智慧醫院網絡安全建設規劃方案

目錄一、 概述 21.1項目背景 21.2編制依據 3二、 安全現狀 4三、 安全保障目標 4四、 安全風險分析 5五、 網絡安全建設方案 75.1總體建設目標 75.2項目建設思路 75.3項目建設內容 75.4安全建設方案 115.4.1網絡安全建設方案 115.4.2網絡安全建設規劃拓撲 155.4.3密碼應用建設方案 165.4.4密碼應用用建設規劃拓撲 185.5安全建設產品及預算 19六、 合規性分析 266.1網絡安全等級保護合規性分析（技術部分） 266.2密碼應用基本要求合規性分析（技術部分） 316.3智慧醫院建設（網絡安全部分） 35

概述1.1項目背景xxx隨著“智慧醫院”建設和醫院信息化的不斷發展，醫院各項工作的開展都不同程度的采用了信息化系統（電子病歷、預約診療、智能導診、電子支付等），信息系統在醫院中的角色也越來越重要，現代醫院的發展建設已經和信息化建設結合為一體；而醫療作為關乎民生的重要行業，在巨大商業利益的驅使下，醫療行業的數據、個人信息等面臨來自內部威脅和外部威脅的雙重包夾。一旦數據泄露，不僅影響醫院公眾形象，甚至損害患者的個人利益，更是為本就緊張的醫患關系又增加了不和諧的色彩。而《網絡安全法》的出臺，也讓網絡安全的責任界定有了更為明確的責任主體。因此如何保證醫院信息系統安全成為醫院信息化建設中需重視的問題。國家公安部、保密局、國家密碼管理局、國務院信息化領導小組辦公室聯合頒布了861號文件《關于開展全國重要信息系統安全等級保護定級工作的通知》和《信息安全等級保護管理辦法》、智慧醫院建設相關標準，要求涉及國計民生的信息系統應達到一定的安全等級，根據各類文件精神和等級劃分的原則，三級醫院信息系統構筑至少應達到三級等保防護要求。根據中共中央辦公廳國務院辦公廳關于印發《金融和重要領域密碼應用與創新發展工作規劃（2018-2022年）》的通知中明確說明，金融和基礎信息網絡、重要信息系統、重要工業控制系統及面向社會服務的政務信息系統等重要領域的網絡安全，事關國家政治安全、經濟安全、文化安全、社會安全和生態安全。密碼是保障網絡安全的核心技術和基礎支撐，在維護國家安全、促進經濟社會發展、保護人民群眾利益中發揮著不可替代的重要作用。《中華人民共和國密碼法》的頒布實施，從法律層面為開展商用密碼應用提供了根本遵循。同時公安部2020年9月發布《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》中也要求等保第三級及以上網絡應正確、有效采用密碼技術進行保護，并使用符合相關要求的密碼產品和服務。要在網絡安全等級測評中同步開展密碼應用安全性評估。依據《商用密碼應用安全性評估FAQ（第二版）》指導文件，三級等保系統的密碼應用建設要求應達到第三級密碼應用基本防護要求。因此在整個醫院信息化進程中需參照《網絡安全法》、《數據安全法》、《密碼法》、《網絡安全等級保護基本要求》、《全國醫院信息化建設標準與規范》和智慧醫院建設的相關政策文件標準；在信息化建設規劃中補充適當的網絡安全防護措施，確保信息化建設和網絡安全建設達到“同步規劃”、“同步建設”、“同步使用”；以此保障核心業務系統穩定、持續、安全可靠的運行。1.2編制依據《中華人民共和國網絡安全法》《中華人民共和國密碼法》《中華人民共和國數據安全法》GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》GB/T39786-2021《信息安全技術信息系統密碼應用基本要求》GB/T25058-2019《信息安全技術網絡安全等級保護實施指南》GBT25070-2019《信息安全技術網絡安全等級保護安全設計技術要求》GB/T28448-2019《信息系統安全等級保護測評要求》GB/T18336《信息技術-安全技術-信息技術安全性評估準則》GB/T22240-2008《信息安全技術信息系統安全等級保護定級指南》GB/T35281-2017《信息安全技術移動互聯網應用服務器安全技術要求》GB/T35273-2017《信息安全技術個人信息安全規范》《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》《關于大力推進智慧醫院建設的通知》（川衛發〔2019〕51號）《國家衛生健康委辦公廳關于印發醫院智慧管理分級評估標準體系（試行）的通知》

安全現狀XX醫院目前整體網絡區分為互聯網（以下簡稱外網）和工作內網（以下簡稱內網），整體網絡架構采用三層層次化模型網絡架構，即由核心層、匯聚層和接入層組成，關鍵網絡節點處均采用冗余雙機。全網辦公用計算機300臺。XX醫院現有網站、微信公眾號、微信掛號、電子病歷、LIS、HIS、PACS等業務系統。整體網絡基于業務基本使用需求已構建有基本的安全防護措施，整體安全防護措施如下：網絡中重要節點處部署有防火墻、IPS（特征庫過期），能實現網絡邊界的安全隔離、入侵防范、病毒防范和訪問控制。全網辦公終端部署有防病毒軟件。外網區域與內網區域采用防火墻+網閘的方式建立安全數據交換通道。網絡中部署有堡壘機，實現對運維操作人員的運維管理和審計。本地數據中心建設一部分采用獨立的物理服務器，一部分采用超融合的方式；超融合平臺采用分布式架構和虛擬化特性為業務系統帶來了極強的可靠性、穩定性；在數據備份層面，采用本地備份和超融合平臺自身的容災機制實現；互聯網網站采用第三方托管方式；外網區域業務（微信公眾號、微信掛號等）未來將部署于公有云上，公有云部分采用運營商專線與本地局域網互連。安全保障目標按照XX醫院網絡劃分和業務的基本現狀，對本次安全建設的保障目標梳理如下：互聯網側：安全保障目標主要為互聯網側的業務系統（網站、微信公眾號、微信小程序掛號、OA系統等）注：網站和互聯網側業務分別采用第三方托管和業務上云的方式，因此互聯網側業務的基本安全防護由托管方和公有云運營方負責，不在本次項目考慮范圍之內。但針對相關業務系統也應建立定期查看、巡檢等工作機制，確保安全可控和安全事件的及時處置。工作內網側內網各重要網絡邊界（縱向與外部專網、服務器區邊界）內網人員安全管理內網區主機（辦公PC和服務器主機）終端安全防護內網側遠程接入人員的管控和安全防護內網核心業務系統（HIS、LIS、PACS、EMR等）的安全防護安全風險分析XX醫院本地外網側因不存在業務系統，因此存在的安全風險主要是公有云業務系統數據與醫院本地網絡間的數據傳輸風險。XX醫院內網與外部網絡通過網閘進行網絡隔離，但由于日常的操作流程不規范、網閘配置不合規（透明、協議全通）、一機兩網等情況，仍有極高的概率遭受外部網絡的安全攻擊和入侵。同時醫院內網與醫保等外部專網互聯互通、辦公終端分布廣、使用人員多等情況，也同樣存在外部專網的安全入侵風險、內網辦公終端安全風險、內網側遠程人員安全接入等風險。整體網絡遭受外部網絡攻擊、高級威脅攻擊、網絡病毒攻擊、U盤病毒、內部業務系統使用等風險依然非常艱巨。具體風險如下：勒索病毒風險：醫院業務信息系統的具備高時效性和高價值性，基于利益趨向的勒索病毒是醫療安全的主要威脅。一旦醫院核心信息化系統的癱瘓，對于醫院、患者來說，損失是非常巨大的，甚至危及患者的生命安全；醫院中的醫學記錄、數據、病患資料以及預約信息等等，都屬于需要緊急使用的信息，被加密后勢必會想盡辦法以最快速度恢復數據，惡意攻擊者也正是看中了這一點，使得醫療行業成為了勒索病毒的重災區。內網安全風險：由于內網與外部互聯網的物理隔離和封閉性，內網的人為意識行為風險實際上已成為醫院內網最大的風險源，急需通過安全意識提升并結合技術管控手段進行風險控制。具體安全風險如下：（1）內網終端通過4G/5G/WIFI等方式違規接入外網的風險，正式由于內網的封閉性，個別人員為了方便些將內網與其它網絡通過某些技術手段打通，這將給某些潛伏的APT機會，將敏感的數據、文件泄露到外部網絡；（2）通過U盤在外網電腦和內網電腦間互相拷貝數據，工作U盤與私人U盤混用，隨意下載各類互聯網文件等情況，極有可能將病毒、木馬、潛伏攻擊等帶入終端電腦，進而引發大面積的網絡病毒事件。（3）第三方運維接觸敏感信息導致泄露的風險，醫院內網業務系統眾多，由于科室人員有限絕大部分的應用系統由第三方或應用系統廠商代維，有機會接觸到一些敏感信息和數據，這部分人員安全和法律意識參差不齊，不免為了一己私利泄露和盜取相關信息；（4）內部人員未經授權訪問和操作敏感信息的風險，因此需加強統一認證、權限控制、過程審計方面等技術能力，強化重要系統的內控機制是確保信息泄露的關鍵技術措施和手段。內網邊界風險：醫院內網與醫保、社保等外部專網互聯互通，從以往眾多醫療網絡安全事件案例來看，外部專網數據中也有極大的可能存在病毒、木馬、APT等，給醫院自身內網的安全會造成極大的威脅；在縱向的醫院內網邊界接入區，存在訪問控制缺失、病毒、入侵事件蔓延的風險，例如：一旦某個醫保、社保上級單位或下級其他醫院網絡中有勒索病毒、挖礦病毒，有很高的概率會蔓延到整個互聯的醫療大網絡中。應用防護風險：內網的網絡業務訪問、發布服務的WEB應用連通了內部局域網和外部網絡，連通的同時帶來了網絡暴露面和安全威脅；據Gartner權威的調研報告數據顯示，目前網絡安全攻擊有75%都是發生在Web應用層而非網絡層面，面對Web應用攻擊，最缺乏的就是針對服務端口、Web應用層漏洞、攻擊的檢測防護機制。Web應用安全是網絡安全建設中的重中之重。高級威脅檢測和統一安全管理缺失：傳統的安全防護/檢測設施主要基于特征、規則庫，檢測已知威脅沒有問題，缺乏針對未知威脅檢測能力；缺乏長周期、行為分析、關聯分析的高級威脅檢測能力，同時缺少基于安全事件全生命周期管控的技術措施。在傳統的網絡安全防護體系中，各種網絡安全設備都具備一定的專向性，解決專一性問題，在網絡安全運維過程中很多問題需要多種設備關聯分析、配合操作才能夠完成對應的網絡防護要求，在這種情況下存在如下問題：1、對運維人員有極高的技術要求；2、對運維人員有極高的產品了解度要求；3、出錯概率高；4、安全日志高信息量、安全日志高誤報、人員高運維壓力。資產管理風險：資產管理是網絡安全管理的核心，只有準確的掌握了資產信息才能有的放矢定位安全漏洞，及時處理資產的安全事件，因此建議要建立健全資產入網和清查制度，定期對資產管理情況(新增、在線、離線、退網等)進行維護更新，確保資產臺賬清晰準確。外網-內網數據傳輸、交互風險：醫院內網通過前置服務器+網閘的方式對外網側數據進行采集和交換；極大可能存在敏感數據被惡意交換的風險；同時外網側數據中有很大的可能存在病毒、木馬、APT等，給內網的安全造成極大的威脅。網絡安全建設方案5.1總體建設目標經過有步驟有計劃的分階段安全建設，以最大化滿足合法合規為基礎安全體系框架，通過解決真實存在的安全風險，輔以安全技術、安全管理、安全能力的提升；最終形成一套動態的可持續的主動防御體系；以網絡安全中的安全事件為導向，對安全事件的事前、事中、事后進行全生命周期管控，通過事前監測、預警、風險評估、漏洞修復；事中防御處置；事后應急響應、威脅處置、取證溯源、漏洞驗證、安全復測、事件報告等手段；構建一套動態可持續運轉的縱深防護體系，以此達到對抗動態安全風險的目的。5.2項目建設思路本次安全建設規劃通過對XX醫院整體網絡合理劃分各類安全區域（數據交換區、內網接入區、內網核心交換區、內網服務器區、內網安全管理區、內網終端接入區），通過對各安全區域補充各類必要的安全防護措施；采用主動防御、縱深防御理念，依托統一安全管理平臺、大數據分析、行為分析、高級威脅分析、威脅事件管理、欺騙防御、全流量溯源取證、零信任體系（終端和人員權限最小化）、商用密碼應用等技術手段，結合第三方安全服務提供全方位、全天候、全時段的主動防護體系，保護組織核心業務不被網絡攻擊中斷，保障組織核心業務數據不被竊取。在對已知威脅有較強的防御能力外，對于未知威脅也具有一定的防御能力。5.3項目建設內容依據項目建設目標和思路，針對XX醫院本次項目建設內容如下：序號目標具體建設指標1最大化收攏網絡暴露面（服務、端口）。1、通過對業務流程和應用進行全方位梳理，關閉一切非必要的端口和服務。2、通過部署零信任網關對醫院內網和外網對外發布的服務進行代理，利用零信任網關“SPA單包先認證后連接技術”實現整個防護網絡的隱藏，同時零信任網關只對經由認證通過的客戶端開放，起到網絡隱身的作用，最大化降低了醫院外網和內網的對外暴露面。3、通過構建零信任體系，以應用及數據安全為核心，以密碼、身份、授權、環境感知、可視、審計、隔離、訪問控制為技術手段，將傳統局域網網絡邊界，縮小到以人員為邊界，通過對人員、應用的動態鑒權、授權，同時也實現了安全防護能力模型的升級。2資產排查梳理，資產全生命周期管理1、部署資產管理系統，通過自動發現、資產導入、主動采集等方式收集全網信息化資產，通過資產測繪、監測預警、資產畫像、合規分析、資產全生命周期管理（上線、變更、退網）等技術能力，實現摸清家底，提高資產治理水平的目的。2、建立完善的信息化資產管理制度。3全方位終端安全管控1、通過部署終端安全管理系統，實現對醫院終端的全方位安全管控。終端安全管理系統至少應具備如下終端安全管控能力：具備外設、移動存儲介質管控能力具備防范內網設備非法外聯能力具備遠程協助、補丁管理和軟件分發能力具備全面的有線、無線網絡準入能力終端安全加固、基線檢測和修復能力具備多網卡檢測和限制能力具備網絡隔離能力具備各類終端事件的審計能力具備主機防火墻、防病毒、勒索病毒免疫能力4縱深防御體系建設以分區分域，縱深防護、主動防御、動態防御、適度防護為基本設計理念，從防護、檢測、響應、審計4個方面構建縱深防御體系。本次針對XX醫院涉及的安全防護產品建議如下防護：通過在內網接入區域邊界、內網服務器區邊界、安全管理區邊界、數據交換區邊界等重要網絡邊界處根據實際需要部署各類安全防護系統，實現1-7層的安全防護。本次針對XX醫院涉及的安全防護產品建議如下：下一代防火墻、WEB應用防火墻、蜜罐系統、終端防病毒軟件、終端安全管理軟件、零信任安全網關等。檢測通過在內網核心交換機旁路部署專業檢測設備，實現全網的威脅檢測。本次針對XX醫院涉及的安全防護產品建議如下：內網核心交換機旁路部署高級威脅分析平臺和威脅檢測探針（入侵檢測）發現內網中的入侵、病毒、高級威脅、新型威脅、未知威脅等行為，同時相關檢測數據可發送至安全管理平臺進行關聯分析。響應處置通過部署安全態勢感知平臺（統一安全管理）將全網孤立、碎片化的信息，匯聚、關聯為可視化的信息安全事件；為全網安全威脅，預警、防御、應急處置、響應提供技術能力支撐，利用管理平臺的工單和事件系統實現安全事件處置流程閉環。同時也可依托于態勢感知平臺和各類同品牌安全設施部署，實現聯動和協同事件處置功能；審計通過在安全管理區部署各類安全審計設施，實現網絡流量、網絡協議、終端行為、數據庫操作、運維操作、日志信息等的全方位審計。本次針對XX醫院涉及的安全審計類產品建議如下：日志審計系統、堡壘機、數據庫審計系統、全流量分析取證系統5安全服務建立常態化的安全服務機制，依托于安全運維人員、工作流程設置、態勢感知平臺和各類安全組件的技術支撐，構建一套基于事前監測、預警、風險評估、漏洞修復；事中防御處置；事后應急響應、威脅處置、取證溯源、漏洞驗證、安全復測、事件報告的工作機制。實現對信息安全事件的持續閉環流程處置。常態化開展安全服務，對防御體系和安全風險持續改進，以專業技術人員（管理人員+第三方技術人員）為核心紐帶將整體防御體系動態運轉。本次針對XX醫院涉及的安全服務建議如下：安全監測與分析服務滲透測試服務脆弱性發現與管理服務安全培訓教育服務6商用密碼應用建設密碼應用建設主要關注的是數據本身，利用密碼技術對產生、傳輸、存儲的各個數據環節實現真實性、機密性、完整性和不可否認性保護。從XX醫院業務使用場景總體來講分為7個大類，整體類別和安全建設建議如下所示：1、人員身份真實性鑒別（業務用戶、運維人員）通過國密USBkey+CA證書系統實現2、網絡傳輸通道加密（人-系統、人-堡壘機、系統-系統（跨網））基于國密算法的網絡加密機的IPSECVPN和SSLVPN功能實現3、數據傳輸機密性、完整性保護基于國密算法的SSLVPN功能實現數據傳輸機密性保護，應用系統調用服務器密碼機、簽名驗簽服務器實現重要數據在傳輸過程中的加密和完整性保護。4、應用系統數據存儲加密應用系統調用服務器密碼機、簽名驗簽服務器對落地數據進行加密保護、完整性保護。或部署獨立的數據庫加密系統，實現存儲數據的加密。業務應用訪問控制信息的完整性應用系統調用服務器密碼機、簽名驗簽服務器對訪問控制信息進行完整性保護。集權設備重要存儲信息、訪問控制信息機密性、完整性保護日志審計系統、堡壘機系統調用服務器密碼機、簽名驗簽服務器對訪問控制信息進行機密性和完整性保護。高敏感操作不可否認性保護、驗證（簽名、簽章）針對電子簽名、簽章等業務使用場景，需采用基于國密算法的產品，可通過部署時間戳服務器、可信電子簽章系統結合CA證書系統、國密智能密碼鑰匙等密碼產品，實現對敏感操作的不可否認性保護。

5.4安全建設方案5.4.1網絡安全建設方案安全區域劃分本項目根據業務功能以及安全需求的不同，將XX醫院整體網絡劃分為數據交換區、內網接入區、內網核心交換區、內網服務器區、內網終端接入區、內網安全管理區共6類安全域。各安全區域應根據業務流程和重要性進行邏輯隔離，確保不同區域之間的互訪屬于可控、可信流量。安全區域劃分說明如下：數據交換區：利用網閘和前置服務器提供外網與內網的數據安全交換通道。內網接入區：由運營商專線出口組成，提供上級醫保、社保等專網的接入。內網核心交換區：部署了網絡的核心交換設備，用于數據的高速轉發；內網服務器區：本安全區主要用于部署各類數據中心相關的生產/業務服務器；內網終端接入區：本安全區主要用內網辦公終端的接入；內網安全管理區：本安全區主要用于部署各類信息安全產品及相關服務器；縱深防御體系設計本項目縱深防御體系設計主要從攻擊者和防御者2種視角出發。（1）從攻擊者角度出發，黑客首先突破網絡邊界最后到業務系統和數據庫，從防御體系和監測體系兩個維度進行設計；（2）從防御的視角出發，數據從內網流向外網，從防御和監測兩個維度進行設計。依據每個視角不同的出發點和關注重點，整體縱深防御體系設計如下：（一）攻擊者視角防護體系設計第一層防護（網絡隱身）：通過在內網接入區邊界區冗余部署零信任體系（零信任網關、控制器）對醫院內網和外網對外發布的服務進行代理，利用零信任體系“SPA單包先認證后連接技術理念”實現整個防護網絡的隱藏，同時零信任網關只對經由認證通過的客戶端開放，起到網絡隱身的作用，最大化降低了醫院外網和內網的對外暴露面。第二層防護（網絡層防護）：通過在內網接入區邊界、服務器區冗余部署下一代防火墻，實施相應的訪問控制策略，對進出安全區域邊界的數據信息進行控制，阻止非授權訪問；從入侵行為、病毒攻擊等多個維度對網絡訪問行為進行控制，保證網絡的整體安全性。第三層防護（欺騙防御）：通過在內網安全管理區部署蜜罐系統，蜜罐系統基于主動防御理念和網絡欺騙技術，通過在內網中部署具備感知能力的探測端、管理服務端、沙盒仿真服務端來協同聯動。當攻擊者、蠕蟲、病毒等觸碰到探測端時，探測端將收集到的數據及時上報到管理服務器并產生威脅告警，同時將攻擊轉移到沙盒仿真服務器，延緩攻擊時間。能及早的發現攻擊者或實施針對性防御措施，從而迅速阻斷威脅事件，保護企業核心資產。第四層防護（應用層防護）：通過在內網服務器區邊界冗余部署WEB應用防火墻，從應用協議、用戶權限控制和異常行為阻斷等方面對網絡訪問行為進行控制，保證服務器的訪問安全，有效防范以服務器為目標的攻擊行為。第五層防護（終端安全防護和主機加固）：通過內網服務器區邊界部署終端安全管理系統，加強終端安全防護；可以使實現對惡意代碼防范、資源控制、準入控制、違規外聯檢測、主機基線加固、移動存儲介質管控、主機防火墻、勒索病毒防護等能力。終端操作系統安全是終端安全防護的最后一道防線，因此通過對重要主機的安全基線核查和加固，將會極大的提升安全防護能力；通過對重要主機身份鑒別、訪問控制、安全審計、防病毒防惡意代碼等方面對操作系統進行基本的安全加固，使主機具有基本的安全防護能力，能抵御對操作系統的直接攻擊，能在發生攻擊時限制影響范圍。第六層防護（數據庫加密）：通過在安全管理區部署數據庫加密系統，實現對業務系統核心敏感數據加密存儲的數據防泄漏。通過數據庫的訪問授權機制，任何訪問被加密數據的人或應用事先必須經過授權，擁有合法訪問權限才能訪問加密數據，非授權用戶無法訪問加密數據，有效防止管理員越權訪問及黑客拖庫。（二）攻擊者視角監測體系設計第一層監測（已知威脅檢測）：在內網核心交換機旁路部署網絡威脅探針，通過對內網全流量的采集分析，基于系統內置的強大特征庫和事件庫，實現對已知威脅的全面檢測能力。系統能對網絡側病毒、木馬、蠕蟲、僵尸網絡、緩沖區溢出攻擊、拒絕服務攻擊、掃描探測、欺騙劫持、SQL注入、XSS攻擊、漏洞利用、暴力破解、非授權訪問、掛馬攻擊等威脅的檢測。同時通過全流量特征識別，系統可以進行元數據解析提取，輸出相關的元數據信息至上級態勢感知平臺，對態勢感知平臺的二次分析做有力的數據支撐。第二層監測（高級威脅和未知威脅檢測）：在內網核心交換機旁路部署高級威脅分析平臺，通過對內網全流量的檢測，實現對未知威脅（沙箱檢測）、惡意軟件利用、可疑行為、攻擊利用、攻擊探測、APT攻擊、DNS惡意域名請求、DGA域名、DNS隧道、TLS加密流量等高級威脅和未知威脅攻擊類型的檢測能力。系統具備總多種安全分析場景（挖礦、勒索病毒、僵尸網絡、失陷主機等），支持對復雜的安全場景進行關聯分析，提供持續狩獵和研判攻擊。同時平臺相關分析數據可上報至上級態勢感知感知平臺，對態勢感知平臺的二次分析做有力的數據支撐。第三層監測（全流量溯源取證）：在內網核心交換機旁路部署全流量溯源取證系統，通過對內網全流量的存儲、元數據解析、流量過濾、流量檢索、流量加回放等功能，為全網流量的一次分析、事后調查取證、二次分析、溯源等行為提供強大的技術支撐。（三）防御者視角防護體系設計第一層防護（網絡準入）：通過在內網安全管理區部署終端安全管理系統（準入控制功能模塊），結合終端安全管理功能，可以實現對非合規內聯行為的發現和阻斷。對內聯行為的合規性和合法性進行判斷，然后根據安全策略，采用報警、引導至安全修復區、阻斷等多種種方式進行處置。第二層防護（業務授權和權限控制）：通過在內網安全管理區部署堡壘機結合CA證書系統，實現對運維人員集中身份管理、集中認證授權、集中操作審計。通過在內網接入區邊界部署零信任網關結合CA證書系統，實現對遠程接入人員的身份鑒別、業務授權、權限控制、操作審計。第三層防護（數據防泄密）：在內網安全管理區部署終端安全管理系統（數據防泄密模塊），通過權限控制、數據透明加解密、敏感文件發現、文件外發管控（拷貝、粘貼、刻錄、剪切、打印）、實時水印、審核機制等功能實現對重要數據的全生命周期管控。確保醫院內部核心數據資產不被非法泄露。通過在內網安全管理區部署數據庫加密系統實現對數據庫敏感數據的防泄漏管控。第四層防護（統一安全管理中心、協同聯動處置）：通過在內網安全管理區部署態勢感知平臺，實現對全網集中的統一安全管理。通過資產管理、脆弱性管理、日志（事件）管理、風險管理、策略管理、運維管理、應急管理等手段，實現全網資產、安全措施的識別和風險（安全）評估，集中的風險預警、安全保護、安全檢測、事件響應的技術能力支撐平臺。同時也可依托于態勢感知平臺和各類同品牌安全設施聯動功能，實現安全設施聯動和協同事件處置功能；（四）防御者視角監測體系設計第一層監測（資產清查和監測）：在內網安全管理區部署資產管理系統，通過自動發現、資產導入、主動采集等方式收集全網信息化資產，通過資產測繪、監測預警、資產畫像、合規分析、資產全生命周期管理（上線、變更、退網）等技術能力，實現對全網信息資產的清查、監測和管理。通過定期的信息化資產管理，及時發現問題資產。第二層監測（漏洞發現）：在內網安全管理區部署漏洞掃描系統，通過定時的漏洞掃描任務及時發現全網的安全漏洞。通過對全網安全漏洞的及時修復和整改，能極大的提升內網安全防護能力。第三層監測（違規外聯監測）：在內網安全管理區部署終端安全管理系統（準入控制模塊），可以實現終端非法外聯行為的發現與管控，同時也可以實現對非合規內聯行為的發現和阻斷。第四層監測（行為和業務審計）：在內網安全管理區部署堡壘機、數據庫審計系統、日志審計系統、態勢感知平臺，接收各個區域的審計日志，提供審計信息的存儲、分析和處理能力，審計數據作為管理員實施事件追蹤、責任認定以及實施應急響應的依據。5.4.2網絡安全建設規劃拓撲

5.4.3密碼應用建設方案根據風險控制需求，結合《信息系統密碼應用基本要求》GB/T39786-2021密碼防護需求，擬通過密碼服務中的通道加密、身份認證、數據加解密、完整性保護等功能，從“用戶、遠程管理接入鏈路保護”、“接入身份認證與權限控制”、“重要數據加解密”、“重要數據完整性保護”、“數據防篡改”、“數據不可否認性保護”等方面對信息系統進行防護。總體密碼應用要求如下：采用支持密碼算法的SSL通道加密手段或者支持密碼算法的IPSECVPN對機構網絡通訊之間、設備遠程運維管理接入鏈路進行數據傳輸全程保護；通過簽名驗簽、對稱加密技術/非對稱加密技術實現對敏感信息的防篡改、防泄漏；需要采用合規的密碼技術對設備日志進行完整性保護，對重要敏感信息和操作進行不可否認性保護。針對XX醫院涉及的密碼應用場景，整體方案設計如下：物理和環境安全設計通過對原有門禁系統進行國密改造。部署國密電子門禁系統、視頻監控系統、有人值守對出入人員進行身份鑒別，保障機房門禁出入安全、門禁記錄和視頻記錄數據安全。網絡和通信安全設計在網絡和通信安全中，提供傳輸安全服務、身份鑒別服務和安全審計服務來保障網絡通信的安全。涉及到兩個方面的通信安全，遠程終端訪問的網絡通信安全和公有云側互聯網業務系統與醫院本地局域網間傳輸的通信安全。遠程訪問終端與服務端之間的通信安全：通過部署零信任網關，利用零信任網關國密雙算法引擎，建立安全傳輸通道，實現通信數據的機密性和完整性保護。終端和服務端之間身份鑒別采用基于CA數字證書的方式。公有云側互聯網業務系統與醫院本地局域網業務系統間數據傳輸的通信安全：通過在公有云端和醫院本地局域網側分別部署1臺網絡加密機，對進行數據交換的設備在通信前進行身份鑒別；并建立安全的數據傳輸通道（IPSECVPN），保障數據傳輸的機密性和完整性保護。設備和計算安全在設備和計算安全中主要是指管理員在對業務系統進行運維時，需要對運維管理員身份鑒別，保障網絡環境中對物理主機、服務器、設備以及醫院業務系統應用程序操作維護時的訪問控制信息、日志記錄、重要數據的機密性和完整性；同時對敏感標記信息的完整性進行保護；管理員在運維時分為本地運維和遠程運維兩種方式。為運維管理員簽發代表身份的數字證書，內網密碼應用區部署CA數字證書認證系統、服務器密碼機、簽名驗簽服務器，對堡壘機登錄方式增加數字證書認證方式。運維過程通過USBKEY證書+零信任網關實現堡壘機的身份鑒別，使用USBKEY證書實現登錄認證，并通過GMSSL協議降低堡壘機遠程訪問通道安全風險。在設備運維過程中需要對運維管理員的訪問控制信息、設備管理日志記錄、設備中重要程序或者文件進行完整性保護，通過服務器密碼機，對重要程序或文件在生成時進行數字簽名，使用或讀取這些程序和文件時，通過USBKEY進行驗簽以確認其完整性；通過簽名驗簽服務器調用服務器密碼機對應用服務器、數據庫服務器等設備日志進行完整性保護。應用和數據安全應用和數據安全主要保護業務系統重要數據、敏感信息、身份鑒別數據、個人隱私數據、審計日志等重要的數據信息安全的機密性和完整性，在PC端應用通過USBKEY為用戶簽發數字證書提供身份鑒別服務和訪問控制服務；通過數據庫加密系統對存儲的重要數據提供安全加解密服務；通過服務器密碼機保障重要數據的完整性提供安全審計服務；通過網絡加密機，在醫院內部業務系統和外接其他系統之間建立安全傳輸通道，保障醫院業務數據安全交互到外接的其他系統。通過增添可信電子簽章、時間戳服務器實現敏感操作的不可否認性和抗抵賴保護。內網密碼應用區部署密碼安全設備包括，服務器密碼機、CA數字證書認證系統、簽名驗簽服務器、數據庫加密系統、時間戳服務器、電子簽章系統、在內網網絡接入區邊界部署零信任網關、在跨網數據交換通道分別部署網絡加密機；在PC端使用USBKEY密碼鑰匙。5.4.4密碼應用用建設規劃拓撲5.5安全建設產品及預算序號類別功能描述數量單位預算單價預算總價一、網絡安全建設數據交換區防火墻（利舊）數據交換區邊界防護，在網絡邊界實現安全訪問控制、入侵防御、防病毒等功能，加強網絡邊界安全保障。1臺網閘（利舊）內外網隔離，數據交換1臺內網接入區出口防火墻內網接入區邊界防護，在網絡邊界實現安全訪問控制、入侵防御、防病毒等功能，加強網絡邊界安全保障。標準1U設備，雙電源；標配6個10/100/1000M自適應千兆電接口及2個SPF+萬兆接口（不含光模塊）及2個接口擴展槽，默認支持下一代防火墻訪問控制、入侵防御、網絡防病毒、上網行為及URL分類管理、流控、IPSecVPN等模塊。整機最大吞吐量≥8Gbps，最大并發連接數≥300萬，配置3年IPS特征庫、防病毒特征庫、應用識別及URL分類庫三年升級服務，3年質保。2臺零信任網關冗余部署在內網接入區邊界，實現終端訪問人員接入認證、數據加密傳輸，滿足國家密碼應用改造要求。標準1U機箱，交流單電源；內置國家密碼局檢測通過的國家商用密碼卡；標準配置6個10/100/1000MBase-TX，一個擴展卡槽位；明文整機吞吐2.5G，國密加密吞吐量240M；支持SM1、SM2、SM3、SM4等國家商用密碼算法，單臺設備建議最大并發用戶1000個。支持與SDP控制器和客戶端組合聯動實現網絡隱身的功能，確保只有通過認證的主體才能接入SDP安全網關，SDP安全網關不響應未通過認證主體的連接請求；支持基于國密算法的傳輸加密，實現SDP安全網關和客戶端之間數據傳輸的機密性及完整性保護；支持被保護資源的地址隱藏；支持與SDP控制器聯動，實現基于終端風險感知的動態鑒權，當終端安全風險不符合預先設定的策略時，能夠對接入主體進行權限限制或強制下線等處置動作。2套零信任控制器控制器，標準2U機箱，冗余電源；內置國家密碼局檢測通過的國家商用密碼卡；標準配置6個10/100/1000MBase-TX；2個SFP千兆光口,2個SFP+萬兆光口，2個擴展槽位；256GSSD硬盤；建議最大支持并發用戶數3000個；支持與SDP安全網關和客戶端組合聯動實現網絡隱身的功能，確保只有通過認證的主體才能接入SDP安全網關；支持多因素身份認證，包括口令、證書、動態令牌、UKEY等多種認證方式靈活組合，支持基于國密SM2算法的數字證書的身份認證，支持基于LDAP、Radius、CAS、Oauth協議標準的第三方認證平臺；支持終端風險感知的安全評估，能夠聯動SDP安全網關對不符合安全策略的接入主體進行權限限制或強制下線等處置動作。配置500個并發用戶授權1臺服務器區防火墻服務器區邊界防護，在網絡邊界實現安全訪問控制、入侵防御、防病毒等功能，加強網絡邊界安全保障。標準2U設備，雙電源；標配6個10/100/1000M自適應千兆電接口、4個千兆SFP接口及8個SPF+萬兆接口（不含光模塊）及4個接口擴展槽；默認支持下一代防火墻訪問控制、入侵防御、網絡防病毒、上網行為及URL分類管理、流控、IPSecVPN等模塊。整機最大吞吐量≥25Gbps，最大并發連接數≥600萬，配置3年IPS特征庫、防病毒特征庫、應用識別及URL分類庫三年升級服務，3年質保。2臺服務器區WEB應用防火墻服務器區邊界WEB應用安全防護2U上架設備，1個HA口，1個RJ-45Console口，1個10/100/1000Base-T帶外管理口，4個業務電接口,4個業務光口、2個萬兆光口，1個網絡接口板擴展槽位，整機最大吞吐量≥17Gbps，最大并發連接數≥400萬，配置3年WEB防護特征庫升級，3年質保。2臺安全管理區防火墻（利舊）安全管理區邊界防護，在網絡邊界實現安全訪問控制、入侵防御、防病毒等功能，加強網絡邊界安全保障。1臺終端安全管理系統部署于安全管理區（需一臺服務器安裝），對全網終端實現全方位安全管理。包含準入控制、非法外聯、安全基線、終端加固、補丁管理、移動存儲管理、主機防火墻、終端審計、軟件分發、資產管理等功能。配置900終端主機授權；配置900終端主機和80臺服務器3年病毒庫使用及升級服務授權。1套數據庫審計旁路于服務器區交換機，以流量鏡像的方式審計所有數據庫操作行為，另通過對醫療人員在HIS系統的操作行為進行解析、分析、記錄、匯報，以幫助用戶實時發現統方行為、事后合規報告、事故追蹤溯源，從而加強內外部網絡行為監管；2U上架專用設備，配置13個被審計數據庫服務數。 1臺態勢感知平臺部署于安全管理區（需一臺服務器安裝），收集全網設備日志信息，設備運行狀態等信息進行統一分析和展示，形成安全集中管理體系。包含資產分析與管理、安全事件管理、關聯分析、標準脆弱性管理、風險評估、情報管理、首頁、標準的報表模塊、標準的響應管理模塊、基礎態勢大屏呈現頁面（資產態勢、脆弱性態勢、攻擊態勢）、權限管理、知識管理、系統自身管理，內置1個本地日志采集器，配置支持200管理節點授權。1套日志審計系統部署于安全管理區收集全網設備日志信息，進行統一存儲和分析。保存6個月以上。1U標準機架式，冗余電源，6個千兆電口4個千兆光口，2個擴展槽位，1個管理口，2個USB接口，配置液晶屏，硬盤容量：128Gminisata+6TSATA*2raid1模式，有效存儲容量6TB。配置支持200個審計對象授權。1臺堡壘機（利舊）部署于安全管理區，對運維行為審計1臺漏洞掃描系統部署于安全管理區，綜合多種國際最新的漏洞掃描與檢測技術，能夠快速發現網絡資產，準確識別資產屬性，全面掃描安全漏洞，清晰定性安全風險，給出修復建議和預防措施，并對風險控制策略進行有效審核1U設備，標配6個10/100/1000MBase-TX接口、4個千兆SFP接口，1個RJ45Console口，2個USB接口，冗余電源，可掃描100個IP地址，具體IP地址不限，并發掃描40IP。含3年漏洞庫升級授權。1臺全流量分析取證系統具備網絡全流量存儲、攻擊取證（原始數據）、攻擊鏈溯源、攻擊證據在線分析、攻擊報告數據支撐等能力，可以在HVV、網絡重保中，為安全檢測產品和平臺產品提供全包的自動化攻擊取證、任意時刻的威脅溯源分析、歷史流量的回放重復檢測，并內置異常行為分析算法，結合全流量數據，可有效應發現加密流量對各種攻擊的取證溯源和0day/1day等新型攻擊的溯源。2U上架設備，提供2個1000MBase-T網絡接口，2個萬兆光接口，冗余電源，24T容量硬盤；開通全流量數據存證軟件模塊，包含數據存儲、檢索、流量回放等功能。具備1TB秒速檢索能力。實際網絡環境處理能力1Gbps，整機數據檢索速度 10TB/秒。1臺威脅檢測探針旁路部署于核心交換機，對網絡全流量進行實時采集，通過威脅分析發現流量中的網絡安全事件并上報給安全管理平臺1U上架設備（1個RJ-個Console口，6個10/100/1000Base-T接口，2個USB口，2個千兆光接口插槽（不包含光模塊），2個萬兆光口插槽（不包含光模塊），支持2個擴展插槽，冗電，包含2T硬盤，實際網絡檢測流量1Gbps；最大并發連接數300萬。配置3年特征庫和威脅情報升級。 1臺高級威脅分析平臺部署于安全管理區，接入核心流量鏡像，實現未知威脅攻擊檢測，并能對網絡內的安全事件攻擊鏈進行統一分析和溯源。2U上架設備，提供2個1000MBase-T網絡接口，2個10/100/1000MBase-T網絡接口,2個萬兆光口，支持6個擴展槽位，冗余電源，32T容量硬盤；網絡層吞吐3G,處理文件性能15萬/24小時（每個文件10M計算）;新建連接數2.5萬/秒。1臺蜜罐系統采用應用和服務仿真方式，利用欺騙防御技術提升內網安全防護水平2U上架專用設備，8電口（含管理口）4SFP，2擴展槽，1個RJ45串口，硬盤2*2T，冗余電源；支持系統服務仿真、數據庫仿真、應用仿真等不少于15個，50個軟件誘捕探針；系統具備攻擊行為捕獲、攻擊數據分析和告警上報等功能；3年威脅情報庫升級1臺資產管理系統對全網信息化資產進行全生命周期管理2U機架式型號、冗余電源、專用硬件平臺；自帶1塊128GSSD硬盤，默認支持RAID5，有效存儲4TB；具有6個千兆電口，4個千兆光模塊插槽（不含光收發模塊），2個萬兆光模塊插槽（不含光收發模塊）。包含資產發現與管理的基本功能，包括首頁、資產管理、資產畫像、告警管理、合規分析、處置響應、報表等模塊。內置一個本地資產采集器,包含512個資產管理節點授權。1臺安全服務安全監測與分析服務（1人5*8H駐場運維服務）滲透測試服務脆弱性發現與管理服務安全培訓教育服務1項小計1網絡安全建設小計二、商用密碼應用建設服務器密碼機提供基于國密算法的數據加解密功能。符合密評要求中“物理與環境”、“設備與計算層”、“應用和數據層”中對身份鑒別、數據傳輸和存儲的機密性、以及數據傳輸和存儲的完整性保護。2臺網絡密碼機公有云業務區至本地局域網區，提供IPSEC國密隧道。1U機架式設備，1個RJ-45Console口，6個10/100/1000M自適應電口，2個千兆SFP插槽，2個萬兆SFP+插槽，2個網絡接口擴展槽位，2個USB口，交流單電源；SSL加密吞吐400Mbps，推薦并發用戶數2000，IPSec加密吞吐400Mbps，整機吞吐5Gbps。 2臺零信任網關（復用）內網安全管理區運維人員利用SSLVPN功能登錄堡壘機,內網及外網用戶遠程接入提供SSLVPN功能./臺簽名驗簽服務器實現數字簽名和簽名驗證的功能，大大提高了簽名運算的效率，符合電子簽名的安全性要求和統一管理策略，用于應用身份認證與簽名驗證；M2算法數字簽名性能≥11000次/秒；SM2算法簽名驗證性能≥10000次/秒；SM2算法制作信封性能≥4000次/秒；SM2算法解密信封性能≥4500次/秒。1臺數據庫加密系統向業務應用系統提供數據加解密服務，支持數據庫字段級或表級加密與完整性保護，支持文件數據加密與完整性保護；1臺時間戳服務器采用精確的時間源、高強度高標準的安全機制、能夠為用戶提供精確的、可信賴的且不可抵賴的時間戳服務，用于日志記錄完整性保護、抗抵賴；制作時間戳≥4500次/秒，驗證時間戳≥4000次/秒。1臺電子簽章系統支持PC端簽章、手機端簽章，支持網頁簽章、PDF版式文件、OFD版式文件簽章；支持印章生成、更新、銷毀等全生命周期管理；支持簽章驗證；1臺CA認證系統CA數字證書系統軟件，簽發用戶證書和手機終端設備證書，實現數字證書注冊、申請、審核、簽發、凍結、解凍、吊銷等全生命周期管理。1套國密智能密碼鑰匙應用/設備管理員、系統用戶/管理員登錄身份鑒別20個統一密碼服務平臺對外統一提供認證、簽驗、加解密等密碼功能。提供對稱密鑰全生命周期管理功能。對密碼設備進行統一管理。對密碼業務進行統一管理、配置、監控、統計、分析。1套國密門禁卡及國密視頻監控系統為機房提供基于國密算法的門禁系統，確保門禁身份鑒別安全，門禁記錄存儲完整性，符合國密算法相關技術要求，提供視頻監控，并確保視頻監控數據存儲完整性，符合國密算法相關技術要求1套密碼應用改造適配1、密碼應用適配改造技術支撐；提供接口對接設計、改造適配、接口調試服務；調用服務器密碼機接口對存儲數據、訪問控制列表等進行保護。2、對關鍵權限控制設備（堡壘機、日志審計、網絡加密機）提供密碼應用改造適配配合服務，調用密碼服務接口對存儲數據、訪問控制列表等進行保護。1項小計2密碼應用建設小計總計：合規性分析6.1網絡安全等級保護合規性分析（技術部分）參照GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》第三級要求，本次項目建設符合第三級等保建設要求，合規性分析如下表所示：網絡安全等級保護基本要求（三級）類別要求指標項本項目防護措施安全通信網絡網絡架構a)應保證網絡設備的業務處理能力滿足業務高峰期需要；

方案及網絡設備保障b)應保證網絡各個部分的帶寬滿足業務高峰期需要；通過防火墻抗DOOS模塊過濾異常流量c)應劃分不同的網絡區域，并按照方便管理和控制的原則為各網絡區域分配地址；網絡規劃設計時進行網絡區域劃分。d)應避免將重要網絡區域部署在網絡邊界處且沒有邊界防護措施；邊界防護（數據交換區、內網邊界接入區、安全管理區、內網服務器區采用防火墻進行邊界防護，其中服務器區增加WAF對應用層進行安全防護）e)應提供通信線路、關鍵網絡設備的硬件冗余，保證系統的可用性。本項目線路及關鍵網絡節點設備均進行進行冗余設計。通信傳輸a)應采用校驗碼技術或加解密技術保證通信過程中數據的完整性；利用內網網絡邊界處部署的零信任網關實現遠程傳輸通道數據的安全保障b)應采用加解密技術保證通信過程中敏感信息字段或整個報文的保密性。利用內網網絡邊界處部署的零信任網關實現遠程傳輸通道數據的安全保障可信驗證a)可基于可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序進行可信驗證，并在應用程序的關鍵執行環節進行動態可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心。通信設備應具有此功能，或利用密碼技術進行定制開發，本項目不適用安全區域邊界邊界防護a）應保證跨越邊界的訪問和數據流通過邊界防護設備提供的受控接地進行通信在各個區域邊界部署防火墻b）應能夠對非授權設備私自聯到內部網絡的行為進行限制或檢查；部署終端安全管理系統（準入控制模塊）對內部終端進行管控。c）應能夠對內部用戶非授權聯到外部網絡的行為進行限制或檢查；部署終端安全管理系統（違規外聯模塊）對內部終端進行管控。d）應限制無線網絡的使用，確保無線網絡通過受控的邊界防護設備接入內部往來；不涉及訪問控制a)應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒絕所有通信；

邊界防護（數據交換區、內網邊界接入區、安全管理區、內網服務器區采用防火墻進行邊界防護，其中服務器區增加WAF對應用層進行安全防護）b)應刪除多余或無效的訪問控制規則，優化訪問控制列表，并保證訪問控制規則數量最小化；人工加固c)應對源地址、目的地址、源端口、目的端口和協議等進行檢查，以允許/拒絕數據包進出；邊界防護（數據交換區、內網邊界接入區、安全管理區、內網服務器區采用防火墻進行邊界防護，其中服務器區增加WAF對應用層進行安全防護）d)應能根據會話狀態信息為進出數據流提供明確的允許/拒絕訪問的能力，控制粒度為端口級；邊界防護（數據交換區、內網邊界接入區、安全管理區、內網服務器區采用防火墻進行邊界防護，其中服務器區增加WAF對應用層進行安全防護）e)應對進出網絡的數據流實現基于應用協議和應用內容的訪問控制。邊界防護（數據交換區、內網邊界接入區、安全管理區、內網服務器區采用防火墻進行邊界防護，其中服務器區增加WAF對應用層進行安全防護）入侵防范a)應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為；

防火墻開啟入侵防御模塊、威脅檢測探針、高級威脅分析平臺b)應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為；防火墻開啟入侵防御模塊、威脅檢測探針、高級威脅分析平臺c)應采取技術措施對網絡行為進分析，實現對網絡攻擊特別是新型網絡攻擊的分析；高級威脅分析平臺d)當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。防火墻、威脅檢測系統、WAF惡意代碼和垃圾郵件防范a)應在關鍵網絡節點處對惡意代碼進行檢測和清除，并維惡意代碼護防機制的升級和更新；防火墻開啟防病毒模塊b)應在關鍵網絡節點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新。不涉及安全審計a）應在網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；

各類安全設備具備審計功能（防火墻、WAF、終端安全管理系統、日志審計系統、威脅檢測系統）b）審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；各類安全設備具備審計功能（防火墻、WAF、終端安全管理系統、日志審計系統、威脅檢測系統）c）應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；日志審計系統e）應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析。零信任網關可信驗證a)可基于可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序進行可信驗證，并在應用程序的關鍵執行環節進行動態可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心。通信設備應具有此功能，或利用密碼技術進行定制開發。本項目不適用安全計算環境身份鑒別a)應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；

堡壘機b)應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施；應用系統或安全設備應具備此功能c)當進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽；遠程管理采用零信任網關的VPN功能接入，安全管理采用HTTPS協議d)應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。堡壘機訪問控制a)應對登錄的用戶分配賬號和權限；堡壘機b)應重命名或刪除默認賬戶，修改默認賬戶的默認口令；人工加固c)應及時刪除或停用多余的、過期的賬號，避免共享賬號的存在；人工加固d)應授予管理用戶所需的最小權限，實現管理用戶的權限分離；堡壘機、人工加固e)應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則；堡壘機、人工加固f)訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級；堡壘機、人工加固g)應對重要主體和客體設置安全標記，并控制主體對有安全標記信息資源的訪問。堡壘機、人工加固安全審計a)應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；主機、網絡設施均開啟日志審計功能，通過日志審計系統進行統一收集和管理b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；日志審計系統c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等；日志審計系統d)應對審計進程進行保護，防止未經授權的中斷；日志審計系統入侵防范a)應遵循最小安裝的原則，僅安裝需要的組件和應用程序。

人工加固b)應關閉不需要的系統服務、默認共享和高危端口；人工加固c)應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制；人工加固或堡壘機d)應能發現可能存在的漏洞，并在經過充分測試評估后，及時修補漏洞；人工加固、漏洞掃描系統e)應能夠檢測到對重要節點進行入侵的行為，并在發生嚴重入侵事件時提供報警。防火墻開啟入侵檢測模塊、威脅檢測系統、高級威脅分析平臺惡意代碼防范a）應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制及時識別入侵和病毒行為，并將其有效阻斷。威脅檢測系統、高級威脅分析平臺、防火墻開啟入侵防御模塊、終端安全管理系統、主機防病毒軟件（利舊）可信驗證a)可基于可信根對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序進行可信驗證，并在應用程序的關鍵執行環節進行動態可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心。通信設備應具有此功能，或利用密碼技術進行定制開發，本項目不適用數據完整性a）應采用校驗技術或密碼技術保證重要數據在傳輸過程中的完整性，包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等

密碼應用建設已涵蓋此項要求b）應采用校驗技術或密碼技術保證重要數據在存儲過程中的完整性，包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等密碼應用建設已涵蓋此項要求數據保密性a）應采用校驗技術或密碼技術保證重要數據在傳輸過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息等

密碼應用建設已涵蓋此項要求b）應采用校驗技術或密碼技術保證重要數據在存儲過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息等密碼應用建設已涵蓋此項要求數據備份恢復a）應提供重要數據的本地數據備份與恢復功能；本地自建備份系統，或采用超融合平臺自身的容災機制b）應提供異地實時備份功能，利用通信網絡將重要數據實時備份至備份場地；未涉及c）應提供重要數據處理系統的熱冗余，保證系統的高可用性重要系統應采取冗余性設計剩余信息保護a）應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全消除

人工加固，在終端Windows操作系統啟用“關機前清除虛擬內存頁面”功能項。b）應保證存有敏感數據的存儲空間被釋放或重新分配前得到完全消除人工加固，在終端Windows操作系統啟用“關機前清除虛擬內存頁面”功能項。個人信息保護a）應僅采集和保存業務必需的用戶個人信息；

業務系統方功能控制b）應禁止未授權訪問和非法使用用戶個人信息。業務系統方功能控制安全管理中心系統管理a)應對系統管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行系統管理操作，并對這些操作進行審計

堡壘機b)應通過系統管理員對系統的資源和運行進行配置、控制和管理，包括用戶身份、系統資源配置、系統加載和啟動、系統運行的一場處理、數據和設備的備份與恢復等。人工優化審計管理a)應對審計管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全審計操作，并對這些操作進行審計

堡壘機b)應通過審計管理員對審計記錄進行分析，并根據分析結果進行處理，包括根據安全審計策略對審計記錄進行存儲、管理和查閱等。堡壘機安全管理a)應對安全管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全管理操作，并對這些操作進行審計

堡壘機b)應通過安全管理員對系統的安全策略進行配置，包括安全參數的設置，主題、客體進行統一安全標記，對主題進行授權，配置可信驗證策略等。堡壘機集中管控a)應劃分出特定的管理區域，對分布在網絡中的安全設備或安全組件進行管控劃分安全管理區b)應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理堡壘機c)應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測安全態勢感知平臺d)應分散在各個設備商的審計數據進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規要求日志審計系統e)應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理安全態勢感知平臺、終端安全管理系統f)應能對網絡匯總發生的各