2023醫(yī)院信息安全建設方案

醫(yī)院信息安全建設方案整改方案2023XXX醫(yī)院信息安全整改建設方案PAGE6/83目錄1. 概述 61.1 醫(yī)院概況 61.2 建設范圍 61.3 建設目標 61.4 設計依據(jù) 72 安全現(xiàn)狀分析及風險分析 82.1 軟硬件資源 82.2 網(wǎng)絡拓撲現(xiàn)狀分析 82.3 網(wǎng)絡拓撲風險分析 102.4 技術層面 112.4.1 物理安全現(xiàn)狀 112.4.2 物理安全風險分析 122.4.3 網(wǎng)絡安全現(xiàn)狀 122.4.4 網(wǎng)絡安全風險分析 132.4.5 主機安全現(xiàn)狀 132.4.6 主機安全風險分析 142.4.7 應用安全現(xiàn)狀 142.4.8 應用安全風險分析 152.4.9 數(shù)據(jù)安全現(xiàn)狀 152.4.10 數(shù)據(jù)安全風險分析 152.5 管理層面 152.5.1 安全管理現(xiàn)狀 152.5.2 安全管理風險分析 163 安全解決方案 183.1 整體架構設計 183.2 技術防護體系 213.2.1 物理安全防護 213.2.2 網(wǎng)絡安全防護 223.2.3 主機安全防護 233.2.4 應用安全防護 233.2.5 數(shù)據(jù)安全防護 233.3 安全管理體系 233.3.1 安全管理建設 234 安全服務 254.1 風險評估服務 254.2 滲透測試服務 254.3 安全加固服務 254.4 安全運維服務 265 安全產(chǎn)品選型 285.1 防火墻 285.2 綜合日志審計系統(tǒng) 295.3 入侵防御系統(tǒng)(IPS) 305.4 IT運維監(jiān)控系統(tǒng) 335.5 終端安全管理系統(tǒng) 355.6 產(chǎn)品報價 366 服務質(zhì)量保障 376.1 組織保障 376.1.1 領導小組 376.1.2 領導小組成員 376.1.3 維護小組 376.1.4 維護小組成員 386.1.5 人員資質(zhì) 386.1.6 人員分工 386.2 服務過程保障 406.2.1 記錄審核 406.2.2 流程監(jiān)督 406.2.3 階段評審 406.2.4 異常處理 406.2.5 制度保障 406.3 質(zhì)量監(jiān)督體系 416.4 服務質(zhì)量考核體系 416.5 應急防范體系 427 項目實施 437.1 工程組織 437.1.1 領導小組 437.1.2 實施組 437.1.3 專家組 447.2 任務分工 447.2.1 建設單位 447.2.2 承建單位 447.3 項目實施管理措施 447.3.1 項目實施進度控制 457.3.2 項目實施質(zhì)量控制 457.3.3 質(zhì)量及過程控制流程 457.4 主要質(zhì)量和過程控制節(jié)點 467.4.1 質(zhì)量及過程控制措施 467.4.2 項目預算控制 477.4.3 項目實施風險控制 477.5 項目進度安排 518 售后服務與培訓 528.1 服務理念 528.2 服務體系結構 528.3 售后服務承諾 548.4 專業(yè)化服務 558.5 服務內(nèi)容 568.5.1 日常支持 568.5.2 現(xiàn)場支持 578.5.3 應急響應 578.6 技術培訓 578.6.1 培訓目的 578.6.2 培訓對象 578.6.3 培訓前的準備 578.6.4 培訓方式 588.6.5 培訓地點及人數(shù) 588.6.6 培訓內(nèi)容 588.7 技術咨詢 598.8 其他服務 599 新機房搬遷示例 609.1 準備工作 609.1.1 現(xiàn)狀描述 609.1.2 端口連接表 619.1.3 搬遷設備清單 639.2 新機房部署設計 639.2.1 整體部署 649.2.2 機柜部署 659.3 搬遷規(guī)劃設計 659.4 實施流程 659.5 實施與驗收 669.6 注意事項 6610 建設分期 6710.1 一期建設 6710.2 二期建設 6710.3 三期建設 67

概述醫(yī)院概況隨著國內(nèi)醫(yī)院建設的重點逐漸轉(zhuǎn)向醫(yī)療數(shù)字化，醫(yī)療信息系統(tǒng)對醫(yī)院及患者起著舉足輕重的作用。為保障醫(yī)院現(xiàn)有HIS系統(tǒng)、LIS系統(tǒng)、成本核算系統(tǒng)、合理用藥系統(tǒng)、電子病歷系統(tǒng)的可用性、穩(wěn)定性、安全性，以及即將上線的PACS系統(tǒng)、手術麻醉系統(tǒng)、醫(yī)院感染系統(tǒng)的應用擴展，建立、健全信息安全管理制度，提升整體防護能力，需要對醫(yī)院的網(wǎng)絡安全、信息安全、應用安全進行綜合規(guī)劃設計和全面安全建設。建設范圍本次信息安全建設的范圍包括:信息系統(tǒng)機房、信息系統(tǒng)網(wǎng)絡、以HIS系統(tǒng)、LIS系統(tǒng)、電子病歷系統(tǒng)為主的應用系統(tǒng)及各科室的信息安全終端。依據(jù)國家信息安全等級保護相關標準并結合院內(nèi)信息系統(tǒng)、網(wǎng)絡、應用系統(tǒng)的實際情況進行安全建設。建設目標本方案針對醫(yī)院的網(wǎng)絡環(huán)境、應用系統(tǒng)以及當前的安全措施為基礎，分析醫(yī)院的安全建設需求，結合國家等級保護的建設規(guī)范和技術要求而編制，為醫(yī)院核心業(yè)務系統(tǒng)安全建設提供有力保障，一方面將等級保護基本要求在醫(yī)院的實際網(wǎng)絡環(huán)境中落地，形成多系統(tǒng)復雜環(huán)境的等級保護建設方法，指導用戶落實等級保護的制度和要求，另一方面根據(jù)核心業(yè)務系統(tǒng)的現(xiàn)狀進行針對性的安全規(guī)劃和建設。通過開展管理制度建設、技術措施建設，建立信息系統(tǒng)綜合防護體系，并以管理和技術并重的原則，將技術措施和管理措施有機結合，使醫(yī)院安全管理水平明顯提高，安全保護能力明顯增強，安全隱患和安全事故明顯減少，有效保障信息化健康發(fā)展，維護國家安全、社會秩序和公共利益。設計依據(jù)《信息安全等級保護管理辦法》《信息系統(tǒng)安全等級保護實施指南》《信息系統(tǒng)安全等級保護定級指南》《信息系統(tǒng)安全等級保護基本要求》《信息系統(tǒng)安全等級保護測評準則》ISO/IEC17799信息安全管理標準ISO/IECTR13335系列標準信息系統(tǒng)安全保障理論模型和技術框架IATF《信息安全等級保護管理辦法》

安全現(xiàn)狀分析及風險分析軟硬件資源醫(yī)院核心業(yè)務系統(tǒng)軟硬件設備清單如下：序號設備類型名稱品牌型號1主機設備醫(yī)院核心業(yè)務系統(tǒng)LIS主（lis-sc）2醫(yī)院核心業(yè)務系統(tǒng)LIS備（lis-sc）7醫(yī)院核心業(yè)務系統(tǒng)合理用藥主（hlyy-sc）8醫(yī)院核心業(yè)務系統(tǒng)合理用藥備（hlyy-sc）9醫(yī)院核心業(yè)務系統(tǒng)HIS主（his-sc）10醫(yī)院核心業(yè)務系統(tǒng)HIS備（his-sc）11網(wǎng)絡設備醫(yī)院核心業(yè)務系統(tǒng)核心交換（H3CS7506E）12醫(yī)院核心業(yè)務系統(tǒng)核心交換備份（H3CS7506E）13安全設備醫(yī)院核心業(yè)務系統(tǒng)網(wǎng)閘（藍盾SIS-3000-Z4201）14醫(yī)院核心業(yè)務系統(tǒng)防火墻（網(wǎng)御BD-WAF-S401-L）15醫(yī)院核心業(yè)務系統(tǒng)安全過濾防病毒網(wǎng)關（H3CSecPathU200-SUTM）16應用軟件醫(yī)院核心業(yè)務系統(tǒng)HIS系統(tǒng)17醫(yī)院核心業(yè)務系統(tǒng)LIS系統(tǒng)18醫(yī)院核心業(yè)務系統(tǒng)電子病歷系統(tǒng)網(wǎng)絡拓撲現(xiàn)狀分析根據(jù)對實際情況的分析和調(diào)研，醫(yī)院現(xiàn)狀網(wǎng)拓撲圖如下：從醫(yī)院網(wǎng)絡拓撲圖中可以看到，網(wǎng)絡為主干萬兆，接入為千兆的以太網(wǎng)，采用雙匯聚交換機的三層架構。兩臺核心交換機，通過H3C7506Ｅ雙機熱備。醫(yī)院的所有業(yè)務都通過主核心交換機進行運轉(zhuǎn)，備份交換機在主交換機出現(xiàn)故障時可以切換。整個網(wǎng)絡架構采用的單線接入，在光纖接口處配置華三的SecPathU200-S型UTM，隔離非正常的網(wǎng)絡流量，且僅這一臺安全設備與核心交換機相連，其他安全設備沒有與核心交換機相連。內(nèi)外網(wǎng)使用網(wǎng)閘進行物理隔離。內(nèi)外網(wǎng)在邊界處部署了網(wǎng)御的web應用防護系統(tǒng)，并與外科樓和內(nèi)科樓交換機相連。核心交換機旁路部署了堡壘機系統(tǒng)，用于對運維管理人員的權限控制和資源劃分。所有客戶端均統(tǒng)一安裝了防病毒軟件，并且實時更新病毒庫。應用服務器操作系統(tǒng)采用windowsserver2003操作系統(tǒng)，數(shù)據(jù)庫為Oracle10g，數(shù)據(jù)庫和操作系統(tǒng)均進行了補丁更新操作。能夠?qū)φ麄€網(wǎng)絡的健康運行提供有利保障。網(wǎng)絡拓撲風險分析1.外網(wǎng)鏈路采用單鏈路，一旦發(fā)生故障將造成外網(wǎng)應用的中斷，影響極大2.UTM設備老化，型號低端，一旦出現(xiàn)宕機情況會造成極大影響3.部分匯聚交換機、接入交換機老化，一旦出現(xiàn)故障會影響各個樓層的業(yè)務應用4.沒有部署綜合審計系統(tǒng)，不能對關鍵的應用后臺數(shù)據(jù)庫進行審計，一旦出現(xiàn)數(shù)據(jù)庫安全問題無法定位定責和取證；沒有對網(wǎng)絡協(xié)議進行審計，無法對網(wǎng)絡中的行為進行監(jiān)控和記錄。5.沒有部署入侵防御系統(tǒng)(IPS)，不能對內(nèi)外網(wǎng)的入侵行為進行報警和阻斷，一旦某臺服務器被入侵，很可能作為跳板入侵到其他服務器，導致整個應用癱瘓。6.沒有部署IT運維監(jiān)控平臺，不能對內(nèi)部的安全設備、網(wǎng)絡設備、主機資源進行監(jiān)控，一旦安全設備、網(wǎng)絡設備、主機資源不足則會帶來部分業(yè)務的影響。7.沒有部署終端安全管理系統(tǒng)，不能對終端的接入方式和準入進行控制，不能限制網(wǎng)絡地址范圍，不能監(jiān)控和管理終端，一旦有非法接入內(nèi)網(wǎng)冒充終端用戶進行入侵、攻擊服務器和應用行為，會造成較大影響。技術層面物理安全現(xiàn)狀從機房現(xiàn)場和查看機房驗收報告，機房缺少環(huán)境監(jiān)控系統(tǒng)的部署，只有簡單的防護措施，如UPS、精密空調(diào)，機房外門口處有一臺攝像頭，機房內(nèi)部沒有監(jiān)控系統(tǒng)、沒有防水、漏水檢測設施、沒有自動滅火措施等，具體已有安全措施如下所示。機房和辦公場地所在的建筑物內(nèi)，建筑物具有防震、防風和防雨能力；有《外來人員出入機房登記表》記錄時間、人員登記、到訪原因、處理結果和離開時間；主要設備都放置在機房內(nèi)；將設備或主要部件固定在機架上，并有不易除去的標記；通信線纜鋪設在地下；介質(zhì)有分類標識，介質(zhì)分類存放在介質(zhì)庫或檔案室內(nèi)；機房所在建筑物設置避雷裝置；8．機房安裝防止感應雷的防雷裝置；9.設置了交流電源地線；10.機房及相關的工作房間和輔助房的建筑材料具有耐火等級；11.水管安裝，未通過機房屋頂和活動地板；12.主要設備有安全接地構造或其他靜電泄放措施；13.機房不存在靜電現(xiàn)象，機房采用了防靜電地板或敷設防靜電地面；14.精密空調(diào)2臺保持機房恒溫恒濕；15.機房供電線路上配置穩(wěn)壓器和過電壓防護設備；16.有UPS，斷電情況下至少滿足兩個小時的運行；17.冗余或并行的電力電纜線路為計算機系統(tǒng)供電；18.備用供電系統(tǒng)UPS4臺；19.機房設備安裝在機架上或機柜內(nèi)，機架和機柜都有安全接地。物理安全風險分析1. 機房在總務樓四層，為建筑物的頂層，存在漏雨隱患；2. 機房出入口無專人職守，無電子門禁；3. 未對機房劃分區(qū)域進行管理；4. 機房無電子門禁，無防盜門，采用的是普通的木門；5. 機房未安裝防盜報警系統(tǒng)；6. 機房無攝像頭、傳感器等監(jiān)控報警系統(tǒng)；7. 機房無自動檢測火情、自動報警、自動滅火的自動消防系統(tǒng)，只有手動滅火器；8. 機房未采取區(qū)域隔離防火，所有設備均在一個大區(qū)域內(nèi)；9. 機房在總務樓四層，為建筑物的頂層，存在漏雨隱患，沒有做相關防水措施；10.無水敏原件，對機房進行防水檢測和報警。網(wǎng)絡安全現(xiàn)狀CPU利用率在60%以下，內(nèi)存利用率在30%以下各通信鏈路高峰流量均不大于其帶寬的70%路由協(xié)議采用ospf，建立了安全的訪問路徑；根據(jù)部門劃分了vlan并分配了地址；重要網(wǎng)段未部署在網(wǎng)絡邊界處；在重要網(wǎng)段與其他網(wǎng)段之間部署了網(wǎng)閘、防火墻和UTM；有H3C的UTM，可以監(jiān)視端口掃描、強力攻擊等攻擊行為；處在非活躍一定時間或會話結束后能終止網(wǎng)絡連接；對受控系統(tǒng)進行了資源訪問控制的限制，控制粒度為單個用戶；有撥號訪問用戶，限制了撥號訪問用戶的數(shù)量；設備對運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄；網(wǎng)絡設備用戶的標識唯一。網(wǎng)絡安全風險分析核心交換機：策略缺失：邊界部署了防火墻但未配置訪問控制列表;不必要的服務沒有關閉;業(yè)務系統(tǒng)用于內(nèi)網(wǎng)，沒有限制最大流量數(shù)及最大連接數(shù);對登錄設備的用戶進行了身份鑒別，但密碼復雜度太低;口令簡單且沒有定期更換。設備缺失：1.沒有安全審計設備，不能對審計記錄進行保護;2.只采用了用戶名和密碼方式進行身份鑒別，沒有采用兩種方式進行身份鑒別。主機安全現(xiàn)狀操作系統(tǒng)和數(shù)據(jù)庫用戶具有不同的用戶名，系統(tǒng)只有一個管理員賬戶，無多人共用賬號的情況；GUEST、SUPPORT_388945a0的賬戶已禁用無多余賬戶、過期賬戶；無多人共享賬戶；啟用了審核登錄時間和審核賬戶登錄時間；審計記錄包括事件的日期、時間、類型、主體標識、客體標識和結果等；部署了H3C的UTM設備，可以檢測到入侵的行為等信息；操作系統(tǒng)的補丁沒有及時更新；設置了超時鎖定，超時時間為10分鐘，恢復時使用密碼保護；10.服務器為專用服務器cpu使用率在30%以下且只有一個系統(tǒng)用戶，不存在資源緊張的情況；11.對各系統(tǒng)進行了備份，每半小時增量備份，兩周全備；12.有容災備份系統(tǒng)；13.系統(tǒng)采用了雙機集群，實現(xiàn)互相冗余，保證系統(tǒng)具有高可用性。主機安全風險分析策略缺失：用戶身份標識具有不易被冒用的特點，但密碼復雜度要求和密碼長度要求沒做限制；密碼復雜性要求未啟用；未啟用登錄失敗處理功能;遠程管理采用默認端口號的遠程管理桌面管理方式，未采用加密的遠程桌面方式進行遠程管理;只有系統(tǒng)管理員一個賬戶，未進行角色分配;沒有對重要信息資源設置敏感標記;操作系統(tǒng)的補丁沒有及時更新;未對終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄;沒有采取相關設備對系統(tǒng)服務水平降低到預先規(guī)定的最小值進行檢測和報警。設備缺失：只采用了用戶名和密碼的方式進行身份鑒別，沒有采用兩種方式進行身份鑒別;沒有專門的審計管理員未實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分離;沒有安全管理中心，不能對重要服務器、網(wǎng)絡設備等進行監(jiān)視;應用安全現(xiàn)狀有專門的登錄控制模塊對用戶身份標識和鑒別；用戶名+密碼一種登錄方式；連續(xù)登錄失敗三次，自動退出；啟用了身份鑒別功能；不同用戶有不同權限，各個部門科室只能看自己相關的內(nèi)容；訪問控制的覆蓋范圍包括與資源訪問相關的主體、客體及它們之間的操作；無默認賬戶；具有抗抵賴功能；具有軟件容錯功能。應用安全風險分析1.業(yè)務系統(tǒng)中無安全審計功能；2.沒有提供服務優(yōu)先級功能。數(shù)據(jù)安全現(xiàn)狀采用了密碼技術保證通信過程中數(shù)據(jù)的完整性；采用了密碼技術進行會話初始化驗證；對通信過程中的整個報文或會話進行了加密；核心交換機和服務器都是雙機熱備，有專門的備份軟件，還有服務器集群；核心交換機和通信線路都是冗余設計，保證了系統(tǒng)的高可用性。數(shù)據(jù)安全風險分析1.無異地備份系統(tǒng)管理層面安全管理現(xiàn)狀目前醫(yī)院梳理的制度有：《各科室信息安全責任書》；《醫(yī)院信息系統(tǒng)崗位說明書》；《“外來人員”訪問管理制度》；《醫(yī)院網(wǎng)絡管理辦公室崗位職責》；《醫(yī)院網(wǎng)絡中心崗位責任》；《醫(yī)院信息系統(tǒng)溝通（協(xié)調(diào)）管理辦法》；《合作公司駐院工程師管理暫行規(guī)定》；《機房管理制度》；《人員錄用》；《人員替代制度》；《網(wǎng)絡管理辦公室工作人員培訓制度》；《網(wǎng)絡管理辦公室工作指南》；《網(wǎng)絡信息授權審批及人員離崗制度》；《信息化建設管理辦法》；《信息網(wǎng)絡突發(fā)事件應急預案》；《信息系統(tǒng)變更及發(fā)布管理機制》；[2013]56號《關于調(diào)整數(shù)字化醫(yī)院建設領導小組的通知》。目前有的記錄表格有：醫(yī)院信息系統(tǒng)變更申請表；三級醫(yī)院信息系統(tǒng)運行維護評審材料目錄；醫(yī)院信息系統(tǒng)軟件更新、增補登記表；醫(yī)院信息系統(tǒng)20年第季度巡檢報告；專業(yè)技術人員培訓登記表；網(wǎng)絡辦日常工作考核表；外來人員出入機房登記表；機房巡檢表。安全管理風險分析安全管理制度格式不統(tǒng)一未聘請安全專家作為常年的安全顧問，指導信息安全建設工作人員錄用不簽署保密協(xié)議；對從事關鍵崗位的人員，不簽署崗位安全協(xié)議對配套設施、軟硬件維護方面，沒有相應的設備管理制度無審計系統(tǒng)，不能發(fā)現(xiàn)分析可疑行為沒有安全管理中心，不能對設備進行監(jiān)控沒有網(wǎng)絡設備升級更新的工作記錄對配置文件沒有定期離線備份有撥號上網(wǎng)設備，無定期檢查未定期進行漏洞掃描應用系統(tǒng)中對管理員角色進行了劃分，但權限未劃分無審計日志無變更恢復程序

安全解決方案整體架構設計根據(jù)對核心業(yè)務、網(wǎng)絡結構以及實際環(huán)境的考察，經(jīng)過本次安全建設后網(wǎng)絡拓撲圖如下：1.目前外網(wǎng)應用采用的是單鏈路方式，一旦此鏈路發(fā)生故障，會中斷外網(wǎng)業(yè)務應用，造成極大影響。另一方面，目前采用的單鏈路方式造成外網(wǎng)業(yè)務訪問的瓶頸，隨著業(yè)務量的增加，訪問量的突增，很可能帶來單鏈路的帶寬不足，影響業(yè)務效率。因此本次安全建設規(guī)劃增加一條接入線路，外網(wǎng)鏈路采用雙鏈路，一旦一條發(fā)生故障還有另外一條繼續(xù)通信，不會影響外網(wǎng)應用業(yè)務。另一方面雙鏈路提高了外網(wǎng)訪問應用的速度，提升了應用服務水平。2.現(xiàn)有H3CSecPathU200-A，部署在內(nèi)外網(wǎng)的網(wǎng)絡邊界處，處理內(nèi)網(wǎng)及外網(wǎng)的大部分數(shù)據(jù)流，UTM設備老化，硬件參數(shù)不能滿足未來業(yè)務擴展性，本次安全建設規(guī)劃將現(xiàn)有UTM更換為兩臺新型防火墻，兩臺防火墻直接做雙機熱備，避免發(fā)生單鏈路故障，原H3CUTM作為內(nèi)網(wǎng)邊界UTM設備的冷備機。本次安全建設采用的新型防火墻簡稱NGFirewall，是一款可以全面應對應用層威脅的高性能防火墻。通過深入洞察網(wǎng)絡流量中的用戶、應用和內(nèi)容，并借助全新的高性能單路徑異構并行處理引擎，NGFW能夠為用戶提供有效的應用層一體化安全防護，幫助用戶安全地開展業(yè)務并簡化用戶的網(wǎng)絡安全架構。3.部分匯聚交換機、接入交換機老化，一旦匯聚交換機、接入交換機丟包嚴重、死機等故障，會影響每個樓層終端的應用使用及數(shù)據(jù)訪問。本次安全建設規(guī)劃在部署IT運維系統(tǒng)后對交換機資源進行統(tǒng)計分析，找出性能不能滿足實際需求的給予更換。更換的交換機采用最新式硬件架構，采用最新型號，性能高，處理能力快，數(shù)據(jù)傳輸穩(wěn)定，支持協(xié)議種類多，便于未來網(wǎng)絡和應用的擴展。4.目前沒有部署綜合審計系統(tǒng)，無法對網(wǎng)絡中的應用協(xié)議進行監(jiān)控和審計，也無法對核心業(yè)務應用的數(shù)據(jù)庫進行細粒度審計，若出現(xiàn)外部或內(nèi)部針對核心業(yè)務數(shù)據(jù)進行竊取、篡改、惡意刪除等行為，無法進行定位、定責和取證。本次安全建設規(guī)劃部署綜合審計系統(tǒng)，對關鍵的應用后臺數(shù)據(jù)庫進行審計，一旦出現(xiàn)數(shù)據(jù)庫安全問題可以精確定位、定責和事后取證，并對部分網(wǎng)絡協(xié)議進行審計，對網(wǎng)絡中的行為進行監(jiān)控和記錄。本次安全建設采用的綜合審計系統(tǒng)使用最新技術的審計系統(tǒng)，審計支持的網(wǎng)絡協(xié)議種類多，如Telnet、Rlogin、SSH、SCP、SFTP、FTP、RDP、VNC、HTTP、SMTP、POP3等，審計的數(shù)據(jù)庫類型全面，包括SQLSever、Oracle、Informix、DB2、MySQL、Cache、Sybase、人大金倉、達夢、南大通用等。審計的細粒度很強，能夠?qū)徲嫷皆?、目的、時間、類型、規(guī)則、方式等7個規(guī)則，支持SQL超長審計，并支持數(shù)據(jù)庫三層關聯(lián)，具備自動學習規(guī)則匹配功能。5.目前沒有部署對網(wǎng)絡和應用層的攻擊檢測、入侵檢測、攻擊阻斷、入侵防護的入侵防御系統(tǒng)，不能對內(nèi)外網(wǎng)的攻擊和入侵行為進行報警和阻斷，一旦某臺服務器被入侵，很可能作為跳板入侵到其他服務器，導致整個應用癱瘓。本次安全建設規(guī)劃在服務器區(qū)前端串行部署入侵防御系統(tǒng)(IPS)，對內(nèi)外網(wǎng)的入侵行為進行報警和阻斷，防止入侵，保證整個服務器區(qū)的安全。本次安全建設采用的入侵防御系統(tǒng)具有深層防御手段，能夠及時更新攻擊和入侵規(guī)則庫，對最新的攻擊、入侵進行防護，能夠識別和阻斷多樣化、多種類的攻擊和入侵行為，能夠及時、精確、高效的做好深層防御。產(chǎn)品具備高性能，支持TCP硬件加速、支持大容量二級緩存、支持硬件QOS等。6.沒有部署IT運維監(jiān)控平臺，不能對內(nèi)部的安全設備、網(wǎng)絡設備、主機資源進行監(jiān)控，一旦安全設備、網(wǎng)絡設備、主機資源不足則會帶來部分業(yè)務的影響。本次安全建設規(guī)劃部署IT運維監(jiān)控平臺，對內(nèi)部的安全設備、網(wǎng)絡設備、主機資源進行監(jiān)控，實時掌握整個網(wǎng)絡資源情況，一旦發(fā)現(xiàn)安全設備、網(wǎng)絡設備、主機資源不足便于更換新設備。本次安全建設采用的IT運維監(jiān)控平臺采用旁路部署模式，不會網(wǎng)絡及應用帶來任何影響，能夠?qū)崟r展現(xiàn)整個安全系統(tǒng)中的網(wǎng)絡設備、安全設備、主機資源信息。產(chǎn)品展示界面直觀、美觀、細致，非常詳細的展示出整個安全系統(tǒng)的狀況。能夠根據(jù)現(xiàn)有的資源制定拓撲圖，便于進行鏈路分析。7.目前沒有部署終端安全管理系統(tǒng)，不能對終端的接入方式和準入進行控制，不能限制網(wǎng)絡地址范圍，不能監(jiān)控和管理終端，一旦有非法接入內(nèi)網(wǎng)冒充終端用戶進行入侵、攻擊服務器和應用行為，會造成較大影響。本次安全建設規(guī)劃部署終端安全管理系統(tǒng)，對終端的接入方式和準入進行控制，限制網(wǎng)絡地址范圍，配置相關控制策略，監(jiān)控和管理終端，禁止非法接入和非法外聯(lián)。本次安全建設采用的終端安全管理系統(tǒng)支持多級級聯(lián)的管理方式、能夠?qū)K端對網(wǎng)絡訪問的行為進行審計和控制、支持黑白紅名單、支持文件保護及審計、支持郵件審計、支持打印和刻錄審計、支持文件信息檢查、支持限制非法接入和非法外聯(lián)。8.為考慮未來信息安全建設中旁路類設備的不斷增多，采用NetTAP流量復制器，將核心交換機上的一個鏡像口提供給多個旁路設備使用，而不必新增購買只具有1-2個鏡像口的交換機，節(jié)約了很多成本。技術防護體系技術防護體系的安全建設根據(jù)等保標準建設要求，參照等級保護測評報告，對物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全進行整改和加固，保證應用安全、網(wǎng)絡安全和數(shù)據(jù)安全。物理安全防護部署機房環(huán)境監(jiān)控系統(tǒng)，機房監(jiān)控系統(tǒng)是為保證組織的安全、穩(wěn)定、高效運行，保證網(wǎng)絡設備的良好運行狀態(tài)和設備使用壽命與安全，實現(xiàn)用戶的最大投資效益，就有必要對網(wǎng)絡運行環(huán)境的電力供應、溫度、濕度、漏水、空氣含塵量等諸多環(huán)境變量，UPS、空調(diào)、新風、除塵、除濕等諸多設備運行狀態(tài)變量，進行24小時實時監(jiān)測與智能化調(diào)節(jié)控制，以保證網(wǎng)絡運行環(huán)境的穩(wěn)定與網(wǎng)絡軟硬件資源、設備的安全以及相關信息數(shù)據(jù)資產(chǎn)的安全。機房監(jiān)控系統(tǒng)需要部署的幾大部分：漏水檢測漏水檢測系統(tǒng)分定位和不定位兩種。所謂定位式，就是指可以準確報告具體漏水地點的測漏系統(tǒng)。不定位系統(tǒng)則相反，只能報告發(fā)現(xiàn)漏水，但不能指明位置。系統(tǒng)由傳感器和控制器組成?？刂破鞅O(jiān)視傳感器的狀態(tài)，發(fā)現(xiàn)水情立即將信息上傳給監(jiān)控PC。測漏傳感器有線檢測和面檢測兩類，機房內(nèi)主要采用線檢測。線檢測使用測漏繩，將水患部位圍繞起來，漏水發(fā)生后，水接觸到檢測線發(fā)出報警。煙霧報警煙霧探測器內(nèi)置微電腦控制，故障自檢，能防止漏報誤報，輸出脈沖電平信號、繼電器開關或者開和關信號。當有煙塵進入電離室會破壞煙霧探測器的電場平衡關系，報警電路檢測到濃度超過設定的閾值發(fā)出報警。視頻監(jiān)控機房環(huán)境監(jiān)控系統(tǒng)集成了視頻監(jiān)控，圖像采用MPEG4視頻壓縮方式，集多畫面測覽、錄像回放、視頻遠傳、觸發(fā)報警、云臺控制、設備聯(lián)動于一體，視頻系統(tǒng)還可與其他的輸入信號進行聯(lián)動，視頻一旦報警，可同時與其它設備進行聯(lián)動如雙鑒探頭、門磁進行錄像。門禁監(jiān)控門禁系統(tǒng)由控制器、感應式讀卡器、電控鎖和開門按鈕等組成(聯(lián)網(wǎng)系統(tǒng)外加通訊轉(zhuǎn)換器。讀卡方式屬于非接觸讀卡方式，系統(tǒng)對出入人員進行有效監(jiān)控管理。消防系統(tǒng)對消防系統(tǒng)的監(jiān)控主要是消防報警信號、氣體噴灑信號的采集，不對消防系統(tǒng)進行控制。網(wǎng)絡安全防護策略缺失：對應著等級保護測評報告中的整改建議進行策略調(diào)整。設備缺失：部署綜合日志審計系統(tǒng)、運維監(jiān)控系統(tǒng)、下一代防火墻和一臺接入交換機。針對醫(yī)院部分網(wǎng)絡設備比較陳舊，性能不穩(wěn)定等因素，建議更換國產(chǎn)品牌的高性能的交換機。主機安全防護1.針對主機系統(tǒng)的策略配置，對主機系統(tǒng)的安全進行加固2.部署運維監(jiān)控系統(tǒng)，對主機服務器、網(wǎng)絡設備的使用情況進行監(jiān)控應用安全防護部署綜合日志審計系統(tǒng)，可以針對數(shù)據(jù)庫的人為操作進行審計，部署堡壘機，可以對通過設備錄像方式實時監(jiān)控運維人員對操作系統(tǒng)、安全設備、網(wǎng)絡設備、數(shù)據(jù)庫等進行的各種操作，對違規(guī)行為進行事中控制。對終端指令信息能夠進行精確搜索，進行錄像精確定位。數(shù)據(jù)安全防護建立異地容災備份系統(tǒng)。或者把重要網(wǎng)絡、主機、應用的重要信息異地存放。安全管理體系安全管理體系的建設根據(jù)等保標準建設要求，參照等級保護測評報告，對安全管理體系的5個子項進行整改和加固，保證安全管理的合規(guī)性。安全管理建設1.編寫制作具有關于管理制度的格式和版本控制的相關文檔；管理文檔內(nèi)容覆蓋了包括管理制度的格式標準或要求以及版本控制等內(nèi)容；各項安全管理制度具有統(tǒng)一的格式并進行了版本控制。2.建立安全顧問名字或者聘請安全顧問的證明文件；編制具有安全顧問參與評審的文檔或記錄。3.信息科在職人員簽署保密協(xié)議。協(xié)議中有保密范圍、保密責任、違約責任、協(xié)議的有效期限和責任人的簽字等內(nèi)容。4.建立設備安全管理制度。內(nèi)容包括對各種軟硬件設備的選型、采購、發(fā)放和領用的申報、審批和專人負責的規(guī)定。5.編制具有異常現(xiàn)象的現(xiàn)場處理記錄和事后相關的分析報告。6.部署安全管理中心，功能包括設備監(jiān)控、防病毒、補丁管理、安全審計和統(tǒng)計分析等等。7.編制網(wǎng)絡安全管理制度，至少包括網(wǎng)絡安全配置、系統(tǒng)升級、權限控制、日志管理、口令策略等。8.定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡安全策略的行為。9.定期進行漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補。10.在應用系統(tǒng)中對管理員角色所對應的權限進行劃分，權限設定遵循最小授權原則。11.定期編制日志分析報告。12.建立中止變更并從失敗變更中恢復的文件化程序，明確過程控制方法和人員職責，必要時對恢復過程進行演練。

安全服務根據(jù)用戶的實際需求和針對用戶核心業(yè)務系統(tǒng)的重要性，公司可提供以下安全服務，能夠更好的保障醫(yī)院核心應用系統(tǒng)的信息安全。風險評估服務安全風險評估服務可以為組織：——評估和分析在網(wǎng)絡上存在的安全技術風險；——分析業(yè)務運作和管理方面存在的安全缺陷；——調(diào)查信息系統(tǒng)的現(xiàn)有安全控制措施，評價組織的業(yè)務安全風險承擔能力；——評價風險的優(yōu)先等級，據(jù)此為組織提出建立風險控制安全規(guī)劃的建議。服務內(nèi)容：參考國際標準BS13335和國家標準GB20948，借鑒國內(nèi)外先進的風險評估模型，采用專業(yè)的安全評估工具，對信息系統(tǒng)的安全管理和安全技術進行全面的安全評估，為信息系統(tǒng)的規(guī)劃建設和安全整改提供依據(jù)。其中包括：網(wǎng)絡安全評估、系統(tǒng)安全評估、應用安全評估、管理安全評估。滲透測試服務服務內(nèi)容：滲透測試服務由經(jīng)驗豐富的安全顧問/專家盡可能完整地模擬黑客使用的漏洞發(fā)現(xiàn)技術和攻擊手段，對目標Web網(wǎng)站系統(tǒng)的安全性遠程作深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的安全環(huán)節(jié)。滲透測試由安全顧問/專家在可控以及安全的方式下進行工作，并提交測試報告，指出安全脆弱點并提供改進建議。安全加固服務服務內(nèi)容：針對IT系統(tǒng)的安全漏洞和風險提供系統(tǒng)加固和整合服務。其中包括：主機加固、系統(tǒng)加固、數(shù)據(jù)庫加固、應用服務器加固、應用加固、安全補丁、策略調(diào)優(yōu)、配置優(yōu)化（涉及第三方軟件或硬件）。由資深專業(yè)的安全專家提供方案定制、漏洞評估、加固實施服務。符合國際和國內(nèi)的安全標準和規(guī)范。安全運維服務★安全運維服務服務內(nèi)容：1、檢查現(xiàn)有安全設備硬件運行情況，讓您對已有安全設備的數(shù)量、規(guī)格、性能和運行狀況了如指掌；

2、檢查安全設備系統(tǒng)配置和運行情況，保證系統(tǒng)及時更新，讓您對已有安全設備的版參數(shù)配置、安全性配置清晰明了；3、定期對安全設備的狀態(tài)進行分析，讓您對系統(tǒng)的安全性做到心中有數(shù)；4、對系統(tǒng)中存在的安全隱患或存在故障的安全設備進行及時處理，并可以選擇提供備機服務，使您的信息安全得到保障?！锞W(wǎng)絡運維服務1.檢查統(tǒng)計現(xiàn)有網(wǎng)絡設備硬件情況，讓您對已有的網(wǎng)絡設備數(shù)量、規(guī)格、性能、故障可能性了如指掌；

2.分析統(tǒng)計現(xiàn)有網(wǎng)絡設備的配置情況，讓您對已有網(wǎng)絡設備的配置參數(shù)、配置的安全性、拓撲合理性做到心中有數(shù)；3.對存在隱患或發(fā)生故障的網(wǎng)絡設備進行及時處理，并可提供備機服務，以保證您的網(wǎng)絡暢通?！镏鳈C運維服務1、檢查并統(tǒng)計現(xiàn)有服務器設備硬件情況，使客戶對已有服務器設備數(shù)量、規(guī)格、性能、故障可能性等指標了如指掌；

2、分析并統(tǒng)計現(xiàn)有服務器設備配置情況，使客戶對已有服務器設備的配置參數(shù)、配置的安全性做到心中有數(shù)；

3、隨時掌握服務器設備運行情況。根據(jù)不同需求為服務器設備提供間隔時間不同的狀態(tài)監(jiān)測，及時監(jiān)控及時發(fā)現(xiàn)隱患；

4、對有隱患的或者發(fā)生故障的服務器設備進行及時處理，并在必要時可提供備機服務（需另外付費），以保證網(wǎng)絡的穩(wěn)定暢通。★機房運維服務1、對現(xiàn)有的機房基礎設施硬件情況，一一檢查分析統(tǒng)計入冊，讓您對已有的機房基礎設施數(shù)量、規(guī)格、性能、故障可能性做到心中有數(shù)；

2、分析現(xiàn)有的機房基礎設施的配置情況，一一檢查分析統(tǒng)計入冊，讓您對已有機房基礎設施的配置參數(shù)、配置的安全性做到心中有數(shù)；

3、根據(jù)客戶需求對機房提供定期巡檢，及時發(fā)現(xiàn)隱患和故障設備，讓您隨時掌握現(xiàn)有的機房基礎設施運行情況；

4、根據(jù)客戶要求，針對不同的緊急情況，為機房基礎設施提供應急預案，并定期演練，讓您在機房基礎設施發(fā)生故障或者災難事件時應對有方；

5、對存在隱患或發(fā)生故障的機房基礎設施及時處理?！锺v場運維服務

按照客戶要求，為客戶提供專業(yè)培訓過的IT人才進行長期現(xiàn)場服務

安全產(chǎn)品選型防火墻基本功能具體功能應用層安全下一代防火墻基于應用層設計和開發(fā)的防火墻產(chǎn)品，擁有七層應用層數(shù)據(jù)過濾的功能，能夠根據(jù)深度包檢測（DPI）引擎識別到的流量在應用層執(zhí)行網(wǎng)絡安全策略。流量控制不再是單純地阻止或允許特定應用，而是可用來管理帶寬或優(yōu)先排序應用層流量，執(zhí)行細粒度策略。下一代防火墻可以根據(jù)應用的行為和特征實現(xiàn)對應用的識別和控制，而不僅僅依賴于端口或協(xié)議，擺脫了過去只能通過IP地址來控制的尷尬，即使加密過的數(shù)據(jù)流也能應付自如。應用代理下一代防火墻能夠代理FTP、SSH、DHCP、DNS、SMTP、POP3等應用，進而實現(xiàn)應用級安全。SSH代理用于認證執(zhí)行，這樣用戶在連接遠程目標前在統(tǒng)一接受認證。下一代防火墻支持基于每個用戶定義訪問目標策略，操作簡單，每個會話活動均可按要求進行記錄。網(wǎng)絡應用識別下一代防火墻提供的龐大的近千種網(wǎng)絡應用特征，使系統(tǒng)能對網(wǎng)絡應用進行快速準確的判斷。同時，下一代防火墻能夠根據(jù)行為特征、數(shù)據(jù)流特征、關聯(lián)特征等，融合了邏輯學和統(tǒng)計學技術，對網(wǎng)絡行為進行準確判斷，使系統(tǒng)能夠適應爆發(fā)式增長的新型網(wǎng)絡應用，從而降低對傳統(tǒng)URL地址庫及行為特征庫的依賴，實現(xiàn)了網(wǎng)絡行為的智能化識別。內(nèi)容分析引擎下一代防火墻采用獨特的內(nèi)容分析引擎和高效的索引算法。下一代防火墻能夠?qū)Ω黝悈f(xié)議的具體內(nèi)容進行實時分析處理，能對論壇發(fā)言、網(wǎng)絡信息發(fā)布，以及QQ、MSN、YAHOO等即時通訊軟件的聊天內(nèi)容進行實時過濾和監(jiān)控，并依據(jù)策略報警或阻擋。上網(wǎng)行為檢測與審計下一代防火墻能夠?qū)Ω鞣N應用層協(xié)議進行解析，對用戶使用互聯(lián)網(wǎng)過程中的各種網(wǎng)絡服務和應用進行分析，實現(xiàn)用戶上網(wǎng)的行為審計、用戶訪問的內(nèi)容審計，能夠?qū)τ脩羯暇W(wǎng)行為進行控制，根據(jù)不同的策略封堵各種網(wǎng)絡應用，還能夠針對用戶的上網(wǎng)行為進行實時監(jiān)控和流量分析。帶寬管理應用防火墻允許對穿越防火墻的應用和數(shù)據(jù)進行分類、控制和管理。身份認證一代防火墻將用戶身份與IP地址關聯(lián)構建基于角色的訪問控制體系，制定面向用戶的訪問策略。網(wǎng)絡用戶并不需要平均對待。數(shù)據(jù)防泄密下一代防火墻通過高效的內(nèi)容過濾和上網(wǎng)行為審計，有效遏制了內(nèi)部數(shù)據(jù)泄密，避免敏感客戶信息和知識產(chǎn)權被暴露而蒙受損失。入侵檢測及防御入侵檢測和防御（IDS/IPS）可大力提升網(wǎng)絡安全，通過提供完整而全面的實時網(wǎng)絡保護，從而免遭受廣泛的網(wǎng)絡威脅，安全漏洞，操作系統(tǒng)漏洞，應用程序和數(shù)據(jù)庫的漏洞，從而防御諸如SQL注入和溢出的網(wǎng)絡攻擊。安全VPN下一代防火墻具有強大的VPN功能，提供對內(nèi)部網(wǎng)到內(nèi)部網(wǎng)（Site-to-site）和遠程用戶接入企業(yè)內(nèi)部網(wǎng)（RemoteAccess）這兩種方式的安全保護，將SSL和IPSecVPN功能有機地結合在一起，為用戶提供了極高的安全連接靈活性。用戶可以對所有網(wǎng)絡流量實施基于身份的安全性和聯(lián)網(wǎng)策略，以便為不同組提供適當?shù)脑L問權限。綜合日志審計系統(tǒng)基本功能數(shù)據(jù)庫審計：提供主流數(shù)據(jù)操作行為日志(Orale[8i、9i、10g、11g]，SQL-SERVER[2000、2005、2008]，MYSQL、Informix、SyBase、DB2)日志審計。系統(tǒng)審計：提供數(shù)據(jù)庫服務器主流操作系統(tǒng)MicSoft

windows[2000、XP、2003、Vista、2008]，HP

UNIX、IBM

AIX、SUN

Solaris、Linux等系統(tǒng)運行日志的集中審計分析。網(wǎng)絡設備審計功能：提供網(wǎng)絡系統(tǒng)運行日志(主流安全產(chǎn)品、網(wǎng)絡交換機和路由器)

集中審計分析。應用系統(tǒng)：提供IIS、APACHE、WEBPHERE、WEBlogic、TUXEDO等應用軟件日志集中審計分析。業(yè)務系統(tǒng)審計：支持用戶單位應用系統(tǒng)文本型日志和數(shù)據(jù)庫表結構日志采集及審計分析。系統(tǒng)內(nèi)置用戶自定義報表功能引擎；實時窗口支持圖形(餅、柱、曲線圖)及明細日志等多種顯示方式；實時顯示多種日志屬性滾動顯示（原始日志、重要日志、告警日志）；支持報告郵件轉(zhuǎn)發(fā)（或生成提醒）功能。支持日志屬性(原始日志、重要日志、告警日志)、日志類型、存儲周期的方式選擇備份。支持系統(tǒng)維護行為審計、支持數(shù)據(jù)庫行為審計、支持互聯(lián)網(wǎng)行為審計、支持網(wǎng)絡系統(tǒng)運維狀態(tài)審計、支技分布式部署升級。

支持系統(tǒng)運維審計功能；支持分布式部署。入侵防御系統(tǒng)(IPS)基本功能具體功能應用程序防護提供擴展至用戶端、服務器、及第二至第七層的網(wǎng)絡型攻擊防護，如：病毒、蠕蟲與木馬程序。利用深層檢測應用層數(shù)據(jù)包的技術，可以分辨出合法與有害的封包內(nèi)容。最新型的攻擊可以透過偽裝成合法應用的技術，輕易的穿透防火墻。而運用重組TCP流量以檢視應用層數(shù)據(jù)包內(nèi)容的方式，以辨識合法與惡意的數(shù)據(jù)流。大部分的入侵防御系統(tǒng)都是針對已知的攻擊進行防御，然而運用漏洞基礎的過濾機制，可以防范所有已知與未知形式的攻擊。網(wǎng)絡架構防護路由器、交換器、DNS服務器以及防火墻都是有可能被攻擊的網(wǎng)絡設備，如果這些網(wǎng)絡設備被攻擊導致停機，那么所有企業(yè)中的關鍵應用程序也會隨之停擺。網(wǎng)絡架構防護機制提供了一系列的網(wǎng)絡漏洞過濾器以保護網(wǎng)絡設備免于遭受攻擊。此外，也提供異常流量統(tǒng)計機制的過濾器，對于超過“基準線”的正常網(wǎng)絡流量，可以針對其通訊協(xié)議或應用程序特性來進行警示、限制流量或阻絕流量等行動。如此一來可以預防DDoS及其它溢出式流量攻擊所造成的網(wǎng)絡斷線或阻塞。性能保護用來保護網(wǎng)絡帶寬及主機性能，免于被非法的應用程序占用正常的網(wǎng)絡性能。如果網(wǎng)絡鏈路擁塞，那么重要的應用程序數(shù)據(jù)將無法在網(wǎng)絡上傳輸。非商用的應用程序，如點對點文檔共享(P2P)應用或?qū)崟r通訊軟件(IM)將會快速的耗盡網(wǎng)絡的帶寬，因此提供帶寬保護(Traffic/RateShaping)的功能，協(xié)助企業(yè)仔細的辨識出非法使用的應用程序流量并降低或限制其帶寬的使用量。弱點過濾器主要是保護操作系統(tǒng)與應用程序。這種過濾器行為就像是一種網(wǎng)絡型的虛擬軟件補丁程序，保護主機免于遭受利用未修補的漏洞來進行的網(wǎng)絡型攻擊。新的漏洞一旦發(fā)現(xiàn)開始被駭客攻擊利用，弱點過濾器就會被實時啟動，進行漏洞保護。這個過濾機制的運作模式是重組第七層的信息，從而可以完整地檢測應用層的流量。過濾規(guī)則可以指定特別的條件，如檢測應用程序的運作流程（如：緩沖區(qū)溢出的應用程序異常）或通訊協(xié)議的規(guī)范（如：RFC異常）。流量異常過濾器用來偵測在流量模式方面的變化。這些過濾機制可以調(diào)整與學習所在的特別環(huán)境中“正常流量”的模式。一旦正常流量被設定為基準，這些過濾機制將依據(jù)可調(diào)整的門限閥值來偵測統(tǒng)計異常的網(wǎng)絡流量。流量異常過濾機制可以有效的阻擋分布式的阻斷服務的攻擊(DDOS)、未知的蠕蟲、異常的應用程序流量與其它零時差閃電攻擊。此外一個重要的特殊功能是可以依據(jù)應用程序的種類、通訊協(xié)議與IP進行最合適網(wǎng)絡流量分配。攻擊特征過濾器針對不需要利用安全漏洞的攻擊方式，如病毒或木馬。這個過濾方式必須全盤了解已知攻擊的特征，且可以偵測并制作出防御的特征數(shù)據(jù)庫。目前TippingPoint擁有一個專業(yè)團隊7X24全年無休地分析來自于全球的各種攻擊威脅，并與SANS、CERT、SECURITEAM等知名的信息安全團隊合作，在第一時間透過在線更新，讓全球每個角落的設備配備最新的攻擊特征數(shù)據(jù)庫。IT運維監(jiān)控系統(tǒng)網(wǎng)絡系統(tǒng)監(jiān)控實現(xiàn)網(wǎng)絡設備、網(wǎng)絡安全設備的在線狀態(tài)、CPU利用率、內(nèi)存大小、設備日志、設備各種表信息的監(jiān)控。支持網(wǎng)絡設備配置文件的下載備份。對網(wǎng)絡線路運行狀態(tài)監(jiān)控，包括線路聯(lián)通性、線路響應時間、線路流量、線路帶寬利用率、線路錯包率、線路丟包率等信息。對網(wǎng)絡設備接口狀態(tài)進行監(jiān)管，包括接口面板、接口狀態(tài)、接口流量性能等信息，并可啟動、關閉接口。持續(xù)監(jiān)視、報告網(wǎng)絡的運行情況，發(fā)現(xiàn)異常及時告警；設備故障與鏈路阻斷告警，設備與鏈路性能告警，異常流量告警等。主機系統(tǒng)監(jiān)控實現(xiàn)對HP-UX、AIX、Solaris主機、Windows主機、Linux主機運行狀況監(jiān)控，包括主機的在線狀態(tài)、CPU利用率、內(nèi)存大小及利用率、磁盤空間大小及利用率、主機上關鍵進程狀態(tài)及其對CPU和內(nèi)存占用情況、提供關鍵服務狀態(tài)、提供所安裝軟件詳細列表、主機的設備信息、ARP信息、SYSLOG信息、主機的網(wǎng)絡接口流量、丟包和錯包率等信息。數(shù)據(jù)庫系統(tǒng)監(jiān)控實現(xiàn)對Oracle、Sybase、Informix、DB2、SQLServer、MySQL等數(shù)據(jù)庫的監(jiān)控管理。監(jiān)視數(shù)據(jù)庫運行狀態(tài)，包括數(shù)據(jù)庫進程、監(jiān)聽狀態(tài)、例程狀態(tài)、控制文件、數(shù)據(jù)庫日志文件等信息；對數(shù)據(jù)庫資源監(jiān)視，包括數(shù)據(jù)庫CPU、內(nèi)存配置（SGA信息、PGA信息）、緩沖區(qū)命中率、數(shù)據(jù)字典命中率、庫緩存命中率、最浪費內(nèi)存的前10個語句等信息；對數(shù)據(jù)庫存儲資源監(jiān)視，包括數(shù)據(jù)庫文件系統(tǒng)、數(shù)據(jù)庫表空間、數(shù)據(jù)庫表、數(shù)據(jù)庫空間、文件空間等；對數(shù)據(jù)庫Session信息、鎖信息、回滾段信息、數(shù)據(jù)庫用戶等信息監(jiān)控。中間件監(jiān)控實現(xiàn)對MQ、Domino、Weblogic、Tuxedo、Websphere、Tomcat、JBOSS、APACHE、CICS、IIS等中間件的運行狀態(tài)監(jiān)控。對WebLogic、Websphere監(jiān)控，監(jiān)控隊列信息、監(jiān)控JDBC連接池信息、監(jiān)控Web應用信息、JVM堆信息、服務信息。對Tomcat、JBOSS、APACHE監(jiān)控，監(jiān)控運行狀態(tài)、服務啟動時間、安裝目錄、總安裝目錄、運行配置、JVM版本號、JVM可用內(nèi)存、JVM最大內(nèi)存、JVM總的內(nèi)存、線程。對Tuxedo監(jiān)控，監(jiān)控服務啟動、關閉時有無錯誤信息，服務已經(jīng)處理的請求數(shù)、服務正在處理的交易；監(jiān)控各類隊列參數(shù)：當前隊列的所有請求的參數(shù)和、實際請求數(shù)、平均隊列長度、隊列所在機器的LMID等；監(jiān)控客戶端信息，包括客戶端狀態(tài)、啟動的交易數(shù)、提交的交易數(shù)、中斷的交易數(shù)等；監(jiān)控交易信息，包括交易名、交易函數(shù)名、提供交易的機器的LMID、交易已經(jīng)執(zhí)行的次數(shù)、交易當前狀態(tài)。業(yè)務/應用系統(tǒng)監(jiān)控實現(xiàn)對關鍵業(yè)務/應用系統(tǒng)的運行狀態(tài)的監(jiān)控，通過業(yè)務視圖方式直觀監(jiān)視業(yè)務可用性、端到端響應時間、業(yè)務/應用所關聯(lián)的資源對象的性能和故障等信息。終端安全管理系統(tǒng)程序控制基于自主的可信代碼鑒別技術實現(xiàn)，終端上只有經(jīng)授權的可執(zhí)行文件才允許運行，徹底杜絕木馬、病毒、間諜程序及其他惡意代碼非法運行的可能，保證終端用戶的操作系統(tǒng)處于一個已知的和可信的狀態(tài)軟件管理終端用戶一鍵安裝經(jīng)過驗證的可信任軟件，管理員也可以主動分發(fā)、推送軟件部署到終端機器上設備端口控制支持管理員對終端進行設備端口控制，禁止終端用戶隨意使用系統(tǒng)設備資源，并指定可以使用那些設備端口；可以控制的端口有串口設備（移動存儲設備、USB鼠標鍵盤、USB電訊設備、USB打印設備、其它USB設備）、并口設備、光盤驅(qū)動器、SCSI接口、1394控制器、紅外接口、藍牙接口、PCMCIA卡文檔保險柜在終端機上開辟一個高強度的加密文件存儲空間，保護用戶重要的數(shù)據(jù)，即使機器或硬盤丟失也不會導致信息泄漏資產(chǎn)管理自動搜集終端機器的軟硬件資產(chǎn)信息，自動記錄資產(chǎn)變更、異動等信息，資產(chǎn)信息包括：BIOS、處理器、內(nèi)存槽數(shù)、總物理內(nèi)存、輸入設備、系統(tǒng)端口、系統(tǒng)控制器、存儲外設、邏輯分區(qū)、聲音設備、顯示適配器、顯示器、調(diào)制解調(diào)器、網(wǎng)絡適配器、打印機、操作系統(tǒng)、注冊表、計算機配置、已安裝軟件遠程維護采用高效和流暢的遠程桌面訪問技術，提供遠程監(jiān)視、遠程控制、遠程文件傳輸、遠程命令執(zhí)行等多種交互方式管理中心采用WEB管理機制，支持通過瀏覽器進行系統(tǒng)管理，采用系統(tǒng)管理員、安全管理員、審計管理員職權分離管理模式，管理員采用UKEY進行身份驗證主機審計提供登入\登出、文件訪問、設備訪問、打印、網(wǎng)絡訪問、進程訪問6種主機操作日志審計功能安全登錄提供雙因子系統(tǒng)登陸驗證，保證登陸系統(tǒng)的用戶處于一個可信狀態(tài)；可配置是否使用USB-KEY進行登錄自我保護保護系統(tǒng)客戶端的注冊表項、可執(zhí)行文件、各類資源等不被非法篡改、卸載等產(chǎn)品報價產(chǎn)品名稱品牌產(chǎn)品型號數(shù)量單價金額終端安全管理通軟GTMA10001套24萬元24萬元UTM華為USG65702臺10.6萬元21.2萬元數(shù)據(jù)庫審計帕拉迪3000LX-C1臺16.3萬元16.3萬元總計61.5萬元服務質(zhì)量保障組織保障為了保證服務工作的順利開展，確保服務質(zhì)量達到預期目標，成立專門的服務團隊，以利于加強維護管理和各方面協(xié)調(diào)合作，使工作和責任更加清晰明確。領導小組由單位主管領導任負責人，信息化等相關部門參與、負責決策和總體協(xié)調(diào)。主要職責如下：建立信息系統(tǒng)服務架構制訂系統(tǒng)服務管理標準與規(guī)范監(jiān)督管理系統(tǒng)服務團隊明確責任、直接對維護服務人員進行績效考核系統(tǒng)維護服務工作的總體協(xié)調(diào)解決系統(tǒng)維護服務工作中出現(xiàn)的重大問題領導小組成員XX省信息技術有限公司組長：維護小組由單位技術部總監(jiān)領導，與技術工程師組成維護小組，負責具體的系統(tǒng)維護服務工作。維護小組成員XX省信息技術有限公司組長：（技術總監(jiān)）組員：（技術工程師）組員：（技術工程師）人員資質(zhì)姓名職務資歷簡介組長網(wǎng)絡安全工程師、信息安全專家、資深網(wǎng)絡工程師，參與多個政府、醫(yī)療、電信、金融類項目，具有豐富的售前、售后、協(xié)調(diào)經(jīng)驗。組員網(wǎng)絡安全工程師，參與多個政府、大型企業(yè)單位的系統(tǒng)集成、安全建設項目，具有豐富的售后、運維經(jīng)驗。組員資深網(wǎng)絡工程師，參與多個醫(yī)療、政府、大型企業(yè)安全建設項目，豐富的售前及售后項目經(jīng)驗。人員分工管理角色職責范圍人員組成總體協(xié)調(diào)提出服務和應急響應的具體要求；監(jiān)督檢查服務和應急響應的工作落實情況；接收工作報告；應急事件的指揮；對相關人力、物力等應急資源進行調(diào)配?？蛻糌撠熑祟I導小組組長質(zhì)量監(jiān)督保障定期對服務項目進行審核，審核包括流程是否得到正確實施，結果是否符合規(guī)定的標準領導小組安全監(jiān)控類服務安全監(jiān)控平臺的架設、維護和監(jiān)控定期向客戶提交安全信息監(jiān)控報告維護小組服務實施人員各項服務的前期信息收集服務的具體實施操作各項測試后的數(shù)據(jù)提交維護小組數(shù)據(jù)分析及報告編寫各項測試之前的方案編寫根據(jù)提交的測試數(shù)據(jù)撰寫報告領導小組應急救援接到客戶保修后，第一時間內(nèi)趕到并排除故障維護小組服務過程保障記錄審核服務過程中產(chǎn)生的各種記錄、報告和分析過程表格必須形成文檔，文檔由服務的負責人簽名與審核，項目監(jiān)理將定期檢查相應的記錄確認各項記錄的完整性。流程監(jiān)督領導小組將定期對服務項目進行審核，審核將包括流程是否得到正確實施，結果是否符合規(guī)定的標準。審核將要求服務提供者能夠提供證據(jù)證明流程已經(jīng)得到正確的執(zhí)行，服務質(zhì)量有相應的保證。階段評審服務提供過程中，領導小組將定期對服務的質(zhì)量進行階段評審，由用戶、質(zhì)量管理小組，維護小組共同對服務質(zhì)量進行評價，對出現(xiàn)的偏差提出整改意見，并對下一階段的工作做出規(guī)劃。異常處理當領導小組發(fā)現(xiàn)異常狀況出現(xiàn)后（未按流程進行工作、超過期限等），首先與服務項目負責人進行溝通，要求對項目進行整改，做出相應的補救措施，并進行記錄；如果異常情況可能影響服務的質(zhì)量，則應當立刻向項目最高領導人進行匯報，或要求召開項目臨時會議，由用戶與服務方共同對項目計劃進行調(diào)整。制度保障XX省作為一家在IT行業(yè)從業(yè)多年的安全服務公司，有著健全的企業(yè)規(guī)章管理制度來規(guī)范員工行為，保證項目的正常實施。公司制定了完善的安全制度來保證用戶方信息的安全，員工能夠做到對用戶信息不該問的不問、不該聽的不聽、不該看的不看、不該記的不記，保障用戶的信息安全保密。質(zhì)量監(jiān)督體系項目負責人積極檢查各種計劃、制度的執(zhí)行情況，及時解決在檢查過程終發(fā)現(xiàn)的問題，提高服務質(zhì)量。領導小組負責監(jiān)督檢查各服務人員的服務質(zhì)量。主要內(nèi)容如下：巡檢維護工作是否認真的按時完成，維護技術指標是否達到規(guī)定的要求。維護過程中所產(chǎn)生的各種記錄是否按規(guī)定填寫，記錄是否完整。系統(tǒng)運行中出現(xiàn)故障及用戶申告是否按時解決。上級主管部門安排的各項工作是否按時完成，是否將結果及時反饋給上級主管部門。維護小組人員是否遵守各項規(guī)章制度，機房環(huán)境管理是否符合要求。工作中是否由于個人原因?qū)е戮W(wǎng)絡、系統(tǒng)的中斷服務。領導小組人員對檢查結果，故障、用戶申告處理過程、時限、結果進行評判和檢驗，并填寫質(zhì)量檢查記錄。對于發(fā)現(xiàn)的問題，提出整改措施，限期改正。質(zhì)量監(jiān)督檢查工作的方式采用定期和不定期兩種方式相結合。服務質(zhì)量考核體系為了保證服務的質(zhì)量，并能夠?qū)Ψ者^程進行控制，我們將根據(jù)服務涉及的具體內(nèi)容，制定嚴格的服務質(zhì)量考核制度，明確服務內(nèi)容和對服務質(zhì)量的要求。按照服務內(nèi)容的性質(zhì)和重要程度對服務內(nèi)容進行量化。服務質(zhì)量考核制度的主要內(nèi)容為：詳細列出服務的具體內(nèi)容以及對服務質(zhì)量的要求，并將對服務的要求進行量化?？己丝偡譃?00分，每月考核1次。檢查方式：用戶可以定期檢查或不定期抽查。發(fā)現(xiàn)問題后，根據(jù)考核制度的要求進行扣分，并由服務項目負責人簽字確認。在維護工作范圍以外的其它工作，由用戶提出書面要求，我方會在日常巡檢服務過程中將根據(jù)實際情況積極配合完成。用戶根據(jù)工作的結果予以加分獎勵，具體分值雙方商議決定。應急防范體系公司制定了一整套面對重大故障的應急防范措施，即當用戶終端遇到重大故障時我們將提供一整套應急處理方案來應對此類突發(fā)事件。當發(fā)生重大故障時，我公司將啟動緊急事件工作預案，組織相關人員成立專題工作小組，將工作重心轉(zhuǎn)移到維護應急處置的問題上來，緊密配合，以保持良好溝通和隨時應對不能完全處理的情況。同時，我們將提供一套完善的應急技術處理預案，通過相關職能部門的選擇，派出技術骨干人員對故障進行處理。如果按照應急預案能夠解決故障，將處理結果及時反饋至相關職能部門；如果不能按照預案解決故障，我們將集中公司技術人員和相關人員協(xié)同進行緊急分析，必要時候會邀請一些平時保持良好關系的資深教授、專家共同分析，在最短的時間內(nèi)尋求到解決方案。最后將此方案提交至相關職能部門進行選擇、審查，再派技術人員實施故障處理。最終解決突發(fā)的重大故障。

項目實施

工程組織為了保證項目的順利實施，確保項目質(zhì)量達到預期目標，成立專門的項目實施組，以利于加強項目管理和各方面協(xié)調(diào)合作，使工作和責任更加清晰明確。由用戶以及項目承接方共同確定了如下的小組成員名單：領導小組由單位主管領導任負責人，安全、信息化等相關部門參與、負責決策和總體協(xié)調(diào)。職責范圍項目實施的最高領導制訂項目目標及驗收標準控制進度、風險等重大決策明確管理架構及人員建立管理架構項目實施的總體協(xié)調(diào)解決項目實施中出現(xiàn)的重大問題小組成員組長：XX省信息技術有限公司：實施組組成由安全、信息化等相關部門人員組成。職責范圍硬件及網(wǎng)絡安裝、調(diào)測系統(tǒng)軟件及所需工具的檢查和安裝用戶培訓小組成員組長：組員：（XX）、各安全產(chǎn)品廠家工程師。專家組組成由安全、信息化等技術領域的專家組成。職責范圍審核各階段的計劃，實施方案，設計方案為項目實施提供建設性意見評定項目實施情況任務分工建設單位本次項目由XX省醫(yī)院作為建設單位。承建單位本次項目由XX省信息技術有限公司作為承建單位，負責安全系統(tǒng)集成和實際項目實施。項目實施管理措施本次建設項目實施管理措施包括：項目實施進度控制、項目施工質(zhì)量控制、項目預算控制和項目風險控制四個方面。項目實施進度控制項目實施進度控制的目的是保證項目如期完成。進度控制是由項目經(jīng)理直接參與負責，通過建立嚴格完善的項目進度報告制度、項目定期協(xié)調(diào)會議制度來切實了解項目進展情況，找出導致任務未如期完成的原因，并提出補救辦法，同時預測下一步工作進度，將可能導致延誤工期的事件提交項目經(jīng)理會議討論落實，最大可能地避免延誤工期事件的發(fā)生。項目實施質(zhì)量控制項目實施質(zhì)量監(jiān)控是項目成功的生命線。項目規(guī)范化實施是保證項目質(zhì)量的重要前提，用戶方將成立質(zhì)量監(jiān)控組，對技術方案、項目實施進行檢查和審核。項目組成員將嚴格按照質(zhì)量監(jiān)控管理規(guī)范的要求進行操作。質(zhì)量及過程控制流程為確保項目建設質(zhì)量，根據(jù)國家信息安全等級保護相關法規(guī)和要求中所明確的管理過程設立質(zhì)量控制點，嚴格按工序、工藝要求施工。主要質(zhì)量和過程控制節(jié)點如下：圖：質(zhì)量過程控制節(jié)點圖主要質(zhì)量和過程控制節(jié)點質(zhì)量及過程控制措施抓好設計關，整個技術方案設計遵循相關標準，確保方案的先進性、合理性及可靠性；把好進貨關，確保所選設備的技術指標先進、質(zhì)量可靠、配置合理，并提供優(yōu)質(zhì)的技術支持和售后服務；確立全體施工人員的質(zhì)量意識，嚴格按照制度監(jiān)督、執(zhí)行相關質(zhì)量保證和過程控制措施，進行全面質(zhì)量管理和過程控制；認真閱讀工程施工文件、圖紙，嚴格按照批準的文件、圖紙施工；按照各相應技術標準及驗收規(guī)范，嚴格控制各質(zhì)量控制點，出現(xiàn)質(zhì)量問題有權責令工程小組負責人整改，并及時向項目經(jīng)理部通報；執(zhí)行ISO9001:2000和SSE-CMM2.0實施能力二級級別的要求，抓好工程實施的每一個控制節(jié)點，查不合格的工程環(huán)節(jié)不能進入下一道工序；嚴肅中間交工申驗工作，單項任務完成后，質(zhì)量與過程控制員先進行自檢，檢查合格后將自檢表提交項目工程師；施工前期以施工技術準備為中心，做好各項準備工作，保證施工順利開展；施工中期以施工進度和網(wǎng)絡計劃為中心，做好進度和網(wǎng)絡計劃的落實，重點抓住工序間的銜接和配合，以保證網(wǎng)絡計劃的實現(xiàn)；施工后期以系統(tǒng)試驗、交驗為中心，做好收尾工程和工程缺陷的修復及交驗前的準備工作，保證系統(tǒng)試驗和交驗工作的順利進行，以確保項目按期開通運行；當發(fā)現(xiàn)設計文件與現(xiàn)場實際情況不符合需要變更時，要及時通知客戶、設計單位，并督促設計部門出具設計變更和變更建議書。施工人員應及時提供優(yōu)化實際建議，提高質(zhì)量，降低工程造價。項目預算控制項目預算控制是項目管理的重要內(nèi)容。項目組將在考慮設備采購、人員安排等成本因素的基礎上，通過預算手段和嚴格審批制度強化成本意識，將成本外開銷降至最低。同時，項目費用納入公司財務統(tǒng)一管理，單獨核算，確保?？顚Ｓ茫⑶裔槍椖拷?jīng)費管理和使用建立面向結果的追蹤問效機制。項目實施風險控制項目實施風險控制方法項目實施風險控制方法分為6個步驟：風險識別、風險描述、風險分析、風險計劃、風險跟蹤、風險控制。圖：項目實施風險控制方法示意圖風險識別風險識別，是指識別并記錄可能對項目造成不利影響的因素。由于項目處于不斷發(fā)展變化的過程中，因此風險識別也貫穿于整個項目實施的全過程，而不僅僅是項目的開始階段。風險識別不是一次性的工作，而需要更多系統(tǒng)的、橫向的思維。幾乎所有關于項目的計劃與信息都可能作為風險識別的依據(jù)，如項目進度計劃、安全結構、項目組織結構、項目范圍、類似項目的歷史信息等。風險描述風險描述是對風險識別階段所識別出的潛在風險進行詳細的描述，描述包括風險存在的階段，風險來源，風險產(chǎn)生的后果估計，風險擬采用的初步解決方案等，并將這些風險描述信息歸檔或存入專用的風險管理數(shù)據(jù)庫中，以方便作風險分析。風險分析通過風險識別過程所識別出的潛在風險對項目的影響各不相同?！帮L險分析”即通過分析、比較、評估等各種方式確定各風險的重要性，評估其對項目可能產(chǎn)生的后果，并形成風險主列表（即根據(jù)分析結果，選取最重要、最有可能發(fā)生的風險進入風險主列表），從而使項目的整體風險得到有效的控制。風險計劃風險計劃的目的在于通過制定相應的措施，來應對風險對項目可能造成的威脅。最常采用的應對威脅的幾種措施是：規(guī)避、減輕、轉(zhuǎn)移、接受等。對某一風險具體采用何種方式來應對，應根據(jù)該風險的風險值采取應對措施。只有積極主動地對風險進行管理，才能避免識別的風險或未識別的風險對項目實施產(chǎn)生不良后果。風險跟蹤根據(jù)風險計劃對風險進行積極主動的跟蹤。并及時進行反饋，并記錄風險跟蹤情況，形成詳細的風險跟蹤報告。風險控制根據(jù)風險跟蹤報告進行再分析，并對風險進行相應的控制。發(fā)生的風險則根據(jù)風險計劃的解決方案進行解決，并進行歸檔或?qū)懭胂鄳娘L險管理數(shù)據(jù)庫。同時，依此進入下一個風險管理循環(huán)，再次根據(jù)識別出的風險進行分析，并確定新一輪的風險主列表，再次進行風險計劃、風險跟蹤和風險控制。項目實施風險控制在大型系統(tǒng)集成項目中總會存在各類風險，最有效降低風險的方法是及早發(fā)現(xiàn)并準備相應的風險計劃。公司在其實施的所有項目中均采用相應的風險降低策略，同樣也將根據(jù)用戶的實際情況制定相應的風險控制策略。在下表中為本項目實施過程中可能出現(xiàn)的風險以及貫徹原則、降低風險的方法：風險后果責任者建議的貫徹原則、降低風險的措施能否選擇正確的系統(tǒng)集成商系統(tǒng)無法按時投入使用，業(yè)務無法按時開通；項目完成但質(zhì)量不高；整個項目成本高；系統(tǒng)有效費用高。用戶方承建單位具有豐富的集成、開發(fā)、咨詢、管理經(jīng)驗，以及先進的技術可幫助控制風險，充分理解用戶的業(yè)務需求，根據(jù)國家相關標準，提供可擴展的安全系統(tǒng)等集成商與用戶溝通渠道不暢項目完成的最后期限延遲及系統(tǒng)不能準確實現(xiàn)用戶期望的功能。集成商、用戶方建立合適的項目實施機構，由集成商與用戶共同參與的聯(lián)合領導小組協(xié)調(diào)指導用戶需求改變成本增加及項目完成的最后期限延遲集成商、用戶方及早傳達用戶需求變更列表,得到項目領導小組的通過系統(tǒng)可靠性、安全性問題運行開通后可能在異常事件災難來臨時造成嚴重的后果集成商承建單位提高需求定義的質(zhì)量；安排資深技術專家進行咨詢；定期召開協(xié)商會議；模擬環(huán)境測試；系統(tǒng)應急措施，如使用備件等。在本項目實施過程中，將按照項目計劃開展各項工作，項目經(jīng)理有責任掌握和控制整個項目的進度，并保證計劃執(zhí)行的效果；如果遇到障礙和其它超越自身權利范圍的事宜，應及時向項目總負責人報告，由高層出面協(xié)調(diào)和強力推進。為了對整個項目進行有效的跟蹤和控制，有效地將低項目實施風險，在本項目中應執(zhí)行以下制度：1.編制項目實施詳細計劃(DDP)，并在每周項目狀態(tài)報告的基礎上及時更新。作為對項目組成員的任務安排及項目指導。2.每周項目狀態(tài)報告。由雙方項目經(jīng)理協(xié)商一致后，將項目進展情況、階段性成果、遇到問題以及下一步工作任務等向各自的項目總負責人匯報。3.項目例會。每周或每兩周舉行一次，雙方項目組成員一起總結前一階段的工作成果、分析項目狀態(tài)與存在問題，商討解決辦法和下一步工作。4.需求變動控制機制。所有需求變動均由雙方項目組討論通過，并提交客戶方項目經(jīng)理審核確認；必要時，需提交管理層批準，從而有效管理項目實施過程中出現(xiàn)的任何重大變動。5.問題跟蹤機制。項目小組成員在遇到實施問題時，應首先建立問題書面記錄，并有隨后的跟蹤記錄，經(jīng)過各種方式使問題得到解決以后，形成解決結果記錄，以便實施完畢有據(jù)可查。6.文檔管理。建立專門的項目文檔，包括項目升級方案、計劃、階段成果確認、派工單、問題處理記錄、會談記錄、項目變動、培訓記錄。項目進度安排根據(jù)項目工程進度的要求，本項目實施前會出一份詳細的進度安排表，參考格式如下：序號項目進度第一周第二周第三周第四周第五周1所有設備進場準備2安裝環(huán)境準備測試3各種安全軟件安裝測試4防火墻安裝調(diào)試5安全軟件控制中心安裝6安全軟件客戶端部署7服務器和客戶端安全加固8試運行及培訓9安全項目測評10工程驗收

售后服務與培訓服務理念實現(xiàn)客戶滿意以客戶為中心，強化服務意識，提高服務技能，以優(yōu)質(zhì)服務切實保障系統(tǒng)運行質(zhì)量，實現(xiàn)客戶滿意。追求服務卓越不斷完善服務內(nèi)容，追求服務的標準化、規(guī)范化、個性化，貼近客戶，注重主動服務，塑造優(yōu)質(zhì)服務品牌，追求服務卓越。促進持久雙嬴關注客戶系統(tǒng)的整體效能，不斷優(yōu)化系統(tǒng)，提升對系統(tǒng)的完整支撐和持久保障，通過各種方式和全面的工程、維護、培訓、合作，促進持久雙贏。服務有效保障我公司本著用戶至上的原則，憑借雄厚的技術實力、完善的服務網(wǎng)絡、優(yōu)質(zhì)的服務標準、強大的支持后盾及雙方在工作流程上的聯(lián)系，承諾給用戶和合作伙伴提供及時、高效、可靠的服務。服務體系結構服務是一種文化。服務不僅僅代表一種制度、程序，它已經(jīng)融入公司的企業(yè)文化中，并為所有員工接受和奉行。公司建立了完善的服務網(wǎng)絡，為用戶提供專業(yè)化和標準化的服務。公司具有一支技術力量精湛、服務優(yōu)良的技術隊伍，為用戶提供優(yōu)良的技術服務。為使用戶方信息系統(tǒng)能夠安全正常地運轉(zhuǎn)，公司將組織一批專職并專業(yè)的技術人員，設立信息系統(tǒng)安全售后服務小組，提供一體化的整體系統(tǒng)服務。售后服務組織結構公司主張為客戶提供全生命周期的服務。我們從客戶信息系統(tǒng)的整體性、安全性和保密性進行考慮，以客戶的業(yè)務流程為著眼點，運用信息系統(tǒng)安全工程技術理論、工具和方法，通過專業(yè)、客觀的風險分析，在保證客戶信息系統(tǒng)應用效率和投資收益比例恰當?shù)那疤嵯?，降低客戶的信息系統(tǒng)運行風險，確?？蛻粜畔⑾到y(tǒng)的安全可靠。公司嚴格遵循國家網(wǎng)絡安全主管部門有關規(guī)定以及國際安全服務標準，由專業(yè)從事網(wǎng)絡服務和安全服務的專家小組提供服務，并且能夠集中各個產(chǎn)品廠家的技術支持，從方案設計到對網(wǎng)絡、信息的監(jiān)控，以及對安全事件的緊急響應，同時包括對用戶網(wǎng)絡的安全管理員進行安全培訓。為了更好的為用戶服務，公司目前已經(jīng)已形成了覆蓋XX省各個市、區(qū)、縣多個辦事處的IT服務支持網(wǎng)絡。作為一個立足XX，服務全國的高新技術企業(yè)和軟件企業(yè)。在本次項目實施中，可以充分保障本項目的工程實施、及時服務以及日常的巡檢工作。售后服務承諾我公司保證所供軟、硬件產(chǎn)品是原廠家全新產(chǎn)品。保證在簽訂合同后交付所有合同規(guī)定產(chǎn)品和服務。我公司提供設備和軟件三年質(zhì)保服務，從系統(tǒng)驗收合格之日起計算，質(zhì)保期內(nèi)負責設備故障的免費維修及更換。免費維護期間，我方提供回訪服務，定期對項目采購的設備進行全面巡檢，并協(xié)助用戶對隱患和故障進行解決和追查，最終以報告形式提交用戶。備品、備件供應保障。在中國境內(nèi)應設有固定的備品備件供應渠道，并提供易損易耗的備品、備件的價格清單。在質(zhì)量保證期結束后，我公司以不高于向其他用戶的供貨價格，向用戶提供所需的備品、備件；或向用戶提供備品、備件可靠的供貨渠道。當獲知某一備品、備件將停止生產(chǎn)時，我公司將及時向用戶通報，并提供解決方案，以便用戶采取相應的對策。在保修期結束前，我公司工程師將和用戶代表進行一次全面檢查，如確認設備自身的故障由我公司負責修理，在修理之后，我公司將缺陷原因、修理內(nèi)容、完成修理及恢復正常的時間和日期等報告給用戶。產(chǎn)品提供原廠商或原廠商認證工程師的安裝調(diào)試服務。無推諉承諾，我公司承諾在出現(xiàn)問題時絕不推諉。電話支持承諾，我公司承諾提供遠程電話支持服務，公司有專業(yè)工程師為客戶提供售后服務和技術支持，同時也有強大的研發(fā)隊伍可完成用戶的特殊技術需求。現(xiàn)場支援承諾，我公司承諾在出現(xiàn)嚴重故障時提供現(xiàn)場支持服務，公司將派發(fā)專業(yè)工程師到達用戶現(xiàn)場，對故障進行診斷和排除。專業(yè)化服務公司提供多種形式、非常靈活的服務方式來滿足用戶的不同需求，公司在濟南市設有專業(yè)化的服務中心，專職處理用戶的服務請求。服務的范圍及內(nèi)容包括：初始化安裝服務凡從我公司購買產(chǎn)品的客戶都可以得到優(yōu)質(zhì)的初始化安裝服務。包括內(nèi)容如下：軟硬件產(chǎn)品的安裝、調(diào)試；服務器上架，系統(tǒng)安裝、調(diào)試、安全優(yōu)化；各單體建筑物內(nèi)部線路敷設；其它外設的安裝調(diào)試等。協(xié)助用戶建立系統(tǒng)管理計劃公司將為用戶建立系統(tǒng)重要配置文檔檔案、系統(tǒng)安全管理計劃、操作及維護管理計劃，以保證用戶日常管理和維護工作的正常進行。支持服務用戶可以通過向本公司咨詢問題的解決方案、報告產(chǎn)品瑕疵、文檔說明、以及技術指導。您的問題將以“技術支援請求”的形式記錄在本公司的客戶支持系統(tǒng)中，由專門的技術工程師全程跟蹤負責，技術工程師可以使用全面的軟件診斷工具來幫助您解決問題。所有客戶都會加以記錄、追蹤、解決，并且只有經(jīng)客戶同意方可結束。產(chǎn)品服務公司所售出的硬件產(chǎn)品按原廠商承諾實行保修。在保修期內(nèi)，如果我公司技術支持工程師已通過確認客戶的某個硬件發(fā)生了故障，我公司將盡最大可能免費提供更換期間內(nèi)的代用設備/部件，新設備/部件更換完畢并運行穩(wěn)定一段時間后，用戶需歸還該代用設備/部件（對特殊零部件，此周期可能會有所延長）。在故障解決后，向用戶提交《故障分析、記錄和解決報告》。定期專業(yè)技術及項目發(fā)展咨詢技術支持工程師將把最新的產(chǎn)品信息及技術動態(tài)以演示光盤或電子郵件的形式發(fā)送到客戶手中，并協(xié)助用戶制定軟/硬件及網(wǎng)絡產(chǎn)品的擴充計劃，提供對用戶系統(tǒng)與網(wǎng)絡方面的改進建議及方案。公司將根據(jù)用戶業(yè)務發(fā)展情況安排本公司及其他IT行業(yè)重要廠商的新產(chǎn)品發(fā)布會及技術講座，公司將提前2周通知用戶參加，并代為用戶申請并保留兩個座位。系統(tǒng)培訓服務公司根據(jù)客戶應用環(huán)境定制詳盡的培訓計劃。這種培訓區(qū)別于廠商單方面的培訓。服務內(nèi)容日常支持由系統(tǒng)集成商的資深技術工程師人員提供服務。用戶可以通過電話或傳真將問題報告集成商，服務技術人員將在規(guī)定的時間內(nèi)迅速解答用戶的問題，服務人員將全天24小時響應用戶請求?，F(xiàn)場支持對于重大或嚴重影響網(wǎng)絡服務的故障，系統(tǒng)集成商將在電話支持的同時，迅速派員到達用戶現(xiàn)場。故障類型支持方式響應要求網(wǎng)絡或終端系統(tǒng)癱瘓立刻專人應答及處理立即出發(fā)系統(tǒng)嚴重故障、部分服務不正常2小時內(nèi)答復1個工作日內(nèi)系統(tǒng)個別服務不正常4小時內(nèi)答復盡快響應應急響應若客戶在使用過程中發(fā)現(xiàn)服務范圍中的軟硬件產(chǎn)品運行異常及系統(tǒng)故障，我公司將迅速響應通過電話或者派工程師上門等方式在最短時間里給予支持。技術培訓可根據(jù)客戶的實際需求提供計算機、網(wǎng)絡、安全設備維護、安全產(chǎn)品使用維護等方面專項技術培訓工作。培訓目的加強用戶的安全技術及終端監(jiān)管防護技術的理論水平，使管理人員能夠自主的安裝、使用、配置、維護用戶方信息系統(tǒng)。培訓宗旨口號為“科學、務實、易學、省用”。培訓對象網(wǎng)絡安全負責人及系統(tǒng)維護人員。培訓前的準備成立專題討論小組隨著信息安全的飛速發(fā)展，安全技術培訓的要求也在迅速增長。信息安全的實踐者需要的是最新的知識、最緊缺的知識以及實際解決問題的能力。單純的照搬照抄國內(nèi)外現(xiàn)成的相關培訓教材是不適應用戶的需求的。因此我們要結合培訓對象的各種特點，本著“科學、務實、易學、有用”的培訓宗旨，制訂規(guī)范化、職業(yè)化、應用化的本地培訓教材。專題小組的任務是盡可能全面地就一些問題作預見性的、長期性的考慮和討論，最終的目的是使我們編制的培訓教材能讓用戶單位的網(wǎng)絡安全負責人及系統(tǒng)維護人員了解整個網(wǎng)絡安全防范的有效途徑，把握終端監(jiān)管與防護系統(tǒng)的總體規(guī)劃及系統(tǒng)框架，保證信息終端的安全性，加強內(nèi)部信息終端安全防范。培訓教材組織專家編寫教材，要力求教材的原創(chuàng)性、實例性、操作性“三多”的原則。培訓方式用戶現(xiàn)場培訓。培訓地點及人數(shù)培訓地點及人數(shù)由用戶確定。培訓內(nèi)容根據(jù)每一個建設周期所采購的安全產(chǎn)品進行相應的培訓每一期建設完成后，將出類似于下表的培訓計劃表培訓時間培訓內(nèi)容簽到表2014.12.1上午防火墻基本配置及策略2014.12.1下午入侵防御系統(tǒng)配置2014.12.2上午安全防范技術2014.12.2下午數(shù)據(jù)庫安全防范技術技術咨詢5×8小時受理（每周5天、每天9：00-17：00）其他服務根據(jù)實際情況與用戶協(xié)商，約定具體上門服務時間。

新機房搬遷示例醫(yī)院新機房搬遷將單獨設計一套機房搬遷方案，詳細規(guī)劃新機房的搬遷設計、搬遷規(guī)劃、搬遷實施及項目驗收等事項。下面將列出標準的機房搬遷流程步驟，用于參考。準備工作新機房搬遷前期準備工作有以下幾個方面：現(xiàn)狀描述描述建設中或建設完成后的現(xiàn)狀，如以下示例：端口連接表制作各區(qū)域網(wǎng)絡設備、安全設備的端口連接表，如以下示例：網(wǎng)絡核心區(qū)域：序號本地設備本地端口對端設備對端端口備注1JianWei-Core-9508G0/1/1QuFu-HJ-6506G2/0/7trunk2G0/1/3GongAn-HJ-6506G2/0/4trunk3G0/1/5FangDi-HJ-6506G2/0/5trunk4G0/1/8Out-HJ-5500G1/0/50trunk5G0/1/