【正文】 在變得越來越高，但同時由于缺乏靈活、自動化的安全管理手段導(dǎo)致的被動境地也正在變得越來越明顯。所有這些行為都帶來一個結(jié)果，就是讓醫(yī)院的業(yè)務(wù)應(yīng)用環(huán)境變得復(fù)雜、混亂，難以管理。此外，超過75%的惡意代碼攻擊都是有針對性的，僅僅依靠基于特征碼的單一終端防護(hù)安全軟件已經(jīng)力不從心！有必要利用最新的國際上先進(jìn)的基于云的文件信譽(yù)對比技術(shù)和基于程序行為判斷的主動防御方式來防止大量的未知惡意威脅.l 高級、有針對性的高危持續(xù)性攻擊APT已蔓延至各類規(guī)模企業(yè)：如何阻止不同的攻擊手段？不僅僅是防病毒！需要終端多層次的防護(hù)，增加網(wǎng)絡(luò)邊界的威脅防范等技術(shù)綜合考慮！APT攻擊：“高危持續(xù)性風(fēng)險”是2011年以來最有威脅的攻擊手段，攻擊者利用不同的針對性攻擊手段做長時間的不同攻擊嘗試和潛伏。而僵尸網(wǎng)絡(luò)(Botnet)仍持續(xù)盛行，已成為散播垃圾郵件、架設(shè)網(wǎng)絡(luò)釣魚網(wǎng)站及發(fā)動分布式拒絕服務(wù)攻擊(DDoS Attack)的最佳途徑。5. 網(wǎng)絡(luò)訪問控制：主要是通過終端的網(wǎng)絡(luò)準(zhǔn)入機(jī)制進(jìn)行策略遵從和強(qiáng)制策略執(zhí)行，并實施網(wǎng)絡(luò)接入的控制。針對業(yè)務(wù)終端實現(xiàn)系統(tǒng)鎖定，通過終端應(yīng)用程序控制的白名單機(jī)制，防止任何已知或未知病毒在業(yè)務(wù)網(wǎng)內(nèi)傳播。通過進(jìn)一步對內(nèi)部終端的調(diào)研發(fā)現(xiàn)，處于內(nèi)部網(wǎng)絡(luò)的業(yè)務(wù)終端有如下的幾個特征：216。 通過網(wǎng)絡(luò)訪問控制策略配置，限定可以使用的白名單應(yīng)用程序或進(jìn)程的網(wǎng)絡(luò)訪問端口。此外，基于行為的惡意軟件阻截技術(shù)，還可以鎖定IE設(shè)置、注冊表、系統(tǒng)目錄，當(dāng)木馬或者流氓軟件試圖更改這些設(shè)置時會被禁止。建議集中管理企業(yè)網(wǎng)絡(luò)終端的補(bǔ)丁升級、系統(tǒng)配置策略，可以定義終端補(bǔ)丁下載，補(bǔ)丁升級策略以及增強(qiáng)終端系統(tǒng)安全配置策略并下發(fā)給運(yùn)行于各終端設(shè)備上的代理，代理執(zhí)行這些策略，保證終端系統(tǒng)補(bǔ)丁升級、安全配置的完備有效，整個管理過程都是自動完成的，對終端用戶來說完全透明，減少了終端用戶的麻煩和企業(yè)網(wǎng)絡(luò)的安全風(fēng)險，提高企業(yè)網(wǎng)絡(luò)整體的補(bǔ)丁升級、安全配置管理效率和效用，使企業(yè)網(wǎng)絡(luò)的補(bǔ)丁及安全配置管理策略得到有效的落實。 支持多種操作系統(tǒng)：如Windows, UNIX, Linux等252。r 終端軟件虛擬化功能，有效節(jié)省license通過終端軟件虛擬化功能，可以實現(xiàn)： 252。 自動為客戶端安裝補(bǔ)丁程序，減輕管理員的工作負(fù)擔(dān)提高補(bǔ)丁程序的安裝效率（系統(tǒng)管理員不用到每臺計算機(jī)上去安裝補(bǔ)丁程序，就能完成遠(yuǎn)端計算機(jī)的補(bǔ)丁安裝）252。 完全支持常用帶外管理協(xié)議，包括ASF、AMT、DASH等（強(qiáng)大的兼容性）r 終端遠(yuǎn)程維護(hù)功能（可錄制審計遠(yuǎn)程維護(hù)過程）遠(yuǎn)程維護(hù)管理功能，可以實現(xiàn)：252。通過這套系統(tǒng)的部署，可以實現(xiàn)對違規(guī)行為的監(jiān)控和審計，了解并掌握違規(guī)HIS統(tǒng)方查詢行為的詳細(xì)情況，呈現(xiàn)相關(guān)的違規(guī)行為的詳細(xì)報告給相關(guān)部門，從而糾正并教育違規(guī)人員的不當(dāng)操作行為，最終實現(xiàn)XX省XX醫(yī)院內(nèi)部違規(guī)操作行為的”零發(fā)生“。關(guān)聯(lián)分析引擎可將不同類型的安全事件依據(jù)定義的規(guī)則進(jìn)行關(guān)聯(lián)分析，這種關(guān)聯(lián)分析是跨產(chǎn)品的，以期形成安全攻擊/違規(guī)操作過程的因果關(guān)系。因此我們建議通過利用終端準(zhǔn)入控制系統(tǒng)實現(xiàn)對終端的全面主機(jī)完整性的檢測，所有內(nèi)部網(wǎng)絡(luò)終端在接入XX省XX醫(yī)院的時候都要判斷其終端是否完全滿足XX省XX醫(yī)院的制定的終端安全策略，如果終端上有任何的安全上的不滿足，比如防病毒未安裝，防病毒定義沒有跟新，防火墻沒有開，系統(tǒng)保護(hù)應(yīng)用沒有啟用等等都將阻止這類終端進(jìn)入XX省XX醫(yī)院網(wǎng)絡(luò)。局域網(wǎng)強(qiáng)制準(zhǔn)入控制器還可以配合第三方的身份認(rèn)證系統(tǒng)進(jìn)行準(zhǔn)入控制，通過和第三方的身份認(rèn)證系統(tǒng)結(jié)合，做到連入網(wǎng)絡(luò)的終端，在何時，何地，那個使用者是否符合了XX省XX醫(yī)院的準(zhǔn)入控制要求，交換機(jī)根據(jù)符合條件采取相應(yīng)的動作。 全面的準(zhǔn)入控制檢查策略：支持自定義準(zhǔn)入安全檢查策略功能，提供準(zhǔn)入檢查策略自定義工具，管理員可根據(jù)需要編寫策略腳本檢查終端的指定文件、注冊表、操作系統(tǒng)類型、系統(tǒng)補(bǔ)丁、服務(wù)、進(jìn)程等，并根據(jù)檢查結(jié)果選擇相應(yīng)的處理方式，如顯示消息對話框、修改注冊表、下載文件、運(yùn)行程序、執(zhí)行VBS腳本、JS腳本、批處理腳本、上報日志等。 離線策略：策略管理支持終端離線，滿足特定策略在不接入網(wǎng)絡(luò)條件下仍生效。 P2P強(qiáng)制終端準(zhǔn)入控制系統(tǒng)軟件能夠?qū)ο蜃约喊l(fā)起訪問請求的用戶進(jìn)行安全檢查，以確定該訪問者是否符合醫(yī)院的安全策略規(guī)定要求。 安全知識管理 部署方案建議在XX省XX醫(yī)院的內(nèi)部網(wǎng)絡(luò)安裝終端行為審計監(jiān)控系統(tǒng)服務(wù)器一臺，該服務(wù)器負(fù)責(zé)對所有相關(guān)網(wǎng)絡(luò)設(shè)備，安全設(shè)備及安全系統(tǒng)，終端操作系統(tǒng)，終端安全防護(hù)系統(tǒng)等日志信息進(jìn)行收集和標(biāo)準(zhǔn)化處理，并進(jìn)行關(guān)聯(lián)分析，發(fā)現(xiàn)違規(guī)行為的發(fā)生。所有安全數(shù)據(jù)經(jīng)收集后會進(jìn)行正則化/標(biāo)準(zhǔn)化處理，轉(zhuǎn)變?yōu)榻K端行為審計監(jiān)控系統(tǒng)能夠識別的數(shù)據(jù)內(nèi)容（數(shù)據(jù)標(biāo)準(zhǔn)化）。這是網(wǎng)絡(luò)偵聽難以做到的。 按需提供應(yīng)用：采用軟件虛擬化，只要給客戶端系統(tǒng)發(fā)送一個命令，管理員就可以根據(jù)需要激活或關(guān)閉應(yīng)用了。 支持基于策略的軟件分發(fā)：可以將軟件只發(fā)給指定的用戶群，不會將軟件分發(fā)給不需要的客戶252。 自動跟蹤應(yīng)用程序負(fù)載數(shù)據(jù)，如CPU和內(nèi)存負(fù)載情況、軟件的運(yùn)行時間，軟件使用狀況，測定某軟件將來需要授權(quán)證書的真實數(shù)量，回收使用率低的軟件授權(quán)證書。前瞻性地威脅掃描讓企業(yè)能夠檢測到任何基于特征的技術(shù)都檢測不到的未知威脅。類似地，當(dāng)新漏洞發(fā)布時，研究人員可以總結(jié)該漏洞的“形狀”特征。 通過資源訪問控制，限定可以使用的操作系統(tǒng)服務(wù)，確定業(yè)務(wù)應(yīng)用程序?qū)Y源的訪問控制權(quán)限。，結(jié)合“只強(qiáng)制”和“點對點”強(qiáng)制方式，嚴(yán)格保證接入業(yè)務(wù)網(wǎng)的終端完全符合醫(yī)院預(yù)定義的安全規(guī)范，杜絕未經(jīng)授權(quán)的終端和不符合醫(yī)院安全策略的終端接入業(yè)務(wù)網(wǎng)，導(dǎo)致業(yè)務(wù)內(nèi)網(wǎng)出現(xiàn)安全漏洞。第二層：安全集中管理層：實現(xiàn)終端標(biāo)準(zhǔn)化管理和法規(guī)遵從，需要通過相應(yīng)的技術(shù)支撐升段，才能達(dá)到高效的管理，最為主要的是集中管控和合規(guī)審計的手段。其中：1. 防惡意代碼技術(shù)：主要通過防毒、終端防護(hù)、上網(wǎng)行為管控、網(wǎng)頁訪問管控等手段。雖然很多醫(yī)院都采用內(nèi)外網(wǎng)隔離的方式進(jìn)行基本的安全接入控制，但隔離策略往往因為內(nèi)外網(wǎng)終端的隨意接入而無法有效執(zhí)行。隨著XX省XX醫(yī)院信息化的深化，XX醫(yī)院的業(yè)務(wù)流程已經(jīng)高度自動化、高效率，從而為病人提供更好的醫(yī)療健康服務(wù)。部署不同的安全工具，我們?nèi)绾瘟私膺@些工具的實施效果？如何讓運(yùn)維工作向標(biāo)準(zhǔn)化、流程化的更高階段提升。 規(guī)劃目標(biāo)XX醫(yī)院終端信息安全的建設(shè)，應(yīng)當(dāng)達(dá)到以下目標(biāo)：1. 要實現(xiàn)終端層面的“防入侵”、“防外泄”、“防不良訪問”三大安全防護(hù)目標(biāo)。第一層：安全專業(yè)防護(hù)層：從終端個體在信息系統(tǒng)中的可能發(fā)生的各種行為，以及相應(yīng)的各種威脅角度，提供對應(yīng)的安全技術(shù)手段。特別的，通過記錄、監(jiān)控HIS系統(tǒng)的訪問日志，訪問行為事件，關(guān)聯(lián)分析HIS系統(tǒng)日志和其他安全設(shè)備，網(wǎng)絡(luò)設(shè)備、終端日志，可以確保不當(dāng)行為的事件監(jiān)控和告警。 通過核心操作系統(tǒng)服務(wù)策略配置選項，配置核心操作系統(tǒng)服務(wù)單獨的行為控制，并作為操作系統(tǒng)的一部分安裝核心操作系統(tǒng)服務(wù)。r 對爆發(fā)的未知威脅和多種新的威脅攻擊方式的防護(hù)如今的惡意程序的發(fā)展趨勢由之前的少量病毒大規(guī)模傳播，演變?yōu)榇罅康膼阂獬绦蜃兎N攻擊特定少數(shù)的目標(biāo)。禁止設(shè)備連接的功能還可以幫助防止端點受來自上述設(shè)備以及其它設(shè)備的病毒感染r 前瞻性威脅掃描Proactive Threat Scan是一種主動威脅防護(hù)技術(shù)，可防御利用已知漏洞的多種變種和前所未見的威脅。 資產(chǎn)信息自動收集（如計算機(jī)硬件信息、安裝的軟件包、操作系統(tǒng)配置等）252。 簡化軟件安裝管理（完全控制臺遠(yuǎn)程操作）252。軟件虛擬化簡化了部署前的測試，加快了部署周期，削減了部署后的支持成本。 可實時查看用戶的進(jìn)程信息，結(jié)束非法的進(jìn)程（避免非法進(jìn)程）252。所有的運(yùn)維管理策略和操作通過控制臺根據(jù)設(shè)定的范圍統(tǒng)一下發(fā)到內(nèi)網(wǎng)終端上執(zhí)行。 SNMP等216。 配置管理216。這種方式下管理員不需要去定位交換機(jī)端口，并拔出網(wǎng)線。 準(zhǔn)入控制策略設(shè)置與管理