1、人民医院传染病楼智能化提升项目技术规范目录一、 工程概况108二、 建设背景及必要性108三、 建设目标及建设内容109四、 建设依据110五、 技术要求1121、一般要求1122、质量要求1123、兼容性要求112六、 系统技术方案1136.1 络安全系统1136.2 系统概述1136.3 建设方案1146.4 系统功能1172、超融合及桌面云系统1302.1 项目背景1302.2 系统概述1312.3 建设内容1323、智慧病区应用系统1373.1 系统概述1373.2 建设方案1403.3 系统功能1524、多媒体会议系统1874.1 系统概述1874.2 建设内容187一、工程概况人民
2、医院传染病病房楼规划建设门诊、医技、病房综合楼一栋,建筑层数五层。大楼建成后将增设传染病床位200张,能持续加强和完善我县传染性疾病突发公共卫生事件医疗救治体系,提高救治能力和水平。二、建设背景及必要性本项目作为下辖的一个重要县域,其医疗卫生事业的发展直接关系到全县人民的健康福祉和社会稳定。随着近年来传染性疾病的频发与公共卫生事件的挑战,加强和完善传染性疾病的医疗救治体系显得尤为重要。人民医院作为县域内的主要医疗机构,承担着全县及周边地区群众的医疗救治任务,其医疗设施和服务水平直接关系到全县公共卫生应急响应能力和救治效率。感染楼一期智能化工程已建设的系统包括综合布线系统、计算机网络系统、机房工
3、程、综合管网系统、医护对讲系统及排队叫号系统。本次智能化提升工程是在一期智能化工程的基础上,针对网络安全、智慧病区系统管理、超融合系统、云桌面办公及多媒体会议等方面进行的智能化升级。这将为医院提供一个高效、安全、便捷的运行平台,提升医院的管理和服务水平,适应信息化条件下医院管理、控制、服务一体化集成的要求。通过本次智能化系统的提升建设,医院将能够实现对医疗资源的优化配置和高效利用,降低运营成本,提高经济效益和社会效益,未来将能更好地应对公共卫生挑战、提升医疗服务水平、完善公共卫生应急体系、推动医院信息化建设和可持续发展。三、建设目标及建设内容医院智能化系统是通过采用现代信息技术、网络技术和自动
4、化控制技术来更高效、便捷、准确的提高医院管理水平、医疗服务质量及医护工作效率。医院智能化建设的目标是要着重解决怎样通过智能化系统的建设来实现对医院的安全、设备、信息的合理有效管理,并最终使得建成的智能化系统能为医院业务管理、设备运行以及对外服务提供一个运行平台,提供一种高科技高效率的管理和服务手段,适应医院信息化条件下管理、控制、服务一体化集成的要求,建立一个安全、舒适、便捷的信息化、网络化、智能化的高水平医院。现阶段医院智能化系统建设的重点是为医院提供优质的医疗服务手段和智能化管理平台,归结到一句话也就是智能化系统是为医院数字化应用和医院管理服务的。不同的建筑有不同的功能,针对人民医院传染病
5、病房楼智能化项目建设的具体功能要求,需不同程度地配置各种各样的智能化弱电子系统,其设计及施工必须满足医院智能化建设的三大主题:满足医院数字化要求、健康舒适的就医环境、节能和高效的建筑环境。本次建设内容主要包含以下子系统:(1)网络安全系统:本项目网络安全系统旨在为人民医院建立“一个中心”(安全管理中心)保障下的“三重防护”(安全通信网络、安全区域边界、安全计算环境)体系架构。通过本次网络安全建设,最终确保医院网络等级保护建设既可以满足等保三级的基本要求,又能够提供全方面、立体、纵深的安全保障防御体系,保证医院信息网络系统具备整体安全防御能力。(2)超融合及桌面云系统:本次桌面云采用业界主流云计
6、算架构,考虑到当下云计算技术发展趋势,及未来的可靠性,本次方案采用超融合架构建设,即一套超融合系统,运行所有系统所需的软件系统,将用户桌面、应用和数据集中在数据中心,通过虚拟化、混合云、公有云等技术组建资源池,提供云服务,全局资源可视化管理,全局一朵云。用户通过使用瘦终端、软终端、智能终端等随时随地移动接入,打造一种全新、安全、便捷、高效的工作方式。(3)智慧病区应用系统:通过部署移动护理系统、护理管理系统及配套智慧病区硬件设备,进一步规范我院护理管理水平,满足未来业务发展的运行要求,绿色、环保、舒适、规范的就医环境及高可靠性系统的操作平台是智慧病房建设的基本需求。智慧病区应用系统建成后使得医
7、院病房具备技术先进、功能齐全、安全可靠、智慧管理等现代化病房的功能。(4)多媒体会议系统:本次设计在会议室部署了86寸会议一体机,以满足日常会议、培训、管理办公的需要。四、建设依据本次项目各智能化子系统的设计遵循国际、国家最新的智能化系统建设标准、规范,主要参考的标准为:智能建筑设计标准(GB50314-2015)全国卫生信息发展规划纲要(2015-2020年)综合医院建设设计规范(GB51039-2014)综合布线系统工程设计规范(GB50311-2016)综合布线系统工程验收规范(GB/T50312-2016)通信管道与通道工程设计规范(GB50373-2019)安全防范工程技术标准(GB
8、50348-2018)视频安防监控系统工程设计规范(GB50395-2007)民用闭路监控电视系统工程技术规范(GB50198-2011)安全防范视频监控联网系统信息传输、交换、控制技术要求(GB/T28181-2On)入侵报警系统工程设计规范(GB50396-2007)视频显示系统工程技术规范(GB50464-2008)厅堂扩声系统设计规范(GB50371-2006)扩声、会议系统安装工程施工及验收规范(GY5055-2008)有线电视网络工程设计标准(GB/T50200-2018)数据中心设计规范(GB50174-2017)数据中心基础设施施工及验收规范(GB50462-2015)建筑物防
9、雷设计规范(GB50057-2010)建筑物电子信息系统防雷技术规范(GB50343-2012)电气装置安装工程接地施工及验收规范(GB50169-2006)供配电系统设计规范(GB50052-2009)低压配电设计规范(GB50054-2011)中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国个人信息保护法中华人民共和国密码法中华人民共和国计算机信息系统安全保护条例(国务院147号令)关于加强信息安全保障工作的意见(中办发200327号)关于信息安全等级保护工作的实施意见(公通字200466号)网络安全管理办法(公通字20067号)信息安全等级保护管理办法(公通字200743号
10、关于开展信息安全等级保护安全建设整改工作的指导意见(公信安2009)1429号)卫生行业信息安全等级保护工作的指导意见卫办发(2011)85号GB/T22240-2020信息安全技术网络安全等级保护定级指南GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求GB/T28448-2019信息安全技术网络安全等级保护测评要求GB/T28449-2018信息安全技术网络安全等级保护测评过程指南GBT36627-2018信息安全技术网络安全等级保护测试评估技术指南GB/T25058-2010信息安全技术信息系统安全等
11、级保护实施指南GB17859-1999计算机信息系统安全保护等级划分准则信息系统安全保障理论模型和技术框架IATF理论模型及方法论业主提供人民医院传染病病房楼各专业设计图纸所有国际、国内和当地政府机关及部门颁布的最新的法定条理、规范、规格、标准、施工准则和业务条理。除上述规范、标准外,本项目材料、设备选型均应达到中华人民共和国、安徽省医疗卫生行业”等有关智能化系统现行建设标准、规范要求。如国家对上述标准规范有调整,按最新标准和规范执行。五、技术要求1、一般要求各系统所使用设备和材料必须技术先进,性能优良,在施工中所采用的任何设备及产品的随机技术资料、使用说明书、出厂质量检验报告、产品合格证、仪
12、表工具、备品备件等必须齐全完好,主要核心产品须提供厂商出具的不低于三年的售后服务承诺原件备查。所选各系统产品必须具有良好的开放性和兼容性,可提供二次开发和集成的协议接口,满足未来智慧医疗管理平台软件的接入要求。应充分考虑接口开放和纳入智慧医疗管理平台软件集成所产生的费用,并包含在总价中,无需单列;后期无条件配合业主方实现智慧医疗管理平台软件的整体集成。各系统所使用设备和材料须技术先进,性能优良,在施工中所采用的任何设备及产品的随机技术资料、使用说明书、出厂质量检验报告、产品合格证、仪表工具、备品备件等须齐全完好。2、质量要求各系统所使用设备和材料必须技术先进,性能优良,在施工中所采用的任何设备
13、及产品的随机技术资料、使用说明书、出厂质量检验报告、产品合格证、仪表工具、备品备件等必须齐全完好,同时业主有权要求中标单位对进场材料进行重新检测并出具材料复试报告,中标单位须无条件响应业主要求,所含费用包含在合同总价内。须保证本项目所提供的软件均为正版软件,且所提供的软件、中间件及开发接口的版权、著作权无争议。3、兼容性要求各系统所使用设备和材料必须技术先进,性能优良,在施工中所采用的任何设备及产品的随机技术资料、使用说明书、出厂质量检验报告、产品合格证、仪表工具、备品备件等必须齐全完好,在系统移交时一并移交给使用部门。针对人民医院传染病病房楼智能化项目中涉及与现有医院各个智能化系统对接需求,
14、为保证项目建成后使用单位能够方便使用、管理和维护智能化设备,要求智能化各个子系统须具备良好的兼容性。本项目新建传染病病房楼智能化项目各系统与医院现有系统必须实现无缝兼容、统一管理、避免同一院区出现同一系统多个管理情形,造成数据无法互联互通、院方无法正常使用系统的情况,所投产品的选型须满足以下要求,否则视为非实质性响应招标文件。本项目是在原有医院基础上新建传染病病房楼,传染病病房楼智能化系统需与原有院区智能化系统必须实现无缝兼容、统一管理、避免同一院区出现同一系统多个管理情形,造成数据无法互联互通、院方无法正常使用系统的情况。投标人需承诺:我司完全理解该项目的对接需求,并承诺均能按招标人要求实现
15、各系统的对接要求,若后期实施时未能实现,视为不响应招标文件要求,按照虚假响应,记入不诚信档案处理。六、系统技术方案1、网络安全系统1.1 系统概述医疗服务信息化是国际发展的趋势,也是我国医疗改革的重要内容和必由之路。近年来,信息技术对健康医疗事业的影响日趋明显,以大数据、云计算、移动互联等新兴信息技术为核心的新一轮科技革命,推动了人口健康信息化和健康医疗大数据应用发展,加速了健康医疗领域新模式、新业态、新技术的涌现,为人口健康信息化创造了广阔空间,也为卫生计生行业推进职能转变、创新服务模式、提升治理能力提供了难得机遇。医疗信息化火热背后,医疗机构网络安全问题如影随形。针对医院的网络攻击、勒索、
16、挖矿、医疗信息泄露等网络安全事件层出不穷,医院网络已经成为了不法黑客重点攻击对象之一。人民医院作为皖中地区重要的网络运营者,信息数据与公众生命安全、民生息息相关,社会影响和重要性不言而喻。无论在网络安全防御层面还是在网络安全法、数据安全法、密码法、等级保护制度、卫生行业指导规范等合规合法层面,完善的网络安全技术手段,保护关键基础设施安全、重要信息数据安全势在必行。本方案构建的网络安全系统旨在为人民医院建立“一个中心”(安全管理中心)保障下的“三重防护”(安全通信网络、安全区域边界、安全计算环境)体系架构。通过本次网络安全建设,医院信息网络将具备以下能力:在统一安全防护策略下,网络系统具有抵御大
17、规模、较强恶意攻击的能力;具备防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警及记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在医院信息网络系统遭受损害后,具备快速恢复正常运行状态的能力;具有对系统资源、用户、安全机制等进行集中管控的能力;具有保护敏感资源的能力,并保障医院基础计算资源和应用程序可信,确保关键执行环节可信。最终确保医院网络等级保护建设既可以满足等保三级的基本要求,又能够提供全方面、立体、纵深的安全保障防御体系,保证医院信息网络系统具备整体安全防御能力。1.2 建设方案整个方案秉承“全面覆盖、突出重点、节约成本、持续改善”的设计理念,依据国家网
18、络安全等级保护制度,根据在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法,构建贴合医院实际的安全防御体系,拓扑设计如图所示。根据医院的业务功能、特点及各业务系统安全需求,将网络横向拆分为医院内网和医院外网,并且采用双向网闸对内外网实现链路层隔离。其中,医院外网划分互联网接入区、外网DMZ区、外网核心交换区和外网终端办公区共四个安全域;医院内网划分专网接入区、内网核心交换区、内网安全管理区、内网核心业务区和内网终端办公区共五个安全域。1.2.1医院外网设计1.2.1.1互联网接入区在本部和东区的互联网和外网核心交换机之间均串联接入下一代防火墙,并开启防病毒模块,确
19、保所有跨越边界的访问和所有流入、流出的数据均通过其受控接口进行通信、接受安全检查和处理,实时发现和阻止从外部网络发起的网络攻击行为,对网络数据流中夹带的恶意代码进行检测和清除,并提供病毒库和检测引擎的自动升级更新。在互联网和外网核心交换机之间串联接入入侵防御,能够监视网络或网络设备的数据传输行为,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络行为,对网络数据流量进行深度检测、实时分析,并对网络中的攻击行为进行主动防御。在本部和东区的互联网和外网核心交换机之间均串联接入上网行为管理(一主一备),针对内部员工上网行为不当引起的安全与管理隐患却无能为力,员工的不当网络行为引发的问题无法通过
20、传统的网络安全防护手段实现,必须通过专业的上网行为管理产品解决。上网行为管理可对传统标准应用协议、电子邮件、代理软件等网络应用进行准确识别与控制。通过精细化策略管理、细化的应用带宽管理与流量控制、上网行为的详细查询等方式优化内网环境,约束员工上网行为,减少网络流量负担,提高工作效率。1.2.1.2夕卜网DMZ区外网防火墙旁路部署WAF,对WEB应用服务和网页内容进行防护,屏蔽对网站的攻击和篡改行为,实现防跨站攻击、防SQL注入、防止黑客入侵、网页防篡改等功能,从而有效对网站服务器系统及网页内容进行安全保护,从应用和业务逻辑层面真正解决WEB网站安全问题。122医院内网设计1. 2.2.1专网接
21、入区在专网与内网核心交换机之间串联接入负载均衡,用户访问专网资源时,负载均衡接收到用户的访问流量,通过预先设定的链路负载均衡策略,将用户访问流量分配到不同的互联网链路上,实现链路出站链路负载均衡,提升互联网链路带宽利用率。链路出站负载均衡实现了在多条链路上分担用户访问专网服务器的流量,一旦其中任何一条链路发生问题时,其他健康的链路将承载所有网络访问,而当发生问题的链路恢复正常后,网络服务自动恢复。在专网与内网核心交换机之间串联接入下一代防火墙,并开启防病毒模块,确保所有跨越边界的访问和所有流入、流出的数据均通过其受控接口进行通信、接受安全检查和处理,实时发现和阻止从外部网络发起的网络攻击行为,
22、对网络数据流中夹带的恶意代码进行检测和清除,并提供病毒库和检测引擎的自动升级更新。在专网与内网核心交换机之间串联接入入侵防御,能够监视网络或网络设备的数据传输行为,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络行为,对网络数据流量进行深度检测、实时分析,并对网络中的攻击行为进行主动防御。1.2 .2.2内网安全管理区旁路部署漏洞扫描系统,以本地扫描或远程扫描方式,对重要的网络设备、主机系统及相应操作系统、应用系统等进行全面漏洞扫描和安全评估。通过不同角度的网络扫描,可以发现网络结构和配置方面的漏洞,以及各个设备和系统的端口分配、服务提供、服务软件版本等存在的安全弱点。通过漏洞扫描系统
23、提供详尽的扫描分析报告和漏洞修补建议,帮助安全运营人员实现对医院网络,尤其是重要服务器主机系统进行安全加固,提升安全等级。旁路部署数据库审计,对来自网络的数据库访问行为进行记录,及时判断出违规操作行为并进行记录、报警,为数据库系统的安全运行及事后审计提供有力保障。旁路部署堡垒机,将所有IT组件的管理运维端口,通过策略路由的方式,交由堡垒主机代理。实现运维单点登录,统一管理运维账号,管理运维授权,并对运维操作进行审计记录(录屏和键盘操作记录),并通过堡垒机实现对运维角色与权限的划分,分为系统管理员、审计管理员、安全管理员等。旁路部署日志审计,对重要的用户行为和重要安全事件进行审计,并将审计记录实
24、时发送给集中的日志服务器,便于长期存储保护和分析使用。旁路部署蜜罐,采用欺骗防御技术,在网络中部署大量的虚拟主机,形成丰富、逼真的蜜网环境,诱导攻击者,达到攻击者发现、攻击手段获取、攻击溯源等目标,帮助客户完善网络防护体系,提升主动防御能力。旁路部署内网安全管理平台,实现对网络安全的态势觉察、跟踪和预警,全面、实时掌握网络安全态势,及时掌握网络安全态势、风险和隐患,监测漏洞、病毒木马、网络攻击情况,发现网络安全事件线索,预警通报重大网络安全威胁,处置安全事件,有效防范和打击网络攻击等恶意行为,提升整体网络安全态势能力。1.3 系统功能网络安全系统包括隔离网闸、外网下一代防火墙、外网入侵防御、外
25、网上网行为管理、负载均衡、专网下一代防火墙、专网入侵防御、内网数据库审计、漏洞扫描、日志审计、堡垒机、蜜罐、WAF.内网安全管理平台等产品。1.3.1 隔离网闸在内网和外网之间部署隔离网闸,通过利用网闸内部、外部网络的划分,可实现内部网与外网的物理隔离,从而限制了外网敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而曝露了内部网络的某些安全漏洞。使用网闸就可以隔离那些透漏内部细节服务。网闸可通过详细的记录分析,将内外网分别独立的数据摆渡记录进行抽取、融合,形成独特的数据轨迹报表,记录
26、摆渡数据从源到目的的详细信息,并可根据某一数据元素追查数据来源,为隔离网络数据审查提供强有力依据及保障。1.3.2 下一代防火墙在互联网与外网核心区之间、内网专网与内网核心区之间串联部署下一代防火墙,确保所有跨越边界的访问和所有流入、流出的数据均通过其受控接口进行通信、接受安全检查和处理。根据业务需要制定防火墙的访问控制策略,在缺省拒绝所有通信的基础上,仅允许业务所需的访问连接和数据通信。防火墙上启用入侵防御功能,实时发现和阻止从外部网络发起的网络攻击行为,阻止来自外部网络区域的攻击流量。防火墙上启用防病毒功能,对网络数据流中夹带的恶意代码进行检测和清除。并提供病毒库和检测引擎的自动升级更新。
27、下一代防火墙具备以下基本功能: 安全隔离:防火墙串接部署在核心交换机与互联网接入链路、各网络区域接入交换机之间,实现内外网安全隔离和内部不同网络区域之间的安全隔离。 网络访问控制:防火墙工作在网络出口及不同网络区域之间,对内外网络之间及内部各个网络区域之间流转的数据进行深度分析,依据数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息进行判断,确定是否存在非法或违规的操作,对不符合允许转发策略的流量进行阻断,从而有效保障网络安全。 会话监控:在防火墙配置会话监控策略,当会话处于非活跃一定时间或会话结束后,防火墙自动将会话丢弃,访问来源必须重新建立会话才能继续访问资源。 防范带宽
28、滥用:可基于应用内容而非协议端口识别包括传统协议、流媒体、网络游戏、网络视频等常见网络应用,并能够详细统计每一种应用的流量、连接数和累积传输字节数,判断网络中的各种带宽滥用行为,继而采取包括阻断、限制连接数、限制流量等各种控制手段对网络应用访问流量进行精细化管理,确保关键应用或重要用户的带宽使用,确保网络业务通畅,满足业务高峰期带宽需要。1.3.3入侵防御在互联网与外网核心区之间、内网专网与内网核心区之间部署入侵防御,能够监视网络或网络设备的数据传输行为,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络行为,对网络数据流量进行深度检测、实时分析,并对网络中的攻击行为进行主动防御。入侵防
29、御具备如下功能:攻击检测功能:专业的攻击检测引擎,采用协议分析、模式识别、统计阀值和流量异常监视等综合技术手段,深入分析L2L7层网络判断入侵行为,准确地发现包括溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马蠕虫传播、系统漏洞攻击等在内的11大类超过6000种网络攻击行为。同时,具有专业的防逃逸检测手段,可以规避多种黑客的逃逸行为,严密的检测、过滤网络中细小、隐蔽的攻击行为,保证网络安全。 恶意网站访问防护功能:能够统计分析内网用户的上网行为,限制对恶意网站或者潜在不安全站点的访问,通过与智能应用协议识别功能相结合,可以制定有效的管理策略,实现内网用户的上网行为管理。能够实时监测到每一
30、个内网主机(以ip地址为标识)的各种应用流量、以及累积访问各类URL地址的数量,在网络中出现问题时能够快速定位到问题源头(内网主机用户),可以有效威慑和遏制内网用户的各种违反安全策略行为。 应用流量管控功能:能够识别包括传统协议、网络游戏、网络视频等2000多种网络应用,并能够详细统计每一种应用的流量、连接数和累积传输字节数,使用户很容易判断网络中的各种带宽滥用行为,继而采取包括阻断、限制连接数、限制流量等各种控制手段,细粒度规范网络带宽使用,确保网络业务通畅。134上网行为管理在互联网与外网核心交换机之间部署上网行为管理,对用户访问互联网的行为进行分析和审计,防止内部员工上班时间违规上网或在
31、网上发表违规言论,同时保存至少6个月的访问日志,以便协助公安调查取证。上网行为管理具备如下功能: URL过滤:上网行为管理设备中内置千万级URL列表,将URL按照一定的标准进行预分类,然后依据策略对内部用户访问的各种类别网页进行过滤。在过滤URL记录的同时,可以对网络中所访问的URL进行记录和统计排名,以实现对URL访问的监控和控制。员工依然可以上网浏览网页,但其访问时间和内容将受到一定监控。 关键字过滤:上网行为管理设备提供对发帖的内容启用关键词过滤,对含有攻击国家领导人、分裂国家言论、下流词汇,或者伤害组织利益的帖子进行审计和过滤处理,并能对所有成功上传的内容进行详细记录以便事后查验。从而
32、帮助员工养成远离低俗内容的上网习惯,协助推动“互联网低俗内容整治”,帮助企事业单位建立健康、规范、有序的上网环境。黑名单控制:为了防止网络资源的滥用和方便管理员管理用户,上网行为管理设备支持将用户加入黑名单的功能。对进入黑名单的用户可以采取惩罚机制,惩罚期限到了之后,该用户又可以正常使用网络。用户一旦进入黑名单,当再次上网时,网页回弹出已经进入黑名单、是什么原因进入黑名单的。灵活的黑名单功能可以帮助管理员快速、准确的定位出谁肆意占有网络资源。对黑名单的控制,有一个生效时间,在生效时间内才进行黑名单的控制。在生效时间外,不对用户的速率和会话进行限制,用户产生的流量也不记入黑名单的流量配额内。 白
33、名单管理:对于领导或者重要的用户,他们的上网不希望受到各种控制策略的限制,也不希望上网的内容被记录。设备的白名单功能可以很好的满足这些需求。符合白名单规则的流量,将不受“防火墙规则、流控规则、认证策略规则、上网策略对象规则、黑名单规则”的控制;同时上网的流量和上网行为的内容(如发送的邮件、发送的帖子、访问的网页、即时通讯记录等)将全部不记录。 统计与报表系统:提供完整的互联网访问记录,根据IP/用户、应用、时间、线路等参数对上网流量及行为进行全方位的记录,内容涵盖网络流量、带宽速率、新建会话、活跃会话、Web访问、邮件收发、IM聊天、论坛发帖、P2P下载等各种网络行为。从而帮助管理者了解网络整
34、体使用情况,防止出现滥用、误用、盗用的行为。 上网行为监控:支持制定精细化的信息收发监控策略,有效控制信息的传播范围,上网行为管理设备能够对以下信息发送进行监控与控制:WEB访问记录、论坛发帖、电子邮件、即时通讯软件、FTP记录、Telnet记录。 上网行为审计:上网行为管理设备可记录全部的会话日志。通过检查完整的会话日志,管理者可以跟踪网络中的任何操作,尤其可帮助公安部门稽查案件。上网行为管理设备的会话记录包括:源IP、目的IP、协议类型、七层应用名称、源端口、目的端口、是否进行NAT转换(可显示转换后的IP和端口)、会话产生的时间和会话持续时间。1.3.5WAF在互联网DMZ区部署WAF,
35、对WEB应用服务和网页内容进行防护,屏蔽对网站的攻击和篡改行为,实现防跨站攻击、防SQL注入、防止黑客入侵、网页防篡改等功能,从而更有效地对网站服务器系统及网页内容进行安全保护,从应用和业务逻辑层面真正解决WEB网站安全问题。WAF具备如下功能: WEB应用威胁防御:支持对HTTP数据流进行深度分析,内置针对WEB攻击防护的专用特征规则库,规则涵盖诸如SQL注入、XSS(跨站脚本攻击)等OwASPTOPlO中的WEB应用安全风险,及远程文件包含漏洞利用、目录遍历、OS命令注入等当今黑客常用的针对WEB基础架构的攻击手段。对于HTTP数据包内容具有完全的访问控制权限,检查所有经过网络的HTTP流
36、量,回应请求并建立安全规则。一旦某个会话被控制,WAF能对内外双向流量进行多重检查,以阻止内嵌的攻击,保证数据不被窃取。网站管理者也可以指定各种策略对URL、参数和格式等进行安全检查。 网页防篡改:WAF应能够监控网页请求的合法性,实时拦截篡改攻击。同时,通过比对请求页面的哈希指纹,校验被请求的网页是否被篡改。一旦检测到发生网页篡改紧急事件时,WAF会将用户请求重定向到默认页面或指定的正常页面,使篡改攻击者的意图不能得逞。视篡改的程度或网站特殊需求,启动专业的应急机制。一方面支持对网络流量进行有效控制,及时阻止篡改攻击行为,保证网站形象。另一方面可提供多种形式的告警机制,通知网站管理者进行事件
37、分析和历史追溯,从而完成WEB服务器的配置及数据恢复,杜绝网页内容连续被篡改。 抗拒绝服务攻击:WAF系统中集成抗拒绝服务攻击功能,能够防御迄今已知的所有种类DDoS攻击,如SYNFloodUDPFloodICMPFloodpingofDeath、SmurfHTTP-getFlood等。同时对未知攻击也能进行有效防护。 WEB应用漏洞扫描:WAF提供对网站应用漏洞的扫描功能。该功能基于先进的漏洞扫描引擎及庞大漏洞信息库。扫描内容涵盖:SQL注入、跨站脚本编制及操作系统命令注入等WEB常见漏洞。扫描任务支持单任务及批量任务。执行方式可按时间周期进行灵活设置。扫描结束后,自动生成全中文网站漏洞分析
38、报告。此功能可以使网站管理者在不需要安装任何漏洞扫描软件的情况下,直观地了解到网站存在的安全漏洞情况,以及时进行相关修补工作。 WEB应用加速:WAF在对网站进行全面的安全防护的同时,通过连接池、缓存等机制,实现应用加速,优化网站性能的功效。WEB应用加速功能通过高性能的硬件平台及软件加速算法,可以将用户的WEB请求响应速度提高数倍,大幅提升网站系统的可用性。业务智能分析:WAF提供强大的网站业务智能分析功能,内容丰富,涵盖网站业务数据智能分析、网站安全数据智能分析以及网站管理数据智能分析三大模块,展现形式为数据表格搭配统计图示,效果清晰、直观,为网站管理者提供针对性的决策依据。1.3.6数据
39、库审计旁路部署数据库审计,采用多核、并发审计、文件式存储等先进技术,多角度审计、分析数据库活动,并对异常的数据库行为进行告警通知,同时记录事件的用户名、源IP地址、SQL语句、业务用户IP、业务用户主机等信息。具备以下王要功能: 全面的协议解析通过数据库协议自动识别技术,结合灵活的审计策略,可对国际、国内、NoSQL20+种数据库协议进行全面审计:国际主流数据库:Oracle、SQLServerMySQLInformix、PostgreSQLCacheHive、Hana等;国内主流数据库:KingBaseDaMengOscar、GBaselnspur_KDB;NoSQL数据库:MongoDBH
40、BaseEIasticSearchRediso 细粒度的SQL解析通过对双向数据报文的识别、解析,不仅解析出基本的五元组信息、基本的数据库协议要素,还可根据业务要求进行更细粒度的SQL解析。支持全类型的绑定变量解析和全类型的结果集解析,支持SQL操作时长、SQL错误码解析,内置完备的知识库,可将SQL错误码翻译成SQL错误信息。支持超长SQL语句解析,保证SQL语句零遗漏的审计;内置智能SQL分析器,可实现多层次嵌套SQL语句的词法、语法分析,并提取操作对象;止匕外,友好的界面可实现审计结果详情完整展示、SQL会话倍数回放等。 清晰的资产监控内置一套实例发现、资产监控、实例事件分析、资产风险评
41、估的数据轨迹模型,通过实例发现,让隐藏在网络环境中的已知实例、未知实例、潜在危害实例清晰可见。将核心实例所属资产加入监控,除监控资产的基本信息外,诸如内存、硬盘、CPU,还可深入实时监控资产负载、活跃会话、总会话、连接池、表空间、缓冲区、锁等信息。还支持基于实例的审计事件、告警事件等进行会话趋势、事件趋势、告警趋势、访问源趋势的分析,并综合评估资产的健康状况,保证资产的可用性和响应能力。还内置上亿条弱口令样本库,采用无损伤破解技术,完成对资产弱口令的检测。 精准的业务关联支持对基于WEB应用架构的业务系统进行WEB审计和数据库审计,提取业务系统的应用帐号、请求地址等信息,并将WEB事件和数据库
42、事件进行关联,进而精确定位每个SQL操作的源用户,达到实名化审计。还提供无损插件部署到业务系统上,可实现100%精准关联。 精细的业务报表提供丰富灵活的报表统计模板,诸如等保、萨班斯法案等合规性报表模板。内置数十种业务统计场景,如数据库名称、数据库类型、客户端程序、SQL操作类型、SQL响应时间、影响行数、连接时长、访问量等,全方位满足等保、分保检查中的审计项要求。系统内置报表任务,可周期性的生成日报、周报和月报;系统支持PDF、WORD、EXCEL、HTML、CSV等格式的报表文件导出并可通过邮件发送至相关人员。止匕外,还支持根据业务要求,定制符合业务需求的业务报表。 全场景的安全响应对产生
43、的审计事件和告警事件,数据库审计提供了全场景的安全响应机制。系统提供紧急、警报、关键、错误、警告、通知等级别的告警设置,支持以SYSLOGSNMPTrap、KAFKA、邮件、短信、声光等方式外发响应事件,并可与第三方管理平台(如SoC、态势平台)进行联动,支持旁路阻断、与防火墙联动等方式管控安全事件。 可靠的系统运维提供本地认证、Radius和LDAP等方式的用户认证管理,支持三权管理,支持配置文件与策略的导入、导出,根据预设的磁盘利用率百分比阀值、时间等方式清理空间,通过SYSLOGSNMP等格式将系相关日志外发给其他系统。系统支持SM2SM3SM4国密算法,可用红莲花、密信等安全浏览器管理
44、最大程度上保证了设备管理的安全性问题;设备还提供恢复出厂配置、版本回滚、抓包工具、一键巡检、双机热备等功能。1.3.7 漏洞扫描漏洞扫描系统基于网络,通过远程检测目标系统TCP/IP不同端口所提供的服务,分析目标给予的应答,以搜集目标系统上的各种信息,然后与系统内置的漏洞库进行匹配,如果满足匹配条件,则认为安全弱点存在。漏洞扫描系统提供以下功能: 漏洞扫描漏洞知识库从操作系统、服务、应用程序和漏洞严重程度多个视角进行分类,支持对漏洞信息的检索功能,可以从其中快速检索到指定类别或者名称的漏洞信息,并具体说明支持的检索方式。系统内置不同的策略模板如针对Urlix、WirldoWS操作系统等模板,
45、同时允许用户定制扫描策略;用户可定义扫描范围、扫描使用的参数集、扫描并发主机数等具体扫描选项。可以在扫描过程中人工指定包括SNMP、SMB等常见协议的登陆口令,登陆到相应的系统中对特定应用进行深入扫描。可定义扫描端口范围、端口扫描方式,支持多种口令猜测方式,包括利用Telnet7Pop3,Ftp,WindowsSMB等协议进行口令猜测,允许外挂用户提供的字典档。 漏洞分析能够对扫描结果数据进行在线分析,能够根据端口、漏洞、BANNER信息、IP地址等关键字对主机信息进行查询并能将查询结果保存。能够在线对多个已完成的扫描任务进行合并分析。离线报告可以输出到HTML、WORD、EXCEL等文件,报
46、告可以直接下载或通过邮件直接发送给相应管理人员。在线报表中对综述、主机、漏洞、趋势等信息进行分类显示;综述中应对漏洞和风险分布进行定量统计分析并展示。 漏洞管理提供XML、SNMPTRAP和HTTP等二次开发接口给其他的安全产品或者安全管理平台调用,并且提供具体接口的说明文档。对扫描出来的资产的安全漏洞能够发送邮件给对应的资产管理员,通知其限期内修复漏洞并自动对修复进行验证,实现对漏洞的有效跟踪和验证。提供对资产风险的多次趋势分析能力,能够有效地分析网络整体和主机的漏洞分布和风险的趋势。能够进行自动和手动的漏洞库升级,保证随时拥有检测最新漏洞的能力。1.3.8 堡垒机在医院内网安全管理区中部署
47、堡垒机,在系统运维人员和信息系统(网络、主机、数据库、应用等)之间搭建一个唯一的入口和统一的交互界面,针对信息系统中关键软硬件设备运维行为进行管控及审计。通过将各设备、应用系统的管理接口,以强制策略路由方式转发至堡垒主机,从而完成反向代理的部署模式,实现对管理用户的身份鉴别。通过“数字证书”认证方式作为“用户名+口令”验证身份的有效补充和增强,实现等级保护三级要求的双因素身份认证。堡垒主机主要实现功能包括: 单点登录:提供基于B/S的单点登录系统,用户通过一次登录系统后,就可以无需认证的访问包括被授权的多种基于B/S的应用系统,使用户无需记忆多种登录用户ID和口令。单点登录可以实现与用户授权管理的无缝链接,可以通过对用户、角色、行为和资源的授权,增加对资源的保护和对用户行为的监控及审计。 集中账户管理:支持对所有服务器、网络设备登录帐号的集中管理,是集中授权、认证和审计的基础,降低了管理大量用户帐号的难度和工作量。同时,还能够制定统一的、标准的用户帐号安全策略。集中帐号管理可以实现将帐号与具体的自然人相关联,从而实现针对自然人的行为审计。 统一身份认证:为用户提供统一的认证接口。采用统一的认证
免费区 
