播放美国生活大片,光棍电影网,息与子猛烈交尾在线播放,精品成人av一区二区三区,我的一次3p详细过程

                                                                                                          煤礦行業工業控制系統安全防護解決方案  

一、背景情況  
       煤炭工業控制系統是整個煤炭企業安全生產監控系統信息的集成，它需要一個快速、安全、可靠的網絡平臺為大量的信息流動提供支撐，同時要有一個功能全面的安全生產信息應用系統為礦井安全生產提供科學調度、決策的依據。做好煤炭企業工控安全建設是實現生產安全的必要保障。  

       綜合自動化系統是指在工業生產、管理、經營過程中，通過信息基礎設施，在集成平臺上，實現信息的采集、信息的傳輸、信息的處理以及信息的綜合利用等。將先進和自動控制、通訊、信息技術和現化管理技術結合，將企業的生產過程控制、運行與管理作為一個整體進行控制與管理，提供整體解決方案，以實現企業的優化運行、控制和管理。  

二、安全分析  

（1）缺乏整體信息安全規劃；  

（2）缺乏工控安全管理制度、應急預案、培訓與意識培養；  

（3）調度人員有時通過連通互聯網的手機在調度室主機U口上充電，導致生產網絡通過手機被打通，造成邊界模糊。  

（4）主機操作系統老舊，從不升級，極易出現安全漏洞和缺陷；新建系統主機雖然會安裝殺毒軟件，但是為保障生產運行，殺毒軟件一般處于關閉狀態，這些都存在安全隱患，無法防御“0-DAY”病毒和勒索病毒。  

（5）調度人員或運維人員使用帶有病毒的U盤插入主機中，造成整個網絡感染病毒。  

（6）煤炭生產現場PLC多為西門子或AB的產品，而PLC本身存在漏洞，西門子和AB近些年被曝出存在高危漏洞，攻擊者可以利用漏洞控制現場設備，執行錯誤命令，嚴重影響安全生產。  

（7）黑客也可通過技術手段潛入生產網絡，獲取關鍵生產數據，牟取利益。  



三、煤礦行業工控系統安全防護解決方案  

安全防護原則  

（1）安全分區  

       對于生產網絡與辦公網絡、企業集團內網存在互聯互通的現象，首先需要進行網絡優化，明確生產網絡邊界，盡量避免多個生產網絡邊界的現象。  

（2）安全審計  

       對生產網絡內部的日常操作行為進行基于白名單策略監控，及時發現網絡中存在的異常流量、違規操作、非法訪問、惡意程序等異常行為，并要求對生產網絡的運行日志進行記錄保存，至少保留6個月；對于已經發生攻擊事件的情況，要求可以對攻擊事件進行追蹤、溯源，定位網絡攻擊的位置或具體用戶。  

（3）邊界防護  

       根據業務網絡實際情況，在生產網絡外部邊界處部署工業防火墻或單向隔離網閘設備，保證生產網絡向辦公網絡或其他外部網絡數據單向傳輸。工業控制系統上位操作主機（操作站、工程師站、服務器）作為生產網絡的內部邊界，需要對用戶登陸、操作、運行等行為進行安全監控與審計，并對通過上位主機外設接口與生產網絡進行數據通訊的行為進行授權管理。  

（4）惡意代碼防范  

       對于以“白名單”防護策略為主的工控安全防護方案，除了對外部網絡邊界進行有效的訪問控制和威脅監測以外，需要對上位主機的USB接口使用過程進行安全有效管理，對于臨時接入工控網絡的移動存儲設備，必須先進行病毒查殺，才可以使用。  

具體方案  

?    部署工控安全綜合監管平臺、工業安全防火墻，深度解析工控協議，防范非法訪問，迅速檢測異常網絡節點，及時預警，并監控工業防火墻運行狀態，實時獲取工控網安全事件日志和報警任務；  

?    在操作員站和工程師站部署工控主機安全防護系統，防范非法程序和應用以及未經授權的任何行為；  

?    部署堡壘機及工控安全綜合審計系統，對違規操作行為進行控制和審計，保障網絡和數據不受外部和內部用戶的入侵和破壞；  

?    采用工控安全隔離網閘設備，物理隔離煤礦辦公網和生產網，提供兩網數據交換安全通道，阻止來自上層網絡的非法訪問以及病毒和惡意代碼的傳播。

                                                                                                                    焦化工業控制系統安全防護解決方案  

一、背景情況  
       焦化企業普遍采用基于信息網、管理網和控制網三層架構的的管控一體化信息模型，焦化企業是典型的資金和技術密集型企業，生產的連續性很強，裝置和重要設備的意外停產都會導致巨大的經濟損失，因此生產過程控制大多采用DCS等先進的控制系統，且以國外廠商為主。經過多年的發展，焦化行業信息化建設已經有了較好的基礎，企業在管理層的指揮、協調和監控能力在實時性、完整性和一致性上都有了很大的提升，相應的網絡安全防護也有了較大提高。隨著焦化企業管控一體化的實現，越來越多的控制網絡系統通過信息網絡連接到互聯上，潛在的威脅就越來越大。  

二、安全分析  
（1）控制網絡與管理網絡互聯，存在來自上層網絡的安全威脅存在。  

（2）存在來自工作站（接入U盤、便攜設備等）的病毒傳染隱患。  

（3）網絡中沒有設置安全監控平臺，無法對網絡安全事故進行預警和分析，影響問題識別和系統修復效率。  

（4）控制系統缺少分級、分區的安全防護，容易受到信息網絡及相鄰系統的潛在威脅。  

（5）對違規操作缺乏控制和審計。  

三、焦化行業工控系統安全防護解決方案  
防護原則  

（1）安全分區  

對于生產網絡與辦公網絡、企業集團內網存在互聯互通的現象，首先需要進行網絡優化，明確生產網絡邊界，盡量避免多個生產網絡邊界的現象。  

（2）安全審計  

對生產網絡內部的日常操作行為進行基于白名單策略監控，及時發現網絡中存在的異常流量、違規操作、非法訪問、惡意程序等異常行為，并要求對生產網絡的運行日志進行記錄保存，至少保留6個月；對于已經發生攻擊事件的情況，要求可以對攻擊事件進行追蹤、溯源，定位網絡攻擊的位置或具體用戶。  

（3）邊界防護  

根據業務網絡實際情況，在生產網絡外部邊界處部署工業防火墻或單向隔離網閘設備，保證生產網絡向辦公網絡或其他外部網絡數據單向傳輸。工業控制系統上位操作主機（操作站、工程師站、服務器）作為生產網絡的內部邊界，需要對用戶登陸、操作、運行等行為進行安全監控與審計，并對通過上位主機外設接口與生產網絡進行數據通訊的行為進行授權管理。  

（4）惡意代碼防范  

對于以“白名單”防護策略為主的工控安全防護方案，除了對外部網絡邊界進行有效的訪問控制和威脅監測以外，需要對上位主機的USB接口使用過程進行安全有效管理，對于臨時接入工控網絡的移動存儲設備，必須先進行病毒查殺，才可以使用。  

具體方案  

（1）根據焦化行業的網絡拓撲圖，結合相關標準及技術規范與要求，將整個網絡劃分為操作管理層、現場監控層、生產控制層和生產執行層四個區域。  

（2）在現有網絡架構下，協同部署工控系統安全防護產品，全面防護包括OPC數據采集、控制設備和工程師工作站的安全。  

（3）采用工控網絡隔離網關設備隔離內外網，提供內外網數據交換安全通道，阻止來自上層網絡的非法訪問、病毒及惡意代碼的傳播。  

（4）部署分布式工業防火墻和工控安全監控平臺，深度解析多種工控協議，防范非法訪問，迅速檢測異常網絡節點，及時預警，并監控工業防火墻工作狀態，實時獲取工控網絡安全事件日志和報警任務。  

（5）在工作站應用工控安全主機防護系統，防范非法程序、應用以及未經授權的任何行為，給予終端計算機全生命周期的安全防護。  

（6）在操作管理層部署審計平臺和堡壘機，對違規操作行為進行控制和審計，保障網絡和數據不受外部和內部用戶的入侵和破壞。

                                                                                                                 冶金鋼鐵工業控制系統安全防護解決方案  

一、背景情況  
       冶金鋼鐵行業工業以太網一般采用環網結構，為實時控制網，負責控制器、操作站和工程師站之間過程控制數據實時通訊，網絡上所有操作站、數采機和PLC都采用以太網接口，網絡中遠距離傳輸介質為光纜，本地傳輸介質為網線（如PLC與操作站之間）。生產監控主機利用雙網卡結構與管理網互聯。  

二、安全分析  
（1）鋼鐵冶金企業沒有對其內部生產控制系統及網絡進行分區、分層，無法將惡意軟件、黑客攻擊、非法操作等行為控制在特定區域內，易發生全局性網絡安全風險。  

（2）分廠控制網絡采用同網段組網，PLC、DCS等重要控制系統缺乏安全防護和訪問控制措施。  

（3）各分廠控制網與骨干環網之間無隔離防護措施。  

（4）鋼鐵冶金企業辦公網和生產監控網之間無物理隔離措施，導致病毒、木馬、黑客攻擊等極易以辦公網為跳板對生產控制系統發起攻擊。  

（5）由于鋼鐵冶金企業控制流程復雜、設備種類繁多、通信協議多樣，導致采集數據安全性無法得到保障。  

（6）鋼鐵冶金企業內部控制系統及網絡缺乏安全監測與審計措施，無法及時發現非法訪問、非法操作、惡意攻擊等行為。  

（7）鋼鐵冶金企業內部缺乏統一的安全管理平臺。  

三、冶金鋼鐵行業工控系統安全防護解決方案  
防護原則  

（1）安全分區  

       對于生產網絡與辦公網絡、企業集團內網存在互聯互通的現象，首先需要進行網絡優化，明確生產網絡邊界，盡量避免多個生產網絡邊界的現象。  

（2）安全審計  

       對生產網絡內部的日常操作行為進行基于白名單策略監控，及時發現網絡中存在的異常流量、違規操作、非法訪問、惡意程序等異常行為，并要求對生產網絡的運行日志進行記錄保存，至少保留6個月；對于已經發生攻擊事件的情況，要求可以對攻擊事件進行追蹤、溯源，定位網絡攻擊的位置或具體用戶。  

（3）邊界防護  

       根據業務網絡實際情況，在生產網絡外部邊界處部署工業防火墻或單向隔離網閘設備，保證生產網絡向辦公網絡或其他外部網絡數據單向傳輸。工業控制系統上位操作主機（操作站、工程師站、服務器）作為生產網絡的內部邊界，需要對用戶登陸、操作、運行等行為進行安全監控與審計，并對通過上位主機外設接口與生產網絡進行數據通訊的行為進行授權管理。  

（4）惡意代碼防范  

       對于以“白名單”防護策略為主的工控安全防護方案，除了對外部網絡邊界進行有效的訪問控制和威脅監測以外，需要對上位主機的USB接口使用過程進行安全有效管理，對于臨時接入工控網絡的移動存儲設備，必須先進行病毒查殺，才可以使用。  

具體方案  

（1）部署工控安全監控系統和工業防火墻，對工控協議深度解析，防范非法訪問，迅速檢測異常網絡節點，及時預警，并監控工業防火墻工作狀態，實時獲取工控網安全事件日志和報警任務，保障PLC設備和各服務器安全。  

（2）在各高爐操作站和工程師站應用工控安全主機防護系統，防范非法程序和應用以及未經授權的任何行為。  

（3）部署堡壘機及工控安全綜合審計系統，對違規操作行為進行控制和審計，保障網絡和數據不受外部和內部用戶的入侵和破壞。  

（4）采用工控網絡隔離網關設備隔離生產控制網和控制子站環網，提供兩網數據交換安全通道，阻止來自上層網絡的非法訪問以及病毒和惡意代碼的傳播。

                                                                                                 火力發電工業控制系統安全防護解決方案  

一、背景情況  

       火電廠工控系統主要由中央控制室和各配電室、電子間等子站組成，系統中布置有數千個開關、數百個模擬測量點以及數個PID調節回路的控制對象。其中，中央控制室設備通常包括建立在以太網連接上的操作員站、工程師站、數據采集服務器、報表打印設備等。中央控制網絡與各子站控制系統采用光纖為通信鏈路，各子站配有光纖收發器和工業交換機。  

二、安全分析  

（1）中央控制網絡與各控制子站網絡互聯，存在來自上層網絡的安全威脅，缺少重點邊界、區域的安全防護手段；  

（2）工控系統及網絡缺乏監測手段，無法感知未知設備、非法應用和軟件的入侵，無法對網絡中傳輸的未知異常流量進行監測；  

（3）工控系統缺乏對用戶操作行為的監控和審計，針對用戶操作行為缺乏有效可靠的審計手段；  

（4）工業控制系統缺乏分區邊界防護，容易受到來自信息網絡和相鄰系統的安全影響。  

三、火力發電行業工控系統安全防護解決方案  

安全防護原則  

（1）安全分區  

       按照《電力監控系統安全防護規定》，原則上將基于計算機及網絡技術的業務系統劃分為生產控制大區和管理信息大區，并根據業務系統的重要性和對一次系統的影響程度將生產控制大區劃分為控制區（安全區Ⅰ）及非控制區（安全區Ⅱ），重點保護生產控制以及直接影響電力生產（機組運行）的系統。  

（2）網絡專用  

       電力調度數據網是與生產控制大區相連接的專用網絡，承載電力實時控制、在線交易等業務。生產控制大區的電力調度數據網應當在專用通道上使用獨立的網絡設備組網，在物理層面上實現與電力企業其他數據網及外部公共信息網的安全隔離。生產控制大區的電力調度數據網應當劃分為邏輯隔離的實時子網和非實時子網，分別連接控制區和非控制區。  

（3）橫向隔離 縱向認證  

       橫向隔離是電力監控系統安全防護體系的橫向防線。應當采用不同強度的安全設備隔離各安全區，在生產控制大區與管理信息大區之間必須部署經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應當接近或達到物理隔離。生產控制大區內部的安全區之間應當采用具有訪問控制功能的網絡設備、安全可靠的硬件防火墻或者相當功能的設施，實現邏輯隔離。防火墻的功能性能電磁兼容性必須經過國家相關部門的認證和測試。  

       縱向加密認證是電力監控系統安全防護體系的縱向防線。生產控制大區與調度數據網的縱向連接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置，實現雙向身份認證、數據加密和訪問控制。  

（4）綜合防護  

       綜合防護是結合國家信息安全等級保護工作的相關要求對電力監控系統從主機、網絡設備、惡意代碼防范、應用安全控制、審計、備份及容災等多個層面進行信息安全防護的過程。  

       生產控制大區可以統一部署一套網絡入侵檢測系統，應當合理設置檢測規則，檢測發現隱藏于流經網絡邊界正常信息流中的入侵行為，分析潛在威脅并進行安全審計。  

       非控制區的網絡設備與安全設備應當進行身份鑒別、訪問權限控制、會話控制等安全配置加固。可以應用電力調度輸子證書，在網絡設備和安全設備實現支持HTTPS的縱向安全WEB服務，能夠對瀏覽器客戶端訪問進行身份認證及加密傳輸。  

       生產控制大區的監控系統應當具備安全審計功能，能能夠對操作系統、數據庫、業務應用的重要操作盡心記錄、分析，及時發現各種違規行為以及病毒和黑客的攻擊行為。對于遠程用戶登陸到本地系統中的操作行為，應當進行嚴格的安全審計。  

具體方案  

部署工控安全綜合監管平臺、工業安全防火墻，深度解析工控協議，防范非法訪問，迅速檢測異常網絡節點，及時預警，并監控工業防火墻運行狀態，實時獲取工控網安全事件日志和報警任務；

在操作員站和工程師站部署工控主機安全防護系統，防范非法程序和應用以及未經授權的任何行為；

部署堡壘機及工控安全綜合審計系統，對違規操作行為進行控制和審計，保障網絡和數據不受外部和內部用戶的入侵和破壞；

采用工控安全隔離網閘設備，物理隔離中央控制室和各子站網，提供兩網數據交換安全通道，阻止來自上層網絡的非法訪問以及病毒和惡意代碼的傳播。

    1-智慧城市數(shu)據(ju)溯源(yuan)保密安(an)全解決(jue)方案

    根(gen)據智慧城(cheng)市(shi)數(shu)據交換平(ping)臺的(de)需求情況，提出采用自主(zhu)可控數(shu)據共享與(yu)溯(su)源綜合管理平(ping)臺（以(yi)下簡稱數(shu)據溯(su)源系統）來(lai)實現智慧城(cheng)市(shi)信息數(shu)據交換共享中的(de)數(shu)據脫敏(min)及溯(su)源追蹤(zong)保密安全的(de)痛點問題。

系(xi)(xi)(xi)統(tong)(tong)(tong)(tong)部(bu)署(shu)(shu)于智慧(hui)城市(shi)(shi)數(shu)(shu)(shu)據(ju)交(jiao)換(huan)共(gong)享中心(xin)內部(bu)網絡當中（不同(tong)安全(quan)域之間(jian)），當智慧(hui)城市(shi)(shi)數(shu)(shu)(shu)據(ju)共(gong)享交(jiao)換(huan)系(xi)(xi)(xi)統(tong)(tong)(tong)(tong)通過RestAPI獲(huo)取到(dao)DB數(shu)(shu)(shu)據(ju)提(ti)供者提(ti)供的(de)(de)相(xiang)關數(shu)(shu)(shu)據(ju)后，該系(xi)(xi)(xi)統(tong)(tong)(tong)(tong)會將(jiang)這些數(shu)(shu)(shu)據(ju)及其相(xiang)應(ying)的(de)(de)數(shu)(shu)(shu)據(ju)屬(shu)性信息提(ti)交(jiao)到(dao)數(shu)(shu)(shu)據(ju)交(jiao)換(huan)安全(quan)處理中心(xin)，該中心(xin)安全(quan)域內部(bu)署(shu)(shu)了兩種數(shu)(shu)(shu)據(ju)安全(quan)處理系(xi)(xi)(xi)統(tong)(tong)(tong)(tong)，一為數(shu)(shu)(shu)據(ju)脫敏(min)系(xi)(xi)(xi)統(tong)(tong)(tong)(tong)，第二為數(shu)(shu)(shu)據(ju)溯源交(jiao)換(huan)系(xi)(xi)(xi)統(tong)(tong)(tong)(tong)。在該安全(quan)處理中心(xin)會對(dui)相(xiang)關的(de)(de)數(shu)(shu)(shu)據(ju)進行數(shu)(shu)(shu)據(ju)脫敏(min)操作和(he)數(shu)(shu)(shu)據(ju)溯源標識(shi)操作。

1)  數(shu)據溯(su)(su)源(yuan)種子植(zhi)入(ru)。該操(cao)作步驟會按照溯(su)(su)源(yuan)種子植(zhi)入(ru)策(ce)略進行(xing)敏(min)感數(shu)據的溯(su)(su)源(yuan)種子植(zhi)入(ru)，處理(li)完成后的數(shu)據將提交(jiao)給(gei)智慧(hui)城市數(shu)據共享(xiang)交(jiao)換系統轉發給(gei)具體的數(shu)據使用者。

2)  數(shu)(shu)(shu)(shu)據(ju)(ju)溯(su)源標識。相(xiang)應的(de)(de)(de)(de)DB數(shu)(shu)(shu)(shu)據(ju)(ju)提(ti)供者的(de)(de)(de)(de)數(shu)(shu)(shu)(shu)據(ju)(ju)將會被打上(shang)知(zhi)識產權標簽(qian)，相(xiang)關(guan)的(de)(de)(de)(de)宿主屬性會無(wu)縫地嵌入到現(xian)(xian)有的(de)(de)(de)(de)數(shu)(shu)(shu)(shu)據(ju)(ju)之上(shang)，并且不(bu)改變(bian)現(xian)(xian)有數(shu)(shu)(shu)(shu)據(ju)(ju)的(de)(de)(de)(de)任何(he)結構，當這種數(shu)(shu)(shu)(shu)據(ju)(ju)進入數(shu)(shu)(shu)(shu)據(ju)(ju)使(shi)用者的(de)(de)(de)(de)時候，不(bu)會影響數(shu)(shu)(shu)(shu)據(ju)(ju)使(shi)用者的(de)(de)(de)(de)使(shi)用，但是(shi)如果(guo)數(shu)(shu)(shu)(shu)據(ju)(ju)使(shi)用者將該(gai)數(shu)(shu)(shu)(shu)據(ju)(ju)泄露給其他(ta)公司或個人(ren)，智慧(hui)城市交換中心可以借助于該(gai)溯(su)源追蹤(zong)平臺進行審(shen)計和跟蹤(zong)，從而實現(xian)(xian)數(shu)(shu)(shu)(shu)據(ju)(ju)的(de)(de)(de)(de)非授(shou)權擴散(san)監(jian)管問題。

    2-大數據安全脫敏系統解決方案

    數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)安全脫(tuo)(tuo)敏(min)(min)系統(tong)采用(yong)(yong)(yong)大數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)分析技術來實現(xian)隱私數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)發現(xian)、數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)提取、數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)漂(piao)白(bai)、測試數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)管理(li)、數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)裝載等功能于一體(ti)的(de)(de)(de)高(gao)性能數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)脫(tuo)(tuo)敏(min)(min)設備。系統(tong)采用(yong)(yong)(yong)專(zhuan)用(yong)(yong)(yong)的(de)(de)(de)脫(tuo)(tuo)敏(min)(min)處(chu)(chu)理(li)算法對敏(min)(min)感數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)進(jin)行(xing)(xing)變形(xing)、屏蔽、替(ti)換、加(jia)密（格(ge)式保(bao)(bao)留加(jia)密處(chu)(chu)理(li)和高(gao)強度加(jia)密處(chu)(chu)理(li)），將敏(min)(min)感數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)進(jin)行(xing)(xing)處(chu)(chu)理(li)后(hou)(hou)屏蔽了原(yuan)有數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)的(de)(de)(de)敏(min)(min)感性，實現(xian)了數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)的(de)(de)(de)隱私性保(bao)(bao)護。同時脫(tuo)(tuo)敏(min)(min)后(hou)(hou)的(de)(de)(de)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)保(bao)(bao)留了原(yuan)有數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)的(de)(de)(de)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)結(jie)構(gou)和數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)的(de)(de)(de)業(ye)務邏輯一致，也能維持脫(tuo)(tuo)敏(min)(min)前后(hou)(hou)的(de)(de)(de)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)(ju)唯一性，如：身份證、銀行(xing)(xing)卡、手機號、IMSI等。使得上層應用(yong)(yong)(yong)無需改變相應的(de)(de)(de)業(ye)務邏輯。

系統(tong)具有(you)(you)流程化(hua)、自動(dong)化(hua)和作業復用等(deng)特(te)點。作為(wei)軟硬一(yi)體化(hua)的設(she)備(bei)，它擁有(you)(you)強大的功能、易于部署(shu)和使用等(deng)特(te)點，開箱即用式的優勢能夠極大減輕工(gong)作人員的工(gong)作強度以及(ji)項目周期。

系(xi)統(tong)對主(zhu)(zhu)流(liu)數據(ju)類型均能友(you)好支(zhi)(zhi)持(chi)。包括支(zhi)(zhi)持(chi)國產關(guan)系(xi)型主(zhu)(zhu)流(liu)數據(ju)庫系(xi)統(tong)Oracle、Informix、SQL Server、DB2、MySQL。國產主(zhu)(zhu)流(liu)數據(ju)庫南大通用GBase、人大金倉(cang)、虛谷(gu)等、非(fei)關(guan)系(xi)型主(zhu)(zhu)流(liu)數據(ju)庫Hive、MongoDB、Redis、Hbase等。

    3-數據庫保密檢查解決方案

    1. 需求

需要用新的技術手段(duan)實(shi)現對數據庫進行高(gao)效(xiao)涉(she)密數據檢查。具體需求如下(xia)。

1)檢查范圍廣(guang)。包(bao)括結構化數(shu)據庫(ku)、非結構化數(shu)據庫(ku)、云計算的虛擬機(ji)和壓(ya)縮文(wen)件、大數(shu)據集群系(xi)統、服務器系(xi)統等

2)檢查(cha)(cha)效率高。需(xu)要(yao)快速(su)對高達100T的(de)(de)數(shu)據(ju)庫進行保密檢查(cha)(cha)，檢查(cha)(cha)效率是傳(chuan)統方(fang)式的(de)(de)100-1000倍

3)檢查(cha)類型多(duo)。需要對(dui)數據庫中(zhong)涉及到(dao)的多(duo)種文本文件（Word、PDF等(deng)）、圖(tu)片文件中(zhong)的數據進行數據敏感性檢查(cha)

4)檢查精度高(gao)。需(xu)要能在海(hai)量數(shu)據庫內容中精準定(ding)位(wei)涉密信(xin)息或(huo)數(shu)據，誤報率低

5)多(duo)種檢(jian)查方法。需(xu)要提供多(duo)種檢(jian)查算法，能(neng)從多(duo)維度(du)定位(wei)目標數據(ju)系統。

2. 功能(neng)概述

系統采用(yong)大數據技術創新(xin)性地用(yong)于(yu)數據庫涉密信息檢查(cha)，能有效達(da)到以下目標。

1)高(gao)效采集(ji)。大數據Sqoop技術實現數據的分布式采集(ji)。

2)高效(xiao)分析(xi)。大(da)數(shu)據MapReduce技(ji)術實現對數(shu)據庫內容(rong)的(de)快速分析(xi)和檢(jian)查(cha)

3)精準定位。結合檢(jian)查專(zhuan)家(jia)庫(ku)，快(kuai)速對政務敏感信息定位，并(bing)能生(sheng)成詳盡的分析(xi)報告

數據庫保(bao)密檢查系統安裝部(bu)署方便，只需要保(bao)證與被檢查數據庫網(wang)絡(luo)可達即(ji)可；出于檢查效率的考慮，建議采用千兆及(ji)以(yi)上網(wang)絡(luo)環境。

一、背景情況
       校(xiao)(xiao)(xiao)園(yuan)網(wang)(wang)絡是(shi)(shi)學(xue)(xue)校(xiao)(xiao)(xiao)為教(jiao)職員(yuan)工和學(xue)(xue)生提(ti)供網(wang)(wang)絡接入，滿足教(jiao)學(xue)(xue)、科(ke)研(yan)、管(guan)理(li)服務需求的(de)信息(xi)化基(ji)礎設(she)施，包(bao)括(kuo)有線(xian)寬帶(dai)網(wang)(wang)絡、無線(xian)局域網(wang)(wang)絡和移動通(tong)信網(wang)(wang)絡，因此提(ti)高(gao)高(gao)等學(xue)(xue)校(xiao)(xiao)(xiao)網(wang)(wang)絡管(guan)理(li)和服務質量，提(ti)升(sheng)校(xiao)(xiao)(xiao)園(yuan)網(wang)(wang)絡用戶上網(wang)(wang)體驗，保障校(xiao)(xiao)(xiao)園(yuan)網(wang)(wang)絡安(an)全是(shi)(shi)當前教(jiao)育(yu)行業(ye)的(de)重要工作。對(dui)于學(xue)(xue)校(xiao)(xiao)(xiao)而言，維護校(xiao)(xiao)(xiao)園(yuan)網(wang)(wang)絡安(an)全，是(shi)(shi)保障教(jiao)育(yu)教(jiao)學(xue)(xue)正常開展的(de)基(ji)礎性工作，也是(shi)(shi)構建新時(shi)代育(yu)人(ren)環境的(de)重要工作。

二、安全分析
1.校園各類信息服務系統的數據安全。由于校園內各種二級、三級域名系統管理相對分散，針對各類漏洞風險可能會存在安全維護不及時等問題。這會導致部分網站或信息系統存在被拖庫、竄改等風險，從而導致師生的各類敏感信息泄露。
2.校園網絡、移動通信網無線接入安全。由于校園網絡中WiFi（行動熱點）接入點眾多且大多采用802.1x（一種訪問控制和認證協議）方式，人員密集使其成為具有較高價值的攻擊目標，因此存在大量的偽熱點、基站試圖竊取用戶敏感賬號信息，進行釣魚欺詐等。
3.校園信息系統中輿情內容安全（不良信息及言論的傳播）。由于大學生初步掌握了各種獲取信息的工具，可以輕易接觸到色情、暴力、反動等不良信息，這會影響其人生觀、世界觀的形成和發展。
4.學校網(wang)(wang)(wang)絡(luo)安(an)(an)全管(guan)(guan)理制度(du)存在不(bu)足。學校內計算機和網(wang)(wang)(wang)絡(luo)已經普及(ji)，需要(yao)學校對網(wang)(wang)(wang)絡(luo)安(an)(an)全加以(yi)重視，并(bing)建(jian)立完善的(de)管(guan)(guan)理制度(du)。但是，學校還沒(mei)有認識(shi)到網(wang)(wang)(wang)絡(luo)安(an)(an)全的(de)重要(yao)性，且考慮(lv)不(bu)全面(mian)(mian)，建(jian)立的(de)管(guan)(guan)理制度(du)存在不(bu)足；同時，沒(mei)有對管(guan)(guan)理人員進(jin)行專業技術和職(zhi)業素養方面(mian)(mian)的(de)培訓，影響網(wang)(wang)(wang)絡(luo)安(an)(an)全管(guan)(guan)理效率與(yu)質量。

三、教育行業系統安全防護解決方案
網絡層面：關注安全域劃分、訪問控制、抗拒絕服務攻擊，針對區域邊界采取隔離手段，并在隔離后的各個安全區域邊界執行嚴格的訪問控制，防止非法訪問，利用漏洞管理系統、網絡安全審計等網絡安全產品，為客戶構建嚴密、專業的網絡安全保障體系。
應用層面：WEB應用防火墻能夠對WEB應用漏洞進行預先掃描，同時具備對SQL注入、跨站腳本等通過應用層的入侵動作實時阻斷，并結合網頁防篡改子系統，真正達到雙重層面的“網頁防篡改”效果。
數(shu)據(ju)層(ceng)面(mian)：數(shu)據(ju)庫(ku)將被隱藏在安(an)(an)全(quan)區域，同(tong)時通過專業的安(an)(an)全(quan)加固服務對數(shu)據(ju)庫(ku)進行安(an)(an)全(quan)評(ping)估和(he)配置(zhi)，對數(shu)據(ju)庫(ku)的訪(fang)問權(quan)限進行嚴格設定，最大限度(du)(du)保證數(shu)據(ju)庫(ku)安(an)(an)全(quan)。同(tong)時，有效保護重要數(shu)據(ju)信息的健康度(du)(du)。

一、背景情況
       醫(yi)療(liao)衛生(sheng)行(xing)業的健康發展，直接(jie)關(guan)系(xi)(xi)到民生(sheng)問題。隨著醫(yi)院信息(xi)化(hua)建(jian)設的逐步深(shen)入，網(wang)上業務(wu)由單一到多元化(hua)，各類應用系(xi)(xi)統數(shu)十個，信息(xi)系(xi)(xi)統承受的壓力(li)日(ri)益增長，醫(yi)院信息(xi)系(xi)(xi)統已(yi)經成(cheng)為醫(yi)院正常運行(xing)不(bu)可或(huo)缺的支(zhi)撐環境和工作平(ping)臺。醫(yi)院業務(wu)系(xi)(xi)統作為我國重要的關(guan)鍵信息(xi)基礎(chu)設施，是(shi)黑(hei)客的重點攻(gong)擊對象，醫(yi)療(liao)行(xing)業網(wang)絡攻(gong)擊事(shi)件層出不(bu)窮。因此，建(jian)設完善的網(wang)絡安全防御體系(xi)(xi)，落實醫(yi)院網(wang)絡安全等級化(hua)建(jian)設工作勢在必行(xing)。

二、安全分析
       近年來，各類勒索病毒、挖礦病毒、黑客木馬等自動化攻擊程序的出現和持續增加，如何快速有效的解決醫院資產全生命周期閉環管理，完成安全合規的落地化工作并盡量少地影響醫院核心臨床應用，也成為當前醫院面臨的嚴峻安全挑戰之一。

三、醫療行業安全防護解決方案
●安全物理環境
依據《信息安全技術-網絡安全等級保護基本要求》中的“安全物理環境”要求對對機房進行整改建設。
●安全通信網絡
安全通信網絡從網絡架構、通信傳輸和可信驗證三個方面進行設計和安全防護。
保證網絡設備的業務處理能力滿足業務高峰期需要；
關鍵業務區和管理區采取可靠的技術手段與其他區域進行隔離；
重要數據的通信傳輸采取加密措施；
●安全區邊界
根據業務網絡實際情況，在內網區和外網區的邊界部署安全隔離設備，保證HIS、LIS等系統面臨的APT攻擊、非法外聯/違規接入網絡等安全威脅進行有針對性的安全控制。
針對數據的傳輸、使用和存儲等過程，使用數據加密傳輸、數據脫敏等措施，保護醫院重要數據資產的安全。
●安全計算環境
安全(quan)計算(suan)環境防(fang)(fang)護(hu)建設主(zhu)要通過主(zhu)機加固、入侵防(fang)(fang)范、漏洞掃描、惡意代碼防(fang)(fang)護(hu)等(deng)多種(zhong)安全(quan)機制實現。