医疗行业统方问题解决方案Norhv

医疗行业统方问题解决方案NorthPan-CommercialSETeamPresenter’sTitleHere医院“统方”第一案海宁市人民医院信息科主要负责电脑硬件、软件和网络等管理工作从2004年开始每月向药品经销商沈某提供医院保密的统方资料受贿14万多元王力回扣门2010年5月，宁波市第一医院部分医生受贿清单被曝光；2010年11月，杭州6家医院和一家名为“泰瑞医疗”的医药公司的回扣交易内容被曝光医院回扣清单曝光卫生部：严禁医院为商业目的“统方”对于违反规定，未经批准擅自“统方”或者为商业目的“统方”的，不仅要对当事人从严处理，还要严肃追究医院有关领导和科室负责人的责任。卫生部：“统方”途径——来自万能的网友统方信息泄露途径医生工作站等终端进行非授权统计药房等具备统计权限的用户被冒用外来计算机通过黑客手段获取网络的用户信息统方数据被传出计算机（打印、拷贝、邮件）外部人员私自通过查询数据库的方式进行统计如何防范统方信息泄露如何防止终端用户滥用这个信息（打印、拷贝、外发）如何控制其他人员入网使用这些信息如何从系统和应用软件上规范用户权限管理（例如只有固定的用户有权做这种操作，他们的密码受控）如何追踪数据库操作确定发生的具体情况如何将上述各项安全措施的日志做综合分析，以便不断改进监控策略统方信息防泄漏关键点客户端控制服务器端控制事后审计安全建设建议流程事后审计证明有效性并判定趋势查询报告收集记录关联分析加固安全状态防止问题发生

Anti-malwareFirewallHIPSApp.Ctrl.DeviceCtrlLAN准入网关准入自我强制P2P控制DHCP准入桌面虚拟化应用程序虚拟化终端安全网络准入虚拟化事先防范管理控制并解决问题零日攻击违规操作入侵防护…数据防泄密事中控制安全性防护监控预防发现保护端点控制信息中心信息管理防范统方信息泄露解决方案终端控制终端权限控制（AD、Token、VeriSign）终端防护（SEP）终端准入控制（SNAC）标准化集中控管（AltirisCMS）工作区虚拟化（SWC/R）数据中心控制服务器加固（SCSP）信息管理信息防泄露（DLP）安全管理及审计（SSIM）终端控制终端权限控制为何终端权限控制使用者私自修改IP地址使用者私自安装软件，威胁到整个网络安全使用者随意添加硬件使用者随意关闭或卸载安全防护软件使用者使用迅雷等下载工具，阻碍网络的正常工作。……如何进行终端权限限制PresentationIdentifierGoesHere14对客户端用户重新授权收回客户端管理员权限终端防护为何需要终端防护病毒木马黑客恶意程序防病毒/防间谍软件入侵防护(主机)防火墙设备控制主侵防护(网络)应用程序控制终端防护Symantec防病毒与先进的威胁防护技术结合起来单一的解决方案提供终端安全防护单代理、单控制台结果:降低了成本、复杂度，

减少了风险的暴露增强了保护、

控制和管理性防病毒防间谍软件防火墙(主机)入侵防护设备控制应用控制(网络)入侵防护终端准入控制避免

事后处理屏蔽不安全接入规范

接入行为铲除

威胁源头从纸面劫的管理枕口号到拼技术上俯的策略岸遵从传统的方法通告雁红头文童件邮件电话通知管理规参章制度罚款扶通报批评策略

制定策略

执行身份认证安全认证准许接入终端接入失败修复周期检查拒绝或隔离Sym蹦ant显ec的方法

检测终端接入第2步Enfo交rce针对策略勾检查配置慢的遵从性第3步✗Monitor

持续监控，遵守当前的策略第5步Reme生diat匀e基于策略轨检查的结赛果采取措轿施第4步

定义策略第1步üDiscover准入控制挠能干什么谁可以扫进入服狡务器网访问哪台笔服务器访问什么端岸口(应用)桌面运行什常么程序访容问特定端口不能获取什班么数据23准入控制御“毒”于网络之外第1关外设控制监管所有I/O端口第2关双向防火墙监管所有网络通讯第3关NIPS和HIPS发现并阻止入侵行为第4关主动防御技术发现各种未知的安全风险第5关传统实时防护检测并清除恶意程序第6关系统加固修补漏洞提高安全性第7关紧急事件响应迅速应对减少损失第8关终端标准化困集中管理乱资产合约部署配置补丁软件升级帮助台分析监视事件问题变更发布远程维护报告备份恢复标识迁移服务等级ITLifeCycleManagement过渡和

迁移远程帮助和故障排除监控和跟踪业务连续性保障补丁程序

管理映像制作

部署和配置应用程序

打包和质量保证软件管理

和虚拟化报废采购准备生产客户端

查询和清单支持不同元种类的平腹台资产管理客户端和移动用户管理Netw成ork资产部署Netw禾ork泻Devi急cesSit颂e监控Wind平ows资产部署补丁管理软件分发打包工具应用软件痕管理远程控制Wind扮ows网管服务器监析控备份与修背复UNI园X/L点inu盼x资产部署补丁管理2软件分遗发Win窃dow僚s网管3服务器监皱控备份与修匆复2Maci古ntos慌h资产补丁管理2软件分垄发2Win末dow兵s资产部署补丁管理软件分发打包工膊具应用软件朗管理远程控肤制Wind奸ows网管个性化迁宫移应用测量备份与修拜复Han到dhe遭ld资产部署软件分发2打包工哨具服务器呀管理资产应用软件固定资产条形码合同管理TCO管理帮助台工作区徒虚拟化虚拟化对于重开要的业眨务和应仙用，建赶议通过急虚拟化祸桌面或哄虚拟化烂应用程羡序来进伯行使用叶。所有应撑用计算条都在后怠台服务售器上进夫行，所弃有数据敏也存放桃在服务鸦器上。隔离终会端对关碗键业务急和关键培数据的贯访问，乒降低数脱据的使受用风险解决应用偏由于权鼓限不足怖的兼容纪性问题降低数据钳泄漏风险份。建议通遮过Sym父ant部ec丧SWC鸭/R来实现动态工恼作区管饼理Pre帽sen缴ted型Ap天ps世and竖/or钳De乘skt躬opsTask舟wor句kersSha歌red素co干mpu猜teVirt赛ual查desk邻topsHig鸟hs峰ecu知rit滚yDed患ica峡ted燥co削mpu鸡tin更gVir肿tua借lP填CsPowe堤rus忠ersThin纠cli议ent匠acce孔ssRich骂Cli搞ent供PCPro汪fes睬sio迷nal舱sHig赏hg亲rap贷hic洲ap猪pli络cat孝ion分sSAN称/豪Sto泼rag猾eComm集ons缩慧toreSecu腐red嗓ataBac驶ked吨upRic纱hC我lie侦nt朗PCMobi组lew胞orke隙rsFre吼que瞎ntl特yd讲isc捆onn醒ect兆edTerm夜inal活Ser蛛verPro消fil策esApp恨lic毅ati暑onsDesk档topHyp垂erv衣iso距rProf公ilesApp攀lic湖ati蜻onsDes材kto睁pPC作Bla瞎dePro奖fil都esApp私lic肤ati债onsDes涌kto臣pDesk务topPro捐fil烫esApp汇lic暖ati或onsDesk暮topLap墨topPro恳fil滴esAppl饥icat笋ionsDesk巩topSto拘rag爹eData(Pro交file焦s)Hyp作erv家iso芹rPCB醉ladeDesk笨topLap奋topTer刻min其al纹Ser异verSto榴rag抖e硬件和基耕础架构(混合架构)Citr侍ixor子Mic垂ros拆oftorA导ltir围is,限etc.VMwa节reorM讯icro亲softorS盼un,鱼etc.Sym凶ant喊ecorN氧etAp触porE险MC,炉etc.Alt竹iri犹sorM稿icro倚softorD务ell仗orH号P,e教tc.Alt武iri腿sorM宾icro杠softor引Del择l,et切c.Alt参iri啊sor厉Mic席ros纯oftor炒Del摧l,浇etc督.一致的动啄态工作区自动的追工作区锻控制用户设种备位置Man皮age哨db蒜y:Wor倍ksp恼ace协Co脾rpo向rat殃eSyma拣ntec屯End震poin面tVi桐rtua更liza叉tion圣Sui言te桌面应用配置数据数据中心桨控制服务器加缘瑞固如何阻截谣已经射出把的子弹？Sym五ant摧ecCri恭tic啄al等Sys斜temProt纠ecti钟on维持系统塔的策略据依从加固系颜统入侵检测入侵防胃护减少管理顶复杂程度提升产纲品的管叔理能力防止零日网攻击加固日胜志系统,日志转次发,和日志监彩控对无法士立即安模装补丁丹程序或准锁定的测系统提抹供防护企业级柔的报表身功能通过简单疮，集中庆的策略溉创建管铺理系统住降低企择业用于锡资产保丧护的成凯本目的提供怀有恶意命的内部脱用户攻挎击系统未知攻完击针对:内存文件系覆统注册表操作系测统应用终端用户违妙背企业安泰全策略预防核心HIS、LIS服务器臂安全加谎固医院HIS、LIS服务器索安全极责为重要带，一旦HIS、LIS有安全秀风险，脸造成的须后果不流仅仅是复数据丢技失，而视且会造偏成医院螺业务可偿用性故河障。加固HIS、LIS等核心村服务器亦的安全压，避免岗服务器摧受到恶篮意内部移或者外既部人员问的攻击荐。避免蛮由于攻烂击行为回而造成窑数据的倍泄露和毒服务器太的停顿柏。考虑到医院抵内有很多霞的维护供童应商，包晴括软件的避和硬件以贴及业务维球护人员。匠这些人员搁经常会进帖入到机房汽甚至操作丧服务器。音这些人员碗无意思的客操作风险清或者有意料识的渗透申都会造成救数据泄密秀和服务器化停顿的风予险。需要键监控这释些人员在权服务器上需的操作，斧并在他们萌执行危险度操作时阻矩止他们SCS偶P关键系统权多重防护字功能NetworkProtection(HostIPS)

ExploitPrevention(HostIPS)SystemControls(HostIPS)Auditing&Alerting(HostIDS)Sym职ant舒ec馅Cri反tic猎al偶Sys泡tem眯Pr闷ote花cti脆on限制应予用和操喝作系统授的行为阻止缓冲示区溢出攻赞击检测零日饲攻击减少系旧统宕机捉时间操作系志统加固监控日志六和安全事仿件归并并注转发日烂志到SSIM平台智能事葵件响应阻止后门限制应红用程序衬的网络辟连接限制进出聋流量主机防火冤墙功能默认策略枣即可有效补保护系统锁定系统奥配置和设泻定注册表下保护文件系敬统保护强制遵从淹安全策略限制用搬户的权边限限制移饼动存储虫设备行为监控哈内容未授权的描系统配置制更改未授权辆的管理页权限更彼改及滥毅用用户登录绿、退出，爷和失败登红录操作命令彻和参数重要文件嘉未授权访汁问、更改变更内然容注册表的爸更改（针干对Win迟dow秧s平台)……Pres铁enta奋tion辈Ide棉ntif段ier津Goes途Her惰e38信息控制Pres休enta喂tion遥Ide轨ntif尊ier毒Goes统Her辰e39信息防勒泄露信息泄露免的状况：球产生->传输->使用的扮全过程信息泄漏宿环境信息外翼发和活覆动监控存储发践现和信唇息整理邮件外划发、上借网第三方数据库交流移动媒体端点监斤控木马文件服个务器信息防泄庆漏从3方面来考链虑信息泄黎露风险，籍保障企业堪核心信息叮安全由于统方信许息大多情秀况是通过姑个人的终者端传递出宣去，我们葵首先需要嘱考虑的问文题是，监尺测存放在抽终端上的帝医院敏感透信息的复凭制、打印决、刻录、里邮件等行悄为，通过役警讯提醒蔑医务人员啦风险操作耻。并在需狼要的情况透下实时阻说止这些泄喊密行为考虑到医院援内部通过剪网络的通下信途径比检较多，在歼网络层监琴测信息使择用者敏感沙信息传递多过程协议突监控，包得括emai比l,w贼eb,既IM,苹FTP,蚊PTP等。避俩免通过肢网络将生信息传冰递出去所有的统方当数据都通监过HIS服务器获如得，通过DLP监控医务袍人员对于HIS服务器的借数据查询翠，及时发步现统方查贸询和数据世获得情况骄。并建立贝事件及时撕报警和审截计。建议通过Sym蔬nat君ec枣DLP解决方案湖来达到目标Pres填enta域tion着Ide驶ntif唯ier起Goes巡寿Her评e42医疗行业蜂信息防泄轰漏需求针对HIS系统服务润器上的数挖据查询分醒级审计进浸行数据泄冻密的监控针对IT系统中所残有导出的鄙数据进行悼数据防泄躺密的监控针对医型疗一些肠关键性猫报表进核行数据厦防泄密蹄的监控对以上势监控数异据客户偏端要求桨阻断功州能Syma医ntec龙湖集机团DLP项目测那试报告43DLP项目总像体目标通过DLP产品重锁塑企业鲁内部审摔计流程仔，符合克医疗行弟业CFO、内审掠、IT基础架谜构对信更息防泄执漏体系盯的要求通过医汗疗DLP项目提鹊升医疗尿系统IT信息化建显设信息安育全等级，记提升医院裂形象。通过医锯疗DLP项目，众站在更鼠高的角厨度上审沾视医疗剑行业信燥息安全面，完善馒信息安缎全基础择架构，苹为业务闲系统提圣供更安镰全的保祥障Sym甲ant栋ec龙湖集谱团DLP项目测试市报告44以保护“信息”为核心最佳实践定义敏舌感信息监视这些贫数据如何炮被使用建立防会泄漏的叉管理机伪制和流液程提升整君个医院并对信息糟安全管宽理的参抖与度将信息委安全管矩理上升扭到业务亲风险管猪理的高趴度45把业务部问门引入安佩全管理的最佳“切毕入点”：识别风险监控审计监控信息泄漏风险管理解决方案控制CD/DVD笔记本电脑电子邮件及时消息数据库File服务器USB设备终端网络存储防泄漏

策略监控

&预防发现&保护Web邮件Web/ftp服务器由下属部门的主管组成负责制定战略方向，扩大覆盖范围，设定风险防范机制目标，监测标准。确保优先权正确，资源充足，业务单位正在进行数据监测。CISO,CIO应当带领指导委员会，推动业务部门参加数据指标的监控，对事件进行补救，并增减政策规定。统筹管理委员会风险管理部门IT部门业务部门负责DLP系统的管理负责维护系统功能和性能，配置和管理策略、响应规则、用户、角色、工作流系统优调和扩展，监测运行指标负责部门内的事件管理一般风险由部门自己管理高危风险需上报总部风险管理部门定期提交所属部门风险统计数据

负责上报事件和统计数据的管理风险管理部门给出明确的风险等级定义明确哪个等级的事件必须上报管理上报事件，进行调查和取证定期按统计数据进行排名，排名结果记入KPI指标必要时，启动紧急响应流程。联系公关部门，外部法律机构减小或消除负面影响理念方案方法论结合实达际的最弃佳实践Syma栋ntec龙湖集团DLP项目测试亮报告Sym铁ant践ec可以帮亦助您…如何来驳防止数鼓据泄漏链？发现监控阻止数据在网络中如何流动？敏感信息在什乌么位置?DAT变AL字OSS辣PR青EVE装NTI股ON妇(DL钉P)DLP工作原理Pre却sen照tat扒ion占Id视ent惯ifi猾er源Goe喇sH伟ere47管理管理发现识别扫额描目标运行扫描叔以发现网毫络及端点柴上的敏感问数据data启用或量自定义羊策略模潜板补救并档报告风蛮险降低监控123保护45检查发送堡的数据外设检均测监控网络宣与端点事扯件禁止、删楚除或加密隔离或潮复制文粪件外设控制通知员工哨及其经理文件密级巧划分（绝榴密、机密柜、秘密、喜公开）Pre弃sen垒tat愈ion陷Id私ent访ifi张er阀Goe程sH猜ere48在做DLP项目之酿前最好佛通过内讨审对医至院涉密践数据统阶计分析冷，形成拒了量化难需求。医院内审病需求通过IT信息防畅泄漏软蔑件执行达到高单层对信担息安全毛的要求报表识抵别(正则表达拉式方式识盲别)统方统计腊表识别序号\s{1验,10}科室编炊号\s{脉1,1境0}医生代码\s{1忆,10}药物名腰称\s{1沾,10}药物用量\s{伙1,1绿0}单价\s{码1,1虫0}总价通过对统磨方表格的袄识别，达芒到统方审艺计问题。49密级分构类及控间制方式Syma违ntec龙湖集艘团DLP项目测试霉报告50泄密事易件追溯安全管挠理及审近计安全管理址和审计诸多安恩全管理喷软件会舅产生大利量的安辅全日志躁，如果们不进行畏管理分恩析这些伴安全解京决方案辈的作用篇就被丹消弱。浓针对于秤可能发召生的“诉统方”芒事件以佛及其他陕对医院撑影响较牢大的安伶全事件廉。必须际能够及禁时发现寺、定位伍、报警乓以及事似后审计够。及时发现“末统方”事情件和所有摄其他严重屋安全事件定位“统方军”事件的作发生源、圈时间、人海员以及影疲响范围对于重要失时间及怜时报警脾通知管乔理员采句取措施所有安全静事件可蛋以被事敌后审计泰、分析叨、评估模。并能穗够提供戴分析报字表。日志的引看入日志–原始凭证峰、记账凭袖证：记录昂我们出差层的整个过绩程。做到惰有证可查盟。审计功嘱能IT系统的组日志--记录IT活动的过慌程和状态粥。入侵告讲警日志病毒安全翠日志网络链锐路日志用户活动偶日志系统性膊能记录业务相关史日志。。。。日志带来嘉的IT价值建立工肆业安全托架构标享准获得ROI或者降低帐开支为企业产买生报表IT操作过程菠控制遵从网络设画备安全旺接入市场准入拳的法规遵尘从追踪可昏疑行动徒和用户起活动法律鉴绑定和关茂联信息泄露念防护归纳总结安全保障追踪取证安全威胁分析和响应策略调优IT运行故障监控、防止蠕虫爆发服务水平提升资源优化法规标准减等合规要板求COB谨ITISO令270库02……SOX法案等级保护Syma膏ntec猛Sec蜓urit池yIn挺form蒙atio筹nMa佛nage蜡r57Iden税tifi季ed.thre在atsKnow泻nvu梁lner治abil轧itie谈sBus尿ine趁ss-劝cri铜tic立al刃IT子ass突etsRisk株-bas旧edP跟rior奋itiz厕atio证nThr牌eat蚂De纯ter猜min府edFirewalls/

VPNInt界rus高ion扭De陷tec陵tio员n

S欧yst远emsVul哈ner程abi弊lit跨y

A州sse净ssm领entNet得wor闷k

E北qui运pme而ntSer戏ver沉an盖dD献esk惕top例OSAnti斯-Vir摆usAppl狡icat裳ionsDat生aba迈sesUser系Act丙ivit帮yMo学nito雷ringCri竭tic扬al赵fil欺em昨odi忍fic旱ati薪onsPol稠icyCha正nge麦sMali游ciou庸sIPTra蓝ffi甚cWeb还Traf衔ficTen请so课fM摔ill专ion它s:Raw腰Ev处ent牺sMil授lio宽ns:Sec扶uri悠ty每Rel组eva姿nt吹Eve没ntsHun赚dre称ds:Cor蠢rel睁ate慌dE歼ven律tsSyma最ntec椅Sec缠urit欣yIn素form滑atio读nMa妈nage杰rSym秃ant京ec™达Se北cur订ity铃In食for翼mat点ion瓣Ma缠nag拴er秃(SS交IM)是安全信亭息和事件脾管理的的斯统一平台,他能帮助匆用户:收集并滚分类安纪全日志识别并根解决重扬大安全执事件满足在安难全监控和缠日志存贮纲方面的审拉计和合规歼需求衡量安霸全控制骆的有效跨性Pre吴sen烂tat妖ion毒Id拴ent四ifi所er甜Goe德sH发ere58业务安全-内部操境作违规口令猜测系统层芬面针对英不同账冒号进行欠口令猜康测系统层糊面针对泄同一个新账号进剃行口令吼猜测时间违挨规用户系痛统层面筒非计划洋时间内身变更审鹿计用户网亩络层面转非计划哪时间内螺变更审替计来源违规面地址段差登录生产众和测试网尝段的网络乘设备桌面地址园段登录生跳产和测试泄网段的网低络设备并亩更改配置发现桌面疑地址段到淘生产和测订试网段的社成功访问予行为访问路径萄违规绕过USP系统直接羊登录操作颗系统用户通呀过USP登录目标造系统后二甚次跳转行犯为绕过网叙络运维谈平台登隆录网络饺设备并钟更改配位置绕过网络改运维平台击在ACS的账号登丘录网络远程VPN用户接英入后绕衔过USP登录主机远程VPN用户绕足过网络图运维平盗台登录疲网络设放备更改摔配置重大影响现性操作用户USP高危操作书行为敏感对练象操作用户USP敏感操作瘦行为内部操鄙作违规60SSIM县/Com索plia笛nce61SSIM五/Man捕agem已ent进程管纤理－新穴增未知棒进程报僵告62产品:SIM崖+SCS阿P应对：利杀用非法/恶意进屿程进行饿违规操恨作；及疼时发现抬攻击迹怒象63网络端口掀管理－周经期检查产品:SI浑M+S赛CSP应对：缝结合进园程管理狗，及时业发现攻谎击迹象关键配置加文件监控64配置文摆件变更