焦化工(gōng)業控制系統安(ān)全防護解決方案  

一、背景情況  
       焦化企業普遍采用(yòng)基于信息網、管理(lǐ)網和控制網三層架構的的管控一體(tǐ)化信息模型，焦化企業是典型的資金和技(jì )術密集型企業，生産(chǎn)的連續性很(hěn)強，裝(zhuāng)置和重要設備的意外停産(chǎn)都會導緻巨大的經濟損失，因此生産(chǎn)過程控制大多(duō)采用(yòng)DCS等先進的控制系統，且以國(guó)外廠商(shāng)為(wèi)主。經過多(duō)年的發展，焦化行業信息化建設已經有(yǒu)了較好的基礎，企業在管理(lǐ)層的指揮、協調和監控能(néng)力在實時性、完整性和一緻性上都有(yǒu)了很(hěn)大的提升，相應的網絡安(ān)全防護也有(yǒu)了較大提高。随着焦化企業管控一體(tǐ)化的實現，越來越多(duō)的控制網絡系統通過信息網絡連接到互聯上，潛在的威脅就越來越大。  

二、安(ān)全分(fēn)析  
（1）控制網絡與管理(lǐ)網絡互聯，存在來自上層網絡的安(ān)全威脅存在。  

（2）存在來自工(gōng)作(zuò)站（接入U盤、便攜設備等）的病毒傳染隐患。  

（3）網絡中(zhōng)沒有(yǒu)設置安(ān)全監控平台，無法對網絡安(ān)全事故進行預警和分(fēn)析，影響問題識别和系統修複效率。  

（4）控制系統缺少分(fēn)級、分(fēn)區(qū)的安(ān)全防護，容易受到信息網絡及相鄰系統的潛在威脅。  

（5）對違規操作(zuò)缺乏控制和審計。  

三、焦化行業工(gōng)控系統安(ān)全防護解決方案  
防護原則  

（1）安(ān)全分(fēn)區(qū)  

對于生産(chǎn)網絡與辦(bàn)公(gōng)網絡、企業集團内網存在互聯互通的現象，首先需要進行網絡優化，明确生産(chǎn)網絡邊界，盡量避免多(duō)個生産(chǎn)網絡邊界的現象。  

（2）安(ān)全審計  

對生産(chǎn)網絡内部的日常操作(zuò)行為(wèi)進行基于白名(míng)單策略監控，及時發現網絡中(zhōng)存在的異常流量、違規操作(zuò)、非法訪問、惡意程序等異常行為(wèi)，并要求對生産(chǎn)網絡的運行日志(zhì)進行記錄保存，至少保留6個月；對于已經發生攻擊事件的情況，要求可(kě)以對攻擊事件進行追蹤、溯源，定位網絡攻擊的位置或具(jù)體(tǐ)用(yòng)戶。  

（3）邊界防護  

根據業務(wù)網絡實際情況，在生産(chǎn)網絡外部邊界處部署工(gōng)業防火牆或單向隔離網閘設備，保證生産(chǎn)網絡向辦(bàn)公(gōng)網絡或其他(tā)外部網絡數據單向傳輸。工(gōng)業控制系統上位操作(zuò)主機（操作(zuò)站、工(gōng)程師站、服務(wù)器）作(zuò)為(wèi)生産(chǎn)網絡的内部邊界，需要對用(yòng)戶登陸、操作(zuò)、運行等行為(wèi)進行安(ān)全監控與審計，并對通過上位主機外設接口與生産(chǎn)網絡進行數據通訊的行為(wèi)進行授權管理(lǐ)。  

（4）惡意代碼防範  

對于以“白名(míng)單”防護策略為(wèi)主的工(gōng)控安(ān)全防護方案，除了對外部網絡邊界進行有(yǒu)效的訪問控制和威脅監測以外，需要對上位主機的USB接口使用(yòng)過程進行安(ān)全有(yǒu)效管理(lǐ)，對于臨時接入工(gōng)控網絡的移動存儲設備，必須先進行病毒查殺，才可(kě)以使用(yòng)。  

具(jù)體(tǐ)方案  

（1）根據焦化行業的網絡拓撲圖，結合相關标準及技(jì )術規範與要求，将整個網絡劃分(fēn)為(wèi)操作(zuò)管理(lǐ)層、現場監控層、生産(chǎn)控制層和生産(chǎn)執行層四個區(qū)域。  

（2）在現有(yǒu)網絡架構下，協同部署工(gōng)控系統安(ān)全防護産(chǎn)品，全面防護包括OPC數據采集、控制設備和工(gōng)程師工(gōng)作(zuò)站的安(ān)全。  

（3）采用(yòng)工(gōng)控網絡隔離網關設備隔離内外網，提供内外網數據交換安(ān)全通道，阻止來自上層網絡的非法訪問、病毒及惡意代碼的傳播。  

（4）部署分(fēn)布式工(gōng)業防火牆和工(gōng)控安(ān)全監控平台，深度解析多(duō)種工(gōng)控協議，防範非法訪問，迅速檢測異常網絡節點，及時預警，并監控工(gōng)業防火牆工(gōng)作(zuò)狀态，實時獲取工(gōng)控網絡安(ān)全事件日志(zhì)和報警任務(wù)。  

（5）在工(gōng)作(zuò)站應用(yòng)工(gōng)控安(ān)全主機防護系統，防範非法程序、應用(yòng)以及未經授權的任何行為(wèi)，給予終端計算機全生命周期的安(ān)全防護。  

（6）在操作(zuò)管理(lǐ)層部署審計平台和堡壘機，對違規操作(zuò)行為(wèi)進行控制和審計，保障網絡和數據不受外部和内部用(yòng)戶的入侵和破壞。

                                                                                                                 冶金鋼鐵工(gōng)業控制系統安(ān)全防護解決方案  

一、背景情況  
       冶金鋼鐵行業工(gōng)業以太網一般采用(yòng)環網結構，為(wèi)實時控制網，負責控制器、操作(zuò)站和工(gōng)程師站之間過程控制數據實時通訊，網絡上所有(yǒu)操作(zuò)站、數采機和PLC都采用(yòng)以太網接口，網絡中(zhōng)遠(yuǎn)距離傳輸介質(zhì)為(wèi)光纜，本地傳輸介質(zhì)為(wèi)網線(xiàn)（如PLC與操作(zuò)站之間）。生産(chǎn)監控主機利用(yòng)雙網卡結構與管理(lǐ)網互聯。  

二、安(ān)全分(fēn)析  
（1）鋼鐵冶金企業沒有(yǒu)對其内部生産(chǎn)控制系統及網絡進行分(fēn)區(qū)、分(fēn)層，無法将惡意軟件、黑客攻擊、非法操作(zuò)等行為(wèi)控制在特定區(qū)域内，易發生全局性網絡安(ān)全風險。  

（2）分(fēn)廠控制網絡采用(yòng)同網段組網，PLC、DCS等重要控制系統缺乏安(ān)全防護和訪問控制措施。  

（3）各分(fēn)廠控制網與骨幹環網之間無隔離防護措施。  

（4）鋼鐵冶金企業辦(bàn)公(gōng)網和生産(chǎn)監控網之間無物(wù)理(lǐ)隔離措施，導緻病毒、木(mù)馬、黑客攻擊等極易以辦(bàn)公(gōng)網為(wèi)跳闆對生産(chǎn)控制系統發起攻擊。  

（5）由于鋼鐵冶金企業控制流程複雜、設備種類繁多(duō)、通信協議多(duō)樣，導緻采集數據安(ān)全性無法得到保障。  

（6）鋼鐵冶金企業内部控制系統及網絡缺乏安(ān)全監測與審計措施，無法及時發現非法訪問、非法操作(zuò)、惡意攻擊等行為(wèi)。  

（7）鋼鐵冶金企業内部缺乏統一的安(ān)全管理(lǐ)平台。  

三、冶金鋼鐵行業工(gōng)控系統安(ān)全防護解決方案  
防護原則  

（1）安(ān)全分(fēn)區(qū)  

       對于生産(chǎn)網絡與辦(bàn)公(gōng)網絡、企業集團内網存在互聯互通的現象，首先需要進行網絡優化，明确生産(chǎn)網絡邊界，盡量避免多(duō)個生産(chǎn)網絡邊界的現象。  

（2）安(ān)全審計  

       對生産(chǎn)網絡内部的日常操作(zuò)行為(wèi)進行基于白名(míng)單策略監控，及時發現網絡中(zhōng)存在的異常流量、違規操作(zuò)、非法訪問、惡意程序等異常行為(wèi)，并要求對生産(chǎn)網絡的運行日志(zhì)進行記錄保存，至少保留6個月；對于已經發生攻擊事件的情況，要求可(kě)以對攻擊事件進行追蹤、溯源，定位網絡攻擊的位置或具(jù)體(tǐ)用(yòng)戶。  

（3）邊界防護  

       根據業務(wù)網絡實際情況，在生産(chǎn)網絡外部邊界處部署工(gōng)業防火牆或單向隔離網閘設備，保證生産(chǎn)網絡向辦(bàn)公(gōng)網絡或其他(tā)外部網絡數據單向傳輸。工(gōng)業控制系統上位操作(zuò)主機（操作(zuò)站、工(gōng)程師站、服務(wù)器）作(zuò)為(wèi)生産(chǎn)網絡的内部邊界，需要對用(yòng)戶登陸、操作(zuò)、運行等行為(wèi)進行安(ān)全監控與審計，并對通過上位主機外設接口與生産(chǎn)網絡進行數據通訊的行為(wèi)進行授權管理(lǐ)。  

（4）惡意代碼防範  

       對于以“白名(míng)單”防護策略為(wèi)主的工(gōng)控安(ān)全防護方案，除了對外部網絡邊界進行有(yǒu)效的訪問控制和威脅監測以外，需要對上位主機的USB接口使用(yòng)過程進行安(ān)全有(yǒu)效管理(lǐ)，對于臨時接入工(gōng)控網絡的移動存儲設備，必須先進行病毒查殺，才可(kě)以使用(yòng)。  

具(jù)體(tǐ)方案  

（1）部署工(gōng)控安(ān)全監控系統和工(gōng)業防火牆，對工(gōng)控協議深度解析，防範非法訪問，迅速檢測異常網絡節點，及時預警，并監控工(gōng)業防火牆工(gōng)作(zuò)狀态，實時獲取工(gōng)控網安(ān)全事件日志(zhì)和報警任務(wù)，保障PLC設備和各服務(wù)器安(ān)全。  

（2）在各高爐操作(zuò)站和工(gōng)程師站應用(yòng)工(gōng)控安(ān)全主機防護系統，防範非法程序和應用(yòng)以及未經授權的任何行為(wèi)。  

（3）部署堡壘機及工(gōng)控安(ān)全綜合審計系統，對違規操作(zuò)行為(wèi)進行控制和審計，保障網絡和數據不受外部和内部用(yòng)戶的入侵和破壞。  

（4）采用(yòng)工(gōng)控網絡隔離網關設備隔離生産(chǎn)控制網和控制子站環網，提供兩網數據交換安(ān)全通道，阻止來自上層網絡的非法訪問以及病毒和惡意代碼的傳播。

                                                                                                 火力發電(diàn)工(gōng)業控制系統安(ān)全防護解決方案  

一、背景情況  

       火電(diàn)廠工(gōng)控系統主要由中(zhōng)央控制室和各配電(diàn)室、電(diàn)子間等子站組成，系統中(zhōng)布置有(yǒu)數千個開關、數百個模拟測量點以及數個PID調節回路的控制對象。其中(zhōng)，中(zhōng)央控制室設備通常包括建立在以太網連接上的操作(zuò)員站、工(gōng)程師站、數據采集服務(wù)器、報表打印設備等。中(zhōng)央控制網絡與各子站控制系統采用(yòng)光纖為(wèi)通信鏈路，各子站配有(yǒu)光纖收發器和工(gōng)業交換機。  

二、安(ān)全分(fēn)析  

（1）中(zhōng)央控制網絡與各控制子站網絡互聯，存在來自上層網絡的安(ān)全威脅，缺少重點邊界、區(qū)域的安(ān)全防護手段；  

（2）工(gōng)控系統及網絡缺乏監測手段，無法感知未知設備、非法應用(yòng)和軟件的入侵，無法對網絡中(zhōng)傳輸的未知異常流量進行監測；  

（3）工(gōng)控系統缺乏對用(yòng)戶操作(zuò)行為(wèi)的監控和審計，針對用(yòng)戶操作(zuò)行為(wèi)缺乏有(yǒu)效可(kě)靠的審計手段；  

（4）工(gōng)業控制系統缺乏分(fēn)區(qū)邊界防護，容易受到來自信息網絡和相鄰系統的安(ān)全影響。  

三、火力發電(diàn)行業工(gōng)控系統安(ān)全防護解決方案  

安(ān)全防護原則  

（1）安(ān)全分(fēn)區(qū)  

       按照《電(diàn)力監控系統安(ān)全防護規定》，原則上将基于計算機及網絡技(jì )術的業務(wù)系統劃分(fēn)為(wèi)生産(chǎn)控制大區(qū)和管理(lǐ)信息大區(qū)，并根據業務(wù)系統的重要性和對一次系統的影響程度将生産(chǎn)控制大區(qū)劃分(fēn)為(wèi)控制區(qū)（安(ān)全區(qū)Ⅰ）及非控制區(qū)（安(ān)全區(qū)Ⅱ），重點保護生産(chǎn)控制以及直接影響電(diàn)力生産(chǎn)（機組運行）的系統。  

（2）網絡專用(yòng)  

       電(diàn)力調度數據網是與生産(chǎn)控制大區(qū)相連接的專用(yòng)網絡，承載電(diàn)力實時控制、在線(xiàn)交易等業務(wù)。生産(chǎn)控制大區(qū)的電(diàn)力調度數據網應當在專用(yòng)通道上使用(yòng)獨立的網絡設備組網，在物(wù)理(lǐ)層面上實現與電(diàn)力企業其他(tā)數據網及外部公(gōng)共信息網的安(ān)全隔離。生産(chǎn)控制大區(qū)的電(diàn)力調度數據網應當劃分(fēn)為(wèi)邏輯隔離的實時子網和非實時子網，分(fēn)别連接控制區(qū)和非控制區(qū)。  

（3）橫向隔離 縱向認證  

       橫向隔離是電(diàn)力監控系統安(ān)全防護體(tǐ)系的橫向防線(xiàn)。應當采用(yòng)不同強度的安(ān)全設備隔離各安(ān)全區(qū)，在生産(chǎn)控制大區(qū)與管理(lǐ)信息大區(qū)之間必須部署經國(guó)家指定部門檢測認證的電(diàn)力專用(yòng)橫向單向安(ān)全隔離裝(zhuāng)置，隔離強度應當接近或達到物(wù)理(lǐ)隔離。生産(chǎn)控制大區(qū)内部的安(ān)全區(qū)之間應當采用(yòng)具(jù)有(yǒu)訪問控制功能(néng)的網絡設備、安(ān)全可(kě)靠的硬件防火牆或者相當功能(néng)的設施，實現邏輯隔離。防火牆的功能(néng)性能(néng)電(diàn)磁兼容性必須經過國(guó)家相關部門的認證和測試。  

       縱向加密認證是電(diàn)力監控系統安(ān)全防護體(tǐ)系的縱向防線(xiàn)。生産(chǎn)控制大區(qū)與調度數據網的縱向連接處應當設置經過國(guó)家指定部門檢測認證的電(diàn)力專用(yòng)縱向加密認證裝(zhuāng)置，實現雙向身份認證、數據加密和訪問控制。  

（4）綜合防護  

       綜合防護是結合國(guó)家信息安(ān)全等級保護工(gōng)作(zuò)的相關要求對電(diàn)力監控系統從主機、網絡設備、惡意代碼防範、應用(yòng)安(ān)全控制、審計、備份及容災等多(duō)個層面進行信息安(ān)全防護的過程。  

       生産(chǎn)控制大區(qū)可(kě)以統一部署一套網絡入侵檢測系統，應當合理(lǐ)設置檢測規則，檢測發現隐藏于流經網絡邊界正常信息流中(zhōng)的入侵行為(wèi)，分(fēn)析潛在威脅并進行安(ān)全審計。  

       非控制區(qū)的網絡設備與安(ān)全設備應當進行身份鑒别、訪問權限控制、會話控制等安(ān)全配置加固。可(kě)以應用(yòng)電(diàn)力調度輸子證書，在網絡設備和安(ān)全設備實現支持HTTPS的縱向安(ān)全WEB服務(wù)，能(néng)夠對浏覽器客戶端訪問進行身份認證及加密傳輸。  

       生産(chǎn)控制大區(qū)的監控系統應當具(jù)備安(ān)全審計功能(néng)，能(néng)能(néng)夠對操作(zuò)系統、數據庫、業務(wù)應用(yòng)的重要操作(zuò)盡心記錄、分(fēn)析，及時發現各種違規行為(wèi)以及病毒和黑客的攻擊行為(wèi)。對于遠(yuǎn)程用(yòng)戶登陸到本地系統中(zhōng)的操作(zuò)行為(wèi)，應當進行嚴格的安(ān)全審計。  

具(jù)體(tǐ)方案  

部署工(gōng)控安(ān)全綜合監管平台、工(gōng)業安(ān)全防火牆，深度解析工(gōng)控協議，防範非法訪問，迅速檢測異常網絡節點，及時預警，并監控工(gōng)業防火牆運行狀态，實時獲取工(gōng)控網安(ān)全事件日志(zhì)和報警任務(wù)；

在操作(zuò)員站和工(gōng)程師站部署工(gōng)控主機安(ān)全防護系統，防範非法程序和應用(yòng)以及未經授權的任何行為(wèi)；

部署堡壘機及工(gōng)控安(ān)全綜合審計系統，對違規操作(zuò)行為(wèi)進行控制和審計，保障網絡和數據不受外部和内部用(yòng)戶的入侵和破壞；

采用(yòng)工(gōng)控安(ān)全隔離網閘設備，物(wù)理(lǐ)隔離中(zhōng)央控制室和各子站網，提供兩網數據交換安(ān)全通道，阻止來自上層網絡的非法訪問以及病毒和惡意代碼的傳播。

    1-智慧城市數據溯源保密安(ān)全解決方案

    根據智慧城市數據交換平台的需求情況，提出采用(yòng)自主可(kě)控數據共享與溯源綜合管理(lǐ)平台（以下簡稱數據溯源系統）來實現智慧城市信息數據交換共享中(zhōng)的數據脫敏及溯源追蹤保密安(ān)全的痛點問題。

系統部署于智慧城市數據交換共享中(zhōng)心内部網絡當中(zhōng)（不同安(ān)全域之間），當智慧城市數據共享交換系統通過RestAPI獲取到DB數據提供者提供的相關數據後，該系統會将這些數據及其相應的數據屬性信息提交到數據交換安(ān)全處理(lǐ)中(zhōng)心，該中(zhōng)心安(ān)全域内部署了兩種數據安(ān)全處理(lǐ)系統，一為(wèi)數據脫敏系統，第二為(wèi)數據溯源交換系統。在該安(ān)全處理(lǐ)中(zhōng)心會對相關的數據進行數據脫敏操作(zuò)和數據溯源标識操作(zuò)。

1)  數據溯源種子植入。該操作(zuò)步驟會按照溯源種子植入策略進行敏感數據的溯源種子植入，處理(lǐ)完成後的數據将提交給智慧城市數據共享交換系統轉發給具(jù)體(tǐ)的數據使用(yòng)者。

2)  數據溯源标識。相應的DB數據提供者的數據将會被打上知識産(chǎn)權标簽，相關的宿主屬性會無縫地嵌入到現有(yǒu)的數據之上，并且不改變現有(yǒu)數據的任何結構，當這種數據進入數據使用(yòng)者的時候，不會影響數據使用(yòng)者的使用(yòng)，但是如果數據使用(yòng)者将該數據洩露給其他(tā)公(gōng)司或個人，智慧城市交換中(zhōng)心可(kě)以借助于該溯源追蹤平台進行審計和跟蹤，從而實現數據的非授權擴散監管問題。

    2-大數據安(ān)全脫敏系統解決方案

    數據安(ān)全脫敏系統采用(yòng)大數據分(fēn)析技(jì )術來實現隐私數據發現、數據提取、數據漂白、測試數據管理(lǐ)、數據裝(zhuāng)載等功能(néng)于一體(tǐ)的高性能(néng)數據脫敏設備。系統采用(yòng)專用(yòng)的脫敏處理(lǐ)算法對敏感數據進行變形、屏蔽、替換、加密（格式保留加密處理(lǐ)和高強度加密處理(lǐ)），将敏感數據進行處理(lǐ)後屏蔽了原有(yǒu)數據的敏感性，實現了數據的隐私性保護。同時脫敏後的數據保留了原有(yǒu)數據的數據結構和數據的業務(wù)邏輯一緻，也能(néng)維持脫敏前後的數據唯一性，如：身份證、銀行卡、手機号、IMSI等。使得上層應用(yòng)無需改變相應的業務(wù)邏輯。

系統具(jù)有(yǒu)流程化、自動化和作(zuò)業複用(yòng)等特點。作(zuò)為(wèi)軟硬一體(tǐ)化的設備，它擁有(yǒu)強大的功能(néng)、易于部署和使用(yòng)等特點，開箱即用(yòng)式的優勢能(néng)夠極大減輕工(gōng)作(zuò)人員的工(gōng)作(zuò)強度以及項目周期。

系統對主流數據類型均能(néng)友好支持。包括支持國(guó)産(chǎn)關系型主流數據庫系統Oracle、Informix、SQL Server、DB2、MySQL。國(guó)産(chǎn)主流數據庫南大通用(yòng)GBase、人大金倉、虛谷等、非關系型主流數據庫Hive、MongoDB、Redis、Hbase等。

    3-數據庫保密檢查解決方案

    1. 需求

需要用(yòng)新(xīn)的技(jì )術手段實現對數據庫進行高效涉密數據檢查。具(jù)體(tǐ)需求如下。

1)檢查範圍廣。包括結構化數據庫、非結構化數據庫、雲計算的虛拟機和壓縮文(wén)件、大數據集群系統、服務(wù)器系統等

2)檢查效率高。需要快速對高達100T的數據庫進行保密檢查，檢查效率是傳統方式的100-1000倍

3)檢查類型多(duō)。需要對數據庫中(zhōng)涉及到的多(duō)種文(wén)本文(wén)件（Word、PDF等）、圖片文(wén)件中(zhōng)的數據進行數據敏感性檢查

4)檢查精(jīng)度高。需要能(néng)在海量數據庫内容中(zhōng)精(jīng)準定位涉密信息或數據，誤報率低

5)多(duō)種檢查方法。需要提供多(duō)種檢查算法，能(néng)從多(duō)維度定位目标數據系統。

2. 功能(néng)概述

系統采用(yòng)大數據技(jì )術創新(xīn)性地用(yòng)于數據庫涉密信息檢查，能(néng)有(yǒu)效達到以下目标。

1)高效采集。大數據Sqoop技(jì )術實現數據的分(fēn)布式采集。

2)高效分(fēn)析。大數據MapReduce技(jì )術實現對數據庫内容的快速分(fēn)析和檢查

3)精(jīng)準定位。結合檢查專家庫，快速對政務(wù)敏感信息定位，并能(néng)生成詳盡的分(fēn)析報告

數據庫保密檢查系統安(ān)裝(zhuāng)部署方便，隻需要保證與被檢查數據庫網絡可(kě)達即可(kě)；出于檢查效率的考慮，建議采用(yòng)千兆及以上網絡環境。

資料更新(xīn)中(zhōng)...

一、背景情況
       校園網絡是學(xué)校為(wèi)教職員工(gōng)和學(xué)生提供網絡接入，滿足教學(xué)、科(kē)研、管理(lǐ)服務(wù)需求的信息化基礎設施，包括有(yǒu)線(xiàn)寬帶網絡、無線(xiàn)局域網絡和移動通信網絡，因此提高高等學(xué)校網絡管理(lǐ)和服務(wù)質(zhì)量，提升校園網絡用(yòng)戶上網體(tǐ)驗，保障校園網絡安(ān)全是當前教育行業的重要工(gōng)作(zuò)。對于學(xué)校而言，維護校園網絡安(ān)全，是保障教育教學(xué)正常開展的基礎性工(gōng)作(zuò)，也是構建新(xīn)時代育人環境的重要工(gōng)作(zuò)。

二、安(ān)全分(fēn)析
1.校園各類信息服務(wù)系統的數據安(ān)全。由于校園内各種二級、三級域名(míng)系統管理(lǐ)相對分(fēn)散，針對各類漏洞風險可(kě)能(néng)會存在安(ān)全維護不及時等問題。這會導緻部分(fēn)網站或信息系統存在被拖庫、竄改等風險，從而導緻師生的各類敏感信息洩露。
2.校園網絡、移動通信網無線(xiàn)接入安(ān)全。由于校園網絡中(zhōng)WiFi（行動熱點）接入點衆多(duō)且大多(duō)采用(yòng)802.1x（一種訪問控制和認證協議）方式，人員密集使其成為(wèi)具(jù)有(yǒu)較高價值的攻擊目标，因此存在大量的僞熱點、基站試圖竊取用(yòng)戶敏感賬号信息，進行釣魚欺詐等。
3.校園信息系統中(zhōng)輿情内容安(ān)全（不良信息及言論的傳播）。由于大學(xué)生初步掌握了各種獲取信息的工(gōng)具(jù)，可(kě)以輕易接觸到色情、暴力、反動等不良信息，這會影響其人生觀、世界觀的形成和發展。
4.學(xué)校網絡安(ān)全管理(lǐ)制度存在不足。學(xué)校内計算機和網絡已經普及，需要學(xué)校對網絡安(ān)全加以重視，并建立完善的管理(lǐ)制度。但是，學(xué)校還沒有(yǒu)認識到網絡安(ān)全的重要性，且考慮不全面，建立的管理(lǐ)制度存在不足；同時，沒有(yǒu)對管理(lǐ)人員進行專業技(jì )術和職業素養方面的培訓，影響網絡安(ān)全管理(lǐ)效率與質(zhì)量。

三、教育行業系統安(ān)全防護解決方案
網絡層面：關注安(ān)全域劃分(fēn)、訪問控制、抗拒絕服務(wù)攻擊，針對區(qū)域邊界采取隔離手段，并在隔離後的各個安(ān)全區(qū)域邊界執行嚴格的訪問控制，防止非法訪問，利用(yòng)漏洞管理(lǐ)系統、網絡安(ān)全審計等網絡安(ān)全産(chǎn)品，為(wèi)客戶構建嚴密、專業的網絡安(ān)全保障體(tǐ)系。
應用(yòng)層面：WEB應用(yòng)防火牆能(néng)夠對WEB應用(yòng)漏洞進行預先掃描，同時具(jù)備對SQL注入、跨站腳本等通過應用(yòng)層的入侵動作(zuò)實時阻斷，并結合網頁(yè)防篡改子系統，真正達到雙重層面的“網頁(yè)防篡改”效果。
數據層面：數據庫将被隐藏在安(ān)全區(qū)域，同時通過專業的安(ān)全加固服務(wù)對數據庫進行安(ān)全評估和配置，對數據庫的訪問權限進行嚴格設定，最大限度保證數據庫安(ān)全。同時，有(yǒu)效保護重要數據信息的健康度。

一、背景情況
       醫(yī)療衛生行業的健康發展，直接關系到民(mín)生問題。随着醫(yī)院信息化建設的逐步深入，網上業務(wù)由單一到多(duō)元化，各類應用(yòng)系統數十個，信息系統承受的壓力日益增長(cháng)，醫(yī)院信息系統已經成為(wèi)醫(yī)院正常運行不可(kě)或缺的支撐環境和工(gōng)作(zuò)平台。醫(yī)院業務(wù)系統作(zuò)為(wèi)我國(guó)重要的關鍵信息基礎設施，是黑客的重點攻擊對象，醫(yī)療行業網絡攻擊事件層出不窮。因此，建設完善的網絡安(ān)全防禦體(tǐ)系，落實醫(yī)院網絡安(ān)全等級化建設工(gōng)作(zuò)勢在必行。

二、安(ān)全分(fēn)析
       近年來，各類勒索病毒、挖礦病毒、黑客木(mù)馬等自動化攻擊程序的出現和持續增加，如何快速有(yǒu)效的解決醫(yī)院資産(chǎn)全生命周期閉環管理(lǐ)，完成安(ān)全合規的落地化工(gōng)作(zuò)并盡量少地影響醫(yī)院核心臨床應用(yòng)，也成為(wèi)當前醫(yī)院面臨的嚴峻安(ān)全挑戰之一。

三、醫(yī)療行業安(ān)全防護解決方案
●安(ān)全物(wù)理(lǐ)環境
依據《信息安(ān)全技(jì )術-網絡安(ān)全等級保護基本要求》中(zhōng)的“安(ān)全物(wù)理(lǐ)環境”要求對對機房進行整改建設。
●安(ān)全通信網絡
安(ān)全通信網絡從網絡架構、通信傳輸和可(kě)信驗證三個方面進行設計和安(ān)全防護。
保證網絡設備的業務(wù)處理(lǐ)能(néng)力滿足業務(wù)高峰期需要；
關鍵業務(wù)區(qū)和管理(lǐ)區(qū)采取可(kě)靠的技(jì )術手段與其他(tā)區(qū)域進行隔離；
重要數據的通信傳輸采取加密措施；
●安(ān)全區(qū)邊界
根據業務(wù)網絡實際情況，在内網區(qū)和外網區(qū)的邊界部署安(ān)全隔離設備，保證HIS、LIS等系統面臨的APT攻擊、非法外聯/違規接入網絡等安(ān)全威脅進行有(yǒu)針對性的安(ān)全控制。
針對數據的傳輸、使用(yòng)和存儲等過程，使用(yòng)數據加密傳輸、數據脫敏等措施，保護醫(yī)院重要數據資産(chǎn)的安(ān)全。
●安(ān)全計算環境
安(ān)全計算環境防護建設主要通過主機加固、入侵防範、漏洞掃描、惡意代碼防護等多(duō)種安(ān)全機制實現。