北京市市级信息系统升级改造项目申报书-xx医院

北京市市级信息系统升级改造项目申报书项目名称：北京XX信息系统安全等级保护整改项目申报单位（盖章）：申报单位联系人：联系电话：申报时间：年月日背景、现状和必要性背景…现状项目必要性目前HIS的应用已成为医院深化改革、强化管理和发展内涵的重要保障，其运行数据对医院及患者起着举足轻重的作用。在国内近17,000家医院中，31%的医院已经实施建立了HIS，然而调查显示HIS管理人员中参加过安全学习的不足30%，建立安全机制的医院仅占10%左右，而且其安全机制的安全度普遍不高，信息系统安全没有保障。所谓信息系统安全是指采取技术和非技术的各种手段，通过对信息系统建设中的安全设计和运行中的安全管理，使运行在计算机网络中的信息系统有保护，没有危险，即组成信息系统的硬件、软件和数据资源受到妥善的保护，不因自然和人为因素而遭到破坏、更改或者泄露系统中的信息资源，信息系统能连续正常运行。根据国家针对计算机信息系统安全等级保护的相关规定，我院将HIS系统定级为三级，其它应用系统（包括PACS，LIS等）定位二级。根据信息系统安全等级保护二级及三级的相关规定，需要对医院现有信息系统进行安全整改建设。需求分析业务需求构建一个安全的信息系统支撑环境是医院建设与发展的需求，从业务需求出发主要体现在如下方面：1、从病人角度：我院正在完善与建设以病人为中心的临床信息系统，实现集成的、数字化的门诊、住院医生工作站，与LIS、PACS/RIS系统、电子病历系统、各临床管理系统全方位集成，更好的为病人服务，提高医护人员工作效率。2、从医院管理角度：医院成本核算、绩效考核、实现管理决策支持系统，有效支持医院管理工作，支持国家医疗体制改革。3、从医院业务角度：系统实现业务流程同时，注重数据挖掘与数据利用，在数据利用基础上建设综合管理信息查询、医疗信息查询等上层应用系统。功能需求

一个中心和三重防护体系：按照信息系统业务处理过程将系统划分成计算环境、区域边界和通信网络三部分，以终端安全为基础对这三部分实施保护，构成由安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的三重防护体系结构。数据需求随着我院信息应用系统的逐步完善，日常就诊、管理、运营等信息逐步网络化、电子化、数字化。在保障数据安全传递的同时，数据的安全存储、容灾、备份的需求也日益凸显，亟待加强与完善。性能需求满足医院今后3-5年业务发展对设备性能与技术指标的要求。安全需求我院的计算机信息系统需要具有系统审计保护级的所有功能。此外，还需提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述，具有准确地标记输出信息的能力；消除通过测试发现的任何错误。主要体现在如下方面：1、自主访问控制没有存取权的用户只允许由授权用户指定对客体的访问权。阻止非授权用户读取敏感信息。2、强制访问控制计算机信息系统可信计算机对所有主体及其所控制的客体（例如：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。计算机信息系统可信计算机支持两种或两种以上成分组成的安全级。计算机信息系统可信计算机控制的所有主体对客体的访问应满住：仅当主体安全级中的等级分类高于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别，主体才能读客体；仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含于课题安全级中的非等级类别，主体才能写一个客体。计算机信息系统可信计算机使用身份和鉴别数据，鉴别用户的身份，并保证用户创建的计算机信息系统可信计算机外部主体的安全级和授权受该用户的安全级和授权的控制。3、标记计算机信息系统可信计算机应维护与主体及其控制的存储客体（例如：进程、文件、段、设备）相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数据，计算机信息系统可信计算机向授权用户要求并接受这些数据的安全级别，且可由计算机信息系统可信计算机审计。4、身份鉴别计算机信息系统可信计算机初始执行时，首先要求用户标识自己的身份，而且，计算机信息系统可信计算机维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统可信计算机使用这些数据鉴别用户身份，并使用保护机制（例如：口令）来鉴别用户的身份；阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识，计算机信息系统可信计算机能够使用户对自己的行为负责。计算机信息系统可信计算机还具备将身份标识与该用户所有可审计行为想关联的能力。5、客体重用在计算机信息系统可信计算机的空闲存储客体空间中，对客体初始指定、分配或再分配一个主体之前，撤消客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权时，当前主体不能获得原主体活动所产生的任何信息。6、审计计算机信息系统可心计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻止非授权的用户对它访问或破坏。计算机信息系统可信计算机能记录下述事件：使用身份鉴别机制；将客体引入用户地址空间（例如：打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统安全管理员实施的动作，以及其他与系统安全有关的事件。对于每一事件，其审计记录包括：事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件，审计记录包含请求的来源（例如：终端标识符）；对于客体引入用户地址空间的事件及客体删除事件，审计记录包含客体名及客体的安全级别。此外，计算机信息系统可信计算机具有审计更改可读输出记号的能力。对不能由计算机信息系统可信计算机独立分辨的审计事件，审计机制提供审计记录接口，可由授权主体调用。这些审计记录区别于计算机信息系统可信计算机独立分辨的审计记录。7、数据完整性计算机信息系统可信计算机通过自主和强制完整性策略，阻止非授权拥护修改或破坏敏感信息。在网络环境中，使用完整性敏感标记来确信信息在传送中未受损。建设目标业务目标XX的管理信息系统安全防护水平总体目标是在应用上达到同类型医院一流水平、国内领先，并探索出一套适应XX服务管理特色的、适合数字化信息处理的数字化医院管理模型与工作流程。实现基础业务流程的信息化，准确、全面的收集费用信息与医疗信息，实现数据共享。在此基础上不断扩展应用，利用数据支持管理与临床、科研等各方面工作。技术目标从技术方面借助此次安全等级保护三级建设为目标，在实现与达到计算机信息系统三级标准的同时不拘泥于三级标准，更重要的是通过等保三级达标的过程梳理与提高医院管理水平，提升工作人员安全防范意识，提示我院信息系统安全建设等级，我医院的后续发展提供系统安全保障。四、建设方案建设原则在建设过程中，遵循统筹规划、深度防御，统一标准、统一规范，自主产权、国产为主，强化管理、注重技术的原则。设计依据以信息安全技术信息系统等级保护安全设计技术要求为依据。总体建设任务与分期建设内容信息系统等级保护安全建设的思路是根据分级分域的原则，按照一个中心下的三重防御体系，建设具有自己特色的信息安全等级保护深度防御体系。

一个中心和三重防护体系：按照信息系统业务处理过程将系统划分成计算环境、区域边界和通信网络三部分，以终端安全为基础对这三部分实施保护，构成由安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的三重防护体系结构。总体框架总体系统安全架构设计：根据现有系统情况根据设计技术要求进行架构设计；物理安全建设：依据《基本要求》中对物理安全的要求，信息系统的物理安全建设从环境安全、设备安全和介质安全三个方面实施。安全管理建设：“三分技术、七分管理”，安全管理和技术相辅相成。以《基本要求》为标准，结合目前、信息系统安全管理体系的现状，对信息系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。

灾难与应急响应：为提高网络安全应急响应能力，对可能发生的信息网络系统的突发安全事件进行快速反应和恢复，最大限度地控制和减轻事件所带来的影响，确保业务的持续运行，需要制定应急响应预案。技术方案部署防火墙系统实现安全域划分对大型信息系统进行等级保护，不是对整个系统进行同一等级的保护，而是针对系统内部的不同业务区域进行不同等级的保护。因此，安全域划分是进行信息安全等级保护的首要步骤。安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全策略。当然，安全域的划分不能单纯从安全角度考虑，而是应该以业务角度为主，辅以安全角度，并充分参照现有网络结构和管理现状，才能以较小的代价完成安全域划分和网络梳理，而又能保障其安全性。信息系统总体信息系统安全域划分应主要考虑如下方面因素：1.业务和功能特性–业务系统逻辑和应用关联性–业务系统对外连接：对外业务，支撑，内部管理2.安全特性的要求–安全要求相似性：可用性、保密性和完整性的要求–威胁相似性：威胁来源、威胁方式和强度–资产价值相近性：重要与非重要资产分离信息系统的安全保护可以理解为：为确保信息系统能够抗御来自人为的和自然的原因引起的威胁和破坏而采取的有效机制和措施。这些机制和措施包括技术和管理两方面的内容。信息系统安全等级保护所规定的五个安全保护等级，是实施安全等级保护的基础。计算机信息系统安全保护能力随着安全保护等级的增高，逐渐增强。安全域的等级和安全保护等级之间有一定的关系，主要体现在当安全域属于同一个网络时，安全域的保护等级随着这种等级的增高而增高，但当安全域属于不同的网络，且网络的等级不相同时，和安全保护等级没有直接的关系，如对于同处在内部区域的不同等级的安全域的安全保护等级可能是相同的。安全保护级别的确定主要根据业务系统中应用的重要程度、敏感程度以及信息资产的客观条件。信息系统包含了多个操作系统和多个数据库，以及多个独立的网络产品，网络系统也十分复杂。在对大型信息系统的安全保护等级进行划分时，通常需要对构成信息系统的操作系统、网络系统、数据库系统和独立的网络产品等子系统的安全性进行考虑，在确定各子系统对应的安全等级保护技术要求的前提下，依据木桶原理综合分析，确定对该计算机信息系统安全保护等级的划分。针对医院定级等级保护三级的HIS系统以及定级二级的LIS、PACS等系统，我们选择利用现有核心交换机上的两个防火墙模块构建HIS系统安全域；部署一台物理防火墙构建二级系统的安全域；部署一台防火墙由于构建安全管理中心安全域；部署一台防火墙系统构建测试开发区安全域。网闸安全隔离技术的工作原理是使用带有多种控制功能的固态开关读写介质连接两个独立的主机系统，模拟人工在两个隔离网络之间的信息交换。其本质在于：两个独立主机系统之间，不存在通信的物理连接和逻辑连接，不存在依据TCP/IP协议的信息包转发，只有格式化数据块的无协议“摆渡”。被隔离网络之间的数据传递方式采用完全的私有方式，不具备任何通用性。安全隔离与信息交换系统两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原，还原后的应用层信息根据用户的策略进行强制检查后，以格式化数据块的方式通过隔离交换矩阵进行单向交换，在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信，即实现“协议落地、内容检测”。这样，既从物理上隔离、阻断了具有潜在攻击可能的一切连接，又进行了强制内容检测，从而实现最高级别的安全。技术特性安全隔离与信息交换系统架构主要由内网主机系统、外网主机系统和隔离交换矩阵三部分构成。内网主机系统与内网相连，外网主机系统与外网相连，内/外网主机系统分别负责内外网信息的获取和协议分析，隔离交换矩阵根据安全策略完成信息的安全检测，内外网络之间的安全交换。整个系统具备以下技术特性：多网络隔离的体系结构，通过专用硬件完成两侧信息的“摆渡”。被隔离网络之间任何时刻不产生物理连接。内/外网主机系统之间没有网络协议逻辑连接，通过隔离交换矩阵的全部是应用层数据，也就是OSI模型的七层协议全部断开。数据交换方式完全私有，不具备可编程性。网络安全审计系统网络系统的安全与否是一个相对的概念，而没有绝对的安全。在网络安全整体解决方案日益流行的今天，安全审计系统是网络安全体系中的一个重要环节。企业客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。网络安全是动态的，对已经建立的系统，如果没有实时的、集中的、可视化审计，就不能有效/及时的评估系统究竟是不是安全的，并及时发现安全隐患。所以安全系统需要集中的审计系统。在安全解决方案中，跨厂商产品的简单集合往往会存在漏洞，从而威胁乘虚而入，危及安全。当某种安全漏洞出现时，如果必须针对不同厂商的技术和产品先进行人工分析，然后综合分析，提出解决方案，将降低对攻击的反应速度，并潜在地增加成本。如果不能将在同一网络中多个不同或者相同厂商的产品实现技术上互操作，实现集中的审计，就无法发挥有效的安全性，就无法有效管理。如果没有实时的、集中的、可视化审计，就不能有效、及时的评估系统究竟是不是安全的，无法及时发现安全隐患。安全审计系统就可以满足这些要求，对网络中的各种设备和系统进行集中的、可视的综合审计，及时发现安全隐患，提高安全系统成效。网络安全审计系统的主要功能采集多种类型的日志数据能采集各种操作系统的日志，防火墙系统日志，入侵检测系统日志，网络交换及路由设备的日志，各种服务和应用系统日志。日志管理多种日志格式的统一管理。自动将其收集到的各种日志格式转换为统一的日志格式，便于对各种复杂日志信息的统一管理与处理。日志查询支持以多种方式查询网络中的日志记录信息，以报表的形式显示。入侵检测使用多种内置的相关性规则，对分布在网络中的设备产生的日志及报警信息进行相关性分析，从而检测出单个系统难以发现的安全事件。自动生成安全分析报告根据日志数据库记录的日志数据，分析网络或系统的安全性，并输出安全性分析报告。报告的输出可以根据预先定义的条件自动地产生、提交给管理员。网络状态实时监视可以监视运行有代理的特定设备的状态、网络设备、日志内容、网络行为等情况。事件响应机制当审计系统检测到安全事件时候，可以采用相关的响应方式报警。集中管理审计系统通过提供一个统一的集中管理平台，实现对日志代理、安全审计中心、日志数据库的集中管理。网络安全审计系统作为一个独立的软件，和其他的安全产品（如防火墙、入侵检测系统、漏洞扫描系统等）在功能上互相独立，但是同时又能互相协调、补充，保护网络的整体安全。网络安全加固-入侵检测系统随着信息化技术的深入和互联网的迅速发展，整个世界正在迅速地融为一体，计算机网络已经成为国家的经济基础和命脉。众多的企业、组织与政府部门都在组建和发展自己的网络，并连接到Internet上，以充分共享、利用网络的信息和资源。计算机网络在经济和生活的各个领域正在迅速普及，其地位越来越重要，整个社会对网络的依赖程度越来越大。伴随着网络的发展，也产生了各种各样的问题，其中安全问题尤为突出。现在，网络中蠕虫、病毒及垃圾邮件肆意泛滥，木马无孔不入，DDOS攻击越来越常见，网络资源滥用(包括P2P下载、IM即时通讯、网络游戏、在线视频等行为)，黑客攻击行为几乎每时每刻都在发生，所有这些极大的困扰着包括企业、组织、政府部门与机构等在内的各种网络用户。能否及时发现网络黑客的入侵、有效的检测出网络中的异常行为，成为所有网络用户面临的一个重要问题。随着网络的普及，网络安全事件的发生离我们越来越近，我们可能遇到如下情况：·单位的网络系统被入侵了，造成服务器瘫痪，但不知道什么时候被入侵的；·客户抱怨公司的网页无法正常打开，检查发现是服务器被攻击了，但不知道遭受何种方式的攻击；·单位机密资料被窃，给单位造成巨大的损失，但是检查不出是谁干的；·单位网络瘫痪，检查出遭受蠕虫病毒攻击，但是不知道如何清除和避免再次遭到攻击；·单位网络被入侵了，安全事件调查中缺乏证据。根据调查数据显示，以上情况给网络管理员带来极大的困扰，也给企业带来了巨大的安全风险。如何及时的、准确的发现违反安全策略的事件，并及时处理，是广大用户迫切需要解决的问题。防火墙的局限众多的企业、组织与政府部门都在组建和发展自己的网络，为了保证网络资源的安全，企业一般采用防火墙作为安全保障体系的第一道防线，通过访问控制，防御黑客攻击，提供静态防护。但是随着越来越多的系统本身漏洞以及应用系统的漏洞被发现，以及攻击者的入侵方式更加隐蔽，新的攻击方式层出不穷，所以单纯的依靠防火墙已经无法完全防御不断变化的入侵攻击的发生。传统的防火墙主要有以下的不足：防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB服务的注入攻击等。防火墙无法发现内部网络中的攻击行为。由于防火墙具有以上一些缺陷，所以部署了防火墙的安全保障体系还有进一步完善的需要。入侵检测系统的特点入侵检测系统(IntrusionDetectionSystem)是对防火墙有益的补充，入侵检测系统被认为是防火墙之后的第二道安全闸门，对网络进行检测，提供对内部攻击、外部攻击和误操作的实时监控，提供动态保护大大提高了网络的安全性。入侵检测系统主要有以下特点：事前警告：入侵检测系统能够在入侵攻击对网络系统造成危害前，及时检测到入侵攻击的发生，并进行报警；事中防护：入侵攻击发生时，入侵检测系统可以通过与防火墙联动、TCPKiller等方式进行报警及动态防护；事后取证：被入侵攻击后，入侵检测系统可以提供详细的攻击信息，便于取证分析。综上所述，防火墙提供静态防护，而入侵检测系统提供动态防护，因此防火墙和入侵检测系统的结合，能够给网络带来全面的防护。对防火墙和入侵检测系统的关系有一个经典的比喻：防火墙相当于门卫，对于所有进出大门的人员进行检查，入侵检测系统相当于闭路监控系统，监控关键位置如财务、库房等地的安全状况，仅有门卫是无法发现内部人员的非法行为，而闭路监控系统可以实时监控，发现异常情况及时报警。两者的配合使用才能保证安全。终端安全系统终端安全系统是综合利用登录身份认证、文件系统加密等核心技术开发的USBKey登录身份认证及文件保护系统。系统通过硬件(USBKey)和软件(USBKeyClient)相结合的方式实现了物理身份与用户身份的双重认证。通过将USBKey与操作系统不同权限用户的绑定，实现对USBKey的权限划分。由于USBKey本身的唯一性，从而保证了操作系统用户本身的唯一性。文件保险箱采用底层驱动加密创建，其内可进行任意文件操作，从而阻止他人非法地获取计算机信息。系统功能描述1)双重认证安全登录管理（USBKey+PIN码与用户名+密码双重认证）；2)USBKey与操作系统不同权限用户绑定管理；3)USBKey登录权限划分管理（通过USBKey与操作系统不同权限用户的绑定，实现对USBKey的登录权限划分）；4)USBKey拔除实时锁屏管理，屏保锁屏管理，注销锁屏管理；5)USBKey用户登录情况审计管理（包括USBKey的名称、登录时间、次数、序列号等信息）；6)禁用安全模式登录；7)可以在计算机上建立若干个文件保险箱并进行加密处理；8)可以像操作普通磁盘一样使用文件保险箱来保存敏感的数据和文件。恶意代码防范系统-安全网关伴随网络规模的扩张，伴随着我们对网络依赖性的增强，伴随网络应用的增多，网络威胁也日益增大，各种蠕虫、病毒、网络入侵、DDoS、泄密事件层出不穷，不断有造成百万、千万以致亿计的损失。在这些威胁中，与网络“连通时代”最大的不同就在于，以应用为目标或载体的威胁日益增多。据CNCERTCC统计，在TCP各种应用统计中，流量排名前四位的是WEB浏览、P2P下载、电子邮件和即时聊天工具。在防火墙等传统安全网关已经普及的情况下，TCP/IP的4层攻击已经受到越来越多的限制，因此，未来的攻击目标和层面正在逐渐转移到7层的应用层上，这给网络安全提出了一个新的严重的挑战：如何在4层的防护的基础上，完成对新型的应用攻击防护，从而能够保障“网络应用时代”的网络用户免受威胁之苦。安全网关，它是指设置在不同网络或网络安全域之间的一系列部件的组合的统称。它可通过监测、限制、更改跨越安全网关的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，并通过检测阻断威胁，以及网络数据加密等手段来实现网络和信息的安全。安全网关按照功能和用途划分，可以分为通用型的网络防火墙、UTM(UnifiedThreatManagement)、安全路由器，或者专用型的VPN网关、防病毒网关、防垃圾邮件网关、抗DDoS网关等各种类型。在这里面，最早出现，也是现在最主要的类型是网络防火墙。内网部署两台安全网关，实现与HIS等安全域等安全设备的串接，对进出服务器的流量进行安全过滤。外网部署一台即可。主机安全身份鉴别系统-堡垒主机当信息技术在企业中的地位，从一个仅在局部起支撑作用的工具，变成企业赖以日常运营的基础平台；毫无疑问，内网信息安全问题，也就从一个仅是影响企业运营效率的小问题，变成了直接影响到企业生死存亡的大问题。经过数十年的信息安全技术产业的高速发展，从防病毒、防火墙、IDS老三样，到身份认证、数据加密、应用安全、终端加固等各种新技术，企业内网各种信息安全问题，有了很多全面解决方案。然而，一个危害甚重的信息安全软肋，却一直不为人们所重视，这就是企业信息网络中的所谓"权贵"人员和操作，即拥有各系统设备的高级管理权限的人员及其日常对系统维护管理工作。他们可谓对内网系统和数据，拥有最高的权限，一旦这些人员和操作出现安全问题，其后果将不堪设想。尤其在信息化程度特别高的一些大型机构和企业内网中，这个安全"软肋"体现得越加明显。在所有内部隐患中，一种由IT系统"权贵"人员及其操作引出的非传统的安全隐患日益凸显，是所有安全事件中最主要的安全威胁。所谓IT系统"权贵"人员，即拥有企业内网各种IT系统软硬件设备管理权限的人员，这些人员可能包括：系统管理员、系统运维人员、系统应用高权限用户、第三方厂商的维护人员以及其他临时高权限人员等。这些人员本身所拥有的高权限账号和其在操作过程中的各种动作，都带来日益明显的安全隐患。这些隐患所产生的新问题，归结起来包括以下五个主要的问题。其一，共享账号带来的安全问题。在企业内网IT系统管理中，共享账号是很常见的管理方法，其好处显而易见，既能节约了帐号管理成本，又降低了本地溢出的风险……但是，随着IT系统复杂性几何级提升，共享账号带来明显的隐患，这是因为等。这就是说，很多人共用一个账号，就使得帐号不具有唯一性，而且密码难以有效管理，最关键的是一旦该账号出现安全问题，责任难以认定到人，这就不符合国家关于信息安全"谁使用，谁负责"的原则。其二，权限控制带来的安全隐患。大多数企事业单位的IT运维均采用设备、操作系统自身的授权系统，各系统分别管理所属的系统资源，为本系统的用户分配权限，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加。安全性无法得到充分保证。其三，访问控制带来的安全隐患。目前的常见对系统管理员账号管理中，没有一个清晰的访问控制列表，无法一目了然的看到什么用户能够以何种身份访问哪些关键设备，同时缺少有效的技术手段来保证访问控制策略有效地执行。尤其是针对许多外包服务商、厂商技术支持人员、项目集成商等在对企业核心服务器、网络基础设施进行现场调试或远程技术维护时，无法有效的记录其操作过程、维护内容，极容易泄露核心机密数据或遭到潜在的恶意的破坏。其四，系统审计带来的安全隐患。企业内网各IT系统独立运行、维护和管理，所以各系统的审计也是相互独立的。审计的机制、格式和管理都不尽相同，就会带来各种问题。例如，每个网络设备，每个主机系统分别进行审计，安全事故发生后需要排查各系统的日志，但是往往日志找到了，也不能最终定位到行为人。其五，面临安全合规性法规遵从的压力。为加强信息系统风险管理，政府、金融、运营商等陆续发布信息系统管理规范和要求，如"信息系统等级保护"、"商业银行信息科技风险管理指引"、"企业内部控制基本规范"等均要求采取信息系统风险内控与审计。综上所述，随着信息化的发展，企事业单位IT系统不断发展，网络规模迅速扩大，设备数量激增，建设重点逐步从网络平台转向深化应用、提升效益为特征的运维阶段；IT系统运维与安全管理正逐渐走向融合。面对日趋复杂的IT系统，不同背景的运维人员已经给企业信息系统安全运行带来较大的潜在风险，因此，内网信息系统安全治理在加大网络边界防护、数据通信安全、防病毒等基础上，不能忽略网络后台运维安全治理和对于系统操作人员的审计监控方面的管理，而内控堡垒主机（堡垒机）作为内网安全治理的一种有效技术手段应运而生。所谓"堡垒主机"（简称"堡垒机"），就是一种被强化的可以防御进攻的计算机，具备很强安全防范能力。堡垒主机自身安全性的强化通常是通过禁用或删除不必要的服务、协议、程序和网络接口来实现的。也就是说，堡垒主机往往仅提供极少的必要的服务，以期减少自身的安全漏洞。另外一些可以提高自身安全性的手段则包括：采用安全操作系统、采取必要的身份认证和严格的权限控制技术等。后来，堡垒主机被部署在外部网络和企业内部网络之间，提供对内部网络特定资源的安全访问。这类堡垒主机本身不提供网络层的路由功能，因此可以过滤对内部网络的非授权访问。对内部网络特定资源的访问则必须先登录到堡垒主机上方可完成。SSLVPN可以视为这类堡垒主机的一个成功应用。这类堡垒主机是进入内部网络的一个集中检查点和控制点，因此很容易将整个网络的安全问题集中在自身解决，为内部网络其他主机的安全提供了一道天然的安全屏障。新一代堡垒主机，又被具体称为"内控堡垒主机",它综合了运维管理和安全性的融合，切断了终端计算机对网络和服务器资源的直接访问，而是采用协议代理的方式，接管了终端计算机对网络和服务器的访问。形象地说，终端计算机对目标的访问，均需要经过堡垒主机的翻译。极地安全专家王晓航打了一个比方，内控堡垒主机扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。因此堡垒机能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为。目前主流的内控堡垒主机，一般具有六大主要功能。（1）单点登录功能。内控堡垒主机提供了基于B/S的单点登录系统，用户通过一次登录系统后，就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用系统。单点登录为具有多帐号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高生产效率。同时，由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。单点登录可以实现与用户授权管理的无缝连接，这样可以通过对用户、角色、行为和资源的授权，增加对资源的保护，和对用户行为的监控及审计。（2）帐号管理功能。集中帐号管理包含对所有服务器、网络设备帐号的集中管理。帐号和资源的集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生命周期的监控和管理，而且还降低了企业管理大量用户帐号的难度和工作量。同时，通过统一的管理还能够发现帐号中存在的安全隐患，并且制定统一的、标准的用户帐号安全策略。通过建立集中帐号管理，企业可以实现将帐号与具体的自然人相关联。通过这种关联，可以实现多级的用户管理和细粒度的用户授权。而且，还可以实现针对自然人的行为审计，以满足审计的需要。（3）身份认证功能。内控堡垒主机为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。集中身份认证提供静态密码、WindowsNT域、WindowsKerberos、双因素、一次性口令和生物特征等多种认证方式，而且系统具有灵活的定制接口，可以方便的与其它第三方认证服务器之间结合。（4）资源授权功能。内控堡垒主机系统提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。在集中访问授权里强调的"集中"是逻辑上的集中，而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能，管理员也由各自的归口管理部门委派，但是这些管理员在极地银河内控堡垒主机系统上，可以对各自的管理对象进行授权，而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以限制用户的操作，以及在什么时间进行操作这样应用内部的细粒度授权。（5）访问控制功能。内控堡垒主机系统能够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。访问控制策略是保护系统安全性的重要环节，制定良好的访问策略能够更好的提高系统的安全性。（6）操作审计功能。操作审计管理主要审计人员的帐号使用（登录、资源访问）情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后，操作审计能更好地对帐号的完整使用过程进行追踪。内控堡垒主机系统通过系统自身的用户认证系统、用户授权系统，以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将