摘要：從物理安全、主機安全、網(wǎng)絡安全、應用安全和數(shù)據(jù)安全五個方面介紹網(wǎng)絡信息安全等級保護建設，結合特定的信息系統(tǒng)（醫(yī)院信息管理系統(tǒng)），介紹基于等級保護的網(wǎng)絡安全技術要求、安全策略及安全技術，可供用戶的等級保護建設參考。

關鍵詞：等級保護；網(wǎng)絡安全；信息安全；安全防范

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）19-4433-03

隨著我國國際地位的不斷提高和經(jīng)濟的持續(xù)發(fā)展，我國的網(wǎng)絡信息和重要信息系統(tǒng)面臨越來越多的威脅，網(wǎng)絡違法犯罪持續(xù)大幅上升，計算機病毒傳播和網(wǎng)絡非法入侵十分猖獗，犯罪分子利用一些安全漏洞，使用木馬間諜程序、網(wǎng)絡釣魚技術、黑客病毒技術等技術進行網(wǎng)絡詐騙、網(wǎng)絡盜竊、網(wǎng)絡賭博等違法犯罪，給用戶造成嚴重損失，因此，維護網(wǎng)絡信息安全的任務非常艱巨、繁重，加強網(wǎng)絡信息安全等級保護建設刻不容緩。

1 網(wǎng)絡信息安全等級保護

信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應、處置。網(wǎng)絡信息安全等級保護體系包括技術和管理兩大部分，如圖1所示，其中技術要求分為數(shù)據(jù)安全、應用安全、網(wǎng)絡安全、主機安全、物理安全五個方面進行建設。

圖1 等級保護基本安全要求

1） 物理安全

物理安全主要涉及的方面包括環(huán)境安全（防火、防水、防雷擊等）設備和介質(zhì)的防盜竊防破壞等方面。

2） 主機安全

主機系統(tǒng)安全是計算機設備（包括服務器、終端/工作站等）在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全；通過部署終端安全管理系統(tǒng)（TSM），準入認證網(wǎng)關（SACG），以及專業(yè)主機安全加固服務，可以實現(xiàn)等級保護對主機安全防護要求。

3） 網(wǎng)絡安全

網(wǎng)絡是保障信息系統(tǒng)互聯(lián)互通基礎，網(wǎng)絡安全防護重點是確保網(wǎng)絡之間合法訪問，檢測，阻止內(nèi)部，外部惡意攻擊；通過部署統(tǒng)一威脅管理網(wǎng)關USG系列，入侵檢測/防御系統(tǒng)NIP，Anti-DDoS等網(wǎng)絡安全產(chǎn)品，為合法的用戶提供合法網(wǎng)絡訪問，及時發(fā)現(xiàn)網(wǎng)絡內(nèi)部惡意攻擊安全威脅。

4） 應用安全

應用安全就是保護系統(tǒng)的各種應用程序安全運行，包括各種基本應用，如：消息發(fā)送、web瀏覽等；業(yè)務應用，如：電子商務、電子政務等；部署的文檔安全管理系統(tǒng)（DSM），數(shù)據(jù)庫審計UMA-DB，防病毒網(wǎng)關AVE等產(chǎn)品。并且通過安全網(wǎng)關USG實現(xiàn)數(shù)據(jù)鏈路傳輸IPSec VPN加密，數(shù)據(jù)災備實現(xiàn)企業(yè)信息系統(tǒng)數(shù)據(jù)防護，降低數(shù)據(jù)因意外事故，或者丟失給造成危害。

5） 數(shù)據(jù)安全

數(shù)據(jù)安全主要是保護用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務數(shù)據(jù)的保護；通過對所有信息系統(tǒng)，網(wǎng)絡設備，安全設備，服務器，終端機的安全事件日志統(tǒng)一采集，分析，輸出各類法規(guī)要求安全事件審計報告，制定標準安全事件應急響應工單流程。

2 應用實例

近年來衛(wèi)生行業(yè)全面開展信息安全等級保護定級備案、建設整改和等級測評等工作，某醫(yī)院的核心系統(tǒng)按照等級保護三級標準建設信息系統(tǒng)安全體系，全面保護醫(yī)院內(nèi)網(wǎng)系統(tǒng)與外網(wǎng)系統(tǒng)的信息安全。

醫(yī)院網(wǎng)絡的安全建設核心內(nèi)容是將網(wǎng)絡進行全方位的安全防護，不是對整個系統(tǒng)進行同一等級的保護，而是針對系統(tǒng)內(nèi)部的不同業(yè)務區(qū)域進行不同等級的保護；通過安全域劃分，實現(xiàn)對不同系統(tǒng)的差異防護，并防止安全問題擴散。業(yè)務應用以及基礎網(wǎng)絡服務、日常辦公終端之間都存在一定差異，各自可能具有不同的安全防護需求，因此需要將不同特性的系統(tǒng)進行歸類劃分安全域，并明確各域邊界，分別考慮防護措施。經(jīng)過梳理后的醫(yī)院網(wǎng)絡信息系統(tǒng)安全區(qū)域劃分如圖2所示，外網(wǎng)是一個星型的快速以太交換網(wǎng)，核心為一臺高性能三層交換機，下聯(lián)內(nèi)網(wǎng)核心交換機，上聯(lián)外網(wǎng)服務器區(qū)域交換機和DMZ隔離區(qū)，外聯(lián)互聯(lián)網(wǎng)出口路由器，內(nèi)網(wǎng)交換機向下連接信息點（終端計算機），外網(wǎng)核心交換機與內(nèi)網(wǎng)核心交換機之間采用千兆光纖鏈路，內(nèi)網(wǎng)交換機采用百兆雙絞線鏈路下聯(lián)終端計算機，外網(wǎng)的網(wǎng)絡安全設計至關重要，直接影響到等級保護系統(tǒng)的安全性能。

圖 2 醫(yī)院網(wǎng)絡信息系統(tǒng)安全區(qū)域劃分圖

2.1外網(wǎng)網(wǎng)絡安全要求

系統(tǒng)定級為3級，且等級保護要求選擇為S3A2G3，查找《信息系統(tǒng)安全等級保護基本要求》得到該系統(tǒng)的具體技術要求選擇，外網(wǎng)網(wǎng)絡安全要求必須滿足如下要求：邊界完整性檢查（S3） 、入侵防范（G3） 、結構安全（G3） 、訪問控制（G3） 、安全審計（G3） 、惡意代碼防范（G3） 和網(wǎng)絡設備防護（G3） 。

2.2網(wǎng)絡安全策略

根據(jù)對醫(yī)院外網(wǎng)機房區(qū)域安全保護等級達到安全等級保護3級的基本要求，制定相應的網(wǎng)絡安全策略

1） 網(wǎng)絡拓撲結構策略

要合理劃分網(wǎng)段，利用網(wǎng)絡中間設備的安全機制控制各網(wǎng)絡間的訪問。要采取一定的技術措施，監(jiān)控網(wǎng)絡中存在的安全隱患、脆弱點。并利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

2） 訪問控制策略

訪問控制為網(wǎng)絡訪問提供了第一層訪問控制，它控制哪些用戶能夠連入內(nèi)部網(wǎng)絡，那些用戶能夠通過哪種方式登錄到服務器并獲取網(wǎng)絡資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。

3） 網(wǎng)絡入侵檢測策略

系統(tǒng)中應該設置入侵檢測策略，動態(tài)地監(jiān)測網(wǎng)絡內(nèi)部活動并做出及時的響應。

4） 網(wǎng)絡安全審計策略

系統(tǒng)中應該設置安全審計策略，收集并分析網(wǎng)絡中的訪問數(shù)據(jù)，從而發(fā)現(xiàn)違反安全策略的行為。

5） 運行安全策略

運行安全策略包括：建立全網(wǎng)的運行安全評估流程，定期評估和加固網(wǎng)絡設備及安全設備。

2.3網(wǎng)絡安全設計

根據(jù)對醫(yī)院外網(wǎng)安全保護等級達到安全等級保護3級的基本要求，外網(wǎng)的網(wǎng)絡安全設計包括網(wǎng)絡訪問控制，網(wǎng)絡入侵防護，網(wǎng)絡安全審計和其他安全設計。

1） 網(wǎng)絡訪問控制

實現(xiàn)以上等級保護的最有效方法就是在外網(wǎng)中關鍵網(wǎng)絡位置部署防火墻類網(wǎng)關設備，采用一臺天融信網(wǎng)絡衛(wèi)士獵豹防火墻、一臺CISCO公司的PIX515和一臺網(wǎng)絡衛(wèi)士入侵防御系統(tǒng)TopIDP。

①外網(wǎng)互聯(lián)網(wǎng)邊界防火墻：在局域網(wǎng)與互聯(lián)網(wǎng)邊界之間部署CISCO公司的PIX515百兆防火墻，該防火墻通過雙絞線連接核心交換區(qū)域和互聯(lián)網(wǎng)接入?yún)^(qū)域，對外網(wǎng)的互聯(lián)網(wǎng)接入提供邊界防護和訪問控制。

②對外服務區(qū)域邊界防火墻：對外服務區(qū)域與安全管理區(qū)域邊界部署一臺千兆防火墻（天融信NGFW4000-UF），該防火墻通過光纖連接核心交換機和對外服務區(qū)域交換機，通過雙絞線連接區(qū)域內(nèi)服務器，對其他區(qū)域向?qū)ν夥諈^(qū)域及安全管理區(qū)域的訪問行為進行控制，同時控制兩個區(qū)域內(nèi)部各服務器之間的訪問行為。

③網(wǎng)絡入侵防御系統(tǒng)：在托管機房區(qū)域邊界部署一臺網(wǎng)絡入侵防御系統(tǒng)，該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設備和區(qū)域匯聚交換機，為托管機房區(qū)域提供邊界防護和訪問控制。

2） 網(wǎng)絡入侵防護

外網(wǎng)局域網(wǎng)的對外服務區(qū)域，防護級別為S2A2G2，重點要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測，因此在局域網(wǎng)的內(nèi)部區(qū)域邊界部署網(wǎng)絡入侵檢測系統(tǒng)（天融信網(wǎng)絡入侵防御系統(tǒng)TopIDP）；對于外網(wǎng)托管機房的網(wǎng)站系統(tǒng)，防護級別為S3A2G3，由于其直接與互聯(lián)網(wǎng)相連，不僅要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測，還要能夠有效防護互聯(lián)網(wǎng)進來的攻擊行為，因此在托管機房區(qū)域邊界部署網(wǎng)絡入侵防御系統(tǒng)（啟明星辰天闐NS2200）。

①網(wǎng)絡入侵防御系統(tǒng)：在托管機房區(qū)域邊界部署一臺采用通明模式的網(wǎng)絡入侵防御系統(tǒng)，該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設備和區(qū)域匯聚交換機，其主要用來防御來自互聯(lián)網(wǎng)的攻擊流量。

②網(wǎng)絡入侵檢測系統(tǒng)：在外網(wǎng)的核心交換機上部署一臺千兆IDS系統(tǒng)，IDS監(jiān)聽端口類型需要和核心交換機對端的端口類型保持一致；在核心交換機上操作進行一對一監(jiān)聽端口鏡像操作，將對外服務區(qū)域與核心交換區(qū)域之間鏈路，以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進出雙方向的數(shù)據(jù)流量，鏡像至IDS監(jiān)聽端口；IDS用于對訪問對外服務區(qū)域的數(shù)據(jù)流量，訪問安全管理區(qū)域的數(shù)據(jù)流量，以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進行檢測。

3） 網(wǎng)絡安全審計

信息安全審計管理應該管理最重要的核心網(wǎng)絡邊界，在外網(wǎng)被審計對象不僅僅包括對外服務區(qū)域中的應用服務器和安全管理區(qū)域的服務器等的訪問流量，還要對終端的互聯(lián)網(wǎng)訪問行為進行審計；此外重要網(wǎng)絡設備和安全設備也需要列為審計和保護的對象。

由于終端的業(yè)務訪問和互聯(lián)網(wǎng)訪問都需要在網(wǎng)絡設備產(chǎn)生訪問流量，因此在外網(wǎng)的核心交換機上部署網(wǎng)絡行為審計系統(tǒng)（天融信網(wǎng)絡行為審計TopAudit），交換機必需映射一個多對一抓包端口，網(wǎng)絡審計引擎通過抓取網(wǎng)絡中的數(shù)據(jù)包，并對抓到的包進行分析、匹配、統(tǒng)計，從而實現(xiàn)網(wǎng)絡安全審計功能。

①在外網(wǎng)的核心交換機上部署一臺千兆網(wǎng)絡安全審計系統(tǒng)，監(jiān)聽端口類型需要和核心交換機對端的端口類型保持一致，使用光纖接口；

②在核心交換機上操作進行一對一監(jiān)聽端口鏡像操作，將對外服務區(qū)域與核心交換區(qū)域之間鏈路，以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進出雙方向的數(shù)據(jù)流量，鏡像至網(wǎng)絡安全審計系統(tǒng)的監(jiān)聽端口；

③網(wǎng)絡安全審計系統(tǒng)用于對訪問對外服務區(qū)域的數(shù)據(jù)流量，訪問安全管理區(qū)域的數(shù)據(jù)流量，以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進行安全審計；

④開啟各區(qū)域服務器系統(tǒng)、網(wǎng)絡設備和安全設備的日志審計功能。

4） 其他網(wǎng)絡安全設計

其他網(wǎng)絡安全設計包括邊界完整性檢查，惡意代碼防范，網(wǎng)絡設備防護，邊界完整性檢查等。

①邊界完整性檢查：在托管機房的網(wǎng)絡設備上為托管區(qū)域服務器劃分獨立VLAN，并制定嚴格的策略，禁止其他VLAN的訪問，只允許來自網(wǎng)絡入侵防御系統(tǒng)外部接口的訪問行為；對服務器系統(tǒng)進行安全加固，提升系統(tǒng)自身的安全訪問控制能力；

②惡意代碼防范：通過互聯(lián)網(wǎng)邊界的入侵防御系統(tǒng)對木馬類、拒絕服務類、系統(tǒng)漏洞類、webcgi類、蠕蟲類等惡意代碼進行檢測和清除；部署服務器防病毒系統(tǒng)，定期進行病毒庫升級和全面殺毒，確保服務器具有良好的防病毒能力。

③網(wǎng)絡設備防護：網(wǎng)絡設備為托管機房單位提供，由其提供網(wǎng)絡設備安全加固服務，應進行以下的安全加固：開啟樓層接入交換機的接口安全特性，并作MAC綁定； 關閉不必要的服務（如：禁止CDP（Cisco Discovery Protocol），禁止TCP、UDP Small服務等）， 登錄要求和帳號管理， 其它安全要求（如：禁止從網(wǎng)絡啟動和自動從網(wǎng)絡下載初始配置文件，禁止未使用或空閑的端口等）。

3 結束語

信息安全等級保護是實施國家信息安全戰(zhàn)略的重大舉措，也是我國建立信息安全保障體系的基本制度。作為國家信息安全保障體系建設的重要依據(jù)，在實行安全防護系統(tǒng)建設的過程中，應當按照等級保護的思想和基本要求進行建設，根據(jù)分級、分域、分系統(tǒng)進行安全建設的思路，針對一個特定的信息系統(tǒng)（醫(yī)院信息管理系統(tǒng)）為例，提出全面的等級保護技術建設方案，希望能夠為用戶的等級保護建設提出參考。

參考文獻：

[1] 徐寶海.市縣級國土資源系統(tǒng)信息網(wǎng)絡安全體系建設探討[J].中國管理信息化，2014（4）.

[2] 李光輝.全臺網(wǎng)信息安全保障體系初探[J].電腦知識與技術，2013（33）.

[3] 李茜.一個基于等級保護的高校數(shù)據(jù)中心信息系統(tǒng)安全方案[J].廣西科學院學報，2013（2）.

[4] 李昌俊.基于等級保護計檢察信息系統(tǒng)網(wǎng)絡安全體系[J].信息化建設，2013（2）.endprint

系統(tǒng)中應該設置入侵檢測策略，動態(tài)地監(jiān)測網(wǎng)絡內(nèi)部活動并做出及時的響應。

4） 網(wǎng)絡安全審計策略

系統(tǒng)中應該設置安全審計策略，收集并分析網(wǎng)絡中的訪問數(shù)據(jù)，從而發(fā)現(xiàn)違反安全策略的行為。

5） 運行安全策略

運行安全策略包括：建立全網(wǎng)的運行安全評估流程，定期評估和加固網(wǎng)絡設備及安全設備。

2.3網(wǎng)絡安全設計

根據(jù)對醫(yī)院外網(wǎng)安全保護等級達到安全等級保護3級的基本要求，外網(wǎng)的網(wǎng)絡安全設計包括網(wǎng)絡訪問控制，網(wǎng)絡入侵防護，網(wǎng)絡安全審計和其他安全設計。

1） 網(wǎng)絡訪問控制

實現(xiàn)以上等級保護的最有效方法就是在外網(wǎng)中關鍵網(wǎng)絡位置部署防火墻類網(wǎng)關設備，采用一臺天融信網(wǎng)絡衛(wèi)士獵豹防火墻、一臺CISCO公司的PIX515和一臺網(wǎng)絡衛(wèi)士入侵防御系統(tǒng)TopIDP。

①外網(wǎng)互聯(lián)網(wǎng)邊界防火墻：在局域網(wǎng)與互聯(lián)網(wǎng)邊界之間部署CISCO公司的PIX515百兆防火墻，該防火墻通過雙絞線連接核心交換區(qū)域和互聯(lián)網(wǎng)接入?yún)^(qū)域，對外網(wǎng)的互聯(lián)網(wǎng)接入提供邊界防護和訪問控制。

②對外服務區(qū)域邊界防火墻：對外服務區(qū)域與安全管理區(qū)域邊界部署一臺千兆防火墻（天融信NGFW4000-UF），該防火墻通過光纖連接核心交換機和對外服務區(qū)域交換機，通過雙絞線連接區(qū)域內(nèi)服務器，對其他區(qū)域向?qū)ν夥諈^(qū)域及安全管理區(qū)域的訪問行為進行控制，同時控制兩個區(qū)域內(nèi)部各服務器之間的訪問行為。

③網(wǎng)絡入侵防御系統(tǒng)：在托管機房區(qū)域邊界部署一臺網(wǎng)絡入侵防御系統(tǒng)，該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設備和區(qū)域匯聚交換機，為托管機房區(qū)域提供邊界防護和訪問控制。

2） 網(wǎng)絡入侵防護

外網(wǎng)局域網(wǎng)的對外服務區(qū)域，防護級別為S2A2G2，重點要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測，因此在局域網(wǎng)的內(nèi)部區(qū)域邊界部署網(wǎng)絡入侵檢測系統(tǒng)（天融信網(wǎng)絡入侵防御系統(tǒng)TopIDP）；對于外網(wǎng)托管機房的網(wǎng)站系統(tǒng)，防護級別為S3A2G3，由于其直接與互聯(lián)網(wǎng)相連，不僅要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測，還要能夠有效防護互聯(lián)網(wǎng)進來的攻擊行為，因此在托管機房區(qū)域邊界部署網(wǎng)絡入侵防御系統(tǒng)（啟明星辰天闐NS2200）。

①網(wǎng)絡入侵防御系統(tǒng)：在托管機房區(qū)域邊界部署一臺采用通明模式的網(wǎng)絡入侵防御系統(tǒng)，該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設備和區(qū)域匯聚交換機，其主要用來防御來自互聯(lián)網(wǎng)的攻擊流量。

②網(wǎng)絡入侵檢測系統(tǒng)：在外網(wǎng)的核心交換機上部署一臺千兆IDS系統(tǒng)，IDS監(jiān)聽端口類型需要和核心交換機對端的端口類型保持一致；在核心交換機上操作進行一對一監(jiān)聽端口鏡像操作，將對外服務區(qū)域與核心交換區(qū)域之間鏈路，以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進出雙方向的數(shù)據(jù)流量，鏡像至IDS監(jiān)聽端口；IDS用于對訪問對外服務區(qū)域的數(shù)據(jù)流量，訪問安全管理區(qū)域的數(shù)據(jù)流量，以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進行檢測。

3） 網(wǎng)絡安全審計

信息安全審計管理應該管理最重要的核心網(wǎng)絡邊界，在外網(wǎng)被審計對象不僅僅包括對外服務區(qū)域中的應用服務器和安全管理區(qū)域的服務器等的訪問流量，還要對終端的互聯(lián)網(wǎng)訪問行為進行審計；此外重要網(wǎng)絡設備和安全設備也需要列為審計和保護的對象。

由于終端的業(yè)務訪問和互聯(lián)網(wǎng)訪問都需要在網(wǎng)絡設備產(chǎn)生訪問流量，因此在外網(wǎng)的核心交換機上部署網(wǎng)絡行為審計系統(tǒng)（天融信網(wǎng)絡行為審計TopAudit），交換機必需映射一個多對一抓包端口，網(wǎng)絡審計引擎通過抓取網(wǎng)絡中的數(shù)據(jù)包，并對抓到的包進行分析、匹配、統(tǒng)計，從而實現(xiàn)網(wǎng)絡安全審計功能。

①在外網(wǎng)的核心交換機上部署一臺千兆網(wǎng)絡安全審計系統(tǒng)，監(jiān)聽端口類型需要和核心交換機對端的端口類型保持一致，使用光纖接口；

②在核心交換機上操作進行一對一監(jiān)聽端口鏡像操作，將對外服務區(qū)域與核心交換區(qū)域之間鏈路，以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進出雙方向的數(shù)據(jù)流量，鏡像至網(wǎng)絡安全審計系統(tǒng)的監(jiān)聽端口；

③網(wǎng)絡安全審計系統(tǒng)用于對訪問對外服務區(qū)域的數(shù)據(jù)流量，訪問安全管理區(qū)域的數(shù)據(jù)流量，以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進行安全審計；

④開啟各區(qū)域服務器系統(tǒng)、網(wǎng)絡設備和安全設備的日志審計功能。

4） 其他網(wǎng)絡安全設計

其他網(wǎng)絡安全設計包括邊界完整性檢查，惡意代碼防范，網(wǎng)絡設備防護，邊界完整性檢查等。

①邊界完整性檢查：在托管機房的網(wǎng)絡設備上為托管區(qū)域服務器劃分獨立VLAN，并制定嚴格的策略，禁止其他VLAN的訪問，只允許來自網(wǎng)絡入侵防御系統(tǒng)外部接口的訪問行為；對服務器系統(tǒng)進行安全加固，提升系統(tǒng)自身的安全訪問控制能力；

②惡意代碼防范：通過互聯(lián)網(wǎng)邊界的入侵防御系統(tǒng)對木馬類、拒絕服務類、系統(tǒng)漏洞類、webcgi類、蠕蟲類等惡意代碼進行檢測和清除；部署服務器防病毒系統(tǒng)，定期進行病毒庫升級和全面殺毒，確保服務器具有良好的防病毒能力。

③網(wǎng)絡設備防護：網(wǎng)絡設備為托管機房單位提供，由其提供網(wǎng)絡設備安全加固服務，應進行以下的安全加固：開啟樓層接入交換機的接口安全特性，并作MAC綁定； 關閉不必要的服務（如：禁止CDP（Cisco Discovery Protocol），禁止TCP、UDP Small服務等）， 登錄要求和帳號管理， 其它安全要求（如：禁止從網(wǎng)絡啟動和自動從網(wǎng)絡下載初始配置文件，禁止未使用或空閑的端口等）。

3 結束語

信息安全等級保護是實施國家信息安全戰(zhàn)略的重大舉措，也是我國建立信息安全保障體系的基本制度。作為國家信息安全保障體系建設的重要依據(jù)，在實行安全防護系統(tǒng)建設的過程中，應當按照等級保護的思想和基本要求進行建設，根據(jù)分級、分域、分系統(tǒng)進行安全建設的思路，針對一個特定的信息系統(tǒng)（醫(yī)院信息管理系統(tǒng)）為例，提出全面的等級保護技術建設方案，希望能夠為用戶的等級保護建設提出參考。

參考文獻：

[1] 徐寶海.市縣級國土資源系統(tǒng)信息網(wǎng)絡安全體系建設探討[J].中國管理信息化，2014（4）.

[2] 李光輝.全臺網(wǎng)信息安全保障體系初探[J].電腦知識與技術，2013（33）.

[3] 李茜.一個基于等級保護的高校數(shù)據(jù)中心信息系統(tǒng)安全方案[J].廣西科學院學報，2013（2）.

[4] 李昌俊.基于等級保護計檢察信息系統(tǒng)網(wǎng)絡安全體系[J].信息化建設，2013（2）.endprint

系統(tǒng)中應該設置入侵檢測策略，動態(tài)地監(jiān)測網(wǎng)絡內(nèi)部活動并做出及時的響應。

4） 網(wǎng)絡安全審計策略

系統(tǒng)中應該設置安全審計策略，收集并分析網(wǎng)絡中的訪問數(shù)據(jù)，從而發(fā)現(xiàn)違反安全策略的行為。

5） 運行安全策略

運行安全策略包括：建立全網(wǎng)的運行安全評估流程，定期評估和加固網(wǎng)絡設備及安全設備。

2.3網(wǎng)絡安全設計

根據(jù)對醫(yī)院外網(wǎng)安全保護等級達到安全等級保護3級的基本要求，外網(wǎng)的網(wǎng)絡安全設計包括網(wǎng)絡訪問控制，網(wǎng)絡入侵防護，網(wǎng)絡安全審計和其他安全設計。

1） 網(wǎng)絡訪問控制

實現(xiàn)以上等級保護的最有效方法就是在外網(wǎng)中關鍵網(wǎng)絡位置部署防火墻類網(wǎng)關設備，采用一臺天融信網(wǎng)絡衛(wèi)士獵豹防火墻、一臺CISCO公司的PIX515和一臺網(wǎng)絡衛(wèi)士入侵防御系統(tǒng)TopIDP。

①外網(wǎng)互聯(lián)網(wǎng)邊界防火墻：在局域網(wǎng)與互聯(lián)網(wǎng)邊界之間部署CISCO公司的PIX515百兆防火墻，該防火墻通過雙絞線連接核心交換區(qū)域和互聯(lián)網(wǎng)接入?yún)^(qū)域，對外網(wǎng)的互聯(lián)網(wǎng)接入提供邊界防護和訪問控制。

②對外服務區(qū)域邊界防火墻：對外服務區(qū)域與安全管理區(qū)域邊界部署一臺千兆防火墻（天融信NGFW4000-UF），該防火墻通過光纖連接核心交換機和對外服務區(qū)域交換機，通過雙絞線連接區(qū)域內(nèi)服務器，對其他區(qū)域向?qū)ν夥諈^(qū)域及安全管理區(qū)域的訪問行為進行控制，同時控制兩個區(qū)域內(nèi)部各服務器之間的訪問行為。

③網(wǎng)絡入侵防御系統(tǒng)：在托管機房區(qū)域邊界部署一臺網(wǎng)絡入侵防御系統(tǒng)，該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設備和區(qū)域匯聚交換機，為托管機房區(qū)域提供邊界防護和訪問控制。

2） 網(wǎng)絡入侵防護

外網(wǎng)局域網(wǎng)的對外服務區(qū)域，防護級別為S2A2G2，重點要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測，因此在局域網(wǎng)的內(nèi)部區(qū)域邊界部署網(wǎng)絡入侵檢測系統(tǒng)（天融信網(wǎng)絡入侵防御系統(tǒng)TopIDP）；對于外網(wǎng)托管機房的網(wǎng)站系統(tǒng)，防護級別為S3A2G3，由于其直接與互聯(lián)網(wǎng)相連，不僅要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測，還要能夠有效防護互聯(lián)網(wǎng)進來的攻擊行為，因此在托管機房區(qū)域邊界部署網(wǎng)絡入侵防御系統(tǒng)（啟明星辰天闐NS2200）。

①網(wǎng)絡入侵防御系統(tǒng)：在托管機房區(qū)域邊界部署一臺采用通明模式的網(wǎng)絡入侵防御系統(tǒng)，該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設備和區(qū)域匯聚交換機，其主要用來防御來自互聯(lián)網(wǎng)的攻擊流量。

②網(wǎng)絡入侵檢測系統(tǒng)：在外網(wǎng)的核心交換機上部署一臺千兆IDS系統(tǒng)，IDS監(jiān)聽端口類型需要和核心交換機對端的端口類型保持一致；在核心交換機上操作進行一對一監(jiān)聽端口鏡像操作，將對外服務區(qū)域與核心交換區(qū)域之間鏈路，以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進出雙方向的數(shù)據(jù)流量，鏡像至IDS監(jiān)聽端口；IDS用于對訪問對外服務區(qū)域的數(shù)據(jù)流量，訪問安全管理區(qū)域的數(shù)據(jù)流量，以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進行檢測。

3） 網(wǎng)絡安全審計

信息安全審計管理應該管理最重要的核心網(wǎng)絡邊界，在外網(wǎng)被審計對象不僅僅包括對外服務區(qū)域中的應用服務器和安全管理區(qū)域的服務器等的訪問流量，還要對終端的互聯(lián)網(wǎng)訪問行為進行審計；此外重要網(wǎng)絡設備和安全設備也需要列為審計和保護的對象。

由于終端的業(yè)務訪問和互聯(lián)網(wǎng)訪問都需要在網(wǎng)絡設備產(chǎn)生訪問流量，因此在外網(wǎng)的核心交換機上部署網(wǎng)絡行為審計系統(tǒng)（天融信網(wǎng)絡行為審計TopAudit），交換機必需映射一個多對一抓包端口，網(wǎng)絡審計引擎通過抓取網(wǎng)絡中的數(shù)據(jù)包，并對抓到的包進行分析、匹配、統(tǒng)計，從而實現(xiàn)網(wǎng)絡安全審計功能。

①在外網(wǎng)的核心交換機上部署一臺千兆網(wǎng)絡安全審計系統(tǒng)，監(jiān)聽端口類型需要和核心交換機對端的端口類型保持一致，使用光纖接口；

②在核心交換機上操作進行一對一監(jiān)聽端口鏡像操作，將對外服務區(qū)域與核心交換區(qū)域之間鏈路，以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進出雙方向的數(shù)據(jù)流量，鏡像至網(wǎng)絡安全審計系統(tǒng)的監(jiān)聽端口；

③網(wǎng)絡安全審計系統(tǒng)用于對訪問對外服務區(qū)域的數(shù)據(jù)流量，訪問安全管理區(qū)域的數(shù)據(jù)流量，以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進行安全審計；

④開啟各區(qū)域服務器系統(tǒng)、網(wǎng)絡設備和安全設備的日志審計功能。

4） 其他網(wǎng)絡安全設計

其他網(wǎng)絡安全設計包括邊界完整性檢查，惡意代碼防范，網(wǎng)絡設備防護，邊界完整性檢查等。

①邊界完整性檢查：在托管機房的網(wǎng)絡設備上為托管區(qū)域服務器劃分獨立VLAN，并制定嚴格的策略，禁止其他VLAN的訪問，只允許來自網(wǎng)絡入侵防御系統(tǒng)外部接口的訪問行為；對服務器系統(tǒng)進行安全加固，提升系統(tǒng)自身的安全訪問控制能力；

②惡意代碼防范：通過互聯(lián)網(wǎng)邊界的入侵防御系統(tǒng)對木馬類、拒絕服務類、系統(tǒng)漏洞類、webcgi類、蠕蟲類等惡意代碼進行檢測和清除；部署服務器防病毒系統(tǒng)，定期進行病毒庫升級和全面殺毒，確保服務器具有良好的防病毒能力。

③網(wǎng)絡設備防護：網(wǎng)絡設備為托管機房單位提供，由其提供網(wǎng)絡設備安全加固服務，應進行以下的安全加固：開啟樓層接入交換機的接口安全特性，并作MAC綁定； 關閉不必要的服務（如：禁止CDP（Cisco Discovery Protocol），禁止TCP、UDP Small服務等）， 登錄要求和帳號管理， 其它安全要求（如：禁止從網(wǎng)絡啟動和自動從網(wǎng)絡下載初始配置文件，禁止未使用或空閑的端口等）。

3 結束語

信息安全等級保護是實施國家信息安全戰(zhàn)略的重大舉措，也是我國建立信息安全保障體系的基本制度。作為國家信息安全保障體系建設的重要依據(jù)，在實行安全防護系統(tǒng)建設的過程中，應當按照等級保護的思想和基本要求進行建設，根據(jù)分級、分域、分系統(tǒng)進行安全建設的思路，針對一個特定的信息系統(tǒng)（醫(yī)院信息管理系統(tǒng)）為例，提出全面的等級保護技術建設方案，希望能夠為用戶的等級保護建設提出參考。

參考文獻：

[1] 徐寶海.市縣級國土資源系統(tǒng)信息網(wǎng)絡安全體系建設探討[J].中國管理信息化，2014（4）.

[2] 李光輝.全臺網(wǎng)信息安全保障體系初探[J].電腦知識與技術，2013（33）.

[3] 李茜.一個基于等級保護的高校數(shù)據(jù)中心信息系統(tǒng)安全方案[J].廣西科學院學報，2013（2）.

[4] 李昌俊.基于等級保護計檢察信息系統(tǒng)網(wǎng)絡安全體系[J].信息化建設，2013（2）.endprint