摘要：從物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全五個方面介紹網(wǎng)絡(luò)信息安全等級保護(hù)建設(shè)，結(jié)合特定的信息系統(tǒng)（醫(yī)院信息管理系統(tǒng)），介紹基于等級保護(hù)的網(wǎng)絡(luò)安全技術(shù)要求、安全策略及安全技術(shù)，可供用戶的等級保護(hù)建設(shè)參考。

關(guān)鍵詞：等級保護(hù)；網(wǎng)絡(luò)安全；信息安全；安全防范

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）19-4433-03

隨著我國國際地位的不斷提高和經(jīng)濟(jì)的持續(xù)發(fā)展，我國的網(wǎng)絡(luò)信息和重要信息系統(tǒng)面臨越來越多的威脅，網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升，計算機(jī)病毒傳播和網(wǎng)絡(luò)非法入侵十分猖獗，犯罪分子利用一些安全漏洞，使用木馬間諜程序、網(wǎng)絡(luò)釣魚技術(shù)、黑客病毒技術(shù)等技術(shù)進(jìn)行網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)賭博等違法犯罪，給用戶造成嚴(yán)重?fù)p失，因此，維護(hù)網(wǎng)絡(luò)信息安全的任務(wù)非常艱巨、繁重，加強(qiáng)網(wǎng)絡(luò)信息安全等級保護(hù)建設(shè)刻不容緩。

1 網(wǎng)絡(luò)信息安全等級保護(hù)

信息安全等級保護(hù)是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。網(wǎng)絡(luò)信息安全等級保護(hù)體系包括技術(shù)和管理兩大部分，如圖1所示，其中技術(shù)要求分為數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)安全、主機(jī)安全、物理安全五個方面進(jìn)行建設(shè)。

圖1 等級保護(hù)基本安全要求

1） 物理安全

物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設(shè)備和介質(zhì)的防盜竊防破壞等方面。

2） 主機(jī)安全

主機(jī)系統(tǒng)安全是計算機(jī)設(shè)備（包括服務(wù)器、終端/工作站等）在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全；通過部署終端安全管理系統(tǒng)（TSM），準(zhǔn)入認(rèn)證網(wǎng)關(guān)（SACG），以及專業(yè)主機(jī)安全加固服務(wù)，可以實現(xiàn)等級保護(hù)對主機(jī)安全防護(hù)要求。

3） 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)是保障信息系統(tǒng)互聯(lián)互通基礎(chǔ)，網(wǎng)絡(luò)安全防護(hù)重點是確保網(wǎng)絡(luò)之間合法訪問，檢測，阻止內(nèi)部，外部惡意攻擊；通過部署統(tǒng)一威脅管理網(wǎng)關(guān)USG系列，入侵檢測/防御系統(tǒng)NIP，Anti-DDoS等網(wǎng)絡(luò)安全產(chǎn)品，為合法的用戶提供合法網(wǎng)絡(luò)訪問，及時發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部惡意攻擊安全威脅。

4） 應(yīng)用安全

應(yīng)用安全就是保護(hù)系統(tǒng)的各種應(yīng)用程序安全運行，包括各種基本應(yīng)用，如：消息發(fā)送、web瀏覽等；業(yè)務(wù)應(yīng)用，如：電子商務(wù)、電子政務(wù)等；部署的文檔安全管理系統(tǒng)（DSM），數(shù)據(jù)庫審計UMA-DB，防病毒網(wǎng)關(guān)AVE等產(chǎn)品。并且通過安全網(wǎng)關(guān)USG實現(xiàn)數(shù)據(jù)鏈路傳輸IPSec VPN加密，數(shù)據(jù)災(zāi)備實現(xiàn)企業(yè)信息系統(tǒng)數(shù)據(jù)防護(hù)，降低數(shù)據(jù)因意外事故，或者丟失給造成危害。

5） 數(shù)據(jù)安全

數(shù)據(jù)安全主要是保護(hù)用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)的保護(hù)；通過對所有信息系統(tǒng)，網(wǎng)絡(luò)設(shè)備，安全設(shè)備，服務(wù)器，終端機(jī)的安全事件日志統(tǒng)一采集，分析，輸出各類法規(guī)要求安全事件審計報告，制定標(biāo)準(zhǔn)安全事件應(yīng)急響應(yīng)工單流程。

2 應(yīng)用實例

近年來衛(wèi)生行業(yè)全面開展信息安全等級保護(hù)定級備案、建設(shè)整改和等級測評等工作，某醫(yī)院的核心系統(tǒng)按照等級保護(hù)三級標(biāo)準(zhǔn)建設(shè)信息系統(tǒng)安全體系，全面保護(hù)醫(yī)院內(nèi)網(wǎng)系統(tǒng)與外網(wǎng)系統(tǒng)的信息安全。

醫(yī)院網(wǎng)絡(luò)的安全建設(shè)核心內(nèi)容是將網(wǎng)絡(luò)進(jìn)行全方位的安全防護(hù)，不是對整個系統(tǒng)進(jìn)行同一等級的保護(hù)，而是針對系統(tǒng)內(nèi)部的不同業(yè)務(wù)區(qū)域進(jìn)行不同等級的保護(hù)；通過安全域劃分，實現(xiàn)對不同系統(tǒng)的差異防護(hù)，并防止安全問題擴(kuò)散。業(yè)務(wù)應(yīng)用以及基礎(chǔ)網(wǎng)絡(luò)服務(wù)、日常辦公終端之間都存在一定差異，各自可能具有不同的安全防護(hù)需求，因此需要將不同特性的系統(tǒng)進(jìn)行歸類劃分安全域，并明確各域邊界，分別考慮防護(hù)措施。經(jīng)過梳理后的醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全區(qū)域劃分如圖2所示，外網(wǎng)是一個星型的快速以太交換網(wǎng)，核心為一臺高性能三層交換機(jī)，下聯(lián)內(nèi)網(wǎng)核心交換機(jī)，上聯(lián)外網(wǎng)服務(wù)器區(qū)域交換機(jī)和DMZ隔離區(qū)，外聯(lián)互聯(lián)網(wǎng)出口路由器，內(nèi)網(wǎng)交換機(jī)向下連接信息點（終端計算機(jī)），外網(wǎng)核心交換機(jī)與內(nèi)網(wǎng)核心交換機(jī)之間采用千兆光纖鏈路，內(nèi)網(wǎng)交換機(jī)采用百兆雙絞線鏈路下聯(lián)終端計算機(jī)，外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計至關(guān)重要，直接影響到等級保護(hù)系統(tǒng)的安全性能。

圖 2 醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全區(qū)域劃分圖

2.1外網(wǎng)網(wǎng)絡(luò)安全要求

系統(tǒng)定級為3級，且等級保護(hù)要求選擇為S3A2G3，查找《信息系統(tǒng)安全等級保護(hù)基本要求》得到該系統(tǒng)的具體技術(shù)要求選擇，外網(wǎng)網(wǎng)絡(luò)安全要求必須滿足如下要求：邊界完整性檢查（S3） 、入侵防范（G3） 、結(jié)構(gòu)安全（G3） 、訪問控制（G3） 、安全審計（G3） 、惡意代碼防范（G3） 和網(wǎng)絡(luò)設(shè)備防護(hù)（G3） 。

2.2網(wǎng)絡(luò)安全策略

根據(jù)對醫(yī)院外網(wǎng)機(jī)房區(qū)域安全保護(hù)等級達(dá)到安全等級保護(hù)3級的基本要求，制定相應(yīng)的網(wǎng)絡(luò)安全策略

1） 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)策略

要合理劃分網(wǎng)段，利用網(wǎng)絡(luò)中間設(shè)備的安全機(jī)制控制各網(wǎng)絡(luò)間的訪問。要采取一定的技術(shù)措施，監(jiān)控網(wǎng)絡(luò)中存在的安全隱患、脆弱點。并利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

2） 訪問控制策略

訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制，它控制哪些用戶能夠連入內(nèi)部網(wǎng)絡(luò)，那些用戶能夠通過哪種方式登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。

3） 網(wǎng)絡(luò)入侵檢測策略

系統(tǒng)中應(yīng)該設(shè)置入侵檢測策略，動態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動并做出及時的響應(yīng)。

4） 網(wǎng)絡(luò)安全審計策略

系統(tǒng)中應(yīng)該設(shè)置安全審計策略，收集并分析網(wǎng)絡(luò)中的訪問數(shù)據(jù)，從而發(fā)現(xiàn)違反安全策略的行為。

5） 運行安全策略

運行安全策略包括：建立全網(wǎng)的運行安全評估流程，定期評估和加固網(wǎng)絡(luò)設(shè)備及安全設(shè)備。

2.3網(wǎng)絡(luò)安全設(shè)計

根據(jù)對醫(yī)院外網(wǎng)安全保護(hù)等級達(dá)到安全等級保護(hù)3級的基本要求，外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計包括網(wǎng)絡(luò)訪問控制，網(wǎng)絡(luò)入侵防護(hù)，網(wǎng)絡(luò)安全審計和其他安全設(shè)計。

1） 網(wǎng)絡(luò)訪問控制

實現(xiàn)以上等級保護(hù)的最有效方法就是在外網(wǎng)中關(guān)鍵網(wǎng)絡(luò)位置部署防火墻類網(wǎng)關(guān)設(shè)備，采用一臺天融信網(wǎng)絡(luò)衛(wèi)士獵豹防火墻、一臺CISCO公司的PIX515和一臺網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)TopIDP。

①外網(wǎng)互聯(lián)網(wǎng)邊界防火墻：在局域網(wǎng)與互聯(lián)網(wǎng)邊界之間部署CISCO公司的PIX515百兆防火墻，該防火墻通過雙絞線連接核心交換區(qū)域和互聯(lián)網(wǎng)接入?yún)^(qū)域，對外網(wǎng)的互聯(lián)網(wǎng)接入提供邊界防護(hù)和訪問控制。

②對外服務(wù)區(qū)域邊界防火墻：對外服務(wù)區(qū)域與安全管理區(qū)域邊界部署一臺千兆防火墻（天融信NGFW4000-UF），該防火墻通過光纖連接核心交換機(jī)和對外服務(wù)區(qū)域交換機(jī)，通過雙絞線連接區(qū)域內(nèi)服務(wù)器，對其他區(qū)域向?qū)ν夥?wù)區(qū)域及安全管理區(qū)域的訪問行為進(jìn)行控制，同時控制兩個區(qū)域內(nèi)部各服務(wù)器之間的訪問行為。

③網(wǎng)絡(luò)入侵防御系統(tǒng)：在托管機(jī)房區(qū)域邊界部署一臺網(wǎng)絡(luò)入侵防御系統(tǒng)，該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機(jī)，為托管機(jī)房區(qū)域提供邊界防護(hù)和訪問控制。

2） 網(wǎng)絡(luò)入侵防護(hù)

外網(wǎng)局域網(wǎng)的對外服務(wù)區(qū)域，防護(hù)級別為S2A2G2，重點要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測，因此在局域網(wǎng)的內(nèi)部區(qū)域邊界部署網(wǎng)絡(luò)入侵檢測系統(tǒng)（天融信網(wǎng)絡(luò)入侵防御系統(tǒng)TopIDP）；對于外網(wǎng)托管機(jī)房的網(wǎng)站系統(tǒng)，防護(hù)級別為S3A2G3，由于其直接與互聯(lián)網(wǎng)相連，不僅要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測，還要能夠有效防護(hù)互聯(lián)網(wǎng)進(jìn)來的攻擊行為，因此在托管機(jī)房區(qū)域邊界部署網(wǎng)絡(luò)入侵防御系統(tǒng)（啟明星辰天闐NS2200）。

①網(wǎng)絡(luò)入侵防御系統(tǒng)：在托管機(jī)房區(qū)域邊界部署一臺采用通明模式的網(wǎng)絡(luò)入侵防御系統(tǒng)，該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機(jī)，其主要用來防御來自互聯(lián)網(wǎng)的攻擊流量。

②網(wǎng)絡(luò)入侵檢測系統(tǒng)：在外網(wǎng)的核心交換機(jī)上部署一臺千兆IDS系統(tǒng)，IDS監(jiān)聽端口類型需要和核心交換機(jī)對端的端口類型保持一致；在核心交換機(jī)上操作進(jìn)行一對一監(jiān)聽端口鏡像操作，將對外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路，以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進(jìn)出雙方向的數(shù)據(jù)流量，鏡像至IDS監(jiān)聽端口；IDS用于對訪問對外服務(wù)區(qū)域的數(shù)據(jù)流量，訪問安全管理區(qū)域的數(shù)據(jù)流量，以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進(jìn)行檢測。

3） 網(wǎng)絡(luò)安全審計

信息安全審計管理應(yīng)該管理最重要的核心網(wǎng)絡(luò)邊界，在外網(wǎng)被審計對象不僅僅包括對外服務(wù)區(qū)域中的應(yīng)用服務(wù)器和安全管理區(qū)域的服務(wù)器等的訪問流量，還要對終端的互聯(lián)網(wǎng)訪問行為進(jìn)行審計；此外重要網(wǎng)絡(luò)設(shè)備和安全設(shè)備也需要列為審計和保護(hù)的對象。

由于終端的業(yè)務(wù)訪問和互聯(lián)網(wǎng)訪問都需要在網(wǎng)絡(luò)設(shè)備產(chǎn)生訪問流量，因此在外網(wǎng)的核心交換機(jī)上部署網(wǎng)絡(luò)行為審計系統(tǒng)（天融信網(wǎng)絡(luò)行為審計TopAudit），交換機(jī)必需映射一個多對一抓包端口，網(wǎng)絡(luò)審計引擎通過抓取網(wǎng)絡(luò)中的數(shù)據(jù)包，并對抓到的包進(jìn)行分析、匹配、統(tǒng)計，從而實現(xiàn)網(wǎng)絡(luò)安全審計功能。

①在外網(wǎng)的核心交換機(jī)上部署一臺千兆網(wǎng)絡(luò)安全審計系統(tǒng)，監(jiān)聽端口類型需要和核心交換機(jī)對端的端口類型保持一致，使用光纖接口；

②在核心交換機(jī)上操作進(jìn)行一對一監(jiān)聽端口鏡像操作，將對外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路，以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進(jìn)出雙方向的數(shù)據(jù)流量，鏡像至網(wǎng)絡(luò)安全審計系統(tǒng)的監(jiān)聽端口；

③網(wǎng)絡(luò)安全審計系統(tǒng)用于對訪問對外服務(wù)區(qū)域的數(shù)據(jù)流量，訪問安全管理區(qū)域的數(shù)據(jù)流量，以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進(jìn)行安全審計；

④開啟各區(qū)域服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志審計功能。

4） 其他網(wǎng)絡(luò)安全設(shè)計

其他網(wǎng)絡(luò)安全設(shè)計包括邊界完整性檢查，惡意代碼防范，網(wǎng)絡(luò)設(shè)備防護(hù)，邊界完整性檢查等。

①邊界完整性檢查：在托管機(jī)房的網(wǎng)絡(luò)設(shè)備上為托管區(qū)域服務(wù)器劃分獨立VLAN，并制定嚴(yán)格的策略，禁止其他VLAN的訪問，只允許來自網(wǎng)絡(luò)入侵防御系統(tǒng)外部接口的訪問行為；對服務(wù)器系統(tǒng)進(jìn)行安全加固，提升系統(tǒng)自身的安全訪問控制能力；

②惡意代碼防范：通過互聯(lián)網(wǎng)邊界的入侵防御系統(tǒng)對木馬類、拒絕服務(wù)類、系統(tǒng)漏洞類、webcgi類、蠕蟲類等惡意代碼進(jìn)行檢測和清除；部署服務(wù)器防病毒系統(tǒng)，定期進(jìn)行病毒庫升級和全面殺毒，確保服務(wù)器具有良好的防病毒能力。

③網(wǎng)絡(luò)設(shè)備防護(hù)：網(wǎng)絡(luò)設(shè)備為托管機(jī)房單位提供，由其提供網(wǎng)絡(luò)設(shè)備安全加固服務(wù)，應(yīng)進(jìn)行以下的安全加固：開啟樓層接入交換機(jī)的接口安全特性，并作MAC綁定； 關(guān)閉不必要的服務(wù)（如：禁止CDP（Cisco Discovery Protocol），禁止TCP、UDP Small服務(wù)等）， 登錄要求和帳號管理， 其它安全要求（如：禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件，禁止未使用或空閑的端口等）。

3 結(jié)束語

信息安全等級保護(hù)是實施國家信息安全戰(zhàn)略的重大舉措，也是我國建立信息安全保障體系的基本制度。作為國家信息安全保障體系建設(shè)的重要依據(jù)，在實行安全防護(hù)系統(tǒng)建設(shè)的過程中，應(yīng)當(dāng)按照等級保護(hù)的思想和基本要求進(jìn)行建設(shè)，根據(jù)分級、分域、分系統(tǒng)進(jìn)行安全建設(shè)的思路，針對一個特定的信息系統(tǒng)（醫(yī)院信息管理系統(tǒng)）為例，提出全面的等級保護(hù)技術(shù)建設(shè)方案，希望能夠為用戶的等級保護(hù)建設(shè)提出參考。

參考文獻(xiàn)：

[1] 徐寶海.市縣級國土資源系統(tǒng)信息網(wǎng)絡(luò)安全體系建設(shè)探討[J].中國管理信息化，2014（4）.

[2] 李光輝.全臺網(wǎng)信息安全保障體系初探[J].電腦知識與技術(shù)，2013（33）.

[3] 李茜.一個基于等級保護(hù)的高校數(shù)據(jù)中心信息系統(tǒng)安全方案[J].廣西科學(xué)院學(xué)報，2013（2）.

[4] 李昌俊.基于等級保護(hù)計檢察信息系統(tǒng)網(wǎng)絡(luò)安全體系[J].信息化建設(shè)，2013（2）.endprint

系統(tǒng)中應(yīng)該設(shè)置入侵檢測策略，動態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動并做出及時的響應(yīng)。

4） 網(wǎng)絡(luò)安全審計策略

系統(tǒng)中應(yīng)該設(shè)置安全審計策略，收集并分析網(wǎng)絡(luò)中的訪問數(shù)據(jù)，從而發(fā)現(xiàn)違反安全策略的行為。

5） 運行安全策略

運行安全策略包括：建立全網(wǎng)的運行安全評估流程，定期評估和加固網(wǎng)絡(luò)設(shè)備及安全設(shè)備。

2.3網(wǎng)絡(luò)安全設(shè)計

根據(jù)對醫(yī)院外網(wǎng)安全保護(hù)等級達(dá)到安全等級保護(hù)3級的基本要求，外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計包括網(wǎng)絡(luò)訪問控制，網(wǎng)絡(luò)入侵防護(hù)，網(wǎng)絡(luò)安全審計和其他安全設(shè)計。

1） 網(wǎng)絡(luò)訪問控制

實現(xiàn)以上等級保護(hù)的最有效方法就是在外網(wǎng)中關(guān)鍵網(wǎng)絡(luò)位置部署防火墻類網(wǎng)關(guān)設(shè)備，采用一臺天融信網(wǎng)絡(luò)衛(wèi)士獵豹防火墻、一臺CISCO公司的PIX515和一臺網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)TopIDP。

①外網(wǎng)互聯(lián)網(wǎng)邊界防火墻：在局域網(wǎng)與互聯(lián)網(wǎng)邊界之間部署CISCO公司的PIX515百兆防火墻，該防火墻通過雙絞線連接核心交換區(qū)域和互聯(lián)網(wǎng)接入?yún)^(qū)域，對外網(wǎng)的互聯(lián)網(wǎng)接入提供邊界防護(hù)和訪問控制。

②對外服務(wù)區(qū)域邊界防火墻：對外服務(wù)區(qū)域與安全管理區(qū)域邊界部署一臺千兆防火墻（天融信NGFW4000-UF），該防火墻通過光纖連接核心交換機(jī)和對外服務(wù)區(qū)域交換機(jī)，通過雙絞線連接區(qū)域內(nèi)服務(wù)器，對其他區(qū)域向?qū)ν夥?wù)區(qū)域及安全管理區(qū)域的訪問行為進(jìn)行控制，同時控制兩個區(qū)域內(nèi)部各服務(wù)器之間的訪問行為。

③網(wǎng)絡(luò)入侵防御系統(tǒng)：在托管機(jī)房區(qū)域邊界部署一臺網(wǎng)絡(luò)入侵防御系統(tǒng)，該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機(jī)，為托管機(jī)房區(qū)域提供邊界防護(hù)和訪問控制。

2） 網(wǎng)絡(luò)入侵防護(hù)

外網(wǎng)局域網(wǎng)的對外服務(wù)區(qū)域，防護(hù)級別為S2A2G2，重點要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測，因此在局域網(wǎng)的內(nèi)部區(qū)域邊界部署網(wǎng)絡(luò)入侵檢測系統(tǒng)（天融信網(wǎng)絡(luò)入侵防御系統(tǒng)TopIDP）；對于外網(wǎng)托管機(jī)房的網(wǎng)站系統(tǒng)，防護(hù)級別為S3A2G3，由于其直接與互聯(lián)網(wǎng)相連，不僅要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測，還要能夠有效防護(hù)互聯(lián)網(wǎng)進(jìn)來的攻擊行為，因此在托管機(jī)房區(qū)域邊界部署網(wǎng)絡(luò)入侵防御系統(tǒng)（啟明星辰天闐NS2200）。

①網(wǎng)絡(luò)入侵防御系統(tǒng)：在托管機(jī)房區(qū)域邊界部署一臺采用通明模式的網(wǎng)絡(luò)入侵防御系統(tǒng)，該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機(jī)，其主要用來防御來自互聯(lián)網(wǎng)的攻擊流量。

②網(wǎng)絡(luò)入侵檢測系統(tǒng)：在外網(wǎng)的核心交換機(jī)上部署一臺千兆IDS系統(tǒng)，IDS監(jiān)聽端口類型需要和核心交換機(jī)對端的端口類型保持一致；在核心交換機(jī)上操作進(jìn)行一對一監(jiān)聽端口鏡像操作，將對外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路，以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進(jìn)出雙方向的數(shù)據(jù)流量，鏡像至IDS監(jiān)聽端口；IDS用于對訪問對外服務(wù)區(qū)域的數(shù)據(jù)流量，訪問安全管理區(qū)域的數(shù)據(jù)流量，以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進(jìn)行檢測。

3） 網(wǎng)絡(luò)安全審計

信息安全審計管理應(yīng)該管理最重要的核心網(wǎng)絡(luò)邊界，在外網(wǎng)被審計對象不僅僅包括對外服務(wù)區(qū)域中的應(yīng)用服務(wù)器和安全管理區(qū)域的服務(wù)器等的訪問流量，還要對終端的互聯(lián)網(wǎng)訪問行為進(jìn)行審計；此外重要網(wǎng)絡(luò)設(shè)備和安全設(shè)備也需要列為審計和保護(hù)的對象。

由于終端的業(yè)務(wù)訪問和互聯(lián)網(wǎng)訪問都需要在網(wǎng)絡(luò)設(shè)備產(chǎn)生訪問流量，因此在外網(wǎng)的核心交換機(jī)上部署網(wǎng)絡(luò)行為審計系統(tǒng)（天融信網(wǎng)絡(luò)行為審計TopAudit），交換機(jī)必需映射一個多對一抓包端口，網(wǎng)絡(luò)審計引擎通過抓取網(wǎng)絡(luò)中的數(shù)據(jù)包，并對抓到的包進(jìn)行分析、匹配、統(tǒng)計，從而實現(xiàn)網(wǎng)絡(luò)安全審計功能。

①在外網(wǎng)的核心交換機(jī)上部署一臺千兆網(wǎng)絡(luò)安全審計系統(tǒng)，監(jiān)聽端口類型需要和核心交換機(jī)對端的端口類型保持一致，使用光纖接口；

②在核心交換機(jī)上操作進(jìn)行一對一監(jiān)聽端口鏡像操作，將對外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路，以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進(jìn)出雙方向的數(shù)據(jù)流量，鏡像至網(wǎng)絡(luò)安全審計系統(tǒng)的監(jiān)聽端口；

③網(wǎng)絡(luò)安全審計系統(tǒng)用于對訪問對外服務(wù)區(qū)域的數(shù)據(jù)流量，訪問安全管理區(qū)域的數(shù)據(jù)流量，以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進(jìn)行安全審計；

④開啟各區(qū)域服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志審計功能。

4） 其他網(wǎng)絡(luò)安全設(shè)計

其他網(wǎng)絡(luò)安全設(shè)計包括邊界完整性檢查，惡意代碼防范，網(wǎng)絡(luò)設(shè)備防護(hù)，邊界完整性檢查等。

①邊界完整性檢查：在托管機(jī)房的網(wǎng)絡(luò)設(shè)備上為托管區(qū)域服務(wù)器劃分獨立VLAN，并制定嚴(yán)格的策略，禁止其他VLAN的訪問，只允許來自網(wǎng)絡(luò)入侵防御系統(tǒng)外部接口的訪問行為；對服務(wù)器系統(tǒng)進(jìn)行安全加固，提升系統(tǒng)自身的安全訪問控制能力；

②惡意代碼防范：通過互聯(lián)網(wǎng)邊界的入侵防御系統(tǒng)對木馬類、拒絕服務(wù)類、系統(tǒng)漏洞類、webcgi類、蠕蟲類等惡意代碼進(jìn)行檢測和清除；部署服務(wù)器防病毒系統(tǒng)，定期進(jìn)行病毒庫升級和全面殺毒，確保服務(wù)器具有良好的防病毒能力。

③網(wǎng)絡(luò)設(shè)備防護(hù)：網(wǎng)絡(luò)設(shè)備為托管機(jī)房單位提供，由其提供網(wǎng)絡(luò)設(shè)備安全加固服務(wù)，應(yīng)進(jìn)行以下的安全加固：開啟樓層接入交換機(jī)的接口安全特性，并作MAC綁定； 關(guān)閉不必要的服務(wù)（如：禁止CDP（Cisco Discovery Protocol），禁止TCP、UDP Small服務(wù)等）， 登錄要求和帳號管理， 其它安全要求（如：禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件，禁止未使用或空閑的端口等）。

3 結(jié)束語

信息安全等級保護(hù)是實施國家信息安全戰(zhàn)略的重大舉措，也是我國建立信息安全保障體系的基本制度。作為國家信息安全保障體系建設(shè)的重要依據(jù)，在實行安全防護(hù)系統(tǒng)建設(shè)的過程中，應(yīng)當(dāng)按照等級保護(hù)的思想和基本要求進(jìn)行建設(shè)，根據(jù)分級、分域、分系統(tǒng)進(jìn)行安全建設(shè)的思路，針對一個特定的信息系統(tǒng)（醫(yī)院信息管理系統(tǒng)）為例，提出全面的等級保護(hù)技術(shù)建設(shè)方案，希望能夠為用戶的等級保護(hù)建設(shè)提出參考。

參考文獻(xiàn)：

[1] 徐寶海.市縣級國土資源系統(tǒng)信息網(wǎng)絡(luò)安全體系建設(shè)探討[J].中國管理信息化，2014（4）.

[2] 李光輝.全臺網(wǎng)信息安全保障體系初探[J].電腦知識與技術(shù)，2013（33）.

[3] 李茜.一個基于等級保護(hù)的高校數(shù)據(jù)中心信息系統(tǒng)安全方案[J].廣西科學(xué)院學(xué)報，2013（2）.

[4] 李昌俊.基于等級保護(hù)計檢察信息系統(tǒng)網(wǎng)絡(luò)安全體系[J].信息化建設(shè)，2013（2）.endprint

系統(tǒng)中應(yīng)該設(shè)置入侵檢測策略，動態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動并做出及時的響應(yīng)。

4） 網(wǎng)絡(luò)安全審計策略

系統(tǒng)中應(yīng)該設(shè)置安全審計策略，收集并分析網(wǎng)絡(luò)中的訪問數(shù)據(jù)，從而發(fā)現(xiàn)違反安全策略的行為。

5） 運行安全策略

運行安全策略包括：建立全網(wǎng)的運行安全評估流程，定期評估和加固網(wǎng)絡(luò)設(shè)備及安全設(shè)備。

2.3網(wǎng)絡(luò)安全設(shè)計

根據(jù)對醫(yī)院外網(wǎng)安全保護(hù)等級達(dá)到安全等級保護(hù)3級的基本要求，外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計包括網(wǎng)絡(luò)訪問控制，網(wǎng)絡(luò)入侵防護(hù)，網(wǎng)絡(luò)安全審計和其他安全設(shè)計。

1） 網(wǎng)絡(luò)訪問控制

實現(xiàn)以上等級保護(hù)的最有效方法就是在外網(wǎng)中關(guān)鍵網(wǎng)絡(luò)位置部署防火墻類網(wǎng)關(guān)設(shè)備，采用一臺天融信網(wǎng)絡(luò)衛(wèi)士獵豹防火墻、一臺CISCO公司的PIX515和一臺網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)TopIDP。

①外網(wǎng)互聯(lián)網(wǎng)邊界防火墻：在局域網(wǎng)與互聯(lián)網(wǎng)邊界之間部署CISCO公司的PIX515百兆防火墻，該防火墻通過雙絞線連接核心交換區(qū)域和互聯(lián)網(wǎng)接入?yún)^(qū)域，對外網(wǎng)的互聯(lián)網(wǎng)接入提供邊界防護(hù)和訪問控制。

②對外服務(wù)區(qū)域邊界防火墻：對外服務(wù)區(qū)域與安全管理區(qū)域邊界部署一臺千兆防火墻（天融信NGFW4000-UF），該防火墻通過光纖連接核心交換機(jī)和對外服務(wù)區(qū)域交換機(jī)，通過雙絞線連接區(qū)域內(nèi)服務(wù)器，對其他區(qū)域向?qū)ν夥?wù)區(qū)域及安全管理區(qū)域的訪問行為進(jìn)行控制，同時控制兩個區(qū)域內(nèi)部各服務(wù)器之間的訪問行為。

③網(wǎng)絡(luò)入侵防御系統(tǒng)：在托管機(jī)房區(qū)域邊界部署一臺網(wǎng)絡(luò)入侵防御系統(tǒng)，該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機(jī)，為托管機(jī)房區(qū)域提供邊界防護(hù)和訪問控制。

2） 網(wǎng)絡(luò)入侵防護(hù)

外網(wǎng)局域網(wǎng)的對外服務(wù)區(qū)域，防護(hù)級別為S2A2G2，重點要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測，因此在局域網(wǎng)的內(nèi)部區(qū)域邊界部署網(wǎng)絡(luò)入侵檢測系統(tǒng)（天融信網(wǎng)絡(luò)入侵防御系統(tǒng)TopIDP）；對于外網(wǎng)托管機(jī)房的網(wǎng)站系統(tǒng)，防護(hù)級別為S3A2G3，由于其直接與互聯(lián)網(wǎng)相連，不僅要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測，還要能夠有效防護(hù)互聯(lián)網(wǎng)進(jìn)來的攻擊行為，因此在托管機(jī)房區(qū)域邊界部署網(wǎng)絡(luò)入侵防御系統(tǒng)（啟明星辰天闐NS2200）。

①網(wǎng)絡(luò)入侵防御系統(tǒng)：在托管機(jī)房區(qū)域邊界部署一臺采用通明模式的網(wǎng)絡(luò)入侵防御系統(tǒng)，該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機(jī)，其主要用來防御來自互聯(lián)網(wǎng)的攻擊流量。

②網(wǎng)絡(luò)入侵檢測系統(tǒng)：在外網(wǎng)的核心交換機(jī)上部署一臺千兆IDS系統(tǒng)，IDS監(jiān)聽端口類型需要和核心交換機(jī)對端的端口類型保持一致；在核心交換機(jī)上操作進(jìn)行一對一監(jiān)聽端口鏡像操作，將對外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路，以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進(jìn)出雙方向的數(shù)據(jù)流量，鏡像至IDS監(jiān)聽端口；IDS用于對訪問對外服務(wù)區(qū)域的數(shù)據(jù)流量，訪問安全管理區(qū)域的數(shù)據(jù)流量，以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進(jìn)行檢測。

3） 網(wǎng)絡(luò)安全審計

信息安全審計管理應(yīng)該管理最重要的核心網(wǎng)絡(luò)邊界，在外網(wǎng)被審計對象不僅僅包括對外服務(wù)區(qū)域中的應(yīng)用服務(wù)器和安全管理區(qū)域的服務(wù)器等的訪問流量，還要對終端的互聯(lián)網(wǎng)訪問行為進(jìn)行審計；此外重要網(wǎng)絡(luò)設(shè)備和安全設(shè)備也需要列為審計和保護(hù)的對象。

由于終端的業(yè)務(wù)訪問和互聯(lián)網(wǎng)訪問都需要在網(wǎng)絡(luò)設(shè)備產(chǎn)生訪問流量，因此在外網(wǎng)的核心交換機(jī)上部署網(wǎng)絡(luò)行為審計系統(tǒng)（天融信網(wǎng)絡(luò)行為審計TopAudit），交換機(jī)必需映射一個多對一抓包端口，網(wǎng)絡(luò)審計引擎通過抓取網(wǎng)絡(luò)中的數(shù)據(jù)包，并對抓到的包進(jìn)行分析、匹配、統(tǒng)計，從而實現(xiàn)網(wǎng)絡(luò)安全審計功能。

①在外網(wǎng)的核心交換機(jī)上部署一臺千兆網(wǎng)絡(luò)安全審計系統(tǒng)，監(jiān)聽端口類型需要和核心交換機(jī)對端的端口類型保持一致，使用光纖接口；

②在核心交換機(jī)上操作進(jìn)行一對一監(jiān)聽端口鏡像操作，將對外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路，以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進(jìn)出雙方向的數(shù)據(jù)流量，鏡像至網(wǎng)絡(luò)安全審計系統(tǒng)的監(jiān)聽端口；

③網(wǎng)絡(luò)安全審計系統(tǒng)用于對訪問對外服務(wù)區(qū)域的數(shù)據(jù)流量，訪問安全管理區(qū)域的數(shù)據(jù)流量，以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進(jìn)行安全審計；

④開啟各區(qū)域服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志審計功能。

4） 其他網(wǎng)絡(luò)安全設(shè)計

其他網(wǎng)絡(luò)安全設(shè)計包括邊界完整性檢查，惡意代碼防范，網(wǎng)絡(luò)設(shè)備防護(hù)，邊界完整性檢查等。

①邊界完整性檢查：在托管機(jī)房的網(wǎng)絡(luò)設(shè)備上為托管區(qū)域服務(wù)器劃分獨立VLAN，并制定嚴(yán)格的策略，禁止其他VLAN的訪問，只允許來自網(wǎng)絡(luò)入侵防御系統(tǒng)外部接口的訪問行為；對服務(wù)器系統(tǒng)進(jìn)行安全加固，提升系統(tǒng)自身的安全訪問控制能力；

②惡意代碼防范：通過互聯(lián)網(wǎng)邊界的入侵防御系統(tǒng)對木馬類、拒絕服務(wù)類、系統(tǒng)漏洞類、webcgi類、蠕蟲類等惡意代碼進(jìn)行檢測和清除；部署服務(wù)器防病毒系統(tǒng)，定期進(jìn)行病毒庫升級和全面殺毒，確保服務(wù)器具有良好的防病毒能力。

③網(wǎng)絡(luò)設(shè)備防護(hù)：網(wǎng)絡(luò)設(shè)備為托管機(jī)房單位提供，由其提供網(wǎng)絡(luò)設(shè)備安全加固服務(wù)，應(yīng)進(jìn)行以下的安全加固：開啟樓層接入交換機(jī)的接口安全特性，并作MAC綁定； 關(guān)閉不必要的服務(wù)（如：禁止CDP（Cisco Discovery Protocol），禁止TCP、UDP Small服務(wù)等）， 登錄要求和帳號管理， 其它安全要求（如：禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件，禁止未使用或空閑的端口等）。

3 結(jié)束語

信息安全等級保護(hù)是實施國家信息安全戰(zhàn)略的重大舉措，也是我國建立信息安全保障體系的基本制度。作為國家信息安全保障體系建設(shè)的重要依據(jù)，在實行安全防護(hù)系統(tǒng)建設(shè)的過程中，應(yīng)當(dāng)按照等級保護(hù)的思想和基本要求進(jìn)行建設(shè)，根據(jù)分級、分域、分系統(tǒng)進(jìn)行安全建設(shè)的思路，針對一個特定的信息系統(tǒng)（醫(yī)院信息管理系統(tǒng)）為例，提出全面的等級保護(hù)技術(shù)建設(shè)方案，希望能夠為用戶的等級保護(hù)建設(shè)提出參考。

參考文獻(xiàn)：

[1] 徐寶海.市縣級國土資源系統(tǒng)信息網(wǎng)絡(luò)安全體系建設(shè)探討[J].中國管理信息化，2014（4）.

[2] 李光輝.全臺網(wǎng)信息安全保障體系初探[J].電腦知識與技術(shù)，2013（33）.

[3] 李茜.一個基于等級保護(hù)的高校數(shù)據(jù)中心信息系統(tǒng)安全方案[J].廣西科學(xué)院學(xué)報，2013（2）.

[4] 李昌俊.基于等級保護(hù)計檢察信息系統(tǒng)網(wǎng)絡(luò)安全體系[J].信息化建設(shè)，2013（2）.endprint