《医院终端安全方案培训资料.docx》由会员分享,可在线阅读,更多相关《医院终端安全方案培训资料.docx(37页珍藏版)》请在三一办公上搜索。
1、XX医院终端整体安全解决方案终端整体安全解决方案目 录第1章概述11.1背景11.2安全威胁分析1第2章XX医院终端安全建设规划52.1规划目标52.2规划依据52.3规划框架7第3章XX医院终端安全建设内容9第4章XX医院终端安全建设方案124.1终端安全综合防护系统-实现“零病毒”“零威胁”124.1.1设计思路与技术实现124.1.2部署方案164.2终端标准化运维管理系统-实现”零管理“164.2.1设计思路与技术实现164.2.2部署方案224.3终端行为审计监控系统-监测”不当操作行为“234.3.1设计思路与技术实现234.3.2部署方案264.4终端准入控制系统-强制隔离”非法
2、终端“264.4.1设计思路和技术实现264.4.2部署方案30第5章系统及硬件配置325.1硬件配置325.2第三方软件配置325.3软件配置325.4实施服务33II第1章 概述1.1 背景XX省昆明XX医院的信息化经过十几年的发展,对业务的支撑作用已经表现得非常明显,医院业务的开展已经离不开信息系统的正常运转。随着XX省XX医院信息化的深化,XX医院的业务流程已经高度自动化、高效率,从而为病人提供更好的医疗健康服务。但另一方面,承载XX医院业务流程的信息系统基础架构的管理手段却仍然相对落后,在当前复杂多变的信息安全形势下,无论是外部黑客入侵、内部恶意使用,还是大多数情况下内部用户无意造成
3、的漏洞,信息科(处)的安全管理手段都正在变得越来越不够用。而同时,“统方”信息泄露、媒体舆论炒作、医患关系紧张、上级领导问责、法律法规监管等等,都在无形中让医院的信息安全管理压力越来越大。1.2 安全威胁分析l 恶意攻击数量快速增加,攻击手段不断丰富,最新的未知威胁防不胜防:如何防范未知威胁,抵御不同攻击手段和攻击途径带来的信息安全冲击?据权威机构统计,2011年互联网总共产生超过55亿次的恶意攻击,这个数量比2010年增加了81%。此外,特殊恶意软件变种数量增加至4.03亿个,超过75%的恶意代码攻击都是有针对性的,仅仅依靠基于特征码的单一终端防护安全软件已经力不从心!有必要利用最新的国际上
4、先进的基于云的文件信誉对比技术和基于程序行为判断的主动防御方式来防止大量的未知恶意威胁.l 高级、有针对性的高危持续性攻击APT已蔓延至各类规模企业:如何阻止不同的攻击手段?不仅仅是防病毒!需要终端多层次的防护,增加网络边界的威胁防范等技术综合考虑!APT攻击:“高危持续性风险”是2011年以来最有威胁的攻击手段,攻击者利用不同的针对性攻击手段做长时间的不同攻击尝试和潜伏。 有针对性的攻击正在不断增加,截至2011年底,有针对性攻击的数量平均每日82个。有针对性的攻击利用社会工程学原理和定制化的恶意软件来非法访问敏感信息。这些高级的有针对性的攻击过去一直以公共部门和政府为首要目标。l 复杂混乱
5、的应用与外接设备环境:如何确保应用和设备的准入控制?虽然很多医院信息科都根据自身的情况建立了完备的信息系统管理制度,但由于缺乏自动化、强制性的技术手段,这些管理制度往往变得流于形式终端用户随意私自安装外来的应用程序,通过U盘等方式传播未经授权的资料,私自重新安装终端操作系统,未经授权将外来终端(笔记本电脑)接入医院业务网等等。所有这些行为都带来一个结果,就是让医院的业务应用环境变得复杂、混乱,难以管理。l 繁琐枯燥的系统维护和安全管理:如何更有效利用有限的信息人力资源?信息科的维护人员总是每天重复这样一些事情:重装系统、打补丁、修改配置、安装应用软件、配置网络、配置应用参数,这些事情不仅大量浪
6、费了维护人员的时间,让他们没有精力去做更加重要的事情,而且让整个信息科的运维水平一直处于低层次重复的怪圈之中,无法有效提升信息系统管理运维能力。l 工具带来的新问题:如何保证安全策略的强制要求,统一管理和实施效果?为了解决前面几方面的挑战,部分医院用户采用了一些单点的工具型解决方案,但这些工具却带来了新的问题。如何确保新的工具的统一管理,拥有不同管理方式的工具将反而大大增加信息安全管理人员的复杂性和可操作性。部署不同的安全工具,我们如何了解这些工具的实施效果?如何让运维工作向标准化、流程化的更高阶段提升。l 终端接入不受控:如何确保终端满足制定的终端安全策略-终端准入控制传统的安全解决方案往往
7、比较强调网关安全,所以很多医院购买了防火墙、入侵检测与防御(IDP)等产品。但当前更多的安全隐患来自终端透过防御薄弱的终端,往往能够更加容易地接触到医院的核心内网,而终端使用者安全意识的缺乏为安全威胁打开了便利的大门。虽然很多医院都采用内外网隔离的方式进行基本的安全接入控制,但隔离策略往往因为内外网终端的随意接入而无法有效执行。而住院“无线查房”等方式不仅方便了医生,同时也方便了“不受欢迎的客人”的接入。l 网页式攻击(Web-based Attack) 已成为最主流的攻击手法:如何确保访问可靠网站?网页式攻击系当有漏洞的终端浏览内嵌恶意代码的网页时,即于该终端植入恶意代码。相较于传统的病毒扩
8、散管道与攻击手法,网页式攻击不但更加隐密,且更难预测与防范。而僵尸网络(Botnet)仍持续盛行,已成为散播垃圾邮件、架设网络钓鱼网站及发动分布式拒绝服务攻击(DDoS Attack)的最佳途径。l 内外部有意无意的信息泄露将严重影响企业的声誉和重大经济损失国内越来越多曝光的医疗数据,个人医疗信息泄露事件受到公众和监管部门的关注和重视。如何保证防止这类数据以及处方信息的泄露是XX医院在数据防泄密上的主要关注对象,这些数据的泄露将严重影响XX昆明XX医院的声誉,监管上的违规,经济利益上的重大损失。l 法律法规监管的加强-如何确保做进行的信息安全建设符合等保要求中华人民共和国刑法修正案(七)第25
9、3条、第285条等对医疗行业信息泄密的规定;侵权责任法第36条、第61条、第62条等对医疗机构及人员要求妥善保管机密信息的规定;公安部“信息安全等级保护”对医院信息系统的信息安全保护要求;。随着国家各种相关法律法规对医疗行为信息安全的规范逐步加强,医院信息科(处)在医院管理方面的重要性正在变得越来越高,但同时由于缺乏灵活、自动化的安全管理手段导致的被动境地也正在变得越来越明显。如何更加主动地应对法律法规的监管,是信息部门今后工作重点之一。第2章 XX医院终端安全建设规划医疗行业中的信息终端作为IT资产中数量庞大、种类繁多、分布广泛、管理难度大、管理成本高的一个分类,其带给医院的安全风险已经越来
10、越不容忽视,医院在终端安全方面加大投入的同时,也更加期待其带来的效果。因此,结合医院信息系统的建设状况,日益变化的安全威胁,整体规划和和统盘考虑在终端安全上的建设思路、建设步骤,才能达到良好的效果。2.1 规划目标XX医院终端信息安全的建设,应当达到以下目标:1. 要实现终端层面的“防入侵”、“防外泄”、“防不良访问”三大安全防护目标。2. 在技术上,立足现有建设成果,建立终端“主动防御”技术体系。以完善当前端点策略遵从为目标,逐步转向IT法规遵从(等级保护要求)为目标。3. 在管理上,通过技术手段的支撑,逐步建立终端集中化、标准化、自动化、流程化的管理模式。2.2 规划依据作为终端安全的整体
11、规划应当考虑和关注的内容,Gartner提出了作为端点防护平台(EPP)的架构和内容,如下图所示:终端防护平台,主要通过当前提供防恶意代码技术,数据保护技术,PC生命周期管理以及未来技术(包括:认证、云技术、备份恢复等),借助统一的网络访问控制,为高层提供管理和报告的支撑。其中:1. 防恶意代码技术:主要通过防毒、终端防护、上网行为管控、网页访问管控等手段。2. 数据防护技术:主要通过终端防护、数据防泄漏、数据加密等手段。3. PC生命周期管理:可以通过专业的IT资产生命周期管理产品或者建立这样一个平台,配合企业的采购、使用、维护、退服等资产管理各环节的操作流程,进行标准化、流程化和自动化的管
12、理。4. 未来技术:通过身份认证、云计算技术、备份恢复等技术手段加强终端安全的管理。5. 网络访问控制:主要是通过终端的网络准入机制进行策略遵从和强制策略执行,并实施网络接入的控制。在工行目前已经初步实现。6. 管理和报告问题:通常需要建立一个安全管理平台将上述技术手段、产品相关的事件、日志等进行集中收集和分析,形成综合性的管理性报告,满足企业各管理阶层的管理需要。2.3 规划框架任何一个安全工作的落实,都依赖于组织(人)、技术、流程作为支撑,终端安全的建设也不例外,最终是要落实上述终端建设目标。分解XX昆明XX医院的终端安全建设的目标。依据Gartner的建议,结合国内的实际情况,XX昆明X
13、X医院提出了从网络、系统、数据,终端的行为,乃至终端整体管理几个方面的全方位终端安全总体建设框架(如下图所示),并提出了相应的规划内容。图1:终端安全建设总体框架 就上述终端整体解决方案中的建设内容来看,分为两个大层次,5个方面。第一层:安全专业防护层:从终端个体在信息系统中的可能发生的各种行为,以及相应的各种威胁角度,提供对应的安全技术手段。技术手段又分为4个方面:端点安全保护:这是终端安全的基础,保持终端自身的良好环境,防止各种途径的外部入侵和攻击,是降低企业整体风险的一个基本条件。终端准入控制:在终端自身系统保护条件基础上,对各类受控和不受控终端入网进行网络层面的准入控制是有效防范病毒、
14、蠕虫传播,防止风险进一步扩大,同时也是企业进一步落实终端安全策略的一个重要的手段。信息防止外泄:终端在自身环境和网络层面的管控得以保障后,进一步的在终端进行操作、存储的各类数据信息层面需要具备相应的安全手段加强防护,以保证企业最关心的信息数据不被非法的访问和窃取。终端行为管控:终端自身系统的保护并不能解决来自对互联网应用的安全威胁,这个威胁包括了来自不良网页访问给终端带来的各类威胁,还包括了内部员工浏览不当网页,影响生产力,滥用网络资源进行非法下载等威胁,加强终端用户的行为管理和访问内容的管理,是进一步增强终端安全的一个重要内容。第二层:安全集中管理层:实现终端标准化管理和法规遵从,需要通过相
15、应的技术支撑升段,才能达到高效的管理,最为主要的是集中管控和合规审计的手段。集中管控:在专业防护基础上通过提供安全管理、维护管理、备份管理等功能,实现终端的集中安全管控。合规审计:在端点专业安全防护的各项功能中已经基本实现了终端的安全策略的执行,可以通过集中的日志和安全事件管理,包括终端违规日志、操作日志、上网行为日志等,形成集中的收集和综合分析,形成终端合规管理的报告。第3章 XX医院终端安全建设内容基于XX医院终端安全建设框架,本期XX医院终端安全建设包括下面4个方面的内容:l 终端安全综合防护系统全面的终端安全防护,在已有终端防病毒的基础上,增强终端主机防火墙、入侵检测/防护技术、硬件/
16、应用程序控制、缓冲区溢出防护、进程控制等安全防护技术,以有效应对零日威胁/未知安全威胁。针对业务终端实现系统锁定,通过终端应用程序控制的白名单机制,防止任何已知或未知病毒在业务网内传播。“终端安全综合防护系统”同时与准入控制系统集成,一方面禁止非医院终端、违规终端接入医院网络,另一方面,基于准入控制系统发现的安全问题是可以调用终端安全综合防护系统调整防护策略。l 终端标准化运维管理系统部署终端资产生命周期管理运维工具,维护人员可以在完全无需人工值守的情况下对一台或多台终端设备进行日常的终端维护,也可以在一个集中管理平台上进行实时的终端管理工作,包括:l 资产管理,充分了解软硬件资产信息以及变更
17、;l 软件正版化管理,实时跟踪正版软件的许可,及时回收未使用的软件许可。l 操作系统部署分发,快速安装、恢复操作系统l 虚拟化的软件分发,提高软件部署工作效率,解决软件冲突问题,提高软件修复效率;l 全自动地补丁升级,包括操作系统补丁和常见应用补丁;l 终端远程维护以及实时的终端系统管理;“终端标准化运维管理系统”同时与准入控制系统集成,一方面强制终端必须安装标准化运维管理软件,另一方面准入控制系统检测到违规终端后可以利用管理运维平台进行自动修复(如安装补丁、部署防病毒软件等)。l 终端行为审计监控系统最近医疗行业出现的“统方泄漏”事件从技术角度来说,是一种典型的信息泄密事件,需要从“事前预防
18、、事中控制和事后审计”三个方面来看。终端安全防护系统和标准化运维管理系统,对“统方泄漏”等安全事件起到了预防和事中控制的作用。从事后审计的角度,对于各类信息安全事件/事故,需要通过“终端行为审计监控系统”对所有信息系统(主机、网络、终端、安全设备、应用)的安全日志、安全事件进行集中的收集、审计和关联分析。特别的,通过记录、监控HIS系统的访问日志,访问行为事件,关联分析HIS系统日志和其他安全设备,网络设备、终端日志,可以确保不当行为的事件监控和告警。即使事中控制环节没有及时进行阻止,事后审计也对所有事件进行了记录,这又反过来提高了涉密人员的防泄密安全意识。“终端行为审计监控系统”同样需要和准
19、入控制系统进行联动,保证终端上的日志审计功能正常。另一方面,准入控制系统将产生大量的重要的终端访问行为日志,需要输入到“终端行为审计监控系统”进行集中的事件审计和分析。l 终端准入控制系统“终端安全综合防护系统”、 “终端标准化运维管理系统” 、“终端行为审计监控系统”都依赖于终端准入控制保证管理和技术控制地落地,一方面防止合法用户私自卸载相关安全防护、管理工具,一方面严格限定非法用户和非法终端的网络接入,从而在安全威胁进入到医院网络以前进行阻断。XX医院将采用802.1x局域网强制,结合“只强制”和“点对点”强制方式,严格保证接入业务网的终端完全符合医院预定义的安全规范,杜绝未经授权的终端和
20、不符合医院安全策略的终端接入业务网,导致业务内网出现安全漏洞。第4章 XX医院终端安全建设方案4.1 终端安全综合防护系统-实现“零病毒”“零威胁”4.1.1 设计思路与技术实现在XXXX医院的网络架构中分为内部网络和外部网络。其中内部网络终端承载了XX医院最重要的业务信息系统,包括了医疗信息终端,业务收费终端,医护人员终端等等。因此对于内部网络终端我们需要对其做最严格的终端信息安全防护。通过进一步对内部终端的调研发现,处于内部网络的业务终端有如下的几个特征: 业务固定 使用人员和角色固定 使用时间固定 使用应用系统固定 网络访问固定通过内部终端的这些使用属性,建议对内部终端系统实现系统锁定,
21、通过白名单设置和资源使用权限设定等配置,实现“零病毒”,“零威胁”的内网终端信息安全防护的最终目标,确保内网终端始终处于安全的信息工作环境。具体技术包括:r 系统锁定/最小权限 通过核心操作系统服务策略配置选项,配置核心操作系统服务单独的行为控制,并作为操作系统的一部分安装核心操作系统服务。 通过严格限制防护策略,进行终端的系统锁定和白名单应用的设置。限定可以使用的业务应用程序,限定进行系统升级的系统应用程序,其他任何未授权的应用程序和进程都无法启动和安装。 通过资源访问控制,限定可以使用的操作系统服务,确定业务应用程序对资源的访问控制权限。资源包含文件,文件夹,注册表,设备和网络。任何未授权
22、的资源访问都将被阻断,只有受信任的管理账号和应用,进程通过相应的配置后才可以对资源进行修改或配置。 通过网络访问控制策略配置,限定可以使用的白名单应用程序或进程的网络访问端口。 通过威胁注入防护,实现对已知或未知威胁的行为控制,内存注入防护,阻止缓冲溢出攻击的发生。 通过关键系统和应用配置实现对核心系统配置文件,应用配置文件的监控和审计,防止这类文件的有意或无意的篡改造成的配置漏洞或系统弱点。 利用系统防护功能,锁定内部终端上的系统管理员账号的权限,防止通过泄露的管理员账号而产生的安全威胁事件。r 对爆发的未知威胁和多种新的威胁攻击方式的防护如今的恶意程序的发展趋势由之前的少量病毒大规模传播,
23、演变为大量的恶意程序变种攻击特定少数的目标。利用基于云的文件信誉对比技术Insight技术,可以更容易的阻止新的0day恶意程序的传播。同时大幅度提升了病毒扫描的速度,减少了所需要扫描的文件数量,减少对终端性能的影响。r 具备通用漏洞阻截技术的入侵防护通用漏洞利用阻截技术的思想是:正如只有形状正确的钥匙才能打开锁一样,只有“形状”相符的混合型病毒才能利用该漏洞进行攻击。如果对一把锁的内部锁齿进行研究,便可以立即了解到能够打开这把锁的钥匙必需具备的特征甚至不需要查看实际的钥匙。类似地,当新漏洞发布时,研究人员可以总结该漏洞的“形状”特征。也就是说,可以描述经过网络到达漏洞计算机并利用该漏洞实施入
24、侵的数据的特征。对照该“形状”特征,就可以检测并阻截具有该明显“形状”的任何攻击(例如蠕虫)。r 应用程序控制技术通过应用程序行为控制,在系统中实时监控各种程序行为,一旦出现与预定的恶意行为相同的行为就立即进行阻截。此外,基于行为的恶意软件阻截技术,还可以锁定IE设置、注册表、系统目录,当木马或者流氓软件试图更改这些设置时会被禁止。从而,即使用户下载了未知的恶意软件,也无法在终端上正常安装和作用。基于行为的防护技术非常有效,根本无需捕获恶意软件样本然后再匆忙响应,利用此项技术可以成功的在零时间阻截主流的蠕虫病毒,包括熊猫烧香、威金等。由于采用了集中的策略部署和控制,无须最终用户的干预,因此不需
25、要用户具备高深的病毒防护技术。同时,基于行为规则的防护技术非常适合于主机系统环境,主机系统应用单一并且管理专业,采用行为规则的防护是对传统防病毒技术的一个很好的补充。r 设备控制:设备控制技术让管理员能够决定并控制允许哪些设备连接端点。例如,它可以锁定端点,禁止便携硬盘、CD 刻录机、打印机或其它 USB 设备连接到系统,以防止将机密信息从系统复制到其中。禁止设备连接的功能还可以帮助防止端点受来自上述设备以及其它设备的病毒感染r 前瞻性威胁扫描Proactive Threat Scan是一种主动威胁防护技术,可防御利用已知漏洞的多种变种和前所未见的威胁。Proactive Threat Sca
26、n 基于分析系统所运行进程的行为来检测潜在威胁的启发式技术。大多数基于主机的 IPS 仅检测它们认为的“不良行为”。所以,它们经常会将可接受的应用程序行为识别为威胁并将它们关闭,严重影响用户和技术支持中心的工作效率,让管理员面临着艰巨的挑战。不过,Proactive Threat Scan 会同时记录应用程序的正常行为和不良行为,提供更加准确的威胁检测,可显著减少误报的数量。前瞻性地威胁扫描让企业能够检测到任何基于特征的技术都检测不到的未知威胁。r 终端系统加固事实上,确保终端安全的一个必须的基础条件时终端自身的安全加固,包括补丁安装、口令强度等。显然,口令为空、缺少必要的安全补丁的终端,即使
27、有再优秀的防护技术也不可避免地遭受到攻击和病毒感染。为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个网络安全不至由于个别软件系统的漏洞而受到危害,必需在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。建议集中管理企业网络终端的补丁升级、系统配置策略,可以定义终端补丁下载,补丁升级策略以及增强终端系统安全配置策略并下发给运行于各终端设备上的代理,代理执行这些策略,保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补
28、丁及安全配置管理策略得到有效的落实。4.1.2 部署方案在XX省XX医院的内部网络终端部署终端综合防护系统,通过服务器控制台统一配置,管理所有内部终端的安全控制策略,定义下载的统一管理分发。同时所有的内部业务终端安装终端综合防护系统代理程序,实现内部终端的严格管控,实现“零病毒”“零威胁“的安全防护目标。4.2 终端标准化运维管理系统-实现”零管理“4.2.1 设计思路与技术实现随着XX省XX医院的终端数量的不断增长,而且目前XX省XX医院的信息管理人员的缺乏,所使用的管理工具的复杂性,都要求有一套高效,统一的终端标准运维管理系统,能在一个统一的管理平台上实现大部分的终端运维管理需求功能,比如
29、软件和补丁的分发,远程维护,系统的统一部署和恢复,所有终端软硬件的资产信息收集管理和终端定位等。设计采用“终端标准化运维管理系统”实现对终端运维管理的需求。通过标准化运维管理实施,可以帮助XX省XX医院实现基于ITIL最佳实践的资产生命周期管理。r 终端资产清单管理(充分了解软硬件资产信息以及变更)通过终端资产清单管理功能,可以实现: 资产信息自动收集(如计算机硬件信息、安装的软件包、操作系统配置等) 资产变更自动监控,及时反映医院IT资产变化状况 资产评估报表集成,为资产评估以及升级提供科学依据,节约升级费用。同时用户可通过直接的接口对数据库的数据表进行调整,生成自定义报告。 自动跟踪应用程
30、序负载数据,如CPU和内存负载情况、软件的运行时间,软件使用状况,测定某软件将来需要授权证书的真实数量,回收使用率低的软件授权证书。 拒绝客户端用户使用非法软件,不管是联网用户,还是远程用户,甚至不联网用户!同时能够通过分发脚本,禁止某些功能(如限制修改IP、限制某些端口)r 终端系统部署功能(快速安装操作系统)l通过终端系统部署功能,可以实现: 支持快速部署多种设备:桌面PC、笔记本系统迁移以及部署 支持多种操作系统:如Windows, UNIX, Linux等 支持从裸机开始的系统部署:只要网卡支持远程唤醒。 裸机部署支持B/S结构,使用方便 减少新系统和应用的部署时间:当客户拥有大量的客
31、户端设备,而且分布在不同的地域,在安装操作系统和应用时,可以不用到每台计算机上去工作,就能完所有计算机的部署。 节约时间成本:减少系统和应用的升级和迁移的部署成本和时间r 终端软件管理功能(提高分发效率)通过终端系统部署功能,可以实现: 简化软件安装管理(完全控制台远程操作) 支持异地快速部署(节省时间以及差旅成本) 软件升级非常方便 (自动通过软件的版本,软件的注册表,软件的一切可定义的信息定位软件并决定是否需要升级) 无需用户参与,无需重新启动计算机,资源消耗低 支持低带宽下的软件分发,支持软件分发带宽管理,支持软件分发的断点续传 支持基于策略的软件分发:可以将软件只发给指定的用户群,不会
32、将软件分发给不需要的客户 可以设定软件分发计划:可以设定软件分发的时间,从而在下班时间或非工作高峰时间进行分发,提高效率 支持多种操作系统 可以生成软件分发结果报告:让系统管理员准确了解分发结果。r 终端软件虚拟化功能,有效节省license通过终端软件虚拟化功能,可以实现: 消除应用冲突:无需修改操作系统,也不与其它应用发生冲突,可以保证应用使用正确的文件和注册表设置。这带来了很多好处,如提高了可靠性和灵活性。举个例子,安装新软件或进行应用升级时,管理员可能会在无意间用新的.DLL文件替换了旧的.DLL文件,这会直接导致共享.DLL文件的应用间的冲突,然后,既有可能引发应用故障,也有可能导致
33、已修复的安全漏洞的再次爆发。现在,软件虚拟化可助管理员彻底摆脱“.DLL烦恼”。 有效缩短应用发布前的测试时间:在发布应用新版本之前通常需要大量时间进行冲突测试以及重新配备实验室测试电脑。软件虚拟化简化了部署前的测试,加快了部署周期,削减了部署后的支持成本。采用软件虚拟化,管理员可以在同一系统上安装同一应用的多个版本,而且新旧文件间不会产生任何冲突。该解决方案甚至还极大地加速了应用的阶段性发布过程,因为它随时都可以立即恢复应用状态。一旦旧应用完成向新应用的转换,关闭和删除旧的版本就很简单了。 按需提供应用:采用软件虚拟化,只要给客户端系统发送一个命令,管理员就可以根据需要激活或关闭应用了。应用
34、会立即生效。用户安装应用不需要具备系统管理权,也不必为激活或关闭应用后的重启操心。r 终端补丁管理功能(全自动化)终端补丁管理功能,可以实现: 自动为客户端安装补丁程序,减轻管理员的工作负担提高补丁程序的安装效率(系统管理员不用到每台计算机上去安装补丁程序,就能完成远端计算机的补丁安装) 支持快速的远程分支机构的补丁管理,不需要出差进行补丁程序安装(节约支持费用) 支持基于策略和目标的补丁分发(可以将补丁只发给指定的用户群,便于用户按照部门之间不同的安全级别进行补丁修补) 补丁可用性测试,减少补丁对应用的影响:一些补丁程序可能会导致系统或者应用程序的不稳定,所以管理员需要在安装前进行测试。补丁
35、管理可以先建立一个小规模的集合或者组,然后进行测试,通过小范围测试提前发现这些补丁程序可能对系统或者应用程序造成的影响 如果忘记了补丁可用性测试,万一因为安装补丁程序,使系统瘫痪(系统奔溃)或应用程序不能正常工作,通过和备份方案的整合能实现系统和应用尽快的恢复 能够生成详细的补丁更新和分发的详细报表r 终端实时系统管理功能(无需安装客户端)实时系统管理功能,可以实现: 可实时查看用户的进程信息,结束非法的进程(避免非法进程) 可以实时查看计算机全部系统端口(避免非法端口使用) 可以跟踪计算机路由(获取信息的当前传输路径) 可以实时查看CPU使用率(获知计算机的处理能力是否出现高负载以及大量的资
36、源空闲) 可以实时查看内存使用情况(获知计算机的内存使用是否出现高负载以及大量的资源空闲) 可以实时查看磁盘使用情况(查看是否需要扩张硬盘空间) 可以实时查看客户端操作系统日志(密切留意系统发生的一切) 能够支持Intel vPro(支持非windows状态的管理) 完全支持常用带外管理协议,包括ASF、AMT、DASH等(强大的兼容性)r 终端远程维护功能(可录制审计远程维护过程)远程维护管理功能,可以实现: 基于带宽控制的远程维护(适用于各类带宽) 多种身份认证,确保安全性(适用于各种安全级别的登录) 可选用户确认登录模式(避免最终用户的抵触) 除了传统的远程画图,对话等功能外具备了录像功
37、能,能够为远程维护的合法性,正确性提供佐证(便于重现故障现场以及作为远程维护规范性以及可监督性的佐证) 完整的日志记录(可监督性) 能够通过专门的控件管理不同安全级别的计算机以及服务器(适用多种安全网络架构)4.2.2 部署方案由于XX省XX医院的信息管理主要面对内部业务终端,建议在内部网络部署终端标准化运维管理系统一套,部署管理控制台在一台较高性能的内网服务器上,所有内部网络终端部署代理软件。所有的运维管理策略和操作通过控制台根据设定的范围统一下发到内网终端上执行。部署顺序上,最先部署终端标准化运维管理系统,通过软件分发功能,可以在一个控制台上快速高效的,受控的,可根据带宽,位置,不同部门等
38、进行其他安全防护软件的部署安装,大幅提升XX省XX医院整体安全解决方案部署的成功率和部署效果。4.3 终端行为审计监控系统-监测”不当操作行为“4.3.1 设计思路与技术实现XX省XX医院的核心业务系统HIS系统存有大量的关键医疗信息,比如医疗统方信息等,这些信息的正常查询应该通过XX医院制定的查询管理流程来完成对这类信息的访问查询,但是由于这些关键信息可能带来的利益,存在业务终端内部员工滥用自身HIS客户端或其他数据库客户端应用来违规查询医疗统方信息的行为。这类违规的行为需要通过建立一套终端行为审计和监控系统对其进行行为审计,当这类行为发生的时候能告警并通知相应管理人员对事件进行进一步的调查
39、和反馈。由于这类对HIS核心系统的医疗信息查询是透过SQL语句查询来完成,对这类SQL语句的监控比较难以仅仅通过部署网络位置上的网络内容侦听的方式来完成,因为要通过分析多条SQL语句的上下文内容关联才能准确知道是否该查询操作是一个违规的查询请求。这是网络侦听难以做到的。因此,通过部署终端行为审计监控系统实现对不当操作行为的审计:第一步:通过对HIS系统,网络设备,终端HIS客户端系统等不同系统所产生的日志来进行收集。掌握所有的不同系统上发生的事件。第二部:通过对不同系统的,网络的日志信息的收取,然后和HIS系统产生的访问日志进行关联分析,我们可更准确的得知那个内部用户/IP,在什么时间,什么位
40、置,试图尝试了对HIS系统内部医疗机密信息的违规查询行为,并生成告警事件和报告报表对违规用户进行进一步的调查和违规教育,第三步:最后根据设定,完成事件的归档存储,以便能在以后调出归档数据进行进一步的审计分析或作为事件调查的证据证明。通过这套系统的部署,可以实现对违规行为的监控和审计,了解并掌握违规HIS统方查询行为的详细情况,呈现相关的违规行为的详细报告给相关部门,从而纠正并教育违规人员的不当操作行为,最终实现XX省XX医院内部违规操作行为的”零发生“。同时通过这套行为审计系统的部署,还能实现对XX省XX医院整体安全能有一个全局性的监控,我们掌握的安全报告和分析,不再仅仅是片面的某个系统的安全
41、事件,而是结合多个系统的整体安全事件和分析报告。是一个从点到面的安全事件管理的飞跃。终端行为审计监控系统总体架构分为四个层次:1. 信息收集层面该层面面向原始设备(如安全设备、主机设备),从这些原始设备中收集安全事件。事件收集的方式有以下几种: Syslog 专用Agent SNMP等 ODBC、JDBC OPSEC同时,在事件收集层面提供“Universal Collector”(即“通用事件收集器”)为新增设备预留接口。2. 协调分析层面在信息收集层面收集到原始数据后,相关数据会自动进入协调分析层面。该层面是 安全事件管理系统事件处理中枢。所有安全数据经收集后会进行正则化/标准化处理,转变
42、为终端行为审计监控系统能够识别的数据内容(数据标准化)。此时,可能会形成海量数据进入数据库。所以,依据管理员的设定,在数据被标准化后,可以对数据进行过滤。此处的数据过滤可通过两种方式来进行:一个是在原始设备处根据原始数据的ID和关键特征进行前期的数据过滤;另外一种是在终端行为审计监控系统的基础平台上通过界面配置的方式进行事件过滤。关联分析引擎可将不同类型的安全事件依据定义的规则进行关联分析,这种关联分析是跨产品的,以期形成安全攻击/违规操作过程的因果关系。3. 综合处理层面综合处理层面一方面可以为协调分析层面提供数据来源(如资产信息,安全策略管理信息等),另一方面要协调各方进行重要安全风险的发
43、布和处理。针对安全风险的响应方式是多样化,如进入工单系统,发送Email,电话/短消息等。4. 呈现界面终端行为审计监控系统全部以Web方式展现,管理员可以在本地和远程通过 安全事件管理系统 门户网站对 安全事件管理系统进行管理。主要功能包括: 安全事件管理 策略及审计管理 配置管理 风险管理(含资产管理、漏洞脆弱性管理及威胁管理) 响应管理 身份管理 安全预警管理 安全知识管理4.3.2 部署方案建议在XX省XX医院的内部网络安装终端行为审计监控系统服务器一台,该服务器负责对所有相关网络设备,安全设备及安全系统,终端操作系统,终端安全防护系统等日志信息进行收集和标准化处理,并进行关联分析,发
44、现违规行为的发生。4.4 终端准入控制系统-强制隔离”非法终端“4.4.1 设计思路和技术实现如前所述,XX省XX医院前期已经部署了一定的终端安全防护措施,制定了较为严格的终端安全防护策略。同时在这次的安全建设中,也会部署一些解决方案从技术上进一步加强终端的综合防护能力,对业务内部网络终端进行锁定保护,强化业务终端的内容和行为审计。这么一系列的防护措施和安全策略我们都需要一个有效的机制保证这些防护策略和防护方案已经完完全全的在终端上得到了有效的执行,确保进入XX省XX医院的内部网络中的所有终端均已完全满足了XX省XX医院的所有安全安全防护策略要求才能进入内部网络访问内部资源。因此我们建议通过利
45、用终端准入控制系统实现对终端的全面主机完整性的检测,所有内部网络终端在接入XX省XX医院的时候都要判断其终端是否完全满足XX省XX医院的制定的终端安全策略,如果终端上有任何的安全上的不满足,比如防病毒未安装,防病毒定义没有跟新,防火墙没有开,系统保护应用没有启用等等都将阻止这类终端进入XX省XX医院网络。保证了XX省XX医院的安全建设效果,加强了XX省XX医院的防护能力。4.4.1.1 终端准入控制的方式终端准入控制系统包含多种方式,可以实现对XX省XX医院的终端准入的严格管理和控制。 手动强制手动强制虽然不是自动化的隔离技术,但在管理实践中却是使用频率最高的手段之一。通过在终端准入控制系统管
46、理控制台创建一个隔离组,然后为该组分配特定的隔离策略。当通过人工方式判断出一个终端处于高风险或者违规状态时,将这个终端手动方式移动到隔离组中,即达到了隔离效果。这种方式下管理员不需要去定位交换机端口,并拔出网线。更加省时,而且避免误操作。 自强制利用终端准入控制系统与“终端安全综合防护系统”的主机防火墙规则和智能切换的能力实现本地自强制。这种方式最易实现,不需要和网络中其他强制服务器发生任何关系. 如果系统没有通过主机完整性准入检测, 将自动切换到一套隔离策略以阻断网络通讯然后开始执行完整性恢复操作; P2P强制终端准入控制系统软件能够对向自己发起访问请求的用户进行安全检查,以确定该访问者是否
47、符合医院的安全策略规定要求。能够确保所有的通讯只可能发生在被医院正常管理下的客户端之间进行,同时,这些客户端必须符合医院制定的每一项安全检查策略。 局域网802.1x准入与隔离局域网的网络准入控制系统可以和支持802.1X功能的交换机完成对用户的接入认证;当用户没有安装安全客户端软件或者虽然安装了安全客户端软件但是主机安全检查不合格时,局域网的网络准入控制系统可以通知交换机将该用户连接的交换机端口关闭,或者通知交换机将该用户的端口VLAN切换到修复VLAN,强迫用户完成安全修复后才将用户切换回正常VLAN,可以正常访问XX省XX医院的内部网络和资源。局域网强制准入控制器还可以配合第三方的身份认证系统进行准入控制,通过和第三方的身份认证系统结合,做到连入网络的终端,在何时,何地,那个使用者是否符合了XX省XX医院的准入控制要求,交换机根据符合条件采取相应的动作。 网关准入与隔离在终端连接到XX省XX医院内网时,又或者是从XX省XX医院的一个内部子网试图访问另外一个内部子网时,强制网关实时检查这些用户的安全性。只有安全性达标的用户才能访问强制网关后的局域网或
