需求分析：

       2007年公安部等四部委联合出台了《信息安全等级保护管理办法》，该文件是在开展信息系统安全等级保护基础调查工作和信息安全等级保护试点工作基础上，由四部委共同会签印发的重要管理规范，主要内容包括信息安全等级保护制度的基本内容、流程及工作要求，信息系统定级、备案、安全建设整改、等级测评的实施与管理，信息安全产品和测评机构选择等，为开展信息安全等级保护工作提供了规范保障。
2009年，在全国信息系统安全等级保护定级工作基础上，公安部又印发了《关于开展信息安全等级保护安全建设整改工作的指导意见》，开始部署开展信息系统等级保护安全建设整改工作。2009年下半年公安部组织各部委和各行业开展了信息安全等级保护安全建设整改工作的集中培训，明确了我国信息安全等级保护安全建设整改工作的工作目标、工作对象、工作内容和要求，并对具体的工作流程和工作方法提出了指导意见。要求各行业利用三年时间，通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评等三项重点工作，落实等级保护制度的各项要求。


解决方案:

安全隔离与信息交换系统

        通过在部署一套网闸设备，在完全物理隔离的基础上实现有限的信息交换。网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议"摆渡"，且对固态存储介质只有"读"和"写"两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使"黑客"无法入侵、无法攻击、无法破坏，实现了真正的安全。

网络物理隔离与实时数据交换

        中网物理隔离网闸X-GAP由外部主机系统、内部主机系统和数据交换开关系统组成，网闸外部主机系统的网络端口连接外部不可信网络，网闸内部主机系统的网络端口连接内部可信网络。正常情况下，隔离网闸设备X-GAP的双主机系统之间是完全断开的，内部主机系统与外部主机系统是通过数据交换开关系统来交换信息和数据的，数据从一端发起传输时，先写入数据交换开关系统的中间存储介质，再由存储介质写入另一端。这个过程没有网络连接，没有网络通信协议，传输的是应用层之上的数据，是“裸”数据。因此，除了代理允许的应用层数据外，其他从外网发起的基于网络协议的攻击入侵都被外部主机系统的代理和开关系统屏蔽掉。从而确保内部可信网络是安全的，是不能被攻击的。

简单文件交换和数据库交换服务

       文件交换服务是隔离网闸X-GAP提供基本的数据交换服务，数据库交换服务是隔离网闸通过定制TCP/UDP来提供的。X-GAP8200提供文件交换服务和数据库交换服务。医院办公网与外联网的信息交换就是通过物理隔离网闸X-GAP8200的文件交换和数据库交换功能来实现，在X-GAP8200安全策略配置中，采用单向数据流向控制，使外联网能够将数据以文件或数据库的方式传递到内部业务网的指定主机和服务器，而内部业务网也能将数据通过文件或数据库的方式传递到外联网的指定主机和服务器。根据客户的需要，可以在安全策略中对于要交换的数据文件类型、大小等进行控制，也可以将有关业务数据转化为文本文件或表单数据，以文件摆渡的方式来实现隔离网络环境下医院办公网与外联网的实时交换。

抵御DoS/DDoS攻击

        隔离网闸X-GAP为用户提供了各种信息交换服务之后，在网闸X-GAP系统内核需要加入抗DoS/DDoS攻击的机制，以避免网闸X-GAP外部主机系统遭到消耗资源的攻击。一种攻击是类似于Synflooding的不建立正常连接的攻击，这类攻击只是造成网络堵塞；另外一种攻击是建立正常连接但是不正常收发数据的攻击，这类攻击可能会把网闸X-GAP外部主机系统的资源耗尽，影响网闸的正常工作和服务。网闸X-GAP的抗DoS/DDoS攻击机制着重要解决第二种攻击行为，具体措施是建立在统计发起连接的源地址、连接次数、速率以及假设应用的连接速率和数量不会超过一个阈值上，由此而有效抵御这类攻击，确保网闸X-GAP能过在任何攻击的情况下都能够保持正常、有序的信息交换服务。

内容过滤安全

        物理隔离网闸X-GAP保证了内部网网络与外部网络之间网络协议的隔断，也就是IP包数据不能穿透，但是依然会有应用层数据在隔离的网络之间流动。加入了对应用层数据的内容过滤，才能保证内网安全的完整性。内容过滤在网闸可信端内部主机系统上完成，是建立在代理应用层数据缓存的基础上实现的。内容过滤的步骤依具体的应用协议而定，一般的，先检查协议头，再检查命令，内容…。内容过滤主要是过滤掉恶意代码和恶意命令，限制应用协议命令集的使用。例如，医院办公网系统可以根据自己的实际业务情况，设置一些关键词，实施交换数据流的内容控制，提供最高的数据安全交换机制。

 终止信息交换和应用代理服务

        物理隔离网闸X-GAP设备的内外网主机系统虽然与两个网络相连接，但是由于网闸X-GAP设备的内外网主机是断开的，不相连接的。当医院内网系统不需要与外联网或互联网络发生信息交换和访问服务时，可以直接使用网闸X-GAP的“系统关闭”功能，不需要关闭网闸X-GAP电源，就可以终止网闸X-GAP所提供的所有信息交换和应用代理服务，此时两个网络是物理断开的、没有通信、没有信号交流，与这两个网络没有任何物理连接一样的安全。当需要重新启动网闸X-GAP的信息交换和应用代理服务时，可以利用X-GAP的“系统重启”功能。医院内外网络是要求物理隔离的，在需要交换信息数据时才开启网闸的服务功能，这样就能够很好地确保医院内部网络的安全。此时网闸X-GAP就好比是隔离两个房间的门，当需要人穿过时才打开这扇门，其余情况下都是关闭的，两个房间是隔绝的。

查杀病毒

        在医院内外网之间交换信息和访问服务时，查杀病毒是不可缺少的步骤。网闸X-GAP可以选配业界领先防病毒厂商的防病毒模块，在交换数据阶段和处理数据阶段对进出X-GAP系统的数据文件进行查杀病毒，对文件病毒的检查可以指定文件类型、匹配数据、文件大小、分离邮件和附件、检查脚本信息等，一旦发现病毒信息就会对该数据文件进行拦截，确保及时对各种病毒和木马程序进行截杀，有效保证传输数据的安全。

身份认证和权限管理

        在医院内外网之间实现交换信息和访问服务是特殊需要，对所有使用者和管理人员进行严格的身份认证是非常必要的。另外，要保护高安全性要求的网络免受来自各种不可预见的攻击和破坏行为，也要求必须进行严格的身份认证管理。网闸X-GAP系统能够对可信网络的使用者、操作者、管理员进行严格的身份鉴别，确定其身份、授权和审计。可以根据不同的用户或用户组来分配安全策略或权限，这些安全策略可以根据具体应用服务、传输目标、单向访问、双向访问、传输时间等进行设置。因此系统管理人员可以根据使用者的职能设置不同的用户组，赋予不同的权限，对网闸X-GAP的使用落实到人，责权利明细，避免内部人员冒充他人身份滥用情形的发生。

日志和审计

        对所有网闸X-GAP系统的用户和事件进行详细的日志和审计管理，是医院日志管理人员需要认真处理的一项工作。网闸X-GAP具有完备的日志和审计管理功能，对所有事件和所有用户的操作行为均有详细记录，并提供完善的日志凭证。医院系统管理员可以对运行的X-GAP系统进行详细的信息审计，纠察任何可疑行为,特别是对从外网访问内网数据库的行为要重点纠察，发现任何可疑行为及时报警。网闸X-GAP包含了外部主机系统日志、内部主机系统日志、各种应用和信息交换功能模块日志、以及详细记录配置管理员的操作过程、配置日志等。鉴于医院系统内网的重要性，发现问题便于及时跟踪和防范，日志管理人员应当对这些日志信息及时下载、分类和管理，产生详尽的审计报告，发现问题及时纠正，从而为网闸X-GAP的使用构筑了最后的安全堡垒。