医院信息安全等级保护建设项目技术方案.docx

医院信息安全等级保护建设项目目录1 .信息系统安全等级定级52 .网路安全方案设计原则53 .方案设计思路103.1. 构建分域的控制体系113. 2.构建纵深的防御体系124. 3.保证一致的安全强度125. 4.实现集中的安全管理124.方案整体框架124.1. 体现保护对象清晰134. 2.体现防御的纵深感144. 3.体现防御的主动性146. 4.体现集中管理能力145.安全物理环境设计155.1. 机房选址155. 2.机房管理155. 3.机房环境157. 4.设备与介质管理166 .通信网络安全设计166. 1.网络架构安全167. 2.通信完整性和保密性178. 3.通信网络可信验证187 .区域边界安全设计197. 1.边界安全防护198. 2.边界访问控制209. 3.边界入侵防范227. 4.边界恶意代码和垃圾邮件防范238. 5.边界安全审计249. 6.边界可信验证2510. 7.产品规划258.计算环境安全设计268. 1.身份鉴别278. 2.访问控制288. 3.安全审计298. 4.入侵防范308. 5.主机恶意代码防范318. 6.可信验证318. 7.数据完整性与保密性328. 8.备份与恢复3311. 9.产品规划339.安全管理中心设计349.1. 系统管理359. 2.审计管理369. 3.安全管理379. 4.集中管控3812. 5.产品规划3913. 重点安全设备选型设计4010. 1.防火墙4011. 2.安全资源池4112. 项目建设清单43本方案将根据信息系统等级保护安全设计技术要求，保护环境按照安全计算环境、安全区域边界、安全通信网络和安全管理中心进行设计，内容涵盖基本要求的4个方面。1.信息系统安全等级定级1、业务信息描述本次建设i体化信息平台主要处理的业务有惠民、协同、监管及业务应用等工作。2、业务信息受到破坏时所侵害客体的确定该业务信息遭到破坏后，所侵害的客体是患者和平台的合法权益。侵害的客观方面表现为：一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对患者、平台的合法权益造成严重影响和损害。3、信息受到破坏后对侵害客体的侵害程度当此信息受到破坏后，会对患者、平台造成严重损害。4、确定业务信息安全等级根据等级安全保障体系的设计思路，本次建设的系统等级保护的设计必须达到：三级。系统服务被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级2.网路安全方案设计原则通过对医院安全等保需求进行深入分析，安全等保方案在设计时应遵循如下原则:1）高扩展：部署的安全设备应具有高扩展性，满足医院网络业务的迅速发展，至少保证3到5年的业务发展需求；2）高稳定性：部署的安全设备应具有高可靠，高稳定性特点，在近2年国内使用中未出现过大的现网事故，应具有关键器件冗余，双主控等可靠性保障,应选用电信级高可靠性设备；3）灵活性：网络链路会随着业务的发展逐条增加，方案的设计遵循灵活性的原则，保证新链路增加的情况下，在原有配置基础上进行小改动，保证链路故隙时能自动切换，避免人工干预，减少维护量；4）完整审计方案：方案设计需要提供完整的审计和溯源方案，包括日志服务器，应选择同厂家设计的服务器软件，避免审计系统出现问题时，定位困难,服务人员无法及时支持的现象；5）符合三级等保要求：按照国家信息安全等保保护要求，需要按照三级等保要求来进行建设。根据上述设计思想设计等级保护技术方案（三级），方案拓扑如下：E ! K H ； R M J R fi ； fi医院等级保护技术方案拓扑图（三级增强合规版）方案部署设备说明（需要根据具体方案对下面内容进行修改完善）：1）DDOS异常流量检测与清洗设备：对来至internet的各种DDOS攻击进行清洗；2）出口防火墙：主要做NAT转换，应用协议识别与控制，安全隔离，访问控制等安全防护，防止非法访问；3）SSLVPN网关：为管理员，移动用户远程接入提供SSLVPN接入功能，实现移动办公，安全访问内网；4）服务器区防火墙：主要对数据中心内部，各服务器及虚拟机之间进行安全隔离，访问控制，入侵防护，病毒检测和防护；5）WEB服务区WAF：网站服务器防护，防止网站文字，图片等内容被篡改；6）服务器区IDS：对数据中心内部流量进行入侵检测，入侵行为与攻击包括HnP、FTP、DNS、Mail等服务器面临的漏洞、缓冲区溢出、暴力破解等;8）管理区防火墙：管理区安全防护与访问控制；9）管理区网络管理平台：设备统一可视化管理，日志集中收集，同时监控整个网络组网和运行状态；10）管理区运维审计：通过对核心业务系统、主机、数据库、网络设备等各种IT资源的帐号、认证、授权和审计的集中管理和控制，满足相关法规、标准要求，实现对核心资源统一接入管理和运维审计；11）管理区态势感知系统：通过对流量、日志等数据的采集、分析，发现已知和未知网络威胁，呈现攻击渗透和扩散路径，并完成攻击取证和溯源；12）管理区漏洞扫描系统：以智能便利规则库（本地漏洞库、ACtiVeX库、网页木马库、网页代码审计规则库等）为基础，采用深度主机服务探测、Web智能化爬虫、SQL注入状态检测、主机配置检查以及弱口令检查等方式相结合的技术，实现了Web漏洞扫描、系统漏洞扫描、数据库漏洞扫描、基线安全检查与口令猜解的功能；13）为了保证高可靠性，关键路径安全设备使用双机热备方式部署。医院等级保护技术方案严格按照信息系统等级保护安全设计技术要求进行设计，详细对应关系如下：等保三级要求表等保技术要求子项主要内容对应产品安全通信网络网络架构选型合理，分区隔离，冗余架构，高峰可用NGFW通信传输采用校验技术/密码技术保证通信过程中数据的完整性和保密性NGFW(IPSec&SSLVPN)可信验证基于可信根对通信设备的系统引导，应用关键点动态验证，可报警、可审计网络设备自身可信启动机制安全区域边界边界防护跨边界控制，内联设备，外联行为监测，无线网限制NGFW等保技术要求子项主要内容对应产品访问控制五元组过滤、内容过滤、策略优化、基于应用协议和应用内容的访问控制NGFW入侵防范防外部攻击、防内部攻击、防新型未知网络攻击IPS、IDS、探针、沙箱恶意代码防范网络防病毒、垃圾邮件过滤防病毒网关/防火墙防病毒能力安全审计用户行为、安全事件审计，远程用户行为，访问互联网用户行为单独审计和数据分析堡垒机，上网行为管理可信验证基于可信根对区域设备的系统引导，应用关键点可动态验证，可报警、可审计设备自身可信启动机制安全计算环境身份鉴别身份唯一性、鉴别信息复杂度，口令、密码技术、生物技术等双因子及以上认证且其中一种必须为密码技术设备自身机制+堡垒机+认证服务器访问控制用户权限管理、管理用户权限最小化自身机制安全审计用户行为审计，对审计进程保护上网行为管理、日志审计系统入侵防范检测入侵行为、非使用端口关闭、管理终端限制、发现已知漏洞IPS、漏洞扫描恶意代码防范安装防恶意代码软件或免疫可信验证机制，防护机制支持升级和更新防毒墙、主机防病毒软件可信验证基于可信根对计算设备的系统引导，应用关键点动态验证，可报警、可审计设备自身可信启动机制数据完整性数据防篡改NGFMVPN.WAF.防篡改等保技术要求子项主要内容对应产品数据备份恢复数据本地备份和恢复、提供异地实时备份功能、数据处理系统热冗余多活数据中心剩余信息保护鉴别信息、敏感信息缓存清除应用自身机制个人信息保护个人信息最小采集原则、访问控制应用自身机制安全管理中心系统管理应对系统管理员进行身份鉴别、应通过系统管理员对系统的资源和运行进行配置、控制和管理网管系统、堡垒机审计管理应对安全审计员进行身份鉴别、应通过安全审计员对审计记录应进行分析，并根据分析结果进行处理堡垒机、日志审计系统、数据库审计集中管控特定管理分区、统一网管和检测、日志采集和集中分析、安全事件识别告警和分析、安全策略集中管理统一网管、安全控制器、态势感知系统安全管理应对安全管理员进行身份鉴别、应通过安全审计员对审计记录应进行分析，并根据分析结果进行处理堡垒机、日志审计系统3.方案设计思路方案建设的基本思路是：严格参考等级保护的思路和标准，针对安全现状分析发现的问题进行加固改造，在进行安全设计时，参考信息系统等级保护安全设计技术要求，从安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面落实安全保护技术要求，将不同区域、不同层面的安全保护措施形成有机的安全保护体系，建成后的安全保障体系将充分符合国家等级保护标准，能够为系统稳定运行提供有力保障。总之等级保护建设的思路为网络安全设计应基于业务流程自身特点，建立“可信、可控、可管”的安全防护体系，使得系统能够按照预期运行，免受网络攻击和破坏。“可信”即以可信根为基础，构建一个可信的系统执行环境，即设备、引导程序、操作系统、应用程序都是可信的，确保数据不可篡改。可信的环境保证业务系统永远都按照设计预期的方式执行，不会出现非预期的流程，从而保障了业务系统安全可信。“可控”即以访问控制技术为核心，实现主体对客体的受控访问，保证所有的访问行为均在可控范围之内进行，在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作，永远都按系统设计的策略进行资源访问，保证了系统的网络安全可控。“可管”即通过构建集中管控、最小权限管理与三权分立的管理平台，为管理员创建一个工作平台，使其可以进行技术平台支撑下的安全策略管理，从而保证信息系统安全可管。“一个中心管理下的三重保护体系”是指以安全管理中心为核心，构建安全计算环境、安全区域边界和安全通信网络，确保应用系统能够在安全管理中心的统一管控下运行，不会进入任何非预期状态，从而防止用户的非授权访问和越权访问，确保应用系统的安全。安全保隙体系建设的主要要点包括以下四个方面：3.1. 构建分域的控制体系网络安全等级保护解决方案，在总体架构上将按照分域保护思路进行，将网络从结构上划分为不同的安全区域，各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境、各个安全区域之间的访问关系形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施；因此方案将从保护计算环境、保护边界、保护通信网络基础设施三个层面进行设计。3. 2,构建纵深的防御体系网络安全建设方案包括技术和管理两个部分，本方案针对医共体系统的通信网络、区域边界、计算环境，综合采用访问控制、入侵防御、恶意代码法防范、安全审计、防病毒、传输加密、数据备份等多种技术和措施，实现业务应用的可用性、完整性和保密性保护，并在此基础上实现综合的安全管理，并充分考虑各种技术的组合和功能的互补性，合理利用措施，从外到内形成一个纵深的安全防御体系，保障系统整体的安全保护能力。4. 3.保证一致的安全强度网络应采用分级的办法，采取强度一致的安全措施，并采取统一的防护策略，使各安全措施在作用和功能上相互补充，形成动态的防护体系。因此在建设手段上，本方案采取“大平台”的方式进行建设，在平台上实现各个级别信息系统的基本保护，比如统一的防病毒系统、统一的日志系统、统一的审计系统，然后在基本保护的基础上，再根据各个信息系统的重要程度，采取高强度的保护措施。5. 4.实现集中的安全管理为了能准确了解网络的运行状态、设备的运行情况，统一部署安全策略，应进行安全管理中心的设计，根据要求，应在系统管理、审计管理和安全管理几个大方面进行建设。在安全管理安全域中建立安全管理中心，是帮助管理人员实施好安全措施的重要保障，是实现业务稳定运行、长治久安的基础。通过安全管理中心的建设，实现安全技术层面和管理层面的结合，全面提升用户网络的信息安全保障能力。6. 方案整体框架等级保护2.O将网络安全纵深按照一个中心三重防御的方式进行部署，即：安全管理中心、通信网络、区域边界、计算环境几个维度。对每个维度的安全能力要求如下图:系统管理安全管理中心外部联接安全管理亩计管理集中管控冗余架构通信.网络通道加密）I设备可信）依据以上能力要求，对方案整体设计框架如下图:4. L体现保护对象清晰在设计信息安全保障体系时,首先要对信息系统进行模型抽象。我们把信息系统各个内容属性中与安全相关的属性抽取出来，通过建立“信息安全保护对象框架”的方法来建立安全模型，从而相对准确地描述信息系统的安全属性。保护对象框架是根据信息系统的功能特性、安全价值以及面临威胁的相似性，将其划分成计算区域、网络基础设施、区域边界和安全基础设施四大类信息资产组作为保护对象6.2. 体现防御的纵深感现有安全体系大多属于静态的单点技术防护，缺乏多重深度保障，缺乏抗打击能力和可控性。信息安全问题包含管理方面问题、技术方面问题以及两者的交叉，它从来都不是静态的，随着组织的策略、组织架构、业务流程和操作流程的改变而改变。现有安全体系大多属于静态的单点技术防护，单纯部署安全产品是一种静态的解决办法，单纯防范黑客入侵和病毒感染更是片面的。一旦单点防护措施被突破、绕过或失效，整个安全体系将会失效，从而威胁将影响到整个信息系统，后果是灾难性的。4. 3.体现防御的主动性本方案中，将从多重深度保障，增强抗打击能力方面进行设计。国家相关指导文件提出“坚持积极防御、综合防范的方针”，这就要求采用多层保护的深度防御策略，实现安全管理和安全技术的紧密结合，防止单点突破。我们在设计安全体系时，将安全组织、策略和运作流程等管理手段和安全技术紧密结合，从而形成一个具有多重深度保障手段的防护网络，构成一个具有多重深度保障、抗打击能力和能把损坏降到最小的安全体系。4.4. 体现集中管理能力信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、完整性、可用性，从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影响。通过建设集中的安全管理平台，实现对信息资产、安全事件、安全风险、访问行为等的统一分析与监管，通过关联分析技术，使系统管理人员能够迅速发现问题，定位问题，有效应对安全事件的发生。5.安全物理环境设计5. 物理环境安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境，并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。6. 1.机房选址机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。机房场地应避免设在建筑物的顶层或地下室，以及用水设备的下层或隔壁。6.4. 机房管理机房出入口应配置电子门禁系统，控制、鉴别和记录进入的人员；5.3.机房环境合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。房间装修必需使用阻燃材料，耐火等级符合国家相关标准规定。机房门大小应满足系统设备安装时运输需要。机房墙壁及天花板应进行表面处理，防止尘埃脱落，机房应安装防静电活动地板。机房安装防雷和接地线，设置防雷保安器，防止感应雷，要求防雷接地和机房接地分别安装，且相隔一定的距离；机房设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。配备空调系统，以保持房间恒湿、恒温的工作环境；在机房供电线路上配置稳压器和过电压防护设备；提供短期的备用电力供应，满足关键设备在断电情况下的正常运行要求。设置冗余或并行的电力电缆线路为计算机系统供电；建立备用供电系统。铺设线缆要求电源线和通信线缆隔离铺设，避免互相干扰。对关键设备和磁介质实施电磁屏蔽。5 .4.设备与介质管理为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性，必须采用有效的区域监控、防盗报警系统，阻止非法用户的各种临近攻击。6 .通信网络安全设计通信网络利用通信线路和通信设备，把分布在不同地理位置的具有独立功能的多台计算机、终端及其附属设备互相连接，在网络建设的初期，作为工作的重要组成部分，应为网络通信负载制定详细的技术指标，从以往的经验来看，当网络的利用率平均值达到40%或瞬间有70%的持续峰值，网络性能将急速下降因此一个正常的网络利用率的平均值不应超过40%,不得有超过70%的持续峰值。通信网络是整个网络系统的基础设施，通信网自身的健壮性稳定性以及网络结构是否合理直接影响着是否能够有效的承载业务需要。因此网络结构需要具备一定的冗余性；带宽能够满足业务高峰时期数据交换需求；并合理的划分网段和VLAN06.1. 网络架构安全网络架构的安全是网络安全的前提和基础，选用主要网络设备时需要考虑业务处理能力的高峰数据流量，要考虑冗余空间满足业务高峰期需要；网络各个部分的带宽要保证接入网络和核心网络满足业务高峰期需要；建议部署高性能的设备。按照业务系统服务的重要次序定义带宽分配的优先级，在网络拥堵时优先保障重要主机。分区分域合理规划路由，业务终端与业务服务器之间建立安全路径；绘制与当前运行情况相符的网络拓扑结构图：下面需要根据具体情况进行修改：根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的网段或VLANo保存有重要业务系统及数据的重要网段不能直接与外部系统连接，需要和其他网段隔离，单独划分区域。重要区域与其他区域之间部署网闸或者防火墙等隔离设备，并启用ACL进行访问控制。从目前医共体的全局网络结构上看，可以分为以下几个部分：业务内网区：是业务开展的重要平台，承载着核心业务，同时具有相应链路与医保、银行等其他机构交换数据；互联网区：主要对外提供预约挂号、统一支付、互联网+就医等服务。为保证网络业务的连续性，提供关键节点的硬件冗余设计，包括通信线路（含业务数据链路和带外管理链路）、网络设备、安全设备、计算设备，并部署链路负载均衡设备。6. 2.通信完整性和保密性由于网络协议及文件格式均具有标准、开发、公开的特征，因此数据在网上存储和传输过程中，不仅仅面临信息丢失、信息重复或信息传送的自身错误，而且会遭遇信息攻击或欺诈行为，导致最终信息收发的差异性。因此，在信息传输和存储过程中，必须要确保信息内容在发送、接收及保存的一致性；并在信息遭受篡改攻击的情况下，应提供有效的察觉与发现机制，实现通信的完整性。而数据在传输过程中，为能够抵御不良企图者采取的各种攻击，防止遭到窃取，应采用加密措施保证数据的机密性。对于信息传输和存储的完整性校验可以采用的技术包括校验码技术、消息鉴别码、密码校验函数、散列函数、数字签名等技术手段。对于信息传输的完整性校验应由传输加密系统完成，通过识别传输协议类型对网络数据进行隧道封装，为用户认证提供安全加密传输，并实现全业务数据在复杂网络环境下的传输。对于信息存储的完整性校验应由应用系统和数据库系统完成。建议部署SSL/IPSec安全接入网关或下一代防火墙来实现。对于信息传输的通信保密性应由传输加密系统完成。部署SSLVPN系统或下一代防火墙保证远程数据传输的数据保密性。6.3. 通信网络可信验证随着信息技术的不断发展，信息系统安全问题愈演愈烈，之后网络安全行业兴起，攻防技术层出不穷、不断升级。传统的计算机体系结构过多地强调了计算功能，忽略了安全防护，这相当于一个人没有免疫系统，只能生活在无菌状态下。可信计算的目标就是要为信息系统构建安全可信的计算环境，提升信息系统的免疫力，可信计算是基于密码的计算机体系架构安全技术，理论上可很大程度解决恶意软件非授权安装/运行、设备网络假冒等问题。应选择具备可信芯片的网络通信设备（路由器、交换机），保证网络身份可信，防止网络通信设备假冒。可信芯片有唯一芯片号、公私钥对，可参与通信过程身份认证及加密。可信网络通信设备以密码芯片为可信根，通过散列算法实现完整性度量，通过非对称算法提供身份认证，通过对称算法提供数据加密，为密码算法、密钥、度量值、密码运算等提供更单纯、安全的安全芯片环境。6 .4.产品规划部署产品部署位置部署作用VPN网关互联网边界最外侧。对外网用户的可信接入进行身份认证、数据加密、角色授权和访问审计等，保护办公网内部服务器资源的可用性，保障正常业务可控的访问。防火墙业务网数据中心区域边界；互联网边界；对业务网进行独立防护，进行访问控制、攻击防御；对上网应用行为进行管理，合理规划网络流量应用。7 .区域边界安全设计网络划分安全区域后，在不同信任级别的安全区域之间就形成了网络边界。等级保护安全区域边界是对定级系统的安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略。本方案中，在区域边界的安全防御能力包括如下几个方面：边界防护访问控制入侵防范恶意代码和垃圾邮件防范安全审计可信验证从方案设计上看，参照如下方式：通信网络安全管理中心防强经NGFW VPN 紧壁机 WAF国f I由 71NAC 1PS/ 沙箱 上网行IDS为管三区域边界计算环境7.8. 1.边界安全防护边界安全防护的检查重点是保证所有跨越边界的访问和数据流均通过边界控制设备进行检查，其中包括限制非授权设备的接入，非授权用户外联，以及无线用户的接入限制。通过部署网络准入控制系统可以实现对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，维护网络边界完整性。网络准入控制系统，其中一个重要功能模块就是非法外联控制，探测内部网中非法上互联网的计算机。非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理，可以防止用户访问非信任网络资源，并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。网络准入控制提供多维度的网络接入控制能力，根据用户的身份、使用终端类型、当前所处的接入位置、接入时间，以及终端合规性检查的结果，对非授权接入网络的设备进行检查和限制。非授权用户外联行为监控可以发现终端试图访问非授信网络资源的行为，如试图与没有通过系统授权许可的终端进行通信，自行试图通过拨号连接互联网等行为。对于发现的非法外联行为，可以记录日志并产生报警信息。7.2.边界访问控制通过对边界风险与需求分析，在网络层进行访问控制需部署下一代防火墙产品，以及Web应用防火墙，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为，尤其针对Web应用，将对网络防火墙过滤后的流量进一步检测。同时可以和内网安全管理系统、网络入侵检测系统等进行安全联动，形成网络全面纵深的安全防御格局。在各安全域边界部署下一代边界防火墙及web应用防火墙设备，可提供如下能力：网络安全的基础屏障防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。精确流量管理通过部署防火墙设备，不仅可以实现精准访问控制与边界隔离防护，还能实现阻止由于病毒或者P2P软件引起的异常流量、进行精确的流量控制等。对各级节点安全域实现全面的边界防护，严格控制节点之间的网络数据流。基于Web应用的协议及内容控制提供应用层协议规范检查，并通过内容安全检测模块，实现敏感言论，敏感内容泄露的分析与阻断。7.3.边界入侵防范在各区域边界，防火墙起到了协议过滤的主要作用，根据安全策略在偏重在网络层判断数据包的合法流动。但面对越来越广泛的基于应用层内容的攻击行为，防火墙并不擅长处理应用层数据。在网络边界和主要服务器区安全域均已经设计部署了防火墙，对每个安全域进行严格的访问控制。鉴于以上对防火墙核心作用的分析，需要其他具备检测新型的混合攻击和防护的能力的设备和防火墙配合，共同防御来自应用层到网络层的多种攻击类型，建立一整套的安全防护体系，进行多层次、多手段的检测和防护，本方案中将在网络边界区部署如下入侵防范能力：入侵防护系统IPSIPS是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警并且进行有效拦截防护，是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及信息的机密性、完整性、可用性或试图绕过安全机制的入侵行为并进行有效拦截。IPS就是自动执行这种监视和分析过程，并且执行阻断的硬件产品。在防火墙进行访问控制，保证了访问的合法性之后，IPS动态的进行入侵行为的保护，对访问状态进行检测、对通信协议和应用协议进行检测、对内容进行深度的检测。实现网络安全在边界的入侵检测，防止外部网络对内部的攻击探测等恶意行为，同时阻断来自内部的数据攻击以及垃圾数据流的泛滥。防DDoS泛洪攻击针对互联网日渐增多DDOS攻击，应部署专业的抗DDoS系统进行防御，系统包含:DDoS检测中心、DDoS清洗中心、DDOS管理中心。I)DoS检测设备对分光过来的流量进行检测，当检测设备检测到异常后，上报受攻击IP到管理中心，管理中心会向清洗设备下发引流策略，清洗设备通过向核心路由器发布BGP路由的方式，把攻击流量牵引到清洗设备进行清洗。清洗中通过多层过滤的防御技术，丢弃攻击流量，转发正常流量。清洗后的流量在清洗设备上通过合适的方式回注到核心路由器。清洗中心上报攻击日志到管理中心，管理中心将会进行清洗效果的呈现。防未知高级威胁（APT）针对越来越多的未知高级威胁（APT攻击）出现，传统基于特征防护思路已难以应对，需要通过大数据技术的威胁检测和调查分析技术，从威胁攻击链的整体来建立纵深防御体系，未知威胁检测体系，建议部署检测沙箱和安全智能系统对此类威胁进行检测和防护。沙箱部署在防火墙一侧，防火墙通过接口向沙箱提交待检测文件，可在虚拟的环境进行分析，实现对未知恶意文件的检测。安全智能系统基于大数据平台，采用机器学习模式，对多种数据源进行分析，通过检测单点事件，关联组合威胁并综合评估得出攻击链，联动安全设备、终端设备，并通过与全球威胁智能中心实时共享，同步最新威胁情报库，支撑本地的未知威胁检测判定。安全智能系统还提供全网安全态势感知能力，感知全网威胁态势、攻击路径、高危资产等信息，帮助快速掌握全网威胁。主动防御（诱捕）诱捕技术是一种蓄意在网络中布设陷阱，干扰、误导攻击者对己方信息通信系统的认知，使攻击者采取对防御方有利的动作（或不行动），从而有助于发现、延迟或阻断攻击者的活动，达到增加信息通信系统安全的目的。推荐部署诱捕系统，以提升用户内网安全为目标，基于行为检测防御理念，提供零硬件成本、告警准确、精准溯源，能够通过自动全网散布陷阱、自动仿真用户业务等技术迷惑和诱捕攻击者，有效检测和防御包括APT、未知蠕虫在内的网络攻击行为，并能结合联动控制器实现微隔离，有效防御已知和未知威胁，最大限度减少用户损失。7.4.边界恶意代码和垃圾邮件防范现今，病毒的发展呈现出以下趋势:病毒与黑客程序相结合、蠕虫病毒更加泛滥，目前计算机病毒的传播途径与过去相比已经发生了很大的变化，更多的以网络（包括Internet、广域网、局域网）形态进行传播，因此为了安全的防护手段也需以变应变。一个完善的安全体系应该包含了从桌面到服务器、从内部用户到网络边界的全面解决方案，以抵御来自黑客和病毒的威胁。在互联网边界部署防病毒网关或下一代防火墙开启防病毒功能，在最接近病毒发生源安全边界处进行集中防护，对夹杂在网络交换数据中的各类网络病毒进行过滤，可以对恶意代码、网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。阻止病毒通过网络的快速扩散，将经网络传播的病毒阻挡在外，可以有效防止病毒从其他区域传播到内部其他安全域中，截断病毒通过网络传播的途径，净化网络流量。在边界部署下一代防火墙，并开启防垃圾邮件功能，具备实时反垃圾邮件，内容过滤、关键字过滤，附件病毒检查与安全提醒等能力。为能达到最好的防护效果，病毒库和垃圾邮件规则库需及时升级至最新版本。对于能够与互联网实现连接的网络，应对自动升级进行准确配置；对与不能与互联网进行连接的网络环境，需采取手动下载升级包的方式进行手动升级。7. 5.边界安全审计各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全，各类安全设备产生的日志可反映网络及业务的运行状态。对于流经各主要边界（重要服务器区域、外部连接边界）需要设置必要的审计机制，进行数据监视并记录各类操作，通过审计分析能够发现跨区域的安全威胁，实时地综合分析出网络中发生的安全事件。一般可采取开启边界安全设备的审计功能模块，根据审计策略进行数据的日志记录与审计。同时审计信息要通过安全管理中心的综合日志审计系统进行统一集中管理，利于管理中心进行全局管控。 全网日志管理提供多种日志格式的采集方式，通过采集、分类、过滤、分析、存储和监控安全设备上报的日志，管理海量日志，关键日志产生告警并通过短信、Email等方式进行通知。 精准到用户级行为分析通过上网行为管理系统，进行用户上网行为分析，同时结合用户数据源，满足安全审计和取证的需要。 安全事件分析汇集防火墙、入侵防御等边界安全设备的安全事件日志，进行汇总分析,包括攻击事件分析、插件阻断分析、访问控制事件分析、策略命中分析、入侵防御分析、URL过滤分析、邮件过滤分析等，形成事件分析报表。7. 6.边界可信验证遵循可信计算规范，具备可鉴别、完整性、私密性三大属性，支持用户的身份认证，平台软硬件配置的正确性，应用程序的完整性和合法性，平台之间的可验证性。本方案中建议边界防护设备应基于可信根设计，提供如下能力，基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性收到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。边界防护设备在系统上电后首先运行可信根，并将度量值扩展到引导程序，引导程序度量系统程序扩展到系统程序，系统程序可以根据配置策略度量文件并将度量值扩展，执行应用程序。8. 7.产品规划部署产品部署位置部署作用Web应用防火墙业务网核心业务服务器区域边界。Web应用访问控制入侵防御业务网核心业务服务器区域边界。实时监控并阻断针对数据中心核心业务服务器的入侵行为。AntiDDoS边界出口位置防止对内部网络的DDOS攻击。防火墙互联网边界。边界集中进行病毒过滤，防止病毒侵入扩散，与主机防病毒组成多层次深度防御。综合日志审计系统部署在安全管理中心区安全审计：网络设备、安全设备、主机、终端、服务器日志审计入侵防范：威胁溯源、网络溯源8计算环境安全设计计算环境安全是整个安全建设的核心和基础。计算环境安全通过设备、主机、移动终端、应用服务器和数据库的安全机制服务，保障应用业务处理全过程以及数据的安全。系统终端和服务器通过在操作系统核心层和系统层设置以强制访问控制为主体的系统安全机制，形成严密的安全保护环境，通过对用户行为的控制，可以有效防止非授权用户访问和授权用户越权访问，确保信息和信息系统的保密性和完整性，从而为业务系统的正常运行和免遭恶意破坏提供支撑和保障。等级保护规范要求三级网络系统需要包括如下安全能力：身份鉴别访问控制安全审计入侵防范恶意代码防范可信验证数据完整性和保密性数据备份与恢复剩余信息保护个人信息保护本方案中，将融合零信任安全的新理念，其中心思想是系统不应自动信任内部或外部的任何人/事/物，应在授权之前对任何试图接入企业系统的人/事/物进行验证。从方案的实施角度看，可包括如下产品能力:安全管理中心计算环境区域边界通信网络vpn 澎海扫描 主机9. L身份鉴别身份鉴别可分为主机身份鉴别和应用身份鉴别两个方面：主机身份鉴别：为提高主机系统安全性，保障各种应用的正常运行，对主机系统需要进行一系列的加固措施，包括： 对登录操作系统和数据库系统的用户进行身份标识和鉴别，且保证用户名的唯一性。 根据基本要求配置用户名/口令；口令必须具备采用3种以上字符、长度不少于8位并定期更换； 启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数和自动退出等措施。 远程管理时应启用SSH等管理方式，加密管理数据，防止被网络窃听。 对主机管理员登录进行双因素认证方式，采用USBkey+密码进行身份鉴应用身份鉴别：为提高应用系统系统安全性应用系统需要进行一系列的加固措施，包括：对登录用户进行身份标识和鉴别，且保证用户名的唯一性。根