天珣内网安全风险治理与审计系统
实施方案
(V6.6.9.5Patch66950000)
启明星辰
Beijing Venustech Cybervision Co., Ltd.
2014 年 10月
目录
1系统实施原则 (1)
1.1最大限度降低对用户的阻碍
1
1.2全面细致规划,分步实施
1
1.3安全策略从简到繁,安全级不步进式提高
2
2实施打算 (2)
3治理服务器部署 (3)
3.1总部治理服务器部署
3
3.2厂所独立治理服务器部署
4
3.3部署实施建议
5
3.3.1治理服务器与客户端通信要求
5
3.3.2数据存储建议
9
3.3.3治理员权限划分
9
3.3.4服务器安装及数据治理
9
4客户端部署 (10)
4.1通过应用准入方式部署客户端
10
4.2应用准入操纵部署
10
4.3建设期客户端部署
11
4.4维护期客户端部署
11
5准入操纵实施 (11)
5.1应用准入操纵实施
12
5.2网络准入操纵实施
15
5.3风险与灾备
21
5.4客户端准入部署
27
5.5客户端准入操纵部署建议
28
6分工界面 (29)
7附件一:服务器安装及数据治理 (31)
1系统实施原则
1.1最大限度降低对用户的阻碍
部署终端安全治理系统的全然目的,是借助系统所提供的准入操纵的技术手段,确保接入的电脑是合法的和符合XX研究院安全策略要求的,最大限度降低不安全的客户端电脑对XX研究院网络和信息资源带来的风险和威胁,保证XX研究院每一个用户的电脑始终处于良好的运行状态,大大降低故障发生概率,从而保证每个用户都能够完全专注在自己的本职业务工作,并大大提高每一个用户的工作效率。
因此,选择和部署终端安全治理系统时,在确保XX研究院安全策略的有效执行的前提下,要最大限度降低对电脑用户在日常工作中的阻碍,例如减少终端用户在系统的使用过程中的不必要的操作和介入,在用户违反安全策略时进行友好提示,尊重和爱护个人隐私,为用户安全网络访问和信息交换保驾护航。
1.2全面细致规划,分步实施
终端安全治理系统,作为XX研究院网络安全的基础架构中特不重要的客户端电脑安全治理平台,将涉及到XX研究院内部每一台同意治理的电脑和每一个用户,涉及面广,阻碍面大。因此,为了全然上解决客户端电脑的安全治理问题,如此的系统的部署
也势在必行,因此在系统部署前需要对系统的实施过程、安全策略的制定和安全治理制度的建立,进行全面系统地规划,并在实施过程中,依照实际环境进行适时调整,从而保证系统和安全策略在XX研究院内部顺利执行下去,实现项目预期的目标,保障内部网络具有更高可用性和客户端电脑的更高安全性。
部署前需要规划的内容包括:内部网络和用户的安全分级和规划,系统部署的次序和周期,针对不同部门或用户角色的安全策略组合,系统安全策略的动态调整等等。
安全不是一蹴而就的,由于该系统涉及面较广,因此系统的实施需要全面规划,分步实施,循序渐进,真正发挥系统的安全爱护和主动防备的功效。
1.3安全策略从简到繁,安全级不步进式提高
由于XX研究院分支机构、部门和人员较多,对应每一个角色的安全爱护级不要求也层次各异,假如为了保证最高的安全性,使用同样一种严格的安全策略,或者为了降低安全治理的工作量,简单的执行一类差不多安全策略,差不多上不合适的。
在规划中要预先基于用户角色确定每个部门、用户或分支机构,确定对应的最合适的安全策略组合,作为系统最终实现的安全治理目标。在实施过程中,再按照由简到繁的次序,先实施所
有用户都必须遵守的安全策略,然后再依照不同分支机构、部门和用户,步进式下发和执行各级安全策略,从而实现安全级不步进式提高,构建立体的、混合模式的终端安全策略治理体系。2实施打算
内网终端合规治理提升是一个循序渐进和不断完善的过程,要兼顾“安全性”和“便利性”,合规治理应“先弱后强”,实施策略应“先易后难”的原则,消除来自业务部门和终端职员的抵触情绪和压力。因此在安装过程中,我们严格遵循天珣安装“三步走”原则,即:
a)通过应用准入推动客户端部署安装,通过友好的提示界面
以及强度稍弱的准入操纵方式,善意的提醒用户主动安装天珣客户端,并提供给用户下载地址,由其去下载和安装
b)配置策略治理受控终端使其进行自身安全状态的完善,目
标则是让内网受控终端成为合规安全的终端,保证内网安全建设成功而高效
c)启用网络准入,在用户熟悉天珣准入操纵系统的特性后再
启用网络准入,将会受到最小的阻力,最终完成整个准入体系的关键一步
因此,也会有一些部门或区域的安全爱护等级要求没有这么
高,这时我们能够对其采纳适合自己的准入操纵方式和安全策略,从而使的整个项目更加人性化。
项目时刻表
3治理服务器部署
3.1总部治理服务器部署
院本部内厂所内:两种方式部署治理服务器,一种是逻辑上的集中治理分级授权方式,另一种完全独立的策略治理服务器方式。
天珣内网安全风险治理与审计系统支持多策略服务器架构。每个服务器服务一个或多个园区。而这些服务器能够相互备份,
在一个统一的操纵台同意集中治理。假如一台服务器宕机,其服务的用户会自动被其他的服务器接管。每一个治理网段的电脑都有3次从服务器猎取规则的机会,它们首先会从Primary的策略服务器猎取规则,假如失败,则从Secondary的策略服务器猎取规则,假如再失败,则从中心服务器猎取规则,假如依旧失败,则使用客户端本地缓存的规则。分布式多服务器架构使天珣内网安全风险治理与审计系统具有优秀的容错性、可伸缩性,支持的客户端数量从数百个到数万以至更多,而部署极为平滑,性能不受阻碍。
在本次实施中,需要部署三台策略服务器,一台中心服务器,两台本地服务器。三台策略服务器都安装在中心机房,要求本次实施的所有的客户端电脑及策略网关都能够通过TCP/IP协议的7890端口访问到策略服务器。因为中心服务器有日常的治理负荷,建议中心服务器治理3000台终端电脑,本地服务器治理7000台终端电脑。关于任何一个治理网段,假如其Primary Server 为其中一台,则其Secondary Server将被设为另外一台。
3.2厂所独立治理服务器部署
独立厂所:完全独立的策略治理服务器方式。
在分布式多服务器架构下,中心服务器是整个系统策略集中存放的地点,本地服务器是进行日常的策略分发的地点。全系统只需要一个中心服务器,能够有多个本地服务器,中心服务器能够兼作本地服务器。在本次实施中,两台策略服务器都在院总部的直接治理下,由总部的治理员进行治理。在今后的实施中,能够在各下级厂所架设本地服务器,由总部的治理员进行全局操纵,而由各厂所的治理员进行本地化的治理。从投资成本上考虑,建议本项服务器都在集中部署在院总部信息中心更有利,院下属各厂所多集中在园区网内网络带宽足以满足集中心治理的需要,
因此推举集中治理的部署方式。
3.3部署实施建议
3.3.1治理服务器与客户端通信要求CC与治理服务器的通信列表。
医院医疗风险管理方案 精编版 MQS system office room 【MQS16H-TTMS2A-MQSS8Q8-MQSH16898】
医院医疗风险管理方案医疗风险管理是指医院有组织、有关系地消除或减少医疗风险对病人的危害和经济损失。它是通过医疗风险分析,寻求风险防范多事,尽可能减少医疗风险的发生。整个医疗风险管理过程主要包括四个方面。 一、医疗风险识别 医疗风险识别是发现、认可并记录医疗风险的过程,是医疗风险管理工作的基础。目的是确定可能影响系统或组织目标得以实现的事件或情况。一旦医疗风险得以识别,组织应对现有的控制措施(人员、过程和系统等)进行识别。医疗风险识别过程包括识别那些可能对目标产生重大影响的医疗风险源、影响范围、事件及其原因和潜在的后果,及组织因素也应被纳入医疗风险识别的过程中。 二、医疗风险评估 医疗风险评估就是测定医疗风险的概率及其损失程度,它是在风险识别的基础上进行的,通过风险识别发现医疗中可能存在的危险因素,确认风险性质,并获得有关数据。风险评估通过对这些资料和数据的处理,得到关于损失程度和发生概率的信息,为选择处理方法,进行正确的风险管理决策提供依据,风险评估一般用概率理论和数理统计方法来完成。 三、医疗风险分析 医疗风险分析是确定医疗风险是否需要处理以及最适当的处理策略和方法。医疗风险分析要考虑导致医疗风险的原因和医疗风险源、医疗风险后果及其发生的可能性,识别影响后果和可能性的因素,还要考虑现有的医疗风险控制措施及其有效性。然后结合医疗风险发生的可能性及
后果来确定医疗风险水平。一个医疗风险事件可能产生多个后果,从而可能影响多重目标。医疗风险分析通常涉及对医疗风险事件潜在后果及相关概率的估计,以便确定医疗风险等级。 常见以下几种因素 1.疾病的严重性及病情变化的复杂性。疾病的自然过程或发展而导致不幸的情况时有发生,而这些情况有时会被病人或其他非医疗人员视为医疗事故。比如患有急性心肌梗死病人,可能会因与疾病有直接关系的心律失常而导致死亡,加上治疗前的解释不足或病人的家人难以接受丧亲之痛,则事件很可能被视为医疗事故。因此,必须正确地认识很多医学治疗并不都能治愈病人,治疗的成功率也会因人而异,病人的期望值高和医患沟通不足都可能成为“医疗事故”的因素。 2.医疗检诊和可能引起的并发症。要认识到即使在最好的医疗单位内由最富有经验的医生检查,出现并发症的内在风险仍难以完全清除。主要存在于有创诊疗操作。 3.仪器和器械故障一些医疗事故是由仪器或机械故障导致的。 4.医疗服务系统和组织工作中出现的问题。计算机系统未建立可靠的后备系统,加之药房及护理人员查对制度的疏忽,可能导致医疗事故。 5.人为错误大部分的人为错误是由于思想和思维功能方面出现偏差,主要有三点:一是与技术有关的错误,称为“失误”。主要表现为注意力不集中而导致习惯的操作程序出错。注意力不集中而产生失误的原因包括疲乏、厌倦、失望、过度疲劳或紧张等。二是与规则有关的错误,通常在解决问题时发生,因为对问题解决使用错误的规则,或错误地应用一
医疗风险防范和控制管理办法
解放军第150中心医院 医疗风险识别、监控、防范、处理措施 医疗风险是指医务人员在从事医疗活动的过程中存在的对患方或医方造成伤害的危险因素。对患方是指存在于整个医疗服务过程中可能会导致损害或伤残事件的不确定性,以及可能发生的一切不安全事情。对医方是指发生在医疗服务过程中发生医疗失误或过失导致的不安全事件的风险。因其存在不确定性且与医疗质量有密切关系,故医院制定本措施以最大限度规避风险,构建和诣医患关系。 一、医疗风险识别 医疗风险识别是发现、认可并记录医疗风险的过程。目的是确定可能影响系统或组织目标得以实现的事件或情况。一旦医疗风险得以识别,组织应对现有的控制措施(人员、过程和系统等)进行识别。 二、医疗风险防范 医疗风险重在防范,全院职工必须树立医疗风险防范意识,自觉参与风险监控与报告,一旦出现及时采取有效的控制措施。平时工作中就严格执行相关卫生管理法规和制度,总体要求:(一)、临床、医技科室及有关部门围绕保障病人的医疗质量与安全,防范医疗风险,建立各项规章制度。 (二)、切实做好“重点”病人管理与沟通。
(三)、严格执行首诊负责制,严禁推诿病人,做好“严重创作、急性心梗、脑卒中”等重点病种的抢救“绿色通道”。(四)、严格医务人员资格准入,特殊岗位持证上岗。 (五)、加强围手术期管理,认真落实手术资格准入、手术分级管理、手术安全核对制度。 (六)、实施临床路径的单病种质控,执行临床诊疗常规和技术准备,规范医务人员诊疗行为。 (七)、严格把握高风险诊疗操作的资格认定和管理。 (八)、切实保障患者的权益,做好知情同意告知工作。(九)、遵循药物使用原则,安全、合理用药。 (十)、各诊疗环节认真做好检查。 (十一)、各种救治设备、设施和器械要处于完好备用状态。特殊抢救设备,需要时服从医务处、护理部统一调配。 (十二)、全院各科室及医务人员就竭尽全力相互配合、共同协作,积极应对医疗风险,保障病人安全。 三、医疗风险监控范围 (一)、临床 1、推诿、延误治疗; 2、未按规定知情告知,谈话签字不规范; 3、重点病人管理不到位; 4、入院一周内仍诊断不清,病情疑难由外院转入的病人; 5、院内急会诊未按时到达;
为进一步增强医务人员的医疗风险防范意识,不断提高医疗服务质量,保障患者就医及医务人员自身安全,特制定本方案。 一、医疗风险的概念 医疗风险是指在医疗过程中可能发生医疗目的之外的危险因素,而这种因素虽然存在,但不一定会造成不良后果,有人称其为“遭受损害的可能性”。笼统称为医疗不良事件,或者称为医疗缺陷。 二、医疗风险管理的概念 医疗风险管理是指医疗系统,多指医院,有组织地、系统地消除或减少医疗风险对病人的危害和经济损失的活动。换言之,它是通过医疗风险分析,寻求风险防范措施,尽可能减少医疗风险的发生。 三、医疗风险管理的程序,医疗风险管理包括医疗风险识别、评估及处置。 第一章医疗风险识别 医疗风险分类识别 医疗风险识别是医疗过程中超前防范医患纠纷,确保医疗安全的有效方法进而达到降低医疗风险减少医疗差错的目的。 一、诊疗护理过程 1.门(急)诊医师对于经3次就诊仍难以明确诊断的患者,未请上级医师复诊。 2.危重患者到达急诊科后,未在3分钟内开始抢救。 3.门(急)诊医师对危重患者未执行首诊医师负责制,对病情涉及多科的患者,首诊医师未按患者的主要病情收住相应科室。 4.门(急)诊医师未见患者即开具“住院证”或病房医师不查看患者即开医嘱。 5.对于危重患者,会诊医师和医技科室的医(技)师在接到会诊邀请后,未在10分钟内到达现场诊查患者。
6.会诊医师未按规定书写会诊记录或未诊查患者进行“电话会诊”、“病历会诊”。 7.三级医师查房不及时或记录内容不规范。 8.科室二线或三线值班人员不明确或联系通讯工具不通畅或不能及时到位。 9.患者病情突然恶化且初步处理效果不佳时,未及时请上级医师查看病人或请相关科室人员会诊。 10.对疑难、危重病例未及时提请科内病例讨论或科间会诊。 11.需马上执行医嘱未向护士交待清楚,导致延缓执行。 12.对危重患者未做床头双交接班,或未将危重患者的病情、处理事项写入交班记录或存在漏交、漏接情况。 13.高风险、高难度的择期手术未在术前上报医务科。 14.麻醉师缺少术前、术后麻醉访视记录,或术后患者返回病房24小时内未诊查患者。 15.手术医师在术后未及时诊查手术患者,或3日内无三级医师查房记录。 16.对术后患者观察不仔细,未能及时发现出血、异常渗血。 17.医务人员的原因导致手术前准备不充分,延误手术进行。 18.未落实输血前检验和核对制度,或检验项目不齐全,或知情同意书签署不规范。 19.护士未正确执行医嘱或违反“三查九对”制度。 20.错发、漏发药物。 21.处方中药物出现用法错误、用药禁忌、配伍禁忌或用量超过极量而未注明。 22.违反相关规定使用麻醉药品、医用毒性药品、精神药品及放射性药品。 23.采取体液标本时,采错标本、贴错标签、用错试管、非患者原因导致
医疗风险管理方案 在医疗行为的全过程中,医疗风险无处不在。医务人员、患者、医院管理人员、患者家属、涉及医疗行为的各类人员都可能成为医疗风险的责任人或受害者。为了避免医疗风险的发生,提高医疗质量,减少医疗纠纷,改善医院管理,特制订我院医疗风险管理规定。 一、指导原则 医务人员是医疗风险防范的重要责任人,要对可能发生的风险具有预见性,注意发现医疗流程管理中的漏洞和缺陷,关注高风险环节,力求控制。对于不可控风险,要权衡利弊,降低风险。难以避免风险的诊疗,一定要向患者交代清楚,征得患者同意后方可实施。 二、医疗风险管理制度 1. 院长是全院医疗风险管理工作的第一责任人,分管院长承担分管业务的风险管理责任,各科室主任承担所属科室的医疗风险管理责任。 2. 医院医疗质量与安全管理委员会、科级质量与安全管理小组负责医疗风险管理工作,通过院科两级管理,定期对医疗风险现状调查、选题、设立目标、原因分析、制定对策、组织实施、效果检查和持续改进措施八大步骤开展日常风险管理工作。 3. 医院各科室员工均有权,也有义务提出全院、科室和岗位工作中的各种医疗风险隐患,规避、控制、上报风险,提出改进措施,保证医疗工作的安全和质量。 4. 院科两级各质量与安全管理组织认真开展医疗风险管理专项整治活动,结合实际工作,对风险因素从发生概率及导致后果的严重性方面进行讨论、分析,并记录在案。 5. 科级质量与安全管理小组定期组织学习现有的诊疗指南、操作规范、流程,避免可预测的医疗风险。 6. 科级质量与安全管理小组定期或一旦发现新的医疗风险因素,即时召开专题会,查找、研讨、分析并寻找有效解决方法。各科可自行解决者自行解决并向医务科备案,若需医院协调,则上报至医务科。在医疗活动中,查找出的风险、
数据库审计系统技术建议书
目次 1.综述 (1) 2.需求分析 (1) 2.1.内部人员面临的安全隐患 (2) 2.2.第三方维护人员的威胁 (2) 2.3.最高权限滥用风险 (2) 2.4.违规行为无法控制的风险 (2) 2.5.系统日志不能发现的安全隐患 (2) 2.6.系统崩溃带来审计结果的丢失 (3) 3.审计系统设计方案 (3) 3.1.设计思路和原则 (3) 3.2.系统设计原理 (4) 3.3.设计方案及系统配置 (14) 3.4.主要功能介绍 (5) 3.4.1.数据库审计........................ 错误!未定义书签。 3.4.2.网络运维审计 (9) 3.4.3.OA审计............................ 错误!未定义书签。 3.4.4.数据库响应时间及返回码的审计 (9) 3.4.5.业务系统三层关联 (9) 3.4.6.合规性规则和响应 (10) 3.4.7.审计报告输出 (12) 3.4.8.自身管理 (13) 3.4.9.系统安全性设计 (14) 3.5.负面影响评价 (16) 3.6.交换机性能影响评价 (17) 4.资质证书.......................... 错误!未定义书签。
1.综述 随着计算机和网络技术发展,信息系统的应用越来越广泛。数据库做为信息技术的核心和基础,承载着越来越多的关键业务系统,渐渐成为商业和公共安全中最具有战略性的资产,数据库的安全稳定运行也直接决定着业务系统能否正常使用。 围绕数据库的业务系统安全隐患如何得到有效解决,一直以来是IT治理人员和DBA们关注的焦点。做为资深信息安全厂商,结合多年的安全研究经验,提出如下解决思路: 管理层面:完善现有业务流程制度,明细人员职责和分工,规范内部员工的日常操作,严格监控第三方维护人员的操作。 技术层面:除了在业务网络部署相关的信息安全防护产品(如FW、IPS 等),还需要专门针对数据库部署独立安全审计产品,对关键的数据库操作行为进行审计,做到违规行为发生时及时告警,事故发生后精确溯源。 不过,审计关键应用程序和数据库不是一项简单工作。特别是数据库系统,服务于各有不同权限的大量用户,支持高并发的事务处理,还必须满足苛刻的服务水平要求。商业数据库软件内置的审计功能无法满足审计独立性的基本要求,还会降低数据库性能并增加管理费用。 2.需求分析 随着信息技术的发展,XXX已经建立了比较完善的信息系统,数据库中承载的信息越来越受到公司相关部门、领导的重视。同时数据库中储存着诸如XXX等极其重要和敏感的信息。这些信息一旦被篡改或者泄露,轻则造成企业或者社会的经济损失,重则影响企业形象甚至社会安全。 通过对XXX的深入调研,XXX面临的安全隐患归纳如下:
天珣实用工具手册用户手册 (V6.6.9.2) 启明星辰 Beijing Venustech Cybervision Co., Ltd. 2011年1月
版权声明 北京启明星辰信息安全技术有限公司版权所有,并保留对本手册及本声明的最终解释 权和修改权。 本手册中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特 别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经 北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册 内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分 用于商业用途。本文档中的信息归北京启明星辰信息安全技术有限公司所有并受著作权 法保护。 “天珣”为北京启明星辰信息安全技术有限公司的注册商标,不得仿冒。 信息更新 本文档及其相关计算机软件程序(以下文中称为“文档”)仅用于为最终用户提供信息, 并且随时可由北京启明星辰信息安全技术有限公司(下称“启明星辰”)更改或撤回。 免责声明 本手册依据现有信息制作,其内容如有更改,恕不另行通知。 北京启明星辰信息安全技术有限公司可能已经拥有或正在申请与本文档主题相关的各 项专利。提供本文档并不表示授权您使用这些专利。您可将许可权查询资料用书面方式 寄往北京启明星辰信息安全技术有限公司。 北京启明星辰信息安全技术有限公司在编写该手册的时候已尽最大努力保证其内容准 确可靠,但北京启明星辰信息安全技术有限公司不对本手册中的遗漏、不准确、或错误 导致的损失和损害承担责任。 出版时间 2011年1月10日
1.天珣实用工具说明 (4) 2.天珣客户端诊断工具 (4) 3.天珣服务器诊断工具 (5) 4.客户端卸载工具 (6) 5.Winmd5Hash.exe (7) 6.离线同步工具 (9)
医院医疗风险管理方案标准化管理部编码-[99968T-6889628-J68568-1689N]
第六师奇台医院医疗风险管理方案(2015年) 在医疗行为的全过程中,医疗风险无处不在。医务人员、患者、医院管理人员、患者家属、涉及医疗行为的各类人员都可能成为医疗风险的责任人或受害者。为了避免医疗风险的发生,提高医疗质量,减少医疗纠纷,改善医院管理,特制订我院医疗风险管理规定。 一、指导原则 医务人员是医疗风险防范的重要责任人,要对可能发生的风险具有预见性,注意发现医疗流程管理中的漏洞和缺陷,关注高风险环节,力求控制。对于不可控风险,要权衡利弊,降低风险。难以避免的风险,一定要向患者交代清楚,征得患者同意后方可实施。 二、医疗风险管理制度 1、院长是全院医疗风险管理工作的第一责任者,院长承担主管业务的风险管理责任,各科室主任承担所属科室的医疗风险管理责任。 2、医院各科室员工均有权,也有义务提出全院、科室和岗位工作中的各种医疗风险隐患,规避、控制、上报风险,提出改进措施,保证医疗工作的安全和质量。 3、医院医疗质量与安全管理委员会、科级质量与安全管理小组负责医疗风险管理工作,通过院科两级管理,定期对医疗风险现状调查、选题、设立目标、原因分析、制定对策、组织实施、效果检查和持续改进措施八大步骤开展日常风险管理工作。 4、院科两级各质量与安全管理组织认真开展医疗风险管理专项整治活动,每月结合实际工作,对风险因素从发生概率及导致后果的严重性方面进行讨论、分析,并记录在案。 5、科级质量与安全管理小组每月对现有的操作规章、流程、指南等进行培训学习,避免可预测的医疗风险。
面向业务的信息系统的安全审计系统 近些年来,IT系统发展很快,企业对IT系统的依赖程度也越来越高,就一个网络信息系统而言,我们不仅需要考虑一些传统的安全问题,比如防黑客、防病毒、防垃圾邮件、防后门、防蠕虫 等,但是,随着信息化程度的提高,各类业务系统也变得日益复杂,对业务系统的防护也变得越来越重要,非传统领域的安全治理也变得越来越重要。根据最新的统计资料,给企业造成的严重攻击中70%是来自于组织中的内部人员,因此,针对业务系统的信息安全治理成为一道难题,审计应运而生。 一、为什么需要面向业务的信息安全审计? 面向业务的信息安全审计系统,顾名思义,是对用户业务的安全审计,与用户的各项应用业务有密切的关系,是信息安全审计系统中重要的组成部分,它从用户的业务安全角度出发,思考和分析用户的网络业务中所存在的脆弱点和风险。 我们不妨先看两个鲜活的案例。不久前,中国青年报报道,上海一电脑高手,方某今年25岁,学的是计算机专业,曾是某超市分店资讯组组长。方某利用职务之便,设计非法软件程序,进入超市业务系统,即超市收银系统的数据库,通过修改超市收银系统的数据库数据信息,每天将超市的销售记录的20%营业款自动删除,并将收入转存入自己的账户。从2004年6月至2005年8月期间,方某等人截留侵吞超市3家门店营业款共计397万余元之多。 程某31岁,是X公司资深软件研发工程师,从2005年2月,他由A
地运营商系统进入B地运营商的业务系统--充值中心数据库,获得最高系统权限,根据“已充值”的充值卡显示的18位密码破解出对应的34位密钥,然后把“已充值”状态改为“未充值”,并修改其有效日期,激活了已经使用过的充值卡。他把面值300元的充值密码以281.5到285元面值不等价格在网上售出,非法获利380万。 通过上述两个案例,我们不难发现,内部人员,包括内部员工或者提供第三方IT支持的维护人员等,他们利用职务之便,违规操作导致的安全问题日益频繁和突出,这些操作都与客户的业务息息相关。虽然防火墙、防病毒、入侵检测系统、防病毒、内网安全管理等常规的安全产品可以解决大部分传统意义上的网络安全问题,但是,对于这类与业务息息相关的操作行为、违规行为的安全问题,必须要有强力的手段来防范和阻止,这就是针对业务的信息安全审计系统能够带给我们的价值。 二、如何理解面向业务的信息安全审计? 信息安全审计与信息安全管理密切相关,信息安全审计的主要依据为信息安全管理相关的标准,例如ISO/IEC17799、ISO17799/27001、COSO、COBIT、ITIL、NISTSP800系列等。这些标准实际上是出于不同的角度提出的控制体系,基于这些控制体系可以有效地控制信息安全风险,从而达到信息安全审计的目的,提高信息系统的安全性。因此,面向业务的信息安全审计系统可以理解成是信息安全审计的一个重要的分支。 根据国外的经验,如在美国的《萨班斯-奥克斯利法案
网络安全审计系统的实现方法 司法信息安全方向王立鹏1 传统安全审计系统的历史 传统的安全审计系统早在70年代末、80年代初就已经出现在某些UNDO系统当中,其审计的重点也是本主机的用户行为和系统调用。在随后的20年间,其他的各个操作系统也有了自己的安全审计工具,如符合C2安全级别的Windows NT, Nnux的syslog机制以及SUN 13SM等。 2 常用安全措施的不足和基于网络的安全审计系统的出现 近几年来,随着开放系统Internet的飞速发展和电子商务的口益普及,网络安全和信息安全问题日益突出,各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多,特别是防火墙技术以及IDS(人侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。 2.1防火墙技术的不足 防火墙技术是发展时间最长,也是当今防止网络人侵行为的最主要手段之一,主要有包过滤型防火墙和代理网关型防火墙两类。其主要思想是在内外部网络之间建立起一定的隔离,控制外部对受保护网络的访问,它通过控制穿越防火墙的数据流来屏蔽内部网络的敏感信息以及阻挡来自外部的威胁。虽然防火墙技术是当今公认发展最为成熟的一种技术,但是由于防火墙技术自身存在的一些缺陷,使其越来越难以完全满足当前网络安全防护的要求。 包过滤型防火墙如只实现了粗粒度的访问控制,一般只是基于IP地址和服务端口,对网络数据包中其他内容的检查极少,再加上其规则的配置和管理极其复杂,要求管理员对网络安全攻击有较深人的了解,因此在黑客猖撅的开放Internet系统中显得越来越难以使用。 而代理网关防火墙虽然可以将内部用户和外界隔离开来,从外部只能看到代理服务器而看不到内部任何资源,但它没有从根本上改变包过滤技术的缺陷,而且在对应用的支持和速度方面也不能令人满意 2.2入侵检测技术的不足 人侵检测技术是防火墙技术的合理补充,能够对各种黑客人侵行为进行识别,扩展了网络管理员的安全管理能力。一般来说,人侵检测系统(IDS)是防火墙之后的第二层网络安全防护机制。 目前较为成熟的IDS系统可分为基十主机的IDS和基于网络的IDS两种。 基于主机的IDS来源于系统的审计日志,它和传统基于主机的审计系统一样一般只能检测发生在本主机上面的人侵行为。 基于网络的IDS系统对网络中的数据包进行监测,对一些有人侵嫌疑的包作出报警。人侵检测的最大特色就是它的实时性…准实时性),它能在出现攻击的时候发出警告,让管理人员在在第一时间了解到攻击行为的发生,并作出相应措施,以防止进一步的危害产生。实时性的要求使得人侵检测的速度性能至关重要,因此决定了其采用的数据分析算法不能过于复杂,也不可能采用长时间窗分析或把历史数据与实时数据结合起来进行分析,所以现在大
医疗保健风险管理方案 在医疗行为的全过程中 , 医疗风险无处不在。医务人员、患者、医院管理人员、患者家属、涉及医疗行为的各类人员都可能成为医疗风险的责任人或受害者。为了避免医疗风险的发生 , 提高医疗质量减少医疗纠纷 , 改善医院管理 , 特制订我院医疗保健风险管理规定。 (一)指导原则医务人员是医疗保健风险防范的重要责任人 , 要对可能发生的风险具有预见性 , 注意发现医疗保健流程管理中的漏洞和缺陷 , 关注高风险环节 ,力求控制。对于不可控风险 , 要权衡利弊 ,降低风险。难以避免的风险 , 一定要向患者交代清楚, 征得患者同意后方可实施。 (二)医疗保健风险管理制度 1.院长是全院医疗风险管理工作的第一责任者 , 院长承担主管业务的风险管理责任 , 各科室主任承担所属科室的医疗风险管理责任。 2. 医院各科室员工均有权、也有义务提出全院、科室和岗位工作中的各种医疗风险隐患 , 规避、控制、上报风险 , 提出改进措施 , 保证医疗工作的安全和质量医院医疗质量与安全管理委员会、科级质量与安全管理小组负责医疗风险管理工作, 通过院科两级管理 ,定期对医疗风险现状调查选题、设立目标、原因分析、制定对策、组织实施、效果检查和持续改进措施八大步骤开展日常风险管理工作。
4.院科两级各质量与安全管理组织认真开展医疗风险管理专项整治活动 , 每月结合实际工作 , 对风险因素从发生概率及导致后果的严重性方面进行讨论、分析 , 并记录在案。 5.科级质量与安全管理小组每月进行现有的操作规章、流程指南的学习 , 避免可预测的医疗风险。 6.科级质量与安全管理小组每月一次或一旦发现新的医疗风险因素 , 即时召开专题会 , 查找、研讨、分析并寻找有效解决方法。各科可自行解决者自行解决 , 若需医院协调 , 则上报至医务科或保健部在每月活动中 , 查找出的风险、隐患 , 科内首先提出处理意见 , 并在科内或病区内尽可能广泛地征求员工的意见 , 选择最优方案落实 , 并将所采取的措施通报科内。 7.院长每半年对医疗质量与安全管理委员会活动记录进行检查 , 医疗质量与安全管理委员会每季度对科级质量与安全小组活动记录进行检查 , 并以询问方式了解科室员工对所记录的已施行的改进措施的知晓情况。检查各种管理措施的落实情况 , 对其有效性、实际性及便捷性进行评估。对于不完善的措施进一步进行分析、整改 , 直至完善。协助科内进行医疗风险管理工作 , 及时将有关情况上报医院 , 对科内提出问题或意见 24 小时内给予答复。 8.医疗质量与安全管理委员会每半年对检查结果进行汇 总、整理分析 , 上报主管院长 , 年终将全年情况进行汇总、分析 , 提出下一年度的医疗风险管理重点并制定年度工作方(三)医疗保健风险警示范围
营山县人民医院医疗风险管理方案 在医疗行为的全过程中,医疗风险无处不在。医务人员、患者、医院管理人员、患者家属、涉及医疗行为的各类人员都可能成为医疗风险的责任人或受害者。为了避免医疗风险的发生,提高医疗质量,减少医疗纠纷,改善医院管理,特制订我院医疗风险管理规定。 一、指导原则 医务人员是医疗风险防范的重要责任人,要对可能发生的风险具有预见性,注意发现医疗流程管理中的漏洞和缺陷,关注高风险环节,力求控制。对于不可控风险,要权衡利弊,降低风险。难以避免的风险,一定要向患者交代清楚,征得患者同意后方可实施。 二、医疗风险管理制度 1、院长是全院医疗风险管理工作的第一责任者,主管院长承担主管业务的风险管理责任,各科室主任承担所属科室的医疗风险管理责任。 2、医院各科室员工均有权,也有义务提出全院、科室和岗位工作中的各种医疗风险隐患,规避、控制、上报风险,提出改进措施,保证医疗工作的安全和质量。 3、医院医疗质量与安全管理委员会、科级质量与安全
管理小组负责医疗风险管理工作,通过院科两级管理,定期对医疗风险现状调查、选题、设立目标、原因分析、制定对策、组织实施、效果检查和持续改进措施八大步骤开展日常风险管理工作。 4、院科两级各质量与安全管理组织认真开展医疗风险管理专项整治活动,每月结合实际工作,对风险因素从发生概率及导致后果的严重性方面进行讨论、分析,并记录在案。 5、科级质量与安全管理小组每月进行现有的操作规章、流程指南的学习,避免可预测的医疗风险。 6、科级质量与安全管理小组每月一次或一旦发现新的医疗风险因素,即时召开专题会,查找、研讨、分析并寻找有效解决方法。各科可自行解决者自行解决,若需医院协调,则上报至门诊办公室(门诊科室)或医政科(病房科室)。在每月活动中,查找出的风险、隐患,科内首先提出处理意见,并在科内或病区内尽可能广泛地征求员工的意见,选择最优方案落实,并将所采取的措施通报科内。 7、院长每半年对医疗质量与安全管理委员会活动记录进行检查,医疗质量与安全管理委员会每季度对科级质量与安全小组活动记录进行检查,并以询问方式了解科室员工对所记录的已施行的改进措施的知晓情况。检查各种管理措施的落实情况,对其有效性、实际性及便捷性进行评估。对于不完善的措施进一步进行分析、整改,直至完善。协助科内进行医疗风险管理工作,
医疗风险管理方案 在门诊、住院、出院、诊断、治疗、康复等医疗行为的全过程中,医疗风险无处不在。医务人员、患者、卫生管理人员、患者家属、涉及医疗行为的各类人员都可能成为医疗风险的责任人或受害者。为了减少或避免医疗风险的发生,实行医疗风险的预警,对于提高医疗质量,减少医疗纠纷,及时发现漏洞、改善管理,具有十分重要的意义。 医务人员是医疗风险防范的重要责任人,要对可能发生的风险具有预见性,注意发现流程管理中的漏洞和缺陷,关注高风险,力求控制。对于不可控风险,要权衡利弊,降低风险。难以避免的风险,一定要向患方交代清楚。 (一)1、院长是全院医疗风险管理工作的第一责任者,主管院长承担主管业务的风险管理责任,各科室主任承担所属科室的医疗风险管理责任。 2、医院各科室员工均有权,也有义务提出全院、科室和岗位工作中的各种风险隐患,规避、控制、上报风险,提出改进措施,保证医疗和工作的安全和质量。 3、医疗系统科室以质控办主管负责医疗风险管理工作,通过院科两级质控组织,定期对医院风险现状调查、选题、设立目标、原因分析、制定对策、组织实施、效果检查和巩固或改进措施8大步骤开展日常风险管理工作。 4、院科两级各质控组织认真.开展医疗风险管理专项课题活动,每月结合实际工作,对风险因素从发生概率及导致后果的严重性方面进行讨论、分析,并记录在案。 5、科级质控小组每月进行现有的操作规章、流程指南的学习,避免可预测风险。
6、科级质控小组每月一次或一旦发现新的医疗风险因素,即时召开专题会,查找、研讨、分析并寻找有效解决方法。.各科可自行解决者自行解决,若需医院协调,则上报至医务科。在每月活动中,查找出的风险、隐患,科内首先提出处理意见,并在科内或病区内尽可能广泛地征求员工的意见,选择最优方案落实,并将所采取的措施通报科内。 7、院长每季度对院级质控小组活动记录进行检查,质控办每月对科级质控小组活动记录进行检查,并以询问方式了解科室员工对所记录的已施行的改进措施的知晓情况。检查上月各种管理措施的落实情况,对其有效性、实际性及便捷性进行评估。对于不完善的措施进一步进行分析、整改,直至完善。协助科内进行风险管理工作,及时将有关情况上报医院,对科内提出问题或意见24小时内给予答复。 8、质控办每季度对检查结果进行汇总、整理、分析,上报主管院长,每年年底将全年情况进行汇总、分析,提出下一年度的医疗风险管理重点并制定年度计划。 (二)预警标准(以下情况应当预警): 1、危重病人抢救及高风险手术病人; 2、急、重、危病人应做特殊检查和处理的,转诊病人具有一定风险的; 3、麻醉、输液、药物使用异常反应的; 4、对于自知或他人的提示下,有违规章或操作规程,可能发生医疗风险的; 5、对诊疗效果不满意,可能引起医疗争议的院内感染以及对操作较复杂,有可能发生严重并发症或并发症发生率较高以及治疗效果难以准确判断的; 6、对相关检查不健全,各项指征与相关检查不一致、报告单不准确、可
(一)货物需求一览表
(二)技术要求 a).1 接入防火墙 ★1、2U机箱,配置≥6个10/100/1000BASE-T接口,≥2个SFP插槽,≥1个可插拨的
扩展槽,标配双冗余电源,防火墙吞吐率≥8Gbps;最大并发连接数≥260W。 ★2、所投设备应采用原厂商自主知识产权的专用安全操作系统,采用多核多平台并行处理特性(提供计算机软件著作权登记证明);支持多操作系统引导,出于安全性考虑,多系统需在设备启动过程中进行选择;具有防火墙系统自动修复功能(可在国家知识产权局网站查询提供网站截图证明); 3、支持ISL、802.1Q二层协议封装以及VLAN-VPN功能;可对各ADSL链路之间通过WCMP 与ECMP方式进行路由均衡;具有接口联动特性,使同一联动组内所有物理接口的UP/DOWN 状态同步变化(提供功能截图证明); 4、提供支持路由模式、交换模式、混合模式、虚拟线模式; 5、能够基于访问控制策略对最大并发连接数限制;支持在WEB界面中查看每条策略所匹配的当前会话、历史会话与报文统计信息;具有策略自学习功能,并且能够根据自学习结果直接生成访问控制策略;支持策略冲突检测功能; 6、具有防共享接入特性,能够有效识别、报警并阻断局域网网络共享行为;支持免客户端方式实现跨越路由(或其他三层设备)进行IP/MAC绑定功能(提供功能截图证明); 7、具有反垃圾邮件功能,需支持设置黑名单、白名单、灰名单;支持实时黑名单(RBL)功能,可添加5个以上的RBL提供商列表;内嵌快速扫描、深度扫描双引擎杀毒技术,并可以针对HTTP、SMTP、POP3、FTP和IMAP协议选择不同的扫描引擎;每种扫描引擎具有独立的病毒库(提供功能截图证明); 8、为适应业务发展需要,可扩展ASIC硬件加速卡。具有防火墙系统和防火墙多核多平台技术自主知识产权,可在国家知识产权局网站查询提供网站截图证明。 b) 3.2 入侵防御 ★1、2U标准机架式设备,4个10/100/1000Base-T端口持bypass),提供1个扩展插槽,整机吞吐率不小于5Gbps;最大并发连接数不小于100万;提供三年攻击规则库特征库升级授权及三年售后维保服务; ★2、内置SSD固态硬盘存储日志;具备硬件温度监控能力; 3、设备采用自主知识产权的专用安全操作系统,采用多核平台并行处理特性(提供相应资质证明);支持多操作系统引导,出于安全性考虑,多系统需在设备启动过程中进行选择,不得在WEB维护界面中设置系统切换选项(提供截图); 4、要求支持多端口链路聚合,支持11种链路负载均衡算法。(需提供界面截图); 5、系统内置攻击特征库、应用识别规则库、URL过滤库,要求URL过滤库单独分开,
天珣内网安全风险管理与审计系统 安装配置手册 (V6.6.9.4) 启明星辰 Beijing Venustech Cybervision Co., Ltd. 2012年11月
版权声明 北京启明星辰信息安全技术有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北京启明星辰信息安全技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。 “天珣”为北京启明星辰信息安全技术有限公司的注册商标,不得侵犯。 免责条款 本文档依据现有信息制作,其内容如有更改,恕不另行通知。 北京启明星辰信息安全技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息安全技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
目录 版权声明 (1) 免责条款 (1) 信息反馈........................................... 错误!未定义书签。1综述 . (4) 2安装环境及要求 (4) 3.天珣内网安全风险管理与审计系统主要组件介绍 (6) 3.1.服务器组件 (6) 3.1.1. 中心策略服务器 (6) 3.1.2. 本地策略服务器 (6) 3.1.3. 资产管理服务器................................错误!未定义书签。 3.1.4. Radius服务器 (6) 3.1.5. 攻击告警服务器 (6) 3.1.6. 软件分发服务器 (7) 3.1.7. HOD远程桌面服务器 (7) 3.2.策略网关组件 (7) 3.2.1. 策略网关代理 (7) 3.2.2. 中性策略网关 (7) 3.2.3. IIS策略网关 (8) 3.2.4. ISA策略网关 (8) 3.2.5. EXCHANGE策略网关 (8) 3.2.6. DNS策略网关及旁路监听式DNS策略网关 (8) 3.2.7. 客户端 (9) 3.2.8. 按需支援管理端 (9) 3.2.9. 客户端打包程序 (9) 4.天珣内网安全风险管理与审计系统的安装 (9) 4.1.快速安装 (10) 4.1.1 快速安装部署 (10) 4.1.2 基本配置 (27) 4.2.自定义安装 (31) 4.2.1 自定义安装中心服务器 (32) 4.3.本地服务器的安装配置 (33) 4.3.1 添加策略服务器 (37) 4.4.策略网关配置 (38) 4.4.1 添加策略网关代理 (38) 4.4.2 安装中性策略网关 (39) 4.5.远程桌面的系统配置 (46) 4.5.1 安装添加远程桌面服务器 (46) 4.5.2 添加远程桌面管理员 (46) 4.5.3 安装按需支援管理员端程序 (47) 4.5.4 用户请求管理员远程帮助 (49) 4.6.软件分发安装与配置 (49) 4.6.1 安装软件分发服务器 (49)
第六师奇台医院医疗风险管理方案(2015 年)在医疗行为的全过程中,医疗风险无处不在。医务人员、患者、医院管理人员、患者家属、涉及医疗行为的各类人员都可能成为医疗风险的责任人或受害者。为了避免医疗风险的发生,提高医疗质量,减少医疗纠纷,改善医院管理,特制订我院医疗风险管理规定。 一、指导原则医务人员是医疗风险防范的重要责任人,要对可能发生的风险具有预见性,注意发现医疗流程管理中的漏洞和缺陷,关注高风险环节,力求控制。对于不可控风险,要权衡利弊,降低风险。难以避免的风险,一定要向患者交代清楚,征得患者同意后方可实施。 二、医疗风险管理制度 1、院长是全院医疗风险管理工作的第一责任者,院长承担主管业务的风险管理责任,各科室主任承担所属科室的医疗风险管理责任。 2、医院各科室员工均有权,也有义务提出全院、科室和岗位工作中的各种医疗风险隐患,规避、控制、上报风险,提出改进措施,保证医疗工作的安全和质量。 3、医院医疗质量与安全管理委员会、科级质量与安全管理小组负责医疗风险管理工作,通过院科两级管理,定期对医疗风险现状调查、选题、设立目标、原因分析、制定对策、组织实施、效果检查和持续改进措施八大步骤开展日常风险管理工作。 4、院科两级各质量与安全管理组织认真开展医疗风险管理专项整治活动,每月结合实际工作,对风险因素从发生概率及导致后果的严重性方面进行讨论、分析,并记录在案。 5、科级质量与安全管理小组每月对现有的操作规章、流程、指南等
进行培训学习,避免可预测的医疗风险。 6、科级质量与安全管理小组每月一次或一旦发现新的医疗风险因素,即时召开专题会,查找、研讨、分析并寻找有效解决方法。各科可自行解决者自行解决,若需医院协调,则上报至医教处。在每月活动中,查找出的风险、隐患,科内首先提出处理意见,并在科内或病区内尽可能广泛地征求员工的意见,选择最优方案落实,并将所采取的措施通报科内。 7、院长每半年对医疗质量与安全管理委员会活动记录进行检查,医疗质量与安全管理委员会每季度对科级质量与安全小组活动记录进行检查,并以询问方式了解科室员工对所记录的已施行的改进措施的知晓情况。检查各种管理措施的落实情况,对其有效性、实际性及便捷性进行评估。对于不完善的措施进一步进行分析、整改,直至完善。协助科内进行医疗风险管理工作,及时将有关情况上报医院,对科内提出问题或意见24 小时内给予答复。 8、医疗质量与安全管理委员会每半年对检查结果进行汇总、整理、分析,上报主管院长,年终将全年情况进行汇总、分析,提出下一年度的医疗风险管理重点。 三、医疗风险预警标准(以下情况应当预警) 1、危重病人抢救及高风险病人。 2、急、重、危病人应做特殊检查和处理的,转诊病人具有一定风险的。 3、输液、药物使用异常反应的。 4、界于多学科之间、又一时难以确诊的重症患者,在执行首诊 负责制后,存在一定风险的 5、对于自知或他人的提示下,有违反规章或操作规程,可能发生医疗风险的。 6、对诊疗效果不满意,可能引起医疗争议的院内以及对操作较复杂,有可能发生严重并发症或并发症发生率较高以及治疗效果难以准确判断的。 7、对相关检查不健全,各项指征与相关检查不一致、报告单不准确、可能带来不良后果的。
X X X业务运维 信息系统风险评估报告
文档控制 版本信息 所有权声明 文档里的资料版权归江苏开拓信息系统有限公司(以下简称“江苏开拓”)所有。未经江苏开拓事先书面允许,不得复制或散发任何部分的内容。任何团体或个人未经批准,擅自观看方案将被认为获取了江苏开拓的私有信息而遭受法律的制裁。
目录
1.评估项目概述 1.1.评估目的和目标 对XXX信息系统进行风险评估,分析系统的脆弱性、所面临的威胁以及由此可能产生的风险;根据风险评估结果,给出安全控制措施建议。 风险评估范围包括: (1)安全环境:包括机房环境、主机环境、网络环境等; (2)硬件设备:包括主机、网络设备、线路、电源等; (3)系统软件:包括操作系统、数据库、应用系统、监控软件、备份系统等; (4)网络结构:包括远程接入安全、网络带宽评估、网络监控措施等; (5)数据交换:包括交换模式的合理性、对业务系统安全的影响等; (6)数据备份/恢复:包括主机操作系统、数据库、应用程序等的数据备份/恢复机制; (7)人员安全及管理,通信与操作管理; (8)技术支持手段; (9)安全策略、安全审计、访问控制; 1.2.被评估系统概述 1.2.1.系统概况 XXX信息系统主要由HIS系统、LIS系统、PACS系统以及医保、大屏、合理用药、折子工程等业务系统、内外网安全服务器、双翼服务器、OA服务器、交换机、防火墙以及安全控制设备等构成,内外网物理隔离,外网为访问互联网相关服务为主,内网为XXX生产网络。 2.风险综述 2.1.风险摘要 2.1.1.风险统计与分析 经过风险分析,各级风险统计结果如下:
第二章招标项目内容、数量、规格和技术要求 核心数据和核心设备的安全是数据中心管理的重中之重。05年以来我市劳动保障数据中心网络安全防护管理不断加强,陆续配置了防火墙、防毒墙、网闸等安全设备,建立了数据级异地容灾系统,较好地保障了劳动保障网络信息系统的稳定安全运行。但因经费等原因,数据中心在核心设备和核心数据安全防护方面还相对较弱,按照劳动保障网络信息系统安全等级保护的要求和数据中心网络安全管理实际需要,为进一步完善劳动保障网络信息系统安全防护体系,提出本次网络安全设备采购需求。 一、网络安全设备采购需求 (一)网络安全设备采购清单: 分类设备名 称 基本目的基本参数要求 数量 备注 网络安全防御 千兆 防火墙 防护核心数据安 全,提高整个网络 可靠性 2U机架式结构;最大配置不少于24个接口,现 配8个千兆SFP(含4个原厂SFP光模块)和8 个10/100/1000BASE-TX电接口,2个 10/100/1000BASE-TX管理口。要求接口支持STP 协议。网络吞吐量不少于5G,最大并发连接数不 少于200万,每秒最大新建连接数不少于5万, 现配置双电源。 2台原厂 三年 质保 IPS入侵 防御系 统 抵御网络攻击,防 护网络系统安全 1U机架式结构,最大配置不少于24个接口,现 配4个SFP口(含4个原厂SFP光模块)和4个 10/100/1000BASE-TX接口,支持4路Bypass 功能,2个10/100/1000BASE-TX管理口,吞吐 量不少于6G,具有3000条以上的攻击事件,三 年特征库升级服务 1台原厂 三年 质保 网络交换设备24口二 层交换 机 根据网络整合需 要添置,与核心交 换机H3C 9508对 接 H3C S5100-24P-SI 24个10/100/1000Base-T以 太网端口和4个复用的1000Base-X SFP千兆以 太网端口(Combo) 4台原厂 三年 质保