前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡安全等保解決方案范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡安全等保解決方案范文第1篇

關鍵詞：安全；電子政務外網(wǎng)平臺；電子政務外網(wǎng)云平臺；保障體系；傳統(tǒng)架構(gòu)；云計算

中圖分類號：TP393.08 文獻標識碼：A 文章編號：2095-1302（2016）11-0-03

0 引 言

隨著電子政務外網(wǎng)的發(fā)展，各省市電子政務外網(wǎng)平臺的建設均已成熟，多數(shù)省市電子政務外網(wǎng)平臺建設之初采用的是物理機傳統(tǒng)架構(gòu)部署方式。隨著信息技術的發(fā)展，云計算技術應運而生，電子政務云平臺的建設風生水起。然而無論是傳統(tǒng)架構(gòu)還是在云計算環(huán)境下，電子政務外網(wǎng)平臺面臨的風險越來越多，本文就這兩種架構(gòu)下電子政務外網(wǎng)平臺的安全如何建設進行分析，提出相應的解決方案。

1 建設方案

電子政務外網(wǎng)平臺的安全建設應根據(jù)業(yè)務應用特點及平臺架構(gòu)層特性，應用入侵檢測、入侵防御、防病毒網(wǎng)關、數(shù)據(jù)加密、身份認證、安全存儲等安全技術，構(gòu)建面向應用的縱深安全防御體系。電子政務外網(wǎng)平臺安全建設可從分析確定定級對象及安全等級、構(gòu)建安全保障體系、明確安全邊界、安全技術保障、安全運維保障、安全制度保障、云計算環(huán)境下電子政務外網(wǎng)平臺安全保障幾方面考慮。

1.1 分析確定定級對象及安全等級

信息系統(tǒng)安全等級共分為五級，根據(jù)“中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局 中國國家標準化管理委員會”的《信息安全技術 信息系統(tǒng)安全等級保護定級指南（GB/T 22240-2008）》，結(jié)合國家相關行業(yè)標準規(guī)范，分析確定定級對象及安全等級。本文以構(gòu)建信息系統(tǒng)安全等級第三級標準安全建設進行探討。

1.2 構(gòu)建安全保障體系

電子政務外網(wǎng)平臺安全保障可從安全技術保障、安全運維保障、安全制度保障三個方面著手考慮，根據(jù)“中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局 中國國家標準化管理委員會”的《信息安全技術 信息系統(tǒng)安全等級保護定級基本要求（GB/T 22239-2008）》進行建設。物理機傳統(tǒng)架構(gòu)下的電子政務外網(wǎng)平臺安全保障體系架構(gòu)如圖1所示。

1.3 明確安全邊界

1.3.1 安全邊界劃分原則

安全邊界劃分原則[1]如下所示：

（1）以保障電子政務外網(wǎng)平臺信息系統(tǒng)的業(yè)務、管理、控制數(shù)據(jù)處理活動、數(shù)據(jù)流的安全為根本出發(fā)點，保障平臺安全；

（2）每個安全域的信息資產(chǎn)價值相近，具有相同或相近的安全等級、安全環(huán)境、安全策略等；

（3）根據(jù)“信息安全等保”要求，網(wǎng)絡規(guī)劃時避免將重要網(wǎng)段部署在網(wǎng)絡邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術隔離手段；

（4）根據(jù)《國家電子政務外網(wǎng)跨網(wǎng)數(shù)據(jù)安全交換技術要求與實施指南》，部署數(shù)據(jù)安全交換隔離系統(tǒng)，保障數(shù)據(jù)交換安全；

（5）對接入邊界進行安全防護。

1.3.2 安全邊界劃分

電子政務外網(wǎng)平臺可劃分為DMZ區(qū)、內(nèi)部數(shù)據(jù)中心、互聯(lián)網(wǎng)出口區(qū)、安全及運維管理區(qū)、邊界接入?yún)^(qū)五大區(qū)域。電子政務外網(wǎng)安全邊界劃分圖如圖2所示。

（1）DMZ區(qū)

DMZ區(qū)部署面向互聯(lián)網(wǎng)的業(yè)務系統(tǒng)，包括門戶網(wǎng)站、郵件服務等，應根據(jù)實際需求部署相應的安全策略。

（2）內(nèi)部數(shù)據(jù)中心

內(nèi)部數(shù)據(jù)中心區(qū)部署協(xié)同辦公等內(nèi)部應用系統(tǒng)，可根據(jù)實際需求分為多個邏輯區(qū)域，如辦公業(yè)務區(qū)、測試區(qū)等，應根據(jù)實際需求部署相應安全策略。

（3）互聯(lián)網(wǎng)出口區(qū)

互聯(lián)網(wǎng)出口區(qū)為電子政務外網(wǎng)平臺互聯(lián)網(wǎng)接入邊界，與運營商網(wǎng)絡直連。該區(qū)域直接面向互聯(lián)網(wǎng)出口區(qū)域，易被不法分子利用網(wǎng)絡存在的漏洞和安全缺陷對系統(tǒng)硬件、軟件進行攻擊，可在該區(qū)部署相應的防火墻策略，并結(jié)合入侵防御、安全審計等技術提供立體的、全面的、有效的安全防護，允許合法用戶通過互聯(lián)網(wǎng)訪問電子政務外網(wǎng)。

（4）安全及運維管理區(qū)

提供安全管理運維服務，保障電子政務外網(wǎng)平臺的安全。提供統(tǒng)一網(wǎng)絡管控運維服務，保障整網(wǎng)設備及業(yè)務系統(tǒng)信息正常運行。

（5）邊界接入?yún)^(qū)

根據(jù)國家相關規(guī)范，對專網(wǎng)、企事業(yè)接入單位或其它系統(tǒng)接入電子政務外網(wǎng)時，應在訪問邊界部署防火墻、入侵防御系統(tǒng)，與“政務云”實現(xiàn)物理邏輯隔離，進行安全防護。

1.4 安全技術保障

采用傳統(tǒng)架構(gòu)的電子政務外網(wǎng)平臺技術安全保障可從物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全五個方面進行考慮，可通過部署相應產(chǎn)品或配置服務進行安全保障。

1.4.1 物理安全

物理安全主要涉及環(huán)境安全（防火、防水、防雷擊等）設備和介質(zhì)的防盜竊防破壞等。具體包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護等方面。該部分主要體現(xiàn)為機房及弱電的建設標準、規(guī)范，技術環(huán)節(jié)應符合相關等級保護要求。

1.4.2 網(wǎng)絡安全

網(wǎng)絡安全主要包括網(wǎng)絡結(jié)構(gòu)、網(wǎng)絡邊界以及網(wǎng)絡設備自身安全等，具體包括結(jié)構(gòu)安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡設備防護七個方面，關鍵安全技術保障措施如下所示：

（1）劃分安全域，根據(jù)各安全域安全建設需求采用相應的安全策略。

（2）通過合理部署IPS、防火墻對網(wǎng)絡進行邊界隔離和訪問控制，并實現(xiàn)對網(wǎng)絡攻擊的實時監(jiān)測，即時中斷、調(diào)整或隔離一些不正?；蚓哂袀π缘木W(wǎng)絡行為。

（3）部署防DDoS攻擊設備，及時發(fā)現(xiàn)背景流量中各種類型的攻擊流量，針對攻擊類型迅速對攻擊流量進行攔截，保證正常流量通過。

（4）可在互聯(lián)網(wǎng)出口處部署鏈路負載均衡設備，加強網(wǎng)絡數(shù)據(jù)處理能力、提高網(wǎng)絡的靈活性和可用性。

（5）采用上網(wǎng)行為管理、流量控制等設備，對網(wǎng)絡流量進行實時監(jiān)控管理，實現(xiàn)員工對終端計算機的管理和控制，規(guī)范員工上網(wǎng)行為，提高工作效率，實現(xiàn)流量控制和帶寬管理，優(yōu)化網(wǎng)絡。

（6）對關鍵設備采用冗余設計，并在重要網(wǎng)段配置ACL策略以保障帶寬優(yōu)先級。

（7）采用安全審計技術，按照一定的安全策略，利用記錄、系統(tǒng)活動和用戶活動等信息，檢查、審查和檢驗操作事件的環(huán)境及活動，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能。

1.4.3 主機、應用安全

主機安全主要包括訪問控制、安全審計、剩余信息保護、惡意代碼防護等幾個方面。應用安全主要包括身份鑒別、訪問控制、安全審計、抗抵賴性等幾方面，關鍵安全技術保障措施如下所示：

（1）惡意代碼可直接利用操作系統(tǒng)或應用程序的漏洞進行傳播，可部署惡意代碼監(jiān)測、病毒防護系統(tǒng)及漏洞掃描等系統(tǒng)，通過主動防御可有效阻止病毒的傳播，及時發(fā)現(xiàn)網(wǎng)絡、主機、應用及數(shù)據(jù)庫漏洞并修復，保障電子政務外網(wǎng)平臺安全。

（2）利用身份認證技術及訪問控制策略等技術保障主機應用安全，不允許非預期客戶訪問。

（3）運用審計技術保障主機應用安全，實時收集和監(jiān)控信息系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡活動，以便進行集中報警、記錄、分析、處理。

（4）采用應用負載均衡技術、操作系統(tǒng)用戶登錄等技術實現(xiàn)資源的優(yōu)化控制。

（5）可部署Web應用防火墻、網(wǎng)頁防篡改等系統(tǒng)，做到事前主動防御，智能分析、屏蔽或阻斷對目錄中的網(wǎng)頁、電子文檔、圖片、數(shù)據(jù)庫等類型文件的非法篡改和破壞，保障系統(tǒng)業(yè)務的正常運營，全方位保護Web應用安全。

1.4.4 數(shù)據(jù)安全

數(shù)據(jù)安全主要包括數(shù)據(jù)的保密性、完整性及備份和恢復，關鍵安全技術保障措施如下所示：

（1）可對不同類型業(yè)務數(shù)據(jù)進行物理上或邏輯上隔離，并建設數(shù)據(jù)交換與隔離系統(tǒng)以保障不同安全等級的網(wǎng)絡間的數(shù)據(jù)交換安全。

（2）采用雙因素認證進行數(shù)據(jù)訪問控制，不允許非預期客戶訪問，對違規(guī)操作實時審計報警。

（3）采用VPN、數(shù)據(jù)加密、消息數(shù)據(jù)簽名、摘要等技術對數(shù)據(jù)傳輸進行加密，防止越權訪問機密信息或惡意篡改。

（4）采用數(shù)據(jù)庫冗余部署，防范數(shù)據(jù)丟失風險，為業(yè)務系統(tǒng)穩(wěn)定運行提供保障，可考慮建設同城或異地容災。

（5）部署數(shù)據(jù)庫審計設備可在不影響被保護數(shù)據(jù)庫性能的情況下，對數(shù)據(jù)庫的操作實現(xiàn)跟蹤記錄、定位，實現(xiàn)數(shù)據(jù)庫的在線監(jiān)控，為數(shù)據(jù)庫系統(tǒng)的安全運行提供了有力保障。

1.5 安全運維保障

安全運維保障可通過安全管理平臺，建立與安全工作相配套的集中管理手段，提供統(tǒng)一展現(xiàn)、統(tǒng)一告警、統(tǒng)一運維流程處理等服務，可使管理人員快速準確的掌握網(wǎng)絡整體運行狀況，整體反映電子政務外網(wǎng)平臺安全問題，體現(xiàn)安全投資的價值，提高安全運維管理水平。安全運維管理平臺需考慮與安全各專項系統(tǒng)、網(wǎng)管系統(tǒng)和運管系統(tǒng)之間以及上下級系統(tǒng)之間的接口。

1.6 安全制度保障

面對形形的安全解決方案，“三分技術、七分管理”。若僅有安全技術防護，而無嚴格的安全管理相配合，則難以保障網(wǎng)絡系統(tǒng)的運行安全。系統(tǒng)必須有嚴密的安全管理體制來保證系統(tǒng)安全。安全制度保障可從安全管理組織、安全管理制度、安全管理手段等方面考慮，建立完善的應急體制。

1.7 云計算環(huán)境下電子政務外網(wǎng)平臺的安全保障

云技術是基于云計算商業(yè)模式應用的網(wǎng)絡技術、信息技術、整合技術、管理平臺技術、應用技術等的總稱，可以組成資源池，按需所用，靈活便利。隨著時代的發(fā)展，云計算技術已變成信息系統(tǒng)主流基礎架構(gòu)支撐。由于云計算平臺重要支撐技術是采用虛擬化實現(xiàn)資源的邏輯抽象和統(tǒng)一表示，因此在云計算環(huán)境下進行電子政務外網(wǎng)云平臺安全保障體系建設，僅僅采用傳統(tǒng)的安全技術是不夠的，除滿足上述物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全技術保障，運維安全保障，安全制度保障需求之外，還應考慮虛擬化帶來的新的安全風險。云計算環(huán)境下電子政務外網(wǎng)云平臺安全保障體系如圖3所示。

1.8 虛擬化安全

當前，云計算虛擬化安全技術還不成熟，對虛擬化的安全防護和保障技術測評則成為云環(huán)境等級保護的一大難題，主要涉及的安全包括虛擬機逃逸防范、虛擬機通信風險、虛擬機管理平臺安全等方面?？刹扇∪缦掳踩Ｕ洗胧2]：

（1）將可信計算技術與虛擬化技術相結(jié)合，構(gòu)建可信的虛擬化平臺，形成完整的信任鏈；

（2）可建設分級訪問控制機制，根據(jù)分層分級原則制定訪問控制策略，實現(xiàn)對平臺中所有虛擬機的監(jiān)控管理，為數(shù)據(jù)的安全使用和訪問建立一道屏障；

（3）可通過虛擬防火墻、虛擬IPS、虛擬防病毒軟件或虛擬安全網(wǎng)關等技術實現(xiàn)虛擬機間的安全隔離。

2 SDS安全保障技術簡介

軟件定義安全（Software Defined Security，SDS）是從軟件定義網(wǎng)絡（Software Defined Network，SDN）延伸而來，將安全資源進行池化，通過軟件進行統(tǒng)一調(diào)度，以完成相應的安全功能，實現(xiàn)靈活的安全防護。簡單來說，傳統(tǒng)的安全設備是單一防護軟件架構(gòu)在一臺硬件設備之上，通常串接或旁掛于網(wǎng)絡中，不僅將網(wǎng)絡結(jié)構(gòu)復雜化，對不同廠家的安全設備進行統(tǒng)一管理的復雜度也較高，需單獨的物理安裝空間。而SDS可以將其看作一個軟件，靈活調(diào)配安全設備資源，實現(xiàn)靈活的網(wǎng)絡安全防護框架，方便調(diào)整。

3 結(jié) 語

在大數(shù)據(jù)時代下，SDS是順應時展趨勢、簡化安全管理的訴求，但由于SDS應用尚未完全成熟，仍需經(jīng)過實踐的檢驗。

參考文獻

網(wǎng)絡安全等保解決方案范文第2篇

【 關鍵詞 】 云計算；云安全；等級保護；虛擬化安全

1 引言

自2006年云計算的概念產(chǎn)生以來，各類與云計算相關的服務紛紛涌現(xiàn)，隨之而來的就是人們對云安全問題的關注。目前各個運營商、服務提供商以及安全廠商所提的云安全解決方案，大都根據(jù)自己企業(yè)對云平臺安全的理解，結(jié)合本企業(yè)專長，專注于某一方面的安全。然而，對于用戶來說云平臺是一個整體，需要構(gòu)建云平臺的整體安全防護體系。

因此，針對云計算中心的安全需求建立信息安全防護體系已經(jīng)是大勢所趨，云安全防護體系的建立，必將使云計算得以更加健康、有序的發(fā)展。

2 云計算的安全問題解析

云計算模式當前已得到業(yè)界普遍認同，成為信息技術領域新的發(fā)展方向。但是，隨著云計算的大量應用，云環(huán)境的安全問題也日益突出。我們?nèi)绻荒芎芎玫亟鉀Q相關的安全管理問題，云計算就會成為過眼“浮云”。在眾多對云計算的討論中，SafeNet的調(diào)查非常具有代表性：“對于云計算面臨的安全問題，88.5%的企業(yè)對云計算安全擔憂”。各種調(diào)研數(shù)據(jù)也表明：安全性是用戶選擇云計算的首要考慮因素。近年來，云安全的概念也有多種層面的解讀，本文所指云安全是聚焦于云計算中心的安全問題及其安全防護體系。

2.1 云安全與傳統(tǒng)安全技術的關系

云計算引入了虛擬化技術，改變了服務方式，但并沒有顛覆傳統(tǒng)的安全模式。從這張對比視圖中，如圖1所示，可以看出，安全的層次劃分是大體類似，在云計算環(huán)境下，由于虛擬化技術的引入，需要納入虛擬化安全的防護措施。而在基礎層面上，仍然可依靠成熟的傳統(tǒng)安全技術來提供安全防護。

如圖1所示，云計算安全和傳統(tǒng)安全在安全目標、系統(tǒng)資源類型、基礎安全技術方面是相同的，而云計算又有其特有的安全問題，主要包括虛擬化安全問題和與云計算分租服務模式相關的一些安全問題。大體上，我們可以把云安全看做傳統(tǒng)安全的一個超集，或者換句話說，云安全是傳統(tǒng)安全在云計算環(huán)境下的繼承和發(fā)展。

綜合前面的討論，可以推導出一個基本的認識，云計算的模式是革命性的：虛擬化安全、數(shù)據(jù)安全和隱私保護是云安全的重點和難點，云安全將基于傳統(tǒng)安全技術獲得發(fā)展。

2.2 云計算的安全需求與防護技術

解決安全問題的出發(fā)點是風險分析，CSA云安全聯(lián)盟提出了所謂“七重罪”的云安全重點風險域。

Threat 1： Abuse and Nefarious Use of Cloud Computing（云計算的濫用、惡用、拒絕服務攻擊）；

Threat 2： Insecure Interfaces and APIs（不安全的接口和API）；

Threat 3： Malicious Insiders（惡意的內(nèi)部員工）；

Threat 4： Shared Technology Issues（共享技術產(chǎn)生的問題）；

Threat 5： Data Loss or Leakage（數(shù)據(jù)泄漏）；

Threat 6： Account or Service Hijacking（賬號和服務劫持）；

Threat 7： Unknown Risk Profile（未知的風險場景）。

信息的機密性、完整性和可用性被公認為信息安全的三個重要的基本屬性，用戶在使用云計算服務時也會從這三個方面提出基本的信息安全需求。

機密性安全需求：要求上傳到云端的信息及其處理結(jié)果以及所要求的云計算服務具有排他性，只能被授權人訪問或使用，不會被非法泄露。

完整性安全需求：要求與云計算相關的數(shù)據(jù)或服務是完備、有效、真實的，不會被非法操縱、破壞、篡改、偽造，并且不可否認或抵賴。

可用性安全需求：要求網(wǎng)絡、數(shù)據(jù)和服務具有連續(xù)性、準時性，不會中斷或延遲，以確保云計算服務在任何需要的時候能夠為授權使用者正常使用。

根據(jù)云計算中心的安全需求，我們會相應得到一個安全防護技術的層次結(jié)構(gòu)：底層是基礎設施安全，包括基礎平臺安全、虛擬化安全和安全管理；中間是數(shù)據(jù)安全，上層是安全服務層面，還包括安全接入相關的防護技術。

3 等級保護背景下的云安全體系

3.1 等級保護標準與云安全

自1994年國務院147號令開始，信息安全等級保護體系歷經(jīng)近20年的發(fā)展，從政策法規(guī)、國家標準、到測評管理都建立了完備的體系，自2010年以來，在公安部的領導下，信息安全等級保護落地實施開展得如火如荼，信息安全等級保護已經(jīng)成為我國信息化建設的重要安全指導方針。

圖3表明了等級保護標準體系放發(fā)展歷程。

盡管引入了虛擬化等新興技術，運營模式也從出租機房進化到出租虛擬資源，乃至出租服務。但從其本質(zhì)上看，云計算中心仍然是一類信息系統(tǒng)，需要依照其重要性不同分等級進行保護。云計算中心的安全工作必須依照等級保護的要求來建設運維。此外，云安全還需要考慮虛擬化等新的技術和運營方式所帶來的安全問題。

因此，云計算中心防護體系應當是以等級保護為指導思想，從云計算中心的安全需求出發(fā)，從技術和管理兩個層面全方位保護云計算中心的信息安全；全生命周期保證云計算中心的安全建設符合等保要求；將安全理念貫穿云計算中心建設、整改、測評、運維全過程。建設目標是要滿足不同用戶不同等保級別的安全要求，做到等保成果的可視化，做到安全工作的持久化。

3.2 云計算中心的安全框架

一個云計算中心的安全防護體系的構(gòu)建，應以等級保護為系統(tǒng)指導思想，能夠充分滿足云計算中心的安全需求為目標。根據(jù)前面的研究，我們提出一個云計算中心的安全框架，包括傳統(tǒng)安全技術、云安全技術和安全運維管理三個層面的安全防護。

云安全框架以云安全管理平臺為中心，綜合安全技術和管理運維兩個方面的手段確保系統(tǒng)的整體安全。在安全技術方面，除了傳統(tǒng)的物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全、備份恢復等保障措施，還需要通過虛擬化安全防護技術和云安全服務來應對云計算的新特征所帶來的安全要求。

3.3 云安全防護體系架構(gòu)

在實際的云安全防護體系建設中，首先要在網(wǎng)絡和主機等傳統(tǒng)的安全設備層面建立基礎信息系統(tǒng)安全防護系統(tǒng)?；A信息安全防護體系是以等級保護標準為指導進行構(gòu)建，符合等級保護標準對相應安全級別的基本安全要求。

在此基礎上，通過SOC安全集中管理系統(tǒng)、虛擬安全組件、SMC安全運維管理系統(tǒng)和等保合規(guī)管理系統(tǒng)四個安全子系統(tǒng)共同組成云安全管理中心，如圖4所示。通過實體的安全技術和虛擬化安全防護技術的協(xié)同工作，為云計算中心提供從實體設備到虛擬化系統(tǒng)的全面深度安全防護，同時通過專業(yè)的SLC等保合規(guī)管理系統(tǒng)來確保云安全體系對于等級保護標準的合規(guī)性。

參考文獻

[1] 郝斐，王雷，荊繼武等.云存儲安全增強系統(tǒng)的設計與實現(xiàn)[J].信息網(wǎng)絡安全，2012，（03）：38-41.

[2] 季一木， 康家邦，潘俏羽等.一種云計算安全模型與架構(gòu)設計研究[J].信息網(wǎng)絡安全，2012，（06）：6-8.

[3] 黎水林.基于安全域的政務外網(wǎng)安全防護體系研究[J].信息網(wǎng)絡安全，2012，（07）：3-5.

[4] 胡春輝.云計算安全風險與保護技術框架分析[J].信息網(wǎng)絡安全，2012，（07）：87-89.

[5] 王偉，高能，江麗娜.云計算安全需求分析研究[J].信息網(wǎng)絡安全，2012，（08）：75-78.

[6] 海然.云計算風險分析[J].信息網(wǎng)絡安全，2012，（08）：94-96.

[7] 孫志丹，鄒哲峰，劉鵬.基于云計算技術的信息安全試驗系統(tǒng)設計與實現(xiàn)[J].信息網(wǎng)絡安全，2012，（12）：50-52.

[8] 甘宏，潘丹.虛擬化系統(tǒng)安全的研究與分析[J].信息網(wǎng)絡安全，2012，（05）：43-45.

[9] 賽迪研究院.關于云計算安全的分析與建議[J].軟件與信息服務研究，2011，5（5）：3.

[10] 陳丹偉，黃秀麗，任勛益.云計算及安全分析[J].計算機技術與發(fā)展，2010，20（2）：99.102.

[11] 馮登國，孫悅，張陽.信息安全體系結(jié)構(gòu)[M].清華大學出版社，2008：43-81.

[12] 張水平，李紀真.基于云計算的數(shù)據(jù)中心安全體系研究與實現(xiàn)[J].計算機工程與設計，2011，12（32）：3965.

[13] 質(zhì)監(jiān)局，國標委.信息系統(tǒng)安全等級保護基本要求.GB/T 22239—2008：1～51.

[14] 王崇.以“等?！睘楹诵牡男畔踩芾砉ぷ髌脚_設計[J].實踐探究，2009，1（5）：73.

[15] Devki Gaurav Pal， Ravi Krishna.A Novel Open Security Framework for Cloud Computing.International Journal of Cloud Computing and Services Science （IJ-CLOSER） ，2012 ，l.1（2）：45～52.

[16] CSA.SECURITY GUIDANCE FOR CRITICAL AREAS OF FOCUS IN CLOUD COMPUTING V3.0.http：///guidance/csaguide.v3.0.pdf，2011：30.

作者簡介：

白秀杰（1973-），男，碩士，系統(tǒng)分析師；研究方向：云安全技術。

李汝鑫（1983-），男，本科，項目管理師；研究方向：信息安全技術。

網(wǎng)絡安全等保解決方案范文第3篇

本報訊近日，聯(lián)想網(wǎng)御董事長齊艦在北京宣布，成功收購國內(nèi)一流SSL VPN企業(yè)――艾克斯通。聯(lián)想網(wǎng)御將獲得艾克斯通公司完整、領先的SSL VPN核心技術和知識產(chǎn)權，使之與公司現(xiàn)有的網(wǎng)絡安全技術、安全管理技術相融合，開發(fā)出面向用戶、面向應用、面向網(wǎng)絡可信接入的整體解決方案。

聯(lián)想網(wǎng)御總裁劉科全表示: “SSL VPN是應用安全領域中的一項重要技術。通過此次戰(zhàn)略收購，聯(lián)想網(wǎng)御將全面推動應用安全在國內(nèi)市場的發(fā)展，從而開拓出更為寬廣的民族信息安全新藍海?！?（譚）

英特爾、騰訊拓展數(shù)據(jù)中心領域合作

本報訊近日，英特爾和騰訊在北京簽署一份為期數(shù)年的戰(zhàn)略合作備忘錄，宣布雙方將建立聯(lián)合技術開發(fā)實驗室，在數(shù)據(jù)中心優(yōu)化等領域進行更深一步的合作。

英特爾數(shù)字企業(yè)事業(yè)部副總裁兼服務器平臺事業(yè)部總經(jīng)理柯克•斯考根表示，英特爾的動態(tài)功耗節(jié)點管理器和低功耗四核至強處理器等一系列技術，有助于構(gòu)建更環(huán)保的互聯(lián)網(wǎng)數(shù)據(jù)中心。騰訊聯(lián)席CTO熊明華則表示，騰訊未來將在存儲技術、數(shù)據(jù)挖掘、視頻多媒體、P2P網(wǎng)絡、中文處理和網(wǎng)絡安全等重點領域加大技術研發(fā)的投入，并將加深與英特爾的進一步合作。(斌)

AMD展示最新處理器技術

本報訊近日,AMD在北京舉行了“和諧計算•卓越視界”創(chuàng)新技術大會,來自AMD美國總部的技術專家全景式地講解并展示了AMD未來在多項平臺上的全面創(chuàng)新，以及基于最新45納米工藝的代號為“上?！钡乃暮损?zhí)幚砥飨到y(tǒng)。

會上，AMD不僅講解了兩大桌面平臺的特性，還介紹了在筆記本電腦平臺上AMD即將推出的代號為“Puma”的移動平臺。同時，為了應對應用負載對現(xiàn)有架構(gòu)的巨大壓力，AMD還創(chuàng)新性地提出了加速處理單元的概念。（淑娟）

瑞得聯(lián)手IBM深耕醫(yī)療信息化

本報訊近日，由北京瑞得恒達醫(yī)療軟件有限公司與IBM公司合作開展的“IBM•瑞得•醫(yī)院資源信息平臺應用研討會”在京召開。

據(jù)悉，HRIP是瑞得恒達醫(yī)療軟件有限公司推出的新一代平臺化HIS產(chǎn)品。它能夠根據(jù)醫(yī)院業(yè)務變化快速進行反應，以現(xiàn)有流程為依據(jù)進行開發(fā)。HRIP將醫(yī)院資源進行分類，使之最小化，再根據(jù)共性將最小業(yè)務做成組件，最后根據(jù)醫(yī)院實際情況進行組合，為不同醫(yī)院提供不同需求。（凡）

三星推出多款奧運手機

本報訊近日，奧運會無線通信設備領域全球合作伙伴 (TOP) 及北京2008年奧運會火炬接力全球合作伙伴三星公司宣布，其為北京2008年奧運會的準備工作已經(jīng)全面就緒，并推出多款專為北京奧運會精心準備的奧運手機，其中包括三星全球奧運旗艦手機、為中國移動定制的奧運手機、奧運主題手機和奧運大家庭專用手機四大類，涵蓋了商務、音樂、時尚等多重細分市場。（李）

網(wǎng)絡安全等保解決方案范文第4篇

如今，高性能計算已經(jīng)無所不在，在社會的各個領域發(fā)揮著重大作用。高性能計算應用分為兩類，一類是在電子政務、教育信息化、企業(yè)信息化廣泛應用的信息服務; 一類用于石油物探、分子材料研究、航天國防等領域的科學計算，但無論哪種應用，都離不開安全的保障。

一方面，內(nèi)部安全是HPC安全的主要問題，內(nèi)部攻擊和內(nèi)部人員的誤用造成70%的安全問題; 另一方面，對外需要加強訪問控制、非法入侵、安全過濾等邊界安全。與此同時高性能計算也給用戶提供有可視化應用，要求系統(tǒng)能夠作為可視化用的圖形服務器。另外，用戶還有海量存儲和后備磁帶庫等災難容錯需求。

高性能計算是一個綜合系統(tǒng)，涉及網(wǎng)絡系統(tǒng)、主機系統(tǒng)兩個層次。網(wǎng)絡系統(tǒng)的模型是一個分層次的拓撲結(jié)構(gòu)，通常采用五層模型; 主機系統(tǒng)也可以分為兩個層次: 操作系統(tǒng)、應用服務。因此高性能計算的安全防護也需采用分層次的拓撲防護措施。即一個完整的高性能計算安全解決方案應該覆蓋網(wǎng)絡與主機的各個層次，并且與安全管理相結(jié)合。

如何保護系統(tǒng)和數(shù)據(jù)

作為最基本的應用，防火墻可以用于實現(xiàn)對網(wǎng)絡不同安全區(qū)域的隔離。防火墻可以將辦公局域網(wǎng)、HPC計算網(wǎng)、HPC用戶接口與不安全的互聯(lián)網(wǎng)隔離成幾個邏輯區(qū)域，在保證局域網(wǎng)內(nèi)的客戶端訪問互聯(lián)網(wǎng)和HPC用戶接口、以及互聯(lián)網(wǎng)用戶訪問HPC用戶接口的同時，限制互聯(lián)網(wǎng)與HPC計算網(wǎng)之間的訪問，達到可控訪問的目的。

使用防火墻的必要性

雖然通過禁用主機上的沒用的或者不安全的服務，或者安裝個人防火墻，可以實現(xiàn)防火墻的包過濾等功能，然而，畢竟這是由主機自身提供的防護，一旦主機系統(tǒng)已經(jīng)被侵入，上述的防護措施均可以被入侵者修改。

而采用專用防火墻則可以降低系統(tǒng)被入侵后造成的部分侵害，例如入侵者如果打開了主機上某些被禁止的端口，由于防火墻并未開放該端口，因此入侵者仍然不可以使用該端口進行內(nèi)外網(wǎng)之間的通信，因而也就在一定程度上防止了內(nèi)部資源或數(shù)據(jù)的外泄。

另外使用專用防火墻還可以有效地降低安全管理的工作強度，提高系統(tǒng)安全的可管理性。

防火墻為高性能機群提供了基本的安全防范，然而防火墻只能提供被動的、靜態(tài)的保護，所提供的安全級別較低，如果與網(wǎng)絡入侵檢測系統(tǒng)（NIDS）配合，則可以提供動態(tài)的安全防護，提高HPC機群的安全等級。拿曙光專用防火墻來說可以從以下幾個方面來保護高性能機群系統(tǒng)的安全。

訪問控制 訪問控制功能可以通過加密認證來限制外網(wǎng)用戶對防火墻內(nèi)部的機群系統(tǒng)的訪問，沒有得到密鑰的用戶無法進入機群系統(tǒng)，能保持很高的安全性。

安全過濾 安全過濾模塊能在防火墻內(nèi)外網(wǎng)數(shù)據(jù)交互的時候?qū)ζ溥M行深度包過濾檢測。若是有不安全因素包括在數(shù)據(jù)中，防火墻可以通過檢測定義對其過濾。

抗攻擊 專用防火墻具有的抗攻擊能力，能適應各種險惡的網(wǎng)絡環(huán)境，保證內(nèi)部機群系統(tǒng)不因為防火墻的抵抗能力差而無法保持正常工作。

流量帶寬管理 防火墻的帶寬管理可以讓用戶隨意調(diào)整網(wǎng)絡的帶寬流量; 流量計費功能可以幫助用戶實現(xiàn)網(wǎng)絡流量計費，流量監(jiān)控等功能。

防止非法入侵 入侵檢測系統(tǒng)可以讓系統(tǒng)對受到的攻擊設有完備的記錄功能，檢測到危險信息時，系統(tǒng)可以根據(jù)管理員的設置斷開連接，實現(xiàn)入侵主動防護。

利用VPN保護數(shù)據(jù)安全傳輸

高性能計算機群多數(shù)都是用于科學研究，因此其原始資料、計算結(jié)果等都屬于安全敏感數(shù)據(jù)，因為這些敏感數(shù)據(jù)在局域網(wǎng)、互聯(lián)網(wǎng)這樣的不安全網(wǎng)絡中傳輸極易被竊取、篡改，因此在設計高性能計算機群的安全問題時，數(shù)據(jù)傳輸?shù)陌踩珕栴}也必須要考慮。

出于數(shù)據(jù)傳輸安全的考慮，利用防火墻的VPN功能，能使互聯(lián)網(wǎng)用戶和局域網(wǎng)用戶到HPC用戶接口之間實現(xiàn)安全的通信隧道，通過加密、認證、數(shù)字簽名等保證數(shù)據(jù)的安全性、完整性。比如，曙光防火墻的VPN的密鑰管理系統(tǒng)，使用IKE協(xié)議進行會話密鑰的自動協(xié)商，所有的VPN連接隔一段時間會自動地更換密鑰。IKE協(xié)議使用共享密鑰進行認證，將管理的復雜程度有所降低。

四級防護保HPC安全

防火墻被部署于局域網(wǎng)與互聯(lián)網(wǎng)、或局域網(wǎng)中某個特定區(qū)域到局域網(wǎng)的接口上，為局域網(wǎng)或局域網(wǎng)中的特定區(qū)域提供了安全保護。

第一級防護: 網(wǎng)絡安全

防火墻可以通過對網(wǎng)絡數(shù)據(jù)包的過濾和訪問控制，將訪問限制在網(wǎng)絡被允許的主機（IP地址）和應用服務（端口），從而極大地縮小所需管理的安全范圍，然而對于對被允許的主機和應用的攻擊就無能為力了，因為這些攻擊會偽裝成對這些合法主機和應用服務的訪問，從而騙過防火墻，進入到受防火墻保護的區(qū)域之內(nèi)。

因此對于安全要求較高的局域網(wǎng)、或者局域網(wǎng)中部署有關鍵應用的，應該在使用防火墻保護的基礎上，采用入侵檢測系統(tǒng)提高相關區(qū)域的安全防護水平。

網(wǎng)絡入侵檢測系統(tǒng)（NIDS）監(jiān)視網(wǎng)絡流量，通過偵聽特定網(wǎng)段的數(shù)據(jù)包，實現(xiàn)對該網(wǎng)段實時監(jiān)視可疑連接、發(fā)現(xiàn)非法訪問的闖入等，防范對網(wǎng)絡層至應用層的惡意攻擊和誤操作。通過與防火墻聯(lián)動，實現(xiàn)針對網(wǎng)絡的入侵的安全防護。

第二級防護: 主機系統(tǒng)安全

主機入侵檢測系統(tǒng)（HIDS）監(jiān)視主機系統(tǒng)的狀態(tài)，實現(xiàn)針對主機入侵的安全防護。防范對系統(tǒng)文件的惡意纂改和誤操作，實時監(jiān)視可疑連接、定期檢查系統(tǒng)日志，掃描用戶行為，發(fā)現(xiàn)非法訪問的闖入等。

雖然網(wǎng)絡入侵檢測可以對各種應用服務，如Web、SMTP、POP3等提供保護，然而這些更多是對網(wǎng)絡數(shù)據(jù)包的檢查，而防御手段通常會滯后于攻擊手段的發(fā)展，因此也就存在著由于這種滯后而造成網(wǎng)絡防御的突破。受保護網(wǎng)絡被侵入的表現(xiàn)就是網(wǎng)絡中的某臺主機接受了未被授權的訪問，并成為攻擊的中轉(zhuǎn)站。而入侵者通常需要對被攻破的系統(tǒng)進行修改，掩藏自己并使之進一步對網(wǎng)絡中其他的主機發(fā)動攻擊，這些行為是網(wǎng)絡入侵檢測系統(tǒng)無法解決的，但這正是主機入侵檢測系統(tǒng)所能檢測和保護的，因此主機入侵檢測系統(tǒng)可以很好地彌補網(wǎng)絡入侵檢測系統(tǒng)的盲區(qū)，二者形成互補。

通過互為補充的網(wǎng)絡入侵檢測系統(tǒng)和主機入侵檢測系統(tǒng)對繞過防火墻的攻擊行為進行細粒度的檢測和防御，兩者協(xié)調(diào)工作實現(xiàn)從網(wǎng)絡到主機的全面防護。

第三級防護: 數(shù)據(jù)安全

數(shù)據(jù)安全除了數(shù)據(jù)的存儲安全、備份安全手段之外，還存在數(shù)據(jù)傳輸安全，它可以利用防火墻的VPN功能，實現(xiàn)互聯(lián)網(wǎng)用戶和局域網(wǎng)用戶到HPC用戶接口之間實現(xiàn)安全的通信隧道，通過加密、認證、數(shù)字簽名等方法保證數(shù)據(jù)傳輸?shù)陌踩?、完整性?/p>

網(wǎng)絡安全等保解決方案范文第5篇

關鍵詞：醫(yī)院；信息化；網(wǎng)絡；安全

中圖分類號：TP309.2

隨著醫(yī)改的不斷深入，借助信息化提高醫(yī)院的管理水平和服務質(zhì)量已成為大勢所趨，伴著網(wǎng)絡技術的迅猛發(fā)展，Web化應用呈現(xiàn)出爆發(fā)式增長趨勢，一方面，增強了各行業(yè)及部門間的協(xié)作能力，提高了生產(chǎn)效率，另一方面也不可避免的帶來了新的安全威脅。從國家到地方，衛(wèi)生行政主管部門非常重視醫(yī)院信息安全，與公安部門聯(lián)合發(fā)文，要求醫(yī)院完成等級保護工作。

1 我院網(wǎng)絡安全建設現(xiàn)狀

1.1 醫(yī)院信息系統(tǒng)現(xiàn)狀

我院的信息信息系統(tǒng)主要有：醫(yī)院信息管理系統(tǒng)（HIS）、醫(yī)學影像信息系統(tǒng)（PACS）、臨床實驗室檢驗信息系統(tǒng)（LIS）、電子病歷系統(tǒng)（EMR）、手術麻醉信息系統(tǒng)（AIMS）、醫(yī)院辦公自動化系統(tǒng)（HOA）等。隨著各系統(tǒng)應用的不斷深入，以及這些系統(tǒng)與醫(yī)保、合療、健康檔案、財務、銀行一卡通等系統(tǒng)的直連，安全問題已越來越突顯，網(wǎng)絡安全作為信息安全的基礎，變得尤為重要。

1.2 網(wǎng)絡安全現(xiàn)狀與不足

1.2.1 網(wǎng)絡安全現(xiàn)狀

（1）我們采用內(nèi)外網(wǎng)物理隔離，內(nèi)網(wǎng)所有U口禁用。對開放的U口通過北信源的桌面管理軟件進行管理；（2）內(nèi)外網(wǎng)都使用了賽門鐵克的網(wǎng)絡殺毒軟件，對網(wǎng)絡病毒進行了防范；（3）與外部連接。

內(nèi)網(wǎng)與省醫(yī)保是通過思科防火墻、路由器和醫(yī)保專線連接進行通信；與市醫(yī)保是通過聯(lián)想網(wǎng)御的網(wǎng)閘、醫(yī)保路由器與醫(yī)保專線連接進行通信；與合療及虛擬桌面是通過綠盟的下一代防火墻與互聯(lián)網(wǎng)進行通信；與健康檔案是通過天融信的VPN與互聯(lián)網(wǎng)進行通信的。另外，內(nèi)網(wǎng)與財務專用軟件、一卡通也是通過網(wǎng)閘及防火墻進行通信的。

另外，我們有較完善的網(wǎng)絡安全管理制度體系，這里不再贅述。

1.2.2 網(wǎng)絡安全存在的問題

（1）由于醫(yī)院信息系統(tǒng)與外部業(yè)務連接不斷增長，專線與安全設備比較繁雜，運維復雜度較高；（2）通過部署網(wǎng)絡殺毒軟件及安全設備，雖然提升了網(wǎng)絡的安全性，但卻帶來了系統(tǒng)性能下降的問題，如何在不過多影響整體網(wǎng)絡性能的前提下，又可以完善整網(wǎng)的安全策略的部署，是后續(xù)網(wǎng)絡優(yōu)化所需要重點關注的；（3）終端用戶接入網(wǎng)絡后所進行的網(wǎng)絡訪問行為無法進行審計和追溯。

2 醫(yī)院網(wǎng)絡層安全策略部署規(guī)劃

在等級保護安全策略指導下，我們將整個醫(yī)院的安全保障體系設計分為安全管理體系建設和安全技術體系建設兩個方面，其中安全技術體系建設的內(nèi)容包括安全基礎設施（主要包括安全網(wǎng)關、入侵防護系統(tǒng)、安全審計系統(tǒng)等），安全管理體系建設的內(nèi)容包括組織、制度、管理手段等。通過建立醫(yī)院安全技術體系、安全服務體系和安全管理體系，提供身份認證、訪問控制、抗抵賴和數(shù)據(jù)機密性、完整性、可用性、可控性等安全服務，形成集防護、檢測、響應于一體的安全防護體系，實現(xiàn)實體安全、應用安全、系統(tǒng)安全、網(wǎng)絡安全、管理安全，以滿足醫(yī)院安全的需求[1]。

在這里，我主要從安全技術體系建設方面闡述醫(yī)院網(wǎng)絡層安全策略。

網(wǎng)絡層安全主要涉及的方面包括結(jié)構(gòu)安全、訪問控制、安全審計、入侵防范、惡意代碼防范、網(wǎng)絡設備防護幾大類安全控制。

2.1 安全域劃分[2]

2.1.1 安全域劃分原則

（1）業(yè)務保障原則。安全域方法的根本目標是能夠更好的保障網(wǎng)絡上承載的業(yè)務。在保證安全的同時，還要保障業(yè)務的正常運行和運行效率；（2）適度安全原則。在安全域劃分時會面臨有些業(yè)務緊密相連，但是根據(jù)安全要求（信息密級要求，訪問應用要求等）又要將其劃分到不同安全域的矛盾。是將業(yè)務按安全域的要求強性劃分，還是合并安全域以滿足業(yè)務要求？必須綜合考慮業(yè)務隔離的難度和合并安全域的風險（會出現(xiàn)有些資產(chǎn)保護級別不夠），從而給出合適的安全域劃分；（3）結(jié)構(gòu)簡化原則。安全域方法的直接目的和效果是要將整個網(wǎng)絡變得更加簡單，簡單的網(wǎng)絡結(jié)構(gòu)便于設計防護體系。比如，安全域劃分并不是粒度越細越好，安全域數(shù)量過多過雜可能導致安全域的管理過于復雜和困難；（4）等級保護原則。安全域的劃分要做到每個安全域的信息資產(chǎn)價值相近，具有相同或相近的安全等級安全環(huán)境安全策略等；（5）立體協(xié)防原則。安全域的主要對象是網(wǎng)絡，但是圍繞安全域的防護需要考慮在各個層次上立體防守，包括在物理鏈路網(wǎng)絡主機系統(tǒng)應用等層次；同時，在部署安全域防護體系的時候，要綜合運用身份鑒別訪問控制檢測審計鏈路冗余內(nèi)容檢測等各種安全功能實現(xiàn)協(xié)防；（6）生命周期原則。對于安全域的劃分和布防不僅僅要考慮靜態(tài)設計，還要考慮不斷的變化；另外，在安全域的建設和調(diào)整過程中要考慮工程化的管理。

2.2.2 區(qū)域劃分

業(yè)務網(wǎng)內(nèi)部根據(jù)業(yè)務類型及安全需求劃分為如圖1所示的幾個個安全區(qū)域，也可以根據(jù)醫(yī)院自己的業(yè)務實際情況，添加刪減相關的安全域，網(wǎng)絡規(guī)劃拓撲圖[3]如下：

圖1

（1）外聯(lián)區(qū)：主要與醫(yī)保網(wǎng)、外聯(lián)單位進行互聯(lián)，此區(qū)域與數(shù)據(jù)中心核心交換機互聯(lián)；在外聯(lián)區(qū)接入處部署防火墻、IPS、硬件殺毒墻，也可以部署下一代防火墻產(chǎn)品，添加IPS功能模塊、殺毒功能模塊，通過防火墻、IPS、殺毒進行訪問控制，實現(xiàn)安全隔離；與數(shù)據(jù)中心核心交換機處部署網(wǎng)閘設備，實現(xiàn)物理隔離；（2）運維管理區(qū)：主要負責運維管理醫(yī)院信息化系統(tǒng)，此區(qū)域與數(shù)據(jù)中心核心交換機互聯(lián)；在運維管理區(qū)與核心交換機之間部署堡壘機（SAS-H），對運維操作進行身份識別與行為管控；部署遠程安全評估系統(tǒng)（RSAS），對系統(tǒng)的漏洞進行安全評估；部署安全配置核查系統(tǒng)，對系統(tǒng)的安全配置做定期檢查；部署日志管理軟件，對網(wǎng)絡設備、安全設備、重要服務器的日志做收集整理和報表呈現(xiàn)；部署網(wǎng)絡版殺毒系統(tǒng)，與硬件殺毒墻非同一品牌；部署網(wǎng)絡審計系統(tǒng)，對全網(wǎng)所有用戶行為進行網(wǎng)絡審計；部署主機加固系統(tǒng)，對重要服務器定期進行安全加固，以符合等保的安全配置要求；（3）辦公接入?yún)^(qū)：主要負責在住院部大樓、門急診樓、公寓后勤樓等辦公用戶的網(wǎng)絡接入；接入?yún)R聚交換機旁路部署IDS；與核心交換機接入采用防火墻進行訪問控制；重要辦公用戶安裝桌面終端系統(tǒng)控制非法接入問題；（4）核心交換區(qū)：主要負責各個安全域的接入與VLAN之間的訪問控制；在兩臺核心交換機上采用防火墻板卡，來實現(xiàn)各個區(qū)域的訪問控制。在核心交換機旁路部署安全審計系統(tǒng)，對全網(wǎng)數(shù)據(jù)進行內(nèi)容審計，可以與運維管理區(qū)的網(wǎng)絡審計使用同一臺；（5）互聯(lián)網(wǎng)接入?yún)^(qū)：主要負責為辦公區(qū)用戶訪問互聯(lián)網(wǎng)提供服務，以及互聯(lián)網(wǎng)用戶訪問門戶網(wǎng)站及網(wǎng)上預約等業(yè)務提供服務；在互聯(lián)網(wǎng)出口處，部署負載均衡設備對鏈路做負載處理；部署下一代防火墻設備（IPS+AV+行為管理），對進出互聯(lián)網(wǎng)的數(shù)據(jù)進行安全審計和管控；在門戶服務器與匯聚交換機之間部署硬件WEB應用防火墻，對WEB服務器進行安全防護；在門戶服務器上安裝防篡改軟件，來實現(xiàn)對服務器的防篡改的要求；部署網(wǎng)閘系統(tǒng)，實現(xiàn)互聯(lián)網(wǎng)與業(yè)務內(nèi)網(wǎng)的物理隔離要求；（6）數(shù)據(jù)中心區(qū)：此區(qū)域主要為醫(yī)院信息系統(tǒng)防護的核心，可分為關鍵業(yè)務服務器群和非關鍵業(yè)務服務器群，為整個醫(yī)院內(nèi)網(wǎng)業(yè)務提供運算平臺；在非關鍵業(yè)務服務器群與核心交換區(qū)之間部署防火墻和入侵保護系統(tǒng)，對服務器做基礎的安全防護；在關鍵業(yè)務服務器群與核心交換機之間部署防火墻、入侵保護系統(tǒng)、WEB應用防護系統(tǒng)，對服務器做安全防護；（7）開發(fā)測試區(qū)：為軟件開發(fā)機第三方運維人員提供接入醫(yī)院內(nèi)網(wǎng)服務，與核心交換機互聯(lián)；部署防火墻進行訪問控制，所有的開發(fā)測試區(qū)的用戶必須通過堡壘機訪問醫(yī)院內(nèi)網(wǎng)；（8）存儲備份區(qū)：此區(qū)域主要為醫(yī)院信息化系統(tǒng)數(shù)據(jù)做存儲備份，與核心交換機互聯(lián)。

2.2 邊界訪問控制[1]

在網(wǎng)絡結(jié)構(gòu)中，需要對各區(qū)域的邊界進行訪問控制，對于醫(yī)院外網(wǎng)邊界、數(shù)據(jù)交換區(qū)邊界、應用服務區(qū)域邊界及核心數(shù)據(jù)區(qū)邊界，需采取部署防火墻的方式實現(xiàn)高級別的訪問控制，各區(qū)域訪問控制方式說明如下：

（1）外聯(lián)區(qū)：通過部署高性能防火墻，實現(xiàn)數(shù)據(jù)中心網(wǎng)絡與醫(yī)院外網(wǎng)之間的訪問控制；（2）核心交換區(qū)：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現(xiàn)對數(shù)據(jù)交換區(qū)的訪問控制；（3）數(shù)據(jù)中心區(qū)：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現(xiàn)對應用服務區(qū)的訪問控制；（4）運維區(qū)：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現(xiàn)對核心數(shù)據(jù)區(qū)的訪問控制；（5）互聯(lián)網(wǎng)區(qū)：與內(nèi)網(wǎng)核心交換區(qū)采用網(wǎng)閘系統(tǒng)進行物理隔離；與互聯(lián)網(wǎng)出口采用防火墻實現(xiàn)訪問控制；（6）開發(fā)測試區(qū)：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現(xiàn)對應用服務區(qū)的訪問控制；（7）辦公網(wǎng)接入?yún)^(qū)：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現(xiàn)對應用服務區(qū)的訪問控制；（8）備份存儲區(qū)：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現(xiàn)對應用服務區(qū)的訪問控制。

2.3 網(wǎng)絡審計[1]

網(wǎng)絡安全審計系統(tǒng)主要用于監(jiān)視并記錄網(wǎng)絡中的各類操作，偵查系統(tǒng)中存在的現(xiàn)有和潛在的威脅，實時地綜合分析出網(wǎng)絡中發(fā)生的安全事件，包括各種外部事件和內(nèi)部事件。在數(shù)據(jù)中心核心交換機處旁路部署網(wǎng)絡行為監(jiān)控與審計系統(tǒng)，形成對全網(wǎng)網(wǎng)絡數(shù)據(jù)的流量檢測并進行相應安全審計，同時和其他網(wǎng)絡安全設備共同為集中安全管理提供監(jiān)控數(shù)據(jù)用于分析及檢測。

網(wǎng)絡行為監(jiān)控和審計系統(tǒng)將獨立的網(wǎng)絡傳感器硬件組件連接到網(wǎng)絡中的數(shù)據(jù)匯聚點設備上，對網(wǎng)絡中的數(shù)據(jù)包進行分析、匹配、統(tǒng)計，通過特定的協(xié)議算法，從而實現(xiàn)入侵檢測、信息還原等網(wǎng)絡審計功能，根據(jù)記錄生成詳細的審計報表。網(wǎng)絡行為監(jiān)控和審計系統(tǒng)采取旁路技術，不用在目標主機中安裝任何組件。同時玩了個審計系統(tǒng)可以與其他網(wǎng)絡安全設備進行聯(lián)動，將各自的監(jiān)控記錄送往安全管理安全域中的安全管理服務器，集中對網(wǎng)絡異常、攻擊和病毒進行分析和檢測。

2.4 網(wǎng)絡入侵防范[1]

根據(jù)數(shù)據(jù)中心的業(yè)務安全需求和等級保護三級對入侵防范的要求，需要在網(wǎng)絡中部署入侵防護產(chǎn)品。

入侵防護和產(chǎn)品通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測產(chǎn)品應支持深度內(nèi)容檢測、技術。配合實時更新的入侵攻擊特征庫，可檢測網(wǎng)絡攻擊行為，包括病毒、蠕蟲、木馬、間諜軟件、可疑代碼、探測與掃描等各種網(wǎng)絡威脅。當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。

入侵防護產(chǎn)品部署在數(shù)據(jù)中心與核心交換機之間，繼防火墻邊界訪問控制后的第二道防線。

2.5 邊界惡意代碼防范[1]

根據(jù)數(shù)據(jù)中心業(yè)務風險分析和等級保護三級對邊界惡意代碼防范的要求，需要在互聯(lián)網(wǎng)邊界部署防病毒產(chǎn)品，也可以在下一代防火墻添加防病毒模塊來實現(xiàn)此功能；防病毒產(chǎn)品應具備針對HTTP、FTP、SMTP、POP3、IMAP以及MSN協(xié)議的內(nèi)容檢查、清除病毒的能力。支持查殺引導區(qū)病毒、文件型病毒、宏病毒、蠕蟲病毒、特洛伊木馬、后門程序、惡意腳本等各種惡意代碼，并定期提供對病毒庫版本的升級。

2.6 網(wǎng)絡設備保護[1]

對于網(wǎng)絡中關鍵的交換機、路由器設備，也需要采用一定的安全設置及安全保障手段來實現(xiàn)網(wǎng)絡層的控制。主要是根據(jù)等級保護基本要求配置網(wǎng)絡設備自身的身份鑒別與權限控制，包括：登錄地址、標識符、口令復雜度、失敗處理、傳輸加密、特權用戶權限分配等方面對網(wǎng)絡設備進行安全加固。

由于不同網(wǎng)絡設備安全配置的不同、配置維護工作繁雜，且信息安全是動態(tài)變化的，因此這里推薦通過自動化的配置核查設備，對網(wǎng)絡層面和主機層的安全配置進行定期掃描核查，及時發(fā)現(xiàn)不滿足基線要求的相關配置，并根據(jù)等級保護的安全配置要求提供相對應的安全配置加固指導。

3 結(jié)束語

通過以上六個方面的安全加固，重點解決了醫(yī)院當前網(wǎng)絡安全環(huán)境中面臨的主要問題。隨著醫(yī)院數(shù)字化進程的不斷深入，我們還將重點跟蹤網(wǎng)絡安全方面出現(xiàn)的新問題、新的技術思路和新的技術解決方案，做好醫(yī)院的網(wǎng)絡安全工作，為醫(yī)院信息化建設保駕護航。

目前，網(wǎng)絡已經(jīng)深刻影響與改變現(xiàn)有的醫(yī)療模式[4]，網(wǎng)絡安全已成為醫(yī)院信息化建設中的重中之重，它是一項復雜而艱巨的系統(tǒng)工程，需全方位入手，切實保障醫(yī)院各信息系統(tǒng)安全穩(wěn)定的運行、醫(yī)院各項工作順利的開展，真正為廣大患者提供優(yōu)質(zhì)便捷的服務。

參考文獻：

[1]GB/T 22239-2008，信息系統(tǒng)安全等級保護基本要求[S].

[2]GB/T 9387.2-1995，開放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)《醫(yī)療機構(gòu)》，P14-P18：安全服務與安全機制的配置[S].

[3]ISO 10181：1996 信息技術開放系統(tǒng)互連開放系統(tǒng)安全框架[S].

[4]陳理兵，陳起燕.論醫(yī)院網(wǎng)絡應用系統(tǒng)的安全設計[J].福建電腦，2013（11）.