【正文】 將給主機(jī)系統(tǒng) 和應(yīng)用系統(tǒng) 帶來(lái)了很大的安全風(fēng)險(xiǎn) 。對(duì)于服務(wù)器和重要主機(jī)需要進(jìn)行嚴(yán)格的行為控制，對(duì)用戶的行為、使用的命令等進(jìn)行必要的記錄審計(jì)，便于日后的分析、調(diào)查、取證，規(guī)范主機(jī)使用行為。 ? 入侵防范 主機(jī)操作系統(tǒng) 面臨著各類具有針對(duì)性的入侵威脅，常見(jiàn)操作系統(tǒng) 存在著各種安全漏洞，并且現(xiàn)在漏洞被發(fā)現(xiàn)與漏洞被利用之間的時(shí)間差變得越來(lái)越短，這就使得操作系統(tǒng)本身的安全性給整個(gè)系統(tǒng)帶來(lái)巨大的安全風(fēng)險(xiǎn) ，因此對(duì)于主機(jī)操作系統(tǒng)的安裝，使用、維護(hù)等提出了需求，防范針對(duì)系統(tǒng)的入侵行為。因此 必須部署惡意代碼防范軟件進(jìn)行防御。數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。所有的措施最終無(wú)不是為了業(yè)務(wù)數(shù)據(jù)的安全。 主機(jī)系統(tǒng) 以及應(yīng)用系統(tǒng)的 資源是有限的，不能無(wú)限濫用。 北醫(yī)三院 等級(jí)保護(hù) 方案 18 ? 剩余信息保護(hù) 對(duì)于正常使用中的主機(jī) 操作系統(tǒng)和 數(shù)據(jù)庫(kù)系統(tǒng)等 ，經(jīng)常需要對(duì)用戶的鑒別信息、文件、目錄、數(shù)據(jù)庫(kù)記錄等進(jìn)行臨時(shí)或長(zhǎng)期存儲(chǔ)， 在這些存儲(chǔ)資源重新分配前，如果不對(duì)其原使用者的信息進(jìn)行清除，將會(huì)引起元用戶信息泄漏 的安全風(fēng)險(xiǎn)，因此，需要 確保系統(tǒng)內(nèi)的用戶鑒別信息文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完全清除 對(duì)于動(dòng)態(tài)管理和使用的客體資源，應(yīng)在這些客體 資源重新分配前，對(duì)其原使用者的信息進(jìn)行清除，以確保信息不被泄漏 。 對(duì)于各類邊界最基本的安全需求就是訪問(wèn) 控制，對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制，阻止非授權(quán) 及越權(quán) 訪問(wèn)。 ? 邊界安全審計(jì) 在安全區(qū)域邊界 需要建立 必要的 審計(jì)機(jī)制， 對(duì)進(jìn)出邊界的各類網(wǎng)絡(luò)行為進(jìn)行記錄與審計(jì)分析，可以和主機(jī)審計(jì)、應(yīng)用審計(jì)以及網(wǎng)絡(luò)審計(jì)形成多層次的審計(jì)系統(tǒng)。 通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與需求分析 通信網(wǎng)絡(luò)的安全 主要包括：網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)設(shè)備防護(hù)、通信完整性與保密性等方面。沒(méi)有相應(yīng)的審計(jì)記錄將給事后追查帶來(lái)困難。這些設(shè)備的自身安全性也會(huì)直接關(guān)系到涉密網(wǎng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行。 ? 通信完整性與保密性 由于網(wǎng)絡(luò)協(xié)議及文件格式均具有標(biāo)準(zhǔn)、開(kāi)發(fā)、公開(kāi)的特征，因此數(shù) 據(jù)在網(wǎng)上存儲(chǔ)和傳輸過(guò)程中，不僅僅面臨信息丟失、信息重復(fù)或信息傳送的自身錯(cuò)誤，而且會(huì)遭遇信息攻擊或欺詐行為，導(dǎo)致最終信息收發(fā)的差異性。因此需要對(duì)非法客戶端 實(shí)現(xiàn) 禁入， 能監(jiān)控網(wǎng)絡(luò)，對(duì)于沒(méi)有 合法認(rèn)證的 外來(lái)機(jī)器，能夠阻斷其網(wǎng)絡(luò)訪問(wèn) ，保護(hù)好已經(jīng)建立起來(lái)的安全北醫(yī)三院 等級(jí)保護(hù) 方案 21 環(huán)境 。主要包括： ? 安全管理制度 ? 安全管理機(jī)構(gòu) ? 人員安全管理 ? 系統(tǒng)建設(shè)管理 ? 系統(tǒng)運(yùn)維管理 根據(jù)等級(jí)保護(hù)的要求在上述方面建立一系列的管理制度與操作規(guī)范 ，并明確執(zhí)行 。 方案設(shè)計(jì)框架 根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，分為技術(shù)和管理 兩大類要求，具體如下圖所示： 北醫(yī)三院 等級(jí)保護(hù) 方案 23 本方案將嚴(yán)格根據(jù)技術(shù)與管理要求進(jìn)行設(shè)計(jì)。 以下詳細(xì)方案設(shè)計(jì)時(shí) 應(yīng) 將 每個(gè)項(xiàng)目進(jìn)行相應(yīng)的 組合 級(jí)別說(shuō)明。 ? 機(jī)房管理 機(jī)房出入口 安排專人值守，控制、鑒別和記錄進(jìn)入的人員； 需進(jìn)入機(jī)房的來(lái)訪人員須 經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍。機(jī)房門大小應(yīng)滿足系統(tǒng)設(shè)備安裝時(shí)運(yùn)輸需要。 設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；建立備用供電系統(tǒng)。此外，必須制定嚴(yán)格的出入管理制度和環(huán)境監(jiān)控制度，以保障區(qū)域監(jiān)控系統(tǒng)和環(huán)境監(jiān)控系統(tǒng)的有效運(yùn)行。 ? 根據(jù)基本要求配置用戶名 /口令；口令必須具備采用 3 種以上字符、長(zhǎng)度不少于 8 位并定期更換； 北醫(yī)三院 等級(jí)保護(hù) 方案 27 ? 啟用登陸失敗處理功能，登陸失敗后采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施。 應(yīng)用系統(tǒng)如具備上述功能則需要開(kāi)啟使用，若不具備則需進(jìn)行相應(yīng)的功能開(kāi)發(fā)，且使用效果要達(dá)到以上要求。 強(qiáng)制訪問(wèn)控制實(shí)現(xiàn)：在對(duì)安全管理員進(jìn)行嚴(yán)格的身份鑒別和權(quán)限控制基礎(chǔ)上，由安全管理員通過(guò)特定操作界面對(duì)主、客體進(jìn)行安全標(biāo)記；北醫(yī)三院 等級(jí)保護(hù) 方案 28 應(yīng)按安全標(biāo)記和強(qiáng)制訪問(wèn)控制規(guī)則，對(duì)確 定主體訪問(wèn)客體的操作進(jìn)行控制；強(qiáng)制訪問(wèn)控制主體的粒度應(yīng)為用戶級(jí)，客體的粒度應(yīng)為文件或數(shù)據(jù)庫(kù)表級(jí)。對(duì)于不同的用戶授權(quán)原則是進(jìn)行能夠完成工作的最小化授權(quán)，避免授權(quán)范圍過(guò)大，并 在它們之間形成相互制約的關(guān)系。 監(jiān)控功能包括服務(wù)監(jiān)控、進(jìn)程監(jiān)控、硬件操作監(jiān)控、文件系統(tǒng)監(jiān)控、打印機(jī)監(jiān)控、非法外聯(lián)監(jiān)控、 計(jì)算機(jī)用戶賬號(hào)監(jiān)控等。 應(yīng)用 審計(jì) ： 應(yīng)用層安全審計(jì) 是對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)行為的審計(jì)，需要與應(yīng)用系統(tǒng)緊密結(jié)合，此審計(jì)功能應(yīng)與應(yīng)用系統(tǒng)統(tǒng)一開(kāi)發(fā)。 應(yīng)用系統(tǒng)如具備上述功能則需要開(kāi)啟使用， 若不具備則需進(jìn)行相應(yīng)的功能開(kāi)發(fā)，且使用效果要達(dá)到以上要求。將網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)位于有敏感 數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過(guò)實(shí)時(shí)偵聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試。 需要說(shuō)明的是， IDS 是對(duì)防火 墻的非常有必要的附加而不僅僅是簡(jiǎn)單的補(bǔ)充。 針對(duì)病毒的風(fēng)險(xiǎn)，我們建議重點(diǎn)是將病毒消滅或封堵在終端這個(gè)源頭上。同時(shí)，防毒系統(tǒng)可以為安全管理北醫(yī)三院 等級(jí)保護(hù) 方案 31 平臺(tái)提供關(guān)于病毒威 脅和事件的監(jiān)控、審計(jì)日志，為全網(wǎng)的病毒防護(hù)管理提供必要的信息。接收方對(duì)接收到的信息后，首先確認(rèn)發(fā)送方的身份信息，解包后，重新計(jì)算，將得到的鑒別碼與收到的鑒別碼進(jìn)行比較，若二者相同，則可以判定信息未被篡改，信息完整性沒(méi)有受到破壞。 目前 VPN 的組建主要采用兩種方式， 基于 IPSEC 協(xié)議的 VPN 以及 基于 SSL 協(xié)議的 VPN。 真實(shí)性 — — IPSec 端要驗(yàn)證所有受 IPSec 保護(hù)的數(shù)據(jù)包。 SSL 的英文全稱是“ Secure Sockets Layer”，中文名為“安全套接層協(xié)議層”，它是網(wǎng)景（ Netscape）公司提出的基于 WEB 應(yīng)用的安全協(xié)議。這種機(jī)制在所有的標(biāo)準(zhǔn) Web 瀏覽器上都有，不用額外的軟件實(shí)現(xiàn)。遠(yuǎn)程用戶只需應(yīng)用標(biāo)準(zhǔn) IE 瀏覽器即可登陸網(wǎng)關(guān)，通過(guò)身份鑒別，在基于北醫(yī)三院 等級(jí)保護(hù) 方案 33 角色的策略控制下實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部資源的存取訪問(wèn)。數(shù)據(jù)丟失將會(huì)使系統(tǒng)無(wú)法連續(xù)正常工作。 數(shù)據(jù)備份系統(tǒng)應(yīng)該遵循穩(wěn)定性、全面性、自動(dòng)化、高性能、操作簡(jiǎn)單、實(shí)時(shí)?？煽康南到y(tǒng)要求能立即訪問(wèn)準(zhǔn)確信息。 備份 與恢復(fù) 備份與恢復(fù)主要包含兩方面內(nèi)容，首先是指數(shù)據(jù)備份與恢復(fù)，另外一方面是關(guān)鍵網(wǎng)絡(luò)設(shè)備、線路以及服務(wù)器等硬件設(shè)備的冗余。 SSL 對(duì)移動(dòng)用戶是理想的技術(shù)，因 為： ? SSL 無(wú)需被加載到終端設(shè)備上 ? SSL 無(wú)需終端用戶配置 ? SSL 無(wú)需被限于固定終端 ，只要有標(biāo)準(zhǔn)瀏覽器即可使用 產(chǎn)品部署方面， SSL VPN 只需 單臂旁路方式接入。 SSL 與 IPSec 安全協(xié)議一樣，也可提供加密和身份驗(yàn)證安全方法 ，因此安全性上二者無(wú)明顯差別 。 SSL VPN 適用于遠(yuǎn)程接入環(huán)境，例如：移動(dòng)辦公接入。 北醫(yī)三院 等級(jí)保護(hù) 方案 32 完整性 —— IPSec 在目的地要驗(yàn)證數(shù)據(jù)包，以保證該數(shù)據(jù)包任傳輸過(guò)程中沒(méi)有被修改或替換。 而對(duì)于用戶數(shù)據(jù)特別是身份鑒別信息的數(shù)據(jù)保密，應(yīng)用系統(tǒng)采用密碼技術(shù)進(jìn)行數(shù)據(jù)加密實(shí) 現(xiàn)鑒別信息的存儲(chǔ)保密性。因此在應(yīng)用系統(tǒng)軟件設(shè)計(jì)時(shí)要充分考慮軟件容錯(cuò)設(shè)計(jì)，包括： 提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求； 具備自保護(hù)功能， 在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠 自動(dòng)保存當(dāng)前所有狀態(tài) ，確保 系統(tǒng) 能夠 進(jìn)行恢復(fù) 。 在 XX 醫(yī)院 網(wǎng)絡(luò) 安全管理安全域中，可以部署防病毒服務(wù)器，負(fù)責(zé)制定和終端主機(jī)防病毒策略，在 XX 醫(yī)院 網(wǎng)絡(luò) 內(nèi)網(wǎng)建立全網(wǎng)統(tǒng)一的一級(jí)升級(jí)服務(wù)器，在 下級(jí)節(jié)點(diǎn) 建立二級(jí)升級(jí)服務(wù)器，由管理中心升級(jí)服務(wù)器通過(guò)互聯(lián)網(wǎng)或手工方式獲得最新的病毒特征庫(kù)，分發(fā)到數(shù)據(jù)中心節(jié)點(diǎn)的各個(gè)終端，并下發(fā)到各二級(jí)服務(wù)器。因此， IDS 應(yīng)具備更多的檢測(cè)能力，能夠和其他安全產(chǎn)品（邊界防火墻、內(nèi)網(wǎng)安全管理軟件等）進(jìn)行聯(lián)動(dòng)。 入侵檢測(cè)系統(tǒng)可以部署在 XX 醫(yī)院 網(wǎng)絡(luò) 的核心處以及主要服務(wù)器區(qū)，這里我們建議在這些區(qū)域的交換機(jī)上部署入侵檢測(cè)系統(tǒng)，監(jiān)視并記錄網(wǎng)絡(luò)中的所有訪問(wèn)行為和操作，有效防止非法操作和惡意攻擊。 針對(duì)主機(jī)的入侵防范，可以從多個(gè)角度進(jìn)行處理： ? 入侵檢測(cè)系統(tǒng)可以起到防范針對(duì)主機(jī)的入侵行為； ? 部署漏洞掃描進(jìn)行系統(tǒng)安全性檢測(cè)； ? 部署終端安全管理系統(tǒng)，開(kāi)啟補(bǔ)丁分發(fā)功能模塊及時(shí)進(jìn)行系統(tǒng)補(bǔ)丁升級(jí)； ? 操作系統(tǒng)的安裝遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，關(guān)閉多余服務(wù)等； ? 另外根據(jù)系統(tǒng)類型進(jìn)行其它安全配置的加固處理。 同時(shí)能夠?qū)τ涗洈?shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表 。審計(jì)范圍覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計(jì)記錄包括事件的日期、時(shí)間、類型、主體北醫(yī)三院 等級(jí)保護(hù) 方案 29 標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。 訪問(wèn)控制的實(shí)現(xiàn)主要采取兩種方式： 采用安全操作系統(tǒng) ， 或?qū)Σ僮飨到y(tǒng)進(jìn)行安全增強(qiáng)改造， 且使用效果要達(dá)到以上要求。采用的措施主要包括： 啟用訪問(wèn)控制功能：制定嚴(yán)格的訪問(wèn)控制安全策略，根據(jù)策略控制用戶對(duì)應(yīng)用系統(tǒng)的訪問(wèn)，特別是文件操作、數(shù)據(jù)庫(kù)訪問(wèn)等，控制粒度主體為用戶級(jí)、客體為文件或數(shù)據(jù)庫(kù)表級(jí)。 訪問(wèn)控制 三 級(jí)系統(tǒng)一個(gè)重要要求是實(shí)現(xiàn)自主訪問(wèn)控制 和強(qiáng)制訪問(wèn)控制 。 ? 對(duì)主機(jī)管理員登錄進(jìn)行雙因素認(rèn)證方式，采用 USBkey+密碼進(jìn)行身份鑒別 應(yīng)用身份鑒別： 為提高應(yīng) 用系統(tǒng)系統(tǒng)安全性應(yīng)用系統(tǒng)需要進(jìn)行一系列的加固措施，包括： 對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別，且保證用戶名的唯一性。 利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。 對(duì)關(guān)鍵設(shè) 備和磁介質(zhì)實(shí)施電磁屏蔽。 機(jī)房安裝防雷和接地線， 設(shè)置防雷保安器，防止感應(yīng) 雷， 要求防雷接地和機(jī)房接地分別安裝，且相隔一定的距離 ； 機(jī)房設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐北醫(yī)三院 等級(jí)保護(hù) 方案 26 火等級(jí)的建筑材料；機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開(kāi)。 ? 機(jī)房環(huán)境 合理規(guī)劃設(shè)備安裝位置，應(yīng)預(yù)留足夠的空間作安裝、維護(hù)及操作之用。 ? 機(jī)房選址 機(jī)房和辦公場(chǎng)地 選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。同時(shí) 結(jié)合管理要求 ，形成如下圖所示的保護(hù)環(huán)境模型： 北醫(yī)三院 等級(jí)保護(hù) 方案 24 信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全性等級(jí)和系統(tǒng)服務(wù)保證性等級(jí)較高者決定，因此，對(duì)某一個(gè)定級(jí)后的信息系統(tǒng)的安全保護(hù)的側(cè)重點(diǎn)可以有多種組北醫(yī)三院 等級(jí)保護(hù) 方案 25 合。 通過(guò) 為滿足 物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面基本 技術(shù) 要求 進(jìn)行技術(shù)體系建設(shè)； 為滿足 安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面 基本 管理 要求進(jìn)行 管理體系建設(shè) 。除了技術(shù)管理措施外，安全管理是保障安全技術(shù)手段發(fā)揮具體作用的最有效手段，建立健全安全管理體系不但是國(guó)家等級(jí)保護(hù)中的 要求，也是作為一個(gè)安全體系來(lái)講，不可或缺的重要組成部分。 而數(shù)據(jù)在傳輸過(guò)程中，為能夠抵御不良企圖者采取的各種攻擊，防止遭到竊取，應(yīng)采用加密措施保證數(shù)據(jù)的機(jī)密性。更加嚴(yán)重情況是設(shè)備設(shè)置被篡改，不法分子輕松獲得網(wǎng)絡(luò)設(shè)備的控制權(quán)，通過(guò)網(wǎng)絡(luò)設(shè)備作為跳板攻擊服務(wù)器，將會(huì)造成無(wú)法想象的后果。從而威懾那些心存僥幸、有惡意企圖的少部分用戶，以利于規(guī)范正常的網(wǎng)絡(luò)應(yīng)用行為。因此網(wǎng)絡(luò)結(jié)構(gòu)需要具備一定的冗余性；帶寬能夠滿足業(yè)務(wù)高峰時(shí)期數(shù)據(jù)交換需求；并合理的劃分網(wǎng)段和 VLAN。 ? 邊界惡意代碼防范 現(xiàn)今，病毒的發(fā)展呈現(xiàn)出以下趨勢(shì) :病毒與黑客程序相結(jié)合、蠕蟲病毒更加泛濫，目前計(jì)算機(jī)病毒的傳播途徑與過(guò)去相比已經(jīng)發(fā)生了很大的變化，更多的以