内网数据中心安全加固解决方案 深信服科技有限公司 2018年4月 需求分析 医院内网数据中心包含HIS,EMR,PACS,RIS,LIS等医院核心业务系统。是一个整套复杂的网络系统。它不仅仅包括计算机系统和其它与之配套的设备（例如通信和存储系统），还包含冗余的数据通信连接、环境控制设备、监控设备以及各种安全装置。对于医院内网数据中心的安全问题提出以下层面的安全风险； 问题分析 1.医院的内网数据中心安全面临着主机层的操作系统安全及数据库安全；承载着核心的业务数据因此会成为黑客的APT攻击的主要目标，与此同时病毒入侵，信息泄露，系统崩溃等安全隐患。 2.由于医院内网数据中心承载着各类的服务业务随之而来的应用层安全需要保证信息用户的真实性，信息数据的机密性，完整性和可用性以及信息用户和信息数据的可审性。以对抗身体假冒、信息窃取及数据篡改、越权访问和事后否认等安全威胁。 3.对于数据中心的数据库写入保障，作为医疗内部数据的合规性以及数据库语言的准确性需要专业的数据库防护设备进行安全加固。同时加强对“统方”数据的防护。 方案设计 医院内网数据中心出口安全需要融合防火墙、入侵防护、漏洞检测、敏感信息防泄漏、DoS/DDoS攻击防护、防病毒、防扫描、弱口令检查、防僵尸网络、web应用攻击保护、网站篡改保护等功能，可以实时检查数据中心网络中的安全风险，避免因业务系统漏洞导致的入侵，防范病毒、蠕虫、僵尸网络等威胁内容在数据中心传播，防止口令密码被暴力破解，避免数据中心敏感信息被泄露，清洗数据中心异常流量，保护数据中心web应用安全，保障数据中心网络和业务安全运行。 完整的数据中心安全防护 防火墙应部署在数据中心出口，做整体的安全，以此解决方案提供L2-L7层的完整的数据中心应用安全防护体系，帮助数据中心解决传统防火墙由于工作在L3-L4层无法识别的应用层威胁。 网络安全：访问控制、DOS攻击防护、IPSEC VPN组网、NAT地址转换 应用安全：漏洞攻击、非安全应用控制、恶意地址防护、病毒木马蠕虫过滤、 应用访问控制、僵尸网络检测 Web安全：SQL注入、跨站脚本、敏感信息防泄露、防篡改、黑链检测 设备自身安全：抗DOS/DOS属性、管理员SSL加密登陆、业务与管理分离管理 精细控制的可视化数据中心 内网数据中心安全解决方案提供L2-L7层完整的数据中心安全防护体系，帮助数据中心解决传统防火墙由于工作在L3-L4层无法识别的应用层威胁。区别于传统防火墙的五元组访问控制策略，防火墙应通过应用可视化功能与用户识别技术结合制定的L3-L7一体化应用控制策略, 可以为用户提供更加精细直观的控制界面。 完全适配云数据中心的云安全解决方案 当前云租户安全的可部署在医院内部数据中心虚拟化平台中不同租户的安全防护。在服务器虚拟化环境下，对不同租户间、租户内部虚拟机间的流量进行安全防护和隔离。通过深信服虚拟化软件防火墙产品，形成软件安全资源池，提供了虚拟化网络的2到7层安全防护，实现精细的区域划分与可视化的权限访问控制。如区域划分、接入控制、病毒防护、入侵防护、漏洞检测、DDoS攻击防护、WEB安全防护、数据泄露保护、网页篡改保护等，并基于资源池实现按需分配、灵活部署的安全保护。 灵活的安全隔离 软件防火墙可以区分各租户的边界并进行隔离保护，对于不同的租户来说，每一个租户都可以被划分成一个独立的虚拟区域，并在每一个区域使用虚拟软件防火墙进行区域之间的隔离，从而避免不受信的租户之间的数据互访造成安全隐患。 租户安全边界 虚拟软件防火墙为租户提供了业务安全边界，确保租户业务系统南北向和东西向的流量安全。软件防火墙确保了租户对外应用的安全，防止非法人员从政务外网、互联网进行发起的攻击行为；同时实现了租户与租户之间的安全隔离保护，防止非法人员从云平台内部进行安全攻击。 租户虚机L2-L7安全 通过开启软件防火墙的IPS、WAF、漏洞检测、病毒防护等功能模块，实现对租户业务虚机的L2-L7层安全保护。通过实时流量检测和用户行为分析，检查租户业务系统中是否存在不安全行为，并实时阻断入侵行为，防御蠕虫、病毒、木马、拒绝服务、WEB攻击等威胁，并提供对租户业务的可疑访问、恶意访问、异常流量等安全隐患的预警分析。 方案价值 更简单的数据中心安全运维 对于防火墙监测发现的数据中心安全问题，还创新的提供了自动化安全运维服务，通过将发现的问题分类汇总，提醒用户及时修复安全问题。针对检测识别的安全问题，防火墙给出了详细的风险说明及建议的解决方案，用户只需要参照解决方案提示步骤，即可快速完成安全风险的修复。 这种全面的风险识别和自动化运维理念，不仅弥补了传统安全设备在应用层风险识别上的不足，同时通过直观的威胁展示和清晰的运维说