吉大二院网络安全(三级等保标准)建设技术建议书

二附属医院网络安全建设项目PAGE1065页录、项申请理由及项主要内容 4.医疗信息化基本概念和安全现状 411 412 513 514 6.现代医院网络基本结构 821 822 12221 13222 14.医院网络安全等级保护的安全需求 1631 1632 1733 17.医院网络安全等保设计原则和依据 1741 18411 18412 18413 1942 19421 19422 20.2051 2052 21521 21522 225221 235222 245223 255224 265225 275226 285227 295228 305229 型 32523 385231 405232 425233 425234 43、密和抗抵赖49数据及备恢复 50管理方面的建设 52互联网接区域 55下一火墙（包括VPN功能） 55下一御系统-反高级逃避 56交付链路负载均衡 57上网行为管理 服务器区域 57下一火墙（包括反逃避功能） 57运维管理区域 58漏扫系统 58病毒系统 59网络管理产品 59运维堡垒机 60业务网外联区域 60与分院互联区域 60与三方业务互联接口 60二、项目总体目标，项目实施划 61等级总体建设过程 61等级工程实施划 63三、项目组实施条件 652009200—1被列四梁八柱柱。新明确立用享系统大力高共构。11、医院信息化的基本概念流程计算机而人享核包括各个科室之间之间行政等部门限度地人就护人员工作便各类人员决策。计算机软件硬件购置包括规划、维护运营人员培训利等涉技术、科学工程需员参与程参与。系统lnymHIS按照美教授所给定义用计算机所属各部门人诊疗(PatientCareInformation行政(AdministrationInformation收集存储)处取v)数据交换u1.2、医院信息系统的组成1、管理；2、临床。管理包括门诊挂号、门诊收费、住登记、住务临床包括门诊生。13、医院信息化发展现状中国20多年发展历程从早期单机单应阶段到门级和全级管理应；从以财务、药品和管理为中心，“高服质量”方我处一个加期先进地要继续迈进落后地领先看齐根据计今3765所现状调查资料费网络超过80%以简。良。网4、医院信息化过程中的信息安全问题过程当然需要强壮稳定网络需要高高能网络高数字带来高网络风险脑毒数据信丢失崩溃等隐患困扰着作如果数据遭窃取、更改或破坏将涉及患者个隐私消资料完整真实甚至会引起法律纠纷如何防范网络风险当今现代须解问题为此要一张方便安网络：医生？信息患者在就诊过程中会形成一列关于个人健康资料的数字化档案库构成病人的身份认、病历记载、实验室检验、影像诊断报告、处置、治、用药等信息。同时，对于关键个人病历信息（字段级、记录级、文件级）进行加密存储护，使患者的隐私得到更好的护，病案管理、医计析、财务管理、人事管理的信息，避免患者个人隐私和单位重要信息的泄露？网络，避免各种攻击、病毒等对内部网络和服务器的危害，障网络和各业务的稳定可靠运行？.1、大中型医院网络分区架构学影像检查系统等不同要求，WLAN技术、IRF智能扩展技术、EAD端点准入、、存内外分离概念就是将内，等放在张单独建立上来运行，而办公，OA，邮件，WEB等放在另张上来运行，两物理隔离，最限度保障内及据安全13（DMZ、数灾备、骨干、专出口、互数各区域间通独立防火墙备或者防火墙板卡安全隔。各域界限以及作用范围如下：— 信息有应用库间件存储备一切备集连接域整例如域HIS、LISSEMR域。— （DMZ）存储设备等一切业系统相关设备中心区是OA，WEB，MAIL等在区域。—数据灾备区该区域是HIS、电子病历、学影像系统，等数据中心子系统灾备区域，一般该区域为系统与灾备区域数据实时同步。— 骨干络区主要负责数据中心区域内各区之间主要功能为实现局域内数据高性能路由VPN关HIS系统、LISEMR系统、络安全管理系统等模块主要通过万兆及其以高性能三层交换机进行连接。—疗专出口区该区域主要功能为为疗提供疗专接入疗专包含主要内容包括：疗行业级单位，疾控直报络，公卫生突发预警系统，公疗卫生疗专出口为提供了与其他疗及级主管机构交互安全高效孤岛，整合疗络出口线路。— 互联出口区该区域是为下载学相关资料，获取互联海量而提供安全的出口，也是门户站，对系统对公众社会提供出口区部风险以是安全防护行为管理设备，站保护系统等组成。— 络安全管理区数据中心内保障整体安全管理运维系统络管理等。—门诊终端接入区该区域主要是将医院门诊部医疗相关的核心业务终端接入医院基础网络—住院终端接入区该区域主要是将医院住院部医疗相关的核心业务终端接入医院基础网络—医技终端接入区该区域主要是将医院医技终端接入医院基础网络，主要包括医学影像系统，医疗化验系统，医疗监护系统等。由于医疗检测相关信息的私密性以及重要性，并且部分医技子系统将产生大流量的数据文件，因此本区域需要保证医技终端与数据中心相关服务器之间的高速数据交互。—无线终端接入区—行政终端接入区将医院的非医疗事务的OA—其他终端接入区终端接入网络的区域，这部分终端同时有互联网医学资料查询需求等。内外网融合与内外网分离的网络架构，都该包上述功能区域。只是在定位上，VP内22、大中型医院网络拓扑结构、于业平台这疗信息化阶段开信息平台界如下：：：1265页.2.1 VLAN优点可以保护投资并且可以根据需要让某部可以同时个域；缺点仅对攻击可能引起随着技术发展出现了些新技术例如VPN等可以使得虽在VPN技术安全域同级别用户权限，信门槛运于各自同道中彼此之间让主机在时动态选择要安全域保证域内安全；1365页PAGE1665页2.2.2 HISOWEB。近几年随着无线技术发展无线传输速率以稳定性和可靠性都有了很提高网作为面移动疗基础支撑体系成为可能新轮疗信息化背景下，更被提高到了个新高基于无线平台设计既要证与现有有线和现有充融合又要证其性目前主要包含种无线种基于现有有线这种对有线设质量以种无线新无线与有线之间通过核心交换机实现互联互通。三种类型背景下通过有线与无线协调配合为医D3.1、等级保护安全需求200743关于开展国重要系统定工作知2007861T。卫生行业工作指导意见》卫生系统进行自查，对未定、定不准,应当按照技术系统安定指南开展定工作。指导意见系统原则上不低于三：卫生统计直报系统、传染性疾病报告系统、卫生监督报告系统、突发卫生事件应急指挥系统跨省国联运行系统；国家、省、地市三卫生平台，新农合、卫生监督、妇幼健等国家数据中心；三甲核心业务系统；卫生部站系统；其他经过技术专家委员会评定为三以上含三系统。技、技术系统3.2、三级等保后的防御能力“”的医疗网络具有下防御能力：防免受来自外部有组织的团体(如商业情报组织或犯罪组织)，(包括人能力、算能力)的威胁源发起的恶意攻击、较为的恶意威胁备较为严重的故障所造成的主资源损害。能够及时发现漏洞和事件；在遭损害后能够较快恢复绝大部分功能。3 国内三甲医院通过通过三级等保评测名单北京大学人民医院海中ft海华ft医院网络原则和依据基于医院平台架构参照需求为驱动结合平台所承载的业务数据及服务情况在资。41医院案设计过程中进行详细分析充分利现4.1.1纵深立御要医院设案包括两部分本案针只针对区从外内纵深御体统能力。4.1.2 进行集中目标就是过采取当控制密完可从确统内生事故即使生也能有效控制事过设集中实现对资产事件风险、访问行为等统分析监过关联分析使统人员能够迅速发现问题定位问题有效对事件生。4.1.3 形认审计然后础再根据个计算环境重要程进步高4.2 依据4.2.1 国家关文件17:《国家化领导小组关于我国电子政务指导意见》中办[2003]27号文件《国家化领导小组关于加障工意见》四部委于2004年9月15[2004]66号《等工（公通字[2004]66号）四部委2007年06月17日发布（2007）公通字43号《等管理办公2009年10月27日《关于开展等整改工指导意见》关于开展国重要等定工通知（公[2007]861号）等备细则（公[2007]1360号）关于开展等整改工(公[2009]1429号).2.2 GB17859-1999GB/T22239-2008GB/TXXXXX-XXXXGB/T22240-2008GB/T20271-2006GB/T20270-2006GB/T20272-2006GB/T20273-2006GB/T20282-2006GB/T21082-2007GB/T20988-2007GB/T25070—20105.1 方5.2 建设5.2.1 设备和介质破坏仅通过下图大致列出一个大概供大家参考。其余具体整改和建设细节请参考其他相关文档。5.2.2 、边界以及审计、边界完整性检查、入侵防范、恶意代码防范、设备防护等七个控制点。5221 2.1“三能够为正常运提供障且能够满足业务高峰网行段或VLAN控制点主从段（带宽、能力）证先来5222 将一。分之间边界；业务三（如社保卫生等）之间边界；业务间边界；业务同安全域之间边界。边界数访问控制以保信息资数包访问防为同时以等为边界访问控制防火墙VLAN等多种现；信制信访问则；信访问控制时要期处联网的情况，防火墙选型时最选功能的下一代防火墙，可以。5223全审计等动作。IDS/IPS）已成为网络安全发展的必然趋势。网络行为监控和系统将独立的网络传感器硬件组件连接到网络中的数网络行为监控和系统采用旁路技术，不用在目标主机中安装任何组件。分析和检测。5224完整性建议采用终端技术。终端一个重要功能模块就是非法外制探测内部非法上互主要解决发现和用户非法建立通路连接非授权防止用户访问非信任资源并防止由于访问非信任资源而引入风险或者导致信息泄密。终端非法外为发现终端试图访问非授权资源为如试图没有通过授权许可终端通信试图通过拨号连接互等于发现非法外为日志并产生报警信息。终端非法外为禁止终端没有通过授权许终端通信禁止拨号上为。5225 侵防范它只能分析内部发生事件入侵检测被认为防火墙之后二它主要监视所段内各种包每个数包或可疑包分析如果包与内置吻合入侵检测系统就会记录事件各种信息并发报。于医院系统不仅要能够检测常见攻击发生且能及时拦截并发报IPS。在，。PSIPS“信息加密”等传保方法之后新代保信息机密性完性可用性或试图绕过机制IPS。将IPS 串接在火墙后面在火墙访问控制保证了访问合法性之后PS用于PS PS 产品需通过先硬件架构软件架构处理引擎对处理力充分保证。5226代码防范目前对恶意代码范已方位概念根据对恶意代码引源头分析可以得出随着互联不断展从上引到本地的恶意代码占绝大数因此在边界处对恶意代码范个范工作点部署了相应病毒产品后根据计，平均每个月300新病毒被现如果产品恶意代码库跟不上这速度其际率可会大大降低因此必须地自动更新产品恶意代码定义这更新必须非常频繁对用户透明在边界处范恶意代码保持代码库更新。各恶意代码尤其病毒木马等对大危害病毒在爆将路由器三交换机火墙等关设备性急速下降占用个带宽。针对病毒风险议将病毒消灭或封堵在终端源头也从来讲在边界通过火墙基于通信端口带宽连接数量过滤控制可以在定程度上避免蠕虫病毒爆大流量冲当然，恶意代码范也应该在主机面开展本方案后面将会相关介绍。与主机服务器病毒软件不同病毒过滤关运在区域边界上分析不的制边界处过滤了性从为创一个环境。与部署软件配合形覆盖面分层防护多级过滤系统本方案医院信息平台与互联边界处部署（注：SSMTPPOP3HTTP和FTP进和过滤通过特征过滤、木马、以及移动处理区外。护策略：支持内容检可以用键字过滤等方式来阻非法入敏区里区效信息因遭受攻击陷于瘫痪。库升级策略：通过自动和手动两种升级方式完库及更新。能够被日志审计系统收集。5227 备防护护除了结构、边界部署相应措施外另外一个重要方面就是实现控制要求设备保护通过登录设“三级等保”标准除了设备要求基本登录鉴别措施最基本要求外还需要两种以上鉴别技术组合来实现身份鉴别另外特权用户与普通用户要权至少要求一种鉴别技术不能被伪可以通过部署集中CA系统来实现将会类似述；3少8；失败处功能失败后采取结束会话、非法次数和当连接超时自动退出等措施；启SSH等方式加密数据防止窃听5228 在个医院现环境中大多内外独立网防和防和中，定定医院出。出医院外连接：出和互联出出为了避免于互联外出攻击出影响大度保证互联互通性。出口出承担流量如（包括但于）‹ 级门流量‹ 级门调相数据流量‹ 和数据出承担功能‹ 出功能‹ 多功能‹ 接口‹ 转换（应选择高性器或作为。。互联出口设备互联出口设主要承担流如下‹ 各区对互联资源的流量‹ VPN远程办公流量‹ 其他互联流量‹ 外部对外WEB服务的流量互联出口设主要承担的功能如下‹ 出口功能‹ 多链选择功能‹ 类型丰富广接口‹ 地址转换‹ 局广分割功能‹ 功能‹ VPN功能‹ 流功能‹ 上为管理功能基于以上要素出口设含整合出口，为管理的单一设，或部分整合设出口设也可以使，，VPN内终端对互联的高速，同时为外内WEB服务提供高速链路通道设作为局广需支持类型丰富的策略设置VPN设SECVPN较，保证URL‹ ‹ ‹ ‹ ‹ DNS‹ //‹ VPN‹ ‹ ‹ ‹ ‹ IDS5229 4.1.1、一监等种措施实现医院信息平台业应性。同时把边界火墙与结合起来（与防火墙与S火墙型：针7点素一个首先需部署（目已经演变下一代火墙火墙在之执火墙目护部资源不被外部非授权户使止部受外部WEB2.0功能掉不服务、和控制特殊站点Internet和预警方便端点了新挑战满足市场新需求正逐步演进GartnerNet-Generationl，W测早期被客。由于前采于服务架构与 使普及多通讯量都只是通少数几口P与S及采限几协议行也就端/关检查入侵御系S根据知操系与漏失署补丁软件进行检不能不具体特性了。Gartner控制措施各受信级Gartner“”级务方务方发生改变。主特点该括三方功能；控制而不仅仅于端口控制；于控制而不仅仅是于 去数年中形式发生着巨大改变经完客征多归果形容百花齐放形势管、、IPS控制关Gartner特础上各家厂商也根据自己优势诠释着自己NGFW理解。新形态都存市场接受程逐步升级程根据r预测2014年底35企业会采购设备候转向一60W。注：考虑到与各个地市通过不同联网情况选型时最好选择具有多功能下一这样可以节省投入下一反高级逃避部署仅仅有绝对不够。通常来说只明确对那些数据流可以进来那些可以出去但对于允许进来数据并不会进行严格（即使有深度检查一般也局限于少数。IDSIDSIPSSSIDS系统能够阻止异常流。SSS也可以配置为混合模式。在混合模式中IDSIPS功能把二者合二为一。为了更好IDS/IPS角色这里我们不与相比： 可以阻止任何没有被明确允许通过流IDS/IPS则只对阻断非预期信息流而让其它合法流全部通过。 SSTCPHTTP“打补丁”安全漏洞攻击可以利用漏洞，行和即使防S。首先感络量中任意异常然后感把这发送至分析分析处理这事件并加入分析自己发现，并与相事件相结合丢弃掉不必要事件此程中指纹匹配出已知攻击与相应认识相结合得到增强形成强攻击指纹特征认与简单指纹特当到HTTP时应用HTTP攻击但HTTP并不会被错误应用于SMTPml。尽快基指纹特征可以精确出已知特征库匹配攻击但这种并不未知攻击另种异常补充指纹库匹配就分析和统计异常：分析可以鉴别络中“违规”数据比非预期数据错误连接状态多余无效特征这违反了数据包非常的必要因为好多攻击针脆弱系统就故意违反触发异常的操作响应。异常统计收集统计比慢扫描异常连接数这PC“下代。Gartner“入侵”作为in-line控介测并实缓解不同信任等“下代味为应演要性下代至少该具有下列性：标准代IPS功能 支持漏洞签名签名。以线速测阻断、快速施部署签名IPS引擎要性。感知协议栈视 层鉴别加强策略从。下文感知ISP外提高拦截判决改善拦截规则。目录成、判决、身份漏洞、补丁状态、理信息（来哪里从哪里来）做更有效拦截判断包括信誉反馈黑、白名单容感知 分入站文及其他似文PDF微e文（已经通过反病毒站情况似。以准实做通过、隔离丢弃判决。捷引擎 新信息资反馈针将来解决留有通道。年数据泄露调报告目前约20%“未知的高级逃避技术（有关逃避具体解释请参阅附。系统网络检测。从ICSA实验室测试了数十种网络产品。在对高级逃避技术测试研究中，ICSA商用信息系统。逃避TCP/IP堆栈各层面，可以隐藏漏洞利用程序或攻击。就体旦采用高级逃避技术，就可以成功避开有系统。Gartner布《DefiningNetworkIntrusionPrevention》文章中也明确提出了利用先进技术逃避网络设备检查越SbSspty2evasion(AET)4.15。AET该数流镜像后行这样才数流行因IPS定采具反功下代拦截目尚未公布工具过工具验证。5.2.3主机《信息系统等保护基本求》主机主关注方包括：/工站等算机操系统及数库系统层终端/工站带式机笔记本算机服务器则包括、web、件通信等服务器主机系统构成信息系统主其上承载着各种因主机系统保护信息系统坚力量。年87.5T。、剩余信息保护、入侵防范、恶意代码防范和资源控制等七个控制点。不仅仅要对安事一要做到统一管理，二要综合考虑网络上的防范措施，做到两者相互补充：5231份鉴别为确保系统的安相的的上要求两上鉴别合身份鉴别。于一个中的医中有的主机，用统一的CA心进行认证，从而两上的合鉴别。的安上，用主PKI（PublicKeyInfrastructure，LCCertificateAuthorit——对关从而以对严格集中以确保不被非法或越防止信息泄漏。身份总体框架下图所示：为提主机保障各种对主机：从而实/为严格/复杂度不格被拒绝其次置定期换求；陆失败处功能陆失败后束会话、非法自动退出远程启SSH密防止被窃听。5232 在系统中实施访问控制是为了保证系统资源（操作系统和数据库管理系统）受控合法地使用。用户只能根据自己的权限大小来访问系统资源，不得越权访问。对医院的三级等保网而言，实现不同的系统用户权限分离并不难，但要强调最小授权原则，使得登陆的用户权限最小化，并对重要信息资源设置敏感标记。5233 全审计用情况等。对三级等保而言，还要形分析、。是Windowslinux医院根据自己的主机数情况，合的。的是，对三级等保而言，主机的安全审计不服，医院中的要进行安全审计。安全管理系统，启用主机审计功能，或部署主机审计系统，实现对主机监控、审计和系统管理等能。监控功能包括服务监控、进程监控、硬操作监控、系统监控、打印机监控、非法外联监控、计算机用户账号监控等。功外挂备非外联IP址更改审计、服务与程审计等。审计范围覆盖服务器每操作系统用户和数据库用户；内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全；审计记录包括事期时间、型、主体识客体识结果等；保护审计记录，避免未预期删除、修改或覆盖等。5234 余信息保护再前得到无；记前得到接5235 入侵防范前到网络网网络使进行无网络。入侵检测可说基于网络入侵防范一种“补充补充检测那现“”流遗漏流入侵行首先基本防范遵循最原则并及服务器及并入侵检测够采取措施程序整性检测并恢复。医院，本方案认由于近几年（高持续攻击）攻击程逐年趋势单从网络到“”，到再IDS/IPS，样通过IDS/IPS备可测到一部WEBWbwl代码防范IP第然果进行蔓延直接后果内感染所关并不“移动存储设备接入也能该感染病毒后感染其他所这交叉发生必须在同时进行才能尽能保证安全。然安病毒同时进行。““的安全原则安全产品进行异构互为补充情况原因很简单：由不同产商产品在义升时上都所不同果产品出不同厂家二者相互补充，在水平上会同产品因此，能够采取产品。前面 问题将病毒消灭或封堵在终端源头在所终端服务器上病毒加终端病毒护能力并时升版本。门使用维护水平也不尽相同这特点均能够供监控够监控心下、自升将在感染在感染同时也利策略效实施。在安全心病毒服务器负责制终端病毒策略，量滤控制可以定程度上避免蠕虫爆发时大流量冲击同时系可以为安平台提供关威胁和事件监控、审计日志为护提供必要息主要执以安策略：应用上安装版软件可以捍卫免、和程件进用提供护能；系对象实时保护策略：系对件系所需模块析以阻止代码执为件件系提供实时保护具体包括：监听对件系访问；使用反引擎对可疑对象和染对象探测；可和时执：可疑对象；清除之前将保存备份区域；启动反引擎以清除或删除染对象；将可疑对象放置隔离区删除； 程程用和关的事件；收集被检查对象；可策略：系件可象为了使厂商对析该组件对代码安全隔离件可以代码安检测和清除。隔离和备份组件执以策略：保存按要求保存检测可疑对象； 要可同时清除安法； 在接受防病毒厂商针对病毒的更新后，重新检测存储在隔离区的对象，用于确定对象的状态及清除病毒的必要性；按要求恢复隔离区的对象。通过集中隔离工具，可将感染病毒档案集中隔离到一台服务器；通过病毒追踪工具，当有病毒通过网络共享扩散时，可侦测到感染病毒实现强大、完善的日志管理策略。5.2.4 应用安全 基于网络的应用是形成其他应用的基础，包括消息发送、web浏览，可以是的应用。业务应用应用的特定业务的要求，LIC、应用最终是为业务应用服务的，对应用系统的安全护最终是护系统的业务应用安全运行。“九个。根基要求罗列出一些安全的基要。5241 份鉴别PKI/CACA/38；启陆失败处功能陆失败后取束会话、限制非法次数自动退出等若不则能开发使效果达到5242 在应用系统中实施访问控制是为了保证应用系统受控合法地使用。用户只能根据自己的权限大小来访问应用系统，不得越权访问。对三级等保的医疗系统，除了细粒度控制策略，需强调最小授权原则。权访问的信息资源，需实现以下功能：依据用户的职权属性和系统信息的安全属性，制定授权策略；按照用户身份信息，基于授权策略建立自主访问控制列表；授权管理。按照分域控制、分类防护要求，按部门、按人员的职责确定其所访问的范围；应支持部门进行分层次授权，避免集中授权复授权的确性；提供应用系统模信息的；提供授权信息的；提供授权信息的在。5243 全审计行以方：用户、系统功能行以系统资源使用等。对于“三级等保件等进行记，还要对形成的记能够统、分、并生成报表。有操作记监有操作处于可控和可状态，应实现以下功能：本记院平台各审；基于网络数据流的安全；支持自动转储和在；具备对医院信息平台内部数据访问行为的安全；5244 存储空间将其清除之后才释放或重新分配给其他方案不再赘述。5245 、密和抗抵赖性字化医疗包含大量患者一旦泄露将直接导致患者利益受损甚至。医医疗数医疗。包括SL协议道以字封源。SSL协议道,SSLVPN硬件远程也服务器书在医配置单向SSL道；字封源PKI间件产品源签名处从而医关键。5246 软件容错医疗件一保在件配用方在资源件考虑程序错误（故障）检测、处能力。5.2.5 。“防了防最好级别中采异地适时有效防治灾难发生时能三级功能外完整能够检测出完整性受时能够对当然“三级”还求完整性求增强范围扩大求鉴别业过中其完整性本还求异地冗余拓扑。通过采取式形式发生破能够样也原因对切定期采取自动份系统进行应用数据份管理员应复核自动份结果；在业环境变更或定期执行份恢复测试；灾难恢复指基础施在发生故障时弹性与恢复能力。灾难恢复DisasterRecovr在医院信息平中应用不：件故障件故障关键不可用）数据中理数据中正常）数据中数据中系统不能正常运）在灾难份方对业进行析根据不类业/业应用系统运行进行统。、灾难恢复才能够保证满足等协议ServiceLevelAgreement,SLA。下表描述了医院信息化内件灾难恢复：.3 建设“三级等保”要求的内容中，我们知道管理方面的建设包括5全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。由于医院信息网络复杂，用户多，技术人员水平不一；同时由于医院的业务的出现，使网络出现流量拥塞，运行速度缓慢的现象；同时也常常因为设备负荷过大导致业务处理速度慢；而且设备的故障也会影响网络正常运营；的安全防护体系，符合等级保护的安全要和设计是安全体系的建设，安全设备安全务的安全管理大的要一信平台安全故、安全故安全故时能时处理安全的。“等级保护”相关，信系统的安全管理也是一个非常重要的面，系统必须具相当的安全运维力有效进行资产管理、介质管理、网络安全管理、系统安全管理恶意代码管理等内容从系统整体保护能力统一安全管理等。当然，5.2相呼候必须采用具(IPS/IDS)下讨论统一的网络安全管理：通过建立集中的安全监控管理机制，实现对所保护的安全设备和系统对象状态的统一配置管理，监控安全设施系统资源变化，并变化情况和记录，时调整安全策略，执行有效的防控措施。实现下功能：安全设备集中管理通过在安全设备监管平台中录安全设备信可实现对设备和系统对象的管理，同时，通过对安全，为管理、事同和等基础。安全策略统一管理网络安全的整体性要要有统一安全策略和基工作流程的网络安全管理人员提供统一的安全策略，为网络中安全策略的部署工作做指导，有利于在全网形成安全防范的合力，提高全网的整体安全防御能力，同时可以进一步完善整个网络的安全策略体系建设，为指导各项安全工作的开展提供行动指南，有效解决目前因缺乏口令、认证、访问控制等方面策略而带来到安全风险问题。安全状态统一监测预警通过对防病毒控制台、入侵检测系统控制台、身份认证服务器、防火墙等设备的事件搜集以及对这些事件的整合、分析，实现全网的安全事件集中监测和处理。其次，安全预警是一种有效的预防措施，通过对资产以及合分析到网络中资产的安全风险，而及时的安全和解决方督和指导安全分及时安全防范工作，防。.网络安全的设备在实的系统中，的同一设备可以同时网络、等面的些“身份、，一个设备就同时了网络、、的身份鉴别和审计的。在设备网络、理等全面从分为以：防护体系检测体系审计体系体系体系6.1 互联网接入区域下一代防火墙（包括 VPN功能） 一个安全的网络系统首先需要部署防火墙（目前已经演变为下一代防火墙。防火墙是在网络之间执行控制策略的系统，设置防火墙的目的是保护内部网络资源不被外部非授权用户使用，防止内部受到外部非法用户的攻击。可以说防火墙为内部网络建立安全边界。安全这个领域是一个道高一尺魔高一丈的游戏，传统的产品在WEB2.0时代没有办法达到安全保护的目的，要更加注重应用层面对防护段的保护。传统防火墙可以分为四种类型：包过滤、应用级网关、代理服务器和状态检测。总体的功能是：过滤掉不安全服务、非法用户和控制对特的、Internet安全和的。为应对全的，的需，防火墙在演为 Gartner的下一代防火墙（Next-GenerationFirewall，为 NGFW）。网络安全的演变，Gartner为应对前一代的网络安一级为“”例现已基本无探利僵尸作输（参见“案例研究计算机早期探僵尸客”）由于采基于架构Web2.0普及多通讯量都只通少数几（如：HTTPHTTPS）及采用有限的几个协议进行，这也就意味着基于端口/协议类安全策略的关联性与效率都越来越低。深层数据包检查入侵防御系统（IPS）可根据已知攻击对操作系统与漏失部署补丁的软件进行检查，但却不能有效的识别与阻止应用程序的滥用，更不用说对于应用程序中的具体特性的保护了。下一代防火墙除了具备传统防火墙功能以外，一定要具备反高级逃避技术的功能，此外需要可以实现真正的集群。下一代入侵防御系统-反高级逃避 入侵防御/检测系统（S）是用来深度感知和检测的数据，对意进行已阻攻击，对滥用进行以保护的一套系统。入侵防御系统应包和传感用作定及有传感及。传感用作进的行，根据的行应行。对知的高级入侵行进行。具体功能应具备了真正的安全防御技术，防御的高级逃避技术对基于 TLS/SSL加密的检测和意防护不影响任何正常数据的情况下，抵御各种类型的 DoS/DDoS攻击核硬件架构，底层 安全专有操作系统，高吞吐，并且部署灵活。4b应用防火墙（）应用防火墙应基于 定的 协议规范，对于提交的 HTTP请求进行预处，以验证是否合法的非畸形的 HTTP。通过情况下，部攻击(如蠕虫或者缓存溢)发的不严格符合RFC规定的 HTTP协议规范。因此通进行 HTTP协议验证，可预先防御很攻击。可防御 SQL注入、跨脚本等攻击。此外可以Method、请求件类型、上传件类型及大小等。并且可以TCP卸载与SSL加速功能。6.1.5 6.1.6 Internet混乱内户访问互联样化资源信息便易同时在发布损国家形企