【文章內(nèi)容簡介】 。對用戶使用業(yè)務支撐系統(tǒng)中資源的具體情況進行合理分配，實現(xiàn)不同用戶對不同部分實體資源的訪問。最終建立完善的資源對自然人的授權管理。實現(xiàn)集中安全審計管理，收集、記錄用戶對業(yè)務支撐系統(tǒng)關鍵重要資源的使用情況。便于統(tǒng)計自然人對資源的訪問情況，在出現(xiàn)安全事故時，可以責任追蹤。對人員的登錄過程、操作行為進行審計和處理。最終建立完善針對“自然人→資源”訪問過程的完整審計。終端安全管理的必要性通過建立終端安全管理與審計系統(tǒng)，對接入到網(wǎng)絡中的計算機提供正常的標準的辦公環(huán)境，減少工作人員為安裝操作系統(tǒng)和應用軟件而耗費大量的精力和時間，同時又可以限制用戶軟件的安裝；降低發(fā)生病毒感染的機會；能對網(wǎng)絡行為審計和控制。 178。 實現(xiàn)非法內(nèi)聯(lián)監(jiān)控，非法的外來電腦接入網(wǎng)絡，影響內(nèi)部網(wǎng)絡的安全；178。 違規(guī)外聯(lián)監(jiān)控，防止內(nèi)網(wǎng)終端聯(lián)接互聯(lián)網(wǎng)；178。 感染病毒、木馬的桌面電腦和筆記本電腦直接接入內(nèi)部網(wǎng)絡，影響網(wǎng)絡的正常運行；178。 接入網(wǎng)絡的客戶機不能符合安全管理要求；178。 安全管理員無法解決內(nèi)部用戶私自接HUB、無線AP等不安全行為；178。 為有效解決以上安全問題，建立網(wǎng)絡控制系統(tǒng)顯得非常必要。第32頁 共32頁上網(wǎng)行為審計的必要性上網(wǎng)行為審計系統(tǒng)能夠起到以下作用：178。 能直接反映或阻止用戶在使用網(wǎng)絡過程中的失泄密行為，可通過關鍵詞(組)識別和控制可能向外發(fā)送涉及企業(yè)秘密的信息；178。 可以及時發(fā)現(xiàn)利用Internet進行犯罪的情況；178。 能夠反映本單位對網(wǎng)絡信息的利用情況；178。 可對用戶使用網(wǎng)絡的情況進行統(tǒng)計，以了解用戶上網(wǎng)情況；178。 可對網(wǎng)絡用戶各種可能的違規(guī)行為起到很強的威懾、約束作用。數(shù)據(jù)庫審計的必要性數(shù)據(jù)庫信息的價值及可訪問性得到快速提升的同時，數(shù)據(jù)庫信息資產(chǎn)面臨有嚴峻的挑戰(zhàn)，伴隨著數(shù)據(jù)庫信息價值以及可訪問性提升，使得數(shù)據(jù)庫面對來自內(nèi)部和外部的安全風險大大增加，如違規(guī)越權操作、惡意入侵導致機密信息竊取泄漏，但事后卻無法有效追溯和審計。概括起來主要表現(xiàn)在以下三個層面：178。 管理層面：主要表現(xiàn)為人員的職責、流程有待完善，內(nèi)部員工的日常操作有待規(guī)范，第三方維護人員的操作監(jiān)控失效等等，致使安全事件發(fā)生時，無法追溯并定位真實的操作者。178。 技術層面：現(xiàn)有的數(shù)據(jù)庫內(nèi)部操作不明，無法通過外部的任何安全工具（比如：防火墻、IDS、IPS等）來阻止內(nèi)部用戶的惡意操作、濫用資源和泄露企業(yè)機密信息等行為。178。 審計層面：現(xiàn)有的依賴于數(shù)據(jù)庫日志文件的審計方法，存在諸多的弊端,比如:數(shù)據(jù)庫審計功能的開啟會影響數(shù)據(jù)庫本身的性能、數(shù)據(jù)庫日志文件本身存在被篡改的風險，難于體現(xiàn)審計信息的真實性。WAF系統(tǒng)的必要性（1）WAF工作特性的要求：隨著互聯(lián)網(wǎng)技術的迅猛發(fā)展，許多政府和企業(yè)的關鍵業(yè)務活動越來越多地依賴于WEB應用，在向客戶提供通過瀏覽器訪問企業(yè)信息功能的同時，企業(yè)所面臨的風險在不斷增加。主要表現(xiàn)在兩個層面：一是隨著Web應用程序的增多，這些Web應用程序所帶來的安全漏洞越來越多；二是隨著互聯(lián)網(wǎng)技術的發(fā)展，被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗,組織性和經(jīng)濟利益驅(qū)動非常明顯。所以需要基于應用層的安全防護體系。遠程接入VPN系統(tǒng)的必要性湖南省XXXX醫(yī)院未來需要開展的遠程會診、在線醫(yī)生值班及移動用戶辦公業(yè)務等的遠程連接訪問是十分必要的，技術上總稱為VPN加密通道技術。建立在該體系架構之上，通過為通信雙方建立一個安全隧道來保障通信安全。其中IPSec VPN的設計初衷是用于可靠網(wǎng)絡之間的互聯(lián)(即提供一個虛擬的IP網(wǎng))，適用于固定的遠程安全接入。相對于網(wǎng)絡層的IPSec，基于SSL(安全套接層)協(xié)議的SSL VPN可以提供基于應用層的訪問控制，具有數(shù)據(jù)加密、完整性檢測和認證機制，而且客戶端無需特定軟件的安裝，更加容易配置和管理等特點，因而更適合于遠程用戶的安全接入。IPSec VPN和SSL VPN是兩種不同的VPN架構，IPSec VPN是工作在網(wǎng)絡層的，提供所有在網(wǎng)絡層上的數(shù)據(jù)保護和透明的安全通信，而SSL VPN是工作在應用層(基于HTTP協(xié)議)和TCP層之間的，從整體的安全等級來看，兩者都能夠提供安全的遠程接入。但是，IPSec VPN技術是被設計用于連接和保護在信任網(wǎng)絡中的數(shù)據(jù)流，因此更適合為不同的網(wǎng)絡提供通信安全保障，而SSL VPN因為以下的技術特點則更適合應用于遠程分散移動用戶的安全接入。對于用戶來說，理想的方式是將SSL VPN和IPSec VPN結合起來使用。一方面為數(shù)量有限的用戶提供IPSec VPN連接，使其能夠訪問湖南省XXXX醫(yī)院內(nèi)網(wǎng)的相關授權資源；另一方面為多數(shù)用戶提供SSL VPN連接，使其可以訪問基于Web業(yè)務應用。四、安全服務方案安全服務是以建設用戶信息安全的總體框架為基礎、以安全策略為指導，結合先進的技術平臺、經(jīng)驗豐富的安全運維團隊、成熟的服務管理體系，旨在協(xié)助用戶規(guī)劃其信息系統(tǒng)的安全體系，分析用戶信息系統(tǒng)的安全狀況和面臨的信息安全威脅和風險，協(xié)助用戶健全制度，明確責任，建立常態(tài)化安全運維機制，致立于通過持續(xù)的、循環(huán)改善，切實提高用戶信息安全水平，保證信息系統(tǒng)的保密性、完整性、真實性、可用性和可控性，以減少安全事件的發(fā)生，從而保障用戶的安全系統(tǒng)的正常運行和持續(xù)優(yōu)化。根據(jù)建立的信息安全服務體系對客戶的信息安全系統(tǒng)進行實時的維護管理，針對客戶信息安全軟、硬件提供全面的安全服務。結合用戶實際需求，通過提供一些配套的專業(yè)服務，為其信息安全整體建設工作提供幫助。針對用戶的信息安全需求，針對用戶所面臨的問題及實際需求，定制了一套安全服務保障體系深入解決用戶信息系統(tǒng)存在的問題。系統(tǒng)和資產(chǎn)梳理1）繪制最新的網(wǎng)絡拓撲圖協(xié)助用戶梳理網(wǎng)絡結構情況，包括網(wǎng)絡功能區(qū)域劃分情況、各個區(qū)域的主要功能和作用、網(wǎng)絡區(qū)域之間的互聯(lián)情況、系統(tǒng)外聯(lián)情況（外聯(lián)單位的名稱、外聯(lián)線路連接的網(wǎng)絡區(qū)域、接入線路的種類、線路的傳輸速率（帶寬）、外聯(lián)線路的接入設備以及外聯(lián)線路上承載的主要業(yè)務應用等），繪制最新網(wǎng)絡拓撲圖，并保證網(wǎng)絡拓撲圖清晰地標示出網(wǎng)絡功能區(qū)域劃分、網(wǎng)絡與外部的連接、網(wǎng)絡設備、服務器設備和主要終端設備等情況。2）編制系統(tǒng)資產(chǎn)清單對用戶設備資產(chǎn)（包括服務器、網(wǎng)絡設備、安全設備等）進行重新梳理，包括設備名稱、型號、物理位置、所在的網(wǎng)絡區(qū)域、IP地址/掩碼/網(wǎng)關、系統(tǒng)版本/補丁、安裝的應用系統(tǒng)軟件、涉及的業(yè)務數(shù)據(jù)等。）3）編制系統(tǒng)說明書協(xié)助用戶梳理應用系統(tǒng)和業(yè)務數(shù)據(jù)，包括業(yè)務（服務）的名稱、業(yè)務的主要功能、業(yè)務處理的數(shù)據(jù)、業(yè)務應用的用戶數(shù)量、用戶分布范圍、業(yè)務采用的應用系統(tǒng)軟件名稱、應用系統(tǒng)的開發(fā)商等。重要數(shù)據(jù)名稱、數(shù)據(jù)保護要求、數(shù)據(jù)的備份周期、數(shù)據(jù)是否異地保存、數(shù)據(jù)的重要程度等。4）協(xié)助制定崗位職責說明書了解信息系統(tǒng)的管理情況，包括管理機構的設置情況、人員職責的分配情況、各類管理制度的名稱、各類設計方案的名稱等，協(xié)助用戶明確安全管理相關人員的分工和責任。系統(tǒng)定級備案信息安全等級保護工作的第一個環(huán)節(jié)是系統(tǒng)定級。對信息系統(tǒng)進行定級是等級保護工作的基礎，信息系統(tǒng)的安全保護等級應當根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。定級工作流程是確定定級對象、確定信息系統(tǒng)安全等級保護等級、組織專家評審、主管部門審批、公安機關審核。信息系統(tǒng)定級以后，應到所在地區(qū)地市級上公安機關辦理備案手續(xù)，備案工作的流程是信息系統(tǒng)備案、受理、審核和備案信息管理等。1）協(xié)助定級對系統(tǒng)情況進行分析，通過分析系統(tǒng)所屬類型、所屬信息類別、服務范圍，了解系統(tǒng)的可用性、完整性、保密性需求，清晰確定保護對象，確定受侵害的客體、確定客體受侵害的程度，最終確定系統(tǒng)的系統(tǒng)服務保護等級和業(yè)務信息保護等級，協(xié)助用戶編制定級報告。2）協(xié)助備案協(xié)助用戶填寫《信息系統(tǒng)安全等級保護備案表》，協(xié)助用戶到各地公安機關進行系統(tǒng)備案，獲得系統(tǒng)備案證。第二部云化數(shù)據(jù)中心解決方案一、云化數(shù)據(jù)中心概述近幾年隨著IT技術的發(fā)展，尤其是虛擬化和云計算技術的日漸成熟與廣泛應用，傳統(tǒng)的數(shù)據(jù)中心已遠遠不能滿足新的業(yè)務發(fā)展需求，存在著資源利用率低下，電能消耗過高，物理空間不能滿足業(yè)務擴展的需求，服務質(zhì)量低