Embed Size (px)
Citation preview
广州市增城区卫生健康局网络安全等级保护加固项目需求
2020年 7月广州市增城区卫生健康局
目录1. 增城卫健局等保加固方案概述........................................................................1
1.1. 项目背景.................................................................................................1
1.2. 建设目标.................................................................................................1
1.3. 建设依据.................................................................................................2
2. 增城卫健局等保加固需求................................................................................3
2.1. 信息安全建设现状.................................................................................3
2.1.1. 初始信息安全状况......................................................................3
2.1.2. 近期网络安全建设措施..............................................................4
2.2. 信息安全等级保护加固需求分析.........................................................5
2.3. 信息安全等级保护 2.0 新要求..............................................................8
2.3.1. 控制措施分类结构的变化..........................................................8
2.3.2. 要求项目的变化..........................................................................9
2.3.3. 技术要求的变化........................................................................10
2.3.4. 管理要求的变化........................................................................11
2.3.5. 网络安全技术设计的总体思路................................................12
3. 信息安全等级保护 2.0 要求差距分析...........................................................13
3.1. 物理和环境安全差距分析.................................................................13
3.2. 网络和通信安全差距分析.................................................................13
3.3. 设备和计算安全差距分析.................................................................14
3.4. 应用和数据安全差距分析.................................................................15
4. 增城卫健局等保加固方案拓扑图..................................................................18
5. 增城卫健局等保加固产品清单......................................................................19
6. 增城卫健局等保信息安全产品功能简介......................................................21
6.1. 日志审计系统.......................................................................................21
6.2. 数据库审计系统...................................................................................22
6.3. 堡垒机(运维审计与风险监控).......................................................22
6.4. 威胁监测预警通报平台.......................................................................23
6.5. 漏洞扫描设备.......................................................................................24
6.6. 安全管理平台.......................................................................................25
7. 增城卫健局等保加固方案价值......................................................................27
8. 项目实施管理.................................................................................................28
8.1. 进度控制责任.....................................................................................28
8.2. 进度控制要求.....................................................................................28
8.3. 项目施工控制.....................................................................................28
9. 后续运维管理..................................................................................................30
9.1. 信息安全设备和软件运维...................................................................30
9.2. 信息安全管理制度运维.......................................................................30
10. 增城卫健局等保加固项目投资概算............................................................31
10.1. 项目总投资.........................................................................................31
10.2. 安全产品费用明细.............................................................................31
10.3. 实施费用明细.....................................................................................32
第 1 页 共 54 页
1. 增城卫健局等保加固方案概述1.1. 项目背景
广州市增城区卫生健康局根据公安部和全国信息安全标准化技术委员会提
出的《信息系统安全等级保护基本要求》,于 2019 年对广州市增城区区域卫
生信息管理平台系统、广州市增城区区域影像平台系统和广州市增城区区域健
康档案平台系统三个主要服务应用系统实施了信息系统安全等级保护二级评测,
并且根据评测的结果在物理安全、网络安全、主机安全、应用安全以及安全管
理方面进行了安全建设和整改。2019 年 5 月 1 日等保 2.0(GB/T 22239-2019《信息安全技术网络安全
等级保护基本要求》)正式发布,之前对应的标准为(GB/T 22239-2008
《信息安全技术网络安全等级保护基本要求》)。2019 年 5 月 13 日,国家市场监督管理总局、国家标准化管理委员会召开
新闻发布会,等级保护 2.0 相关的《信息安全技术网络安全等级保护基本要
求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安
全等级保护安全设计技术要求》等国家标准正式发布。
第 2 页 共 54 页
第 1 页 共 54 页
2019 年 6 月 6 日“广东省网络安全等级保护制度 2.0 国家标准宣贯会”
在广州圆满召开,针对等保 2.0 的宣贯落实,石磊政委也给出了相应的建议,
并呼吁全省各行业、各单位、各部门要统一认识,全盘联动,坚决贯彻《网络
安全法》,真正抓住等级保护制度 2.0 国家标准的发布实施这一契机,深入推
进网络安全等级保护工作 。等级保护 2.0 的相关法规和条例都将于 2019 年 12 月 1 日正式实施。等
保 1.0 偏重的是对于防护的要求,而随着当前网络安全形势的变化,等保 2.0
标准结合《网络安全法》中对于持续监测、威胁情报、快速响应类的要求提出
了更加具体的措施。针对等保 2.0 的变化,对广州市增城区卫生健康局网络安
全建设也提出了新的要求。
1.2. 建设目标本次广州市增城区卫生健康局网络安全加固的主要目标是:三个主要服务应用系统在完成信息系统安全等级保护二级评测的基础上,
针对部分仍然未满足等保二级要求的评测项目,特别是对网络安全影响较大的
评测项目,继续进行安全加固,以达到核心系统全面满足等保二级要求的目的。
第 3 页 共 54 页
第 2 页 共 54 页
结合广州市增城区卫生健康局自身网络安全建设情况,快速响应等保 2.0
新的要求,不断提升卫计业的信息安全保障能力。使广州市增城区卫生健康局
安全管理水平明显提高,安全保护能力明显增强,及时感知安全风险,尽可能
排除安全隐患,有效保障信息化健康发展。
1.3. 建设依据本方案的设计主要依据如下等级保护标准: 《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-
2019) 《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-
2008) 《信息安全技术 信息系统等级保护安全设计技术要求》(GB/T 25070-
2010)
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB∕T 25070-
2019)
第 4 页 共 54 页
第 3 页 共 54 页
2. 增城卫健局等保加固需求2.1.信息安全建设现状
2.1.1. 初始信息安全状况
在实施信息系统安全等级保护二级评测前,广州市增城区卫生健康局网络
拓扑如下:
网络上仅部署了以下安全产品:
1. 在互联网边界上,单位目前有华为防火墙、华为 SSL VPN 防火墙、华
第 5 页 共 54 页
第 4 页 共 54 页
为 SSL VPN 网关和华为政务防火墙。
2. 在网络管理方面,单位现有华为 eSight 网关软件。
3. 在终端安全方面,单位现有趋势科技的 Officescan 的 desktop版和
server版。
第 6 页 共 54 页
第 5 页 共 54 页
2.1.2. 近期网络安全建设措施
实施信息系统安全等级保护二级评测后,根据评测发现的问题,结合广州
市增城区卫生健康局自身情况和安全建设的优先级,新采购了以下安全设备:序号 产品名称 功能概述 数量
1
深度威胁发
现设备
功能:检测核心交换机流量,识别攻击
的各个阶段和探测高级程序性威胁的恶
意软件或恶意内容、通信和行为。
部署位置:网络中心旁路部署在交换机
上
1 台
2 深度威胁安
全网关
功能:提供了完整的应用防火墙相关功
能,服务器与终端设备的虚拟补丁,零
日漏洞检测,APT 防护,C&C 违规外联
及僵尸网络检测,病毒、木马、蠕虫等
恶意程序防护,恶意网站过滤、网站分
1 台
第 7 页 共 54 页
第 6 页 共 54 页
类访问,VPN 数据过滤,垃圾邮件及恶
意邮件过滤等。
部署:部署在 Internet 和核心交换机之间
3
服务器深度
安全防护系
统
功 能 : 为 应 用 服 务 器 提 供 防 火
墙、IPS、WEB 信誉、完整性监控和日志
审计功能。
部署:在物理服务器上部署代理程序。
6 台
服 务
器
4
终端数据防
泄密软件
功能:识别有风险的业务流程并改进公
司的数据使用策略;根据关键词、正则
表达式和文件属性检测数据使用不当的
情况并采取相应措施。
部署:在物理 PC 主机上部署。
50
点
实施信息系统安全等级保护二级评测后的网络拓扑示意图:
第 8 页 共 54 页
第 7 页 共 54 页
2.2.信息安全等级保护加固需求分析
增城区卫健局信息安全等级保护加固的需求主要体现在两方面:
1. 卫健局三大信息系统:区域卫生信息管理平台、区域影像管理平台及区
域健康档案管理平台通过信息安全等级保护测评及整改后,信息安全防护能力
会有显著提高,但是在等级保护 2.0 新规下依然存在不符合信息安全等级保护
要求的安全层面及控制点,详见表:增城卫健局等保差距项细则。
2. 在对增城卫健局三大系统进行等保测试实施中,细究发现,增城区卫健
局下属的各镇级医院都是通过光纤直连卫健局核心交换机,各镇级医院就如同
第 9 页 共 54 页
第 8 页 共 54 页
卫健局核心交换机下的一台“终端”接入卫健局网络,因此需要重新定义卫健
局网络边界的范围,增城卫健局的网络边界范围应当扩展到各镇级医院的网络
出口处。在信息安全等级保护测评项中,网络安全层面(在等级保护 2.0中被
纳入安全区域边界)的其中一项控制点:入侵防范要求,在网络边界处应当具
备攻击行为(病毒木马、拒绝服务等)监测能力,但是增城卫健局目前的信息
安全建设并不具备此项能力,此处也需要加固建设才能满足信息安全防护能力
需求以及等级保护相关需求,详见表:增城卫健局等保差距项细则。增城卫计局等保差距项细则:测评指标 测评项 问题点 建议
网络安全 访问控制
应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户
目前只能对 IP、端口、应用等限制,不能根据用户控制
堡垒机
入侵防范 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;
卫健局网络边界至各镇级医院(14 家镇医院:荔城、增江、石滩等)网络出口,不具备攻击行为监视能力。
威胁监测预警通报平台
第 10 页 共 54 页
第 9 页 共 54 页
测评指标 测评项 问题点 建议
安全审计
应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录 目前不能针对网络
设备以及用户行为进行日志记录
日志审计系统安全管理平台
审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
网络设备防护
应对网络设备的管理员登录地址进行限制
未部署安全认证类产品 堡垒机
网络设备用户的标识应唯一;
应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
主机安全
身份鉴别
应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
未部署安全认证类产品 堡垒机当对网络设备进行远程管理时,应采取必要
措施防止鉴别信息在网络传输过程中被窃听。
安全审计 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;
目前只能针对操作系统的日志进行审计,缺乏对数据库审计的功能,缺乏
数据库审计系统审计内容应包括重要用户行为、系统资源的
异常使用和重要系统命令的使用等系统内重
第 11 页 共 54 页
第 10 页 共 54 页
测评指标 测评项 问题点 建议要的安全相关事件;
对系统资源使用情况的监控能力
安全管理平台
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;
入侵防范操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
缺乏漏洞检测能力,无法及时了解当前各主机存在的安全漏洞。
漏洞扫描设备
应用安全 安全审计
应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计; 缺乏可以通过配置
自适应各种应用系统日志格式的日志审计产品
日志审计系统应保证无法删除、修改或覆盖审计记录;
审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。
第 12 页 共 54 页
第 11 页 共 54 页
2.3.信息安全等级保护 2.0新要求
2.3.1. 控制措施分类结构的变化
等保 2.0 控制措施由旧标准的 10 个分类合并为 8 个分类,技术部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和
数据安全;管理部分:安全策略和管理制度、安全管理机构和人员、安全建设管理、
安全运维管理。
第 13 页 共 54 页
第 12 页 共 54 页
2.3.2. 要求项目的变化
第 14 页 共 54 页
第 13 页 共 54 页
2.3.3. 技术要求的变化
第 15 页 共 54 页
第 14 页 共 54 页
第 16 页 共 54 页
第 15 页 共 54 页
2.3.4. 管理要求的变化
第 17 页 共 54 页
第 16 页 共 54 页
第 18 页 共 54 页
第 17 页 共 54 页
2.3.5. 网络安全技术设计的总体思路
一个中心即安全管理中心,三重防护即安全计算环境、安全区域边界、安
全通信网络。安全管理中心要求在系统管理、安全管理、审计管理三个方面实现集中管
控,从被动防护转变到主动防护,从静态防护转变到动态防护,从单点防护转
变到整体防护,从粗放防护转变到精准防护。三重防护要求企业通过安全设备和技术手段实现身份鉴别、访问控制、入
侵防范、数据完整性、保密性、个人信息保护等安全防护措施,实现平台的全
方位安全防护。
第 19 页 共 54 页
第 18 页 共 54 页
3. 信息安全等级保护 2.0要求差距分析等级保护 2.0中对信息系统网络信息安全要求有变化,根据等级保护 2.0 的
要求,对比目前我单位的网络安全建设情况,得出相应的差距分析。
3.1. 物理和环境安全差距分析根据等级保护 2.0,物理和环境安全方面以满足相关要求。
3.2. 网络和通信安全差距分析根据等级保护 2.0,建议如下:
测评指标 等保要求 建议
网络架构
a) 应保证网络设备的业务处理能力满足基本业务需要; b) 应保证接入网络和核心网络的带宽满足业务高峰期需
要;c) 应划分不同的网络区域,并按照方便管理和控制的原则
为各网络区域分配地址;d) 应避免将重要网络区域部署在网络边界处且没有边界防
护措施。通信传输 a) 应采用校验码技术保证通信过程中数据的完整性边界防护 a) 应保证跨越边界的访问和数据流通过边界防护设备提供
的受控接口进行通信访问控制 a) 应在网络边界根据访问控制策略设置访问控制规则,默
认情况下除允许通信外受控接口拒绝所有通信;b) 应删除多余或无效的访问控制规则,优化访问控制列表,并
第 20 页 共 54 页
第 19 页 共 54 页
保证访问控制规则数量最小化;c) 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出d) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级
入侵防御 a) 应在关键网络节点处监视网络攻击行为
安全审计
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
日志审计系统b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
集中管控
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
安全管理平台b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析;
数据库审计系统
日志审计系统e) 应对安全策略、恶意代码、补丁升级等安全相关事项
进行集中管理;安全管理平台
f) 应能对网络中发生的各类安全事件进行识别、报警和分析。 威胁感知平台
第 21 页 共 54 页
第 20 页 共 54 页
3.3. 设备和计算安全差距分析根据等级保护 2.0,建议如下:
测评指标 等保要求 建议
身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
b)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
访问控制
a)应对登录的用户分配账号和权限;
堡垒机b)应重命名默认账号或修改默认口令;c)应及时删除多余的、过期的帐户,避免共享帐户的存
在;d)应授予管理用户所需的最小权限,实现管理用户的权限
分离
安全审计
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
日志审计系统b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
入侵防范 a) 系统应遵循最小安装的原则,仅安装需要的组件和应用程序;
漏洞扫描系统
b) 应关闭不需要的系统服务、默认共享和高危端口c) 应通过设定终端接入方式或网络地址范围对通过网络
进行管理的管理终端进行限制;d) 应能发现可能存在的漏洞,并在经过充分测试评估
第 22 页 共 54 页
第 21 页 共 54 页
后,及时修补漏洞恶意代码防范
a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
资源控制 a)应限制单个用户对系统资源的最大或最小使用限度;
3.4. 应用和数据安全差距分析根据等级保护 2.0,建议如下:
测评指标 等保要求 建议
身份鉴别
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
堡垒机b)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
访问控制
a)应对登录的用户分配账号和权限;b)应重命名默认账号或修改默认口令;c)应及时删除多余的、过期的帐户,避免共享帐户的存
在;d)应授予管理用户所需的最小权限,实现管理用户的权限
分离
安全审计
a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; 日志审计系统
数据库审计系统
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
第 23 页 共 54 页
第 22 页 共 54 页
入侵防范
a) 系统应遵循最小安装的原则,仅安装需要的组件和应用程序;
b) 应关闭不需要的系统服务、默认共享和高危端口c) 应通过设定终端接入方式或网络地址范围对通过网络
进行管理的管理终端进行限制;d) 应能发现可能存在的漏洞,并在经过充分测试评估
后,及时修补漏洞恶意代码防范
a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
资源控制 a)应限制单个用户对系统资源的最大或最小使用限度; 堡垒机数据完整性 a)应采用校验码技术或密码技术保证重要数据在传输过程
中的完整性;b)应采用校验码技术或密码技术保证重要数据在存储过程
中的完整性;数据备份和恢复
a)应提供重要数据的本地数据备份与恢复功能;b)应提供异地实时备份功能,利用通信网络将重要数据实
时备份至备份场地;个人信息保
护a)应仅采集和保存业务必需的用户个人信息;(新增)b)应禁止未授权访问和非法使用用户个人信息。(新增)
第 24 页 共 54 页
第 23 页 共 54 页
4. 增城卫健局等保加固方案拓扑图
第 25 页 共 54 页
第 24 页 共 54 页
5. 增城卫健局等保加固产品清单设备/系统 形态 功能概述 数量
日志审计 硬件
功能:通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全;部署:旁路核心交换机
1 台
数据库审计 硬件
功能:针对数据库操作行为进行细粒度审计和防护的管理与监控系统。它通过对数据库管理员、业务员的数据库访问行为进行解析、记录、控制、分析,帮助用户实现事前预防、事中监控、实时响应、事后追溯,保障数据库的正常运行和核心数据资产的安全。部署:旁路核心交换机
1 台
堡垒机 硬件
功能:作为维护接入的集中控制点,整合多种接入方式,提供集中接入控制,在完成对接入用户的身份认证后,根据事先确定的授权信息,控制接入用户能够访问的设备,以及能够使用的应用和服务,并对接入用户的操作进行记录。其实现在复杂的维护环境下有效地对人员的身份进行验证,并在对身份验证的基础上对人员的权限进行合理的管控。部署:旁路核心交换机
1 台
威胁监测预警通报
平台
硬件 功能:威胁监测预警通报平台定位为客户的安全大脑,是一个检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助客户在高级威胁入侵之后,损失发生之前及时发现
1 台威胁监测预警通报中心
+16 个探针
第 26 页 共 54 页
第 25 页 共 54 页
威胁。部署:1 台核心威胁分析处理服务器(部署在卫健局)+14 台潜伏威胁探针部署在 16 家镇级医院的网络出口处(核心交换机/防火墙)
设备/系统 形态 功能概述 数量
漏洞扫描设备 硬件
功能:支持 IP地址段批量反查域名、内网穿透扫描的专业漏洞扫描器,可支持主机漏洞扫描、Web 漏洞扫描、弱密码扫描等。可以广泛用于扫描数据库、操作系统、邮件系统、Web 服务器等平台。通过部署漏洞扫描系统,快速掌握主机中存在的脆弱点,能够降低与缓解主机中的漏洞造成的威胁与损失。部署:旁路核心交换机
1 台
安全管理平台 软件
功能:以 IT 资产为基础,以业务信息系统为核心,以客户体验为指引,从监控、审计、风险、运维四个维度建立起来的一套可度量的统一业务 支撑平台,使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化例行化常态 化,最终实现业务信息系统的持续安全运营。部署:旁路核心交换机
1 台
第 27 页 共 54 页
第 26 页 共 54 页
6. 增城卫健局等保信息安全产品功能简介针对等保二级未达标项目和等保 2.0 的新要求,需要对以下内容进行安全
加固。
6.1. 日志审计系统 日志采集:支持 Syslog、SNMP、OPSec、XML、FTP 及本地文件等协议,
可以覆盖主流硬件设备、主机及应用,保障日志信息的全面收集。实现信息资
产(网络设备、安全设备、主机、应用及数据库)的日志获取,并通过预置的
解析规则实现日志的解析、过滤及聚合,同时可将收集的日志通过转发功能转
发到其它网管平台等。
大规模安全存储:内置 T 级别存储设备,可以选配各种 RAID 级别进行数据
冗余和安全保障。系统拥有多项自主知识产权的存储加密机制和查询机制,十
分合适等保、密保等行业的应用要求。
智能关联分析:实现全维度、跨设备、细粒度关联分析,内置众多的关联
规则,支持网络安全攻防检测、合规性检测,客户可轻松实现各资产间的关联
分析。
第 28 页 共 54 页
第 27 页 共 54 页
脆弱性管理:能够收集和管理来自各种Web 漏洞扫描、主机漏洞扫描工具、
网络漏洞扫描工具的产生的扫描结果,并实时和用户资产收到的攻击危险进行
风险三维关联分析。
数据挖掘和数据预测:支持对历史日志数据进行数据挖掘分析,发现日志
和事件间的潜在关联关系,并对挖掘结果进行可视化展示。系统自带多种数据
统计预测算法,可以根据历史数据的规律对未来的数据发生情况进行有效预测。
可视化展示:实现所监控的信息资产的实时监控、信息资产与客户管理、
解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储
与快速检索以及平台的管理。通过各种事件的归一化处理,实现高性能的海量
事件存储和检索优化功能,提供高速的事件检索能力、事后的合规性统计分析
处理,可对数据进行二次挖掘分析。
分布式部署和管理:系统支持分布式部署,可以在中心平台进行各种管理
规则,各种配置策略自动分发,支持远程自动升级等,极大的降低了分布式部
署的难度,提高了可管理性。
灵活的可扩展性:提供多种定制接口,实现强大的二次开发能力,及与第
第 29 页 共 54 页
第 28 页 共 54 页
三方平台对接和扩展的能力。
其他功能:支持各种网络部署需要,包括日志聚合、日志过滤、事件过滤、
日志转发、特殊日志格式支持(如单报文多事件)等。
6.2. 数据库审计系统 具有审计日志的大数据分析能力,为海量日志下的异常分析和取证溯源提
供支持。
具备多种审计报告模板,可按照日、月、季度等周期性生成审计报告,审
计报告支持 PDF、Word 等多种格式导出,可定制化各种审计报告。
事件查询统计提供了精细的过滤条件定义,方便用户精确查询历史行为,
查询到的事件和会话之间可以做到互相关联,方便用户分析。
审计日志信息全面,包括时间、客户端 IP 和端口、客户端程序、账号、操
作命令、操作对象(库、表、列)、操作结果、响应时间等信息。
对审计到的操作可以及时的进行各种响应,协助网络和安全管理人员及时
了解和控制各种网络访问行为。
可自动识别用户在一定业务周期内的行为基线,且能根据此基线判断后续
第 30 页 共 54 页
第 29 页 共 54 页
发生的数据库操作是否存在行为特征或者操作频次上的异常,一旦存在异常,
则可进行告警。
一种Web 服务器前后台关联审计方法及系统”,通过前后台关联,完美的
解决数据库访问精确溯源到HTTP-ID 的问题。
6.3. 堡垒机(运维审计与风险监控) 支 持SS
H、TELNET、RLOGIN、TN5250(AS400)、RDP、VNC、X11、FTP、SFTP
等多种运维协议和图形化工具的权限控制及审计;
支持 ORACLE、MSSQL、Sybase、Mysql、DB2 等数据库远程访问协议审
计;
支持按用户(用户组)、目标设备(设备组)、设备帐号、协议类型、生
效时间范围、IP地址设置访问控制策略;
支持工单授权功能:通过运维人员申请或管理员下发工单的方式来赋予运
维人员访问目标服务器的权限,且有工单生效时间限制;
第 31 页 共 54 页
第 30 页 共 54 页
支持对违规或高危操作的指令进行告警、忽略处理、自动阻断或审批;支
持指令黑白名单;
告警方式支持屏幕、邮件、SYSLOG、Snmp Trap、短信方式实时发送告警
信息;
支持运维用户的全生命周期管理,包括添加、修改、删除、停用/启动、导
入、导出功能
支持按设备(设备组)、系统帐号、计划开始时间、改密周期、密码策略
(方式)、改密结果发送等信息配置改密计划,到期周期自动执行;
支持以 WEB 在线视频回放方式重现维护人员对服务器的所有操作过程,支
持从指定指令进行定位回放;
6.4. 威胁监测预警通报平台威胁监测预警通报平台定位为客户的安全大脑,是一个检测、预警、响应
处置的大数据安全分析平台。其以全流量分析为核心,结合威胁情报、行为分
析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、
可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流
第 32 页 共 54 页
第 31 页 共 54 页
量可视化等,帮助客户在高级威胁入侵之后,损失发生之前及时发现威胁。
对绕过边界防御的进入到内网的攻击进行检测,以弥补静态防御的不足
对内部用户、业务资产的异常行为进行持续的检测,发现潜在风险以降低
可能的损失
对业务系统核心资产进行识别,梳理用户与资产的访问关系
将全网的风险进行可视化的呈现,一旦发生安全事件,能够快速定位出哪
个分支还是总部的问题
看清分支安全状况,提高分支安全意识,防止分支机构安全成为短板
自动发现资产变更,及时部署安全策略,封堵业务资产存在的安全隐患
6.5. 漏洞扫描设备支持 IP地址段批量反查域名、内网穿透扫描的专业漏洞扫描器,可支持主
机漏洞扫描、Web 漏洞扫描、弱密码扫描等。可以广泛用于扫描数据库、操作
系统、邮件系统、Web 服务器等平台。通过部署漏洞扫描系统,快速掌握主机
中存在的脆弱点,能够降低与缓解主机中的漏洞造成的威胁与损失。
批量扫描
第 33 页 共 54 页
第 32 页 共 54 页
漏洞扫描系统允许扫描一个大型的 IP地址段,通过基础域名数据库,反查每个
IP地址中指向的域名,再进行扫描,大大增加扫描的效率,增强易操作度。
庞大漏洞库支撑
漏洞扫描系统拥有全面的漏洞库和即时更新能力,是基于国际 CVE 标准建立的,
分为紧急、高危、中等、轻微、信息五个级别,提供超过 5万条以上的漏洞库,
可以全面扫描到各种类型的漏洞。
远程桌面弱口令探测
漏洞扫描系统可以提供远程桌面(3389 服务)弱口令探测功能的安全产品。
如果计算机存在远程桌面弱口令,攻击者就可以直接对计算机进行控制。
CVE、CNNVD、Metasploit编号兼容
漏洞扫描系统兼容 CVE、CNNVD、Metasploit编号。为客户提供 CVE兼容
的漏洞数据库,以便达到更好的风险控制覆盖范围,实现更容易的协同工作能
力,提高客户整个企业的安全能力。注:CVE,是国际安全组织 Common
Vulnerabilities & Exposures 通用漏洞披露的缩写,为每个漏洞和暴露确定
了唯一的名称。
第 34 页 共 54 页
第 33 页 共 54 页
可利用漏洞显示
漏洞扫描系统可以结合Metasploit(注:Metasploit 是国际著名的开源安全
漏洞检测工具),提示哪些漏洞是可以被攻击者利用,这样网络管理者可以优
先对于可利用的漏洞进行修补
6.6. 安全管理平台以 IT 资产为基础,以业务信息系统为核心,以客户体验为指引,从监控、
审计、风险、运维四个维度建立起来的一套可度量的统一业务 支撑平台,使得
各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审
计预警、风险与态势的度量与评估、安全运维流程的标准化例行化常态 化,最
终实现业务信息系统的持续安全运营。面向业务的统一安全管理
用户可以构建业务拓扑,反映业务支撑系统的资产构成,并自动构建业务
健康指标体系,从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度
第 35 页 共 54 页
第 34 页 共 54 页
计算业务的健康度,协助用户从业务的角度去分析业务可用性、业务安全事件
和业务告警。智能化安全事件关联分析
借助先进的智能事件关联分析引擎,能够实时不间断地对所有范式化后的
日志流进行安全事件关联分析 基于规则的关联分析、基于情境的关联分析和基
于行为的关联分析,并提供了丰富的可视化安全事件分析视图,充分提升分析
效率。全面的脆弱性管理
内置配置核查功能,从技术和管理两个维度进行全面的资产和业务脆弱性
管控。主动化的预警管理
通过预警管理功能发布内部及外部的早期预警信息,并与网络中的 IP 资产
进行关联,分析出可能受影响的资产,提前让用户了解业务系统可能遭受的攻
击和潜在的安全隐患。系统支持内部预警和外部预警;预警类型包括安全通告、
攻击预警、漏洞预警和病毒预警等。
第 36 页 共 54 页
第 35 页 共 54 页
基于风险矩阵的量化安全风险评估
系统参照GB/T 20984-2007 信息安全风险评估规范、ISO 27005:2008
信息安全风险管理,以及 OWASP 威胁建模项目中风险计算模型的要求,设计
一套实用化的风险计算模型,实现量化的安全风险估算和评估。指标化宏观态势感知
针对系统收集到的海量安全事件,借助地址熵分析、热点分析、威胁态势
分析、KPI 分析等数据挖掘技术,帮助管理员从宏观层面把握整体安全态势,
对重大威胁进行识别、定位、预测和跟踪。多样的安全响应管理
系统具备完善的响应管理功能,能够根据用户设定的各种触发条件,通过
多种方式(例如邮件、短信、声音、SNMP Trap 等)通知用户,并触发响应
处理流程,直至跟踪到问题处理完毕,从而实现安全事件的闭环管理。丰富灵活的报表报告
内置丰富的报表模板,包括统计报表、明细报表、综合审计报告,审计人
员可以根据需要生成不同的报表。系统内置报表生成调度器,支持定时自动生
第 37 页 共 54 页
第 36 页 共 54 页
成日报、周报、月报、季报、年报,并支持以邮件等方式自动投递,支持以
PDF、Excel、Word 等格式导出,支持打印。流量管理
除了采集各类安全事件,系统还能够采集形如NetFlow 的流量日志。针对
采集来的 NetFlow流量日志的分析,系统能够建立网络流量模型,通过泰合特
有的基于流量基线的分析算法,发现网络异常行为。一体化的安全管控界面
系统提供了强大的一体化安全管控功能界面,为不同层级的用户提供了多
视角、多层次的管理视图。
第 38 页 共 54 页
第 37 页 共 54 页
7. 增城卫健局等保加固方案价值广州市增城区卫生健康局通过此次信息安全等级保护加固方案建设,将从
以下三个大方面提升增城卫健局信息系统的安全能力、安全等级及可靠性。
信息安全防护能力得到极大提升
通过此次方案建设,增城卫健局将建立包括网络攻击防护、威胁态势感知、
内网安全审计及安全运维全方面信息安全技术体系,能够及时有效的拦截外部
攻击行为,实时感知网络安全态势及内网安全风险(漏洞扫描),将最大程度
的排除卫健局在网络安全上的内忧外患。
确保满足信息安全等级保护要求
增城卫健局的信息系统在通过等级保护测评后,在信息安全技术体系、信
息安全管理体系及信息安全运行体系发面都将满足国家网络信息安全等级保护
二级要求(2.0),特别是弥补了第一次测评后在信息安全技术体系中存在的不
足。通过加固方案建设,增城卫健局三大系统将通过信息安全等级保护二级测
评。
稳定可靠地为社会服务
第 39 页 共 54 页
第 38 页 共 54 页
通过此次网络信息安全等级保护方案建设,提升了广州市增城区卫健局属
各医疗卫生单位的信息安全防护等级,为个单位信息系统的正常运作提供了安
全保护,保障了单位的业务高可持续性,在社会效益上,为增城卫健局提供了
信息安全和业务系统安全可持续的可靠性保障,更有利于发挥增城区卫健对于
社会的作用。在经济效益方面,由于业务系统的安全性及信息化资源的管理方
面都得到了大幅度的提升,有助于提升单位的工作效率,节省单位在信息安全
建设运维管理等花费的人力物力,保障单位的网络及信息安全使单位免受网络
攻击威胁以及受到网络攻击时造成的业务中断和数据丢失带来的直接或间接的
经济损失。
第 40 页 共 54 页
第 39 页 共 54 页
8.项目实施管理8.1. 进度控制责任
(1)编制进度计划呈报项目经理审批。
(2)监督、检查各阶段工作是否按计划开始和结束,并记录相应的时间
和完成程度。
(3)协调进度执行过程中的问题。
(4)各阶段进度执行结束后,结合工期、成本、质量评价项目进度状况,
分析其中问题,并提出下一阶段工作计划,对未完成的工作,说明原因,并提
出修正措施。
(5)向业主提交进度报表。
8.2. 进度控制要求(1)制定各项进度计划的控制原则。
(2)确定各阶段工作管理目标和进度要求。
(3)编制进度计划。
(4)按进度计划的要求,进行过程控制,定期举行进度会议。
第 41 页 共 54 页
第 40 页 共 54 页
(5)定期对进度进行检查,随时对关键工序进行调整。
(6)掌握进度计划执行过程中的偏差,分析项目偏差的原因,提出纠正
措施,落实修正计划。
8.3. 项目施工控制(1)人力
中标后即按照“精干高效、对口适应、责权明确”的原则,组建综合素质
高、技术过硬的项目经理部,及时组织施工队伍进场,做好施工准备。
按照技术标准、设计要求、施工规范和作业指导书进行系统的、有针对性
的岗前培训。做到“召之即来,来之能干,干之能胜”,为进度提供可靠的人
力资源保证。
(3)设备供应
由项目经理部按业主要求及《物资采购程序》,结合计划工期,根据编制
的材料及设备供应计划进行采购工作。确保物资在每个单项工程施工前都能及
时供应,从而保证进度。
(4)工程环境
第 42 页 共 54 页
第 41 页 共 54 页
做好本工程施工接口管理,加强与业主、设计、其他承包商及材料设备供
应商的沟通,最大限度地减少“冲突”,为本工程顺利开展营造良好外部氛围。
(5)合同约束
开工后,除严格按照本投标文件的计划组织各种生产要素配置外,还将对
施工生产实行动态管理,随时掌握现场的施工情况。如果业主要求相关工程工
期提前,项目部完全予以响应,及时对本项目的施工提供人力、物力、财力上
的支持和保障,确保进度。
第 43 页 共 54 页
第 42 页 共 54 页
9. 后续运维管理9.1. 信息安全设备和软件运维1.对于信息安全设备和软件的系统运维
对于方案建议引入的安全设备和系统我们应该做到以下运维措施:
a. 提供 7×24小时全天候监控服务,通过远程监控的技术手段,
实时掌握单位网络环境的安全状况。
b. 原厂工程师作为单位专属技术支持,可以支持产品及产品相关
技术内容。
c. 提供 7×24小时全天候售后问题主动式通知(由监控系统自动
触发),并通过原厂工程师主动处理。
9.2. 信息安全管理制度运维a) 培训及教育服务,提供信息安全专家培训服务,提供信息安全产品精品
课程培训服务,为单位提供信息安全专业人员,为信息安全运维提供专业人员。
b) 单位人员安全意识培训,针对最新安全问题,每月提供安全意识小贴士,
第 44 页 共 54 页
第 43 页 共 54 页
提升员工的安全意识。
c) 信息安全管理制度定制,根据单位具体情况进行信息安全管理制度运维。
第 45 页 共 54 页
第 44 页 共 54 页
10. 增城卫健局等保加固项目投资概算10.1. 项目总投资
本项目总投资概算为 400 万元。费用预算总表如下:序号 项目 单价(元) 数量 合计(元)
1 安全产品费用 ¥3,586,000.00 1 ¥3,586,000.00
2 实施费 ¥294,000.00 1 ¥294,000.00
小计(安全产品+实施费) ¥3,880,000.00
3 项目测评费 ¥60,000.00 1 ¥60,000.00
4 项目监理费 ¥60,000.00 1 ¥60,000.00
合计金额:(元) ¥4,000,00.00
10.2. 安全产品费用明细序号 产品 单价 产品数量 小计
1 日志审计 ¥230,000.00 1 ¥230,000.00
2 数据库审计 ¥210,000.00 1 ¥210,000.00
3 堡垒机 ¥205,000.00 1 ¥205,000.00
4 漏洞扫描 ¥202,000.00 1 ¥202,000.00
5
威胁监测预警通报
平台
威胁监测预警中心 ¥331,000.00 1 ¥331,000.00
潜伏威胁探针 ¥132,500.00 16 ¥2,120,000.00
第 46 页 共 54 页
第 45 页 共 54 页
7 安全管理平台 ¥288,000.00 1 ¥288,000.00
价格合计: ¥3,586,000.00
10.3. 实施费用明细实施人/天单价:2000元
序号 实施阶段 实施工作内容 实施人/天 小计
1
调研及实施计划
环境调研、系统版本调研、设备配置调研 5 ¥10,000.00
2 差异分析报告及报告解读 10 ¥20,000.00
3 详细实施计划 7 ¥14,000.00
4
新增设备及系统调试及上线
设备及系统部署方式选定、及设备调试 15 ¥30,000.00
5设备及系统安全策略配置及测
试 13 ¥26,000.00
6 设备及系统上线测试 20 ¥40,000.00
7 设备及系统策略再调整 5 ¥10,000.00
8 设备及系统策略确定及上线 7 ¥14,000.00
9原有系统及设备策略调整
设备及系统策略导出及解读 5 ¥10,000.00
第 47 页 共 54 页
第 46 页 共 54 页
10 设备及系统策略调整 6 ¥12,000.00
11 设备及系统策略调整后测试 7 ¥14,000.00
12 设备及系统策略调整确定 4 ¥8,000.00
13
体系建设及文档编写
现有制度及文档调查 2 ¥4,000.00
14现有文档及制度缺失及补充内
容确定 4 ¥8,000.00
15 缺失文档及制度文档内容编写 10 ¥20,000.00
16 缺失文档及制度内容修改 5 ¥10,000.00
17 缺失文档及制度内容定稿 4 ¥8,000.00
18
培训
培训计划编写 4 ¥8,000.00
19 培训内容确定 2 ¥4,000.00
20 分角色培训 4 ¥8,000.00
21
项目验收
验收文档准备 3 ¥6,000.00
22 验收人员召集及验收会议 3 ¥6,000.00
23 验收报告签署 2 ¥4,000.00
第 48 页 共 54 页
第 47 页 共 54 页
实施费用总计: ¥294,000.00
