【XX醫(yī)院】信息安全建設(shè)方案-XXXX-01-15

·第1頁(yè)XXXXXXXX醫(yī)院信息安全建設(shè)方案信息安全建設(shè)方案二〇一六年一月目錄6072一.概述 110044(一)項(xiàng)目背景 111396(二)建設(shè)目標(biāo) 112767(三)依據(jù)標(biāo)準(zhǔn)規(guī)范 24133(四)建設(shè)原則 3247001.全方位提升網(wǎng)絡(luò)和系統(tǒng)實(shí)體的安全性、抗攻擊性 3193112.信息系統(tǒng)的可用可靠性、安全性和保密性 3241633.強(qiáng)調(diào)系統(tǒng)運(yùn)行狀態(tài)的可控性 3130714.安全系統(tǒng)的可管理性 3127085.需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則 342346.先進(jìn)性原則 4129567.可擴(kuò)展性原則 4256098.多重保護(hù)原則 4197209.標(biāo)準(zhǔn)性原則 4349610.易操作性原則 416030二.醫(yī)院網(wǎng)絡(luò)現(xiàn)狀及需求分析 525128(一)網(wǎng)絡(luò)結(jié)構(gòu)描述 526489(二)應(yīng)用系統(tǒng)描述

53626(三)醫(yī)院網(wǎng)絡(luò)安全現(xiàn)狀

58923(四)醫(yī)院網(wǎng)絡(luò)的安全需求 61127三.IT流程規(guī)范化改進(jìn)咨詢服務(wù) 74886(一)關(guān)于IT流程改進(jìn)咨詢 722142(二)提供IT流程知識(shí)管理及任務(wù)管理系統(tǒng)及服務(wù) 724983(三)IT流程改進(jìn)目標(biāo) 75450(四)IT流程改進(jìn)原則 715462(五)IT流程改進(jìn)服務(wù)需求說(shuō)明 8319741.建立IT流程體系規(guī)劃和持續(xù)改進(jìn)機(jī)制 8257572.建立信息中心部門基本制度 845463.建立醫(yī)院信息化管理制度 9321644.建立完善系統(tǒng)維護(hù)流程 9162515.建立信息安全管理制度 1028656.建立應(yīng)急預(yù)案與演練機(jī)制 10203057.建立項(xiàng)目管理制度 11154508.建立統(tǒng)計(jì)工作制度 11316019.編制詳細(xì)作業(yè)指導(dǎo)書SOP 1121573四.安全建設(shè)方案 1219822(一)MPDRR安全模型 1217714(二)信息安全拓?fù)鋱D 1310652(三)網(wǎng)絡(luò)防火墻系統(tǒng) 14309601.產(chǎn)品概述 14138672.產(chǎn)品特點(diǎn) 1423048(四)WEB安全防護(hù)系統(tǒng) 1710751.產(chǎn)品概述 1728432.產(chǎn)品特點(diǎn) 1821013(五)運(yùn)維審計(jì)系統(tǒng) 23261791.產(chǎn)品功能 2314805(六)上網(wǎng)行為管理系統(tǒng) 29277741.產(chǎn)品功能 29295322.產(chǎn)品的技術(shù)優(yōu)勢(shì) 3419814(七)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)（防統(tǒng)方系統(tǒng)） 36209371.產(chǎn)品概述 36127472.特色與優(yōu)勢(shì) 367220(八)終端安全管理系統(tǒng) 3920181.主要功能特點(diǎn) 3996102.詳細(xì)功能描述 4017960五.信息安全專業(yè)服務(wù) 4325722(一)安全規(guī)劃服務(wù) 435591.總體架構(gòu) 4349952.安全建設(shè)規(guī)劃 4625315(二)安全評(píng)估服務(wù) 48252431.服務(wù)描述 48292102.安全掃描工具 4820247(三)安全加固服務(wù) 49121291.服務(wù)描述 4970902.服務(wù)內(nèi)容 505729(四)安全巡檢服務(wù) 5129156(五)應(yīng)急響應(yīng)服務(wù) 5175121.服務(wù)承諾 51161122.安全事件預(yù)警 5152453.應(yīng)急響應(yīng)規(guī)范 53128734.應(yīng)急響應(yīng)流程 5421822(六)安全信息服務(wù) 5512353(七)安全培訓(xùn)服務(wù) 5526815(八)信息化安全服務(wù)清單 5525381六.信息安全建設(shè)方案清單 57福建省閩保信息技術(shù)股份有限公司第1頁(yè)·第PAGE福建省閩保信息技術(shù)股份有限公司第1頁(yè)概述項(xiàng)目背景醫(yī)院是一個(gè)信息和技術(shù)密集型的行業(yè)，一般其計(jì)算機(jī)網(wǎng)絡(luò)劃分為業(yè)務(wù)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)，作為一個(gè)現(xiàn)代化的醫(yī)療機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò),除了要滿足高效的內(nèi)部自動(dòng)化辦公需求以外,還需要對(duì)外界的通訊保證暢通。結(jié)合醫(yī)院復(fù)雜的HIS、RIS、PACS等應(yīng)用系統(tǒng)，需要網(wǎng)絡(luò)必須能夠滿足數(shù)據(jù)、語(yǔ)音、圖像等綜合業(yè)務(wù)的傳輸要求，所以需要在網(wǎng)絡(luò)上應(yīng)運(yùn)用多種高性能設(shè)備和先進(jìn)技術(shù)來(lái)保證系統(tǒng)的正常運(yùn)作和穩(wěn)定的效率。同時(shí)醫(yī)院的網(wǎng)絡(luò)系統(tǒng)連接著Internet、醫(yī)保專網(wǎng)等網(wǎng)絡(luò)，訪問(wèn)人員和物理上的網(wǎng)路邊界比較復(fù)雜，所以如何保證醫(yī)院網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)及應(yīng)用的安全顯得尤為重要。

在日新月異的現(xiàn)代化社會(huì)進(jìn)程中，計(jì)算機(jī)網(wǎng)絡(luò)幾乎延伸到了世界每一個(gè)角落，它不停的改變著我們的工作生活方式和思維方式，但是，計(jì)算機(jī)信息網(wǎng)絡(luò)安全的脆弱性和易受攻擊性是不容忽視的。由于網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議等安全技術(shù)上的漏洞和管理體制上的不嚴(yán)密，都會(huì)使計(jì)算機(jī)網(wǎng)絡(luò)受到威脅。我們可以想象一下，對(duì)于一個(gè)需要高速信息傳達(dá)的現(xiàn)代化醫(yī)院，如果遭到致命攻擊，會(huì)給社會(huì)造成多大的影響。

在醫(yī)院行業(yè)的信息化建設(shè)過(guò)程中，信息安全的建設(shè)雖然只是一個(gè)很小的部分，但其重要性不容忽視。便捷、開放的網(wǎng)絡(luò)環(huán)境，是醫(yī)院信息化建設(shè)的基礎(chǔ)，在數(shù)據(jù)傳遞和共享的過(guò)程當(dāng)中，業(yè)務(wù)數(shù)據(jù)的安全性要切實(shí)地得到保障，才能保障醫(yī)院信息化業(yè)務(wù)系統(tǒng)的正常運(yùn)行。然而，如果我們的數(shù)據(jù)面臨著越來(lái)越多的安全風(fēng)險(xiǎn)，將對(duì)業(yè)務(wù)的正常運(yùn)行帶來(lái)威脅。

所以，在醫(yī)院的信息化建設(shè)過(guò)程中，我們應(yīng)當(dāng)正視網(wǎng)絡(luò)及系統(tǒng)可能面臨的各種安全風(fēng)險(xiǎn)，對(duì)網(wǎng)絡(luò)威脅給予充分的重視。為了醫(yī)院信息網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行，確保醫(yī)院信息系統(tǒng)建設(shè)項(xiàng)目的順利實(shí)施，結(jié)合具體的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)現(xiàn)狀，根據(jù)醫(yī)院目前的計(jì)算機(jī)信息網(wǎng)網(wǎng)絡(luò)特點(diǎn)及安全需求，本著切合實(shí)際、保護(hù)資產(chǎn)、著眼未來(lái)醫(yī)療信息化動(dòng)態(tài)發(fā)展的原則，提出本安全建設(shè)方案。建設(shè)目標(biāo)醫(yī)院將通過(guò)本次網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)安全規(guī)劃與建設(shè)，將醫(yī)院的網(wǎng)絡(luò)建設(shè)成為一個(gè)具有現(xiàn)代化、多功能、結(jié)構(gòu)化、智能化的綜合性網(wǎng)絡(luò)系統(tǒng)。醫(yī)院網(wǎng)絡(luò)系統(tǒng)是為醫(yī)院內(nèi)部提供網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用的IT基礎(chǔ)平臺(tái)，包括PACS/RIS系統(tǒng)、HIS/OA信息系統(tǒng)、管理、科研和多業(yè)務(wù)的綜合信息服務(wù)網(wǎng)絡(luò)系統(tǒng)。

首先，通過(guò)網(wǎng)絡(luò)系統(tǒng)安全進(jìn)行全面的升級(jí)改造，建立可為醫(yī)院內(nèi)部醫(yī)療信息管理、科研提供一個(gè)技術(shù)先進(jìn)、高安全性的信息化網(wǎng)絡(luò)環(huán)境。同時(shí)院內(nèi)的醫(yī)療信息管理（PACS/RIS/HIS系統(tǒng)）、多媒體系統(tǒng)、遠(yuǎn)程會(huì)診系統(tǒng)、網(wǎng)上掛號(hào)、數(shù)據(jù)庫(kù)管理系統(tǒng)等，都可以通過(guò)醫(yī)院信息網(wǎng)絡(luò)平臺(tái)安全、高效的網(wǎng)絡(luò)來(lái)運(yùn)行和工作。滿足醫(yī)院內(nèi)外網(wǎng)的通訊要求。包括Internet服務(wù)遠(yuǎn)程移動(dòng)辦公服務(wù)、遠(yuǎn)程醫(yī)療協(xié)助、網(wǎng)上掛號(hào)等數(shù)據(jù)信息下載及視頻會(huì)議等。

在適應(yīng)網(wǎng)絡(luò)發(fā)展趨勢(shì)和醫(yī)院的實(shí)際網(wǎng)絡(luò)需求基礎(chǔ)上，既要能滿足同濟(jì)醫(yī)院的信息網(wǎng)絡(luò)系統(tǒng)使用需求，并兼顧今后網(wǎng)絡(luò)系統(tǒng)易擴(kuò)充性和可管理性。通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)絡(luò)進(jìn)行統(tǒng)一的整體設(shè)計(jì)、規(guī)劃，為醫(yī)院網(wǎng)絡(luò)系統(tǒng)打造一個(gè)長(zhǎng)期、穩(wěn)定、高效、安全的運(yùn)行環(huán)境，以及醫(yī)院未來(lái)的發(fā)展和建設(shè)打下良好的網(wǎng)絡(luò)平臺(tái)基礎(chǔ)。并將重點(diǎn)放在系統(tǒng)的穩(wěn)定性、開放性、可擴(kuò)展能力上，使系統(tǒng)持續(xù)穩(wěn)定運(yùn)行，既可滿足現(xiàn)有的醫(yī)療信息系統(tǒng)的應(yīng)用需要，又可方便滿足今后系統(tǒng)的升級(jí)及應(yīng)用需求，避免重復(fù)投資。依據(jù)標(biāo)準(zhǔn)規(guī)范GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T22240-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南（征求意見稿）信息系統(tǒng)安全等級(jí)保護(hù)評(píng)估準(zhǔn)則（征求意見稿）GB/T20008-2005信息安全技術(shù)操作系統(tǒng)安全評(píng)估準(zhǔn)則GB/T20009-2005信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全評(píng)估準(zhǔn)則GB/T20010-2005信息安全技術(shù)包過(guò)濾防火墻評(píng)估準(zhǔn)則GB/T20011-2005信息安全技術(shù)路由器安全評(píng)估準(zhǔn)則GB/T21052-2007信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求GB/T19715.2-2005信息技術(shù)信息技術(shù)安全管理指南第2部分：管理和規(guī)劃信息技術(shù)安全GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T19716-2005信息技術(shù)信息安全管理實(shí)用規(guī)則建設(shè)原則全方位提升網(wǎng)絡(luò)和系統(tǒng)實(shí)體的安全性、抗攻擊性安全性設(shè)計(jì)從全方位、多層次加以考慮，即通過(guò)物理層、鏈路層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等的安全技術(shù)措施以及安全管理來(lái)確實(shí)保證系統(tǒng)的整體安全。保證各種相關(guān)的網(wǎng)絡(luò)和系統(tǒng)具有相當(dāng)?shù)目构粜?，能夠檢測(cè)并及時(shí)對(duì)各種攻擊行為做出響應(yīng)。信息系統(tǒng)的可用可靠性、安全性和保密性首先關(guān)注系統(tǒng)的可用性和可靠性，在可用可靠性基礎(chǔ)上，進(jìn)一步強(qiáng)調(diào)安全性和保密性問(wèn)題，即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改、不被破壞和不丟失。對(duì)信息的使用進(jìn)行相關(guān)的授權(quán)。信息的傳輸和傳播的過(guò)程進(jìn)行相關(guān)的控制、監(jiān)視和跟蹤。強(qiáng)調(diào)系統(tǒng)運(yùn)行狀態(tài)的可控性強(qiáng)調(diào)對(duì)全網(wǎng)上各種資源的度量和監(jiān)管，對(duì)整個(gè)網(wǎng)絡(luò)和系統(tǒng)的相關(guān)狀況進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)應(yīng)用服務(wù)、數(shù)據(jù)和資源的使用進(jìn)行監(jiān)控。對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制。安全系統(tǒng)的可管理性采用“技術(shù)＋管理”并重的模式，強(qiáng)調(diào)系統(tǒng)的可管理性，通過(guò)管理措施、機(jī)制和技術(shù)相結(jié)合，做到事先防范，事后補(bǔ)救；從人的角度考慮，通過(guò)安全教育與培訓(xùn)，提高工作人員安全方面的意識(shí)和技術(shù)素質(zhì)；通過(guò)建立各種安全管理制度，提高員工的安全意識(shí)，規(guī)范員工的行為，主動(dòng)自覺地利用各種工具去加強(qiáng)安全性；通過(guò)各種技術(shù)手段，建立所有相關(guān)安全產(chǎn)品的管理體系。需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。先進(jìn)性原則醫(yī)院的安全有一個(gè)先進(jìn)水平的安全。具體的技術(shù)和技術(shù)方案應(yīng)保證整個(gè)系統(tǒng)在當(dāng)前具有的技術(shù)先進(jìn)性?？蓴U(kuò)展性原則醫(yī)院的信息化安全建設(shè)方案設(shè)計(jì)是針對(duì)其自身設(shè)計(jì)的安全方案,適應(yīng)整個(gè)醫(yī)院網(wǎng)絡(luò)系統(tǒng)的現(xiàn)狀以及需求,所采取的措施隨著網(wǎng)絡(luò)性能及安全需求的變化而變化,容易升級(jí),具有良好的擴(kuò)展性。多重保護(hù)原則任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。標(biāo)準(zhǔn)性原則設(shè)計(jì)醫(yī)院的信息化安全,要根據(jù)國(guó)家相關(guān)的法律法規(guī)、技術(shù)規(guī)范和標(biāo)準(zhǔn)，同時(shí)也符合國(guó)家衛(wèi)生廳相關(guān)信息化建設(shè)標(biāo)準(zhǔn)。易操作性原則大部分的安全措施需要人為去完成，如果措施過(guò)于復(fù)雜，對(duì)人員的要求過(guò)高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。

醫(yī)院網(wǎng)絡(luò)現(xiàn)狀及需求分析網(wǎng)絡(luò)結(jié)構(gòu)描述通過(guò)對(duì)醫(yī)院現(xiàn)有結(jié)構(gòu)進(jìn)行了解和分析，可以看出醫(yī)院網(wǎng)絡(luò)大致可以分為業(yè)務(wù)內(nèi)網(wǎng)和辦公外網(wǎng)，業(yè)務(wù)網(wǎng)絡(luò)采用三層網(wǎng)絡(luò)結(jié)構(gòu)，通過(guò)核心交換機(jī)將醫(yī)院各科室進(jìn)行互聯(lián)。并在業(yè)務(wù)網(wǎng)絡(luò)單獨(dú)設(shè)立和一個(gè)內(nèi)部核心業(yè)務(wù)應(yīng)用服務(wù)器區(qū)域，包含HIS系統(tǒng)、RIS系統(tǒng)、PACS系統(tǒng)和檔案管理系統(tǒng)等應(yīng)用服務(wù)器。同時(shí)為了滿足內(nèi)部應(yīng)用服務(wù)器與辦公網(wǎng)DMZ區(qū)域服務(wù)器進(jìn)行數(shù)據(jù)交換需求，在業(yè)務(wù)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)邊界部署了一臺(tái)防火墻設(shè)備進(jìn)行兩個(gè)網(wǎng)絡(luò)之間的隔離，并在防火墻劃分了一個(gè)內(nèi)部網(wǎng)絡(luò)的DMZ區(qū)域進(jìn)行與外部DMZ區(qū)域進(jìn)行數(shù)據(jù)交換的中轉(zhuǎn)站。

外部辦公網(wǎng)絡(luò)大致可以劃分為辦公網(wǎng)和DMZ區(qū)域，在外部網(wǎng)絡(luò)的互聯(lián)網(wǎng)邊界通過(guò)核心交換機(jī)的防火墻板卡進(jìn)行邊界的隔離和劃分DMZ區(qū)域，通過(guò)在外網(wǎng)的核心交換機(jī)上做NAT和PAT對(duì)外發(fā)布統(tǒng)計(jì)醫(yī)院DMZ區(qū)域的應(yīng)用。應(yīng)用系統(tǒng)描述

在醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)中主要有HIS系統(tǒng)、PACS系統(tǒng)、RIS系統(tǒng)和檔案管理系統(tǒng)等服務(wù)器,這些重要的應(yīng)用服務(wù)器構(gòu)成醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)的核心。在應(yīng)用系統(tǒng)的部署架構(gòu)上，目前應(yīng)用系統(tǒng)、中間件和數(shù)據(jù)庫(kù)系統(tǒng)采用一體化部署方式，及數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)都部署在一臺(tái)服務(wù)器上，各應(yīng)用系統(tǒng)架構(gòu)大多采用了B/S、C/S架構(gòu)。在應(yīng)用服務(wù)器操作系統(tǒng)上，大多采用WINDOS操作系統(tǒng)。

醫(yī)院網(wǎng)絡(luò)安全現(xiàn)狀

從醫(yī)院目前的網(wǎng)絡(luò)結(jié)構(gòu)上來(lái)看，在外部辦公網(wǎng)絡(luò)的互聯(lián)網(wǎng)邊界主要采用了防火墻系統(tǒng)，但是由于DMZ區(qū)域應(yīng)用的安全主要依靠防火墻的地址映射和訪問(wèn)控制進(jìn)行保護(hù)，由于應(yīng)用系統(tǒng)本身可能存在一些安全漏洞或者軟件設(shè)計(jì)上的缺陷，外網(wǎng)非法訪者可直接通過(guò)防火墻允許的端口對(duì)DMZ區(qū)域的應(yīng)用服務(wù)器進(jìn)行注入、跨站、拒絕服務(wù)、緩沖溢出攻擊。給醫(yī)院網(wǎng)絡(luò)造成極大的威脅。

在外部辦公網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)的邊界上，采用網(wǎng)閘做網(wǎng)絡(luò)邊界的隔離設(shè)備，但是由于設(shè)備采購(gòu)時(shí)間較長(zhǎng)，設(shè)備比較老舊，且是百兆級(jí)別的設(shè)備，無(wú)法滿足現(xiàn)有的網(wǎng)絡(luò)核心骨干千兆乃至擴(kuò)展到萬(wàn)兆的網(wǎng)絡(luò)環(huán)境的需求。

醫(yī)院網(wǎng)絡(luò)的安全需求信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)?；谝陨系男枨蠓治觯覀冋J(rèn)為網(wǎng)絡(luò)系統(tǒng)可以實(shí)現(xiàn)以下安全目標(biāo)：保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性防范網(wǎng)絡(luò)資源的非法訪問(wèn)及非授權(quán)訪問(wèn)防范入侵者的惡意攻擊與破壞保護(hù)信息通過(guò)網(wǎng)上傳輸過(guò)程中的機(jī)密性、完整性防范病毒的侵害實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理

IT流程規(guī)范化改進(jìn)咨詢服務(wù)近幾年來(lái)醫(yī)院的信息化的發(fā)展，為提供醫(yī)院在醫(yī)務(wù)服務(wù)質(zhì)量上、醫(yī)務(wù)事務(wù)處理效率上進(jìn)一步的提高，隨著醫(yī)院各類醫(yī)務(wù)信息系統(tǒng)的上線、升級(jí)和改造，因各類信息系統(tǒng)的增加，隨之而來(lái)的是在IT部門工作量上大大的增大，為進(jìn)一步保障全院醫(yī)務(wù)系統(tǒng)熱持續(xù)運(yùn)作，全面提升和優(yōu)化醫(yī)院信息化業(yè)務(wù)運(yùn)維管理水平，提高IT部門業(yè)務(wù)服務(wù)質(zhì)量，保障醫(yī)療應(yīng)用安全運(yùn)行。關(guān)于IT流程改進(jìn)咨詢咨詢服務(wù)的IT流程范圍涵蓋建立IT流程規(guī)劃和持續(xù)改進(jìn)機(jī)制、建立信息中心部門基本制度、建立醫(yī)院信息化管理制度、建立完善系統(tǒng)維護(hù)流程、建立信息安全管理制度、建立應(yīng)急預(yù)案與演練機(jī)制、建立項(xiàng)目管理制度、建立統(tǒng)計(jì)工作制度、編制（預(yù)算、采購(gòu)、財(cái)產(chǎn)管理）詳細(xì)作業(yè)指導(dǎo)書以及指導(dǎo)實(shí)施。管理咨詢主要集中流程體系規(guī)劃、流程和模板的編制或修改完善，對(duì)信息中心按照流程規(guī)范開展的流程實(shí)施工作提要的答疑或抽查輔導(dǎo)，輔助建立長(zhǎng)效的流程改進(jìn)機(jī)制。提供IT流程知識(shí)管理及任務(wù)管理系統(tǒng)及服務(wù)提供此軟件及相應(yīng)的安裝、調(diào)試和運(yùn)行維護(hù)服務(wù)。軟件功能主要涵蓋流程知識(shí)管理和流程改進(jìn)配套的任務(wù)管理。流程管理軟件所管理的流程范圍限于信息中心范圍內(nèi)的IT流程、模板及質(zhì)量記錄；任務(wù)管理軟件限于信息中心流程改進(jìn)的任務(wù)管理。IT流程改進(jìn)目標(biāo)對(duì)照IT流程有關(guān)規(guī)范，評(píng)估信息中心現(xiàn)有IT流程規(guī)范的欠缺或差距,制定流程計(jì)劃并加以落實(shí)。引入流程規(guī)范和行業(yè)先進(jìn)流程經(jīng)驗(yàn)，補(bǔ)充編制新的流程制度、模板或完善現(xiàn)有流程制度，使信息中心IT流程體系升級(jí)以達(dá)到完整化、規(guī)范化。指導(dǎo)流程規(guī)范的落實(shí)和持續(xù)改進(jìn)，使信息中心IT建設(shè)與運(yùn)行維護(hù)流程進(jìn)入不斷改進(jìn)的良性循環(huán)。IT流程改進(jìn)原則流程改進(jìn)咨詢活動(dòng)需要采用規(guī)范化、科學(xué)化方法，符合流程管理改進(jìn)咨詢有關(guān)規(guī)范。本項(xiàng)目范圍所屬的流程制度的編制及實(shí)施應(yīng)遵循IT流程規(guī)范的相關(guān)標(biāo)準(zhǔn)或要求，例如ISO9001、三甲IT信息化管理要求等。IT流程應(yīng)容易實(shí)施，切合實(shí)際需求，解決實(shí)際問(wèn)題。既重視編制或完善工作流程，更重視建立持續(xù)改進(jìn)的機(jī)制。利用流程知識(shí)和流程改進(jìn)任務(wù)管理系統(tǒng),以科學(xué)手段提高流程改進(jìn)的執(zhí)行力和效率,管理系統(tǒng)需要具備易操作、適應(yīng)性好的特性。IT流程改進(jìn)服務(wù)需求說(shuō)明建立IT流程體系規(guī)劃和持續(xù)改進(jìn)機(jī)制任務(wù)類別任務(wù)內(nèi)容備注對(duì)流程體系現(xiàn)狀水平進(jìn)行評(píng)估通過(guò)訪談、檢查，對(duì)照ISO9001和三甲醫(yī)院信息化管理要求等規(guī)范評(píng)估現(xiàn)有IT流程制度的缺漏或差異規(guī)劃新流程體系架構(gòu)規(guī)劃流程體系目標(biāo)、方針；規(guī)劃流程體系各流程之間的輸入輸出或變更互動(dòng)關(guān)系確定流程改進(jìn)的職責(zé)分工編制或修改IT流程改進(jìn)的職責(zé)分工和崗位設(shè)置說(shuō)明定義好流程有關(guān)的角色一覽表PDCA階段管理方法論和制度編制或修改完善流程改進(jìn)的計(jì)劃管理和報(bào)告制度（年度、月度度目標(biāo)計(jì)劃與總結(jié),按PDCA方法）IT流程水平評(píng)估方法論和制度編制或修改完善一套針對(duì)IT流程規(guī)范化水平的檢查評(píng)估辦法，用于評(píng)估IT流程規(guī)范所處的水平(對(duì)比有關(guān)規(guī)范的流程覆蓋率或完整性、執(zhí)行情況和執(zhí)行效果)對(duì)信息中心的具體執(zhí)行過(guò)程提供答疑輔導(dǎo)建立信息中心部門基本制度任務(wù)類別任務(wù)內(nèi)容備注信息中心組織結(jié)構(gòu)編制或修改信息中心組織結(jié)構(gòu)說(shuō)明編制或修改完善崗位一覽表編制或修改完善崗位說(shuō)明模板對(duì)部門按新模板填寫的各崗位說(shuō)明書提供修改指導(dǎo)對(duì)信息中心按新模板編制的崗位說(shuō)明提供修改輔導(dǎo)信息中心計(jì)劃/總結(jié)編制或修改完善信息中心內(nèi)部計(jì)劃與報(bào)告制度、模板部門績(jī)效管理編制或修改完善信息中心職員績(jī)效管理制度(包含目標(biāo)設(shè)定、績(jī)效計(jì)劃、績(jī)效溝通、績(jī)效分解、績(jī)效評(píng)估的總體要求)對(duì)信息中心按照新制度、模板開展的績(jī)效指標(biāo)定義和管理具體方案提供答疑輔導(dǎo)。信息中心培訓(xùn)編制或修改完善信息中心培訓(xùn)發(fā)展制度其它有關(guān)制度編制或修改值班制度編制或完善考勤休假制度編制或修改會(huì)議管理制度建立醫(yī)院信息化管理制度任務(wù)類別任務(wù)內(nèi)容備注協(xié)助制定策略方法協(xié)助分析醫(yī)院信息化管理的挑戰(zhàn)和策略方法（總體原則、方法、措施）設(shè)立院級(jí)領(lǐng)導(dǎo)機(jī)構(gòu)編制或修改完善院級(jí)組織機(jī)構(gòu)說(shuō)明信息化溝通機(jī)制編制或修改完善院級(jí)信息化溝通制度、模板制定中長(zhǎng)期計(jì)劃編制或修改完善中長(zhǎng)期計(jì)劃制度和模板IT信息化績(jī)效管理確定IT信息化主要宏觀指標(biāo)定義(簡(jiǎn)單實(shí)用KPI)編制或修改完善IT績(jī)效評(píng)估的流程制度制定績(jī)效的公示展示辦法對(duì)信息中心主持的有關(guān)活動(dòng)提供答疑輔導(dǎo)項(xiàng)目需求與立項(xiàng)審批編制或修改完善信息化項(xiàng)目立項(xiàng)審批制度（各單位需求申報(bào)，項(xiàng)目估算，立項(xiàng)審批等）建立完善系統(tǒng)維護(hù)流程任務(wù)類別任務(wù)內(nèi)容備注日常缺陷維護(hù)制度編制或完善軟硬件缺陷報(bào)告與維護(hù)管理制度(故障級(jí)別定義;維修工單報(bào)告與處理跟蹤;事件跟蹤與升級(jí)管理,含廠商)軟件變更安裝編制或完善軟件版本更新制度（測(cè)試驗(yàn)證、風(fēng)險(xiǎn)分析及應(yīng)急恢復(fù)、安裝控制、裝后驗(yàn)證）系統(tǒng)安裝、變更編制或完善系統(tǒng)安裝與配置變更流程(方案評(píng)估、風(fēng)險(xiǎn)分析、審批、記錄)值班制度編制或修改完善信息值班、交接班制度，有完整的日常運(yùn)維記錄和值班記錄，及時(shí)處置安全隱患系統(tǒng)監(jiān)視巡查編制或修改完善系統(tǒng)巡查監(jiān)視制度和記錄要求基礎(chǔ)架構(gòu)信息管理編制或修改完善基礎(chǔ)架構(gòu)信息的建立與更新制度，以便能從技術(shù)架構(gòu)信息中了解系統(tǒng)網(wǎng)絡(luò)架構(gòu)與軟件硬件資源布局對(duì)信息中心主持的有關(guān)管理活動(dòng)記錄提供檢查輔導(dǎo)機(jī)房管理制度編制或修改完善機(jī)房管理制度，便于促進(jìn)機(jī)房安全和作業(yè)管理建立信息安全管理制度任務(wù)類別任務(wù)內(nèi)容備注權(quán)限管理制度編制或修改完善權(quán)限管理制度(權(quán)限分配、授予與回收制度;權(quán)限狀態(tài)一覽表查詢)病毒防范編制或修改完善病毒防范管理制度病人隱私信息保護(hù)編制或修改完善病人隱私信息保護(hù)制度編制或修改完善病人隱私信息保護(hù)情況檢查評(píng)估制度定期安全評(píng)估編制或修改完善定期進(jìn)行系統(tǒng)安全評(píng)估的制度(權(quán)限管理執(zhí)行情況的檢查、系統(tǒng)安全漏洞檢查、安全監(jiān)視措施的檢查、監(jiān)視記錄)提供制度框架，對(duì)信息中心主持的有關(guān)活動(dòng)記錄，提供評(píng)價(jià)指導(dǎo)建立應(yīng)急預(yù)案與演練機(jī)制任務(wù)類別任務(wù)內(nèi)容備注應(yīng)急預(yù)案編制制度編制或修改完善應(yīng)急管理制度(預(yù)案覆蓋范圍、預(yù)案一覽表清單編制要求、預(yù)案編制要求、預(yù)案審批、預(yù)案變更要求、持續(xù)改進(jìn)要求)(涵蓋整個(gè)主機(jī)、數(shù)據(jù)庫(kù)、存儲(chǔ)系統(tǒng)、網(wǎng)絡(luò)癱瘓應(yīng)急恢復(fù)措施等)提供制度框架，對(duì)信息中心主持編寫的具體應(yīng)急預(yù)案，提供評(píng)價(jià)指導(dǎo)應(yīng)急預(yù)案演練驗(yàn)證制度編制或修改完善預(yù)案演練制度(演練的周期、演練記錄、演練結(jié)果審定)提供制度框架，對(duì)信息中心主持編寫的具體應(yīng)急演練結(jié)果，提供評(píng)價(jià)指導(dǎo)數(shù)據(jù)備份檢查制度編制或修改完善數(shù)據(jù)備份有效性檢查制度,以保證數(shù)據(jù)備份的可用性持續(xù)改進(jìn)機(jī)制編制應(yīng)急預(yù)案編制、演練等措施的持續(xù)改進(jìn)要求建立項(xiàng)目管理制度任務(wù)類別任務(wù)內(nèi)容備注項(xiàng)目立項(xiàng)審批制度編制或修改完善信息化項(xiàng)目立項(xiàng)審批制度（各單位需求申報(bào)，項(xiàng)目估算，立項(xiàng)審批等）建立統(tǒng)計(jì)工作制度任務(wù)類別任務(wù)內(nèi)容備注系統(tǒng)缺陷統(tǒng)計(jì)編制或修改完善應(yīng)用報(bào)告的系統(tǒng)缺陷統(tǒng)計(jì)制度與辦法IT工作統(tǒng)計(jì)編制或修改完善IT工作（含績(jī)效）評(píng)估與統(tǒng)計(jì)辦法

(本期選擇若干宏觀指標(biāo)統(tǒng)計(jì)試點(diǎn))編制詳細(xì)作業(yè)指導(dǎo)書SOP任務(wù)類別任務(wù)內(nèi)容備注預(yù)算管理編制或修改完善預(yù)算管理標(biāo)準(zhǔn)作業(yè)程序（SOP）采購(gòu)管理編制或修改完善采購(gòu)管理標(biāo)準(zhǔn)作業(yè)程序（SOP）財(cái)產(chǎn)管理編制或修改完善財(cái)產(chǎn)管理標(biāo)準(zhǔn)作業(yè)程序（SOP）

安全建設(shè)方案MPDRR安全模型PADIMEE模型包含以下幾個(gè)主要部分：Policy（安全策略）、Assessment（安全評(píng)估）、Design（設(shè)計(jì)/方案）、Implementation（實(shí)施/實(shí)現(xiàn)）、Management/Monitor（管理/監(jiān)控）、EmergencyResponse（緊急響應(yīng)）和Education（安全教育）。根據(jù)PADIMEE模型，網(wǎng)絡(luò)安全需求主要在以下幾個(gè)方面得以體現(xiàn)：（1）制訂網(wǎng)絡(luò)安全策略反映了組織的總體網(wǎng)絡(luò)安全需求；（2）通過(guò)網(wǎng)絡(luò)安全評(píng)估，提出網(wǎng)絡(luò)安全需求，從而更加合理、有效地組織網(wǎng)絡(luò)安全工作；（3）在新系統(tǒng)、新項(xiàng)目的設(shè)計(jì)和實(shí)現(xiàn)中，應(yīng)該充分地分析可能引致的網(wǎng)絡(luò)安全需求、并采取相應(yīng)的措施，在這一階段開始網(wǎng)絡(luò)安全工作，往往能夠收到“事半功倍”的效果；（4）管理/監(jiān)控也是網(wǎng)絡(luò)安全實(shí)現(xiàn)的重要環(huán)節(jié)。其中既包括了P2DR安全模型和APPDRR安全模型中的動(dòng)態(tài)檢測(cè)內(nèi)容，也涵蓋了安全管理的要素。通過(guò)管理/監(jiān)控環(huán)節(jié)，并輔以必要的靜態(tài)安全防護(hù)措施，可以滿足特定的網(wǎng)絡(luò)安全需求，從而使既定的網(wǎng)絡(luò)安全目標(biāo)得以實(shí)現(xiàn)；（5）緊急響應(yīng)是網(wǎng)絡(luò)安全的最后一道防線。由于網(wǎng)絡(luò)安全的相對(duì)性，采取的所有安全措施實(shí)際上都是將安全工作的收益（以可能導(dǎo)致的損失來(lái)計(jì)量）和采取安全措施的成本相配比進(jìn)行選擇、決策的結(jié)果。基于這樣的考慮，在網(wǎng)絡(luò)安全工程實(shí)現(xiàn)模型中設(shè)置一道這樣的最后防線有著極為重要的意義。通過(guò)合理地選擇緊急響應(yīng)措施，可以做到以最小的代價(jià)換取最大的收益，從而減弱乃至消除安全事件的不利影響，有助于實(shí)現(xiàn)信息組織的網(wǎng)絡(luò)安全目標(biāo)。信息安全拓?fù)鋱D

網(wǎng)絡(luò)防火墻系統(tǒng)產(chǎn)品概述下一代防火墻保留了狀態(tài)檢測(cè)防火墻的優(yōu)點(diǎn)，具有性能的同時(shí)具備內(nèi)容過(guò)濾、入侵防御、流量管理、用戶認(rèn)證等多種應(yīng)用層過(guò)濾技術(shù)于一身，彌補(bǔ)了狀態(tài)檢測(cè)防火墻的不足。為用戶提供了更全面的深度過(guò)濾功能，有效識(shí)別來(lái)自應(yīng)用層的威脅。通過(guò)全新的AMP+多核架構(gòu)和設(shè)計(jì)理念，實(shí)現(xiàn)了高性能極速轉(zhuǎn)發(fā)、智能定位與管控、應(yīng)用精細(xì)識(shí)別、多種應(yīng)用層過(guò)濾技術(shù)、虛擬防火墻定制化安全及立體可視化監(jiān)控等一系列特有功能；應(yīng)用層和網(wǎng)絡(luò)層安全模塊的并行調(diào)度，提升了應(yīng)用層處理性能；系統(tǒng)引擎與安全引擎的用戶態(tài)設(shè)計(jì)，避免了在大流量下數(shù)據(jù)報(bào)文分析對(duì)防火墻性能的影響，有效提高了整機(jī)運(yùn)行速度；友好的扁平化風(fēng)格界面，配合直觀的功能模塊設(shè)計(jì)，更加方便的進(jìn)行網(wǎng)絡(luò)管理。產(chǎn)品特點(diǎn)獨(dú)立的管理口實(shí)現(xiàn)與業(yè)務(wù)口分離專門提供了管理口，讓用戶的管理數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)分離，在業(yè)務(wù)數(shù)據(jù)量過(guò)大的情況下，不會(huì)影響對(duì)防火墻的正常管理。同時(shí)，單獨(dú)的管理口使用戶可以嚴(yán)格限制連入管理防火墻的方式，保障更加安全的管理防火墻。管理員權(quán)限三權(quán)分立針對(duì)管理員的角色建立三權(quán)分立的管理員帳號(hào)機(jī)制，將超級(jí)用戶特權(quán)集進(jìn)行劃分,分別授予配置管理員、安全管理員和審計(jì)管理員。實(shí)現(xiàn)配置管理、安全管理和審計(jì)管理功能的同時(shí),也保證管理員權(quán)限的隔離。防止因?yàn)楣芾韱T權(quán)限過(guò)大所引起的安全風(fēng)險(xiǎn)，也保證已經(jīng)配置完成的訪問(wèn)控制策略不會(huì)出現(xiàn)未授權(quán)的修改，及出現(xiàn)未授權(quán)修改時(shí)可以保留相關(guān)審計(jì)信息。安全隔離的虛擬系統(tǒng)支持通過(guò)虛擬系統(tǒng)功能，將下一代防火墻虛擬成多個(gè)相互隔離并獨(dú)立運(yùn)行的虛擬防火墻系統(tǒng)，每一個(gè)虛擬系統(tǒng)都可以為用戶提供定制化的安全防護(hù)功能，并可配備獨(dú)立的管理員賬號(hào)。在用戶網(wǎng)絡(luò)不斷擴(kuò)展時(shí)，通過(guò)虛擬系統(tǒng)功能不僅能有效降低用戶網(wǎng)絡(luò)的復(fù)雜度，還能提高網(wǎng)絡(luò)的靈活性。當(dāng)這些相互隔離并獨(dú)立運(yùn)行的虛擬防火墻系統(tǒng)需要通訊時(shí)，可以通過(guò)下一代防火墻提供的虛擬接口實(shí)現(xiàn)，而不需要通過(guò)物理鏈路將它們進(jìn)行連接。地理位置識(shí)別下一代防火墻增加了地理位置識(shí)別功能，可以將地理位置作為配置安全策略的一個(gè)屬性。通過(guò)地址位置識(shí)別用戶可以了解到不同地區(qū)當(dāng)前的網(wǎng)絡(luò)使用情況，查看基于地理位置的流量趨勢(shì)等，從而針對(duì)不同的地理位置來(lái)調(diào)整防火墻策略，為用戶的安全策略管理提供一個(gè)新的控制角度。基于安全域的攻擊防護(hù)功能通過(guò)基于安全域的Flood防護(hù)和掃描欺騙防護(hù)、IP地址掃描攻擊、端口掃描以及異常包攻擊等防護(hù)手段的攻擊防護(hù)模塊，將包括SYNFlood，ICMPFlood，UDPFood，IPFood，pingofdeath，Teardrop，IP選項(xiàng)，TCP異常，Smurf，F(xiàn)raggle，Land，Winnuke等常見的攻擊行為檢測(cè)集成在模塊中，使得用戶通過(guò)啟用并配置攻擊防護(hù)模塊，有效的過(guò)濾并采取相應(yīng)的措施阻止非正常報(bào)文流入用戶內(nèi)網(wǎng)。同時(shí)針對(duì)洪攻擊和掃描攻擊，攻擊防護(hù)模塊允許用戶通過(guò)限制報(bào)文的閾值，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)免受惡意洪攻擊的威脅，保證內(nèi)部網(wǎng)絡(luò)及內(nèi)部服務(wù)器正常運(yùn)行。攻擊防護(hù)模塊能及時(shí)向用戶輸出安全告警，并在系統(tǒng)狀態(tài)中實(shí)時(shí)顯示當(dāng)前排行前十位的攻擊行為，讓管理員能夠快速了解并定位網(wǎng)絡(luò)攻擊，并且能快速做出響應(yīng)保證網(wǎng)絡(luò)正常。更加靈活、精準(zhǔn)的入侵防御功能依托先進(jìn)的多核全并行處理技術(shù)，大幅提高了IPS的處理性能，能夠輕松應(yīng)對(duì)多樣的混合型攻擊，超過(guò)3000種的特征庫(kù)可以檢測(cè)并防范針對(duì)HTTP、FTP、SMTP、IMAP、POP3、TELNET、DNS、RPC、MSSQL、ORACLE、NNTP、NETBOIS、TFTP等多種協(xié)議的攻擊，以保障網(wǎng)絡(luò)的安全。完善的日志系統(tǒng)及監(jiān)控系統(tǒng)提供了基于不同維度的入侵事件記錄分析，方便管理員掌握當(dāng)前網(wǎng)絡(luò)中的攻擊信息，及時(shí)做出正確的管理決策。同時(shí)，通過(guò)專業(yè)的特征庫(kù)，常用基礎(chǔ)軟件的漏洞，以及常用應(yīng)用系統(tǒng)的漏洞利用機(jī)理，保證IPS在防范已知漏洞的基礎(chǔ)上，也能對(duì)新出現(xiàn)的漏洞進(jìn)行防范，確保了入侵防御功能的有效性。IPS功能中針對(duì)每種攻擊特征設(shè)定的精細(xì)執(zhí)行動(dòng)作，極大的提高了入侵防御策略的自由度和靈活性，并且最大程度的降低了誤識(shí)別率。支持自定義新建、并發(fā)的連接限制功能連接限制是網(wǎng)神下一代極速防火墻NSG系列基于安全域來(lái)限制并發(fā)及新建連接數(shù)的功能。目前最常見的兩個(gè)應(yīng)用場(chǎng)景為：1)限制P2P流量的并發(fā)連接數(shù)。通過(guò)限制單個(gè)IP的連接數(shù)上限，讓使用P2P下載的用戶在達(dá)到閾值時(shí)也不會(huì)對(duì)其它用戶造成影響。2)限制來(lái)自外網(wǎng)或者內(nèi)網(wǎng)的高新建高并發(fā)的攻擊行為，保護(hù)連接表不被DoS攻擊填滿。多種形式建立IPSecVPN隧道IPSecVPN支持“手工隧道”、“快速隧道”形式下的隧道建立方式，并支持“網(wǎng)關(guān)到網(wǎng)關(guān)”、“客戶端到網(wǎng)關(guān)”兩種應(yīng)用場(chǎng)景。同時(shí)VPN實(shí)施支持基于安全策略指定VPN隧道策略方式。深度的網(wǎng)絡(luò)行為關(guān)聯(lián)分析基于網(wǎng)絡(luò)用戶行為、用戶身份、用戶地域識(shí)別、用戶訪問(wèn)應(yīng)用類型的實(shí)時(shí)分析及動(dòng)態(tài)實(shí)時(shí)防護(hù)而設(shè)計(jì)的整套安全防御體系。可通過(guò)“云計(jì)算”中心自動(dòng)收集安全威脅信息并快速尋找解決方案，及時(shí)更新攻擊防護(hù)規(guī)則庫(kù)并以動(dòng)態(tài)的方式實(shí)時(shí)部署到各用戶防火墻中，保證用戶的安全防護(hù)策略得到及時(shí)、準(zhǔn)確的動(dòng)態(tài)更新。防范以多種形態(tài)出現(xiàn)的新惡意軟件和攻擊行為、APT攻擊、0-day攻擊等日益增長(zhǎng)的威脅。全方位狀態(tài)信息展示提供全面的實(shí)時(shí)的狀態(tài)信息展示，包括網(wǎng)絡(luò)接口狀態(tài)、接口信息狀態(tài)、系統(tǒng)信息狀態(tài)、資源狀態(tài)、并發(fā)連接數(shù)、入侵防御狀態(tài)、應(yīng)用流量排行榜。第一時(shí)間為管理員修改防火墻配置策略，了解防火墻運(yùn)行狀態(tài)，掌握網(wǎng)絡(luò)當(dāng)前態(tài)勢(shì)提供實(shí)時(shí)報(bào)告。更加人性化和智能化的狀態(tài)展示同時(shí)大大提供了狀態(tài)信息的易用性。

WEB安全防護(hù)系統(tǒng)產(chǎn)品概述伴隨著防護(hù)技術(shù)的不斷發(fā)展，WEB應(yīng)用系統(tǒng)的防護(hù)技術(shù)經(jīng)歷了網(wǎng)關(guān)型防護(hù)手段和操作系統(tǒng)防護(hù)手段。如含有應(yīng)用層過(guò)濾功能的網(wǎng)絡(luò)防火墻、IPS等網(wǎng)關(guān)型硬件產(chǎn)品，基于特征匹配進(jìn)行防護(hù)；網(wǎng)頁(yè)防篡改軟件則是基于文件監(jiān)控原理，對(duì)指定路徑的文件進(jìn)行監(jiān)控和寫保護(hù)。傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備和網(wǎng)頁(yè)防篡改軟件只能解決WEB應(yīng)用安全的一個(gè)方面，而WEB應(yīng)用系統(tǒng)的安全保障需要一個(gè)全面的安全防護(hù)和性能保障措施才能使之安全、高效、持續(xù)地對(duì)外提供服務(wù)。WEB應(yīng)用系統(tǒng)的安全是一個(gè)系統(tǒng)的問(wèn)題，包括三個(gè)方面，即可用性、完整性和機(jī)密性。實(shí)現(xiàn)這些原則所需的安全等級(jí)因WEB系統(tǒng)的屬性、WEB應(yīng)用的價(jià)值不同而異。如對(duì)機(jī)密性要求較高的應(yīng)用系統(tǒng)應(yīng)當(dāng)保障數(shù)據(jù)的訪問(wèn)、傳輸過(guò)程的安全，同時(shí)需要對(duì)訪問(wèn)者進(jìn)行認(rèn)證、授權(quán)、審計(jì)；對(duì)于一個(gè)面向客戶群的應(yīng)用系統(tǒng)既要考慮其應(yīng)用交互的可用性，同時(shí)也需要對(duì)其完整性進(jìn)行有效的保障。而面向大眾的門戶類網(wǎng)站則需要充分考慮其抗攻擊能力、高可用性和完整性，提供7X24小時(shí)不中斷服務(wù)，確保提供的數(shù)據(jù)是真實(shí)的、有效的。綜上所述WEB應(yīng)用系統(tǒng)的安全保障需要充分考慮其高可用性、完整性和機(jī)密機(jī)才能達(dá)到安全有效的防護(hù)目的。專業(yè)的WEB安全網(wǎng)關(guān)則是專用于防護(hù)及優(yōu)化WEB應(yīng)用系統(tǒng)的最佳選擇，有效解決傳統(tǒng)網(wǎng)絡(luò)防火墻及網(wǎng)頁(yè)防篡改軟件在WEB應(yīng)用防護(hù)方面的局限性，在重視應(yīng)用系統(tǒng)的高可用性的前提下進(jìn)行安全優(yōu)化從而達(dá)到WEB防護(hù)的最佳目標(biāo)。集WEB防護(hù)、WEB加速、網(wǎng)頁(yè)保護(hù)、負(fù)載均衡、應(yīng)用交付于一體的WEB整體安全防護(hù)設(shè)備。通過(guò)WEB安全防護(hù)模塊、應(yīng)用審計(jì)模塊實(shí)現(xiàn)應(yīng)用的安全防護(hù)，解決用戶面臨的嚴(yán)重入侵威脅；通過(guò)WEB加速技術(shù)解決用戶在高可用性、性能提升上因?yàn)樾枰罅抠Y金投入的煩惱；通過(guò)訪問(wèn)控制模塊輕松解決了WEB應(yīng)用系統(tǒng)細(xì)粒度訪問(wèn)控制等特定的需求問(wèn)題。事前主動(dòng)防御，智能分析應(yīng)用缺陷、屏蔽惡意請(qǐng)求、防范網(wǎng)頁(yè)篡改、阻斷應(yīng)用攻擊，全方位保護(hù)WEB應(yīng)用。事中智能響應(yīng)，快速P2DR建模、模糊歸納和定位攻擊，阻止風(fēng)險(xiǎn)擴(kuò)散，消除“安全事故”于萌芽之中。事后行為審計(jì)，深度挖掘訪問(wèn)行為、分析攻擊數(shù)據(jù)、提升應(yīng)用價(jià)值，為評(píng)估安全狀況提供詳盡報(bào)表。面向客戶的應(yīng)用加速，提升系統(tǒng)性能，改善WEB訪問(wèn)體驗(yàn)。面向過(guò)程的應(yīng)用控制，細(xì)化訪問(wèn)行為，強(qiáng)化應(yīng)用服務(wù)能力。面向服務(wù)的負(fù)載均衡，擴(kuò)展服務(wù)能力，適應(yīng)業(yè)務(wù)規(guī)模的快速壯大。產(chǎn)品特點(diǎn)安全防護(hù)功能策略的覆蓋完整度WEB安全網(wǎng)關(guān)提供對(duì)應(yīng)用系統(tǒng)全方位的防護(hù)，強(qiáng)化數(shù)據(jù)有效性防護(hù)即常見的跨站腳本攻擊、SQL注入攻擊、跨站請(qǐng)求偽造、網(wǎng)頁(yè)掛馬、盜鏈等威脅的防護(hù)，提供WEB應(yīng)用或網(wǎng)站的基本安全保障。使用虛擬服務(wù)器補(bǔ)丁技術(shù)用于緩解WEB服務(wù)器漏洞的零日攻擊和不安全配置帶來(lái)的安全隱患。集成的會(huì)話簽名鑒別技術(shù)和分級(jí)授權(quán)模塊專用于防護(hù)WEB應(yīng)用系統(tǒng)面臨的認(rèn)證威脅，如失效的會(huì)話管理缺陷、不安全的會(huì)話密鑰管理缺陷等均可通過(guò)WEB安全網(wǎng)關(guān)進(jìn)行快速修復(fù)。提供防止應(yīng)用DOS攻擊和暴力口令破解技術(shù)，解決大規(guī)模異常訪問(wèn)導(dǎo)致應(yīng)用系統(tǒng)面臨的性能問(wèn)題，甚至系統(tǒng)崩潰、服務(wù)中斷等惡性事件的發(fā)生。策略適應(yīng)性優(yōu)秀的安全策略不僅需要有廣泛的應(yīng)用系統(tǒng)覆蓋面、還需要有細(xì)的匹配粒度和良好的應(yīng)用系統(tǒng)適應(yīng)性。天泰安全網(wǎng)關(guān)的策略基于URI、時(shí)間、訪問(wèn)者、訪問(wèn)狀態(tài)、訪問(wèn)工具、訪問(wèn)內(nèi)容等對(duì)象定制安全規(guī)則，每條規(guī)則在發(fā)布前均通過(guò)嚴(yán)格的適應(yīng)性測(cè)試，特別針對(duì)國(guó)內(nèi)數(shù)百家WEB應(yīng)用系統(tǒng)進(jìn)行測(cè)試，確保規(guī)則安全穩(wěn)定、無(wú)誤判。學(xué)習(xí)引擎與白名單模式、主動(dòng)防御時(shí)代的益處安全防護(hù)技術(shù)可以分和黑名單防護(hù)技術(shù)和白名單防護(hù)技術(shù)，黑名單技術(shù)目前被大量應(yīng)用，基于黑名單的防護(hù)技術(shù)可以防護(hù)已知的攻擊行為，但對(duì)于未知的或已知規(guī)則的變種則無(wú)法防護(hù)。白名單技術(shù)可以有效的防護(hù)黑名單無(wú)法解決的問(wèn)題，然而由于WEB應(yīng)用系統(tǒng)的復(fù)雜多樣，所以白名單技術(shù)在實(shí)施過(guò)程中通常十分復(fù)雜并可能導(dǎo)致誤判。TSAdaptive?自適應(yīng)引擎讓白名單防護(hù)技術(shù)在Web安全Positive模式下，識(shí)別攻擊行為不再依賴于已知的攻擊特征，而是基于用戶應(yīng)用系統(tǒng)的正常請(qǐng)求特征和簽名列表。自適應(yīng)引擎生成的推薦規(guī)則專用于特定的應(yīng)用系統(tǒng)，最大限度的降低了黑名單技術(shù)帶來(lái)的誤判、漏判、零日攻擊等無(wú)法解決的技術(shù)難題?；跔顟B(tài)的分析WEB應(yīng)用防火墻技術(shù)在開發(fā)初期是完全基于規(guī)則匹配的響應(yīng)機(jī)制，表現(xiàn)為無(wú)狀態(tài)特性。隨著防護(hù)技術(shù)的不斷提高及面臨日益嚴(yán)重的零日攻擊威脅，WEB安全網(wǎng)關(guān)開創(chuàng)性的采用了應(yīng)用防火墻狀態(tài)防護(hù)技術(shù)，對(duì)會(huì)話管理、請(qǐng)求偽造、盜鏈等行為進(jìn)行識(shí)別和防護(hù)；對(duì)攻擊者的入侵掃描、探測(cè)、滲透過(guò)程進(jìn)行狀態(tài)識(shí)別和跟蹤，快速定位威脅，及時(shí)告警或阻止。與網(wǎng)絡(luò)層聯(lián)動(dòng)的防御技術(shù)WEB應(yīng)用受到攻擊，WEB安全網(wǎng)關(guān)應(yīng)當(dāng)采取行之有效的防護(hù)措施。WEB安全網(wǎng)關(guān)在檢測(cè)到有攻擊流量時(shí)會(huì)跟據(jù)不同的安全級(jí)別做出對(duì)應(yīng)的響應(yīng)，如阻斷并給出偽裝或告警信息。當(dāng)檢測(cè)到有持繼的攻擊流量時(shí)，WEB安全網(wǎng)關(guān)將會(huì)采取一系列的安全聯(lián)動(dòng)措施，如基于狀態(tài)的威脅識(shí)別和限時(shí)鎖定措施將入侵者進(jìn)行延時(shí)鎖定，或者及時(shí)將可疑攻擊通過(guò)郵件、短信、SNMP、Syslog通知安全管理員，及時(shí)采取安全措施，降低攻擊帶來(lái)的損失。日志審計(jì)與管理 日志分析與管理模塊作為安全產(chǎn)品與安全管理人員交互最為重要的接口，其日志審計(jì)貯存的形式、內(nèi)容和可提供的建議對(duì)安全管理員保持應(yīng)用系統(tǒng)長(zhǎng)期安全運(yùn)行起到重要作用。安全日志日志不僅為管理員提供威脅管理的平臺(tái)，同時(shí)也是安全取證和策略調(diào)整的依據(jù)。因此要求日志記錄的盡可能詳細(xì)和精確，并可根據(jù)審計(jì)的要求對(duì)特定數(shù)據(jù)進(jìn)行篩選和審計(jì)。WEB安全網(wǎng)關(guān)可提供定時(shí)報(bào)表和即時(shí)分析功能，通過(guò)分析有助于安全管理人員把握應(yīng)用系統(tǒng)安全現(xiàn)狀，及時(shí)調(diào)整安全策略，并針對(duì)威脅等級(jí)較高的攻擊進(jìn)行提醒，提出建議性解決辦法。訪問(wèn)日志W(wǎng)EB安全網(wǎng)關(guān)詳盡紀(jì)錄和有效統(tǒng)計(jì)用戶對(duì)Web應(yīng)用資源的訪問(wèn)，包括頁(yè)面點(diǎn)擊率、客戶端地址、客戶端類型、訪問(wèn)流量、訪問(wèn)時(shí)間、搜索引擎關(guān)鍵字等信息，實(shí)現(xiàn)有效的用戶行為跟蹤和訪問(wèn)統(tǒng)計(jì)分析。生成基于地區(qū)區(qū)域的訪問(wèn)統(tǒng)計(jì)，便于識(shí)別WEB應(yīng)用的訪問(wèn)群體是否符合預(yù)期，為應(yīng)用優(yōu)化提供指導(dǎo)。性能優(yōu)化方案應(yīng)用系統(tǒng)的可用性是構(gòu)成系統(tǒng)安全的重要組成部分，應(yīng)用系統(tǒng)訪問(wèn)延時(shí)、堵塞、服務(wù)中斷、性能急劇下降等都會(huì)導(dǎo)致系統(tǒng)可用性下降。對(duì)于公眾開放的應(yīng)用系統(tǒng)的可用性的安全等級(jí)通常放在首位。如何經(jīng)濟(jì)高效的保障應(yīng)用系統(tǒng)的可用性是管理人員在進(jìn)行安全規(guī)劃時(shí)的首要問(wèn)題。性能優(yōu)化方面，提供多種性能優(yōu)化方案供用戶選擇。站點(diǎn)集群技術(shù)在應(yīng)用系統(tǒng)設(shè)計(jì)開發(fā)階段融入Web安全的WEB應(yīng)用集群功能可以提高軟件開發(fā)的效率、取代由軟件實(shí)現(xiàn)站點(diǎn)集群的性能瓶頸和繁瑣的技術(shù)細(xì)節(jié)，提升整個(gè)應(yīng)用系統(tǒng)的性能。通過(guò)站點(diǎn)集群技術(shù)您可以實(shí)現(xiàn)站點(diǎn)網(wǎng)頁(yè)文件、圖片、媒體文件的分離與整合，也可以方便實(shí)現(xiàn)不同應(yīng)子系統(tǒng)的拆分。利用WEB安全網(wǎng)關(guān)還可以實(shí)現(xiàn)站點(diǎn)文本、圖片文件域名分離，從而提縮短用戶下載網(wǎng)頁(yè)的時(shí)間，提高用戶體驗(yàn)。圖WEB安全網(wǎng)關(guān)的集群服務(wù)負(fù)載均衡WEB安全網(wǎng)關(guān)提供高可用性、負(fù)載均衡以及基于HTTP應(yīng)用的代理，作為快速并且高可靠的一種負(fù)載均衡產(chǎn)品，WEB安全網(wǎng)關(guān)特別適用于那些負(fù)載特大的WEB站點(diǎn)，這些站點(diǎn)通常又需要會(huì)話保持或七層處理。圖WEB安全網(wǎng)關(guān)的負(fù)載均衡服務(wù)WEB安全網(wǎng)關(guān)提供成熟的負(fù)載均衡解決方案，支持的負(fù)載均衡模式有：平均分發(fā)、壓力分發(fā)、請(qǐng)求路徑分發(fā)、請(qǐng)求參數(shù)分發(fā)，并支持WEB應(yīng)用系統(tǒng)的會(huì)話保持功能、服務(wù)狀態(tài)監(jiān)測(cè)與故障切換功能。WEB加速基于現(xiàn)有環(huán)境的WEB加速功能可使用戶不改變現(xiàn)有環(huán)境的情況下提升訪問(wèn)WEB應(yīng)用的速度；WebCompress?引擎對(duì)Web應(yīng)用數(shù)據(jù)進(jìn)行實(shí)時(shí)智能壓縮，改善終端用戶性能，降低帶寬消耗。WebCache?引擎對(duì)靜態(tài)應(yīng)用內(nèi)容的高速緩存，顯著減少服務(wù)器負(fù)載。雙向TCP連接池和高效復(fù)用算法將上千短連接優(yōu)化為少量持久的服務(wù)器連接，減輕服務(wù)器壓力，改善服務(wù)器性能，提高應(yīng)用響應(yīng)速度，降低服務(wù)延遲。圖WEB安全網(wǎng)關(guān)的加速功能訪問(wèn)控制與SSL加速如果應(yīng)用系統(tǒng)需要對(duì)訪問(wèn)者身份進(jìn)行識(shí)別和授權(quán)，從而保障數(shù)據(jù)的機(jī)密性，此時(shí)可以使用WEB安全網(wǎng)關(guān)的訪問(wèn)控制功能以及SSL加功能。該功能特別適用于已經(jīng)交付使用的應(yīng)用系統(tǒng)，不需要修改程序代碼，通過(guò)WEB安全網(wǎng)關(guān)實(shí)現(xiàn)訪問(wèn)控制和SSL加速。如WEB站點(diǎn)的管理后臺(tái)通常直接暴露在外網(wǎng)，僅依賴于口令強(qiáng)度和簡(jiǎn)易的驗(yàn)證碼進(jìn)行訪問(wèn)控制，類似這種應(yīng)用可以通過(guò)WEB安全網(wǎng)關(guān)的訪問(wèn)控制功能實(shí)現(xiàn)身份識(shí)別和訪問(wèn)控制以提高應(yīng)用系統(tǒng)的安全性。WEB安全網(wǎng)關(guān)集成了SSL加密功能，應(yīng)用內(nèi)容在傳輸過(guò)程中都受加密保護(hù)，通過(guò)轉(zhuǎn)移服務(wù)器復(fù)雜的加/解密任務(wù)從而將應(yīng)用處理能力發(fā)揮到了極致。該功能使管理員能保護(hù)敏感應(yīng)用內(nèi)容的安全，使其擺脫被竊取及被濫用的潛在威脅。圖WEB安全網(wǎng)關(guān)的SSL認(rèn)證服務(wù)

運(yùn)維審計(jì)系統(tǒng)運(yùn)維審計(jì)系統(tǒng)，扮演著看門者的職責(zé)，所有對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器的請(qǐng)求都要從這扇大門經(jīng)過(guò)。網(wǎng)神運(yùn)維審計(jì)系統(tǒng)能夠攔截非法訪問(wèn)和惡意攻擊，對(duì)不合法命令進(jìn)行阻斷、過(guò)濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問(wèn)行為。產(chǎn)品功能超全的審計(jì)協(xié)議范圍網(wǎng)神運(yùn)維審計(jì)系統(tǒng)平臺(tái)采用協(xié)議分析、基于數(shù)據(jù)包還原虛擬化技術(shù)，實(shí)現(xiàn)操作界面模擬，將所有的操作轉(zhuǎn)換為圖形化界面予以展現(xiàn)，實(shí)現(xiàn)100%審計(jì)信息不丟失：針對(duì)運(yùn)維操作圖形化審計(jì)功能的展現(xiàn)外，同時(shí)還能對(duì)字符進(jìn)行分析，包括命令行操作的命令以及回顯信息和非字符型操作時(shí)鍵盤、鼠標(biāo)的敲擊信息。系統(tǒng)支持的審計(jì)協(xié)議以及工具包括：字符串操作：SSH/Telnet（工具：SecureCRT/Putty/Xshell）圖形操作：RDP/VNC/X11/pcAnywhere/DameWare等其他協(xié)議：FTP/SFTP/Http/Https等數(shù)據(jù)庫(kù)工具:Oracle/sqlserver/Mysql客戶端工具機(jī)制完善用戶管理權(quán)限平臺(tái)對(duì)用戶的管理權(quán)限嚴(yán)格分明，各司其職，分為系統(tǒng)管理員、審計(jì)管理員、運(yùn)維管理員、口令管理員四種管理員角色，平臺(tái)也支持管理員角色的自定義創(chuàng)建，對(duì)管理權(quán)限進(jìn)行細(xì)粒度設(shè)置，保障了平臺(tái)的用戶安全管理，以滿足審計(jì)需求平臺(tái)集用戶管理、身份認(rèn)證、資源授權(quán)、訪問(wèn)控制、操作審計(jì)為一體，有效地實(shí)現(xiàn)了事前預(yù)防、事中控制和事后審計(jì)。高度的靈活性和廣泛的適用性采用模塊化設(shè)計(jì)，單模塊故障不影響其他模塊使用，從而提高了平臺(tái)的健壯性、穩(wěn)定性，運(yùn)維人員登陸可支持Portal統(tǒng)一登錄，并兼容終端C/S客戶端連接設(shè)備；審計(jì)平臺(tái)的認(rèn)證方式可以與第三方的認(rèn)證設(shè)備進(jìn)行定制兼容。SSO單點(diǎn)登錄提供基于B/S的單點(diǎn)登錄系統(tǒng)，用戶通過(guò)訪問(wèn)WEB頁(yè)面一次登錄系統(tǒng)后，就可以無(wú)需認(rèn)證的訪問(wèn)被授權(quán)的多種基于B/S和C/S的應(yīng)用系統(tǒng)(如有需要，可實(shí)現(xiàn)C/S架構(gòu)系統(tǒng)的定制開發(fā))。單點(diǎn)登錄為具有多賬號(hào)的用戶提供了方便快捷的訪問(wèn)途經(jīng)，使用戶無(wú)需記憶多種登錄用戶ID和口令。它通過(guò)向用戶和客戶提供對(duì)其個(gè)性化資源的快捷訪問(wèn)提高工作效率。同時(shí)，由于系統(tǒng)自身是采用強(qiáng)認(rèn)證的系統(tǒng)，從而提高了用戶認(rèn)證環(huán)節(jié)的安全性。單點(diǎn)登錄可以實(shí)現(xiàn)與用戶授權(quán)管理的無(wú)縫鏈接，可以通過(guò)對(duì)用戶、角色、行為和資源的授權(quán)，增加對(duì)資源的保護(hù)和對(duì)用戶行為的監(jiān)控及審計(jì)。集中賬號(hào)管理集中賬號(hào)管理包含對(duì)所有服務(wù)器、網(wǎng)絡(luò)設(shè)備賬號(hào)的集中管理。賬號(hào)和資源的集中管理是集中授權(quán)、認(rèn)證和審計(jì)的基礎(chǔ)。集中賬號(hào)管理可以完成對(duì)賬號(hào)整個(gè)生命周期的監(jiān)控和管理，而且還降低了管理大量用戶賬號(hào)的難度和工作量。同時(shí)，通過(guò)統(tǒng)一的管理還能夠發(fā)現(xiàn)賬號(hào)中存在的安全隱患，并且制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶賬號(hào)安全策略。通過(guò)建立集中賬號(hào)管理，單位可以實(shí)現(xiàn)將賬號(hào)與具體的自然人相關(guān)聯(lián)。通過(guò)這種關(guān)聯(lián)，可以實(shí)現(xiàn)多級(jí)的用戶管理和細(xì)粒度的用戶授權(quán)。而且，還可以實(shí)現(xiàn)針對(duì)自然人的行為審計(jì)，以滿足審計(jì)的需要。集中身份認(rèn)證為用戶提供統(tǒng)一的認(rèn)證接口。采用統(tǒng)一的認(rèn)證接口不但便于對(duì)用戶認(rèn)證的管理，而且能夠采用更加安全的認(rèn)證模式，提高認(rèn)證的安全性和可靠性。集中身份認(rèn)證支持電子證書、WindowsAD域、WindowsKerberos、雙因素、動(dòng)態(tài)口令和生物特征識(shí)別等多種認(rèn)證方式，而且系統(tǒng)具有靈活的定制接口，可以方便的與第三方LDAP認(rèn)證服務(wù)器對(duì)接。統(tǒng)一資源授權(quán)提供統(tǒng)一的界面，對(duì)用戶、角色及行為和資源進(jìn)行授權(quán)，以達(dá)到對(duì)權(quán)限的細(xì)粒度控制，最大限度保護(hù)用戶資源的安全。通過(guò)集中訪問(wèn)授權(quán)和訪問(wèn)控制可以對(duì)用戶通過(guò)B/S、C/S對(duì)服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問(wèn)進(jìn)行審計(jì)和阻斷。在集中訪問(wèn)授權(quán)里強(qiáng)調(diào)的“集中”是邏輯上的集中，而不是物理上的集中。即在各網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)系統(tǒng)中可能擁有各自的權(quán)限管理功能，管理員也由各自的歸口管理部門委派，但是這些管理員在運(yùn)維審計(jì)系統(tǒng)上，可以對(duì)各自的管理對(duì)象進(jìn)行授權(quán)，而不需要進(jìn)入每一個(gè)被管理對(duì)象才能授權(quán)。授權(quán)的對(duì)象包括用戶、用戶角色、資源和用戶行為。系統(tǒng)不但能夠授權(quán)用戶可以通過(guò)什么角色訪問(wèn)資源這樣基于應(yīng)用邊界的粗粒度授權(quán)，對(duì)某些應(yīng)用還可以限制用戶的操作，以及在什么時(shí)間進(jìn)行操作等的細(xì)粒度授權(quán)。訪問(wèn)控制能夠提供細(xì)粒度的訪問(wèn)控制，最大限度保護(hù)用戶資源的安全。細(xì)粒度的命令策略是命令的集合，可以是一組可執(zhí)行命令，也可以是一組非可執(zhí)行的命令，該命令集合用來(lái)分配給具體的用戶，來(lái)限制其系統(tǒng)行為，管理員會(huì)根據(jù)其自身的角色為其指定相應(yīng)的控制策略來(lái)限定用戶。訪問(wèn)控制策略是保護(hù)系統(tǒng)安全性的重要環(huán)節(jié)，制定良好的訪問(wèn)策略能夠更好的提高系統(tǒng)的安全性?；诩?xì)粒度的訪問(wèn)控制下，做到：Who（誰(shuí)）：控制什么用戶允許操作Where（什么地點(diǎn)）：控制來(lái)源于什么地址的用戶允許訪問(wèn)什么資源When（什么時(shí)間）：控制在什么時(shí)間允許用戶操作What（做了什么）：控制用戶執(zhí)行的操作操作審計(jì)操作審計(jì)管理主要審計(jì)操作人員的賬號(hào)使用（登錄、資源訪問(wèn)）情況、資源使用情況等。在各服務(wù)器主機(jī)、網(wǎng)絡(luò)設(shè)備的訪問(wèn)日志記錄都采用統(tǒng)一的賬號(hào)、資源進(jìn)行標(biāo)識(shí)后，操作審計(jì)能更好地對(duì)賬號(hào)的完整使用過(guò)程進(jìn)行追蹤。系統(tǒng)支持對(duì)如下協(xié)議進(jìn)行審計(jì)：Telnet、FTP、SSH、RDP（WindowsTerminal）、Xwindows、VNC等。通過(guò)系統(tǒng)自身的用戶認(rèn)證系統(tǒng)、用戶授權(quán)系統(tǒng)，以及訪問(wèn)控制等詳細(xì)記錄整個(gè)會(huì)話過(guò)程中用戶的全部行為日志。還可以將產(chǎn)生的日志傳送給第三方。對(duì)于生成的日志支持豐富的查詢和操作：支持按服務(wù)器方式進(jìn)行查詢。通過(guò)對(duì)特定服務(wù)器地址進(jìn)行查詢，可以發(fā)現(xiàn)該服務(wù)器上發(fā)生的命令和行為。支持按用戶名方式進(jìn)行查詢。通過(guò)對(duì)用戶名進(jìn)行查詢，可以發(fā)現(xiàn)該用戶的所有行為。指標(biāo)指標(biāo)項(xiàng)規(guī)格要求系統(tǒng)架構(gòu)產(chǎn)品外觀標(biāo)準(zhǔn)2U機(jī)架式產(chǎn)品架構(gòu)軟硬件一體化產(chǎn)品部署方式旁路部署，不影響原有網(wǎng)絡(luò)結(jié)構(gòu)訪問(wèn)方式采用B/S結(jié)構(gòu)，采用HTTPS方式訪問(wèn)，無(wú)需安裝任何代理網(wǎng)絡(luò)接口6個(gè)10/100/1000自適應(yīng)以太網(wǎng)口，1個(gè)Console口，支持Console口管理；數(shù)據(jù)存儲(chǔ)系統(tǒng)標(biāo)配2T硬盤；性能要求并發(fā)會(huì)話數(shù)圖形并發(fā)會(huì)話數(shù)≥300,字符型并發(fā)會(huì)話數(shù)≥1000；本次采購(gòu)要求配置300個(gè)主機(jī)/設(shè)備審計(jì)節(jié)點(diǎn)許可；功能要求基礎(chǔ)功能提供運(yùn)維審計(jì)自身狀態(tài)的監(jiān)控功能，包括：cpu工作情況，內(nèi)存使用情況，磁盤使用情況，網(wǎng)卡使用情況，運(yùn)維審計(jì)自身數(shù)據(jù)庫(kù)工作情況，運(yùn)維審計(jì)自身WEB服務(wù)工作情況，運(yùn)維審計(jì)自身其他關(guān)鍵組件工作情況等?？梢允褂肳EB方式對(duì)運(yùn)維審計(jì)進(jìn)行重啟和關(guān)機(jī)?？梢詫?duì)運(yùn)維審計(jì)的時(shí)間進(jìn)行設(shè)置。支持運(yùn)維審計(jì)自身程序通過(guò)WEB方式升級(jí)。支持日志的備份、導(dǎo)出和恢復(fù)。支持雙機(jī)熱備。雙機(jī)熱備，實(shí)現(xiàn)數(shù)據(jù)同步。支持協(xié)議使用遠(yuǎn)程終端服務(wù)：例如telnet、rlogin、rsh、rexec、ssh之上的命令行接口（CLI）。使用文件傳輸協(xié)議：例如FTP等。使用遠(yuǎn)程窗口和桌面：例如Windows的遠(yuǎn)程桌面（RDP），和Unix的Xwindow。使用各種數(shù)據(jù)庫(kù)客戶端：例如各種數(shù)據(jù)庫(kù)的client程序、ODBC、JDBC，以及多種其它數(shù)據(jù)庫(kù)工具。服務(wù)器訪問(wèn)方式★▲Web訪問(wèn)方式：通過(guò)審計(jì)系統(tǒng)的Web管理頁(yè)面直接訪問(wèn)服務(wù)器（不需要安裝代理，無(wú)需安裝JDK等）。支持RDP、VNC、X11、SSH、TELNET、FTP等訪問(wèn)協(xié)議?？蛻舳朔绞街С諶DP、VNC、X11、SSH、TELENT、FTP、SFTP、Oracle、MySQL、sybase等。支持客戶端（SecureCRT、putty）clonesession功能，能夠直接clone到目標(biāo)服務(wù)器的訪問(wèn)會(huì)話。登錄菜單訪問(wèn)：客戶端訪問(wèn)審計(jì)系統(tǒng)即可顯示用戶能訪問(wèn)的資源清單菜單，用戶通過(guò)字符菜單活圖形菜單選擇方式直接訪問(wèn)服務(wù)器。菜單訪問(wèn)方式支持RDP、VNC、X11、SSH、TELNET、FTP等協(xié)議。支持WinodwsAD域功能。操作行為記錄對(duì)SSH、Telnet、Rlogin、FTP/SFTP、數(shù)據(jù)庫(kù)操作進(jìn)行審計(jì)。記錄發(fā)生時(shí)間、源IP、目標(biāo)IP、源端口、目標(biāo)端口、操作指令、運(yùn)維審計(jì)系統(tǒng)用戶、目標(biāo)服務(wù)器賬號(hào)、訪問(wèn)結(jié)果等消息。對(duì)RDP、VNC、X11等圖形終端操作的連接情況進(jìn)行記錄及審計(jì)，消息記錄訪問(wèn)開始時(shí)間、源IP、目標(biāo)IP、源端口、目標(biāo)端口、運(yùn)維審計(jì)系統(tǒng)用戶、目標(biāo)服務(wù)器賬號(hào)等信息。能夠記錄RDP協(xié)議中的活動(dòng)窗口名稱、刪除文件等動(dòng)作，并能記錄RDP會(huì)話中的鍵盤輸入信息。會(huì)話過(guò)程回放支持倍速/低速播放、拖拽、暫停、停止、重新播放等播放控制操作。身份認(rèn)證及訪問(wèn)授權(quán)支持多種認(rèn)證方式：密碼、動(dòng)態(tài)口令、指紋識(shí)別。支持SSO單點(diǎn)登錄功能，使用人員不需要知道服務(wù)器賬號(hào)及密碼，無(wú)需進(jìn)行二次登錄認(rèn)證。支持限制運(yùn)維用戶訪問(wèn)源IP功能。授權(quán)分為運(yùn)維審計(jì)管理功能授權(quán)和資源訪問(wèn)授權(quán)。內(nèi)部管理功能授權(quán)可以限制到某個(gè)樹形節(jié)點(diǎn)的范圍內(nèi)。支持授權(quán)的流程管理。支持流程申請(qǐng)人、審批人、執(zhí)行人的委派。授權(quán)需要申請(qǐng)人定義申請(qǐng)單，發(fā)起事件申請(qǐng)；事件可以多人審批，審批人收到申請(qǐng)后可以同意或拒絕申請(qǐng)，同意時(shí)可以指定執(zhí)行人進(jìn)行實(shí)際的管理動(dòng)作的執(zhí)行。支持按用戶組、主機(jī)組方式進(jìn)行訪問(wèn)授權(quán)。運(yùn)維審計(jì)內(nèi)部管理功能權(quán)限支持角色定義，角色可以針對(duì)目錄樹的節(jié)點(diǎn)定義，從而使角色即可以限制能夠使用的功能項(xiàng)，也達(dá)到角色權(quán)限只在某個(gè)樹形節(jié)點(diǎn)范圍內(nèi)生效。資源管理能夠添加、修改、刪除被管資源。支持資源的分組管理，分組可以樹形方式展現(xiàn)，不限制分組層級(jí)數(shù)量。資源類型支持Windows主機(jī)、域控主機(jī)、域控內(nèi)主機(jī)、Unix主機(jī)、各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、網(wǎng)元、數(shù)據(jù)庫(kù)等。支持資源接入的流程管理，支持流程申請(qǐng)人、審批人、執(zhí)行人的委派。資源的接入需要申請(qǐng)人定義申請(qǐng)單，發(fā)起事件申請(qǐng)；事件可以多人審批，審批人收到申請(qǐng)后可以同意或拒絕申請(qǐng)，同意時(shí)可以指定執(zhí)行人進(jìn)行實(shí)際的管理動(dòng)作的執(zhí)行。產(chǎn)品自帶SSO單點(diǎn)登錄控件，運(yùn)維工作站不需要安裝部署SecureCRT、SSHClient等終端仿真程序，即可通過(guò)SSH、TELNET、FTP、VNC、XWINDOW等網(wǎng)管協(xié)議對(duì)資源進(jìn)行運(yùn)維操作。對(duì)于數(shù)據(jù)庫(kù)、web、專用C/S客戶端程序支持以應(yīng)用發(fā)布的方式進(jìn)行授權(quán)和審計(jì)。訪問(wèn)控制及異常告警支持根據(jù)IP地質(zhì)、時(shí)間、用戶名、操作指令等內(nèi)容設(shè)定安全時(shí)間規(guī)則。支持黑、白名單控制，可根據(jù)黑白名單的命令集限制用戶的操作權(quán)限。對(duì)違規(guī)的事件進(jìn)行告警及自動(dòng)阻斷。客戶端地址策略可以應(yīng)用于主帳號(hào)，也可以應(yīng)用于從帳號(hào)。實(shí)時(shí)監(jiān)控支持實(shí)時(shí)審計(jì)。操作人員對(duì)于資源的訪問(wèn)，審計(jì)員可以實(shí)施查看。實(shí)時(shí)會(huì)話監(jiān)控列表:顯示會(huì)話連接狀態(tài)。顯示會(huì)話來(lái)源、目標(biāo)地址、賬號(hào)及訪問(wèn)人信息。同步監(jiān)控操作過(guò)程：支持對(duì)操作過(guò)程進(jìn)行同步監(jiān)控，執(zhí)行會(huì)話回放、監(jiān)控和阻斷操作。系統(tǒng)狀態(tài)監(jiān)控：實(shí)時(shí)監(jiān)控審計(jì)系統(tǒng)CPU、內(nèi)存、磁盤的使用情況。審計(jì)系統(tǒng)監(jiān)控：記錄審計(jì)系統(tǒng)自身的管理操作，保障審計(jì)系統(tǒng)自身安全。組態(tài)報(bào)表系統(tǒng)具備組態(tài)報(bào)表功能，支持用戶自定義報(bào)表模板，可以通過(guò)制定動(dòng)態(tài)模板、靜態(tài)模板，可以對(duì)各種數(shù)據(jù)進(jìn)行組合查詢。查詢結(jié)果可以導(dǎo)出TXT、HTML、XLS等多種格式報(bào)表文件。用命令關(guān)鍵字進(jìn)行審計(jì)結(jié)果查詢時(shí)，可以同時(shí)輸入多個(gè)命令，為多命令查詢提供便利。按照預(yù)設(shè)統(tǒng)計(jì)報(bào)表模板和命令關(guān)鍵字等條件進(jìn)行查詢統(tǒng)計(jì)時(shí)，可以同時(shí)輸入多個(gè)命令，為多命令的統(tǒng)計(jì)報(bào)表提供便利。支持以html或Excel方式輸出。支持自定義模板，支持二次開發(fā)定制報(bào)表。對(duì)外接口可以將審計(jì)日志以SYSLOG方式外發(fā)，支持SYSLOG發(fā)送的目標(biāo)和端口。對(duì)所有審計(jì)日志提供外發(fā)接口，可以配置只外發(fā)字符審計(jì)，也可以配置外發(fā)所有審計(jì)（將字符和圖形錄像的審計(jì)日志外發(fā)其他設(shè)備），并且可以配置對(duì)端端口。支持認(rèn)證接口，可以配置認(rèn)證服務(wù)器地址和端口。系統(tǒng)擴(kuò)展支持4A擴(kuò)展，可以將審計(jì)日志輸出到4A平臺(tái)。資質(zhì)要求▲廠商資質(zhì)要求廠商具備國(guó)家保密局頒發(fā)的《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)證書》（甲級(jí)）；廠商為“信息安全等級(jí)保護(hù)關(guān)鍵技術(shù)國(guó)家工程實(shí)驗(yàn)室”參建單位之一，要求提供相關(guān)證明文件；廠商為互聯(lián)網(wǎng)安全研究中心應(yīng)用安全聯(lián)盟會(huì)員，提供會(huì)員編號(hào)證明；廠商通過(guò)ISO20000信息技術(shù)服務(wù)管理體系認(rèn)證，要求提供證明文件；廠商具備國(guó)家信息安全測(cè)評(píng)信息安全服務(wù)資質(zhì)（安全開發(fā)類一級(jí)）；廠商具備中國(guó)信息安全產(chǎn)品測(cè)評(píng)中心頒發(fā)的《國(guó)家信息安全認(rèn)證信息安全服務(wù)資質(zhì)證書》（安全工程類二級(jí)）；產(chǎn)品資質(zhì)要求公安部計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證；國(guó)家版權(quán)局計(jì)算機(jī)軟件著作權(quán)登記證書；上網(wǎng)行為管理系統(tǒng)產(chǎn)品功能規(guī)劃用戶分組結(jié)構(gòu)為了給不同用戶、不同部門授予差異化的互聯(lián)網(wǎng)訪問(wèn)權(quán)限，包括差異化的行為審計(jì)策略，首先要規(guī)劃和建立組織的用戶分組結(jié)構(gòu)?？梢酝耆凑战M織的行政架構(gòu)在AC上建立樹形用戶分組結(jié)構(gòu)，實(shí)現(xiàn)父組、子組、組內(nèi)套組等要求。在完成用戶組的創(chuàng)建后，即可創(chuàng)建用戶，并將用戶分配到指定的用戶組中，以實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)權(quán)限的授予與繼承。用戶創(chuàng)建的過(guò)程簡(jiǎn)單方便，除手工輸入帳戶方式外，AC還能夠根據(jù)OU或Group讀取AD域控服務(wù)器上用戶組織結(jié)構(gòu)，并保持與AD的自動(dòng)同步，方便管理者維護(hù)AD這一套組織結(jié)構(gòu)。另外AC也支持賬戶自動(dòng)創(chuàng)建功能，基于新用戶的源IP地址段自動(dòng)將其添加到指定用戶組、同時(shí)綁定IP/MAC等，繼承指定的網(wǎng)絡(luò)權(quán)限，方便了管理者和權(quán)限的控制。用戶帳號(hào)還支持生效時(shí)間的設(shè)定、支持多人共用同一帳號(hào)等，豐富的帳號(hào)策略使得管理者可以自由的根據(jù)實(shí)際情況合理調(diào)整。如果管理員已經(jīng)將用戶信息匯總到Excel、TXT等文件中，那么他將通過(guò)AC的賬戶導(dǎo)入功能更加快捷的創(chuàng)建用戶和分組信息。分析網(wǎng)絡(luò)流量通常組織的互聯(lián)網(wǎng)帶寬比較有限，即使充裕，如果員工網(wǎng)絡(luò)行為不規(guī)范，IT管理者仍然飽受抱怨：網(wǎng)絡(luò)太慢、業(yè)務(wù)系統(tǒng)訪問(wèn)遲緩、頁(yè)面遲遲打不開等，IT管理者需要確知組織帶寬的使用情況，這正是AC所能給您帶來(lái)的價(jià)值體現(xiàn)：登陸AC控制臺(tái)后，管理員可以直觀查看流量曲線圖、當(dāng)前流量TOP10應(yīng)用等，并可通過(guò)AC的數(shù)據(jù)中心進(jìn)一步詳細(xì)查看、統(tǒng)計(jì)昨天或指定時(shí)間段的流量情況。管理員可以統(tǒng)計(jì)指定時(shí)間段指定分組或用戶的流量情況，通過(guò)餅狀圖、柱狀圖、曲線圖等直觀展現(xiàn)；還可基于用戶進(jìn)行上行流量、下行流量、總流量等排名，找到流量最活躍的員工。如果您是一位大型機(jī)構(gòu)的CIO或CEO，您需要面對(duì)的問(wèn)題將遠(yuǎn)不止這些，而AC數(shù)據(jù)中心的功能需要您親身體驗(yàn)和掌握。當(dāng)您面對(duì)數(shù)據(jù)中心的Web頁(yè)面，通過(guò)幾次鼠標(biāo)點(diǎn)擊就發(fā)現(xiàn)網(wǎng)絡(luò)及管理中存在的問(wèn)題時(shí)，您將感受到領(lǐng)先技術(shù)帶來(lái)的極富樂(lè)趣的用戶體驗(yàn)。優(yōu)化和分配帶寬資源組織如何獲得更充足的互聯(lián)網(wǎng)帶寬呢？AC通過(guò)多線路復(fù)用、帶寬疊加（專利號(hào)：200310112006X）技術(shù)，可同時(shí)連接4條互聯(lián)網(wǎng)線路。而只要您同時(shí)連接電信和網(wǎng)通線路于AC，AC的多線路智能選路技術(shù)（專利號(hào)：ZL03113974.4），將為員工的Internet流量自動(dòng)優(yōu)選最佳出口，解決跨運(yùn)營(yíng)商的帶寬瓶頸問(wèn)題，同時(shí)兼具負(fù)載均衡、線路備份等功能，大幅提升訪問(wèn)速度和可靠性。組織有限的帶寬往往被大量非業(yè)務(wù)流量所擠占，尤其BT、電騾等P2P行為嚴(yán)重吞噬帶寬；AC不僅為管理員提供了強(qiáng)大的應(yīng)用封堵手段（如直接禁止指定用戶的P2P行為），更可在允許用戶使用P2P時(shí)限制P2P占用的帶寬，另外可以為指定用戶、用戶組每天、每月的總上網(wǎng)流量進(jìn)行限制，靈活的管理方法充分滿足組織在上網(wǎng)行為管理上的復(fù)雜需要。除了限制非業(yè)務(wù)應(yīng)用對(duì)帶寬的占用，同時(shí)要保證業(yè)務(wù)應(yīng)用的帶寬需求。得益于AC強(qiáng)大的應(yīng)用識(shí)別能力（目前超過(guò)20個(gè)大類、300多條識(shí)別規(guī)則），AC基于出口鏈路、用戶/用戶組、應(yīng)用類型、網(wǎng)站類型、文件類型、時(shí)間段實(shí)現(xiàn)精細(xì)、智能的帶寬劃分與分配策略，使得管理員擁有能夠充分保障組織業(yè)務(wù)所需帶寬的各種管理手段。網(wǎng)頁(yè)訪問(wèn)控制網(wǎng)頁(yè)瀏覽是員工主要互聯(lián)網(wǎng)行為之一，與工作無(wú)關(guān)的上網(wǎng)行為給組織帶來(lái)巨大的損失。AC內(nèi)置千萬(wàn)級(jí)預(yù)分類URL地址庫(kù)，并經(jīng)專人人工審核分類，包含互聯(lián)網(wǎng)上各類涉及色情、反動(dòng)、暴力等站點(diǎn)。由于互聯(lián)網(wǎng)的容量爆炸性增長(zhǎng)，Google聲稱互聯(lián)網(wǎng)獨(dú)立網(wǎng)址超過(guò)一萬(wàn)億個(gè)，采用靜態(tài)URL庫(kù)顯然不夠，因此AC還支持基于內(nèi)容的過(guò)濾手段，包括過(guò)濾用戶通過(guò)搜索引擎搜索的指定關(guān)鍵字、過(guò)濾包含指定關(guān)鍵字的網(wǎng)頁(yè)、過(guò)濾含指定關(guān)鍵字的URL地址等。而結(jié)合了人工智能的網(wǎng)頁(yè)智能分析系統(tǒng)（IntelligentWebpageAnalysisSystem,IWAS）能夠根據(jù)網(wǎng)址、正文內(nèi)容、關(guān)鍵字、代碼特征等對(duì)網(wǎng)頁(yè)進(jìn)行智能分類，并且具備自我學(xué)習(xí)和自我修正能力，可以依據(jù)管理者定義進(jìn)行任意URL分類的識(shí)別和過(guò)濾，真正幫助組織完善網(wǎng)頁(yè)訪問(wèn)行為的管理。管理IM即時(shí)通訊工具權(quán)威統(tǒng)計(jì)顯示國(guó)內(nèi)網(wǎng)民最常使用的IM工具依次為QQ、飛信、MSN、Skype。辦公室內(nèi)IM聊天、影音文件分享、甚至游戲?qū)?zhàn)屢見不鮮，而QQ病毒、MSN蠕蟲也讓IT管理者記憶猶新，如何有效管理IM工具？借助現(xiàn)有防火墻等傳統(tǒng)手段封堵IM并不奏效。以下是AC提供的對(duì)IM從禁止、監(jiān)管、再到安全防御的解決方案。禁止AC深度內(nèi)容檢測(cè)技術(shù)根據(jù)應(yīng)用協(xié)議數(shù)據(jù)包特征字段全面封堵各種IM工具，包括QQ、MSN、新浪UC、網(wǎng)易泡泡、YahooMessenger、Skype、ICQ、GoogleTalk、飛信等；即使IM軟件將數(shù)據(jù)包封裝到80、443等端口傳輸，AC亦可區(qū)別IM流量和正常的Http、Https，從而有效管理IM的使用。同時(shí)AC可實(shí)現(xiàn)允許指定部門/用戶（如市場(chǎng)部）通過(guò)IM與客戶溝通，但禁止IM傳文件、IM語(yǔ)音視頻通話、玩IM游戲等，輕松、靈活管控IM。監(jiān)管QQ、飛信、MSNShell、Skype等越來(lái)越多的IM聊天內(nèi)容是加密的，如果不能記錄將是上網(wǎng)行為管理的最大漏洞之一。AC的聊天內(nèi)容同步偵聽（Real-timeMonitorforMessages,RMM)技術(shù)能夠記錄各種加密聊天內(nèi)容，這在業(yè)界是屈指可數(shù)的，領(lǐng)先的技術(shù)使得深信服研發(fā)部門能夠快速跟進(jìn)任何一款新推出的IM工具，并推出針對(duì)性的升級(jí)策略使得AC支持對(duì)各種新IM工具的聊天監(jiān)控功能。強(qiáng)大的功能往往涉及個(gè)人隱私，我們建議使用AC前在組織內(nèi)發(fā)出通知，提醒員工他們?cè)诠ぷ鲿r(shí)間發(fā)生的網(wǎng)絡(luò)行為是可以被監(jiān)控到的。安全防御IM好友發(fā)來(lái)的URL鏈接、文件等，可能將病毒、木馬、流氓軟件送入內(nèi)網(wǎng)，這也是組織已經(jīng)購(gòu)買防火墻、部署殺毒軟件后仍然病毒層出不窮的原因之一：堡壘從內(nèi)部被攻破了！AC的深度內(nèi)容檢測(cè)技術(shù)能夠禁止用戶使用IM傳遞文件，IM好友發(fā)送的URL地址，員工打開過(guò)程中將被AC過(guò)濾和控制。另外，管理員也可以啟用AC的網(wǎng)關(guān)殺毒功能從源頭上查殺病毒、蠕蟲，此內(nèi)容將在后述部分詳解?？刂艬T等P2P行為封種子服務(wù)器IP、封種子資源網(wǎng)站、封端口的P2P管理方式讓管理員忙的焦頭爛額卻得不到滿意的效果。有效的P2P管控方法包括應(yīng)用協(xié)議分析和P2P行為智能檢測(cè)技術(shù)，AC同時(shí)支持這兩種技術(shù)。常用、普及的P2P軟件，AC深度內(nèi)容檢測(cè)技術(shù)實(shí)現(xiàn)對(duì)其管控和封堵。截止本文檔編寫時(shí)，AC通過(guò)深度內(nèi)容檢測(cè)技術(shù)可以封堵P2P流媒體55個(gè)，其他P2P應(yīng)用27個(gè)。盡管已經(jīng)內(nèi)置了豐富的P2P識(shí)別規(guī)則，但新的P2P應(yīng)用層出不窮，員工可以從網(wǎng)絡(luò)上獲得各種P2P工具，還有更多不常見和未來(lái)可能出現(xiàn)的P2P軟件如何管控？AC采用網(wǎng)絡(luò)行為智能分析技術(shù)(NetworkBehaviorsIntelligenceAnalysis,NBIA），基于統(tǒng)計(jì)學(xué)分析原理，實(shí)現(xiàn)對(duì)各種P2P的智能識(shí)別和封堵，為用戶提供了一勞永逸的P2P管控解決方案。盡管AC提供了徹底封堵P2P的方案，但粗暴禁止P2P可能招致員工反感，在某些情況下個(gè)別部門或員工可能需要使用P2P進(jìn)行文件共享等，此時(shí)AC的P2P流控功能完美的滿足了管理上的靈活要求，利用此功能，AC可以針對(duì)不同部門、不同時(shí)間段、限制不同P2P應(yīng)用占用的帶寬，且可管控部門內(nèi)每個(gè)員工P2P行為對(duì)帶寬的占用情況（“3.4優(yōu)化和分配帶寬資源”已詳細(xì)說(shuō)明AC針對(duì)應(yīng)用的帶寬劃分和分配）?？刂破渌W(wǎng)絡(luò)應(yīng)用行為員工的上網(wǎng)行為遠(yuǎn)不止此，管理者還需關(guān)注在線炒股、網(wǎng)絡(luò)游戲、在線視頻（RTSP、MMS、Flash、RealMedia等）等。AC已經(jīng)包括300多條常見應(yīng)用的識(shí)別和管控規(guī)則，并定期從深信服公司網(wǎng)站上自動(dòng)更新最新識(shí)別庫(kù)。同時(shí)AC允許有編程基礎(chǔ)的網(wǎng)絡(luò)管理員自行添加、修改和導(dǎo)入自定義的網(wǎng)絡(luò)應(yīng)用識(shí)別規(guī)則。這相對(duì)于絕大多數(shù)其他廠商僅提供給管理者根據(jù)IP和端口封堵應(yīng)用的方式更加靈活和徹底。對(duì)于局域網(wǎng)內(nèi)出現(xiàn)的AC未能識(shí)別和控制的新應(yīng)用，管理員如果無(wú)法自行編制對(duì)應(yīng)的識(shí)別策略，僅需將所需控制的應(yīng)用程序名稱、版本號(hào)以及下載地址提交給深信服客服中心，我們將在三個(gè)工作日內(nèi)提供最新的識(shí)別策略，并幫助用戶完成對(duì)該應(yīng)用的封堵和管控。防泄密和法律風(fēng)險(xiǎn)內(nèi)網(wǎng)員工無(wú)意或有意將組織機(jī)密信息泄露到互聯(lián)網(wǎng)甚至競(jìng)爭(zhēng)對(duì)手，或向論壇BBS發(fā)布不負(fù)責(zé)的言論、網(wǎng)絡(luò)造謠等，將給組織帶來(lái)泄密和法律風(fēng)險(xiǎn)。AC不僅能過(guò)濾、記錄員工通過(guò)Mail（包括Webmail）、BBS、Blog、QQ空間等工具發(fā)布的網(wǎng)絡(luò)言論，還能實(shí)時(shí)報(bào)警。即使通過(guò)Telnet訪問(wèn)部分BBS網(wǎng)站，所有輸入的Telnet命令和內(nèi)容，AC都能詳細(xì)記錄。對(duì)于使用HTTP、FTP等方式傳送文件所引發(fā)的風(fēng)險(xiǎn)（如將研發(fā)部的核心代碼發(fā)送出去），AC首先可以禁止用戶使用HTTP、FTP上傳下載指定類型的文件，對(duì)于上傳的文件AC也可以全面記錄文件內(nèi)容，做到有據(jù)可查。而外發(fā)Email潛在的泄密風(fēng)險(xiǎn)通過(guò)AC的郵件延遲審計(jì)（PostponedSendingafterAudit,PSA）技術(shù)，根據(jù)管理員預(yù)設(shè)條件，將潛在的泄密郵件先攔截，經(jīng)人工審核后再發(fā)送，保障組織信息資產(chǎn)安全。但存心的泄密者通常會(huì)更改文件后綴名、刪除后綴名、壓縮、加密等，再通過(guò)Email外發(fā)、或通過(guò)HTTP、FTP上傳，AC對(duì)以上行為同樣可以識(shí)別并報(bào)警，徹底避免因外發(fā)文件而產(chǎn)生的泄密風(fēng)險(xiǎn)。日志審計(jì)和報(bào)表中心內(nèi)網(wǎng)用戶的所有上網(wǎng)行為AC都能夠記錄以滿足公安部82號(hào)令的要求。AC可針對(duì)不同用戶(組)進(jìn)行差異化的行為記錄和審計(jì)，包括網(wǎng)頁(yè)訪問(wèn)行為、網(wǎng)絡(luò)發(fā)帖、Email、文件傳輸、QQ游戲行為、大智慧炒股行為、QQLive在線影音行為等，并且包含該行為的流量信息等。但CEO等高層領(lǐng)導(dǎo)的網(wǎng)絡(luò)行為可能涉及組織的重要機(jī)密（如CEO與供應(yīng)商的郵件），不應(yīng)該被記錄。AC“免審計(jì)Key”從技術(shù)上徹底免除行為記錄，只要將“免審計(jì)Key”插入計(jì)算機(jī)USB接口并輸入對(duì)應(yīng)PIN碼，該用戶的任何網(wǎng)絡(luò)行為都免除記錄，消除高層領(lǐng)導(dǎo)的憂慮。大型組織60天將產(chǎn)生數(shù)百G行為日志通過(guò)AC獨(dú)立數(shù)據(jù)中心實(shí)現(xiàn)海量存儲(chǔ)，并通過(guò)豐富報(bào)表工具方便日志的操作，報(bào)表工具主要包括：內(nèi)置超過(guò)60多種報(bào)表模板，并支持用戶自定義報(bào)表。對(duì)比報(bào)表：匯總對(duì)比、指定用戶組的對(duì)比、指定用戶的對(duì)比、指定IP的對(duì)比等；統(tǒng)計(jì)模板：上網(wǎng)流量統(tǒng)計(jì)、上網(wǎng)行為統(tǒng)計(jì)、病毒信息統(tǒng)計(jì)、上網(wǎng)時(shí)間統(tǒng)計(jì)等；趨勢(shì)：流量趨勢(shì)、行為趨勢(shì)、IM趨勢(shì)、郵件趨勢(shì)、炒股趨勢(shì)等；查詢工具：流量查詢、行為查詢、時(shí)間查詢、病毒日志查詢、安全日志查詢、操作日志查詢等；內(nèi)容檢索：網(wǎng)頁(yè)搜索、郵件搜索、IM搜索、關(guān)鍵字搜索、Webmail/BBS搜索等如何防止非授權(quán)人員訪問(wèn)數(shù)據(jù)中心并窺探或惡意傳播他人上網(wǎng)行為日志，甚至導(dǎo)致員工對(duì)IT管理者的誤解和埋怨？AC的“數(shù)據(jù)中心認(rèn)證Key”技術(shù)，保證只有插入該key的管理員才能審計(jì)他人行為日志，否則將只能查看統(tǒng)計(jì)報(bào)表、趨勢(shì)圖線等，確保日志不被濫用。產(chǎn)品的技術(shù)優(yōu)勢(shì)單點(diǎn)登錄技術(shù)AC的單點(diǎn)技術(shù)(SingleSignOn,SSO)將避免用戶重復(fù)輸入帳號(hào)密碼的繁瑣操作。AC支持LDAP、POP3、PROXY單點(diǎn)登錄。尤其AC無(wú)需用戶安裝任何客戶端軟件即實(shí)現(xiàn)LDAP單點(diǎn)登錄，對(duì)用戶完全透明。內(nèi)網(wǎng)用戶采用域賬號(hào)登陸Windows系統(tǒng)后，即可自動(dòng)通過(guò)AC認(rèn)證，而且支持不使用域帳號(hào)登錄Windows系統(tǒng)即禁止其訪問(wèn)互聯(lián)網(wǎng)。AC的POP3、PROXY單點(diǎn)登錄功能啟用后，內(nèi)網(wǎng)員工只需收發(fā)一下Email、或觸發(fā)PROXY服務(wù)器的認(rèn)證后，也將自動(dòng)通過(guò)AC認(rèn)證，極大的方便了用戶的使用。P2P智能識(shí)別能夠全面識(shí)別P2P行為是進(jìn)一步管控的基礎(chǔ)。對(duì)P2P的管控包括封堵和流控兩方面，既可全面禁止指定用戶使用P2P軟件，也可允許其使用但對(duì)P2P行為占用的帶寬資源進(jìn)行限制和管理，從而既優(yōu)化帶寬資源的使用，又為員工提供了人性化的管理方式。代理服務(wù)器識(shí)別對(duì)于通過(guò)ProxyServer代理上網(wǎng)的情況，AC可以很好地適應(yīng)并發(fā)揮其作用。AC的深度內(nèi)容檢測(cè)技術(shù)識(shí)別用戶數(shù)據(jù)中包含代理信息后，通過(guò)代理識(shí)別模塊可以識(shí)別從用戶端發(fā)送到達(dá)代理服務(wù)器之間的應(yīng)用數(shù)據(jù)，進(jìn)而對(duì)用戶的網(wǎng)絡(luò)行為進(jìn)行管控和記錄。最全面的應(yīng)用識(shí)別AC多種應(yīng)用識(shí)別技術(shù)，全面識(shí)別各種應(yīng)用、進(jìn)而管控和審計(jì)。主要包括：URL識(shí)別：千萬(wàn)級(jí)靜態(tài)URL庫(kù)、搜索引擎輸入關(guān)鍵字過(guò)濾、基于正文關(guān)鍵字過(guò)濾明文網(wǎng)頁(yè)、SSL證書驗(yàn)證技術(shù)過(guò)濾加密網(wǎng)頁(yè)、網(wǎng)頁(yè)智能分析系統(tǒng)IWAS從容應(yīng)對(duì)互聯(lián)網(wǎng)上數(shù)以萬(wàn)億的網(wǎng)頁(yè)。文件類型識(shí)別：識(shí)別并過(guò)濾HTTP、FTP方式上傳下載的文件，即使惡意用戶刪除文件擴(kuò)展名、篡改擴(kuò)展名、壓縮、加密后再上傳，同樣能識(shí)別和報(bào)警。深度內(nèi)容檢測(cè)：IM聊天、在線炒股、網(wǎng)絡(luò)游戲、在線流媒體、P2P應(yīng)用、Email、常用TCP/IP協(xié)議等，基于數(shù)據(jù)包特征精準(zhǔn)識(shí)別，且支持管理員自行定義新規(guī)則，以及深信服科技及時(shí)更新和快速響應(yīng)。智能識(shí)別：種類泛濫的P2P行為，靜態(tài)“應(yīng)用識(shí)別規(guī)則”已經(jīng)捉襟見肘，通過(guò)P2P智能識(shí)別，識(shí)別不常見、未來(lái)可能出現(xiàn)的P2P行為，進(jìn)而封堵、流控和審計(jì)。通過(guò)強(qiáng)大的應(yīng)用識(shí)別技術(shù)，無(wú)論網(wǎng)頁(yè)訪問(wèn)行為、文件傳輸行為、郵件行為、應(yīng)用行為等AC都能幫助組織實(shí)現(xiàn)對(duì)上網(wǎng)行為的封堵、流控、審計(jì)等管理。海量日志快速檢索記錄員工網(wǎng)絡(luò)行為，不僅滿足公安部82號(hào)令等法律要求，又做到了有據(jù)可查。大型組織每天產(chǎn)生數(shù)G的日志數(shù)據(jù)，通過(guò)AC的外置數(shù)據(jù)中心實(shí)現(xiàn)了海量存儲(chǔ)，而且提供了圖形化的日志查詢、統(tǒng)計(jì)、審計(jì)、報(bào)表中心等功能。組織通過(guò)AC的外置數(shù)據(jù)中心保存了上百G的海量日志信息，而一旦發(fā)生關(guān)鍵事件或管理者需要從大量日志信息中快速檢索獲取其感興趣的內(nèi)容，卻難以快速?gòu)暮Ａ咳罩局邪l(fā)現(xiàn)期望得到的數(shù)據(jù)。AC內(nèi)置了強(qiáng)大的數(shù)據(jù)中心內(nèi)容檢索系統(tǒng)，利用類似Google的先進(jìn)搜索技術(shù)，從高達(dá)幾百G的海量數(shù)據(jù)中通過(guò)多個(gè)關(guān)鍵字快速搜索指定內(nèi)容，并且支持對(duì)Email附件正文內(nèi)容的檢索、支持高級(jí)檢索，支持訂閱和自動(dòng)Email投遞功能，極大的方便了管理者的使用。異常流量感知隨用戶互聯(lián)網(wǎng)訪問(wèn)、移動(dòng)存儲(chǔ)設(shè)備的使用、以及局域網(wǎng)內(nèi)其他終端的感染導(dǎo)致用戶終端設(shè)備往往存在木馬、間諜軟件、遠(yuǎn)程控制軟件等威脅。此類惡意軟件為了藏匿自己的行蹤往往通過(guò)常用的TCP80、443、25、110等端口與互聯(lián)網(wǎng)控制端交互數(shù)據(jù)，這使得組織的信息安全、資產(chǎn)安全、網(wǎng)絡(luò)安全等無(wú)法保障。AC的異常流量感知技術(shù)正是對(duì)于以上異常流量行為進(jìn)行識(shí)別并報(bào)警，幫助IT管理者主動(dòng)發(fā)現(xiàn)組織內(nèi)網(wǎng)潛藏的安全威脅，提升組織內(nèi)網(wǎng)可靠性和可用性。

數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)（防統(tǒng)方系統(tǒng)）數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)是一款專業(yè)的實(shí)時(shí)的數(shù)據(jù)庫(kù)審計(jì)產(chǎn)品，能夠多角度分析數(shù)據(jù)庫(kù)活動(dòng)，并對(duì)異常的行為進(jìn)行告警通知、審計(jì)記錄和事后追蹤分析。該系統(tǒng)獨(dú)立于數(shù)據(jù)庫(kù)進(jìn)行配置和部署，這種方式能夠在不影響數(shù)據(jù)庫(kù)的前提下達(dá)到安全管理的目的。產(chǎn)品概述產(chǎn)品的系統(tǒng)架構(gòu)如下圖所示：網(wǎng)絡(luò)引擎：是系統(tǒng)的核心組件，主要負(fù)責(zé)處理對(duì)數(shù)據(jù)庫(kù)訪問(wèn)流量及SQL語(yǔ)句的解析，包括流量采集加速、數(shù)據(jù)捕獲、協(xié)議識(shí)別、協(xié)議解析、SQL語(yǔ)句重寫與分類、數(shù)據(jù)庫(kù)入侵檢測(cè)等功能模塊；審計(jì)中心：主要負(fù)責(zé)對(duì)審計(jì)日志、告警等信息的檢索、分析和報(bào)表統(tǒng)計(jì)；WEB控制臺(tái)：包括策略管理、網(wǎng)絡(luò)管理、數(shù)據(jù)庫(kù)管理、數(shù)據(jù)維護(hù)、日志管理、賬號(hào)管理等配置模塊。特色與優(yōu)勢(shì)全面記錄數(shù)據(jù)庫(kù)訪問(wèn)行為基于精細(xì)的數(shù)據(jù)庫(kù)協(xié)議解析和專業(yè)的SQL語(yǔ)法、詞法分析，具備全面的數(shù)據(jù)庫(kù)訪問(wèn)審計(jì)能力，具體表現(xiàn)在以下幾個(gè)方面：記錄的日志信息全突破了傳統(tǒng)審計(jì)產(chǎn)品5要素的審計(jì)能力瓶頸，將可審計(jì)要素提升至7要素：Who——應(yīng)用用戶、數(shù)據(jù)庫(kù)用戶、主機(jī)名稱、操作系統(tǒng)帳號(hào)等；What——訪問(wèn)了什么對(duì)象數(shù)據(jù)，執(zhí)行了什么操作；When——每個(gè)事件發(fā)生的具體時(shí)間；Where——事件的來(lái)源和目的，包括IP地址、MAC地址等；How——通過(guò)哪些應(yīng)用程序或第三方工具進(jìn)行的操作；Range——該操作執(zhí)行的影響范圍，如查詢、修改或刪除的記錄行數(shù)；ResultSet——返回結(jié)果集，如查詢操作的返回內(nèi)容，這將是審計(jì)人員進(jìn)行線索追蹤分析的有力取證材料。審計(jì)的SQL語(yǔ)句類型全支持對(duì)所有標(biāo)準(zhǔn)的SQL語(yǔ)句進(jìn)行審計(jì)，包括數(shù)據(jù)查詢語(yǔ)言DQL、數(shù)據(jù)操縱語(yǔ)言DML、數(shù)據(jù)定義語(yǔ)言DDL、數(shù)據(jù)庫(kù)控制語(yǔ)言DCL。支持的數(shù)據(jù)庫(kù)類型全能夠保護(hù)所有常見的數(shù)據(jù)庫(kù)類型，支持國(guó)外數(shù)據(jù)庫(kù)Oracle、IMBDB2、MicrosoftSQLServer、MySQL和PostgreSQL，以及國(guó)產(chǎn)數(shù)據(jù)庫(kù)達(dá)夢(mèng)數(shù)據(jù)庫(kù)、人