前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇網(wǎng)絡(luò)安全等保解決方案范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

網(wǎng)絡(luò)安全等保解決方案范文第1篇

關(guān)鍵詞：安全；電子政務(wù)外網(wǎng)平臺(tái)；電子政務(wù)外網(wǎng)云平臺(tái)；保障體系；傳統(tǒng)架構(gòu)；云計(jì)算

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2016）11-0-03

0 引 言

隨著電子政務(wù)外網(wǎng)的發(fā)展，各省市電子政務(wù)外網(wǎng)平臺(tái)的建設(shè)均已成熟，多數(shù)省市電子政務(wù)外網(wǎng)平臺(tái)建設(shè)之初采用的是物理機(jī)傳統(tǒng)架構(gòu)部署方式。隨著信息技術(shù)的發(fā)展，云計(jì)算技術(shù)應(yīng)運(yùn)而生，電子政務(wù)云平臺(tái)的建設(shè)風(fēng)生水起。然而無論是傳統(tǒng)架構(gòu)還是在云計(jì)算環(huán)境下，電子政務(wù)外網(wǎng)平臺(tái)面臨的風(fēng)險(xiǎn)越來越多，本文就這兩種架構(gòu)下電子政務(wù)外網(wǎng)平臺(tái)的安全如何建設(shè)進(jìn)行分析，提出相應(yīng)的解決方案。

1 建設(shè)方案

電子政務(wù)外網(wǎng)平臺(tái)的安全建設(shè)應(yīng)根據(jù)業(yè)務(wù)應(yīng)用特點(diǎn)及平臺(tái)架構(gòu)層特性，應(yīng)用入侵檢測、入侵防御、防病毒網(wǎng)關(guān)、數(shù)據(jù)加密、身份認(rèn)證、安全存儲(chǔ)等安全技術(shù)，構(gòu)建面向應(yīng)用的縱深安全防御體系。電子政務(wù)外網(wǎng)平臺(tái)安全建設(shè)可從分析確定定級(jí)對象及安全等級(jí)、構(gòu)建安全保障體系、明確安全邊界、安全技術(shù)保障、安全運(yùn)維保障、安全制度保障、云計(jì)算環(huán)境下電子政務(wù)外網(wǎng)平臺(tái)安全保障幾方面考慮。

1.1 分析確定定級(jí)對象及安全等級(jí)

信息系統(tǒng)安全等級(jí)共分為五級(jí)，根據(jù)“中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局 中國國家標(biāo)準(zhǔn)化管理委員會(huì)”的《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南（GB/T 22240-2008）》，結(jié)合國家相關(guān)行業(yè)標(biāo)準(zhǔn)規(guī)范，分析確定定級(jí)對象及安全等級(jí)。本文以構(gòu)建信息系統(tǒng)安全等級(jí)第三級(jí)標(biāo)準(zhǔn)安全建設(shè)進(jìn)行探討。

1.2 構(gòu)建安全保障體系

電子政務(wù)外網(wǎng)平臺(tái)安全保障可從安全技術(shù)保障、安全運(yùn)維保障、安全制度保障三個(gè)方面著手考慮，根據(jù)“中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局 中國國家標(biāo)準(zhǔn)化管理委員會(huì)”的《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)基本要求（GB/T 22239-2008）》進(jìn)行建設(shè)。物理機(jī)傳統(tǒng)架構(gòu)下的電子政務(wù)外網(wǎng)平臺(tái)安全保障體系架構(gòu)如圖1所示。

1.3 明確安全邊界

1.3.1 安全邊界劃分原則

安全邊界劃分原則[1]如下所示：

（1）以保障電子政務(wù)外網(wǎng)平臺(tái)信息系統(tǒng)的業(yè)務(wù)、管理、控制數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)流的安全為根本出發(fā)點(diǎn)，保障平臺(tái)安全；

（2）每個(gè)安全域的信息資產(chǎn)價(jià)值相近，具有相同或相近的安全等級(jí)、安全環(huán)境、安全策略等；

（3）根據(jù)“信息安全等保”要求，網(wǎng)絡(luò)規(guī)劃時(shí)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)隔離手段；

（4）根據(jù)《國家電子政務(wù)外網(wǎng)跨網(wǎng)數(shù)據(jù)安全交換技術(shù)要求與實(shí)施指南》，部署數(shù)據(jù)安全交換隔離系統(tǒng)，保障數(shù)據(jù)交換安全；

（5）對接入邊界進(jìn)行安全防護(hù)。

1.3.2 安全邊界劃分

電子政務(wù)外網(wǎng)平臺(tái)可劃分為DMZ區(qū)、內(nèi)部數(shù)據(jù)中心、互聯(lián)網(wǎng)出口區(qū)、安全及運(yùn)維管理區(qū)、邊界接入?yún)^(qū)五大區(qū)域。電子政務(wù)外網(wǎng)安全邊界劃分圖如圖2所示。

（1）DMZ區(qū)

DMZ區(qū)部署面向互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)，包括門戶網(wǎng)站、郵件服務(wù)等，應(yīng)根據(jù)實(shí)際需求部署相應(yīng)的安全策略。

（2）內(nèi)部數(shù)據(jù)中心

內(nèi)部數(shù)據(jù)中心區(qū)部署協(xié)同辦公等內(nèi)部應(yīng)用系統(tǒng)，可根據(jù)實(shí)際需求分為多個(gè)邏輯區(qū)域，如辦公業(yè)務(wù)區(qū)、測試區(qū)等，應(yīng)根據(jù)實(shí)際需求部署相應(yīng)安全策略。

（3）互聯(lián)網(wǎng)出口區(qū)

互聯(lián)網(wǎng)出口區(qū)為電子政務(wù)外網(wǎng)平臺(tái)互聯(lián)網(wǎng)接入邊界，與運(yùn)營商網(wǎng)絡(luò)直連。該區(qū)域直接面向互聯(lián)網(wǎng)出口區(qū)域，易被不法分子利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對系統(tǒng)硬件、軟件進(jìn)行攻擊，可在該區(qū)部署相應(yīng)的防火墻策略，并結(jié)合入侵防御、安全審計(jì)等技術(shù)提供立體的、全面的、有效的安全防護(hù)，允許合法用戶通過互聯(lián)網(wǎng)訪問電子政務(wù)外網(wǎng)。

（4）安全及運(yùn)維管理區(qū)

提供安全管理運(yùn)維服務(wù)，保障電子政務(wù)外網(wǎng)平臺(tái)的安全。提供統(tǒng)一網(wǎng)絡(luò)管控運(yùn)維服務(wù)，保障整網(wǎng)設(shè)備及業(yè)務(wù)系統(tǒng)信息正常運(yùn)行。

（5）邊界接入?yún)^(qū)

根據(jù)國家相關(guān)規(guī)范，對專網(wǎng)、企事業(yè)接入單位或其它系統(tǒng)接入電子政務(wù)外網(wǎng)時(shí)，應(yīng)在訪問邊界部署防火墻、入侵防御系統(tǒng)，與“政務(wù)云”實(shí)現(xiàn)物理邏輯隔離，進(jìn)行安全防護(hù)。

1.4 安全技術(shù)保障

采用傳統(tǒng)架構(gòu)的電子政務(wù)外網(wǎng)平臺(tái)技術(shù)安全保障可從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面進(jìn)行考慮，可通過部署相應(yīng)產(chǎn)品或配置服務(wù)進(jìn)行安全保障。

1.4.1 物理安全

物理安全主要涉及環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等。具體包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等方面。該部分主要體現(xiàn)為機(jī)房及弱電的建設(shè)標(biāo)準(zhǔn)、規(guī)范，技術(shù)環(huán)節(jié)應(yīng)符合相關(guān)等級(jí)保護(hù)要求。

1.4.2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要包括網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)邊界以及網(wǎng)絡(luò)設(shè)備自身安全等，具體包括結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性檢查、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)七個(gè)方面，關(guān)鍵安全技術(shù)保障措施如下所示：

（1）劃分安全域，根據(jù)各安全域安全建設(shè)需求采用相應(yīng)的安全策略。

（2）通過合理部署IPS、防火墻對網(wǎng)絡(luò)進(jìn)行邊界隔離和訪問控制，并實(shí)現(xiàn)對網(wǎng)絡(luò)攻擊的實(shí)時(shí)監(jiān)測，即時(shí)中斷、調(diào)整或隔離一些不正?；蚓哂袀π缘木W(wǎng)絡(luò)行為。

（3）部署防DDoS攻擊設(shè)備，及時(shí)發(fā)現(xiàn)背景流量中各種類型的攻擊流量，針對攻擊類型迅速對攻擊流量進(jìn)行攔截，保證正常流量通過。

（4）可在互聯(lián)網(wǎng)出口處部署鏈路負(fù)載均衡設(shè)備，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性。

（5）采用上網(wǎng)行為管理、流量控制等設(shè)備，對網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控管理，實(shí)現(xiàn)員工對終端計(jì)算機(jī)的管理和控制，規(guī)范員工上網(wǎng)行為，提高工作效率，實(shí)現(xiàn)流量控制和帶寬管理，優(yōu)化網(wǎng)絡(luò)。

（6）對關(guān)鍵設(shè)備采用冗余設(shè)計(jì)，并在重要網(wǎng)段配置ACL策略以保障帶寬優(yōu)先級(jí)。

（7）采用安全審計(jì)技術(shù)，按照一定的安全策略，利用記錄、系統(tǒng)活動(dòng)和用戶活動(dòng)等信息，檢查、審查和檢驗(yàn)操作事件的環(huán)境及活動(dòng)，從而發(fā)現(xiàn)系統(tǒng)漏洞、入侵行為或改善系統(tǒng)性能。

1.4.3 主機(jī)、應(yīng)用安全

主機(jī)安全主要包括訪問控制、安全審計(jì)、剩余信息保護(hù)、惡意代碼防護(hù)等幾個(gè)方面。應(yīng)用安全主要包括身份鑒別、訪問控制、安全審計(jì)、抗抵賴性等幾方面，關(guān)鍵安全技術(shù)保障措施如下所示：

（1）惡意代碼可直接利用操作系統(tǒng)或應(yīng)用程序的漏洞進(jìn)行傳播，可部署惡意代碼監(jiān)測、病毒防護(hù)系統(tǒng)及漏洞掃描等系統(tǒng)，通過主動(dòng)防御可有效阻止病毒的傳播，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)、主機(jī)、應(yīng)用及數(shù)據(jù)庫漏洞并修復(fù)，保障電子政務(wù)外網(wǎng)平臺(tái)安全。

（2）利用身份認(rèn)證技術(shù)及訪問控制策略等技術(shù)保障主機(jī)應(yīng)用安全，不允許非預(yù)期客戶訪問。

（3）運(yùn)用審計(jì)技術(shù)保障主機(jī)應(yīng)用安全，實(shí)時(shí)收集和監(jiān)控信息系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動(dòng)，以便進(jìn)行集中報(bào)警、記錄、分析、處理。

（4）采用應(yīng)用負(fù)載均衡技術(shù)、操作系統(tǒng)用戶登錄等技術(shù)實(shí)現(xiàn)資源的優(yōu)化控制。

（5）可部署Web應(yīng)用防火墻、網(wǎng)頁防篡改等系統(tǒng)，做到事前主動(dòng)防御，智能分析、屏蔽或阻斷對目錄中的網(wǎng)頁、電子文檔、圖片、數(shù)據(jù)庫等類型文件的非法篡改和破壞，保障系統(tǒng)業(yè)務(wù)的正常運(yùn)營，全方位保護(hù)Web應(yīng)用安全。

1.4.4 數(shù)據(jù)安全

數(shù)據(jù)安全主要包括數(shù)據(jù)的保密性、完整性及備份和恢復(fù)，關(guān)鍵安全技術(shù)保障措施如下所示：

（1）可對不同類型業(yè)務(wù)數(shù)據(jù)進(jìn)行物理上或邏輯上隔離，并建設(shè)數(shù)據(jù)交換與隔離系統(tǒng)以保障不同安全等級(jí)的網(wǎng)絡(luò)間的數(shù)據(jù)交換安全。

（2）采用雙因素認(rèn)證進(jìn)行數(shù)據(jù)訪問控制，不允許非預(yù)期客戶訪問，對違規(guī)操作實(shí)時(shí)審計(jì)報(bào)警。

（3）采用VPN、數(shù)據(jù)加密、消息數(shù)據(jù)簽名、摘要等技術(shù)對數(shù)據(jù)傳輸進(jìn)行加密，防止越權(quán)訪問機(jī)密信息或惡意篡改。

（4）采用數(shù)據(jù)庫冗余部署，防范數(shù)據(jù)丟失風(fēng)險(xiǎn)，為業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行提供保障，可考慮建設(shè)同城或異地容災(zāi)。

（5）部署數(shù)據(jù)庫審計(jì)設(shè)備可在不影響被保護(hù)數(shù)據(jù)庫性能的情況下，對數(shù)據(jù)庫的操作實(shí)現(xiàn)跟蹤記錄、定位，實(shí)現(xiàn)數(shù)據(jù)庫的在線監(jiān)控，為數(shù)據(jù)庫系統(tǒng)的安全運(yùn)行提供了有力保障。

1.5 安全運(yùn)維保障

安全運(yùn)維保障可通過安全管理平臺(tái)，建立與安全工作相配套的集中管理手段，提供統(tǒng)一展現(xiàn)、統(tǒng)一告警、統(tǒng)一運(yùn)維流程處理等服務(wù)，可使管理人員快速準(zhǔn)確的掌握網(wǎng)絡(luò)整體運(yùn)行狀況，整體反映電子政務(wù)外網(wǎng)平臺(tái)安全問題，體現(xiàn)安全投資的價(jià)值，提高安全運(yùn)維管理水平。安全運(yùn)維管理平臺(tái)需考慮與安全各專項(xiàng)系統(tǒng)、網(wǎng)管系統(tǒng)和運(yùn)管系統(tǒng)之間以及上下級(jí)系統(tǒng)之間的接口。

1.6 安全制度保障

面對形形的安全解決方案，“三分技術(shù)、七分管理”。若僅有安全技術(shù)防護(hù)，而無嚴(yán)格的安全管理相配合，則難以保障網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全。系統(tǒng)必須有嚴(yán)密的安全管理體制來保證系統(tǒng)安全。安全制度保障可從安全管理組織、安全管理制度、安全管理手段等方面考慮，建立完善的應(yīng)急體制。

1.7 云計(jì)算環(huán)境下電子政務(wù)外網(wǎng)平臺(tái)的安全保障

云技術(shù)是基于云計(jì)算商業(yè)模式應(yīng)用的網(wǎng)絡(luò)技術(shù)、信息技術(shù)、整合技術(shù)、管理平臺(tái)技術(shù)、應(yīng)用技術(shù)等的總稱，可以組成資源池，按需所用，靈活便利。隨著時(shí)代的發(fā)展，云計(jì)算技術(shù)已變成信息系統(tǒng)主流基礎(chǔ)架構(gòu)支撐。由于云計(jì)算平臺(tái)重要支撐技術(shù)是采用虛擬化實(shí)現(xiàn)資源的邏輯抽象和統(tǒng)一表示，因此在云計(jì)算環(huán)境下進(jìn)行電子政務(wù)外網(wǎng)云平臺(tái)安全保障體系建設(shè)，僅僅采用傳統(tǒng)的安全技術(shù)是不夠的，除滿足上述物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全技術(shù)保障，運(yùn)維安全保障，安全制度保障需求之外，還應(yīng)考慮虛擬化帶來的新的安全風(fēng)險(xiǎn)。云計(jì)算環(huán)境下電子政務(wù)外網(wǎng)云平臺(tái)安全保障體系如圖3所示。

1.8 虛擬化安全

當(dāng)前，云計(jì)算虛擬化安全技術(shù)還不成熟，對虛擬化的安全防護(hù)和保障技術(shù)測評則成為云環(huán)境等級(jí)保護(hù)的一大難題，主要涉及的安全包括虛擬機(jī)逃逸防范、虛擬機(jī)通信風(fēng)險(xiǎn)、虛擬機(jī)管理平臺(tái)安全等方面?？刹扇∪缦掳踩Ｕ洗胧2]：

（1）將可信計(jì)算技術(shù)與虛擬化技術(shù)相結(jié)合，構(gòu)建可信的虛擬化平臺(tái)，形成完整的信任鏈；

（2）可建設(shè)分級(jí)訪問控制機(jī)制，根據(jù)分層分級(jí)原則制定訪問控制策略，實(shí)現(xiàn)對平臺(tái)中所有虛擬機(jī)的監(jiān)控管理，為數(shù)據(jù)的安全使用和訪問建立一道屏障；

（3）可通過虛擬防火墻、虛擬IPS、虛擬防病毒軟件或虛擬安全網(wǎng)關(guān)等技術(shù)實(shí)現(xiàn)虛擬機(jī)間的安全隔離。

2 SDS安全保障技術(shù)簡介

軟件定義安全（Software Defined Security，SDS）是從軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）延伸而來，將安全資源進(jìn)行池化，通過軟件進(jìn)行統(tǒng)一調(diào)度，以完成相應(yīng)的安全功能，實(shí)現(xiàn)靈活的安全防護(hù)。簡單來說，傳統(tǒng)的安全設(shè)備是單一防護(hù)軟件架構(gòu)在一臺(tái)硬件設(shè)備之上，通常串接或旁掛于網(wǎng)絡(luò)中，不僅將網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化，對不同廠家的安全設(shè)備進(jìn)行統(tǒng)一管理的復(fù)雜度也較高，需單獨(dú)的物理安裝空間。而SDS可以將其看作一個(gè)軟件，靈活調(diào)配安全設(shè)備資源，實(shí)現(xiàn)靈活的網(wǎng)絡(luò)安全防護(hù)框架，方便調(diào)整。

3 結(jié) 語

在大數(shù)據(jù)時(shí)代下，SDS是順應(yīng)時(shí)展趨勢、簡化安全管理的訴求，但由于SDS應(yīng)用尚未完全成熟，仍需經(jīng)過實(shí)踐的檢驗(yàn)。

參考文獻(xiàn)

網(wǎng)絡(luò)安全等保解決方案范文第2篇

【 關(guān)鍵詞 】 云計(jì)算；云安全；等級(jí)保護(hù)；虛擬化安全

1 引言

自2006年云計(jì)算的概念產(chǎn)生以來，各類與云計(jì)算相關(guān)的服務(wù)紛紛涌現(xiàn)，隨之而來的就是人們對云安全問題的關(guān)注。目前各個(gè)運(yùn)營商、服務(wù)提供商以及安全廠商所提的云安全解決方案，大都根據(jù)自己企業(yè)對云平臺(tái)安全的理解，結(jié)合本企業(yè)專長，專注于某一方面的安全。然而，對于用戶來說云平臺(tái)是一個(gè)整體，需要構(gòu)建云平臺(tái)的整體安全防護(hù)體系。

因此，針對云計(jì)算中心的安全需求建立信息安全防護(hù)體系已經(jīng)是大勢所趨，云安全防護(hù)體系的建立，必將使云計(jì)算得以更加健康、有序的發(fā)展。

2 云計(jì)算的安全問題解析

云計(jì)算模式當(dāng)前已得到業(yè)界普遍認(rèn)同，成為信息技術(shù)領(lǐng)域新的發(fā)展方向。但是，隨著云計(jì)算的大量應(yīng)用，云環(huán)境的安全問題也日益突出。我們?nèi)绻荒芎芎玫亟鉀Q相關(guān)的安全管理問題，云計(jì)算就會(huì)成為過眼“浮云”。在眾多對云計(jì)算的討論中，SafeNet的調(diào)查非常具有代表性：“對于云計(jì)算面臨的安全問題，88.5%的企業(yè)對云計(jì)算安全擔(dān)憂”。各種調(diào)研數(shù)據(jù)也表明：安全性是用戶選擇云計(jì)算的首要考慮因素。近年來，云安全的概念也有多種層面的解讀，本文所指云安全是聚焦于云計(jì)算中心的安全問題及其安全防護(hù)體系。

2.1 云安全與傳統(tǒng)安全技術(shù)的關(guān)系

云計(jì)算引入了虛擬化技術(shù)，改變了服務(wù)方式，但并沒有顛覆傳統(tǒng)的安全模式。從這張對比視圖中，如圖1所示，可以看出，安全的層次劃分是大體類似，在云計(jì)算環(huán)境下，由于虛擬化技術(shù)的引入，需要納入虛擬化安全的防護(hù)措施。而在基礎(chǔ)層面上，仍然可依靠成熟的傳統(tǒng)安全技術(shù)來提供安全防護(hù)。

如圖1所示，云計(jì)算安全和傳統(tǒng)安全在安全目標(biāo)、系統(tǒng)資源類型、基礎(chǔ)安全技術(shù)方面是相同的，而云計(jì)算又有其特有的安全問題，主要包括虛擬化安全問題和與云計(jì)算分租服務(wù)模式相關(guān)的一些安全問題。大體上，我們可以把云安全看做傳統(tǒng)安全的一個(gè)超集，或者換句話說，云安全是傳統(tǒng)安全在云計(jì)算環(huán)境下的繼承和發(fā)展。

綜合前面的討論，可以推導(dǎo)出一個(gè)基本的認(rèn)識(shí)，云計(jì)算的模式是革命性的：虛擬化安全、數(shù)據(jù)安全和隱私保護(hù)是云安全的重點(diǎn)和難點(diǎn)，云安全將基于傳統(tǒng)安全技術(shù)獲得發(fā)展。

2.2 云計(jì)算的安全需求與防護(hù)技術(shù)

解決安全問題的出發(fā)點(diǎn)是風(fēng)險(xiǎn)分析，CSA云安全聯(lián)盟提出了所謂“七重罪”的云安全重點(diǎn)風(fēng)險(xiǎn)域。

Threat 1： Abuse and Nefarious Use of Cloud Computing（云計(jì)算的濫用、惡用、拒絕服務(wù)攻擊）；

Threat 2： Insecure Interfaces and APIs（不安全的接口和API）；

Threat 3： Malicious Insiders（惡意的內(nèi)部員工）；

Threat 4： Shared Technology Issues（共享技術(shù)產(chǎn)生的問題）；

Threat 5： Data Loss or Leakage（數(shù)據(jù)泄漏）；

Threat 6： Account or Service Hijacking（賬號(hào)和服務(wù)劫持）；

Threat 7： Unknown Risk Profile（未知的風(fēng)險(xiǎn)場景）。

信息的機(jī)密性、完整性和可用性被公認(rèn)為信息安全的三個(gè)重要的基本屬性，用戶在使用云計(jì)算服務(wù)時(shí)也會(huì)從這三個(gè)方面提出基本的信息安全需求。

機(jī)密性安全需求：要求上傳到云端的信息及其處理結(jié)果以及所要求的云計(jì)算服務(wù)具有排他性，只能被授權(quán)人訪問或使用，不會(huì)被非法泄露。

完整性安全需求：要求與云計(jì)算相關(guān)的數(shù)據(jù)或服務(wù)是完備、有效、真實(shí)的，不會(huì)被非法操縱、破壞、篡改、偽造，并且不可否認(rèn)或抵賴。

可用性安全需求：要求網(wǎng)絡(luò)、數(shù)據(jù)和服務(wù)具有連續(xù)性、準(zhǔn)時(shí)性，不會(huì)中斷或延遲，以確保云計(jì)算服務(wù)在任何需要的時(shí)候能夠?yàn)槭跈?quán)使用者正常使用。

根據(jù)云計(jì)算中心的安全需求，我們會(huì)相應(yīng)得到一個(gè)安全防護(hù)技術(shù)的層次結(jié)構(gòu)：底層是基礎(chǔ)設(shè)施安全，包括基礎(chǔ)平臺(tái)安全、虛擬化安全和安全管理；中間是數(shù)據(jù)安全，上層是安全服務(wù)層面，還包括安全接入相關(guān)的防護(hù)技術(shù)。

3 等級(jí)保護(hù)背景下的云安全體系

3.1 等級(jí)保護(hù)標(biāo)準(zhǔn)與云安全

自1994年國務(wù)院147號(hào)令開始，信息安全等級(jí)保護(hù)體系歷經(jīng)近20年的發(fā)展，從政策法規(guī)、國家標(biāo)準(zhǔn)、到測評管理都建立了完備的體系，自2010年以來，在公安部的領(lǐng)導(dǎo)下，信息安全等級(jí)保護(hù)落地實(shí)施開展得如火如荼，信息安全等級(jí)保護(hù)已經(jīng)成為我國信息化建設(shè)的重要安全指導(dǎo)方針。

圖3表明了等級(jí)保護(hù)標(biāo)準(zhǔn)體系放發(fā)展歷程。

盡管引入了虛擬化等新興技術(shù)，運(yùn)營模式也從出租機(jī)房進(jìn)化到出租虛擬資源，乃至出租服務(wù)。但從其本質(zhì)上看，云計(jì)算中心仍然是一類信息系統(tǒng)，需要依照其重要性不同分等級(jí)進(jìn)行保護(hù)。云計(jì)算中心的安全工作必須依照等級(jí)保護(hù)的要求來建設(shè)運(yùn)維。此外，云安全還需要考慮虛擬化等新的技術(shù)和運(yùn)營方式所帶來的安全問題。

因此，云計(jì)算中心防護(hù)體系應(yīng)當(dāng)是以等級(jí)保護(hù)為指導(dǎo)思想，從云計(jì)算中心的安全需求出發(fā)，從技術(shù)和管理兩個(gè)層面全方位保護(hù)云計(jì)算中心的信息安全；全生命周期保證云計(jì)算中心的安全建設(shè)符合等保要求；將安全理念貫穿云計(jì)算中心建設(shè)、整改、測評、運(yùn)維全過程。建設(shè)目標(biāo)是要滿足不同用戶不同等保級(jí)別的安全要求，做到等保成果的可視化，做到安全工作的持久化。

3.2 云計(jì)算中心的安全框架

一個(gè)云計(jì)算中心的安全防護(hù)體系的構(gòu)建，應(yīng)以等級(jí)保護(hù)為系統(tǒng)指導(dǎo)思想，能夠充分滿足云計(jì)算中心的安全需求為目標(biāo)。根據(jù)前面的研究，我們提出一個(gè)云計(jì)算中心的安全框架，包括傳統(tǒng)安全技術(shù)、云安全技術(shù)和安全運(yùn)維管理三個(gè)層面的安全防護(hù)。

云安全框架以云安全管理平臺(tái)為中心，綜合安全技術(shù)和管理運(yùn)維兩個(gè)方面的手段確保系統(tǒng)的整體安全。在安全技術(shù)方面，除了傳統(tǒng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、備份恢復(fù)等保障措施，還需要通過虛擬化安全防護(hù)技術(shù)和云安全服務(wù)來應(yīng)對云計(jì)算的新特征所帶來的安全要求。

3.3 云安全防護(hù)體系架構(gòu)

在實(shí)際的云安全防護(hù)體系建設(shè)中，首先要在網(wǎng)絡(luò)和主機(jī)等傳統(tǒng)的安全設(shè)備層面建立基礎(chǔ)信息系統(tǒng)安全防護(hù)系統(tǒng)?；A(chǔ)信息安全防護(hù)體系是以等級(jí)保護(hù)標(biāo)準(zhǔn)為指導(dǎo)進(jìn)行構(gòu)建，符合等級(jí)保護(hù)標(biāo)準(zhǔn)對相應(yīng)安全級(jí)別的基本安全要求。

在此基礎(chǔ)上，通過SOC安全集中管理系統(tǒng)、虛擬安全組件、SMC安全運(yùn)維管理系統(tǒng)和等保合規(guī)管理系統(tǒng)四個(gè)安全子系統(tǒng)共同組成云安全管理中心，如圖4所示。通過實(shí)體的安全技術(shù)和虛擬化安全防護(hù)技術(shù)的協(xié)同工作，為云計(jì)算中心提供從實(shí)體設(shè)備到虛擬化系統(tǒng)的全面深度安全防護(hù)，同時(shí)通過專業(yè)的SLC等保合規(guī)管理系統(tǒng)來確保云安全體系對于等級(jí)保護(hù)標(biāo)準(zhǔn)的合規(guī)性。

參考文獻(xiàn)

[1] 郝斐，王雷，荊繼武等.云存儲(chǔ)安全增強(qiáng)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2012，（03）：38-41.

[2] 季一木， 康家邦，潘俏羽等.一種云計(jì)算安全模型與架構(gòu)設(shè)計(jì)研究[J].信息網(wǎng)絡(luò)安全，2012，（06）：6-8.

[3] 黎水林.基于安全域的政務(wù)外網(wǎng)安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全，2012，（07）：3-5.

[4] 胡春輝.云計(jì)算安全風(fēng)險(xiǎn)與保護(hù)技術(shù)框架分析[J].信息網(wǎng)絡(luò)安全，2012，（07）：87-89.

[5] 王偉，高能，江麗娜.云計(jì)算安全需求分析研究[J].信息網(wǎng)絡(luò)安全，2012，（08）：75-78.

[6] 海然.云計(jì)算風(fēng)險(xiǎn)分析[J].信息網(wǎng)絡(luò)安全，2012，（08）：94-96.

[7] 孫志丹，鄒哲峰，劉鵬.基于云計(jì)算技術(shù)的信息安全試驗(yàn)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2012，（12）：50-52.

[8] 甘宏，潘丹.虛擬化系統(tǒng)安全的研究與分析[J].信息網(wǎng)絡(luò)安全，2012，（05）：43-45.

[9] 賽迪研究院.關(guān)于云計(jì)算安全的分析與建議[J].軟件與信息服務(wù)研究，2011，5（5）：3.

[10] 陳丹偉，黃秀麗，任勛益.云計(jì)算及安全分析[J].計(jì)算機(jī)技術(shù)與發(fā)展，2010，20（2）：99.102.

[11] 馮登國，孫悅，張陽.信息安全體系結(jié)構(gòu)[M].清華大學(xué)出版社，2008：43-81.

[12] 張水平，李紀(jì)真.基于云計(jì)算的數(shù)據(jù)中心安全體系研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2011，12（32）：3965.

[13] 質(zhì)監(jiān)局，國標(biāo)委.信息系統(tǒng)安全等級(jí)保護(hù)基本要求.GB/T 22239—2008：1～51.

[14] 王崇.以“等?！睘楹诵牡男畔踩芾砉ぷ髌脚_(tái)設(shè)計(jì)[J].實(shí)踐探究，2009，1（5）：73.

[15] Devki Gaurav Pal， Ravi Krishna.A Novel Open Security Framework for Cloud Computing.International Journal of Cloud Computing and Services Science （IJ-CLOSER） ，2012 ，l.1（2）：45～52.

[16] CSA.SECURITY GUIDANCE FOR CRITICAL AREAS OF FOCUS IN CLOUD COMPUTING V3.0.http：///guidance/csaguide.v3.0.pdf，2011：30.

作者簡介：

白秀杰（1973-），男，碩士，系統(tǒng)分析師；研究方向：云安全技術(shù)。

李汝鑫（1983-），男，本科，項(xiàng)目管理師；研究方向：信息安全技術(shù)。

網(wǎng)絡(luò)安全等保解決方案范文第3篇

本報(bào)訊近日，聯(lián)想網(wǎng)御董事長齊艦在北京宣布，成功收購國內(nèi)一流SSL VPN企業(yè)――艾克斯通。聯(lián)想網(wǎng)御將獲得艾克斯通公司完整、領(lǐng)先的SSL VPN核心技術(shù)和知識(shí)產(chǎn)權(quán)，使之與公司現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)、安全管理技術(shù)相融合，開發(fā)出面向用戶、面向應(yīng)用、面向網(wǎng)絡(luò)可信接入的整體解決方案。

聯(lián)想網(wǎng)御總裁劉科全表示: “SSL VPN是應(yīng)用安全領(lǐng)域中的一項(xiàng)重要技術(shù)。通過此次戰(zhàn)略收購，聯(lián)想網(wǎng)御將全面推動(dòng)應(yīng)用安全在國內(nèi)市場的發(fā)展，從而開拓出更為寬廣的民族信息安全新藍(lán)海?！?（譚）

英特爾、騰訊拓展數(shù)據(jù)中心領(lǐng)域合作

本報(bào)訊近日，英特爾和騰訊在北京簽署一份為期數(shù)年的戰(zhàn)略合作備忘錄，宣布雙方將建立聯(lián)合技術(shù)開發(fā)實(shí)驗(yàn)室，在數(shù)據(jù)中心優(yōu)化等領(lǐng)域進(jìn)行更深一步的合作。

英特爾數(shù)字企業(yè)事業(yè)部副總裁兼服務(wù)器平臺(tái)事業(yè)部總經(jīng)理柯克•斯考根表示，英特爾的動(dòng)態(tài)功耗節(jié)點(diǎn)管理器和低功耗四核至強(qiáng)處理器等一系列技術(shù)，有助于構(gòu)建更環(huán)保的互聯(lián)網(wǎng)數(shù)據(jù)中心。騰訊聯(lián)席CTO熊明華則表示，騰訊未來將在存儲(chǔ)技術(shù)、數(shù)據(jù)挖掘、視頻多媒體、P2P網(wǎng)絡(luò)、中文處理和網(wǎng)絡(luò)安全等重點(diǎn)領(lǐng)域加大技術(shù)研發(fā)的投入，并將加深與英特爾的進(jìn)一步合作。(斌)

AMD展示最新處理器技術(shù)

本報(bào)訊近日,AMD在北京舉行了“和諧計(jì)算•卓越視界”創(chuàng)新技術(shù)大會(huì),來自AMD美國總部的技術(shù)專家全景式地講解并展示了AMD未來在多項(xiàng)平臺(tái)上的全面創(chuàng)新，以及基于最新45納米工藝的代號(hào)為“上?！钡乃暮损?zhí)幚砥飨到y(tǒng)。

會(huì)上，AMD不僅講解了兩大桌面平臺(tái)的特性，還介紹了在筆記本電腦平臺(tái)上AMD即將推出的代號(hào)為“Puma”的移動(dòng)平臺(tái)。同時(shí)，為了應(yīng)對應(yīng)用負(fù)載對現(xiàn)有架構(gòu)的巨大壓力，AMD還創(chuàng)新性地提出了加速處理單元的概念。（淑娟）

瑞得聯(lián)手IBM深耕醫(yī)療信息化

本報(bào)訊近日，由北京瑞得恒達(dá)醫(yī)療軟件有限公司與IBM公司合作開展的“IBM•瑞得•醫(yī)院資源信息平臺(tái)應(yīng)用研討會(huì)”在京召開。

據(jù)悉，HRIP是瑞得恒達(dá)醫(yī)療軟件有限公司推出的新一代平臺(tái)化HIS產(chǎn)品。它能夠根據(jù)醫(yī)院業(yè)務(wù)變化快速進(jìn)行反應(yīng)，以現(xiàn)有流程為依據(jù)進(jìn)行開發(fā)。HRIP將醫(yī)院資源進(jìn)行分類，使之最小化，再根據(jù)共性將最小業(yè)務(wù)做成組件，最后根據(jù)醫(yī)院實(shí)際情況進(jìn)行組合，為不同醫(yī)院提供不同需求。（凡）

三星推出多款?yuàn)W運(yùn)手機(jī)

本報(bào)訊近日，奧運(yùn)會(huì)無線通信設(shè)備領(lǐng)域全球合作伙伴 (TOP) 及北京2008年奧運(yùn)會(huì)火炬接力全球合作伙伴三星公司宣布，其為北京2008年奧運(yùn)會(huì)的準(zhǔn)備工作已經(jīng)全面就緒，并推出多款專為北京奧運(yùn)會(huì)精心準(zhǔn)備的奧運(yùn)手機(jī)，其中包括三星全球奧運(yùn)旗艦手機(jī)、為中國移動(dòng)定制的奧運(yùn)手機(jī)、奧運(yùn)主題手機(jī)和奧運(yùn)大家庭專用手機(jī)四大類，涵蓋了商務(wù)、音樂、時(shí)尚等多重細(xì)分市場。（李）

網(wǎng)絡(luò)安全等保解決方案范文第4篇

如今，高性能計(jì)算已經(jīng)無所不在，在社會(huì)的各個(gè)領(lǐng)域發(fā)揮著重大作用。高性能計(jì)算應(yīng)用分為兩類，一類是在電子政務(wù)、教育信息化、企業(yè)信息化廣泛應(yīng)用的信息服務(wù); 一類用于石油物探、分子材料研究、航天國防等領(lǐng)域的科學(xué)計(jì)算，但無論哪種應(yīng)用，都離不開安全的保障。

一方面，內(nèi)部安全是HPC安全的主要問題，內(nèi)部攻擊和內(nèi)部人員的誤用造成70%的安全問題; 另一方面，對外需要加強(qiáng)訪問控制、非法入侵、安全過濾等邊界安全。與此同時(shí)高性能計(jì)算也給用戶提供有可視化應(yīng)用，要求系統(tǒng)能夠作為可視化用的圖形服務(wù)器。另外，用戶還有海量存儲(chǔ)和后備磁帶庫等災(zāi)難容錯(cuò)需求。

高性能計(jì)算是一個(gè)綜合系統(tǒng)，涉及網(wǎng)絡(luò)系統(tǒng)、主機(jī)系統(tǒng)兩個(gè)層次。網(wǎng)絡(luò)系統(tǒng)的模型是一個(gè)分層次的拓?fù)浣Y(jié)構(gòu)，通常采用五層模型; 主機(jī)系統(tǒng)也可以分為兩個(gè)層次: 操作系統(tǒng)、應(yīng)用服務(wù)。因此高性能計(jì)算的安全防護(hù)也需采用分層次的拓?fù)浞雷o(hù)措施。即一個(gè)完整的高性能計(jì)算安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)與主機(jī)的各個(gè)層次，并且與安全管理相結(jié)合。

如何保護(hù)系統(tǒng)和數(shù)據(jù)

作為最基本的應(yīng)用，防火墻可以用于實(shí)現(xiàn)對網(wǎng)絡(luò)不同安全區(qū)域的隔離。防火墻可以將辦公局域網(wǎng)、HPC計(jì)算網(wǎng)、HPC用戶接口與不安全的互聯(lián)網(wǎng)隔離成幾個(gè)邏輯區(qū)域，在保證局域網(wǎng)內(nèi)的客戶端訪問互聯(lián)網(wǎng)和HPC用戶接口、以及互聯(lián)網(wǎng)用戶訪問HPC用戶接口的同時(shí)，限制互聯(lián)網(wǎng)與HPC計(jì)算網(wǎng)之間的訪問，達(dá)到可控訪問的目的。

使用防火墻的必要性

雖然通過禁用主機(jī)上的沒用的或者不安全的服務(wù)，或者安裝個(gè)人防火墻，可以實(shí)現(xiàn)防火墻的包過濾等功能，然而，畢竟這是由主機(jī)自身提供的防護(hù)，一旦主機(jī)系統(tǒng)已經(jīng)被侵入，上述的防護(hù)措施均可以被入侵者修改。

而采用專用防火墻則可以降低系統(tǒng)被入侵后造成的部分侵害，例如入侵者如果打開了主機(jī)上某些被禁止的端口，由于防火墻并未開放該端口，因此入侵者仍然不可以使用該端口進(jìn)行內(nèi)外網(wǎng)之間的通信，因而也就在一定程度上防止了內(nèi)部資源或數(shù)據(jù)的外泄。

另外使用專用防火墻還可以有效地降低安全管理的工作強(qiáng)度，提高系統(tǒng)安全的可管理性。

防火墻為高性能機(jī)群提供了基本的安全防范，然而防火墻只能提供被動(dòng)的、靜態(tài)的保護(hù)，所提供的安全級(jí)別較低，如果與網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）配合，則可以提供動(dòng)態(tài)的安全防護(hù)，提高HPC機(jī)群的安全等級(jí)。拿曙光專用防火墻來說可以從以下幾個(gè)方面來保護(hù)高性能機(jī)群系統(tǒng)的安全。

訪問控制 訪問控制功能可以通過加密認(rèn)證來限制外網(wǎng)用戶對防火墻內(nèi)部的機(jī)群系統(tǒng)的訪問，沒有得到密鑰的用戶無法進(jìn)入機(jī)群系統(tǒng)，能保持很高的安全性。

安全過濾 安全過濾模塊能在防火墻內(nèi)外網(wǎng)數(shù)據(jù)交互的時(shí)候?qū)ζ溥M(jìn)行深度包過濾檢測。若是有不安全因素包括在數(shù)據(jù)中，防火墻可以通過檢測定義對其過濾。

抗攻擊 專用防火墻具有的抗攻擊能力，能適應(yīng)各種險(xiǎn)惡的網(wǎng)絡(luò)環(huán)境，保證內(nèi)部機(jī)群系統(tǒng)不因?yàn)榉阑饓Φ牡挚鼓芰Σ疃鵁o法保持正常工作。

流量帶寬管理 防火墻的帶寬管理可以讓用戶隨意調(diào)整網(wǎng)絡(luò)的帶寬流量; 流量計(jì)費(fèi)功能可以幫助用戶實(shí)現(xiàn)網(wǎng)絡(luò)流量計(jì)費(fèi)，流量監(jiān)控等功能。

防止非法入侵 入侵檢測系統(tǒng)可以讓系統(tǒng)對受到的攻擊設(shè)有完備的記錄功能，檢測到危險(xiǎn)信息時(shí)，系統(tǒng)可以根據(jù)管理員的設(shè)置斷開連接，實(shí)現(xiàn)入侵主動(dòng)防護(hù)。

利用VPN保護(hù)數(shù)據(jù)安全傳輸

高性能計(jì)算機(jī)群多數(shù)都是用于科學(xué)研究，因此其原始資料、計(jì)算結(jié)果等都屬于安全敏感數(shù)據(jù)，因?yàn)檫@些敏感數(shù)據(jù)在局域網(wǎng)、互聯(lián)網(wǎng)這樣的不安全網(wǎng)絡(luò)中傳輸極易被竊取、篡改，因此在設(shè)計(jì)高性能計(jì)算機(jī)群的安全問題時(shí)，數(shù)據(jù)傳輸?shù)陌踩珕栴}也必須要考慮。

出于數(shù)據(jù)傳輸安全的考慮，利用防火墻的VPN功能，能使互聯(lián)網(wǎng)用戶和局域網(wǎng)用戶到HPC用戶接口之間實(shí)現(xiàn)安全的通信隧道，通過加密、認(rèn)證、數(shù)字簽名等保證數(shù)據(jù)的安全性、完整性。比如，曙光防火墻的VPN的密鑰管理系統(tǒng)，使用IKE協(xié)議進(jìn)行會(huì)話密鑰的自動(dòng)協(xié)商，所有的VPN連接隔一段時(shí)間會(huì)自動(dòng)地更換密鑰。IKE協(xié)議使用共享密鑰進(jìn)行認(rèn)證，將管理的復(fù)雜程度有所降低。

四級(jí)防護(hù)保HPC安全

防火墻被部署于局域網(wǎng)與互聯(lián)網(wǎng)、或局域網(wǎng)中某個(gè)特定區(qū)域到局域網(wǎng)的接口上，為局域網(wǎng)或局域網(wǎng)中的特定區(qū)域提供了安全保護(hù)。

第一級(jí)防護(hù): 網(wǎng)絡(luò)安全

防火墻可以通過對網(wǎng)絡(luò)數(shù)據(jù)包的過濾和訪問控制，將訪問限制在網(wǎng)絡(luò)被允許的主機(jī)（IP地址）和應(yīng)用服務(wù)（端口），從而極大地縮小所需管理的安全范圍，然而對于對被允許的主機(jī)和應(yīng)用的攻擊就無能為力了，因?yàn)檫@些攻擊會(huì)偽裝成對這些合法主機(jī)和應(yīng)用服務(wù)的訪問，從而騙過防火墻，進(jìn)入到受防火墻保護(hù)的區(qū)域之內(nèi)。

因此對于安全要求較高的局域網(wǎng)、或者局域網(wǎng)中部署有關(guān)鍵應(yīng)用的，應(yīng)該在使用防火墻保護(hù)的基礎(chǔ)上，采用入侵檢測系統(tǒng)提高相關(guān)區(qū)域的安全防護(hù)水平。

網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）監(jiān)視網(wǎng)絡(luò)流量，通過偵聽特定網(wǎng)段的數(shù)據(jù)包，實(shí)現(xiàn)對該網(wǎng)段實(shí)時(shí)監(jiān)視可疑連接、發(fā)現(xiàn)非法訪問的闖入等，防范對網(wǎng)絡(luò)層至應(yīng)用層的惡意攻擊和誤操作。通過與防火墻聯(lián)動(dòng)，實(shí)現(xiàn)針對網(wǎng)絡(luò)的入侵的安全防護(hù)。

第二級(jí)防護(hù): 主機(jī)系統(tǒng)安全

主機(jī)入侵檢測系統(tǒng)（HIDS）監(jiān)視主機(jī)系統(tǒng)的狀態(tài)，實(shí)現(xiàn)針對主機(jī)入侵的安全防護(hù)。防范對系統(tǒng)文件的惡意纂改和誤操作，實(shí)時(shí)監(jiān)視可疑連接、定期檢查系統(tǒng)日志，掃描用戶行為，發(fā)現(xiàn)非法訪問的闖入等。

雖然網(wǎng)絡(luò)入侵檢測可以對各種應(yīng)用服務(wù)，如Web、SMTP、POP3等提供保護(hù)，然而這些更多是對網(wǎng)絡(luò)數(shù)據(jù)包的檢查，而防御手段通常會(huì)滯后于攻擊手段的發(fā)展，因此也就存在著由于這種滯后而造成網(wǎng)絡(luò)防御的突破。受保護(hù)網(wǎng)絡(luò)被侵入的表現(xiàn)就是網(wǎng)絡(luò)中的某臺(tái)主機(jī)接受了未被授權(quán)的訪問，并成為攻擊的中轉(zhuǎn)站。而入侵者通常需要對被攻破的系統(tǒng)進(jìn)行修改，掩藏自己并使之進(jìn)一步對網(wǎng)絡(luò)中其他的主機(jī)發(fā)動(dòng)攻擊，這些行為是網(wǎng)絡(luò)入侵檢測系統(tǒng)無法解決的，但這正是主機(jī)入侵檢測系統(tǒng)所能檢測和保護(hù)的，因此主機(jī)入侵檢測系統(tǒng)可以很好地彌補(bǔ)網(wǎng)絡(luò)入侵檢測系統(tǒng)的盲區(qū)，二者形成互補(bǔ)。

通過互為補(bǔ)充的網(wǎng)絡(luò)入侵檢測系統(tǒng)和主機(jī)入侵檢測系統(tǒng)對繞過防火墻的攻擊行為進(jìn)行細(xì)粒度的檢測和防御，兩者協(xié)調(diào)工作實(shí)現(xiàn)從網(wǎng)絡(luò)到主機(jī)的全面防護(hù)。

第三級(jí)防護(hù): 數(shù)據(jù)安全

數(shù)據(jù)安全除了數(shù)據(jù)的存儲(chǔ)安全、備份安全手段之外，還存在數(shù)據(jù)傳輸安全，它可以利用防火墻的VPN功能，實(shí)現(xiàn)互聯(lián)網(wǎng)用戶和局域網(wǎng)用戶到HPC用戶接口之間實(shí)現(xiàn)安全的通信隧道，通過加密、認(rèn)證、數(shù)字簽名等方法保證數(shù)據(jù)傳輸?shù)陌踩?、完整性?/p>

網(wǎng)絡(luò)安全等保解決方案范文第5篇

關(guān)鍵詞：醫(yī)院；信息化；網(wǎng)絡(luò)；安全

中圖分類號(hào)：TP309.2

隨著醫(yī)改的不斷深入，借助信息化提高醫(yī)院的管理水平和服務(wù)質(zhì)量已成為大勢所趨，伴著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，Web化應(yīng)用呈現(xiàn)出爆發(fā)式增長趨勢，一方面，增強(qiáng)了各行業(yè)及部門間的協(xié)作能力，提高了生產(chǎn)效率，另一方面也不可避免的帶來了新的安全威脅。從國家到地方，衛(wèi)生行政主管部門非常重視醫(yī)院信息安全，與公安部門聯(lián)合發(fā)文，要求醫(yī)院完成等級(jí)保護(hù)工作。

1 我院網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀

1.1 醫(yī)院信息系統(tǒng)現(xiàn)狀

我院的信息信息系統(tǒng)主要有：醫(yī)院信息管理系統(tǒng)（HIS）、醫(yī)學(xué)影像信息系統(tǒng)（PACS）、臨床實(shí)驗(yàn)室檢驗(yàn)信息系統(tǒng)（LIS）、電子病歷系統(tǒng)（EMR）、手術(shù)麻醉信息系統(tǒng)（AIMS）、醫(yī)院辦公自動(dòng)化系統(tǒng)（HOA）等。隨著各系統(tǒng)應(yīng)用的不斷深入，以及這些系統(tǒng)與醫(yī)保、合療、健康檔案、財(cái)務(wù)、銀行一卡通等系統(tǒng)的直連，安全問題已越來越突顯，網(wǎng)絡(luò)安全作為信息安全的基礎(chǔ)，變得尤為重要。

1.2 網(wǎng)絡(luò)安全現(xiàn)狀與不足

1.2.1 網(wǎng)絡(luò)安全現(xiàn)狀

（1）我們采用內(nèi)外網(wǎng)物理隔離，內(nèi)網(wǎng)所有U口禁用。對開放的U口通過北信源的桌面管理軟件進(jìn)行管理；（2）內(nèi)外網(wǎng)都使用了賽門鐵克的網(wǎng)絡(luò)殺毒軟件，對網(wǎng)絡(luò)病毒進(jìn)行了防范；（3）與外部連接。

內(nèi)網(wǎng)與省醫(yī)保是通過思科防火墻、路由器和醫(yī)保專線連接進(jìn)行通信；與市醫(yī)保是通過聯(lián)想網(wǎng)御的網(wǎng)閘、醫(yī)保路由器與醫(yī)保專線連接進(jìn)行通信；與合療及虛擬桌面是通過綠盟的下一代防火墻與互聯(lián)網(wǎng)進(jìn)行通信；與健康檔案是通過天融信的VPN與互聯(lián)網(wǎng)進(jìn)行通信的。另外，內(nèi)網(wǎng)與財(cái)務(wù)專用軟件、一卡通也是通過網(wǎng)閘及防火墻進(jìn)行通信的。

另外，我們有較完善的網(wǎng)絡(luò)安全管理制度體系，這里不再贅述。

1.2.2 網(wǎng)絡(luò)安全存在的問題

（1）由于醫(yī)院信息系統(tǒng)與外部業(yè)務(wù)連接不斷增長，專線與安全設(shè)備比較繁雜，運(yùn)維復(fù)雜度較高；（2）通過部署網(wǎng)絡(luò)殺毒軟件及安全設(shè)備，雖然提升了網(wǎng)絡(luò)的安全性，但卻帶來了系統(tǒng)性能下降的問題，如何在不過多影響整體網(wǎng)絡(luò)性能的前提下，又可以完善整網(wǎng)的安全策略的部署，是后續(xù)網(wǎng)絡(luò)優(yōu)化所需要重點(diǎn)關(guān)注的；（3）終端用戶接入網(wǎng)絡(luò)后所進(jìn)行的網(wǎng)絡(luò)訪問行為無法進(jìn)行審計(jì)和追溯。

2 醫(yī)院網(wǎng)絡(luò)層安全策略部署規(guī)劃

在等級(jí)保護(hù)安全策略指導(dǎo)下，我們將整個(gè)醫(yī)院的安全保障體系設(shè)計(jì)分為安全管理體系建設(shè)和安全技術(shù)體系建設(shè)兩個(gè)方面，其中安全技術(shù)體系建設(shè)的內(nèi)容包括安全基礎(chǔ)設(shè)施（主要包括安全網(wǎng)關(guān)、入侵防護(hù)系統(tǒng)、安全審計(jì)系統(tǒng)等），安全管理體系建設(shè)的內(nèi)容包括組織、制度、管理手段等。通過建立醫(yī)院安全技術(shù)體系、安全服務(wù)體系和安全管理體系，提供身份認(rèn)證、訪問控制、抗抵賴和數(shù)據(jù)機(jī)密性、完整性、可用性、可控性等安全服務(wù)，形成集防護(hù)、檢測、響應(yīng)于一體的安全防護(hù)體系，實(shí)現(xiàn)實(shí)體安全、應(yīng)用安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、管理安全，以滿足醫(yī)院安全的需求[1]。

在這里，我主要從安全技術(shù)體系建設(shè)方面闡述醫(yī)院網(wǎng)絡(luò)層安全策略。

網(wǎng)絡(luò)層安全主要涉及的方面包括結(jié)構(gòu)安全、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)幾大類安全控制。

2.1 安全域劃分[2]

2.1.1 安全域劃分原則

（1）業(yè)務(wù)保障原則。安全域方法的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時(shí)，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率；（2）適度安全原則。在安全域劃分時(shí)會(huì)面臨有些業(yè)務(wù)緊密相連，但是根據(jù)安全要求（信息密級(jí)要求，訪問應(yīng)用要求等）又要將其劃分到不同安全域的矛盾。是將業(yè)務(wù)按安全域的要求強(qiáng)性劃分，還是合并安全域以滿足業(yè)務(wù)要求？必須綜合考慮業(yè)務(wù)隔離的難度和合并安全域的風(fēng)險(xiǎn)（會(huì)出現(xiàn)有些資產(chǎn)保護(hù)級(jí)別不夠），從而給出合適的安全域劃分；（3）結(jié)構(gòu)簡化原則。安全域方法的直接目的和效果是要將整個(gè)網(wǎng)絡(luò)變得更加簡單，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計(jì)防護(hù)體系。比如，安全域劃分并不是粒度越細(xì)越好，安全域數(shù)量過多過雜可能導(dǎo)致安全域的管理過于復(fù)雜和困難；（4）等級(jí)保護(hù)原則。安全域的劃分要做到每個(gè)安全域的信息資產(chǎn)價(jià)值相近，具有相同或相近的安全等級(jí)安全環(huán)境安全策略等；（5）立體協(xié)防原則。安全域的主要對象是網(wǎng)絡(luò)，但是圍繞安全域的防護(hù)需要考慮在各個(gè)層次上立體防守，包括在物理鏈路網(wǎng)絡(luò)主機(jī)系統(tǒng)應(yīng)用等層次；同時(shí)，在部署安全域防護(hù)體系的時(shí)候，要綜合運(yùn)用身份鑒別訪問控制檢測審計(jì)鏈路冗余內(nèi)容檢測等各種安全功能實(shí)現(xiàn)協(xié)防；（6）生命周期原則。對于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計(jì)，還要考慮不斷的變化；另外，在安全域的建設(shè)和調(diào)整過程中要考慮工程化的管理。

2.2.2 區(qū)域劃分

業(yè)務(wù)網(wǎng)內(nèi)部根據(jù)業(yè)務(wù)類型及安全需求劃分為如圖1所示的幾個(gè)個(gè)安全區(qū)域，也可以根據(jù)醫(yī)院自己的業(yè)務(wù)實(shí)際情況，添加刪減相關(guān)的安全域，網(wǎng)絡(luò)規(guī)劃拓?fù)鋱D[3]如下：

圖1

（1）外聯(lián)區(qū)：主要與醫(yī)保網(wǎng)、外聯(lián)單位進(jìn)行互聯(lián)，此區(qū)域與數(shù)據(jù)中心核心交換機(jī)互聯(lián)；在外聯(lián)區(qū)接入處部署防火墻、IPS、硬件殺毒墻，也可以部署下一代防火墻產(chǎn)品，添加IPS功能模塊、殺毒功能模塊，通過防火墻、IPS、殺毒進(jìn)行訪問控制，實(shí)現(xiàn)安全隔離；與數(shù)據(jù)中心核心交換機(jī)處部署網(wǎng)閘設(shè)備，實(shí)現(xiàn)物理隔離；（2）運(yùn)維管理區(qū)：主要負(fù)責(zé)運(yùn)維管理醫(yī)院信息化系統(tǒng)，此區(qū)域與數(shù)據(jù)中心核心交換機(jī)互聯(lián)；在運(yùn)維管理區(qū)與核心交換機(jī)之間部署堡壘機(jī)（SAS-H），對運(yùn)維操作進(jìn)行身份識(shí)別與行為管控；部署遠(yuǎn)程安全評估系統(tǒng)（RSAS），對系統(tǒng)的漏洞進(jìn)行安全評估；部署安全配置核查系統(tǒng)，對系統(tǒng)的安全配置做定期檢查；部署日志管理軟件，對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、重要服務(wù)器的日志做收集整理和報(bào)表呈現(xiàn)；部署網(wǎng)絡(luò)版殺毒系統(tǒng)，與硬件殺毒墻非同一品牌；部署網(wǎng)絡(luò)審計(jì)系統(tǒng)，對全網(wǎng)所有用戶行為進(jìn)行網(wǎng)絡(luò)審計(jì)；部署主機(jī)加固系統(tǒng)，對重要服務(wù)器定期進(jìn)行安全加固，以符合等保的安全配置要求；（3）辦公接入?yún)^(qū)：主要負(fù)責(zé)在住院部大樓、門急診樓、公寓后勤樓等辦公用戶的網(wǎng)絡(luò)接入；接入?yún)R聚交換機(jī)旁路部署IDS；與核心交換機(jī)接入采用防火墻進(jìn)行訪問控制；重要辦公用戶安裝桌面終端系統(tǒng)控制非法接入問題；（4）核心交換區(qū)：主要負(fù)責(zé)各個(gè)安全域的接入與VLAN之間的訪問控制；在兩臺(tái)核心交換機(jī)上采用防火墻板卡，來實(shí)現(xiàn)各個(gè)區(qū)域的訪問控制。在核心交換機(jī)旁路部署安全審計(jì)系統(tǒng)，對全網(wǎng)數(shù)據(jù)進(jìn)行內(nèi)容審計(jì)，可以與運(yùn)維管理區(qū)的網(wǎng)絡(luò)審計(jì)使用同一臺(tái)；（5）互聯(lián)網(wǎng)接入?yún)^(qū)：主要負(fù)責(zé)為辦公區(qū)用戶訪問互聯(lián)網(wǎng)提供服務(wù)，以及互聯(lián)網(wǎng)用戶訪問門戶網(wǎng)站及網(wǎng)上預(yù)約等業(yè)務(wù)提供服務(wù)；在互聯(lián)網(wǎng)出口處，部署負(fù)載均衡設(shè)備對鏈路做負(fù)載處理；部署下一代防火墻設(shè)備（IPS+AV+行為管理），對進(jìn)出互聯(lián)網(wǎng)的數(shù)據(jù)進(jìn)行安全審計(jì)和管控；在門戶服務(wù)器與匯聚交換機(jī)之間部署硬件WEB應(yīng)用防火墻，對WEB服務(wù)器進(jìn)行安全防護(hù)；在門戶服務(wù)器上安裝防篡改軟件，來實(shí)現(xiàn)對服務(wù)器的防篡改的要求；部署網(wǎng)閘系統(tǒng)，實(shí)現(xiàn)互聯(lián)網(wǎng)與業(yè)務(wù)內(nèi)網(wǎng)的物理隔離要求；（6）數(shù)據(jù)中心區(qū)：此區(qū)域主要為醫(yī)院信息系統(tǒng)防護(hù)的核心，可分為關(guān)鍵業(yè)務(wù)服務(wù)器群和非關(guān)鍵業(yè)務(wù)服務(wù)器群，為整個(gè)醫(yī)院內(nèi)網(wǎng)業(yè)務(wù)提供運(yùn)算平臺(tái)；在非關(guān)鍵業(yè)務(wù)服務(wù)器群與核心交換區(qū)之間部署防火墻和入侵保護(hù)系統(tǒng)，對服務(wù)器做基礎(chǔ)的安全防護(hù)；在關(guān)鍵業(yè)務(wù)服務(wù)器群與核心交換機(jī)之間部署防火墻、入侵保護(hù)系統(tǒng)、WEB應(yīng)用防護(hù)系統(tǒng)，對服務(wù)器做安全防護(hù)；（7）開發(fā)測試區(qū)：為軟件開發(fā)機(jī)第三方運(yùn)維人員提供接入醫(yī)院內(nèi)網(wǎng)服務(wù)，與核心交換機(jī)互聯(lián)；部署防火墻進(jìn)行訪問控制，所有的開發(fā)測試區(qū)的用戶必須通過堡壘機(jī)訪問醫(yī)院內(nèi)網(wǎng)；（8）存儲(chǔ)備份區(qū)：此區(qū)域主要為醫(yī)院信息化系統(tǒng)數(shù)據(jù)做存儲(chǔ)備份，與核心交換機(jī)互聯(lián)。

2.2 邊界訪問控制[1]

在網(wǎng)絡(luò)結(jié)構(gòu)中，需要對各區(qū)域的邊界進(jìn)行訪問控制，對于醫(yī)院外網(wǎng)邊界、數(shù)據(jù)交換區(qū)邊界、應(yīng)用服務(wù)區(qū)域邊界及核心數(shù)據(jù)區(qū)邊界，需采取部署防火墻的方式實(shí)現(xiàn)高級(jí)別的訪問控制，各區(qū)域訪問控制方式說明如下：

（1）外聯(lián)區(qū)：通過部署高性能防火墻，實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)與醫(yī)院外網(wǎng)之間的訪問控制；（2）核心交換區(qū)：通過核心交換機(jī)的VLAN劃分、訪問控制列表以及在出口處部署防火墻實(shí)現(xiàn)對數(shù)據(jù)交換區(qū)的訪問控制；（3）數(shù)據(jù)中心區(qū)：通過核心交換機(jī)的VLAN劃分、訪問控制列表以及在出口處部署防火墻實(shí)現(xiàn)對應(yīng)用服務(wù)區(qū)的訪問控制；（4）運(yùn)維區(qū)：通過核心交換機(jī)的VLAN劃分、訪問控制列表以及在出口處部署防火墻實(shí)現(xiàn)對核心數(shù)據(jù)區(qū)的訪問控制；（5）互聯(lián)網(wǎng)區(qū)：與內(nèi)網(wǎng)核心交換區(qū)采用網(wǎng)閘系統(tǒng)進(jìn)行物理隔離；與互聯(lián)網(wǎng)出口采用防火墻實(shí)現(xiàn)訪問控制；（6）開發(fā)測試區(qū)：通過核心交換機(jī)的VLAN劃分、訪問控制列表以及在出口處部署防火墻實(shí)現(xiàn)對應(yīng)用服務(wù)區(qū)的訪問控制；（7）辦公網(wǎng)接入?yún)^(qū)：通過核心交換機(jī)的VLAN劃分、訪問控制列表以及在出口處部署防火墻實(shí)現(xiàn)對應(yīng)用服務(wù)區(qū)的訪問控制；（8）備份存儲(chǔ)區(qū)：通過核心交換機(jī)的VLAN劃分、訪問控制列表以及在出口處部署防火墻實(shí)現(xiàn)對應(yīng)用服務(wù)區(qū)的訪問控制。

2.3 網(wǎng)絡(luò)審計(jì)[1]

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主要用于監(jiān)視并記錄網(wǎng)絡(luò)中的各類操作，偵查系統(tǒng)中存在的現(xiàn)有和潛在的威脅，實(shí)時(shí)地綜合分析出網(wǎng)絡(luò)中發(fā)生的安全事件，包括各種外部事件和內(nèi)部事件。在數(shù)據(jù)中心核心交換機(jī)處旁路部署網(wǎng)絡(luò)行為監(jiān)控與審計(jì)系統(tǒng)，形成對全網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)的流量檢測并進(jìn)行相應(yīng)安全審計(jì)，同時(shí)和其他網(wǎng)絡(luò)安全設(shè)備共同為集中安全管理提供監(jiān)控?cái)?shù)據(jù)用于分析及檢測。

網(wǎng)絡(luò)行為監(jiān)控和審計(jì)系統(tǒng)將獨(dú)立的網(wǎng)絡(luò)傳感器硬件組件連接到網(wǎng)絡(luò)中的數(shù)據(jù)匯聚點(diǎn)設(shè)備上，對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行分析、匹配、統(tǒng)計(jì)，通過特定的協(xié)議算法，從而實(shí)現(xiàn)入侵檢測、信息還原等網(wǎng)絡(luò)審計(jì)功能，根據(jù)記錄生成詳細(xì)的審計(jì)報(bào)表。網(wǎng)絡(luò)行為監(jiān)控和審計(jì)系統(tǒng)采取旁路技術(shù)，不用在目標(biāo)主機(jī)中安裝任何組件。同時(shí)玩了個(gè)審計(jì)系統(tǒng)可以與其他網(wǎng)絡(luò)安全設(shè)備進(jìn)行聯(lián)動(dòng)，將各自的監(jiān)控記錄送往安全管理安全域中的安全管理服務(wù)器，集中對網(wǎng)絡(luò)異常、攻擊和病毒進(jìn)行分析和檢測。

2.4 網(wǎng)絡(luò)入侵防范[1]

根據(jù)數(shù)據(jù)中心的業(yè)務(wù)安全需求和等級(jí)保護(hù)三級(jí)對入侵防范的要求，需要在網(wǎng)絡(luò)中部署入侵防護(hù)產(chǎn)品。

入侵防護(hù)和產(chǎn)品通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測產(chǎn)品應(yīng)支持深度內(nèi)容檢測、技術(shù)。配合實(shí)時(shí)更新的入侵攻擊特征庫，可檢測網(wǎng)絡(luò)攻擊行為，包括病毒、蠕蟲、木馬、間諜軟件、可疑代碼、探測與掃描等各種網(wǎng)絡(luò)威脅。當(dāng)檢測到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。

入侵防護(hù)產(chǎn)品部署在數(shù)據(jù)中心與核心交換機(jī)之間，繼防火墻邊界訪問控制后的第二道防線。

2.5 邊界惡意代碼防范[1]

根據(jù)數(shù)據(jù)中心業(yè)務(wù)風(fēng)險(xiǎn)分析和等級(jí)保護(hù)三級(jí)對邊界惡意代碼防范的要求，需要在互聯(lián)網(wǎng)邊界部署防病毒產(chǎn)品，也可以在下一代防火墻添加防病毒模塊來實(shí)現(xiàn)此功能；防病毒產(chǎn)品應(yīng)具備針對HTTP、FTP、SMTP、POP3、IMAP以及MSN協(xié)議的內(nèi)容檢查、清除病毒的能力。支持查殺引導(dǎo)區(qū)病毒、文件型病毒、宏病毒、蠕蟲病毒、特洛伊木馬、后門程序、惡意腳本等各種惡意代碼，并定期提供對病毒庫版本的升級(jí)。

2.6 網(wǎng)絡(luò)設(shè)備保護(hù)[1]

對于網(wǎng)絡(luò)中關(guān)鍵的交換機(jī)、路由器設(shè)備，也需要采用一定的安全設(shè)置及安全保障手段來實(shí)現(xiàn)網(wǎng)絡(luò)層的控制。主要是根據(jù)等級(jí)保護(hù)基本要求配置網(wǎng)絡(luò)設(shè)備自身的身份鑒別與權(quán)限控制，包括：登錄地址、標(biāo)識(shí)符、口令復(fù)雜度、失敗處理、傳輸加密、特權(quán)用戶權(quán)限分配等方面對網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固。

由于不同網(wǎng)絡(luò)設(shè)備安全配置的不同、配置維護(hù)工作繁雜，且信息安全是動(dòng)態(tài)變化的，因此這里推薦通過自動(dòng)化的配置核查設(shè)備，對網(wǎng)絡(luò)層面和主機(jī)層的安全配置進(jìn)行定期掃描核查，及時(shí)發(fā)現(xiàn)不滿足基線要求的相關(guān)配置，并根據(jù)等級(jí)保護(hù)的安全配置要求提供相對應(yīng)的安全配置加固指導(dǎo)。

3 結(jié)束語

通過以上六個(gè)方面的安全加固，重點(diǎn)解決了醫(yī)院當(dāng)前網(wǎng)絡(luò)安全環(huán)境中面臨的主要問題。隨著醫(yī)院數(shù)字化進(jìn)程的不斷深入，我們還將重點(diǎn)跟蹤網(wǎng)絡(luò)安全方面出現(xiàn)的新問題、新的技術(shù)思路和新的技術(shù)解決方案，做好醫(yī)院的網(wǎng)絡(luò)安全工作，為醫(yī)院信息化建設(shè)保駕護(hù)航。

目前，網(wǎng)絡(luò)已經(jīng)深刻影響與改變現(xiàn)有的醫(yī)療模式[4]，網(wǎng)絡(luò)安全已成為醫(yī)院信息化建設(shè)中的重中之重，它是一項(xiàng)復(fù)雜而艱巨的系統(tǒng)工程，需全方位入手，切實(shí)保障醫(yī)院各信息系統(tǒng)安全穩(wěn)定的運(yùn)行、醫(yī)院各項(xiàng)工作順利的開展，真正為廣大患者提供優(yōu)質(zhì)便捷的服務(wù)。

參考文獻(xiàn)：

[1]GB/T 22239-2008，信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].

[2]GB/T 9387.2-1995，開放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)《醫(yī)療機(jī)構(gòu)》，P14-P18：安全服務(wù)與安全機(jī)制的配置[S].

[3]ISO 10181：1996 信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架[S].

[4]陳理兵，陳起燕.論醫(yī)院網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全設(shè)計(jì)[J].福建電腦，2013（11）.