【正文】 管理）216。 響應管理216。 身份管理216。 安全預警管理216。 安全知識管理 部署方案建議在XX省XX醫(yī)院的內(nèi)部網(wǎng)絡安裝終端行為審計監(jiān)控系統(tǒng)服務器一臺，該服務器負責對所有相關網(wǎng)絡設備，安全設備及安全系統(tǒng)，終端操作系統(tǒng)，終端安全防護系統(tǒng)等日志信息進行收集和標準化處理，并進行關聯(lián)分析，發(fā)現(xiàn)違規(guī)行為的發(fā)生。 終端準入控制系統(tǒng)強制隔離”非法終端“ 設計思路和技術實現(xiàn)如前所述，XX省XX醫(yī)院前期已經(jīng)部署了一定的終端安全防護措施，制定了較為嚴格的終端安全防護策略。同時在這次的安全建設中，也會部署一些解決方案從技術上進一步加強終端的綜合防護能力，對業(yè)務內(nèi)部網(wǎng)絡終端進行鎖定保護，強化業(yè)務終端的內(nèi)容和行為審計。這么一系列的防護措施和安全策略我們都需要一個有效的機制保證這些防護策略和防護方案已經(jīng)完完全全的在終端上得到了有效的執(zhí)行，確保進入XX省XX醫(yī)院的內(nèi)部網(wǎng)絡中的所有終端均已完全滿足了XX省XX醫(yī)院的所有安全安全防護策略要求才能進入內(nèi)部網(wǎng)絡訪問內(nèi)部資源。因此我們建議通過利用終端準入控制系統(tǒng)實現(xiàn)對終端的全面主機完整性的檢測，所有內(nèi)部網(wǎng)絡終端在接入XX省XX醫(yī)院的時候都要判斷其終端是否完全滿足XX省XX醫(yī)院的制定的終端安全策略，如果終端上有任何的安全上的不滿足，比如防病毒未安裝，防病毒定義沒有跟新，防火墻沒有開，系統(tǒng)保護應用沒有啟用等等都將阻止這類終端進入XX省XX醫(yī)院網(wǎng)絡。保證了XX省XX醫(yī)院的安全建設效果，加強了XX省XX醫(yī)院的防護能力。 終端準入控制的方式終端準入控制系統(tǒng)包含多種方式，可以實現(xiàn)對XX省XX醫(yī)院的終端準入的嚴格管理和控制。 手動強制手動強制雖然不是自動化的隔離技術，但在管理實踐中卻是使用頻率最高的手段之一。通過在終端準入控制系統(tǒng)管理控制臺創(chuàng)建一個隔離組，然后為該組分配特定的隔離策略。當通過人工方式判斷出一個終端處于高風險或者違規(guī)狀態(tài)時，將這個終端手動方式移動到隔離組中，即達到了隔離效果。這種方式下管理員不需要去定位交換機端口，并拔出網(wǎng)線。更加省時，而且避免誤操作。 自強制利用終端準入控制系統(tǒng)與“終端安全綜合防護系統(tǒng)”的主機防火墻規(guī)則和智能切換的能力實現(xiàn)本地自強制。這種方式最易實現(xiàn)，不需要和網(wǎng)絡中其他強制服務器發(fā)生任何關系. 如果系統(tǒng)沒有通過主機完整性準入檢測, 將自動切換到一套隔離策略以阻斷網(wǎng)絡通訊然后開始執(zhí)行完整性恢復操作； P2P強制終端準入控制系統(tǒng)軟件能夠?qū)ο蜃约喊l(fā)起訪問請求的用戶進行安全檢查，以確定該訪問者是否符合醫(yī)院的安全策略規(guī)定要求。能夠確保所有的通訊只可能發(fā)生在被醫(yī)院正常管理下的客戶端之間進行，同時，這些客戶端必須符合醫(yī)院制定的每一項安全檢查策略。 ；當用戶沒有安裝安全客戶端軟件或者雖然安裝了安全客戶端軟件但是主機安全檢查不合格時，局域網(wǎng)的網(wǎng)絡準入控制系統(tǒng)可以通知交換機將該用戶連接的交換機端口關閉，或者通知交換機將該用戶的端口VLAN切換到修復VLAN，強迫用戶完成安全修復后才將用戶切換回正常VLAN，可以正常訪問XX省XX醫(yī)院的內(nèi)部網(wǎng)絡和資源。局域網(wǎng)強制準入控制器還可以配合第三方的身份認證系統(tǒng)進行準入控制，通過和第三方的身份認證系統(tǒng)結合，做到連入網(wǎng)絡的終端，在何時，何地，那個使用者是否符合了XX省XX醫(yī)院的準入控制要求，交換機根據(jù)符合條件采取相應的動作。 網(wǎng)關準入與隔離在終端連接到XX省XX醫(yī)院內(nèi)網(wǎng)時，又或者是從XX省XX醫(yī)院的一個內(nèi)部子網(wǎng)試圖訪問另外一個內(nèi)部子網(wǎng)時，強制網(wǎng)關實時檢查這些用戶的安全性。只有安全性達標的用戶才能訪問強制網(wǎng)關后的局域網(wǎng)或者服務器資源；當用戶透過強制網(wǎng)關設備進行網(wǎng)絡互訪時，用戶的訪問方式（應用，受訪資源等）也受到嚴格管理，非標準訪問方式被禁止使用；當對用戶的安全檢查不合格時，強制網(wǎng)關對這些用戶進行隔離操作，只容許訪問強制網(wǎng)關后的個別IP地址，用以提供對修復資源的下載訪問。同時客戶端根據(jù)策略配置要求對這些用戶終端作安全修復操作，直到強制網(wǎng)關確認合格后才予以放行。對于那些連接到醫(yī)院網(wǎng)絡又沒有安裝Symantec客戶端軟件的用戶, 管理員可以使用Windows彈出消息通知他們需要安裝Symantec客戶端軟件；當用戶試圖通過邊界網(wǎng)絡準入控制系統(tǒng)的認證時，如果邊界網(wǎng)絡準入控制系統(tǒng)檢查出用戶端沒有安裝安全客戶端軟件或者是用戶端的主機完整性檢測不合格，會把用戶的訪問請求重定向到一個企業(yè)內(nèi)部指定的URL。管理員可以配置這個URL為企業(yè)的修復服務器網(wǎng)站或者是其他通告的網(wǎng)站。 準入控制策略設置與管理終端準入控制系統(tǒng)與終端安全綜合防護系統(tǒng)需要在一個統(tǒng)一的控制臺下實現(xiàn)所有的策略和終端管理，并可實現(xiàn)分級分權限的管理，滿足不同部門和區(qū)域的準入管理需求：216。 提供安全準入策略設置：提供安全策略檢查下的準入控制，如果終端安全檢查不滿足企業(yè)網(wǎng)絡安全接入規(guī)范，強制用戶禁止接入網(wǎng)絡或進入修復區(qū)域進行修復引導。216。 統(tǒng)一控制臺支持分級分權限的管理，可以設定不同的管理員擁有對不同客戶端組的管理權限。216。 離線策略：策略管理支持終端離線，滿足特定策略在不接入網(wǎng)絡條件下仍生效。216。 物理區(qū)域管理：支持基于終端所處不同的物理區(qū)域（終端的IP地址、網(wǎng)關地址、DNS服務器、VPN網(wǎng)卡、在線離線狀態(tài)以及能否連通指定的服務器IP地址/端口等十多種不同場景）應用不同的安全策略功能。 216。 全面的準入控制檢查策略：支持自定義準入安全檢查策略功能，提供準入檢查策略自定義工具，管理員可根據(jù)需要編寫策略腳本檢查終端的指定文件、注冊表、操作系統(tǒng)類型、系統(tǒng)補丁、服務、進程等，并根據(jù)檢查結果選擇相應的處理方式，如顯示消息對話框、修改注冊表、下載文件、運行程序、執(zhí)行VBS腳本、JS腳本、批處理腳本、上報日志等。 部署方案，這種控制方式的控制力度和范圍能覆蓋所有內(nèi)網(wǎng)終端的訪問。終端準入控制系統(tǒng)與終端安全綜合防護系統(tǒng)緊密集成，使用同一的控制臺和統(tǒng)一客戶端代理軟件，以實現(xiàn)功能聯(lián)動。此外， Enforcer 網(wǎng)絡準入控制器， SNAC LAN Enforcer的準入控制聯(lián)動.第5章 系統(tǒng)及硬件配置 硬件配置項目名稱型號功能描述數(shù)量價格1數(shù)據(jù)庫服務器Windows Server 2003企業(yè)版16G 內(nèi)存以上， 4個雙核以上CPU，800G以上硬盤,用于部署終端安全綜合防護系統(tǒng)、準入控制系統(tǒng)、標準化運維管理系統(tǒng)的統(tǒng)一數(shù)據(jù)庫1臺2管理服務器Windows Server 2003/2008企業(yè)版，16G 內(nèi)存，4核服務器級別CPU，500G 硬盤以上用于部署終端安全綜合防護系統(tǒng)、準入控制系統(tǒng)、標準化運維管理系統(tǒng)的管理服務器端軟件1臺3終端行為審計監(jiān)控系統(tǒng)采集服務器建議16G內(nèi)存，4核服務區(qū)級別CPU，1TB以上硬盤硬件必須經(jīng)過認證，能夠運行 Red Hat Enterprise Linux 32 位。提供對安全事件日志的統(tǒng)一收集獲取，存儲歸檔管理，安全事件審計和關聯(lián)分析1臺4準入控制強制設備專用設備2臺 第三方軟件配置項目名稱型號功能描述數(shù)量價格1數(shù)據(jù)庫軟件Microsoft SQL Server 2005 SP1/SP2 (32bit)企業(yè)版數(shù)據(jù)庫基礎軟件1套 軟件配置項目數(shù)量單價(元）總價（元）終端安全綜合防護系統(tǒng)1000點授權許可終端標準化運維管理系統(tǒng)1000點授權許可終端行為審計監(jiān)控系統(tǒng)1套終端準入控制系統(tǒng)1000點授權許可總計：540萬元 實施服務項目實施服務費用（元）終端安全綜合防護系統(tǒng)終端標準化運維管理系統(tǒng)終端行為審計監(jiān)控系統(tǒng)終端準入控制系統(tǒng)