医院信息安全等级保护建设项目技术方案

医院信息安全等级保护建设项目目录TOC\o"1-5"\h\z\o"CurrentDocument"信息系统安全等级定级 5\o"CurrentDocument"网路安全方案设计原则 5\o"CurrentDocument"方案设计思路 10\o"CurrentDocument"构建分域的控制体系 11\o"CurrentDocument"2. 构建纵深的防御体系 12\o"CurrentDocument"3. 保证一致的安全强度 12\o"CurrentDocument"4. 实现集中的安全管理 12方案整体框架 12\o"CurrentDocument"体现保护对象清晰 13\o"CurrentDocument"2. 体现防御的纵深感 14\o"CurrentDocument"3. 体现防御的主动性 14\o"CurrentDocument"4. 体现集中管理能力 14\o"CurrentDocument"安全物理环境设计 15\o"CurrentDocument"1. 机房选址 152. 机房管理 15\o"CurrentDocument"3. 机房环境 15\o"CurrentDocument"4. 设备与介质管理 16\o"CurrentDocument"通信网络安全设计 16\o"CurrentDocument"1. 网络架构安全 16\o"CurrentDocument"2. 通信完整性和保密性 17\o"CurrentDocument"3. 通信网络可信验证 18\o"CurrentDocument"4.产品规划 18\o"CurrentDocument"区域边界安全设计 19\o"CurrentDocument"1. 边界安全防护 19\o"CurrentDocument"边界访问控制 20\o"CurrentDocument"3. 边界入侵防范 22\o"CurrentDocument"4. 边界恶意代码和垃圾邮件防范 23\o"CurrentDocument"5. 边界安全审计 24\o"CurrentDocument"7.6. 边界可信验证 25\o"CurrentDocument"7.7. 产品规划 25\o"CurrentDocument"计算环境安全设计 26&1. 身份鉴别 27&2. 访问控制 28&3. 安全审计 29&4. 入侵防范 30\o"CurrentDocument"&5. 主机恶意代码防范 31&6. 可信验证 31\o"CurrentDocument"&7. 数据完整性与保密性 32&&备份与恢复 33&9. 产品规划 33\o"CurrentDocument"安全管理中心设计 34\o"CurrentDocument"1. 系统管理 35\o"CurrentDocument"9.2. 审计管理 36\o"CurrentDocument"9.3. 安全管理 37\o"CurrentDocument"9.4. 集中管控 38\o"CurrentDocument"5. 产品规划 39\o"CurrentDocument"重点安全设备选型设计 40\o"CurrentDocument"1. 防火墙 40\o"CurrentDocument"安全资源池 41\o"CurrentDocument"项目建设清单 43本方案将根据《信息系统等级保护安全设计技术要求》，保护环境按照安全计算环境、安全区域边界、安全通信网络和安全管理中心进行设计，内容涵盖基本要求的4个方面。信息系统安全等级定级1、 业务信息描述本次建设i体化信息平台主要处理的业务有惠民、协同、监管及业务应用等工作。2、 业务信息受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是患者和平台的合法权益。侵害的客观方面表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对患者、平台的合法权益造成严重影响和损害。3、 信息受到破坏后对侵害客体的侵害程度当此信息受到破坏后，会对患者、平台造成严重损害。4、 确定业务信息安全等级根据等级安全保障体系的设计思路，本次建设的系统等级保护的设计必须达到：三级。系统服务被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级网路安全方案设计原则通过对医院安全等保需求进行深入分析，安全等保方案在设计时应遵循如下原则:1） 高扩展：部署的安全设备应具有高扩展性，满足医院网络业务的迅速发展，至少保证3到5年的业务发展需求；2） 高稳定性：部署的安全设备应具有高可靠，高稳定性特点，在近2年国内使用中未出现过大的现网事故，应具有关键器件冗余，双主控等可靠性保障,应选用电信级高可靠性设备；3） 灵活性：网络链路会随着业务的发展逐条增加，方案的设计遵循灵活性的原则，保证新链路增加的情况下，在原有配置基础上进行小改动，保证链路故障时能自动切换，避免人工干预，减少维护量；4） 完整审计方案：方案设计需要提供完整的审计和溯源方案，包括日志服务器，应选择同厂家设计的服务器软件，避免审计系统出现问题时，定位困难,服务人员无法及时支持的现象；5） 符合三级等保要求：按照国家信息安全等保保护要求，需要按照三级等保要求来进行建设。根据上述设计思想设计等级保护技术方案（三级），方案拓扑如下：医院等级保护技术方案拓扑图（三级增强合规版）方案部署设备说明（需要根据具体方案对下面内容进行修改完善）：1） DDoS异常流量检测与清洗设备：对来至internet的各种DDoS攻击进行清洗；2） 出口防火墙：主要做NAT转换，应用协议识别与控制，安全隔离，访问控制等安全防护，防止非法访问；3） SSLVPN网关：为管理员，移动用户远程接入提供SSLVPN接入功能，实现移动办公，安全访问内网；4） 服务器区防火墙：主要对数据中心内部，各服务器及虚拟机之间进行安全隔离，访问控制，入侵防护，病毒检测和防护；5） WEB服务区WAF：网站服务器防护，防止网站文字，图片等内容被篡改；6） 服务器区IDS：对数据中心内部流量进行入侵检测，入侵行为与攻击包括HTTP、FTP、DNS、Ma订等服务器面临的漏洞、缓冲区溢出、暴力破解等;8） 管理区防火墙：管理区安全防护与访问控制；9） 管理区网络管理平台：设备统一可视化管理，日志集中收集，同时监控整个网络组网和运行状态；10） 管理区运维审计：通过对核心业务系统、主机、数据库、网络设备等各种IT资源的帐号、认证、授权和审计的集中管理和控制，满足相关法规、标准要求，实现对核心资源统一接入管理和运维审计；11） 管理区态势感知系统：通过对流量、日志等数据的釆集、分析，发现已知和未知网络威胁，呈现攻击渗透和扩散路径，并完成攻击取证和溯源；12） 管理区漏洞扫描系统：以智能便利规则库（本地漏洞库、ActiveX库、网页木马库、网页代码审计规则库等）为基础，釆用深度主机服务探测、Web智能化爬虫、SQL注入状态检测、主机配置检查以及弱口令检查等方式相结合的技术，实现了Web漏洞扫描、系统漏洞扫描、数据库漏洞扫描、基线安全检查与口令猜解的功能；13） 为了保证高可靠性，关键路径安全设备使用双机热备方式部署。医院等级保护技术方案严格按照《信息系统等级保护安全设计技术要求》进行设计，详细对应关系如下：等保三级要求表等保技术要求子项主要内容对应产品网络架构选型合理，分区隔离，冗余架构，高峰可用NGFW安全通信网络通信传输采用校验技术/密码技术保证通信过程中数据的完整性和保密性NGFW(IPSec&SSLVPN)可信验证基于可信根对通信设备的系统引导，应用关键点动态验证，可报警、可审计网络设备自身可信启动机制安全区域边界边界防护跨边界控制，内联设备，外联行为监测，无线网限制NGFW

等保技术要求子项主要内容对应产品访问控制五元组过滤、内容过滤、策略优化、基于应用协议和应用内容的访问控制NGFW入侵防范防外部攻击、防内部攻击、防新型未知网络攻击IPS、IDS、探针、沙箱恶意代码防范网络防病毒、垃圾邮件过滤防病毒网关/防火墙防病毒能力安全审计用户行为、安全事件审计，远程用户行为，访问互联网用户行为单独审计和数据分析堡垒机，上网行为管理可信验证基于可信根对区域设备的系统引导，应用关键点可动态验证，可报警、可审计设备自身可信启动机制身份鉴别身份唯一性、鉴别信息复杂度，口令、密码技术、生物技术等双因子及以上认证且其中一种必须为密码技术设备自身机制+堡垒机+认证服务器访问控制用户权限管理、管理用户权限最小化自身机制安全审计用户行为审计，对审计进程保护上网行为管理、日志审计系统安全计算环境入侵防范检测入侵行为、非使用端口关闭、管理终端限制、发现已知漏洞IPS、漏洞扫描恶意代码防安装防恶意代码软件或免疫可信验证防毒墙、主机防范机制，防护机制支持升级和更新病毒软件可信验证基于可信根对计算设备的系统引导，应用关键点动态验证，可报警、可审计设备自身可信启动机制数据完整性数据防篡改NGFW、VPN、WAF、防篡改

等保技术要求子项主要内容对应产品数据备份恢复数据本地备份和恢复、提供异地实时备份功能、数据处理系统热冗余多活数据中心剩余信息保护鉴别信息、敏感信息缓存清除应用自身机制个人信息保护个人信息最小采集原则、访问控制应用自身机制安全管理中心系统管理应对系统管理员进行身份鉴别、应通过系统管理员对系统的资源和运行进行配置、控制和管理网管系统、堡垒机审计管理应对安全审计员进行身份鉴别、应通过安全审计员对审计记录应进行分析，并根据分析结果进行处理堡垒机、日志审计系统、数据库审计集中管控特定管理分区、统一网管和检测、日志采集和集中分析、安全事件识别告警和分析、安全策略集中管理统一网管、安全控制器、态势感知系统安全管理应对安全管理员进行身份鉴别、应通过安全审计员对审计记录应进行分析，并根据分析结果进行处理堡垒机、日志审计系统方案设计思路方案建设的基本思路是：严格参考等级保护的思路和标准，针对安全现状分析发现的问题进行加固改造，在进行安全设计时，参考《信息系统等级保护安全设计技术要求》，从安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面落实安全保护技术要求，将不同区域、不同层面的安全保护措施形成有机的安全保护体系，建成后的安全保障体系将充分符合国家等级保护标准，能够为系统稳定运行提供有力保障。总之等级保护建设的思路为网络安全设计应基于业务流程自身特点，建立“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受网络攻击和破坏。“可信”即以可信根为基础，构建一个可信的系统执行环境，即设备、引导程序、操作系统、应用程序都是可信的，确保数据不可篡改。可信的环境保证业务系统永远都按照设计预期的方式执行，不会出现非预期的流程，从而保障了业务系统安全可信。“可控”即以访问控制技术为核心，实现主体对客体的受控访问，保证所有的访问行为均在可控范围之内进行，在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作，永远都按系统设计的策略进行资源访问，保证了系统的网络安全可控。“可管”即通过构建集中管控、最小权限管理与三权分立的管理平台，为管理员创建一个工作平台，使其可以进行技术平台支撑下的安全策略管理，从而保证信息系统安全可管。“一个中心管理下的三重保护体系”是指以安全管理中心为核心，构建安全计算环境、安全区域边界和安全通信网络，确保应用系统能够在安全管理中心的统一管控下运行，不会进入任何非预期状态，从而防止用户的非授权访问和越权访问，确保应用系统的安全。安全保障体系建设的主要要点包括以下四个方面：构建分域的控制体系网络安全等级保护解决方案，在总体架构上将按照分域保护思路进行，将网络从结构上划分为不同的安全区域，各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境、各个安全区域之间的访问关系形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施；因此方案将从保护计算环境、保护边界、保护通信网络基础设施三个层面进行设计。2.构建纵深的防御体系网络安全建设方案包括技术和管理两个部分，本方案针对医共体系统的通信网络、区域边界、计算环境，综合采用访问控制、入侵防御、恶意代码法防范、安全审计、防病毒、传输加密、数据备份等多种技术和措施，实现业务应用的可用性、完整性和保密性保护，并在此基础上实现综合的安全管理，并充分考虑各种技术的组合和功能的互补性，合理利用措施，从外到内形成一个纵深的安全防御体系，保障系统整体的安全保护能力。3.保证一致的安全强度网络应釆用分级的办法，采取强度一致的安全措施，并采取统一的防护策略，使各安全措施在作用和功能上相互补充，形成动态的防护体系。因此在建设手段上，本方案采取“大平台”的方式进行建设，在平台上实现各个级别信息系统的基本保护，比如统一的防病毒系统、统一的日志系统、统一的审计系统，然后在基本保护的基础上，再根据各个信息系统的重要程度，采取高强度的保护措施。4.实现集中的安全管理为了能准确了解网络的运行状态、设备的运行情况，统…部署安全策略，应进行安全管理中心的设计，根据要求，应在系统管理、审计管理和安全管理几个大方面进行建设。在安全管理安全域中建立安全管理中心，是帮助管理人员实施好安全措施的重要保障，是实现业务稳定运行、长治久安的基础。通过安全管理中心的建设，实现安全技术层面和管理层面的结合，全面提升用户网络的信息安全保障能力。方案整体框架等级保护2.0将网络安全纵深按照一个中心三重防御的方式进行部署，

即：安全管理中心、通信网络、区域边界、计算环境几个维度。对每个维度的集中管控集中管控安全能力要求如下图:安全管理中心

亩计管理］ ［安全管理］系统管理外部联接［隐私保护安全管理中心

亩计管理］ ［安全管理］系统管理外部联接［隐私保护］［可信验证］计算环境依据以上能力要求，对方案整体设计框架如下图:探针务卷计算环境探针务卷计算环境4・1・体现保护对象清晰在设计信息安全保障体系时，首先要对信息系统进行模型抽象。我们把信息系统各个内容属性中与安全相关的属性抽取出来，通过建立“信息安全保护对象框架”的方法来建立安全模型，从而相对准确地描述信息系统的安全属性。保护对象框架是根据信息系统的功能特性、安全价值以及面临威胁的相似性，将其划分成计算区域、网络基础设施、区域边界和安全基础设施四大类信息资产组作为保护对象2.体现防御的纵深感现有安全体系大多属于静态的单点技术防护，缺乏多重深度保障，缺乏抗打击能力和可控性。信息安全问题包含管理方面问题、技术方面问题以及两者的交叉，它从来都不是静态的，随着组织的策略、组织架构、业务流程和操作流程的改变而改变。现有安全体系大多属于静态的单点技术防护，单纯部署安全产品是一种静态的解决办法，单纯防范黑客入侵和病毒感染更是片面的。一旦单点防护措施被突破、绕过或失效，整个安全体系将会失效，从而威胁将影响到整个信息系统，后果是灾难性的。3.体现防御的主动性本方案中，将从多重深度保障，增强抗打击能力方面进行设计。国家相关指导文件提出“坚持积极防御、综合防范的方针”，这就要求采用多层保护的深度防御策略，实现安全管理和安全技术的紧密结合，防止单点突破。我们在设计安全体系时，将安全组织、策略和运作流程等管理手段和安全技术紧密结合，从而形成一个具有多重深度保障手段的防护网络，构成一个具有多重深度保障、抗打击能力和能把损坏降到最小的安全体系。4.体现集中管理能力信息安全管理的冃标就是通过采取适当的控制措施来保障信息的保密性、完整性、可用性，从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影响。通过建设集中的安全管理平台，实现对信息资产、安全事件、安全风险、访问行为等的统一分析与监管，通过关联分析技术，使系统管理人员能够迅速发现问题，定位问题，有效应对安全事件的发生。安全物理环境设计物理环境安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境，并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。机房选址机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。机房场地应避免设在建筑物的顶层或地下室，以及用水设备的下层或隔壁。5・2・机房管理机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员；3.机房环境合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。房间装修必需使用阻燃材料，耐火等级符合国家相关标准规定。机房门大小应满足系统设备安装时运输需要。机房墙壁及天花板应进行表面处理，防止尘埃脱落，机房应安装防静电活动地板。机房安装防雷和接地线，设置防雷保安器，防止感应雷，要求防雷接地和机房接地分别安装，且相隔一定的距离；机房设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。配备空调系统，以保持房间恒湿、恒温的工作环境；在机房供电线路上配置稳压器和过电压防护设备；提供短期的备用电力供应，满足关键设备在断电情况下的正常运行要求。设置冗余或并行的电力电缆线路为计算机系统供电；建立备用供电系统。铺设线缆要求电源线和通信线缆隔离铺设，避免互相干扰。对关键设备和磁介质实施电磁屏蔽。4.设备与介质管理为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性，必须采用有效的区域监控、防盗报警系统，阻止非法用户的各种临近攻击。通信网络安全设计通信网络利用通信线路和通信设备，把分布在不同地理位置的具有独立功能的多台计算机、终端及其附属设备互相连接，在网络建设的初期，作为工作的重要组成部分，应为网络通信负载制定详细的技术指标，从以往的经验来看，当网络的利用率平均值达到40%或瞬间有70%的持续峰值，网络性能将急速下降因此一个正常的网络利用率的平均值不应超过40%,不得有超过70%的持续峰值。通信网络是整个网络系统的基础设施，通信网自身的健壮性稳定性以及网络结构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要具备一定的冗余性；带宽能够满足业务高峰时期数据交换需求；并合理的划分网段和VLAN。网络架构安全网络架构的安全是网络安全的前提和基础，选用主要网络设备吋需要考虑业务处理能力的高峰数据流量，要考虑冗余空间满足业务高峰期需要；网络各个部分的带宽要保证接入网络和核心网络满足业务高峰期需要；建议部署高性能的设备。按照业务系统服务的重要次序定义带宽分配的优先级，在网络拥堵时优先保障重要主机。分区分域合理规划路由，业务终端与业务服务器之间建立安全路径；绘制与当前运行情况相符的网络拓扑结构图：下面需要根据具体情况进行修改：根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的网段或VLAN。保存有重要业务系统及数据的重要网段不能直接与外部系统连接，需要和其他网段隔离，单独划分区域。重要区域与其他区域之间部署网闸或者防火墙等隔离设备，并启用ACL进行访问控制。从目前医共体的全局网络结构上看，可以分为以下几个部分：业务内网区：是业务开展的重要平台，承载着核心业务，同时具有相应链路与医保、银行等其他机构交换数据；互联网区：主要对外提供预约挂号、统一支付、互联网+就医等服务。为保证网络业务的连续性，提供关键节点的硬件冗余设计，包括通信线路（含业务数据链路和带外管理链路）、网络设备、安全设备、计算设备，并部署链路负载均衡设备。2.通信完整性和保密性由于网络协议及文件格式均具有标准、开发、公开的特征，因此数据在网上存储和传输过程中，不仅仅面临信息丢失、信息重复或信息传送的自身错误，而且会遭遇信息攻击或欺诈行为，导致最终信息收发的差异性。因此，在信息传输和存储过程中，必须要确保信息内容在发送、接收及保存的一致性；并在信息遭受篡改攻击的情况下，应提供有效的察觉与发现机制，实现通信的完整性。而数据在传输过程中，为能够抵御不良企图者采取的各种攻击，防止遭到窃取，应采用加密措施保证数据的机密性。对于信息传输和存储的完整性校验可以采用的技术包括校验码技术、消息鉴别码、密码校验函数、散列函数、数字签名等技术手段。对于信息传输的完整性校验应由传输加密系统完成，通过识别传输协议类型对网络数据进行隧道封装，为用户认证提供安全加密传输，并实现全业务数据在复杂网络环境下的传输。对于信息存储的完整性校验应由应用系统和数据库系统完成。建议部署SSL/IPSec安全接入网关或下一代防火墙来实现。对于信息传输的通信保密性应由传输加密系统完成。部署SSLVPN系统或下一代防火墙保证远程数据传输的数据保密性。3.通信网络可信验证随着信息技术的不断发展，信息系统安全问题愈演愈烈，之后网络安全行业兴起，攻防技术层出不穷、不断升级。传统的计算机体系结构过多地强调了计算功能，忽略了安全防护，这相当于一个人没有免疫系统，只能生活在无菌状态下。可信计算的目标就是要为信息系统构建安全可信的计算环境，提升信息系统的免疫力，可信计算是基于密码的计算机体系架构安全技术，理论上可很大程度解决恶意软件非授权安装/运行、设备网络假冒等问题。应选择具备可信芯片的网络通信设备（路由器、交换机），保证网络身份可信，防止网络通信设备假冒。可信芯片有唯一芯片号、公私钥对，可参与通信过程身份认证及加密。可信网络通信设备以密码芯片为可信根，通过散列算法实现完整性度量，通过非对称算法提供身份认证，通过对称算法提供数据加密，为密码算法、密钥、度量值、密码运算等提供更单纯、安全的安全芯片环境。4.产品规划部署产品部署位置部署作用VPN网关互联网边界最外侧。对外网用户的可信接入进行身份认证、数据加密、角色授权和访问审计等，保护办公网内部服务器资源的可用性，保障正常业务可控的访问。防火墙业务网数据中心区域边界；互联网边界；对业务网进行独立防护，进行访问控制、攻击防御；对上网应用行为进行管理，合理规划网络流量应用。

区域边界安全设计网络划分安全区域后，在不同信任级别的安全区域Z间就形成了网络边界。等级保护安全区域边界是对定级系统的安全计算环境边界，以及安全计算环境与安全通信网络Z间实现连接并实施安全策略。本方案中，在区域边界的安全防御能力包括如下几个方面：＞边界防护＞访问控制＞入侵防范＞恶意代码和垃圾邮件防范＞安全审计＞可信验证从方案设计上看，参照如下方式：安全管理中心internet通信网络feDOOSNGFWVPN舷机WAF箱||划呷4计算环境安全管理中心internet通信网络feDOOSNGFWVPN舷机WAF箱||划呷4计算环境区域边界7・1・边界安全防护边界安全防护的检查重点是保证所有跨越边界的访问和数据流均通过边界控制设备进行检查，其中包括限制非授权设备的接入，非授权用户外联，以及无线用户的接入限制。通过部署网络准入控制系统可以实现对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，维护网络边界完整性。网络准入控制系统，其中一个重要功能模块就是非法外联控制，探测内部网中非法上互联网的计算机。非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理，可以防止用户访问非信任网络资源，并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。•网络准入控制提供多维度的网络接入控制能力，根据用户的身份、使用终端类型、当前所处的接入位置、接入时间，以及终端合规性检查的结果，对非授权接入网络的设备进行检查和限制。•非授权用户外联行为监控可以发现终端试图访问非授信网络资源的行为，如试图与没有通过系统授权许可的终端进行通信，自行试图通过拨号连接互联网等行为。对于发现的非法外联行为，可以记录日志并产生报警信息。2.边界访问控制通过对边界风险与需求分析，在网络层进行访问控制需部署下一代防火墙产品，以及web应用防火墙，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为，尤其针对web应用，将对网络防火墙过滤后的流量进一步检测。同时可以和内网安全管理系统、网络入侵检测系统等进行安全联动，形成网络全面纵深的安全防御格局。在各安全域边界部署下一代边界防火墙及web应用防火墙设备，可提供如下能力：＞网络安全的基础屏障防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙同吋可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。＞强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。＞对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。＞防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。＞精确流量管理通过部署防火墙设备，不仅可以实现精准访问控制与边界隔离防护，还能实现阻止由于病毒或者P2P软件引起的异常流量、进行精确的流量控制等。对各级节点安全域实现全面的边界防护，严格控制节点之间的网络数据流。＞基于web应用的协议及内容控制提供应用层协议规范检查，并通过内容安全检测模块，实现敏感言论，敏感内容泄露的分析与阻断。3.边界入侵防范在各区域边界，防火墙起到了协议过滤的主要作用，根据安全策略在偏重在网络层判断数据包的合法流动。但面对越来越广泛的基于应用层内容的攻击行为，防火墙并不擅长处理应用层数据。在网络边界和主要服务器区安全域均己经设计部署了防火墙，对每个安全域进行严格的访问控制。鉴于以上对防火墙核心作用的分析，需要其他具备检测新型的混合攻击和防护的能力的设备和防火墙配合，共同防御来自应用层到网络层的多种攻击类型，建立一整套的安全防护体系，进行多层次、多手段的检测和防护，本方案中将在网络边界区部署如下入侵防范能力：＞入侵防护系统ipsIPS是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护，是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。IPS就是自动执行这种监视和分析过程，并且执行阻断的硬件产品。在防火墙进行访问控制，保证了访问的合法性之后，IPS动态的进行入侵行为的保护，对访问状态进行检测、对通信协议和应用协议进行检测、对内容进行深度的检测。实现网络安全在边界的入侵检测，防止外部网络对内部的攻击探测等恶意行为，同时阻断来自内部的数据攻击以及垃圾数据流的泛滥。防DDoS泛洪攻击针对互联网日渐增多DDoS攻击，应部署专业的抗DDoS系统进行防御，系统包含：DDoS检测中心、DDoS清洗中心、DDoS管理中心。DDoS检测设备对分光过来的流量进行检测，当检测设备检测到异常后，上报受攻击IP到管理中心，管理中心会向清洗设备下发引流策略，清洗设备通过向核心路由器发布BGP路由的方式，把攻击流量牵引到清洗设备进行清洗。清洗中通过多层过滤的防御技术，丢弃攻击流量，转发正常流量。清洗后的流量在清洗设备上通过合适的方式回注到核心路由器。清洗中心上报攻击日志到管理中心，管理中心将会进行清洗效果的呈现。防未知高级威胁（APT）针对越来越多的未知高级威胁（APT攻击）出现，传统基于特征防护思路已难以应对，需要通过大数据技术的威胁检测和调查分析技术，从威胁攻击链的整体来建立纵深防御体系，未知威胁检测体系，建议部署检测沙箱和安全智能系统对此类威胁进行检测和防护。沙箱部署在防火墙一侧，防火墙通过接口向沙箱提交待检测文件，可在虚拟的环境进行分析，实现对未知恶意文件的检测。安全智能系统基于大数据平台，采用机器学习模式，对多种数据源进行分析，通过检测单点事件，关联组合威胁并综合评估得出攻击链，联动安全设备、终端设备，并通过与全球威胁智能中心实时共享，同步最新威胁情报库，支撑本地的未知威胁检测判定。安全帮能系统还提供全网安全态势感知能力，感知全网威胁态势、攻击路径、高危资产等信息，帮助快速掌握全网威胁。主动防御（诱捕）诱捕技术是一种蓄意在网络中布设陷阱，干扰、误导攻击者对己方信息通信系统的认知，使攻击者采取对防御方有利的动作（或不行动），从而有助于发现、延迟或阻断攻击者的活动，达到增加信息通信系统安全的冃的。推荐部署诱捕系统，以提升用户内网安全为冃标，基于行为检测防御理念，提供零硬件成本、告警准确、精准溯源，能够通过自动全网散布陷阱、自动仿真用户业务等技术迷惑和诱捕攻击者，有效检测和防御包括APT、未知蠕虫在内的网络攻击行为，并能结合联动控制器实现微隔离，有效防御已知和未知威胁，最大限度减少用户损失。4.边界恶意代码和垃圾邮件防范现今，病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加泛滥，目前计算机病毒的传播途径与过去相比已经发生了很大的变化，更多的以网络（包括Internet.广域网、局域网）形态进行传播，因此为了安全的防护手段也需以变应变。一个完善的安全体系应该包含了从桌面到服务器、从内部用户到网络边界的全面解决方案，以抵御来自黑客和病毒的威胁。在互联网边界部署防病毒网关或下•代防火墙开启防病毒功能，在最接近病毒发生源安全边界处进行集中防护，对夹杂在网络交换数据中的各类网络病毒进行过滤，可以对恶意代码、网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。阻止病毒通过网络的快速扩散，将经网络传播的病毒阻挡在外，可以有效防止病毒从其他区域传播到内部其他安全域中，截断病毒通过网络传播的途径，净化网络流量。在边界部署下一代防火墙，并开启防垃圾邮件功能，具备实时反垃圾邮件，内容过滤、关键字过滤，附件病毒检查与安全提醒等能力。为能达到最好的防护效果，病毒库和垃圾邮件规则库需及时升级至最新版本。对于能够与互联网实现连接的网络，应对自动升级进行准确配置；对与不能与互联网进行连接的网络环境，需采取手动下载升级包的方式进行手动升级。5.边界安全审计各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全，各类安全设备产生的日志可反映网络及业务的运行状态。对于流经各主要边界（重要服务器区域、外部连接边界）需要设置必要的审计机制，进行数据监视并记录各类操作，通过审计分析能够发现跨区域的安全威胁，实时地综合分析出网络中发生的安全事件。一•般可采取开启边界安全设备的审计功能模块，根据审计策略进行数据的日志记录与审计。同时审计信息要通过安全管理中心的综合日志审计系统进行统一集中管理，利于管理中心进行全局管控。•全网日志管理提供多种日志格式的采集方式，通过采集、分类、过滤、分析、存储和监控安全设备上报的日志，管理海量日志，关键日志产生告警并通过短信、Emedl等方式进行通知。•精准到用户级行为分析通过上网行为管理系统，进行用户上网行为分析，同时结合用户数据源，满足安全审计和取证的需要。•安全事件分析汇集防火墙、入侵防御等边界安全设备的安全事件日志，进行汇总分析，包括攻击事件分析、插件阻断分析、访问控制事件分析、策略命中分析、入侵防御分析、URL过滤分析、邮件过滤分析等，形成事件分析报表。6.边界可信验证遵循可信计算规范，具备可鉴别、完整性、私密性三大属性，支持用户的身份认证，平台软唤件配置的正确性，应用程序的完整性和合法性，平台之间的可验证性。本方案中建议边界防护设备应基于可信根设计，提供如下能力，基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性收到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。边界防护设备在系统上电后首先运行可信根，并将度量值扩展到引导程序，引导程序度量系统程序扩展到系统程序，系统程序可以根据配置策略度量文件并将度量值扩展，执行应用程序。7.7.产品规划部署产品部署位置部署作用Web应用防火墙业务网核心业务服务器区域边界。Web应用访问控制入侵防御业务网核心业务服务器区域边界。实时监控并阻断针对数据中心核心业务服务器的入侵行为。AntiDDoS边界出口位置防止对内部网络的DD0S攻击。防火墙互联网边界。边界集中进行病毒过滤，防止病毒侵入扩散，与主机防病毒组成多层次深度防御。综合日志审计系统部署在安全管理中心区安全审计：网络设备、安全设备、主机、终端、服务器日志审计入侵防范：威胁溯源、网络溯源计算环境安全设计计算环境安全是整个安全建设的核心和基础。计算环境安全通过设备、主机、移动终端、应用服务器和数据库的安全机制服务，保障应用业务处理全过程以及数据的安全。系统终端和服务器通过在操作系统核心层和系统层设置以强制访问控制为主体的系统安全机制，形成严密的安全保护环境，通过对用户行为的控制，可以有效防止非授权用户访问和授权用户越权访问，确保信息和信息系统的保密性和完整性，从而为业务系统的正常运行和免遭恶意破坏提供支撑和保障。等级保护规范要求三级网络系统需要包括如下安全能力：＞身份鉴别＞访问控制＞安全审计＞入侵防范＞恶意代码防范＞可信验证＞数据完整性和保密性＞数据备份与恢复＞剩余信息保护＞个人信息保护本方案中，将融合零信任安全的新理念，其中心思想是系统不应自动信任内部或外部的任何人/事/物，应在授权之前对任何试图接入企业系统的人/事/物进行验证。从方案的实施角度看，可包括如下产品能力:身份鉴别身份鉴别可分为主机身份鉴别和应用身份鉴别两个方面：主机身份鉴别：为提高主机系统安全性，保障各种应用的正常运行，对主机系统需要进行•系列的加固措施，包括：•对登录操作系统和数据库系统的用户进行身份标识和鉴别，且保证用户名的唯一性。•根据基本要求配置用户名/口令；口令必须具备采用3种以上字符、长度不少于8位并定期更换；•启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。•远程管理吋应启用SSH等管理方式，加密管理数据，防止被网络窃听。•对主机管理员登录进行双因素认证方式，采用USBkey+密码进行身份鉴应用身份鉴别：为提高应用系统系统安全性应用系统需要进行一系列的加固措施，包括：对登录用户进行身份标识和鉴别，且保证用户名的唯一性。根据基本要求配置用户名/口令，必须具备一定的复杂度；口令必须具备釆用3种以上字符、长度不少于8位并定期更换；启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能开发，且使用效果要达到以上要求。对于三级系统，要求对用户进行两种或两种以上组合的鉴别技术，因此可釆用双因素认证（USBkey+密码）或者构建PKI体系，釆用CA证书的方式进行身份鉴别。本方案中，建议部署远程接入安全网关，提供本地口令、数字证书、USBKey等多种认证方式，并可针对密码、证书认证、外部认证、硬件特征码等多种因素捆绑混合认证。在进行远程登录管理时，可采用多种加密算法，对传输数据进行强加密，防止鉴别信息在网络传输过程中被窃听，确保数据传输的真实性和完整性。2.访问控制三级系统一个重要要求是实现自主访问控制和强制访问控制。自主访问控制实现：在安全策略控制范围内，使用户对自己创建的客体具有各种访问操作权限，并能将这些权限的部分或全部授予其他用户；自主访问控制主体的粒度应为用户级，客体的粒度应为文件或数据库表级；自主访问操作应包括对客体的创建、读、写、修改和删除等。强制访问控制实现：在对安全管理员进行严格的身份鉴别和权限控制基础上，由安全管理员通过特定操作界面对主、客体进行安全标记；应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制；强制访问控制主体的粒度应为用户级，客体的粒度应为文件或数据库表级。由此主要控制的是对应用系统的文件、数据库等资源的访问，避免越权非法使用。采用的措施主要包括：启用访问控制功能：制定严格的访问控制安全策略，根据策略控制用户对应用系统的访问，特别是文件操作、数据库访问等，控制粒度主体为用户级、客体为文件或数据库表级。权限控制：对于制定的访问控制规则要能清楚的覆盖资源访问相关的主体、客体及它们之间的操作。对于不同的用户授权原则是进行能够完成工作的最小化授权，避免授权范围过大，并在它们之间形成相互制约的关系。账号管理：严格限制默认账户的访问权限，重命名默认账户，修改默认口令；及时删除多余的、过期的账户，避免共享账户的存在。访问控制的实现主要采取两种方式：采用安全操作系统，或对操作系统进行安全增强改造，且使用效果要达到以上要求。3.安全审计计算环境安全审计包含主机审计和应用审计两个层面：主机审计：监控功能包括服务监控、进程监控、硬件操作监控、文件系统监控、打印机监控、非法外联监控、计算机用户账号监控等。审计功能包括文件操作审计、外挂设备操作审计、非法外联审计、ip地址更改审计、服务与进程审计等。审计范围覆盖到服务器上的每个操作系统用户和数据库用户；内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；审计记录包括事件的日期、吋间、类型、主体标识、客体标识和结果等；保护审计记录，避免受到未预期的删除、修改或覆盖等。同时，根据记录的数据进行统计分析，生成详细的审计报表，系统管理功能包括系统用户管理、主机监控代理状态监控、安全策略管理、主机监控代理升级管理、计算机注册管理、实时报警、历史信息查询、统计与报表等。应用审计：应用层安全审计是对业务应用系统行为的审计，需要与应用系统紧密结合，此审计功能应与应用系统统一开发。应用系统审计功能记录系统重要安全事件的日期、时间、发起者信息、类型、描述和结果等，并保护好审计结果，阻止非法删除、修改或覆盖审计记录。同时能够对记录数据进行统计、查询、分析及生成审计报表。部署数据库审计系统，针对日益严峻的数据库安全形势，保护核心数据库安全，方式数据被篡改或泄露。对数据库操作行为和内容进行全面的审计和管理，对数据库操作进行解析、记录、分析，帮助客户监控数据库操作，以达到违规操作可实时发现，发生事故有源可溯，提高管理者对业务系统信息资源的全局把控和调度能力。审计范围覆盖到每个用户，从而把握数据库系统的整体安全。应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能开发，且使用效果要达到以上要求。4.入侵防范针对计算环境的入侵防范主要体现在主机及网络两个层面。针对主机的入侵防范，建议操作系统的安装遵循最小安装的原则，仅安装需要的组件和应用程序，关闭多余服务，根据系统类型进行安全配置的加固处理。同时部署终端安全管理系统，开启补丁分发功能模块及时进行系统补丁升级。另外建议部署系统漏洞扫描设备，通过深度主机服务探测、Web智能化爬虫、SQL注入状态检测、主机配置检查以及弱口令检查等技术，提供Web漏洞扫描、系统漏洞扫描、数据库漏洞扫描、基线安全检查与口令猜解的功能，针对网络入侵防范，可通过部署网络入侵检测系统来实现。将网络入侵检测系统位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问吋，网络监控系统能够根据系统安全策略做出反应，包括实吋报警、事件登录，或执行用户自定义的安全策略等。入侵检测系统可以部署在核心处以及主要服务器区，这里我们建议在这些区域的交换机上部署入侵检测系统，监视并记录网络中的所有访问行为和操作，有效防止非法操作和恶意攻击。同时，入侵检测系统还可以形象地重现操作的过程，可帮助安全管理员发现网络安全的隐患。5.主机恶意代码防范各类恶意代码尤其是病毒、木马等是对业务系统的重大危害，病毒在爆发时将使路由器、三层交换机、防火墙等网关设备性能急速下降，并且占用整个网络带宽。针对病毒的风险，我们建议重点是将病毒消灭或封堵在终端这个源头上。比如，在所有终端主机和服务器上部署网络防病毒系统，加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。在安全管理安全域中，可以部署防病毒服务器，负责制定和终端主机防病毒策略，在内网建立全网统一的一级升级服务器，在下级节点建立二级升级服务器，由管理中心升级服务器通过互联网或手工方式获得最新的病毒特征库，分发到数据中心节点的各个终端，并下发到各二级服务器。在网络边界通过防火墙进行基于通信端口、带宽、连接数量的过滤控制，可以在一定程度上避免蠕虫病毒爆发时的大流量冲击。同时，防毒系统可以为安全管理平台提供关于病毒威胁和事件的监控、审计日志，为全网的病毒防护管理提供必要的信息。6.可信验证计算环境的可信验证，包括基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，在应用程序的关键执行环节进行动态可信验证，在检测到可信性收到破坏后进行报警，并且可信验证的结果应发送至安全管理中心。本方案中应保证计算环境可信，部署具备可信根的计算设备，支持识别非授权软件，防止计算环境完整性受篡改。通过完整性度量，可以为嵌入式终端、桌面、服务器等提供硬件、固件软件、虚拟化软件、操作系统软件及应用软件的完整性保护，发现基于完整性篡改的攻击或异常。可信计算设备应具备如下能力：度量：可信设备信任链以可信引导区和可信安全芯片为信任根，其中，引导区为可信度量根，可信平台模块为可信存储根、可信报告根。从引导区出发，到系统引导、再到系统程序、应用程序，构成一条信任链。沿着这条信任链，一级度量一级，一级信任一级，确保平台资源的完整性。存储：可釆用度量扩展的方法（即现有度量值和新度量值相连再次散列）来记录和存储度量值，同时将度量对彖的详细信息和度量结果作为日志存储在磁盘中。存储在磁盘中的度量日志和存储的度量值是相互印证的，防止磁盘中的日志被篡改。报告：度量、存储之后，当访问客体询问时，可以提供报告，供访问对象判断平台的可信状态。向客体提供的报告日志，为了确保报告内容的安全，还须进行平台远程证明，采用加密、数字签名和认证技术。8.7.数据完整性与保密性目前，信息系统中传输的信息主要是重要的业务数据和办公文档，对信息完整性校验提出了一定的需求，特别是通过公网远程接入内网传递数据的私密性有很高的要求。而SSLVPN非常适用于远程接入环境，例如：移动办公接入。它和IPSECVPN适用于不同的应用场景，可配合使用。SSLVPN与IPSecVPN—样，也可提供加密和身份验证安全方法，因此安全性上二者无明显差别。产品部署方面，SSLVPN只需单臂旁路方式接入。单臂旁路接入不改变原有网络结构和网路配置，不增加故障点，部署简单灵活，同时提供完整的SSLVPN服务。远程用户只需应用标准IE浏览器即可登陆网关，通过身份鉴别，在基于角色的策略控制下实现对医院内部资源的存取访问。远程移动用户只需打开标准IE浏览器，登陆SSLVPN网关，经过用户认证后即可根据分配给该用户的相应策略进行相关业务系统的访问。针对网页数据，应部署网页防篡改系统，防止重要数据和个人信息被篡改，并保证数据在完整性受到破坏时也能够及时恢复。与此同时，建议应用系统在设计时要充分考虑软件容错能力，提供足够的冗余信息和算法程序，使系统在实际运行时能够及时发现程序设计错误,采取补救措施，以提高软件可靠性，保证整个计算机系统的正常运行。包括：提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；具备自保护功能，在故障发生吋，应用系统应能够自动保存当前所有状态，确保系统能够进行恢复。8.8.备份与恢复备份与恢复主要包含两方面内容，首先是指数据备份与恢复，另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。数据是最重要的系统资源。数据丢失将会使系统无法连续正常工作。数据错误则将意味着不准确的事务处理。可靠的系统要求能立即访问准确信息。将综合存储战略作为计算机信息系统基础设施的一部分实施不再是一种选择，而已成为必然的趋势。数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。备份系统先进的特性可提供增强的性能，易于管理，广泛的设备兼容性和较高的可靠性，以保证数据完整性。广泛的选件和代理能将数据保护扩展到整个系统,并提供增强的功能，其中包括联机备份应用系统和数据文件,先进的设备和介质管理，快速、顺利的灾难恢复以及对光纤通道存储区域网(SAN)的支持等。提供能异地数据备份功能，利用通信网络将关键数据定时批量传送至异地备用场地。对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计，保障从网络结构、便件配置上满足不间断系统运行的需要。等级保护要求三级系统应提供数据本地备份，异地实时备份且重要数据处理系统(包括边界路由器、边界防火墙、核心交换机、应用服务器和数据库服务器)采用热冗余方式部署。8.9.产品规划部署产品部署位置部署作用数据库审计业务网核心业务服务器区域边界。数据库访问控制

漏洞扫描部署在安全管理中心区WEB、数据库、主机的系统弱点扫描，静态评估系统可能存在的风险。入侵防御业务网核心业务服务器区域边界。实时监控并阻断针对数据中心核心业务服务器的入侵行为。上网行为管理互联网边界对内部人员上网行为的约束与审计主机防病毒软件所有服务器及客户端抑制来自外部或内部网络的恶意病毒传播，保持网络清洁。建立全网统一升级服务中心，实现全网统一升级管理。保护全网终端及服务器，对各类病毒进行彻底查杀安全管理中心设计等级保护对安全管理中心明确提出技术要求，针对系统的安全策略及安全计算环境、安全区域边界和安全通信网络三个部分的安全机制，形成一个统一的安全管理中心，实现统一管理、统一监控、统一审计。由于覆盖面广，用户众多，技术人员水平不一。为了能准确了解系统的运行状态、设备的运行情况，统一部署安全策略，应进行安全管理中心的设计，根据要求，应在系统管理、审计管理和安全管理几个大方面进行建设。在安全管理安全域中建立安全管理中心，是有效帮助管理人员实施好安全措施的重要保障，是实现业务稳定运行、长治久安的基础。通过安全管理中心

的建设，真正实现安全技术层面和管理层面的结合，全面提升用户网络的信息安全保障能力。安全管理屮心态勢窸丸学善逵中心紅m主宙计-m令I态勢窸丸学善逵中心紅m主宙计-m令I支全台欽据变含汁竝松g-internet通信网/—s、1了L系统管理通过部署统一网管对系统的资源和运行进行配置、控制和管理，包括：＞用户身份管理：统一管理系统用户身份，按照业务上分工的不同，合理地把相关人员划分为不同的类别或者组，以及不同的角色对模块的访问权限。权限设置可按角色划分，角色分为普通用户、系统管理员、安全管理员、审计管理员等。＞系统资源配置与监控：进行系统资源配置管理与监控，包括CPU负载、磁盘使用情况、服务器内存、数据库的空间、数据库日志空间、SWAP使用情况等，通过配置采样时间，定时检测。＞系统加载和启动：进行系统启动初始化管理，保障系统的正常加载和启动。＞系统运行的异常监控：系统资源和设备受到攻击，或运行异常时，会以告警等信息方式，通知管理员。安全管理平台可提供多种自动处理机制，协助用户监控最新告警，全方位掌控网络异常和攻击。＞数据备份与恢复：数据的定期备份与恢复管理，识别需要定期备份的重要业务信息、系统数据及软件系统，规定备份信息的备份方式、备份频度、存储介质、保存期等；根据数据的重要性及其对系统运行的影响，制定数据的备份策略和恢复策略，定期执行备份与恢复策略。＞恶意代码防范管理：建立恶意代码管理中心，进行防恶意代码软件的统一管理，并根据情况建立二级管理中心。恶意代码管理中心实现：杀毒策略统一集中配置；自动并强制进行恶意代码库升级；定制统一客户端策略并强制执行;进行集中病毒报警等。＞系统补丁管理：集中进行补丁管理，定期统一进行系统补丁安装。注意应首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装。＞系统管理员身份认证与审计：对系统管理员进行严格的身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。2.审计管理在各边界安全设备开启审计功能模块，根据审计策略进行数据的日志记录与审计。通过部署日志审计系统对分布在系统各个组成部分的安全审计机制进行集中管理，统一收集设备日志，审计记录设置留存时间设置为6个月，功能包括：根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等；对安全审计员进行严格的身份鉴别，并只允许其通过特定的命令或界面进行安全审计操作。具体集中审计内容包括：＞日志监视实时监视接收到的事件的状况，如最近日志列表、系统风险状况等；监控事件状况的同时也可以监控设备运行参数，以配合确定设备及网络的状态；日志监视支持以图形化方式实时监控日志流量、系统风险等变化趋势。＞日志管理日志管理实现对多种日志格式的统一管理。通过SNMP、SYSLOG或者其它的日志接口釆集管理对象的日志信息，转换为统一的日志格式，再统一管理、分析、报警；自动完成日志数据的格式解析和分类；提供日志数据的存储、备份、恢复、删除、导入和导出操作等功能。日志管理支持分布式日志级联管理，下级管理中心的日志数据可以发送到上级管理中心进行集中管理＞审计分析集中审计可综合各种安全设备的安全事件，以统一的审计结果向用户提供可定制的报表，全面反映网络安全总体状况，重点突出，简单易懂。系统支持对包过滤日志、代理日志、入侵攻击事件、病毒入侵事件等十几种日志进行统计分析并生成分析报表；支持按照设备运行状况、设备管理操作对安全设备管理信息统计分析；支持基于多种条件的统计分析，包括：对访问流量、入侵攻击、邮件过滤日志、源地址、用户对网络访问控制日志等。对于入侵攻击日志，可按照入侵攻击事件、源地址、被攻击主机进行统计分析，生成各类趋势分析图表。系统可以生成多种形式的审计报表，报表支持表格和多种图形表现形式；用户可以通过IE浏览器访问，导出审计结果。可设定定时生成日志统计报表，并自动保存以备审阅或自动通过邮件发送给指定收件人，实现对安全审计的流程化处理。3.安全管理作为信息化的服务提供者，面对日益增长的业务需求，对网络和系统的稳定性、可靠性、服务质量的要求很高。大量软唤件的投入和增加，也导致了运维管理难度的增大和系统管理人员的工作压力越来越大。面对频繁的业务变更场景，如何实现安全业务的自动化分析、可视及可管，安全策略调优以及合规性分析，是迫切需要解决的问题。传统以来人工管理及配置安全业务，运维效率比较低，安全策略合规性检查需要投入专人分析，往往审批不够及时，也可能疏漏风险策略。安全策略下发对业务的影响不可预见，不能再策略部署前评估策略对用户业务的影响。安全策略体量越来越大，致使安全运维人员难以聚焦在关键的风险策略上。为了保障快速、高效完成策略变更的同时，确保策略下发安全和准确，从而有效提升运维效率、降低运维成本，可以采用部署安全管理控制器系统，以独立软件的形式部署在服务器或虚拟机，或与网络SDN控制器部署在同一物理机的同一虚机，并制定相应的管理策略和制度，集中统一管理，并提供以下能力：＞设备管理统一的管理，支持以下能力：设备自动发现、设备的增删改查、双机热备组、设备组的增删改查、设备配置的一致性对比、设备单点登录，设备版本升级，设备配置文件备份。＞策略管理支持安全策略的管理，通过设置对应的匹配条件，包括源/目的安全区域、源/目的地址、服务、时间段来进行控制，在执行动作上可以设置允许或禁止。同时也可以配置上对应的安全配置文件做内容安全防护，可对策略组视图和设备视图进行策略快速管理，策略变更统计、配置一致性统计、部署状态统计等管理能力。＞策略合规性检查通过定义白名单、风险规则、混合规则等检查方式，待策略提交荷藕，匹配定义好的检查规则，及时反馈检查结果、安全等级等信息只安全审批责任人。低风险策略自动审批，从而提高策略审批效率。＞策略仿真通过学习业务互访关系，对比待部署策略，以模拟部署的方式，在策略部署前评估策略对业务的影响，有效降低策略部署后对业务带来的风险。4.集中管控等级保护集中管控能力要求构建一个独立的安全区域，对分布在网络中的安全设备或安全组件进行管控，对安全设备需要创建一条加密通道进行远程管理。独立的安全管理域不仅用于将用于安全设备管控，同时将对网络设备进行远程维护以及动态监控，使用带外管理方式，与其他网络物理隔离，通过部署运维堡垒机对网络中设备进行远程运维管理。部署综合网管系统，对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测，并为安全计算环境、安全区域边界、安全通信网络进行统一的监控与告警。部署综合日志审计系统，统一收集设备日志，审计记录设置留存时间至少6个月。部署安全管理中心进行安全策略集中管理。部署主机防病毒管理中心提供恶意代码规则升级集中管理。部署操作系统补丁升级服务器提供补丁升级服务统一管理。部署智能安全分析系统，对网络中发生的各类安全事件进行识别、报警和分析。针对对网络中的流量及各类设备的网络、安全日志等海量网络基础数据执行有效采集，通过大数据实时及离线分析，结合机器学习技术、信誉、情报驱动，有效的发现网络中的潜在威胁和高级威胁，实现企业内部的全网安全态势感知，实现等级保护解决方案威胁的处置闭环，防患未然。5.产品规划部署产品部署位置部署作用统一管理平台部署在安全管理中心区统一网络管理系统，部署在安全管理中心区日志审计系统部署在安全管理中心区安全审计：网络设备、安全设备、主机、终端、服务器日志审计入侵防范：威胁溯源、网络溯源安全管理平台部署在安全管理中心区对安全设备进行统一管理、状态监控、策略下发、集中审计。运维审计系统部署在安全管理区域运维堡垒机对网络系统、应用服务器、业务

部署产品部署位置部署作用系统、数据库进行状态监测和监控，实时发现故障并报警，快速定位故障点，为恢复环境提供依据漏洞扫描部署在安全管理中心区WEB、数据库、主机的系统弱点扫描，静态评估系统可能存在的风险。安全资源池云管理区提供云主机安全、云堡垒机、云数据库审计、综合日志审计、漏洞扫描（含配置核查）等云安全服务；重点安全设备选型设计1.防火墙防火墙设备选型设计作为核心安全设备，防火墙提供了应用识别、入侵防御（IPS）、反病毒和URL过滤等内容安全相关的功能，可有效保证内网服务器和用户免受威胁的侵害。硬件规格要求•标准机架式1U设备；•严格前后风道；•配置双电源；配置4个风扇，形成3+1冗余备份；•CPU关键器件釆用国产化自研芯片；•支持2条万兆光Bypass链路（直路部署场景，提供高可靠性）；•当风扇模块出现故障时，可以在防火墙不断电的情况下，对风扇模块进行更换；•支持冗余电源，配置两块电源模块时，其中的一块可以进行热插拔；软件功能要求•支持静态路由、策略路由、RIP、OSPF、BGP、ISIS等路由协议；•支持IPv6协议栈、IPV6穿越技术、IPV6路由协议；•支持IPv6overIPv4隧道，6RD隧道；支持NAT66,NAT64；•支持NAT地址复用技术，可实现单个公网IP地址的无限制端口转换，可有效解决地址短缺问题；•支持恶意域名过滤，实现对C&C进行阻断；•支持BFD链路检测，支持BFD与VRRP联动实现双机快速切换，支持BFD与OSPF联动实现双机快速切换；•可根据目的地址智能优选运营商链路，支持主备接口配置以及按比例分配的负载分担方式；提供IPsecVPN、SSLVPN等丰富的VPN特性，支持DES、3DES、AES、SHA、SM2/3/4等多种加密算法，保障数据传输的安全性、可靠性。2.安全资源池安全资源池选型设计安全资源池为云平台上各个云租户提供可按需申请及部署的安全产品资源池，并建立相关安全产品和服务资源节点，同时协助各单位进行产品的部署和服务的申请及交付，为云上租户提供一站式的信息安全保障，安全资源池为云上用户提供立体化、体系化的安全防护能力。平台功能要求•安全资源池产品需在公有云市场成熟应用；•支持安全产品部署在虚拟机资源上，安全产品根据规格按需获取虚拟化资源池的CPU、内存、网络、存储等资源并实现自动化部署；•支持用户认证统一，被授权的用户可以通过登录到云安全管理平台单点登录到各个安全产品，包括云堡垒机、虚拟化漏洞扫描、云数据库审计、云日志审计、云主机防御（东西向流量隔离、防病毒）等所有安全产品；•云安全管理平台支持多个不同区域的多安全资源池统一接入管理，平台

管理员可以不同区域的安全资源池情况，包括租户信息、已开通的安全产品、安

全态势、运维态势等，管理员可以给任意区域的租户统一下发分配安全产品资源;•支持通用云安全管理平台统一为不同区域的不同安全资源池分别配置引

流交换机，实现对分布式安全资源池的部署网络管理；

项目建设清单医共体硬件建设清单序号设备名称参数规格要求数量单位1、数据中心硬件建设1.1数据处理及存储设备1数据库服务器1（PACS/LIS疫悄防控）1、 CPI：M2颗国产自主可控处理器，主频M2.6GHz,单颗CPU^32核心以上，2、 内存：M256GBDDR4服务器内存；3、 网络：板载千兆网卡提供M4个千兆以太网口，2块双口10GE光纤以太网网卡（含光模块）；4、 本地硕盘：配置事2个480GBSSD热插拔硬盘；配置1块RAID卡，支持RAIDO.1.5.65、 电源：配置冗余电源，支持电源热插拔，需满足满配运行状态需求；6、 服务器管理系统支持国产自研管理芯片，提供主板管理芯片介绍及芯片厂家营业执照证明，并加盖厂商公章；7、 服务：3年维保8、 服务器管理软件通过安全渗透测试，包含认证安全、权限管理安全、会话安全、信息泄露安全、输入输出合法性安全性测试，提供由具备CNAS资格的检测机构出具的安全渗透性测试报告复印件，并加盖厂商公章；8台2核心数据库服务器（ms/EMR）1、 CPU：M2颗,主频M2.1GHz,单颗CPU^26核心以上；2、 内存：N512GBDDR4服务器内存；$24个内存插槽3、 网络：板载干兆网卡提供N2个千兆以太网口，3块双口10GE光纤以太网网卡（含光模块）；4、 本地硬盘：配置P2个480GBSSD热插拔硬盘;配置1块RAID卡，支持RAIDO.1.5.65、 电源：配置冗余电源，支持电源热插拔，需满足满配运行状态需求；2台

6、 服务器管理系统支持国产自研管理芯片，提供主板管理芯片介绍及芯片厂家营业执照证明，并加盖厂商公章；7、 服务：3年维保3数据库服务器2（PACS/LIS疫情防控）1、 CPU：N2颗，主频M2.1GHz,单颗CPU>20核心；2、 内存：M256GBDDR4服务器内存；$24个内存插槽3、 网络：板载千兆网卡提供N2个千兆以太网口，2块双口10GE光纤以太网网卡（含光模块）；4、 本地硬盘：配置N2个480GBSSD热插拔硬盘；配置1块RAID卡，支持RA1D0.1.5.65、 电源：配置冗余电源，支持电源热插拔，需满足满配运行状态需求；6、 服务器管理系统支持国产自研管理芯片，提供主板管理芯片介绍及芯片厂家营业执照证明，并加盖厂商公章；7、 服务：3年维保8台4管理节点服务器1、 CPU：M2颗国产自主可控处理器，主频M2.6GHz,单颗CPU>64核心以上2、 内存：M768GBDDR4服务器内存；3、 网络：提供M4个千兆以太网口，$4个25GE光口（含10GE光模块）；4、 硬盘：配置M3个960GBSSD； 个480GBSSD： 个3.2TBNVMESSD；M8个4TB7.2kSATA；5、 RAID卡：1张RAID卡，2GBcache-RAID0,1,5,6,10,50,606、 电源：配置冗余电源，支持电源热插拔，需满足满配运行状态需求；7、 服务器管理系统支持国产自研管理芯片，提供主板管理芯片介绍及芯片厂家营业执照证明，并加盖厂商公章；8、 服务：3年维保9、 服务器管理软件通过安全渗透测试，包含认证安全、权限管理安全、会话安全、信息泄露安全、输入输出合法性安全性测试，提供由具备CNAS资格的检测机构出具的安全渗透性测试报告复印件，并加盖厂商公章：3台5网络节点服务器1、 CPU：$2颗国产自主可控处理器，主频$2・6GHz,单颗CPU>32核心以上2、 内存：M512GBDDR4服务器内存；3、 网络：提供M4个千兆以太网口，M6个25GE光口（含10GE光模块）；4、 硬盘：配置M2个480GBSSD热插拔硬盘；2台

5、 RAID卡：1张RAID卡，2GBcache-RAID0,1,5,6,10,50,606、 电源：配置冗余电源，支持电源热插拔，需满足满配运行状态需求；7、 服务器管理系统支持国产自研管理芯片，提供主板管理芯片介绍及芯片厂家营业执照证明，并加盖厂商公章；8、 服务：3年维保9、 服务器管理软件通过安全渗透测试，包含认证安全、权限管理安全、会话安全、信息泄露安全、输入输出合法性安全性测试，提供由具备CNAS资格的检测机构出具的安全渗透性测试报告复印件，并加盖厂商公章；6计算节点11、 CPU：N2颗国产自主可控处理器，主频>2.6GHz,单颗CPUM64核心以上2、 内存：P1024GBDDR4服务器内存;3、 网络：提供M4个干兆以太网口，N6个10GE光口（含10GE光模块）；4、 硬盘：配置M2个480GBSSD热插拔硬盘；5、 RAID卡：1张RAID卡，2GBcache-RAID0,1,5,6,10,50,606、 电源：配置冗余电源，支持电源热插拔，需满足满配运行状态需求；7、 服务器管理系统支持国产自研管理芯片，提供主板管理芯片介绍及芯片厂家营业执照证明，并加盖厂商公章；8、 服务：3年维保9、 服务器管理软件通过安全渗