等級保護2.0第二級數(shù)據(jù)中心安全防護產品性能指標參考

 

一、 防火墻類

 

1、 web應用防火墻（推薦要求）

WEB 網(wǎng)站訪問防護專用安全設備，具備 WEB 訪問控制、

WEB 網(wǎng)絡數(shù)據(jù)分析等基本功能。具備對 SQL 注入、跨站、 掃描器掃描、 信息泄露、 文件傳輸攻擊、操作系統(tǒng)命令注入、目錄遍歷、異常發(fā)現(xiàn)、webshell 攻擊檢測、 盜鏈行為、 拒絕服務攻擊防護、 網(wǎng)頁防篡改、 身份認證、日志審計等 14 項安全功能。

 

2、 數(shù)據(jù)庫防火墻（推薦要求）

數(shù)據(jù)庫訪問控制和安全審計專用設備。

①具備數(shù)據(jù)庫審計、數(shù)據(jù)庫訪問控制、數(shù)據(jù)庫訪問檢測與過濾、數(shù)據(jù)庫服務發(fā)現(xiàn)、脫敏數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)庫狀態(tài)和性能監(jiān)控、數(shù)據(jù)庫管理員特權管控等功能。

②支持橋接、網(wǎng)關和混合接入方式，基于安全等級標記的訪問控制策略和雙機熱備功能，保障連續(xù)服務能力。

 

3、 網(wǎng)絡防火墻（必須 具備 其中3 項功能、 支持 3 種訪問控制類型）

網(wǎng)絡邊界防護和訪問控制的專用設備。

①具備訪問控制、入侵防御、病毒防御、應用識別、WEB 防護、負載均衡、流量管控、身份認證、數(shù)據(jù)防泄露等 9 項功能。

②支持區(qū)域訪問控制、數(shù)據(jù)包訪問控制（例如基于IP、端口、網(wǎng)絡協(xié)議訪問的數(shù)據(jù)包）、會話訪問控制、信息內容過濾訪問控制、應用識別訪問控制等 5 種訪問控制類型。

 

二、 安全審計設備類

 

1、 網(wǎng)絡安全審計（必須滿足全部要求）

記錄網(wǎng)絡行為并進行審計和異常行為發(fā)現(xiàn)的專用安全設備。

①對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄。

②審計記錄包括事件的時間和日期、用戶、事件類型、事件是否成功及其它與審計相關的信息。

③能夠對記錄數(shù)據(jù)進行分析，生成審計報表。

2、 數(shù)據(jù)庫審計（必須滿足全部要求）

監(jiān)控數(shù)據(jù)庫系統(tǒng)的用戶操作日志、數(shù)據(jù)庫活動、預警的專用設備。

①具備數(shù)據(jù)庫操作記錄的查詢、保護、備份、分析、審計、實時監(jiān)控、風險報警和操作過程回放等功能。

②支持監(jiān)控中心報警、短信報警、郵件報警、 Syslog

報警等報警方式。

      

 

3、 運維審計（必須滿足全部要求）

數(shù)據(jù)中心運維操作審計及預警的專用設備。

①具備資源授權、運維監(jiān)控、運維操作審計、審計報表、違規(guī)操作實時告警與阻斷、會話審計與回放等功能。

②支持基于用戶、運維協(xié)議、目標主機、運維時間段（年、月、日、時間）等授權策略組合。

③支持運維用戶、運維客戶端地址、資源地址、協(xié)議、開始時間等實時監(jiān)控信息項。

 

4、 主機安全審計（必須滿足全部要求）

記錄主機操作的審計設備。

①支持重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要事件審計。

②支持記錄事件的日期、時間、類型、主體標識、客體標識和結果等。

三、 系統(tǒng)加固設備類

 

1、 漏洞掃描設備（推薦要求）

檢測與發(fā)現(xiàn)系統(tǒng)漏洞的專用設備。

①具備資產管理、漏洞管理、掃描策略配置、漏洞掃描和報表管理等 5 項功能。

②支持 CVE、 CNNVD、 CNCVE、 CNVD、 BUGTRAQ 等 5 種漏洞庫編號，按照國家新發(fā)布的漏洞及時更新。

③產品掃描信息支持主機信息、用戶信息、服務信息、漏洞信息等 4 種內容。

④支持掃描操作系統(tǒng)、網(wǎng)絡設備、虛擬化設備、數(shù)據(jù)庫、移動設備、應用系統(tǒng)等 6 類系統(tǒng)和設備。

⑤支持主機探測、端口掃描、弱口令掃描、多主機掃描、多線程掃描、口令猜解等 6 種掃描方式。

⑥支持 SNMP trap、 郵件、 短信、 Syslog 等 4 種告警方式。

 

2、 WEB 漏洞掃描設備（推薦要求）

檢測與發(fā)現(xiàn)醫(yī)院 WEB 網(wǎng)站漏洞的專用設備。

①具備資產管理、漏洞管理、掃描策略配置、漏洞掃描和報表管理等功能。

②支持 SQL 注入、 Cookie 注入、跨站腳本攻擊、敏感信息泄露等漏洞檢測能力。

③支持 Cookie、 Form、 Basic、 NTLM 等登錄認證方式。

④支持 SNMP trap、郵件、短信、 syslog 等告警方式。

 

四、 數(shù)據(jù)加固設備類

 

1、 網(wǎng)絡防泄露設備（推薦要求）

防止通過網(wǎng)絡傳輸泄露敏感/關鍵信息的專用設備。

①具備識別能力（協(xié)議識別、應用識別、文件識別、內容識別、 異常行為識別）、響應能力、策略管理、報表與審計等 4 項功能。

②支持 HTTP、 HTTPS、 FTP、 SMTP、 POP3 等 5 種協(xié)議識別。

③支持識別加密文件、壓縮文件、圖片文件、非Windows 文件、未知文件、自定義文件等 6 種文件類型。

④支持文檔多層嵌套方式逃避檢測、文件多層壓縮逃避檢測、郵件密送、修改文件擴展名、圖片嵌入敏感文檔、拷貝文檔部分內容泄露敏感信息、少量多次泄露敏感信息、文檔頁眉頁腳隱藏敏感信息、敏感信息標識為隱藏段落等 9 種常見異常行為識別方式。

⑤支持文件內容、發(fā)送者、接收者、文件特征、通訊協(xié)議等 5 種條件策略配置。

 

2、 存儲數(shù)據(jù)防泄露設備（推薦要求）

發(fā)現(xiàn)和處理存儲系統(tǒng)敏感數(shù)據(jù)的專用防泄露設備。

①具備敏感數(shù)據(jù)發(fā)現(xiàn)、發(fā)現(xiàn)的敏感數(shù)據(jù)展示、敏感數(shù)據(jù)隔離等 3 項功能。

②支持在文件服務器、數(shù)據(jù)庫、協(xié)作平臺、 Web 站點、臺式機、 移動終端等 6 種系統(tǒng)的敏感數(shù)據(jù)發(fā)現(xiàn)。

③支持非結構化數(shù)據(jù)指紋檢測、結構化數(shù)據(jù)指紋檢測、機器學習特征提取與檢測、關鍵內容描述、正則、數(shù)據(jù)符等 6 種檢測技術。

 

3、 數(shù)據(jù)庫加密設備（推薦要求）

加密醫(yī)院數(shù)據(jù)庫和發(fā)現(xiàn)數(shù)據(jù)庫風險的專用設備。

①具備系統(tǒng)管理、加解密引擎管理、數(shù)據(jù)庫透明加密管理、數(shù)據(jù)庫狀態(tài)監(jiān)控、數(shù)據(jù)庫風險掃描等 5 項功能。

②支持動態(tài)加解密、密文索引、多級密鑰等技術。

4、 郵件加密設備（推薦要求）

郵件加密和郵件服務器安全防護的專用設備。

①具備郵件加密、安全防御、 郵件傳輸代理、日志審計等 4 項功能。

②支持附件加密、郵件替換、郵件附件備份、附件鏈接下載管理、防止機密信息外泄、第三方證書認證加密、網(wǎng)關-網(wǎng)關加密等 7 種郵件加密方式。

③支持 DNS 反向解析、 SMTP 攻擊防御、 SMTP 連接限制、 SMTP 字典攻擊、 SMTP 密碼防猜機制、 POP 攻擊防御、IMAP 攻擊防御、 DNS 攻擊防御等 8 種安全防御方式。

④支持郵件中繼控制、多臺 AD 服務器輪詢、 SMTP認證控制、郵件交換、假冒 Postmaster 攻擊防護等 5 種MTA 功能。

五、 入侵防范設備類

 

1、 入侵防御設備（必須具備 3 項功能、 支持 2 種入侵防御技術、 支持 2 種抗拒絕服務技術）

對網(wǎng)絡數(shù)據(jù)流量進行深度檢測、實時分析，并對網(wǎng)絡中的攻擊行為進行主動防御的專用設備。

①具備深層檢測、內容識別、即時偵測、主動防御、無線攻擊防御、抗拒絕服務、日志審計、身份認證等 9項功能。

②支持攻擊行為記錄（包括攻擊源 IP、攻擊類型、攻擊目的、攻擊時間等）、協(xié)議分析、模式識別、異常流量監(jiān)視、統(tǒng)計閥值、實時阻斷攻擊等 6 種入侵防御技術。

③支持流量檢測與清洗（流量型 DDoS 攻擊防御、應用型 DDoS 攻擊防御、 DoS 攻擊防御、非法協(xié)議攻擊防御、常用攻擊工具防御等）、流量牽引和回注等 2 種抗拒絕服務技術。

2、 入侵檢測設備（滿足一級要求）

通過對網(wǎng)絡上的數(shù)據(jù)包作為數(shù)據(jù)源，監(jiān)聽所保護網(wǎng)絡內的所有數(shù)據(jù)包并進行分析，從而發(fā)現(xiàn)異常行為的入侵檢測系統(tǒng)。

參照《信息安全技術網(wǎng)絡入侵檢測系統(tǒng)技術要求和測評方法》 [GBT20275-2013]將網(wǎng)絡入侵檢測系統(tǒng)技術要求分為一級、二級、三級。

 

3、 網(wǎng)絡準入控制設備（推薦要求）

屏蔽不安全的設備和人員接入網(wǎng)絡，規(guī)范用戶接入網(wǎng)絡行為的專用設備。

①具備網(wǎng)絡準入身份認證、合規(guī)性健康檢查、終端接入管理（包括：PC、移動終端等）、用戶管理、準入規(guī)則管理、高可用性、日志審計等 7 項功能。

②支持 pap、 chap、 md5、 tls、 peap 等 5 種網(wǎng)絡準入身份認證方法。

 

4、 防病毒網(wǎng)關設備（具備 3 項功能。支持 3 種病毒過濾方法）

病毒防御網(wǎng)關化的專業(yè)設備。

①具備病毒過濾、內容過濾、反垃圾郵件、日志審計、身份認證、高可用等 6 項功能。

②支持流殺毒、文件型殺毒、常用協(xié)議端口病毒掃描、 IPv4 和 IPv6 雙協(xié)議棧的病毒過濾、病毒隔離等 5 種病毒過濾方法。

 

5、 網(wǎng)絡安全入侵防范（推薦要求）

①在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊和網(wǎng)絡蠕蟲攻擊等；

②當檢測到攻擊行為時，記錄攻擊源 IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。

 

6、 主機入侵防范（推薦要求）

①能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源 IP、 攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生入侵事件時提供報警。

②能夠對重要程序的完整性進行檢測，并在檢測到完整性受到破壞后具有恢復的措施。

 

7、 主機惡意代碼防范（推薦要求）

①應用防惡意代碼軟件， 及時更新防惡意代碼軟件板本和惡意代碼庫。

②支持防惡意代碼的統(tǒng)一管理。

8、 網(wǎng)頁防篡改（推薦要求）

用于醫(yī)院保護網(wǎng)站文件，防止網(wǎng)站篡改。

①具備網(wǎng)站攻擊過濾、網(wǎng)站文件訪問控制、網(wǎng)站安全校驗、網(wǎng)站攻擊事件告警、網(wǎng)站安全管理策略、網(wǎng)站備份、網(wǎng)站同步、網(wǎng)站自動恢復、網(wǎng)站服務器可靠性監(jiān)測、網(wǎng)站審計日志等 10 項功能。

②網(wǎng)站同步過程支持文件加密傳輸技術、完整性校驗、文件檢索、快速傳輸技術等 4 種技術。

 

六、 身份認證系統(tǒng)

 

1、 統(tǒng)一身份管理（推薦要求）

對醫(yī)院內所有應用實現(xiàn)統(tǒng)一的用戶信息存儲、認證和管理的系統(tǒng)。

①具備單點登錄、用戶身份信息管理、用戶管理規(guī)則庫、用戶訪問權限設置、權限規(guī)則庫、用戶與權限的適配管理、系統(tǒng)審計、第三方應用系統(tǒng)接口調用獲取權限等 8項功能。

②實現(xiàn)多業(yè)務系統(tǒng)的統(tǒng)一認證， 支持數(shù)字證書、動態(tài)口令、靜態(tài)口令、 Windows 域認證、通行碼認證、指紋認證、人臉識別等 7 種認證方式。

2、 電子認證服務（推薦要求）

用于發(fā)放并管理所有參與醫(yī)院網(wǎng)上業(yè)務的實體所需的數(shù)字證書。

①具備數(shù)字證書的申請、審核、簽發(fā)、查詢、發(fā)布、證書吊銷列表的簽發(fā)、查詢、發(fā)布等 8 項數(shù)字證書全生命周期管理功能。

②支持國密系列標準。

③支持交叉認證、 數(shù)據(jù)備份/恢復、 日志審計管理等 3項系統(tǒng)管理功能。

 

3、 用戶身份鑒別（滿足第一項要求）

數(shù)據(jù)中心服務器操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)提供鑒別機制，保證用戶身份安全可信， 支持用戶標識和用戶鑒別。

①支持受控的口令或具有相應安全強度的其他機制進行用戶身份鑒別，并對鑒別數(shù)據(jù)進行保密性和完整性保護。

②支持兩種或兩種以上的組合機制進行用戶身份鑒別，并對鑒別數(shù)據(jù)進行保密性和完整性保護。

 

4、 個人隱私保護（推薦要求）

患者隱私數(shù)據(jù)存儲于數(shù)據(jù)庫，具備隱私數(shù)據(jù)（敏感）數(shù)據(jù)防泄露能力。

①具備隱私數(shù)據(jù)字段級加密保護功能，并能提供第三方服務接口，支持動態(tài)脫敏和動態(tài)加密數(shù)據(jù)保護功能。

②支持代理、網(wǎng)關和混合接入方式，基于安全等級標記的數(shù)據(jù)標簽技術和雙機熱備功能，保障連續(xù)服務能力。

 

5、 網(wǎng)絡設備身份鑒別（推薦要求）

①支持登錄網(wǎng)絡設備的用戶進行身份、 地址、 標識進行管理。

②支持兩種或以上組合的鑒別技術進行身份鑒別。

③支持口令復雜度、 定期更換、 失敗處理、 結束會話、限制非法登錄次數(shù)、 登錄連接超時自動退等 6 項安全功能。

6、 主機身份鑒別（推薦要求）

①對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別。

②支持兩種或以上組合的鑒別技術進行身份鑒別。

③支持口令復雜度、 定期更換、 失敗處理、 結束會話、限制非法登錄次數(shù)、 登錄連接超時自動退等 6 項安全功能。

七、 訪問控制系統(tǒng)

 

1、 上網(wǎng)行為管理（推薦要求）

用于醫(yī)院互聯(lián)網(wǎng)的安全管理。

①具備上網(wǎng)人員管理、上網(wǎng)瀏覽管理、上網(wǎng)外發(fā)管理、上網(wǎng)應用管理、上網(wǎng)流量管理、上網(wǎng)行為分析、上網(wǎng)隱私保護、風險集中告警等 8 項功能。

②支持 IP/MAC 識別方式、用戶名/密碼認證方式、與已有認證系統(tǒng)的聯(lián)合單點登錄方式等 3 種上網(wǎng)人員身份管理方式。

③支持對主流即時通訊軟件外發(fā)內容的關鍵字識別、記錄、阻斷等 3 項操作。

 

2、 虛擬化安全防護（推薦要求）

提供虛擬化網(wǎng)絡邊界防護的專用軟件防火墻。

①具備訪問控制、入侵防范、病毒過濾、應用識別、抗拒絕服務、 網(wǎng)絡防護、日志審計、身份認證等 8 項功能。

②支持網(wǎng)絡訪問控制、權限控制、目錄級安全控制、屬性安全控制、服務器安全控制等 5 種訪問控制方法。

 

八、 安全管理系統(tǒng)

 

1、 文檔安全管理（推薦要求）

用于醫(yī)院核心信息資產有意或無意泄露防護的管理系統(tǒng)。

①具備文檔加密、文檔安全策略（權限控管、使用次數(shù)、文檔生命期限、打印自定義水印等）、 身份認證、使用追蹤、 離線管理、文檔操作審計等 6 項功能。

②支持對電子文檔進行細粒度的權限控制， 包括只讀、打印、修改、復制等 4 種權限控制。

③支持對文檔的閱讀、編輯、刪除、打印、外發(fā)、授權等 6 種動作進行詳細的日志審計。

 

2、 日志審計系統(tǒng)（滿足全部要求，日志存儲時間大于等于6個月）

記錄、分析和處理用戶操作行為的系統(tǒng)。

①具備日志記錄、用戶重要操作日志記錄、日志查詢、日志保護、日志備份、日志分析模型、日志審計報告等項功能。

②支持用戶名稱、操作日期和時間、操作類型、是否成功、合規(guī)審計等項日志審計內容。

③支持數(shù)據(jù)分析，并生成審計報表。

 

3、 資產風險管理（推薦要求）

基于醫(yī)院網(wǎng)絡環(huán)境, 構建醫(yī)院網(wǎng)絡資產基礎信息庫，能整體和動態(tài)發(fā)現(xiàn)網(wǎng)絡安全風險的管理系統(tǒng)。

①具備實時評估網(wǎng)絡安全風險、驗證重要風險點、評估風險影響范圍、網(wǎng)絡安全持續(xù)監(jiān)控、風險通報和威脅預警、風險分析結果可視化、風險處理等 7 項功能。

②支持信息系統(tǒng)、承載業(yè)務、網(wǎng)絡設備、安全設備、服務器設備、終端設備、軟件、數(shù)據(jù)、存儲等 9 種資產信息庫內容。

③支持表格、指示燈、 3D 圖表、雷達圖、拓撲圖、熱度圖等 6 種風險可視化結果展示方式。

4、 統(tǒng)一安全管理（推薦要求）

對醫(yī)院各類網(wǎng)絡安全安全事件的監(jiān)控、分析和管理的信息系統(tǒng)。

①具備資產管理、資產風險管理、網(wǎng)絡安全事件采集、網(wǎng)絡安全事件分析、網(wǎng)絡安全事件分析模型、實時安全監(jiān)測、分析結果可視化、安全運營決策和處置服務等 8 項功能。

②基于數(shù)據(jù)分析模型， 支持表格、指示燈、 3D 圖表、雷達圖、拓撲圖、熱度圖等 6 種可視化結果展示方式。