准入控制解决方案报告书

1、 准入控制解决方案 山东华软金盾软件股份有限公司二零一六年十月目录 TOC o 1-3 h z u HYPERLINK l _Toc463700419 一、行业背景 PAGEREF _Toc463700419 h 2 HYPERLINK l _Toc463700420 二、需求分析 PAGEREF _Toc463700420 h 2 HYPERLINK l _Toc463700421 1.终端入网缺少身份认证 PAGEREF _Toc463700421 h 2 HYPERLINK l _Toc463700422 2.服务器的准入保护 PAGEREF _Toc463700422 h 3 HYPE

2、RLINK l _Toc463700423 3.网络访问管理粗放 PAGEREF _Toc463700423 h 3 HYPERLINK l _Toc463700424 4.终端远程维护 PAGEREF _Toc463700424 h 3 HYPERLINK l _Toc463700425 三、解决方案 PAGEREF _Toc463700425 h 3 HYPERLINK l _Toc463700426 1.入网身份认证 PAGEREF _Toc463700426 h 3 HYPERLINK l _Toc463700427 2.入网准入控制 PAGEREF _Toc463700427 h 4

3、 HYPERLINK l _Toc463700428 3.网络可访范围划域控制 PAGEREF _Toc463700428 h 4 HYPERLINK l _Toc463700429 4.全面运维管理 PAGEREF _Toc463700429 h 5 HYPERLINK l _Toc463700430 四、方案价值 PAGEREF _Toc463700430 h 5 一、行业背景近年来，随着信息化网络的不断建设，各医院基本都已建立了完善的业务网络。随着信息化工作由基础建设转变为网络安全建设，信息安全工作逐渐受到各医院的广泛关注。如何保证医院网络资源的安全使用，如何保障项目资料的安全妥善保存，

4、如何打造一个合法合规的高效、安全的网络使用环境，是对医院行业信息安全领域提出的新课题。随着信息化的不断发展，入网随意、各种文件发送手段层出不穷，医院网内突出的安全问题转变为网络随意接入拷贝数据有意或无意造成的泄密问题，如何有效解决数据泄密问题成为业内亟需解决问题。二、需求分析终端入网缺少身份认证现阶段大多数医院业务网络搭建已相对完善，各种业务服务器能够在网内高效稳定的运行，但是，网络的建设一直重视的是对业务系统的建设及外网黑客的攻击防护，对于外来人员到达单位后随意插网线入网无认证的现状是普遍缺少针对措施的。在某些网络内，网络管理人员可能通过可网管交换机的MAC地址认证功能做了简单的网络入网认证

5、，但是此种方式存在MAC地址易被冒用、入网后缺少后续的控制等是没有有效的控制方法的，医院网内亟需一套完善的准入控制、身份认证产品，不仅能对终端进行入网的身份认证，还须具备身份防冒用、入网后的持续监管控制等功能。服务器的准入保护医院网内的重要服务器缺少访问控制的保护功能，无法禁止外来人员私自接入后对服务器的非授权访问，无法保护网内核心的业务系统数据不被未经授权的访问。 网络访问管理粗放网内的不同部门工作时操作的业务数据不同，特别是有些较敏感部门的数据其他部门整个工作流程中都是不需要访问的，例如财务服务器。现网内比较普遍的现象是，当一台服务器可以访问其业务服务器（例如财务数据）时，其他的与其工作无

6、关的其他部门的业务服务器（例如文件共享服务器）也是能访问的，这时，就存在业务数据服务器交叉访问带来的数据泄密风险。终端远程维护医院内部科室众多，人员众多，且分布在各个楼层间，特别是年龄较大的设计师对于计算机的接受能力较差，往往需要网络管理人员到终端电脑前进行实际操作，这是一项非常繁琐的工作。如何提高网络管理人员的运维效率，将管理人员从繁重的运维工作中解脱出来，是医院网络维护工作急需解决的问题。三、解决方案入网身份认证通过金盾CIS服务器的身份认证、准入控制功能，可以对入网终端的网络访问行为进行监视并过滤，禁止非法终端的服务器访问情况，只有身份认证通过的终端才能继续进行下一步的入网安全状态评测；

7、身份认证时，为防止对合法终端的非法冒用，金盾CIS产品客户端安装时，会为每台终端生成一个全球唯一的标识（ID），即非法终端即时仿冒了合法终端的MAC、IP、计算机名等信息，依然无法入网，有效防止了冒用入网的问题；入网准入控制入网终端进行身份验证通过后，CIS客户端软件可以对入网终端的安全状态进行检查，包括检查是否安装杀毒软件、是否禁用Guest账户等涉及系统运行安全的项目，检查通过的终端才能访问关键服务器；终端身份认证及评测合格后，金盾CIS系统对终端电脑施加安全策略，包括下发加密策略、禁止使用USB接口、禁止连接WIFI上网、违规变化报警等功能，通过一系列的安全规范策略，提高业务终端电脑的整

8、体安全性；施加安全策略：终端身份认证及评测合格后，金盾NACP对终端电脑施加安全策略，包括禁止使用USB接口、禁止连接WIFI上网、资产变化报警等功能，通过一系列的安全规范策略，提高业务终端电脑的整体安全性；网络可访范围划域控制网络访问范围控制：金盾网络准入控制产品提供用于细分网络访问权限的内网安全域功能。终端合规入网后，通过内网安全域功能，可以将物理互通的网络划分为N个不同的网络范围，将每个网络内终端可以访问的范围进行细化授权控制，从而避免对无关业务的服务器访问可能带来的泄密风险。例如，可以将网络划分为财务域、共享域，这样划分后，财务域内的电脑之间可以正常互访及访问财务服务器数据，但是无法与

9、共享域内的终端或服务器通信，反之亦然。通过安全域的设置细化了网络访问范围，从而有效避免了网络交叉访问可能带来的违规访问泄密风险；全面运维管理网络管理员可以远程接管终端电脑的鼠标、键盘输入及屏幕显示，远程对终端电脑进行维护操作，达到与现场操作相同的维护效果。可对当前网内终端的软硬件信息、硬件维修情况进行详细的汇总，提供可视化分析视图，协助运维人员进行资产信息的详细记录分析。支持远程修改IP的地址、远程协助、文件分发、消息通知、终端维修记录等快速运维管理功能。对内网中终端计算机的安全漏洞进行自动扫描和及时更新，协助管理人 员进行补丁的分发和补丁管理。四、方案价值实现对网络内所有用户进行严格的入网身份认证功能，杜绝非法用户的随意接入，实现入网安全规范化管理。实现了对服务器的安全访问保护，有效杜绝未经允许的对服务器的资源随意访问。实现对网络接入终