醫(yī)院信息安全建設(shè)方案

醫(yī)院信息平安建設(shè)方案(共６１頁）PAGEPAGE1————————————————————————————————作者:————————————————————————————————日期:?XXXXXXXX醫(yī)院信息平安建設(shè)方案信息平安建設(shè)方案二〇一六年一月名目ＴO(shè)C＼o"１-3＂＼h＼ｚ\uＨYＰＥＲLINK\ｌ_Tｏc6０72一.概述PＡＧEＲEF_Toc6０７２１HＹＰEＲＬINK\ｌ_Ｔoc１00４4（一)項(xiàng)目背景ＰAGEＲＥＦ＿Ｔoc1004４1HＹＰEＲLＩＮＫ＼l_Toｃ１13９６(二)建設(shè)目標(biāo)PＡGERＥF＿Ｔoc11３961HYPＥRＬINK\l_Toc12７67（三)依據(jù)標(biāo)準(zhǔn)規(guī)范PAGＥREF_Ｔoｃ１２767２HYPERLINＫ＼l_Toc４133(四）建設(shè)原則ＰAGERＥＦ_Toc41３33HＹPＥRＬＩNＫ\ｌ＿Tｏｃ247001.全方位提升網(wǎng)絡(luò)和系統(tǒng)實(shí)體的平安性、抗攻擊性PAGＥREF_Ｔoｃ２４７０03HYPEＲＬIＮK\ｌ＿Ｔoc19３1１２.信息系統(tǒng)的可用牢靠性、平安性和保密性PＡGERＥF_Toｃ1９3113HＹＰERLIＮK\l＿Ｔoc２41633.強(qiáng)調(diào)系統(tǒng)運(yùn)行狀態(tài)的可控性PＡGＥＲEF_Ｔｏｃ241633ＨYＰERＬＩNＫ\l_Toc１3０７14.平安系統(tǒng)的可管理性ＰＡGＥＲEF_Ｔｏｃ130７13HYＰEＲＬINK\l_Toc1２７０8５．需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則ＰAGEＲEF＿Toｃ1２70８３ＨYPEＲLIＮK＼l_Ｔoc４2346．先進(jìn)性原則PＡGEREF_Tｏc42３４4ＨＹPEＲLＩNＫ\l_Ｔoc12956７.可擴(kuò)展性原則ＰＡＧEＲEＦ＿Ｔoc1２9５6４HYPＥＲＬINK\l_Toｃ256098.多重愛護(hù)原則PＡGＥREF_Toc2５６0９4HＹPEＲLINK\l_Ｔoｃ１９7209.標(biāo)準(zhǔn)性原則PAGＥＲＥF_Tｏｃ19７２04ＨYPＥＲＬINK\l_Tｏc３49６１0.易操作性原則PAGＥREF_Toｃ34964HYPＥＲLINK\l_Toｃ16０３０二.醫(yī)院網(wǎng)絡(luò)現(xiàn)狀及需求分析PAＧEREF_Ｔｏc1６03０５HYPERLINK＼l＿Toｃ2５１28（一)網(wǎng)絡(luò)結(jié)構(gòu)描述ＰAGERＥF＿Toc2５1２85HYPERLＩNK\ｌ＿Tｏｃ264８９(二)應(yīng)用系統(tǒng)描述PAＧEＲEF_Ｔoc26４895HＹPEＲLIＮK\ｌ_Tｏc3626(三)醫(yī)院網(wǎng)絡(luò)平安現(xiàn)狀ＰＡGEREF＿Tｏｃ３6２65HYＰERＬIＮK\l＿Ｔｏc8９2３（四)醫(yī)院網(wǎng)絡(luò)的平安需求PAＧＥREF_Toc89２３6HYＰEＲLIＮK\ｌ_Tｏc1１2７三.IＴ流程規(guī)范化改進(jìn)詢問服務(wù)PAGEREF＿Ｔoc１1277ＨＹＰERLINＫ\l_Tｏｃ４８86(一)關(guān)于IT流程改進(jìn)詢問PAGＥRＥＦ_Toｃ４8867HＹPＥRLINK\l＿Ｔoｃ2２１42（二)供應(yīng)ＩT流程學(xué)問管理及任務(wù)管理系統(tǒng)及服務(wù)PAＧERＥF_Ｔoｃ22142７HYPEＲLＩNＫ\l_Toc249８3(三)IT流程改進(jìn)目標(biāo)ＰAGERＥF_Toｃ2498３7HＹPEＲLINK\l_Ｔｏc５４５０(四)ＩＴ流程改進(jìn)原則PAＧＥRＥF＿Ｔoc５４５０7ＨYPERLINK＼l_Tｏc154６2(五)IT流程改進(jìn)服務(wù)需求說明ＰAGEREＦ_Ｔｏc１５46２8ＨYＰERＬＩNK＼l_Toｃ３１97４１．建立IＴ流程體系規(guī)劃和持續(xù)改進(jìn)機(jī)制PAGEREF＿Ｔoc31９７4８ＨＹＰEＲLINK＼l＿Toｃ257572．建立信息中心部門基本制度PAGERＥF＿Tｏｃ２575７8HYPERLＩＮＫ\l_Toｃ４5４６３．建立醫(yī)院信息化管理制度ＰＡＧEＲＥＦ＿Tｏc４5４６9HYPＥRLINK＼l_Ｔｏc3２16４4．建立完善系統(tǒng)維護(hù)流程ＰAＧＥＲＥＦ＿Tｏc32１6４9HYＰERＬＩNＫ\ｌ_Tｏc162515.建立信息平安管理制度PAGERＥF_Ｔｏc16２５1１0HＹＰEＲＬIＮK\ｌ_Toc2８6５6.建立應(yīng)急預(yù)案與演練機(jī)制PAGEＲEF＿Ｔoc286510HＹPERＬINＫ\l_Tｏc2０30５7．建立項(xiàng)目管理制度PAＧＥREF＿Toｃ２０3051１HYPERLINＫ＼l_Toc154508.建立統(tǒng)計(jì)工作制度ＰAGEＲＥF＿Ｔoｃ１５4５01１HＹPＥRＬINＫ\l_Toc3１6０19.編制具體作業(yè)指導(dǎo)書SOPPＡGERＥF_Ｔoｃ316０１１１HＹPＥRLＩNＫ\l＿Tｏc21５７3四.平安建設(shè)方案PＡＧＥＲEF_Toc21573１2HＹＰＥRＬINK\l_Tｏc１9８２2（一）MＰDＲＲ平安模型PAＧEＲＥＦ_Ｔｏc1９8221２HYPERLIＮK\ｌ_Tｏｃ17714(二）信息平安拓?fù)鋱DＰAGＥREF_Toc177141３HYPＥRＬIＮＫ\ｌ_Ｔｏc1０6５２(三)網(wǎng)絡(luò)防火墻系統(tǒng)PAGＥREＦ_Ｔoｃ1０６５21４HＹPEＲLINK\ｌ_Tｏｃ３09６0１.產(chǎn)品概述PAＧEＲEＦ_Toｃ３0960１4HYＰEＲLINK\l_Ｔoｃ１３８672.產(chǎn)品特點(diǎn)PＡGＥREF＿Toc１3８６７1４HYPEＲLIＮK\l_Toc23048(四）WEＢ平安防護(hù)系統(tǒng)PAGＥＲＥF_Ｔoｃ23048１７HYＰＥRＬＩNK＼l_Ｔoｃ1０7５1.產(chǎn)品概述ＰＡGERＥF_Ｔoc1０75１7HYPＥＲLIＮK＼ｌ_Ｔｏｃ2８4３2．產(chǎn)品特點(diǎn)PAＧＥRＥＦ_Tｏc２843１8HYPERLINK＼ｌ＿Ｔoc21013(五）運(yùn)維審計(jì)系統(tǒng)PＡGＥRＥF_Toｃ２1013２3ＨYＰEＲLＩNK\l_Toｃ261７9１.產(chǎn)品功能ＰＡGEREF_Ｔoc2６179２３HYＰEＲLIＮK＼l＿Toｃ１4８05(六)上網(wǎng)行為管理系統(tǒng)PＡGＥＲＥF_Tｏc１480５２９HＹPERLＩNK\l＿Ｔoc277741.產(chǎn)品功能PＡＧEＲEＦ_Toｃ２７7742９HＹPＥRLＩＮK\l_Toｃ2９５32２.產(chǎn)品的技術(shù)優(yōu)勢(shì)PＡGEＲEF_Ｔoc2953２34HYＰＥＲLIＮK＼l_Toｃ1981４(七)數(shù)據(jù)庫審計(jì)系統(tǒng)(防統(tǒng)方系統(tǒng))PAＧEＲＥF_Ｔoc１９81436HYＰＥRLIＮK\ｌ_Toｃ２０937１．產(chǎn)品概述PＡGＥＲEF_Ｔoｃ20９37３6ＨYＰERLIＮK\ｌ＿Ｔoｃ1２７47２.特色與優(yōu)勢(shì)PＡＧEREF_Toc12７４７36ＨＹPＥＲLINＫ＼l_Toc7２２0(八）終端平安管理系統(tǒng)PAGEＲEF_Toc72203９HＹPＥＲLINK\ｌ_Ｔoc20181.主要功能特點(diǎn)ＰAGERＥＦ_Toｃ2０１８3９HＹＰＥＲLINK＼l＿Ｔoｃ９6１0２．具體功能描述PＡＧERＥＦ_Toc961０40ＨYPEＲＬINK\ｌ＿Toｃ1796０五.信息平安專業(yè)服務(wù)PAＧＥＲＥＦ_Toc1７96043HＹPＥＲLＩNK\l_Ｔoc２５７22(一)平安規(guī)劃服務(wù)ＰAGＥＲEF_Tｏc25７2２4３ＨＹＰEＲLINK＼l＿Toc５59１.總體架構(gòu)ＰＡGＥREF_Ｔｏc5５９43HYPEＲLINK\l_Toｃ49952.平安建設(shè)規(guī)劃ＰAＧEREＦ_Toc４995４6HYＰERＬINK\l_Toｃ2５31５(二）平安評(píng)估服務(wù)PAＧEＲＥF_Toｃ253１5４8ＨYPEＲＬＩＮＫ\l_Toｃ252４31.服務(wù)描述PAGＥREF_Tｏc252４3４8ＨYＰERＬINK＼ｌ_Tｏｃ292１02.平安掃描工具ＰAＧEＲEF＿Ｔoc29２１04８HYＰＥRLINK\ｌ＿Ｔoc20247(三）平安加固服務(wù)PＡGEＲEF_Toc2０24749HYＰERＬIＮＫ\l_Toc12１２９１.服務(wù)描述PAGＥＲＥF_Ｔoｃ1２129４9HYＰＥＲLIＮK\ｌ_Tｏｃ７0９02．服務(wù)內(nèi)容PAGERＥF_Toc7０9０５0HYPＥRLINK\l＿Toｃ５７29(四）平安巡檢服務(wù)PAＧEＲEF_Ｔｏc572９5１ＨYPＥＲＬIＮＫ\ｌ_Toｃ2915６(五)應(yīng)急響應(yīng)服務(wù)PＡＧERＥF_Toc29１5６51ＨYＰERLINK\l_Ｔoc75１2１.服務(wù)承諾PAGEREF＿Ｔoc751251HYＰEＲＬIＮK＼l＿Tｏc１61122．平安大事預(yù)警PＡGEREF_Toc１611２51HＹＰERLＩNK\l＿Tｏc52453.應(yīng)急響應(yīng)規(guī)范PAＧEREF_Toc５２4５53HYＰERＬＩNK＼l_Toc１28７３4.應(yīng)急響應(yīng)流程PAＧEREＦ_Toc1２87354ＨYPＥRＬIＮK\l_Tｏc2182２(六）平安信息服務(wù)PAＧＥRＥF_Toc2１8225５HYＰERＬＩNＫ\l＿Toc1235３（七)平安培訓(xùn)服務(wù)PAGERＥF＿Ｔoｃ１23５3５５HYＰＥRLINK\l＿Toc268１5（八）信息化平安服務(wù)清單PAGERＥＦ＿Ｔoｃ268１５５5ＨYPERLIＮK＼ｌ_Ｔoc25381六．信息平安建設(shè)方案清單PＡＧEＲEF_Ｔoc２53８15７概述項(xiàng)目背景醫(yī)院是一個(gè)信息和技術(shù)密集型的行業(yè)，一般其計(jì)算機(jī)網(wǎng)絡(luò)劃分為業(yè)務(wù)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò),作為一個(gè)現(xiàn)代化的醫(yī)療機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò),除了要滿足高效的內(nèi)部自動(dòng)化辦公需求以外，還需要對(duì)外界的通訊保證暢通。結(jié)合醫(yī)院簡(jiǎn)單的ＨIＳ、RIS、ＰＡCＳ等應(yīng)用系統(tǒng),需要網(wǎng)絡(luò)必需能夠滿足數(shù)據(jù)、語音、圖像等綜合業(yè)務(wù)的傳輸要求,所以需要在網(wǎng)絡(luò)上應(yīng)運(yùn)用多種高性能設(shè)備和先進(jìn)技術(shù)來保證系統(tǒng)的正常運(yùn)作和穩(wěn)定的效率。同時(shí)醫(yī)院的網(wǎng)絡(luò)系統(tǒng)連接著Inteｒnet、醫(yī)保專網(wǎng)等網(wǎng)絡(luò),訪問人員和物理上的網(wǎng)路邊界比較簡(jiǎn)單,所以如何保證醫(yī)院網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)及應(yīng)用的平安顯得尤為重要。在日新月異的現(xiàn)代化社會(huì)進(jìn)程中，計(jì)算機(jī)網(wǎng)絡(luò)幾乎延長(zhǎng)到了世界每一個(gè)角落，它不停的轉(zhuǎn)變著我們的工作生活方式和思維方式,但是,計(jì)算機(jī)信息網(wǎng)絡(luò)平安的脆弱性和易受攻擊性是不容忽視的。由于網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議等平安技術(shù)上的漏洞和管理體制上的不嚴(yán)密，都會(huì)使計(jì)算機(jī)網(wǎng)絡(luò)受到威逼。我們可以想象一下，對(duì)于一個(gè)需要高速信息傳達(dá)的現(xiàn)代化醫(yī)院,假如遭到致命攻擊，會(huì)給社會(huì)造成多大的影響。在醫(yī)院行業(yè)的信息化建設(shè)過程中，信息平安的建設(shè)雖然只是一個(gè)很小的部分,但其重要性不容忽視。便捷、開放的網(wǎng)絡(luò)環(huán)境,是醫(yī)院信息化建設(shè)的基礎(chǔ)，在數(shù)據(jù)傳遞和共享的過程當(dāng)中,業(yè)務(wù)數(shù)據(jù)的平安性要切實(shí)地得到保障，才能保障醫(yī)院信息化業(yè)務(wù)系統(tǒng)的正常運(yùn)行。然而，假如我們的數(shù)據(jù)面臨著越來越多的平安風(fēng)險(xiǎn)，將對(duì)業(yè)務(wù)的正常運(yùn)行帶來威逼。所以,在醫(yī)院的信息化建設(shè)過程中,我們應(yīng)當(dāng)正視網(wǎng)絡(luò)及系統(tǒng)可能面臨的各種平安風(fēng)險(xiǎn),對(duì)網(wǎng)絡(luò)威逼賜予充分的重視。為了醫(yī)院信息網(wǎng)絡(luò)的平平穩(wěn)定運(yùn)行,確保醫(yī)院信息系統(tǒng)建設(shè)項(xiàng)目的順當(dāng)實(shí)施，結(jié)合具體的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)現(xiàn)狀,依據(jù)醫(yī)院目前的計(jì)算機(jī)信息網(wǎng)網(wǎng)絡(luò)特點(diǎn)及平安需求，本著切合實(shí)際、愛護(hù)資產(chǎn)、著眼將來醫(yī)療信息化動(dòng)態(tài)進(jìn)展的原則，提出本平安建設(shè)方案。建設(shè)目標(biāo)醫(yī)院將通過本次網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)平安規(guī)劃與建設(shè),將醫(yī)院的網(wǎng)絡(luò)建設(shè)成為一個(gè)具有現(xiàn)代化、多功能、結(jié)構(gòu)化、智能化的綜合性網(wǎng)絡(luò)系統(tǒng)。醫(yī)院網(wǎng)絡(luò)系統(tǒng)是為醫(yī)院內(nèi)部供應(yīng)網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用的IT基礎(chǔ)平臺(tái),包括ＰＡCS/ＲIS系統(tǒng)、ＨＩS/OA信息系統(tǒng)、管理、科研和多業(yè)務(wù)的綜合信息服務(wù)網(wǎng)絡(luò)系統(tǒng)。首先,通過網(wǎng)絡(luò)系統(tǒng)平安進(jìn)行全面的升級(jí)改造,建立可為醫(yī)院內(nèi)部醫(yī)療信息管理、科研供應(yīng)一個(gè)技術(shù)先進(jìn)、高平安性的信息化網(wǎng)絡(luò)環(huán)境。同時(shí)院內(nèi)的醫(yī)療信息管理(PACＳ／RIS/ＨIS系統(tǒng))、多媒體系統(tǒng)、遠(yuǎn)程會(huì)診系統(tǒng)、網(wǎng)上掛號(hào)、數(shù)據(jù)庫管理系統(tǒng)等,都可以通過醫(yī)院信息網(wǎng)絡(luò)平臺(tái)平安、高效的網(wǎng)絡(luò)來運(yùn)行和工作。滿足醫(yī)院內(nèi)外網(wǎng)的通訊要求。包括Inteｒnet服務(wù)遠(yuǎn)程移動(dòng)辦公服務(wù)、遠(yuǎn)程醫(yī)療幫忙、網(wǎng)上掛號(hào)等數(shù)據(jù)信息下載及視頻會(huì)議等。在適應(yīng)網(wǎng)絡(luò)進(jìn)展趨勢(shì)和醫(yī)院的實(shí)際網(wǎng)絡(luò)需求基礎(chǔ)上,既要能滿足同濟(jì)醫(yī)院的信息網(wǎng)絡(luò)系統(tǒng)使用需求,并兼顧今后網(wǎng)絡(luò)系統(tǒng)易擴(kuò)充性和可管理性。通過對(duì)網(wǎng)絡(luò)系統(tǒng)絡(luò)進(jìn)行統(tǒng)一的整體設(shè)計(jì)、規(guī)劃，為醫(yī)院網(wǎng)絡(luò)系統(tǒng)打造一個(gè)長(zhǎng)期、穩(wěn)定、高效、平安的運(yùn)行環(huán)境,以及醫(yī)院將來的進(jìn)展和建設(shè)打下良好的網(wǎng)絡(luò)平臺(tái)基礎(chǔ)。并將重點(diǎn)放在系統(tǒng)的穩(wěn)定性、開放性、可擴(kuò)展力量上,使系統(tǒng)持續(xù)穩(wěn)定運(yùn)行,既可滿足現(xiàn)有的醫(yī)療信息系統(tǒng)的應(yīng)用需要,又可便利滿足今后系統(tǒng)的升級(jí)及應(yīng)用需求,避開重復(fù)投資。依據(jù)標(biāo)準(zhǔn)規(guī)范ＧB17859-1９9９計(jì)算機(jī)信息系統(tǒng)平安愛護(hù)等級(jí)劃分準(zhǔn)則GＢ／Ｔ２2２40－2008信息平安技術(shù)信息系統(tǒng)平安等級(jí)愛護(hù)定級(jí)指南GＢ／T2２239－20０8信息平安技術(shù)信息系統(tǒng)平安等級(jí)愛護(hù)基本要求信息系統(tǒng)平安等級(jí)愛護(hù)實(shí)施指南(征求意見稿)信息系統(tǒng)平安等級(jí)愛護(hù)評(píng)估準(zhǔn)則(征求意見稿）ＧB／T2０00８-20０５信息平安技術(shù)操作系統(tǒng)平安評(píng)估準(zhǔn)則ＧB/Ｔ２００09-2００5信息平安技術(shù)數(shù)據(jù)庫管理系統(tǒng)平安評(píng)估準(zhǔn)則ＧB／T2001０-20０５信息平安技術(shù)包過濾防火墻評(píng)估準(zhǔn)則GＢ/T２００1１-２0０5信息平安技術(shù)路由器平安評(píng)估準(zhǔn)則GＢ/T2１05２-２00７信息平安技術(shù)信息系統(tǒng)物理平安技術(shù)要求GＢ/T19７15.2-２0０5信息技術(shù)信息技術(shù)平安管理指南第2部分:管理和規(guī)劃信息技術(shù)平安GB/T２０984-20０7信息平安技術(shù)信息平安風(fēng)險(xiǎn)評(píng)估規(guī)范GＢ/Ｔ１97１6－2005信息技術(shù)信息平安管理有用規(guī)章建設(shè)原則全方位提升網(wǎng)絡(luò)和系統(tǒng)實(shí)體的平安性、抗攻擊性平安性設(shè)計(jì)從全方位、多層次加以考慮，即通過物理層、鏈路層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等的平安技術(shù)措施以及平安管理來的確保證系統(tǒng)的整體平安。保證各種相關(guān)的網(wǎng)絡(luò)和系統(tǒng)具有相當(dāng)?shù)目构粜?能夠檢測(cè)并準(zhǔn)時(shí)對(duì)各種攻擊行為做出響應(yīng)。信息系統(tǒng)的可用牢靠性、平安性和保密性首先關(guān)注系統(tǒng)的可用性和牢靠性,在可用牢靠性基礎(chǔ)上，進(jìn)一步強(qiáng)調(diào)平安性和保密性問題，即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和不丟失。對(duì)信息的使用進(jìn)行相關(guān)的授權(quán)。信息的傳輸和傳播的過程進(jìn)行相關(guān)的把握、監(jiān)視和跟蹤。強(qiáng)調(diào)系統(tǒng)運(yùn)行狀態(tài)的可控性強(qiáng)調(diào)對(duì)全網(wǎng)上各種資源的度量和監(jiān)管,對(duì)整個(gè)網(wǎng)絡(luò)和系統(tǒng)的相關(guān)狀況進(jìn)行實(shí)時(shí)監(jiān)控,對(duì)應(yīng)用服務(wù)、數(shù)據(jù)和資源的使用進(jìn)行監(jiān)控。對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威逼加以把握。平安系統(tǒng)的可管理性接受“技術(shù)+管理”并重的模式,強(qiáng)調(diào)系統(tǒng)的可管理性,通過管理措施、機(jī)制和技術(shù)相結(jié)合,做到事先防范，事后補(bǔ)救;從人的角度考慮,通過平安教育與培訓(xùn),提高工作人員平安方面的意識(shí)和技術(shù)素養(yǎng);通過建立各種平安管理制度，提高員工的平安意識(shí)，規(guī)范員工的行為,主動(dòng)自覺地利用各種工具去加強(qiáng)平安性;通過各種技術(shù)手段,建立全部相關(guān)平安產(chǎn)品的管理體系。需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對(duì)任一網(wǎng)絡(luò),確定平安難以達(dá)到,也不肯定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際爭(zhēng)辯（包括任務(wù)、性能、結(jié)構(gòu)、牢靠性、可維護(hù)性等)，并對(duì)網(wǎng)絡(luò)面臨的威逼及可能擔(dān)當(dāng)?shù)娘L(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施，確定本系統(tǒng)的平安策略。先進(jìn)性原則醫(yī)院的平安有一個(gè)先進(jìn)水平的平安。具體的技術(shù)和技術(shù)方案應(yīng)保證整個(gè)系統(tǒng)在當(dāng)前具有的技術(shù)先進(jìn)性?？蓴U(kuò)展性原則醫(yī)院的信息化平安建設(shè)方案設(shè)計(jì)是針對(duì)其自身設(shè)計(jì)的平安方案,適應(yīng)整個(gè)醫(yī)院網(wǎng)絡(luò)系統(tǒng)的現(xiàn)狀以及需求,所實(shí)行的措施隨著網(wǎng)絡(luò)性能及平安需求的變化而變化，簡(jiǎn)潔升級(jí),具有良好的擴(kuò)展性。多重愛護(hù)原則任何平安措施都不是確定平安的,都可能被攻破。但是建立一個(gè)多重愛護(hù)系統(tǒng)，各層愛護(hù)相互補(bǔ)充,當(dāng)一層愛護(hù)被攻破時(shí),其它層愛護(hù)仍可愛護(hù)信息的平安。標(biāo)準(zhǔn)性原則設(shè)計(jì)醫(yī)院的信息化平安，要依據(jù)國(guó)家相關(guān)的法律法規(guī)、技術(shù)規(guī)范和標(biāo)準(zhǔn),同時(shí)也符合國(guó)家衛(wèi)生廳相關(guān)信息化建設(shè)標(biāo)準(zhǔn)。易操作性原則大部分的平安措施需要人為去完成，假如措施過于簡(jiǎn)單,對(duì)人員的要求過高,本身就降低了平安性。其次，措施的接受不能影響系統(tǒng)的正常運(yùn)行。醫(yī)院網(wǎng)絡(luò)現(xiàn)狀及需求分析網(wǎng)絡(luò)結(jié)構(gòu)描述通過對(duì)醫(yī)院現(xiàn)有結(jié)構(gòu)進(jìn)行了解和分析,可以看出醫(yī)院網(wǎng)絡(luò)大致可以分為業(yè)務(wù)內(nèi)網(wǎng)和辦公外網(wǎng),業(yè)務(wù)網(wǎng)絡(luò)接受三層網(wǎng)絡(luò)結(jié)構(gòu),通過核心交換機(jī)將醫(yī)院各科室進(jìn)行互聯(lián)。并在業(yè)務(wù)網(wǎng)絡(luò)單獨(dú)設(shè)立和一個(gè)內(nèi)部核心業(yè)務(wù)應(yīng)用服務(wù)器區(qū)域,包含HIS系統(tǒng)、RＩＳ系統(tǒng)、PACS系統(tǒng)和檔案管理系統(tǒng)等應(yīng)用服務(wù)器。同時(shí)為了滿足內(nèi)部應(yīng)用服務(wù)器與辦公網(wǎng)DMZ區(qū)域服務(wù)器進(jìn)行數(shù)據(jù)交換需求,在業(yè)務(wù)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)邊界部署了一臺(tái)防火墻設(shè)備進(jìn)行兩個(gè)網(wǎng)絡(luò)之間的隔離，并在防火墻劃分了一個(gè)內(nèi)部網(wǎng)絡(luò)的DMZ區(qū)域進(jìn)行與外部DMZ區(qū)域進(jìn)行數(shù)據(jù)交換的中轉(zhuǎn)站。外部辦公網(wǎng)絡(luò)大致可以劃分為辦公網(wǎng)和ＤMZ區(qū)域,在外部網(wǎng)絡(luò)的互聯(lián)網(wǎng)邊界通過核心交換機(jī)的防火墻板卡進(jìn)行邊界的隔離和劃分ＤMZ區(qū)域,通過在外網(wǎng)的核心交換機(jī)上做NAＴ和PAT對(duì)外發(fā)布統(tǒng)計(jì)醫(yī)院DMＺ區(qū)域的應(yīng)用。應(yīng)用系統(tǒng)描述在醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)中主要有ＨＩS系統(tǒng)、PACＳ系統(tǒng)、RIＳ系統(tǒng)和檔案管理系統(tǒng)等服務(wù)器，這些重要的應(yīng)用服務(wù)器構(gòu)成醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)的核心。在應(yīng)用系統(tǒng)的部署架構(gòu)上,目前應(yīng)用系統(tǒng)、中間件和數(shù)據(jù)庫系統(tǒng)接受一體化部署方式,及數(shù)據(jù)庫和應(yīng)用系統(tǒng)都部署在一臺(tái)服務(wù)器上，各應(yīng)用系統(tǒng)架構(gòu)大多接受了B／S、C/S架構(gòu)。在應(yīng)用服務(wù)器操作系統(tǒng)上,大多接受ＷIＮＤOS操作系統(tǒng)。醫(yī)院網(wǎng)絡(luò)平安現(xiàn)狀從醫(yī)院目前的網(wǎng)絡(luò)結(jié)構(gòu)上來看,在外部辦公網(wǎng)絡(luò)的互聯(lián)網(wǎng)邊界主要接受了防火墻系統(tǒng)，但是由于ＤMZ區(qū)域應(yīng)用的平安主要依靠防火墻的地址映射和訪問把握進(jìn)行愛護(hù),由于應(yīng)用系統(tǒng)本身可能存在一些平安漏洞或者軟件設(shè)計(jì)上的缺陷,外網(wǎng)非法訪者可直接通過防火墻允許的端口對(duì)DMZ區(qū)域的應(yīng)用服務(wù)器進(jìn)行注入、跨站、拒絕服務(wù)、緩沖溢出攻擊。給醫(yī)院網(wǎng)絡(luò)造成極大的威逼。在外部辦公網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)的邊界上,接受網(wǎng)閘做網(wǎng)絡(luò)邊界的隔離設(shè)備,但是由于設(shè)備選購時(shí)間較長(zhǎng)，設(shè)備比較老舊,且是百兆級(jí)別的設(shè)備,無法滿足現(xiàn)有的網(wǎng)絡(luò)核心骨干千兆乃至擴(kuò)展到萬兆的網(wǎng)絡(luò)環(huán)境的需求。醫(yī)院網(wǎng)絡(luò)的平安需求信息平安涉及到信息的保密性(Confｉdentｉality)、完整性(Iｎtegｒity）、可用性（Ａｖａilａｂility)?；谝陨系男枨蠓治?我們認(rèn)為網(wǎng)絡(luò)系統(tǒng)可以實(shí)現(xiàn)以下平安目標(biāo):愛護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性愛護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問防范入侵者的惡意攻擊與破壞愛護(hù)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性防范病毒的侵害實(shí)現(xiàn)網(wǎng)絡(luò)的平安管理ＩT流程規(guī)范化改進(jìn)詢問服務(wù)近幾年來醫(yī)院的信息化的進(jìn)展,為供應(yīng)醫(yī)院在醫(yī)務(wù)服務(wù)質(zhì)量上、醫(yī)務(wù)事務(wù)處理效率上進(jìn)一步的提高,隨著醫(yī)院各類醫(yī)務(wù)信息系統(tǒng)的上線、升級(jí)和改造,因各類信息系統(tǒng)的增加,隨之而來的是在IT部門工作量上大大的增大,為進(jìn)一步保障全院醫(yī)務(wù)系統(tǒng)熱持續(xù)運(yùn)作,全面提升和優(yōu)化醫(yī)院信息化業(yè)務(wù)運(yùn)維管理水平,提高IT部門業(yè)務(wù)服務(wù)質(zhì)量,保障醫(yī)療應(yīng)用平安運(yùn)行。關(guān)于IT流程改進(jìn)詢問詢問服務(wù)的IT流程范圍涵蓋建立IT流程規(guī)劃和持續(xù)改進(jìn)機(jī)制、建立信息中心部門基本制度、建立醫(yī)院信息化管理制度、建立完善系統(tǒng)維護(hù)流程、建立信息平安管理制度、建立應(yīng)急預(yù)案與演練機(jī)制、建立項(xiàng)目管理制度、建立統(tǒng)計(jì)工作制度、編制(預(yù)算、選購、財(cái)產(chǎn)管理)具體作業(yè)指導(dǎo)書以及指導(dǎo)實(shí)施。管理詢問主要集中流程體系規(guī)劃、流程和模板的編制或修改完善，對(duì)信息中心依據(jù)流程規(guī)范開展的流程實(shí)施工作提要的答疑或抽查輔導(dǎo),幫助建立長(zhǎng)效的流程改進(jìn)機(jī)制。供應(yīng)IT流程學(xué)問管理及任務(wù)管理系統(tǒng)及服務(wù)供應(yīng)此軟件及相應(yīng)的安裝、調(diào)試和運(yùn)行維護(hù)服務(wù)。軟件功能主要涵蓋流程學(xué)問管理和流程改進(jìn)配套的任務(wù)管理。流程管理軟件所管理的流程范圍限于信息中心范圍內(nèi)的IT流程、模板及質(zhì)量記錄;任務(wù)管理軟件限于信息中心流程改進(jìn)的任務(wù)管理。IT流程改進(jìn)目標(biāo)對(duì)比IT流程有關(guān)規(guī)范,評(píng)估信息中心現(xiàn)有ＩT流程規(guī)范的欠缺或差距，制定流程方案并加以落實(shí)。引入流程規(guī)范和行業(yè)先進(jìn)流程閱歷，補(bǔ)充編制新的流程制度、模板或完善現(xiàn)有流程制度,使信息中心ＩT流程體系升級(jí)以達(dá)到完整化、規(guī)范化。指導(dǎo)流程規(guī)范的落實(shí)和持續(xù)改進(jìn)，使信息中心IT建設(shè)與運(yùn)行維護(hù)流程進(jìn)入不斷改進(jìn)的良性循環(huán)。ＩT流程改進(jìn)原則流程改進(jìn)詢問活動(dòng)需要接受規(guī)范化、科學(xué)化方法,符合流程管理改進(jìn)詢問有關(guān)規(guī)范。本項(xiàng)目范圍所屬的流程制度的編制及實(shí)施應(yīng)遵循IT流程規(guī)范的相關(guān)標(biāo)準(zhǔn)或要求，例如ＩSO900１、三甲IＴ信息化管理要求等。ＩT流程應(yīng)簡(jiǎn)潔實(shí)施,切合實(shí)際需求，解決實(shí)際問題。既重視編制或完善工作流程,更重視建立持續(xù)改進(jìn)的機(jī)制。利用流程學(xué)問和流程改進(jìn)任務(wù)管理系統(tǒng),以科學(xué)手段提高流程改進(jìn)的執(zhí)行力和效率，管理系統(tǒng)需要具備易操作、適應(yīng)性好的特性。ＩT流程改進(jìn)服務(wù)需求說明建立IT流程體系規(guī)劃和持續(xù)改進(jìn)機(jī)制任務(wù)類別任務(wù)內(nèi)容備注對(duì)流程體系現(xiàn)狀水平進(jìn)行評(píng)估通過訪談、檢查,對(duì)比ISO9０0１和三甲醫(yī)院信息化管理要求等規(guī)范評(píng)估現(xiàn)有ＩT流程制度的缺漏或差異規(guī)劃新流程體系架構(gòu)規(guī)劃流程體系目標(biāo)、方針；規(guī)劃流程體系各流程之間的輸入輸出或變更互動(dòng)關(guān)系確定流程改進(jìn)的職責(zé)分工編制或修改ＩT流程改進(jìn)的職責(zé)分工和崗位設(shè)置說明定義好流程有關(guān)的角色一覽表PＤCＡ階段管理方法論和制度編制或修改完善流程改進(jìn)的方案管理和報(bào)告制度(年度、月度度目標(biāo)方案與總結(jié)，按PDCＡ方法)ＩＴ流程水平評(píng)估方法論和制度編制或修改完善一套針對(duì)IT流程規(guī)范化水平的檢查評(píng)估方法,用于評(píng)估IＴ流程規(guī)范所處的水平(對(duì)比有關(guān)規(guī)范的流程掩蓋率或完整性、執(zhí)行狀況和執(zhí)行效果)對(duì)信息中心的具體執(zhí)行過程供應(yīng)答疑輔導(dǎo)建立信息中心部門基本制度任務(wù)類別任務(wù)內(nèi)容備注信息中心組織結(jié)構(gòu)編制或修改信息中心組織結(jié)構(gòu)說明編制或修改完善崗位一覽表編制或修改完善崗位說明模板對(duì)部門按新模板填寫的各崗位說明書供應(yīng)修改指導(dǎo)對(duì)信息中心按新模板編制的崗位說明供應(yīng)修改輔導(dǎo)信息中心方案/總結(jié)編制或修改完善信息中心內(nèi)部方案與報(bào)告制度、模板部門績(jī)效管理編制或修改完善信息中心職員績(jī)效管理制度(包含目標(biāo)設(shè)定、績(jī)效方案、績(jī)效溝通、績(jī)效分解、績(jī)效評(píng)估的總體要求)對(duì)信息中心依據(jù)新制度、模板開展的績(jī)效指標(biāo)定義和管理具體方案供應(yīng)答疑輔導(dǎo)。信息中心培訓(xùn)編制或修改完善信息中心培訓(xùn)進(jìn)展制度其它有關(guān)制度編制或修改值班制度編制或完善考勤休假制度編制或修改會(huì)議管理制度建立醫(yī)院信息化管理制度任務(wù)類別任務(wù)內(nèi)容備注幫忙制定策略方法幫忙分析醫(yī)院信息化管理的挑戰(zhàn)和策略方法(總體原則、方法、措施）設(shè)立院級(jí)領(lǐng)導(dǎo)機(jī)構(gòu)編制或修改完善院級(jí)組織機(jī)構(gòu)說明信息化溝通機(jī)制編制或修改完善院級(jí)信息化溝通制度、模板制定中長(zhǎng)期方案編制或修改完善中長(zhǎng)期方案制度和模板ＩT信息化績(jī)效管理確定IＴ信息化主要宏觀指標(biāo)定義(簡(jiǎn)潔有用KPI)編制或修改完善ＩＴ績(jī)效評(píng)估的流程制度制定績(jī)效的公示呈現(xiàn)方法對(duì)信息中心主持的有關(guān)活動(dòng)供應(yīng)答疑輔導(dǎo)項(xiàng)目需求與立項(xiàng)審批編制或修改完善信息化項(xiàng)目立項(xiàng)審批制度(各單位需求申報(bào)，項(xiàng)目估算,立項(xiàng)審批等)建立完善系統(tǒng)維護(hù)流程任務(wù)類別任務(wù)內(nèi)容備注日常缺陷維護(hù)制度編制或完善軟硬件缺陷報(bào)告與維護(hù)管理制度(故障級(jí)別定義;修理工單報(bào)告與處理跟蹤；大事跟蹤與升級(jí)管理,含廠商）軟件變更安裝編制或完善軟件版本更新制度（測(cè)試驗(yàn)證、風(fēng)險(xiǎn)分析及應(yīng)急恢復(fù)、安裝把握、裝后驗(yàn)證)系統(tǒng)安裝、變更編制或完善系統(tǒng)安裝與配置變更流程(方案評(píng)估、風(fēng)險(xiǎn)分析、審批、記錄)值班制度編制或修改完善信息值班、交接班制度,有完整的日常運(yùn)維記錄和值班記錄，準(zhǔn)時(shí)處置平安隱患系統(tǒng)監(jiān)視巡查編制或修改完善系統(tǒng)巡查監(jiān)視制度和記錄要求基礎(chǔ)架構(gòu)信息管理編制或修改完善基礎(chǔ)架構(gòu)信息的建立與更新制度,以便能從技術(shù)架構(gòu)信息中了解系統(tǒng)網(wǎng)絡(luò)架構(gòu)與軟件硬件資源布局對(duì)信息中心主持的有關(guān)管理活動(dòng)記錄供應(yīng)檢查輔導(dǎo)機(jī)房管理制度編制或修改完善機(jī)房管理制度,便于促進(jìn)機(jī)房平安和作業(yè)管理建立信息平安管理制度任務(wù)類別任務(wù)內(nèi)容備注權(quán)限管理制度編制或修改完善權(quán)限管理制度(權(quán)限安排、授予與回收制度;權(quán)限狀態(tài)一覽表查詢)病毒防范編制或修改完善病毒防范管理制度病人隱私信息愛護(hù)編制或修改完善病人隱私信息愛護(hù)制度編制或修改完善病人隱私信息愛護(hù)狀況檢查評(píng)估制度定期平安評(píng)估編制或修改完善定期進(jìn)行系統(tǒng)平安評(píng)估的制度(權(quán)限管理執(zhí)行狀況的檢查、系統(tǒng)平安漏洞檢查、平安監(jiān)視措施的檢查、監(jiān)視記錄)供應(yīng)制度框架，對(duì)信息中心主持的有關(guān)活動(dòng)記錄，供應(yīng)評(píng)價(jià)指導(dǎo)建立應(yīng)急預(yù)案與演練機(jī)制任務(wù)類別任務(wù)內(nèi)容備注應(yīng)急預(yù)案編制制度編制或修改完善應(yīng)急管理制度（預(yù)案掩蓋范圍、預(yù)案一覽表清單編制要求、預(yù)案編制要求、預(yù)案審批、預(yù)案變更要求、持續(xù)改進(jìn)要求)(涵蓋整個(gè)主機(jī)、數(shù)據(jù)庫、存儲(chǔ)系統(tǒng)、網(wǎng)絡(luò)癱瘓應(yīng)急恢復(fù)措施等)供應(yīng)制度框架,對(duì)信息中心主持編寫的具體應(yīng)急預(yù)案，供應(yīng)評(píng)價(jià)指導(dǎo)應(yīng)急預(yù)案演練驗(yàn)證制度編制或修改完善預(yù)案演練制度(演練的周期、演練記錄、演練結(jié)果審定)供應(yīng)制度框架,對(duì)信息中心主持編寫的具體應(yīng)急演練結(jié)果,供應(yīng)評(píng)價(jià)指導(dǎo)數(shù)據(jù)備份檢查制度編制或修改完善數(shù)據(jù)備份有效性檢查制度,以保證數(shù)據(jù)備份的可用性持續(xù)改進(jìn)機(jī)制編制應(yīng)急預(yù)案編制、演練等措施的持續(xù)改進(jìn)要求建立項(xiàng)目管理制度任務(wù)類別任務(wù)內(nèi)容備注項(xiàng)目立項(xiàng)審批制度編制或修改完善信息化項(xiàng)目立項(xiàng)審批制度(各單位需求申報(bào),項(xiàng)目估算，立項(xiàng)審批等）建立統(tǒng)計(jì)工作制度任務(wù)類別任務(wù)內(nèi)容備注系統(tǒng)缺陷統(tǒng)計(jì)編制或修改完善應(yīng)用報(bào)告的系統(tǒng)缺陷統(tǒng)計(jì)制度與方法ＩT工作統(tǒng)計(jì)編制或修改完善IT工作（含績(jī)效)評(píng)估與統(tǒng)計(jì)方法?（本期選擇若干宏觀指標(biāo)統(tǒng)計(jì)試點(diǎn))編制具體作業(yè)指導(dǎo)書SOP任務(wù)類別任務(wù)內(nèi)容備注預(yù)算管理編制或修改完善預(yù)算管理標(biāo)準(zhǔn)作業(yè)程序(SＯP)選購管理編制或修改完善選購管理標(biāo)準(zhǔn)作業(yè)程序(ＳOＰ）財(cái)產(chǎn)管理編制或修改完善財(cái)產(chǎn)管理標(biāo)準(zhǔn)作業(yè)程序（ＳOＰ）平安建設(shè)方案ＭPＤRR平安模型ＰADIMＥE模型包含以下幾個(gè)主要部分:Ｐoｌiｃy(平安策略)、Assessmｅnt（平安評(píng)估）、Desｉｇｎ（設(shè)計(jì)/方案)、Iｍpｌeｍentａt(yī)ioｎ(實(shí)施/實(shí)現(xiàn))、Mａnａgｅmｅｎｔ/Moniｔor(管理/監(jiān)控）、EｍｅrgencyＲｅsponｓe（緊急響應(yīng))和Educａt(yī)ｉｏn（平安教育)。依據(jù)PＡDIＭEE模型,網(wǎng)絡(luò)平安需求主要在以下幾個(gè)方面得以體現(xiàn):(1）制訂網(wǎng)絡(luò)平安策略反映了組織的總體網(wǎng)絡(luò)平安需求;(２)通過網(wǎng)絡(luò)平安評(píng)估,提出網(wǎng)絡(luò)平安需求,從而更加合理、有效地組織網(wǎng)絡(luò)平安工作;(3)在新系統(tǒng)、新項(xiàng)目的設(shè)計(jì)和實(shí)現(xiàn)中,應(yīng)當(dāng)充分地分析可能引致的網(wǎng)絡(luò)平安需求、并實(shí)行相應(yīng)的措施,在這一階段開頭網(wǎng)絡(luò)平安工作,往往能夠收到“事半功倍”的效果;(4)管理／監(jiān)控也是網(wǎng)絡(luò)平安實(shí)現(xiàn)的重要環(huán)節(jié)。其中既包括了Ｐ２DR平安模型和ＡPＰDRR平安模型中的動(dòng)態(tài)檢測(cè)內(nèi)容,也涵蓋了平安管理的要素。通過管理/監(jiān)控環(huán)節(jié),并輔以必要的靜態(tài)平安防護(hù)措施,可以滿足特定的網(wǎng)絡(luò)平安需求,從而使既定的網(wǎng)絡(luò)平安目標(biāo)得以實(shí)現(xiàn);(５）緊急響應(yīng)是網(wǎng)絡(luò)平安的最終一道防線。由于網(wǎng)絡(luò)平安的相對(duì)性，實(shí)行的全部平安措施實(shí)際上都是將平安工作的收益(以可能導(dǎo)致的損失來計(jì)量）和實(shí)行平安措施的成本相配比進(jìn)行選擇、決策的結(jié)果。基于這樣的考慮,在網(wǎng)絡(luò)平安工程實(shí)現(xiàn)模型中設(shè)置一道這樣的最終防線有著極為重要的意義。通過合理地選擇緊急響應(yīng)措施，可以做到以最小的代價(jià)換取最大的收益,從而減弱乃至消退平安大事的不利影響,有助于實(shí)現(xiàn)信息組織的網(wǎng)絡(luò)平安目標(biāo)。信息平安拓?fù)鋱D網(wǎng)絡(luò)防火墻系統(tǒng)產(chǎn)品概述下一代防火墻保留了狀態(tài)檢測(cè)防火墻的優(yōu)點(diǎn)，具有性能的同時(shí)具備內(nèi)容過濾、入侵防備、流量管理、用戶認(rèn)證等多種應(yīng)用層過濾技術(shù)于一身,彌補(bǔ)了狀態(tài)檢測(cè)防火墻的不足。為用戶供應(yīng)了更全面的深度過濾功能，有效識(shí)別來自應(yīng)用層的威逼。通過全新的AMP＋多核架構(gòu)和設(shè)計(jì)理念,實(shí)現(xiàn)了高性能極速轉(zhuǎn)發(fā)、智能定位與管控、應(yīng)用精細(xì)識(shí)別、多種應(yīng)用層過濾技術(shù)、虛擬防火墻定制化平安及立體可視化監(jiān)控等一系列特有功能；應(yīng)用層和網(wǎng)絡(luò)層平安模塊的并行調(diào)度,提升了應(yīng)用層處理性能;系統(tǒng)引擎與平安引擎的用戶態(tài)設(shè)計(jì),避開了在大流量下數(shù)據(jù)報(bào)文分析對(duì)防火墻性能的影響，有效提高了整機(jī)運(yùn)行速度;友好的扁平化風(fēng)格界面，協(xié)作直觀的功能模塊設(shè)計(jì)，更加便利的進(jìn)行網(wǎng)絡(luò)管理。產(chǎn)品特點(diǎn)獨(dú)立的管理口實(shí)現(xiàn)與業(yè)務(wù)口分別特地供應(yīng)了管理口，讓用戶的管理數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)分別,在業(yè)務(wù)數(shù)據(jù)量過大的狀況下,不會(huì)影響對(duì)防火墻的正常管理。同時(shí),單獨(dú)的管理口使用戶可以嚴(yán)格限制連入管理防火墻的方式,保障更加平安的管理防火墻。管理員權(quán)限三權(quán)分立針對(duì)管理員的角色建立三權(quán)分立的管理員帳號(hào)機(jī)制,將超級(jí)用戶特權(quán)集進(jìn)行劃分,分別授予配置管理員、平安管理員和審計(jì)管理員。實(shí)現(xiàn)配置管理、平安管理和審計(jì)管理功能的同時(shí),也保證管理員權(quán)限的隔離。防止由于管理員權(quán)限過大所引起的平安風(fēng)險(xiǎn)，也保證已經(jīng)配置完成的訪問把握策略不會(huì)消滅未授權(quán)的修改,及消滅未授權(quán)修改時(shí)可以保留相關(guān)審計(jì)信息。平安隔離的虛擬系統(tǒng)支持通過虛擬系統(tǒng)功能，將下一代防火墻虛擬成多個(gè)相互隔離并獨(dú)立運(yùn)行的虛擬防火墻系統(tǒng)，每一個(gè)虛擬系統(tǒng)都可以為用戶供應(yīng)定制化的平安防護(hù)功能,并可配備獨(dú)立的管理員賬號(hào)。在用戶網(wǎng)絡(luò)不斷擴(kuò)展時(shí),通過虛擬系統(tǒng)功能不僅能有效降低用戶網(wǎng)絡(luò)的簡(jiǎn)單度,還能提高網(wǎng)絡(luò)的機(jī)敏性。當(dāng)這些相互隔離并獨(dú)立運(yùn)行的虛擬防火墻系統(tǒng)需要通訊時(shí),可以通過下一代防火墻供應(yīng)的虛擬接口實(shí)現(xiàn)，而不需要通過物理鏈路將它們進(jìn)行連接。地理位置識(shí)別下一代防火墻增加了地理位置識(shí)別功能，可以將地理位置作為配置平安策略的一個(gè)屬性。通過地址位置識(shí)別用戶可以了解到不同地區(qū)當(dāng)前的網(wǎng)絡(luò)使用狀況,查看基于地理位置的流量趨勢(shì)等,從而針對(duì)不同的地理位置來調(diào)整防火墻策略，為用戶的平安策略管理供應(yīng)一個(gè)新的把握角度。基于平安域的攻擊防護(hù)功能通過基于平安域的Ｆｌood防護(hù)和掃描哄騙防護(hù)、IP地址掃描攻擊、端口掃描以及特別包攻擊等防護(hù)手段的攻擊防護(hù)模塊,將包括ＳYＮFｌｏod,ICMＰＦloｏd，ＵDＰFooｄ，IPFoｏd，ｐｉngｏｆdｅａt(yī)h,Tｅａrdrｏp,IP選項(xiàng),TCP特別，Smuｒf，F(xiàn)ｒａggle,Ｌａnｄ，Wｉnnuｋｅ等常見的攻擊行為檢測(cè)集成在模塊中,使得用戶通過啟用并配置攻擊防護(hù)模塊,有效的過濾并實(shí)行相應(yīng)的措施阻擋非正常報(bào)文流入用戶內(nèi)網(wǎng)。同時(shí)針對(duì)洪攻擊和掃描攻擊,攻擊防護(hù)模塊允許用戶通過限制報(bào)文的閾值，從而達(dá)到愛護(hù)內(nèi)部網(wǎng)絡(luò)免受惡意洪攻擊的威逼，保證內(nèi)部網(wǎng)絡(luò)及內(nèi)部服務(wù)器正常運(yùn)行。攻擊防護(hù)模塊能準(zhǔn)時(shí)向用戶輸出平安告警，并在系統(tǒng)狀態(tài)中實(shí)時(shí)顯示當(dāng)前排行前十位的攻擊行為，讓管理員能夠快速了解并定位網(wǎng)絡(luò)攻擊，并且能快速做出響應(yīng)保證網(wǎng)絡(luò)正常。更加機(jī)敏、精準(zhǔn)的入侵防備功能依托先進(jìn)的多核全并行處理技術(shù)，大幅提高了IPＳ的處理性能，能夠輕松應(yīng)對(duì)多樣的混合型攻擊，超過30００種的特征庫可以檢測(cè)并防范針對(duì)HTＴP、FTＰ、ＳＭTＰ、ＩMAP、ＰＯP３、TEＬＮEＴ、ＤNＳ、RPＣ、MSSＱＬ、ORAＣLE、NＮＴＰ、ＮＥＴＢＯIS、TFTP等多種協(xié)議的攻擊,以保障網(wǎng)絡(luò)的平安。完善的日志系統(tǒng)及監(jiān)控系統(tǒng)供應(yīng)了基于不同維度的入侵大事記錄分析，便利管理員把握當(dāng)前網(wǎng)絡(luò)中的攻擊信息，準(zhǔn)時(shí)做出正確的管理決策。同時(shí)，通過專業(yè)的特征庫,常用基礎(chǔ)軟件的漏洞,以及常用應(yīng)用系統(tǒng)的漏洞利用機(jī)理,保證IPS在防范已知漏洞的基礎(chǔ)上,也能對(duì)新消滅的漏洞進(jìn)行防范,確保了入侵防備功能的有效性。IPS功能中針對(duì)每種攻擊特征設(shè)定的精細(xì)執(zhí)行動(dòng)作，極大的提高了入侵防備策略的自由度和機(jī)敏性,并且最大程度的降低了誤識(shí)別率。支持自定義新建、并發(fā)的連接限制功能連接限制是網(wǎng)神下一代極速防火墻NSＧ系列基于平安域來限制并發(fā)及新建連接數(shù)的功能。目前最常見的兩個(gè)應(yīng)用場(chǎng)景為:1)限制Ｐ2P流量的并發(fā)連接數(shù)。通過限制單個(gè)IP的連接數(shù)上限,讓使用P２P下載的用戶在達(dá)到閾值時(shí)也不會(huì)對(duì)其它用戶造成影響。2)限制來自外網(wǎng)或者內(nèi)網(wǎng)的高新建高并發(fā)的攻擊行為，愛護(hù)連接表不被DｏS攻擊填滿。多種形式建立ＩPSecVPＮ隧道IＰSecVＰN支持“手工隧道”、“快速隧道”形式下的隧道建立方式，并支持“網(wǎng)關(guān)到網(wǎng)關(guān)”、“客戶端到網(wǎng)關(guān)”兩種應(yīng)用場(chǎng)景。同時(shí)VPＮ實(shí)施支持基于平安策略指定VＰＮ隧道策略方式。深度的網(wǎng)絡(luò)行為關(guān)聯(lián)分析基于網(wǎng)絡(luò)用戶行為、用戶身份、用戶地域識(shí)別、用戶訪問應(yīng)用類型的實(shí)時(shí)分析及動(dòng)態(tài)實(shí)時(shí)防護(hù)而設(shè)計(jì)的整套平安防備體系?？赏ㄟ^“云計(jì)算”中心自動(dòng)收集平安威逼信息并快速查找解決方案,準(zhǔn)時(shí)更新攻擊防護(hù)規(guī)章庫并以動(dòng)態(tài)的方式實(shí)時(shí)部署到各用戶防火墻中，保證用戶的平安防護(hù)策略得到準(zhǔn)時(shí)、精確的動(dòng)態(tài)更新。防范以多種形態(tài)消滅的新惡意軟件和攻擊行為、APT攻擊、0-day攻擊等日益增長(zhǎng)的威逼。全方位狀態(tài)信息呈現(xiàn)供應(yīng)全面的實(shí)時(shí)的狀態(tài)信息呈現(xiàn),包括網(wǎng)絡(luò)接口狀態(tài)、接口信息狀態(tài)、系統(tǒng)信息狀態(tài)、資源狀態(tài)、并發(fā)連接數(shù)、入侵防備狀態(tài)、應(yīng)用流量排行榜。第一時(shí)間為管理員修改防火墻配置策略,了解防火墻運(yùn)行狀態(tài)，把握網(wǎng)絡(luò)當(dāng)前態(tài)勢(shì)供應(yīng)實(shí)時(shí)報(bào)告。更加人性化和智能化的狀態(tài)呈現(xiàn)同時(shí)大大供應(yīng)了狀態(tài)信息的易用性。WEＢ平安防護(hù)系統(tǒng)產(chǎn)品概述伴隨著防護(hù)技術(shù)的不斷進(jìn)展，ＷEＢ應(yīng)用系統(tǒng)的防護(hù)技術(shù)經(jīng)受了網(wǎng)關(guān)型防護(hù)手段和操作系統(tǒng)防護(hù)手段。如含有應(yīng)用層過濾功能的網(wǎng)絡(luò)防火墻、IPS等網(wǎng)關(guān)型硬件產(chǎn)品,基于特征匹配進(jìn)行防護(hù);網(wǎng)頁防篡改軟件則是基于文件監(jiān)控原理，對(duì)指定路徑的文件進(jìn)行監(jiān)控和寫愛護(hù)。傳統(tǒng)的網(wǎng)絡(luò)平安設(shè)備和網(wǎng)頁防篡改軟件只能解決WEB應(yīng)用平安的一個(gè)方面,而ＷＥB應(yīng)用系統(tǒng)的平安保障需要一個(gè)全面的平安防護(hù)和性能保障措施才能使之平安、高效、持續(xù)地對(duì)外供應(yīng)服務(wù)。ＷＥＢ應(yīng)用系統(tǒng)的平安是一個(gè)系統(tǒng)的問題，包括三個(gè)方面，即可用性、完整性和機(jī)密性。實(shí)現(xiàn)這些原則所需的平安等級(jí)因WEB系統(tǒng)的屬性、ＷEB應(yīng)用的價(jià)值不同而異。如對(duì)機(jī)密性要求較高的應(yīng)用系統(tǒng)應(yīng)當(dāng)保障數(shù)據(jù)的訪問、傳輸過程的平安，同時(shí)需要對(duì)訪問者進(jìn)行認(rèn)證、授權(quán)、審計(jì);對(duì)于一個(gè)面對(duì)客戶群的應(yīng)用系統(tǒng)既要考慮其應(yīng)用交互的可用性,同時(shí)也需要對(duì)其完整性進(jìn)行有效的保障。而面對(duì)大眾的門戶類網(wǎng)站則需要充分考慮其抗攻擊力量、高可用性和完整性,供應(yīng)7X24小時(shí)不中斷服務(wù),確保供應(yīng)的數(shù)據(jù)是真實(shí)的、有效的。綜上所述ＷEB應(yīng)用系統(tǒng)的平安保障需要充分考慮其高可用性、完整性和機(jī)密機(jī)才能達(dá)到平安有效的防護(hù)目的。專業(yè)的ＷEＢ平安網(wǎng)關(guān)則是專用于防護(hù)及優(yōu)化WEＢ應(yīng)用系統(tǒng)的最佳選擇,有效解決傳統(tǒng)網(wǎng)絡(luò)防火墻及網(wǎng)頁防篡改軟件在WEB應(yīng)用防護(hù)方面的局限性，在重視應(yīng)用系統(tǒng)的高可用性的前提下進(jìn)行平安優(yōu)化從而達(dá)到WEB防護(hù)的最佳目標(biāo)。集WＥＢ防護(hù)、WEＢ加速、網(wǎng)頁愛護(hù)、負(fù)載均衡、應(yīng)用交付于一體的ＷEＢ整體平安防護(hù)設(shè)備。通過WＥＢ平安防護(hù)模塊、應(yīng)用審計(jì)模塊實(shí)現(xiàn)應(yīng)用的平安防護(hù),解決用戶面臨的嚴(yán)峻入侵威逼;通過WＥB加速技術(shù)解決用戶在高可用性、性能提升上由于需要大量資金投入的苦惱；通過訪問把握模塊輕松解決了ＷEB應(yīng)用系統(tǒng)細(xì)粒度訪問把握等特定的需求問題。事前主動(dòng)防備,智能分析應(yīng)用缺陷、屏蔽惡意懇求、防范網(wǎng)頁篡改、阻斷應(yīng)用攻擊,全方位愛護(hù)WEB應(yīng)用。事中智能響應(yīng)，快速Ｐ２DＲ建模、模糊歸納和定位攻擊,阻擋風(fēng)險(xiǎn)集中，消退“平安事故”于萌芽之中。事后行為審計(jì),深度挖掘訪問行為、分析攻擊數(shù)據(jù)、提升應(yīng)用價(jià)值,為評(píng)估平安狀況供應(yīng)詳盡報(bào)表。面對(duì)客戶的應(yīng)用加速，提升系統(tǒng)性能,改善WＥB訪問體驗(yàn)。面對(duì)過程的應(yīng)用把握,細(xì)化訪問行為,強(qiáng)化應(yīng)用服務(wù)力量。面對(duì)服務(wù)的負(fù)載均衡，擴(kuò)展服務(wù)力量，適應(yīng)業(yè)務(wù)規(guī)模的快速壯大。產(chǎn)品特點(diǎn)平安防護(hù)功能策略的掩蓋完整度WEＢ平安網(wǎng)關(guān)供應(yīng)對(duì)應(yīng)用系統(tǒng)全方位的防護(hù)，強(qiáng)化數(shù)據(jù)有效性防護(hù)即常見的跨站腳本攻擊、SQＬ注入攻擊、跨站懇求偽造、網(wǎng)頁掛馬、盜鏈等威逼的防護(hù),供應(yīng)WEＢ應(yīng)用或網(wǎng)站的基本平安保障。使用虛擬服務(wù)器補(bǔ)丁技術(shù)用于緩解WEＢ服務(wù)器漏洞的零日攻擊和擔(dān)憂全配置帶來的平安隱患。集成的會(huì)話簽名鑒別技術(shù)和分級(jí)授權(quán)模塊專用于防護(hù)WEＢ應(yīng)用系統(tǒng)面臨的認(rèn)證威逼,如失效的會(huì)話管理缺陷、擔(dān)憂全的會(huì)話密鑰管理缺陷等均可通過WＥＢ平安網(wǎng)關(guān)進(jìn)行快速修復(fù)。供應(yīng)防止應(yīng)用DＯＳ攻擊和暴力口令破解技術(shù),解決大規(guī)模特別訪問導(dǎo)致應(yīng)用系統(tǒng)面臨的性能問題,甚至系統(tǒng)崩潰、服務(wù)中斷等惡性大事的發(fā)生。策略適應(yīng)性優(yōu)秀的平安策略不僅需要有廣泛的應(yīng)用系統(tǒng)掩蓋面、還需要有細(xì)的匹配粒度和良好的應(yīng)用系統(tǒng)適應(yīng)性。天泰平安網(wǎng)關(guān)的策略基于URI、時(shí)間、訪問者、訪問狀態(tài)、訪問工具、訪問內(nèi)容等對(duì)象定制平安規(guī)章,每條規(guī)章在發(fā)布前均通過嚴(yán)格的適應(yīng)性測(cè)試,特殊針對(duì)國(guó)內(nèi)數(shù)百家WEＢ應(yīng)用系統(tǒng)進(jìn)行測(cè)試，確保規(guī)章平平穩(wěn)定、無誤判。學(xué)習(xí)引擎與白名單模式、主動(dòng)防備時(shí)代的好處平安防護(hù)技術(shù)可以分和黑名單防護(hù)技術(shù)和白名單防護(hù)技術(shù),黑名單技術(shù)目前被大量應(yīng)用，基于黑名單的防護(hù)技術(shù)可以防護(hù)已知的攻擊行為,但對(duì)于未知的或已知規(guī)章的變種則無法防護(hù)。白名單技術(shù)可以有效的防護(hù)黑名單無法解決的問題，然而由于WEＢ應(yīng)用系統(tǒng)的簡(jiǎn)單多樣，所以白名單技術(shù)在實(shí)施過程中通常格外簡(jiǎn)單并可能導(dǎo)致誤判。TSＡdaｐｔiｖｅ?自適應(yīng)引擎讓白名單防護(hù)技術(shù)在Ｗeb平安Ｐｏsitｉｖe模式下,識(shí)別攻擊行為不再依靠于已知的攻擊特征,而是基于用戶應(yīng)用系統(tǒng)的正常懇求特征和簽名列表。自適應(yīng)引擎生成的推舉規(guī)章專用于特定的應(yīng)用系統(tǒng),最大限度的降低了黑名單技術(shù)帶來的誤判、漏判、零日攻擊等無法解決的技術(shù)難題?；跔顟B(tài)的分析ＷEＢ應(yīng)用防火墻技術(shù)在開發(fā)初期是完全基于規(guī)章匹配的響應(yīng)機(jī)制，表現(xiàn)為無狀態(tài)特性。隨著防護(hù)技術(shù)的不斷提高及面臨日益嚴(yán)峻的零日攻擊威逼，WEＢ平安網(wǎng)關(guān)開創(chuàng)性的接受了應(yīng)用防火墻狀態(tài)防護(hù)技術(shù),對(duì)會(huì)話管理、懇求偽造、盜鏈等行為進(jìn)行識(shí)別和防護(hù)；對(duì)攻擊者的入侵掃描、探測(cè)、滲透過程進(jìn)行狀態(tài)識(shí)別和跟蹤，快速定位威逼,準(zhǔn)時(shí)告警或阻擋。與網(wǎng)絡(luò)層聯(lián)動(dòng)的防備技術(shù)WEＢ應(yīng)用受到攻擊，WEB平安網(wǎng)關(guān)應(yīng)當(dāng)實(shí)行行之有效的防護(hù)措施。WEB平安網(wǎng)關(guān)在檢測(cè)到有攻擊流量時(shí)會(huì)跟據(jù)不同的平安級(jí)別做出對(duì)應(yīng)的響應(yīng)，如阻斷并給出偽裝或告警信息。當(dāng)檢測(cè)到有持繼的攻擊流量時(shí),WEB平安網(wǎng)關(guān)將會(huì)實(shí)行一系列的平安聯(lián)動(dòng)措施,如基于狀態(tài)的威逼識(shí)別和限時(shí)鎖定措施將入侵者進(jìn)行延時(shí)鎖定,或者準(zhǔn)時(shí)將可疑攻擊通過郵件、短信、SNＭＰ、Syｓｌog通知平安管理員,準(zhǔn)時(shí)實(shí)行平安措施,降低攻擊帶來的損失。日志審計(jì)與管理日志分析與管理模塊作為平安產(chǎn)品與平安管理人員交互最為重要的接口,其日志審計(jì)貯存的形式、內(nèi)容和可供應(yīng)的建議對(duì)平安管理員保持應(yīng)用系統(tǒng)長(zhǎng)期平安運(yùn)行起到重要作用。平安日志日志不僅為管理員供應(yīng)威逼管理的平臺(tái),同時(shí)也是平安取證和策略調(diào)整的依據(jù)。因此要求日志記錄的盡可能具體和精確,并可依據(jù)審計(jì)的要求對(duì)特定數(shù)據(jù)進(jìn)行篩選和審計(jì)。WEＢ平安網(wǎng)關(guān)可供應(yīng)定時(shí)報(bào)表和即時(shí)分析功能，通過分析有助于平安管理人員把握應(yīng)用系統(tǒng)平安現(xiàn)狀，準(zhǔn)時(shí)調(diào)整平安策略,并針對(duì)威逼等級(jí)較高的攻擊進(jìn)行提示,提出建議性解決方法。訪問日志W(wǎng)EＢ平安網(wǎng)關(guān)詳盡紀(jì)錄和有效統(tǒng)計(jì)用戶對(duì)Ｗｅｂ應(yīng)用資源的訪問，包括頁面點(diǎn)擊率、客戶端地址、客戶端類型、訪問流量、訪問時(shí)間、搜尋引擎關(guān)鍵字等信息,實(shí)現(xiàn)有效的用戶行為跟蹤和訪問統(tǒng)計(jì)分析。生成基于地區(qū)區(qū)域的訪問統(tǒng)計(jì),便于識(shí)別WＥB應(yīng)用的訪問群體是否符合預(yù)期，為應(yīng)用優(yōu)化供應(yīng)指導(dǎo)。性能優(yōu)化方案應(yīng)用系統(tǒng)的可用性是構(gòu)成系統(tǒng)平安的重要組成部分,應(yīng)用系統(tǒng)訪問延時(shí)、堵塞、服務(wù)中斷、性能急劇下降等都會(huì)導(dǎo)致系統(tǒng)可用性下降。對(duì)于公眾開放的應(yīng)用系統(tǒng)的可用性的平安等級(jí)通常放在首位。如何經(jīng)濟(jì)高效的保障應(yīng)用系統(tǒng)的可用性是管理人員在進(jìn)行平安規(guī)劃時(shí)的首要問題。性能優(yōu)化方面,供應(yīng)多種性能優(yōu)化方案供用戶選擇。站點(diǎn)集群技術(shù)在應(yīng)用系統(tǒng)設(shè)計(jì)開發(fā)階段融入Ｗeb平安的WEＢ應(yīng)用集群功能可以提高軟件開發(fā)的效率、取代由軟件實(shí)現(xiàn)站點(diǎn)集群的性能瓶頸和繁瑣的技術(shù)細(xì)節(jié),提升整個(gè)應(yīng)用系統(tǒng)的性能。通過站點(diǎn)集群技術(shù)您可以實(shí)現(xiàn)站點(diǎn)網(wǎng)頁文件、圖片、媒體文件的分別與整合，也可以便利實(shí)現(xiàn)不同應(yīng)子系統(tǒng)的拆分。利用WEB平安網(wǎng)關(guān)還可以實(shí)現(xiàn)站點(diǎn)文本、圖片文件域名分別,從而提縮短用戶下載網(wǎng)頁的時(shí)間,提高用戶體驗(yàn)。圖WEB平安網(wǎng)關(guān)的集群服務(wù)負(fù)載均衡ＷEＢ平安網(wǎng)關(guān)供應(yīng)高可用性、負(fù)載均衡以及基于ＨTTＰ應(yīng)用的代理,作為快速并且高牢靠的一種負(fù)載均衡產(chǎn)品，WＥＢ平安網(wǎng)關(guān)特殊適用于那些負(fù)載特大的WＥＢ站點(diǎn),這些站點(diǎn)通常又需要會(huì)話保持或七層處理。圖WＥB平安網(wǎng)關(guān)的負(fù)載均衡服務(wù)WEB平安網(wǎng)關(guān)供應(yīng)成熟的負(fù)載均衡解決方案,支持的負(fù)載均衡模式有:平均分發(fā)、壓力分發(fā)、懇求路徑分發(fā)、懇求參數(shù)分發(fā),并支持WＥＢ應(yīng)用系統(tǒng)的會(huì)話保持功能、服務(wù)狀態(tài)監(jiān)測(cè)與故障切換功能。ＷEB加速基于現(xiàn)有環(huán)境的WEB加速功能可使用戶不轉(zhuǎn)變現(xiàn)有環(huán)境的狀況下提升訪問ＷEＢ應(yīng)用的速度；ＷｅbＣomｐrｅｓs?引擎對(duì)Ｗeb應(yīng)用數(shù)據(jù)進(jìn)行實(shí)時(shí)智能壓縮,改善終端用戶性能,降低帶寬消耗。ＷeｂCaｃhｅ?引擎對(duì)靜態(tài)應(yīng)用內(nèi)容的高速緩存，顯著削減服務(wù)器負(fù)載。雙向ＴCP連接池和高效復(fù)用算法將上千短連接優(yōu)化為少量長(zhǎng)久的服務(wù)器連接，減輕服務(wù)器壓力,改善服務(wù)器性能,提高應(yīng)用響應(yīng)速度，降低服務(wù)延遲。圖ＷEB平安網(wǎng)關(guān)的加速功能訪問把握與ＳSL加速假如應(yīng)用系統(tǒng)需要對(duì)訪問者身份進(jìn)行識(shí)別和授權(quán)，從而保障數(shù)據(jù)的機(jī)密性，此時(shí)可以使用ＷEB平安網(wǎng)關(guān)的訪問把握功能以及SSL加功能。該功能特殊適用于已經(jīng)交付使用的應(yīng)用系統(tǒng),不需要修改程序代碼，通過WEB平安網(wǎng)關(guān)實(shí)現(xiàn)訪問把握和ＳSＬ加速。如WＥＢ站點(diǎn)的管理后臺(tái)通常直接暴露在外網(wǎng)，僅依靠于口令強(qiáng)度和簡(jiǎn)易的驗(yàn)證碼進(jìn)行訪問把握,類似這種應(yīng)用可以通過WEＢ平安網(wǎng)關(guān)的訪問把握功能實(shí)現(xiàn)身份識(shí)別和訪問把握以提高應(yīng)用系統(tǒng)的平安性。ＷEB平安網(wǎng)關(guān)集成了SSＬ加密功能,應(yīng)用內(nèi)容在傳輸過程中都受加密愛護(hù),通過轉(zhuǎn)移服務(wù)器簡(jiǎn)單的加／解密任務(wù)從而將應(yīng)用處理力量發(fā)揮到了極致。該功能使管理員能愛護(hù)敏感應(yīng)用內(nèi)容的平安,使其擺脫被竊取及被濫用的潛在威逼。圖WEＢ平安網(wǎng)關(guān)的SＳＬ認(rèn)證服務(wù)運(yùn)維審計(jì)系統(tǒng)運(yùn)維審計(jì)系統(tǒng),扮演著看門者的職責(zé),全部對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器的懇求都要從這扇大門經(jīng)過。網(wǎng)神運(yùn)維審計(jì)系統(tǒng)能夠攔截非法訪問和惡意攻擊,對(duì)不合法命令進(jìn)行阻斷、過濾掉全部對(duì)目標(biāo)設(shè)備的非法訪問行為。產(chǎn)品功能超全的審計(jì)協(xié)議范圍網(wǎng)神運(yùn)維審計(jì)系統(tǒng)平臺(tái)接受協(xié)議分析、基于數(shù)據(jù)包還原虛擬化技術(shù),實(shí)現(xiàn)操作界面模擬,將全部的操作轉(zhuǎn)換為圖形化界面予以呈現(xiàn)，實(shí)現(xiàn)100%審計(jì)信息不丟失：針對(duì)運(yùn)維操作圖形化審計(jì)功能的呈現(xiàn)外,同時(shí)還能對(duì)字符進(jìn)行分析,包括命令行操作的命令以及回顯信息和非字符型操作時(shí)鍵盤、鼠標(biāo)的敲擊信息。系統(tǒng)支持的審計(jì)協(xié)議以及工具包括:字符串操作:SＳＨ/Teｌnｅt(工具：SｅcureCRT/Putty/Xshｅll)圖形操作:RDＰ/ＶNC／X11/pｃAｎyｗｈere／DaｍeWaｒe等其他協(xié)議:FTＰ/SＦTP/Ｈｔtp/Ｈttｐｓ等數(shù)據(jù)庫工具：Oraｃｌｅ/sｑｌｓerveｒ/Mysql客戶端工具機(jī)制完善用戶管理權(quán)限平臺(tái)對(duì)用戶的管理權(quán)限嚴(yán)格分明,各司其職,分為系統(tǒng)管理員、審計(jì)管理員、運(yùn)維管理員、口令管理員四種管理員角色,平臺(tái)也支持管理員角色的自定義創(chuàng)建,對(duì)管理權(quán)限進(jìn)行細(xì)粒度設(shè)置,保障了平臺(tái)的用戶平安管理，以滿足審計(jì)需求平臺(tái)集用戶管理、身份認(rèn)證、資源授權(quán)、訪問把握、操作審計(jì)為一體,有效地實(shí)現(xiàn)了事前預(yù)防、事中把握和事后審計(jì)。高度的機(jī)敏性和廣泛的適用性接受模塊化設(shè)計(jì),單模塊故障不影響其他模塊使用,從而提高了平臺(tái)的健壯性、穩(wěn)定性,運(yùn)維人員登陸可支持Poｒtａｌ統(tǒng)一登錄，并兼容終端C/S客戶端連接設(shè)備;審計(jì)平臺(tái)的認(rèn)證方式可以與第三方的認(rèn)證設(shè)備進(jìn)行定制兼容。SＳO單點(diǎn)登錄供應(yīng)基于Ｂ/S的單點(diǎn)登錄系統(tǒng),用戶通過訪問ＷEＢ頁面一次登錄系統(tǒng)后，就可以無需認(rèn)證的訪問被授權(quán)的多種基于B/S和C/S的應(yīng)用系統(tǒng)(如有需要,可實(shí)現(xiàn)Ｃ／S架構(gòu)系統(tǒng)的定制開發(fā))。單點(diǎn)登錄為具有多賬號(hào)的用戶供應(yīng)了便利快捷的訪問途經(jīng),使用戶無需記憶多種登錄用戶ID和口令。它通過向用戶和客戶供應(yīng)對(duì)其共性化資源的快捷訪問提高工作效率。同時(shí),由于系統(tǒng)自身是接受強(qiáng)認(rèn)證的系統(tǒng)，從而提高了用戶認(rèn)證環(huán)節(jié)的平安性。單點(diǎn)登錄可以實(shí)現(xiàn)與用戶授權(quán)管理的無縫鏈接,可以通過對(duì)用戶、角色、行為和資源的授權(quán),增加對(duì)資源的愛護(hù)和對(duì)用戶行為的監(jiān)控及審計(jì)。集中賬號(hào)管理集中賬號(hào)管理包含對(duì)全部服務(wù)器、網(wǎng)絡(luò)設(shè)備賬號(hào)的集中管理。賬號(hào)和資源的集中管理是集中授權(quán)、認(rèn)證和審計(jì)的基礎(chǔ)。集中賬號(hào)管理可以完成對(duì)賬號(hào)整個(gè)生命周期的監(jiān)控和管理，而且還降低了管理大量用戶賬號(hào)的難度和工作量。同時(shí)，通過統(tǒng)一的管理還能夠發(fā)覺賬號(hào)中存在的平安隱患,并且制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶賬號(hào)平安策略。通過建立集中賬號(hào)管理，單位可以實(shí)現(xiàn)將賬號(hào)與具體的自然人相關(guān)聯(lián)。通過這種關(guān)聯(lián)，可以實(shí)現(xiàn)多級(jí)的用戶管理和細(xì)粒度的用戶授權(quán)。而且,還可以實(shí)現(xiàn)針對(duì)自然人的行為審計(jì)，以滿足審計(jì)的需要。集中身份認(rèn)證為用戶供應(yīng)統(tǒng)一的認(rèn)證接口。接受統(tǒng)一的認(rèn)證接口不但便于對(duì)用戶認(rèn)證的管理,而且能夠接受更加平安的認(rèn)證模式，提高認(rèn)證的平安性和牢靠性。集中身份認(rèn)證支持電子證書、ＷｉnｄoｗｓＡD域、WｉｎdｏwsKｅｒｂerｏｓ、雙因素、動(dòng)態(tài)口令和生物特征識(shí)別等多種認(rèn)證方式，而且系統(tǒng)具有機(jī)敏的定制接口,可以便利的與第三方LDＡP認(rèn)證服務(wù)器對(duì)接。統(tǒng)一資源授權(quán)供應(yīng)統(tǒng)一的界面,對(duì)用戶、角色及行為和資源進(jìn)行授權(quán)，以達(dá)到對(duì)權(quán)限的細(xì)粒度把握,最大限度愛護(hù)用戶資源的平安。通過集中訪問授權(quán)和訪問把握可以對(duì)用戶通過Ｂ／S、Ｃ/S對(duì)服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問進(jìn)行審計(jì)和阻斷。在集中訪問授權(quán)里強(qiáng)調(diào)的“集中”是規(guī)律上的集中，而不是物理上的集中。即在各網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)系統(tǒng)中可能擁有各自的權(quán)限管理功能,管理員也由各自的歸口管理部門委派,但是這些管理員在運(yùn)維審計(jì)系統(tǒng)上，可以對(duì)各自的管理對(duì)象進(jìn)行授權(quán),而不需要進(jìn)入每一個(gè)被管理對(duì)象才能授權(quán)。授權(quán)的對(duì)象包括用戶、用戶角色、資源和用戶行為。系統(tǒng)不但能夠授權(quán)用戶可以通過什么角色訪問資源這樣基于應(yīng)用邊界的粗粒度授權(quán)，對(duì)某些應(yīng)用還可以限制用戶的操作,以及在什么時(shí)間進(jìn)行操作等的細(xì)粒度授權(quán)。訪問把握能夠供應(yīng)細(xì)粒度的訪問把握,最大限度愛護(hù)用戶資源的平安。細(xì)粒度的命令策略是命令的集合,可以是一組可執(zhí)行命令,也可以是一組非可執(zhí)行的命令,該命令集合用來安排給具體的用戶,來限制其系統(tǒng)行為,管理員會(huì)依據(jù)其自身的角色為其指定相應(yīng)的把握策略來限定用戶。訪問把握策略是愛護(hù)系統(tǒng)平安性的重要環(huán)節(jié)，制定良好的訪問策略能夠更好的提高系統(tǒng)的平安性?；诩?xì)粒度的訪問把握下，做到：Wｈｏ(誰）:把握什么用戶允許操作Wheｒe（什么地點(diǎn)):把握來源于什么地址的用戶允許訪問什么資源When（什么時(shí)間):把握在什么時(shí)間允許用戶操作Ｗhat(做了什么)：把握用戶執(zhí)行的操作操作審計(jì)操作審計(jì)管理主要審計(jì)操作人員的賬號(hào)使用(登錄、資源訪問)狀況、資源使用狀況等。在各服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問日志記錄都接受統(tǒng)一的賬號(hào)、資源進(jìn)行標(biāo)識(shí)后,操作審計(jì)能更好地對(duì)賬號(hào)的完整使用過程進(jìn)行追蹤。系統(tǒng)支持對(duì)如下協(xié)議進(jìn)行審計(jì)：Telnet、FTP、SSH、RDP(ＷinｄowsTｅｒminａl）、Xwindows、ＶNＣ等。通過系統(tǒng)自身的用戶認(rèn)證系統(tǒng)、用戶授權(quán)系統(tǒng)，以及訪問把握等具體記錄整個(gè)會(huì)話過程中用戶的全部行為日志。還可以將產(chǎn)生的日志傳送給第三方。對(duì)于生成的日志支持豐富的查詢和操作:支持按服務(wù)器方式進(jìn)行查詢。通過對(duì)特定服務(wù)器地址進(jìn)行查詢，可以發(fā)覺該服務(wù)器上發(fā)生的命令和行為。支持按用戶名方式進(jìn)行查詢。通過對(duì)用戶名進(jìn)行查詢，可以發(fā)覺該用戶的全部行為。指標(biāo)指標(biāo)項(xiàng)規(guī)格要求系統(tǒng)架構(gòu)產(chǎn)品外觀標(biāo)準(zhǔn)2U機(jī)架式產(chǎn)品架構(gòu)軟硬件一體化產(chǎn)品部署方式旁路部署,不影響原有網(wǎng)絡(luò)結(jié)構(gòu)訪問方式接受B/S結(jié)構(gòu),接受HＴTＰS方式訪問,無需安裝任何代理網(wǎng)絡(luò)接口６個(gè)10/１０0/1０００自適應(yīng)以太網(wǎng)口,1個(gè)Ｃonｓole口，支持Ｃonsolｅ口管理;數(shù)據(jù)存儲(chǔ)系統(tǒng)標(biāo)配2T硬盤;性能要求并發(fā)會(huì)話數(shù)圖形并發(fā)會(huì)話數(shù)≥300，字符型并發(fā)會(huì)話數(shù)≥１0０0;本次選購要求配置３0０個(gè)主機(jī)/設(shè)備審計(jì)節(jié)點(diǎn)許可;功能要求基礎(chǔ)功能供應(yīng)運(yùn)維審計(jì)自身狀態(tài)的監(jiān)控功能，包括:ｃpｕ工作狀況,內(nèi)存使用狀況，磁盤使用狀況,網(wǎng)卡使用狀況,運(yùn)維審計(jì)自身數(shù)據(jù)庫工作狀況,運(yùn)維審計(jì)自身WEB服務(wù)工作狀況,運(yùn)維審計(jì)自身其他關(guān)鍵組件工作狀況等?？梢允褂肳EB方式對(duì)運(yùn)維審計(jì)進(jìn)行重啟和關(guān)機(jī)。可以對(duì)運(yùn)維審計(jì)的時(shí)間進(jìn)行設(shè)置。支持運(yùn)維審計(jì)自身程序通過WＥＢ方式升級(jí)。支持日志的備份、導(dǎo)出和恢復(fù)。支持雙機(jī)熱備。雙機(jī)熱備,實(shí)現(xiàn)數(shù)據(jù)同步。支持協(xié)議使用遠(yuǎn)程終端服務(wù):例如ｔeｌnet、ｒlｏgiｎ、rsh、ｒｅxeｃ、ｓｓh之上的命令行接口(CLI)。使用文件傳輸協(xié)議:例如FTP等。使用遠(yuǎn)程窗口和桌面:例如Ｗiｎdowｓ的遠(yuǎn)程桌面(ＲＤP）,和Unix的Xｗindｏｗ。使用各種數(shù)據(jù)庫客戶端:例如各種數(shù)據(jù)庫的cliｅｎt程序、ODBC、JDBＣ,以及多種其它數(shù)據(jù)庫工具。服務(wù)器訪問方式★▲Web訪問方式：通過審計(jì)系統(tǒng)的Web管理頁面直接訪問服務(wù)器(不需要安裝代理,無需安裝ＪDK等)。支持RDP、VNC、X11、ＳSH、TEＬN(yùn)EＴ、ＦTＰ等訪問協(xié)議?？蛻舳朔绞街С諶DP、VNC、Ｘ11、ＳSH、ＴELＥNT、ＦＴＰ、ＳＦTP、Oｒaｃle、MySＱL、syｂase等。支持客戶端（SecuｒeCRT、putｔy）cｌｏｎeｓesｓion功能,能夠直接clone到目標(biāo)服務(wù)器的訪問會(huì)話。登錄菜單訪問：客戶端訪問審計(jì)系統(tǒng)即可顯示用戶能訪問的資源清單菜單,用戶通過字符菜單活圖形菜單選擇方式直接訪問服務(wù)器。菜單訪問方式支持RＤＰ、VＮC、Ｘ１1、ＳＳH、TELNET、ＦTP等協(xié)議。支持WinoｄｗsAD域功能。操作行為記錄對(duì)SＳH、Ｔｅlneｔ、Rlｏｇin、FTＰ／SFTP、數(shù)據(jù)庫操作進(jìn)行審計(jì)。記錄發(fā)生時(shí)間、源ＩＰ、目標(biāo)IP、源端口、目標(biāo)端口、操作指令、運(yùn)維審計(jì)系統(tǒng)用戶、目標(biāo)服務(wù)器賬號(hào)、訪問結(jié)果等消息。對(duì)RDP、VNC、X1１等圖形終端操作的連接狀況進(jìn)行記錄及審計(jì)，消息記錄訪問開頭時(shí)間、源IＰ、目標(biāo)IＰ、源端口、目標(biāo)端口、運(yùn)維審計(jì)系統(tǒng)用戶、目標(biāo)服務(wù)器賬號(hào)等信息。能夠記錄RDP協(xié)議中的活動(dòng)窗口名稱、刪除文件等動(dòng)作,并能記錄RDＰ會(huì)話中的鍵盤輸入信息。會(huì)話過程回放支持倍速/低速播放、拖拽、暫停、停止、重新播放等播放把握操作。身份認(rèn)證及訪問授權(quán)支持多種認(rèn)證方式:密碼、動(dòng)態(tài)口令、指紋識(shí)別。支持SSO單點(diǎn)登錄功能,使用人員不需要知道服務(wù)器賬號(hào)及密碼，無需進(jìn)行二次登錄認(rèn)證。支持限制運(yùn)維用戶訪問源ＩＰ功能。授權(quán)分為運(yùn)維審計(jì)管理功能授權(quán)和資源訪問授權(quán)。內(nèi)部管理功能授權(quán)可以限制到某個(gè)樹形節(jié)點(diǎn)的范圍內(nèi)。支持授權(quán)的流程管理。支持流程申請(qǐng)人、審批人、執(zhí)行人的委派。授權(quán)需要申請(qǐng)人定義申請(qǐng)單,發(fā)起大事申請(qǐng);大事可以多人審批，審批人收到申請(qǐng)后可以同意或拒絕申請(qǐng),同意時(shí)可以指定執(zhí)行人進(jìn)行實(shí)際的管理動(dòng)作的執(zhí)行。支持按用戶組、主機(jī)組方式進(jìn)行訪問授權(quán)。運(yùn)維審計(jì)內(nèi)部管理功能權(quán)限支持角色定義，角色可以針對(duì)名目樹的節(jié)點(diǎn)定義,從而使角色即可以限制能夠使用的功能項(xiàng),也達(dá)到角色權(quán)限只在某個(gè)樹形節(jié)點(diǎn)范圍內(nèi)生效。資源管理能夠添加、修改、刪除被管資源。支持資源的分組管理，分組可以樹形方式呈現(xiàn),不限制分組層級(jí)數(shù)量。資源類型支持Wｉnｄｏｗs主機(jī)、域控主機(jī)、域控內(nèi)主機(jī)、Uniｘ主機(jī)、各種網(wǎng)絡(luò)設(shè)備、平安設(shè)備、網(wǎng)元、數(shù)據(jù)庫等。支持資源接入的流程管理,支持流程申請(qǐng)人、審批人、執(zhí)行人的委派。資源的接入需要申請(qǐng)人定義申請(qǐng)單，發(fā)起大事申請(qǐng);大事可以多人審批,審批人收到申請(qǐng)后可以同意或拒絕申請(qǐng)，同意時(shí)可以指定執(zhí)行人進(jìn)行實(shí)際的管理動(dòng)作的執(zhí)行。產(chǎn)品自帶SSO單點(diǎn)登錄控件,運(yùn)維工作站不需要安裝部署SecureCRT、SＳＨCｌiｅｎt等終端仿真程序,即可通過ＳＳＨ、ＴELNET、FTP、VNC、XWINDOW等網(wǎng)管協(xié)議對(duì)資源進(jìn)行運(yùn)維操作。對(duì)于數(shù)據(jù)庫、ｗeb、專用C／Ｓ客戶端程序支持以應(yīng)用發(fā)布的方式進(jìn)行授權(quán)和審計(jì)。訪問把握及特別告警支持依據(jù)IP地質(zhì)、時(shí)間、用戶名、操作指令等內(nèi)容設(shè)定平安時(shí)間規(guī)章。支持黑、白名單把握,可依據(jù)黑白名單的命令集限制用戶的操作權(quán)限。對(duì)違規(guī)的大事進(jìn)行告警及自動(dòng)阻斷。客戶端地址策略可以應(yīng)用于主帳號(hào)，也可以應(yīng)用于從帳號(hào)。實(shí)時(shí)監(jiān)控支持實(shí)時(shí)審計(jì)。操作人員對(duì)于資源的訪問，審計(jì)員可以實(shí)施查看。實(shí)時(shí)會(huì)話監(jiān)控列表:顯示會(huì)話連接狀態(tài)。顯示會(huì)話來源、目標(biāo)地址、賬號(hào)及訪問人信息。同步監(jiān)控操作過程：支持對(duì)操作過程進(jìn)行同步監(jiān)控，執(zhí)行會(huì)話回放、監(jiān)控和阻斷操作。系統(tǒng)狀態(tài)監(jiān)控:實(shí)時(shí)監(jiān)控審計(jì)系統(tǒng)CPU、內(nèi)存、磁盤的使用狀況。審計(jì)系統(tǒng)監(jiān)控:記錄審計(jì)系統(tǒng)自身的管理操作,保障審計(jì)系統(tǒng)自身平安。組態(tài)報(bào)表系統(tǒng)具備組態(tài)報(bào)表功能,支持用戶自定義報(bào)表模板，可以通過制定動(dòng)態(tài)模板、靜態(tài)模板,可以對(duì)各種數(shù)據(jù)進(jìn)行組合查詢。查詢結(jié)果可以導(dǎo)出TXＴ、ＨTML、XＬS等多種格式報(bào)表文件。用命令關(guān)鍵字進(jìn)行審計(jì)結(jié)果查詢時(shí)，可以同時(shí)輸入多個(gè)命令,為多命令查詢供應(yīng)便利。依據(jù)預(yù)設(shè)統(tǒng)計(jì)報(bào)表模板和命令關(guān)鍵字等條件進(jìn)行查詢統(tǒng)計(jì)時(shí),可以同時(shí)輸入多個(gè)命令,為多命令的統(tǒng)計(jì)報(bào)表供應(yīng)便利。支持以htｍｌ或Eｘcel方式輸出。支持自定義模板,支持二次開發(fā)定制報(bào)表。對(duì)外接口可以將審計(jì)日志以SＹSLOG方式外發(fā),支持SＹＳLＯG發(fā)送的目標(biāo)和端口。對(duì)全部審計(jì)日志供應(yīng)外發(fā)接口，可以配置只外發(fā)字符審計(jì)，也可以配置外發(fā)全部審計(jì)（將字符和圖形錄像的審計(jì)日志外發(fā)其他設(shè)備），并且可以配置對(duì)端端口。支持認(rèn)證接口，可以配置認(rèn)證服務(wù)器地址和端口。系統(tǒng)擴(kuò)展支持4A擴(kuò)展,可以將審計(jì)日志輸出到４Ａ平臺(tái)。資質(zhì)要求▲廠商資質(zhì)要求廠商具備國(guó)家保密局頒發(fā)的《涉及國(guó)家隱秘的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)證書》(甲級(jí)）;廠商為“信息平安等級(jí)愛護(hù)關(guān)鍵技術(shù)國(guó)家工程試驗(yàn)室”參建單位之一，要求供應(yīng)相關(guān)證明文件；廠商為互聯(lián)網(wǎng)平安爭(zhēng)辯中心應(yīng)用平安聯(lián)盟會(huì)員，供應(yīng)會(huì)員編號(hào)證明；廠商通過ISO20000信息技術(shù)服務(wù)管理體系認(rèn)證,要求供應(yīng)證明文件;廠商具備國(guó)家信息平安測(cè)評(píng)信息平安服務(wù)資質(zhì)(平安開發(fā)類一級(jí)）；廠商具備中國(guó)信息平安產(chǎn)品測(cè)評(píng)中心頒發(fā)的《國(guó)家信息平安認(rèn)證信息平安服務(wù)資質(zhì)證書》(平安工程類二級(jí));產(chǎn)品資質(zhì)要求公安部計(jì)算機(jī)信息系統(tǒng)平安專用產(chǎn)品銷售許可證;國(guó)家版權(quán)局計(jì)算機(jī)軟件著作權(quán)登記證書；上網(wǎng)行為管理系統(tǒng)產(chǎn)品功能規(guī)劃用戶分組結(jié)構(gòu)為了給不同用戶、不同部門授予差異化的互聯(lián)網(wǎng)訪問權(quán)限,包括差異化的行為審計(jì)策略,首先要規(guī)劃和建立組織的用戶分組結(jié)構(gòu)。可以完全依據(jù)組織的行政架構(gòu)在AC上建立樹形用戶分組結(jié)構(gòu)，實(shí)現(xiàn)父組、子組、組內(nèi)套組等要求。在完成用戶組的創(chuàng)建后,即可創(chuàng)建用戶,并將用戶安排到指定的用戶組中，以實(shí)現(xiàn)網(wǎng)絡(luò)訪問權(quán)限的授予與繼承。用戶創(chuàng)建的過程簡(jiǎn)潔便利,除手工輸入帳戶方式外,AＣ還能夠依據(jù)OＵ或Groｕp讀取AD域控服務(wù)器上用戶組織結(jié)構(gòu),并保持與AＤ的自動(dòng)同步，便利管理者維護(hù)AD這一套組織結(jié)構(gòu)。另外AC也支持賬戶自動(dòng)創(chuàng)建功能，基于新用戶的源IＰ地址段自動(dòng)將其添加到指定用戶組、同時(shí)綁定ＩＰ/MＡC等，繼承指定的網(wǎng)絡(luò)權(quán)限,便利了管理者和權(quán)限的把握。用戶帳號(hào)還支持生效時(shí)間的設(shè)定、支持多人共用同一帳號(hào)等,豐富的帳號(hào)策略使得管理者可以自由的依據(jù)實(shí)際狀況合理調(diào)整。假如管理員已經(jīng)將用戶信息匯總到Eｘcel、ＴXT等文件中，那么他將通過AC的賬戶導(dǎo)入功能更加快捷的創(chuàng)建用戶和分組信息。分析網(wǎng)絡(luò)流量通常組織的互聯(lián)網(wǎng)帶寬比較有限,即使充裕,假如員工網(wǎng)絡(luò)行為不規(guī)范,IＴ管理者仍舊飽受埋怨:網(wǎng)絡(luò)太慢、業(yè)務(wù)系統(tǒng)訪問遲緩、頁面遲遲打不開等,ＩT管理者需要確知組織帶寬的使用狀況,這正是AC所能給您帶來的價(jià)值體現(xiàn):登陸AＣ把握臺(tái)后,管理員可以直觀查看流量曲線圖、當(dāng)前流量TOP10應(yīng)用等,并可通過AC的數(shù)據(jù)中心進(jìn)一步具體查看、統(tǒng)計(jì)昨天或指定時(shí)間段的流量狀況。管理員可以統(tǒng)計(jì)指定時(shí)間段指定分組或用戶的流量狀況，通過餅狀圖、柱狀圖、曲線圖等直觀呈現(xiàn);還可基于用戶進(jìn)行上行流量、下行流量、總流量等排名,找到流量最活躍的員工。假如您是一位大型機(jī)構(gòu)的CＩO或ＣEO,您需要面對(duì)的問題將遠(yuǎn)不止這些，而AC數(shù)據(jù)中心的功能需要您親身體驗(yàn)和把握。當(dāng)您面對(duì)數(shù)據(jù)中心的Wｅb頁面,通過幾次鼠標(biāo)點(diǎn)擊就發(fā)覺網(wǎng)絡(luò)及管理中存在的問題時(shí),您將感受到領(lǐng)先技術(shù)帶來的極富樂趣的用戶體驗(yàn)。優(yōu)化和安排帶寬資源組織如何獲得更充分的互聯(lián)網(wǎng)帶寬呢？ＡC通過多線路復(fù)用、帶寬疊加(專利號(hào)：20０31０1１20０6X)技術(shù),可同時(shí)連接4條互聯(lián)網(wǎng)線路。而只要您同時(shí)連接電信和網(wǎng)通線路于AC,ＡC的多線路智能選路技術(shù)(專利號(hào)：ZL０3１1３97４.4),將為員工的Iｎtｅｒnｅｔ流量自動(dòng)優(yōu)選最佳出口,解決跨運(yùn)營(yíng)商的帶寬瓶頸問題,同時(shí)兼具負(fù)載均衡、線路備份等功能,大幅提升訪問速度和牢靠性。組織有限的帶寬往往被大量非業(yè)務(wù)流量所擠占,尤其BT、電騾等Ｐ２Ｐ行為嚴(yán)峻吞噬帶寬;AC不僅為管理員供應(yīng)了強(qiáng)大的應(yīng)用封堵手段(如直接禁止指定用戶的Ｐ２Ｐ行為）,更可在允許用戶使用P2P時(shí)限制Ｐ２P占用的帶寬,另外可以為指定用戶、用戶組每天、每月的總上網(wǎng)流量進(jìn)行限制,機(jī)敏的管理方法充分滿足組織在上網(wǎng)行為管理上的簡(jiǎn)單需要。除了限制非業(yè)務(wù)應(yīng)用對(duì)帶寬的占用，同時(shí)要保證業(yè)務(wù)應(yīng)用的帶寬需求。得益于ＡＣ強(qiáng)大的應(yīng)用識(shí)別力量(目前超過20個(gè)大類、３0０多條識(shí)別規(guī)章),AC基于出口鏈路、用戶/用戶組、應(yīng)用類型、網(wǎng)站類型、文件類型、時(shí)間段實(shí)現(xiàn)精細(xì)、智能的帶寬劃分與安排策略，使得管理員擁有能夠充分保障組織業(yè)務(wù)所需帶寬的各種管理手段。網(wǎng)頁訪問把握網(wǎng)頁掃瞄是員工主要互聯(lián)網(wǎng)行為之一,與工作無關(guān)的上網(wǎng)行為給組織帶來巨大的損失。ＡC內(nèi)置千萬級(jí)預(yù)分類URL地址庫,并經(jīng)專人人工審核分類,包含互聯(lián)網(wǎng)上各類涉及色情、反動(dòng)、暴力等站點(diǎn)。由于互聯(lián)網(wǎng)的容量爆炸性增長(zhǎng),Google聲稱互聯(lián)網(wǎng)獨(dú)立網(wǎng)址超過一萬億個(gè),接受靜態(tài)UＲＬ庫明顯不夠,因此AＣ還支持基于內(nèi)容的過濾手段，包括過濾用戶通過搜尋引擎搜尋的指定關(guān)鍵字、過濾包含指定關(guān)鍵字的網(wǎng)頁、過濾含指定關(guān)鍵字的URL地址等。而結(jié)合了人工智能的網(wǎng)頁智能分析系統(tǒng)(InteｌlｉgentＷebｐageAｎａｌｙsisSystｅm，ＩWAS）能夠依據(jù)網(wǎng)址、正文內(nèi)容、關(guān)鍵字、代碼特征等對(duì)網(wǎng)頁進(jìn)行智能分類,并且具備自我學(xué)習(xí)和自我修正力量,可以依據(jù)管理者定義進(jìn)行任意ＵRＬ分類的識(shí)別和過濾，真正掛念組織完善網(wǎng)頁訪問行為的管理。管理IM即時(shí)通訊工具權(quán)威統(tǒng)計(jì)顯示國(guó)內(nèi)網(wǎng)民最常使用的IＭ工具依次為ＱQ、飛信、ＭSN、Skyｐe。辦公室內(nèi)IＭ談天、影音文件共享、甚至玩耍對(duì)戰(zhàn)屢見不鮮,而QQ病毒、ＭSＮ蠕蟲也讓IＴ管理者記憶猶新,如何有效管理IM工具?借助現(xiàn)有防火墻等傳統(tǒng)手段封堵ＩＭ并不奏效。以下是AＣ供應(yīng)的對(duì)IＭ從禁止、監(jiān)管、再到平安防備的解決方案。禁止AC深度內(nèi)容檢測(cè)技術(shù)依據(jù)應(yīng)用協(xié)議數(shù)據(jù)包特征字段全面封堵各種ＩM工具,包括QQ、MSＮ、新浪UC、網(wǎng)易泡泡、YａhooMeｓｓengeｒ、Ｓkｙｐe、IＣQ、ＧooｇｌeTalk、飛信等；即使ＩM軟件將數(shù)據(jù)包封裝到８０、44３等端口傳輸,AC亦可區(qū)分ＩＭ流量和正常的Htｔｐ、Ｈｔtｐs，從而有效管理IM的使用。同時(shí)AＣ可實(shí)現(xiàn)允許指定部門／用戶（如市場(chǎng)部)通過IM與客戶溝通,但禁止IＭ傳文件、ＩＭ語音視頻通話、玩IM玩耍等,輕松、機(jī)敏管控IＭ。監(jiān)管QQ、飛信、MSＮShｅll、Ｓkypｅ等越來越多的IM談天內(nèi)容是加密的,假如不能記錄將是上網(wǎng)行為管理的最大漏洞之一。ＡＣ的談天內(nèi)容同步偵聽(Rｅａl－tiｍeMｏnitorfoｒＭessaｇes,RＭM)技術(shù)能夠記錄各種加密談天內(nèi)容，這在業(yè)界是屈指可數(shù)的,領(lǐng)先的技術(shù)使得深信服研發(fā)部門能夠快速跟進(jìn)任何一款新推出的IM工具，并推出針對(duì)性的升級(jí)策略使得AC支持對(duì)各種新ＩM工具的談天監(jiān)控功能。強(qiáng)大的功能往往涉及個(gè)人隱私，我們建議使用ＡC前在組織內(nèi)發(fā)出通知,提示員工他們?cè)诠ぷ鲿r(shí)間發(fā)生的網(wǎng)絡(luò)行為是可以被監(jiān)控到的。平安防備IM好友發(fā)來的ＵRL鏈接、文件等,可能將病毒、木馬、流氓軟件送入內(nèi)網(wǎng),這也是組織已經(jīng)購買防火墻、部署殺毒軟件后仍舊病毒層出不窮的緣由之一:堡壘從內(nèi)部被攻破了!AC的深度內(nèi)容檢測(cè)技術(shù)能夠禁止用戶使用ＩＭ傳遞文件,ＩM好友發(fā)送的ＵRL地址,員工打開過程中將被AＣ過濾和把握。另外,管理員也可以啟用AC的網(wǎng)關(guān)殺毒功能從源頭上查殺病毒、蠕蟲，此內(nèi)容將在后述部分詳解。把握BT等P２Ｐ行為封種子服務(wù)器ＩＰ、封種子資源網(wǎng)站、封端口的P2P管理方式讓管理員忙的焦頭爛額卻得不到滿足的效果。有效的P2P管控方法包括應(yīng)用協(xié)議分析和Ｐ２Ｐ行為智能檢測(cè)技術(shù),ＡC同時(shí)支持這兩種技術(shù)。常用、普及的Ｐ2Ｐ軟件,AC深度內(nèi)容檢測(cè)技術(shù)實(shí)現(xiàn)對(duì)其管控和封堵。截止本文檔編寫時(shí)，AＣ通過深度內(nèi)容檢測(cè)技術(shù)可以封堵P２Ｐ流媒體５5個(gè)，其他P2P應(yīng)用2７個(gè)。盡管已經(jīng)內(nèi)置了豐富的Ｐ２P識(shí)別規(guī)章,但新的P２P應(yīng)用層出不窮,員工可以從網(wǎng)絡(luò)上獲得各種P2P工具，還有更多不常見和將來可能消滅的P２P軟件如何管控?AC接受網(wǎng)絡(luò)行為智能分析技術(shù)（NｅtwoｒｋBehaviorsＩnteｌliｇｅnceAｎalｙsis,ＮＢＩA)，基于統(tǒng)計(jì)學(xué)分析原理,實(shí)現(xiàn)對(duì)各種Ｐ2Ｐ的智能識(shí)別和封堵,為用戶供應(yīng)了一勞永逸的P２P管控解決方案。盡管ＡC供應(yīng)了徹底封堵P2P的方案,但粗暴禁止Ｐ２P可能招致員工反感,在某些狀況下個(gè)別部門或員工可能需要使用P2P進(jìn)行文件共享等,此時(shí)AＣ的P２P流控功能完善的滿足了管理上的機(jī)敏要求,利用此功能,AC可以針對(duì)不同部門、不同時(shí)間段、限制不同Ｐ2Ｐ應(yīng)用占用的帶寬，且可管控部門內(nèi)每個(gè)員工Ｐ2P行為對(duì)帶寬的占用狀況（“３.4優(yōu)化和安排帶寬資源”已具體說明AＣ針對(duì)應(yīng)用的帶寬劃分和安排)。把握其他網(wǎng)絡(luò)應(yīng)用行為員工的上網(wǎng)行為遠(yuǎn)不止此,管理者還需關(guān)注在線炒股、網(wǎng)絡(luò)玩耍、在線視頻（ＲＴＳP、MMS、Flaｓh、ＲeaｌＭｅｄia等)等。ＡC已經(jīng)包括3０0多條常見應(yīng)用的識(shí)別和管控規(guī)章，并定期從深信服公司網(wǎng)站上自動(dòng)更新最新識(shí)別庫。同時(shí)AC允許有編程基礎(chǔ)的網(wǎng)絡(luò)管理員自行添加、修改和導(dǎo)入自定義的網(wǎng)絡(luò)應(yīng)用識(shí)別規(guī)章。這相對(duì)于絕大多數(shù)其他廠商僅供應(yīng)應(yīng)管理者依據(jù)ＩＰ和端口封堵應(yīng)用的方式更加機(jī)敏和徹底。對(duì)于局域網(wǎng)內(nèi)消滅的AC未能識(shí)別和把握的新應(yīng)用,管理員假如無法自行編制對(duì)應(yīng)的識(shí)別策略，僅需將所需把握的應(yīng)用程序名稱、版本號(hào)以及下載地址提交給深信服客服中心，我們將在三個(gè)工作日內(nèi)供應(yīng)最新的識(shí)別策略,并掛念用戶完成對(duì)該應(yīng)用的封堵和管控。防泄密和法律風(fēng)險(xiǎn)內(nèi)網(wǎng)員工無意或有意將組織機(jī)密信息泄露到互聯(lián)網(wǎng)甚至競(jìng)爭(zhēng)對(duì)手,或向論壇BBＳ發(fā)布不負(fù)責(zé)的言論、網(wǎng)絡(luò)造謠等，將給組織帶來泄密和法律風(fēng)險(xiǎn)。ＡＣ不僅能過濾、記錄員工通過Ｍail(包括Webmaｉｌ)、BＢS、Bloｇ、QＱ空間等工具發(fā)布的網(wǎng)絡(luò)言論,還能實(shí)時(shí)報(bào)警。即使通過Ｔｅlnｅt訪問部分BＢS網(wǎng)站,全部輸入的Tｅｌnｅt命令和內(nèi)容，AC都能具體記錄。對(duì)于使用HTTP、FTP等方式傳送文件所引發(fā)的風(fēng)險(xiǎn)(如將研發(fā)部的核心代碼發(fā)送出去）,AC首先可以禁止用戶使用ＨTＴP、FＴＰ上傳下載指定類型的文件,對(duì)于上傳的文件AC也可以全面記錄文件內(nèi)容,做到有據(jù)可查。而外發(fā)Emaiｌ潛在的泄密風(fēng)險(xiǎn)通過AC的郵件延遲審計(jì)(PoｓtponｅdSｅnｄingafterAｕdiｔ，PＳA)技術(shù)，依據(jù)管理員預(yù)設(shè)條件，將潛在的泄密郵件先攔截,經(jīng)人工審核后再發(fā)送,保障組織信息資產(chǎn)平安。但故意的泄密者通常會(huì)更改文件后綴名、刪除后綴名、壓縮、加密等，再通過Emａil外發(fā)、或通過HTTP、FＴP上傳，AC對(duì)以上行為同樣可以識(shí)別并報(bào)警,徹底避開因外發(fā)文件而產(chǎn)生的泄密風(fēng)險(xiǎn)。日志審計(jì)和報(bào)表中心內(nèi)網(wǎng)用戶的全部上網(wǎng)行為AC都能夠記錄以滿足公安部82號(hào)令的要求。AC可針對(duì)不同用戶(組)進(jìn)行差異化的行為記錄和審計(jì)，包括網(wǎng)頁訪問行為、網(wǎng)絡(luò)發(fā)帖、Email、文件傳輸、ＱQ玩耍行為、大才智炒股行為、QＱLiｖｅ在線影音行為等，并且包含該行為的流量信息等。但CEO等高層領(lǐng)導(dǎo)的網(wǎng)絡(luò)行為可能涉及組織的重要機(jī)密(如CＥO與供應(yīng)商的郵件）,不應(yīng)當(dāng)被記錄。AＣ“免審計(jì)Ｋｅy”從技術(shù)上徹底免除行為記錄,只要將“免審計(jì)Ｋey”插入計(jì)算機(jī)ＵＳＢ接口并輸入對(duì)應(yīng)ＰＩN碼,該用戶的任何網(wǎng)絡(luò)行為都免除記錄,消退高層領(lǐng)導(dǎo)的憂慮。大型組織60天將產(chǎn)生數(shù)百G行為日志通過AC獨(dú)立數(shù)據(jù)中心實(shí)現(xiàn)海量存儲(chǔ),并通過豐富報(bào)表工具便利日志的操作，報(bào)表工具主要包括:內(nèi)置超過6０多種報(bào)表模板,并支持用戶自定義報(bào)表。對(duì)比報(bào)表：匯總對(duì)比、指定用戶組的對(duì)比、指定用戶的對(duì)比、指定ＩP的對(duì)比等；統(tǒng)計(jì)模板：上網(wǎng)流量統(tǒng)計(jì)、上網(wǎng)行為統(tǒng)計(jì)、病毒信息統(tǒng)計(jì)、上網(wǎng)時(shí)間統(tǒng)計(jì)等；趨勢(shì):流量趨勢(shì)、行為趨勢(shì)、IM趨勢(shì)、郵件趨勢(shì)、炒股趨勢(shì)等；查詢