XX大型医院终端接入管理系统平台建设解决方案Word格式.docx

1、2.2.1 方案概述 112.2.2 高可靠性应急预案 132.2.3 主要业务流程 132.2.4 终端接入管理系统部署后的影响? 14第三章 产品功能说明 153.1 能够对人员和设备提供双实名认证 153.2 能够提供来宾管理功能 153.3 能够提供用户与设备的“人机对应”负责制 153.4 多种杀毒软件厂商支持，快速补丁扫描与修复 163.5 提供有贵单位特色的安全检查规范库 173.6 能够对漏洞设备进行“一键式”智能修复 173.7 能够基于人员角色进行动态授权 173.8 提供无客户端agentless的准入部署模式 183.9 能够提供实名制日志审计报表 183.10 能够提

2、供网络边界可视化管理 183.11 能够提供及时的报警响应 183.12 多个3000点以上的大规模部署案例 183.13 终端接入管理系统主要功能及特点说明 193.13.1 创新的安全策略引擎 193.13.2 贴身的行业管理规范 193.13.3 全面的网络环境支持 193.13.4 快速的系统实施部署 203.13.5 智能的违规引导修复 203.13.6 丰富的管理要求规则 20第四章 项目效果 224.1 入网流程 224.1.1 入网引导 224.1.2 身份验证 234.1.3 安全性评估与修复 244.1.4 安全报表 254.2 平台建设收益 264.3 其他安全贴士 27

3、4.4 总体安全效果图 28项目概述XXXX医院（以下简称：XXXX）下属入网终端数目众多，信息化程度高，具有良好的基础网络架构。目前为适应单位内部对于信息安全的要求，规范IT 安全管理，特提出本次终端接入控制系统的建设目标。通过采用合适的技术手段对单位网络的入网终端范进行统一管理，对网络接入、访问情况进行统一授权和管理，对外网用户的入网流程进行规范，有效地避免各类违规事件的发生，提高网络的整体维护效率和管理力度，符合相关信息安全管理规范要求。为此，盈高科技特针对本次项目提出基于无客户端Agentless模式的国际领先的第三代准入技术架构Appliance-based技术解决方案。通过先进的第

4、三代准入技术解决方案，盈高科技能够帮助XXXX医院实现如下的终端接入管理系统体系建设目标：防范非法接入，并实现外网接入设备的授权、身份验证、安全规范管理等一系列标准流程保证单位网络的安全性、可控性、统一管理性、稳定及可扩展性构建技术与管理相结合的全方位、多层次、可动态发展的网络安全规范体系根据不同员工的身份细化不同的访问权限，以保证企业内部网络的机密性第一章 项目背景近年来国际国内网络安全事件频发，信息资源在不同程度上存在着各种各样的安全风险。并且随着信息技术的迅速发展和内网中有效安全机制的缺乏，内部漏洞对重要资源造成的的威胁远远大于从外部穿越防火墙造成的入侵，而传统的防护技术如防火墙、IDS

5、等均无法有效地进行防范。2012年6月份温州附一医院存在着“统方”泄漏的隐患，非法人员利用内部网络存在的漏洞将机密数据等带到医院外；此外在日常工作中也存在各种违规网络行为（如私自访问互联网、程序安装无法有效管理等），计算机主动抵御攻击能力弱（如系统补丁无法及时更新、部分机器漏装杀毒软件等），安全性低下的单台终端极易成为影响全网的威胁来源和跳板（如ARP病毒攻击），并且对分布广泛的各楼层接入计算机缺乏有效的远程维护及管理手段，信息部门工作人员管理维护难度大，效率较低。1.1 安全动态及风险分析近年来各地有关“统方”数据的违法犯罪案件多有发生，利用内部网络将“统方”信息带出并流入医药代表的行为依然

6、较为普遍的存在。从2008年海宁市人民医院惊爆“统方案”后，浙江省多家医院就加强了对“统方”的管控力度，制定了相应的管理规定，并与相关人员签订了保密协议，但由于缺少对网络技术层面的管控，外部人员依然能够通过各种手段拿到医院的“统方”信息。 “统方”数据泄漏网络技术层面分析： 泄漏途径一：外来人员非法接入外来人员携带笔记本进入医院，通过访问内部网络获取数据。 泄漏途径二：PC桌面未设置屏保电脑未设置屏保，在工作人员暂时离开后，其他人员通过操作电脑窃取数据。 泄漏途径三：非法外联这种数据泄漏方式更是防不胜防。随着3G的日益普及，越来越多的人使用3G无线网卡接入网络，这也给医院的数据安全带来巨大的挑

7、战。通过3G网络，可以轻易把获取到的内部数据通过邮箱、网盘、QQ等方式泄漏出去。 泄漏途径四：存在共享的文件夹数据存放在共享文件夹下，其他人员可以通过局域网获取文件夹文件。如果该共享文件夹包含内部机密数据，将导致该数据泄密。 泄漏途径五：网络越权访问网络间各个网段（安全域）之间未设置相应的访问权限，外来人员终端也能随意访问内部数据，导致网络越权访问行为极易发生，为内部数据泄漏提供便利温床。鉴于以上情况，由于XXXX医院信息化程度较高，终端点数较多，对IT软硬件的资产管理及故障维护靠人工施行难度较大，且效率低下。同时员工存在对管理制度执行不到位的情况，迫切需要通过技术手段规范员工入网行为。1.2

8、 安全法律法规国家以及国外各权威机构对于内网安全都很早就明确了准入控制相关的法律法规。信息安全等级保护管理办法等级保护中从技术和管理两个方面整体上规定了信息系统的安全保护等级。内网安全的相关内容包括： 终端接入控制 边界完整性检查 主机身份鉴别 内网访问控制 恶意代码防范和系统安全管理等ISO 27001 信息安全管理体系ISO27001指出：信息安全是通过实现组合控制获得的，用以防止信息受到的各种威胁，确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。安全控制可以是策略、惯例、规程、组织结构和软件功能。 ISO27001中明确指出了接入网络的管理规范和设备要求规范。1.

9、3 项目建设目标从各类相关安全动态及法律法规都中都集中体现出，在目前的系统应用过程中，确保网络的安全运行和使用环境规范化相当重要，不仅要建立规范的计算机管理规章制度和运行规程，制定综合的安全管理策略，更需要从技术手段上进行安全措施的落实，在安全事故发生之前就进行预防和治理，从而减少和杜绝来自外部人员或单位内部的各类违规操作，真正有效、便捷地保障单位网络的安全可靠性。因此，建立起一套行之有效的可操控和集中管理的信息安全保障系统势在必行，从而能够对安全风险做到可知、可控、可防。对于目前的网络环境而言，推荐采用网络准入控制NAC作为入网的安全保障平台，对设备、人员进行授权-安全评估-实时监测-智能管

10、控的一体化管理体系，从接入与使用两个角度建设全网立体安全防护体系，真正做到对资源分配和网络安全的全面管理，全面提升网络性能及安全架构。第二章 技术方案 二.1 技术设计的指导思想二.1.1 终端接入管理系统部署的目的现在XXXX医院的业务内网是XXXX医院的核心业务运营平台，业务应用的多样性，特别是无线查房应用的出现，致使网络安全建设越来越重要，同时内部网及部分外部单位用户均需要进行访问，为了避免因为终端自身问题带来的安全隐患，针对办公计算机的系统安全以及访问区域管理显的尤为重要，如果出现安全管理漏洞，将会严重影响整体业务运行安全。为加强网络安全管理及加强内部PC的安全管理，准备在XXXX医院

11、建立终端接入管理系统，终端接入管理系统将重点解决以下问题： 入网终端登记注册认证化 违规终端不准入网 入网终端必合规 安全检查一目了然、智能化修复 根据用户身份指定不同的访问权限二.1.2 终端接入管理系统解决方案设计原则盈高科技认为有必要参考国际、国内的安全管理经验，来设计XXXX医院办公网络的终端接入管理系统解决方案。BS7799作为英国政府颁发的一项信息系统安全管理规范，目前已经成为全球公认的安全管理最佳实践，成为全国大型机构在设计、管理信息系统安全时的实践指南。BS7799认为，设计信息安全系统时，必须掌握以下安全原则： 相对安全原则 没有100%的信息安全，安全是相对的，在安全保护方

12、面投入的资源是有限的 保护的目的是要使信息资产得以有效利用，不能为了保护而过度限制对信息资产的使用 分级/分组保护原则 对信息系统分类，不同对象定义不同的安全级别 首先要保障安全级别高的对象 全局性原则 解决安全问题不只是一个技术问题 要从组织、流程、管理上予以整体考虑、解决在设计XXXX医院办公网络的终端接入管理系统解决方案时，非常有必要参考BS7799中的有关重要安全原则。BS7799中，除了安全原则之外，给出了许多非常细致的安全管理指导规范。在BS7799中有一个非常有名的安全模型，称为PDCA安全模型。PDCA安全模型的核心思想是：信息系统的安全需求是不断变化的，要使得信息系统的安全能

13、够满足业务需要，必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法，持续不断地改进信息系统的安全性。以下是PDCA安全模型。PDCA安全模型XXXX医院终端接入管理系统的建设也将是一个持续、动态、不断改进的过程，终端接入管理系统将为其提供统一的、集成化的平台和工具，融合检查、告警、修复等机制，帮助XXXX医院对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。XXXX医院终端接入管理系统解决方案的设计应坚持使用户网络安全防护具有先进性、实用性、可靠性、兼容性、可扩充性和灵活性原则。二.2 技术设计方案二.2.1 方案概述经过前期与XXXX医院信息部门领导的交流、了解，

14、在这里推荐采用两台INFOGO-ASM入网规范管理系统方案来实现内网准入建设，设备的部署建议采用旁路方式连接部署在路由器，并结合MVG虚拟网关（PBR策略路由）环境进行网络准入控制NAC,如下图所示：（此处按需求插入图片）XXXX医院终端接入管理部署示意图在基于MVG技术的准入平台下，ASM准入控制设备采用旁路方式连接到核心交换机，将接入层可网管交换机在ASM设备上进行注册，准入技术的关键视ASM设备与边界可网管交换机联动下实现的vlan切换功能，原理如下：1、 终端机器入网访问网络，ASM比对终端信息和自身合格终端数据信息a） 终端信息在ASM合格终端数据信息中，则为合格终端，即可访问内部网

15、络；b） 终端信息未在ASM合格终端数据信息中，则为存在问题终端或新入网终端，ASM通过和交换机的联动将此终端所在端口vlan切换到隔离vlan（不可信vlan）中；此终端流量均定向到ASM设备；2、 ASM设备对新入网设备访问进行审核，非授权终端禁止接入3、 审核通过的设备将得到访问网络的授权，并遵循ASM策略进行认证安检流程；4、 终端设备进行身份认证、安全检查及修复，判断终端是否合格a） 未合格终端仍处在隔离vlan中，无法访问内部资源b） 终端认证安检均符合要求，ASM与交换机联动将交换机端口切换回正常vlan，获得内部网络访问权限，终端按正常方式访问网络。通过准入控制系统解决方案的部署，可以将整个网络划分为三个不同的区：来宾访问区