您现在的位置:网站首页解决方案 > 安全解决方案

一、信息安全规划
  采取事前监测、事中防护、事后审计的框架模型,从四个维度进行方案设计,达到医院等保安全要求,医院外网安全态势感知、医院内部威胁感知、主动安全防护、安全审计与安全服务等。
  1、安全态势感知和防护:本方案将利用玄武盾为医院外网提供专业信息安全监测和防护服务,监测对象包括互联网提供各种系统如门户网站、掌上医院APP、微信医院、邮件系统等。
  2、内部安全威胁:在医院内网搭建一套威胁感知系统,利用APT攻防预警平台实现互联网接入区、数据交换区、核心区威胁感知,感知内容包括病毒爆发、僵尸网络、黑客入侵、恶意威胁等。
  3、主动安全防护:信息安全本质是对抗,利用多种信息安全技术如抗DDOS清洗、访问控制、应用层防御、入侵防御等,从而实现主动的纵深防御,保护核心业务安全。
  4、安全审计与安全服务:部署数据审计系统、堡垒机系统、日志审计系统搭建一套全面的综合审计体系,配合安恒信息渗透测试、安全加固、应急响应实现全方位安全保护。
二、方案拓扑设计

三、方案所用产品描述
  医院外网区:
  外网区部署玄武盾实现对掌上医院、互联网医院系统的首页以及相关的链接进行全天7*24小时安全监测服务(网站漏洞监测、网页挂马监测、页面篡改监测、关键字监测、可用性监测),结合安恒风暴中心的大数据平台、专家决策等处理过程,第一时间发现对应web应用系统存在的安全异常。出口区域部署DDOS、安全网关设备有效防护互联网非法人员恶意攻击。出口区域部署DDOS、安全网关设备有效防护互联网非法人员恶意攻击。外网应用服务器前端部署WEB应用防火墙,服务器上部署网站卫士(网页防篡改),综合防护业务应用安全。
  办公OA远程接入域
  OA服务器前端部署SSL VPN,保证远程接入数据的保密性和完整性。
  核心应用服务数据库域
  服务数据库服务器前端部署数据库防火墙,确保数据库安全。
  核心交换域:
  核心交换机和服务器域之间部署安全网关保护服务器域安全;
  核心交换区域旁路部署APT攻击预警平台事实动态发现并记录网络入侵行为。
  核心交换区域旁路部署全流量深度威胁检测系统进行全网网络行为审计。
  服务器汇聚域
  服务器汇聚域部署数据库审计与风险控制系统与运维审计与风险控制系统组合成医院防统方区域保护数据库安全以及医院敏感数据安全,配合院方对访问数据库的人员进行授权、监控、审计,立体杜绝医院人员恶意统方。
  数据交换域:
  数据交换域部署网闸、安全网关(防病毒)。实现网间安全互访,保证医院内外网安全边界防护和数据安全。
  安全运维与管理域:
  运维审计与风险控制系统、数据库审计与风险控制系统、综合日志审计系统、Web应用弱点扫描器、数据库弱点扫描器等设备部署在该区域。实现各系统的统一运维审计、业务系统数据访问记录审计、统一日志审计、全网漏洞安全管理等功能。
  服务器域:
  医院核心应用系统均部署防病毒软件、服务器加固、补丁升级等手段保障核心业务安全。
  终端域:
  医院的终端域部署终端安全管理、网络准入控制软件、杀毒软件等产品,保护医院内网边界和终端安全。
四、符合性说明

 

(注一:在产品或服务第一次出现时,以黑体表示,重复出现时,以*号标出。重复出现的原因是同一产品或服务可能会满足多个控制项的要求。)
(注二:通过服务方式达到等级保护相关等级要求的内容,可以根据建设使用单位自身实力自行建设。)

要求类别

要求项

对应产品、服务项

对应的等保三级要求/备注

符合性

技术要求

物理安全

产品

本表格不对物理安全相关产品做分析。

三级系统按照国标A类要求进行建设。

网络安全

产品

负载均衡

网络结构(G3)

完全覆盖等级保护三级技术要求中“网络安全”部分的各项要求。

安全网关

访问控制(G3)

APT攻击预警平台

入侵防范(G3)

*APT攻击预警平台

入侵防范(G3)

全流量深度威胁检测系统

安全审计(G3)

*安全网关

恶意代码防范(G3)

内网、终端安全管理系统

边界完整性检查(S3)

统一身份认证系统

网络设备防护(G3)

主机安全

产品

*内网、终端安全管理系统
运维审计与风险控制系统

访问控制(G3)
安全审计(G3)
入侵防范(G3)
剩余信息保护(S3)
资源控制(A3)

完全覆盖等级保护三级技术要求中“主机安全”部分的各项要求。

Web弱点扫描扫器
数据库弱点扫描器

入侵防范(G3)

*安全网关

入侵防范(G3)

主机防病毒软件

恶意代码防范(G3)

应用安全

产品

*WEB应用防火墙
网站卫士

软件容错(G3)
访问控制(G3)

完全覆盖等级保护三级技术要求中“应用安全”部分的各项要求。

*统一身份认证系统

身份鉴别(S3)
抗抵赖(G3)

IPSec/SSL VPN

通信完整性(G3)
通信保密性(G3)

*内网、主机安全管理系统

剩余信息保护(S3)

*全流量深度威胁检测系统
云监测和云防护

安全审计(G3)
抗抵赖(G3)

数据安全

产品

*IPSec/SSL VPN

数据完整性(S3)
数据保密性(S3)

完全覆盖等级保护三级技术要求中“数据安全”部分的各项要求。

数据备份/恢复系统

安全备份(A3)

异地备份系统

安全备份(A3)

管理要求

安全管理制度

服务

等保管理体系规划设计服务

管理制度(G3)
制订和发布(G3)
评审和修订(G3)

完全覆盖等级保护三级管理要求中“安全管理制度”部分的各项要求。
依照实际情况,结合业务需求,根据等级保护三级管理要求中“安全管理制度”部分的各项要求,对制度的定制、修订、评审和发布的各部分进行详细设计。

安全管理机构

服务

*等保管理体系规划设计服务

岗位设置(G3)
人员配备(G3)
授权和审批(G3)
沟通和合作(G3)
审核和检查(G3)

完全覆盖等级保护三级管理要求中“安全管理机构”部分的各项要求。
依照实际情况,结合业务需求,根据等级保护三级管理要求中“安全管理机构”部分的各项要求进行机构的搭建、职责的分配等规划设计。

人员安全管理

服务

*等保管理体系规划设计服务

人员录用(G3)
人员离岗(G3)
人员考核(G3)
外部人员访问管理(G3)

完全覆盖等级保护三级管理要求中“人员全管理”部分的各项要求。
依照实际情况,结合业务需求,根据等级保护三级管理要求中“人员安全管理”部分的各项要求对人员管理部分进行规划设计。并对各岗位人员进行职责、安全意识、安全技术等方面的培训。

岗位培训服务

安全意识教育和培训(G3)

系统建设管理

服务

信息系统辅助定级、备案服务

系统定级(G3)
系统备案(G3)

完全覆盖等级保护三级管理要求中“系统建设管理”部分的各项要求。
根据等级保护实施指南,对等级保护实施过程中的各个环节进行全面管理,使业务系统在建设、实施过程中即可同步达到相关的安全要求。

*等级保护技术体系规划设计服务

安全方案设计(G3)

*等级保护管理体系规划设计服务

安全方案设计(G3)

*应用审计/安全开发指导服务

产品采购和使用(G3)
自行软件开发(G3)
外包软件开发(G3)
工程实施(G3)
测试验收(G3)
系统交付(G3)
安全服务商选择(G3)

等级保护运维管理服务

等级测评(G3)

系统运维管理

产品

*Web弱点扫描扫器
*数据库弱点扫描器

网络安全管理(G3)
系统安全管理(G3)

完全覆盖等级保护三级管理要求中“系统运维管理”部分的各项要求。
等级保护运维管理服务从整体上进行运维管理的设计,但需要依靠一些产品来满足相关的运维管理工作。
运维管理过程、相关产品和工具的使用,都需要进行培训和演练,才能使运维管理团队具备实际的操作经验。

应急响应服务是在用户有突发安全事件时,进行远程或现场应急的专家支持工作。
值守服务是在用户在特殊时期的现场或在线专家值守服务,实时对事件做出反映。

*内网、终端安全管理系统
*运维审计与风险控制系统
数据库审计与风险控制系统
综合日志审计平台

介质管理(G3)
设备管理(G3)
监控管理和安全管理中心 (G3)

服务

*等级保护运维管理服务

环境管理(G3)
资产管理(G3)
介质管理(G3)
设备管理(G3)
监控管理和安全管理中心 (G3)
网络安全管理(G3)
系统安全管理(G3)
恶意代码防范管理(G3)
密码管理(G3)
变更管理(G3)
备份与恢复管理(G3)
安全事件处置(G3)
应急预案管理(G3)

运维培训、应急响应演练

运维过程的自主落地

应急响应/应急值守服务

应急预案管理(G3)