第一篇：醫(yī)療行業(yè)內(nèi)網(wǎng)安全整體解決方案

醫(yī)療行業(yè)

信息安全解決方案

北京億百維信息科技有限公司

概述

在經(jīng)濟(jì)全球化、社會(huì)信息化的進(jìn)程中，我國(guó)醫(yī)院已進(jìn)入了數(shù)字化和信息化時(shí)代。經(jīng)歷了20多年的發(fā)展，已初具規(guī)模并取得了長(zhǎng)足的進(jìn)步。大型的數(shù)字化醫(yī)療設(shè)備在醫(yī)院中使用，各種醫(yī)院管理信息系統(tǒng)和醫(yī)療臨床信息系統(tǒng)正在普及。

作為醫(yī)療行業(yè)信息化的重要推動(dòng)力，醫(yī)院信息系統(tǒng)(HIS)經(jīng)過(guò)近二十年的發(fā)展，已經(jīng)初具規(guī)模。目前，我國(guó)大部分醫(yī)院網(wǎng)絡(luò)系統(tǒng)分為兩個(gè)部分——用于日常醫(yī)療信息交換的業(yè)務(wù)網(wǎng)以及實(shí)時(shí)獲取Internet信息資源的辦公網(wǎng)。其中的醫(yī)院業(yè)務(wù)網(wǎng)是醫(yī)院業(yè)務(wù)開展的平臺(tái)，為了保障安全，業(yè)務(wù)網(wǎng)與辦公網(wǎng)之間進(jìn)行了物理隔離。然而，隨著業(yè)務(wù)網(wǎng)應(yīng)用的深入，業(yè)務(wù)網(wǎng)內(nèi)網(wǎng)存在的一些不安全因素成為影響其正常運(yùn)行的重大隱患，例如人員的非法接入、因員工濫用移動(dòng)存儲(chǔ)導(dǎo)致的信息泄漏，違規(guī)使用BT等P2P軟件造成的帶寬濫用等。為了保障內(nèi)網(wǎng)安全，深化醫(yī)療信息化的發(fā)展，醫(yī)院迫切需要一套有效的信息安全管理系統(tǒng)。

挑戰(zhàn)

? 外來(lái)人員非法接入給企業(yè)的信息安全帶來(lái)了嚴(yán)重的隱患。

? 業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)物理隔離導(dǎo)致的操作系統(tǒng)補(bǔ)丁無(wú)法及時(shí)更新，安全漏洞無(wú)法及時(shí)解決。

? 員工濫用移動(dòng)存儲(chǔ)設(shè)備造成的信息泄露和病毒泛濫。

? 內(nèi)部人員濫用P2P軟件，工作時(shí)間在線觀看流媒體視頻造成網(wǎng)絡(luò)帶寬被占用，工作效率下降。

? 終端主機(jī)硬件信息統(tǒng)計(jì)困難，企業(yè)中IT資產(chǎn)不明確，傳統(tǒng)的IT管理部門缺少高效可靠的IT管理方法。

? 由于信息安全設(shè)備日益增加，面對(duì)各種信息安問(wèn)題時(shí)信息企業(yè)中的IT管理者缺少信息安全事件管理平臺(tái)。

整體解決方案架構(gòu)

醫(yī)療行業(yè)信息安全整體解決方案主要從以下幾點(diǎn)解決問(wèn)題：

1、網(wǎng)絡(luò)安全：防火墻、VPN、入侵檢測(cè)，AAA認(rèn)證服務(wù)器

2、終端安全解決方案：防病毒、上網(wǎng)行為管理、桌面安全管理

3、數(shù)據(jù)安全：備份與恢復(fù)，數(shù)據(jù)防護(hù)，安全審計(jì)

4、綜合管理：應(yīng)用監(jiān)控，安全監(jiān)控與事件管理

醫(yī)療行業(yè)解決方案架構(gòu)圖

整體解決方案說(shuō)明：

Symantec Endpoint Protection——端點(diǎn)防毒

概述：

企業(yè)目前面臨著利用端點(diǎn)設(shè)備中的漏洞，更為隱蔽、目標(biāo)性更強(qiáng)、旨在獲取經(jīng)濟(jì)利益的威脅。多種上述復(fù)雜威脅會(huì)避開傳統(tǒng)的安全解決方案，使企業(yè)容易成為數(shù)據(jù)竊取和操控的受害者、造成關(guān)鍵業(yè)務(wù)服務(wù)中斷并導(dǎo)致公司品牌和聲譽(yù)受損。為了提前應(yīng)對(duì)這些隱蔽多變的新型安全威脅，企業(yè)必須升級(jí)他們的端點(diǎn)防護(hù)措施。

Symantec Endpoint Protection 讓企業(yè)能夠采用更為有效的整體方法，來(lái)保護(hù)筆記本電腦、臺(tái)式機(jī)和服務(wù)器等端點(diǎn)。其中結(jié)合了五種基本安全技術(shù)，可針對(duì)各種已知威脅和未知威脅主動(dòng)提供最高級(jí)別的防護(hù)，這些威脅包括病毒、蠕蟲、特洛伊木馬、間諜軟件、廣告軟件、Rootkit 和零日攻擊。該產(chǎn)品將業(yè)界領(lǐng)先的防病毒軟件、反間諜軟件和防火墻與先進(jìn)的主動(dòng)防護(hù)技術(shù)集成到一個(gè)可部署代理中，通過(guò)中央管理控制臺(tái)進(jìn)行管理。而且，管理員可以根據(jù)他們的具體需要，輕松禁用或啟用上述任何技術(shù)。Symantec Endpoint Protection 實(shí)現(xiàn)無(wú)縫的多層端點(diǎn)防護(hù)，可提供：

? 高級(jí)威脅防御 — 超越基于特征的傳統(tǒng)文件掃描方法，可針對(duì)企業(yè)內(nèi)外的各種已知威脅和未知威脅提供全面的端點(diǎn)防護(hù)。Symantec Endpoint Protection 通過(guò)可自動(dòng)分析應(yīng)用程序行為和網(wǎng)絡(luò)通信的最佳技術(shù)提供高級(jí)主動(dòng)防護(hù)，同時(shí)包含其它多種工具，可限制高風(fēng)險(xiǎn)的設(shè)備和

應(yīng)用程序行為。

? 簡(jiǎn)化的整體端點(diǎn)防護(hù)方法 — 通過(guò)將多種基本端點(diǎn)安全技術(shù)整合為一個(gè)代理，Symantec Endpoint Protection 非常便于安裝、維護(hù)和更新，讓企業(yè)能夠在節(jié)省時(shí)間和成本的同時(shí)保護(hù)資產(chǎn)和業(yè)務(wù)。其自動(dòng)安全更新可針對(duì)最新威脅提供無(wú)憂防護(hù)。另外，該產(chǎn)品提供統(tǒng)一的管理控制臺(tái)，它具備圖形報(bào)告、集中日志記錄和閾值警報(bào)等功能，為管理員提供全面的端點(diǎn)可見性。

統(tǒng)一的防控制管理平臺(tái)

主要功能：

? 無(wú)縫集成了一些基本技術(shù)，如防病毒、反間諜軟件、防火墻、入侵防御、設(shè)備和應(yīng)用程序控制。

? 只需要一個(gè)代理，通過(guò)一個(gè)管理控制臺(tái)即可進(jìn)行管理。? 由終端安全領(lǐng)域的市場(chǎng)領(lǐng)導(dǎo)者提供無(wú)可匹敵的終端防護(hù)。

? 無(wú)需對(duì)每個(gè)終端額外部署軟件即可立即進(jìn)行 NAC 升級(jí)。

? 為所有 Symantec Endpoint Protection 技術(shù)和 Symantec Network Access Control 提供一個(gè)代理。為管理所有 Symantec Endpoint Protection 技術(shù)和 Symantec Network Access Control 提供一個(gè)集成的界面。

? 控制可以連接到計(jì)算機(jī)的外設(shè)以及這些外設(shè)的使用方式。它可以鎖定一個(gè)終端，阻止其與拇指驅(qū)動(dòng)器、CD 刻錄機(jī)、打印機(jī)和其他 USB 設(shè)備相連。? 防止敏感的機(jī)密信息從終端被提取或竊取（數(shù)據(jù)泄漏）。? 防止終端被通過(guò)外設(shè)傳播的病毒感染。

?

?

端點(diǎn)防毒與準(zhǔn)入控制無(wú)縫結(jié)合

主要優(yōu)勢(shì)

? 阻截惡意軟件，如病毒、蠕蟲、特洛伊木馬、間諜軟件、惡意軟件、bot、零日威脅和

rootkit。

? 防止安全違規(guī)事件的發(fā)生，從而降低管理開銷。降低保障終端安全的總擁有成本。? 最佳的客戶端和服務(wù)器性能優(yōu)化客戶端啟動(dòng)時(shí)間和程序調(diào)用時(shí)間為不同大小和環(huán)境的客戶提供全面保護(hù)和更佳的性能。

Symantec Network Access Control——網(wǎng)絡(luò)準(zhǔn)入控制 概述：

企業(yè)中的各個(gè)端點(diǎn)處于受控狀態(tài)，這對(duì) IT 基礎(chǔ)架構(gòu)及其相關(guān)業(yè)務(wù)操作的整體安全性和可用性具有重要影響。新一輪的復(fù)雜犯罪軟件不僅以特定公司為目標(biāo)，而且以臺(tái)式機(jī)和筆記本電腦為目標(biāo)，將其作為后門侵入點(diǎn)來(lái)攻擊這些企業(yè)的業(yè)務(wù)運(yùn)作和重要資源。企業(yè)要保護(hù)自身免遭這些有目標(biāo)威脅的侵?jǐn)_，必須采取相關(guān)措施，保證每個(gè)端點(diǎn)都始終遵從企業(yè)安全和配置管理策略。如果企業(yè)無(wú)法保證遵從端點(diǎn)策略，就會(huì)面臨一系列威脅，包括惡意代碼在整個(gè)企業(yè)內(nèi)擴(kuò)散、核心業(yè)務(wù)服務(wù)中斷、增加 IT 恢復(fù)和管理成本、泄漏機(jī)密信息、公司品牌受損以及因不遵從相關(guān)法規(guī)而被罰款。

Symantec Network Access Control 使企業(yè)能夠確保正確配置及設(shè)置用戶端點(diǎn)的安全狀態(tài)，其中包括現(xiàn)場(chǎng)員工、遠(yuǎn)程員工、訪客、承包商以及臨時(shí)工作者的端點(diǎn)，然后才允許他們?cè)L問(wèn)企業(yè)網(wǎng)絡(luò)中的資源。該解決方案能夠發(fā)現(xiàn)并評(píng)估端點(diǎn)遵從狀態(tài)，設(shè)置正確的網(wǎng)絡(luò)訪問(wèn)權(quán)限并提供補(bǔ)救功能，確保符合端點(diǎn)安全策略和標(biāo)準(zhǔn)。Symantec Network Access Control 獨(dú)立于網(wǎng)絡(luò)操作系統(tǒng)，能夠與任何網(wǎng)絡(luò)基礎(chǔ)架構(gòu)輕松集成，所以與競(jìng)爭(zhēng)對(duì)手的解決方案相比，其實(shí)施更加全面、速度更快且更加經(jīng)濟(jì)有效。

通過(guò)利用 Symantec Network Access Control 的端點(diǎn)遵從驗(yàn)證和實(shí)施功能，企業(yè)可以： ? 減少惡意代碼（如病毒、蠕蟲、間諜軟件和其它形式的犯罪軟件）的傳播 ? 通過(guò)對(duì)訪問(wèn)企業(yè)網(wǎng)絡(luò)的不受控端點(diǎn)和受控端點(diǎn)加強(qiáng)控制，降低風(fēng)險(xiǎn) ? 為最終用戶提供更高的網(wǎng)絡(luò)可用性，并減少服務(wù)中斷的情況 ? 通過(guò)近乎實(shí)時(shí)端點(diǎn)遵從數(shù)據(jù)獲得可驗(yàn)證的企業(yè)遵從信息

? 企業(yè)級(jí)集中管理架構(gòu)將總體擁有成本降至最低

? 驗(yàn)證對(duì)防病毒軟件和客戶端防火墻技術(shù)這樣的端點(diǎn)安全產(chǎn)品投資是否得當(dāng)

Symantec Network Access Control 架構(gòu)

主要功能：

? 阻止或隔離不遵從的設(shè)備，防止其訪問(wèn)公司網(wǎng)絡(luò)和資源。

? 按照預(yù)定義的模板對(duì)主機(jī)完整性進(jìn)行測(cè)試（如補(bǔ)丁級(jí)別、服務(wù)包、防病毒軟件和個(gè)人防火墻狀態(tài)），并且根據(jù)企業(yè)環(huán)境量身定制自定義檢查。? 對(duì)公司網(wǎng)絡(luò)內(nèi)外的受管理和未加管理的筆記本電腦、臺(tái)式機(jī)和服務(wù)器提供全方位的終端防護(hù)。

? 與 Symantec Endpoint Protection 11.0 無(wú)縫集成。

?

?

網(wǎng)絡(luò)準(zhǔn)入控制流程

主要優(yōu)勢(shì)：

? 減少惡意代碼（如病毒、蠕蟲、特洛伊木馬、間諜軟件和其他形式的犯罪軟件）的傳播機(jī)會(huì)

? 為最終用戶提供更高的網(wǎng)絡(luò)可用性，并減少服務(wù)中斷的情況。

? 通過(guò)近乎實(shí)時(shí)的終端遵從檢查獲得可驗(yàn)證的企業(yè)遵從信息

? 驗(yàn)證對(duì)防病毒軟件和客戶端防火墻這樣的終端安全產(chǎn)品投資是否得到充分利用。

Veritas NetBackup平臺(tái)——新一代數(shù)據(jù)保護(hù)

概述：

作為企業(yè)備份和恢復(fù)領(lǐng)域毋庸置疑的市場(chǎng)領(lǐng)先解決方案，Veritas NetBackup 能夠?yàn)槠髽I(yè)

備份和恢復(fù)環(huán)境提供無(wú)可匹敵的數(shù)據(jù)保護(hù)。通過(guò)實(shí)施能夠?qū)φ麄€(gè)企業(yè)的臺(tái)式機(jī)、遠(yuǎn)程辦公室和數(shù)據(jù)中心提供保護(hù)的統(tǒng)一數(shù)據(jù)保護(hù)解決方案，將成本和復(fù)雜性降至最低。NetBackup 提供了簡(jiǎn)化的集中式實(shí)時(shí)管理，可以幫助企業(yè)管理備份和恢復(fù)的方方面面，包括基于磁盤和基于磁帶的數(shù)據(jù)保護(hù)它可以充分發(fā)揮磁盤的功能，以進(jìn)行比以往更快速、更可靠、更安全的備份和恢復(fù)。通過(guò)使用存儲(chǔ)生命周期策略來(lái)創(chuàng)建存儲(chǔ)層并在整個(gè)生命周期自動(dòng)移動(dòng)備份數(shù)據(jù)來(lái)實(shí)現(xiàn)服務(wù)水平協(xié)議(SLA)的承諾。此外，通過(guò)利用集成的 Bare Metal Restore? 實(shí)現(xiàn)了高級(jí)的自動(dòng)災(zāi)難恢復(fù)，從而在任何平臺(tái)上，15 分鐘之內(nèi)即可進(jìn)行全面的系統(tǒng)恢復(fù)，同時(shí)能夠?qū)崿F(xiàn)關(guān)鍵應(yīng)用程序的全面恢復(fù)。為了在數(shù)據(jù)發(fā)往異地進(jìn)行長(zhǎng)期存儲(chǔ)之前確保其安全，NetBackup 提供了各種授權(quán)和訪問(wèn)控制以及加密選件。

NetBackup 管理控制臺(tái)提供了一個(gè)中心位置來(lái)進(jìn)行 NetBackup 設(shè)置和管理。

主要功能：

? 提供單一平臺(tái)，用于跨越存儲(chǔ)層、位置和操作系統(tǒng)來(lái)管理、保護(hù)和恢復(fù)數(shù)據(jù)。? 具有基于磁盤的高級(jí)數(shù)據(jù)保護(hù)功能，包括重復(fù)數(shù)據(jù)刪除技術(shù)、全新的虛擬磁帶庫(kù)(VTL)控制、對(duì)第三方磁盤硬件設(shè)備的支持，以及更多快照功能。? 為虛擬環(huán)境、關(guān)鍵應(yīng)用程序、數(shù)據(jù)庫(kù)和服務(wù)器提供集成的數(shù)據(jù)保護(hù)和恢復(fù)能力。

優(yōu)于 VTL：伸縮性更強(qiáng)、成本更低、任意磁盤、全球重復(fù)數(shù)據(jù)刪除技術(shù)、核心和遠(yuǎn)程辦公室

主要優(yōu)勢(shì)：

? 通過(guò)實(shí)施能夠?qū)φ麄€(gè)企業(yè)的臺(tái)式機(jī)、遠(yuǎn)程辦公室和數(shù)據(jù)中心提供保護(hù)的統(tǒng)一數(shù)據(jù)保護(hù)解決方案，將成本和復(fù)雜性降至最低。? 憑借磁盤式快速備份滿足備份時(shí)間要求、提高存儲(chǔ)利用率，并且在多供應(yīng)商存儲(chǔ)環(huán)境中支持更多靈活的災(zāi)難恢復(fù)計(jì)劃。

? 可以為 VMWare 環(huán)境以及 Microsoft Exchange Server 2007 等電子郵件應(yīng)用程序和大型數(shù)據(jù)庫(kù)提供高級(jí)防護(hù)，從而能夠以更少的人力管理更多的數(shù)據(jù)。

LANDesk ——IT管理套件 概述：

在企業(yè)網(wǎng)絡(luò)中，終端設(shè)備是最終用戶感受最為直接的地方。對(duì)于IT管理人員來(lái)說(shuō)，終端的管理通常最為繁瑣，頻繁的軟件補(bǔ)丁和升級(jí)、終端系統(tǒng)重裝和維護(hù)、管理經(jīng)常變化的設(shè)備資產(chǎn)等，使得網(wǎng)絡(luò)管理者很忙碌。

怎么才能簡(jiǎn)化繁瑣的終端系統(tǒng)管理呢？國(guó)際人力資源服務(wù)公司Adecco利用藍(lán)代斯克管理套件，對(duì)其荷蘭170個(gè)辦事處和比利時(shí)160個(gè)辦事處的近2千臺(tái)終端系統(tǒng)進(jìn)行管理，僅需要20分鐘，就完成了對(duì)所有終端設(shè)備的軟件升級(jí)工作。

藍(lán)代斯克管理套件是一個(gè)集成的IT管理解決方案，能夠讓企業(yè)用戶集中管理整個(gè)企業(yè)的IT管理任務(wù)，包括系統(tǒng)管理、設(shè)備發(fā)現(xiàn)、庫(kù)存/IT資產(chǎn)管理、操作系統(tǒng)鏡像和遷移、軟件分發(fā)和軟件許可監(jiān)控等——所有的任務(wù)只需在單一控制臺(tái)上即可實(shí)現(xiàn)。?

IT專家針對(duì)整體基礎(chǔ)架構(gòu)更多的控制力及簡(jiǎn)單的管理

主要功能：

? 資產(chǎn)管理——對(duì)于諸如“我的企業(yè)有多少臺(tái)電腦？都分別是什么操作系統(tǒng)？哪些系統(tǒng)應(yīng)該升級(jí)了？” 這些一直困擾管理人員的問(wèn)題，可以利用藍(lán)代斯克管理套件中的IT資產(chǎn)管理功能解決。在它的幫助下，管理人員通過(guò)控制界面就可以對(duì)所有設(shè)備的相關(guān)信息一覽無(wú)余，可以遠(yuǎn)程確定系統(tǒng)升級(jí)方案而無(wú)須到現(xiàn)場(chǎng)打開機(jī)箱后再做決定。

? 通過(guò)Internet安全地管理——藍(lán)代斯克管理套件中采用的LANDesk管理網(wǎng)關(guān)，使IT管理人員能夠通過(guò)互聯(lián)網(wǎng)安全地管理系統(tǒng)——即使是在公司防火墻之外的系統(tǒng)，也能清晰掌握其系統(tǒng)狀況。這種管理方式充分利用了原有互聯(lián)網(wǎng)連接和基礎(chǔ)設(shè)施，無(wú)需VPN也無(wú)需專門租用線路就可以進(jìn)行終端的安全和配置管理。

? 支持英特爾AMT技術(shù)——LANDesk管理套件支持英特爾AMT技術(shù)，使IT管理人員能夠發(fā)現(xiàn)帶外設(shè)備并遠(yuǎn)程修復(fù)系統(tǒng)。即使遠(yuǎn)程計(jì)算機(jī)沒有響應(yīng)，也能夠借助擴(kuò)展的恢復(fù)和故障發(fā)現(xiàn)及修復(fù)工具，從單一的集中控制臺(tái)上遠(yuǎn)程解決問(wèn)題。

? 遠(yuǎn)程控制——相信大多數(shù)IT管理員都使用過(guò)PC Anywhere或者VNC這樣的遠(yuǎn)程控制軟件，藍(lán)代斯克管理套件的遠(yuǎn)程控制模式之一就類似于上述軟件，同時(shí)還提供了遠(yuǎn)程咨詢的模式。

? 軟件許可監(jiān)控——藍(lán)代斯克軟件許可監(jiān)控功能可以讓管理員對(duì)企業(yè)內(nèi)用戶的應(yīng)用了若指掌，并針對(duì)不同使用率的用戶采取不同的管理策略，這一功能還能禁止違規(guī)軟件（如游戲和聊天工具）的運(yùn)行。

? 操作系統(tǒng)分發(fā)——只需對(duì)IT管理員的工作做簡(jiǎn)單統(tǒng)計(jì)，不難發(fā)現(xiàn)最讓管理員頭疼的工作就是反復(fù)安裝操作系統(tǒng)。藍(lán)代斯克管理套件中的操作系統(tǒng)分發(fā)功能可以解除這一痛苦，它可以在一個(gè)任務(wù)中實(shí)現(xiàn)批量的安裝工作，從而幾倍、十幾倍地提升操作系統(tǒng)安裝的效率。

輕松的發(fā)現(xiàn)企業(yè)中的計(jì)算機(jī)資產(chǎn)及變更

主要優(yōu)勢(shì)：

? 通過(guò)一個(gè)全面管理解決方案管理所有的系統(tǒng)以及復(fù)雜網(wǎng)絡(luò)環(huán)境中的所有用戶，為您節(jié)省時(shí)間，提高工作效率。? 軟件自帶的工具能在任何網(wǎng)絡(luò)環(huán)境中對(duì)用戶進(jìn)行支持，從而降低了對(duì)helpdesk的使用需求和相關(guān)成本。

? 隨時(shí)保持補(bǔ)丁的最新狀態(tài)以及系統(tǒng)更新的及時(shí)性，維護(hù)系統(tǒng)級(jí)別的安全策略，從而保障了用戶的生產(chǎn)力，并減少了資源需求。? 超高效率、容錯(cuò)設(shè)計(jì)的專利軟件分發(fā)技術(shù)幫助您節(jié)省時(shí)間和網(wǎng)絡(luò)帶寬。? 綜合軟件證書監(jiān)控功能可幫助您降低軟件證書成本并快速響應(yīng)審計(jì)需求。? 輕松簡(jiǎn)便地向新操作系統(tǒng)配置用戶及用戶設(shè)置，從而推進(jìn)效率的提升。

Websense Web Security Suite——上網(wǎng)行為管理

概述：

Websense? Web Security Suite? 為領(lǐng)先的網(wǎng)絡(luò)安全解決方案，除了包含 Websense

Enterprise 的全部功能之外，Web Security Suite? 還可協(xié)助企業(yè)防范新興及現(xiàn)有的Web 威脅。它可以防范間諜軟件、惡意行動(dòng)代碼(MMC)、網(wǎng)絡(luò)詐騙攻擊、傀儡網(wǎng)絡(luò)、病毒及其它威脅。與其它一些解決方案不同，Websense 還可以封鎖間諜軟件和鍵盤側(cè)錄程序的反向信道通訊，進(jìn)而避免企業(yè)遭受攻擊的損失；網(wǎng)頁(yè)信譽(yù)(Web reputation)可評(píng)定網(wǎng)站信用等級(jí)，針對(duì)可疑的網(wǎng)站內(nèi)容進(jìn)行封鎖，以避免可疑內(nèi)容造成的損失。

使用 100 多個(gè)專利程序與系統(tǒng)掃描分析新興及復(fù)雜的安全威脅

主要功能：

? 提供業(yè)界領(lǐng)先的 Web 過(guò)濾功能——透過(guò)業(yè)界最完整的超過(guò) 3 千 5 百萬(wàn)條網(wǎng)頁(yè)數(shù)據(jù)庫(kù)及超過(guò) 90 種類別的彈性管理，控管使用者上網(wǎng)行為，避免不必要的網(wǎng)頁(yè)瀏覽帶來(lái)的威脅。

? 動(dòng)態(tài)管理網(wǎng)絡(luò)帶寬使用——可控管高流量應(yīng)用如在線流媒體、P2P軟件等。

? 在已知威脅到達(dá)端點(diǎn)之前予以封鎖——Websense Web Security Suite 可辨識(shí)惡意網(wǎng)站、協(xié)議、應(yīng)用程序和(連接端口為80或非80端口的)HTTP流量等安全威脅，并在因特網(wǎng)網(wǎng)關(guān)上封鎖其訪問(wèn)。

? 減少與威脅的接觸時(shí)間——Websense ThreatSeeker 技術(shù)提供的實(shí)時(shí)安全更新，在發(fā)現(xiàn)新的高風(fēng)險(xiǎn)威脅后，5分鐘內(nèi)即會(huì)自動(dòng)啟動(dòng)，無(wú)需人工介入。? 管理即時(shí) IM 和 IM 附件——Websense Web SecuritySuite 填補(bǔ)了 IM 通訊中既有的安全性和遵從性漏洞，從而避免了巨大的知識(shí)財(cái)產(chǎn)盜竊及惡意攻擊風(fēng)險(xiǎn)。

深度挖掘調(diào)查報(bào)告

主要優(yōu)勢(shì)：

? 超過(guò) 10 類 Proxy Avoidance Protocol 與 Web Categories 能阻擋使用者穿透快取與防火墻的意圖 ? 超過(guò) 90 次Security Updates(RTSU)平均每天發(fā)布，頻率可達(dá)數(shù)分鐘一次 ? 超過(guò) 8,500 次(2007 Q2)Real-Time Security Updates(RTSU)在 2007 Q2 間 ? 超過(guò) 6 億個(gè)每周根據(jù)惡意內(nèi)容的風(fēng)險(xiǎn)與網(wǎng)頁(yè)聲譽(yù)掃描 URL ? 超過(guò) 50%2008 年市占率，根據(jù) Gartner 2007 年 7 月公布的報(bào)告 ? 超過(guò) 3,500 萬(wàn)個(gè) 網(wǎng)站存在于 Websense Master Database 中

? 超過(guò) 90 種 網(wǎng)站類別，每個(gè)類別都有不同的策略設(shè)定與處理方式

? 超過(guò) 50 國(guó) 支持多國(guó)語(yǔ)系的網(wǎng)站，包括中文、韓文、日文、馬來(lái)文、越南文等 ? 超過(guò) 100 種 可管理的通訊協(xié)議，并且會(huì)動(dòng)態(tài)更新 ? 超過(guò) 4,000 萬(wàn)臺(tái) 使用的計(jì)算機(jī)數(shù)

第二篇：內(nèi)網(wǎng)安全整體解決方案

內(nèi)網(wǎng)安全整體解決方案

內(nèi)網(wǎng)安全整體解決方案

二〇一八年五月

第 i 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

目錄

第一章 總體方案設(shè)計(jì)......................................................................................................................................3 1.1 依據(jù)政策標(biāo)準(zhǔn)...............................................................................................................................................3 1.1.1 國(guó)內(nèi)政策和標(biāo)準(zhǔn)..................................................................................................................................3 1.1.2 國(guó)際標(biāo)準(zhǔn)及規(guī)范..................................................................................................................................5 1.2 設(shè)計(jì)原則.......................................................................................................................................................5 1.3 總體設(shè)計(jì)思想...............................................................................................................................................6 第二章 技術(shù)體系詳細(xì)設(shè)計(jì)..............................................................................................................................8 2.1 技術(shù)體系總體防護(hù)框架...............................................................................................................................8 2.2 內(nèi)網(wǎng)安全計(jì)算環(huán)境詳細(xì)設(shè)計(jì).......................................................................................................................8 2.2.1 傳統(tǒng)內(nèi)網(wǎng)安全計(jì)算環(huán)境總體防護(hù)設(shè)計(jì)..............................................................................................8 2.2.2 虛擬化內(nèi)網(wǎng)安全計(jì)算環(huán)境總體防護(hù)設(shè)計(jì)........................................................................................16 2.3 內(nèi)網(wǎng)安全數(shù)據(jù)分析.....................................................................................................................................25 2.3.1 內(nèi)網(wǎng)安全風(fēng)險(xiǎn)態(tài)勢(shì)感知....................................................................................................................25 2.3.2 內(nèi)網(wǎng)全景流量分析............................................................................................................................25 2.3.3 內(nèi)網(wǎng)多源威脅情報(bào)分析....................................................................................................................27 2.4 內(nèi)網(wǎng)安全管控措施.....................................................................................................................................27 2.4.1 內(nèi)網(wǎng)安全風(fēng)險(xiǎn)主動(dòng)識(shí)別....................................................................................................................27 2.4.2 內(nèi)網(wǎng)統(tǒng)一身份認(rèn)證與權(quán)限管理........................................................................................................29 2.4.1 內(nèi)網(wǎng)安全漏洞統(tǒng)一管理平臺(tái)............................................................................................................32 第三章 內(nèi)網(wǎng)安全防護(hù)設(shè)備清單.....................................................................................................................33

第 ii 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

第一章 總體方案設(shè)計(jì)

1.1 依據(jù)政策標(biāo)準(zhǔn)

1.1.1 國(guó)內(nèi)政策和標(biāo)準(zhǔn)

1．《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)令）2．《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)〔2003〕27號(hào)）

3．《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》（公通字〔2004〕66號(hào)）4．《信息安全等級(jí)保護(hù)管理辦法》（公通字〔2007〕43號(hào))5．《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公信安〔2007〕861號(hào)）

6．《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》（公信安〔2007〕1360號(hào)）7．《公安機(jī)關(guān)信息安全等級(jí)保護(hù)檢查工作規(guī)范》（公信安〔2008〕736號(hào)）8．《關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》（發(fā)改高技〔2008〕2071號(hào)）

9．《關(guān)于開展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》（公信安〔2009〕1429號(hào)）

10． 國(guó)資委、公安部《關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息安全等級(jí)保護(hù)工作的通知》（公通字[2010]70號(hào)文）

11． 《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開展等保測(cè)評(píng)工作的通知》（公信安[2010]303號(hào)文）

12． 國(guó)資委《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》（國(guó)資發(fā)〔2010〕41號(hào)）13． 《GB/T 22239.1-XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求 第1部分 安全通用要求（征求意見稿）》

14． 《GB/T 22239.2-XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

第 3 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

第2部分：云計(jì)算安全擴(kuò)展要求（征求意見稿）》

15． 《GB/T 25070.2-XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求 第2部分：云計(jì)算安全要求（征求意見稿）》

16． 《GA/T 20—XXXX 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南（征求意見稿）》

17． 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 18． 《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》 19． 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》 20． 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》 21． 《計(jì)算機(jī)信息系統(tǒng) 安全等級(jí)保護(hù)劃分準(zhǔn)則》 22． 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》 23． 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》 24． 《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》 25． 《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》

26． 《信息安全技術(shù) 信息系統(tǒng)安全通用技術(shù)要求（技術(shù)類）》 27． 《信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)要求（技術(shù)類）》 28． 《信息安全技術(shù) 公共基礎(chǔ)設(shè)施 PKI系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求》 29． 《信息安全技術(shù) 信息系統(tǒng)安全管理要求（管理類）》 30． 《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（管理類）》 31． 《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》 32． 《信息技術(shù) 安全技術(shù) 信息安全事件管理指南》 33． 《信息安全技術(shù) 信息安全事件分類分級(jí)指南》 34． 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)體系框架》 35． 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本模型》

第 4 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

36． 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本配置》

37． 《信息安全技術(shù) 應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)指南》 38． 《信息安全技術(shù) 應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用測(cè)試指南》 39． 《信息安全技術(shù) 信息系統(tǒng)安全管理測(cè)評(píng)》

40． 《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》

1.1.2 國(guó)際標(biāo)準(zhǔn)及規(guī)范

1．國(guó)際信息安全I(xiàn)SO27000系列 2．國(guó)際服務(wù)管理標(biāo)準(zhǔn)ISO20000 3．ITIL最佳實(shí)踐 4．企業(yè)內(nèi)控COBIT 1.2 設(shè)計(jì)原則

隨著單位信息化建設(shè)的不斷加強(qiáng)，某單位內(nèi)網(wǎng)的終端計(jì)算機(jī)數(shù)量還在不斷增加，網(wǎng)絡(luò)中的應(yīng)用日益復(fù)雜。某單位信息安全部門保障著各種日常工作的正常運(yùn)行。

目前為了維護(hù)網(wǎng)絡(luò)內(nèi)部的整體安全及提高系統(tǒng)的管理控制，需要對(duì)單位內(nèi)網(wǎng)辦公終端、服務(wù)器、信息系統(tǒng)、關(guān)鍵數(shù)據(jù)、網(wǎng)絡(luò)設(shè)備等統(tǒng)一進(jìn)行安全防護(hù)，加強(qiáng)對(duì)非法外聯(lián)、終端入侵、病毒傳播、數(shù)據(jù)失竊等極端情況的風(fēng)險(xiǎn)抑制措施。同時(shí)對(duì)于內(nèi)部業(yè)務(wù)系統(tǒng)的服務(wù)器進(jìn)行定向加固，避免由于外部入侵所導(dǎo)致的主機(jī)失陷

第 5 頁(yè) 內(nèi)網(wǎng)安全整體解決方案 等安全事件的發(fā)生

如上圖所示，本項(xiàng)目的設(shè)計(jì)原則具體包括：

? 整體設(shè)計(jì)，重點(diǎn)突出原則 ? 縱深防御原則

? 追求架構(gòu)先進(jìn)、技術(shù)成熟，擴(kuò)展性強(qiáng)原則 ? 統(tǒng)一規(guī)劃，分布實(shí)施原則 ? 持續(xù)安全原則 ? 可視、可管、可控原則

1.3 總體設(shè)計(jì)思想

如上圖所示，本方案依據(jù)國(guó)家信息安全相關(guān)政策和標(biāo)準(zhǔn)，堅(jiān)持管理和技術(shù)并重的原則，將技術(shù)和管理措施有機(jī)的結(jié)合，建立信息系統(tǒng)綜合防護(hù)體系，通過(guò)“1341”的設(shè)計(jì)思想進(jìn)行全局規(guī)劃，具體內(nèi)容：

第 6 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

? 一個(gè)體系

以某單位內(nèi)網(wǎng)安全為核心、以安全防護(hù)體系為支撐，從安全風(fēng)險(xiǎn)考慮，建立符合用戶內(nèi)網(wǎng)實(shí)際場(chǎng)景的安全基線，通過(guò)構(gòu)建縱深防御體系、內(nèi)部行為分析、外部情報(bào)接入，安全防護(hù)接入與虛擬主機(jī)防護(hù)接入等能力，構(gòu)建基于虛擬化云安全資源池+傳統(tǒng)硬件安全設(shè)備的下一代內(nèi)網(wǎng)安全防御體系。

? 三道防線

結(jié)合縱深防御的思想，從內(nèi)網(wǎng)安全計(jì)算環(huán)境、內(nèi)網(wǎng)安全數(shù)據(jù)分析、內(nèi)網(wǎng)安全管控手段三個(gè)層次，從用戶實(shí)際業(yè)務(wù)出發(fā)，構(gòu)建統(tǒng)一安全策略和防護(hù)機(jī)制，實(shí)現(xiàn)內(nèi)網(wǎng)核心系統(tǒng)和內(nèi)網(wǎng)關(guān)鍵數(shù)據(jù)的風(fēng)險(xiǎn)可控。

? 四個(gè)安全能力

采用主動(dòng)防御安全體系框架，結(jié)合業(yè)務(wù)和數(shù)據(jù)安全需求，實(shí)現(xiàn)“預(yù)測(cè)、防御、檢測(cè)、響應(yīng)”四種安全能力，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的可管、可控、可視及可持續(xù)。

? 預(yù)測(cè)能力：通過(guò)運(yùn)用大數(shù)據(jù)技術(shù)對(duì)內(nèi)部的安全數(shù)據(jù)和外部的威脅情報(bào)進(jìn)行主動(dòng)探索分析和評(píng)估具體包括行為建模與分析、安全基線與態(tài)勢(shì)分析、能夠使問(wèn)題出現(xiàn)前提早發(fā)現(xiàn)問(wèn)題，甚至遇見可能侵襲的威脅，隨之調(diào)整安全防護(hù)策略來(lái)應(yīng)對(duì)。

? 防御能力：采用加固和隔離系統(tǒng)降低攻擊面，限制黑客接觸系統(tǒng)、發(fā)現(xiàn)漏洞和執(zhí)行惡意代碼的能力，并通過(guò)轉(zhuǎn)移攻擊手段使攻擊者難以定位真正的系統(tǒng)核心以及可利用漏洞，以及隱藏混淆系統(tǒng)接口信息(如創(chuàng)建虛假系統(tǒng)、漏洞和信息)，此外，通過(guò)事故預(yù)防和安全策略合規(guī)審計(jì)的方式通過(guò)統(tǒng)一的策略管理和策略的聯(lián)動(dòng)，防止黑客未授權(quán)而進(jìn)入系統(tǒng)，并判斷現(xiàn)有策略的合規(guī)性并進(jìn)行相應(yīng)的優(yōu)化設(shè)置。

? 檢測(cè)能力：通過(guò)對(duì)業(yè)務(wù)、數(shù)據(jù)和基礎(chǔ)設(shè)施的全面檢測(cè)，結(jié)合現(xiàn)有的安全策略提出整改建議，與網(wǎng)絡(luò)運(yùn)維系統(tǒng)聯(lián)動(dòng)實(shí)現(xiàn)安全整改和策略變更后，并進(jìn)行持續(xù)監(jiān)控，結(jié)合外部安全情況快速發(fā)現(xiàn)安全漏洞并進(jìn)行響應(yīng)。

? 響應(yīng)能力：與網(wǎng)絡(luò)運(yùn)維系統(tǒng)進(jìn)行對(duì)接，實(shí)現(xiàn)安全聯(lián)動(dòng)，出現(xiàn)安全漏洞時(shí)在短時(shí)間內(nèi)，進(jìn)行安全策略的快速調(diào)整，將被感染的系統(tǒng)和賬戶進(jìn)行隔離，通過(guò)回顧分析事件完整過(guò)程，利用持續(xù)監(jiān)控所獲取的數(shù)據(jù)，解決相應(yīng)安全問(wèn)題。

第 7 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

第二章 技術(shù)體系詳細(xì)設(shè)計(jì)

2.1 技術(shù)體系總體防護(hù)框架

在進(jìn)行內(nèi)網(wǎng)安全防護(hù)技術(shù)體系詳細(xì)設(shè)計(jì)時(shí)，充分考慮某單位內(nèi)部網(wǎng)絡(luò)面臨的威脅風(fēng)險(xiǎn)和安全需求，并遵循《信息系統(tǒng)等級(jí)保護(hù)基本要求》、《GB/T 22239.1-XXXX 信息安全技術(shù)，網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求：第1部分-安全通用要求（征求意見稿）》，通過(guò)對(duì)內(nèi)網(wǎng)安全計(jì)算環(huán)境、內(nèi)網(wǎng)安全數(shù)據(jù)分析、內(nèi)網(wǎng)安全管控手段等各種防護(hù)措施的詳細(xì)設(shè)計(jì)，形成“信息安全技術(shù)體系三重防護(hù)”的信息安全技術(shù)防護(hù)體，達(dá)到《信息系統(tǒng)等級(jí)保護(hù)基本要求》、《GB/T 22239.1-XXXX 信息安全技術(shù)，網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求：第1部分-安全通用要求（征求意見稿）》切實(shí)做到內(nèi)部網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)可控。

三重防護(hù)主要包括：內(nèi)網(wǎng)安全計(jì)算環(huán)境、內(nèi)網(wǎng)安全數(shù)據(jù)分析、內(nèi)網(wǎng)安全管控措施。

2.2 內(nèi)網(wǎng)安全計(jì)算環(huán)境詳細(xì)設(shè)計(jì)

2.2.1 傳統(tǒng)內(nèi)網(wǎng)安全計(jì)算環(huán)境總體防護(hù)設(shè)計(jì)

第 8 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

如上圖所示，在內(nèi)網(wǎng)安全計(jì)算環(huán)境方面結(jié)合互聯(lián)網(wǎng)與辦公網(wǎng)的攻擊，圍繞網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)層實(shí)現(xiàn)安全防護(hù)，具體內(nèi)容包括：

? 網(wǎng)絡(luò)層安全防護(hù)設(shè)計(jì)

1、通過(guò)FW或vFW中的FW、AV、IPS模塊實(shí)現(xiàn)網(wǎng)絡(luò)層訪問(wèn)控制、惡意代碼防護(hù)、入侵防御。

2、在各個(gè)內(nèi)網(wǎng)安全域邊界處，部署防火墻實(shí)現(xiàn)域邊界的網(wǎng)絡(luò)層訪問(wèn)控制。

3、在內(nèi)網(wǎng)邊界處部署流量監(jiān)控設(shè)備，實(shí)現(xiàn)全景網(wǎng)絡(luò)流量監(jiān)控與審計(jì)，并對(duì)數(shù)據(jù)包進(jìn)行解析，通過(guò)會(huì)話時(shí)間、協(xié)議類型等判斷業(yè)務(wù)性能和交互響應(yīng)時(shí)間。

? 主機(jī)層安全防護(hù)與設(shè)計(jì)

1、在各個(gè)區(qū)域的核心交換處部署安全沙箱，實(shí)現(xiàn)主機(jī)入侵行為和未知威脅分析與預(yù)警。

2、通過(guò)自適應(yīng)安全監(jiān)測(cè)系統(tǒng)，對(duì)主機(jī)操作系統(tǒng)類型、版本、進(jìn)程、賬號(hào)權(quán)限、反彈shell、漏洞威脅等進(jìn)行全面的監(jiān)控與預(yù)警。? 應(yīng)用層安全防護(hù)與設(shè)計(jì)

1、在通過(guò)外部服務(wù)域部署WAF設(shè)備實(shí)現(xiàn)應(yīng)用層基于入侵特征識(shí)別的安全防護(hù)

第 9 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

2、通過(guò)自適應(yīng)安全監(jiān)測(cè)系統(tǒng)，對(duì)應(yīng)用支撐系統(tǒng)的類型、版本、框架路徑、訪問(wèn)權(quán)限、漏洞威脅等進(jìn)行全面的監(jiān)控與預(yù)警。? 數(shù)據(jù)層安全防護(hù)與設(shè)計(jì)

1、在數(shù)據(jù)資源域邊界處部署數(shù)據(jù)庫(kù)防護(hù)墻實(shí)現(xiàn)敏感信息的訪問(wèn)控制

2、在數(shù)據(jù)資源域邊界處部署數(shù)據(jù)庫(kù)審計(jì)設(shè)備實(shí)現(xiàn)數(shù)據(jù)庫(kù)的操作審計(jì)。

3、在互聯(lián)網(wǎng)接入域部署VPN設(shè)備，實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)傳輸通道的加密

2.2.1.1 內(nèi)網(wǎng)邊界安全

2.2.1.1.1 內(nèi)網(wǎng)邊界隔離

嚴(yán)格控制進(jìn)出內(nèi)網(wǎng)信息系統(tǒng)的訪問(wèn)，明確訪問(wèn)的來(lái)源、訪問(wèn)的對(duì)象及訪問(wèn)的類型，確保合法訪問(wèn)的正常進(jìn)行，杜絕非法及越權(quán)訪問(wèn)；同時(shí)有效預(yù)防、發(fā)現(xiàn)、處理異常的網(wǎng)絡(luò)訪問(wèn)，確保該區(qū)域信息網(wǎng)絡(luò)正常訪問(wèn)活動(dòng)。2.2.1.1.1 內(nèi)網(wǎng)惡意代碼防范

病毒、蠕蟲、木馬、流氓軟件等各類惡意代碼已經(jīng)成為互聯(lián)網(wǎng)接入所面臨的重要威脅之一，面對(duì)越發(fā)復(fù)雜的網(wǎng)絡(luò)環(huán)境，傳統(tǒng)的網(wǎng)絡(luò)防病毒控制體系沒有從引入威脅的最薄弱環(huán)節(jié)進(jìn)行控制，即便采取一些手段加以簡(jiǎn)單的控制，也仍然不能消除來(lái)自外界的繼續(xù)攻擊，短期消滅的危害仍會(huì)繼續(xù)存在。為了解決上述問(wèn)題，對(duì)網(wǎng)絡(luò)安全實(shí)現(xiàn)全面控制，一個(gè)有效的控制手段應(yīng)勢(shì)而生：從內(nèi)網(wǎng)邊界入手，切斷傳播途徑，實(shí)現(xiàn)網(wǎng)關(guān)級(jí)的過(guò)濾控制。

建議在該區(qū)域部署防病毒網(wǎng)關(guān)，對(duì)進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進(jìn)行病毒、惡意代碼掃描和和過(guò)濾處理，并提供防病毒引擎和病毒庫(kù)的自動(dòng)在線升級(jí)，徹底阻斷病毒、蠕蟲及各種惡意代碼向數(shù)據(jù)中心或辦公區(qū)域網(wǎng)絡(luò)傳播 2.2.1.1.2 內(nèi)網(wǎng)系統(tǒng)攻擊防護(hù)

網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)作為一種在線部署的產(chǎn)品，提供主動(dòng)的、實(shí)時(shí)的防護(hù)，其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)對(duì)各類攻擊性的流量，IPS系統(tǒng)工作在第二層到第七層，通常使用特征匹配和異常分析的方法來(lái)識(shí)別各種網(wǎng)絡(luò)攻擊行為，尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷，而不是簡(jiǎn)單地在監(jiān)測(cè)到惡意流量的同時(shí)或之后才發(fā)出告警。

第 10 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

IPS是通過(guò)直接串聯(lián)到網(wǎng)絡(luò)鏈路中而實(shí)現(xiàn)這一功能的，即IPS接收到外部數(shù)據(jù)流量時(shí)，如果檢測(cè)到攻擊企圖，就會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。IPS以在線串聯(lián)方式部署實(shí)現(xiàn)對(duì)檢測(cè)到的各種攻擊行為進(jìn)行直接阻斷并生成日志報(bào)告和報(bào)警信息。2.2.1.1.3 內(nèi)網(wǎng)信息隔離防護(hù)

建議在內(nèi)網(wǎng)核心業(yè)務(wù)區(qū)的邊界部署安全隔離網(wǎng)閘，為了保證數(shù)據(jù)安全，高密級(jí)網(wǎng)與低密級(jí)網(wǎng)絡(luò)之間，要求數(shù)據(jù)只能從低密級(jí)網(wǎng)絡(luò)流向高密級(jí)網(wǎng)絡(luò)。為解決高密級(jí)網(wǎng)絡(luò)通過(guò)連接環(huán)境泄密問(wèn)題設(shè)計(jì)的安全隔離與信息單項(xiàng)導(dǎo)入系統(tǒng)（即安全隔離網(wǎng)閘）。該設(shè)備由于其物理單向無(wú)反饋環(huán)境、基于數(shù)據(jù)的單項(xiàng)導(dǎo)入，使黑客無(wú)法通過(guò)該套系統(tǒng)進(jìn)行入侵和探測(cè)，同時(shí)行為得不到任何反饋信息，在為用戶提供絕對(duì)單向無(wú)反饋傳輸功能的同時(shí)，為用戶提供高級(jí)別的網(wǎng)絡(luò)攻擊安全防護(hù)解決方案。

2.2.1.1 內(nèi)網(wǎng)主機(jī)安全

2.2.1.1.1 內(nèi)網(wǎng)用戶行為管控

上網(wǎng)行為管理系統(tǒng)是為滿足單位內(nèi)部網(wǎng)絡(luò)行為管理和內(nèi)容審計(jì)的專業(yè)產(chǎn)品。系統(tǒng)不僅具有防止非法信息傳播、敏感信息泄露，實(shí)時(shí)監(jiān)控、日志追溯，網(wǎng)絡(luò)資源管理，還具有強(qiáng)大的用戶管理、報(bào)表統(tǒng)計(jì)分析功能。

上網(wǎng)行為管理具有高效實(shí)時(shí)的網(wǎng)絡(luò)數(shù)據(jù)采集能力、智能的信息處理能力、強(qiáng)大的內(nèi)容審計(jì)分析能力、精細(xì)的行為管理能力，是一款高性能、智能靈活、易于管理和擴(kuò)展的上網(wǎng)行為管理產(chǎn)品。2.2.1.1.2 內(nèi)網(wǎng)非授權(quán)用戶準(zhǔn)入

在信息化越來(lái)越簡(jiǎn)便的背景下，任何接入網(wǎng)絡(luò)的設(shè)備和人員都有可能對(duì)內(nèi)網(wǎng)信息資源構(gòu)成威脅，因此針對(duì)辦公計(jì)算機(jī)以及分支機(jī)構(gòu)接入的系統(tǒng)安全以及訪問(wèn)區(qū)域管理顯的尤為重要，如果出現(xiàn)安全事故或越權(quán)訪問(wèn)的情況，將會(huì)嚴(yán)重影響整體業(yè)務(wù)系統(tǒng)運(yùn)行安全。

由于信息化程度較高，終端點(diǎn)數(shù)較多，對(duì)IT軟硬件的資產(chǎn)管理及故障維護(hù)如果單純靠人工施行難度和工作量都比較大且效率比較低，同時(shí)如果員工存在對(duì)管

第 11 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

理制度執(zhí)行不到位的情況出現(xiàn)，就迫切需要通過(guò)技術(shù)手段規(guī)范員工的入網(wǎng)行為。

為加強(qiáng)網(wǎng)絡(luò)信息安全管理以及內(nèi)部PC的安全管理，提高內(nèi)網(wǎng)辦公效率，應(yīng)建立一套終端準(zhǔn)入管理系統(tǒng)，重點(diǎn)解決以下問(wèn)題：

入網(wǎng)終端注冊(cè)和認(rèn)證化

采用的是雙實(shí)名制認(rèn)證方式，其包含對(duì)終端機(jī)器的認(rèn)證和使用人員的認(rèn)證，終端注冊(cè)的目的是為了方便管理員了解入網(wǎng)機(jī)器是否為合法的終端，認(rèn)證的目的是使用終端的人身份的合法性，做到人機(jī)一一對(duì)應(yīng)，一旦出現(xiàn)安全事故，也便于迅速定位終端和人。

違規(guī)終端不準(zhǔn)入網(wǎng) 違規(guī)終端定義

外來(lái)終端：外部訪客使用的終端，或者為非內(nèi)部人員使用的、不屬于內(nèi)部辦公用終端（員工私人終端等）；

違規(guī)終端：未能通過(guò)身份合法性、安全設(shè)置合規(guī)性檢查的終端。

入網(wǎng)終端安全修復(fù)合規(guī)化

終端入網(wǎng)時(shí)若不符合單位要求的安全規(guī)范，則會(huì)被暫時(shí)隔離，無(wú)法訪問(wèn)業(yè)務(wù)網(wǎng)絡(luò)，待將問(wèn)題修復(fù)符合單位安全規(guī)范后才能正常訪問(wèn)單位網(wǎng)絡(luò)。

內(nèi)網(wǎng)基于用戶的訪問(wèn)控制

內(nèi)網(wǎng)基于用戶的訪問(wèn)控制：可以通過(guò)用戶組（角色）的方式定義不同的訪問(wèn)權(quán)限，如內(nèi)部員工能夠訪問(wèn)全網(wǎng)資源，來(lái)賓訪客只允許訪問(wèn)有限的網(wǎng)絡(luò)資源。2.2.1.1.3 內(nèi)網(wǎng)終端安全防護(hù)

建議部署終端安全管理系統(tǒng)，為數(shù)據(jù)中心運(yùn)維人員提供終端安全準(zhǔn)入，防止運(yùn)維人員終端自身的安全問(wèn)題影響數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)。在具備補(bǔ)丁管理、802.1x準(zhǔn)入控制、存儲(chǔ)介質(zhì)（U盤等）管理、非法外聯(lián)管理、終端安全性檢查、終端狀態(tài)監(jiān)控、終端行為監(jiān)控、安全報(bào)警等功能基礎(chǔ)上，增加風(fēng)險(xiǎn)管理和主動(dòng)防范機(jī)制，具備完善的違規(guī)監(jiān)測(cè)和風(fēng)險(xiǎn)分析，實(shí)現(xiàn)有效防護(hù)和控制，降低風(fēng)險(xiǎn)，并指導(dǎo)持續(xù)改進(jìn)和完善防護(hù)策略，并具備終端敏感信息檢查功能，支持終端流量監(jiān)控，非常

第 12 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

適合于對(duì)數(shù)據(jù)中心運(yùn)維終端的安全管理。

終端安全管理系統(tǒng)，提供針對(duì)Windows桌面終端的軟硬件資產(chǎn)管理、終端行為監(jiān)管、終端安全防護(hù)、非法接入控制、非法外聯(lián)監(jiān)控、補(bǔ)丁管理等功能，采用統(tǒng)一策略下發(fā)并強(qiáng)制策略執(zhí)行的機(jī)制，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)部終端系統(tǒng)的管理和維護(hù)，從而有效地保護(hù)用戶計(jì)算機(jī)系統(tǒng)安全和信息數(shù)據(jù)安全。2.2.1.1.4 內(nèi)網(wǎng)服務(wù)器安全加固

建議在內(nèi)網(wǎng)所有服務(wù)器部署安全加固組件，針對(duì)內(nèi)外網(wǎng)IP、對(duì)內(nèi)對(duì)外端口、進(jìn)程、域名、賬號(hào)、主機(jī)信息、web容器、第三方組件、數(shù)據(jù)庫(kù)、安全與業(yè)務(wù)分組信息進(jìn)行服務(wù)器信息匯總。主動(dòng)對(duì)服務(wù)器進(jìn)行系統(tǒng)漏洞補(bǔ)丁識(shí)別、管理及修復(fù)、系統(tǒng)漏洞發(fā)現(xiàn)、識(shí)別、管理及修復(fù)、弱口令漏洞識(shí)別及修復(fù)建議、高危賬號(hào)識(shí)別及管理、應(yīng)用配置缺陷風(fēng)險(xiǎn)識(shí)別及管理。7*24小時(shí)對(duì)服務(wù)器進(jìn)行登錄監(jiān)控、完整性監(jiān)控、進(jìn)程監(jiān)控、系統(tǒng)資源監(jiān)控、性能監(jiān)控、操作審計(jì)。通過(guò)對(duì)服務(wù)器整體威脅分析、病毒檢測(cè)與查殺、反彈shell識(shí)別處理、異常賬號(hào)識(shí)別處理、端口掃描檢測(cè)、日志刪除、登錄/進(jìn)程異常、系統(tǒng)命令篡改等入侵事件發(fā)現(xiàn)及處理。最終完成對(duì)服務(wù)器立體化的多維度安全加固。2.2.1.1.5 內(nèi)網(wǎng)服務(wù)器安全運(yùn)維

由于設(shè)備眾多、系統(tǒng)操作人員復(fù)雜等因素，導(dǎo)致越權(quán)訪問(wèn)、誤操作、資源濫用、疏忽泄密等時(shí)有發(fā)生。黑客的惡意訪問(wèn)也有可能獲取系統(tǒng)權(quán)限，闖入部門或單位內(nèi)部網(wǎng)絡(luò)，造成不可估量的損失。終端的賬號(hào)和口令的安全性，也是安全管理中難以解決的問(wèn)題。如何提高系統(tǒng)運(yùn)維管理水平，滿足相關(guān)法規(guī)的要求，防止黑客的入侵和惡意訪問(wèn)，跟蹤服務(wù)器上用戶行為，降低運(yùn)維成本，提供控制和審計(jì)依據(jù)，越來(lái)越成為內(nèi)部網(wǎng)絡(luò)控制中的核心安全問(wèn)題。

安全運(yùn)維審計(jì)是一種符合4A(認(rèn)證Authentication、賬號(hào)Account、授權(quán)Authorization、審計(jì)Audit)要求的統(tǒng)一安全管理平臺(tái)，在網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)（如：防火墻、帶有訪問(wèn)控制功能的交換機(jī)）的配合下，成為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，攔截對(duì)目標(biāo)設(shè)備的非法訪問(wèn)、操作行為。

運(yùn)維審計(jì)設(shè)備能夠極大的保護(hù)客戶內(nèi)部網(wǎng)絡(luò)設(shè)備及服務(wù)器資源的安全性，使得客戶的網(wǎng)絡(luò)管理合理化、專業(yè)化。

第 13 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

建議在核心交換機(jī)上以旁路方式部署一臺(tái)運(yùn)維審計(jì)系統(tǒng)。運(yùn)維審計(jì)（堡壘主機(jī)）系統(tǒng)，為運(yùn)維人員提供統(tǒng)一的運(yùn)維操作審計(jì)。通過(guò)部署運(yùn)維審計(jì)設(shè)備能夠?qū)崿F(xiàn)對(duì)所有的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)安全設(shè)備，應(yīng)用系統(tǒng)的操作行為全面的記錄，包括登錄IP、登錄用戶、登錄時(shí)間、操作命令全方位細(xì)粒度的審計(jì)。同時(shí)支持過(guò)程及行為回放功能，從而使安全問(wèn)題得到追溯，提供有據(jù)可查的功能和相關(guān)能力。

2.2.1.1 內(nèi)網(wǎng)應(yīng)用安全

2.2.1.1.1 內(nèi)網(wǎng)應(yīng)用層攻擊防護(hù)

建議內(nèi)網(wǎng)信息系統(tǒng)邊界部署WEB應(yīng)用防火墻（WAF）設(shè)備，對(duì)Web應(yīng)用服務(wù)器進(jìn)行保護(hù)，即對(duì)網(wǎng)站的訪問(wèn)進(jìn)行7X24小時(shí)實(shí)時(shí)保護(hù)。通過(guò)Web應(yīng)用防火墻的部署，可以解決WEB應(yīng)用服務(wù)器所面臨的各類網(wǎng)站安全問(wèn)題，如：SQL注入攻擊、跨站攻擊（XSS攻擊，俗稱釣魚攻擊）、惡意編碼(網(wǎng)頁(yè)木馬)、緩沖區(qū)溢出、應(yīng)用層DDOS攻擊等等。防止網(wǎng)頁(yè)篡改、被掛木馬等嚴(yán)重影響形象的安全事件發(fā)生。

WAF作為常見應(yīng)用層防護(hù)設(shè)備，在防護(hù)來(lái)自于外網(wǎng)的黑客攻擊外，同樣可以防護(hù)來(lái)自內(nèi)網(wǎng)的跳板型滲透攻擊，當(dāng)內(nèi)部終端或服務(wù)器被黑客攻陷后，為防止通過(guò)跳板機(jī)對(duì)內(nèi)網(wǎng)其他應(yīng)用系統(tǒng)進(jìn)行內(nèi)網(wǎng)滲透，通過(guò)WAF防攻擊模塊，可以實(shí)時(shí)阻斷任何應(yīng)用層攻擊行為，保護(hù)內(nèi)部系統(tǒng)正常運(yùn)行

2.2.1.2 內(nèi)網(wǎng)數(shù)據(jù)安全

2.2.1.2.1 內(nèi)網(wǎng)數(shù)據(jù)防泄密

建議在內(nèi)網(wǎng)環(huán)境中部署數(shù)據(jù)防泄密系統(tǒng)，保持某單位現(xiàn)有的工作模式和員工操作習(xí)慣不變，不改變?nèi)魏挝募袷?、不封閉網(wǎng)絡(luò)、不改變網(wǎng)絡(luò)結(jié)構(gòu)、不封閉計(jì)算機(jī)各種豐富的外設(shè)端口、不改變復(fù)雜的應(yīng)用服務(wù)器集群環(huán)境，實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部數(shù)據(jù)強(qiáng)制透明加解密，員工感覺不到數(shù)據(jù)存在，保證辦公效率，實(shí)現(xiàn)數(shù)據(jù)防泄密管理，形成“對(duì)外受阻，對(duì)內(nèi)無(wú)礙”的管理效果。

員工未經(jīng)授權(quán)，不管以任何方式將數(shù)據(jù)帶離公司的環(huán)境，都無(wú)法正常查看。如：加密文件通過(guò)MSN、QQ、電子郵件、移動(dòng)存儲(chǔ)設(shè)備等方式傳輸?shù)焦臼跈?quán)范圍以外（公司外部或公司內(nèi)沒有安裝綠盾終端的電腦），那么將無(wú)法正常打開

第 14 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

使用，顯示亂碼，并且文件始終保持加密狀態(tài)。只有經(jīng)過(guò)公司審批后，用戶才可在授予的權(quán)限范圍內(nèi)，訪問(wèn)該文件。

1)在不改變員工任何操作習(xí)慣、不改變硬件環(huán)境和網(wǎng)絡(luò)環(huán)境、不降低辦公效率，員工感覺不到數(shù)據(jù)被加密的存在，實(shí)現(xiàn)了單位數(shù)據(jù)防泄密管理；

2)員工不管通過(guò)QQ、mail、U 盤等各種方式，將單位內(nèi)部重要文件發(fā)送出去，數(shù)據(jù)均是加密狀態(tài)；

3)存儲(chǔ)著單位重要數(shù)據(jù)的U 盤、光盤不慎丟失后，沒有在公司的授權(quán)環(huán)境下打開均是加密狀態(tài)；

4)員工出差辦公不慎將筆記本丟失，無(wú)單位授予的合法口令，其他人無(wú)法閱讀筆記本內(nèi)任何數(shù)據(jù)； 2.2.1.2.2 內(nèi)網(wǎng)數(shù)據(jù)庫(kù)安全審計(jì)

建議在內(nèi)部信息系統(tǒng)部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，對(duì)多種類數(shù)據(jù)庫(kù)的操作行為進(jìn)行采集記錄，探測(cè)器通過(guò)旁路接入，在相應(yīng)的交換機(jī)上配置端口鏡像，對(duì)內(nèi)部人員訪問(wèn)數(shù)據(jù)庫(kù)的數(shù)據(jù)流進(jìn)行鏡像采集并保存信息日志。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)能夠詳細(xì)記錄每次操作的發(fā)生時(shí)間、數(shù)據(jù)庫(kù)類型、源MAC地址、目的MAC地址、源端口、目標(biāo)端口、數(shù)據(jù)庫(kù)名、用戶名、客戶端IP、服務(wù)器端IP、操作指令、操作返回狀態(tài)值。數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)支持記錄的行為包括：

數(shù)據(jù)操作類（如select、insert、delete、update等）結(jié)構(gòu)操作類（如create、drop、alter等）

事務(wù)操作類（如Begin Transaction、Commit Transaction、Rollback Transaction 等）

用戶管理類以及其它輔助類（如視圖、索引、過(guò)程等操作）等數(shù)據(jù)庫(kù)訪問(wèn)行 為，并對(duì)違規(guī)操作行為產(chǎn)生報(bào)警事件。

第 15 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

2.2.2 虛擬化內(nèi)網(wǎng)安全計(jì)算環(huán)境總體防護(hù)設(shè)計(jì)

2.2.2.1 劃分虛擬安全域

圖中提供安全組、連接策略兩種方式。安全組類似白名單方式，而連接策略

第 16 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

類似黑名單方式。通過(guò)添加具體的訪問(wèn)控制規(guī)則，支持任意虛擬機(jī)之間的訪問(wèn)控制。靈活的配置方式可以滿足用戶所有的訪問(wèn)控制類需求。

在原生虛擬化環(huán)境中部署的虛擬防火墻可以通過(guò)服務(wù)鏈技術(shù)，實(shí)現(xiàn)和SDN網(wǎng)絡(luò)控制器的接口、安全控制平臺(tái)的接口，并進(jìn)一步抽象化、池化，實(shí)現(xiàn)安全設(shè)備的自動(dòng)化部署。同時(shí)，在部署時(shí)通過(guò)安全管理策略的各類租戶可以獲得相應(yīng)安全設(shè)備的安全管理權(quán)限、達(dá)成分權(quán)分域管理的目標(biāo)。

在安全控制平臺(tái)部署期的過(guò)渡階段，可以采用手工配置流控策略的模式，實(shí)現(xiàn)無(wú)縫過(guò)渡。在這種部署模式下，安全設(shè)備的部署情況與基于SDN技術(shù)的集成部署模式相似，只是所有在使用SDN控制器調(diào)度流量處，都需要使用人工的方式配置網(wǎng)絡(luò)設(shè)備，使之執(zhí)行相應(yīng)的路由或交換指令。

以虛擬防火墻防護(hù)為例，可以由管理員通過(guò)控制器下發(fā)計(jì)算節(jié)點(diǎn)到安全節(jié)點(diǎn)中各個(gè)虛擬網(wǎng)橋的流表，依次將流量牽引到虛擬防火墻設(shè)備即可。

這一切的配置都是通過(guò)統(tǒng)一管理界面實(shí)現(xiàn)引流、策略下發(fā)的自動(dòng)化，除了這些自動(dòng)化操作手段，統(tǒng)一管理平臺(tái)還提供可視化展示功能，主要功能有，支持虛擬機(jī)資產(chǎn)發(fā)現(xiàn)、支持對(duì)流量、應(yīng)用、威脅的統(tǒng)計(jì)，支持對(duì)接入服務(wù)的虛擬機(jī)進(jìn)行全方位的網(wǎng)絡(luò)監(jiān)控支持會(huì)話日志、系統(tǒng)日志、威脅指數(shù)等以邏輯動(dòng)態(tài)拓?fù)鋱D的方式展示。

? 南北向流量訪問(wèn)控制

第 17 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

在云平臺(tái)內(nèi)部邊界部署2套邊界防火墻用于后臺(tái)服務(wù)域與其他域的邊界訪問(wèn)控制（即南北向流量的訪問(wèn)控制）。防火墻設(shè)置相應(yīng)的訪問(wèn)控制策略，根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請(qǐng)求的服務(wù)等，決定該數(shù)據(jù)包是否可以進(jìn)出云計(jì)算平臺(tái)，并確定該數(shù)據(jù)包可以訪問(wèn)的客體資源。

? 東西向流量訪問(wèn)控制

虛擬化場(chǎng)景中的關(guān)鍵安全能力組件集合了ACL、防火墻、IPS、Anti-DDoS、DPI、AV等多項(xiàng)功能，vDFW采用統(tǒng)一安全引擎，將應(yīng)用識(shí)別、內(nèi)容檢測(cè)、URL過(guò)濾、入侵防御、病毒查殺等處理引擎合并歸一，實(shí)現(xiàn)對(duì)數(shù)據(jù)中心內(nèi)部東西向流量的報(bào)文進(jìn)行高效的一次性處理。不僅如此，vDFW支持多虛一的集群模式，突破性能瓶頸的限制，以達(dá)到與數(shù)據(jù)中心防護(hù)需求最佳匹配的效果。當(dāng)數(shù)據(jù)中心檢測(cè)平臺(tái)發(fā)現(xiàn)特定虛機(jī)發(fā)起內(nèi)部威脅攻擊流量后，管理員只需設(shè)置相關(guān)策略，由安全控制器調(diào)度，即可將策略統(tǒng)一下發(fā)到整個(gè)數(shù)據(jù)中心內(nèi)部相關(guān)對(duì)應(yīng)虛擬路由器組件上，將可疑流量全部牽引至vDFW進(jìn)行檢測(cè)防護(hù)與內(nèi)容過(guò)濾。針對(duì)數(shù)據(jù)中心內(nèi)部各類安全域、各個(gè)部門、采用的按需配置、差異化、自適應(yīng)的安全策略。

2.2.2.2 內(nèi)網(wǎng)安全資源池

與數(shù)據(jù)中心中的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源相似，各種形態(tài)、各種類型的安全產(chǎn)品都能通過(guò)控制和數(shù)據(jù)平面的池化技術(shù)，形成一個(gè)個(gè)具有某種檢測(cè)或防護(hù)能力的安全資源池。當(dāng)安全設(shè)備以硬件存在的時(shí)候（如硬件虛擬化和硬件原生引擎系統(tǒng)），可直接連接硬件 SDN 網(wǎng)絡(luò)設(shè)備接入資源池；當(dāng)安全設(shè)備以虛擬機(jī)形態(tài)存在的時(shí)候（如虛擬機(jī)形態(tài)和硬件內(nèi)置虛擬機(jī)形態(tài)），可部署在通用架構(gòu)（如 x86）的服務(wù)器中，連接到虛擬交換機(jī)上，由端點(diǎn)的 agent 統(tǒng)一做生命周期管理和網(wǎng)絡(luò)資源管理?？刂破脚_(tái)通過(guò)安全應(yīng)用的策略體現(xiàn)出處置的智能度，通過(guò)資源池體現(xiàn)出處置的敏捷度。軟件定義的安全資源池可以讓整套安全體系迸發(fā)出強(qiáng)大的活力，極大地提高了系統(tǒng)的整體防護(hù)效率。

通過(guò)安全資源管理與調(diào)度平臺(tái)，實(shí)現(xiàn)與安全資源的對(duì)接，包括vFW、vIPS、vWAF等，各個(gè)安全子域的邊界防護(hù)，通過(guò)安全資源管理與調(diào)度平臺(tái)，通過(guò)策略路由的方式，實(shí)現(xiàn)服務(wù)鏈的管理和策略的編排各安全域邊界之間均采用虛擬防火墻作為邊界。

第 18 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

如上圖所示，在安全子域中將防火墻、WAF、LBS、AV、主機(jī)加固等均進(jìn)行虛擬化資源池配置，通過(guò)安全管理子域中的安全控制器根據(jù)各子域的實(shí)際安全需求進(jìn)行資源調(diào)用。針對(duì)各個(gè)子域內(nèi)的邊界訪問(wèn)控制，由安全資源與管理平臺(tái)調(diào)用防火墻池化資源，分別針對(duì)各子域的訪問(wèn)請(qǐng)求設(shè)置相應(yīng)的訪問(wèn)控制策略，根據(jù)數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議、請(qǐng)求的服務(wù)等，決定該數(shù)據(jù)包是否可以進(jìn)出本區(qū)域，并確定該數(shù)據(jù)包可以訪問(wèn)的客體資源。

由此可見，安全資源池對(duì)外體現(xiàn)的是多種安全能力的組合、疊加和伸縮，可應(yīng)用于云計(jì)算環(huán)境，也可應(yīng)用于傳統(tǒng)環(huán)境，以抵御日益頻繁的內(nèi)外部安全威脅。當(dāng)然，在云環(huán)境中，安全資源池不僅可以解決云安全的落地，而且能發(fā)揮虛擬化和 SDN 等先進(jìn)技術(shù)的優(yōu)勢(shì)，實(shí)現(xiàn)最大限度的軟件定義安全。

2.2.2.3 安全域訪問(wèn)控制

為提升虛擬主機(jī)及網(wǎng)絡(luò)的安全性，針對(duì)虛擬網(wǎng)絡(luò)安全邊界設(shè)定訪問(wèn)控制策略，對(duì)于縱向流量、橫向流量進(jìn)行基于IP與端口的訪問(wèn)路徑限制。

? 對(duì)于虛擬網(wǎng)絡(luò)邊界進(jìn)行區(qū)域請(qǐng)求控制 ? VPN接入邊界訪問(wèn)控制 ? Vlan訪問(wèn)控制

2.2.2.4 iaas系統(tǒng)虛擬化安全規(guī)劃

虛擬機(jī)的鏡像文件本質(zhì)上來(lái)說(shuō)就是虛擬磁盤，虛擬機(jī)的操作系統(tǒng)與使用者的系統(tǒng)數(shù)據(jù)全部保存在鏡像文件中，對(duì)鏡像文件的加密手段是否有效，將直接關(guān)系

第 19 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

虛擬主機(jī)的安全性。建議部署鏡像文件加密系統(tǒng)，對(duì)iaas區(qū)域下的數(shù)據(jù)盤鏡像文件進(jìn)行加密，采用任何國(guó)家認(rèn)可的第三方加密算法進(jìn)行加密。同時(shí)解密密碼與uKey綁定,即使數(shù)據(jù)中心硬件失竊，也無(wú)法被破解。加密行為包括：授權(quán)、加密、解密功能。

2.2.2.5 虛擬資產(chǎn)密碼管理

為增強(qiáng)虛擬資產(chǎn)的密碼防護(hù)功能，建議通過(guò)密鑰管理與資產(chǎn)管理分離的技術(shù)方式，實(shí)現(xiàn)管理員僅維護(hù)信息資產(chǎn)，用戶自行管理密鑰的工作模式。通過(guò)密碼機(jī)集群與虛擬化技術(shù)的結(jié)合擴(kuò)充密碼運(yùn)算能力，將密碼運(yùn)算能力進(jìn)行細(xì)粒度劃分，并通過(guò)集中的密鑰管理及配套的安全策略保護(hù)用戶密鑰整生命周期的安全

2.2.2.6 虛擬主機(jī)安全防護(hù)設(shè)計(jì)

虛擬主機(jī)安全防護(hù)設(shè)計(jì)主要實(shí)現(xiàn)如下目標(biāo)： ? 資產(chǎn)清點(diǎn)

? 自動(dòng)化的進(jìn)行細(xì)粒度的風(fēng)險(xiǎn)分析 ? 安全合規(guī)性基線檢查

? 對(duì)后門、Webshell、文件完整性和系統(tǒng)權(quán)限變更等進(jìn)行監(jiān)測(cè)行為分析

第 20 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

如上圖所示，通過(guò)收集主機(jī)上的操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)等配置數(shù)據(jù)，準(zhǔn)確分析應(yīng)用系統(tǒng)在不同層面的配置信息，結(jié)合第三方病毒庫(kù)進(jìn)行漏洞和風(fēng)險(xiǎn)分析，并及時(shí)給出整改加固建議。

2.2.2.7 內(nèi)網(wǎng)虛擬化安全運(yùn)維平臺(tái)

2.2.2.7.1 集中賬號(hào)管理

在云堡壘機(jī)管理系統(tǒng)中建立基于唯一身份標(biāo)識(shí)的全局用戶帳號(hào)，統(tǒng)一維護(hù)云平臺(tái)與服務(wù)器管理帳號(hào)，實(shí)現(xiàn)與各云平臺(tái)、服務(wù)器等無(wú)縫連接。

第 21 頁(yè) 內(nèi)網(wǎng)安全整體解決方案 2.2.2.7.2 統(tǒng)一登錄與管控

用戶通過(guò)云堡壘機(jī)管理系統(tǒng)單點(diǎn)登錄到相應(yīng)的虛擬機(jī)，且所有操作將通過(guò)云堡壘機(jī)系統(tǒng)進(jìn)行統(tǒng)一管控，只需要使用云堡壘機(jī)提供的訪問(wèn)IP、用戶名、密碼登錄后，用戶即可登錄相應(yīng)的云平臺(tái)與服務(wù)器，而不需要反復(fù)填寫對(duì)應(yīng)云平臺(tái)與服務(wù)器的地址、用戶名、密碼。

用戶可通過(guò)vsphere client登錄vmware vsphere云平臺(tái)進(jìn)行管理，輸入云堡壘機(jī)為該云平臺(tái)提供的訪問(wèn)IP與用戶在云堡壘機(jī)中的用戶名和密碼即可完成登錄。

第 22 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

2.2.2.7.3 記錄與審計(jì)

通過(guò)云堡壘機(jī)管理系統(tǒng)的訪問(wèn)歷史記錄回放功能，可隨時(shí)查看每個(gè)用戶對(duì)所屬服務(wù)器、虛擬機(jī)的訪問(wèn)情況。

windows歷史訪問(wèn)回放

第 23 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

linux歷史訪問(wèn)回放

在回放過(guò)程中，用戶可以試用云堡壘機(jī)的“智能搜索”功能大大加快回放速度，快速定位到用戶可疑操作位置。

Windows回放智能搜索

回放智能搜索

第 24 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

云堡壘機(jī)系統(tǒng)還提供會(huì)話管理功能?？梢酝ㄟ^(guò)云堡壘機(jī)系統(tǒng)快速查看用戶會(huì)話，實(shí)時(shí)監(jiān)控，以及中斷會(huì)話。2.2.2.7.1 權(quán)限控制與動(dòng)態(tài)授權(quán)

云堡壘機(jī)系統(tǒng)統(tǒng)一分配系統(tǒng)角色對(duì)應(yīng)的云平臺(tái)與服務(wù)器權(quán)限，當(dāng)用戶在真實(shí)使用場(chǎng)景下的角色權(quán)限與云堡壘機(jī)系統(tǒng)中預(yù)置的角色權(quán)限，不一致時(shí)，可通過(guò)云堡壘機(jī)的動(dòng)態(tài)授權(quán)功能，對(duì)角色的云平臺(tái)與服務(wù)器權(quán)限進(jìn)行方便靈活變更。

2.3 內(nèi)網(wǎng)安全數(shù)據(jù)分析

2.3.1 內(nèi)網(wǎng)安全風(fēng)險(xiǎn)態(tài)勢(shì)感知

建議部署態(tài)勢(shì)感知系統(tǒng)，檢測(cè)已知位置的終端惡意軟件的遠(yuǎn)控通信行為，定位失陷主機(jī)，根據(jù)態(tài)勢(shì)感知設(shè)備的告警信息，采集、取證、判定、處置內(nèi)網(wǎng)終端主機(jī)上的惡意代碼，針對(duì)未知惡意文件攻擊，將流量還原得到的辦公文檔和可執(zhí)行文件放入網(wǎng)絡(luò)沙箱虛擬環(huán)境中執(zhí)行，根據(jù)執(zhí)行中的可疑行為綜合判定各類含漏洞利用代碼的惡意文檔、惡意可執(zhí)行程序，及植入攻擊行為。檢測(cè)各類植入攻擊：郵件投遞，掛馬網(wǎng)站，文件下載，準(zhǔn)確識(shí)別0day、Nday漏洞入侵的惡意代碼

2.3.2 內(nèi)網(wǎng)全景流量分析

建議部署內(nèi)部網(wǎng)絡(luò)流量分析系統(tǒng)，數(shù)據(jù)的傳遞介質(zhì)是網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)流量作

第 25 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

為網(wǎng)絡(luò)協(xié)議中最有價(jià)值的安全分析維度，其本身就承載著重要的風(fēng)險(xiǎn)識(shí)別作用，針對(duì)內(nèi)部網(wǎng)絡(luò)的任何攻擊行為都將在內(nèi)部異常流量中呈現(xiàn)本質(zhì)化特征，因此基于流量的內(nèi)網(wǎng)安全數(shù)據(jù)分析是最能客觀反映當(dāng)前內(nèi)網(wǎng)安全等級(jí)的參考指標(biāo)。

2.3.2.1 基線建模異常流量分析

流量異常檢測(cè)的核心問(wèn)題是實(shí)現(xiàn)流量正常行為的描述，并且能夠?qū)崟r(shí)、快速地對(duì)異常進(jìn)行處理。系統(tǒng)采用了一種基于統(tǒng)計(jì)的流量異常檢測(cè)方法，首先確定正常的網(wǎng)絡(luò)流量基線，然后根據(jù)此基線利用正態(tài)分布假設(shè)檢驗(yàn)實(shí)現(xiàn)對(duì)當(dāng)前流量的異常檢測(cè)。比如流量的大小、包長(zhǎng)的信息、協(xié)議的信息、端口流量的信息、TCP標(biāo)志位的信息等，這些基本特征比較詳細(xì)地描述了網(wǎng)絡(luò)流量的運(yùn)行狀態(tài)。

總體設(shè)計(jì) 網(wǎng)絡(luò)流量異常檢測(cè)模型的總體設(shè)計(jì)思路是：從網(wǎng)絡(luò)的總出口采集數(shù)據(jù)，對(duì)每個(gè)數(shù)據(jù)包進(jìn)行分類，將它的統(tǒng)計(jì)值傳到相應(yīng)的存儲(chǔ)空間，然后對(duì)這些數(shù)據(jù)包進(jìn)行流量分析

2.3.2.2 流量分析引擎

對(duì)采集到的數(shù)據(jù)進(jìn)行分析處理。通過(guò)建立正常網(wǎng)絡(luò)流量模型，按照一定的規(guī)則進(jìn)行流量異常檢測(cè)。同時(shí)根據(jù)滑動(dòng)窗口的更新策略，能夠自動(dòng)學(xué)習(xí)最近的流量情況，從而調(diào)整檢測(cè)的準(zhǔn)確度。

建立正常網(wǎng)絡(luò)流量模型 要進(jìn)行流量異常檢測(cè)，必須首先建立正常的網(wǎng)絡(luò)流量模型，然后對(duì)比正常模型能夠識(shí)別異常。本文使用基于統(tǒng)計(jì)的方法來(lái)實(shí)現(xiàn)異常檢測(cè)，利用網(wǎng)絡(luò)流量的歷史行為檢測(cè)當(dāng)前的異?；顒?dòng)和網(wǎng)絡(luò)性能的下降。因此正常流量模型的建立需要把反映網(wǎng)絡(luò)流量的各項(xiàng)指標(biāo)都體現(xiàn)出來(lái)，使其能夠準(zhǔn)確反映網(wǎng)絡(luò)活動(dòng)。

在系統(tǒng)運(yùn)行時(shí)，統(tǒng)計(jì)當(dāng)前流量行為可測(cè)度集，并同正常的網(wǎng)絡(luò)基線相比較，如果當(dāng)前流量行為與正常網(wǎng)絡(luò)基線出現(xiàn)明顯的偏離時(shí)，即認(rèn)為出現(xiàn)了異常行為，并可進(jìn)一步檢測(cè)分析；如果兩種行為沒有明顯偏差，則流量正常，更新正常網(wǎng)絡(luò)流量模型。

通過(guò)該界面實(shí)現(xiàn)查看信息、設(shè)定檢測(cè)規(guī)則、設(shè)定閾值、設(shè)定報(bào)警方式以及處理報(bào)警等功能。系統(tǒng)應(yīng)該對(duì)于檢測(cè)出的異常主機(jī)進(jìn)行標(biāo)記，標(biāo)記異常的類型、統(tǒng)

第 26 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

計(jì)量、閾值指標(biāo)、消息以及異常發(fā)生的時(shí)間等情況，給系統(tǒng)管理員報(bào)告一個(gè)異常信息。

2.3.2.3 異常的互聯(lián)關(guān)系分析

對(duì)于不符合白名單和灰名單的互連關(guān)系和流量，系統(tǒng)會(huì)自動(dòng)生成未知數(shù)據(jù)流，并對(duì)未知數(shù)據(jù)流進(jìn)行識(shí)別、匹配，從中提取可供判斷的信息，如：?jiǎn)吸c(diǎn)對(duì)多點(diǎn)的快速連接，系統(tǒng)會(huì)識(shí)別為網(wǎng)絡(luò)掃描，非正常時(shí)段的數(shù)據(jù)連接，系統(tǒng)會(huì)視為異常行為，多點(diǎn)對(duì)單點(diǎn)的大流量連接，系統(tǒng)會(huì)識(shí)別為非法應(yīng)用等。用戶對(duì)未知數(shù)據(jù)流識(shí)別、確認(rèn)、處理后，可將未知數(shù)據(jù)流自動(dòng)生產(chǎn)報(bào)警或提取到白名單。

2.3.3 內(nèi)網(wǎng)多源威脅情報(bào)分析

建議在內(nèi)網(wǎng)部署多源威脅情報(bào)分析，通過(guò)對(duì)不同源頭威脅情報(bào)的統(tǒng)一匯總、分析、展示等功能，極大提高情報(bào)告警準(zhǔn)確率，幫助評(píng)測(cè)內(nèi)部信息系統(tǒng)遭受的風(fēng)險(xiǎn)以及安全隱患從而讓安全團(tuán)隊(duì)進(jìn)行有安全數(shù)據(jù)佐證的重點(diǎn)內(nèi)部領(lǐng)域防護(hù)措施。內(nèi)部安全團(tuán)隊(duì)多人對(duì)單條威脅情報(bào)存在疑慮時(shí)，可進(jìn)行協(xié)同式研判，提升單挑威脅情報(bào)與情報(bào)源的命中率統(tǒng)計(jì)。內(nèi)部安全管理員可以定期生成威脅情報(bào)月報(bào)，便于將一段時(shí)間內(nèi)的系統(tǒng)漏洞、應(yīng)用漏洞、數(shù)據(jù)庫(kù)漏洞進(jìn)行選擇性摘要，使安全加固工作處于主動(dòng)、積極、有效的工作場(chǎng)景之中。

2.4 內(nèi)網(wǎng)安全管控措施

2.4.1 內(nèi)網(wǎng)安全風(fēng)險(xiǎn)主動(dòng)識(shí)別

2.4.1.1 基于漏洞檢測(cè)的主動(dòng)防御

云安全防護(hù)虛擬資源池內(nèi)為用戶提供了系統(tǒng)層漏掃、web層漏掃、數(shù)據(jù)庫(kù)漏掃三種檢測(cè)工具，可以為用戶提供定期的安全風(fēng)險(xiǎn)檢測(cè)，基于已知風(fēng)險(xiǎn)或未知風(fēng)險(xiǎn)進(jìn)行安全策略調(diào)整、漏洞修復(fù)、補(bǔ)丁更新等主動(dòng)防御行為。

第 27 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

2.4.1.1.1 漏洞檢測(cè)范圍

操作系統(tǒng)：Microsoft Windows 2003/2008/7/8/10/2012、MacOS、Sun Solaris、UNIX、IBM AIX、IRIX、Linux、BSD；

數(shù)據(jù)庫(kù)：MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird；

網(wǎng)絡(luò)設(shè)備：支持CISCO、Juniper、Citrix、EMC、Fortinet、Nortel、ZyXEL、BlueCoat、Check Point、趨勢(shì)科技、Websense、3COM、F5、SonicWALL、MikroTik RouteOS、DD-WRT、D-Link、NETGEAR。

應(yīng)用系統(tǒng)：各種Web服務(wù)器應(yīng)用系統(tǒng)（IIS、Apache Tomcat、IBM lotus……）、各種DNS服務(wù)器應(yīng)用系統(tǒng)、各種FTP/TFTP服務(wù)器應(yīng)用系統(tǒng)、虛擬化系統(tǒng)（Vmware、Virtual Box、KVM、OpenStack等等）、郵件服務(wù)器應(yīng)用系統(tǒng)（MS Exchange、IMAP、Ipswitch Imail、Postfix……）2.4.1.1.2 識(shí)別漏洞類型 ? 系統(tǒng)漏洞類型

Windows漏洞大于1946種、MacOS漏洞大于192種、UNIX漏洞大于959種、數(shù)據(jù)庫(kù)服務(wù)器漏洞大于357種、CGI漏洞大于2301種、DNS漏洞大于76種、第 28 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

FTP/TFTP漏洞大于278種、虛擬化漏洞大于613種、網(wǎng)絡(luò)設(shè)備漏洞大于516種、Mail漏洞大于251種、雜項(xiàng)漏洞（含RPC、NFS、主機(jī)后門、NIS、SNMP、守護(hù)進(jìn)程、PROXY、強(qiáng)力攻擊……）? web漏洞類型

微軟IIS漏洞檢測(cè)、Apache漏洞檢測(cè)、IBM WebSphere漏洞檢測(cè)、Apache Tomcat漏洞檢測(cè)、SSL模塊漏洞檢測(cè)、Nginx漏洞檢測(cè)、IBM Lotus漏洞檢測(cè)、Resin漏洞檢測(cè)、Weblogic漏洞檢測(cè)、Squid漏洞檢測(cè)、lighttpd漏洞檢測(cè)、Netscape Enterprise漏洞檢測(cè)、Sun iPlanet Web漏洞檢測(cè)、Oracle HTTP Server漏洞檢測(cè)、Zope漏洞檢測(cè)、HP System Management Homepage漏洞檢測(cè)、Cherokee漏洞檢測(cè)、RaidenHTTPD漏洞檢測(cè)、Zeus漏洞檢測(cè)、Abyss Web Server漏洞檢測(cè)、以及其他Web漏洞檢測(cè)等Web服務(wù)器的掃描，尤其對(duì)于IIS具有最多的漏洞檢測(cè)能力，IIS漏洞大于155種 ? 數(shù)據(jù)庫(kù)漏洞類型

MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird……等，可以掃描數(shù)據(jù)庫(kù)大于三百五十多種漏洞，包含了有關(guān)空口令、弱口令、用戶權(quán)限漏洞、用戶訪問(wèn)認(rèn)證漏洞、系統(tǒng)完整性檢查、存儲(chǔ)過(guò)程漏洞和與數(shù)據(jù)庫(kù)相關(guān)的應(yīng)用程序漏洞等方面的漏洞，基本上覆蓋了數(shù)據(jù)庫(kù)常被用做后門進(jìn)行攻擊的漏洞，并提出相應(yīng)的修補(bǔ)建議 2.4.1.1.3 內(nèi)部主動(dòng)防御

根據(jù)漏洞掃描結(jié)果，給予定制化安全加固方案，結(jié)合漏洞級(jí)別、漏洞類型、漏洞波及范圍、修復(fù)風(fēng)險(xiǎn)、加固后復(fù)測(cè)等人工服務(wù)，配合用戶第一時(shí)間完成修復(fù)工作，我們將從信息安全專業(yè)技術(shù)層面為您說(shuō)明每一條漏洞可能導(dǎo)致的安全事件可能性，從用戶安全運(yùn)維、業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行的角度出發(fā)，給出可落地的安全加固方案。

2.4.2 內(nèi)網(wǎng)統(tǒng)一身份認(rèn)證與權(quán)限管理

建議構(gòu)建統(tǒng)一身份認(rèn)證與權(quán)限管理系統(tǒng)，建立統(tǒng)一身份庫(kù)，業(yè)務(wù)操作人員、系統(tǒng)運(yùn)維人員、IT基礎(chǔ)架構(gòu)運(yùn)維人員、業(yè)務(wù)應(yīng)用管理員、IT基礎(chǔ)架構(gòu)管理人員、第 29 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

系統(tǒng)管理人員通過(guò)統(tǒng)一認(rèn)證入口，進(jìn)行統(tǒng)一的身份認(rèn)證，并對(duì)不同人員設(shè)置不同的訪問(wèn)權(quán)限，并實(shí)現(xiàn)所有用戶登錄及訪問(wèn)行為分析和審計(jì)。

2.4.2.1 統(tǒng)一用戶身份認(rèn)證設(shè)計(jì)

建立的統(tǒng)一身份庫(kù)，包括運(yùn)營(yíng)身份庫(kù)和業(yè)務(wù)人員身份庫(kù)，使用戶在統(tǒng)一身份庫(kù)中，只有唯一身份標(biāo)識(shí)，用戶向統(tǒng)一認(rèn)證平臺(tái)提交的證明是其本人的憑據(jù)，根據(jù)系統(tǒng)級(jí)別不同，采用的認(rèn)證方式不同，每個(gè)應(yīng)用系統(tǒng)都有自己的賬戶體系，這些賬戶被看做是訪問(wèn)一個(gè)信息資產(chǎn)的權(quán)限，管理員可以在統(tǒng)一身份認(rèn)證與權(quán)限管理系統(tǒng)中配置某個(gè)用戶在系統(tǒng)中對(duì)若干賬戶的訪問(wèn)權(quán)限。實(shí)現(xiàn)各應(yīng)用系統(tǒng)不再處理身份認(rèn)證，而是通過(guò)統(tǒng)一的身份認(rèn)證入口進(jìn)行認(rèn)證，通過(guò)后期的行為分析提供對(duì)異常行為的檢測(cè)及加強(qiáng)認(rèn)證或阻斷操作。用戶分類具體如下圖所示：

2.4.2.2 統(tǒng)一用戶權(quán)限管理設(shè)計(jì)

一、外部用戶

二、內(nèi)部用戶

1、運(yùn)維人員的權(quán)限管理

第 30 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

2、業(yè)務(wù)人員的權(quán)限管理

2.4.2.3 業(yè)務(wù)內(nèi)容身份鑒別與訪問(wèn)控制設(shè)計(jì)

一、內(nèi)部訪問(wèn)設(shè)計(jì)

內(nèi)部訪問(wèn)設(shè)計(jì)主要面向內(nèi)部用戶，通過(guò)驗(yàn)證后會(huì)加入到統(tǒng)一用戶身份認(rèn)證與權(quán)限管理平臺(tái)身份庫(kù)，經(jīng)過(guò)認(rèn)證策略判定，錄入認(rèn)證策略庫(kù)，最后通過(guò)堡壘機(jī)實(shí)現(xiàn)內(nèi)部訪問(wèn)。

二、外部訪問(wèn)設(shè)計(jì)

身份合法驗(yàn)證，通過(guò)驗(yàn)證后會(huì)加入到外部用戶統(tǒng)一用戶身份認(rèn)證與權(quán)限管理平臺(tái)身份庫(kù)，經(jīng)過(guò)認(rèn)證策略判定并錄入認(rèn)證策略庫(kù)，經(jīng)過(guò)多因素認(rèn)證資源池（包

第 31 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

括指紋、二維碼、RSA令牌等）實(shí)現(xiàn)外部應(yīng)用的系統(tǒng)資源訪問(wèn)。

2.4.1 內(nèi)網(wǎng)安全漏洞統(tǒng)一管理平臺(tái)

建議部署安全漏洞統(tǒng)一管理平臺(tái)，按照組織架構(gòu)或業(yè)務(wù)視圖建立資產(chǎn)管理目錄，快速感知不同資產(chǎn)層級(jí)的漏洞態(tài)勢(shì)，解決內(nèi)部漏洞無(wú)法與業(yè)務(wù)系統(tǒng)自動(dòng)關(guān)聯(lián)分析的問(wèn)題，為監(jiān)管方提供宏觀分析視圖。將不同來(lái)源、不同廠商、不同語(yǔ)言、不同類型的漏洞數(shù)據(jù)自動(dòng)標(biāo)準(zhǔn)化成符合國(guó)家標(biāo)準(zhǔn)的全中文漏洞數(shù)據(jù)，并去重合。形成某單位自身的漏洞信息庫(kù)，賦予漏洞數(shù)據(jù)空間、時(shí)間、狀態(tài)和威脅屬性，形成每個(gè)信息系統(tǒng)的漏洞信息庫(kù)，并對(duì)其生命周期狀態(tài)進(jìn)行跟蹤。順應(yīng)國(guó)家網(wǎng)絡(luò)安全和行業(yè)發(fā)展的需要，解決了漏洞檢測(cè)、漏洞驗(yàn)證、漏洞處置和響應(yīng)等環(huán)節(jié)中存在的多種問(wèn)題，實(shí)現(xiàn)漏洞管理流程化、自動(dòng)化、平臺(tái)化及可視化。

第 32 頁(yè) 內(nèi)網(wǎng)安全整體解決方案

第三章 內(nèi)網(wǎng)安全防護(hù)設(shè)備清單

? 云防火墻 ? 硬件防火墻 ? 云waf ? 硬件waf ? IPS ? 防病毒網(wǎng)關(guān) ? 上網(wǎng)行為管理 ? 隔離網(wǎng)閘 ? 流量分析系統(tǒng)

? 多源威脅情報(bào)分析系統(tǒng) ? 安全漏洞統(tǒng)一管理平臺(tái) ? 堡壘機(jī) ? 云堡壘機(jī) ? 數(shù)據(jù)庫(kù)審計(jì) ? 態(tài)勢(shì)感知平臺(tái) ? 系統(tǒng)漏洞掃描器 ? Web漏洞掃描器 ? 數(shù)據(jù)庫(kù)漏洞掃描器 ? 鏡像文件加密 ? 云堡壘機(jī) ? 云數(shù)據(jù)庫(kù)審計(jì) ? 統(tǒng)一身份證書

? 虛擬終端加固及防護(hù)軟件? 虛擬主機(jī)加密機(jī) ? 數(shù)據(jù)防泄密 ? 網(wǎng)絡(luò)準(zhǔn)入設(shè)備 ? 服務(wù)器加固軟件

第 33 頁(yè)

第三篇：軍隊(duì)企業(yè)內(nèi)網(wǎng)安全解決方案

軍隊(duì)企業(yè)內(nèi)網(wǎng)安全解決方案

內(nèi)網(wǎng)安全性分析

軍隊(duì)網(wǎng)絡(luò)具有非常完善的系統(tǒng)及復(fù)雜的網(wǎng)絡(luò)環(huán)境；由于軍事信息需要高度保密，其局域網(wǎng)與Internet物理隔離，單位間信息共享都必須經(jīng)過(guò)嚴(yán)格的過(guò)濾及加密傳輸，移動(dòng)存儲(chǔ)設(shè)備管理并沒有成為關(guān)注的重點(diǎn)。目前軍隊(duì)廣泛采用移動(dòng)U盤和移動(dòng)硬盤進(jìn)行數(shù)據(jù)交換，缺乏對(duì)移動(dòng)存儲(chǔ)設(shè)備的管理；隨著軍隊(duì)與外部聯(lián)系日益密切，這將給軍隊(duì)網(wǎng)絡(luò)管理帶來(lái)嚴(yán)重威脅和麻煩，這些途徑傳播快、危害大，而且有很強(qiáng)的隱蔽性和欺騙性；部署一套針對(duì)終端主機(jī)管理的產(chǎn)品則成為當(dāng)務(wù)之急！

針對(duì)目前對(duì)終端主機(jī)管理的空白，福建伊?xí)r代信息有限公司開發(fā)出了針對(duì)終端主機(jī)管理的產(chǎn)品－防信息泄漏系統(tǒng)，并針對(duì)軍隊(duì)給出了基于終端主機(jī)管理的解決方案。

UTM政府網(wǎng)絡(luò)安全解決方案

一、政府網(wǎng)絡(luò)所面臨的安全問(wèn)題

信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的如行政部門業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、企業(yè)商務(wù)系統(tǒng)等。伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問(wèn)題，而Internet所具有的開放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí)，對(duì)安全提出了更高的要求。

政府機(jī)構(gòu)從事的行業(yè)性質(zhì)是跟國(guó)家緊密聯(lián)系的，所涉及信息可以說(shuō)都帶有機(jī)密性，所以其信息安全問(wèn)題，如敏感信息的泄漏、黑客的侵?jǐn)_、網(wǎng)絡(luò)資源的非法使用以及計(jì)算機(jī)病毒等。都將對(duì)政府機(jī)構(gòu)信息安全構(gòu)成威脅。各級(jí)政府都將電子政務(wù)建設(shè)作為一項(xiàng)重要的工作，近幾年我國(guó)的政務(wù)信息化得到很大發(fā)展，但是政府機(jī)構(gòu)網(wǎng)絡(luò)業(yè)面臨著越來(lái)越多的安全挑戰(zhàn)。

我國(guó)的安全產(chǎn)品大多為單一功能性產(chǎn)品，雖然能夠解決一些局部性的安全問(wèn)題，然而由于相互之間沒有互操作性，缺乏統(tǒng)一調(diào)度、協(xié)同管理的途徑，很難保證策略上的完整性和和行動(dòng)上的一致性。各行其是、各管一方的局面不僅大大加重了管理人員的負(fù)擔(dān)，最終也很難形成全面而有效的安全解決方案。

如何使信息網(wǎng)絡(luò)系統(tǒng)不受黑客和工業(yè)間諜的入侵，如何阻止大規(guī)模的病毒爆發(fā)或者大流量的網(wǎng)絡(luò)攻擊，如何保障敏感信息以及數(shù)據(jù)交換的安全與機(jī)密，如何維持網(wǎng)絡(luò)及對(duì)外服務(wù)窗口的持續(xù)穩(wěn)定，已成為政府機(jī)構(gòu)信息化健康發(fā)展所要考慮的重要事情之一。

部隊(duì)跨涉密文檔安全存儲(chǔ)管理解決方案

一、部隊(duì)涉密文檔安全需求分析

根據(jù)《關(guān)于對(duì)軍事綜合信息網(wǎng)進(jìn)行安全檢測(cè)評(píng)估的請(qǐng)示》，涉密文檔在不定期的安全保密檢查過(guò)程中，突出有以下幾個(gè)問(wèn)題：

1.硬盤格式化帶來(lái)的數(shù)據(jù)丟失；

2.巨大的工作，降低了IT安全部門的工作效率；

3.備份介質(zhì)不安全，容易損壞、遺失，存在泄密隱患；

4.擔(dān)心保密信息在網(wǎng)上泄露，將網(wǎng)絡(luò)掐斷，影響正常工作。

三、部隊(duì)涉密文檔安全存儲(chǔ)系統(tǒng)解決方案

根據(jù)部隊(duì)系統(tǒng)信息化建設(shè)具體需求，以網(wǎng)劍網(wǎng)絡(luò)文件保險(xiǎn)柜ETIM-NFCS構(gòu)建部隊(duì)網(wǎng)絡(luò)數(shù)據(jù)集中安全保護(hù)系統(tǒng)，針對(duì)跨涉密文檔進(jìn)行保護(hù)。

1.個(gè)人文件數(shù)據(jù)的安全備份保護(hù)：在網(wǎng)絡(luò)文件保險(xiǎn)柜上設(shè)置相應(yīng)的空間以及設(shè)置不同的權(quán)限，在個(gè)人辦公電腦上，安裝自動(dòng)備份引擎，實(shí)現(xiàn)了數(shù)據(jù)的自動(dòng)備份，防止個(gè)人數(shù)據(jù)因各種意外情況丟失。

2.涉密信息的集中存儲(chǔ)保護(hù)：對(duì)集中存儲(chǔ)的跨數(shù)據(jù)，身份認(rèn)證，確保用戶身份合法，杜絕黑客入侵；采用高強(qiáng)度數(shù)據(jù)傳輸加密技術(shù)，保證了會(huì)話不被竊聽、竄改和偽造；對(duì)集中存儲(chǔ)的數(shù)據(jù)進(jìn)行加密處理，防止數(shù)據(jù)的非法破解；采用多級(jí)管理員制衡機(jī)制，屏蔽超級(jí)管理員權(quán)限。

3.部隊(duì)系統(tǒng)數(shù)據(jù)信息的安全共享保護(hù)：提供了一種可控、安全、方便和快速的共享機(jī)制，確保數(shù)據(jù)只有指定的授權(quán)用戶才能看到，并對(duì)共享數(shù)據(jù)的權(quán)限、時(shí)效控制。

4.涉密文件的在線編輯：對(duì)集中存儲(chǔ)的涉密文檔進(jìn)行安全的在線編輯，在內(nèi)存中開辟一段加密的空間，進(jìn)行文檔的編輯，終端將不會(huì)殘留任何臨時(shí)文件。

第四篇：22、政務(wù)內(nèi)網(wǎng)安全解決方案

政務(wù)內(nèi)網(wǎng)安全解決方案

政務(wù)內(nèi)網(wǎng)安全解決方案

一、前言

隨著經(jīng)濟(jì)全球化、社會(huì)信息化的不斷發(fā)展，各行業(yè)各業(yè)都建設(shè)自己的網(wǎng)絡(luò)信息化系統(tǒng)，而如何使信息網(wǎng)絡(luò)系統(tǒng)不受黑客和工業(yè)間諜的入侵，已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一。

政府機(jī)構(gòu)從事的行業(yè)性質(zhì)是跟國(guó)家緊密聯(lián)系的，所涉及信息可以說(shuō)都帶有機(jī)密性，所以其信息安全問(wèn)題，如敏感信息的泄露、黑客的侵?jǐn)_、網(wǎng)絡(luò)資源的非法使用以及計(jì)算機(jī)病毒等。都將對(duì)政府機(jī)構(gòu)信息安全構(gòu)成威脅。為保證政府網(wǎng)絡(luò)系統(tǒng)的安全，有必要對(duì)其網(wǎng)絡(luò)進(jìn)行專門安全設(shè)計(jì)。

二、政府內(nèi)網(wǎng)安全需求分析

政府作為國(guó)家的重要部門，在進(jìn)行信息網(wǎng)絡(luò)建設(shè)的時(shí)候，對(duì)安全性做了成熟的考慮，但是主要是基于傳統(tǒng)的網(wǎng)絡(luò)安全，如邊界防護(hù)設(shè)備、災(zāi)難備份、病毒防護(hù)等。隨著分散在各個(gè)內(nèi)網(wǎng)主機(jī)和服務(wù)器上的有價(jià)值的信息越來(lái)越多，內(nèi)網(wǎng)終端的安全和保密成為信息中心不得不重視的問(wèn)題，也已經(jīng)成為國(guó)家各部委，政府機(jī)關(guān)等主要的關(guān)心和需要建設(shè)工作內(nèi)容之一。

政府單位內(nèi)網(wǎng)主要面臨的安全威脅有如下幾個(gè)方面：

1.如何防止未授權(quán)終端接入政務(wù)內(nèi)網(wǎng)，竊取政府內(nèi)部重要的文件？

2.內(nèi)外網(wǎng)隔離，如何防止雇員通過(guò)3G設(shè)備、ADSL非法連接互聯(lián)網(wǎng)？

3.如何限制雇員上班時(shí)間玩游戲、炒股、任意下載等，保證正常政務(wù)辦公效率？

4.如何迅速修復(fù)系統(tǒng)漏洞，保證電腦系統(tǒng)的安全？

5.如何對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行管控？

6.如何在促進(jìn)文檔流通電子化的同時(shí)，保證政務(wù)網(wǎng)絡(luò)內(nèi)部眾多的敏感文件安全？

7.如何快速統(tǒng)計(jì)政府內(nèi)網(wǎng)中的IT資產(chǎn)，杜絕國(guó)有資產(chǎn)流失？

三、政務(wù)內(nèi)網(wǎng)安全解決方案

政府部門通過(guò)網(wǎng)絡(luò)防火墻、外部入侵控制、訪問(wèn)控制等來(lái)解決政務(wù)外網(wǎng)所帶來(lái)的安全威脅，實(shí)現(xiàn)了政務(wù)外網(wǎng)的安全，但政務(wù)內(nèi)網(wǎng)安全仍不完善。需要一套切實(shí)可行的內(nèi)網(wǎng)安全管理系統(tǒng)來(lái)保證政府單位政務(wù)系統(tǒng)的正常運(yùn)行和解決政務(wù)網(wǎng)中涉密數(shù)據(jù)安全問(wèn)題。

網(wǎng)劍內(nèi)網(wǎng)安全綜合管理系統(tǒng)采用C/S與B/S相結(jié)合的模式，系統(tǒng)主要由終端安全子系統(tǒng)、移動(dòng)存儲(chǔ)介質(zhì)管理子系統(tǒng)、網(wǎng)絡(luò)準(zhǔn)入子系統(tǒng)以及文檔安全管理子系統(tǒng)4個(gè)模塊組成，這幾個(gè)-1-

模塊既可以單獨(dú)使用，也可以統(tǒng)一配備，從而全方位保證政府敏感信息安全，強(qiáng)力規(guī)范互聯(lián)網(wǎng)與內(nèi)網(wǎng)的使用，防止內(nèi)外網(wǎng)混用和非法入侵，盤點(diǎn)IT資產(chǎn)，防止國(guó)有資產(chǎn)流失。

1.針對(duì)非法及不安全終端接入政務(wù)內(nèi)網(wǎng)的問(wèn)題，INSS可以通過(guò)接入用戶的強(qiáng)身份認(rèn)

證、安全狀態(tài)檢測(cè)、802.1x協(xié)議以及arp協(xié)議阻斷等措施保證接入終端的合法性，確保內(nèi)部網(wǎng)絡(luò)的業(yè)務(wù)的正常運(yùn)行；

2.針對(duì)員工非法接入互聯(lián)網(wǎng)問(wèn)題，INSS通過(guò)違規(guī)外聯(lián)控制策略，實(shí)時(shí)檢測(cè)終端用戶

是否有連接互聯(lián)網(wǎng)的行為，并對(duì)違規(guī)終端報(bào)警、阻斷其聯(lián)網(wǎng)；

3.針對(duì)員工上班時(shí)間瀏覽娛樂網(wǎng)站、聊QQ、看電影、玩游戲問(wèn)題，inss通過(guò)上網(wǎng)行

為訪問(wèn)控制、進(jìn)程限制、禁止安裝非法軟件等措施限制員工的行為；

4.對(duì)于無(wú)法及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞，安裝補(bǔ)丁的問(wèn)題，INSS能夠自動(dòng)智能掃描檢測(cè)漏洞、下載終端機(jī)器缺少的漏洞補(bǔ)丁信息，保證系統(tǒng)安全，降低內(nèi)部信息泄密風(fēng)險(xiǎn)；

5.針對(duì)移動(dòng)存儲(chǔ)介質(zhì)管理問(wèn)題，INSS通過(guò)對(duì)移動(dòng)存儲(chǔ)設(shè)備生命周期（注冊(cè)、授權(quán)、使用、掛失、解掛和注銷）的管理，有效的控制了非法移動(dòng)設(shè)備接入到內(nèi)網(wǎng)；

6.針對(duì)政務(wù)內(nèi)網(wǎng)中涉密文件安全以及筆記本用戶外出辦公問(wèn)題，INSS通過(guò)先進(jìn)的文

件過(guò)濾驅(qū)動(dòng)級(jí)的透明加解密技術(shù)，防止因黑客入侵、員工非法竊取文件、電腦丟失等原因?qū)е律婷苄畔⒌男孤?，從而有效保護(hù)了數(shù)據(jù)的安全性；

7.針對(duì)IT資產(chǎn)管理，防止國(guó)有資產(chǎn)流失問(wèn)題，INSS提供了固定的軟硬件資產(chǎn)檔案管

理功能，解決了資產(chǎn)實(shí)物清查的繁瑣問(wèn)題，并能夠防止國(guó)有資產(chǎn)流失。

方案價(jià)值

1.通過(guò)部署網(wǎng)劍內(nèi)網(wǎng)安全綜合管理子系統(tǒng)，能全面提升政務(wù)內(nèi)網(wǎng)安全防護(hù)能力和合規(guī)

管理水平，幫助用戶構(gòu)建起安全可信的合規(guī)內(nèi)網(wǎng)。

2.通過(guò)對(duì)政務(wù)內(nèi)網(wǎng)中各單位員工的上網(wǎng)行為管理，可以有效的提供員工日常的工作效

率，降低內(nèi)部信息泄露的風(fēng)險(xiǎn)。

3.能夠解決非法終端接入政務(wù)內(nèi)網(wǎng)，防止涉密信息泄露。

4.解決可移動(dòng)存儲(chǔ)設(shè)備的監(jiān)管困難問(wèn)題。

5.解決員工同時(shí)連接內(nèi)外網(wǎng)，導(dǎo)致終端不安全

6.實(shí)現(xiàn)了對(duì)內(nèi)部重要數(shù)據(jù)的監(jiān)管與保護(hù)。

聯(lián)系人：小曾

聯(lián)系手機(jī)：***

聯(lián)系電話：0591-88026604

QQ： 615410995

第五篇：醫(yī)療行業(yè)信息化解決方案

EASTED解決方案之醫(yī)療行業(yè)

2011-07-18

一、前言

隨著國(guó)家對(duì)醫(yī)療衛(wèi)生行業(yè)監(jiān)管力度的不斷加大，信息化已經(jīng)成為醫(yī)療衛(wèi)生行業(yè)提高管理效率和市場(chǎng)響應(yīng)能力的重要支撐，作為醫(yī)療衛(wèi)生體系的基礎(chǔ)單位，各級(jí)醫(yī)院也一直致力于信息化建設(shè)工作，目前常用的有醫(yī)院信息系統(tǒng)（HIS），通過(guò)利用計(jì)算機(jī)和通信網(wǎng)絡(luò)，為醫(yī)院各部門提供病人診療信息和行政管理信息的收集、存儲(chǔ)、處理、提取和數(shù)據(jù)交換，提升工作效率，為患者提供更好的服務(wù)。

1、HIS系統(tǒng)維護(hù)中的問(wèn)題

HIS系統(tǒng)大多基于C/S機(jī)構(gòu)，提供了優(yōu)秀的用戶界面，方便了用戶的日常工作。

當(dāng)前的HIS系統(tǒng)，由于客戶端比較多，客戶端系統(tǒng)部署、升級(jí)及管理維護(hù)成本太高，如何快速有效的部署、維護(hù)、管理業(yè)務(wù)系統(tǒng)成為管理員必須面對(duì)的難題。

隨著HIS軟件的升級(jí)，對(duì)客戶端操作系統(tǒng)的硬件需求也越來(lái)越高，現(xiàn)有的客戶端系統(tǒng)將面臨硬件更新的問(wèn)題，這也會(huì)增加客戶端部署的成本。

2、PACS系統(tǒng)簡(jiǎn)介

近年來(lái)，隨著數(shù)字成像技術(shù)、計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的進(jìn)步，為了全面解決醫(yī)療圖像的獲取、顯示、存儲(chǔ)、傳送和管理，醫(yī)學(xué)影像存檔與通訊系統(tǒng)（PACS，Picture Archiving and Communication Systems）逐漸得到廣泛使用。如同計(jì)算機(jī)及互聯(lián)網(wǎng)日益深入影響我們?nèi)粘Ｉ睿琍ACS也在改變著影像科室的運(yùn)作方式，一種高效率、無(wú)膠片化影像系統(tǒng)正在悄然興起。通過(guò)PACS的實(shí)施，不僅可以更快的為患者做出正確的診斷，及時(shí)拯救患者的生命，也提升了醫(yī)院的工作效率，降低了運(yùn)營(yíng)成本。

不同的PACS在組織結(jié)構(gòu)上有很大的差別，但都必須能完成這三種類型的功能：連接不同的影像設(shè)備（CT、MR、XRAY、超聲、核醫(yī)學(xué)等）；存儲(chǔ)與管理圖像；圖像的調(diào)用與后處理。對(duì)于PACS的實(shí)施，不管是大型、中型或小型PACS，其建立不外乎有醫(yī)院圖像獲取、大容量數(shù)據(jù)存儲(chǔ)及數(shù)據(jù)庫(kù)管理、圖像顯示和處理及用于數(shù)據(jù)傳輸影像的網(wǎng)絡(luò)多個(gè)部分組成。

3、PACS系統(tǒng)實(shí)施的困難

* 網(wǎng)絡(luò)要求比較高

由于PACS系統(tǒng)中處理的醫(yī)療用數(shù)據(jù)圖像精度很高，所以影像圖片占用磁盤空間較大，在每個(gè)讀片終端存放所有圖片成了很難實(shí)現(xiàn)的方案，一般PACS系統(tǒng)中都采用集中存放圖片，采用網(wǎng)絡(luò)的方式把圖片傳送至需要的客戶端。這也使得PACS系統(tǒng)對(duì)網(wǎng)絡(luò)的需求比較高，一般都需要醫(yī)院的網(wǎng)絡(luò)帶寬達(dá)到千兆以上。

* 對(duì)客戶端計(jì)算機(jī)要求比較高

由于在PACS系統(tǒng)中，一般采用把數(shù)據(jù)圖像傳送到客戶端（醫(yī)生用計(jì)算機(jī)），并且在客戶端顯示圖像，而醫(yī)用數(shù)據(jù)圖像相對(duì)體積較大，這對(duì)客戶端計(jì)算機(jī)的運(yùn)算能力也有較高的需求，在實(shí)施PACS系統(tǒng)時(shí)，醫(yī)院必須面對(duì)客戶端硬件升級(jí)帶來(lái)的成本增加。

客戶端系統(tǒng)部署、更新升級(jí)等維護(hù)工作量大，總體運(yùn)行成本高，這是目前醫(yī)院信息化過(guò)程中的瓶頸問(wèn)題；PACS系統(tǒng)的部署成本高昂更是下一步信息化必須面對(duì)的門檻，有沒有一種方案，能夠同時(shí)滿足當(dāng)前的信息化需求？易迅通EASTED V5.0云計(jì)算虛擬化平臺(tái)，完美的解決了上述問(wèn)題的存在。它是一種先進(jìn)和優(yōu)秀的應(yīng)用接入平臺(tái)，基于A/S（Application/Serving）架構(gòu)的應(yīng)用接入，在保護(hù)現(xiàn)有系統(tǒng)完整性的前提下，幫助用戶建立高效、安全、穩(wěn)定的信息系統(tǒng)鏈路，真正實(shí)現(xiàn)應(yīng)用和信息的價(jià)值，并提升企業(yè)信息系統(tǒng)可控性、靈活性和降低企業(yè)信息化運(yùn)營(yíng)維護(hù)成本。

二、基于易迅通EASTED V5.0云計(jì)算虛擬化平臺(tái)的醫(yī)院集成方案

1、HIS系統(tǒng)的易迅通EASTED V5.0云計(jì)算虛擬化平臺(tái)實(shí)現(xiàn)

在易迅通EASTED V5.0云計(jì)算虛擬化平臺(tái)服務(wù)器上安裝并實(shí)施虛擬化HIS系統(tǒng)的客戶端，所有客戶端計(jì)算執(zhí)行均在易迅通EASTED V5.0云計(jì)算虛擬化平臺(tái)上完成。

在讓用戶使用虛擬化的HIS系統(tǒng)之前，管理員需要設(shè)置用戶的各種訪問(wèn)限制：如用戶的訪問(wèn)時(shí)間、客戶端限制、用戶密碼安全設(shè)置、用戶打印機(jī)設(shè)置以及用戶輸入法設(shè)置等用戶配置，來(lái)完善對(duì)用戶的訪問(wèn)管理。

2、PACS系統(tǒng)的易迅通EASTED V5.0云計(jì)算虛擬化平臺(tái)實(shí)現(xiàn)

在部署易迅通EASTED云計(jì)算虛擬化平臺(tái)之后，醫(yī)院將建立統(tǒng)一的應(yīng)用程序部署及訪問(wèn)平臺(tái)，在添加如PACS之類的應(yīng)用時(shí)，同樣無(wú)需把PACS系統(tǒng)的客戶端部署到每一個(gè)客戶端，只需要把PACS系統(tǒng)部署到EASTED V5.0云計(jì)算虛擬化平臺(tái)服務(wù)器端，并對(duì)PACS客戶端程序進(jìn)行虛擬化設(shè)置，并設(shè)置用戶的訪問(wèn)條件，就可以讓用戶訪問(wèn)PACS系統(tǒng)了。

3、基于易迅通EASTED V5.0云計(jì)算虛擬化平臺(tái)集中醫(yī)院業(yè)務(wù)系統(tǒng)的優(yōu)勢(shì)

* 數(shù)據(jù)集中

通過(guò)對(duì)易迅通EASTED V5.0云計(jì)算虛擬化平臺(tái)服務(wù)器（集群）的管理，可以設(shè)定用戶在訪問(wèn)服務(wù)器端的業(yè)務(wù)系統(tǒng)時(shí)，不能訪問(wèn)本地的資源設(shè)備，所有相關(guān)的文件數(shù)據(jù)均統(tǒng)一存放在服務(wù)器端，方便了管理員對(duì)數(shù)據(jù)的集中管理，如備份、還原等，也避免了醫(yī)院內(nèi)私有數(shù)據(jù)的外泄。

* 安全性高

易迅通EASTED V5.0云計(jì)算虛擬化平臺(tái)本身提供了加密傳輸，另外和VPN等技術(shù)相結(jié)合，可以提供更高級(jí)別的安全技術(shù)保障。采用易迅通EASTED V5.0云計(jì)算虛擬化平臺(tái)方案，只需在防火墻上開通2700和80端口即可，安全性較高。

* 高可靠性及高可擴(kuò)展性

高端多用戶應(yīng)用中，可使用多臺(tái)易迅通EASTED V5.0云計(jì)算虛擬化平臺(tái)服務(wù)器構(gòu)建服務(wù)器集群，通過(guò)網(wǎng)絡(luò)負(fù)載平衡，綜合服務(wù)器的CPU、內(nèi)存、硬盤等資源的利用率實(shí)現(xiàn)負(fù)載均衡和動(dòng)態(tài)故障轉(zhuǎn)移，來(lái)實(shí)現(xiàn)高性能和高可靠性。

隨著業(yè)務(wù)的發(fā)展，管理員只需要在EASTED V5.0云計(jì)算虛擬化平臺(tái)服務(wù)器集群中增加服務(wù)器數(shù)量，就可以滿足更多用戶的訪問(wèn)需求。

* 連接穩(wěn)定

易迅通EASTED V5.0云計(jì)算虛擬化平臺(tái)的連接非常穩(wěn)定，即使斷開，也會(huì)設(shè)定保留斷開點(diǎn)的信息，等待下次連接成功后直接回到斷開點(diǎn)。

* 降低軟硬件成本

由于客戶端不再需要安裝業(yè)務(wù)系統(tǒng)軟件，只需安裝易迅通EASTED V5.0云計(jì)算虛擬化平臺(tái)客戶端，降低了對(duì)客戶端計(jì)算機(jī)硬件的需求，企業(yè)無(wú)需定期為用戶升級(jí)硬件來(lái)滿足新應(yīng)用軟件更高的配置需求。

隨著業(yè)務(wù)系統(tǒng)的升級(jí)，對(duì)硬件平臺(tái)的要求也會(huì)逐步提升，管理員只需要增加少量的EASTED V5.0云計(jì)算虛擬化平臺(tái)服務(wù)器，即可滿足新應(yīng)用的運(yùn)行需求。

* 縮減維護(hù)工作量

由于客戶端不再安裝業(yè)務(wù)系統(tǒng)軟件，業(yè)務(wù)系統(tǒng)軟件的升級(jí)、打補(bǔ)丁等維護(hù)都集中在易迅通EASTED V5.0云計(jì)算虛擬化平臺(tái)服務(wù)器上完成，減小了工作量和維護(hù)量，縮短了維護(hù)周期。

* 實(shí)現(xiàn)遠(yuǎn)程管理

通過(guò)遠(yuǎn)程管理，對(duì)易迅通EASTED V5.0云計(jì)算虛擬化平臺(tái)服務(wù)器，或進(jìn)一步對(duì)其它內(nèi)部服務(wù)器進(jìn)行遠(yuǎn)程維護(hù)和管理，可以解決很多不需要到現(xiàn)場(chǎng)支持的問(wèn)題，大大降低了服務(wù)成本，并大大縮短了響應(yīng)時(shí)間。

北京易訊通(EASTED)科技有限公司（以下簡(jiǎn)稱易訊通）位于中關(guān)村軟件園，是國(guó)內(nèi)專業(yè)從事基礎(chǔ)IT系統(tǒng)集成及云計(jì)算&虛擬化解決方案探索和實(shí)施及專業(yè)服務(wù)的公司。作為國(guó)內(nèi)領(lǐng)先的信息安全咨詢專家和云計(jì)算解決方案及服務(wù)提供商，易訊通致力于為客戶提供最適合其需求的EASTED云計(jì)算虛擬化平臺(tái)全面整體解決方案。