一体化安全解决方案
Cisco ASA 5500系列提供了一体化安全解决方案,提供了一个易于使用、且具有医院需要的安全功能的全面安全解决方案,结合了防火墙、入侵保护、Anti-X和×××功能,您可对您的医院网络受到的保护充满信心。通过终止垃圾邮件、间谍软件和其他互联网威胁,员工生产率得到了提高。IT人员也从处理病毒和间谍软件消除以及系统清洁任务中解放出来。您可集中精力发展业务,而无需为最新病毒和威胁担忧。
图:ASA 5500系列一体化安全解决方案
Cisco ASA 5500系列为医院提供了全面的网关安全和×××连接。凭借其集成的防火墙和Anti-X功能,Cisco ASA 5500系列能在威胁进入网络和影响业务运营前,就在网关处将它们拦截在网络之外。这些服务也可扩展到远程接入用户,提供一条威胁防御×××连接。
最值得信赖、广为部署的防火墙技术—Cisco ASA 5500系列构建于Cisco PIX 安全设备系列的基础之上,在阻挡不受欢迎的来访流量的同时,允许合法业务流量进入。凭借其应用控制功能,该解决方案可限制对等即时消息和恶意流量的传输,因为它们可能会导致安全漏洞,进而威胁到网络。
市场领先的Anti-X 功能—通过内容安全和控制安全服务模块(CSC-SSM)提供的强大的Anti-X功能,Cisco ASA 5500系列提供了全面保护所需的重要的网络周边安全性。
防间谍软件—阻止间谍软件通过互联网流量(HTTP和FTP)和电子邮件流量进入您的网络。通过在网关处阻拦间谍软件,使IT支持人员无需再进行昂贵的间谍软件清除过程,并提高员工生产率。
防垃圾邮件—有效地阻拦垃圾邮件,且误报率极低,有助于保持电子邮件效率,不影响与客户、供应商和合作伙伴的通信。
防病毒—屡获大奖的防病毒技术在您基础设施中最有效的地点-互联网网关处防御已知和未知攻击,保护您的内部网络资源。在周边清洁您的电子邮件和Web流量,即无需再进行耗费大量资源的恶意软件感染清除工作,有助于确保业务连续性。
防泄密— 确定针对泄密攻击的防盗窃保护,因此可防止员工无意间泄漏公司或个人信息,以导致经济损失。
针对Web接入、电子邮件(SMTP和POP3)以及FTP的实时保护。即使机构的电子邮件已进行了保护,但许多员工仍会通过公司PC或笔记本电脑访问自己的个人电子邮件,从而为互联网威胁提供了另一个入点。同样,员工可能直接下载受到感染的程序或文件。在互联网网关对所有Web流量进行实时保护,可减少这一常被忽略的安全易损点。
URL过滤—Web和URL过滤可用于控制员工对于互联网的使用,阻止他们访问不适当的或与业务无关的网站,从而提高员工生产率,并减少因员工访问了不应访问的Web内容而承担法律责任的机会。
电子邮件内容过滤—电子邮件过滤减少了公司因收到通过电子邮件传输的攻击信息而承担法律责任的机会。过滤也有助于符合法律法规,可帮助机构达到Graham Leach Bliley 和数据保护法案等的要求。
威胁防御×××—Cisco ASA 5500系列为远程用户提供了威胁防御接入功能。该解决方案提供了对内部网络系统和服务的站点间访问和远程用户访问。此解决方案结合了对于SSL和IPSec ×××功能的支持,可实现最高灵活性。因为这一解决方案将防火墙和Anti-X服务与×××服务相结合,可确保×××流量不会为医院带来恶意软件或其他威胁。
方便的部署和管理—随此解决方案提供了思科自适应安全设备管理器(ASDM),它具有一个基于浏览器的、功能强大、易于使用的管理和监控界面。这一解决方案在单一应用中提供了对于所有服务的全面配臵。此外,向导可指导用户完成配臵的设臵,实现迅速部署。
部署Cisco IronPort S系列Web安全网关应对来自互联网的Web威胁
当前,基于互联网Web数据流传播的各种安全威胁,开始在全球范围盛行,使商用网络暴露在这些威胁带来的内在危险之下。现行的网关防御机制已经证明不足以抵御多种基于Web的恶意软件入侵。据业内估计,大约75%的商用电脑感染了间谍软件,但是在网络周边部署了恶意软件防御系统的企业却不足10%。基于Web的恶意软件传播速度快,变种能力强,其危害性日益严重,对医疗机构特别是网络安全技术相对薄弱的中小型医疗机构来说,拥有一个强健的能够保护医院网络周边并抵御这些安全威胁侵害的安全平台就显得极为重要。
除此以外,当今基于Web的威胁87%是通过合法的网站发出的。基于Web的恶意软件有着速度快、多样性强和变种频繁出现的攻击威胁特点,这要求医院必须使用一个强大的、安全平台才能将日益严峻的上网威胁屏蔽在医院网络之外。
Cisco IronPort S系列 Web 安全网关是业界开创先河的,也是唯一的将传统的URL过滤、信誉过滤和恶意软件过滤功能集中到单一平台来消除上述风险的Web安全设备。通过综合利用这些创新的技术,Csico IronPort S 系列网关能够帮助企业在保证Web数据流安全和控制Web数据流风险方面,应对所面临的日益严峻的挑战。
Cisco IronPort S系列网关结合了多种先进技术,通过单台、集成的网关抵御恶意软件,帮助企业实施安全策略及控制网络流量。提供的多层防护包括Cisco IronPort Web名誉过滤器™,多层防恶意软件扫描引擎和第四层(L4)数据流监视器,它可以监控非80端口的恶意软件活动。所有这一切为企业提供了一个强大的具有最优性能和功效的Web安全平台。同时Cisco IronPort S系列提供智能化的HTTPS解密的能力,从而对加密数据流应用所有的安全及访问策略。
在实际的应用环境中,医疗机构可以选择以下两种模式部署S系列网关:
·直连模式:客户机直接连接到S系列,由S系列提供HTTP/HTTPS/FTP流量的代理支持。
·透明模式:由第四层交换机或WCCP路由器转发流量至S系列,由S系列提供对客户机透明的代理支持。
部署Cisco IronPort C系列电子邮件安全网关应对来自互联网电子邮件的安全威胁
垃圾邮件以及随邮件传播的病毒、恶意程序、间谍软件等是当前来自互联网的另一种主要的安全威胁。对于安全技术相对薄弱的中小型医疗机构,这种威胁往往会带来极大的安全风险:随意打开来历不明的电子邮件或者点击邮件中的附件或链接都有可能形成对医疗业务系统的攻击。此外,网络管理人员需要耗费大量精力用于清理垃圾邮件,也严重影响了对正常业务系统的管理和维护。因此,如何对电子邮件应用进行高效的安全防御和管理,也是当前中小型医疗机构部署安全解决方案时需要重点考虑的内容。
Cisco IronPort C系列电子邮件安全网关是针对电子邮件安全威胁的最佳解决方案。基于Cisco IronPort专有的为企业目标设定的AsyncOS™操作系统,IronPort C系列能够满足对电子邮件的大容量和高可用性的扫描需求,减少与垃圾邮件、病毒和其他各种威胁相关的系统宕机时间,从而支持对医院邮件系统的高效管理并有效减轻网络管理人员的工作负担。
IronPort C系列在一个网关设备上集成了思科独有的预防性过滤器和基于特征码的反应性过滤器,配合内容过滤和高级加密技术,为客户提供了目前业界最高级的邮件安全服务。同时,利用思科安全情报运营中心和全球威胁协作组织使Cisco IronPort网关产品更聪明,更迅速。这一先进技术使企业可以从最新的互联网威胁中提高他们的安全性,并且使得保护用户更加透明化。
下图描述了C系列邮件安全网关的部署方式。
对于中小型医疗机构,本方案涉及的ASA和IronPort系列主要产品如下表所示:
产品系列
|
说明
|
Cisco ASA 5505
|
提供一体化的安全解决方案,包括防火墙隔离、IPS、×××、内容过滤等
|
Cisco ASA 5510
|
提供一体化的安全解决方案,包括防火墙隔离、IPS、×××、内容过滤等
|
Cisco IronPort S160
|
面向中小型医疗机构的Web安全网关
|
Cisco IronPort C160
|
面向中小型医疗机构的电子邮件安全网关
|
四、安全的医疗分支机构解决方案
随着国家不断深化乡镇医疗保障体系的建设,乡镇卫生院、医疗点与城区中心医院之间的联系也日趋紧密。互联网的普及,一方面为这一趋势提供了便利的信息高速公路,但同时也带来了形形×××的安全隐患。在众多的广域网接入技术中,虚拟专网(×××)可以说是解决这一问题的最具经济实用性的解决方案。
基于集成多业务路由器(ISR)的企业级×××解决方案,在可扩展的平台、安全性、服务、应用和管理五大×××实施要素方面,具有基于标准的开放式的体系结构和可扩充的端到端网络互连能力。借助先进的ISR路由器,中小型医疗机构用户能够部署多种×××连接方式,通过安全可靠的加密手段,保护医疗应用系统的信息资源。
下图是基于ISR路由器的一个典型的×××实施方式:
·使用思科ISR高端路由器2900系列做为中心医院的×××网关,用来聚合来自分支医疗机构、合作单位、移动/远程医疗终端的×××各种应用。
·在分支医疗机构中,根据机构的规模和应用状况可选择思科ISR路由器中的1900系列、890c系列或880c系列做为×××的网关。
方案特点:
1.安全保障
虽然实现×××的技术和方式很多,但所有的×××均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面,由于×××直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。医院必须确保其×××上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
2.服务质量保证(QoS)
×××网应当为医院数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面,构建×××的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
3.可扩充性和灵活性
×××必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。×××管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,×××管理主要包括安全管理、设备管理、配臵管理、访问控制列表管理、QoS管理等内容。
5.多种×××的连接方式
基于ISR路由器×××解决方案为中小型医院用户提供了多种×××的连接方式,包括IPSec、SSL、动态多点×××(DM×××)等。
与中心医院通常有较为完善的网络安全部署不同,对于大量的分支医疗机构,如乡镇卫生院、医疗服务点等,如何部署合适的网络连接设备应对当前的各种网络威胁,例如:黑客攻击,蠕虫病毒,非法上网行为等等,是另外一个需要考虑的重要问题。这些网络威胁,既冲击了分支医疗机构的网络安全,又消耗了大量网络资源,严重影响了医疗系统的正常运行。
思科的ISR800系列路由器为中小型的分支机构和小型办公室提供了可靠的网络解决方案,来防御各种网络中的威胁,保证了网络资源应用,确保了医疗机构广域网络的正常运行。
·思科ISR路由器部署在分支机构,提供了安全的Internet访问
·提供先进的防火墙,能够监控电子邮件,即时消息传递和HTTP流量
·可以在分支机构的本地设备实施防御蠕虫病毒的安全策略,节省广域网络带宽
·入侵防御系统(IPS):这种深度包检测特性能够有效阻止各种网络攻击
·内容过滤:一种基于预订的集成安全解决方案,能够提供基于类别的分级;关键字拦截;并可抵御广告软件、恶意软件、间谍软件和URL 阻截
·即使是DOS攻击,也可保持可用性
方案中涉及的主要ISR路由器产品:
产品系列
|
说明
|
Cisco2921
|
部署在中心医院
|
Cisco1941
|
部署在较大规模的分支机构,例如分院
|
Cisco860/880C/890C
|
部署在卫生院、医疗服务站等
|
此外,思科还提供精睿系列×××路由器,专为需要基本远程安全互连且严格控制投资预算的小型医疗分支机构提供入门级的IPSec ×××连接,并且可以与中心医疗机构的思科ISR路由器统一部署,提供一体化的×××解决方案。常用的精睿系列×××路由器如下:
产品系列
|
说明
|
Cisco RV120W
|
部署在小型分支机构,支持10个IPSec隧道和802.11n
|
Cisco WRV210
|
部署在小型分支机构,支持5个IPSec隧道和802.11g
|
Cisco RVS4000
|
部署在小型分支机构,支持5个IPSec隧道和IPS
|
五、医院网络安全管理解决方案
随着医院网络建设的深入,安全产品不断增加,整体缺乏统一管理,相互间没有沟通交互,信息无法有效整合,是一些信息安全的孤岛。就像现在人们在关注和谈论的IT孤岛问题一样,各个应用系统之间缺乏有效联系,信息得不到整合,发挥不出其应有的价值。同样的问题放在网络安全上,这一效应就有可能放大成为风险,给企业IT系统的持续运转埋下隐患。
思科安全管理器(Cisco Security Manager,CSM)是思科安全管理套件的一部分,提供了一个全面的配臵、监控、移植和身份识别解决方案,能够有效提高网络的安全性、永续性和易操作性。它可充分利用医院现有的网络和安全投资,来识别、隔离被攻击的组件和建议对其精确删除的方式。它也有助于保持医院内部策略符合性,可作为整体法规符合性解决方案工具中一个不可缺少的部件。
医院安全和网络管理员所面临的问题有:
·安全和网络信息过载
·性能不佳的攻击和故障识别、优先级划分和响应
·更高攻击先进程度、速度和修复成本
·满足法规符合性和审查要求
·较少的安全人员和预算
思科CSM可通过以下功能满足其需要:
·集成网络智能,进行网络异常事件和安全事件的先进关联
·察看校正后的事件并自动执行调查
·通过全面充分利用网络和安全基础设施来防御攻击
·监控系统、网络和安全运行来帮助医院达到法规符合性
·以最低TCO提供一个易于部署和使用的、可扩展的设备
·将网络安全设备大量的告警信息进行综合整理归纳使其具有可读性
下图为CSM的部署方式:
思科安全管理器采用了基于策略的强大管理技术,能有效管理各种规模的网络,而它功能丰富的客户端图形用户界面则提供了出色的易用性。为完成不同的任务,满足用户的不同要求,思科安全管理器提供多种应用视图,例如图1 所示的以设备为中心的视图,以及图2 所示的以地图为中心的视图。
图1以设备为中心的视图提供了一个简化界面,用于添加设备以及编辑和部署安全策略
图2以地图为中心的视图使用户能以可视方式管理策略和设备
六、网络安全解决方案优势
计算机网络不仅仅要具有保护网上主机系统,网上终端系统,网上应用系统的能力,关键是要网络本身也具有自我保护能力,自我防御能力,自我愈合能力,做到即保护网络应用的同时,又保护了网络自身,大大提高了网络发现、预防和对抗安全威胁的能力。网络威胁防御不是单独的设备添加,而是一个系统。安全已经变成了网络的一部分,已经和网络密不可分,安全无处不在。我们的网络安全解决方案包含了威胁防御、安全通信、安全的网络服务以及全方位的安全管理。涉及到网络安全的方方面面,融合了有线及无线网络,提供统一的安全策略。提供了业界最完整的安全解决方案,为整个医院业务应用的稳定运行保驾护航。
我们不仅仅提供安全的解决方案或设备,还可以提供供专业的安全服务,对整个系统进行安全评估,提出解决方案。并可针对医院业务应用需求提出网络安全设计策略。