【正文】 的發(fā)現(xiàn)提供了強大的支持。在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具的運行相對獨立，能較全面檢測流行漏洞，檢測最嚴(yán)重的安全問題，安裝運行簡單，可以大規(guī)模減少安全管理員的手工勞動，降低安全審計人員的勞動強度，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。通過部署漏洞掃描產(chǎn)品，可以達(dá)到如下目標(biāo)：? 能夠?qū)W(wǎng)內(nèi)所有的設(shè)備和主機的安全狀況進行評估，給出當(dāng)前網(wǎng)絡(luò)的存在的安全漏洞。21 / 29? 對網(wǎng)內(nèi)安全狀況進行綜合分析，找出網(wǎng)絡(luò)的薄弱點，為決策提供參考，做到安全建設(shè)有的放矢。? 對發(fā)現(xiàn)的安全問題給出詳細(xì)描述和解決辦法。幫助管理員及時地處理發(fā)現(xiàn)的問題。? 通過升級最新的掃描插件，可以發(fā)現(xiàn)最新的安全漏洞，幫助預(yù)防以蠕蟲為代表的攻擊破壞行為。? 制定周期評估計劃，獲得網(wǎng)絡(luò)安全狀況的變化趨勢。整個過程自動進行。? 減輕管理人員的工作負(fù)擔(dān)，大大提高工作效率。 Web 頁面防護醫(yī)院內(nèi)部的 Web 服務(wù)器對外提供 Web 服務(wù)，Web 應(yīng)用的普及使得 Web 服務(wù)器很容易成為黑客的攻擊目標(biāo)。需要專業(yè)的主頁防篡改工具有效阻止主頁篡改事件的發(fā)生，維護 Web 頁面的安全。在 web 服務(wù)器配置一套 WEB 應(yīng)用安全防護系統(tǒng)，全面監(jiān)測 WEB 服務(wù)器的頁面是否正常。對于突破網(wǎng)站防火墻的篡改行為，進行實時監(jiān)控，確保網(wǎng)站信息安全。一旦發(fā)現(xiàn)網(wǎng)站信息被篡改之后，立刻通知監(jiān)控中心并迅速恢復(fù)正常的網(wǎng)頁文件。7?24 不間斷地保護網(wǎng)站，任何惡意篡改痕跡將被實時保留，并主動和及時通知管理人員，做到防范于未然。通過網(wǎng)絡(luò)掃描網(wǎng)站的網(wǎng)頁，監(jiān)測網(wǎng)頁是否被修改，當(dāng)發(fā)現(xiàn)網(wǎng)頁被修改后，系統(tǒng)能夠自動報警和恢復(fù)。 應(yīng)用安全監(jiān)控目前醫(yī)院有多個業(yè)務(wù)系統(tǒng)，由于業(yè)務(wù)系統(tǒng)的復(fù)雜性，一個應(yīng)用往往涉及到多臺服務(wù)器的多個線程，因此出現(xiàn)問題的概率也相對較大，問題反饋的時間也無法保障，另外 現(xiàn)在基于 Web 的三層 B/S 越來越復(fù)雜，一旦出現(xiàn)問題變得異常麻煩，可能需要動用網(wǎng)絡(luò)管理員、應(yīng)用管理員、數(shù)據(jù)庫管理員等多個崗位的人員進行核查、排錯。在系統(tǒng)監(jiān)控管理方面，用戶最關(guān)心的是業(yè)務(wù)系統(tǒng)的監(jiān)控管理，目前通用的系統(tǒng)管理軟件無法對用戶多樣的關(guān)鍵業(yè)務(wù)系統(tǒng)進行有效監(jiān)控、管理和展現(xiàn)。通過部署應(yīng)用安全管理系統(tǒng)，可以在一個平臺上實現(xiàn)對多個關(guān)鍵業(yè)務(wù)系統(tǒng)全面、22 / 29高效、統(tǒng)一管理。應(yīng)用安全管理系統(tǒng)并聯(lián)在核心交換機上，對業(yè)務(wù)狀態(tài)進行管理和監(jiān)控。同時，在數(shù)據(jù)中心的安全管理安全域中，部署控制臺，進行集中的監(jiān)控和管理。通過部署應(yīng)用安全管理系統(tǒng)，可以實現(xiàn)下述功能：統(tǒng)一管理：它提供了一個通用的圖形界面和網(wǎng)絡(luò)管理基礎(chǔ)架構(gòu)，用于跨設(shè)備執(zhí)行管理功能、集成應(yīng)用，并實現(xiàn)網(wǎng)元管理統(tǒng)一化。全網(wǎng)絡(luò)可視性：借助發(fā)現(xiàn)、物理和邏輯拓?fù)鋱D、集中事件管理、圖表和統(tǒng)計消息等功能，能夠全面顯示和深入報告網(wǎng)絡(luò)的行為。網(wǎng)元管理：它通過數(shù)據(jù)中心本地網(wǎng)元管理器對每個設(shè)備提供直接的訪問，并允許從安全管理區(qū)中配置所有的網(wǎng)絡(luò)設(shè)備。另外，還支持跨多種設(shè)備類型進行基于策略的管理。 安全體系管理層面設(shè)計安全體系管理層面設(shè)計主要是依據(jù)《信息系統(tǒng)安全等級保護基本要求》中的管理要求而設(shè)計。安全管理制度 各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實施辦法，是具有可操作性，且必須得到有效推行和實施的制度。制定嚴(yán)格的知足與發(fā)布流程，方式，范圍等；定期或不定期對安全管理制度進行檢查和審定，修訂不足及改進。管理要求安全管理機構(gòu) 包括的安全管理機構(gòu)組織形式和運作方式：設(shè)置安全管理崗位、配備專職安全員、建23 / 29立授權(quán)與審批制度、建立內(nèi)外部溝通合作渠道、定期進行全面安全檢查。人員安全管理 制定人員錄用，離崗、考核、培訓(xùn)幾個方面的規(guī)定，并嚴(yán)格執(zhí)行；規(guī)定外部人員訪問流程，并嚴(yán)格執(zhí)行。系統(tǒng)建設(shè)管理 從工程實施的前、中、后三個方面，從初始定級設(shè)計到驗收評測完整的工程周期角度進行系統(tǒng)建設(shè)管理。系統(tǒng)運維管理 信息系統(tǒng)日常運行維護管理，利用管理制度以及安全管理中心進行，包括：資產(chǎn)管理、設(shè)備管理、密碼管理、應(yīng)急管理等，使系統(tǒng)始終處于相應(yīng)等級安全狀態(tài)中。具體參見 章節(jié)“安全管理設(shè)計” 。24 / 295 整體安全設(shè)計配置方案 整體部署結(jié)構(gòu)根據(jù)對各個安全系統(tǒng)的詳細(xì)設(shè)計，已經(jīng)可以比較清晰的勾畫出醫(yī)院業(yè)務(wù)網(wǎng)安全建設(shè)的整體全景，如下圖所示：25 / 2926 / 29信息安全建設(shè)是一個循序漸進的過程，不可能一蹴而就。所以，我們將本著首先定位關(guān)鍵資源、關(guān)鍵區(qū)域，先對關(guān)鍵資源、關(guān)鍵區(qū)域進行保護, 然后按照發(fā)散性的思路進行縱深層面的安全分析和擴展保護。由于邊界安全防護是安全建設(shè)的基礎(chǔ)性工作，因此本期建設(shè)重點內(nèi)容即根據(jù)劃分好的安全域進行邊界類防護，同時進行最常見的訪問控制、上網(wǎng)行為管理以及與桌面安全相關(guān)的安全措施。當(dāng)前總體建設(shè)可以分為以下：總體步驟描述 部署產(chǎn)品 部署位置 作用區(qū)域/部署作用防火墻 互聯(lián)網(wǎng)邊界 控制進出互聯(lián)網(wǎng)的所有數(shù)據(jù)流量，對上網(wǎng)行為進行控制，阻止各類非法應(yīng)用。安全隔離網(wǎng)閘外聯(lián)業(yè)務(wù)服務(wù)器區(qū)同局域網(wǎng)其他安全域邊界之間匯聚外聯(lián)業(yè)務(wù)服務(wù)器，進行統(tǒng)一威脅管理，利用網(wǎng)閘雙主機系統(tǒng)和安全擺渡機制，將外聯(lián)業(yè)務(wù)服務(wù)器區(qū)同內(nèi)部網(wǎng)絡(luò)進行邏輯隔離，徹底切斷不同安全級別網(wǎng)絡(luò)間的任何連接；同時利用自有協(xié)議將合法的數(shù)據(jù)訪問和數(shù)據(jù)交換在網(wǎng)閘內(nèi)進行安全擺渡，同時實現(xiàn)了高安全的隔離和實時的數(shù)據(jù)交換。局域網(wǎng)主要邊界防護，包括內(nèi)、外部各主要邊界；局域網(wǎng)計算環(huán)境安全建設(shè)的終端安全管理的建設(shè)；周期性安全運維。內(nèi)網(wǎng)安全管理系統(tǒng)省數(shù)據(jù)中心互聯(lián)網(wǎng)邊界作用于局域網(wǎng)內(nèi)所有安全域終端；統(tǒng)一進行內(nèi)網(wǎng)終端的安全管理，通過對終端和訪問行為進行限制和保護，實現(xiàn)終端安全加固、網(wǎng)絡(luò)接入控制、非法外聯(lián)控制、資產(chǎn)管理、I/O 接口管理、終端配置維護、終端審計監(jiān)控等。VPN 網(wǎng)關(guān) 局域網(wǎng)同專網(wǎng)邊界 作用于需通過 VPN 接入專網(wǎng)或互聯(lián)網(wǎng)的應(yīng)用服務(wù)器及終端；為各接入終端及服務(wù)器提供 VPN 接入服務(wù)。數(shù)據(jù)中心計算環(huán)境安全建設(shè)，包括安全審計，數(shù)據(jù)庫審計；邊界入侵防護及網(wǎng)絡(luò)防病毒網(wǎng)絡(luò)入侵檢測系統(tǒng)核心交換機，通過端口進行對內(nèi)部數(shù)據(jù)訪問進行監(jiān)聽作用于各內(nèi)部安全域；實時監(jiān)測目標(biāo)網(wǎng)絡(luò)流量，及時發(fā)現(xiàn)入侵行為并進行報警和審計。27 / 29數(shù)據(jù)庫審計核心數(shù)據(jù)庫服務(wù)器區(qū)作用于核心數(shù)據(jù)庫服務(wù)器區(qū)；對數(shù)據(jù)庫用戶行為、用戶事件及系統(tǒng)狀態(tài)加以審計，從而把握數(shù)據(jù)庫系統(tǒng)的整體安全。IPS 入侵防護系統(tǒng)互聯(lián)網(wǎng)邊界 作用于互聯(lián)網(wǎng)邊界；實時監(jiān)控并阻斷針對內(nèi)網(wǎng)服務(wù)器安全域中各業(yè)務(wù)服務(wù)器及主機的入侵行為，與該區(qū)域邊界防火墻共同作用。AV 防病毒網(wǎng)關(guān)核心數(shù)據(jù)庫服務(wù)器區(qū)邊界作用于核心數(shù)據(jù)庫服務(wù)器區(qū)；邊界集中進行病毒過濾，防止病毒侵入或向外擴散，與網(wǎng)絡(luò)、終端防病毒組成多層次深度防御。系統(tǒng)的建設(shè)；漏洞掃描、周期性安全運維的建設(shè)。安全管理制度的逐步制定。漏洞掃描核心交換機，網(wǎng)絡(luò)可達(dá)各服務(wù)器即可作用于省數(shù)據(jù)中心所有主機、網(wǎng)絡(luò)設(shè)備及服務(wù)器；提供工具對外網(wǎng)平臺各類主機、服務(wù)器、網(wǎng)絡(luò)設(shè)備等進行安全漏洞掃描，及時發(fā)現(xiàn)問題，提供解決方案。核心交換機局域網(wǎng)網(wǎng)絡(luò)核心核心層的主要提供不同網(wǎng)絡(luò)模塊之間優(yōu)化傳輸服務(wù)，將分組盡可能快地從一個網(wǎng)絡(luò)傳到另一個網(wǎng)絡(luò)，作為所有網(wǎng)絡(luò)流量的傳輸中樞，核心層除了要求高性能交換設(shè)備和高帶寬傳輸鏈路外，還需考慮選用支持負(fù)載均衡或負(fù)載分擔(dān)特性的設(shè)備實現(xiàn)負(fù)荷均衡。同時保證雙機熱備匯聚交換機樓層網(wǎng)絡(luò)匯聚 提供對網(wǎng)絡(luò)流量模式控制、服務(wù)訪問控制、QoS、定義路由路徑度量（path metric）和路由協(xié)議網(wǎng)絡(luò)通告控制。有線網(wǎng)絡(luò)基礎(chǔ)架設(shè)接入交換機 樓層到桌面接入 接入層作為各模塊到交換骨干的連接，根據(jù)不同模塊進行邏輯子網(wǎng)劃分，并通過 VLAN28 / 29技術(shù)實現(xiàn)子網(wǎng)之間的隔離。訪問層主要功能在于隔離模塊間的廣播流量，避免不同模塊之間相互影響無線 AP樓層接入，有線信號轉(zhuǎn)化為無線無線網(wǎng)絡(luò)的接入點，負(fù)責(zé)無線客戶端的接入，把有線網(wǎng)絡(luò)通過無線信號、以擴大網(wǎng)絡(luò)覆蓋范圍無線控制器旁路部署在核心交換機上無線控制器是一種網(wǎng)絡(luò)設(shè)備，它是一個無線網(wǎng)絡(luò)的核心，負(fù)責(zé)管理無線網(wǎng)絡(luò)中的 AP，對 AP 管理包括：下發(fā)配置、修改相關(guān)配置參數(shù)、射頻智能管理、接入安全控制等。POE 供電交換機樓層接入，為無線 AP 提供電源除了具有不同交換機作用之外，網(wǎng)絡(luò)接口有 功率，負(fù)責(zé)為無線 AP 通過網(wǎng)線供電無線網(wǎng)絡(luò)基礎(chǔ)架設(shè)無線終端系統(tǒng) 終端用戶使用 連接無線信號的終端。比如手機，筆記本電腦，手持設(shè)備等服務(wù)器 業(yè)務(wù)系統(tǒng)承載 保證業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定運行光纖交換機 業(yè)務(wù)數(shù)據(jù)傳輸 連接服務(wù)器和存儲、一般做雙機，架設(shè) IPSAN 存儲網(wǎng)絡(luò)數(shù)據(jù)中心架設(shè)存儲 業(yè)務(wù)數(shù)據(jù)存儲 雙機，保證數(shù)據(jù)安全性，數(shù)據(jù)備份，同步29 / 2