2023医院网络安全规划体系方案(等保、密码)

智慧医院网络安全建设规划方案

目录一、 概述 21.1项目背景 21.2编制依据 3二、 安全现状 4三、 安全保障目标 4四、 安全风险分析 5五、 网络安全建设方案 75.1总体建设目标 75.2项目建设思路 75.3项目建设内容 75.4安全建设方案 115.4.1网络安全建设方案 115.4.2网络安全建设规划拓扑 155.4.3密码应用建设方案 165.4.4密码应用用建设规划拓扑 185.5安全建设产品及预算 19六、 合规性分析 266.1网络安全等级保护合规性分析（技术部分） 266.2密码应用基本要求合规性分析（技术部分） 316.3智慧医院建设（网络安全部分） 35

概述1.1项目背景xxx随着“智慧医院”建设和医院信息化的不断发展，医院各项工作的开展都不同程度的采用了信息化系统（电子病历、预约诊疗、智能导诊、电子支付等），信息系统在医院中的角色也越来越重要，现代医院的发展建设已经和信息化建设结合为一体；而医疗作为关乎民生的重要行业，在巨大商业利益的驱使下，医疗行业的数据、个人信息等面临来自内部威胁和外部威胁的双重包夹。一旦数据泄露，不仅影响医院公众形象，甚至损害患者的个人利益，更是为本就紧张的医患关系又增加了不和谐的色彩。而《网络安全法》的出台，也让网络安全的责任界定有了更为明确的责任主体。因此如何保证医院信息系统安全成为医院信息化建设中需重视的问题。国家公安部、保密局、国家密码管理局、国务院信息化领导小组办公室联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通知》和《信息安全等级保护管理办法》、智慧医院建设相关标准，要求涉及国计民生的信息系统应达到一定的安全等级，根据各类文件精神和等级划分的原则，三级医院信息系统构筑至少应达到三级等保防护要求。根据中共中央办公厅国务院办公厅关于印发《金融和重要领域密码应用与创新发展工作规划（2018-2022年）》的通知中明确说明，金融和基础信息网络、重要信息系统、重要工业控制系统及面向社会服务的政务信息系统等重要领域的网络安全，事关国家政治安全、经济安全、文化安全、社会安全和生态安全。密码是保障网络安全的核心技术和基础支撑，在维护国家安全、促进经济社会发展、保护人民群众利益中发挥着不可替代的重要作用。《中华人民共和国密码法》的颁布实施，从法律层面为开展商用密码应用提供了根本遵循。同时公安部2020年9月发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》中也要求等保第三级及以上网络应正确、有效采用密码技术进行保护，并使用符合相关要求的密码产品和服务。要在网络安全等级测评中同步开展密码应用安全性评估。依据《商用密码应用安全性评估FAQ（第二版）》指导文件，三级等保系统的密码应用建设要求应达到第三级密码应用基本防护要求。因此在整个医院信息化进程中需参照《网络安全法》、《数据安全法》、《密码法》、《网络安全等级保护基本要求》、《全国医院信息化建设标准与规范》和智慧医院建设的相关政策文件标准；在信息化建设规划中补充适当的网络安全防护措施，确保信息化建设和网络安全建设达到“同步规划”、“同步建设”、“同步使用”；以此保障核心业务系统稳定、持续、安全可靠的运行。1.2编制依据《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》GB/T22239-2019《信息安全技术网络安全等级保护基本要求》GB/T39786-2021《信息安全技术信息系统密码应用基本要求》GB/T25058-2019《信息安全技术网络安全等级保护实施指南》GBT25070-2019《信息安全技术网络安全等级保护安全设计技术要求》GB/T28448-2019《信息系统安全等级保护测评要求》GB/T18336《信息技术-安全技术-信息技术安全性评估准则》GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》GB/T35281-2017《信息安全技术移动互联网应用服务器安全技术要求》GB/T35273-2017《信息安全技术个人信息安全规范》《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》《关于大力推进智慧医院建设的通知》（川卫发〔2019〕51号）《国家卫生健康委办公厅关于印发医院智慧管理分级评估标准体系（试行）的通知》

安全现状XX医院目前整体网络区分为互联网（以下简称外网）和工作内网（以下简称内网），整体网络架构采用三层层次化模型网络架构，即由核心层、汇聚层和接入层组成，关键网络节点处均采用冗余双机。全网办公用计算机300台。XX医院现有网站、微信公众号、微信挂号、电子病历、LIS、HIS、PACS等业务系统。整体网络基于业务基本使用需求已构建有基本的安全防护措施，整体安全防护措施如下：网络中重要节点处部署有防火墙、IPS（特征库过期），能实现网络边界的安全隔离、入侵防范、病毒防范和访问控制。全网办公终端部署有防病毒软件。外网区域与内网区域采用防火墙+网闸的方式建立安全数据交换通道。网络中部署有堡垒机，实现对运维操作人员的运维管理和审计。本地数据中心建设一部分采用独立的物理服务器，一部分采用超融合的方式；超融合平台采用分布式架构和虚拟化特性为业务系统带来了极强的可靠性、稳定性；在数据备份层面，采用本地备份和超融合平台自身的容灾机制实现；互联网网站采用第三方托管方式；外网区域业务（微信公众号、微信挂号等）未来将部署于公有云上，公有云部分采用运营商专线与本地局域网互连。安全保障目标按照XX医院网络划分和业务的基本现状，对本次安全建设的保障目标梳理如下：互联网侧：安全保障目标主要为互联网侧的业务系统（网站、微信公众号、微信小程序挂号、OA系统等）注：网站和互联网侧业务分别采用第三方托管和业务上云的方式，因此互联网侧业务的基本安全防护由托管方和公有云运营方负责，不在本次项目考虑范围之内。但针对相关业务系统也应建立定期查看、巡检等工作机制，确保安全可控和安全事件的及时处置。工作内网侧内网各重要网络边界（纵向与外部专网、服务器区边界）内网人员安全管理内网区主机（办公PC和服务器主机）终端安全防护内网侧远程接入人员的管控和安全防护内网核心业务系统（HIS、LIS、PACS、EMR等）的安全防护安全风险分析XX医院本地外网侧因不存在业务系统，因此存在的安全风险主要是公有云业务系统数据与医院本地网络间的数据传输风险。XX医院内网与外部网络通过网闸进行网络隔离，但由于日常的操作流程不规范、网闸配置不合规（透明、协议全通）、一机两网等情况，仍有极高的概率遭受外部网络的安全攻击和入侵。同时医院内网与医保等外部专网互联互通、办公终端分布广、使用人员多等情况，也同样存在外部专网的安全入侵风险、内网办公终端安全风险、内网侧远程人员安全接入等风险。整体网络遭受外部网络攻击、高级威胁攻击、网络病毒攻击、U盘病毒、内部业务系统使用等风险依然非常艰巨。具体风险如下：勒索病毒风险：医院业务信息系统的具备高时效性和高价值性，基于利益趋向的勒索病毒是医疗安全的主要威胁。一旦医院核心信息化系统的瘫痪，对于医院、患者来说，损失是非常巨大的，甚至危及患者的生命安全；医院中的医学记录、数据、病患资料以及预约信息等等，都属于需要紧急使用的信息，被加密后势必会想尽办法以最快速度恢复数据，恶意攻击者也正是看中了这一点，使得医疗行业成为了勒索病毒的重灾区。内网安全风险：由于内网与外部互联网的物理隔离和封闭性，内网的人为意识行为风险实际上已成为医院内网最大的风险源，急需通过安全意识提升并结合技术管控手段进行风险控制。具体安全风险如下：（1）内网终端通过4G/5G/WIFI等方式违规接入外网的风险，正式由于内网的封闭性，个别人员为了方便些将内网与其它网络通过某些技术手段打通，这将给某些潜伏的APT机会，将敏感的数据、文件泄露到外部网络；（2）通过U盘在外网电脑和内网电脑间互相拷贝数据，工作U盘与私人U盘混用，随意下载各类互联网文件等情况，极有可能将病毒、木马、潜伏攻击等带入终端电脑，进而引发大面积的网络病毒事件。（3）第三方运维接触敏感信息导致泄露的风险，医院内网业务系统众多，由于科室人员有限绝大部分的应用系统由第三方或应用系统厂商代维，有机会接触到一些敏感信息和数据，这部分人员安全和法律意识参差不齐，不免为了一己私利泄露和盗取相关信息；（4）内部人员未经授权访问和操作敏感信息的风险，因此需加强统一认证、权限控制、过程审计方面等技术能力，强化重要系统的内控机制是确保信息泄露的关键技术措施和手段。内网边界风险：医院内网与医保、社保等外部专网互联互通，从以往众多医疗网络安全事件案例来看，外部专网数据中也有极大的可能存在病毒、木马、APT等，给医院自身内网的安全会造成极大的威胁；在纵向的医院内网边界接入区，存在访问控制缺失、病毒、入侵事件蔓延的风险，例如：一旦某个医保、社保上级单位或下级其他医院网络中有勒索病毒、挖矿病毒，有很高的概率会蔓延到整个互联的医疗大网络中。应用防护风险：内网的网络业务访问、发布服务的WEB应用连通了内部局域网和外部网络，连通的同时带来了网络暴露面和安全威胁；据Gartner权威的调研报告数据显示，目前网络安全攻击有75%都是发生在Web应用层而非网络层面，面对Web应用攻击，最缺乏的就是针对服务端口、Web应用层漏洞、攻击的检测防护机制。Web应用安全是网络安全建设中的重中之重。高级威胁检测和统一安全管理缺失：传统的安全防护/检测设施主要基于特征、规则库，检测已知威胁没有问题，缺乏针对未知威胁检测能力；缺乏长周期、行为分析、关联分析的高级威胁检测能力，同时缺少基于安全事件全生命周期管控的技术措施。在传统的网络安全防护体系中，各种网络安全设备都具备一定的专向性，解决专一性问题，在网络安全运维过程中很多问题需要多种设备关联分析、配合操作才能够完成对应的网络防护要求，在这种情况下存在如下问题：1、对运维人员有极高的技术要求；2、对运维人员有极高的产品了解度要求；3、出错概率高；4、安全日志高信息量、安全日志高误报、人员高运维压力。资产管理风险：资产管理是网络安全管理的核心，只有准确的掌握了资产信息才能有的放矢定位安全漏洞，及时处理资产的安全事件，因此建议要建立健全资产入网和清查制度，定期对资产管理情况(新增、在线、离线、退网等)进行维护更新，确保资产台账清晰准确。外网-内网数据传输、交互风险：医院内网通过前置服务器+网闸的方式对外网侧数据进行采集和交换；极大可能存在敏感数据被恶意交换的风险；同时外网侧数据中有很大的可能存在病毒、木马、APT等，给内网的安全造成极大的威胁。网络安全建设方案5.1总体建设目标经过有步骤有计划的分阶段安全建设，以最大化满足合法合规为基础安全体系框架，通过解决真实存在的安全风险，辅以安全技术、安全管理、安全能力的提升；最终形成一套动态的可持续的主动防御体系；以网络安全中的安全事件为导向，对安全事件的事前、事中、事后进行全生命周期管控，通过事前监测、预警、风险评估、漏洞修复；事中防御处置；事后应急响应、威胁处置、取证溯源、漏洞验证、安全复测、事件报告等手段；构建一套动态可持续运转的纵深防护体系，以此达到对抗动态安全风险的目的。5.2项目建设思路本次安全建设规划通过对XX医院整体网络合理划分各类安全区域（数据交换区、内网接入区、内网核心交换区、内网服务器区、内网安全管理区、内网终端接入区），通过对各安全区域补充各类必要的安全防护措施；采用主动防御、纵深防御理念，依托统一安全管理平台、大数据分析、行为分析、高级威胁分析、威胁事件管理、欺骗防御、全流量溯源取证、零信任体系（终端和人员权限最小化）、商用密码应用等技术手段，结合第三方安全服务提供全方位、全天候、全时段的主动防护体系，保护组织核心业务不被网络攻击中断，保障组织核心业务数据不被窃取。在对已知威胁有较强的防御能力外，对于未知威胁也具有一定的防御能力。5.3项目建设内容依据项目建设目标和思路，针对XX医院本次项目建设内容如下：序号目标具体建设指标1最大化收拢网络暴露面（服务、端口）。1、通过对业务流程和应用进行全方位梳理，关闭一切非必要的端口和服务。2、通过部署零信任网关对医院内网和外网对外发布的服务进行代理，利用零信任网关“SPA单包先认证后连接技术”实现整个防护网络的隐藏，同时零信任网关只对经由认证通过的客户端开放，起到网络隐身的作用，最大化降低了医院外网和内网的对外暴露面。3、通过构建零信任体系，以应用及数据安全为核心，以密码、身份、授权、环境感知、可视、审计、隔离、访问控制为技术手段，将传统局域网网络边界，缩小到以人员为边界，通过对人员、应用的动态鉴权、授权，同时也实现了安全防护能力模型的升级。2资产排查梳理，资产全生命周期管理1、部署资产管理系统，通过自动发现、资产导入、主动采集等方式收集全网信息化资产，通过资产测绘、监测预警、资产画像、合规分析、资产全生命周期管理（上线、变更、退网）等技术能力，实现摸清家底，提高资产治理水平的目的。2、建立完善的信息化资产管理制度。3全方位终端安全管控1、通过部署终端安全管理系统，实现对医院终端的全方位安全管控。终端安全管理系统至少应具备如下终端安全管控能力：具备外设、移动存储介质管控能力具备防范内网设备非法外联能力具备远程协助、补丁管理和软件分发能力具备全面的有线、无线网络准入能力终端安全加固、基线检测和修复能力具备多网卡检测和限制能力具备网络隔离能力具备各类终端事件的审计能力具备主机防火墙、防病毒、勒索病毒免疫能力4纵深防御体系建设以分区分域，纵深防护、主动防御、动态防御、适度防护为基本设计理念，从防护、检测、响应、审计4个方面构建纵深防御体系。本次针对XX医院涉及的安全防护产品建议如下防护：通过在内网接入区域边界、内网服务器区边界、安全管理区边界、数据交换区边界等重要网络边界处根据实际需要部署各类安全防护系统，实现1-7层的安全防护。本次针对XX医院涉及的安全防护产品建议如下：下一代防火墙、WEB应用防火墙、蜜罐系统、终端防病毒软件、终端安全管理软件、零信任安全网关等。检测通过在内网核心交换机旁路部署专业检测设备，实现全网的威胁检测。本次针对XX医院涉及的安全防护产品建议如下：内网核心交换机旁路部署高级威胁分析平台和威胁检测探针（入侵检测）发现内网中的入侵、病毒、高级威胁、新型威胁、未知威胁等行为，同时相关检测数据可发送至安全管理平台进行关联分析。响应处置通过部署安全态势感知平台（统一安全管理）将全网孤立、碎片化的信息，汇聚、关联为可视化的信息安全事件；为全网安全威胁，预警、防御、应急处置、响应提供技术能力支撑，利用管理平台的工单和事件系统实现安全事件处置流程闭环。同时也可依托于态势感知平台和各类同品牌安全设施部署，实现联动和协同事件处置功能；审计通过在安全管理区部署各类安全审计设施，实现网络流量、网络协议、终端行为、数据库操作、运维操作、日志信息等的全方位审计。本次针对XX医院涉及的安全审计类产品建议如下：日志审计系统、堡垒机、数据库审计系统、全流量分析取证系统5安全服务建立常态化的安全服务机制，依托于安全运维人员、工作流程设置、态势感知平台和各类安全组件的技术支撑，构建一套基于事前监测、预警、风险评估、漏洞修复；事中防御处置；事后应急响应、威胁处置、取证溯源、漏洞验证、安全复测、事件报告的工作机制。实现对信息安全事件的持续闭环流程处置。常态化开展安全服务，对防御体系和安全风险持续改进，以专业技术人员（管理人员+第三方技术人员）为核心纽带将整体防御体系动态运转。本次针对XX医院涉及的安全服务建议如下：安全监测与分析服务渗透测试服务脆弱性发现与管理服务安全培训教育服务6商用密码应用建设密码应用建设主要关注的是数据本身，利用密码技术对产生、传输、存储的各个数据环节实现真实性、机密性、完整性和不可否认性保护。从XX医院业务使用场景总体来讲分为7个大类，整体类别和安全建设建议如下所示：1、人员身份真实性鉴别（业务用户、运维人员）通过国密USBkey+CA证书系统实现2、网络传输通道加密（人-系统、人-堡垒机、系统-系统（跨网））基于国密算法的网络加密机的IPSECVPN和SSLVPN功能实现3、数据传输机密性、完整性保护基于国密算法的SSLVPN功能实现数据传输机密性保护，应用系统调用服务器密码机、签名验签服务器实现重要数据在传输过程中的加密和完整性保护。4、应用系统数据存储加密应用系统调用服务器密码机、签名验签服务器对落地数据进行加密保护、完整性保护。或部署独立的数据库加密系统，实现存储数据的加密。业务应用访问控制信息的完整性应用系统调用服务器密码机、签名验签服务器对访问控制信息进行完整性保护。集权设备重要存储信息、访问控制信息机密性、完整性保护日志审计系统、堡垒机系统调用服务器密码机、签名验签服务器对访问控制信息进行机密性和完整性保护。高敏感操作不可否认性保护、验证（签名、签章）针对电子签名、签章等业务使用场景，需采用基于国密算法的产品，可通过部署时间戳服务器、可信电子签章系统结合CA证书系统、国密智能密码钥匙等密码产品，实现对敏感操作的不可否认性保护。

5.4安全建设方案5.4.1网络安全建设方案安全区域划分本项目根据业务功能以及安全需求的不同，将XX医院整体网络划分为数据交换区、内网接入区、内网核心交换区、内网服务器区、内网终端接入区、内网安全管理区共6类安全域。各安全区域应根据业务流程和重要性进行逻辑隔离，确保不同区域之间的互访属于可控、可信流量。安全区域划分说明如下：数据交换区：利用网闸和前置服务器提供外网与内网的数据安全交换通道。内网接入区：由运营商专线出口组成，提供上级医保、社保等专网的接入。内网核心交换区：部署了网络的核心交换设备，用于数据的高速转发；内网服务器区：本安全区主要用于部署各类数据中心相关的生产/业务服务器；内网终端接入区：本安全区主要用内网办公终端的接入；内网安全管理区：本安全区主要用于部署各类信息安全产品及相关服务器；纵深防御体系设计本项目纵深防御体系设计主要从攻击者和防御者2种视角出发。（1）从攻击者角度出发，黑客首先突破网络边界最后到业务系统和数据库，从防御体系和监测体系两个维度进行设计；（2）从防御的视角出发，数据从内网流向外网，从防御和监测两个维度进行设计。依据每个视角不同的出发点和关注重点，整体纵深防御体系设计如下：（一）攻击者视角防护体系设计第一层防护（网络隐身）：通过在内网接入区边界区冗余部署零信任体系（零信任网关、控制器）对医院内网和外网对外发布的服务进行代理，利用零信任体系“SPA单包先认证后连接技术理念”实现整个防护网络的隐藏，同时零信任网关只对经由认证通过的客户端开放，起到网络隐身的作用，最大化降低了医院外网和内网的对外暴露面。第二层防护（网络层防护）：通过在内网接入区边界、服务器区冗余部署下一代防火墙，实施相应的访问控制策略，对进出安全区域边界的数据信息进行控制，阻止非授权访问；从入侵行为、病毒攻击等多个维度对网络访问行为进行控制，保证网络的整体安全性。第三层防护（欺骗防御）：通过在内网安全管理区部署蜜罐系统，蜜罐系统基于主动防御理念和网络欺骗技术，通过在内网中部署具备感知能力的探测端、管理服务端、沙盒仿真服务端来协同联动。当攻击者、蠕虫、病毒等触碰到探测端时，探测端将收集到的数据及时上报到管理服务器并产生威胁告警，同时将攻击转移到沙盒仿真服务器，延缓攻击时间。能及早的发现攻击者或实施针对性防御措施，从而迅速阻断威胁事件，保护企业核心资产。第四层防护（应用层防护）：通过在内网服务器区边界冗余部署WEB应用防火墙，从应用协议、用户权限控制和异常行为阻断等方面对网络访问行为进行控制，保证服务器的访问安全，有效防范以服务器为目标的攻击行为。第五层防护（终端安全防护和主机加固）：通过内网服务器区边界部署终端安全管理系统，加强终端安全防护；可以使实现对恶意代码防范、资源控制、准入控制、违规外联检测、主机基线加固、移动存储介质管控、主机防火墙、勒索病毒防护等能力。终端操作系统安全是终端安全防护的最后一道防线，因此通过对重要主机的安全基线核查和加固，将会极大的提升安全防护能力；通过对重要主机身份鉴别、访问控制、安全审计、防病毒防恶意代码等方面对操作系统进行基本的安全加固，使主机具有基本的安全防护能力，能抵御对操作系统的直接攻击，能在发生攻击时限制影响范围。第六层防护（数据库加密）：通过在安全管理区部署数据库加密系统，实现对业务系统核心敏感数据加密存储的数据防泄漏。通过数据库的访问授权机制，任何访问被加密数据的人或应用事先必须经过授权，拥有合法访问权限才能访问加密数据，非授权用户无法访问加密数据，有效防止管理员越权访问及黑客拖库。（二）攻击者视角监测体系设计第一层监测（已知威胁检测）：在内网核心交换机旁路部署网络威胁探针，通过对内网全流量的采集分析，基于系统内置的强大特征库和事件库，实现对已知威胁的全面检测能力。系统能对网络侧病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、拒绝服务攻击、扫描探测、欺骗劫持、SQL注入、XSS攻击、漏洞利用、暴力破解、非授权访问、挂马攻击等威胁的检测。同时通过全流量特征识别，系统可以进行元数据解析提取，输出相关的元数据信息至上级态势感知平台，对态势感知平台的二次分析做有力的数据支撑。第二层监测（高级威胁和未知威胁检测）：在内网核心交换机旁路部署高级威胁分析平台，通过对内网全流量的检测，实现对未知威胁（沙箱检测）、恶意软件利用、可疑行为、攻击利用、攻击探测、APT攻击、DNS恶意域名请求、DGA域名、DNS隧道、TLS加密流量等高级威胁和未知威胁攻击类型的检测能力。系统具备总多种安全分析场景（挖矿、勒索病毒、僵尸网络、失陷主机等），支持对复杂的安全场景进行关联分析，提供持续狩猎和研判攻击。同时平台相关分析数据可上报至上级态势感知感知平台，对态势感知平台的二次分析做有力的数据支撑。第三层监测（全流量溯源取证）：在内网核心交换机旁路部署全流量溯源取证系统，通过对内网全流量的存储、元数据解析、流量过滤、流量检索、流量加回放等功能，为全网流量的一次分析、事后调查取证、二次分析、溯源等行为提供强大的技术支撑。（三）防御者视角防护体系设计第一层防护（网络准入）：通过在内网安全管理区部署终端安全管理系统（准入控制功能模块），结合终端安全管理功能，可以实现对非合规内联行为的发现和阻断。对内联行为的合规性和合法性进行判断，然后根据安全策略，采用报警、引导至安全修复区、阻断等多种种方式进行处置。第二层防护（业务授权和权限控制）：通过在内网安全管理区部署堡垒机结合CA证书系统，实现对运维人员集中身份管理、集中认证授权、集中操作审计。通过在内网接入区边界部署零信任网关结合CA证书系统，实现对远程接入人员的身份鉴别、业务授权、权限控制、操作审计。第三层防护（数据防泄密）：在内网安全管理区部署终端安全管理系统（数据防泄密模块），通过权限控制、数据透明加解密、敏感文件发现、文件外发管控（拷贝、粘贴、刻录、剪切、打印）、实时水印、审核机制等功能实现对重要数据的全生命周期管控。确保医院内部核心数据资产不被非法泄露。通过在内网安全管理区部署数据库加密系统实现对数据库敏感数据的防泄漏管控。第四层防护（统一安全管理中心、协同联动处置）：通过在内网安全管理区部署态势感知平台，实现对全网集中的统一安全管理。通过资产管理、脆弱性管理、日志（事件）管理、风险管理、策略管理、运维管理、应急管理等手段，实现全网资产、安全措施的识别和风险（安全）评估，集中的风险预警、安全保护、安全检测、事件响应的技术能力支撑平台。同时也可依托于态势感知平台和各类同品牌安全设施联动功能，实现安全设施联动和协同事件处置功能；（四）防御者视角监测体系设计第一层监测（资产清查和监测）：在内网安全管理区部署资产管理系统，通过自动发现、资产导入、主动采集等方式收集全网信息化资产，通过资产测绘、监测预警、资产画像、合规分析、资产全生命周期管理（上线、变更、退网）等技术能力，实现对全网信息资产的清查、监测和管理。通过定期的信息化资产管理，及时发现问题资产。第二层监测（漏洞发现）：在内网安全管理区部署漏洞扫描系统，通过定时的漏洞扫描任务及时发现全网的安全漏洞。通过对全网安全漏洞的及时修复和整改，能极大的提升内网安全防护能力。第三层监测（违规外联监测）：在内网安全管理区部署终端安全管理系统（准入控制模块），可以实现终端非法外联行为的发现与管控，同时也可以实现对非合规内联行为的发现和阻断。第四层监测（行为和业务审计）：在内网安全管理区部署堡垒机、数据库审计系统、日志审计系统、态势感知平台，接收各个区域的审计日志，提供审计信息的存储、分析和处理能力，审计数据作为管理员实施事件追踪、责任认定以及实施应急响应的依据。5.4.2网络安全建设规划拓扑

5.4.3密码应用建设方案根据风险控制需求，结合《信息系统密码应用基本要求》GB/T39786-2021密码防护需求，拟通过密码服务中的通道加密、身份认证、数据加解密、完整性保护等功能，从“用户、远程管理接入链路保护”、“接入身份认证与权限控制”、“重要数据加解密”、“重要数据完整性保护”、“数据防篡改”、“数据不可否认性保护”等方面对信息系统进行防护。总体密码应用要求如下：采用支持密码算法的SSL通道加密手段或者支持密码算法的IPSECVPN对机构网络通讯之间、设备远程运维管理接入链路进行数据传输全程保护；通过签名验签、对称加密技术/非对称加密技术实现对敏感信息的防篡改、防泄漏；需要采用合规的密码技术对设备日志进行完整性保护，对重要敏感信息和操作进行不可否认性保护。针对XX医院涉及的密码应用场景，整体方案设计如下：物理和环境安全设计通过对原有门禁系统进行国密改造。部署国密电子门禁系统、视频监控系统、有人值守对出入人员进行身份鉴别，保障机房门禁出入安全、门禁记录和视频记录数据安全。网络和通信安全设计在网络和通信安全中，提供传输安全服务、身份鉴别服务和安全审计服务来保障网络通信的安全。涉及到两个方面的通信安全，远程终端访问的网络通信安全和公有云侧互联网业务系统与医院本地局域网间传输的通信安全。远程访问终端与服务端之间的通信安全：通过部署零信任网关，利用零信任网关国密双算法引擎，建立安全传输通道，实现通信数据的机密性和完整性保护。终端和服务端之间身份鉴别采用基于CA数字证书的方式。公有云侧互联网业务系统与医院本地局域网业务系统间数据传输的通信安全：通过在公有云端和医院本地局域网侧分别部署1台网络加密机，对进行数据交换的设备在通信前进行身份鉴别；并建立安全的数据传输通道（IPSECVPN），保障数据传输的机密性和完整性保护。设备和计算安全在设备和计算安全中主要是指管理员在对业务系统进行运维时，需要对运维管理员身份鉴别，保障网络环境中对物理主机、服务器、设备以及医院业务系统应用程序操作维护时的访问控制信息、日志记录、重要数据的机密性和完整性；同时对敏感标记信息的完整性进行保护；管理员在运维时分为本地运维和远程运维两种方式。为运维管理员签发代表身份的数字证书，内网密码应用区部署CA数字证书认证系统、服务器密码机、签名验签服务器，对堡垒机登录方式增加数字证书认证方式。运维过程通过USBKEY证书+零信任网关实现堡垒机的身份鉴别，使用USBKEY证书实现登录认证，并通过GMSSL协议降低堡垒机远程访问通道安全风险。在设备运维过程中需要对运维管理员的访问控制信息、设备管理日志记录、设备中重要程序或者文件进行完整性保护，通过服务器密码机，对重要程序或文件在生成时进行数字签名，使用或读取这些程序和文件时，通过USBKEY进行验签以确认其完整性；通过签名验签服务器调用服务器密码机对应用服务器、数据库服务器等设备日志进行完整性保护。应用和数据安全应用和数据安全主要保护业务系统重要数据、敏感信息、身份鉴别数据、个人隐私数据、审计日志等重要的数据信息安全的机密性和完整性，在PC端应用通过USBKEY为用户签发数字证书提供身份鉴别服务和访问控制服务；通过数据库加密系统对存储的重要数据提供安全加解密服务；通过服务器密码机保障重要数据的完整性提供安全审计服务；通过网络加密机，在医院内部业务系统和外接其他系统之间建立安全传输通道，保障医院业务数据安全交互到外接的其他系统。通过增添可信电子签章、时间戳服务器实现敏感操作的不可否认性和抗抵赖保护。内网密码应用区部署密码安全设备包括，服务器密码机、CA数字证书认证系统、签名验签服务器、数据库加密系统、时间戳服务器、电子签章系统、在内网网络接入区边界部署零信任网关、在跨网数据交换通道分别部署网络加密机；在PC端使用USBKEY密码钥匙。5.4.4密码应用用建设规划拓扑5.5安全建设产品及预算序号类别功能描述数量单位预算单价预算总价一、网络安全建设数据交换区防火墙（利旧）数据交换区边界防护，在网络边界实现安全访问控制、入侵防御、防病毒等功能，加强网络边界安全保障。1台网闸（利旧）内外网隔离，数据交换1台内网接入区出口防火墙内网接入区边界防护，在网络边界实现安全访问控制、入侵防御、防病毒等功能，加强网络边界安全保障。标准1U设备，双电源；标配6个10/100/1000M自适应千兆电接口及2个SPF+万兆接口（不含光模块）及2个接口扩展槽，默认支持下一代防火墙访问控制、入侵防御、网络防病毒、上网行为及URL分类管理、流控、IPSecVPN等模块。整机最大吞吐量≥8Gbps，最大并发连接数≥300万，配置3年IPS特征库、防病毒特征库、应用识别及URL分类库三年升级服务，3年质保。2台零信任网关冗余部署在内网接入区边界，实现终端访问人员接入认证、数据加密传输，满足国家密码应用改造要求。标准1U机箱，交流单电源；内置国家密码局检测通过的国家商用密码卡；标准配置6个10/100/1000MBase-TX，一个扩展卡槽位；明文整机吞吐2.5G，国密加密吞吐量240M；支持SM1、SM2、SM3、SM4等国家商用密码算法，单台设备建议最大并发用户1000个。支持与SDP控制器和客户端组合联动实现网络隐身的功能，确保只有通过认证的主体才能接入SDP安全网关，SDP安全网关不响应未通过认证主体的连接请求；支持基于国密算法的传输加密，实现SDP安全网关和客户端之间数据传输的机密性及完整性保护；支持被保护资源的地址隐藏；支持与SDP控制器联动，实现基于终端风险感知的动态鉴权，当终端安全风险不符合预先设定的策略时，能够对接入主体进行权限限制或强制下线等处置动作。2套零信任控制器控制器，标准2U机箱，冗余电源；内置国家密码局检测通过的国家商用密码卡；标准配置6个10/100/1000MBase-TX；2个SFP千兆光口,2个SFP+万兆光口，2个扩展槽位；256GSSD硬盘；建议最大支持并发用户数3000个；支持与SDP安全网关和客户端组合联动实现网络隐身的功能，确保只有通过认证的主体才能接入SDP安全网关；支持多因素身份认证，包括口令、证书、动态令牌、UKEY等多种认证方式灵活组合，支持基于国密SM2算法的数字证书的身份认证，支持基于LDAP、Radius、CAS、Oauth协议标准的第三方认证平台；支持终端风险感知的安全评估，能够联动SDP安全网关对不符合安全策略的接入主体进行权限限制或强制下线等处置动作。配置500个并发用户授权1台服务器区防火墙服务器区边界防护，在网络边界实现安全访问控制、入侵防御、防病毒等功能，加强网络边界安全保障。标准2U设备，双电源；标配6个10/100/1000M自适应千兆电接口、4个千兆SFP接口及8个SPF+万兆接口（不含光模块）及4个接口扩展槽；默认支持下一代防火墙访问控制、入侵防御、网络防病毒、上网行为及URL分类管理、流控、IPSecVPN等模块。整机最大吞吐量≥25Gbps，最大并发连接数≥600万，配置3年IPS特征库、防病毒特征库、应用识别及URL分类库三年升级服务，3年质保。2台服务器区WEB应用防火墙服务器区边界WEB应用安全防护2U上架设备，1个HA口，1个RJ-45Console口，1个10/100/1000Base-T带外管理口，4个业务电接口,4个业务光口、2个万兆光口，1个网络接口板扩展槽位，整机最大吞吐量≥17Gbps，最大并发连接数≥400万，配置3年WEB防护特征库升级，3年质保。2台安全管理区防火墙（利旧）安全管理区边界防护，在网络边界实现安全访问控制、入侵防御、防病毒等功能，加强网络边界安全保障。1台终端安全管理系统部署于安全管理区（需一台服务器安装），对全网终端实现全方位安全管理。包含准入控制、非法外联、安全基线、终端加固、补丁管理、移动存储管理、主机防火墙、终端审计、软件分发、资产管理等功能。配置900终端主机授权；配置900终端主机和80台服务器3年病毒库使用及升级服务授权。1套数据库审计旁路于服务器区交换机，以流量镜像的方式审计所有数据库操作行为，另通过对医疗人员在HIS系统的操作行为进行解析、分析、记录、汇报，以帮助用户实时发现统方行为、事后合规报告、事故追踪溯源，从而加强内外部网络行为监管；2U上架专用设备，配置13个被审计数据库服务数。 1台态势感知平台部署于安全管理区（需一台服务器安装），收集全网设备日志信息，设备运行状态等信息进行统一分析和展示，形成安全集中管理体系。包含资产分析与管理、安全事件管理、关联分析、标准脆弱性管理、风险评估、情报管理、首页、标准的报表模块、标准的响应管理模块、基础态势大屏呈现页面（资产态势、脆弱性态势、攻击态势）、权限管理、知识管理、系统自身管理，内置1个本地日志采集器，配置支持200管理节点授权。1套日志审计系统部署于安全管理区收集全网设备日志信息，进行统一存储和分析。保存6个月以上。1U标准机架式，冗余电源，6个千兆电口4个千兆光口，2个扩展槽位，1个管理口，2个USB接口，配置液晶屏，硬盘容量：128Gminisata+6TSATA*2raid1模式，有效存储容量6TB。配置支持200个审计对象授权。1台堡垒机（利旧）部署于安全管理区，对运维行为审计1台漏洞扫描系统部署于安全管理区，综合多种国际最新的漏洞扫描与检测技术，能够快速发现网络资产，准确识别资产属性，全面扫描安全漏洞，清晰定性安全风险，给出修复建议和预防措施，并对风险控制策略进行有效审核1U设备，标配6个10/100/1000MBase-TX接口、4个千兆SFP接口，1个RJ45Console口，2个USB接口，冗余电源，可扫描100个IP地址，具体IP地址不限，并发扫描40IP。含3年漏洞库升级授权。1台全流量分析取证系统具备网络全流量存储、攻击取证（原始数据）、攻击链溯源、攻击证据在线分析、攻击报告数据支撑等能力，可以在HVV、网络重保中，为安全检测产品和平台产品提供全包的自动化攻击取证、任意时刻的威胁溯源分析、历史流量的回放重复检测，并内置异常行为分析算法，结合全流量数据，可有效应发现加密流量对各种攻击的取证溯源和0day/1day等新型攻击的溯源。2U上架设备，提供2个1000MBase-T网络接口，2个万兆光接口，冗余电源，24T容量硬盘；开通全流量数据存证软件模块，包含数据存储、检索、流量回放等功能。具备1TB秒速检索能力。实际网络环境处理能力1Gbps，整机数据检索速度 10TB/秒。1台威胁检测探针旁路部署于核心交换机，对网络全流量进行实时采集，通过威胁分析发现流量中的网络安全事件并上报给安全管理平台1U上架设备（1个RJ-个Console口，6个10/100/1000Base-T接口，2个USB口，2个千兆光接口插槽（不包含光模块），2个万兆光口插槽（不包含光模块），支持2个扩展插槽，冗电，包含2T硬盘，实际网络检测流量1Gbps；最大并发连接数300万。配置3年特征库和威胁情报升级。 1台高级威胁分析平台部署于安全管理区，接入核心流量镜像，实现未知威胁攻击检测，并能对网络内的安全事件攻击链进行统一分析和溯源。2U上架设备，提供2个1000MBase-T网络接口，2个10/100/1000MBase-T网络接口,2个万兆光口，支持6个扩展槽位，冗余电源，32T容量硬盘；网络层吞吐3G,处理文件性能15万/24小时（每个文件10M计算）;新建连接数2.5万/秒。1台蜜罐系统采用应用和服务仿真方式，利用欺骗防御技术提升内网安全防护水平2U上架专用设备，8电口（含管理口）4SFP，2扩展槽，1个RJ45串口，硬盘2*2T，冗余电源；支持系统服务仿真、数据库仿真、应用仿真等不少于15个，50个软件诱捕探针；系统具备攻击行为捕获、攻击数据分析和告警上报等功能；3年威胁情报库升级1台资产管理系统对全网信息化资产进行全生命周期管理2U机架式型号、冗余电源、专用硬件平台；自带1块128GSSD硬盘，默认支持RAID5，有效存储4TB；具有6个千兆电口，4个千兆光模块插槽（不含光收发模块），2个万兆光模块插槽（不含光收发模块）。包含资产发现与管理的基本功能，包括首页、资产管理、资产画像、告警管理、合规分析、处置响应、报表等模块。内置一个本地资产采集器,包含512个资产管理节点授权。1台安全服务安全监测与分析服务（1人5*8H驻场运维服务）渗透测试服务脆弱性发现与管理服务安全培训教育服务1项小计1网络安全建设小计二、商用密码应用建设服务器密码机提供基于国密算法的数据加解密功能。符合密评要求中“物理与环境”、“设备与计算层”、“应用和数据层”中对身份鉴别、数据传输和存储的机密性、以及数据传输和存储的完整性保护。2台网络密码机公有云业务区至本地局域网区，提供IPSEC国密隧道。1U机架式设备，1个RJ-45Console口，6个10/100/1000M自适应电口，2个千兆SFP插槽，2个万兆SFP+插槽，2个网络接口扩展槽位，2个USB口，交流单电源；SSL加密吞吐400Mbps，推荐并发用户数2000，IPSec加密吞吐400Mbps，整机吞吐5Gbps。 2台零信任网关（复用）内网安全管理区运维人员利用SSLVPN功能登录堡垒机,内网及外网用户远程接入提供SSLVPN功能./台签名验签服务器实现数字签名和签名验证的功能，大大提高了签名运算的效率，符合电子签名的安全性要求和统一管理策略，用于应用身份认证与签名验证；M2算法数字签名性能≥11000次/秒；SM2算法签名验证性能≥10000次/秒；SM2算法制作信封性能≥4000次/秒；SM2算法解密信封性能≥4500次/秒。1台数据库加密系统向业务应用系统提供数据加解密服务，支持数据库字段级或表级加密与完整性保护，支持文件数据加密与完整性保护；1台时间戳服务器采用精确的时间源、高强度高标准的安全机制、能够为用户提供精确的、可信赖的且不可抵赖的时间戳服务，用于日志记录完整性保护、抗抵赖；制作时间戳≥4500次/秒，验证时间戳≥4000次/秒。1台电子签章系统支持PC端签章、手机端签章，支持网页签章、PDF版式文件、OFD版式文件签章；支持印章生成、更新、销毁等全生命周期管理；支持签章验证；1台CA认证系统CA数字证书系统软件，签发用户证书和手机终端设备证书，实现数字证书注册、申请、审核、签发、冻结、解冻、吊销等全生命周期管理。1套国密智能密码钥匙应用/设备管理员、系统用户/管理员登录身份鉴别20个统一密码服务平台对外统一提供认证、签验、加解密等密码功能。提供对称密钥全生命周期管理功能。对密码设备进行统一管理。对密码业务进行统一管理、配置、监控、统计、分析。1套国密门禁卡及国密视频监控系统为机房提供基于国密算法的门禁系统，确保门禁身份鉴别安全，门禁记录存储完整性，符合国密算法相关技术要求，提供视频监控，并确保视频监控数据存储完整性，符合国密算法相关技术要求1套密码应用改造适配1、密码应用适配改造技术支撑；提供接口对接设计、改造适配、接口调试服务；调用服务器密码机接口对存储数据、访问控制列表等进行保护。2、对关键权限控制设备（堡垒机、日志审计、网络加密机）提供密码应用改造适配配合服务，调用密码服务接口对存储数据、访问控制列表等进行保护。1项小计2密码应用建设小计总计：合规性分析6.1网络安全等级保护合规性分析（技术部分）参照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》第三级要求，本次项目建设符合第三级等保建设要求，合规性分析如下表所示：网络安全等级保护基本要求（三级）类别要求指标项本项目防护措施安全通信网络网络架构a)应保证网络设备的业务处理能力满足业务高峰期需要；

方案及网络设备保障b)应保证网络各个部分的带宽满足业务高峰期需要；通过防火墙抗DOOS模块过滤异常流量c)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；网络规划设计时进行网络区域划分。d)应避免将重要网络区域部署在网络边界处且没有边界防护措施；边界防护（数据交换区、内网边界接入区、安全管理区、内网服务器区采用防火墙进行边界防护，其中服务器区增加WAF对应用层进行安全防护）e)应提供通信线路、关键网络设备的硬件冗余，保证系统的可用性。本项目线路及关键网络节点设备均进行进行冗余设计。通信传输a)应采用校验码技术或加解密技术保证通信过程中数据的完整性；利用内网网络边界处部署的零信任网关实现远程传输通道数据的安全保障b)应采用加解密技术保证通信过程中敏感信息字段或整个报文的保密性。利用内网网络边界处部署的零信任网关实现远程传输通道数据的安全保障可信验证a)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。通信设备应具有此功能，或利用密码技术进行定制开发，本项目不适用安全区域边界边界防护a）应保证跨越边界的访问和数据流通过边界防护设备提供的受控接地进行通信在各个区域边界部署防火墙b）应能够对非授权设备私自联到内部网络的行为进行限制或检查；部署终端安全管理系统（准入控制模块）对内部终端进行管控。c）应能够对内部用户非授权联到外部网络的行为进行限制或检查；部署终端安全管理系统（违规外联模块）对内部终端进行管控。d）应限制无线网络的使用，确保无线网络通过受控的边界防护设备接入内部往来；不涉及访问控制a)应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信；

边界防护（数据交换区、内网边界接入区、安全管理区、内网服务器区采用防火墙进行边界防护，其中服务器区增加WAF对应用层进行安全防护）b)应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；人工加固c)应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出；边界防护（数据交换区、内网边界接入区、安全管理区、内网服务器区采用防火墙进行边界防护，其中服务器区增加WAF对应用层进行安全防护）d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；边界防护（数据交换区、内网边界接入区、安全管理区、内网服务器区采用防火墙进行边界防护，其中服务器区增加WAF对应用层进行安全防护）e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。边界防护（数据交换区、内网边界接入区、安全管理区、内网服务器区采用防火墙进行边界防护，其中服务器区增加WAF对应用层进行安全防护）入侵防范a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；

防火墙开启入侵防御模块、威胁检测探针、高级威胁分析平台b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；防火墙开启入侵防御模块、威胁检测探针、高级威胁分析平台c)应采取技术措施对网络行为进分析，实现对网络攻击特别是新型网络攻击的分析；高级威胁分析平台d)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。防火墙、威胁检测系统、WAF恶意代码和垃圾邮件防范a)应在关键网络节点处对恶意代码进行检测和清除，并维恶意代码护防机制的升级和更新；防火墙开启防病毒模块b)应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。不涉及安全审计a）应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

各类安全设备具备审计功能（防火墙、WAF、终端安全管理系统、日志审计系统、威胁检测系统）b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；各类安全设备具备审计功能（防火墙、WAF、终端安全管理系统、日志审计系统、威胁检测系统）c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；日志审计系统e）应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。零信任网关可信验证a)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。通信设备应具有此功能，或利用密码技术进行定制开发。本项目不适用安全计算环境身份鉴别a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

堡垒机b)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；应用系统或安全设备应具备此功能c)当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；远程管理采用零信任网关的VPN功能接入，安全管理采用HTTPS协议d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。堡垒机访问控制a)应对登录的用户分配账号和权限；堡垒机b)应重命名或删除默认账户，修改默认账户的默认口令；人工加固c)应及时删除或停用多余的、过期的账号，避免共享账号的存在；人工加固d)应授予管理用户所需的最小权限，实现管理用户的权限分离；堡垒机、人工加固e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；堡垒机、人工加固f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；堡垒机、人工加固g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。堡垒机、人工加固安全审计a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；主机、网络设施均开启日志审计功能，通过日志审计系统进行统一收集和管理b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；日志审计系统c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；日志审计系统d)应对审计进程进行保护，防止未经授权的中断；日志审计系统入侵防范a)应遵循最小安装的原则，仅安装需要的组件和应用程序。

人工加固b)应关闭不需要的系统服务、默认共享和高危端口；人工加固c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；人工加固或堡垒机d)应能发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞；人工加固、漏洞扫描系统e)应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。防火墙开启入侵检测模块、威胁检测系统、高级威胁分析平台恶意代码防范a）应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。威胁检测系统、高级威胁分析平台、防火墙开启入侵防御模块、终端安全管理系统、主机防病毒软件（利旧）可信验证a)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。通信设备应具有此功能，或利用密码技术进行定制开发，本项目不适用数据完整性a）应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等

密码应用建设已涵盖此项要求b）应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等密码应用建设已涵盖此项要求数据保密性a）应采用校验技术或密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等

密码应用建设已涵盖此项要求b）应采用校验技术或密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等密码应用建设已涵盖此项要求数据备份恢复a）应提供重要数据的本地数据备份与恢复功能；本地自建备份系统，或采用超融合平台自身的容灾机制b）应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；未涉及c）应提供重要数据处理系统的热冗余，保证系统的高可用性重要系统应采取冗余性设计剩余信息保护a）应保证鉴别信息所在的存储空间被释放或重新分配前得到完全消除

人工加固，在终端Windows操作系统启用“关机前清除虚拟内存页面”功能项。b）应保证存有敏感数据的存储空间被释放或重新分配前得到完全消除人工加固，在终端Windows操作系统启用“关机前清除虚拟内存页面”功能项。个人信息保护a）应仅采集和保存业务必需的用户个人信息；

业务系统方功能控制b）应禁止未授权访问和非法使用用户个人信息。业务系统方功能控制安全管理中心系统管理a)应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计

堡垒机b)应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的一场处理、数据和设备的备份与恢复等。人工优化审计管理a)应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计

堡垒机b)应通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查阅等。堡垒机安全管理a)应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并对这些操作进行审计

堡垒机b)应通过安全管理员对系统的安全策略进行配置，包括安全参数的设置，主题、客体进行统一安全标记，对主题进行授权，配置可信验证策略等。堡垒机集中管控a)应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控划分安全管理区b)应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理堡垒机c)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测安全态势感知平台d)应分散在各个设备商的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求日志审计系统e)应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理安全态势感知平台、终端安全管理系统f)应能对网络汇总发生的各