医疗影像诊断中心网络整改 摘要:国内网络安全形势日益严峻,为应对日益严峻的网络安全形势,国家近年来提出了相应的指导意见和相关的政策方针。从 2017 年的网络安全法实施,到最近出台的网络安全等保 2.0 条例,都表明国家在追求信息技术发展的同时,同样非常重视网络安全工作。
本文首先分析了医疗行业的现时的网络形势,以及国家最近出台的相关规定。然后从业务需要、安全需求和规定要求等方面去分析目前医疗行业目前的网络整改需求。最后根据企业的具体情况选择最合适的整改措施。
基于部分企业网络运维人员只重视业务需求,对网络安全方面的知识和重视程度不够,本人在实际接触医疗影像中心具体网络规划后提出了几点建议:(1)了解具体业务需求,避免开放多余的服务,端口和权限。(2)对于新增的业务做好规划整合,对于删减的业务及时回收权限和关闭服务和端口。(3)加强管理,定期做好备份。
关键字 : 网络安全,医疗行业,等保 2.0
Network rectification of medical image diagnosis center Abstract:The situation of domestic network security is becoming increasingly severe. In such an environment, the state has continuously issued relevant norms and policies. From the implementation of the network security law in 2017 to the recently issued regulations of network security level protection 2.0, it shows that the state attaches great importance to the network security work while pursuing the development of information technology. This paper first analyzes the current network situation of the medical industry, as well as the relevant regulations recently issued by the state. Then from the business needs, security needs and regulatory requirements to analyze the current network rectification needs of the medical industry. Finally, the most appropriate rectification measures are selected according to the specific situation of the enterprise. Based on the fact that some enterprise network operation and maintenance personnel only pay attention to the business needs and lack of knowledge and attention to network security, I put forward several suggestions after actually contacting the specific network planning of medical imaging center: (1) understand the specific business needs and avoid opening redundant services, ports and authorities. (2) Plan and integrate new businesses, reclaim authority and close services and ports in time for deleted businesses. (3) Strengthen management and make regular backup.
Keywords: Network security, medical industry, level protection 2.0
目
录
1 绪
论 ...................................................................... 1 1.1 研究背景和意义 ........................................................ 1 1.2 研究内容 .............................................................. 1 2 需求与分析 .................................................................. 3 2.1 企业背景 .............................................................. 3 2.2 网络整改的需求 ........................................................ 3 2.3 网络整改的原则 ........................................................ 3 2.4 网络整改的分析 ........................................................ 4 3 网络整改方案设计 ............................................................ 6 3.1 网络设备整改要求 ...................................................... 6 3.1.1 核心交换机 ...................................................... 6 3.1.2 防火墙 .......................................................... 6 3.2 网络技术选择 .......................................................... 7 3.2.1 VLAN 技术 ....................................................... 7 3.2.2 NAT 技术 ........................................................ 8 3.2.3 ACL 技术 ........................................................ 8 3.2.4 DHCP 技术 ....................................................... 8 3.3 网络拓扑图设计 ........................................................ 9 3.3.1 拓扑结构图 ...................................... 错误! ! 未定义书签。
3.3.2 拓扑结构说明 .................................... 错误! ! 未定义书签。
3.4 虚拟局域网及 IP 规划 .................................................. 10 4 网络设备配置优化和主机安全加固 ............................................ 12 4.1 网络设备配置 ......................................................... 12 4.1.1 核心层交换机的配置 ............................................ 12 4.1.2 接入层交换机的配置 ............................................ 15 4.1.3 防火墙的配置 ................................................... 16 4.2 安全加固 ............................................................. 20 5 总结 ....................................................................... 25 参考文献:
................................................................... 26 致
谢 ....................................................................... 27
1 1 绪
论 1.1 研究背景和意义
2011 年伊朗核电站震网病毒事件,震网病毒造成伊朗 20%的离心机因感染病毒而失灵甚至是完全报废。2015 年乌克兰电网被网络攻击造成大停电事件,约有 60 座变电站被攻击。黑客首先操作恶意软件将电力公司的主控电脑与变电站断连,随后又在系统中植入病毒,让电脑全体瘫痪。2019 年委内瑞拉电网被网络攻击造成大停电事件,委内瑞拉 23 个州中的 21 个州的医院和诊所、工业、运输和供水服务因这次停电收到影响。
现在的网络攻击针对性越来越强,有特殊目的的攻击行动时常发生。近年来,有攻击团伙长期以我国政府部门、基础设施、事业单位、科研院为主要目标进行网络攻击。国家互联网应急中心抽样监测发现,我国境内联网工业设备、系统、平台等遭受恶意嗅探、网络攻击的次数明显提高,工业控制系统子漏洞库收录数量持续攀升。虽未发生重大安全事件,但需提高警惕,引起重视。
作为事关国家安全、社会稳定和经济发展的战略资源,国家关键信息基础设施保护的工作尤为重要。当前,应用广泛的基础软硬件安全漏洞不断被挖掘和披露,具有特殊目的的黑客组织不断对我国关键信息基础设施进行网络攻击,我国关键信息基础设施面临的安全风险不断加大。高级可持续威胁攻击活动持续活跃,我国多个重要行业被攻击。随着关键信息基础设施承载的信息价值越来越大,针对国家关键信息基础设施的网络攻击将会愈演愈烈。
国内网络安全形势日益严峻,为应对日益严峻的网络安全形势,国家近年来提出了相应的指导意见和相关的政策方针。从 2017 年的网络安全法实施,到最近出台的网络安全等保 2.0 条例,都表明国家在追求信息技术发展的同时,同样非常重视网络安全工作。
作为企业应根据现时的网络形势,以及国家最近出台的相关规定。然后从业务需要、安全需求和规定要求等方面去分析目前医疗行业目前的网络整改需求。最后按企业的具体情况选择最合适的整改措施。
1.2 研究内容
2 本课题设计与规划的基本是医疗影像诊断中心的网络优化和服务器、PC 机的安全加固。主要用到计算机基础、计算机网络的基础、网络安全和路由交换知识,使用华为的设备和协议进行配置。在满足日常办公及业务的情况下,按客户要求对其原有网络架构进行优化和对其服务器和 PC 机进行安全加固,从而满足企业业务开展以及安全需求。因此,对我方负责的网络网络整改有以下几点要求:
(1)按照部门进行 VLAN 划分,从而满足不同部门的不同要求,隔离冲突域和广播域,通过 ACL 控制 VLAN 间的访问,设立不同等级的权限,有助于简化网络管理、控制流量、提高网络的安全性。
(2)对网络设备进行登记记录,制作资产表和拓扑图。
(3)全区网络内部采用网络地址转换技术,因为 NAT 技术不仅适应局域网内的 PC 客户端的多变性,同时也可以节省 IP 地址,还能有效地避免来自其它网络的恶意攻击,掩盖内网 ip 地址、保护内部网络。
(4)为方便员工上网及 ip 地址的规范和合理使用,部分流动性大的部门 ip地址的分配使用 DHCP 技术,这样一定程度上避免因园区人员手动配置 ip 而出现帮公效率低、地址错误等问题,也可以避免一些不必要的 IP 地址浪费;其余部门采用静态 ip,进行 MAC 地址绑定,对每台设备做好记录,提高管理效率,防止 ARP 攻击。
(5)对服务器和 PC 机进行安全加固,修改管理员账号和密码,卸载多余软件和停止多余服务和关闭多余端口,提高服务器和 PC 机安全。
(6)尽可能避免使用明文传输的协议,选择使用安全性较高的协议。
3 2 需求与分析 2.1 企业背景 医疗影像诊断中心共有 14 个部门分别在七层的不同办公区域,共有 120 台PC 机、17 台服务器、两台汇聚核心交换机和其他二层网络设备。主要在三层网络设备上做配置实现网络优化和安全加固。
2.2 网络整改的需求
该企业在增加业务和网络设备时有些工作没有按照规范来,现需对其网络做以下整改:
1、盘点网络设备,制作资产表。理清网络设备间的连线,打好标签,做好记录。
2、更新交换机配置实现网络根据不同的业务需求进行隔离和互访,规范交换机配置和网络设备命名。
3、对企业网络设备按要求进行安全加固,对其账户权限、账户安全、屏幕保护、文件系统保护、日志审计、数据安全等多方面进行整改。关闭停止多余的服务和端口。尽可能避免使用明文传输的协议,选择使用安全性较高的协议。及时更新补丁和杀毒。
2.3 网络整改的原则 网络整改必须针对现网络系统存在的问题兼顾稳定性和安全性进行整改,提高可管理性,尽量采用先进的技术以提高系统的效率和可靠性。
1、稳定性:整改的网络系统一般都是已经投入使用的网络设备,整改时需保证其正常运行为首要准则,保障基础的网络联通,然后在满足企业的基本要求下再进行其它方面的整改。在必须要中断业务时,需提前做好沟通协商和整改、试运行准备,选择在闲时用最短的时间完成整改,以达到对业务影响最小。
2、安全性:安全性是网络整改中十分重要的一环,企业内部各个部门的信息安全性都应做出较为具体完整的规则:对领导层的所有信息全部开放,对公司其他员工则根据级别大小依据权限查看相关信息,不能为了便利而忽视安全;同时,网络系统的设计上也应该提供网络的保护,采用先进的技术和实用性相结合,尽可能避免使用明文传输的协议,选择使用安全性较高的协议。尽量以保证计算
4 机网络与互联网进行互联时网络信息传输的安全。更新各软件和系统到最新的稳定版本,以减少漏洞带来的安全隐患。
3、可靠性:从网络传输的设备、骨干网络、网络技术等多方面考虑,保障整个企业网络数据传输的安全可靠。整改需保证整个网络的硬件基本架构要能在生产环境中可以长时间运行,提供不间断的服务,在运行速度维持高效的同时,也能保证其性能稳定可靠。
4、流量的负载均衡:在企业原网络的设计,对其进行优化,时期具有多链路选择、路由数据备份的能力,这样可以有效防止企业网络因网络单一链路的损坏而造成企业全网不能正常通信的问题。
5、可管理性:整个网络中的主要三层网络设备设置有管理 vlan,对其规则进行整理优化,同时互连设配尽可能遵循使用方便、操作简单、便于维护的原则。网络搭建的设配要能支持多种协议,以便网络管理员更加简单、便捷的管理网络和网络产生故障时及时修复网络,将损失尽量减到最少。
2.4 网络整改的分析 医疗影像诊断中心的网络是由核心层、汇聚层、接入层组成的现有网络体系,是由防火墙,多台交换机组成,为医疗影像诊断中心信息化的发展和与日俱增的各类服务设备,以及满足网络长久稳定运行,具体需求分析如下: 1、医疗影像诊断中心 vlan 划分整改需求分析:vlan 即虚拟局域网技术,医疗影像诊断中心原有网络规划中已采用 vlan 技术对各种网络设备和不同部门进行划分。由于后续业务和网络设备的增加时操作不规范导致出现部分设备所在vlan 不合理,vlan 间规则不规范的问题。现对需其进行整改,使其不仅可以用于控制各个部门之间的通信、使网络拓扑结构变得十分灵活、提高员工的工作效率,还可以起到防范广播风暴的作用,增强医疗影像诊断中心的安全性和稳定性。
2、网络安全性需求分析:网络安全是整个网络规划中重要的一部分,良好的安全性部署可以保证医疗影像诊断中心重要信息、员工和病人隐私...