1、醫(yī)院服務(wù)窗安全建設(shè)方案 2014年9月目 錄一、醫(yī)院服務(wù)窗背景介紹3二、醫(yī)院服務(wù)窗網(wǎng)絡(luò)安全解決方案3三、 安全設(shè)備效果及性能簡介43.1防火墻43.1.1 設(shè)備技術(shù)參數(shù)53.2網(wǎng)閘53.2.1設(shè)備技術(shù)參數(shù)63.3入侵檢測（IDS）63.3.1 設(shè)備詳細(xì)技術(shù)參數(shù)73.4Web應(yīng)用安全防護(hù)WAF73.4.1 設(shè)備技術(shù)參數(shù)83.5 防病毒網(wǎng)關(guān)83.5.1 設(shè)備技術(shù)參數(shù)9四、安全設(shè)備架構(gòu)建議9五、安全設(shè)備部署實施時間計劃表10六、安全設(shè)備廠商及產(chǎn)品選擇參考11七、安全防護(hù)應(yīng)用等級參考價137.1安全防護(hù)套裝A系列：137.2安全防護(hù)套裝B系列：14一、 醫(yī)院服務(wù)窗背景介紹隨著 3G、4G 時代的到來，

2、大家越來越習(xí)慣使用智能手機(jī)來查詢、和商戶的互動。來自中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）的2013中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告顯示，截至2013年底，中國手機(jī)網(wǎng)民規(guī)模達(dá)到約4.6億人，占整體網(wǎng)民的比例達(dá)到78.5%。而最近幾年，互聯(lián)網(wǎng)在快速顛覆和改變很多傳統(tǒng)行業(yè)，包括零售、通訊、醫(yī)療等行業(yè)。醫(yī)院作為特殊的事業(yè)單位，涉及到 13 億中國人的福祉，但一直存在“掛號難”“看病難、看病貴”“ 醫(yī)生勞動與回報”突出的問題，之所以出現(xiàn)這種狀態(tài)是由于兩方信息的不對稱，醫(yī)患不融合。我們知道，解決任何雙方矛盾的根本是平臺的建設(shè)，只有雙方在一個平臺中共同努力，協(xié)調(diào)利益，才能有效解決問題。目前支付寶將對醫(yī)療機(jī)構(gòu)開放自

3、己的平臺能力，包括賬戶體系、移動平臺、支付及金融解決方案、云計算能力等，通過支付寶錢包中的服務(wù)窗可以提供患者與醫(yī)院交流的一個公眾服務(wù)平臺。這也就為醫(yī)院提高就醫(yī)體驗，掌握病人就醫(yī)行為提供了可能；也為醫(yī)院將更優(yōu)質(zhì)的服務(wù)通過互聯(lián)網(wǎng)提供給病人提供了可能。醫(yī)院服務(wù)窗正是基于支付寶錢包服務(wù)窗向患者提供的醫(yī)療服務(wù)平臺。在這個平臺上患者及其家屬可以通過服務(wù)窗自助完成預(yù)約掛號、診間支付以及查看患者感興趣的信息，使醫(yī)院和患者之間就建立了一種信任關(guān)系，進(jìn)一步增加了患者對醫(yī)院的信賴感和黏度，從而達(dá)到和諧醫(yī)患關(guān)系的目標(biāo)。二、 醫(yī)院服務(wù)窗網(wǎng)絡(luò)安全解決方案醫(yī)院服務(wù)窗的終端用戶（病友及訪客）是通過互聯(lián)網(wǎng)來訪問醫(yī)院服務(wù)窗的II

4、S服務(wù)器獲取信息，由于醫(yī)院服務(wù)窗的IIS服務(wù)器位于醫(yī)院內(nèi)部網(wǎng)絡(luò)且需要向醫(yī)院的核心服務(wù)器HIS服務(wù)器提取相關(guān)數(shù)據(jù)，整個數(shù)據(jù)鏈路涉及內(nèi)網(wǎng)及外網(wǎng)，為降低數(shù)據(jù)流被意外安全事件中斷的機(jī)率，保證整個業(yè)務(wù)高效，流暢地運(yùn)轉(zhuǎn)，現(xiàn)為相關(guān)數(shù)據(jù)流設(shè)計如下網(wǎng)絡(luò)安全防護(hù)體系。下圖是醫(yī)院服務(wù)窗系統(tǒng)在應(yīng)用過程中一個典型的安全防護(hù)設(shè)備部署拓補(bǔ)圖。醫(yī)院服務(wù)窗的終端用戶通過各種移動設(shè)備（智能手機(jī)、智能平板等）經(jīng)過互聯(lián)網(wǎng)向IIS服務(wù)器查詢數(shù)據(jù)。數(shù)據(jù)流會先經(jīng)過安全設(shè)備的第一道門檻-防火墻，然后再經(jīng)防病毒網(wǎng)關(guān)到達(dá)第二道門檻-WEB應(yīng)用防護(hù)設(shè)備到達(dá)IIS服務(wù)器。IIS服務(wù)器得到請求后會根據(jù)終端要求查詢的內(nèi)容向HIS核心服務(wù)器提取相關(guān)數(shù)據(jù)，

5、這時數(shù)據(jù)流會經(jīng)過安全防護(hù)設(shè)備的第三道門檻-網(wǎng)閘到達(dá)HIS服務(wù)器。在醫(yī)院內(nèi)部核心交換機(jī)處還有一個安全防護(hù)設(shè)備-IDS來保證監(jiān)視整個醫(yī)院內(nèi)部網(wǎng)絡(luò)的攻擊行為或異?，F(xiàn)象為快速排錯及故障定位提供保障。以上提到的各種安全設(shè)備層層防護(hù)，相互補(bǔ)充，在最大程度上保證了整個醫(yī)院服務(wù)窗及網(wǎng)絡(luò)系統(tǒng)的安全應(yīng)用。各設(shè)備的具體防護(hù)功能及特性將在后面的章節(jié)詳細(xì)介紹。產(chǎn)品部署網(wǎng)絡(luò)拓?fù)鋱D如下：三、 安全設(shè)備效果及性能簡介3.1防火墻防火墻部署于醫(yī)院內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)邊界處，是整個網(wǎng)絡(luò)安全防護(hù)的基礎(chǔ)實施。主要對需要訪問醫(yī)院服務(wù)窗IIS服務(wù)器的外部用戶經(jīng)行訪問控制，起到對于網(wǎng)絡(luò)層數(shù)據(jù)流和攻擊的防御。同時在蠕蟲病毒大爆發(fā)的時候可防止外部

6、用戶將其感染到本安全域之內(nèi)，造成更大更嚴(yán)重的損失。防火墻按性能可分為萬兆、千兆、百兆三大類，其中千兆及百兆應(yīng)用最為普遍。萬兆高端防火墻主要應(yīng)用于ISP及大型骨干網(wǎng)中，中端千兆防火墻主要應(yīng)用于企事業(yè)單位，百兆的低端防火墻主要針對桌面級應(yīng)用。如醫(yī)院網(wǎng)絡(luò)邊界處已有防火墻設(shè)備則此處不用考慮。3.1.1 設(shè)備技術(shù)參數(shù)防火墻(百兆)網(wǎng)御星云Power V6000-F1500-ZK系統(tǒng)為VSP通用安全平臺并具備其證書；設(shè)備至少具備三操作系統(tǒng)，MiniOS、SystemA、SystemB，均可啟動配置選擇，且在WEB界面可明確啟動選項，用戶可自由選擇當(dāng)前引導(dǎo)系統(tǒng)，保障穩(wěn)定性； 并發(fā)連接數(shù)150萬,吞吐量800

7、Mbps， IPSec隧道數(shù)2000；標(biāo)準(zhǔn)1U機(jī)箱，標(biāo)配10個10/100MBASE-T接口；支持多端口聚合，實現(xiàn)零成本擴(kuò)展帶寬；支持異常主機(jī)快速定位功能。防火墻(千兆)網(wǎng)御星云Power V6000-F2050-JW系統(tǒng)為VSP通用安全平臺并具備其證書；設(shè)備至少具備三操作系統(tǒng)，MiniOS、SystemA、SystemB，均可啟動配置選擇，且在WEB界面可明確啟動選項，用戶可自由選擇當(dāng)前引導(dǎo)系統(tǒng)，保障穩(wěn)定性； 并發(fā)連接數(shù)180萬，吞吐量3Gbps， IPSec隧道數(shù)5000；標(biāo)準(zhǔn)1U機(jī)箱，標(biāo)配6個10/100/1000BASE-T接口，4個SFP接口；支持多端口聚合，實現(xiàn)零成本擴(kuò)展帶寬；支持

8、異常主機(jī)快速定位功能。 3.2網(wǎng)閘網(wǎng)閘的部署至關(guān)重要。它部署在IIS服務(wù)器與HIS數(shù)據(jù)庫之間。因為用戶通過IIS服務(wù)器向HIS數(shù)據(jù)庫提取數(shù)據(jù)時，無論在安全性還是保密性的角度來看，網(wǎng)閘的部署進(jìn)一步提升了安全的等級，到達(dá)物理隔離。兩個網(wǎng)絡(luò)之間沒有任何物理連接，沒有任何網(wǎng)絡(luò)協(xié)議可以直接穿透。并可以實現(xiàn)“協(xié)議落地、內(nèi)容檢測”，這樣，既從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，又進(jìn)行了強(qiáng)制內(nèi)容檢測，從而實現(xiàn)最高級別的安全。有效的將兩網(wǎng)之間實現(xiàn)了安全隔離與業(yè)務(wù)數(shù)據(jù)安全、可靠的交換。通過這種部署方式，可以為訪問提供更高的安全性保障。確保核心數(shù)據(jù)庫在對外提供數(shù)據(jù)時不被攻擊、篡改、破壞。安全隔離信息交換系

9、統(tǒng)（網(wǎng)閘）該產(chǎn)品是利用網(wǎng)絡(luò)隔離技術(shù)的訪問控制產(chǎn)品，處于網(wǎng)絡(luò)邊界，連接兩個或多個安全等級不同的網(wǎng)絡(luò)，主要應(yīng)用于對重點(diǎn)數(shù)據(jù)提供高安全隔離的保護(hù)。國家保密局對安全隔離與信息交換類產(chǎn)品的應(yīng)用也做了規(guī)定，規(guī)定安全隔離與信息交換系統(tǒng)在以下四種網(wǎng)絡(luò)環(huán)境下應(yīng)用： l 不同的涉密網(wǎng)絡(luò)之間； l 同一涉密網(wǎng)絡(luò)的不同安全域之間； l 與Internet物理隔離的網(wǎng)絡(luò)與秘密級涉密網(wǎng)絡(luò)之間； l 未與涉密網(wǎng)絡(luò)連接的網(wǎng)絡(luò)與Internet之間。 3.2.1設(shè)備技術(shù)參數(shù)網(wǎng)閘網(wǎng)御星云SIS-3000-Z1A00-ZK機(jī)架式設(shè)備，采用2+1架構(gòu)，并提供公安部計算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心檢驗報告證明；不少于8個10/1

10、00/1000M自適應(yīng)電口，內(nèi)外網(wǎng)主機(jī)系統(tǒng)分別具有獨(dú)立的網(wǎng)絡(luò)口、管理口、HA口（熱備口）；4個USB口。網(wǎng)絡(luò)延時小于5ms，系統(tǒng)總延時小于1ms，開關(guān)切換時間小于10ns，數(shù)據(jù)擺渡速度大于200Mbps，并發(fā)連接數(shù)大于15000；具備文件交換、FTP訪問、數(shù)據(jù)庫傳輸、郵件傳輸、安全瀏覽、定制訪問、安全通道、視頻傳輸?shù)饶K；支持所有模塊全面病毒過濾。網(wǎng)閘網(wǎng)御星云SIS-3000-Z2A00-JW機(jī)架式設(shè)備，采用2+1架構(gòu)，并提供公安部計算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心檢驗報告證明；不少于12個10/100/1000M自適應(yīng)電口，內(nèi)外網(wǎng)主機(jī)系統(tǒng)分別具有獨(dú)立的網(wǎng)絡(luò)口、管理口、HA口（熱備口）；4

11、個USB口。網(wǎng)絡(luò)延時小于1ms，系統(tǒng)總延時小于1ms，開關(guān)切換時間小于10ns，數(shù)據(jù)擺渡速度大于750Mbps，并發(fā)連接數(shù)大于50000；具備文件交換、FTP訪問、數(shù)據(jù)庫傳輸、郵件傳輸、安全瀏覽、定制訪問、安全通道、視頻傳輸?shù)饶K；支持所有模塊全面病毒過濾。3.3入侵檢測（IDS）在安全防護(hù)系統(tǒng)中，若不良來訪者被允許訪問，它會對用戶網(wǎng)絡(luò)做出令網(wǎng)絡(luò)管理者無法控制的事情，如果系統(tǒng)配備了入侵檢測（IDS），這種破壞性行為將被抑制。我們知道，網(wǎng)絡(luò)總是要提供服務(wù)的，對于一些常用的服務(wù)如瀏覽和E-mail收發(fā)等，防火墻只做到允許或者拒絕各種各樣訪問者訪問這些服務(wù)，無法判定具有攻擊行為的訪問是否會摧毀防火墻

12、。這就好像門衛(wèi)難以判定每個來訪者是辦事者還是偷竊者一樣。如果墻角(或其他什么位置)安裝了微型攝像機(jī)，能夠監(jiān)視來訪者的一舉一動，保安人員便可以根據(jù)來訪者的行為及時發(fā)現(xiàn)不法分子，及時報警，確保辦公與居住人員的安全。我們在核心交換區(qū)域部署IDS監(jiān)聽設(shè)備，在此位置，它在不影響整體網(wǎng)絡(luò)業(yè)務(wù)性能的情況下，能監(jiān)聽到所有訪問業(yè)務(wù)服務(wù)器區(qū)域和內(nèi)網(wǎng)區(qū)域的所有行為舉動，若有異常行為可聯(lián)合防火墻等進(jìn)行安全聯(lián)動，阻斷非法行為，同時為我們出現(xiàn)問題后的事后取證與行為還原提供了充分的依據(jù)。3.3.1 設(shè)備詳細(xì)技術(shù)參數(shù)入侵檢測系統(tǒng)網(wǎng)御星云TD3000-FS1000-ZK探測器引擎的操作系統(tǒng)為VSP通用安全平臺，具備高效、智能、

13、安全、健壯、易擴(kuò)展等特點(diǎn)（提供相關(guān)證明材料），要求IDS為專業(yè)的旁路檢測類產(chǎn)品，因此要求不得以IPS旁路部署的方式提供，不能串接部署，產(chǎn)品應(yīng)至少支持1個通訊接口，以及不少于5個10/100/1000M監(jiān)聽口，不小于500Mbps，不小于100萬；超過3000條的檢測規(guī)則，全面兼容CVE、BugTraq等國際標(biāo)準(zhǔn)漏洞庫。入侵檢測系統(tǒng)網(wǎng)御星云TD3000-GS1820-JW探測器引擎的操作系統(tǒng)為VSP通用安全平臺，具備高效、智能、安全、健壯、易擴(kuò)展等特點(diǎn)（提供相關(guān)證明材料），要求IDS為專業(yè)的旁路檢測類產(chǎn)品，因此要求不得以IPS旁路部署的方式提供，不能串接部署，產(chǎn)品應(yīng)至少支持1個通訊接口，不少于5

14、個10/100/1000M電口監(jiān)聽口，不少于2個千兆SFP光口監(jiān)聽口，冗余雙電源，不小于1Gbps，不小于120萬；超過3000條的檢測規(guī)則，全面兼容CVE、BugTraq等國際標(biāo)準(zhǔn)漏洞庫。3.4Web應(yīng)用安全防護(hù)WAFWAF（Web Application Firewall）工作在應(yīng)用層，提供專業(yè)的針對醫(yī)院服務(wù)窗IIS服務(wù)器Web應(yīng)用的防護(hù)，提供Web應(yīng)用交互內(nèi)容以及Web頁面中代碼漏洞的檢測防御和Web2.0時代動態(tài)網(wǎng)站的應(yīng)用防護(hù)，通過執(zhí)行應(yīng)用會話內(nèi)部的請求來處理應(yīng)用層，它專門保護(hù)Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議或應(yīng)用程序漏洞發(fā)動的攻擊。WAF可以阻止將應(yīng)用行為用于惡

15、意目的的瀏覽器和HTTP攻擊，一些強(qiáng)大的應(yīng)用安全網(wǎng)關(guān)甚至能夠模擬代理成為基于web的應(yīng)用服務(wù)器接受應(yīng)用交付，部署與所有基于web應(yīng)用的服務(wù)器群簽名，形象的來說相當(dāng)于給原web 應(yīng)用服務(wù)器群加上了一個安全的絕緣外殼。WAF針對常見的Web業(yè)務(wù)系統(tǒng)，提供綜合的Web應(yīng)用安全解決方案，確保用戶Web業(yè)務(wù)風(fēng)險最小化。WAF通過對進(jìn)出Web應(yīng)用服務(wù)器的http流量相關(guān)內(nèi)容的實時分析檢測、過濾，來精確判定并阻止各種Web應(yīng)用攻擊行為，阻斷對Web應(yīng)用服務(wù)器的惡意訪問與非法操作，如SQL注入、XSS、Cookie篡改以及應(yīng)用層DoS攻擊等，有效應(yīng)對網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題。系統(tǒng)使用主動實時

16、監(jiān)測過濾技術(shù)，將惡意代碼、非授權(quán)篡改、應(yīng)用攻擊等眾多威脅進(jìn)行綜合防范，從而做到對醫(yī)院服務(wù)窗對外提供服務(wù)的IIS應(yīng)用服務(wù)器的多重保護(hù)，確保IIS應(yīng)用安全的最大化，充分保障IIS應(yīng)用的高可用性和可靠性。通過部署一臺WAF管理多個獨(dú)立的Web應(yīng)用，各Web應(yīng)用可采用不同的安全策略，可以在不修改用戶網(wǎng)絡(luò)架構(gòu)的情況下增加新的應(yīng)用，為多元化的Web業(yè)務(wù)運(yùn)營機(jī)構(gòu)提供顯著的運(yùn)營優(yōu)勢與便利條件，可以實時配置修改多個后臺Web系統(tǒng)，而無需讓W(xué)eb系統(tǒng)下線。 3.4.1 設(shè)備技術(shù)參數(shù)Web應(yīng)用防火墻網(wǎng)御星云Leadsec-280WAF-ZK產(chǎn)品至少可提供1個RJ-45 Console口，1個10/100 Base-

17、Tx帶外管理口，8個10/100/1000 Base-T接口，產(chǎn)品應(yīng)具備液晶顯示屏，需采用MIPS多核硬件架構(gòu)，非INTEL多核、非X86架構(gòu)，處理器至少可支持到2核，吞吐率不小于800Mbps，不小于100萬；基于HTTP/HTTPS/FTP協(xié)議的蠕蟲攻擊、木馬后門、間諜軟件、灰色軟件、網(wǎng)絡(luò)釣魚等基本攻擊；CGI掃描、漏洞掃描等掃描攻擊；SQL注入攻擊、XSS攻擊等Web攻擊。應(yīng)采用先進(jìn)的協(xié)議分析技術(shù)對入侵特征進(jìn)行分析，可有效一種防范DNS請求報文洪泛濫攻擊，可有效對系統(tǒng)進(jìn)行安全性識別。Web應(yīng)用防火墻網(wǎng)御星云Leadsec-850WAF-JW產(chǎn)品至少可提供1個RJ-45 Console口，

18、1個10/100 Base-Tx帶外管理口，12個光電互斥接口，產(chǎn)品應(yīng)具備液晶顯示屏，需采用MIPS多核硬件架構(gòu)，非INTEL多核、非X86架構(gòu)，處理器至少可支持到4核，吞吐率不小于1.8Gbps，不小于150萬；基于HTTP/HTTPS/FTP協(xié)議的蠕蟲攻擊、木馬后門、間諜軟件、灰色軟件、網(wǎng)絡(luò)釣魚等基本攻擊；CGI掃描、漏洞掃描等掃描攻擊；SQL注入攻擊、XSS攻擊等Web攻擊。應(yīng)采用先進(jìn)的協(xié)議分析技術(shù)對入侵特征進(jìn)行分析，可有效一種防范DNS請求報文洪泛濫攻擊，可有效對系統(tǒng)進(jìn)行安全性識別。3.5 防病毒網(wǎng)關(guān)在網(wǎng)絡(luò)邊界部署防病毒網(wǎng)關(guān)，采用高檢測度接入方式，在最接近病毒發(fā)生源安全邊界處進(jìn)行集中防

19、護(hù)，對夾雜在網(wǎng)絡(luò)交換數(shù)據(jù)中的各類網(wǎng)絡(luò)病毒進(jìn)行過濾，可以對網(wǎng)絡(luò)病毒、蠕蟲、混合攻擊、端口掃描、間諜軟件、P2P軟件帶寬濫用等各種廣義病毒進(jìn)行全面的攔截。阻止病毒通過網(wǎng)絡(luò)的快速擴(kuò)散，將經(jīng)網(wǎng)絡(luò)傳播的病毒阻擋在外，可以有效防止病毒從其他區(qū)域傳播到內(nèi)部其他安全域中。通過部署防病毒網(wǎng)關(guān)，截斷了病毒通過網(wǎng)絡(luò)傳播的途徑，凈化了網(wǎng)絡(luò)流量。如醫(yī)院網(wǎng)絡(luò)邊界處已有防火墻設(shè)備則此處不用考慮。3.5.1 設(shè)備技術(shù)參數(shù)防病毒網(wǎng)關(guān)（百兆）網(wǎng)御星云Power V6000-A1300-ZK機(jī)架式，2個10/100M電口、4個10/100/1000M電口和一個擴(kuò)展槽位；防病毒吞吐量600Mbps，并發(fā)連接數(shù)1,800,000，每秒

20、新建連接數(shù)12,000；支持路由、透明、混合等各種工作模式下的網(wǎng)絡(luò)病毒檢測，支持無IP地址的透明橋下的網(wǎng)絡(luò)病毒檢測模式，支持VPN 模式下的病毒掃描。防病毒網(wǎng)關(guān)（千兆）網(wǎng)御星云Power V6000-A2390-JW機(jī)架式，6個10/100/1000M電口、2個千兆SFP插槽；防病毒吞吐量1.5Gbps，并發(fā)連接數(shù)2,000,000，每秒新建連接數(shù)20,000；支持路由、透明、混合等各種工作模式下的網(wǎng)絡(luò)病毒檢測，支持無IP地址的透明橋下的網(wǎng)絡(luò)病毒檢測模式，支持VPN 模式下的病毒掃描。四、 安全設(shè)備架構(gòu)建議醫(yī)院服務(wù)窗系統(tǒng)安全防護(hù)建設(shè)本著信息安全建設(shè)四原則進(jìn)行，即：“全面保障”原則：信息安全風(fēng)險

21、的控制需要多角度、多層次，從各個環(huán)節(jié)入手，全面的保障。 “整體規(guī)劃，分步實施”原則：對信息安全建設(shè)進(jìn)行整體規(guī)劃，分步實施，逐步建立完善的信息安全體系?！巴揭?guī)劃、同步建設(shè)、同步運(yùn)行”原則：安全建設(shè)應(yīng)與業(yè)務(wù)系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行，在任何一個環(huán)節(jié)的疏忽都可能給業(yè)務(wù)系統(tǒng)帶來危害?！斑m度安全”原則：沒有絕對的安全，安全和易用性是矛盾的，需要做到適度安全，找到安全和易用性的平衡點(diǎn)。在實施過程中基于以上四原則在安全設(shè)備的配置部署上也因醫(yī)院具體情況而定，下面給出本方案中安全設(shè)備在幾種常見情況下的配置組合為用戶提供參考。對于威脅的防護(hù)，可分為三個防護(hù)等級：基礎(chǔ)防護(hù)：通過防火墻設(shè)置網(wǎng)絡(luò)安全策略，限制對

22、IP地址及Port的訪問，并采用入侵檢測系統(tǒng)（IDS）對異常網(wǎng)絡(luò)行為及攻擊手段進(jìn)行監(jiān)測和日志記錄。該防護(hù)等級可阻止大部分已知攻擊行為，但對內(nèi)容不能進(jìn)行檢測，對系統(tǒng)漏洞的防護(hù)力較弱。防護(hù)效果：所需安全設(shè)備：防火墻、入侵檢測系統(tǒng)主動防護(hù)：在基礎(chǔ)防護(hù)等級的基礎(chǔ)上，采用Web應(yīng)用安全防護(hù)系統(tǒng)可重點(diǎn)針對系統(tǒng)應(yīng)用服務(wù)器進(jìn)行保護(hù)，對進(jìn)出服務(wù)器數(shù)據(jù)的協(xié)議和內(nèi)容進(jìn)行分析，并對應(yīng)用流程進(jìn)行限定，對于內(nèi)容包含威脅或不符合協(xié)議和應(yīng)用流程的行為進(jìn)行阻斷。同時增加防病毒安全網(wǎng)關(guān)（AV）對網(wǎng)絡(luò)病毒進(jìn)行查殺。該防護(hù)等級可阻止絕大部分網(wǎng)絡(luò)攻擊及病毒傳播。防護(hù)效果：所需安全設(shè)備：防火墻、入侵檢測系統(tǒng)、Web應(yīng)用安全防護(hù)系統(tǒng)、防病

23、毒安全網(wǎng)關(guān)（AV）物理隔離：在主動防護(hù)等級的基礎(chǔ)上，利用完全隔離與信息交換系統(tǒng)（網(wǎng)閘）對內(nèi)網(wǎng)和外網(wǎng)進(jìn)行物理隔離，同時實現(xiàn)指定業(yè)務(wù)數(shù)據(jù)的高等級安全交換。該防護(hù)等級可阻止所有未經(jīng)授權(quán)的網(wǎng)絡(luò)操作和數(shù)據(jù)傳遞，杜絕外網(wǎng)對內(nèi)網(wǎng)的所有安全威脅。防護(hù)效果： 所需安全設(shè)備：防火墻、入侵檢測系統(tǒng)、Web應(yīng)用安全防護(hù)系統(tǒng)、防病毒安全網(wǎng)關(guān)（AV）、完全隔離與信息交換系統(tǒng)（網(wǎng)閘） 五、 安全設(shè)備部署實施時間計劃表項目內(nèi)容時間前期調(diào)研網(wǎng)絡(luò)狀況及詳細(xì)需求2-3天上架實施制定各種安全策略2-3天上線試運(yùn)行觀察，隨時調(diào)整策略至穩(wěn)定4天技術(shù)文檔移交1天日常使用及維護(hù)培訓(xùn)1-2天六、 安全設(shè)備廠商及產(chǎn)品選擇參考在明確了我們信息安全

24、防護(hù)的目的及重點(diǎn)后，我們建議從以下幾個方面去考慮對安全產(chǎn)品品牌及廠商的選擇。1、 本土化因為安全產(chǎn)品的特殊性及敏感性，建議在品牌及廠商選擇上盡量選擇國內(nèi)的廠商。信息安全領(lǐng)域行業(yè)在國內(nèi)已經(jīng)發(fā)展的十分成熟，國內(nèi)的安全廠商與國外的安全廠商從技術(shù)上講不存在什么差距，產(chǎn)品質(zhì)量上也沒有什么明顯的差距不必盲目迷信國外廠商。且國內(nèi)廠商更熟悉國情及國人的使用習(xí)慣。2、 擁有自主知識產(chǎn)權(quán)的一線品牌廠商鑒于安全本身是一個相對動態(tài)的服務(wù)，只有擁有自主知識產(chǎn)權(quán)廠商的產(chǎn)品的工藝流程能保障更好的產(chǎn)品質(zhì)量，其擁有強(qiáng)大的研發(fā)團(tuán)隊及服務(wù)團(tuán)隊更能保證產(chǎn)品軟件系統(tǒng)的延續(xù)及升級，保障相關(guān)特殊碼及病毒庫的及時更新。目前一線廠商主要有網(wǎng)御

25、星云、天融信、東軟、啟明星辰。3、提供本地化安全服務(wù)支撐安全服務(wù)并不只是指對安全設(shè)備提供的售前售后等服務(wù)，它是針對整個信息化網(wǎng)絡(luò)的安全保障提供咨詢服務(wù)、解決方案、產(chǎn)品實施三位一體的完整的信息安全保護(hù)體系。為客戶提供風(fēng)險評估服務(wù)、等級保護(hù)服務(wù)、安全體系咨詢、安全運(yùn)維服務(wù)和信息安全培訓(xùn)等。有實力、資質(zhì)提供安全服務(wù)的廠商對網(wǎng)絡(luò)安全會掌握的更準(zhǔn)確理解的更透徹，對用戶就能提供更可靠更細(xì)致的服務(wù)保障。4、擁有各種行業(yè)、數(shù)量較大的實施案例及客戶群5、產(chǎn)品選擇要素產(chǎn)品名稱選擇要素（產(chǎn)品選擇時至少要具備以下特征保證產(chǎn)品品質(zhì)）網(wǎng)閘具備雙系統(tǒng)引導(dǎo)，及備份恢復(fù)系統(tǒng)，支持Web及客戶端認(rèn)證、具備病毒檢測專用模塊、具備抗

26、DoS、DDoS功能、內(nèi)外網(wǎng)口分別獨(dú)立配置、管理確保實現(xiàn)真正的網(wǎng)閘隔離機(jī)制Web應(yīng)用安全防護(hù)系統(tǒng)具備自由專利技術(shù)的SQL、XSS攻擊防御技術(shù)、支持HTTPS應(yīng)用協(xié)議解密及針對HTTPS應(yīng)用的攻擊防護(hù)入侵檢測系統(tǒng)支持計算機(jī)病毒檢測，病毒庫數(shù)量超過100萬、支持Web攻擊檢測掃描、具備威脅事件實時展示功能防火墻具備兩個操作系統(tǒng)，和單獨(dú)的備份恢復(fù)系統(tǒng)，保障操作系統(tǒng)穩(wěn)定性具備ISP路由表，可實現(xiàn)基于運(yùn)營商路由的鏈路負(fù)載均衡、具備服務(wù)器負(fù)載均衡功能、支持?jǐn)U展防病毒和入侵防御功能、具備1000萬級網(wǎng)址智能特征庫防病毒網(wǎng)關(guān)支持HTTP,SMTP,FTP,PO3P,IMAP等多種協(xié)議下病毒防護(hù)，支持自定義非標(biāo)

27、準(zhǔn)端口的HTTP,SMTP,FTP,POP3,IMAP協(xié)議中的病毒檢測；支持過濾郵件病毒、文件病毒、惡意網(wǎng)頁代碼、木馬后門、蠕蟲等多種類型的病毒，支持基于病毒防護(hù)規(guī)則設(shè)置阻斷并清除病毒、記錄日志，發(fā)送電子郵件報警等。綜合以上各種條件，在產(chǎn)品選擇上我們推薦產(chǎn)品線豐富、性價比較高的網(wǎng)御星云旗下的安全產(chǎn)品。七、 安全防護(hù)應(yīng)用等級參考價7.1安全防護(hù)套裝A系列：安全防護(hù)套裝A系列能滿足1500人同時在線訪問，支持大數(shù)據(jù)量的傳輸，同時也能勝任突發(fā)集中訪問出現(xiàn)的高負(fù)荷狀況，以及業(yè)務(wù)高峰時頻繁訪問等極端條件下的處理能力。推薦三甲醫(yī)院采用該套裝方案。套裝A1：基礎(chǔ)防護(hù)級產(chǎn)品名稱產(chǎn)品規(guī)格中聯(lián)價格市場建議價網(wǎng)御星

28、云防火墻Power V6000-F2050-JW55000.00 70000.00 網(wǎng)御星云入侵檢測系統(tǒng)（IDS）TD3000-GS1820-JW.00 .00 合計.00 .00 套裝A2：主動防護(hù)級網(wǎng)御星云防火墻Power V6000-F2050-JW55000.00 70000.00 網(wǎng)御星云入侵檢測系統(tǒng)（IDS）TD3000-GS1820-JW.00 .00 防病毒安全網(wǎng)關(guān)（AV）Power V6000-A2390-JW65000.00 80000.00 Web應(yīng)用安全防護(hù)系統(tǒng)（WAF）Leadsec-850WAF-JW.00 .00 合計.00 .00 套裝A3：物理隔離級網(wǎng)御星云防火墻Power V6000-F2050-JW55000.00 70000.00 網(wǎng)御星云入侵檢測系統(tǒng)（IDS）TD3000-GS1820-JW.00 .00