【正文】 數(shù)據(jù)錯誤則將意味著不準確的事務處理。使用 SSL VPN，在移動用戶和內(nèi)部資源之間的連接通過應用層的 Web 連接實現(xiàn)，而不是像 IPSec VPN 在網(wǎng)絡層開放的“通道”。 防重放 —— IPSec 防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會拒絕老的或重復的數(shù)據(jù)包，它通過報文的序列號實現(xiàn)。通過上述方法，可以滿足應用系統(tǒng)對于信息完整性校驗的需求。時，在所有終端主機和服務器上部署網(wǎng)絡防病 毒系統(tǒng)，加強終端主機的病毒防護能力并及時升級惡意代碼軟件版本以及惡意代碼庫。當發(fā)現(xiàn)網(wǎng)絡違規(guī)行為和未授權(quán)的網(wǎng)絡訪問時，網(wǎng)絡監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應，包括實時報警、事件登錄，或執(zhí)行用戶自定義的安全策略等。 應用系統(tǒng)審計功能記錄系統(tǒng)重要安全事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等，并保護好審計結(jié)果，阻止非法刪除、修改或覆蓋審計記錄。 賬號管理：嚴格限制默認帳戶的訪問權(quán)限，重命名默認帳戶，修改默認口令；及時刪除多余的、過期的帳戶，避免共享帳戶的存在。 對于三級系統(tǒng)，要求對用戶進行兩種或兩種以上組合的鑒別技術(shù)，因此可采用雙因素認證（ USBkey+密碼）或者構(gòu)建 PKI 體系，采用 CA 證書的方式進行身份 鑒別 。 對介質(zhì) 進行分類標識，存儲在介質(zhì)庫或檔案室中。機房墻壁及天花板應進行表面處理，防止塵埃脫落，機房應安裝防靜電活動地板。 安全 技術(shù) 體系設計 物理安全設計 物理環(huán)境安全策略的目的是保護網(wǎng)絡中計算機網(wǎng)絡通信有一個良好的電磁兼容工作環(huán)境，并防止非法用戶進入計算機控制室和各種偷竊、破壞活動的發(fā)生。 北醫(yī)三院 等級保護 方案 22 8 技術(shù) 體系 方案設計 方案設計目標 三級系統(tǒng)安全保護環(huán)境的設計目標是：落實 GB 178591999 對三級系統(tǒng)的安全保護要求，在二級安全保護環(huán)境的基礎上，通過實現(xiàn)基于安全策略模型和標記的強制訪問控制以及增 強系統(tǒng)的審計機制，使得系統(tǒng)具有在統(tǒng)一安全策略管控下，保護敏感資源的能力。因此，在信息傳輸和存儲過程中，必須要確保信息內(nèi)容在發(fā)送、接收及保存的一致性；并在信息遭受篡改攻擊的情況下，應提供有效的察覺與發(fā)現(xiàn)機制，實現(xiàn)通信的完整性。有必要進行基于網(wǎng)絡行為的審計。并可 通過安全管理中心 集中管理 。 ? 抗抵賴 對于數(shù)據(jù)安全，不僅面臨著機密性和完整性的問題，同樣還面臨著 抗抵賴性（ 不可否認性 ）的問題 ， 應 采用技術(shù)手段防止用戶否認其 數(shù)據(jù)發(fā)送和接收 行為，為 數(shù)據(jù)收發(fā)雙方提供證據(jù)。因此數(shù)據(jù)的備份十分重要，是必須考慮的問題。同時保持惡意代碼庫的及時更新。 而對于應用系統(tǒng)同樣提出了應用審計的要求，即對應用系統(tǒng)的使用行為進行審計。因此必須提高用戶名 /口令的復雜度，且防止被網(wǎng)絡竊聽；同時應考慮失敗處理機制。例如： ? 機房 缺乏控制，人 員 隨意出入 帶來的風險 ； ? 網(wǎng)絡設備被盜、被毀壞； ? 線路老化或是有意、無意的破壞線路； ? 設備在非預測情況下發(fā)生故障、停電等； ? 自然災害如地震、水災、火災 、雷擊 等 ； ? 電磁干擾等。 需要通過合理的劃分網(wǎng)絡安全域，針對各自的特點而采取不同的技術(shù)及管理手段。包括： 各層次的安全保 障體系框架形成系統(tǒng)整體的安全保障體系框架 ； 詳細 安全技術(shù)設計、安全管理設計 。 北醫(yī)三院 等級保護 方案 9 2. 安全域設計：根據(jù)第一步的結(jié)果，通過分析系統(tǒng)業(yè)務流程、功能模塊，根據(jù)安全域劃分原則設計系統(tǒng)安全域架構(gòu)。 “等級化 ”設計方法， 是 根據(jù)需要保護的信息系統(tǒng)確定不同的安全等級，根據(jù)安全等級確定不同等級的安全目標，形成不同等級的安全措施進行保護。因信息和信息系統(tǒng)的業(yè)務類型、應用范圍等條件改變導致安全需求發(fā)生變化時，應當重新調(diào)整信息系統(tǒng)安全保護等級，及時完善安全保障措施。 在進行等級保護安全體系建設時參照以下工作工作原則： （一）遵循標準，重點保護 。衛(wèi)生行業(yè)各單位要按照“誰主管、誰負責，誰運營、誰負責”的要求，落實信息安全責任。各區(qū)域按照相關標準建設安全措施。 之間的關系可以理解為“ 構(gòu)建安全管理機構(gòu)，制定 完善的安全管理制度及安全策略 ， 由相關人員，利用技術(shù)工 手段 及相關工具 ，進行系統(tǒng)建設和運行維護 。并找出系統(tǒng)安全現(xiàn)狀與等級要求的差距，形成完整準確的按需防御的安全需求。 北醫(yī)三院 等級保護 方案 10 4 方案 參照標準 ? GB/T 210522020 信息安全等級保護 信息系統(tǒng)物理安全技術(shù)要求 ? 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求 ? 信息安全技術(shù) 信息系統(tǒng)安全保護等級定級指南 (報批中 ) ? 信息安全技術(shù)信息安全等級保護實施指南 (報批中 ) ? 信息安全技術(shù) 信息系統(tǒng)安全等級保護測評指南 ? GB/T 202712020 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù) 要求 ? GB/T 202702020 信息安全技術(shù) 網(wǎng)絡基礎安全技術(shù)要求 ? GB/T 209842020 信息安全技術(shù) 信息安全風險評估規(guī)范 ? GB/T 202692020 信息安全技術(shù) 信息系統(tǒng)安全管理要求 ? GB/T 202812020 信息安全技術(shù) 防火墻技術(shù)要求與測試評價方法 ? GB/T 202752020 信息安全技術(shù) 入侵檢測系統(tǒng)技術(shù)要求和測試評價方法 ? GB/T 202782020 信息安全技術(shù) 網(wǎng)絡脆弱性掃描產(chǎn)品技術(shù)要求 ? GB/T 202772020 信息安全技術(shù) 網(wǎng)絡脆弱性掃描產(chǎn) 品測試評價方法 ? GB/T 202792020 信息安全技術(shù) 網(wǎng)絡端設備隔離部件技術(shù)要求 ? GB/T 202802020 信息安全技術(shù) 網(wǎng)絡端設備隔離部件測試評價方法 等 。 上述步驟如下圖流程所示。 主機操作系統(tǒng)登錄 、 數(shù)據(jù)庫登陸 以及應用系統(tǒng)登錄均 必須進行身份驗證。 ? 系統(tǒng) 審計 系統(tǒng)審計包括 主機審計和應用審計兩個方面。 大量占據(jù)正常業(yè)務十分有限的帶寬，造成網(wǎng)絡性能嚴重下降、 服務器崩潰 甚至網(wǎng)絡通信中斷 ，信息損壞或泄漏。因 此數(shù)據(jù)的備份十分重要，是必須考慮的問題。否則會出現(xiàn)資源耗盡、服 務質(zhì)量下降甚至服務中斷等后果。 ? 邊界入侵防范 各類網(wǎng)絡攻擊行為既可能來自于大家公認的互聯(lián)網(wǎng)等外部網(wǎng)絡，在內(nèi)部也同樣存在。因此網(wǎng)絡結(jié)構(gòu)需要具備一定的冗余性；帶寬能夠滿足業(yè)務高峰時期數(shù)據(jù)交換需求；并合理的劃分網(wǎng)段和 VLAN。更加嚴重情況是設備設置被篡改，不法分子輕松獲得網(wǎng)絡設備的控制權(quán)，通過網(wǎng)絡設備作為跳板攻擊服務器，將會造成無法想象的后果。除了技術(shù)管理措施外，安全管理是保障安全技術(shù)手段發(fā)揮具體作用的最有效手段，建立健全安全管理體系不但是國家等級保護中的 要求，也是作為一個安全體系來講，不可或缺的重要組成部分。同時 結(jié)合管理要求 ，形成如下圖所示的保護環(huán)境模型： 北醫(yī)三院 等級保護 方案 24 信息系統(tǒng)的安全保護等級由業(yè)務信息安全性等級和系統(tǒng)服務保證性等級較高者決定，因此，對某一個定級后的信息系統(tǒng)的安全保護的側(cè)重點可以有多種組北醫(yī)三院 等級保護 方案 25 合。 ? 機房環(huán)境 合理規(guī)劃設備安裝位置，應預留足夠的空間作安裝、維護及操作之用。 對關鍵設 備和磁介質(zhì)實施電磁屏蔽。 ? 對主機管理員登錄進行雙因素認證方式，采用 USBkey+密碼進行身份鑒別 應用身份鑒別： 為提高應 用系統(tǒng)系統(tǒng)安全性應用系統(tǒng)需要進行一系列的加固措施，包括： 對登錄用戶進行身份標識和鑒別，且保證用戶名的唯一性。采用的措施主要包括： 啟用訪問控制功能：制定嚴格的訪問控制安全策略，根據(jù)策略控制用戶對應用系統(tǒng)的訪問，特別是文件操作、數(shù)據(jù)庫訪問等，控制粒度主體為用戶級、客體為文件或數(shù)據(jù)庫表級。審計范圍覆蓋到服務器上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關事件；審計記錄包括事件的日期、時間、類型、主體北醫(yī)三院 等級保護 方案 29 標識、客體標識和結(jié)果等；保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。 針對主機的入侵防范，可以從多個角度進行處理： ? 入侵檢測系統(tǒng)可以起到防范針對主機的入侵行為； ? 部署漏洞掃描進行系統(tǒng)安全性檢測； ? 部署終端安全管理系統(tǒng)，開啟補丁分發(fā)功能模塊及時進行系統(tǒng)補丁升級； ? 操作系統(tǒng)的安裝遵循最小安裝的原則，僅安裝需要的組件和應用程序，關閉多余服務等； ? 另外根據(jù)系統(tǒng)類型進行其它安全配置的加固處理。因此， IDS 應具備更多的檢測能力，能夠和其他安全產(chǎn)品（邊界防火墻、內(nèi)網(wǎng)安全管理軟件等）進行聯(lián)動。因此在應用系統(tǒng)軟件設計時要充分考慮軟件容錯設計，包括： 提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設定要求； 具備自保護功能， 在故障發(fā)生時，應用系統(tǒng)應能夠 自動保存當前所有狀態(tài) ，確保 系統(tǒng) 能夠 進行恢復 。 北醫(yī)三院 等級保護 方案 32 完整性 —— IPSec 在目的地要驗證數(shù)據(jù)包，以保證該數(shù)據(jù)包任傳輸過程中沒有被修改或替換。 SSL 與 IPSec 安全協(xié)議一樣，也可提供加密和身份驗證安全方法 ，因此安全性上二者無明顯差別 。 備份 與恢復 備份與恢復主要包含兩方面內(nèi)容，首先是指數(shù)據(jù)備份與恢復，另外一方面是關鍵網(wǎng)絡設備、線路以及服務器等硬件設備的冗余。 數(shù)據(jù)備份系統(tǒng)應該遵循穩(wěn)定性、全面性、自動化、高性能、操作簡單、實時。遠程用戶只需應用標準 IE 瀏覽器即可登陸網(wǎng)關，通過身份鑒別，在基于北醫(yī)三院 等級保護 方案 33 角色的策略控制下實現(xiàn)對企業(yè)內(nèi)部資源的存取訪問。 SSL 的英文全稱是“ Secure Sockets Layer”，中文名為“安全套接層協(xié)議層”，它是網(wǎng)景（ Netscape）公司提出的基于 WEB 應用的安全協(xié)議。 目前 VPN 的組建主要采用兩種方式， 基于 IPSEC 協(xié)議的 VPN 以及 基于 SSL 協(xié)議的 VPN。同時，防毒系統(tǒng)可以為安全管理北醫(yī)三院 等級保護 方案 31 平臺提供關于病毒威 脅和事件的監(jiān)控、審計日志，為全網(wǎng)的病毒防護管理提供必要的信息。 需要說明的是， IDS 是對防火 墻的非常有必要的附加而不僅僅是簡單的補充。 應用系統(tǒng)如具備上述功能則需要開啟使用， 若不具備則需進行相應的功能開發(fā)，且使用效果要達到以上要求。 監(jiān)控功能包括服務監(jiān)控、進程監(jiān)控、硬件操作監(jiān)控、文件系統(tǒng)監(jiān)控、打印機監(jiān)控、非法外聯(lián)監(jiān)控、 計算機用戶賬號監(jiān)控等。 強制訪問控制實現(xiàn)：在對安全管理員進行嚴格的身份鑒別和權(quán)限控制基礎上，由安全管理員通過特定操作界面對主、客體進行安全標記；北醫(yī)三院 等級保護 方案 28 應按安全標記和強制訪問控制規(guī)則，對確 定主體訪問客體的操作進行控制；強制訪問控制主體的粒度應為用戶級，客體的粒度應為文件或數(shù)據(jù)庫表級。 ? 根據(jù)基本要求配置用戶名 /口令；口令必須具備采用 3 種以上字符、長度不少于 8 位并定期更換； 北醫(yī)三院 等級保護 方案 27 ? 啟用登陸失敗處理功能，登陸失敗后采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施。 設置冗余或并行的電力電纜線路為計算機系統(tǒng)供電；建立備用供電系統(tǒng)。 ? 機房管理 機房出入口 安排專人值守，控制、鑒別和記錄進入的人員； 需進入機房的來訪人員須 經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍。 方案設計框架 根據(jù)《信息系統(tǒng)安全等級保護基本要求》，分為技術(shù)和管理 兩大類要求，具體如下圖所示： 北醫(yī)三院 等級保護 方案 23 本方案將嚴格根據(jù)技術(shù)與管理要求進行設計。因此需要對非法客戶端 實現(xiàn) 禁入， 能監(jiān)控網(wǎng)絡，對于沒有 合法認證的 外來機器，能夠阻斷其網(wǎng)絡訪問 ，保護好已經(jīng)建立起來的安全北醫(yī)三院 等級保護 方案 21 環(huán)境 。這些設備的自身安全