【文章內(nèi)容簡(jiǎn)介】 通過(guò)聚合鏈路連接，既提供了冗余鏈路，又可以實(shí)現(xiàn)負(fù)載均衡，充分利用所有帶寬。 網(wǎng)絡(luò)安全管理目前，醫(yī)院為了防護(hù)主機(jī)，買(mǎi)了入侵檢測(cè)設(shè)備，卻因?yàn)槊刻齑罅康母婢療o(wú)法處理而放棄使用；為了控制終端，買(mǎi)了桌面管理軟件，卻不能解決桌面管理軟件被卸載的問(wèn)題；為了保證數(shù)據(jù)安全，買(mǎi)了數(shù)據(jù)庫(kù)審計(jì)設(shè)備，卻因?yàn)橐慌_(tái)電腦多人用，審計(jì)無(wú)法定位到人而功虧一簣……網(wǎng)絡(luò)安全建議：醫(yī)療網(wǎng)絡(luò)安全建設(shè)需要實(shí)現(xiàn)一下幾點(diǎn)：終端設(shè)備準(zhǔn)入。根據(jù)終端設(shè)備的MAC地址、硬盤(pán)ID號(hào)等信息進(jìn)行驗(yàn)證，只有許可的終端設(shè)備才能接入到網(wǎng)絡(luò)。支持異構(gòu)網(wǎng)絡(luò)環(huán)境下的任何地點(diǎn)、任何方式下的接入安全準(zhǔn)入控制，如無(wú)線網(wǎng)絡(luò)、VPN接入網(wǎng)絡(luò)等。USB接口控制?？稍试S打印機(jī)的使用，而對(duì)于U盤(pán)等存儲(chǔ)設(shè)備，可靈活控制，既可以禁止使用，也可以只允許通過(guò)認(rèn)證的U盤(pán)在指定主機(jī)使用?？稍O(shè)置USB端口、串口、并口的開(kāi)關(guān)狀態(tài)。應(yīng)用程序控制。對(duì)工作時(shí)間不允許進(jìn)行的程序，如游戲、炒股等，如果一旦運(yùn)行，管理系統(tǒng)自動(dòng)感知，并對(duì)客戶端發(fā)出警告，并可以選擇斷開(kāi)該主機(jī)的網(wǎng)絡(luò)連接。而對(duì)于桌管軟件，如果被卸載或不安裝，同樣發(fā)出警告或斷開(kāi)網(wǎng)絡(luò)連接。操作系統(tǒng)補(bǔ)丁和其他程序的自動(dòng)下發(fā)?？山y(tǒng)一自動(dòng)下發(fā)并自動(dòng)安裝Windows系統(tǒng)補(bǔ)丁、HIS客戶端軟件等，大大減輕管理員的工作量。遠(yuǎn)程桌面控制。網(wǎng)管人員在接到故障報(bào)修電話時(shí)，可遠(yuǎn)程接管醫(yī)護(hù)人員的終端主機(jī)，控制其鍵盤(pán)、鼠標(biāo)，并監(jiān)視其顯示畫(huà)面，快速遠(yuǎn)程處理故障，而不需要去現(xiàn)場(chǎng)，大大減少工作量。用戶準(zhǔn)入控制。用戶接入網(wǎng)絡(luò)時(shí)，需要輸入用戶名和密碼，只有驗(yàn)證正確后才能登錄到網(wǎng)絡(luò)。非法人員無(wú)法登錄網(wǎng)絡(luò)。用戶訪問(wèn)權(quán)限控制。用戶登錄到網(wǎng)絡(luò)后，只能按照事先設(shè)置的訪問(wèn)權(quán)限進(jìn)行訪問(wèn)，而不是可以訪問(wèn)任意整個(gè)網(wǎng)絡(luò)。支持內(nèi)網(wǎng)訪問(wèn)和外網(wǎng)訪問(wèn)進(jìn)行邏輯隔離的功能。入侵檢測(cè)無(wú)為而治。IDS對(duì)網(wǎng)絡(luò)中的應(yīng)用數(shù)據(jù)進(jìn)行安全檢測(cè)，當(dāng)發(fā)現(xiàn)異常數(shù)據(jù)（如多次嘗試數(shù)據(jù)庫(kù)帳號(hào)等），將告警信息直接轉(zhuǎn)化為安全策略，下發(fā)至該用戶的接入交換機(jī)，對(duì)該用戶進(jìn)行安全控制。數(shù)據(jù)庫(kù)審計(jì)控制。真正做到事前威懾、事中監(jiān)管、事后定責(zé)的效果。5. 等級(jí)保護(hù)建設(shè)技術(shù)體系設(shè)計(jì) 物理安全設(shè)計(jì) 機(jī)房選址機(jī)房和辦公場(chǎng)地選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。 機(jī)房管理機(jī)房出入口安排專人值守，控制、鑒別和記錄進(jìn)入的人員；需進(jìn)入機(jī)房的來(lái)訪人員須經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍。對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域；重要區(qū)域應(yīng)配置電子門(mén)禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。 機(jī)房環(huán)境合理規(guī)劃設(shè)備安裝位置，應(yīng)預(yù)留足夠的空間作安裝、維護(hù)及操作之用。房間裝修必需使用阻燃材料，耐火等級(jí)符合國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)定。機(jī)房門(mén)大小應(yīng)滿足系統(tǒng)設(shè)備安裝時(shí)運(yùn)輸需要。機(jī)房墻壁及天花板應(yīng)進(jìn)行表面處理，防止塵埃脫落，機(jī)房應(yīng)安裝防靜電活動(dòng)地板。機(jī)房安裝防雷和接地線，設(shè)置防雷保安器，防止感應(yīng)雷，要求防雷接地和機(jī)房接地分別安裝，且相隔一定的距離；機(jī)房設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料；機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開(kāi)。配備空調(diào)系統(tǒng)，以保持房間恒濕、恒溫的工作環(huán)境；在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；提供短期的備用電力供應(yīng)，滿足關(guān)鍵設(shè)備在斷電情況下的正常運(yùn)行要求。設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；建立備用供電系統(tǒng)。鋪設(shè)線纜要求電源線和通信線纜隔離鋪設(shè)，避免互相干擾。對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。 設(shè)備與介質(zhì)管理為了防止無(wú)關(guān)人員和不法分子非法接近網(wǎng)絡(luò)并使用網(wǎng)絡(luò)中的主機(jī)盜取信息、破壞網(wǎng)絡(luò)和主機(jī)系統(tǒng)、破壞網(wǎng)絡(luò)中的數(shù)據(jù)的完整性和可用性，必須采用有效的區(qū)域監(jiān)控、防盜報(bào)警系統(tǒng)，阻止非法用戶的各種臨近攻擊。此外，必須制定嚴(yán)格的出入管理制度和環(huán)境監(jiān)控制度，以保障區(qū)域監(jiān)控系統(tǒng)和環(huán)境監(jiān)控系統(tǒng)的有效運(yùn)行。對(duì)介質(zhì)進(jìn)行分類(lèi)標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中。利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。 計(jì)算環(huán)境安全設(shè)計(jì) 身份鑒別此次網(wǎng)絡(luò)登錄身份鑒別采用安全認(rèn)證管理平臺(tái)RGSMP ，可實(shí)現(xiàn)包括網(wǎng)絡(luò)安全：結(jié)構(gòu)安全、訪問(wèn)控制、安全審計(jì)、邊界完整性檢查、網(wǎng)絡(luò)設(shè)備防護(hù)，其中還有主機(jī)安全：身份鑒別、訪問(wèn)控制、安全審計(jì)、資源控制應(yīng)用安全：身份鑒別、訪問(wèn)控制、安全審計(jì)、抗抵賴系統(tǒng)運(yùn)維管理：監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范、安全事件處置身份鑒別可分為主機(jī)身份鑒別和應(yīng)用身份鑒別兩個(gè)方面：主機(jī)身份鑒別為提高主機(jī)系統(tǒng)安全性，保障各種應(yīng)用的正常運(yùn)行，對(duì)主機(jī)系統(tǒng)需要進(jìn)行一系列的加固措施，包括：? 對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，且保證用戶名的唯一性。? 根據(jù)基本要求配置用戶名/口令；口令必須具備采用3種以上字符、長(zhǎng)度不少于8位并定期更換；? 啟用登陸失敗處理功能，登陸失敗后采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施。? 遠(yuǎn)程管理時(shí)應(yīng)啟用SSH等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡(luò)竊聽(tīng)。? 對(duì)主機(jī)管理員登錄進(jìn)行雙因素認(rèn)證方式，采用USB key+密碼進(jìn)行身份鑒別應(yīng)用身份鑒別? 為提高應(yīng)用系統(tǒng)系統(tǒng)安全性應(yīng)用系統(tǒng)需要進(jìn)行一系列的加固措施，包括：? 對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別，且保證用戶名的唯一性。? 根據(jù)基本要求配置用戶名/口令，必須具備一定的復(fù)雜度；口令必須具備采用3種以上字符、長(zhǎng)度不少于8位并定期更換。? 啟用登陸失敗處理功能，登陸失敗后采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施。應(yīng)用系統(tǒng)如具備上述功能則需要開(kāi)啟使用，若不具備則需進(jìn)行相應(yīng)的功能開(kāi)發(fā)，且使用效果要達(dá)到以上要求。 訪問(wèn)控制三級(jí)系統(tǒng)一個(gè)重要要求是實(shí)現(xiàn)自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制。自主訪問(wèn)控制實(shí)現(xiàn)：在安全策略控制范圍內(nèi)，使用戶對(duì)自己創(chuàng)建的客體具有各種訪問(wèn)操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶；自主訪問(wèn)控制主體的粒度應(yīng)為用戶級(jí)，客體的粒度應(yīng)為文件或數(shù)據(jù)庫(kù)表級(jí)；自主訪問(wèn)操作應(yīng)包括對(duì)客體的創(chuàng)建、讀、寫(xiě)、修改和刪除等。 強(qiáng)制訪問(wèn)控制實(shí)現(xiàn)：在對(duì)安全管理員進(jìn)行嚴(yán)格的身份鑒別和權(quán)限控制基礎(chǔ)上，由安全管理員通過(guò)特定操作界面對(duì)主、客體進(jìn)行安全標(biāo)記；應(yīng)按安全標(biāo)記和強(qiáng)制訪問(wèn)控制規(guī)則，對(duì)確定主體訪問(wèn)客體的操作進(jìn)行控制；強(qiáng)制訪問(wèn)控制主體的粒度應(yīng)為用戶級(jí)，客體的粒度應(yīng)為文件或數(shù)據(jù)庫(kù)表級(jí)。由此主要控制的是對(duì)應(yīng)用系統(tǒng)的文件、數(shù)據(jù)庫(kù)等資源的訪問(wèn)，避免越權(quán)非法使用。采用的措施主要包括：l 啟用訪問(wèn)控制功能：制定嚴(yán)格的訪問(wèn)控制安全策略，根據(jù)策略控制用戶對(duì)應(yīng)用系統(tǒng)的訪問(wèn)，特別是文件操作、數(shù)據(jù)庫(kù)訪問(wèn)等，控制粒度主體為用戶級(jí)、客體為文件或數(shù)據(jù)庫(kù)表級(jí)。l 權(quán)限控制：對(duì)于制定的訪問(wèn)控制規(guī)則要能清楚的覆蓋資源訪問(wèn)相關(guān)的主體、客體及它們之間的操作。對(duì)于不同的用戶授權(quán)原則是進(jìn)行能夠完成工作的最小化授權(quán)，避免授權(quán)范圍過(guò)大，并在它們之間形成相互制約的關(guān)系。l 賬號(hào)管理：嚴(yán)格限制默認(rèn)賬戶的訪問(wèn)權(quán)限，重命名默認(rèn)賬戶，修改默認(rèn)口令；及時(shí)刪除多余的、過(guò)期的賬戶，避免共享賬戶的存在。l 訪問(wèn)控制的實(shí)現(xiàn)主要采取兩種方式：采用安全操作系統(tǒng)，或?qū)Σ僮飨到y(tǒng)進(jìn)行安全增強(qiáng)改造，且使用效果要達(dá)到以上要求。 系統(tǒng)安全審計(jì)系統(tǒng)審計(jì)包括主機(jī)審計(jì)和應(yīng)用審計(jì)兩個(gè)層面：主機(jī)審計(jì)：部署終端安全管理系統(tǒng)，啟用主機(jī)審計(jì)功能，或部署主機(jī)審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)主機(jī)監(jiān)控、審計(jì)和系統(tǒng)管理等功能。監(jiān)控功能包括服務(wù)監(jiān)控、進(jìn)程監(jiān)控、硬件操作監(jiān)控、文件系統(tǒng)監(jiān)控、打印機(jī)監(jiān)控、非法外聯(lián)監(jiān)控、計(jì)算機(jī)用戶賬號(hào)監(jiān)控等。審計(jì)功能包括文件操作審計(jì)、外掛設(shè)備操作審計(jì)、非法外聯(lián)審計(jì)、IP地址更改審計(jì)、服務(wù)與進(jìn)程審計(jì)等。審計(jì)范圍覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；內(nèi)容包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計(jì)記錄包括事件的日期、時(shí)間、類(lèi)型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。同時(shí)，根據(jù)記錄的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，生成詳細(xì)的審計(jì)報(bào)表，系統(tǒng)管理功能包括系統(tǒng)用戶管理、主機(jī)監(jiān)控代理狀態(tài)監(jiān)控、安全策略管理、主機(jī)監(jiān)控代理升級(jí)管理、計(jì)算機(jī)注冊(cè)管理、實(shí)時(shí)報(bào)警、歷史信息查詢、統(tǒng)計(jì)與報(bào)表等。應(yīng)用審計(jì)：應(yīng)用層安全審計(jì)是對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)行為的審計(jì)，需要與應(yīng)用系統(tǒng)緊密結(jié)合，此審計(jì)功能應(yīng)與應(yīng)用系統(tǒng)統(tǒng)一開(kāi)發(fā)。應(yīng)用系統(tǒng)審計(jì)功能記錄系統(tǒng)重要安全事件的日期、時(shí)間、發(fā)起者信息、類(lèi)型、描述和結(jié)果等，并保護(hù)好審計(jì)結(jié)果，阻止非法刪除、修改或覆蓋審計(jì)記錄。同時(shí)能夠?qū)τ涗洈?shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表。部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)對(duì)用戶行為、用戶事件及系統(tǒng)狀態(tài)加以審計(jì)，范圍覆蓋到每個(gè)用戶，從而把握數(shù)據(jù)庫(kù)系統(tǒng)的整體安全。應(yīng)用系統(tǒng)如具備上述功能則需要開(kāi)啟使用，若不具備則需進(jìn)行相應(yīng)的功能開(kāi)發(fā)，且使用效果要達(dá)到以上要求。此次數(shù)據(jù)庫(kù)審計(jì)采用數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)RGDBS 2000，其可實(shí)現(xiàn)主機(jī)安全包括安全審計(jì)，應(yīng)用安全，包括安全審計(jì)、抗抵賴等功能。 入侵防范此次入侵防御采用入侵防御檢測(cè)系統(tǒng)RGIDP 2000S，可實(shí)現(xiàn)主機(jī)安全，具體包括入侵防范、惡意代碼防范等。針對(duì)入侵防范主要體現(xiàn)在主機(jī)及網(wǎng)絡(luò)兩個(gè)層面。針對(duì)主機(jī)的入侵防范，可以從多個(gè)角度進(jìn)行處理：216。 入侵檢測(cè)系統(tǒng)可以起到防范針對(duì)主機(jī)的入侵行為；216。 部署漏洞掃描進(jìn)行系統(tǒng)安全性檢測(cè)；216。 部署終端安全管理系統(tǒng)，開(kāi)啟補(bǔ)丁分發(fā)功能模塊及時(shí)進(jìn)行系統(tǒng)補(bǔ)丁升級(jí)；216。 操作系統(tǒng)的安裝遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，關(guān)閉多余服務(wù)等；216。 另外根據(jù)系統(tǒng)類(lèi)型進(jìn)行其它安全配置的加固處理。針對(duì)網(wǎng)絡(luò)入侵防范，可通過(guò)部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)來(lái)實(shí)現(xiàn)。將網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過(guò)實(shí)時(shí)偵聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)時(shí)，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實(shí)時(shí)報(bào)警、事件登錄，或執(zhí)行用戶自定義的安全策略等。入侵檢測(cè)系統(tǒng)可以部署在XX市人民醫(yī)院的核心處以及主要服務(wù)器區(qū)，這里我們建議在這些區(qū)域的交換機(jī)上部署入侵檢測(cè)系統(tǒng)，監(jiān)視并記錄網(wǎng)絡(luò)中的所有訪問(wèn)行為和操作，有效防止非法操作和惡意攻擊。同時(shí)，入侵檢測(cè)系統(tǒng)還可以形象地重現(xiàn)操作的過(guò)程，可幫助安全管理員發(fā)現(xiàn)網(wǎng)絡(luò)安全的隱患。需要說(shuō)明的是，IDP是對(duì)防火墻的非常有必要的附加而不僅僅是簡(jiǎn)單的補(bǔ)充。入侵檢測(cè)系統(tǒng)作為網(wǎng)絡(luò)安全體系的第二道防線，對(duì)在防火墻系統(tǒng)阻斷攻擊失敗時(shí)，可以最大限度地減少相應(yīng)的損失。因此，IDP應(yīng)具備更多的檢測(cè)能力，能夠和其他安全產(chǎn)品（邊界防火墻、內(nèi)網(wǎng)安全管理軟件等）進(jìn)行聯(lián)動(dòng)。 主機(jī)惡意代碼防范惡意代碼防范采用銳捷網(wǎng)絡(luò)防火墻RGWALL 1600XA系列，可提供網(wǎng)絡(luò)邊界的安全防護(hù)與隔離功能，配合銳捷應(yīng)用安全域解決方案，能夠?qū)崿F(xiàn)基于用戶的訪問(wèn)控制管理、安全事件聯(lián)動(dòng)處理。各類(lèi)惡意代碼尤其是病毒、木馬等是對(duì)XX市人民醫(yī)院的重大危害，病毒在爆發(fā)時(shí)將使路由器、三層交換機(jī)、防火墻等網(wǎng)關(guān)設(shè)備性能急速下降，并且占用整個(gè)網(wǎng)絡(luò)帶寬。針對(duì)病毒的風(fēng)險(xiǎn)，我們建議重點(diǎn)是將病毒消滅或封堵在終端這個(gè)源頭上。比如，在所有終端主機(jī)和服務(wù)器上部署網(wǎng)絡(luò)防病毒系統(tǒng)，加強(qiáng)終端主機(jī)的病毒防護(hù)能力并及時(shí)升級(jí)惡意代碼軟件版本以及惡意代碼庫(kù)。在XX市人民醫(yī)院安全管理安全域中，可以部署防病毒服務(wù)器，負(fù)責(zé)制定和終端主機(jī)防病毒策略，在XX市人民醫(yī)院內(nèi)網(wǎng)建立全網(wǎng)統(tǒng)一的一級(jí)升級(jí)服務(wù)器，在下級(jí)節(jié)點(diǎn)建立二級(jí)升級(jí)服務(wù)器，由管理中心升級(jí)服務(wù)器通過(guò)互聯(lián)網(wǎng)或手工方式獲得最新的病毒特征庫(kù)，分發(fā)到數(shù)據(jù)中心節(jié)點(diǎn)的各個(gè)終端，并下發(fā)到各二級(jí)服務(wù)器。在網(wǎng)絡(luò)邊界通過(guò)防火墻進(jìn)行基于通信端口、帶寬、連接數(shù)量的過(guò)濾控制，可以在一定程度上避免蠕蟲(chóng)病毒爆發(fā)時(shí)的大流量沖擊。同時(shí)，防毒系統(tǒng)可以為安全管理平臺(tái)提供關(guān)于病毒威脅和事件的監(jiān)控、審計(jì)日志，為全網(wǎng)的病毒防護(hù)管理提供必要的信息。 軟件容錯(cuò)軟件容錯(cuò)的主要目的是提供足夠的冗余信息和算法程序,使系統(tǒng)在實(shí)際運(yùn)行時(shí)能夠及時(shí)發(fā)現(xiàn)程序設(shè)計(jì)錯(cuò)誤,采取補(bǔ)救措施,以提高軟件可靠性,保證整個(gè)計(jì)算機(jī)系統(tǒng)的正常運(yùn)行。因此在應(yīng)用系統(tǒng)軟件設(shè)計(jì)時(shí)要充分考慮軟件容錯(cuò)設(shè)計(jì)，包括：提供數(shù)據(jù)有效性檢驗(yàn)功能，保證通過(guò)人機(jī)接口輸入或通過(guò)通信接口輸入的數(shù)據(jù)格式或長(zhǎng)度符合系統(tǒng)設(shè)定要求；具備自保護(hù)功能，在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠自動(dòng)保存當(dāng)前所有狀態(tài)，確保系統(tǒng)能夠進(jìn)行恢復(fù)。 數(shù)據(jù)完整性與保密性VPN網(wǎng)關(guān)系列采用銳捷網(wǎng)絡(luò)RGWALL 1600EVX系列，可為用戶提供加密的遠(yuǎn)程訪問(wèn)服務(wù)，以及對(duì)應(yīng)用系統(tǒng)訪問(wèn)流量的數(shù)據(jù)加密防護(hù)。能夠配合銳捷應(yīng)用安全域?qū)崿F(xiàn)內(nèi)外網(wǎng)用戶身份統(tǒng)一認(rèn)證、權(quán)限統(tǒng)一下發(fā)。目前，XX市人民醫(yī)院信息系統(tǒng)中傳輸?shù)男畔⒅饕侵匾臉I(yè)務(wù)數(shù)據(jù)和辦公文檔，對(duì)信息完整性校驗(yàn)提出了一定的需求，特別是通過(guò)公網(wǎng)遠(yuǎn)程接入內(nèi)網(wǎng)傳遞數(shù)據(jù)的私密性有很高的要求。而SSL VPN非常適用于遠(yuǎn)程接入環(huán)境，例如：移動(dòng)辦公接入。它和IDPEC VPN適用于不同的應(yīng)用場(chǎng)景，可配合使用。SSL的英文全稱是“Secure Sockets Layer”，中文名為“安全套接層協(xié)議層”，它是網(wǎng)景（Netscape）公司提出的基于WEB應(yīng)用的安全協(xié)議。SSL協(xié)議指定了一種在應(yīng)用程序協(xié)議（如Http、Telenet、NMTP和FTP等）和TCP/IP協(xié)議之間提供數(shù)據(jù)安全性分層的機(jī)制，它為T(mén)CP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證。SSL與IPSec安全協(xié)議一樣，也可提供加密和身份驗(yàn)證安全方法，因此安全性上二者無(wú)明顯差別。SSL VPN使用SSL/HTTPS技術(shù)作為安全傳輸機(jī)制。這種機(jī)制在所有的標(biāo)準(zhǔn)Web瀏覽器上都有，不用額外的軟件實(shí)現(xiàn)。使用SSL VPN，在移動(dòng)用戶和內(nèi)部資源之間的連接通過(guò)應(yīng)用層的Web連接實(shí)現(xiàn)，而不是像IPSec VPN在網(wǎng)絡(luò)層開(kāi)放的“通道”。SSL對(duì)移動(dòng)用戶是理想的技術(shù)，因?yàn)椋?16。 SSL無(wú)需被加載到終端設(shè)備上216。 SSL無(wú)需終端用戶配置216。 SSL無(wú)需被限于固定終端，只要有標(biāo)準(zhǔn)瀏覽器即可使用產(chǎn)品部署方面，SSL VPN只需單臂旁路方式接入。單