【正文】 的發(fā)現(xiàn)提供了強(qiáng)大的支持。在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具的運(yùn)行相對獨(dú)立，能較全面檢測流行漏洞，檢測最嚴(yán)重的安全問題，安裝運(yùn)行簡單，可以大規(guī)模減少安全管理員的手工勞動，降低安全審計(jì)人員的勞動強(qiáng)度，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。通過部署漏洞掃描產(chǎn)品，可以達(dá)到如下目標(biāo)：? 能夠?qū)W(wǎng)內(nèi)所有的設(shè)備和主機(jī)的安全狀況進(jìn)行評估，給出當(dāng)前網(wǎng)絡(luò)的存在的安全漏洞。21 / 29? 對網(wǎng)內(nèi)安全狀況進(jìn)行綜合分析，找出網(wǎng)絡(luò)的薄弱點(diǎn)，為決策提供參考，做到安全建設(shè)有的放矢。? 對發(fā)現(xiàn)的安全問題給出詳細(xì)描述和解決辦法。幫助管理員及時地處理發(fā)現(xiàn)的問題。? 通過升級最新的掃描插件，可以發(fā)現(xiàn)最新的安全漏洞，幫助預(yù)防以蠕蟲為代表的攻擊破壞行為。? 制定周期評估計(jì)劃，獲得網(wǎng)絡(luò)安全狀況的變化趨勢。整個過程自動進(jìn)行。? 減輕管理人員的工作負(fù)擔(dān)，大大提高工作效率。 Web 頁面防護(hù)醫(yī)院內(nèi)部的 Web 服務(wù)器對外提供 Web 服務(wù)，Web 應(yīng)用的普及使得 Web 服務(wù)器很容易成為黑客的攻擊目標(biāo)。需要專業(yè)的主頁防篡改工具有效阻止主頁篡改事件的發(fā)生，維護(hù) Web 頁面的安全。在 web 服務(wù)器配置一套 WEB 應(yīng)用安全防護(hù)系統(tǒng)，全面監(jiān)測 WEB 服務(wù)器的頁面是否正常。對于突破網(wǎng)站防火墻的篡改行為，進(jìn)行實(shí)時監(jiān)控，確保網(wǎng)站信息安全。一旦發(fā)現(xiàn)網(wǎng)站信息被篡改之后，立刻通知監(jiān)控中心并迅速恢復(fù)正常的網(wǎng)頁文件。7?24 不間斷地保護(hù)網(wǎng)站，任何惡意篡改痕跡將被實(shí)時保留，并主動和及時通知管理人員，做到防范于未然。通過網(wǎng)絡(luò)掃描網(wǎng)站的網(wǎng)頁，監(jiān)測網(wǎng)頁是否被修改，當(dāng)發(fā)現(xiàn)網(wǎng)頁被修改后，系統(tǒng)能夠自動報警和恢復(fù)。 應(yīng)用安全監(jiān)控目前醫(yī)院有多個業(yè)務(wù)系統(tǒng)，由于業(yè)務(wù)系統(tǒng)的復(fù)雜性，一個應(yīng)用往往涉及到多臺服務(wù)器的多個線程，因此出現(xiàn)問題的概率也相對較大，問題反饋的時間也無法保障，另外 現(xiàn)在基于 Web 的三層 B/S 越來越復(fù)雜，一旦出現(xiàn)問題變得異常麻煩，可能需要動用網(wǎng)絡(luò)管理員、應(yīng)用管理員、數(shù)據(jù)庫管理員等多個崗位的人員進(jìn)行核查、排錯。在系統(tǒng)監(jiān)控管理方面，用戶最關(guān)心的是業(yè)務(wù)系統(tǒng)的監(jiān)控管理，目前通用的系統(tǒng)管理軟件無法對用戶多樣的關(guān)鍵業(yè)務(wù)系統(tǒng)進(jìn)行有效監(jiān)控、管理和展現(xiàn)。通過部署應(yīng)用安全管理系統(tǒng)，可以在一個平臺上實(shí)現(xiàn)對多個關(guān)鍵業(yè)務(wù)系統(tǒng)全面、22 / 29高效、統(tǒng)一管理。應(yīng)用安全管理系統(tǒng)并聯(lián)在核心交換機(jī)上，對業(yè)務(wù)狀態(tài)進(jìn)行管理和監(jiān)控。同時，在數(shù)據(jù)中心的安全管理安全域中，部署控制臺，進(jìn)行集中的監(jiān)控和管理。通過部署應(yīng)用安全管理系統(tǒng)，可以實(shí)現(xiàn)下述功能：統(tǒng)一管理：它提供了一個通用的圖形界面和網(wǎng)絡(luò)管理基礎(chǔ)架構(gòu)，用于跨設(shè)備執(zhí)行管理功能、集成應(yīng)用，并實(shí)現(xiàn)網(wǎng)元管理統(tǒng)一化。全網(wǎng)絡(luò)可視性：借助發(fā)現(xiàn)、物理和邏輯拓?fù)鋱D、集中事件管理、圖表和統(tǒng)計(jì)消息等功能，能夠全面顯示和深入報告網(wǎng)絡(luò)的行為。網(wǎng)元管理：它通過數(shù)據(jù)中心本地網(wǎng)元管理器對每個設(shè)備提供直接的訪問，并允許從安全管理區(qū)中配置所有的網(wǎng)絡(luò)設(shè)備。另外，還支持跨多種設(shè)備類型進(jìn)行基于策略的管理。 安全體系管理層面設(shè)計(jì)安全體系管理層面設(shè)計(jì)主要是依據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》中的管理要求而設(shè)計(jì)。安全管理制度 各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)性策略引出的具體管理規(guī)定、管理辦法和實(shí)施辦法，是具有可操作性，且必須得到有效推行和實(shí)施的制度。制定嚴(yán)格的知足與發(fā)布流程，方式，范圍等；定期或不定期對安全管理制度進(jìn)行檢查和審定，修訂不足及改進(jìn)。管理要求安全管理機(jī)構(gòu) 包括的安全管理機(jī)構(gòu)組織形式和運(yùn)作方式：設(shè)置安全管理崗位、配備專職安全員、建23 / 29立授權(quán)與審批制度、建立內(nèi)外部溝通合作渠道、定期進(jìn)行全面安全檢查。人員安全管理 制定人員錄用，離崗、考核、培訓(xùn)幾個方面的規(guī)定，并嚴(yán)格執(zhí)行；規(guī)定外部人員訪問流程，并嚴(yán)格執(zhí)行。系統(tǒng)建設(shè)管理 從工程實(shí)施的前、中、后三個方面，從初始定級設(shè)計(jì)到驗(yàn)收評測完整的工程周期角度進(jìn)行系統(tǒng)建設(shè)管理。系統(tǒng)運(yùn)維管理 信息系統(tǒng)日常運(yùn)行維護(hù)管理，利用管理制度以及安全管理中心進(jìn)行，包括：資產(chǎn)管理、設(shè)備管理、密碼管理、應(yīng)急管理等，使系統(tǒng)始終處于相應(yīng)等級安全狀態(tài)中。具體參見 章節(jié)“安全管理設(shè)計(jì)” 。24 / 295 整體安全設(shè)計(jì)配置方案 整體部署結(jié)構(gòu)根據(jù)對各個安全系統(tǒng)的詳細(xì)設(shè)計(jì)，已經(jīng)可以比較清晰的勾畫出醫(yī)院業(yè)務(wù)網(wǎng)安全建設(shè)的整體全景，如下圖所示：25 / 2926 / 29信息安全建設(shè)是一個循序漸進(jìn)的過程，不可能一蹴而就。所以，我們將本著首先定位關(guān)鍵資源、關(guān)鍵區(qū)域，先對關(guān)鍵資源、關(guān)鍵區(qū)域進(jìn)行保護(hù), 然后按照發(fā)散性的思路進(jìn)行縱深層面的安全分析和擴(kuò)展保護(hù)。由于邊界安全防護(hù)是安全建設(shè)的基礎(chǔ)性工作，因此本期建設(shè)重點(diǎn)內(nèi)容即根據(jù)劃分好的安全域進(jìn)行邊界類防護(hù)，同時進(jìn)行最常見的訪問控制、上網(wǎng)行為管理以及與桌面安全相關(guān)的安全措施。當(dāng)前總體建設(shè)可以分為以下：總體步驟描述 部署產(chǎn)品 部署位置 作用區(qū)域/部署作用防火墻 互聯(lián)網(wǎng)邊界 控制進(jìn)出互聯(lián)網(wǎng)的所有數(shù)據(jù)流量，對上網(wǎng)行為進(jìn)行控制，阻止各類非法應(yīng)用。安全隔離網(wǎng)閘外聯(lián)業(yè)務(wù)服務(wù)器區(qū)同局域網(wǎng)其他安全域邊界之間匯聚外聯(lián)業(yè)務(wù)服務(wù)器，進(jìn)行統(tǒng)一威脅管理，利用網(wǎng)閘雙主機(jī)系統(tǒng)和安全擺渡機(jī)制，將外聯(lián)業(yè)務(wù)服務(wù)器區(qū)同內(nèi)部網(wǎng)絡(luò)進(jìn)行邏輯隔離，徹底切斷不同安全級別網(wǎng)絡(luò)間的任何連接；同時利用自有協(xié)議將合法的數(shù)據(jù)訪問和數(shù)據(jù)交換在網(wǎng)閘內(nèi)進(jìn)行安全擺渡，同時實(shí)現(xiàn)了高安全的隔離和實(shí)時的數(shù)據(jù)交換。局域網(wǎng)主要邊界防護(hù)，包括內(nèi)、外部各主要邊界；局域網(wǎng)計(jì)算環(huán)境安全建設(shè)的終端安全管理的建設(shè)；周期性安全運(yùn)維。內(nèi)網(wǎng)安全管理系統(tǒng)省數(shù)據(jù)中心互聯(lián)網(wǎng)邊界作用于局域網(wǎng)內(nèi)所有安全域終端；統(tǒng)一進(jìn)行內(nèi)網(wǎng)終端的安全管理，通過對終端和訪問行為進(jìn)行限制和保護(hù)，實(shí)現(xiàn)終端安全加固、網(wǎng)絡(luò)接入控制、非法外聯(lián)控制、資產(chǎn)管理、I/O 接口管理、終端配置維護(hù)、終端審計(jì)監(jiān)控等。VPN 網(wǎng)關(guān) 局域網(wǎng)同專網(wǎng)邊界 作用于需通過 VPN 接入專網(wǎng)或互聯(lián)網(wǎng)的應(yīng)用服務(wù)器及終端；為各接入終端及服務(wù)器提供 VPN 接入服務(wù)。數(shù)據(jù)中心計(jì)算環(huán)境安全建設(shè)，包括安全審計(jì)，數(shù)據(jù)庫審計(jì)；邊界入侵防護(hù)及網(wǎng)絡(luò)防病毒網(wǎng)絡(luò)入侵檢測系統(tǒng)核心交換機(jī)，通過端口進(jìn)行對內(nèi)部數(shù)據(jù)訪問進(jìn)行監(jiān)聽作用于各內(nèi)部安全域；實(shí)時監(jiān)測目標(biāo)網(wǎng)絡(luò)流量，及時發(fā)現(xiàn)入侵行為并進(jìn)行報警和審計(jì)。27 / 29數(shù)據(jù)庫審計(jì)核心數(shù)據(jù)庫服務(wù)器區(qū)作用于核心數(shù)據(jù)庫服務(wù)器區(qū)；對數(shù)據(jù)庫用戶行為、用戶事件及系統(tǒng)狀態(tài)加以審計(jì)，從而把握數(shù)據(jù)庫系統(tǒng)的整體安全。IPS 入侵防護(hù)系統(tǒng)互聯(lián)網(wǎng)邊界 作用于互聯(lián)網(wǎng)邊界；實(shí)時監(jiān)控并阻斷針對內(nèi)網(wǎng)服務(wù)器安全域中各業(yè)務(wù)服務(wù)器及主機(jī)的入侵行為，與該區(qū)域邊界防火墻共同作用。AV 防病毒網(wǎng)關(guān)核心數(shù)據(jù)庫服務(wù)器區(qū)邊界作用于核心數(shù)據(jù)庫服務(wù)器區(qū)；邊界集中進(jìn)行病毒過濾，防止病毒侵入或向外擴(kuò)散，與網(wǎng)絡(luò)、終端防病毒組成多層次深度防御。系統(tǒng)的建設(shè)；漏洞掃描、周期性安全運(yùn)維的建設(shè)。安全管理制度的逐步制定。漏洞掃描核心交換機(jī)，網(wǎng)絡(luò)可達(dá)各服務(wù)器即可作用于省數(shù)據(jù)中心所有主機(jī)、網(wǎng)絡(luò)設(shè)備及服務(wù)器；提供工具對外網(wǎng)平臺各類主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等進(jìn)行安全漏洞掃描，及時發(fā)現(xiàn)問題，提供解決方案。核心交換機(jī)局域網(wǎng)網(wǎng)絡(luò)核心核心層的主要提供不同網(wǎng)絡(luò)模塊之間優(yōu)化傳輸服務(wù)，將分組盡可能快地從一個網(wǎng)絡(luò)傳到另一個網(wǎng)絡(luò)，作為所有網(wǎng)絡(luò)流量的傳輸中樞，核心層除了要求高性能交換設(shè)備和高帶寬傳輸鏈路外，還需考慮選用支持負(fù)載均衡或負(fù)載分擔(dān)特性的設(shè)備實(shí)現(xiàn)負(fù)荷均衡。同時保證雙機(jī)熱備匯聚交換機(jī)樓層網(wǎng)絡(luò)匯聚 提供對網(wǎng)絡(luò)流量模式控制、服務(wù)訪問控制、QoS、定義路由路徑度量（path metric）和路由協(xié)議網(wǎng)絡(luò)通告控制。有線網(wǎng)絡(luò)基礎(chǔ)架設(shè)接入交換機(jī) 樓層到桌面接入 接入層作為各模塊到交換骨干的連接，根據(jù)不同模塊進(jìn)行邏輯子網(wǎng)劃分，并通過 VLAN28 / 29技術(shù)實(shí)現(xiàn)子網(wǎng)之間的隔離。訪問層主要功能在于隔離模塊間的廣播流量，避免不同模塊之間相互影響無線 AP樓層接入，有線信號轉(zhuǎn)化為無線無線網(wǎng)絡(luò)的接入點(diǎn)，負(fù)責(zé)無線客戶端的接入，把有線網(wǎng)絡(luò)通過無線信號、以擴(kuò)大網(wǎng)絡(luò)覆蓋范圍無線控制器旁路部署在核心交換機(jī)上無線控制器是一種網(wǎng)絡(luò)設(shè)備，它是一個無線網(wǎng)絡(luò)的核心，負(fù)責(zé)管理無線網(wǎng)絡(luò)中的 AP，對 AP 管理包括：下發(fā)配置、修改相關(guān)配置參數(shù)、射頻智能管理、接入安全控制等。POE 供電交換機(jī)樓層接入，為無線 AP 提供電源除了具有不同交換機(jī)作用之外，網(wǎng)絡(luò)接口有 功率，負(fù)責(zé)為無線 AP 通過網(wǎng)線供電無線網(wǎng)絡(luò)基礎(chǔ)架設(shè)無線終端系統(tǒng) 終端用戶使用 連接無線信號的終端。比如手機(jī)，筆記本電腦，手持設(shè)備等服務(wù)器 業(yè)務(wù)系統(tǒng)承載 保證業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定運(yùn)行光纖交換機(jī) 業(yè)務(wù)數(shù)據(jù)傳輸 連接服務(wù)器和存儲、一般做雙機(jī)，架設(shè) IPSAN 存儲網(wǎng)絡(luò)數(shù)據(jù)中心架設(shè)存儲 業(yè)務(wù)數(shù)據(jù)存儲 雙機(jī)，保證數(shù)據(jù)安全性，數(shù)據(jù)備份，同步29 / 2