附-网络整改建议性方案new全

　附件

　 山东省医学影像学研究所网络安全整改建设方案

　 山东省医学影像学研究所 2013 年 年 8 月

　- I - 目 目

　录 一、前言 ............................................................................................................................................... 1

　二、网络信息安全现状分析 ................................................................................................................ 2

　2.1

　数据安全 ............................................................................................................................... 3

　2.1.1 数据完整性 ................................................................................................................................ 3

　2.1.2 数据保密性 ................................................................................................................................ 3

　2.1.3 数据备份与恢复 ........................................................................................................................ 3

　2.2

　应用安全 ............................................................................................................................... 3

　2.2.1 身份鉴别 .................................................................................................................................... 3

　2.2.2 访问控制 .................................................................................................................................... 4

　2.2.3 安全审计 .................................................................................................................................... 5

　2.2.4 代码安全 ................................................................................................................................... 5

　2.2.5 通讯保密性 ............................................................................................................................... 5

　2.3 网络安全 ..................................................................................................................................... 6

　2.3.1 结构安全与网段划分 ................................................................................................................ 6

　2.3.2 网络访问控制 ............................................................................................................................ 6

　2.3.3 拨号访问 .................................................................................................................................... 6

　2.3.4 网络安全审计 ............................................................................................................................ 7

　2.3.5 边界完整性检查 ........................................................................................................................ 7

　2.3.6 网络入侵防范 ............................................................................................................................ 7

　2.3.7 恶意代码防护 ............................................................................................................................ 7

　2.3.8 网络设备防护 ............................................................................................................................ 8

　2.4 主机安全 ..................................................................................................................................... 8

　2.4.1 身份鉴别 ................................................................................................................................... 8

　2.4.2 安全审计 ................................................................................................................................... 9

　2.4.3 系统保护 ................................................................................................................................... 9

　2.4.4 入侵防范 .................................................................................................................................... 9

　- II - 2.4.5 恶意代码防范 ............................................................................................................................ 9

　2.4.6 恶意代码防范 .......................................................................................................................... 10

　2.5

　系统运维管理 ..................................................................................................................... 10

　三、建设性方案 ................................................................................................................................. 14

　3.1

　网络数据安全 ........................................................................................................................... 14

　3.2

　应用安全 .................................................................................................................................. 15

　3.2.1 互联网控制网关 ...................................................................................................................... 15

　3.2.2

　 SSL VPN ................................................................................................................................ 15

　3.2.3 认证系统 .................................................................................................................................. 17

　3.2.4 IPS 入侵防御系统 .................................................................................................................... 17

　3.3

　网络安全 .................................................................................................................................. 18

　防火墙 ............................................................................................................................................... 18

　3.4

　主机安全 .................................................................................................................................. 19

　防病毒系统 ....................................................................................................................................... 19

　3.5 设备管理与网络分析 ................................................................................................................ 20

　3.6

　 IT 运维 ..................................................................................................................................... 21

　3.7

　V MWARE 虚拟化在影像所服务器系统中的应用 ................................................................. 22

　3.7.1 需求分析 .................................................................................................................................. 22

　3.7.2

　Vmware 的应用介绍 ............................................................................................................. 23

　3.7.3 拓扑 .......................................................................................................................................... 24

　3.7.4 构成部分详细说明 .................................................................................................................. 25

　3.7.5 集中存储实现虚拟服务器的文件共享................................................................................... 27

　3.7.6 虚拟架构环境的集中管理、自动化及优化运行 ................................................................... 28

　3.7.7

　Vmware 应用的优势 ................................................................................................................ 30

　四、建设性方案实施后效果 .............................................................................................................. 32

　五 、产品选型 ..................................................................................................................................... 34

　 - 1 - 一、前言 省影像所的信息网络，目前正承载着如HIS、EMR、PACS、RIS、网站、医保、财务、药械仓库等诸多系统。

　这些应用系统的运行状况直接影响到影像所的工作效率，承担各类信息系统的网络通讯平台已经变得十分重要，随着信息网络建设的发展，对网络通讯平台的安全保障要求也越来越高。

　“等级保护”是国家在信息系统安全上的重要指导思想，我们将主要依据“信息系统等级化保护”的相关标准论述怎样进行影像所信息系统安全的建设。

　根据影像所网络系统的规模与重要性,网络安全建设应当按照《信息系统安全等级保护定级指南》中的定级方法定为第二级，这也是三级甲等医院的评审要求。

　 - 2 - 二 、 网络信息安全现状分析

　山东省医学影像学研究所正在建设“山东省影像医学资源共享平台”，将形成覆盖省、市、县三级医院的医学影像学诊断、会诊网络。基于业务发展的需要，对于影像所的网络和网络安全问题提出了更高的要求。

　省影像所致力于建立全省医疗系统的医学影像数据中心，为了更好、更安全地为医院提供可靠的、快速的、安全的资源服务，将对网络和数据安全做出更加完善的规划和改造。

　影像所的网络现状：核心交换机是 Force10 高性能、高吞吐量的万兆交换机，各个办公室是千兆到桌面；PACS、HIS 系统都与万兆核心连接，数据存储和备份都是光纤互连的 SAN架构；通过防火墙分别与省立医院网络、Internet 互联网、医保等网络互连。

　网络拓扑结构 Internet省立医院 医保专线存储系统防火墙 防火墙核心交换机存储\备份省立 医院 影像 所 网络拓扑 影像所计划在信息系统中使用更全面的安全技术，下面我们将作详细的介绍，并对照《信息系统安全等级保护基本要求》，在主机安全防护、应用安全防护、数据安全防护等方面进行描述。

　 - 3 - 2.1 数据安全 2.1.1 数据完整性 1）应能够检测到系统管理数据、鉴别信息和用户数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施； 2）应能够检测到系统管理数据、鉴别信息和用户数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施； 应能够检测到重要程序的完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。

　2.1.2 数据 保密性 性 1）网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他有效措施实现传输保密性； 2）网络设备、操作系统、数据库管理系统和应用系统的鉴别信息、敏感的系统管理数据和敏感的用户数据应采用加密或其他保护措施实现存储保密性； 3）当使用便携式和移动式设备时，应加...