中国疾病预防控制中心等保建设

中国疾病预防控制中心(以下简称国家疾控中心)，是由政府举办的实施国家级疾病预防控制与公共卫生技术管理和服务的公益事业单位，隶属于国家健康委。国家疾控中心高度重视信息化建设，经过多年建设形成三大类应用，涵盖全国各级国家疾控中心重要业务的大型信息网络。2011年，国家疾控中心在昌平新址重新构建了网络、安全系统及配套基础设施，并进行了等级保护的相关检查与测评，根据检查结果，2012年国家疾控中心实施了相关的整改工作。

用户需求

国家疾控中心网络安全建设项目的目标非常明确，就是通过引入综合性的安全设备，在防护能力上使国家疾控中心信息系统达到等级保护三级要求的高度，同时也为国家疾控中心重要的业务信息系统提供完善的保障，提升系统的访问控制、对抗攻击、防范恶意行为的能力。

从符合等级保护，和保障业务连续性要求的两个角度，国家疾控中心提出了如下的安全需求：

• 综合安全防御：

等级保护的网络安全建设内容涉及网络结构安全、网络控制、网络审计、入侵防御、恶意代码防范等多条要求，为此需要引入多种安全技术，更多地覆盖上述建设要求。

• 保障业务安全性

国家疾控中心免疫规划信息系统是国家疾控中心的核心应用，面向全国各级疾控业务工作人员，实现关键业务的操作。免疫规划信息系统对业务连续性、安全性的要求很高，需要采取综合性的防御技术进行保障，确保国家疾控中心正常业务的开展；

• 提升系统对异常的检测能力

通过持续化的安全检测与流量监测手段，对国家疾控中心业务活动状态进行实时监测，并对异常能够快速报警；

• 监控员工上网行为

对国家疾控中心业务人员访问互联网的行为进行有效管控，限制访问非法网站，并对互联网的攻击、病毒等行为实施阻断，保障受控上网；

解决方案：

根据国家疾控中心在满足等级保护要求，保障业务安全，控制上网行为等层面的需求，山石网科进行了详尽的沟通与设计，采用具有多种安全防护功能的山石网科下一代防火墙，分别作用在国家疾控中心关键业务服务器的边界，以及国家疾控中心互联网边界，实现综合性的防护，在网络安全层面满足等级保护的相关要求，同时严密的安全防护功能也保障了关键业务的安全性，以及国家疾控中心员工访问互联网的合规性。

在国家疾控中心信息网络中，山石网科下一代防火墙部署在两个位置：其中两台山石网科下一代防火墙被部署在免疫规划信息系统的服务器区域边界，综合启用防火墙、入侵防御、病毒过滤、VPN等功能，保障关键的业务安全性；另外两台数据中心防火墙被部署在国家疾控中心互联网出口，重点对员工上网行为进行有效监控，启用深度识别防火墙、URL过滤、病毒过滤、入侵防御等功能，杜绝员工的非法上网访问。

运行效果

山石网科下一代防火墙被部署在国家疾控中心关键业务节点后已运行至今，设备运行状态稳定，提供的各类安全报表也符合了国家疾控中心安全运维的要求，同时系统支持的各种功能，为国家疾控中心的安全防护发挥了积极的作用，在等保检查中，也被监管部门认可能够达到相关政策要求。