【正文】 比如手機，筆記本電腦，手持設(shè)備等服務(wù)器 業(yè)務(wù)系統(tǒng)承載 保證業(yè)務(wù)系統(tǒng)的安全、穩(wěn)定運行光纖交換機 業(yè)務(wù)數(shù)據(jù)傳輸 連接服務(wù)器和存儲、一般做雙機，架設(shè) IPSAN 存儲網(wǎng)絡(luò)數(shù)據(jù)中心架設(shè)存儲 業(yè)務(wù)數(shù)據(jù)存儲 雙機，保證數(shù)據(jù)安全性，數(shù)據(jù)備份，同步29 / 29。訪問層主要功能在于隔離模塊間的廣播流量，避免不同模塊之間相互影響無線 AP樓層接入，有線信號轉(zhuǎn)化為無線無線網(wǎng)絡(luò)的接入點，負(fù)責(zé)無線客戶端的接入，把有線網(wǎng)絡(luò)通過無線信號、以擴大網(wǎng)絡(luò)覆蓋范圍無線控制器旁路部署在核心交換機上無線控制器是一種網(wǎng)絡(luò)設(shè)備，它是一個無線網(wǎng)絡(luò)的核心，負(fù)責(zé)管理無線網(wǎng)絡(luò)中的 AP，對 AP 管理包括：下發(fā)配置、修改相關(guān)配置參數(shù)、射頻智能管理、接入安全控制等。同時保證雙機熱備匯聚交換機樓層網(wǎng)絡(luò)匯聚 提供對網(wǎng)絡(luò)流量模式控制、服務(wù)訪問控制、QoS、定義路由路徑度量（path metric）和路由協(xié)議網(wǎng)絡(luò)通告控制。漏洞掃描核心交換機，網(wǎng)絡(luò)可達(dá)各服務(wù)器即可作用于省數(shù)據(jù)中心所有主機、網(wǎng)絡(luò)設(shè)備及服務(wù)器；提供工具對外網(wǎng)平臺各類主機、服務(wù)器、網(wǎng)絡(luò)設(shè)備等進(jìn)行安全漏洞掃描，及時發(fā)現(xiàn)問題，提供解決方案。系統(tǒng)的建設(shè)；漏洞掃描、周期性安全運維的建設(shè)。IPS 入侵防護(hù)系統(tǒng)互聯(lián)網(wǎng)邊界 作用于互聯(lián)網(wǎng)邊界；實時監(jiān)控并阻斷針對內(nèi)網(wǎng)服務(wù)器安全域中各業(yè)務(wù)服務(wù)器及主機的入侵行為，與該區(qū)域邊界防火墻共同作用。數(shù)據(jù)中心計算環(huán)境安全建設(shè)，包括安全審計，數(shù)據(jù)庫審計；邊界入侵防護(hù)及網(wǎng)絡(luò)防病毒網(wǎng)絡(luò)入侵檢測系統(tǒng)核心交換機，通過端口進(jìn)行對內(nèi)部數(shù)據(jù)訪問進(jìn)行監(jiān)聽作用于各內(nèi)部安全域；實時監(jiān)測目標(biāo)網(wǎng)絡(luò)流量，及時發(fā)現(xiàn)入侵行為并進(jìn)行報警和審計。內(nèi)網(wǎng)安全管理系統(tǒng)省數(shù)據(jù)中心互聯(lián)網(wǎng)邊界作用于局域網(wǎng)內(nèi)所有安全域終端；統(tǒng)一進(jìn)行內(nèi)網(wǎng)終端的安全管理，通過對終端和訪問行為進(jìn)行限制和保護(hù)，實現(xiàn)終端安全加固、網(wǎng)絡(luò)接入控制、非法外聯(lián)控制、資產(chǎn)管理、I/O 接口管理、終端配置維護(hù)、終端審計監(jiān)控等。安全隔離網(wǎng)閘外聯(lián)業(yè)務(wù)服務(wù)器區(qū)同局域網(wǎng)其他安全域邊界之間匯聚外聯(lián)業(yè)務(wù)服務(wù)器，進(jìn)行統(tǒng)一威脅管理，利用網(wǎng)閘雙主機系統(tǒng)和安全擺渡機制，將外聯(lián)業(yè)務(wù)服務(wù)器區(qū)同內(nèi)部網(wǎng)絡(luò)進(jìn)行邏輯隔離，徹底切斷不同安全級別網(wǎng)絡(luò)間的任何連接；同時利用自有協(xié)議將合法的數(shù)據(jù)訪問和數(shù)據(jù)交換在網(wǎng)閘內(nèi)進(jìn)行安全擺渡，同時實現(xiàn)了高安全的隔離和實時的數(shù)據(jù)交換。由于邊界安全防護(hù)是安全建設(shè)的基礎(chǔ)性工作，因此本期建設(shè)重點內(nèi)容即根據(jù)劃分好的安全域進(jìn)行邊界類防護(hù)，同時進(jìn)行最常見的訪問控制、上網(wǎng)行為管理以及與桌面安全相關(guān)的安全措施。24 / 295 整體安全設(shè)計配置方案 整體部署結(jié)構(gòu)根據(jù)對各個安全系統(tǒng)的詳細(xì)設(shè)計，已經(jīng)可以比較清晰的勾畫出醫(yī)院業(yè)務(wù)網(wǎng)安全建設(shè)的整體全景，如下圖所示：25 / 2926 / 29信息安全建設(shè)是一個循序漸進(jìn)的過程，不可能一蹴而就。系統(tǒng)運維管理 信息系統(tǒng)日常運行維護(hù)管理，利用管理制度以及安全管理中心進(jìn)行，包括：資產(chǎn)管理、設(shè)備管理、密碼管理、應(yīng)急管理等，使系統(tǒng)始終處于相應(yīng)等級安全狀態(tài)中。人員安全管理 制定人員錄用，離崗、考核、培訓(xùn)幾個方面的規(guī)定，并嚴(yán)格執(zhí)行；規(guī)定外部人員訪問流程，并嚴(yán)格執(zhí)行。制定嚴(yán)格的知足與發(fā)布流程，方式，范圍等；定期或不定期對安全管理制度進(jìn)行檢查和審定，修訂不足及改進(jìn)。安全管理制度 各類管理規(guī)定、管理辦法和暫行規(guī)定。另外，還支持跨多種設(shè)備類型進(jìn)行基于策略的管理。全網(wǎng)絡(luò)可視性：借助發(fā)現(xiàn)、物理和邏輯拓?fù)鋱D、集中事件管理、圖表和統(tǒng)計消息等功能，能夠全面顯示和深入報告網(wǎng)絡(luò)的行為。同時，在數(shù)據(jù)中心的安全管理安全域中，部署控制臺，進(jìn)行集中的監(jiān)控和管理。通過部署應(yīng)用安全管理系統(tǒng)，可以在一個平臺上實現(xiàn)對多個關(guān)鍵業(yè)務(wù)系統(tǒng)全面、22 / 29高效、統(tǒng)一管理。 應(yīng)用安全監(jiān)控目前醫(yī)院有多個業(yè)務(wù)系統(tǒng)，由于業(yè)務(wù)系統(tǒng)的復(fù)雜性，一個應(yīng)用往往涉及到多臺服務(wù)器的多個線程，因此出現(xiàn)問題的概率也相對較大，問題反饋的時間也無法保障，另外 現(xiàn)在基于 Web 的三層 B/S 越來越復(fù)雜，一旦出現(xiàn)問題變得異常麻煩，可能需要動用網(wǎng)絡(luò)管理員、應(yīng)用管理員、數(shù)據(jù)庫管理員等多個崗位的人員進(jìn)行核查、排錯。7?24 不間斷地保護(hù)網(wǎng)站，任何惡意篡改痕跡將被實時保留，并主動和及時通知管理人員，做到防范于未然。對于突破網(wǎng)站防火墻的篡改行為，進(jìn)行實時監(jiān)控，確保網(wǎng)站信息安全。需要專業(yè)的主頁防篡改工具有效阻止主頁篡改事件的發(fā)生，維護(hù) Web 頁面的安全。? 減輕管理人員的工作負(fù)擔(dān)，大大提高工作效率。? 制定周期評估計劃，獲得網(wǎng)絡(luò)安全狀況的變化趨勢。幫助管理員及時地處理發(fā)現(xiàn)的問題。21 / 29? 對網(wǎng)內(nèi)安全狀況進(jìn)行綜合分析，找出網(wǎng)絡(luò)的薄弱點，為決策提供參考，做到安全建設(shè)有的放矢。在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具的運行相對獨立，能較全面檢測流行漏洞，檢測最嚴(yán)重的安全問題，安裝運行簡單，可以大規(guī)模減少安全管理員的手工勞動，降低安全審計人員的勞動強度，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。安全掃描工具源于“黑客”在入侵網(wǎng)絡(luò)系統(tǒng)時采用的工具。然后根據(jù)掃描結(jié)果向管理員提供安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。安全掃描技術(shù)是用來評估計算機網(wǎng)絡(luò)系統(tǒng)的安全性能，是網(wǎng)絡(luò)安全防御中的一項重要技術(shù)，其原理是采用模擬攻擊的形式對目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項檢查。同時，結(jié)合設(shè)備本身自帶的漏洞知識庫進(jìn)行同步數(shù)據(jù)檢測，檢測完之后會將相應(yīng)的掃描、檢測結(jié)果反饋到掃描結(jié)果庫中對所有數(shù)據(jù)進(jìn)行匯總，對掃描結(jié)果可以以報告形式呈現(xiàn)。漏洞掃描系統(tǒng)在網(wǎng)絡(luò)中并不是一個實時啟動的系統(tǒng)，只需要定期掛接到網(wǎng)絡(luò)中，對當(dāng)前網(wǎng)段上的重點服務(wù)器以及主要的桌面機和網(wǎng)絡(luò)設(shè)備進(jìn)行一次掃描，即可得到當(dāng)前系統(tǒng)中存在的各種安全漏洞，針對性地對系統(tǒng)采取補救措施，即可在相當(dāng)一段時間內(nèi)保證系統(tǒng)的安全。安全加固服務(wù)能夠幫助數(shù)據(jù)中心減少誤操作，減小由主機引發(fā)的安全隱患的可能性，使得整個信息系統(tǒng)最大可能的安全。主機的漏洞和弱點是資產(chǎn)擁有者和攻擊者的必爭之地，主機的漏洞和弱點代表著風(fēng)險的可能性和風(fēng)險的嚴(yán)重性，每年系統(tǒng)新的漏洞和弱點層出不窮，安全事件發(fā)生的數(shù)量成幾何倍增長，而同時安全攻擊工具及方法傳播速度日益加快，使得主機的安全性遭受著前所未有的挑戰(zhàn)。因此，IDS 應(yīng)具備更多的檢測能力，能夠和其他安全產(chǎn)品（邊界防火墻、內(nèi)網(wǎng)安全管理軟件等）進(jìn)行聯(lián)動。需要說明的是，IDS 是對防火墻的非常有必要的附加而不僅僅是簡單的補充。入侵檢測系統(tǒng)可以部署在內(nèi)網(wǎng)的網(wǎng)絡(luò)的核心處，這里我們建議在核心交換機上部署入侵檢測系統(tǒng)，監(jiān)視并記錄網(wǎng)絡(luò)中的所有訪問行為和操作，尤其是內(nèi)部用戶的訪問行為和操作，有效防止非法操作和惡意攻擊。19 / 29網(wǎng)絡(luò)入侵檢測系統(tǒng)位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過實時偵聽網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。 入侵檢測系統(tǒng)在重要的安全域邊界已經(jīng)部署了防火墻。面對網(wǎng)絡(luò)中的用戶操作行為（如讀、寫記錄等） 、用戶事件（如用戶帳號的創(chuàng)建、刪除等）和系統(tǒng)狀態(tài)（如數(shù)據(jù)庫的啟動和關(guān)閉等）加以審計，審計信息作為安全事件分析和追蹤的基礎(chǔ)。在核心數(shù)據(jù)服務(wù)器區(qū)部署數(shù)據(jù)庫審計系統(tǒng)，包括數(shù)據(jù)庫審計插件以及數(shù)據(jù)庫審計控制臺。另外，系統(tǒng)還包括其它一些輔助功能，例如資產(chǎn)管理、補丁分發(fā)、操作系統(tǒng)日志收集。審計功能包括文件操作審計、外掛設(shè)備操作審計、非法外聯(lián)審計、IP 地址更改審計、服務(wù)與進(jìn)程審計等。控制功能包括計算機硬件資源控制、軟件資源控制、移動存儲設(shè)備使用控18 / 29制、IP 與 MAC 地址綁定等。同時，防毒系統(tǒng)可以為安全管理平臺提供關(guān)于病毒威脅和事件的監(jiān)控、審計日志，為全網(wǎng)的病毒防護(hù)管理提供必要的信息。在安全管理服務(wù)器區(qū)中，可以部署防病毒服務(wù)器，負(fù)責(zé)制定和終端主機防病毒策略，在內(nèi)網(wǎng)建立全網(wǎng)統(tǒng)一的一級升級服務(wù)器，由管理中心升級服務(wù)器通過互聯(lián)網(wǎng)或手工方式獲得最新的病毒特征庫，分發(fā)到數(shù)據(jù)中心節(jié)點的各個終端。在需要的安全邊界上部署了防病毒網(wǎng)關(guān)，可以對病毒進(jìn)行過濾、防止病毒擴散。針對病毒的風(fēng)險，我們建議通過終端與網(wǎng)關(guān)相結(jié)合的方式，以用戶終端控制加網(wǎng)絡(luò)防火墻進(jìn)行綜合控制。非法外聯(lián)控制通過控制外接設(shè)備的使用和終端計算機的撥號行為進(jìn)行網(wǎng)絡(luò)非法外聯(lián)控制，充分保證內(nèi)網(wǎng)計算機安全性資產(chǎn)管理實現(xiàn)終端計算機的硬件配置（包括 CPU 類型、主頻、內(nèi)存、硬盤、顯示卡、網(wǎng)卡等等）的自動登記，使網(wǎng)管人員在控制臺的機器上，可以觀察到各個機器的配置信息能夠自動將終端計算機的操作系統(tǒng)、安裝的軟件、運行的程序和服務(wù)、系統(tǒng)日志、共享資源、以及補丁、端口等信息統(tǒng)計匯總，并可進(jìn)行分類管理I/O 接口管理管理員可集中制定策略，允許或阻斷用戶對受控終端的各種輸出設(shè)備進(jìn)行訪問，包括 USB 可移動存儲設(shè)備、打印機、DVD/CDROM、軟盤、磁帶機、PCMCIA 設(shè)備、COM/LPT 端口、1394 設(shè)備、紅外設(shè)備等；對本地打印機使用情況進(jìn)行審計；對受控終端的可移動存儲設(shè)備的使用情況進(jìn)行審計；對