【正文】 終端準(zhǔn)入控制系統(tǒng)與終端安全綜合防護(hù)系統(tǒng)緊密集成，使用同一的控制臺和統(tǒng)一客戶端代理軟件，以實(shí)現(xiàn)功能聯(lián)動。 統(tǒng)一控制臺支持分級分權(quán)限的管理，可以設(shè)定不同的管理員擁有對不同客戶端組的管理權(quán)限。 網(wǎng)關(guān)準(zhǔn)入與隔離在終端連接到XX省XX醫(yī)院內(nèi)網(wǎng)時(shí)，又或者是從XX省XX醫(yī)院的一個(gè)內(nèi)部子網(wǎng)試圖訪問另外一個(gè)內(nèi)部子網(wǎng)時(shí)，強(qiáng)制網(wǎng)關(guān)實(shí)時(shí)檢查這些用戶的安全性。 自強(qiáng)制利用終端準(zhǔn)入控制系統(tǒng)與“終端安全綜合防護(hù)系統(tǒng)”的主機(jī)防火墻規(guī)則和智能切換的能力實(shí)現(xiàn)本地自強(qiáng)制。 終端準(zhǔn)入控制的方式終端準(zhǔn)入控制系統(tǒng)包含多種方式，可以實(shí)現(xiàn)對XX省XX醫(yī)院的終端準(zhǔn)入的嚴(yán)格管理和控制。 身份管理216。針對安全風(fēng)險(xiǎn)的響應(yīng)方式是多樣化，如進(jìn)入工單系統(tǒng)，發(fā)送Email，電話/短消息等。2. 協(xié)調(diào)分析層面在信息收集層面收集到原始數(shù)據(jù)后，相關(guān)數(shù)據(jù)會自動進(jìn)入?yún)f(xié)調(diào)分析層面。是一個(gè)從點(diǎn)到面的安全事件管理的飛躍。這類違規(guī)的行為需要通過建立一套終端行為審計(jì)和監(jiān)控系統(tǒng)對其進(jìn)行行為審計(jì)，當(dāng)這類行為發(fā)生的時(shí)候能告警并通知相應(yīng)管理人員對事件進(jìn)行進(jìn)一步的調(diào)查和反饋。 多種身份認(rèn)證，確保安全性（適用于各種安全級別的登錄）252。 可以實(shí)時(shí)查看CPU使用率（獲知計(jì)算機(jī)的處理能力是否出現(xiàn)高負(fù)載以及大量的資源空閑）252。 支持基于策略和目標(biāo)的補(bǔ)丁分發(fā)（可以將補(bǔ)丁只發(fā)給指定的用戶群，便于用戶按照部門之間不同的安全級別進(jìn)行補(bǔ)丁修補(bǔ)）252。一旦舊應(yīng)用完成向新應(yīng)用的轉(zhuǎn)換，關(guān)閉和刪除舊的版本就很簡單了。這帶來了很多好處，如提高了可靠性和靈活性。 無需用戶參與，無需重新啟動計(jì)算機(jī)，資源消耗低252。252。同時(shí)用戶可通過直接的接口對數(shù)據(jù)庫的數(shù)據(jù)表進(jìn)行調(diào)整，生成自定義報(bào)告。同時(shí)所有的內(nèi)部業(yè)務(wù)終端安裝終端綜合防護(hù)系統(tǒng)代理程序，實(shí)現(xiàn)內(nèi)部終端的嚴(yán)格管控，實(shí)現(xiàn)“零病毒”“零威脅“的安全防護(hù)目標(biāo)。所以，它們經(jīng)常會將可接受的應(yīng)用程序行為識別為威脅并將它們關(guān)閉，嚴(yán)重影響用戶和技術(shù)支持中心的工作效率，讓管理員面臨著艱巨的挑戰(zhàn)?；谛袨榈姆雷o(hù)技術(shù)非常有效，根本無需捕獲惡意軟件樣本然后再匆忙響應(yīng)，利用此項(xiàng)技術(shù)可以成功的在零時(shí)間阻截主流的蠕蟲病毒，包括熊貓燒香、威金等。r 具備通用漏洞阻截技術(shù)的入侵防護(hù)通用漏洞利用阻截技術(shù)的思想是：正如只有形狀正確的鑰匙才能打開鎖一樣，只有“形狀”相符的混合型病毒才能利用該漏洞進(jìn)行攻擊。 通過威脅注入防護(hù)，實(shí)現(xiàn)對已知或未知威脅的行為控制，內(nèi)存注入防護(hù)，阻止緩沖溢出攻擊的發(fā)生。限定可以使用的業(yè)務(wù)應(yīng)用程序，限定進(jìn)行系統(tǒng)升級的系統(tǒng)應(yīng)用程序，其他任何未授權(quán)的應(yīng)用程序和進(jìn)程都無法啟動和安裝。 使用人員和角色固定216。另一方面，準(zhǔn)入控制系統(tǒng)將產(chǎn)生大量的重要的終端訪問行為日志，需要輸入到“終端行為審計(jì)監(jiān)控系統(tǒng)”進(jìn)行集中的事件審計(jì)和分析。l 終端標(biāo)準(zhǔn)化運(yùn)維管理系統(tǒng)部署終端資產(chǎn)生命周期管理運(yùn)維工具，維護(hù)人員可以在完全無需人工值守的情況下對一臺或多臺終端設(shè)備進(jìn)行日常的終端維護(hù)，也可以在一個(gè)集中管理平臺上進(jìn)行實(shí)時(shí)的終端管理工作，包括：l 資產(chǎn)管理，充分了解軟硬件資產(chǎn)信息以及變更；l 軟件正版化管理，實(shí)時(shí)跟蹤正版軟件的許可，及時(shí)回收未使用的軟件許可。信息防止外泄：終端在自身環(huán)境和網(wǎng)絡(luò)層面的管控得以保障后，進(jìn)一步的在終端進(jìn)行操作、存儲的各類數(shù)據(jù)信息層面需要具備相應(yīng)的安全手段加強(qiáng)防護(hù)，以保證企業(yè)最關(guān)心的信息數(shù)據(jù)不被非法的訪問和竊取。6. 管理和報(bào)告問題：通常需要建立一個(gè)安全管理平臺將上述技術(shù)手段、產(chǎn)品相關(guān)的事件、日志等進(jìn)行集中收集和分析，形成綜合性的管理性報(bào)告，滿足企業(yè)各管理階層的管理需要。3. 在管理上，通過技術(shù)手段的支撐，逐步建立終端集中化、標(biāo)準(zhǔn)化、自動化、流程化的管理模式。如何保證防止這類數(shù)據(jù)以及處方信息的泄露是XX醫(yī)院在數(shù)據(jù)防泄密上的主要關(guān)注對象，這些數(shù)據(jù)的泄露將嚴(yán)重影響XX昆明XX醫(yī)院的聲譽(yù)，監(jiān)管上的違規(guī)，經(jīng)濟(jì)利益上的重大損失。l 終端接入不受控：如何確保終端滿足制定的終端安全策略終端準(zhǔn)入控制傳統(tǒng)的安全解決方案往往比較強(qiáng)調(diào)網(wǎng)關(guān)安全，所以很多醫(yī)院購買了防火墻、入侵檢測與防御（IDP）等產(chǎn)品。有針對性的攻擊利用社會工程學(xué)原理和定制化的惡意軟件來非法訪問敏感信息。XX醫(yī)院終端整體安全解決方案34 / 37目 錄第1章 概述 1 背景 1 安全威脅分析 1第2章 XX醫(yī)院終端安全建設(shè)規(guī)劃 5 規(guī)劃目標(biāo) 5 規(guī)劃依據(jù) 5 規(guī)劃框架 7第3章 XX醫(yī)院終端安全建設(shè)內(nèi)容 9第4章 XX醫(yī)院終端安全建設(shè)方案 12 終端安全綜合防護(hù)系統(tǒng)實(shí)現(xiàn)“零病毒”“零威脅” 12 設(shè)計(jì)思路與技術(shù)實(shí)現(xiàn) 12 部署方案 16 終端標(biāo)準(zhǔn)化運(yùn)維管理系統(tǒng)實(shí)現(xiàn)”零管理“ 16 設(shè)計(jì)思路與技術(shù)實(shí)現(xiàn) 16 部署方案 22 終端行為審計(jì)監(jiān)控系統(tǒng)監(jiān)測”不當(dāng)操作行為“ 23 設(shè)計(jì)思路與技術(shù)實(shí)現(xiàn) 23 部署方案 26 終端準(zhǔn)入控制系統(tǒng)強(qiáng)制隔離”非法終端“ 26 設(shè)計(jì)思路和技術(shù)實(shí)現(xiàn) 26 部署方案 30第5章 系統(tǒng)及硬件配置 32 硬件配置 32 第三方軟件配置 32 軟件配置 32 實(shí)施服務(wù) 33第1章 概述 背景XX省昆明XX醫(yī)院的信息化經(jīng)過十幾年的發(fā)展，對業(yè)務(wù)的支撐作用已經(jīng)表現(xiàn)得非常明顯，醫(yī)院業(yè)務(wù)的開展已經(jīng)離不開信息系統(tǒng)的正常運(yùn)轉(zhuǎn)。這些高級的有針對性的攻擊過去一直以公共部門和政府為首要目標(biāo)。但當(dāng)前更多的安全隱患來自終端——透過防御薄弱的終端，往往能夠更加容易地接觸到醫(yī)院的核心內(nèi)網(wǎng)，而終端使用者安全意識的缺乏為安全威脅打開了便利的大門。l 法律法規(guī)監(jiān)管的加強(qiáng)如何確保做進(jìn)行的信息安全建設(shè)符合等保要求《中華人民共和國刑法修正案（七）》第253條、第285條等對醫(yī)療行業(yè)信息泄密的規(guī)定》；《侵權(quán)責(zé)任法》第36條、第61條、第62條等對醫(yī)療機(jī)構(gòu)及人員要求妥善保管機(jī)密信息的規(guī)定；公安部“信息安全等級保護(hù)”對醫(yī)院信息系統(tǒng)的信息安全保護(hù)要求；。以完善當(dāng)前端點(diǎn)策略遵從為目標(biāo)，逐步轉(zhuǎn)向IT法規(guī)遵從（等級保護(hù)要求）為目標(biāo)。在工行目前已經(jīng)初步實(shí)現(xiàn)。終端準(zhǔn)入控制：在終端自身系統(tǒng)保護(hù)條件基礎(chǔ)上，對各類受控和不受控終端入網(wǎng)進(jìn)行網(wǎng)絡(luò)層面的準(zhǔn)入控制是有效防范病毒、蠕蟲傳播，防止風(fēng)險(xiǎn)進(jìn)一步擴(kuò)大，同時(shí)也是企業(yè)進(jìn)一步落實(shí)終端安全策略的一個(gè)重要的手段?！敖K端安全綜合防護(hù)系統(tǒng)”同時(shí)與準(zhǔn)入控制系統(tǒng)集成，一方面禁止非醫(yī)院終端、違規(guī)終端接入醫(yī)院網(wǎng)絡(luò)，另一方面，基于準(zhǔn)入控制系統(tǒng)發(fā)現(xiàn)的安全問題是可以調(diào)用終端安全綜合防護(hù)系統(tǒng)調(diào)整防護(hù)策略?！敖K端行為審計(jì)監(jiān)控系統(tǒng)”同樣需要和準(zhǔn)入控制系統(tǒng)進(jìn)行聯(lián)動，保證終端上的日志審計(jì)功能正常。 業(yè)務(wù)固定216。 通過嚴(yán)格限制防護(hù)策略，進(jìn)行終端的系統(tǒng)鎖定和白名單應(yīng)用的設(shè)置。252。同時(shí)大幅度提升了病毒掃描的速度，減少了所需要掃描的文件數(shù)量，減少對終端性能的影響。從而，即使用戶下載了未知的惡意軟件，也無法在終端上正常安裝和作用。大多數(shù)基于主機(jī)的 IPS 僅檢測它們認(rèn)為的“不良行為”。 部署方案在XX省XX醫(yī)院的內(nèi)部網(wǎng)絡(luò)終端部署終端綜合防護(hù)系統(tǒng)，通過服務(wù)器控制臺統(tǒng)一配置，管理所有內(nèi)部終端的安全控制策略，定義下載的統(tǒng)一管理分發(fā)。 資產(chǎn)評估報(bào)表集成，為資產(chǎn)評估以及升級提供科學(xué)依據(jù)，節(jié)約升級費(fèi)用。 支持從裸機(jī)開始的系統(tǒng)部署：只要網(wǎng)卡支持遠(yuǎn)程喚醒。 軟件升級非常方便 (自動通過軟件的版本，軟件的注冊表，軟件的一切可定義的信息定位軟件并決定是否需要升級)252。 消除應(yīng)用沖突：無需修改操作系統(tǒng)，也不與其它應(yīng)用發(fā)生沖突，可以保證應(yīng)用使用正確的文件和注冊表設(shè)置。該解決方案甚至還極大地加速了應(yīng)用的階段性發(fā)布過程，因?yàn)樗S時(shí)都可以立即恢復(fù)應(yīng)用狀態(tài)。 支持快速的遠(yuǎn)程分支機(jī)構(gòu)的補(bǔ)丁管理，不需要出差進(jìn)行補(bǔ)丁程序安裝（節(jié)約支持費(fèi)用）252。 可以跟蹤計(jì)算機(jī)路由（獲取信息的當(dāng)前傳輸路徑）252。 基于帶寬控制的遠(yuǎn)程維護(hù)（適用于各類帶寬）