【正文】 物理區(qū)域管理：支持基于終端所處不同的物理區(qū)域（終端的IP地址、網(wǎng)關(guān)地址、DNS服務(wù)器、VPN網(wǎng)卡、在線離線狀態(tài)以及能否連通指定的服務(wù)器IP地址/端口等十多種不同場景）應(yīng)用不同的安全策略功能。同時在這次的安全建設(shè)中，也會部署一些解決方案從技術(shù)上進(jìn)一步加強終端的綜合防護(hù)能力，對業(yè)務(wù)內(nèi)部網(wǎng)絡(luò)終端進(jìn)行鎖定保護(hù)，強化業(yè)務(wù)終端的內(nèi)容和行為審計。所以，依據(jù)管理員的設(shè)定，在數(shù)據(jù)被標(biāo)準(zhǔn)化后，可以對數(shù)據(jù)進(jìn)行過濾。掌握所有的不同系統(tǒng)上發(fā)生的事件。 可以實時查看客戶端操作系統(tǒng)日志（密切留意系統(tǒng)發(fā)生的一切）252。用戶安裝應(yīng)用不需要具備系統(tǒng)管理權(quán)，也不必為激活或關(guān)閉應(yīng)用后的重啟操心。 支持多種操作系統(tǒng)252。 拒絕客戶端用戶使用非法軟件，不管是聯(lián)網(wǎng)用戶，還是遠(yuǎn)程用戶，甚至不聯(lián)網(wǎng)用戶！同時能夠通過分發(fā)腳本,禁止某些功能(如限制修改IP、限制某些端口)r 終端系統(tǒng)部署功能（快速安裝操作系統(tǒng)）l 通過終端系統(tǒng)部署功能，可以實現(xiàn)：252。顯然，口令為空、缺少必要的安全補丁的終端，即使有再優(yōu)秀的防護(hù)技術(shù)也不可避免地遭受到攻擊和病毒感染。對照該“形狀”特征，就可以檢測并阻截具有該明顯“形狀”的任何攻擊（例如蠕蟲）。任何未授權(quán)的資源訪問都將被阻斷，只有受信任的管理賬號和應(yīng)用，進(jìn)程通過相應(yīng)的配置后才可以對資源進(jìn)行修改或配置。其中內(nèi)部網(wǎng)絡(luò)終端承載了XX醫(yī)院最重要的業(yè)務(wù)信息系統(tǒng)，包括了醫(yī)療信息終端，業(yè)務(wù)收費終端，醫(yī)護(hù)人員終端等等。合規(guī)審計：在端點專業(yè)安全防護(hù)的各項功能中已經(jīng)基本實現(xiàn)了終端的安全策略的執(zhí)行，可以通過集中的日志和安全事件管理，包括終端違規(guī)日志、操作日志、上網(wǎng)行為日志等，形成集中的收集和綜合分析，形成終端合規(guī)管理的報告。3. PC生命周期管理：可以通過專業(yè)的IT資產(chǎn)生命周期管理產(chǎn)品或者建立這樣一個平臺，配合企業(yè)的采購、使用、維護(hù)、退服等資產(chǎn)管理各環(huán)節(jié)的操作流程，進(jìn)行標(biāo)準(zhǔn)化、流程化和自動化的管理。l 網(wǎng)頁式攻擊(Webbased Attack) 已成為最主流的攻擊手法：如何確保訪問可靠網(wǎng)站？網(wǎng)頁式攻擊系當(dāng)有漏洞的終端瀏覽內(nèi)嵌惡意代碼的網(wǎng)頁時，即于該終端植入惡意代碼。而同時，“統(tǒng)方”信息泄露、媒體輿論炒作、醫(yī)患關(guān)系緊張、上級領(lǐng)導(dǎo)問責(zé)、法律法規(guī)監(jiān)管等等，都在無形中讓醫(yī)院的信息安全管理壓力越來越大。l 工具帶來的新問題：如何保證安全策略的強制要求，統(tǒng)一管理和實施效果？為了解決前面幾方面的挑戰(zhàn)，部分醫(yī)院用戶采用了一些單點的工具型解決方案，但這些工具卻帶來了新的問題。第2章 XX醫(yī)院終端安全建設(shè)規(guī)劃醫(yī)療行業(yè)中的信息終端作為IT資產(chǎn)中數(shù)量龐大、種類繁多、分布廣泛、管理難度大、管理成本高的一個分類，其帶給醫(yī)院的安全風(fēng)險已經(jīng)越來越不容忽視，醫(yī)院在終端安全方面加大投入的同時，也更加期待其帶來的效果。依據(jù)Gartner的建議，結(jié)合國內(nèi)的實際情況，XX昆明XX醫(yī)院提出了從網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)，終端的行為，乃至終端整體管理幾個方面的全方位終端安全總體建設(shè)框架（如下圖所示），并提出了相應(yīng)的規(guī)劃內(nèi)容。終端安全防護(hù)系統(tǒng)和標(biāo)準(zhǔn)化運維管理系統(tǒng)，對“統(tǒng)方泄漏”等安全事件起到了預(yù)防和事中控制的作用。 網(wǎng)絡(luò)訪問固定通過內(nèi)部終端的這些使用屬性，建議對內(nèi)部終端系統(tǒng)實現(xiàn)系統(tǒng)鎖定，通過白名單設(shè)置和資源使用權(quán)限設(shè)定等配置，實現(xiàn)“零病毒”，“零威脅”的內(nèi)網(wǎng)終端信息安全防護(hù)的最終目標(biāo)，確保內(nèi)網(wǎng)終端始終處于安全的信息工作環(huán)境。252。r 設(shè)備控制：設(shè)備控制技術(shù)讓管理員能夠決定并控制允許哪些設(shè)備連接端點。通過標(biāo)準(zhǔn)化運維管理實施，可以幫助XX省XX醫(yī)院實現(xiàn)基于ITIL最佳實踐的資產(chǎn)生命周期管理。252。252。 如果忘記了補丁可用性測試，萬一因為安裝補丁程序，使系統(tǒng)癱瘓（系統(tǒng)奔潰）或應(yīng)用程序不能正常工作，通過和備份方案的整合能實現(xiàn)系統(tǒng)和應(yīng)用盡快的恢復(fù)252。 完整的日志記錄（可監(jiān)督性）252。 Syslog216。 安全事件管理216。通過在終端準(zhǔn)入控制系統(tǒng)管理控制臺創(chuàng)建一個隔離組，然后為該組分配特定的隔離策略。對于那些連接到醫(yī)院網(wǎng)絡(luò)又沒有安裝Symantec客戶端軟件的用戶, 管理員可以使用Windows彈出消息通知他們需要安裝Symantec客戶端軟件；當(dāng)用戶試圖通過邊界網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的認(rèn)證時，如果邊界網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)檢查出用戶端沒有安裝安全客戶端軟件或者是用戶端的主機完整性檢測不合格，會把用戶的訪問請求重定向到一個企業(yè)內(nèi)部指定的URL。此外， Enforcer 網(wǎng)絡(luò)準(zhǔn)入控制器， SNAC LAN Enforcer的準(zhǔn)入控制聯(lián)動.第5章 系統(tǒng)及硬件配置 硬件配置項目名稱型號功能描述數(shù)量價格1數(shù)據(jù)庫服務(wù)器Windows Server 2003企業(yè)版16G 內(nèi)存以上， 4個雙核以上CPU，800G以上硬盤,用于部署終端安全綜合防護(hù)系統(tǒng)、準(zhǔn)入控制系統(tǒng)、標(biāo)準(zhǔn)化運維管理系統(tǒng)的統(tǒng)一數(shù)據(jù)庫1臺2管理服務(wù)器Windows Server 2003/2008企業(yè)版，16G 內(nèi)存，4核服務(wù)器級別CPU，500G 硬盤以上用于部署終端安全綜合防護(hù)系統(tǒng)、準(zhǔn)入控制系統(tǒng)、標(biāo)準(zhǔn)化運維管理系統(tǒng)的管理服務(wù)器端軟件1臺3終端行為審計監(jiān)控系統(tǒng)采集服務(wù)器建議16G內(nèi)存，4核服務(wù)區(qū)級別CPU，1TB以上硬盤硬件必須經(jīng)過認(rèn)證，能夠運行 Red Hat Enterprise Linux 32 位。只有安全性達(dá)標(biāo)的用戶才能訪問強制網(wǎng)關(guān)后的局域網(wǎng)或者服務(wù)器資源；當(dāng)用戶透過強制網(wǎng)關(guān)設(shè)備進(jìn)行網(wǎng)絡(luò)互訪時，用戶的訪問方式（應(yīng)用，受訪資源等）也受到嚴(yán)格管理，非標(biāo)準(zhǔn)訪問方式被禁止使用；當(dāng)對用戶的安全檢查不合格時，強制網(wǎng)關(guān)對這些用戶進(jìn)行隔離操作，只容許訪問強制網(wǎng)關(guān)后的個別IP地址，用以提供對修復(fù)資源的下載訪問。4. 呈現(xiàn)界面終端行為審計監(jiān)控系統(tǒng)全部以Web方式展現(xiàn)，管理員可以在本地和遠(yuǎn)程通過 安全事件管理系統(tǒng) 門戶網(wǎng)站對 安全事件管理系統(tǒng)進(jìn)行管理。終端行為審計監(jiān)控系統(tǒng)總體架構(gòu)分為四個層次：1. 信息收集層面該層面面向原始設(shè)備（如安全設(shè)備、主機設(shè)備），從這些原始設(shè)備中收集安全事件。 可選用戶確認(rèn)登錄模式（避免最終用戶的抵觸）252。 補丁可用性測試，減少補丁對應(yīng)用的影響：一些補丁程序可能會導(dǎo)致系統(tǒng)或者應(yīng)用程序的不穩(wěn)定，所以管理員需要在安裝前進(jìn)行測試。舉個例子，安裝新軟件或進(jìn)行應(yīng)用升級時，然后，既有可能引發(fā)應(yīng)用故障，也有可能導(dǎo)致已修復(fù)的安全漏洞的再次爆發(fā)。 裸機部署支持B/S結(jié)構(gòu)，使用方便252。 終端標(biāo)準(zhǔn)化運維管理系統(tǒng)實現(xiàn)”零管理“ 設(shè)計思路與技術(shù)實現(xiàn)隨著XX省XX醫(yī)院的終端數(shù)量的不斷增長，而且目前XX省XX醫(yī)院的信息管理人員的缺乏，所使用的管理工具的復(fù)雜性，都要求有一套高效，統(tǒng)一的終端標(biāo)準(zhǔn)運維管理系統(tǒng)，能在一個統(tǒng)一的管理平臺上實現(xiàn)大部分的終端運維管理需求功能，比如軟件和補丁的分發(fā)，遠(yuǎn)程維護(hù)，系統(tǒng)的統(tǒng)一部署和恢復(fù)，所有終端軟硬件的資產(chǎn)信息收集管理和終端定位等。由于采用了集中的策略部署和控制，無須最終用戶的干預(yù)，因此不需要用戶具備高深的病毒防護(hù)技術(shù)。252。 使用時間固定216。l 操作系統(tǒng)部署分發(fā)，快速安裝、恢復(fù)操作系統(tǒng)l 虛擬化的軟件分發(fā)，提高軟件部署工作效率，解決軟件沖突問題，提高軟件修復(fù)效率；l 全自動地補丁升級，包括操作系統(tǒng)補丁和常見應(yīng)用補??；l 終端遠(yuǎn)程維護(hù)以及實時的終端系統(tǒng)管理；“終端標(biāo)準(zhǔn)化運維管理系統(tǒng)”同時與準(zhǔn)入控制系統(tǒng)集成，一方面強制終端必須安裝標(biāo)準(zhǔn)化運維管理軟件，另一方面準(zhǔn)入控制系統(tǒng)檢測到違規(guī)終端后可以利用管理運維平臺進(jìn)行自動修復(fù)（如安裝補丁、部署防病毒軟件等）。 規(guī)劃框架任何一個安全工作的落實，都依賴于組織（人）、技術(shù)、流程作為支撐，終端安全的建設(shè)也不例外，最終是要落實上述終端建設(shè)目標(biāo)。隨著國家各種相關(guān)法律法規(guī)對醫(yī)療行為信息安全的規(guī)范逐步加強，醫(yī)院信息科（處）在醫(yī)院管理方面的重要性正