第一篇：高煥云——《醫(yī)患溝通整體解決方案》

《醫(yī)患溝通整體解決方案》培訓(xùn)課程簡介

一、課程背景

近年來，全國范圍內(nèi)醫(yī)患暴力沖突呈“井噴式”爆發(fā)。暴力傷醫(yī)凸顯醫(yī)患信任危機(jī)，醫(yī)務(wù)人員的生存環(huán)境令人擔(dān)憂。據(jù)有關(guān)資料顯示，因醫(yī)療事故造成的糾紛僅在3％ 左右，90%多的糾紛都是服務(wù)問題，而在這90%多的糾紛中，絕大多數(shù)又是醫(yī)患溝通障礙所致。醫(yī)患溝通障礙就是引起醫(yī)患糾紛的罪魁禍?zhǔn)住?012年3月23日，某醫(yī)科大學(xué)附一院，患者李某因不滿醫(yī)生的醫(yī)療建議，持刀向4名醫(yī)生行兇，致一死三傷，這其中牽扯到溝通問題。糾紛！糾紛！還是糾紛！無獨(dú)有偶，2012年11月13日某醫(yī)科大二附院發(fā)生命案，因一患者對(duì)手術(shù)治療結(jié)果有顧慮而拒絕手術(shù)，自動(dòng)離院后，懷疑身體不適是術(shù)前檢查引起的，心存不滿進(jìn)行報(bào)復(fù)，我們也不得不承認(rèn)這里面存在溝通問題。在目前醫(yī)患關(guān)系如此緊張的時(shí)刻，醫(yī)務(wù)人員應(yīng)該以怎樣的姿態(tài)解決醫(yī)患溝通問題？作為服務(wù)者要使自己的服務(wù)得到認(rèn)可，必須有一個(gè)群眾可以接受的溝通態(tài)度。為此，高煥云女士特提出我國醫(yī)患溝通宣言，它代表著醫(yī)務(wù)人員徹底改變醫(yī)患溝通障礙的堅(jiān)強(qiáng)決心！

醫(yī)療行業(yè)目前狀況令人擔(dān)憂：

1.醫(yī)學(xué)院校在培訓(xùn)啞巴醫(yī)生、啞巴護(hù)士？很多學(xué)校只教給他們醫(yī)療操作技能的流程、方法，但是沒有規(guī)范的操作語言？他們成了執(zhí)行醫(yī)療操作的啞巴機(jī)器人，而這些進(jìn)入醫(yī)院的“機(jī)器人”，一旦醫(yī)院沒有對(duì)其進(jìn)行專業(yè)溝通培訓(xùn)很可能成為引起醫(yī)患糾紛的定時(shí)炸彈。

2.臨床醫(yī)務(wù)人員缺乏溝通技巧訓(xùn)練，不知道如何說話，殊不知這成了醫(yī)患糾紛的最大 禍端。

兩會(huì)期間醫(yī)生對(duì)衛(wèi)生部長的含淚十問第三問就是醫(yī)務(wù)人員的溝通問題，醫(yī)生問：“醫(yī)患關(guān)系緊張是由于我們溝通不夠，您是不是希望全體醫(yī)護(hù)人員都練就如簧巧舌，比如是政客和律師？”，醫(yī)生的提問顯示了我們醫(yī)務(wù)人員對(duì)醫(yī)患溝通的迷茫。

醫(yī)務(wù)人員到底如何去溝通？

如何讓白衣天使會(huì)說話、說好話？ 醫(yī)療行業(yè)規(guī)范化服務(wù)語言如何實(shí)施？ 有沒有盡快提升醫(yī)務(wù)人員溝通能力的秘籍？

有！這就是——煥云醫(yī)患溝通秘籍和超強(qiáng)魔法訓(xùn)練組合。

本溝通秘籍和超強(qiáng)魔法訓(xùn)練組合由我國規(guī)范化服務(wù)第一人、我國新時(shí)代醫(yī)務(wù)禮儀創(chuàng)始人、醫(yī)院服務(wù)意識(shí)奠基人、醫(yī)療服務(wù)問題解決專家、煥云專業(yè)醫(yī)務(wù)培訓(xùn)創(chuàng)始人高煥云女士國內(nèi)獨(dú)創(chuàng)。高煥云女士有著從醫(yī)31年的臨床經(jīng)驗(yàn)，有著醫(yī)務(wù)禮儀和醫(yī)學(xué)心理學(xué)10余年的研究經(jīng)驗(yàn)，深知醫(yī)患糾紛癥結(jié)所在，真正從醫(yī)療行業(yè)的特點(diǎn)出發(fā)，從根本上解決醫(yī)患溝通障礙問題。煥云獨(dú)特的溝通公式讓醫(yī)務(wù)人員的說話有了可衡量的標(biāo)準(zhǔn)，魔法訓(xùn)練組合真正把臨床醫(yī)

務(wù)人員的實(shí)用溝通問題用可解決的工具和方法進(jìn)行有效訓(xùn)練和指導(dǎo)，使醫(yī)務(wù)人員在短時(shí)間內(nèi)即可掌握溝通要點(diǎn)，真正符合禮儀和醫(yī)療規(guī)范的專業(yè)溝通方式為高煥云女士國內(nèi)首創(chuàng)，是目前解決我國醫(yī)患糾紛最有效的方法。她也以其獨(dú)特的360° 醫(yī)務(wù)培訓(xùn)開創(chuàng)了我國培訓(xùn)界的醫(yī)務(wù)培訓(xùn)先河，在我國醫(yī)療發(fā)展史上增添了新的一頁，也再次引起中國關(guān)注。

高煥云女士指出“醫(yī)療行業(yè)的規(guī)范化語言應(yīng)該具備體現(xiàn)尊重、符合常規(guī)、科學(xué)文明三個(gè)特征。”

體現(xiàn)尊重:語言要體現(xiàn)對(duì)客戶的尊重，體現(xiàn)對(duì)生命尊嚴(yán)的尊重，促進(jìn)醫(yī)患關(guān)系和諧。符合常規(guī):語言要符合醫(yī)療護(hù)理操作常規(guī)，在操作的哪個(gè)環(huán)節(jié)我們需要詢問到病人什么內(nèi)容，是我們醫(yī)療操作常規(guī)所規(guī)定的，生命的守護(hù)神絕不能把規(guī)范流于形式。

科學(xué)文明:科學(xué)文明的語言是嚴(yán)謹(jǐn)?shù)谋憩F(xiàn)，要會(huì)說話、說好話、話好說。

她認(rèn)為作為醫(yī)務(wù)人員學(xué)會(huì)如何說話是行業(yè)必須，學(xué)會(huì)說話和如簧巧舌不同，我們是讓病人收到我們關(guān)愛，是和病人心靈的溝通，從而實(shí)現(xiàn)全身心的康復(fù).高煥云女士認(rèn)為禮儀就是溝通的根本，醫(yī)務(wù)人員只有從根本上理解了自己的禮儀許多溝通的問題也會(huì)迎刃而解。

二、課程包簡介

《醫(yī)患溝通整體解決方案》旨在解決醫(yī)務(wù)人員的溝通障礙問題，從思想上到行動(dòng)上進(jìn)行轉(zhuǎn)變，樹立溝通理念、增強(qiáng)溝通意識(shí)、掌握溝通技巧、杜絕溝通糾紛，徹底規(guī)范醫(yī)務(wù)人員服務(wù)語言，使醫(yī)患溝通障礙徹底解決。課程內(nèi)容包括醫(yī)患溝通秘籍和超強(qiáng)魔法訓(xùn)練兩部分。醫(yī)患溝通秘籍的靈魂是高煥云老師創(chuàng)作的醫(yī)患溝通歌，所有溝通秘籍都圍繞醫(yī)患溝通歌進(jìn)行，使整個(gè)課程融會(huì)貫通一體，一氣呵成，讓學(xué)員真正體會(huì)魔法的魔力。

本溝通秘籍和超強(qiáng)魔法訓(xùn)練組合具有以下四點(diǎn)個(gè)特點(diǎn)。第一、醫(yī)療專業(yè)性和實(shí)用性的統(tǒng)一。

本溝通秘籍和強(qiáng)力魔法訓(xùn)練組合是按照醫(yī)務(wù)人員工作環(huán)節(jié)設(shè)計(jì)，具有實(shí)用性和可操作性，它的使用將會(huì)使醫(yī)務(wù)人員的說話有了可衡量的標(biāo)準(zhǔn)，對(duì)預(yù)防醫(yī)患糾紛有著非常顯著的作用。

第二、醫(yī)務(wù)禮儀和操作規(guī)范的統(tǒng)一。

醫(yī)療行業(yè)的規(guī)范化服務(wù)，應(yīng)該是一種科學(xué)流程，符合醫(yī)療操作常規(guī)的內(nèi)容和規(guī)范化語言的統(tǒng)一。本溝通訓(xùn)練組合真正把禮儀、和諧做到實(shí)處，把醫(yī)務(wù)禮儀融入工作環(huán)節(jié)中，真正提高了群眾的就醫(yī)滿意度。

第三、醫(yī)療科學(xué)性和行醫(yī)文明的統(tǒng)一。

科學(xué)文明的語言是醫(yī)療行業(yè)嚴(yán)謹(jǐn)性的表現(xiàn)，醫(yī)務(wù)人員必須要會(huì)說話、說好話、話好說?？茖W(xué)和文明的結(jié)合就能極大提高醫(yī)療行業(yè)者的形象。

第四、溝通有效和快速提升的統(tǒng)一。

醫(yī)患溝通障礙最終的結(jié)果是溝通的無效，白衣天使溝通秘籍和超強(qiáng)魔法訓(xùn)練組合的特點(diǎn)之四就是有效性和快速性，可讓病人感受到服務(wù)的快速提升，醫(yī)務(wù)人員的從醫(yī)神圣感和責(zé)任感都得到了良好的展示，醫(yī)患雙方就會(huì)達(dá)成一種和諧的狀態(tài)。

三、課程內(nèi)容

（1）課程題目：人脈何來———魔法溝通走進(jìn)心靈（2）課程綱要： ? 認(rèn)識(shí)溝通 ? 溝通障礙原因分析 ? 魔法溝通走進(jìn)心靈 ? 醫(yī)患溝通秘籍講解 ? 醫(yī)患溝通魔法公式講解 ? 醫(yī)患溝通魔法訓(xùn)練 ? 測評(píng)考核（3）課程收益

? 掌握溝通技巧減少醫(yī)患糾紛 ? 提高服務(wù)形象 ? 和諧醫(yī)患關(guān)系 ? 規(guī)范醫(yī)療護(hù)理服務(wù)語言

（4）授課時(shí)間：10時(shí)，其中理論7時(shí)，魔法訓(xùn)練及考核3小時(shí)，后續(xù)訓(xùn)練遠(yuǎn)程指導(dǎo)。

四、煥云醫(yī)患溝通培訓(xùn)現(xiàn)場精彩瞬間

醫(yī)患溝通精彩培訓(xùn)課堂——講解環(huán)節(jié)

學(xué)員用心唱出醫(yī)患溝通歌

醫(yī)患溝通精彩培訓(xùn)課堂——模擬實(shí)戰(zhàn)環(huán)節(jié)

醫(yī)患溝通精彩培訓(xùn)課堂——測評(píng)考核環(huán)節(jié)

第二篇：如何做好醫(yī)患溝通

如何做好醫(yī)患溝通

醫(yī)療糾紛發(fā)生的因素比較復(fù)雜，但常見的原因除社會(huì)、醫(yī)院、患者等因素外，醫(yī)務(wù)人員與患者及其家屬的有效溝通也是其重要的原因之一。解決好醫(yī)患之間的有效溝通，使患者及其家屬，與醫(yī)務(wù)人員在 治療患者疾病中達(dá)成共識(shí)，是解決醫(yī)患糾紛的基礎(chǔ)。

醫(yī)生要以尊重醫(yī)學(xué)、信任法律、用智慧探索醫(yī)療侵權(quán)處理之真理為己任，建立以誠信和規(guī)則為本的現(xiàn)代醫(yī)療服務(wù)新理念，加強(qiáng)法律教育與研究，誠信行醫(yī)、依法行醫(yī)；醫(yī)生掌握有專業(yè)知識(shí)，在溝通中容易被病人理解為“以專業(yè)知識(shí)搪塞病人”，因此，醫(yī)生要善于運(yùn)用病人能理解的方式、方法、生活經(jīng)驗(yàn)，讓病人充分認(rèn)識(shí)自己的病情、治療方案并積極配合；醫(yī)生要重視對(duì)醫(yī)療文件規(guī)范性的重視。醫(yī)務(wù)人員在病員的治療全過程中要重點(diǎn)把好醫(yī)療質(zhì)量關(guān)，特別要在醫(yī)療安全、服務(wù)質(zhì)量、費(fèi)用的清算以及病員愈后的情況方面，充分地與患者及其家屬進(jìn)行溝通，使他們認(rèn)識(shí)到醫(yī)務(wù)工作者是在全心全意為患者服務(wù)。

醫(yī)生有三件寶，語言、藥物、手術(shù)刀。之所以要把語言放在第一位，說明醫(yī)務(wù)人員的語言在病員及其家屬的面前顯得尤為重要?；颊唠m然不懂醫(yī)，但他對(duì)醫(yī)務(wù)人員的服務(wù)態(tài)度是非常關(guān)注的。心理滿足、得到尊重也是患者的基本要求，但是在醫(yī)務(wù)界卻有部分人員缺乏情緒管理和與人溝通的能力，在為患者提供的各種服務(wù)中，與患者要求存在一定差距。在這種情況下要解決好醫(yī)患矛盾、糾紛，作為醫(yī)院的各級(jí)各類醫(yī)務(wù)人員就必須要找準(zhǔn)與患者及其家屬溝通的著力點(diǎn)，用有效的方式與其溝通，使他們認(rèn)識(shí)到你是在真心地為他們服務(wù)、為他們著想。

溝通能力的訓(xùn)練尤為重要。醫(yī)院管理者要把醫(yī)療技能的訓(xùn)練、溝通能力的訓(xùn)練放在醫(yī)院管理的重要工作位置，與患者溝通在醫(yī)院是全員性工作，在訓(xùn)練上，請(qǐng)有關(guān)的專家學(xué)者進(jìn)行醫(yī)患溝通技巧講座，包括禮儀訓(xùn)練，落實(shí)文明用語和與患者溝通的時(shí)間、方法。

醫(yī)患之間相互依存，醫(yī)生因患者而生存，醫(yī)學(xué)因疾病而發(fā)展，患者生病也要醫(yī)生救治才能擺脫病魔，恢復(fù)健康。醫(yī)患之間應(yīng)該成為社會(huì)上最和諧的人際關(guān)系。

第三篇：醫(yī)患溝通概論

1、下列錯(cuò)誤的描述是（）

A、醫(yī)患溝通是臨床的基本理念和態(tài)度

B、醫(yī)患溝通的意識(shí)第一，技巧第二

C、醫(yī)患溝通僅僅是解決醫(yī)患糾紛的方法

D、醫(yī)患溝通是醫(yī)生的基本素養(yǎng)

2、溝通的“三段式”步驟不包括（）

A、核實(shí)患者的理解

B、通過觀察和傾聽，了解情況，心中有數(shù)

C、通過敏銳的提問和深入交流，澄清問題

D、通過總結(jié)與核實(shí)，達(dá)成共識(shí)與初步結(jié)論

3、以下說法錯(cuò)誤的是（）

A、培養(yǎng)溝通的意識(shí)永遠(yuǎn)比培訓(xùn)技巧更重要

B、任何臨床交談都應(yīng)當(dāng)是溝通過程

C、溝通是保證治療依從性的重要手段

D、出現(xiàn)糾紛才要去溝通

4、屬于溝通深入階段的是（）

A、足夠的準(zhǔn)備

B、呈示檢查結(jié)果

C、了解對(duì)方的觀點(diǎn)

D、根據(jù)患者的態(tài)度和觀點(diǎn)進(jìn)行針對(duì)性強(qiáng)的解釋

5、基本溝通技巧不包括（）

A、共情 B、觀察

C、權(quán)威

D、傾聽

6、不屬于溝通開始階段采取的措施是（）

A、足夠的準(zhǔn)備

B、呈示檢查結(jié)果

C、了解對(duì)方的觀點(diǎn)

D、根據(jù)患者的態(tài)度和觀點(diǎn)進(jìn)行針對(duì)性強(qiáng)的解釋

7、提高溝通能力的最直接、有效的方法的是（）

A、對(duì)患者的理解與共情

B、經(jīng)常主動(dòng)運(yùn)用溝通技巧

C、積極解決糾紛

D、學(xué)會(huì)傾聽

8、溝通的基本原則不包括（）

A、誠信原則

B、交互、反饋、共同參與原則

C、平等原則

D、權(quán)威原則

9、臨床工作的支柱是（）

A、醫(yī)術(shù)

B、溝通

C、兩者都是 D、兩者都不是

10、一切溝通技巧之源泉是（）

A、共情

B、觀察

C、說話

D、傾聽

第四篇：育優(yōu)家園共育整體解決方案

北京健康成長科技發(fā)展有限公司

育優(yōu)家園共育

整 體 解 決 方 案

全國婦聯(lián)+北京大學(xué)+中國兒基會(huì) 安康（公益）重點(diǎn)項(xiàng)目授權(quán)執(zhí)行機(jī)構(gòu) 北京健康成長科技發(fā)展有限公司

2009-2-3

安康（公益）重點(diǎn)項(xiàng)目授權(quán)執(zhí)行機(jī)構(gòu) 北京健康成長科技發(fā)展有限公司 北京市海淀區(qū)中關(guān)村北大街151號(hào)北大資源大廈1016室 郵編：100080 電話：58876940 58876789-851 傳真：58876315

網(wǎng)址：004km.cn 北京健康成長科技發(fā)展有限公司

目 錄

一、項(xiàng)目背景........................................................................................................................3

二、公司簡介........................................................................................................................3

三、育優(yōu)家園共育整體解決方案...........................................................................5

3-1 方案概述........................................................................................................................5 3-2安康教育信息化示范園服務(wù)介紹....................................................................5

3-2-1服務(wù)目標(biāo)：.................................................................................................................5 3-2-2服務(wù)項(xiàng)目：.................................................................................................................6

3-3“育優(yōu)聯(lián)盟會(huì)員”服務(wù)介紹................................................................................6

3-3-1服務(wù)目標(biāo)：.................................................................................................................6 3-3-2服務(wù)內(nèi)容：.................................................................................................................7

3-3-3服務(wù)優(yōu)勢(shì)：................................................................................................................8

四、育優(yōu)家園共育整體解決方案的服務(wù)模式及收費(fèi)方式..................9

五、核心理念........................................................................................................................9

六、結(jié)束語..............................................................................................................................9

安康（公益）重點(diǎn)項(xiàng)目授權(quán)執(zhí)行機(jī)構(gòu) 北京健康成長科技發(fā)展有限公司 北京市海淀區(qū)中關(guān)村北大街151號(hào)北大資源大廈1016室 郵編：100080 電話：58876940 58876789-851 傳真：58876315

網(wǎng)址：004km.cn 北京健康成長科技發(fā)展有限公司

一、項(xiàng)目背景

幼兒教育作為基礎(chǔ)教育的重要組成部分，逐漸被整個(gè)社會(huì)及每個(gè)家庭所重視。更快更好的發(fā)展幼兒教育、學(xué)前教育對(duì)于促進(jìn)兒童身心和諧健康發(fā)展，提高我國人口整體素質(zhì)，全面建設(shè)小康社會(huì)具有重要的現(xiàn)實(shí)意義。為了大力推進(jìn)我國幼兒教育事業(yè)的發(fā)展，全面提高幼兒教育、學(xué)前教育的整體水平，確?！笆?五”期間學(xué)前教育規(guī)范化工程的實(shí)施，我國政府詳細(xì)制訂了幼兒教育發(fā)展規(guī)劃。

在黨的十七大報(bào)告中，將重視學(xué)前教育、加快教育信息化發(fā)展提到了相當(dāng)重要的位置。二十一世紀(jì)是信息化時(shí)代，通過教育信息化發(fā)展帶動(dòng)我國基礎(chǔ)教育事業(yè)發(fā)展，提高學(xué)前教育水平將勢(shì)在必行，也將關(guān)系到整個(gè)中華民族的偉大復(fù)興。

“安康家園”網(wǎng)絡(luò)項(xiàng)目通過分析國外先進(jìn)的信息化網(wǎng)絡(luò)技術(shù)，結(jié)合我國學(xué)前教育、家庭教育現(xiàn)狀，在全國婦聯(lián)、中國兒童少年基金會(huì)的指導(dǎo)下，聯(lián)合北京大學(xué)技術(shù)研發(fā)力量，建設(shè)了目前為止國內(nèi)最先進(jìn)、最專業(yè)的0——6歲嬰幼兒家園共育互動(dòng)網(wǎng)絡(luò)平臺(tái)，網(wǎng)址：004km.cn中文網(wǎng)址：“安康家園”。并承諾以公益捐建的形式捐建給全國的幼兒園所及家庭，目的是讓全國的幼兒園早日完成教育信息化建設(shè)，讓嬰幼兒教育工作者及家長都能通過信息化手段科學(xué)、專業(yè)的撫育孩子健康成長。

二、公司簡介

“成長科技”全稱北京健康成長科技發(fā)展有限公司。成立于2005年底，被北京市海淀區(qū)工商局列為“北京市高新技術(shù)企業(yè)”，公司坐落于被稱為中國硅谷的“中關(guān)村科技核心”地帶，辦公面積1000平米，共計(jì)員工118人?！俺砷L科技”公司歷經(jīng)兩年多的發(fā)展與摸索，本著“根植教育、奉獻(xiàn)愛心、成就未來”的服務(wù)宗旨迅速的在中國互聯(lián)網(wǎng)行業(yè)中樹立了核心發(fā)展理念，被眾多同行業(yè)伙伴效仿。

“成長科技”發(fā)展大事記：

2005年10月 “成長科技”斥資4000萬元人民幣，建設(shè)國內(nèi)專業(yè)的0——6歲嬰幼兒家園共育互動(dòng)網(wǎng)絡(luò)平臺(tái)，004km.cn網(wǎng)站成立；

安康（公益）重點(diǎn)項(xiàng)目授權(quán)執(zhí)行機(jī)構(gòu) 北京健康成長科技發(fā)展有限公司

北京市海淀區(qū)中關(guān)村北大街151號(hào)北大資源大廈1016室 郵編：100080 電話：58876940 58876789-851 傳真：58876315

網(wǎng)址：004km.cn 北京健康成長科技發(fā)展有限公司

2006年1月 全國婦聯(lián)主席、人大副委員長顧秀蓮?fù)驹诤卑部导覉@捐建現(xiàn)場，親自點(diǎn)擊啟動(dòng)安康家園網(wǎng)絡(luò)項(xiàng)目，由此拉開了安康家園走向全國的序幕；

2006年6月 安康家園專家委員會(huì)成立，專家委員會(huì)由中國工程院、中國科學(xué)院四位院士牽頭，專家團(tuán)隊(duì)的成員共有300余名，涉及嬰幼兒教育教學(xué)、教育管理、心理健康、衛(wèi)生保健、法律咨詢五大領(lǐng)域，為安康家園的專業(yè)教育服務(wù)奠定基礎(chǔ)；

2006年8月 “成長科技”與澳大利亞最大的教育資源服務(wù)提供商“澳大利亞威爾頓教育集團(tuán)”簽約，雙方承諾為中國幼兒教育系統(tǒng)提供專業(yè)的教育資源服務(wù)；

2006年12月 “成長科技”與陜西婦聯(lián)、江蘇婦聯(lián)、山西婦聯(lián)、廣東婦聯(lián)等各省婦聯(lián)建立了捐建安康家園網(wǎng)絡(luò)項(xiàng)目的合作協(xié)議，使眾多幼兒園所及家庭受益；

2007年8月 “成長科技”與天津教育委員會(huì)達(dá)成合作捐建協(xié)議，作為與教育主管部門的首次合作，對(duì)安康家園與全國各省教育主管單位的全面合作起到重要作用；

2007年10月 “成長科技”與全球最大的數(shù)據(jù)庫服務(wù)運(yùn)營商“美國甲骨文集團(tuán)”簽訂合作協(xié)議，合作包括了技術(shù)支持、專業(yè)教學(xué)培訓(xùn)、資源共享等眾多領(lǐng)域；

2007年12月 “成長科技”被中國兒童少年基金會(huì)評(píng)為“公益明星單位”； 2008年2月 “成長科技”與中國移動(dòng)公司簽訂全面合作協(xié)議，由此啟動(dòng)了安康家園互聯(lián)網(wǎng)及移動(dòng)網(wǎng)技術(shù)的全面服務(wù)；

2008年8月 “成長科技”已經(jīng)與全國十個(gè)省份地區(qū)的教育主管單位簽訂了安康項(xiàng)目捐建協(xié)議，落戶安康家園的幼兒園所8000余所，家庭會(huì)員上百萬；

2008年10月 “成長科技”正式在安康家園網(wǎng)絡(luò)項(xiàng)目中啟動(dòng)“育優(yōu)家園共育整體解決方案”，這具有歷史意義一筆，開創(chuàng)了“安康家園”提供網(wǎng)絡(luò)教育服務(wù)模式的先河。

安康（公益）重點(diǎn)項(xiàng)目授權(quán)執(zhí)行機(jī)構(gòu) 北京健康成長科技發(fā)展有限公司

北京市海淀區(qū)中關(guān)村北大街151號(hào)北大資源大廈1016室 郵編：100080 電話：58876940 58876789-851 傳真：58876315

網(wǎng)址：004km.cn 北京健康成長科技發(fā)展有限公司

三、育優(yōu)家園共育整體解決方案

3-1 方案概述

通過安康家園網(wǎng)絡(luò)項(xiàng)目在全國兩年多的推廣和實(shí)踐，使我們積累了豐富和寶貴的互聯(lián)網(wǎng)運(yùn)營經(jīng)驗(yàn)。我們對(duì)全國10個(gè)省份的100家幼兒園所、5000多位家長進(jìn)行了真實(shí)需求的詳細(xì)抽樣調(diào)查，在分析調(diào)查的結(jié)果及總結(jié)安康家園各方面資源優(yōu)勢(shì)和特點(diǎn)的基礎(chǔ)之上，2008年10月安康家園網(wǎng)絡(luò)系統(tǒng)正式啟動(dòng)運(yùn)營“育優(yōu)家園共育整體解決方案”（簡稱：育優(yōu)項(xiàng)目）。“育優(yōu)項(xiàng)目”作為安康家園網(wǎng)絡(luò)項(xiàng)目的家園個(gè)性化服務(wù)產(chǎn)品，剛剛上線運(yùn)營就受到了廣大嬰幼兒家長及幼兒園所的認(rèn)同和好評(píng)?！坝齼?yōu)項(xiàng)目”不僅為0—6歲嬰幼兒家庭及幼兒園所搭建了科學(xué)育兒、家園共育的互動(dòng)網(wǎng)絡(luò)平臺(tái)，還為嬰幼兒家庭與幼兒園所提供了專業(yè)、個(gè)性化的教育服務(wù)，使廣大的嬰幼兒家庭及園所都能夠通過信息化手段科學(xué)、專業(yè)的撫育孩子健康成長?！坝齼?yōu)項(xiàng)目”提供的家園共育服務(wù)內(nèi)容由兩部分組成：一是為幼兒園提供的“安康教育信息化示范園服務(wù)”，二是為嬰幼兒家庭提供的“育優(yōu)聯(lián)盟會(huì)員服務(wù)”。

3-2安康教育信息化示范園服務(wù)介紹

3-2-1服務(wù)目標(biāo)：

? 讓幼兒園樹立自己的品牌形象 ? 完善幼兒園教師的專業(yè)技能 ? 讓幼兒園幫助家長實(shí)現(xiàn)科學(xué)育兒 ? 幼兒園與家庭共同實(shí)現(xiàn)家園共育 ? 完善幼兒園的信息化建設(shè)

安康（公益）重點(diǎn)項(xiàng)目授權(quán)執(zhí)行機(jī)構(gòu) 北京健康成長科技發(fā)展有限公司

北京市海淀區(qū)中關(guān)村北大街151號(hào)北大資源大廈1016室 郵編：100080 電話：58876940 58876789-851 傳真：58876315

網(wǎng)址：004km.cn 北京健康成長科技發(fā)展有限公司

3-2-2服務(wù)項(xiàng)目：

? 獲得專業(yè)的家園共育網(wǎng)絡(luò)平臺(tái)并接受信息化培訓(xùn)----園所在“安康家園”中獲得屬于自己的獨(dú)立域名空間、建設(shè)幼兒園個(gè)性化網(wǎng)站，開通各班級(jí)主頁、寶寶主頁、教師博客，實(shí)現(xiàn)有效的家園互動(dòng)與園所展示。園所如加入安康信息化示范園，則園長和教師需要接受安康網(wǎng)絡(luò)項(xiàng)目的專業(yè)培訓(xùn)，并獲得由中國兒童少年基金會(huì)和北京大學(xué)頒發(fā)的結(jié)業(yè)證書。

? 擁有育優(yōu)通短信發(fā)布系統(tǒng)及不定量的短信----育優(yōu)通短信發(fā)布系統(tǒng)是為幼兒園量身設(shè)計(jì)并開發(fā)的移動(dòng)網(wǎng)絡(luò)服務(wù)平臺(tái)，它實(shí)現(xiàn)了園所對(duì)家長及時(shí)、準(zhǔn)確的信息發(fā)布，并開通了中國移動(dòng)、中國聯(lián)通、小靈通用戶的全網(wǎng)服務(wù)，讓家園之間的溝通便捷、高速、及時(shí)，更好地體現(xiàn)了教育信息化幼兒園的核心能力。我們將根據(jù)幼兒園寶寶加入育優(yōu)聯(lián)盟會(huì)員的數(shù)量配增相應(yīng)的短信條數(shù)，可按每位會(huì)員每年200條計(jì)算。

? 參加中國兒基會(huì)組織的幼教工作者高級(jí)研修班學(xué)習(xí)----示范園園長每年寒、暑假均可參加由中國兒童少年基金會(huì)、中華女子學(xué)院共同主辦的幼教工作者高級(jí)研修班，提高幼教工作者專業(yè)水平，參會(huì)成員培訓(xùn)費(fèi)免費(fèi)，成績合格者授予園士榮譽(yù)。? 接受中國兒基會(huì)頒發(fā)的教育信息化示范園牌匾----即由中國兒童少年基金會(huì)育優(yōu)聯(lián)盟授予“安康教育信息化示范園”牌匾

3-3“育優(yōu)聯(lián)盟會(huì)員”服務(wù)介紹

3-3-1服務(wù)目標(biāo)：

? 讓家長科學(xué)的了解孩子的身心發(fā)展?fàn)顟B(tài)以更好的進(jìn)行因材施教； ? 讓家長在輕松的閱讀環(huán)境中獲得實(shí)用的育兒知識(shí)；

? 在家長遇到育兒的難題時(shí)，可以得到專業(yè)、權(quán)威的指導(dǎo)和幫助；

安康（公益）重點(diǎn)項(xiàng)目授權(quán)執(zhí)行機(jī)構(gòu) 北京健康成長科技發(fā)展有限公司

北京市海淀區(qū)中關(guān)村北大街151號(hào)北大資源大廈1016室 郵編：100080 電話：58876940 58876789-851 傳真：58876315

網(wǎng)址：004km.cn 北京健康成長科技發(fā)展有限公司

? 使家長能夠便捷地得到專業(yè)的育兒指導(dǎo)和最新的育兒資訊； ? 使家長在科學(xué)育兒的教育環(huán)境中撫育孩子健康成長；

3-3-2服務(wù)內(nèi)容：

? 科學(xué)嚴(yán)謹(jǐn)?shù)膵胗變撼砷L測評(píng)與育優(yōu)課程----以幼兒身心發(fā)展特點(diǎn)為線索，對(duì)幼兒的身體與運(yùn)動(dòng)、語言、思維、記憶、社會(huì)性等各項(xiàng)能力進(jìn)行科學(xué)測評(píng)，并在測評(píng)后24小時(shí)內(nèi)生成測評(píng)報(bào)告，再根據(jù)測評(píng)報(bào)告結(jié)果向家長分階段推薦育優(yōu)個(gè)性化基礎(chǔ)課程及提高性拓展課程。

● 北京大學(xué)心理學(xué)系蘇彥捷教授牽頭研發(fā)

● 經(jīng)國內(nèi)知名心理學(xué)家、教育學(xué)家、醫(yī)學(xué)專家聯(lián)合評(píng)審 ● 中國兒童少年基金會(huì)唯一推薦測評(píng)系統(tǒng)

作用：通過科學(xué)嚴(yán)謹(jǐn)?shù)膵胗變褐悄軠y評(píng)系統(tǒng)讓家長及時(shí)準(zhǔn)確掌握孩子在成長關(guān)鍵期的身心發(fā)展情況，與此同時(shí)家長與孩子可以通過對(duì)育優(yōu)課程的學(xué)習(xí)和操作提高弱項(xiàng)能力，使孩子能夠在多項(xiàng)智能均衡發(fā)展的前提下健康成長。

? 《愛貝貝I-BaBy》電子雜志----《愛貝貝I-BaBy》電子雜志每月為2-6歲嬰幼兒家長提供教育及生活策略、資訊，并搭建溝通、交流的橋梁；同時(shí)為家長與孩子提供智力開發(fā)、才藝成長、入學(xué)準(zhǔn)備等方面的親子游戲。

● 全國婦聯(lián)主席顧秀蓮?fù)居H筆題詞 ● 中國兒童少年基金會(huì)推薦雜志 ● 全國頂尖技術(shù)制作團(tuán)隊(duì)加盟

作用：通過將傳統(tǒng)紙質(zhì)載體進(jìn)行多媒體創(chuàng)新的技術(shù)手段，為2—6嬰幼兒家長定期提供生活——教育類原創(chuàng)電子雜志，即增強(qiáng)了家長科學(xué)育兒的能力，還實(shí)現(xiàn)了家庭寓教于樂的意義。

? 育優(yōu)短信服務(wù)----育優(yōu)短信服務(wù)是指每周將通過手機(jī)短信的形安康（公益）重點(diǎn)項(xiàng)目授權(quán)執(zhí)行機(jī)構(gòu) 北京健康成長科技發(fā)展有限公司 北京市海淀區(qū)中關(guān)村北大街151號(hào)北大資源大廈1016室 郵編：100080 電話：58876940 58876789-851 傳真：58876315

網(wǎng)址：004km.cn 北京健康成長科技發(fā)展有限公司

式向家長提供“成長提示”和“幼教資訊”，兩項(xiàng)服務(wù)每周共計(jì)三條短信。

1)成長提示：將根據(jù)孩子月齡的變化成長，適時(shí)提醒孩子在關(guān)鍵期的注意事項(xiàng)；對(duì)于不同季節(jié)給孩子帶來的影響給予溫馨提示。

2)幼教資訊：匯聚國內(nèi)外最新研究成果、教育新聞、及時(shí)發(fā)送。

作用：利用最為便捷的手機(jī)載體，及時(shí)準(zhǔn)確的將育兒信息和幼兒資訊發(fā)送到家長手中，同時(shí)實(shí)現(xiàn)了中國移動(dòng)、聯(lián)通和小聯(lián)通用戶的全網(wǎng)覆蓋。讓家長身在何處都可以與世界的信息共同分享。

? 我的專家----將中國家長最關(guān)心的育兒問題與安康專家的精彩回答匯編成上百萬字的專家答疑題庫，供家長搜索查閱。對(duì)家長提出的個(gè)性化問題，“我的專家”給予會(huì)員每年12次的在線提問權(quán)利。育優(yōu)專家將在三個(gè)工作日內(nèi)，對(duì)問題進(jìn)行個(gè)性化解答。作用：讓廣大嬰幼兒家長可以與權(quán)威專家進(jìn)行一對(duì)一互動(dòng)、資訊，致力于使專家的智慧為每位孩子的成長保駕護(hù)航，讓專業(yè)貼心的教育服務(wù)伴隨孩子成長。

3-3-3服務(wù)優(yōu)勢(shì)：

“育優(yōu)聯(lián)盟會(huì)員”服務(wù)實(shí)現(xiàn)了全國五個(gè)第一

? 第一次大規(guī)模整合300余位幼兒各個(gè)領(lǐng)域?qū)＜覅⑴c研發(fā)； ? 第一次整合網(wǎng)絡(luò)優(yōu)勢(shì)與短信優(yōu)勢(shì)于幼教領(lǐng)域，實(shí)現(xiàn)了中國移動(dòng)、聯(lián)通、小靈通用戶的全面覆蓋；

? 第一份專門針對(duì)2-6歲寶寶家庭育兒——生活類的原創(chuàng)電子雜志；

? 唯一一套獲得中國兒童少年基金會(huì)推薦的幼兒成長測評(píng)與家庭安康（公益）重點(diǎn)項(xiàng)目授權(quán)執(zhí)行機(jī)構(gòu) 北京健康成長科技發(fā)展有限公司 北京市海淀區(qū)中關(guān)村北大街151號(hào)北大資源大廈1016室 郵編：100080 電話：58876940 58876789-851 傳真：58876315

網(wǎng)址：004km.cn 北京健康成長科技發(fā)展有限公司

課程

? 唯一承諾三個(gè)工作日內(nèi)有問必答的貼心專家服務(wù)。

四、育優(yōu)家園共育整體解決方案的服務(wù)模式及收費(fèi)方式

育優(yōu)家園共育整體解決方案包括安康教育信息化示范園服務(wù)及育優(yōu)聯(lián)盟會(huì)員服務(wù)，其中安康教育信息化示范園服務(wù)屬于國家三大公益項(xiàng)目之一的“安康計(jì)劃”的重要組成部分。此部分從2005年已經(jīng)開始運(yùn)作，至今已經(jīng)與全國十個(gè)省份地區(qū)的教育主管單位簽訂了安康項(xiàng)目捐建協(xié)議，落戶安康家園的幼兒園所8000余所，家庭會(huì)員上百萬。公司還將繼續(xù)進(jìn)行安康家園的捐建，推廣完善全國幼兒園所的信息化建設(shè)。

另一部分是育優(yōu)聯(lián)盟會(huì)員服務(wù)，此為收費(fèi)服務(wù)，但由于我們整個(gè)項(xiàng)目起源于公益事業(yè)，我們的定價(jià)遠(yuǎn)遠(yuǎn)低于其服務(wù)的實(shí)際估值水準(zhǔn)，目前為360元/年。

五、核心理念

育優(yōu)家園共育整體解決方案（簡稱育優(yōu)項(xiàng)目）是在教育信息化高速發(fā)展的背景下，為中國0~6歲嬰幼兒家庭和幼兒園提供的個(gè)性化教育服務(wù)解決方案。育優(yōu)項(xiàng)目通過線上服務(wù)結(jié)合線下多元化渠道的推廣，實(shí)現(xiàn)園所、家庭、社會(huì)及我們的多方共贏，并促進(jìn)廣大嬰幼兒在科學(xué)、和諧的家園環(huán)境中健康成長，家園共育、科學(xué)育兒是育優(yōu)項(xiàng)目的核心理念。

六、結(jié)束語

讓我們一起努力，為新苗竭誠奉獻(xiàn)、使幼教事業(yè)增輝！

安康（公益）重點(diǎn)項(xiàng)目授權(quán)執(zhí)行機(jī)構(gòu) 北京健康成長科技發(fā)展有限公司 北京市海淀區(qū)中關(guān)村北大街151號(hào)北大資源大廈1016室 郵編：100080 電話：58876940 58876789-851 傳真：58876315

網(wǎng)址：004km.cn

第五篇：內(nèi)網(wǎng)安全整體解決方案

內(nèi)網(wǎng)安全整體解決方案

內(nèi)網(wǎng)安全整體解決方案

二〇一八年五月

第 i 頁 內(nèi)網(wǎng)安全整體解決方案

目錄

第一章 總體方案設(shè)計(jì)......................................................................................................................................3 1.1 依據(jù)政策標(biāo)準(zhǔn)...............................................................................................................................................3 1.1.1 國內(nèi)政策和標(biāo)準(zhǔn)..................................................................................................................................3 1.1.2 國際標(biāo)準(zhǔn)及規(guī)范..................................................................................................................................5 1.2 設(shè)計(jì)原則.......................................................................................................................................................5 1.3 總體設(shè)計(jì)思想...............................................................................................................................................6 第二章 技術(shù)體系詳細(xì)設(shè)計(jì)..............................................................................................................................8 2.1 技術(shù)體系總體防護(hù)框架...............................................................................................................................8 2.2 內(nèi)網(wǎng)安全計(jì)算環(huán)境詳細(xì)設(shè)計(jì).......................................................................................................................8 2.2.1 傳統(tǒng)內(nèi)網(wǎng)安全計(jì)算環(huán)境總體防護(hù)設(shè)計(jì)..............................................................................................8 2.2.2 虛擬化內(nèi)網(wǎng)安全計(jì)算環(huán)境總體防護(hù)設(shè)計(jì)........................................................................................16 2.3 內(nèi)網(wǎng)安全數(shù)據(jù)分析.....................................................................................................................................25 2.3.1 內(nèi)網(wǎng)安全風(fēng)險(xiǎn)態(tài)勢(shì)感知....................................................................................................................25 2.3.2 內(nèi)網(wǎng)全景流量分析............................................................................................................................25 2.3.3 內(nèi)網(wǎng)多源威脅情報(bào)分析....................................................................................................................27 2.4 內(nèi)網(wǎng)安全管控措施.....................................................................................................................................27 2.4.1 內(nèi)網(wǎng)安全風(fēng)險(xiǎn)主動(dòng)識(shí)別....................................................................................................................27 2.4.2 內(nèi)網(wǎng)統(tǒng)一身份認(rèn)證與權(quán)限管理........................................................................................................29 2.4.1 內(nèi)網(wǎng)安全漏洞統(tǒng)一管理平臺(tái)............................................................................................................32 第三章 內(nèi)網(wǎng)安全防護(hù)設(shè)備清單.....................................................................................................................33

第 ii 頁 內(nèi)網(wǎng)安全整體解決方案

第一章 總體方案設(shè)計(jì)

1.1 依據(jù)政策標(biāo)準(zhǔn)

1.1.1 國內(nèi)政策和標(biāo)準(zhǔn)

1．《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號(hào)令）2．《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)〔2003〕27號(hào)）

3．《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字〔2004〕66號(hào)）4．《信息安全等級(jí)保護(hù)管理辦法》（公通字〔2007〕43號(hào))5．《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安〔2007〕861號(hào)）

6．《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》（公信安〔2007〕1360號(hào)）7．《公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范》（公信安〔2008〕736號(hào)）8．《關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》（發(fā)改高技〔2008〕2071號(hào)）

9．《關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》（公信安〔2009〕1429號(hào)）

10． 國資委、公安部《關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級(jí)保護(hù)工作的通知》（公通字[2010]70號(hào)文）

11． 《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測評(píng)體系建設(shè)和開展等保測評(píng)工作的通知》（公信安[2010]303號(hào)文）

12． 國資委《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》（國資發(fā)〔2010〕41號(hào)）13． 《GB/T 22239.1-XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第1部分 安全通用要求（征求意見稿）》

14． 《GB/T 22239.2-XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

第 3 頁 內(nèi)網(wǎng)安全整體解決方案

第2部分：云計(jì)算安全擴(kuò)展要求（征求意見稿）》

15． 《GB/T 25070.2-XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求 第2部分：云計(jì)算安全要求（征求意見稿）》

16． 《GA/T 20—XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南（征求意見稿）》

17． 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 18． 《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》 19． 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》 20． 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 21． 《計(jì)算機(jī)信息系統(tǒng) 安全等級(jí)保護(hù)劃分準(zhǔn)則》 22． 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求》 23． 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南》 24． 《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》 25． 《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》

26． 《信息安全技術(shù) 信息系統(tǒng)安全通用技術(shù)要求（技術(shù)類）》 27． 《信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)要求（技術(shù)類）》 28． 《信息安全技術(shù) 公共基礎(chǔ)設(shè)施 PKI系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求》 29． 《信息安全技術(shù) 信息系統(tǒng)安全管理要求（管理類）》 30． 《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（管理類）》 31． 《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》 32． 《信息技術(shù) 安全技術(shù) 信息安全事件管理指南》 33． 《信息安全技術(shù) 信息安全事件分類分級(jí)指南》 34． 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)體系框架》 35． 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本模型》

第 4 頁 內(nèi)網(wǎng)安全整體解決方案

36． 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本配置》

37． 《信息安全技術(shù) 應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)指南》 38． 《信息安全技術(shù) 應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用測試指南》 39． 《信息安全技術(shù) 信息系統(tǒng)安全管理測評(píng)》

40． 《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》

1.1.2 國際標(biāo)準(zhǔn)及規(guī)范

1．國際信息安全I(xiàn)SO27000系列 2．國際服務(wù)管理標(biāo)準(zhǔn)ISO20000 3．ITIL最佳實(shí)踐 4．企業(yè)內(nèi)控COBIT 1.2 設(shè)計(jì)原則

隨著單位信息化建設(shè)的不斷加強(qiáng)，某單位內(nèi)網(wǎng)的終端計(jì)算機(jī)數(shù)量還在不斷增加，網(wǎng)絡(luò)中的應(yīng)用日益復(fù)雜。某單位信息安全部門保障著各種日常工作的正常運(yùn)行。

目前為了維護(hù)網(wǎng)絡(luò)內(nèi)部的整體安全及提高系統(tǒng)的管理控制，需要對(duì)單位內(nèi)網(wǎng)辦公終端、服務(wù)器、信息系統(tǒng)、關(guān)鍵數(shù)據(jù)、網(wǎng)絡(luò)設(shè)備等統(tǒng)一進(jìn)行安全防護(hù)，加強(qiáng)對(duì)非法外聯(lián)、終端入侵、病毒傳播、數(shù)據(jù)失竊等極端情況的風(fēng)險(xiǎn)抑制措施。同時(shí)對(duì)于內(nèi)部業(yè)務(wù)系統(tǒng)的服務(wù)器進(jìn)行定向加固，避免由于外部入侵所導(dǎo)致的主機(jī)失陷

第 5 頁 內(nèi)網(wǎng)安全整體解決方案 等安全事件的發(fā)生

如上圖所示，本項(xiàng)目的設(shè)計(jì)原則具體包括：

? 整體設(shè)計(jì)，重點(diǎn)突出原則 ? 縱深防御原則

? 追求架構(gòu)先進(jìn)、技術(shù)成熟，擴(kuò)展性強(qiáng)原則 ? 統(tǒng)一規(guī)劃，分布實(shí)施原則 ? 持續(xù)安全原則 ? 可視、可管、可控原則

1.3 總體設(shè)計(jì)思想

如上圖所示，本方案依據(jù)國家信息安全相關(guān)政策和標(biāo)準(zhǔn)，堅(jiān)持管理和技術(shù)并重的原則，將技術(shù)和管理措施有機(jī)的結(jié)合，建立信息系統(tǒng)綜合防護(hù)體系，通過“1341”的設(shè)計(jì)思想進(jìn)行全局規(guī)劃，具體內(nèi)容：

第 6 頁 內(nèi)網(wǎng)安全整體解決方案

? 一個(gè)體系

以某單位內(nèi)網(wǎng)安全為核心、以安全防護(hù)體系為支撐，從安全風(fēng)險(xiǎn)考慮，建立符合用戶內(nèi)網(wǎng)實(shí)際場景的安全基線，通過構(gòu)建縱深防御體系、內(nèi)部行為分析、外部情報(bào)接入，安全防護(hù)接入與虛擬主機(jī)防護(hù)接入等能力，構(gòu)建基于虛擬化云安全資源池+傳統(tǒng)硬件安全設(shè)備的下一代內(nèi)網(wǎng)安全防御體系。

? 三道防線

結(jié)合縱深防御的思想，從內(nèi)網(wǎng)安全計(jì)算環(huán)境、內(nèi)網(wǎng)安全數(shù)據(jù)分析、內(nèi)網(wǎng)安全管控手段三個(gè)層次，從用戶實(shí)際業(yè)務(wù)出發(fā)，構(gòu)建統(tǒng)一安全策略和防護(hù)機(jī)制，實(shí)現(xiàn)內(nèi)網(wǎng)核心系統(tǒng)和內(nèi)網(wǎng)關(guān)鍵數(shù)據(jù)的風(fēng)險(xiǎn)可控。

? 四個(gè)安全能力

采用主動(dòng)防御安全體系框架，結(jié)合業(yè)務(wù)和數(shù)據(jù)安全需求，實(shí)現(xiàn)“預(yù)測、防御、檢測、響應(yīng)”四種安全能力，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的可管、可控、可視及可持續(xù)。

? 預(yù)測能力：通過運(yùn)用大數(shù)據(jù)技術(shù)對(duì)內(nèi)部的安全數(shù)據(jù)和外部的威脅情報(bào)進(jìn)行主動(dòng)探索分析和評(píng)估具體包括行為建模與分析、安全基線與態(tài)勢(shì)分析、能夠使問題出現(xiàn)前提早發(fā)現(xiàn)問題，甚至遇見可能侵襲的威脅，隨之調(diào)整安全防護(hù)策略來應(yīng)對(duì)。

? 防御能力：采用加固和隔離系統(tǒng)降低攻擊面，限制黑客接觸系統(tǒng)、發(fā)現(xiàn)漏洞和執(zhí)行惡意代碼的能力，并通過轉(zhuǎn)移攻擊手段使攻擊者難以定位真正的系統(tǒng)核心以及可利用漏洞，以及隱藏混淆系統(tǒng)接口信息(如創(chuàng)建虛假系統(tǒng)、漏洞和信息)，此外，通過事故預(yù)防和安全策略合規(guī)審計(jì)的方式通過統(tǒng)一的策略管理和策略的聯(lián)動(dòng)，防止黑客未授權(quán)而進(jìn)入系統(tǒng)，并判斷現(xiàn)有策略的合規(guī)性并進(jìn)行相應(yīng)的優(yōu)化設(shè)置。

? 檢測能力：通過對(duì)業(yè)務(wù)、數(shù)據(jù)和基礎(chǔ)設(shè)施的全面檢測，結(jié)合現(xiàn)有的安全策略提出整改建議，與網(wǎng)絡(luò)運(yùn)維系統(tǒng)聯(lián)動(dòng)實(shí)現(xiàn)安全整改和策略變更后，并進(jìn)行持續(xù)監(jiān)控，結(jié)合外部安全情況快速發(fā)現(xiàn)安全漏洞并進(jìn)行響應(yīng)。

? 響應(yīng)能力：與網(wǎng)絡(luò)運(yùn)維系統(tǒng)進(jìn)行對(duì)接，實(shí)現(xiàn)安全聯(lián)動(dòng)，出現(xiàn)安全漏洞時(shí)在短時(shí)間內(nèi)，進(jìn)行安全策略的快速調(diào)整，將被感染的系統(tǒng)和賬戶進(jìn)行隔離，通過回顧分析事件完整過程，利用持續(xù)監(jiān)控所獲取的數(shù)據(jù)，解決相應(yīng)安全問題。

第 7 頁 內(nèi)網(wǎng)安全整體解決方案

第二章 技術(shù)體系詳細(xì)設(shè)計(jì)

2.1 技術(shù)體系總體防護(hù)框架

在進(jìn)行內(nèi)網(wǎng)安全防護(hù)技術(shù)體系詳細(xì)設(shè)計(jì)時(shí)，充分考慮某單位內(nèi)部網(wǎng)絡(luò)面臨的威脅風(fēng)險(xiǎn)和安全需求，并遵循《信息系統(tǒng)等級(jí)保護(hù)基本要求》、《GB/T 22239.1-XXXX 信息安全技術(shù)，網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求：第1部分-安全通用要求（征求意見稿）》，通過對(duì)內(nèi)網(wǎng)安全計(jì)算環(huán)境、內(nèi)網(wǎng)安全數(shù)據(jù)分析、內(nèi)網(wǎng)安全管控手段等各種防護(hù)措施的詳細(xì)設(shè)計(jì)，形成“信息安全技術(shù)體系三重防護(hù)”的信息安全技術(shù)防護(hù)體，達(dá)到《信息系統(tǒng)等級(jí)保護(hù)基本要求》、《GB/T 22239.1-XXXX 信息安全技術(shù)，網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求：第1部分-安全通用要求（征求意見稿）》切實(shí)做到內(nèi)部網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)可控。

三重防護(hù)主要包括：內(nèi)網(wǎng)安全計(jì)算環(huán)境、內(nèi)網(wǎng)安全數(shù)據(jù)分析、內(nèi)網(wǎng)安全管控措施。

2.2 內(nèi)網(wǎng)安全計(jì)算環(huán)境詳細(xì)設(shè)計(jì)

2.2.1 傳統(tǒng)內(nèi)網(wǎng)安全計(jì)算環(huán)境總體防護(hù)設(shè)計(jì)

第 8 頁 內(nèi)網(wǎng)安全整體解決方案

如上圖所示，在內(nèi)網(wǎng)安全計(jì)算環(huán)境方面結(jié)合互聯(lián)網(wǎng)與辦公網(wǎng)的攻擊，圍繞網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)層實(shí)現(xiàn)安全防護(hù)，具體內(nèi)容包括：

? 網(wǎng)絡(luò)層安全防護(hù)設(shè)計(jì)

1、通過FW或vFW中的FW、AV、IPS模塊實(shí)現(xiàn)網(wǎng)絡(luò)層訪問控制、惡意代碼防護(hù)、入侵防御。

2、在各個(gè)內(nèi)網(wǎng)安全域邊界處，部署防火墻實(shí)現(xiàn)域邊界的網(wǎng)絡(luò)層訪問控制。

3、在內(nèi)網(wǎng)邊界處部署流量監(jiān)控設(shè)備，實(shí)現(xiàn)全景網(wǎng)絡(luò)流量監(jiān)控與審計(jì)，并對(duì)數(shù)據(jù)包進(jìn)行解析，通過會(huì)話時(shí)間、協(xié)議類型等判斷業(yè)務(wù)性能和交互響應(yīng)時(shí)間。

? 主機(jī)層安全防護(hù)與設(shè)計(jì)

1、在各個(gè)區(qū)域的核心交換處部署安全沙箱，實(shí)現(xiàn)主機(jī)入侵行為和未知威脅分析與預(yù)警。

2、通過自適應(yīng)安全監(jiān)測系統(tǒng)，對(duì)主機(jī)操作系統(tǒng)類型、版本、進(jìn)程、賬號(hào)權(quán)限、反彈shell、漏洞威脅等進(jìn)行全面的監(jiān)控與預(yù)警。? 應(yīng)用層安全防護(hù)與設(shè)計(jì)

1、在通過外部服務(wù)域部署WAF設(shè)備實(shí)現(xiàn)應(yīng)用層基于入侵特征識(shí)別的安全防護(hù)

第 9 頁 內(nèi)網(wǎng)安全整體解決方案

2、通過自適應(yīng)安全監(jiān)測系統(tǒng)，對(duì)應(yīng)用支撐系統(tǒng)的類型、版本、框架路徑、訪問權(quán)限、漏洞威脅等進(jìn)行全面的監(jiān)控與預(yù)警。? 數(shù)據(jù)層安全防護(hù)與設(shè)計(jì)

1、在數(shù)據(jù)資源域邊界處部署數(shù)據(jù)庫防護(hù)墻實(shí)現(xiàn)敏感信息的訪問控制

2、在數(shù)據(jù)資源域邊界處部署數(shù)據(jù)庫審計(jì)設(shè)備實(shí)現(xiàn)數(shù)據(jù)庫的操作審計(jì)。

3、在互聯(lián)網(wǎng)接入域部署VPN設(shè)備，實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)傳輸通道的加密

2.2.1.1 內(nèi)網(wǎng)邊界安全

2.2.1.1.1 內(nèi)網(wǎng)邊界隔離

嚴(yán)格控制進(jìn)出內(nèi)網(wǎng)信息系統(tǒng)的訪問，明確訪問的來源、訪問的對(duì)象及訪問的類型，確保合法訪問的正常進(jìn)行，杜絕非法及越權(quán)訪問；同時(shí)有效預(yù)防、發(fā)現(xiàn)、處理異常的網(wǎng)絡(luò)訪問，確保該區(qū)域信息網(wǎng)絡(luò)正常訪問活動(dòng)。2.2.1.1.1 內(nèi)網(wǎng)惡意代碼防范

病毒、蠕蟲、木馬、流氓軟件等各類惡意代碼已經(jīng)成為互聯(lián)網(wǎng)接入所面臨的重要威脅之一，面對(duì)越發(fā)復(fù)雜的網(wǎng)絡(luò)環(huán)境，傳統(tǒng)的網(wǎng)絡(luò)防病毒控制體系沒有從引入威脅的最薄弱環(huán)節(jié)進(jìn)行控制，即便采取一些手段加以簡單的控制，也仍然不能消除來自外界的繼續(xù)攻擊，短期消滅的危害仍會(huì)繼續(xù)存在。為了解決上述問題，對(duì)網(wǎng)絡(luò)安全實(shí)現(xiàn)全面控制，一個(gè)有效的控制手段應(yīng)勢(shì)而生：從內(nèi)網(wǎng)邊界入手，切斷傳播途徑，實(shí)現(xiàn)網(wǎng)關(guān)級(jí)的過濾控制。

建議在該區(qū)域部署防病毒網(wǎng)關(guān)，對(duì)進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進(jìn)行病毒、惡意代碼掃描和和過濾處理，并提供防病毒引擎和病毒庫的自動(dòng)在線升級(jí)，徹底阻斷病毒、蠕蟲及各種惡意代碼向數(shù)據(jù)中心或辦公區(qū)域網(wǎng)絡(luò)傳播 2.2.1.1.2 內(nèi)網(wǎng)系統(tǒng)攻擊防護(hù)

網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)作為一種在線部署的產(chǎn)品，提供主動(dòng)的、實(shí)時(shí)的防護(hù)，其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測網(wǎng)絡(luò)異常流量，自動(dòng)對(duì)各類攻擊性的流量，IPS系統(tǒng)工作在第二層到第七層，通常使用特征匹配和異常分析的方法來識(shí)別各種網(wǎng)絡(luò)攻擊行為，尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷，而不是簡單地在監(jiān)測到惡意流量的同時(shí)或之后才發(fā)出告警。

第 10 頁 內(nèi)網(wǎng)安全整體解決方案

IPS是通過直接串聯(lián)到網(wǎng)絡(luò)鏈路中而實(shí)現(xiàn)這一功能的，即IPS接收到外部數(shù)據(jù)流量時(shí)，如果檢測到攻擊企圖，就會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。IPS以在線串聯(lián)方式部署實(shí)現(xiàn)對(duì)檢測到的各種攻擊行為進(jìn)行直接阻斷并生成日志報(bào)告和報(bào)警信息。2.2.1.1.3 內(nèi)網(wǎng)信息隔離防護(hù)

建議在內(nèi)網(wǎng)核心業(yè)務(wù)區(qū)的邊界部署安全隔離網(wǎng)閘，為了保證數(shù)據(jù)安全，高密級(jí)網(wǎng)與低密級(jí)網(wǎng)絡(luò)之間，要求數(shù)據(jù)只能從低密級(jí)網(wǎng)絡(luò)流向高密級(jí)網(wǎng)絡(luò)。為解決高密級(jí)網(wǎng)絡(luò)通過連接環(huán)境泄密問題設(shè)計(jì)的安全隔離與信息單項(xiàng)導(dǎo)入系統(tǒng)（即安全隔離網(wǎng)閘）。該設(shè)備由于其物理單向無反饋環(huán)境、基于數(shù)據(jù)的單項(xiàng)導(dǎo)入，使黑客無法通過該套系統(tǒng)進(jìn)行入侵和探測，同時(shí)行為得不到任何反饋信息，在為用戶提供絕對(duì)單向無反饋傳輸功能的同時(shí)，為用戶提供高級(jí)別的網(wǎng)絡(luò)攻擊安全防護(hù)解決方案。

2.2.1.1 內(nèi)網(wǎng)主機(jī)安全

2.2.1.1.1 內(nèi)網(wǎng)用戶行為管控

上網(wǎng)行為管理系統(tǒng)是為滿足單位內(nèi)部網(wǎng)絡(luò)行為管理和內(nèi)容審計(jì)的專業(yè)產(chǎn)品。系統(tǒng)不僅具有防止非法信息傳播、敏感信息泄露，實(shí)時(shí)監(jiān)控、日志追溯，網(wǎng)絡(luò)資源管理，還具有強(qiáng)大的用戶管理、報(bào)表統(tǒng)計(jì)分析功能。

上網(wǎng)行為管理具有高效實(shí)時(shí)的網(wǎng)絡(luò)數(shù)據(jù)采集能力、智能的信息處理能力、強(qiáng)大的內(nèi)容審計(jì)分析能力、精細(xì)的行為管理能力，是一款高性能、智能靈活、易于管理和擴(kuò)展的上網(wǎng)行為管理產(chǎn)品。2.2.1.1.2 內(nèi)網(wǎng)非授權(quán)用戶準(zhǔn)入

在信息化越來越簡便的背景下，任何接入網(wǎng)絡(luò)的設(shè)備和人員都有可能對(duì)內(nèi)網(wǎng)信息資源構(gòu)成威脅，因此針對(duì)辦公計(jì)算機(jī)以及分支機(jī)構(gòu)接入的系統(tǒng)安全以及訪問區(qū)域管理顯的尤為重要，如果出現(xiàn)安全事故或越權(quán)訪問的情況，將會(huì)嚴(yán)重影響整體業(yè)務(wù)系統(tǒng)運(yùn)行安全。

由于信息化程度較高，終端點(diǎn)數(shù)較多，對(duì)IT軟硬件的資產(chǎn)管理及故障維護(hù)如果單純靠人工施行難度和工作量都比較大且效率比較低，同時(shí)如果員工存在對(duì)管

第 11 頁 內(nèi)網(wǎng)安全整體解決方案

理制度執(zhí)行不到位的情況出現(xiàn)，就迫切需要通過技術(shù)手段規(guī)范員工的入網(wǎng)行為。

為加強(qiáng)網(wǎng)絡(luò)信息安全管理以及內(nèi)部PC的安全管理，提高內(nèi)網(wǎng)辦公效率，應(yīng)建立一套終端準(zhǔn)入管理系統(tǒng)，重點(diǎn)解決以下問題：

入網(wǎng)終端注冊(cè)和認(rèn)證化

采用的是雙實(shí)名制認(rèn)證方式，其包含對(duì)終端機(jī)器的認(rèn)證和使用人員的認(rèn)證，終端注冊(cè)的目的是為了方便管理員了解入網(wǎng)機(jī)器是否為合法的終端，認(rèn)證的目的是使用終端的人身份的合法性，做到人機(jī)一一對(duì)應(yīng)，一旦出現(xiàn)安全事故，也便于迅速定位終端和人。

違規(guī)終端不準(zhǔn)入網(wǎng) 違規(guī)終端定義

外來終端：外部訪客使用的終端，或者為非內(nèi)部人員使用的、不屬于內(nèi)部辦公用終端（員工私人終端等）；

違規(guī)終端：未能通過身份合法性、安全設(shè)置合規(guī)性檢查的終端。

入網(wǎng)終端安全修復(fù)合規(guī)化

終端入網(wǎng)時(shí)若不符合單位要求的安全規(guī)范，則會(huì)被暫時(shí)隔離，無法訪問業(yè)務(wù)網(wǎng)絡(luò)，待將問題修復(fù)符合單位安全規(guī)范后才能正常訪問單位網(wǎng)絡(luò)。

內(nèi)網(wǎng)基于用戶的訪問控制

內(nèi)網(wǎng)基于用戶的訪問控制：可以通過用戶組（角色）的方式定義不同的訪問權(quán)限，如內(nèi)部員工能夠訪問全網(wǎng)資源，來賓訪客只允許訪問有限的網(wǎng)絡(luò)資源。2.2.1.1.3 內(nèi)網(wǎng)終端安全防護(hù)

建議部署終端安全管理系統(tǒng)，為數(shù)據(jù)中心運(yùn)維人員提供終端安全準(zhǔn)入，防止運(yùn)維人員終端自身的安全問題影響數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)。在具備補(bǔ)丁管理、802.1x準(zhǔn)入控制、存儲(chǔ)介質(zhì)（U盤等）管理、非法外聯(lián)管理、終端安全性檢查、終端狀態(tài)監(jiān)控、終端行為監(jiān)控、安全報(bào)警等功能基礎(chǔ)上，增加風(fēng)險(xiǎn)管理和主動(dòng)防范機(jī)制，具備完善的違規(guī)監(jiān)測和風(fēng)險(xiǎn)分析，實(shí)現(xiàn)有效防護(hù)和控制，降低風(fēng)險(xiǎn)，并指導(dǎo)持續(xù)改進(jìn)和完善防護(hù)策略，并具備終端敏感信息檢查功能，支持終端流量監(jiān)控，非常

第 12 頁 內(nèi)網(wǎng)安全整體解決方案

適合于對(duì)數(shù)據(jù)中心運(yùn)維終端的安全管理。

終端安全管理系統(tǒng)，提供針對(duì)Windows桌面終端的軟硬件資產(chǎn)管理、終端行為監(jiān)管、終端安全防護(hù)、非法接入控制、非法外聯(lián)監(jiān)控、補(bǔ)丁管理等功能，采用統(tǒng)一策略下發(fā)并強(qiáng)制策略執(zhí)行的機(jī)制，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)部終端系統(tǒng)的管理和維護(hù)，從而有效地保護(hù)用戶計(jì)算機(jī)系統(tǒng)安全和信息數(shù)據(jù)安全。2.2.1.1.4 內(nèi)網(wǎng)服務(wù)器安全加固

建議在內(nèi)網(wǎng)所有服務(wù)器部署安全加固組件，針對(duì)內(nèi)外網(wǎng)IP、對(duì)內(nèi)對(duì)外端口、進(jìn)程、域名、賬號(hào)、主機(jī)信息、web容器、第三方組件、數(shù)據(jù)庫、安全與業(yè)務(wù)分組信息進(jìn)行服務(wù)器信息匯總。主動(dòng)對(duì)服務(wù)器進(jìn)行系統(tǒng)漏洞補(bǔ)丁識(shí)別、管理及修復(fù)、系統(tǒng)漏洞發(fā)現(xiàn)、識(shí)別、管理及修復(fù)、弱口令漏洞識(shí)別及修復(fù)建議、高危賬號(hào)識(shí)別及管理、應(yīng)用配置缺陷風(fēng)險(xiǎn)識(shí)別及管理。7*24小時(shí)對(duì)服務(wù)器進(jìn)行登錄監(jiān)控、完整性監(jiān)控、進(jìn)程監(jiān)控、系統(tǒng)資源監(jiān)控、性能監(jiān)控、操作審計(jì)。通過對(duì)服務(wù)器整體威脅分析、病毒檢測與查殺、反彈shell識(shí)別處理、異常賬號(hào)識(shí)別處理、端口掃描檢測、日志刪除、登錄/進(jìn)程異常、系統(tǒng)命令篡改等入侵事件發(fā)現(xiàn)及處理。最終完成對(duì)服務(wù)器立體化的多維度安全加固。2.2.1.1.5 內(nèi)網(wǎng)服務(wù)器安全運(yùn)維

由于設(shè)備眾多、系統(tǒng)操作人員復(fù)雜等因素，導(dǎo)致越權(quán)訪問、誤操作、資源濫用、疏忽泄密等時(shí)有發(fā)生。黑客的惡意訪問也有可能獲取系統(tǒng)權(quán)限，闖入部門或單位內(nèi)部網(wǎng)絡(luò)，造成不可估量的損失。終端的賬號(hào)和口令的安全性，也是安全管理中難以解決的問題。如何提高系統(tǒng)運(yùn)維管理水平，滿足相關(guān)法規(guī)的要求，防止黑客的入侵和惡意訪問，跟蹤服務(wù)器上用戶行為，降低運(yùn)維成本，提供控制和審計(jì)依據(jù)，越來越成為內(nèi)部網(wǎng)絡(luò)控制中的核心安全問題。

安全運(yùn)維審計(jì)是一種符合4A(認(rèn)證Authentication、賬號(hào)Account、授權(quán)Authorization、審計(jì)Audit)要求的統(tǒng)一安全管理平臺(tái)，在網(wǎng)絡(luò)訪問控制系統(tǒng)（如：防火墻、帶有訪問控制功能的交換機(jī)）的配合下，成為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，攔截對(duì)目標(biāo)設(shè)備的非法訪問、操作行為。

運(yùn)維審計(jì)設(shè)備能夠極大的保護(hù)客戶內(nèi)部網(wǎng)絡(luò)設(shè)備及服務(wù)器資源的安全性，使得客戶的網(wǎng)絡(luò)管理合理化、專業(yè)化。

第 13 頁 內(nèi)網(wǎng)安全整體解決方案

建議在核心交換機(jī)上以旁路方式部署一臺(tái)運(yùn)維審計(jì)系統(tǒng)。運(yùn)維審計(jì)（堡壘主機(jī)）系統(tǒng)，為運(yùn)維人員提供統(tǒng)一的運(yùn)維操作審計(jì)。通過部署運(yùn)維審計(jì)設(shè)備能夠?qū)崿F(xiàn)對(duì)所有的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)安全設(shè)備，應(yīng)用系統(tǒng)的操作行為全面的記錄，包括登錄IP、登錄用戶、登錄時(shí)間、操作命令全方位細(xì)粒度的審計(jì)。同時(shí)支持過程及行為回放功能，從而使安全問題得到追溯，提供有據(jù)可查的功能和相關(guān)能力。

2.2.1.1 內(nèi)網(wǎng)應(yīng)用安全

2.2.1.1.1 內(nèi)網(wǎng)應(yīng)用層攻擊防護(hù)

建議內(nèi)網(wǎng)信息系統(tǒng)邊界部署WEB應(yīng)用防火墻（WAF）設(shè)備，對(duì)Web應(yīng)用服務(wù)器進(jìn)行保護(hù)，即對(duì)網(wǎng)站的訪問進(jìn)行7X24小時(shí)實(shí)時(shí)保護(hù)。通過Web應(yīng)用防火墻的部署，可以解決WEB應(yīng)用服務(wù)器所面臨的各類網(wǎng)站安全問題，如：SQL注入攻擊、跨站攻擊（XSS攻擊，俗稱釣魚攻擊）、惡意編碼(網(wǎng)頁木馬)、緩沖區(qū)溢出、應(yīng)用層DDOS攻擊等等。防止網(wǎng)頁篡改、被掛木馬等嚴(yán)重影響形象的安全事件發(fā)生。

WAF作為常見應(yīng)用層防護(hù)設(shè)備，在防護(hù)來自于外網(wǎng)的黑客攻擊外，同樣可以防護(hù)來自內(nèi)網(wǎng)的跳板型滲透攻擊，當(dāng)內(nèi)部終端或服務(wù)器被黑客攻陷后，為防止通過跳板機(jī)對(duì)內(nèi)網(wǎng)其他應(yīng)用系統(tǒng)進(jìn)行內(nèi)網(wǎng)滲透，通過WAF防攻擊模塊，可以實(shí)時(shí)阻斷任何應(yīng)用層攻擊行為，保護(hù)內(nèi)部系統(tǒng)正常運(yùn)行

2.2.1.2 內(nèi)網(wǎng)數(shù)據(jù)安全

2.2.1.2.1 內(nèi)網(wǎng)數(shù)據(jù)防泄密

建議在內(nèi)網(wǎng)環(huán)境中部署數(shù)據(jù)防泄密系統(tǒng)，保持某單位現(xiàn)有的工作模式和員工操作習(xí)慣不變，不改變?nèi)魏挝募袷?、不封閉網(wǎng)絡(luò)、不改變網(wǎng)絡(luò)結(jié)構(gòu)、不封閉計(jì)算機(jī)各種豐富的外設(shè)端口、不改變復(fù)雜的應(yīng)用服務(wù)器集群環(huán)境，實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部數(shù)據(jù)強(qiáng)制透明加解密，員工感覺不到數(shù)據(jù)存在，保證辦公效率，實(shí)現(xiàn)數(shù)據(jù)防泄密管理，形成“對(duì)外受阻，對(duì)內(nèi)無礙”的管理效果。

員工未經(jīng)授權(quán)，不管以任何方式將數(shù)據(jù)帶離公司的環(huán)境，都無法正常查看。如：加密文件通過MSN、QQ、電子郵件、移動(dòng)存儲(chǔ)設(shè)備等方式傳輸?shù)焦臼跈?quán)范圍以外（公司外部或公司內(nèi)沒有安裝綠盾終端的電腦），那么將無法正常打開

第 14 頁 內(nèi)網(wǎng)安全整體解決方案

使用，顯示亂碼，并且文件始終保持加密狀態(tài)。只有經(jīng)過公司審批后，用戶才可在授予的權(quán)限范圍內(nèi)，訪問該文件。

1)在不改變員工任何操作習(xí)慣、不改變硬件環(huán)境和網(wǎng)絡(luò)環(huán)境、不降低辦公效率，員工感覺不到數(shù)據(jù)被加密的存在，實(shí)現(xiàn)了單位數(shù)據(jù)防泄密管理；

2)員工不管通過QQ、mail、U 盤等各種方式，將單位內(nèi)部重要文件發(fā)送出去，數(shù)據(jù)均是加密狀態(tài)；

3)存儲(chǔ)著單位重要數(shù)據(jù)的U 盤、光盤不慎丟失后，沒有在公司的授權(quán)環(huán)境下打開均是加密狀態(tài)；

4)員工出差辦公不慎將筆記本丟失，無單位授予的合法口令，其他人無法閱讀筆記本內(nèi)任何數(shù)據(jù)； 2.2.1.2.2 內(nèi)網(wǎng)數(shù)據(jù)庫安全審計(jì)

建議在內(nèi)部信息系統(tǒng)部署數(shù)據(jù)庫審計(jì)系統(tǒng)，對(duì)多種類數(shù)據(jù)庫的操作行為進(jìn)行采集記錄，探測器通過旁路接入，在相應(yīng)的交換機(jī)上配置端口鏡像，對(duì)內(nèi)部人員訪問數(shù)據(jù)庫的數(shù)據(jù)流進(jìn)行鏡像采集并保存信息日志。數(shù)據(jù)庫審計(jì)系統(tǒng)能夠詳細(xì)記錄每次操作的發(fā)生時(shí)間、數(shù)據(jù)庫類型、源MAC地址、目的MAC地址、源端口、目標(biāo)端口、數(shù)據(jù)庫名、用戶名、客戶端IP、服務(wù)器端IP、操作指令、操作返回狀態(tài)值。數(shù)據(jù)庫審計(jì)系統(tǒng)支持記錄的行為包括：

數(shù)據(jù)操作類（如select、insert、delete、update等）結(jié)構(gòu)操作類（如create、drop、alter等）

事務(wù)操作類（如Begin Transaction、Commit Transaction、Rollback Transaction 等）

用戶管理類以及其它輔助類（如視圖、索引、過程等操作）等數(shù)據(jù)庫訪問行 為，并對(duì)違規(guī)操作行為產(chǎn)生報(bào)警事件。

第 15 頁 內(nèi)網(wǎng)安全整體解決方案

2.2.2 虛擬化內(nèi)網(wǎng)安全計(jì)算環(huán)境總體防護(hù)設(shè)計(jì)

2.2.2.1 劃分虛擬安全域

圖中提供安全組、連接策略兩種方式。安全組類似白名單方式，而連接策略

第 16 頁 內(nèi)網(wǎng)安全整體解決方案

類似黑名單方式。通過添加具體的訪問控制規(guī)則，支持任意虛擬機(jī)之間的訪問控制。靈活的配置方式可以滿足用戶所有的訪問控制類需求。

在原生虛擬化環(huán)境中部署的虛擬防火墻可以通過服務(wù)鏈技術(shù)，實(shí)現(xiàn)和SDN網(wǎng)絡(luò)控制器的接口、安全控制平臺(tái)的接口，并進(jìn)一步抽象化、池化，實(shí)現(xiàn)安全設(shè)備的自動(dòng)化部署。同時(shí)，在部署時(shí)通過安全管理策略的各類租戶可以獲得相應(yīng)安全設(shè)備的安全管理權(quán)限、達(dá)成分權(quán)分域管理的目標(biāo)。

在安全控制平臺(tái)部署期的過渡階段，可以采用手工配置流控策略的模式，實(shí)現(xiàn)無縫過渡。在這種部署模式下，安全設(shè)備的部署情況與基于SDN技術(shù)的集成部署模式相似，只是所有在使用SDN控制器調(diào)度流量處，都需要使用人工的方式配置網(wǎng)絡(luò)設(shè)備，使之執(zhí)行相應(yīng)的路由或交換指令。

以虛擬防火墻防護(hù)為例，可以由管理員通過控制器下發(fā)計(jì)算節(jié)點(diǎn)到安全節(jié)點(diǎn)中各個(gè)虛擬網(wǎng)橋的流表，依次將流量牽引到虛擬防火墻設(shè)備即可。

這一切的配置都是通過統(tǒng)一管理界面實(shí)現(xiàn)引流、策略下發(fā)的自動(dòng)化，除了這些自動(dòng)化操作手段，統(tǒng)一管理平臺(tái)還提供可視化展示功能，主要功能有，支持虛擬機(jī)資產(chǎn)發(fā)現(xiàn)、支持對(duì)流量、應(yīng)用、威脅的統(tǒng)計(jì)，支持對(duì)接入服務(wù)的虛擬機(jī)進(jìn)行全方位的網(wǎng)絡(luò)監(jiān)控支持會(huì)話日志、系統(tǒng)日志、威脅指數(shù)等以邏輯動(dòng)態(tài)拓?fù)鋱D的方式展示。

? 南北向流量訪問控制

第 17 頁 內(nèi)網(wǎng)安全整體解決方案

在云平臺(tái)內(nèi)部邊界部署2套邊界防火墻用于后臺(tái)服務(wù)域與其他域的邊界訪問控制（即南北向流量的訪問控制）。防火墻設(shè)置相應(yīng)的訪問控制策略，根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請(qǐng)求的服務(wù)等，決定該數(shù)據(jù)包是否可以進(jìn)出云計(jì)算平臺(tái)，并確定該數(shù)據(jù)包可以訪問的客體資源。

? 東西向流量訪問控制

虛擬化場景中的關(guān)鍵安全能力組件集合了ACL、防火墻、IPS、Anti-DDoS、DPI、AV等多項(xiàng)功能，vDFW采用統(tǒng)一安全引擎，將應(yīng)用識(shí)別、內(nèi)容檢測、URL過濾、入侵防御、病毒查殺等處理引擎合并歸一，實(shí)現(xiàn)對(duì)數(shù)據(jù)中心內(nèi)部東西向流量的報(bào)文進(jìn)行高效的一次性處理。不僅如此，vDFW支持多虛一的集群模式，突破性能瓶頸的限制，以達(dá)到與數(shù)據(jù)中心防護(hù)需求最佳匹配的效果。當(dāng)數(shù)據(jù)中心檢測平臺(tái)發(fā)現(xiàn)特定虛機(jī)發(fā)起內(nèi)部威脅攻擊流量后，管理員只需設(shè)置相關(guān)策略，由安全控制器調(diào)度，即可將策略統(tǒng)一下發(fā)到整個(gè)數(shù)據(jù)中心內(nèi)部相關(guān)對(duì)應(yīng)虛擬路由器組件上，將可疑流量全部牽引至vDFW進(jìn)行檢測防護(hù)與內(nèi)容過濾。針對(duì)數(shù)據(jù)中心內(nèi)部各類安全域、各個(gè)部門、采用的按需配置、差異化、自適應(yīng)的安全策略。

2.2.2.2 內(nèi)網(wǎng)安全資源池

與數(shù)據(jù)中心中的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源相似，各種形態(tài)、各種類型的安全產(chǎn)品都能通過控制和數(shù)據(jù)平面的池化技術(shù)，形成一個(gè)個(gè)具有某種檢測或防護(hù)能力的安全資源池。當(dāng)安全設(shè)備以硬件存在的時(shí)候（如硬件虛擬化和硬件原生引擎系統(tǒng)），可直接連接硬件 SDN 網(wǎng)絡(luò)設(shè)備接入資源池；當(dāng)安全設(shè)備以虛擬機(jī)形態(tài)存在的時(shí)候（如虛擬機(jī)形態(tài)和硬件內(nèi)置虛擬機(jī)形態(tài)），可部署在通用架構(gòu)（如 x86）的服務(wù)器中，連接到虛擬交換機(jī)上，由端點(diǎn)的 agent 統(tǒng)一做生命周期管理和網(wǎng)絡(luò)資源管理?？刂破脚_(tái)通過安全應(yīng)用的策略體現(xiàn)出處置的智能度，通過資源池體現(xiàn)出處置的敏捷度。軟件定義的安全資源池可以讓整套安全體系迸發(fā)出強(qiáng)大的活力，極大地提高了系統(tǒng)的整體防護(hù)效率。

通過安全資源管理與調(diào)度平臺(tái)，實(shí)現(xiàn)與安全資源的對(duì)接，包括vFW、vIPS、vWAF等，各個(gè)安全子域的邊界防護(hù)，通過安全資源管理與調(diào)度平臺(tái)，通過策略路由的方式，實(shí)現(xiàn)服務(wù)鏈的管理和策略的編排各安全域邊界之間均采用虛擬防火墻作為邊界。

第 18 頁 內(nèi)網(wǎng)安全整體解決方案

如上圖所示，在安全子域中將防火墻、WAF、LBS、AV、主機(jī)加固等均進(jìn)行虛擬化資源池配置，通過安全管理子域中的安全控制器根據(jù)各子域的實(shí)際安全需求進(jìn)行資源調(diào)用。針對(duì)各個(gè)子域內(nèi)的邊界訪問控制，由安全資源與管理平臺(tái)調(diào)用防火墻池化資源，分別針對(duì)各子域的訪問請(qǐng)求設(shè)置相應(yīng)的訪問控制策略，根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請(qǐng)求的服務(wù)等，決定該數(shù)據(jù)包是否可以進(jìn)出本區(qū)域，并確定該數(shù)據(jù)包可以訪問的客體資源。

由此可見，安全資源池對(duì)外體現(xiàn)的是多種安全能力的組合、疊加和伸縮，可應(yīng)用于云計(jì)算環(huán)境，也可應(yīng)用于傳統(tǒng)環(huán)境，以抵御日益頻繁的內(nèi)外部安全威脅。當(dāng)然，在云環(huán)境中，安全資源池不僅可以解決云安全的落地，而且能發(fā)揮虛擬化和 SDN 等先進(jìn)技術(shù)的優(yōu)勢(shì)，實(shí)現(xiàn)最大限度的軟件定義安全。

2.2.2.3 安全域訪問控制

為提升虛擬主機(jī)及網(wǎng)絡(luò)的安全性，針對(duì)虛擬網(wǎng)絡(luò)安全邊界設(shè)定訪問控制策略，對(duì)于縱向流量、橫向流量進(jìn)行基于IP與端口的訪問路徑限制。

? 對(duì)于虛擬網(wǎng)絡(luò)邊界進(jìn)行區(qū)域請(qǐng)求控制 ? VPN接入邊界訪問控制 ? Vlan訪問控制

2.2.2.4 iaas系統(tǒng)虛擬化安全規(guī)劃

虛擬機(jī)的鏡像文件本質(zhì)上來說就是虛擬磁盤，虛擬機(jī)的操作系統(tǒng)與使用者的系統(tǒng)數(shù)據(jù)全部保存在鏡像文件中，對(duì)鏡像文件的加密手段是否有效，將直接關(guān)系

第 19 頁 內(nèi)網(wǎng)安全整體解決方案

虛擬主機(jī)的安全性。建議部署鏡像文件加密系統(tǒng)，對(duì)iaas區(qū)域下的數(shù)據(jù)盤鏡像文件進(jìn)行加密，采用任何國家認(rèn)可的第三方加密算法進(jìn)行加密。同時(shí)解密密碼與uKey綁定,即使數(shù)據(jù)中心硬件失竊，也無法被破解。加密行為包括：授權(quán)、加密、解密功能。

2.2.2.5 虛擬資產(chǎn)密碼管理

為增強(qiáng)虛擬資產(chǎn)的密碼防護(hù)功能，建議通過密鑰管理與資產(chǎn)管理分離的技術(shù)方式，實(shí)現(xiàn)管理員僅維護(hù)信息資產(chǎn)，用戶自行管理密鑰的工作模式。通過密碼機(jī)集群與虛擬化技術(shù)的結(jié)合擴(kuò)充密碼運(yùn)算能力，將密碼運(yùn)算能力進(jìn)行細(xì)粒度劃分，并通過集中的密鑰管理及配套的安全策略保護(hù)用戶密鑰整生命周期的安全

2.2.2.6 虛擬主機(jī)安全防護(hù)設(shè)計(jì)

虛擬主機(jī)安全防護(hù)設(shè)計(jì)主要實(shí)現(xiàn)如下目標(biāo)： ? 資產(chǎn)清點(diǎn)

? 自動(dòng)化的進(jìn)行細(xì)粒度的風(fēng)險(xiǎn)分析 ? 安全合規(guī)性基線檢查

? 對(duì)后門、Webshell、文件完整性和系統(tǒng)權(quán)限變更等進(jìn)行監(jiān)測行為分析

第 20 頁 內(nèi)網(wǎng)安全整體解決方案

如上圖所示，通過收集主機(jī)上的操作系統(tǒng)、中間件、數(shù)據(jù)庫等配置數(shù)據(jù)，準(zhǔn)確分析應(yīng)用系統(tǒng)在不同層面的配置信息，結(jié)合第三方病毒庫進(jìn)行漏洞和風(fēng)險(xiǎn)分析，并及時(shí)給出整改加固建議。

2.2.2.7 內(nèi)網(wǎng)虛擬化安全運(yùn)維平臺(tái)

2.2.2.7.1 集中賬號(hào)管理

在云堡壘機(jī)管理系統(tǒng)中建立基于唯一身份標(biāo)識(shí)的全局用戶帳號(hào)，統(tǒng)一維護(hù)云平臺(tái)與服務(wù)器管理帳號(hào)，實(shí)現(xiàn)與各云平臺(tái)、服務(wù)器等無縫連接。

第 21 頁 內(nèi)網(wǎng)安全整體解決方案 2.2.2.7.2 統(tǒng)一登錄與管控

用戶通過云堡壘機(jī)管理系統(tǒng)單點(diǎn)登錄到相應(yīng)的虛擬機(jī)，且所有操作將通過云堡壘機(jī)系統(tǒng)進(jìn)行統(tǒng)一管控，只需要使用云堡壘機(jī)提供的訪問IP、用戶名、密碼登錄后，用戶即可登錄相應(yīng)的云平臺(tái)與服務(wù)器，而不需要反復(fù)填寫對(duì)應(yīng)云平臺(tái)與服務(wù)器的地址、用戶名、密碼。

用戶可通過vsphere client登錄vmware vsphere云平臺(tái)進(jìn)行管理，輸入云堡壘機(jī)為該云平臺(tái)提供的訪問IP與用戶在云堡壘機(jī)中的用戶名和密碼即可完成登錄。

第 22 頁 內(nèi)網(wǎng)安全整體解決方案

2.2.2.7.3 記錄與審計(jì)

通過云堡壘機(jī)管理系統(tǒng)的訪問歷史記錄回放功能，可隨時(shí)查看每個(gè)用戶對(duì)所屬服務(wù)器、虛擬機(jī)的訪問情況。

windows歷史訪問回放

第 23 頁 內(nèi)網(wǎng)安全整體解決方案

linux歷史訪問回放

在回放過程中，用戶可以試用云堡壘機(jī)的“智能搜索”功能大大加快回放速度，快速定位到用戶可疑操作位置。

Windows回放智能搜索

回放智能搜索

第 24 頁 內(nèi)網(wǎng)安全整體解決方案

云堡壘機(jī)系統(tǒng)還提供會(huì)話管理功能?？梢酝ㄟ^云堡壘機(jī)系統(tǒng)快速查看用戶會(huì)話，實(shí)時(shí)監(jiān)控，以及中斷會(huì)話。2.2.2.7.1 權(quán)限控制與動(dòng)態(tài)授權(quán)

云堡壘機(jī)系統(tǒng)統(tǒng)一分配系統(tǒng)角色對(duì)應(yīng)的云平臺(tái)與服務(wù)器權(quán)限，當(dāng)用戶在真實(shí)使用場景下的角色權(quán)限與云堡壘機(jī)系統(tǒng)中預(yù)置的角色權(quán)限，不一致時(shí)，可通過云堡壘機(jī)的動(dòng)態(tài)授權(quán)功能，對(duì)角色的云平臺(tái)與服務(wù)器權(quán)限進(jìn)行方便靈活變更。

2.3 內(nèi)網(wǎng)安全數(shù)據(jù)分析

2.3.1 內(nèi)網(wǎng)安全風(fēng)險(xiǎn)態(tài)勢(shì)感知

建議部署態(tài)勢(shì)感知系統(tǒng)，檢測已知位置的終端惡意軟件的遠(yuǎn)控通信行為，定位失陷主機(jī)，根據(jù)態(tài)勢(shì)感知設(shè)備的告警信息，采集、取證、判定、處置內(nèi)網(wǎng)終端主機(jī)上的惡意代碼，針對(duì)未知惡意文件攻擊，將流量還原得到的辦公文檔和可執(zhí)行文件放入網(wǎng)絡(luò)沙箱虛擬環(huán)境中執(zhí)行，根據(jù)執(zhí)行中的可疑行為綜合判定各類含漏洞利用代碼的惡意文檔、惡意可執(zhí)行程序，及植入攻擊行為。檢測各類植入攻擊：郵件投遞，掛馬網(wǎng)站，文件下載，準(zhǔn)確識(shí)別0day、Nday漏洞入侵的惡意代碼

2.3.2 內(nèi)網(wǎng)全景流量分析

建議部署內(nèi)部網(wǎng)絡(luò)流量分析系統(tǒng)，數(shù)據(jù)的傳遞介質(zhì)是網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)流量作

第 25 頁 內(nèi)網(wǎng)安全整體解決方案

為網(wǎng)絡(luò)協(xié)議中最有價(jià)值的安全分析維度，其本身就承載著重要的風(fēng)險(xiǎn)識(shí)別作用，針對(duì)內(nèi)部網(wǎng)絡(luò)的任何攻擊行為都將在內(nèi)部異常流量中呈現(xiàn)本質(zhì)化特征，因此基于流量的內(nèi)網(wǎng)安全數(shù)據(jù)分析是最能客觀反映當(dāng)前內(nèi)網(wǎng)安全等級(jí)的參考指標(biāo)。

2.3.2.1 基線建模異常流量分析

流量異常檢測的核心問題是實(shí)現(xiàn)流量正常行為的描述，并且能夠?qū)崟r(shí)、快速地對(duì)異常進(jìn)行處理。系統(tǒng)采用了一種基于統(tǒng)計(jì)的流量異常檢測方法，首先確定正常的網(wǎng)絡(luò)流量基線，然后根據(jù)此基線利用正態(tài)分布假設(shè)檢驗(yàn)實(shí)現(xiàn)對(duì)當(dāng)前流量的異常檢測。比如流量的大小、包長的信息、協(xié)議的信息、端口流量的信息、TCP標(biāo)志位的信息等，這些基本特征比較詳細(xì)地描述了網(wǎng)絡(luò)流量的運(yùn)行狀態(tài)。

總體設(shè)計(jì) 網(wǎng)絡(luò)流量異常檢測模型的總體設(shè)計(jì)思路是：從網(wǎng)絡(luò)的總出口采集數(shù)據(jù)，對(duì)每個(gè)數(shù)據(jù)包進(jìn)行分類，將它的統(tǒng)計(jì)值傳到相應(yīng)的存儲(chǔ)空間，然后對(duì)這些數(shù)據(jù)包進(jìn)行流量分析

2.3.2.2 流量分析引擎

對(duì)采集到的數(shù)據(jù)進(jìn)行分析處理。通過建立正常網(wǎng)絡(luò)流量模型，按照一定的規(guī)則進(jìn)行流量異常檢測。同時(shí)根據(jù)滑動(dòng)窗口的更新策略，能夠自動(dòng)學(xué)習(xí)最近的流量情況，從而調(diào)整檢測的準(zhǔn)確度。

建立正常網(wǎng)絡(luò)流量模型 要進(jìn)行流量異常檢測，必須首先建立正常的網(wǎng)絡(luò)流量模型，然后對(duì)比正常模型能夠識(shí)別異常。本文使用基于統(tǒng)計(jì)的方法來實(shí)現(xiàn)異常檢測，利用網(wǎng)絡(luò)流量的歷史行為檢測當(dāng)前的異?；顒?dòng)和網(wǎng)絡(luò)性能的下降。因此正常流量模型的建立需要把反映網(wǎng)絡(luò)流量的各項(xiàng)指標(biāo)都體現(xiàn)出來，使其能夠準(zhǔn)確反映網(wǎng)絡(luò)活動(dòng)。

在系統(tǒng)運(yùn)行時(shí)，統(tǒng)計(jì)當(dāng)前流量行為可測度集，并同正常的網(wǎng)絡(luò)基線相比較，如果當(dāng)前流量行為與正常網(wǎng)絡(luò)基線出現(xiàn)明顯的偏離時(shí)，即認(rèn)為出現(xiàn)了異常行為，并可進(jìn)一步檢測分析；如果兩種行為沒有明顯偏差，則流量正常，更新正常網(wǎng)絡(luò)流量模型。

通過該界面實(shí)現(xiàn)查看信息、設(shè)定檢測規(guī)則、設(shè)定閾值、設(shè)定報(bào)警方式以及處理報(bào)警等功能。系統(tǒng)應(yīng)該對(duì)于檢測出的異常主機(jī)進(jìn)行標(biāo)記，標(biāo)記異常的類型、統(tǒng)

第 26 頁 內(nèi)網(wǎng)安全整體解決方案

計(jì)量、閾值指標(biāo)、消息以及異常發(fā)生的時(shí)間等情況，給系統(tǒng)管理員報(bào)告一個(gè)異常信息。

2.3.2.3 異常的互聯(lián)關(guān)系分析

對(duì)于不符合白名單和灰名單的互連關(guān)系和流量，系統(tǒng)會(huì)自動(dòng)生成未知數(shù)據(jù)流，并對(duì)未知數(shù)據(jù)流進(jìn)行識(shí)別、匹配，從中提取可供判斷的信息，如：單點(diǎn)對(duì)多點(diǎn)的快速連接，系統(tǒng)會(huì)識(shí)別為網(wǎng)絡(luò)掃描，非正常時(shí)段的數(shù)據(jù)連接，系統(tǒng)會(huì)視為異常行為，多點(diǎn)對(duì)單點(diǎn)的大流量連接，系統(tǒng)會(huì)識(shí)別為非法應(yīng)用等。用戶對(duì)未知數(shù)據(jù)流識(shí)別、確認(rèn)、處理后，可將未知數(shù)據(jù)流自動(dòng)生產(chǎn)報(bào)警或提取到白名單。

2.3.3 內(nèi)網(wǎng)多源威脅情報(bào)分析

建議在內(nèi)網(wǎng)部署多源威脅情報(bào)分析，通過對(duì)不同源頭威脅情報(bào)的統(tǒng)一匯總、分析、展示等功能，極大提高情報(bào)告警準(zhǔn)確率，幫助評(píng)測內(nèi)部信息系統(tǒng)遭受的風(fēng)險(xiǎn)以及安全隱患從而讓安全團(tuán)隊(duì)進(jìn)行有安全數(shù)據(jù)佐證的重點(diǎn)內(nèi)部領(lǐng)域防護(hù)措施。內(nèi)部安全團(tuán)隊(duì)多人對(duì)單條威脅情報(bào)存在疑慮時(shí)，可進(jìn)行協(xié)同式研判，提升單挑威脅情報(bào)與情報(bào)源的命中率統(tǒng)計(jì)。內(nèi)部安全管理員可以定期生成威脅情報(bào)月報(bào)，便于將一段時(shí)間內(nèi)的系統(tǒng)漏洞、應(yīng)用漏洞、數(shù)據(jù)庫漏洞進(jìn)行選擇性摘要，使安全加固工作處于主動(dòng)、積極、有效的工作場景之中。

2.4 內(nèi)網(wǎng)安全管控措施

2.4.1 內(nèi)網(wǎng)安全風(fēng)險(xiǎn)主動(dòng)識(shí)別

2.4.1.1 基于漏洞檢測的主動(dòng)防御

云安全防護(hù)虛擬資源池內(nèi)為用戶提供了系統(tǒng)層漏掃、web層漏掃、數(shù)據(jù)庫漏掃三種檢測工具，可以為用戶提供定期的安全風(fēng)險(xiǎn)檢測，基于已知風(fēng)險(xiǎn)或未知風(fēng)險(xiǎn)進(jìn)行安全策略調(diào)整、漏洞修復(fù)、補(bǔ)丁更新等主動(dòng)防御行為。

第 27 頁 內(nèi)網(wǎng)安全整體解決方案

2.4.1.1.1 漏洞檢測范圍

操作系統(tǒng)：Microsoft Windows 2003/2008/7/8/10/2012、MacOS、Sun Solaris、UNIX、IBM AIX、IRIX、Linux、BSD；

數(shù)據(jù)庫：MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird；

網(wǎng)絡(luò)設(shè)備：支持CISCO、Juniper、Citrix、EMC、Fortinet、Nortel、ZyXEL、BlueCoat、Check Point、趨勢(shì)科技、Websense、3COM、F5、SonicWALL、MikroTik RouteOS、DD-WRT、D-Link、NETGEAR。

應(yīng)用系統(tǒng)：各種Web服務(wù)器應(yīng)用系統(tǒng)（IIS、Apache Tomcat、IBM lotus……）、各種DNS服務(wù)器應(yīng)用系統(tǒng)、各種FTP/TFTP服務(wù)器應(yīng)用系統(tǒng)、虛擬化系統(tǒng)（Vmware、Virtual Box、KVM、OpenStack等等）、郵件服務(wù)器應(yīng)用系統(tǒng)（MS Exchange、IMAP、Ipswitch Imail、Postfix……）2.4.1.1.2 識(shí)別漏洞類型 ? 系統(tǒng)漏洞類型

Windows漏洞大于1946種、MacOS漏洞大于192種、UNIX漏洞大于959種、數(shù)據(jù)庫服務(wù)器漏洞大于357種、CGI漏洞大于2301種、DNS漏洞大于76種、第 28 頁 內(nèi)網(wǎng)安全整體解決方案

FTP/TFTP漏洞大于278種、虛擬化漏洞大于613種、網(wǎng)絡(luò)設(shè)備漏洞大于516種、Mail漏洞大于251種、雜項(xiàng)漏洞（含RPC、NFS、主機(jī)后門、NIS、SNMP、守護(hù)進(jìn)程、PROXY、強(qiáng)力攻擊……）? web漏洞類型

微軟IIS漏洞檢測、Apache漏洞檢測、IBM WebSphere漏洞檢測、Apache Tomcat漏洞檢測、SSL模塊漏洞檢測、Nginx漏洞檢測、IBM Lotus漏洞檢測、Resin漏洞檢測、Weblogic漏洞檢測、Squid漏洞檢測、lighttpd漏洞檢測、Netscape Enterprise漏洞檢測、Sun iPlanet Web漏洞檢測、Oracle HTTP Server漏洞檢測、Zope漏洞檢測、HP System Management Homepage漏洞檢測、Cherokee漏洞檢測、RaidenHTTPD漏洞檢測、Zeus漏洞檢測、Abyss Web Server漏洞檢測、以及其他Web漏洞檢測等Web服務(wù)器的掃描，尤其對(duì)于IIS具有最多的漏洞檢測能力，IIS漏洞大于155種 ? 數(shù)據(jù)庫漏洞類型

MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird……等，可以掃描數(shù)據(jù)庫大于三百五十多種漏洞，包含了有關(guān)空口令、弱口令、用戶權(quán)限漏洞、用戶訪問認(rèn)證漏洞、系統(tǒng)完整性檢查、存儲(chǔ)過程漏洞和與數(shù)據(jù)庫相關(guān)的應(yīng)用程序漏洞等方面的漏洞，基本上覆蓋了數(shù)據(jù)庫常被用做后門進(jìn)行攻擊的漏洞，并提出相應(yīng)的修補(bǔ)建議 2.4.1.1.3 內(nèi)部主動(dòng)防御

根據(jù)漏洞掃描結(jié)果，給予定制化安全加固方案，結(jié)合漏洞級(jí)別、漏洞類型、漏洞波及范圍、修復(fù)風(fēng)險(xiǎn)、加固后復(fù)測等人工服務(wù)，配合用戶第一時(shí)間完成修復(fù)工作，我們將從信息安全專業(yè)技術(shù)層面為您說明每一條漏洞可能導(dǎo)致的安全事件可能性，從用戶安全運(yùn)維、業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行的角度出發(fā)，給出可落地的安全加固方案。

2.4.2 內(nèi)網(wǎng)統(tǒng)一身份認(rèn)證與權(quán)限管理

建議構(gòu)建統(tǒng)一身份認(rèn)證與權(quán)限管理系統(tǒng)，建立統(tǒng)一身份庫，業(yè)務(wù)操作人員、系統(tǒng)運(yùn)維人員、IT基礎(chǔ)架構(gòu)運(yùn)維人員、業(yè)務(wù)應(yīng)用管理員、IT基礎(chǔ)架構(gòu)管理人員、第 29 頁 內(nèi)網(wǎng)安全整體解決方案

系統(tǒng)管理人員通過統(tǒng)一認(rèn)證入口，進(jìn)行統(tǒng)一的身份認(rèn)證，并對(duì)不同人員設(shè)置不同的訪問權(quán)限，并實(shí)現(xiàn)所有用戶登錄及訪問行為分析和審計(jì)。

2.4.2.1 統(tǒng)一用戶身份認(rèn)證設(shè)計(jì)

建立的統(tǒng)一身份庫，包括運(yùn)營身份庫和業(yè)務(wù)人員身份庫，使用戶在統(tǒng)一身份庫中，只有唯一身份標(biāo)識(shí)，用戶向統(tǒng)一認(rèn)證平臺(tái)提交的證明是其本人的憑據(jù)，根據(jù)系統(tǒng)級(jí)別不同，采用的認(rèn)證方式不同，每個(gè)應(yīng)用系統(tǒng)都有自己的賬戶體系，這些賬戶被看做是訪問一個(gè)信息資產(chǎn)的權(quán)限，管理員可以在統(tǒng)一身份認(rèn)證與權(quán)限管理系統(tǒng)中配置某個(gè)用戶在系統(tǒng)中對(duì)若干賬戶的訪問權(quán)限。實(shí)現(xiàn)各應(yīng)用系統(tǒng)不再處理身份認(rèn)證，而是通過統(tǒng)一的身份認(rèn)證入口進(jìn)行認(rèn)證，通過后期的行為分析提供對(duì)異常行為的檢測及加強(qiáng)認(rèn)證或阻斷操作。用戶分類具體如下圖所示：

2.4.2.2 統(tǒng)一用戶權(quán)限管理設(shè)計(jì)

一、外部用戶

二、內(nèi)部用戶

1、運(yùn)維人員的權(quán)限管理

第 30 頁 內(nèi)網(wǎng)安全整體解決方案

2、業(yè)務(wù)人員的權(quán)限管理

2.4.2.3 業(yè)務(wù)內(nèi)容身份鑒別與訪問控制設(shè)計(jì)

一、內(nèi)部訪問設(shè)計(jì)

內(nèi)部訪問設(shè)計(jì)主要面向內(nèi)部用戶，通過驗(yàn)證后會(huì)加入到統(tǒng)一用戶身份認(rèn)證與權(quán)限管理平臺(tái)身份庫，經(jīng)過認(rèn)證策略判定，錄入認(rèn)證策略庫，最后通過堡壘機(jī)實(shí)現(xiàn)內(nèi)部訪問。

二、外部訪問設(shè)計(jì)

身份合法驗(yàn)證，通過驗(yàn)證后會(huì)加入到外部用戶統(tǒng)一用戶身份認(rèn)證與權(quán)限管理平臺(tái)身份庫，經(jīng)過認(rèn)證策略判定并錄入認(rèn)證策略庫，經(jīng)過多因素認(rèn)證資源池（包

第 31 頁 內(nèi)網(wǎng)安全整體解決方案

括指紋、二維碼、RSA令牌等）實(shí)現(xiàn)外部應(yīng)用的系統(tǒng)資源訪問。

2.4.1 內(nèi)網(wǎng)安全漏洞統(tǒng)一管理平臺(tái)

建議部署安全漏洞統(tǒng)一管理平臺(tái)，按照組織架構(gòu)或業(yè)務(wù)視圖建立資產(chǎn)管理目錄，快速感知不同資產(chǎn)層級(jí)的漏洞態(tài)勢(shì)，解決內(nèi)部漏洞無法與業(yè)務(wù)系統(tǒng)自動(dòng)關(guān)聯(lián)分析的問題，為監(jiān)管方提供宏觀分析視圖。將不同來源、不同廠商、不同語言、不同類型的漏洞數(shù)據(jù)自動(dòng)標(biāo)準(zhǔn)化成符合國家標(biāo)準(zhǔn)的全中文漏洞數(shù)據(jù)，并去重合。形成某單位自身的漏洞信息庫，賦予漏洞數(shù)據(jù)空間、時(shí)間、狀態(tài)和威脅屬性，形成每個(gè)信息系統(tǒng)的漏洞信息庫，并對(duì)其生命周期狀態(tài)進(jìn)行跟蹤。順應(yīng)國家網(wǎng)絡(luò)安全和行業(yè)發(fā)展的需要，解決了漏洞檢測、漏洞驗(yàn)證、漏洞處置和響應(yīng)等環(huán)節(jié)中存在的多種問題，實(shí)現(xiàn)漏洞管理流程化、自動(dòng)化、平臺(tái)化及可視化。

第 32 頁 內(nèi)網(wǎng)安全整體解決方案

第三章 內(nèi)網(wǎng)安全防護(hù)設(shè)備清單

? 云防火墻 ? 硬件防火墻 ? 云waf ? 硬件waf ? IPS ? 防病毒網(wǎng)關(guān) ? 上網(wǎng)行為管理 ? 隔離網(wǎng)閘 ? 流量分析系統(tǒng)

? 多源威脅情報(bào)分析系統(tǒng) ? 安全漏洞統(tǒng)一管理平臺(tái) ? 堡壘機(jī) ? 云堡壘機(jī) ? 數(shù)據(jù)庫審計(jì) ? 態(tài)勢(shì)感知平臺(tái) ? 系統(tǒng)漏洞掃描器 ? Web漏洞掃描器 ? 數(shù)據(jù)庫漏洞掃描器 ? 鏡像文件加密 ? 云堡壘機(jī) ? 云數(shù)據(jù)庫審計(jì) ? 統(tǒng)一身份證書

? 虛擬終端加固及防護(hù)軟件? 虛擬主機(jī)加密機(jī) ? 數(shù)據(jù)防泄密 ? 網(wǎng)絡(luò)準(zhǔn)入設(shè)備 ? 服務(wù)器加固軟件

第 33 頁