医疗教育政府行业解决方案.docx
《医疗教育政府行业解决方案.docx》由会员分享,可在线阅读,更多相关《医疗教育政府行业解决方案.docx(28页珍藏版)》请在冰豆网上搜索。
医疗教育政府行业解决方案
XX医院
IPDSMS桌面管理解决方案
上海创多软件有限公司
二〇一八年十月十一日
第一章概述
随着社会的发展和生产力水平的提高,医疗系统拥有的信息资源和处理信息的能力成为最能代表其综合实力和管理效率的战略资源。
如何管理不断增加和更新的信息化设备并使之发挥出最大的作用成为每一个管理者必须面对的问题,尤其是对于数量庞大的网络终端;如何管理并保障信息安全,成为最重要,也是最耗时的管理任务。
●庞大的网络,众多的终端,你是否还只能拆开机箱逐台进行硬件配置资产的清点?
●终端上纷杂各异的软件,你通过什么方法进行统计?
●你今天是否在为昨天哪几台终端安装了新的软件和硬件而冥思苦想?
●微软又发布了新的补丁,你是否还在为如何为成百的PC以最快的速度安装补丁头痛呢?
●大量非法软件的安装和使用,严重影响网络的安全性和可靠性,你是否还在为如何杜绝员工上班时间网上炒股、BT下载、QQ聊天、玩游戏而犯愁?
●跨楼层、跨地域的电脑分布,是否还只能来回奔波进行维护?
●便捷的U盘,时尚的MP3,你是否正在为如何防止公司重要文档和资料的随意拷贝,进而泄密而寝食不安?
网络安全体系中缺乏安全防护管理工具,长期以来受到计算机病毒、电脑黑客、非法使用者的威胁,大量的系统漏洞和安全隐患被恶意破坏者所利用,特别病毒、内部恶意行为等严重影响了计算机网络系统的正常运行。
特别是在目前整体实现了信息化以后,所有的业务、办公都依赖于网络系统,网络系统的故障会严重正常的业务办公。
服务器系统、存储系统的故障造成数据的破坏及丢失甚至会造成系统的瘫痪和无法弥补的损失。
因此,为网络系统建立全面的安全防护体系,保证网络的正常运行己迫在眉睫。
我们将重点考虑:
保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范入侵者的恶意攻击与破坏,保护信息通过网上传输过程中的机密性、完整性,防范计算机病毒的侵害,实现系统快速恢复,实现网络的安全管理,建立相应的远程安全管理通道和管理平台,建立一套完整可行的网络安全与网络管理策略。
第二章XX医院内网安全需求分析
XX医院网络系统在办公、业务过程中,根据办公需要,采用先进的、成熟的、开放的网络技术建立起了庞大的网络体系。
由于网络体系越来越复杂,应用系统越来越多,网络规模不断扩大,再加上与internet非信任网络的连接,网络内部用户已经不单单是绝对的内部用户,对整个网络安全形成了巨大的威胁,因此整个网络承受着来自外部、内部、黑客、病毒、应用、管理等各方面的威胁。
目前,XX医院网络中心已采用部分安全防护措施,但是,网络中仍然存在来自内部和管理的安全隐患,迫切需要解决,包括;
(1)网络集中管理的问题
随着内网计算机的增多,应用的增多,目前XX医院内网已经有500多台终端,计算机终端的管理难度越来越大,因此,必须针对各个大楼的网络终端进行全面的安全规划,包括VLAN的划分,路由的启用,IP地址的规划,统一的制定安全防护策略,集中管理分级管理,保证网络整体的安全性和各个局部的安全性。
随着网络规模的扩大,做软硬件资产靠传统的统计手段已经无法实现,不能实时发现网络中硬件资产的变更情况,严重情况下会造成医院固定资产的流失;
(2)来自网络内部的安全威胁
Ø网络中终端机存在病毒问题,传统的防护措施已经不能阻止现有病毒的传播,windows系统漏洞补丁就是一个重要的防毒工具,而且是最底层最有效的工具,安装好系统补丁,很多基于windows系统漏洞的病毒,蠕虫就无法影响网络,由于微软一直随着应用发布补丁,所以是否能把整个网络的终端补丁更新至最新状态是急需解决的问题;
Ø终端用户任意接入到其它网络,外部用户任意接入进来,无法保证整个系统是独立可管理的网络;比如说医院内部由于有些终端能上网,这样就有很多员工利IE代理软件非法上网,逃脱整体策略的管理,从另一方面也带来了诸如黑客,病毒的安全风险;
Ø员工安装使用黑客工具、恶意软件、非法软件等,恶意、无意的非法操作行为影响网络或其它终端正常运行;包括员工利用工作时间玩些单机的游戏等等;
Ø员工滥用网络资源,BT下载、网游等,影响网络性能;
Ø员工更改网络配置,造成网络资源冲突,影响网络正常运行;
ØUSB存储设备的大量使用,给网络带来了新的问题,除了会造成大量资料的对外泄露,另外也给病毒的传播带来了隐患;
Ø由于楼层和区域的分布因素,办公点终端的小故障维护必须到现场,效率不高;不能实行远程的故障处理方式;
第三章解决方案
根据以上分析,我们建议采用一套综合的桌面加固软件解决网络集中管理和内部安全威胁的问题;建议采用的模块:
资产管理、网络访问管理、补丁管理、外设管理、桌面设置、接入设备管理、进程管理、远程桌面八大模块。
1)完备的资产管理
✧硬件资产管理
硬件资产管理为IT管理员提供便捷的查看全网终端硬件分布情况的有效手段。
这一功能同样也能为终端的资产管理带来便利。
硬件表极大的方便了资产统计人员,避免了过去做资产统计必须拆机箱的做法,IPDSMS利用先进的自动捕获技术,及时收集所有硬件信息,并以WEB页面、报表等形式提供给使用者。
IPDSMS可捕获的信息包括:
主板型号、CPU型号、CPU主频、内存大小、硬盘序列号、硬盘容量、硬盘剩余空间、光驱类型、光驱型号、网卡MAC地址、显卡型号、声卡型号、软驱型号等,涵盖了日常终端资产统计的所有内容。
极大地提高了终端硬件资产统计的效率。
✧软件资产管理
软件资产管理使IT管理员能快速查看全网已安装软件及其分布情况。
IPDSMS采用分布处理、集中管理的模式,通过分布在客户端(被管理端)的IPDSMS子模块快速分析本地已安装软件,并在IPDSMS服务器端汇集成全网统计信息。
IPDSMS采用了交叉搜索判定方式,准确定位网络中各终端安装的所有软件信息,确保万无一失。
通过软件资产管理,IT管理员可以快速获知已安装软件的种类和名称,以及这些软件在网络终端中的分布情况,是否有终端还未安装必需的软件,是否有终端安装有不符合规定的软件等信息。
✧软硬件变动管理
软硬件变动管理是在提供软硬件当前配置安装信息统计的基础上IPDSMS向用户提供的一个具有变革意义的功能。
通过软硬件变动管理,IT管理员和资产管理员可以跟踪网内终端硬件和软件的历史变化信息。
哪些机器增加了新硬件,哪些机器安装或者卸载了软件,软硬件变动管理都进行实时的记录和统计、形成报表,做到有据可查、有证可依。
✧资产台帐管理
IPDSMS快速软/硬件资产统计功能,使IT管理员的工作效率得到提高。
以此为基础,IPDSMS更提供了IT资产台帐功能,使财务部门的IT资产统计同样变得高效准确。
财务部门通过IPDSMS的资产台帐功能可以及时获得信息系统的软/硬件资产报表。
2)准确的进程监控
程序监控功能使用IT管理员可以对网络终端当前正在运行的应用程序及其分布进行统计。
也可能对不符合公司/企业规定的应用程序运行进行干预。
✧自带的进程信息库
IPDSMS自带了进程信息库。
进程信息库是基于市面上现有的软件进行构建的。
包含进程的所属应用软件名称、用途及其分类。
通过IPDSMS自带的进程信息库,IT管理员可以快速识别和统计全网正在运行的应用程序,并可制定应用程序的运行规则进行预先的策略设定。
简单的几个设置,就达到了显著的效果.即使非专业人员,也可以简单而轻松的管理全网络的可运行程序。
✧信息库升级与扩充
IPDSMS自带的进程信息库具备了升级扩充能力,以对新出现的软件进行识别。
IPD将定期更新和升级进程信息库,并免费向所有注册用提供。
这也是IPD向用户提供的售后增值服务之一。
IT管理员不用费尽脑汁去想办法应对层出不穷的新程序,只需定期升级进程信息库,就能使进程管理工作按计划有步骤的进行。
✧监控/干预程序运行
进程管理使IT管理员可以对当前全网各终端正在运行的应用程序进行实时地统计。
这就为IT管理员对正在运行的应用程序进行监控和干预提供了可能。
如监控可疑进程(病毒,木马,蠕虫等),干预不符合公司/企业规定的应用程序运行(上班时间使用QQ、MSN,BT,FlashGet,玩游戏,看电影、钞股等)。
通过使用IPDSMS的进程管理功能,IT管理员可以及时停止这些进程的运行,也可利用进程管理中的黑名单设置,进行永久性的进程运行屏蔽。
(如在黑名单中加入RealPlayer并指定黑名单生效的时间,则在指定时间内各终端均无法启动RealPlayer。
)
利用IPDSMS的进程管理功能,IT管理员可以全局性的掌控网络中应用程序的运行策略,确保内部网络的高可利用性和高安全性。
3)智能的自动补丁
自动补丁包含两个主要的功能。
一是传统意义上的补丁自动下载与安装,包括操作系统补丁和应用程序补丁,尤其是指微软发布的各种补丁。
二是各种应用软件的分发和自动安装。
✧自动补丁安装
IPDSMS的自动补丁模块最基本的功能就是按照即定的策略对网络终端进行补丁的自动下载和自动安装。
通过IPDSMS的自动补丁模块,IT管理员可以对已知和未知的补丁制定下载和安装策略。
如补丁是否安装、安装的条件、安装的时间等,并可跟踪各终端的补丁安装记录。
这种策略可以是针对单台终端的,也可以是针对一组或多台终端的。
IPDSMS将自动检测全网终端的补丁现状,下栽还未安装的补丁,并以服务器为中心,进行策略控制下的推送安装,确保所有网络终端能在最短的时间按即定策略完成所需补丁的安装,减少黑客或病毒攻击的机率,提高网络及终端的安全性和可用性。
✧补丁更新与下载
IPDSMS充分运用了自身的服务器端特性,使补丁的下载和安装在IPDSMS服务器端进行集中控制。
针对微软的各类补丁,IPDSMS开发了增量下载和自动下载机制。
客户端(网络终端)的补丁直接来源于IPDSMS服务器端。
这就意味着在运行IPDSMS自动补丁模块的网络中,从外网下载补丁的将只有IPDSMS服务器,其带来的外网出口带宽节约是极其可观的。
同时IPDSMS开发的增量补丁下载机制更进一步节约了外网出口带宽——IPDSMS服务器只下载IPDSMS服务器中缺少的补丁,而不是全部的补丁。
同时,IPDSMS发行包提供了微软件补丁光盘,包含了已有(截止发行包制作时)的微软补丁。
IPDSMS开发的自动补丁下载机制,使IT管理员可以设定IPDSMS服务器定期从外网检测补丁更新信息。
由于IPDSMS采用增量下载机制,你也不用担心不同的检测时间间隔对外网出口带宽的影响差异。
(我们并不建议用户设定过短的时间间隔。
)试想一下,假如设定检测时间间隔为两小时,那么,IPDSMS服务器最长两小时就可以检测到微软新发布的补丁并进行下载,同时利用自身的补丁推送功能下载完成后立即按新补丁的即定策略(IT管理员事先指定)开始向网内策略指定的终端下发并安装,其效率和智能化程度是不言而喻的。
✧软件分发与安装
IPDSMS在成功开发出补丁智能化安装功能后,更进一步向用户提供了应用软件自动下发与安装功能。
这里所指的应用软件包括所有的可执行程序和数据文件。
IPDSMS这一新增的功能使网络终端进行软件安装时IT管理员必须物理接触终端成为历史,极大降低了IT管理员的工作强度,提高了工作效率。
IPDSMS提供的软件自动下发与安装同样是基于策略控制的。
IT管理员制定策略,剩下的都交给IPDSMS!
4)强大的端口策略
IPDSMS端口策略中所指的端口,是广义的端口,既包括通常所指的TCP/UDP协议端口,也包括IP/MAC地址、URL列表等。
换一种说法,是指客户端(网络终端)访问网络的方式和渠道。
这种策略应用在各个终端之上,具有明显的分布式特征。
这种策略的实施,使不符合规定的网络访问被拦截在它的发源地——终端本身,可以极大的降低路由器、网关和防火墙的压力。
✧TCP/UDP端口访问规则
TCP/UDP端口访问管理功能可以让IT管理员对不同的网络终端设定对特定TCP/UDP协议端口的访问规则。
如是否允许访问、允许访问的时间等。
TCP/UDP端口访问规则的实施,可以使用IT管理员拥有对特定网络应用程序的运行进行控制的能力,是在进程管理的基础上对网络终端行为的另一种管理方式。
因为所有依赖于TCP/IP协议的网络应用,不论是完成特定功能的应用程序,还是病毒木马,都必需经由特定的TCP/UDP端口实现。
通过TCP/UDP端口访问管理,IT管理员可以部署相应策略,允许或禁止终端访问特定的资源,如市场部门不能访问财务部,一般员工不能访问管理级的服务器资源,彻底解决网络资源访问权限规划的问题。
✧URL访问规则
通过实施IP地址访问规则,IT管理员可以根据企业/公司的规定,对不符合规定的URL地址进行屏蔽,只开放符合规定的URL地址,达到对网络访问进行控制的目的。
如一般员工只能访问公司邮件系统,只能上公司网站等。
用技术手段对公司/企业的规章制度落到实处提供了保障。
✧阻止网络病毒传播
IPDSMS的端口策略也可用于辅助防止网络病毒传播。
由于防病毒软件的滞后性,新型的网络病毒(如蠕虫类的冲击波、震荡波、高波等病毒)得以在网络中快速传播。
在杀毒软件升级之前,除了断开网络,几乎没有别的办法。
直至逐台杀毒完成,网络才能恢复正常。
(通常我们都会使用拔网线杀毒,而这是极其痛苦和没有效率的过程。
)面通过IPDSMS的端口策略,IT管理员可以关闭所有终端上病毒赖以传播的端口,迫使蠕虫病毒成为单机病毒,为查杀病毒创造条件,起到事半功倍的效果。
✧分布式防火墙
通过部署有效合理的端口策略,还能辅助硬件防火墙提高网络性能。
当网络不断扩张的时候,内部子网越来越大,网络终端数量越来越多,数据流量越来越大。
为了实现内网不同终端的访问规则,必须在防火墙上设置更多的策略和规则。
防火墙也必须用更多的时间检测数据是否符合访问规则,当规则越来越多时,防火墙的性能就会下降,甚至可为网络访问的瓶颈,使得网络整体性能下降。
通过IPDSMS的端口策略部署,可以把应该在防火墙上做的访问策略转移到终端上来,把不符合规定的访问拦截在它的源头——终端本身,在网络边界的防火墙则不需要复杂的访问规则,其性能得以提高,网络的利用率也相应提高,业务流程更加顺畅。
✧端口查询
端口查询可以对单点PC的端口开放情况进行查询,当有危险端口开放的时候,管理员可以根据情况,进行控制。
5)便捷的远程维护
通过IPDSMS,IT管理员可以获取网络终端的实时屏幕图像和对网络终端的操作控制权(也可称为对终端的接管)。
可以只获取屏幕实时图象,也可同时获取屏幕实时图象和对终端的操作控制权,使IT管理员可以进行远程故障诊断和排除。
✧远程故障诊断和排除
IPDSMS的远程支持功能,使IT管理员可以跨地域解决终端常见的问题。
只要终端还能运行,网络在正常工作,IT管理员就可以在自已的办公室里通过IPDSMS进行远程支持,不用为了要打开故障终端里的一个应用程序,点两次鼠标而来回奔波。
提高工作效率。
✧终端远程接管人性化
为了符合人性化、以人为本的管理理念,IPDSMS在提供远程支持功能时专门增加了可选的接管确认选项。
设定确认选项后,管理员在获取网络终端的实时屏幕图像和对网络终端的操作控制权(接管)前,必须要终端的当前用户确认。
没有用户的确认则无法接管终端。
6)安全的外设管理
✧允许/禁止外设
IPDSMS所提供的外设管理,包括对USB设备、串口设备、并口设备、软驱、光驱、内置MODEN等设备的管理。
可以针对每一类的外设设定允许使用或禁止使用的策略。
在USB设备中,IPDSMS还区分了U盘、移动硬盘、打印机、键盘、鼠标等不同的设备,使外设管理更准确。
通过IPDSMS的外设管理功能,你再也不用因为安全和保密的需要而在外部设备或接口上贴封条,或直接破坏外设接口等,既达到了管理的目的,又保证了终端的硬件完整性。
7)高效的桌面设置
为了提高终端应用环境的可维护性,IPDSMS提供了高效的桌面设置功能。
✧IP/MAC地址绑定
IPDSMS的IP/MAC地址绑定功能,使IT管理员可以更加严格的规划和分配网络中的IP地址、防止用户自行改变IP地址。
当终端应用了IP/MAC绑定策略,而终端用户自行改变IP地址,则IPDSMS会阻止改变IP地址,同时阻断该终端的网络访问。
IPDSMS在阻断访问后会自动恢复绑定的IP地址,恢复成功后重新开放该终端的网络访问功能。
这一过程不会影响到其它终端的网络访问。
✧桌面环境设置
通过桌面环境设置管理,IT管理员可以进行远程终端维护,如对系统服务的查看和做启停控制、查看各个磁盘的使用情况和分区大小、对本地用户的查看和做启停控制、对共享文件的查看和做启停控制、对系统日志的查看、对IE进行绑定、让客户端和服务器时间同步、对开机程序的查看和控制、定时开关机等。
而这些设置,都是在管理界面中以策略的形式制定并下发至终端,IT管理员并不需要直接操作目标终端。
8)接入安全控制
IPDSMS提供了接入安全和内网安全控制手段,通过此功能,可以有效的管理内网安全。
功能如下:
●新接入网或非法PC
1:
阻断其网络通信 2:
例外放行 3:
重定向URL
●合法PC但未安装IPD客户端
1:
阻断其网络通信 2:
例外放行 3:
重定向URL
●合法PC其IP地址变更
1:
阻断其网络通信 2:
例外放行 3:
重定向URL
●未安装规定软件时
1:
阻断其网络通信 2:
例外放行 3:
重定向URL
●安装非法软件时
1:
阻断其网络通信 2:
例外放行 3:
重定向URL
9)多级服务器架构
IPD服务器是用来管理和维护众多PC的核心服务。
对于以下网络环境,需要多级服务器:
1)客户网络跨地域分布,且每个地域有局域网PC要管理。
2)局域网规模庞大,靠单个服务器,无法针对几千台PC达到最佳管理效率。
3)分支机构的PC,无专人维护,有集中运维要求。
多级服务器能延伸和扩大管理范围。
对于集团性管理需求,其本身的多级机制,需要既满足总部管理需要,又满足局部性管理需要。
多级服务器由多个管理服务器和中继服务器组成。
多级服务器管理架构示意图:
分部管理服务器
管理服务器的作用
管理服务器承担对中继服务器的调度和分配,以及提供管理控制台存取服务。
管理服务器提供对各中继服务器数据存取服务。
每个管理服务器可以挂接多个中继服务器。
管理服务器可以级连,成为一个树状结构。
中继服务器的作用
中继服务器承担对PC直接的管理维护作用。
中继服务器主要发挥PC管理数量均衡分配,以及管理延伸的作用。
对于PC数量比较多的情况,可以由多个中继共同达到管理目的。
对于分支机构,可以对当地PC进行管理,但又在总部管理服务器管理之下,扩大IT管理者管理半径。
管理服务器环境配置要求
管理服务器包括如下应用:
●IPD中继服务器管理调度程序
●IPD文件服务器
●自带MSDE数据库(也可以是使用SQLServer或Oracle)
操作系统环境以Windows2000Pro/Server(要装SP4)或者Windows2003为主。
需要IIS。
P4CPU。
至少256M内存。
安装目录至少需要3G剩余磁盘空间。
中继服务器环境配置要求
中继服务器包括如下应用:
●IPD中继服务器程序
●IPD文件服务器
操作系统环境支持Windows2000Pro/Server(要打SP4)、WindowsXP及Windows2003。
P4CPU。
最少256M内存。
安装目录所在磁盘需要3G硬盘剩余空间。
多级服务器分配
首先在总部,部署管理服务器,作为整个管理的根(root)。
为总部分配一个或多个中继服务器。
如果分部有固定IT管理员,可以分配下级管理服务器给分部,如果没有,需要直接管理,则分配中继服务器。
分配完成后,便可以部署。
10)部署方式和运行环境
IPDSMS的管理界面基于B/S结构,管理员可以从任何一台安装了浏览器的终端进行登录并操作IPDSMS网络管理的所有功能。
IPDSMS的后台功能实现基于C/S结构,包括服务器端和客户端,这两部分是没有界面的。
(IPDSMS服务器端要求管理员手工安装,IPDSMS客户端可以用推或拉的方式进行全网自动安装或逐台手工安装。
)IPDSMS单服务器的典型部署如图3。
其等效逻辑结构如图4。
✓运行环境
IPDSMS系统管理套件支持对所有运行微软现有操作系统的原装和兼容PC终端的管理。
暂不支持运行其它操作系统的用户终端。
✓客户端
客户端为实施管理的对象,IPDSMS系统管理套件支持所有运行微软现有的操作系统的原装和兼容PC,支持的操作系统如下表:
操作系统
Windows98
WindowsNT4.0Workstation/Server
Windows2000Professional/Server/AdvanceServer
WindowsXPProfessional/Home
Windows2003Server。
网络协议
TCP/IP
✓服务器
服务器端用于安装和运行IPDSMS系统管理套件的服务程序。
✓硬件环境
CPU
450兆赫(MHz)PentiumII级处理器,
建议使用600MHzPentiumIII级处理器
内存
256兆(M)
硬盘空间
2G以上
光驱
CD-ROM或DVD-ROM驱动器
✓软件环境
操作系统
Windows2000Professional/Server
Web服务
MicrosoftInternetInformationServer
MicrosoftFTPpublishingServer
网络协议
TCP/IP
第四章产品优势
IPDSMS系统管理套件采用基于B/S结构的分级多服务器架构,其后台采用C/S结构,采用可拆分的独立功能模块形式,其逻辑结构如图1。
(一)IPDSMS系统架构优势:
1.实用性
IPDSMS系统管理套件充分考虑客户的实际需求,最大程度地贴近用户网络环境,其开发、改进和完善的出发点和驱动因素,都是用户需求和市场反馈。
IPDSMS系统管理套件的每一个独立功能模块都是从详尽的市场调研和无数的市场推广及项目实施中提炼出来的,都进行了实用化的功能设计和全面的优化,以期客户最小的投资实现最全面且实用的管理功能。
资产管理、进程控制、软件分发、自动补丁、端口管理、远程桌面、外设管理、桌面设置、系统预警、网络拓扑十个管理模块,每一个模块都使其相对应的管理工作变得高效、快捷。
2.易用性
IPDSMS系统管理套件将所有的网络管理功能用统一的WEB浏览器界面实现。
其集成度是其它产品所无法比拟的。
统一的界面、操作方式,对简体/繁体中文、英语和日语的全面支持,使你只要会浏览WEB网页,就能使用IPDSMS系统管理套件。
IPDSMS系统管理套件操作界面的开发目标,就是让IT管理员无须任何培训就可以使用,进行系统管理。
3.移动性
IPDSMS是基于Web的网络管理系统,具有Web环境下的各种优良特点,包括使用方便,不限于指定的操作工作站,可以同时支持多人在不同的地点访问管理网络,方便地分级监控体系架构,适合于任何规模的网络管理。
适合于多人多点同时进行网络管理操作;
4.灵活性
IPDSMS系统管理套件提供一个完全客户化的定制管理套件,采用先进的结构化和模块化设计,各功能模块拆分组合非常容易,还可为客户定制特定的功能需求,使用户能够方便地建立基于任务优化控制台视图和基于用户规则的对控制台功能访问限制。
快速发现企业计算机资产信息、软件硬件配置情况和在网络中的位置,策
升级会员 