医疗行业统方问题解决方案Norhv

医疗行业统方问题解决方案NorthPan-CommercialSETeamPresenter’sTitleHere医院“统方”第一案海宁市人民医院信息科主要负责电脑硬件、软件和网络等管理工作从2004年开始每月向药品经销商沈某提供医院保密的统方资料受贿14万多元王力回扣门2010年5月，宁波市第一医院部分医生受贿清单被曝光；2010年11月，杭州6家医院和一家名为“泰瑞医疗”的医药公司的回扣交易内容被曝光医院回扣清单曝光卫生部：严禁医院为商业目的“统方”对于违反规定，未经批准擅自“统方”或者为商业目的“统方”的，不仅要对当事人从严处理，还要严肃追究医院有关领导和科室负责人的责任。卫生部：“统方”途径——来自万能的网友统方信息泄露途径医生工作站等终端进行非授权统计药房等具备统计权限的用户被冒用外来计算机通过黑客手段获取网络的用户信息统方数据被传出计算机（打印、拷贝、邮件）外部人员私自通过查询数据库的方式进行统计如何防范统方信息泄露如何防止终端用户滥用这个信息（打印、拷贝、外发）如何控制其他人员入网使用这些信息如何从系统和应用软件上规范用户权限管理（例如只有固定的用户有权做这种操作，他们的密码受控）如何追踪数据库操作确定发生的具体情况如何将上述各项安全措施的日志做综合分析，以便不断改进监控策略统方信息防泄漏关键点客户端控制服务器端控制事后审计安全建设建议流程事后审计证明有效性并判定趋势查询报告收集记录关联分析加固安全状态防止问题发生

Anti-malwareFirewallHIPSApp.Ctrl.DeviceCtrlLAN准入网关准入自我强制P2P控制DHCP准入桌面虚拟化应用程序虚拟化终端安全网络准入虚拟化事先防范管理控制并解决问题零日攻击违规操作入侵防护…数据防泄密事中控制安全性防护监控预防发现保护端点控制信息中心信息管理防范统方信息泄露解决方案终端控制终端权限控制（AD、Token、VeriSign）终端防护（SEP）终端准入控制（SNAC）标准化集中控管（AltirisCMS）工作区虚拟化（SWC/R）数据中心控制服务器加固（SCSP）信息管理信息防泄露（DLP）安全管理及审计（SSIM）终端控制终端权限控制制为何终端权权限控制使用者私自自修改IP地址使用者私自自安装软件件，威胁到到整个网络络安全使用者随意意添加硬件件使用者随意意关闭或卸卸载安全防防护软件使用者使用用迅雷等下下载工具，，阻碍网络络的正常工工作。……如何进行终端端权限限制制PresentationIdentifierGoesHere14对客户端用用户重新授权收回客户端端管理员权权限终端防护为何需要终终端防护病毒木马黑客恶意程序防病毒/防间谍软软件入侵防护(主机)防火墙设备控制主侵防护(网络)应用程序控控制终端防护Symantec防病毒与先先进的威胁胁防护技术术结合起来来单一的解决决方案提供供终端安全全防护单代理、单单控制台结果:降低了成本、复杂度，

减少了风险的暴露增强了保护、

控制和管理性防病毒防间谍软件防火墙(主机)入侵防护设备控制应用控制(网络)入侵防护终端准入控制制避免事后处理屏蔽不安全接入入规范接入行为铲除威胁源头从纸面的管管理口号到到技术上的的策略遵从从传统的方法通告红头头文件邮件电话通知管理规规章制度度罚款通通报批评策略

制定策略

执行身份认证安全认证准许接入终端接入失败修复周期检查拒绝或隔离Symantec的方法

检测终端接入第2步Enforce针对策略略检查配配置的遵遵从性第3步✗Monitor

持续监控，遵守当前的策略第5步Remediate基于策略略检查的的结果采采取措施施第4步

定义策略第1步üDiscover准入控制制能干什什么谁可以进进入服务务器网访问哪台服服务器访问什么端端口(应用)桌面运行什什么程序序访问特特定端口不能获取什什么数据23准入控制御“毒”于网络之外第1关外设控制监管所有I/O端口第2关双向防火墙监管所有网络通讯第3关NIPS和HIPS发现并阻止入侵行为第4关主动防御技术发现各种未知的安全风险第5关传统实时防护检测并清除恶意程序第6关系统加固修补漏洞提高安全性第7关紧急事件响应迅速应对减少损失第8关终端标准化化集中管管理乱资产合约部署配置补丁软件升级帮助台分析监视事件问题变更发布远程维护报告备份恢复标识迁移服务等级ITLifeCycleManagement过渡和

迁移远程帮助和故障排除监控和跟踪业务连续性保障补丁程序

管理映像制作

部署和配置应用程序

打包和质量保证软件管理

和虚拟化报废采购准备生产客户端

查询和清单支持不同同种类的的平台资产管理理客户端和移动用户管理理Network资产部署NetworkDevicesSite监控Windows资产部署补丁管理软件分发打包工具应用软件管理理远程控制Windows网管服务器监控备份与修复UNIX/Linux资产部署补丁管理2软件分发Windows网管3服务器监控备份与修复2Macintosh资产补丁管理2软件分发2Windows资产部署补丁管理软件分发打包工具应用软件管理理远程控制Windows网管个性化迁移应用测量备份与修复Handheld资产部署软件分发2打包工具服务器管理资产应用软件固定资产条形码合同管理TCO管理帮助台工作区虚拟化化虚拟化对于重要的业业务和应用，，建议通过虚虚拟化桌面或或虚拟化应用用程序来进行行使用。所有应用计算算都在后台服服务器上进行行，所有数据据也存放在服服务器上。隔离终端对关关键业务和关关键数据的访访问，降低数数据的使用风风险解决应应用用由由于于权权限限不不足足的的兼兼容容性性问问题题降低低数数据据泄泄漏漏风风险险。。建议议通通过过SymantecSWC/R来实实现动态态工工作作区区管管理理PresentedAppsand/orDesktopsTaskworkersSharedcomputeVirtualdesktopsHighsecurityDedicatedcomputingVirtualPCsPowerusersThinclientaccessRichClientPCProfessionalsHighgraphicapplicationsSAN/StorageCommonstoreSecuredataBackedupRichClientPCMobileworkersFrequentlydisconnectedTerminalServerProfilesApplicationsDesktopHypervisorProfilesApplicationsDesktopPCBladeProfilesApplicationsDesktopDesktopProfilesApplicationsDesktopLaptopProfilesApplicationsDesktopStorageData(Profiles)HypervisorPCBladeDesktopLaptopTerminalServerStorage硬件和基础架架构(混合架构)CitrixorMicrosoftorAltiris,etc.VMwareorMicrosoftorSun,etc.SymantecorNetApporEMC,etc.AltirisorMicrosoftorDellorHP,etc.AltirisorMicrosoftorDell,etc.AltirisorMicrosoftorDell,etc.一致的动态工工作区自动的工作区区控制用户设备位置置Managedby:WorkspaceCorporateSymantecEndpointVirtualizationSuite桌面应用配置数据数据中心控制制服务器加固如何阻截已经经射出的子弹弹？SymantecCriticalSystemProtection维持系统的策略略依从加固系统入侵检测入侵防护减少管理复杂杂程度提升产品的的管理能力力防止零日攻击击加固日志系系统,日志转发,和日志监控控对无法立即即安装补丁丁程序或锁锁定的系统统提供防护护企业级的报报表功能通过简单，集集中的策略略创建管理理系统降低低企业用于于资产保护护的成本目的提供怀有恶意的内内部用户攻攻击系统未知攻击针针对:内存文件系统注册表操作系统应用终端用户违背背企业安全全策略预防核心HIS、LIS服务器安全全加固医院HIS、LIS服务器安全全极为重要要，一旦HIS、LIS有安全风险险，造成的的后果不仅仅仅是数据据丢失，而而且会造成成医院业务务可用性故故障。加固HIS、LIS等核心服务务器的安全全，避免服服务器受到到恶意内部部或者外部部人员的攻攻击。避免免由于攻击击行为而造造成数据的的泄露和服服务器的停停顿。考虑到医院内内有很多的的维护供应应商，包括括软件的和和硬件以及及业务维护护人员。这这些人员经经常会进入入到机房甚甚至操作服服务器。这这些人员无无意思的操操作风险或或者有意识识的渗透都都会造成数数据泄密和和服务器停停顿的风险险。需要监监控这些些人员在服服务器上的的操作，并并在他们执执行危险操操作时阻止止他们SCSP关键系统多多重防护功功能NetworkProtection(HostIPS)

ExploitPrevention(HostIPS)SystemControls(HostIPS)Auditing&Alerting(HostIDS)SymantecCriticalSystemProtection限制应用和和操作系统统的行为阻止缓冲区区溢出攻击击检测零日攻攻击减少系统宕宕机时间操作系统加加固监控日志和和安全事件件归并并转发发日志到SSIM平台智能事件响响应阻止后门限制应用程程序的网络络连接限制进出流流量主机防火墙墙功能默认策略即即可有效保保护系统锁定系统配配置和设定定注册表保护护文件系统保保护强制遵从安安全策略限制用户的的权限限制移动存存储设备行为监控内内容未授权的系系统配置更更改未授权的管管理权限更更改及滥用用用户登录、、退出，和和失败登录录操作命令和和参数重要文件未未授权访问问、更改变更内容注册表的更更改（针对对Windows平台)……PresentationIdentifierGoesHere38信息控制PresentationIdentifierGoesHere39信息防泄露露信息泄露的的状况：产产生->传输->使用的全过过程信息泄漏环境境信息外发和活活动监控存储发现和信信息整理邮件外发、上上网第三方数据库交流移动媒体端点监控木马文件服务器信息防泄漏从3方面来考虑信信息泄露风险险，保障企业业核心信息安安全由于统方信息大大多情况是通通过个人的终终端传递出去去，我们首先先需要考虑的的问题是，监监测存放在终终端上的医院院敏感信息的的复制、打印印、刻录、邮邮件等行为，，通过警讯提提醒医务人员员风险操作。。并在需要的的情况下实时时阻止这些泄泄密行为考虑到医院内部部通过网络的的通信途径比比较多，在网网络层监测信信息使用者敏敏感信息传递递过程协议监监控，包括email,web,IM,FTP,PTP等。避免通过过网络将信息息传递出去所有的统方数据据都通过HIS服务器获得，，通过DLP监控医务人员员对于HIS服务器的数据据查询，及时时发现统方查查询和数据获获得情况。并并建立事件及及时报警和审审计。建议通过SymnatecDLP解决方案来达达到目标PresentationIdentifierGoesHere42医疗行业信息息防泄漏需求求针对HIS系统服务器上上的数据查询询分级审计进进行数据泄密密的监控针对IT系统中所有导导出的数据进进行数据防泄泄密的监控针对医疗一些些关键性报表表进行数据防防泄密的监控控对以上监控数数据客户端要要求阻断功能能Symantec龙湖集团DLP项目测试报告告43DLP项目总体目标标通过DLP产品重塑企业业内部审计流流程，符合医医疗行业CFO、内审、IT基础架构对信信息防泄漏体体系的要求通过医疗DLP项目提升医疗疗系统IT信息化建设信信息安全等级级，提升医院院形象。通过医疗DLP项目，站在更更高的角度上上审视医疗行行业信息安全全，完善信息息安全基础架架构，为业务务系统提供更更安全的保障障Symantec龙湖集团DLP项目测试报告告44以保护“信息”为核心最佳实践定义敏感信息息监视这些数据据如何被使用用建立防泄漏的的管理机制和和流程提升整个医院院对信息安全全管理的参与与度将信息安全管管理上升到业业务风险管理理的高度45把业务部门引引入安全管理理的最佳“切入点点”：识别风险监控审计监控信息泄漏风险管理解决方案控制CD/DVD笔记本电脑电子邮件及时消息数据库File服务器USB设备终端网络存储防泄漏

策略监控

&预防发现&保护Web邮件Web/ftp服务器由下属部门的主管组成负责制定战略方向，扩大覆盖范围，设定风险防范机制目标，监测标准。确保优先权正确，资源充足，业务单位正在进行数据监测。CISO,CIO应当带领指导委员会，推动业务部门参加数据指标的监控，对事件进行补救，并增减政策规定。统筹管理委员会风险管理部门IT部门业务部门负责DLP系统的管理负责维护系统功能和性能，配置和管理策略、响应规则、用户、角色、工作流系统优调和扩展，监测运行指标负责部门内的事件管理一般风险由部门自己管理高危风险需上报总部风险管理部门定期提交所属部门风险统计数据

负责上报事件和统计数据的管理风险管理部门给出明确的风险等级定义明确哪个等级的事件必须上报管理上报事件，进行调查和取证定期按统计数据进行排名，排名结果记入KPI指标必要时，启动紧急响应流程。联系公关部门，外部法律机构减小或消除负面影响理念方案方法论结合实际的最最佳实践Symantec龙湖集集团DLP项目测测试报报告Symantec可以帮帮助您您…如何来来防止止数据据泄漏漏？发现监控阻止数据在网络中如何流动？敏感信息在什什么位位置?DATALOSSPREVENTION(DLP)DLP工作原原理PresentationIdentifierGoesHere47管理管理发现识别扫扫描目目标运行扫扫描以以发现现网络络及端端点上上的敏敏感数数据data启用或或自定定义策策略模模板补救并并报告告风险险降低低监控123保护45检查发发送的的数据据外设检检测监控网网络与与端点点事件件禁止、、删除除或加加密隔离或或复制制文件件外设控控制通知员员工及及其经经理文件密密级划划分（（绝密密、机机密、、秘密密、公公开））PresentationIdentifierGoesHere48在做DLP项目之前最最好通过内内审对医院院涉密数据据统计分析析，形成了了量化需求求。医院内审需需求通过IT信息防泄漏漏软件执行行达到高层对对信息安全全的要求报表识别(正则表达式式方式识别别)统方统计表表识别序号\s{1,10}科室编号\s{1,10}医生代码\s{1,10}药物名称\s{1,10}药物用量\s{1,10}单价\s{1,10}总价通过对统方方表格的识识别，达到到统方审计计问题。49密级分类及及控制方式式Symantec龙湖集团DLP项目测试报报告50泄密事件追追溯安全管理及及审计安全管理和和审计诸多安全管管理软件会会产生大量量的安全日日志，如果果不进行管管理分析这这些安全解解决方案的的作用就就被消弱。。针对于可可能发生的的“统方””事件以及及其他对医医院影响较较大的安全全事件。必必须能够及及时发现、、定位、报报警以及事事后审计。。及时发现“统统方”事件件和所有其其他严重安安全事件定位“统方””事件的发发生源、时时间、人员员以及影响响范围对于重要时间间及时报警警通知管理理员采取措措施所有安全事件件可以被事事后审计、、分析、评评估。并能能够提供分分析报表。。日志的引入入日志–原始凭证、、记账凭证证：记录我我们出差的的整个过程程。做到有有证可查。。审计功能能IT系统的日志志--记录IT活动的过程程和状态。。入侵告警日日志病毒安全日日志网络链路日日志用户活动日日志系统性能记记录业务相关日日志。。。。日志带来的的IT价值建立工业安安全架构标标准获得ROI或者降低开开支为企业产生生报表IT操作过程控控制遵从网络设备安安全接入市场准入的的法规遵从从追踪可疑行行动和用户户活动法律鉴定和和关联信息泄露防防护归纳总结安全保障追踪取证安全威胁分析和响应策略调优IT运行故障监控、防止蠕虫爆发服务水平提升资源优化法规标准等等合规要求求COBITISO27002……SOX法案等级保护SymantecSecurityInformationManager57Identified.threatsKnownvulnerabilitiesBusiness-criticalITassetsRisk-basedPrioritizationThreatDeterminedFirewalls/

VPNIntrusion

DetectionSystemsVulnerability

AssessmentNetworkEquipmentServerandDesktopOSAnti-VirusApplicationsDatabasesUserActivityMonitoringCriticalfilemodificationsPolicyChangesMaliciousIPTrafficWebTrafficTensofMillions:RawEventsMillions:SecurityRelevantEventsHundreds:CorrelatedEventsSymantecSecurityInformationManagerSymantec™SecurityInformationManager(SSIM)是安全信信息和事事件管理理的的统统一平台台,他能帮助助用户:收集并分分类安全全日志识别并解解决重大大安全事事件满足在安安全监控控和日志志存贮方方面的审审计和合合规需求求衡量安全全控制的的有效性性PresentationIdentifierGoesHere58业务安全全-内部操作作违规口令猜测测系统层面面针对不不同账号号进行口口令猜测测系统层面面针对同同一个账账号进行行口令猜猜测时间违规规用户系统统层面非非计划时时间内变变更审计计用户网络络层面非非计划时时间内变变更审计计来源违规规面地址段段登录生生产和测测试网段段的网络络设备桌面地址址段登录录生产和和测试网网段的网网络设备备并更改改配置发现桌面面地址段段到生产产和测试试网段的的成功访访问行为为访问路径径违规绕过USP系统直接接登录操操作系统统用户通过过USP登录目标标系统后后二次跳跳转行为为绕过网络络运维平平台登录录网络设设备并更更改配置置绕过网络络运维平平台在ACS的账号登登录网络络远程VPN用户接入入后绕过过USP登录主机机远程VPN用户绕过过网络运运维平台台登录网网络设备备更改配配置重大影响响性操作作用户USP高危操作作行为敏感对象象操作用户USP敏感操作作行为内部操作作违规60SSIM/Compliance61