【正文】 管理）216。 響應(yīng)管理216。 身份管理216。 安全預(yù)警管理216。 安全知識(shí)管理 部署方案建議在XX省XX醫(yī)院的內(nèi)部網(wǎng)絡(luò)安裝終端行為審計(jì)監(jiān)控系統(tǒng)服務(wù)器一臺(tái)，該服務(wù)器負(fù)責(zé)對(duì)所有相關(guān)網(wǎng)絡(luò)設(shè)備，安全設(shè)備及安全系統(tǒng)，終端操作系統(tǒng)，終端安全防護(hù)系統(tǒng)等日志信息進(jìn)行收集和標(biāo)準(zhǔn)化處理，并進(jìn)行關(guān)聯(lián)分析，發(fā)現(xiàn)違規(guī)行為的發(fā)生。 終端準(zhǔn)入控制系統(tǒng)強(qiáng)制隔離”非法終端“ 設(shè)計(jì)思路和技術(shù)實(shí)現(xiàn)如前所述，XX省XX醫(yī)院前期已經(jīng)部署了一定的終端安全防護(hù)措施，制定了較為嚴(yán)格的終端安全防護(hù)策略。同時(shí)在這次的安全建設(shè)中，也會(huì)部署一些解決方案從技術(shù)上進(jìn)一步加強(qiáng)終端的綜合防護(hù)能力，對(duì)業(yè)務(wù)內(nèi)部網(wǎng)絡(luò)終端進(jìn)行鎖定保護(hù)，強(qiáng)化業(yè)務(wù)終端的內(nèi)容和行為審計(jì)。這么一系列的防護(hù)措施和安全策略我們都需要一個(gè)有效的機(jī)制保證這些防護(hù)策略和防護(hù)方案已經(jīng)完完全全的在終端上得到了有效的執(zhí)行，確保進(jìn)入XX省XX醫(yī)院的內(nèi)部網(wǎng)絡(luò)中的所有終端均已完全滿足了XX省XX醫(yī)院的所有安全安全防護(hù)策略要求才能進(jìn)入內(nèi)部網(wǎng)絡(luò)訪問內(nèi)部資源。因此我們建議通過利用終端準(zhǔn)入控制系統(tǒng)實(shí)現(xiàn)對(duì)終端的全面主機(jī)完整性的檢測(cè)，所有內(nèi)部網(wǎng)絡(luò)終端在接入XX省XX醫(yī)院的時(shí)候都要判斷其終端是否完全滿足XX省XX醫(yī)院的制定的終端安全策略，如果終端上有任何的安全上的不滿足，比如防病毒未安裝，防病毒定義沒有跟新，防火墻沒有開，系統(tǒng)保護(hù)應(yīng)用沒有啟用等等都將阻止這類終端進(jìn)入XX省XX醫(yī)院網(wǎng)絡(luò)。保證了XX省XX醫(yī)院的安全建設(shè)效果，加強(qiáng)了XX省XX醫(yī)院的防護(hù)能力。 終端準(zhǔn)入控制的方式終端準(zhǔn)入控制系統(tǒng)包含多種方式，可以實(shí)現(xiàn)對(duì)XX省XX醫(yī)院的終端準(zhǔn)入的嚴(yán)格管理和控制。 手動(dòng)強(qiáng)制手動(dòng)強(qiáng)制雖然不是自動(dòng)化的隔離技術(shù)，但在管理實(shí)踐中卻是使用頻率最高的手段之一。通過在終端準(zhǔn)入控制系統(tǒng)管理控制臺(tái)創(chuàng)建一個(gè)隔離組，然后為該組分配特定的隔離策略。當(dāng)通過人工方式判斷出一個(gè)終端處于高風(fēng)險(xiǎn)或者違規(guī)狀態(tài)時(shí)，將這個(gè)終端手動(dòng)方式移動(dòng)到隔離組中，即達(dá)到了隔離效果。這種方式下管理員不需要去定位交換機(jī)端口，并拔出網(wǎng)線。更加省時(shí)，而且避免誤操作。 自強(qiáng)制利用終端準(zhǔn)入控制系統(tǒng)與“終端安全綜合防護(hù)系統(tǒng)”的主機(jī)防火墻規(guī)則和智能切換的能力實(shí)現(xiàn)本地自強(qiáng)制。這種方式最易實(shí)現(xiàn)，不需要和網(wǎng)絡(luò)中其他強(qiáng)制服務(wù)器發(fā)生任何關(guān)系. 如果系統(tǒng)沒有通過主機(jī)完整性準(zhǔn)入檢測(cè), 將自動(dòng)切換到一套隔離策略以阻斷網(wǎng)絡(luò)通訊然后開始執(zhí)行完整性恢復(fù)操作； P2P強(qiáng)制終端準(zhǔn)入控制系統(tǒng)軟件能夠?qū)ο蜃约喊l(fā)起訪問請(qǐng)求的用戶進(jìn)行安全檢查，以確定該訪問者是否符合醫(yī)院的安全策略規(guī)定要求。能夠確保所有的通訊只可能發(fā)生在被醫(yī)院正常管理下的客戶端之間進(jìn)行，同時(shí)，這些客戶端必須符合醫(yī)院制定的每一項(xiàng)安全檢查策略。 ；當(dāng)用戶沒有安裝安全客戶端軟件或者雖然安裝了安全客戶端軟件但是主機(jī)安全檢查不合格時(shí)，局域網(wǎng)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)可以通知交換機(jī)將該用戶連接的交換機(jī)端口關(guān)閉，或者通知交換機(jī)將該用戶的端口VLAN切換到修復(fù)VLAN，強(qiáng)迫用戶完成安全修復(fù)后才將用戶切換回正常VLAN，可以正常訪問XX省XX醫(yī)院的內(nèi)部網(wǎng)絡(luò)和資源。局域網(wǎng)強(qiáng)制準(zhǔn)入控制器還可以配合第三方的身份認(rèn)證系統(tǒng)進(jìn)行準(zhǔn)入控制，通過和第三方的身份認(rèn)證系統(tǒng)結(jié)合，做到連入網(wǎng)絡(luò)的終端，在何時(shí)，何地，那個(gè)使用者是否符合了XX省XX醫(yī)院的準(zhǔn)入控制要求，交換機(jī)根據(jù)符合條件采取相應(yīng)的動(dòng)作。 網(wǎng)關(guān)準(zhǔn)入與隔離在終端連接到XX省XX醫(yī)院內(nèi)網(wǎng)時(shí)，又或者是從XX省XX醫(yī)院的一個(gè)內(nèi)部子網(wǎng)試圖訪問另外一個(gè)內(nèi)部子網(wǎng)時(shí)，強(qiáng)制網(wǎng)關(guān)實(shí)時(shí)檢查這些用戶的安全性。只有安全性達(dá)標(biāo)的用戶才能訪問強(qiáng)制網(wǎng)關(guān)后的局域網(wǎng)或者服務(wù)器資源；當(dāng)用戶透過強(qiáng)制網(wǎng)關(guān)設(shè)備進(jìn)行網(wǎng)絡(luò)互訪時(shí)，用戶的訪問方式（應(yīng)用，受訪資源等）也受到嚴(yán)格管理，非標(biāo)準(zhǔn)訪問方式被禁止使用；當(dāng)對(duì)用戶的安全檢查不合格時(shí)，強(qiáng)制網(wǎng)關(guān)對(duì)這些用戶進(jìn)行隔離操作，只容許訪問強(qiáng)制網(wǎng)關(guān)后的個(gè)別IP地址，用以提供對(duì)修復(fù)資源的下載訪問。同時(shí)客戶端根據(jù)策略配置要求對(duì)這些用戶終端作安全修復(fù)操作，直到強(qiáng)制網(wǎng)關(guān)確認(rèn)合格后才予以放行。對(duì)于那些連接到醫(yī)院網(wǎng)絡(luò)又沒有安裝Symantec客戶端軟件的用戶, 管理員可以使用Windows彈出消息通知他們需要安裝Symantec客戶端軟件；當(dāng)用戶試圖通過邊界網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的認(rèn)證時(shí)，如果邊界網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)檢查出用戶端沒有安裝安全客戶端軟件或者是用戶端的主機(jī)完整性檢測(cè)不合格，會(huì)把用戶的訪問請(qǐng)求重定向到一個(gè)企業(yè)內(nèi)部指定的URL。管理員可以配置這個(gè)URL為企業(yè)的修復(fù)服務(wù)器網(wǎng)站或者是其他通告的網(wǎng)站。 準(zhǔn)入控制策略設(shè)置與管理終端準(zhǔn)入控制系統(tǒng)與終端安全綜合防護(hù)系統(tǒng)需要在一個(gè)統(tǒng)一的控制臺(tái)下實(shí)現(xiàn)所有的策略和終端管理，并可實(shí)現(xiàn)分級(jí)分權(quán)限的管理，滿足不同部門和區(qū)域的準(zhǔn)入管理需求：216。 提供安全準(zhǔn)入策略設(shè)置：提供安全策略檢查下的準(zhǔn)入控制，如果終端安全檢查不滿足企業(yè)網(wǎng)絡(luò)安全接入規(guī)范，強(qiáng)制用戶禁止接入網(wǎng)絡(luò)或進(jìn)入修復(fù)區(qū)域進(jìn)行修復(fù)引導(dǎo)。216。 統(tǒng)一控制臺(tái)支持分級(jí)分權(quán)限的管理，可以設(shè)定不同的管理員擁有對(duì)不同客戶端組的管理權(quán)限。216。 離線策略：策略管理支持終端離線，滿足特定策略在不接入網(wǎng)絡(luò)條件下仍生效。216。 物理區(qū)域管理：支持基于終端所處不同的物理區(qū)域（終端的IP地址、網(wǎng)關(guān)地址、DNS服務(wù)器、VPN網(wǎng)卡、在線離線狀態(tài)以及能否連通指定的服務(wù)器IP地址/端口等十多種不同場(chǎng)景）應(yīng)用不同的安全策略功能。 216。 全面的準(zhǔn)入控制檢查策略：支持自定義準(zhǔn)入安全檢查策略功能，提供準(zhǔn)入檢查策略自定義工具，管理員可根據(jù)需要編寫策略腳本檢查終端的指定文件、注冊(cè)表、操作系統(tǒng)類型、系統(tǒng)補(bǔ)丁、服務(wù)、進(jìn)程等，并根據(jù)檢查結(jié)果選擇相應(yīng)的處理方式，如顯示消息對(duì)話框、修改注冊(cè)表、下載文件、運(yùn)行程序、執(zhí)行VBS腳本、JS腳本、批處理腳本、上報(bào)日志等。 部署方案，這種控制方式的控制力度和范圍能覆蓋所有內(nèi)網(wǎng)終端的訪問。終端準(zhǔn)入控制系統(tǒng)與終端安全綜合防護(hù)系統(tǒng)緊密集成，使用同一的控制臺(tái)和統(tǒng)一客戶端代理軟件，以實(shí)現(xiàn)功能聯(lián)動(dòng)。此外， Enforcer 網(wǎng)絡(luò)準(zhǔn)入控制器， SNAC LAN Enforcer的準(zhǔn)入控制聯(lián)動(dòng).第5章 系統(tǒng)及硬件配置 硬件配置項(xiàng)目名稱型號(hào)功能描述數(shù)量?jī)r(jià)格1數(shù)據(jù)庫服務(wù)器Windows Server 2003企業(yè)版16G 內(nèi)存以上， 4個(gè)雙核以上CPU，800G以上硬盤,用于部署終端安全綜合防護(hù)系統(tǒng)、準(zhǔn)入控制系統(tǒng)、標(biāo)準(zhǔn)化運(yùn)維管理系統(tǒng)的統(tǒng)一數(shù)據(jù)庫1臺(tái)2管理服務(wù)器Windows Server 2003/2008企業(yè)版，16G 內(nèi)存，4核服務(wù)器級(jí)別CPU，500G 硬盤以上用于部署終端安全綜合防護(hù)系統(tǒng)、準(zhǔn)入控制系統(tǒng)、標(biāo)準(zhǔn)化運(yùn)維管理系統(tǒng)的管理服務(wù)器端軟件1臺(tái)3終端行為審計(jì)監(jiān)控系統(tǒng)采集服務(wù)器建議16G內(nèi)存，4核服務(wù)區(qū)級(jí)別CPU，1TB以上硬盤硬件必須經(jīng)過認(rèn)證，能夠運(yùn)行 Red Hat Enterprise Linux 32 位。提供對(duì)安全事件日志的統(tǒng)一收集獲取，存儲(chǔ)歸檔管理，安全事件審計(jì)和關(guān)聯(lián)分析1臺(tái)4準(zhǔn)入控制強(qiáng)制設(shè)備專用設(shè)備2臺(tái) 第三方軟件配置項(xiàng)目名稱型號(hào)功能描述數(shù)量?jī)r(jià)格1數(shù)據(jù)庫軟件Microsoft SQL Server 2005 SP1/SP2 (32bit)企業(yè)版數(shù)據(jù)庫基礎(chǔ)軟件1套 軟件配置項(xiàng)目數(shù)量單價(jià)(元）總價(jià)（元）終端安全綜合防護(hù)系統(tǒng)1000點(diǎn)授權(quán)許可終端標(biāo)準(zhǔn)化運(yùn)維管理系統(tǒng)1000點(diǎn)授權(quán)許可終端行為審計(jì)監(jiān)控系統(tǒng)1套終端準(zhǔn)入控制系統(tǒng)1000點(diǎn)授權(quán)許可總計(jì)：540萬元 實(shí)施服務(wù)項(xiàng)目實(shí)施服務(wù)費(fèi)用（元）終端安全綜合防護(hù)系統(tǒng)終端標(biāo)準(zhǔn)化運(yùn)維管理系統(tǒng)終端行為審計(jì)監(jiān)控系統(tǒng)終端準(zhǔn)入控制系統(tǒng)