医院信息安全等级保护建设项目技术方案

医院信息安全等级保护建设项目

技

术

方

案

目录

1.信息系统安全等级定级....................................................5

2.网路安全方案设计原则....................................................5

3.方案设计思路............................................................10

3.1.构建分域的控制体系...................................11

3.2.构建纵深的防御体系...................................12

3.3.保证一致的安全强度...................................12

3.4.实现集中的安全管理...................................12

4.方案整体框架............................................................12

4.1.体现保护对象清晰.....................................13

4.2.体现防御的纵深感.....................................14

4.3.体现防御的主动性.....................................14

4.4.体现集中管理能力.....................................14

5.安全物理环境设计........................................................15

5.1.机房选址.............................................15

5.2.机房管理.............................................15

5.3.机房环境.............................................15

5.4.设备与介质管理.......................................16

6.通信网络安全设计........................................................16

6.1.网络架构安全.........................................16

6.2.通信完整性和保密性...................................17

6.3.通信网络可信验证.....................................18

6.4.产品规划.............................................18

7.区域边界安全设计........................................................19

7.1.边界安全防护.........................................19

7.2.边界访问控制.........................................20

7.3.边界入侵防范.........................................22

7.4.边界恶意代码和垃圾邮件防范...........................23

7.5.边界安全审计.........................................24

7.6.边界可信验证.........................................25

7.7.产品规划.............................................25

8.计算环境安全设计.......................................................26

8.1.身份鉴别.............................................27

8.2.访问控制.............................................28

8.3.安全审计.............................................29

8.4.入侵防范.............................................30

8.5.主机恶意代码防范.....................................31

8.6.可信验证.............................................31

8.7.数据完整性与保密性...................................32

8.8.备份与恢复...........................................33

8.9.产品规划.............................................33

9.安全管理中心设计.........................................................34

9.1.系统管理.............................................35

9.2.审计管理.............................................36

9.3.安全管理............................................37

9.4.集中管控............................................38

9.5.产品规划............................................39

10.重点安全设备选型设计...............................................40

10.1.防火墙...........................................40

10.2.安全资源池.......................................41

11.项目建设清单...........................................................43

本方案将根据《信息系统等级保护安全设计技术要求》，保护环境按照安

全计算环境、安全区域边界、安全通信网络和安全管理中心进行设计，内容涵

盖基本要求的4个方面。

1.信息系统安全等级定级

1、业务信息描述

本次建设一体化信息平台主要处理的业务有惠民、协同、监管及业务应用

等工作。

2、业务信息受到破坏时所侵害客体的确定

该业务信息遭到破坏后，所侵害的客体是患者和平台的合法权益。

侵害的客观方面表现为：一旦信息系统的业务信息遭到入侵、修改、增

加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对患者、平台

的合法权益造成严重影响和损害。

3、信息受到破坏后对侵害客体的侵害程度

当此信息受到破坏后，会对患者、平台造成严重损害。

4、确定业务信息安全等级

根据等级安全保障体系的设计思路，本次建设的系统等级保护的设计必须

达到：三级。

对相应客体的侵害程度

系统服务被破坏时所侵害的客体

一般损害严重损害特别严重损害

公民、法人和其他组织的合法权益第一级第二级第三级

社会秩序、公共利益第二级第三级第四级

国家安全第三级第四级第五级

2.网路安全方案设计原则

通过对医院安全等保需求进行深入分析，安全等保方案在设计时应遵循如

下原则:

1）高扩展：部署的安全设备应具有高扩展性，满足医院网络业务的迅速发

展，至少保证3到5年的业务发展需求；

2）高稳定性：部署的安全设备应具有高可靠，高稳定性特点，在近2年国

内使用中未出现过大的现网事故，应具有关键器件冗余，双主控等可靠性保障,

应选用电信级高可靠性设备；

3）灵活性：网络链路会随着业务的发展逐条增加，方案的设计遵循灵活性

的原则，保证新链路增加的情况下，在原有配置基础上进行小改动，保证链路故

障时能自动切换，避免人工干预，减少维护量；

4）完整审计方案：方案设计需要提供完整的审计和溯源方案，包括日志服

务器，应选择同厂家设计的服务器软件，避免审计系统出现问题时，定位困难,

服务人员无法及时支持的现象；

5）符合三级等保要求：按照国家信息安全等保保护要求，需要按照三级等

保要求来进行建设。

根据上述设计思想设计等级保护技术方案（三级），方案拓扑如下：

S

R

H

C

B

【蚣厘Ml

医院等级保护技术方案拓扑图（三级增强合规版）

方案部署设备说明（需要根据具体方案对下面内容进行修改完善）：

1）DDoS异常流量检测与清洗设备：对来至internet的各种DDoS攻击进

行清洗；

2）出口防火墙：主要做NAT转换，应用协议识别与控制，安全隔离，访问

控制等安全防护，防止非法访问；

3）SSLVPN网关：为管理员，移动用户远程接入提供SSLVPN接入功能，

实现移动办公，安全访问内网；

4）服务器区防火墙：主要对数据中心内部，各服务器及虚拟机之间进行安

全隔离，访问控制，入侵防护，病毒检测和防护；

5）WEB服务区WAF：网站服务器防护，防止网站文字，图片等内容被篡

改；

6）服务器区IDS：对数据中心内部流量进行入侵检测，入侵行为与攻击包

括HTTP、FTP、DNS、Mail等服务器面临的漏洞、缓冲区溢出、暴力破解等;

8）管理区防火墙：管理区安全防护与访问控制；

9）管理区网络管理平台：设备统一可视化管理，日志集中收集，同时监控

整个网络组网和运行状态；

10）管理区运维审计：通过对核心业务系统、主机、数据库、网络设备等各

种IT资源的帐号、认证、授权和审计的集中管理和控制，满足相关法规、标准

要求，实现对核心资源统一接入管理和运维审计；

11）管理区态势感知系统：通过对流量、日志等数据的采集、分析，发现已

知和未知网络威胁，呈现攻击渗透和扩散路径，并完成攻击取证和溯源；

12）管理区漏洞扫描系统：以智能便利规则库（本地漏洞库、ActiveX库、

网页木马库、网页代码审计规则库等）为基础，采用深度主机服务探测、Web

智能化爬虫、SQL注入状态检测、主机配置检查以及弱口令检查等方式相结合

的技术，实现了Web漏洞扫描、系统漏洞扫描、数据库漏洞扫描、基线安全检

查与口令猜解的功能；

13）为了保证高可靠性，关键路径安全设备使用双机热备方式部署。

医院等级保护技术方案严格按照《信息系统等级保护安全设计技术要

求》进行设计，详细对应关系如下：

等保三级要求表

等保技术

子项主要内容对应产品

要求

选型合理，分区隔离，冗余架构，高

网络架构NGFW

峰可用

采用校验技术/密码技术保证通信过程NGFW(IPSec&

安全通信通信传输

中数据的完整性和保密性SSLVPN)

网络

基于可信根对通信设备的系统引导，

网络设备自身可

可信验证应用关键点动态验证，可报警、可审

信启动机制

计

安全区域跨边界控制，内联设备，外联行为监

边界防护NGFW

边界测，无线网限制

等保技术

子项主要内容对应产品

要求

五元组过滤、内容过滤、策略优化、

访问控制NGFW

基于应用协议和应用内容的访问控制

防外部攻击、防内部攻击、防新型未IPS、IDS、探

入侵防范

知网络攻击针、沙箱

恶意代码防防病毒网关/防火

网络防病毒、垃圾邮件过滤

范墙防病毒能力

用户行为、安全事件审计，远程用户

堡垒机，上网行

安全审计行为，访问互联网用户行为单独审计

为管理

和数据分析

基于可信根对区域设备的系统引导，

设备自身可信启

可信验证应用关键点可动态验证，可报警、可

动机制

审计

身份唯一性、鉴别信息复杂度，口

设备自身机制+堡

身份鉴别令、密码技术、生物技术等双因子及

垒机+认证服务器

以上认证且其中一种必须为密码技术

访问控制用户权限管理、管理用户权限最小化自身机制

上网行为管理、

安全审计用户行为审计，对审计进程保护

日志审计系统

检测入侵行为、非使用端口关闭、管

安全计算入侵防范IPS、漏洞扫描

理终端限制、发现已知漏洞

环境

恶意代码防安装防恶意代码软件或免疫可信验证防毒墙、主机防

范机制，防护机制支持升级和更新病毒软件

基于可信根对计算设备的系统引导，

设备自身可信启

可信验证应用关键点动态验证，可报警、可审

动机制

计

NGFW、VPN、

数据完整性数据防篡改

WAF、防篡改

等保技术

子项主要内容对应产品

要求

数据备份恢数据本地备份和恢复、提供异地实时

多活数据中心

复备份功能、数据处理系统热冗余

剩余信息保

鉴别信息、敏感信息缓存清除应用自身机制

护

个人信息保

个人信息最小采集原则、访问控制应用自身机制

护

应对系统管理员进行身份鉴别、应通

网管系统、堡垒

系统管理过系统管理员对系统的资源和运行进

机

行配置、控制和管理

应对安全审计员进行身份鉴别、应通堡垒机、日志审

审计管理过安全审计员对审计记录应进行分计系统、数据库

安全管理析，并根据分析结果进行处理审计

中心特定管理分区、统一网管和检测、日统一网管、安全

集中管控志采集和集中分析、安全事件识别告控制器、态势感

警和分析、安全策略集中管理知系统

应对安全管理员进行身份鉴别、应通

堡垒机、日志审

安全管理过安全审计员对审计记录应进行分

计系统

析，并根据分析结果进行处理

3.方案设计思路

方案建设的基本思路是：严格参考等级保护的思路和标准，针对安全现状

分析发现的问题进行加固改造，在进行安全设计时，参考《信息系统等级保护

安全设计技术要求》，从安全计算环境、安全区域边界、安全通信网络和安全

管理中心等方面落实安全保护技术要求，将不同区域、不同层面的安全保护措

施形成有机的安全保护体系，建成后的安全保障体系将充分符合国家等级保护

标准，能够为系统稳定运行提供有力保障。

总之等级保护建设的思路为网络安全设计应基于业务流程自身特点，建立

“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受网

络攻击和破坏。

“可信”即以可信根为基础，构建一个可信的系统执行环境，即设备、引

导程序、操作系统、应用程序都是可信的，确保数据不可篡改。可信的环境保

证业务系统永远都按照设计预期的方式执行，不会出现非预期的流程，从而保

障了业务系统安全可信。

“可控”即以访问控制技术为核心，实现主体对客体的受控访问，保证所

有的访问行为均在可控范围之内进行，在防范内部攻击的同时有效防止了从外

部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越

权操作，永远都按系统设计的策略进行资源访问，保证了系统的网络安全可

控。

“可管”即通过构建集中管控、最小权限管理与三权分立的管理平台，为

管理员创建一个工作平台，使其可以进行技术平台支撑下的安全策略管理，从

而保证信息系统安全可管。

“一个中心管理下的三重保护体系”是指以安全管理中心为核心，构建安

全计算环境、安全区域边界和安全通信网络，确保应用系统能够在安全管理中

心的统一管控下运行，不会进入任何非预期状态，从而防止用户的非授权访问

和越权访问，确保应用系统的安全。

安全保障体系建设的主要要点包括以下四个方面：

3.1.构建分域的控制体系

网络安全等级保护解决方案，在总体架构上将按照分域保护思路进行，将

网络从结构上划分为不同的安全区域，各个安全区域内部的网络设备、服务

器、终端、应用系统形成单独的计算环境、各个安全区域之间的访问关系形成

边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施；因此方

案将从保护计算环境、保护边界、保护通信网络基础设施三个层面进行设计。

3.2.构建纵深的防御体系

网络安全建设方案包括技术和管理两个部分，本方案针对医共体系统的

通信网络、区域边界、计算环境，综合采用访问控制、入侵防御、恶意代码法

防范、安全审计、防病毒、传输加密、数据备份等多种技术和措施，实现业务

应用的可用性、完整性和保密性保护，并在此基础上实现综合的安全管理，并

充分考虑各种技术的组合和功能的互补性，合理利用措施，从外到内形成一个

纵深的安全防御体系，保障系统整体的安全保护能力。

3.3.保证一致的安全强度

网络应采用分级的办法，采取强度一致的安全措施，并采取统一的防护策

略，使各安全措施在作用和功能上相互补充，形成动态的防护体系。因此在建

设手段上，本方案采取“大平台”的方式进行建设，在平台上实现各个级别信

息系统的基本保护，比如统一的防病毒系统、统一的日志系统、统一的审计系

统，然后在基本保护的基础上，再根据各个信息系统的重要程度，采取高强度

的保护措施。

3.4.实现集中的安全管理

为了能准确了解网络的运行状态、设备的运行情况，统一部署安全策略，

应进行安全管理中心的设计，根据要求，应在系统管理、审计管理和安全管理

几个大方面进行建设。在安全管理安全域中建立安全管理中心，是帮助管理人

员实施好安全措施的重要保障，是实现业务稳定运行、长治久安的基础。通过

安全管理中心的建设，实现安全技术层面和管理层面的结合，全面提升用户网

络的信息安全保障能力。

4.方案整体框架

等级保护2.0将网络安全纵深按照一个中心三重防御的方式进行部署，

即：安全管理中心、通信网络、区域边界、计算环境几个维度。对每个维度的

安全能力要求如下图:

安全管理中心_

系统管理［亩计管理］I安全管理］［集中管控

外

部

联

接

区域边界

依据以上能力要求，对方案整体设计框架如下图:

4.1.体现保护对象清晰

在设计信息安全保障体系时，首先要对信息系统进行模型抽象。我们把信

息系统各个内容属性中与安全相关的属性抽取出来，通过建立“信息安全保护

对象框架”的方法来建立安全模型，从而相对准确地描述信息系统的安全属

性。保护对象框架是根据信息系统的功能特性、安全价值以及面临威胁的相似

性，将其划分成计算区域、网络基础设施、区域边界和安全基础设施四大类信

息资产组作为保护对象

4.2.体现防御的纵深感

现有安全体系大多属于静态的单点技术防护，缺乏多重深度保障，缺乏抗

打击能力和可控性。信息安全问题包含管理方面问题、技术方面问题以及两者

的交叉，它从来都不是静态的，随着组织的策略、组织架构、业务流程和操作

流程的改变而改变。现有安全体系大多属于静态的单点技术防护，单纯部署安

全产品是一种静态的解决办法，单纯防范黑客入侵和病毒感染更是片面的。一

旦单点防护措施被突破、绕过或失效，整个安全体系将会失效，从而威胁将影

响到整个信息系统，后果是灾难性的。

4.3.体现防御的主动性

本方案中，将从多重深度保障，增强抗打击能力方面进行设计。国家相关

指导文件提出“坚持积极防御、综合防范的方针”，这就要求采用多层保护的

深度防御策略，实现安全管理和安全技术的紧密结合，防止单点突破。我们在

设计安全体系时，将安全组织、策略和运作流程等管理手段和安全技术紧密结

合，从而形成一个具有多重深度保障手段的防护网络，构成一个具有多重深度

保障、抗打击能力和能把损坏降到最小的安全体系。

4.4.体现集中管理能力

信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、

完整性、可用性，从而确保信息系统内不发生安全事件、少发生安全事件、即

使发生安全事件也能有效控制事件造成的影响。通过建设集中的安全管理平

台，实现对信息资产、安全事件、安全风险、访问行为等的统一分析与监管，

通过关联分析技术，使系统管理人员能够迅速发现问题，定位问题，有效应对

安全事件的发生。

5.安全物理环境设计

物理环境安全策略的目的是保护网络中计算机网络通信有一个良好的电磁

兼容工作环境，并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发

生。

5.1.机房选址

机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。机房场地

应避免设在建筑物的顶层或地下室，以及用水设备的下层或隔壁。

5.2.机房管理

机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员；

5.3.机房环境

合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。房

间装修必需使用阻燃材料，耐火等级符合国家相关标准规定。机房门大小应满

足系统设备安装时运输需要。机房墙壁及天花板应进行表面处理，防止尘埃脱

落，机房应安装防静电活动地板。

机房安装防雷和接地线，设置防雷保安器，防止感应雷，要求防雷接地和

机房接地分别安装，且相隔一定的距离；机房设置火灾自动消防系统，能够自

动检测火情、自动报警，并自动灭火；机房及相关的工作房间和辅助房应采用

具有耐火等级的建筑材料；机房应采取区域隔离防火措施，将重要设备与其他

设备隔离开。配备空调系统，以保持房间恒湿、恒温的工作环境；在机房供电

线路上配置稳压器和过电压防护设备；提供短期的备用电力供应，满足关键设

备在断电情况下的正常运行要求。设置冗余或并行的电力电缆线路为计算机系

统供电；建立备用供电系统。铺设线缆要求电源线和通信线缆隔离铺设，避免

互相干扰。对关键设备和磁介质实施电磁屏蔽。

5.4.设备与介质管理

为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信

息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性，必须采用有

效的区域监控、防盗报警系统，阻止非法用户的各种临近攻击。

6.通信网络安全设计

通信网络利用通信线路和通信设备，把分布在不同地理位置的具有独立功

能的多台计算机、终端及其附属设备互相连接，在网络建设的初期，作为工作

的重要组成部分，应为网络通信负载制定详细的技术指标，从以往的经验来

看，当网络的利用率平均值达到40羔或瞬间有70%的持续峰值，网络性能将急速

下降因此一个正常的网络利用率的平均值不应超过40%,不得有超过70%的持续

峰值。

通信网络是整个网络系统的基础设施，通信网自身的健壮性稳定性以及网

络结构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要

具备一定的冗余性；带宽能够满足业务高峰时期数据交换需求；并合理的划分

网段和VLANo

6.1.网络架构安全

网络架构的安全是网络安全的前提和基础，选用主要网络设备时需要考虑

业务处理能力的高峰数据流量，要考虑冗余空间满足业务高峰期需要；网络各

个部分的带宽要保证接入网络和核心网络满足业务高峰期需要；建议部署高性

能的设备。按照业务系统服务的重要次序定义带宽分配的优先级，在网络拥堵

时优先保障重要主机。

分区分域合理规划路由，业务终端与业务服务器之间建立安全路径；绘制

与当前运行情况相符的网络拓扑结构图：

下面需要根据具体情况进行修改：

根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不

同的网段或VLANo保存有重要业务系统及数据的重要网段不能直接与外部系统

连接，需要和其他网段隔离，单独划分区域。

重要区域与其他区域之间部署网闸或者防火墙等隔离设备，并启用ACL进

行访问控制。

从目前医共体的全局网络结构上看，可以分为以下几个部分：

业务内网区：是业务开展的重要平台，承载着核心业务，同时具有相应链

路与医保、银行等其他机构交换数据；

互联网区：主要对外提供预约挂号、统一支付、互联网+就医等服务。

为保证网络业务的连续性，提供关键节点的硬件冗余设计，包括通信线路

（含业务数据链路和带外管理链路）、网络设备、安全设备、计算设备，并部

署链路负载均衡设备。

6.2.通信完整性和保密性

由于网络协议及文件格式均具有标准、开发、公开的特征，因此数据在网

上存储和传输过程中，不仅仅面临信息丢失、信息重复或信息传送的自身错

误，而且会遭遇信息攻击或欺诈行为，导致最终信息收发的差异性。因此，在

信息传输和存储过程中，必须要确保信息内容在发送、接收及保存的一致性；

并在信息遭受篡改攻击的情况下，应提供有效的察觉与发现机制，实现通信的

完整性。

而数据在传输过程中，为能够抵御不良企图者采取的各种攻击，防止遭到

窃取，应采用加密措施保证数据的机密性。

对于信息传输和存储的完整性校验可以采用的技术包括校验码技术、消息

鉴别码、密码校验函数、散列函数、数字签名等技术手段。

对于信息传输的完整性校验应由传输加密系统完成，通过识别传输协议类

型对网络数据进行隧道封装，为用户认证提供安全加密传输，并实现全业务数

据在复杂网络环境下的传输。对于信息存储的完整性校验应由应用系统和数据

库系统完成。建议部署SSL/IPSec安全接入网关或下一代防火墙来实现。

对于信息传输的通信保密性应由传输加密系统完成。部署SSLVPN系统或

下一代防火墙保证远程数据传输的数据保密性。

6.3.通信网络可信验证

随着信息技术的不断发展，信息系统安全问题愈演愈烈，之后网络安全行

业兴起，攻防技术层出不穷、不断升级。传统的计算机体系结构过多地强调了

计算功能，忽略了安全防护，这相当于一个人没有免疫系统，只能生活在无菌

状态下。可信计算的目标就是要为信息系统构建安全可信的计算环境，提升信

息系统的免疫力，可信计算是基于密码的计算机体系架构安全技术，理论上可

很大程度解决恶意软件非授权安装/运行、设备网络假冒等问题。

应选择具备可信芯片的网络通信设备（路由器、交换机），保证网络身份

可信，防止网络通信设备假冒。可信芯片有唯一芯片号、公私钥对，可参与通

信过程身份认证及加密。可信网络通信设备以密码芯片为可信根，通过散列算

法实现完整性度量，通过非对称算法提供身份认证，通过对称算法提供数据加

密，为密码算法、密钥、度量值、密码运算等提供更单纯、安全的安全芯片环

境。

6.4.产品规划

部署产品部署位置部署作用

对外网用户的可信接入进行身份认证、数

据加密、角色授权和访问审计等，保护办

VPN网关互联网边界最外侧。

公网内部服务器资源的可用性，保障正常

业务可控的访问。

对业务网进行独立防护，进行访问控制、

业务网数据中心区域

攻击防御；

防火墙边界；

对上网应用行为进行管理，合理规划网络

互联网边界；

流量应用。

7.区域边界安全设计

网络划分安全区域后，在不同信任级别的安全区域之间就形成了网络边

界。等级保护安全区域边界是对定级系统的安全计算环境边界，以及安全计算

环境与安全通信网络之间实现连接并实施安全策略。本方案中，在区域边界的

安全防御能力包括如下几个方面：

＞边界防护

＞访问控制

＞入侵防范

＞恶意代码和垃圾邮件防范

＞安全审计

＞可信验证

从方案设计上看，参照如下方式：

安全管理中心

计

通

算

信

环

网

境

络

区域边界

7.1.边界安全防护

边界安全防护的检查重点是保证所有跨越边界的访问和数据流均通过边界

控制设备进行检查，其中包括限制非授权设备的接入，非授权用户外联，以及

无线用户的接入限制。

通过部署网络准入控制系统可以实现对内部网络中出现的内部用户未通过

准许私自联到外部网络的行为进行检查，维护网络边界完整性。网络准入控制

系统，其中一个重要功能模块就是非法外联控制，探测内部网中非法上互联网

的计算机。非法外联监控主要解决发现和管理用户非法自行建立通路连接非授

权网络的行为。通过非法外联监控的管理，可以防止用户访问非信任网络资

源，并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。

•网络准入控制

提供多维度的网络接入控制能力，根据用户的身份、使用终端类型、当前

所处的接入位置、接入时间，以及终端合规性检查的结果，对非授权接入网络

的设备进行检查和限制。

•非授权用户外联行为监控

可以发现终端试图访问非授信网络资源的行为，如试图与没有通过系统授

权许可的终端进行通信，自行试图通过拨号连接互联网等行为。对于发现的非

法外联行为，可以记录日志并产生报警信息。

7.2.边界访问控制

通过对边界风险与需求分析，在网络层进行访问控制需部署下一代防火墙

产品，以及web应用防火墙，可以对所有流经防火墙的数据包按照严格的安全

规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访

问，防止各类非法攻击行为，尤其针对web应用，将对网络防火墙过滤后的流

量进一步检测。同时可以和内网安全管理系统、网络入侵检测系统等进行安全

联动，形成网络全面纵深的安全防御格局。

在各安全域边界部署下一代边界防火墙及web应用防火墙设备，可提供如

下能力：

＞网络安全的基础屏障

防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而

降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境

变得更安全。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源

路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的

报文并通知防火墙管理员。

＞强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加

密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机

上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系

统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一

身上。

＞对网络存取和访问进行监控审计

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出

日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火

墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收

集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙

是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络

使用统计对网络需求分析和威胁分析等而言也是非常重要的。

＞防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而

限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内

部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安

全的线索而引起外部攻击者的兴趣，甚至因此而曝露了内部网络的某些安全漏

洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。

＞精确流量管理

通过部署防火墙设备，不仅可以实现精准访问控制与边界隔离防护，还能

实现阻止由于病毒或者P2P软件引起的异常流量、进行精确的流量控制等。对

各级节点安全域实现全面的边界防护，严格控制节点之间的网络数据流。

＞基于web应用的协议及内容控制

提供应用层协议规范检查，并通过内容安全检测模块，实现敏感言论，敏

感内容泄露的分析与阻断。

7.3.边界入侵防范

在各区域边界，防火墙起到了协议过滤的主要作用，根据安全策略在偏重

在网络层判断数据包的合法流动。但面对越来越广泛的基于应用层内容的攻击

行为，防火墙并不擅长处理应用层数据。

在网络边界和主要服务器区安全域均已经设计部署了防火墙，对每个安全

域进行严格的访问控制。鉴于以上对防火墙核心作用的分析，需要其他具备检

测新型的混合攻击和防护的能力的设备和防火墙配合，共同防御来自应用层到

网络层的多种攻击类型，建立一整套的安全防护体系，进行多层次、多手段的

检测和防护，本方案中将在网络边界区部署如下入侵防范能力：

＞入侵防护系统IPS

IPS是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行

为并实时报警并且进行有效拦截防护，是继“防火墙”、“信息加密”等传统

安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的

事件，并对它们进行分析，以寻找危及信息的机密性、完整性、可用性或试图

绕过安全机制的入侵行为并进行有效拦截。IPS就是自动执行这种监视和分析

过程，并且执行阻断的硬件产品。

在防火墙进行访问控制，保证了访问的合法性之后，IPS动态的进行入侵

行为的保护，对访问状态进行检测、对通信协议和应用协议进行检测、对内容

进行深度的检测。实现网络安全在边界的入侵检测，防止外部网络对内部的攻

击探测等恶意行为，同时阻断来自内部的数据攻击以及垃圾数据流的泛滥。

防DDoS泛洪攻击

针对互联网日渐增多DDoS攻击，应部署专业的抗DDoS系统进行防御，系

统包含：DDoS检测中心、DDoS清洗中心、DDoS管理中心。

加。S检测设备对分光过来的流量进行检测，当检测设备检测到异常后，上

报受攻击IP到管理中心，管理中心会向清洗设备下发引流策略，清洗设备通过

向核心路由器发布BGP路由的方式，把攻击流量牵引到清洗设备进行清洗。清

洗中通过多层过滤的防御技术，丢弃攻击流量，转发正常流量。清洗后的流量

在清洗设备上通过合适的方式回注到核心路由器。清洗中心上报攻击日志到管

理中心，管理中心将会进行清洗效果的呈现。

防未知高级威胁（APT）

针对越来越多的未知高级威胁（APT攻击）出现，传统基于特征防护思路

已难以应对，需要通过大数据技术的威胁检测和调查分析技术，从威胁攻击链

的整体来建立纵深防御体系，未知威胁检测体系，建议部署检测沙箱和安全智

能系统对此类威胁进行检测和防护。

沙箱部署在防火墙一侧，防火墙通过接口向沙箱提交待检测文件，可在虚

拟的环境进行分析，实现对未知恶意文件的检测。

安全智能系统基于大数据平台，采用机器学习模式，对多种数据源进行分

析，通过检测单点事件，关联组合威胁并综合评估得出攻击链，联动安全设

备、终端设备，并通过与全球威胁智能中心实时共享，同步最新威胁情报库，

支撑本地的未知威胁检测判定。安全智能系统还提供全网安全态势感知能力，

感知全网威胁态势、攻击路径、高危资产等信息，帮助快速掌握全网威胁。

主动防御（诱捕）

诱捕技术是一种蓄意在网络中布设陷阱，干扰、误导攻击者对己方信息通

信系统的认知，使攻击者采取对防御方有利的动作（或不行动），从而有助于发

现、延迟或阻断攻击者的活动，达到增加信息通信系统安全的目的。

推荐部署诱捕系统，以提升用户内网安全为目标，基于行为检测防御理

念，提供零硬件成本、告警准确、精准溯源，能够通过自动全网散布陷阱、自

动仿真用户业务等技术迷惑和诱捕攻击者，有效检测和防御包括APT、未知蠕

虫在内的网络攻击行为，并能结合联动控制器实现微隔离，有效防御已知和未

知威胁，最大限度减少用户损失。

7.4.边界恶意代码和垃圾邮件防范

现今，病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加

泛滥，目前计算机病毒的传播途径与过去相比已经发生了很大的变化，更多的

以网络（包括Internet、广域网、局域网）形态进行传播，因此为了安全的防

护手段也需以变应变。一个完善的安全体系应该包含了从桌面到服务器、从内

部用户到网络边界的全面解决方案，以抵御来自黑客和病毒的威胁。

在互联网边界部署防病毒网关或下一代防火墙开启防病毒功能，在最接近

病毒发生源安全边界处进行集中防护，对夹杂在网络交换数据中的各类网络病

毒进行过滤，可以对恶意代码、网络病毒、蠕虫、混合攻击、端口扫描、间谍

软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。阻止病毒通过网络

的快速扩散，将经网络传播的病毒阻挡在外，可以有效防止病毒从其他区域传

播到内部其他安全域中，截断病毒通过网络传播的途径，净化网络流量。

在边界部署下一代防火墙，并开启防垃圾邮件功能，具备实时反垃圾邮

件，内容过滤、关键字过滤，附件病毒检查与安全提醒等能力。

为能达到最好的防护效果，病毒库和垃圾邮件规则库需及时升级至最新版

本。对于能够与互联网实现连接的网络，应对自动升级进行准确配置；对与不

能与互联网进行连接的网络环境，需采取手动下载升级包的方式进行手动升

级。

7.5.边界安全审计

各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全，各

类安全设备产生的日志可反映网络及业务的运行状态。对于流经各主要边界

（重要服务器区域、外部连接边界）需要设置必要的审计机制，进行数据监视

并记录各类操作，通过审计分析能够发现跨区域的安全威胁，实时地综合分析

出网络中发生的安全事件。一般可采取开启边界安全设备的审计功能模块，根

据审计策略进行数据的日志记录与审计。同时审计信息要通过安全管理中心的

综合日志审计系统进行统一集中管理，利于管理中心进行全局管控。

•全网日志管理

提供多种日志格式的采集方式，通过采集、分类、过滤、分析、存储和监

控安全设备上报的日志，管理海量日志，关键日志产生告警并通过短信、Email

等方式进行通知。

•精准到用户级行为分析

通过上网行为管理系统，进行用户上网行为分析，同时结合用户数据源，

满足安全审计和取证的需要。

•安全事件分析

汇集防火墙、入侵防御等边界安全设备的安全事件日志，进行汇总分析,

包括攻击事件分析、插件阻断分析、访问控制事件分析、策略命中分析、入侵

防御分析、URL过滤分析、邮件过滤分析等，形成事件分析报表。

7.6.边界可信验证

遵循可信计算规范，具备可鉴别、完整性、私密性三大属性，支持用户的

身份认证，平台软硬件配置的正确性，应用程序的完整性和合法性，平台之间

的可验证性。本方案中建议边界防护设备应基于可信根设计，提供如下能力，

基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护

应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，

在检测到其可信性收到破坏后进行报警，并将验证结果形成审计记录送至安全

管理中心。

边界防护设备在系统上电后首先运行可信根，并将度量值扩展到引导程

序，引导程序度量系统程序扩展到系统程序，系统程序可以根据配置策略度量

文件并将度量值扩展，执行应用程序。

7.7.产品规划

部署产品部署位置部署作用

业务网核心业务服务器

Web应用防火墙Web应用访问控制

区域边界。

实时监控并阻断针对数

业务网核心业务服务器

入侵防御据中心核心业务服务器

区域边界。

的入侵行为。

防止对内部网络的DD0S

AntiDDoS边界出口位置

攻击。

边界集中进行病毒过

滤，防止病毒侵入扩

防火墙互联网边界。

散，与主机防病毒组成

多层次深度防御。

安全审计：网络设备、

安全设备、主机、终

综合日志审计系统部署在安全管理中心区端、服务器日志审计

入侵防范：威胁溯源、

网络溯源

8.计算环境安全设计

计算环境安全是整个安全建设的核心和基础。计算环境安全通过设备、主

机、移动终端、应用服务器和数据库的安全机制服务，保障应用业务处理全过

程以及数据的安全。系统终端和服务器通过在操作系统核心层和系统层设置以

强制访问控制为主体的系统安全机制，形成严密的安全保护环境，通过对用户

行为的控制，可以有效防止非授权用户访问和授权用户越权访问，确保信息和

信息系统的保密性和完整性，从而为业务系统的正常运行和免遭恶意破坏提供

支撑和保障。

等级保护规范要求三级网络系统需要包括如下安全能力：

＞身份鉴别

＞访问控制

＞安全审计

＞入侵防范

＞恶意代码防范

＞可信验证

＞数据完整性和保密性

＞数据备份与恢复

＞剩余信息保护

＞个人信息保护

本方案中，将融合零信任安全的新理念，其中心思想是系统不应自动信任

内部或外部的任何人/事/物，应在授权之前对任何试图接入企业系统的人/事/

物进行验证。从方案的实施角度看，可包括如下产品能力:

安全管理中心

漫洞扫描主机

*日⑥

通

区

信

域

网

边

络

界

计算环境

8.1.身份鉴别

身份鉴别可分为主机身份鉴别和应用身份鉴别两个方面：

主机身份鉴别：

为提高主机系统安全性，保障各种应用的正常运行，对主机系统需要进行

一系列的加固措施，包括：

•对登录操作系统和数据库系统的用户进行身份标识和鉴别，且保证用户

名的唯一性。

•根据基本要求配置用户名/口令；口令必须具备采用3种以上字符、长度

不少于8位并定期更换；

•启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数

和自动退出等措施。

•远程管理时应启用SSH等管理方式，加密管理数据，防止被网络窃听。

•对主机管理员登录进行双因素认证方式，采用USBkey+密码进行身份鉴

别

应用身份鉴别：

为提高应用系统系统安全性应用系统需要进行一系列的加固措施，包括：

对登录用户进行身份标识和鉴别，且保证用户名的唯一性。

根据基本要求配置用户名/口令，必须具备一定的复杂度；口令必须具备采

用3种以上字符、长度不少于8位并定期更换；

启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数和

自动退出等措施。

应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能

开发，且使用效果要达到以上要求。

对于三级系统，要求对用户进行两种或两种以上组合的鉴别技术，因此可

采用双因素认证（USBkey+密码）或者构建PKI体系，采用CA证书的方式进行

身份鉴别。

本方案中，建议部署远程接入安全网关，提供本地口令、数字证书、

USBKey等多种认证方式，并可针对密码、证书认证、外部认证、硬件特征码等

多种因素捆绑混合认证。在进行远程登录管理时，可采用多种加密算法，对传

输数据进行强加密，防止鉴别信息在网络传输过程中被窃听，确保数据传输的

真实性和完整性。

8.2.访问控制

三级系统一个重要要求是实现自主访问控制和强制访问控制。自主访问控

制实现：在安全策略控制范围内，使用户对自己创建的客体具有各种访问操作

权限，并能将这些权限的部分或全部授予其他用户；自主访问控制主体的粒度

应为用户级，客体的粒度应为文件或数据库表级；自主访问操作应包括对客体

的创建、读、写、修改和删除等。强制访问控制实现：在对安全管理员进行严

格的身份鉴别和权限控制基础上，由安全管理员通过特定操作界面对主、客体

进行安全标记；应按安全标记和强制访问控制规则，对确定主体访问客体的操

作进行控制；强制访问控制主体的粒度应为用户级，客体的粒度应为文件或数

据库表级。

由此主要控制的是对应用系统的文件、数据库等资源的访问，避免越权非

法使用。采用的措施主要包括：

启用访问控制功能：制定严格的访问控制安全策略，根据策略控制用户对

应用系统的访问，特别是文件操作、数据库访问等，控制粒度主体为用户级、

客体为文件或数据库表级。

权限控制：对于制定的访问控制规则要能清楚的覆盖资源访问相关的主

体、客体及它们之间的操作。对于不同的用户授权原则是进行能够完成工作的

最小化授权，避免授权范围过大，并在它们之间形成相互制约的关系。

账号管理：严格限制默认账户的访问权限，重命名默认账户，修改默认口

令；及时删除多余的、过期的账户，避免共享账户的存在。

访问控制的实现主要采取两种方式：采用安全操作系统，或对操作系统进

行安全增强改造，且使用效果要达到以上要求。

8.3.安全审计

计算环境安全审计包含主机审计和应用审计两个层面：

主机审计：

监控功能包括服务监控、进程监控、硬件操作监控、文件系统监控、打印

机监控、非法外联监控、计算机用户账号监控等。

审计功能包括文件操作审计、外挂设备操作审计、非法外联审计、IP地址

更改审计、服务与进程审计等。审计范围覆盖到服务器上的每个操作系统用户

和数据库用户；内容包括重要用户行为、系统资源的异常使用和重要系统命令

的使用等系统内重要的安全相关事件；审计记录包括事件的日期、时间、类

型、主体标识、客体标识和结果等；保护审计记录，避免受到未预期的删除、

修改或覆盖等。同时，根据记录的数据进行统计分析，生成详细的审计报表，

系统管理功能包括系统用户管理、主机监控代理状态监控、安全策略管

理、主机监控代理升级管理、计算机注册管理、实时报警、历史信息查询、统

计与报表等。

应用审计：

应用层安全审计是对业务应用系统行为的审计，需要与应用系统紧密结

合，此审计功能应与应用系统统一开发。

应用系统审计功能记录系统重要安全事件的日期、时间、发起者信息、类

型、描述和结果等，并保护好审计结果，阻止非法删除、修改或覆盖审计记

录。同时能够对记录数据进行统计、查询、分析及生成审计报表。

部署数据库审计系统，针对日益严峻的数据库安全形势，保护核心数据库

安全，方式数据被篡改或泄露。对数据库操作行为和内容进行全面的审计和管

理，对数据库操作进行解析、记录、分析，帮助客户监控数据库操作，以达到

违规操作可实时发现，发生事故有源可溯，提高管理者对业务系统信息资源的

全局把控和调度能力。审计范围覆盖到每个用户，从而把握数据库系统的整体

安全。

应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能

开发，且使用效果要达到以上要求。

8.4.入侵防范

针对计算环境的入侵防范主要体现在主机及网络两个层面。

针对主机的入侵防范，建议操作系统的安装遵循最小安装的原则，仅安装

需要的组件和应用程序，关闭多余服务，根据系统类型进行安全配置的加固处

理。同时部署终端安全管理系统，开启补丁分发功能模块及时进行系统补丁升

级。另外建议部署系统漏洞扫描设备，通过深度主机服务探测、Web智能化爬

虫、SQL注入状态检测、主机配置检查以及弱口令检查等技术，提供Web漏洞

扫描、系统漏洞扫描、数据库漏洞扫描、基线安全检查与口令猜解的功能，

针对网络入侵防范，可通过部署网络入侵检测系统来实现。将网络入侵检

测系统位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网

络违规模式和未授权的网络访问尝试。当