智慧医院二级等保项目解决方案

智慧医院二级等保项目解决方案目录第一章 安全分析说明 42.1总述 42.2分析原则 42.3分析依据 4第二章 现状分析 63.2.1机房现状 63.2.1机房架构分析 63.2.2网络拓扑 73.2.2网络分析 73.2.3整改建议 83.3.1问题发现滞后 83.3.2风险分析 83.3.3整改建议 93.4网络安全保障现状分析 9第三章 系统分析 104.1风险分析 104.2风险存在的问题 11第四章 安全需求分析 11第五章 方案设计与安全规划 126.1总体设计目标 136.2总体安全体系设计 136.3安全域划分说明 14第六章 解决方案 157.1安全建设项目规划 157.1.1安全建设内容规划 157.1.2形成安全建设项目计划 167.2网络安全建设方案拓扑图 177.3技术详细设计说明 187.3.1安全域划分说明 187.3.2基础安全建设方案 197.4方案优势 227.4.1下一代防火墙 227.4.2互联网出口上网行为管理系统 267.4.3远程接入SSLVPN 287.4.4数据库审计系统 297.4.5堡垒机 30第七章 详细安全整改方案设计 338.1对外业务服务 348.2门户网站安全检测 35第九章方案预算 37第十章XX维保及服务支持 3810.1项目支持服务简述 3810.2XXXX服务类型 40安全分析说明2.1总述根据第一章的描述，针对某医院的网络现状进行安全分析，同时按照国家信息安全等级保护相应的标准进行分析。分别从物理安全、网络安全、主机安全、应用安全及数据备份与恢复的角度进行分析，不过根据不同的安全环境侧重点不一样，本次分析重点在物理机房安全、网络架构安全及主机系统漏洞安全上进行分析，同时在满足等级保护建设合规性要求的前提下，适当考虑未来的安全风险，实现网络安全的动态防御。2.2分析原则本次的网络与信息安全分析的原则如下：最小影响原则：分析的时候应尽可能小的影响系统和网络的正常运行，不能对现有网络的运行和业务的正常提供产生明显影响；标准性原则：服务方案的设计与实施应依据国内、国际、等级化保护相关要求、相关标准进行；规范性原则：工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；整体性原则：应从各个方面整体考虑，包括了安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；可控性原则：方法和过程要在双方认可的范围之内，安全分析的进度要按照进度表进度的安排，在技术实施、产品提供、售后保障上都要求可控性，保证某医院对于服务工作的可控性；保密原则：对过程数据和结果数据严格保密，所有参与项目人员均有保密义务，不能将测试数据及报告进行公开。2.3分析依据根据某医院网络安全建设工作，是在深刻理解并贯彻应用如下文件和标准的基础上进行的，本文参考以下国家信息安全政策法规、信息安全标准以及相关规范：政策法规指导思想中办[2003]27号文件（关于转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知）公通字[2004]66号文件（关于印发《信息安全等级保护工作的实施意见》的通知）国发[2013]7号《国务院关于推进物联网有序健康发展的指导意见》公信安[2014]2182号《关于加强国家级重要信息系统安全保障工作有关事项的通知》（公信安[2014]2182号）建设标准GB17859-1999计算机信息系统安全保护等级划分准则GB/T25058-2010信息系统安全等级保护实施指南技术方面GB/T25066-2010信息安全产品类别与代码GB/T17900-1999网络代理服务器的安全技术要求GB/T20010-2005包过滤防火墙评估准则GB/T20281-2006防火墙技术要求和测试评价方法GB/T20272-2006操作系统安全技术要求GB/T20275-2006入侵检测系统技术要求和测试评价方法GB/T20277-2006网络和终端设备隔离部件测试评价方法GB/T20279-2006网络和终端设备隔离部件安全技术要求GB/T20278-2006网络脆弱性扫描产品技术要求GB/T20280-2006网络脆弱性扫描产品测试评价方法GB/T20945-2007信息系统安全审计产品技术要求和测试评价方法GB/T21028-2007服务器安全技术要求GB/T25063-2010服务器安全侧评要求GB/T21050-2007网络交换机安全技术要求（EAL3）GB/T28452-2012应用软件系统通用安全技术要求GB/T29240-2012终端计算机通用安全技术要求与测试评价方法现状分析3.2.1机房现状3.2.1机房架构分析民航医院机房有一条水下管直接从三楼机房内直穿而下，严重影响了机房的整体美观，现需对下水管进行封装。由于客户在设备上架后未对连接设备的网络跳线、光纤跳线和电源线及时进行整理，导致现大量设备上架后，各个设备连接线路杂乱无章，且各个设备之间连接线束未做标识，对后期维护造成不便利性，现需对机房内所有几个进行整理。整理制作郎丰利1519机房基础设备在监控上未进行记录保存，并没有对机房进行全方位监控，不能保障机房事故问题的及时知会与处理。机房窗户未进行安全防护，随时可以敞开对外，不能保证机房内部设备的安全，给人员有意或其他因素带来的设备破坏导致的安全隐患。机房未形成有效的规则制度管理，导致进出人员不明身份以及没有相应的规范，将会导致机房内设施设备的人为破坏或者管理不当造成的不必要损失。3.2.2网络拓扑根据医院现有网络拓扑结构，可以做出分析如下：图1某医院现有网络拓扑结构3.2.2网络分析（1）网络架构：一是医院与集团网络的链接，财务数据到出口防火墙通过VNP进行。所以在互联网的出口处，设计方案的时候，考虑到不同业务所需要的流量，网络出口带宽按照一定的管理进行规划。医院网络中，业务系统直接与核心交换机进行链接，需要做安全域的隔离和划分。另外医院财务在经过VPN传输时，随时会有数据被窃取，数据丢失的风险。（2）安全设备分析：在互联网出口区域，目前比较缺少上网行为管理系统，对内部上网业务进行安全防护。而且出口防火墙是现有戴尔的防火墙，但是比较老旧，不具备L2-L7层安全防御能力，对于新型威胁或者是应用的攻击来说，目前防火墙的功能较弱，无法满足当今的网络安全防护的需要，比如应用层的攻击、信息泄露、僵尸网络等都无法防护。所有本方案中，考虑将原有的防火墙设备进行替换，升级到最新的下一代防火墙设备，能够实现L2-L7层的安全防护，提高防护效果。（3）安全风险分析：在网络中，数据中心未有进行隔离防御，是直接连入内部服务器和内部楼层交换机，这样对于来自内部的跳板攻击就无法防御，同时会来的整体网络安全的防护短板，在互联网出口部署僵尸网络检测设备或者具备僵尸网络检测的安全设备，及时发现内网中的异常流量和异常主机。（4）外部接入说明：目前对于外部网络的接入，目前没有做详细的权限划分和认证识别，而且直接发布服务器的方式进行，不能实现数据的加密传输，将服务器放置在内网环境。（5）虚拟化环境安全：目前在从化校区做了VM的服务器虚拟化，但是对服务器虚拟化的安全防御目前还没做，同样存在虚拟化环境下的安全问题，如果流量不可视、东西向南北向数据流向可视化等。随着业务的不断迁移，必将会将重要业务系统进行虚拟化环境下的迁移，所以数据越来越重要，必须考虑虚拟化安全。3.2.3整改建议网络架构上，建议分区域进行部署，并且在服务器前面部署融合性防火墙设备，同时在网络出口部署审计设备。另外，除了对内网用户访问互联网的审计外，还要加强外网用户防护数据库的审计，同时加强数据库的安全性，通过部署数据库审计设备对访问数据库的用户进行审计。对于外部人员接入或者运维人员接入的时候，可以通过SSLVPN来实现，并且可以通过VPN来实现接入认证和权限划分，在服务器虚拟化环境下部署安全防御设备，可通过软件实现。3.3.1问题发现滞后攻击者总是能突破堆砌式的防御产品，传统的产品堆砌式防御机制（如IPS、防火墙、WAF等）基于静态、被动的思维，大都基于已知特征策略防护，只要是有耐心的黑客，通过0Day、社工等方式总是可以突破的。但是出口的防御又是不能够缺失的。所以在网站的检测方面，那就要非常重要了，必须要解决网站安全问题检测发现慢，响应处置慢的问题。3.3.2风险分析站作为主要的对外门户，已经成为黑客发起攻击的首要目标，网站一旦遭遇攻击，将有可能导致严重的后果：网站被篡改，直接影响对公众树立的社会形象；网站对外业务被攻击导致瘫痪，影响效率和经济利益；网站上敏感数据被窃取，影响单位信誉；网站被攻陷后成为跳板，渗透到内部网络，造成更大面积的破坏；被第二方监管机构如广东省公安厅，漏洞报告平台通报，影响绩效考核和带来其他的负面影响。另外，随着互联网技术的高速发展，绝大部分业务迁移到互联网上开展，而这当中又主要是以Web服务为载体进行相关业务的开展，Web成为当前互联网应用最为广泛的业务。所以对于医院来说，业务的B/S化，会给医院的业务带来方便，同时也带来巨大的安全风险。3.3.3整改建议结合网站安全风险的特点，制定完整的安全服务需求，通过在线我网站安全服务，持续性的对网站进行监控，7*24小时的网站监控，每隔5分钟完成一次检测，及时发现安全风险问题，如网站异常检测、挂马、黑链等异常事件、失控主机检测等。同时，在主管部门或者第二方监管机构通报前进行通报和分析，降低被通报的风险。3.4网络安全保障现状分析安全建设是一个动态的过程，需要根据不同的业务系统、不同的时间节点都有不同的安全需求。根据信息安全保障体系的理论分析，技术、管理、策略是不可分割的部分，安全设备的部署只是安全技术的基本要求的，但是管理制度不落地后者安全策略存在较大的问题时，整体的安全防护会存在较大的短板，比如，安全设备的策略配置不当，或者根本就没配置，那安全设备就如形同虚设，没有任何的防护效果，相反会蒙蔽管理员，认为安全防护已经做好了，所以要加强安全管理制度的执行。目前来说，这是医院比较欠缺的，需要一套完整的安全防护体系，根据“二分技术，七分管理”的原则，提高整体的安全防护效果。系统分析目前内部服务器有财务系统、HIS系统、网站群等。具体的风险分析情况如下：4.1风险分析网络层面网络中部署了WEB应用防火墙通过访问控制实现边界接入区、应用服务区、数据库服务器区等区域的安全隔离，能够从网络层面有效的对逻辑区域进行隔离。但由于防火墙的局限性，对于利用网络协议漏洞的DOS/DDOS攻击仍然没有很好的防护效果，利用网络协议的攻击可能导致网络瘫痪而无法响应正常业务请求及访问。系统层面系统层面上主要是不断发现的各种安全漏洞，包括本地溢出，远程溢出等脆弱性问题。由于操作系统都不可避免的存在bug，包括安全方面的bug，因此系统本身的脆弱性是不可能完全避免的，只能在一定时间内减少和降低危害。而当前网络安全建设并没有对系统层面的攻击提供有效的防护措施，安全维护人员仅仅通过在互联网上下载最新的操作系统补丁来保证系统漏洞不被轻易利用，而服务器逻辑隔离于互联网、或者网络运行于内网，使得补丁无法及时更新，网络系统层面的安全风险十分严重。且服务器往往由于更新不及时也可能带来新的“0”日攻击的威胁。通过安全评估发现系统层面的漏洞广泛存在于应用服务器区、数据库服务器区大量应用服务器和数据服务器之上。利用系统漏洞攻击可以使攻击者获得系统级的权限而为所欲为，危害严重。系统层面的安全风险需要进行统一防护。应用层面应用层面的脆弱性最为复杂，包括了常见应用，C/S或者B/S业务服务程序中可能存在的安全漏洞，WEB开发中的安全隐患以及目前用的网站管理系统都可能成为被攻击者所利用。而网络基于ASP、PHP、JSP开发，不可避免的存在软件开发本身的漏洞、造成黑客的SQL注入，致使网络数据库和网页文件被篡改或者被窃取。把网络主页修改使得大你问名义受损，造成不良的影响。应用层面的攻击没有办法完全修改网络构架来避免，在网络更新修改后还有可能存在新的漏洞。同时用于承载业务的各类应用软件本身也存在大量的漏洞，包括业务发布应用程序（如IIS、Apach等），数据库软件（如，oracle、mssql等），中间件（如weblogic等），利用他们也可以对网络本身造成严重的危害。所以应用层面的安全威胁需要严格防护，并作为本次网络安全加固的重点。数据层面由于安全的建设的基本原则是保证安全防护最大化，并没有办法实现100%的安全防护，安全设备仍有可能存在被绕过的风险。而在数据层面的脆弱性也就因此产生，主要表现在数据的传输是否安全，获取方式是否合法，是否有非法窃取的风险，是否存在“拖库”、“暴库”的风险。为了保证整个网络最核心的数据部分，本次安全加固需要包含对于数据是否被非法窃取的防护措施。4.2风险存在的问题目前某医院网络中包含FTP服务器、Web服务器、存储服务器、数据库服务器等多种类型的业务服务器，向Intranet等多个区域提供服务，内部网络要面临来自内外网多个区域的安全威胁。其安全保障意义重大。而一期网络安全建设中防火墙仅仅是通过vlan、ACL访问控制对其进行安全隔离。应用层攻击仍然能够穿透这些安全隔离的手段，从外向内部进行渗透。同时带有目的性的内网用户的攻击渗透行为也是造成众多泄露事件的原因之一。风险造成的结果有以下几种：无法响应正常服务的问题黑客通过网络层DOS/DDOS拒绝服务攻击使内部网络无法响应正常请求。这种攻击行为使得服务器充斥大量要求回复的信息，严重消耗网络系统资源，导致内部网络无法响应正常的服务请求。对于内部网络可用性而言是巨大的威胁。内部网络服务器被控制黑客通过系统漏洞攻击、应用程序漏洞攻击可以使造成缓冲区溢出等安全问题，通过这些问题可以使得黑客可以肆意的在出现溢出的过程中添加具有权限获取能力的代码，并通过这些手段最终获取内部网络服务器的权限。服务器的系统权限一旦被黑客获取，就意味着黑客可以完全控制内部网络的服务器并为所欲为，其危害不言而喻。敏感信息泄漏问题这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后台数据库，导致数据库中储存的用户资料、身份证信息、账户信息、信用卡信息、联系方式等敏感信息被攻击者获取。这对于内部网络而言是致命的打击，可产生巨大的不良影响。安全需求分析（1）网络架构：网络架构存在安全防护短板，网络各个区域区分不清楚，没有按照区域划分，重要服务器区域前面没有融合性安全防护设备；需要新增安全设备进行安全建设，并且调整完成的安全策略。（2）网络设备：目前网络安全设备存在性能瓶颈问题，是导致网络访问比较慢的原因之一，存在风险。其中网络设备包括出口防火墙，其中传统阿姆瑞特防火墙比较老，所以设备存在风险。需要对现有的网络或者安全设备进行升级更新，达到新的冗余级别。（3）系统漏洞情况：目标部署了应用防火墙，但是对于底层的漏洞防御存在短板，如在入侵防御上的，WEB应防火墙关注点比较单一。目前有财务系统、HIS系统服务器等。需要对服务器进行安全加固，并通过增加入侵防御设备或者下一代防火墙来进行防护。（4）主机安全：目前在终端安全上，内部服务区域部署了下一代防火墙，能够检测到服务器端的僵尸网络，但是在内网中的其他PC终端，在互联网出口没有部署下一代防火墙设备，对内网僵尸网络进行检测，数据泄密的风险目前不能够很好的控制，所以在互联网出口部署安全设备，保障终端上网的安全性，同时在重要服务器或PC部署防病毒系统和终端安全管理系统。（5）安全服务：安全是在不断发展的，同时安全的落地也需要较好的执行过程，对网站要求上，实时的安全检测是必要的，当然其他的安全服务也需要进行加强，如安全意识的培训、定期的安全巡检等。（6）数据安全：在后续的安全设计中，考虑数据的安全性，如数据库的保护和数据的审计，做到事后可以溯源，另外需要考虑数据容灾备份，建设灾备机房或者数据异地备份。提高数据中心的安全及可恢复性。在外部传输工程中，可以用VPN来保障数据的加密，目前已经满足。（7）云（虚拟化）安全：目前的服务器虚拟化上，整体安全还是需要加强的，因为虚拟化服务器的安全，包括平台的安全和虚拟机的安全，平台的安全已经部署了WEB防火墙，虚拟化的安全，如虚拟机与虚拟机之前的流量、虚拟机与虚拟机之间的攻击都不可视，需要加强东西的流量可视与防护。方案设计与安全规划经过前期沟通，等级保护及安全建设方案需要多次沟通讨论确定，目前为第一版本的建设方案，在总体安全规划与设计上，基本能够符合整体的安全建设要求，包括等级保护（二级）的规划性验证，具体分析如下：6.1总体设计目标某医院的安全建设方案设计的总体目标是依据国家等级保护的有关标准和规范，结合某医院信息系统的现状，对其进行重新规划和合规性整改，为其建立一个完整的安全保障体系，有效保障其系统业务的正常开展，保护敏感数据信息的安全，保证HIS系统、财务系统等重要系统的安全防护能力达到《信息安全技术信息系统安全等级保护基本要求》中第二级的相关技术和管理要求。6.2总体安全体系设计本项目提出的等级保护体系模型，必须依照国家等级保护的相关要求，利用密码、代码验证、可信接入控制等核心技术，在“一个中心二重防御”的框架下实现对信息系统的全面防护。整个体系模型如下图所示：安全管理中心安全管理中心是整个等级保护体系中对信息系统进行集中安全管理的平台，是信息系统做到可测、可控、可管理的必要手段和措施。依照GB/T25070-2010信息系统等级保护安全设计技术要求中对安全管理中心的要求，一个符合基于可信计算和主动防御的等级保护体系模型的安全管理中心应至少包含以下二个部分：系统管理实现对系统资源和运行的配置。控制和管理，并对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。安全管理实现对系统中的主体、客体进行统一标记，对主体进行授权，配置一致的安全策略，确保标记、授权和安全策略的数据完整性，并对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并进行审计。审计管理实现对系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等；对审计记录应进行分析，根据分析结果进行处理。此外，对安全审计员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作。此外，安全管理中心应做到技术与管理并重，加强在安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面的管理力度，规范安全管理操作规程，建立完善的安全管理制度集。安全计算环境基于可信计算和主动防御的等级保护模型，安全计算环境可划分成节点和典型应用两个子系统。在解决方案中，这两个子系统都将通过终端安全保护体系的建立来实现。信息安全事故的源头主要集中在用户终端，要实现一个可信的、安全的计算环境，就必须从终端安全抓起。因此，依照等级保护在身份鉴别，访问控制（包括强制访问控制）、网络行为控制（包括上网控制、违规外联的控制）、数据安全、安全审计等方面的技术要求，可充分结合可信计算技术和主动防御技术的先进性和安全性，提出一个基于可信计算和主动防御的终端安全保护体系模型，以实现从应用层、系统层、核心层二个方面对计算环境的全面防护。安全区域边界为保护边界安全，本次解决方案针对构建一个安全的区域边界提出的解决手段是在被保护的信息边界部署一个“应用访问控制系统”。该系统应可以实现以下功能：信息层的自主和强制访问控制、防范SQL注入攻击和跨站攻击、抗DoS/DDoS攻击端口扫描、数据包过滤、网络地址换、安全审计等。由于国内外在这一方面的相关技术非常成熟，因此，在本次系统整改总体设计中更多的是考虑如何将下一代防火墙、上网行为管理系统、WEB应用防火墙等有机地结合在一起，实现协同防护和联动处理。此外，对于不同安全等级信息系统之间的互连边界，可根据依照信息流向的高低，部署下一代防火墙或安全隔离与信息交换系统，并配置相应的安全策略以实现对信息流向的控制。安全通信网络目前，在通信网络安全方面，采用密码等核心技术实现的各类VPN可以很有效的解决这类问题，达到在满足等级保护相关要求的同时，可灵活提高通信网络安全性的效果。6.3安全域划分说明安全域的划分是网络防护的基础，事实上每一个安全边界所包含的区域都形成了一个安全域。这些区域具有不同的使命，具有不同的功能，分域保护的框架为明确各个域的安全等级奠定了基础，保证了信息流在交换过程中的安全性。在本项目中，将严格按照信息系统的重要性和网络使用的逻辑特性划分安全域，根据某医院网络与信息系统各节点的网络结构、具体的应用以及安全等级的需求，按照技术体系中网络安全规划，将某医院系统划分为六个安全域。依据安全域划分原则，同一安全域拥有相同的安全等级和属性，互联网接入区、专线接入区、数据中心区、安全管理域区、办公终端区、智能网接入区是相互信任的，安全风险主要来自不同的安全域互访，需要加强安全域边界的安全防护。区域之间依据业务及安全的需要配置安全策略，有效实现信息系统合理安全域划分。解决方案7.1安全建设项目规划7.1.1安全建设内容规划根据安全建设目标和信息系统安全总体方案的要求，设计分期分批的主要建设内容，并将建设内容组合成不同的项目，阐明项目之间的依赖或促进关系，具体活动内容包括：确定主要安全建设内容：根据信息系统安全总体方案明确主要的安全建设内容，并将其适当的分解。主要建设内容可能分解但不限于以下内容：安全基础设施建设；网络安全建设；系统平台和应用平台安全建设；数据系统安全建设；安全标准体系建设；安全管理体系建设。确定主要安全建设项目：组合安全建设内容为不同的安全建设项目，描述项目所解决的主要安全问题及所要达到的安全目标，对项目进行支持或依赖等相关性分析，对项目进行紧迫性分析，对项目进行实施难易程度分析，描述项目的具体工作内容、建设方案，形成安全建设项目列表。郎丰利整理制作7.1.2形成安全建设项目计划根据等级保护的建设目标和建设内容，在时间和经费上对安全建设项目列表进行总体考虑，分到不同的时期和阶段，设计建设顺序，进行投资估算，形成安全建设项目计划，具体活动内容包括：规划建设的依据和原则；规划建设的目标和范围；信息系统安全现状；信息化的中长期发展规划；信息系统安全建设的总体框架；安全技术体系建设规划；安全管理与安全保障体系建设规划；安全建设投资估算；信息系统安全建设的实施保障等内容。根据某医院的具体情况，结合安全建设项目规划，具体的方案设计如下分析。7.2网络安全建设方案拓扑图图2某医院等级保护建设方案网络拓扑说明：（1）区域划分：网络架构上，建议分区域进行部署，并且在出口处部署上网行为管理。整体上规划后，利用原有的防火墙，将网络进行分区建设，分别为互联网接入区、专线接入区、数据中心区、安全管理域区、办公终端区、智能网接入区等区域。（2）安全设备替换：在网络数据中心，增加下一代防火墙。下一代防火墙在数据中心区域隔离，并且包含入侵防御系统、WEB应用防护、实时漏洞发现、僵尸网络检测等功能。实现网络中L2-L7层的安全防护。（3）外部接入安全：对于外部老师接入或者运维人员接入的时候，可以通过SSLVPN来实现，并且可以通过VPN来实现接入认证和权限划分。并可以通过VPN实现远程维护、移动办公等需求。同时将对每个来自外部接入的人实现审计。满足有据可查的要求。（4）重要数据查询审计：系统通过对被内部人员的数据库操作及运维操作等网络行为进行解析、分析、记录、汇报，可以帮助用户进行事前规划预防、事中实时监视、事后合规报告、事故追踪溯源，加强内外部网络行为监管。进而完善业务系统的安全防范体系，满足组织机构内外部合规性要求，全面体现管理者对业务系统信息资源的全局把控和调度能力。（5）保障网络的堡垒机：它通过对自然人身份以及资源、资源账号的集中管理建立“自然人—资源—资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、避免核心资产（服务器、网络设备、安全设备等）损失、保障业务系统的正常运营。7.3技术详细设计说明按照等级保护完整和标准的评审方案，需要严格按照“安全计算环境设计、安全区域边界设计、安全通信网络设计、安全管理中心设计”来进行设计，考虑到二级等级保护要求，和医院的自身情况，将标准方案进行简化，重点在网络边界和安全管理中心进行说明，整体上能够满足等级保护的合规性要求，同时还具备新的安全技术，应对未知威胁。7.3.1安全域划分说明安全域的划分是网络防护的基础，事实上每一个安全边界所包含的区域都形成了一个安全域。这些区域具有不同的使命，具有不同的功能，分域保护的框架为明确各个域的安全等级奠定了基础，保证了信息流在交换过程中的安全性。在本项目中，将严格按照信息系统的重要性和网络使用的逻辑特性划分安全域，根据某医院网络与信息系统各节点的网络结构、具体的应用以及安全等级的需求，按照技术体系中网络安全规划，将某医院系统划分为六个安全域。依据安全域划分原则，同一安全域拥有相同的安全等级和属性，互联网接入区、专线接入区、数据中心区、安全管理域区、办公终端区、智能网接入区是相互信任的，安全风险主要来自不同的安全域互访，需要加强安全域边界的安全防护。区域之间依据业务及安全的需要配置安全策略，有效实现信息系统合理安全域划分。7.3.2基础安全建设方案物理安全机房建设说明：制作两个2200×2000的内嵌式防盗网，后使用膨胀螺丝固定到相应位置，防盗网安装完成后与墙壁形成一个平面，不外露。如图在机房四个位置部署监控，便于实时监控机房情况。安装一套监控PC管理软件到客户提供的虚拟机内，用来管理所连接的摄像头，并对录像实时存储，录像保存时间为1个月。更换原有的机房门卫防火门。封堵原来裸露在机房内的水管，消除安全隐患。整理机柜设备杂乱的线路：连接设备的网络跳线、光纤跳线和电源线及时进行整理，导致现大量设备上架后，各个设备连接线路杂乱无章，且各个设备之间连接线束未做标识，对后期维护造成不便利性，现需对机房内所有几个进行整理。机柜网络跳线整理、机构光纤跳线整理、机柜上架的设备电源线整理、机柜所安装的设备合理上架部署。航医院机房有一条水下管直接从三楼机房内直穿而下，严重影响了机房的整体美观，现需对下水管进行封装。对整条下水管采用防火硅膏版进行直角封装，与墙柱做成一个整体，形成一个假墙柱。完成下水管封装好后，对整个假墙柱进行扇灰，封面工序，使其成为一个整体。互联网出口区域安全设计互联网接入区域：提供统一的对互联网威胁的防护能力，完整的防御能力需要通过抗DDOS、防火墙、入侵防御、防病毒网关、上网行为管理等设备进行网络边界的安全防护，提供外网用户对网内数据访问的安全保障。根据医院情况及现有网络安全技术的发展分析，可以考虑通过融合性的安全设备进行部署，在满足等级保护合规性要求的前提下，还可以提高联动防御能力，减少设备的单点故障同时也降低了运维的难度，另一方面，还可以降低安全减少成本。如下分析：在某医院互联网出口，部署上网行为管理设备，除了开启应用控制功能外，还开启日志审计和流量管理功能。考虑互联网出口链路负载均衡性能，考虑设备冗余性，在二期规划双机部署。设备选型要求：在互联网出口，在互联网出口100M计算的。在设备选型上，考虑到3-5年的规划，某医院互联网出口下一代防火墙和上网行为管理及链路负载均衡选型按照1G出口选择。如下：设备性能功能要求部署区域上网行为管理2U机架式结构；4个千兆电口，4个千兆光口；适用网络带宽1G；吞吐量≥3.5Gbps；用户规模≥25000人具备应用控制、IPSecVPN、网络安全审计、流量管理等功能互联网出口区域数据中心区域安全设计在数据中心区域，目前的网络现状是数据中心整体部署，没有将重要服务器和次要系统进行分离，比如对外发布网站与内部系统的分离。具体分析如下：对外发布服务器：是指对外网访问者提供服务的网站、外网邮箱等，可通过Web防火墙和网页防篡改进行对服务器的安全保护。内网服务器：目前医院的网络中内网服务器，包括信息系统所在的服务器群，主要有HIS系统、财务系统等，同时包括系统所涉及的配套基础，如数据库、存储等设备。跟进等级保护建设基本要求，对重要区域进行划分和防护，如果服务器就直接接在单一的WAF设备再接到核心交换上，将会存在很大的安全风险。目前的网络架构中是未分开的，可以做进行一步调整。设计方案如下：在数据中心区域即服务器区，前面未部署相关安全设备，而且是内部用户直接与核心交换相接。所以在本方案中，建议部署下一代防火墙设备，对服务器的安全进行防护，而且下一代防火墙开启IPS+WAF功能，能够实现L2-L7层的安全防御，同时降低安全建设成本，采用融合性安全设备降低设备单点故障风险。设备选型要求：在设备选型上，根据医院的规模和梳理流量，具体分析如下：设备性能功能要求部署区域备注下一代防火墙2U机架式结构；6个千兆电口；4个千兆光口；并发连接≥250万；二层吞吐量≥16Gbps应用层吞吐量≥6Gbps；每秒新建连接数≥25万具备入侵防御、WEB应用防护、僵尸网络检测、WEB扫描等功能数据中心区域替换原有的WAF设备，或做设备异构安全管理区域安全设计安全管理安全域：如果是传统的安全建设中，网络安全管理安全域是指通过安全管理平台、日志审计、运维审计等系统对全网进行安全管理的区域，根据二级等保要求，目前的建设可以上必要的部分。重点在于远程运维，远程接入等部分的安全建设。分析如下：在安全管理区域，目前只是考虑在某医院部分部署SSLVPN、数据库审计系统，SSLVPN主要是用来做的远程接入的，包括医务人员移动办公和第二方运维人员的接入，并且做好权限的划分。设备选型要求：设备选型中，主要是考虑用户的数及并发用户情况。目前医院专业技术人员有3800人，预计并发在500左右。具体分析如下：设备性能功能要求部署区域SSLVPN标准1U设备，SSL最大加密流量250Mbps，支持SSL理论最大并发用户数1200个，4个千兆电口；支持IPSEC/SSLVPN二合一网关，操作系统及IPSEC/SSLVPN二合一软件。能够实现远程接入，保障数据的传输加密。安全管理区域数据库审计2U机架式结构，接口≥6个千兆电口，4个千兆光口，存储空间≥2T硬盘。具备20000条SQL/秒级吞吐量,20亿条日志存储。内置大量SQL安全规则，包括如下：导出方式窃取、备份方式窃取、导出可执行程序、备份方式写入恶意代码、系统命令执行、读注册表、写注册表、暴露系统信息、高权存储过程、查询内置敏感表、篡改内置敏感表等。安全管理区域堡垒机对自然人身份以及资源、资源账号的集中管理建立“自然人—资源—资源账号”对应关系，实现自然人对资源的统一授权，同时，对授权人员的运维操作进行记录、分析、展现，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放，加强内部业务操作行为监管、避免核心资产（服务器、网络设备、安全设备等）损失、保障业务系统的正常运营安全管理区域7.4方案优势7.4.1下一代防火墙下一代防火墙是一款真正的一体化应用层防护设备，基于对应用层的深入研究，从丰富的防护种类和精确地防护精度入手，为用户提供了立体、高效、全面的应用安全防护。入围Gartenr魔力象限。立体防御体系IPS漏洞防护包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/IPS逃逸攻击等服务器防护保护服务器免受基于Web应用的攻击，如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解；支持URL过滤、文件类型过滤、ActiveX过滤、脚本过滤等病毒防护基于流引擎查毒技术，可以针对HTTP、FTP、SMTP、POP3等协议进行查杀威胁情报预警能够针对当前网络最新的发展和网络漏洞进行通报并能够进行防御。用户/业务安全状况可视下一代防火墙提供的实时漏洞分析功能，可以根据经过设备的web业务流量主动分析其中存在的风险并实时展示出来，实时监控界面上可以根据服务器真实存在的漏洞多少进行排名，同时会给出各个业务系统风险情况的评估，并给出建议解决方案。下一代防火墙还提供强大的综合风险报表功能，从业务和用户两个维度对网络中的安全状况进行整体分析，按照受攻击类型、漏洞类型和威胁类型进行统计分析，并根据每个业务对应的服务器IP进行针对性的安全分析，提供相应的服务安全说明，使得报表的可读性更高，方便用户从报告中分析出下一步的安全加固策略。下一代防火墙可通过应用可视化功能与用户识别技术结合制定L3-L7一体化应用控制策略,可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率。同时通过对终端用户威胁的分析以直观可视的界面展现终端用户的风险，让终端用户的安全风险一目了然。独特的双向安全防护下一代防火墙具备L2-7层的攻击防护技术，使防护技术不存在短板。不仅仅需要防护外部攻击，并能检查服务器/终端外发流量是否有风险，弥补了传统安全设备只防外不防内的漏洞，可检测服务器外发数据是否有泄密或篡改，也可检测互联网终端电脑是否被黑客控制。为终端+对外发布服务器的统一互联网出口提供更完整的安全保障。先进的僵尸网络检测与沙箱分析技术下一代防火墙独有的僵尸网络检测隔离功能，能够实时对外发流量进行检测，协助用户定位内网被黑客控制的服务器或终端。该功能融合了僵尸网络识别库，利用业界领先的僵尸网络识别检测技术对黑客的攻击行为进行有效识别，针对以反弹式木马为代表的恶意软件进行深度防护。僵尸网络识别库数量超过15万条，并由攻防团队实时更新。同时，下一代防火墙建立完善安全云平台，在云平台中结合沙箱技术可以捕获流量中的异常流量。将这些流量在沙箱虚拟化环境中运行，通过监控注册表修改、进程创建、文件系统修改来发现未知威胁、“0day”漏洞攻击。通过云联动技术，将同时形成新的恶意软件识别策略下发到全球所有设备的规则库上，共同抵御未知威胁和令人生畏的APT攻击。7.4.2互联网出口上网行为管理系统互联网出口部署了上网行为管理设备，为可以帮助贵公司提供一整套统一的有线、无线网络上网行为管理解决方案。这即满足了安全合规管理的要求，又提升了IT运维效率，还提升了用户上网的操作体验。连续9年获得市场占有率第一名。为了针对不用角色身份的用户，避免身份冒充、权限滥用等出现，提供即安全又便捷的认证方式，上网行为管理可以提供如下多种身份认证。内部员工认证支持本地认证功能，包括Web认证、用户名/密码认证、IP/MAC/IP-MAC绑定、USB-Key等。通过本地认证功能，能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。支持与LDAP、Radius、POP3等外部认证服务器或者SAM、CAMS等认证计费系统结合进行身份认证。当用户在认证服务器上进行认证后，AC能够获取用户认证信息，用户不用在AC上进行第二次身份认证，形成单点登录，避免重复认证所带来的麻烦。通过身份认证功能，AC能够准确识别上网用户，从而对该用户进行上网行为管理，而对于未通过认证的用户则限制其网络访问权限。外来访客认证为了省去复杂的临时账号申请机制，让外来访客便捷的接入网络，但又满足合规要求。上网行为管理AC提供了短信认证、微信认证、二维码认证等多种方式，当来宾接入网络后，系统会自动推送出专门针对来宾访客认证界面。短信认证：来宾只需要输入手机号码，获得并输入短信验证码后，就可以获得上网权限。而且为了简化用户操作，与传统的短信验证相比，用户只需要点击3次既可完成，十分便捷，不需要在浏览器和短信界面来回切换。微信认证：访客认证页面会自动提醒来宾需要关注组织的“官方微信公众账号”，并发送上网请求，才能获得上网权限。这可以帮助组织推广社交媒体的粉丝数量，更好的帮助组织推广品牌宣传。二维码认证：访客认证页面会自动弹出一个二维码，只有内部接待人员用自己的移动终端扫描二维码，确认同意后，访客才能获得上网权限。而且，为了满足合规要求，接待人员，可以在页面上备注来宾身份信息，便于后续查找。灵活细致的权限控制多维度的灵活策略为了针对一个用户有多台BYOD终端进行灵活、细致的策略管控，AC可以识别各种终端类型，包括windows、IOS、安卓、phone、pad等类型，还可以识别出用户接入网络的位置，包括有线、无线、办公位、会议室等等。从而制定用户的上网策略时，可以从用户角色、使用终端类型、所在区域位置等维度进行组合，来制定精细的控制策略。比如用户角色A，在办公位置上使用PC接入，可以访问权限较多；但在接待区通过无线网络，使用iPad接入网络时，只有上网权限，不能访问内部安全界别较高的应用系统等。移动APP管控为了满足移动终端的管理需要，上网行为管理系统可以针对数百种移动终端的APP、云应用，防止员工通过移动终端来进行和工作无关的应用，避免工作效率的下降。防止非法AP和代理上网行为管理系统通过技术创新，可以精准的识别出，当前网络中员工私自架设的无线AP，代理应用，从而防止带宽资源的滥用，防止黑客通过非法AP接入企业网络入侵。应用标签化管理员可通过AC对应用或具体细分动作进行标签化，例如，迅雷下载定义为“高带宽消耗”标签、网盘的上传动作定义为“泄密风险”标签等。管理员在制定策略时，可通过标签来选择相应的应用或细分动作，不用逐个选择，从而避免错选漏选，提高管理效率。7.4.3远程接入SSLVPN1、SSLVPN安全网关支持LocalDB、LDAP/AD、Radius、第二方CA、自建CA、Dkey、短信认证（短信猫和短信网关）、硬件特征码、动态令牌多种安全认证方式，最大限度地保证了接入用户的合法性。已连续7年获得市场占有率第一名。2、登录过程简化，单点登录功能，当通过SSLVPN发布了众多的应用系统之后，每登录一个应用系统都需要输入对应的用户名和密码才能够正常登录。但是众多的应用系统密码很容易是人搞混或者忘记，导致工作效率严重下降，为了避免记忆众多的应用系统密码而带来的麻烦，因此引入单点登录功能，您只需要登录SSLVPN系统后就可以直接登录到应用系统，避免再次手动输入用户名密码带来的麻烦，从而提高访问效率。3、远程应用发布功能，远程应用发布方案包含了多种技术及管理策略，全方位保证远程办公中的数据安全；同智能终端完美结合，自主研发SRAP传输协议提供畅快的使用体验，方便客户快速开展业务；涵盖当今主流智能终端操作系统，满足不同人群的个性需求。4、资源智能递推的实现，对于管理员来说，不需要针对门户中的多级域名和多级链接逐个添加资源，通过智能探测可以自动放通，大大降低管理员工作量，降低管理成本；而对安全性的考虑，对于管理员来说只需要将门户的域名添加到资源中，无需再去添加多级链接中的其他资源的IP和端口，大大降低了因开放多个IP和端口所带来的安全隐患，提高安全性。5、完善的日志系统SSLVPN网关提供了调试、信息、告警、错误四个级别的运行日志，帮助管理诊断系统。并提供了用户访问记录审计和报表来记录、跟踪用户行为。由于VPN网关的存储空间有限，SANGFORSSLVPN还提供了独立的日志中心。通过第二方的日志中心，管理员可按照饼图、柱状图、曲线图等多种显示方式对服务的被访问次数、被拒绝次数，用户的登录次数、告警次数等进行直观显示，并可直接打印和导出。SANGFORSSLVPN安全网关丰富的日志中心，为网络管理员和决策者了解VPN资源的详细使用情况提供了最有效的数据支持。7.4.4数据库审计系统为了解决数据库信息安全领域的深层次、应用及业务逻辑层面的安全问题及审计需求，在核心数据库前部署数据库审计系统，对所有通过业务系统新增、更新、删除数据的操作行为进行审计，通过系统的协议分析、重组，将每个操作进行详细地审计，包括业务系统提交的报文、客户端、服务器端、返回的状态、策略等信息。主要功能具体实现如下：部署管理：采用B/S管理方式，无需在被审计系统上安装任何代理；无需单独的数据中心，一台设备完成所有工作；提供图形用户界面，以简单、直观的方式完成策略配置、警报查询、攻击响应、集中管理等各种任务。支持IPv6协议，可识别IPv6协议的数据流，支持基于IPv6地址格式的审计策略。数据库安全：内置大量SQL安全规则，包括如下：导出方式窃取、备份方式窃取、导出可执行程序、备份方式写入恶意代码、系统命令执行、读注册表、写注册表、暴露系统信息、高权存储过程、执行本地代码、常见运维工具使用grant、业务系统使用grant、客户端sp_addrolemember提权、web端sp_addrolemember提权、查询内置敏感表、篡改内置敏感表等。风险分析：支持以时间、源IP、客户端程序、业务系统、数据库用户、数据库名、操作类型、表名、返回行数、影响行数、响应时长、响应码、策略、规则、风险级别、SQL模版为条件的数据库风险查询。7.4.5堡垒机目前，越来越多的单位面临一种或者几种合规性要求。比如，在美上市的中国移动集团公司及其下属分子公司就面临SOX法案的合规性要求；而商业银行则面临Basel协议的合规性要求；政府的行政事业单位或者国有企业则有遵循等级保护的合规性要求。堡垒机提供了一种独立的审计方案，有助于完善组织的IT内控与审计体系，从而满足各种合规性要求，并且使组织能够顺利通过IT审计。对单位的业务系统来说，真正重要的核心信息资产往往存放在少数几个关键系统上，通过使用堡垒机，能够加强对这些关键系统的访问控制与审计，从而有效地减少核心信息资产的破坏和泄漏。一个单位里负责运维的部门通常拥有目标系统或者网络设备的最高权限（掌握root帐号的口令），因而也承担着很高的风险（误操作或者是个别人员的恶意破坏）。由于目标系统不能区别不同人员使用同一个帐号进行维护操作，所以不能界定维护人员的真实身份。堡垒机提供基于主从帐号授权的访问控制与审计实名制，不但能够有效地控制运维操作风险，还能够有效地区分不同维护人员的身份，便于事后追查原因与界定责任。从内控的角度来看，IT系统的使用权、管理权与监督权必须三权分立。在三权分立的基础上实施内控与审计，有效地控制操作风险（包括业务操作风险与运维操作风险）。堡垒机实现独立的审计与三权分立，完善IT内控机制。全网业务资产可视化主动识别资产：通过安全检测探针可主动识别业务系统下属的所有业务资产，可主动发现新增资产，实现全网业务资产的有效识别；资产暴露面可视化：将已识别的资产进行安全评估，将资产的暴露面进行呈现，包括开放的端口、可登录的web后台等；全网业务访问关系可视化 业务系统访问关系：通过访问关系学习展示用户、业务系统、互联网之间访问关系，通过颜色区分不同危险等级用户、业务系统，可视化的呈现以识别非法的访问；业务系统应用及流量可视化：业务系统的应用、流量、会话数进行可视化的呈现，并提供流量趋势分析。内部攻击可视化内部横向攻击行为检测：对越过边界防护，或以内部主机为跳板的横向攻击，进行实时检测与报警，包括对内扫描、对内利用漏洞进行病毒传播、对内进行L2-7的攻击行为等；违规操作可视化违规访问行为检测：结合全网的资产及访问关系可视，将违规访问业务系统的行为进行可视化的呈现，防止进一步可能存在的攻击，并向管理员预警；异常行为可视化业务资产异常行为检测：包括业务资产在非正常时间主动发起的请求、业务主动向外发起非正常请求（如DNS请求）等异常行为预警可能存在的安全威胁；潜在风险的访问路径：将可能失陷的终端对业务系统的访问路径、存在异常流量及行为的终端/服务器的访问路径进行预警，帮助管理员进行临时安全策略调整；详细安全整改方案设计总体安全方针与安全策略是指导医院所有信息安全工作的纲领性文件，是信息安全决策机构对信息安全工作的决策和意图的表述。总体安全方针与安全策略的作用在于统一对信息安全工作的认识，规定信息安全的基本架构，明确信息安全的根本目标和原则。本方案中，重点在技术设计部分，管理部分根据差距分析结构调整即可。建立具有高可操作性的考核体系，以加强安全策略及各项管理制度的可落实性。8.1对外业务服务网站系统是医院的门户和互联网业务的窗口，具备较高的资产价值，极易成为黑客攻击目标，造成页面篡改、服务不可用、重要数据失泄密等一系列安全问题。如果不能及时发现和解决，就会造成多方面的严重后果。但是现有防御手段存在滞后的问题。通过安全服务云、端点安全插件以及下一代防火墙的“防御、检测、响应”体系，可以帮助用户对网站业务进行持续的安全威胁检测，第一时间发现各种安全事件，并通过云端专家为用户提供7*24小时的应急响应处置和持续加固服务。快速检测：业务可用性检测：云端实时检测网站业务是否可以正常访问攻击趋势分析：从行业、地域、攻击手段进行大数据分析，还原攻击事件、黑客组织、热点威胁的关联，发现APT攻击隐患网站异常检测：云端实时发现网站被篡改、挂马、植入黑链等异常事件失控主机检测：下一代防火墙和终端安全插件第一时间发现已经被入侵控制的网站主机未知威胁检测：结合云端威胁情报共享，实时发现主机上各种隐藏未知威胁周期性漏洞检测：定期漏洞扫描并输出漏扫报告，第一时间推送用户动态安全检测：用户资产异动、云端特征更新触发动态安全检测快速响应：微信实时告警：7*24微信实时告警，推送安全播报、漏洞事件、待处置隐患等一键快速处置：当页面被篡改时，分钟级响应联系用户处理，并通过联动生成“维护中”页面以替换被篡改的页面（云WAF支持）专人专职跟进：5分钟内快速响应事件，微信告警中指定应急专员全程跟进，提供在线咨询或直接处置服务，直到问题关闭并推送处置报告智能辅助决策：安全告警触发云端知识库匹配，在线提供解决方案和配套工具，为应急专员提供全程备选方案支撑持续加固：安全策略调优：快速协助用户调整安全策略，免遭进一步威胁影响问题原因溯源：云端专家会诊，辅助深挖问题原因，提供专业加固建议处置报告推送：依据安全事件处理情况推送问题处置报告达到的防御效果如下：总结：通过安全服务，将安全设备的配置进行落地，对网站的安全风险进行实时的检测，并且通过微信的方式进行推送，在推送安全风险的同时，给出相关的解决办法。8.2门户网站安全检测门户网站系统问题极易成为黑客攻击目标，造成页面篡改、服务不可用、重要数据失泄密等一系列安全问题。或者存在较大安全隐患。但网站的安全问题并没有因为投入增多而下降，网站的安全问题已经成为众多用户网络安全建设之痛：部署了安全设备，网站安全仍然难以解决。静态防御容易绕过：传统的产品堆砌式防御机制（如IPS、防火墙、WAF等）基于静态特征的防御，大都基于已知特征策略防护。并且防御部署了，安全基本就不管了，但只要是有耐心的黑客，通过0Day、社工等方式总是可以突破的。定期检测隐患多：传统的安全服务为用户定期发现网站漏洞提供了技术依据。但由于传统的安全服务都是周期性的（如二月/次的渗透服务），而网站更新之快、新网页上线频率高，导致传统服务无法实时的获取网站的漏洞。解决办法：建立“边界+云服务”安全体系，网站的安全建设的基础是通过本地静态防御不断提升黑客的攻击成本，此外，应对新的安全问题和传统服务的问题，还需要结合安全云的能力，通过云端联动、实时监测、风险感知构建“云+边界”的综合防御、检测、响应的能力。以此来解决静态防御容易被绕过、检测响应不够及时的问题。智能分析平台+云端专家团构成的云端智能安全服务具体实现的技术框架如下，通过本地安全防御与云端安全组件进行联动，同时通过安全专家的在线支持，缩短安全建设时间。本地与云端实时风险监测中心形成联动，7*24小时监测网站的风险，包括攻击态势、网站漏洞、安全事件二个维度，第一时间发现网站的风险；并微信平台为用户提供可视化的安全风险分析报告。第九章方案预算设备名称基本要求数量单位价格下一代防火墙（服务器）2U机架式结构；6个千兆电口；4个千兆光口；并发连接≥250万；三层吞吐量≥16Gbps；应用层吞吐量≥6Gbps；每秒新建连接数≥25万内含传统防火墙基本防护功能、抗拒绝服务攻击、网关杀毒、恶意代码防范等功能，包含IPS+WAF+僵尸网络识别+WEB扫描功能。1台上网行为管理（出口）2U机架式结构；4个千兆电口，4个千兆光口；适用网络带宽1G；吞吐量≥3.5Gbps；用户规模≥25000人，内含包含上网认证、终端检查、访问控制、行为监控、外发管理、流量管理、统计报表等功能等功能。互联网出口区域，包括流量管理、应用控制等功能1台数据库审计2U机架式结构，接口≥6个千兆电口，4个千兆光口，存储空间≥2T硬盘。具备20000条SQL/秒级吞吐量,20亿条日志存储。条SQL语句存储,以对SQL语句进行安全检测，并识别当前的SQL操作是否有暴库、撞库等严重性安全问题，如果命中了安全风险规则，那么可根据动作进行阻断、告警、记录等操作，可提示管理员作出相应的防御措施。1台SSLVPN标准1U设备，SSL最大加密流量200Mbps，支持SSL理论最大并发用户数1000个，4个千兆电口，4个千兆光口；内含SSL远程计入功能，同时包含用户认证、智能终端接入等功能。本项目具备300个授权。1台堡垒机御堡垒机是针对业务环境下的用户运维操作进行控制和审计的合规性管控系统1台施工及服务包括门禁、监控、防盗窗、水管等施工及材料2个产品服务1.总部及分支现场安装、调试

2.软件操作使用培训(现场培训及集中培训)技术支持及维护3.同等功能的软件升级服务

4.远程调试及故障排除

5.上门服务(远程无法解决的问题)1年合计第十章XX维保及服务支持10.1项目支持服务简述服务工作流程包括：需求说明书-1号服务文档-了解客户实际需求-提交1号文档：项目需求说明书解决方案