浪潮区域卫生信息化平台安全建设方案

机房治理

机房收支口摆设专人值守，控制、判别和记载进入的职员；

需进入机房的来访职员须经由申请和审批流程，并限制和监控其运动规模。

对机房划分区域举行治理，区域和区域之间设置物理隔离装置，在主要区域前设置交付或安装等过渡区域；

主要区域应设置电子门禁系统，控制、判别和记载进入的职员。

机房情况

合理计划装备安装位置，应预留足够的空间作安装、维护及操作之用。房间装修必须使用阻燃质料，耐火品级切合国家相关尺度划定。机房门巨细应知足系统装备安装时运输需要。机房墙壁及天花板应举行外貌处置惩罚，防止灰尘脱落，机房应安装防静电运动地板。

机房安装防雷和接地线，设置防雷保安器，防止感应雷，要求防雷接地和机房接地划分安装，且相隔一定的距离；机房设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；机房及相关的事情房间和辅助房应接纳具有耐火品级的修建质料；机房应接纳区域隔离防火措施，将主要装备与其他装备隔脱离。配备空调系统，以保持房间恒湿、恒温的事情情况；在机房供电线路上设置稳压器和过电压防护装备；提供短期的备用电力供应，知足要害装备在断电情形下的正常运行要求。设置冗余或并行的电力电缆线路为盘算机系统供电；建设备用供电系统。铺设线缆要求电源线和通讯线缆隔离铺设，制止相互滋扰。对要害装备和磁介质实行电磁屏障。

装备与介质治理

为了防止无关职员和非法分子非法靠近网络并使用网络中的主机偷取信息、破损网络和主机系统、破损网络中的数据的完整性和可用性，必须接纳有用的区域监控、防盗报警系统，阻止非法用户的种种邻近攻击。此外，必须制订严酷的收支治理制度和情况监控制度，以保障区域监控系统和情况监控系统的有用运行。对介质举行分类标识，存储在介质库或档案室中。使用光、电等手艺设置机房防盗报警系统；对机房设置监控报警系统。

2.2网络宁静手艺措施

网络界限接入宁静

建设内容

限制未经授权的用户会见卫生信息化平台的网络和信息资源的措施，会见者必须要能适用现行所有的服务和应用。

高效的URL和文件级细粒度应用层管APP软件

双向NAT

提供IP地址转换和IP及TCP/UDP端口映射，实现IP复用和隐藏网络结构。NAT在IP层上通过地址转换提供IP复用功效，解决IP地址不足的问题，同时隐藏了内部网的结构，强化了内部网的宁静。

IP与Mac地址绑定：

防止防火墙广播域内主机的IP地址不被另一台机械盗用。也就是说，若是要掩护的主机与防火墙直接相连，可以将此机械的IP与其物理网卡地址捆绑，这样其他内部机械就不行能使用这个IP通过防火墙。

支持流量治理

流量治理与控制。

基于优先级的带宽治理

用户带宽最大用量限制，用户带宽用量保障，多级用户优先级设置流量控制功效为用户提供所有监测和治理网络的信息。

防TCP、UDP等端口扫描

能检测对网络或内部主机的所有TCP/UDP扫描。

抗DOS/DDOS攻击

拒绝服务攻击（DOS）就是攻击者过多的占用共享资源，导致服务器超载或系统瓦解，而使正常用户无法享有服务或没有资源可用，通过控制、检测与报警机制，阻止DOS黑客攻击。

防御源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN等多种攻击；

提供实时监控、审计和告警功效

当发现攻击和危险行为时，防火墙提供告警等功效。

网络节点间数据传输宁静

建设内容

用户验证

能够验证用户身份并严酷控制只有授权用户才气会见。另外，方案能够提供审计和记费功效，显示何人在何时会见了何种信息。

地址治理

为用户分配专用网络上的地址并确保地址的宁静性。

数据加密

对通过公共互联网络通报的数据必须经由加密，确保网络其他未授权的用户无法读取该信息。

密钥治理

天生并更新客户端和服务器的加密密钥。

多协议支持

支持公共互联网络上普遍使用的基本协议，包罗IP，IPX等。

网络防病毒宁静

建设内容

为知足对网络层病毒防护的严的要求，需要在要害网络区域上部署网络层病毒防护系统。现在比力成熟的网络层病毒防护系统的一样平常手艺要求如下：

 2/6   首页 上一页 1 2 3 4 5 6 下一页 尾页