域之盾医院企业终端安全管理系统解决方案

医院企业终端安全治理系统建设解决方案---医院企业终端安全治理系统建设解决方案---域之盾系统医院企业终端安全建设工程实施方案〔内网安全、行为审计、准入把握〕目 录\l“_TOC_250027“1.1终端安全概述 3\l“_TOC_250026“风险与需求分析 4\l“_TOC_250025“网络资源的非授权使用或者授权滥用 4\l“_TOC_250024“因安全治理不善，引发的IT资源不行用或者资源损失 4\l“_TOC_250023“非法接入带来的网络安全威逼 5\l“_TOC_250022“移动介质和外设端口的治理 5\l“_TOC_250021“终端行为把握与上网行为监控 5\l“_TOC_250020“客户机自身存在安全缺陷，导致网络内部安全隐患 6\l“_TOC_250019“终端安全治理需求 7\l“_TOC_250018“终端安全治理进展趋势 8\l“_TOC_250017“终端安全产品选型 9\l“_TOC_250016“选型原则 9\l“_TOC_250015“系统功能介绍 11\l“_TOC_250014“桌面安全治理 11\l“_TOC_250013“存储、外设治理 14\l“_TOC_250012“安全准入治理 15\l“_TOC_250011“非法外联监控 15\l“_TOC_250010“补丁分发治理 15\l“_TOC_250009“系统组成 17\l“_TOC_250008“系统部署 18\l“_TOC_250007“部署位置 18\l“_TOC_250006“部署方式 18\l“_TOC_250005“系统成效 18\l“_TOC_250004“接入把握 18\l“_TOC_250003“存储、外设治理 19\l“_TOC_250002“非法外联 19\l“_TOC_250001“终端使用行为 20\l“_TOC_250000“补丁分发 20终端安全治理概述终端安全概述互联网信息技术飞速进展到如今，现实中的工作和生活已普遍依靠于计算患。网络安全受到越来越多单位的重视，已经有很多单位在网络边界部署了防火IT有效的预防、监控和审计。事实上，结实的堡垒最简洁从内部攻破！目前，市场上流行或者说应用比较广泛的一些网络安全系统主要有：防火系统。进展网络安全体系建设，要综合考虑、留意实效，在我们考虑防火墙、杀病毒、入侵检测，甚至身份认证等系统来解决有关外部黑客入侵、病毒困扰时，也并组织相应的技术、产品以组合方案的方式，统一解决；既考虑到投入本钱与效益之比，又能最大程度上避开“木桶原理”的安全诅咒。风险与需求分析网络资源的非授权使用或者授权滥用大局部单位都有治理制度来标准网络资源的使用，具体规定了某人或某机滥用照旧是我们最头疼的。因安全治理不善，引发的IT资源不行用或者资源损失这里的治理不善，主要是指没有一套科学的内部网络资源使用治理制度，IP/MAC一治理造成很大负担。靠手工方式无法对上万台计算机进展有效治理。疏于治理可能造成：CPU设备等；等；用户自行修改网络配置，包括修改IP地址、掩码等IP造成威逼。由此，分析出以下需求：收集终端计算机资产信息，包括CPU、内存、网卡等硬件信息，以及操作系统、补丁版本、安装程序等软件信息网络阻断，阻挡其接入网络，以免对网内其他计算机造成危害IP配置符合既定的安全策略。一旦用户自行修改马上阻挡，将IP等网络配置恢复为原有配置，并准时向网络治理员报警。非法接入带来的网络安全威逼损害。位事故源头，准时解决问题。内网。移动介质和外设端口的治理UU，按既定安全策略进展访问，防止越权的担忧全状况发生。ip终端行为把握与上网行为监控互联网的快速进展极大地便利了人们对信息的访问需要，但同时互联网上网络带宽的需要，极大影响医疗工作网络的工作效率。以拒绝，并进展记录。这些记录可做安全审计的数据源。业务系统的效率。客户机自身存在安全缺陷，导致网络内部安全隐患成攻击，严峻者可获得网络内较高权限，造成系统的信息失窃、被破坏、可用性的。为此，需要在系统中建设一套有效的补丁分发机制：统计报表供治理员整体治理安装丁分发状况自动或手动重启计算机向治理中心报告补丁分发过程和记录，并形成报表为了有效保证补丁分发，系统还应考虑：到未安装补丁时的状态，以保证系统正常运行应承受有效的流量把握机制削减对网络的负荷补丁分发应支持断点续传终端安全治理需求本方案将医院网络中存在的内网安全治理需求归结为六大类：保护机密文档资料具体记录文件操作〔翻开、修改、删除等监控，必要时制定安全策略阻挡用户对文件的访问记录文件操作时的屏幕，供给应网络治理员进展审计监控限制使用移动存储设备，防止通过移动存贮设备进展信息泄密限制网络接口的使用防止滥用院方电脑限制与工作无关应用程序的使用制止对特定资源的访问制止扫瞄工作无关网站客观评估员工工作态度具体记录员工使用应用程序具体记录员工扫瞄网页员工使用电脑状况图表分析便利的电脑资产治理自动猎取电脑硬件设备清单自动猎取电脑安装的应用程序帮助治理者治理员工完善丰富的报表功能自动生成柱形图、饼图报告远程帮助定时记录电脑屏幕，直观看看员工的电脑操作记录，解决问题导出重要屏幕画面到文件中远程桌面连接，直接由治理员解决员工计算机上的问题以上功能同时可供给客户机监控治理的功能软件分发维护客户机自身的安全性自动对客户机上存在的安全漏洞进展检测，依据安全策略上报安全状态终端安全治理进展趋势〔桌面〕五步安全法〔PTRRM〕为代表，简述如下：定义安全策略终端用户安全状态强制认证及网络准入把握策略等；选择使用工具彻执行安全策略。生成访问把握策略并强制执行到了完整的执行。建立自动修复流程由于终端环境的简洁性，总会有一些终端会消灭问题，例如一台入网的终都得到了执行，不至于由于一台终端消灭问题而集中到整个网络。监控策略符合性统治理人员。终端安全产品选型选型原则本方案着重在以下功能中进展产品选型。功能分类

功能点 功能具体描述终端用户密码修改治理

终端制止访问的外部端口配置防病毒软件检测口治理治理

桌面审计桌面治理主机运维存储设备治理外设接口治理准入把握

终端用户变化审计〔MSN，QQ〕审计与治理网络端口通信审计网络共享审计与治理打印行为审计与治理终端运行进程治理桌面消息通知远程锁定计算机远程重启动计算机远程帮助远程把握制止用户翻开网络属性制止用户使用设备治理器禁用软驱禁用光驱禁用移动存储设备设置移动存储设备只读禁用串口和并口SCSI禁用蓝牙设备禁用红外设备USB1394PCMCIA在线主机检测主机授权认证对非法主机阻断网络连接

非法拨号监控止拨号网络制止连接非法主机效劳器与客户机之间承受加密通信安全性

系统安全性 把握台支持分级、分组、分权限治理对备份数据进展加密供给自动备份功能数据安全性

支持多种备份装置(如磁带机、CDRW、DVDRW、网络驱动器)优化

数据库性能 承受高性能后台数据库据压缩和数据传输，降低数据大小及传输时间网络性能 承受快速客户机并发轮询技术对客户机网络流量进展把握作系统客户端程序功能 客户端程序卸载必需通过把握台单独安装客户端安装方式 域安装终端计算机治理用户及权限治理系统治理 安全策略配置系统功能介绍桌面安全治理及审计和桌面治理与运维两个局部。桌面安全及审计桌面用户、权限和密码治理以增加其密码安全性。终端计算机端口治理/远程端口访问策略，屏蔽不必要的网络端口，提高终端计算机安全性。防病毒软件治理的终端计算机可以进展访问限制，以确保其安全性。终端用户变化审计〔如添加/删除用户并依据安全策略产生报警信息。文件访问审计与治理可以依据安全策略制止对指定文件的操作。上网行为审计与治理可以阻挡终端计算机访问指定的网站。程序使用审计与治理略制止运行指定程序。即时通讯程序审计与治理MSNQQ网络端口通信审计系统可以对终端计算机的网络端口与协议使用状况进展监测和审计。网络共享审计与治理终端用户屏幕审计员查阅。打印行为审计与治理系统可以制止终端计算机的打印操作。桌面治理及运维进程运行治理系统可以实时报告终端计算机上运行的进程，并可以远程关闭指定进程。软件和启动组治理并可以远程治理自动运行软件。桌面消息通知消息通知，该消息会马上弹出在用户桌面上，对用户进展提示。远程计算机治理系统可以远程对终端计算机执行锁定、注销、重启、关机等操作。远程帮助远程用户的桌面操作，帮助用户解决问题。远程把握治理或者帮助用户解决问题。系统设置治理系统可以制止终端计算机用户自行修改网络属性，IE户的更改操作对计算机安全造成影响或引入安全风险。网络连接与流量治理系统可以监控终端计算机网络接口的连接状态和终端计算机的网络流量情阻断等限制措施，防止其过度占用网络带宽。终端运行统计机的使用状况进展统计分析。存储、外设治理储设备。存储设备禁用CD/DVD/HD-DVD/BlueRayFlash〔MP3〔USB/1394〕等。设置移动存储设备只读改或写入。移动存储设备认证以在指定的终端计算机上进展使用。外设和接口禁用SCSI蓝牙设备、红外设备、调制解调器、USB1394PCMCIA在线/离线策略治理治理员可以分别设置在线和离线两种安全策略对终端计算机的外设和接口和效劳器通信时生效。通过对在线/离线两种状态设置不同的安全策略，系统可以对笔记本等移动办公设备供给更加灵敏有用的治理。安全准入治理在线主机监测线主机是否为经过系统授权认证的信任主机。主机授权认证授权认证的主机使用网络资源。非法主机网络阻断非法主机不对网络产生影响，无法对网络进展攻击或试图窃密。IPMACIPIP非法外联监控非法外联监控主要用于觉察和治理内网用户非法建立通路连接互联网或非非信任网络资源，并防止引入安全风险或导致信息泄密。终端非法外联行为监控系统授权许可的终端计算机进展通信，试图通过、ADSL拨号等方式连接互联网等。对于觉察的非法外联行为，系统可以记录日志并产生报警信息。终端非法外联行为阻挡以制止终端计算机的拨号上网行为。补丁分发治理和补丁治理。终端计算机漏洞自动分析效劳器。补丁分发方式。系统允许治理员添加自定义补丁并下发到终端计算机。补丁分发策略治理补丁完整性和兼容性测试员可以通过选择网络中的典型应用主机作为测试组计算机来进展补丁兼容性测试，在确认补丁无兼容性问题后再进展全网分发，从而削减补丁应用风险。补丁回退现补丁的远程卸载，从而关心解决补丁安装后消灭的问题。补丁增量更的增量更。补丁治理补丁的治理可支持添加、删除、查询和信息修改等操作。软件分发执行文件，终端计算机能够自动使用关联程序翻开。打算任务常业务流量的影响，同时也可以减轻治理员的工作量。流量把握分发线程数调整：通过调整分发线程数目，实现对流量的限制。治理员可依据网络状况调整分发线程数目。发线程的带宽进展把握。点对点文件传输：通过效劳器的任务调配，终端计算机上客户端之间可〔P2P降低效劳器端的网络带宽瓶颈，增加效劳器的负载力气。级联功能下级补丁分发效劳器都可以自动获得更。对于大型网络，单台补丁分发效劳器难以满足补丁分发需要，通过部署多台补丁分发效劳器的级联还可以很好地支持安全域治理。系统组成略。器上的安全策略，并依据安全策略对客户机进展监控。系统部署部署位置效劳器部署于主干网络的效劳器上。Web治理。客户端部署在每一台被管客户机上。部署方式路连接方式可以削减单点故障点，保证系统的可用性。具有很高的安全级别，可以监控客户机上发生的一切安全大事。InternetInternet防火墙补丁效劳器病毒效劳器隔离修复区治理效劳器不支持802.1X设备不支持802.1X设备终端系统成效接入把握审查就接入内网，可能对内网安全构成巨大的威逼。消灭。存储、外设治理通过部署域之盾终端安全治理系统可以制止使用非授权的存储设备〔如：软盘、移动硬盘、刻录机等、制止使用任何的通讯端口〔如：USB、串口、红外线等PC括存储设备〔USB、通讯设备〔串PCMCIA〕及文件打印把握，使信息流向受到把握，保证信息不被任凭外泄。与此同时，本系统还具体记录终端PC用户对文件的各种操作，包PC〔对各种设备、端口的把握、事中监控〔屏、事后审计〔屏幕快照回放，操作记录查询等〕三个方面，有效实现了对接口外设的治理，能够全面防止重要信息外泄。非法外联可以防止非法的外部连接，通过封堵谈天〔如QQ、MSN〕、网络玩耍、股票等〔如：笔记本电脑〕进展完全隔离，使其无法对系统资源有任〔如：读取、复制、删除等〕、对特定文件的访问进展实时监视，实时报警、制止对系统