杭州正杰针对医疗机构内网信息需求的一般解决方案.doc

医疗机构内网需求一般解决方案客户一般需求——防止外来电脑终端非法接入网络；——限制不符合安全管理规定的内部电脑终端直接访问网络资源；—建立“可信移动存储设备”的管理机制，对内网u盘使用进行规范化管理，可对指定 机器禁止拷贝资料到移动存储设备中；——对内部电脑终端进行管理，防止其未安装杀毒软件，重要补丁未安装；——人机对应，可以快速定位全网中任一一台终端设备；——对入网人员和设备进行认证；—添加信任设备，可以控制信任设备入网时长；——安装多维终端安全管理平台客户端后的设备可以接入网络，装了客户端并且审核通过可 永久上网实现功能：U盘控制、应用系统补丁分发、远程控制、软件分发、黑白名单、IP/MAC 绑定、802.1X准入控制网络现状：视各医疗机构具体的网络分布，计算机使用情况等判断内网安全风险1. 非法接入在医院内外网隔离的情况下，内网由于欠缺安全防护手段，在医生和患者的笔记本电脑 随意介入时存在极大的安全风险和管理隐患，甚至有可能成为非法“统方”行为的工具2. U盘随意使用内外网物理隔离，计算机专机专用，的确给内部办公带来了很多便捷，但也会给个人使 用带来一些“不便”因此，私自使用U盘进行娱乐资源的传输成为管理员极其头疼的问题, 稍有不慎即有可能通过U盘产生全网的病毒感染3. 终端未打齐补丁内部员工整体安全意识不足，接入设备不及时升级系统补丁的现象普遍存在，无法对这 些安全规范进行统一强制管理，这种情况下安全性低下的单台终端极易成为影响全网的威胁 来源和跳板（如ARP病毒攻击，中木马后对网络进行安全威胁等），造成重大安全事件的发 生，带来巨大的安全风险。

另外，员工计算机水平参差不齐，许多人面对计算机问题无法进行及时修复，由于点数 多，范围分散，出现问题后管理员需要频繁奔赴现场进行维护，工作效率极低4. 内部计算机违规访问互联网通过对内外网的隔离，能够禁止内部电脑访问互联网，杜绝大部分安全隐患但随着 3G网卡的出现，这一隔离手段面临着失效的危险，如何对内部网络做到有效地隔离控制？ 5•远程协助的不受控使用为了快速维护分散的大量计算机设备和多种业务的应用软件，内网管理员经常需要进行 远程协助但如果使用“Pcanywhere^^或” REMOTE”之类的远程协助工具，将存在较大的安 全风险，因为任何人都可以使用该工具远程登录其他人包括领导的计算机如何在安全的前 提下高效的进行远程协助？用户体验1. 安全检测与修复对不符合要求的终端设备能够进行修复，帮助计算机安装杀毒软件和升级病毒库，自动 帮助计算机更新补丁，自动关闭非法共享通过对终端管理平台的修复机制，确保医院的入网计算机均能够符合管理要求的安全运 行环境，避免了网络安全事故的发生正式员工的终端设备在入网时必须经过规定的网络规范检查，包括检测计算机的杀毒软 件安装和运行情况，检测计算机的桌面管理客户端安装的运行情况，检测计算机的操作系统 补丁更新情况，检测计算机的共享情况，将检测结果自动上报，方便管理员统计审计。

2. U盘规范化管理通过移动存储介质管理模块，可以做到对内网U盘使用的规范化管理通过控制策略限制只有授权的移动存储介质才能在指定的计算机上正常使用，可有效防 止移动存储介质管理混乱及因非法使用而造成的数据泄密管理员可以通过策略将移动存储介质与计算机做一对多或多对一绑定管理，非绑定范围 内的计算机无法使用该移动存储介质，有效防止了越权使用的情况可通过文件名、扩展类型等条件来设定文件访问策略，防止用户对移动存储介质上重要 文件的违规操作，做到文件最细粒度的权限控制有详细的存储介质使用记录，包括注册信 息、使用信息和文件操作信息，记录要素包括使用人、使用计算机、使用时间和动作等，并 提供丰富的审计报告3. 入网控制根据入网计算机的身份和安全性，可以控制允许入网的计算机或人员，非法人员或不安 全设备被直接隔离，拒绝其入网，无法获得任何重要业务资源，从而避免了核心数据泄露 入网的员工将根据身份的角色（如归属部门、岗位等）被划分相应的访问权限，从而接受网 内的访问管理，避免越权访问和涉密资源的非法操作4. 验证身份本单位员工选择已有身份进行登录，从而设备与使用设备的入网人员进行人机相对的负 责制度，来宾访客选择来宾身份入网，可以访问来宾区域。

5.802.1X准入控制⑴部署迅速的802.lx平台利用快速部署技术，需要进入内网的新机器可以被引导到身份验证页面，通过安装客户端实现身份认证并进入网络⑵准入技术为国际标准准入技术采用国际标准的IEEE802.1X,在接入层端口级进行准入的控制，非法设备无 法获得网络内的任何资源，整个网络边界明确802.lx技术不存在影响网络的扫描和频繁发 包阻断，与安全软件五冲突，安全系数高，符合入网控制的要求⑶能够按区域、部门角色定义人员和访问权限本方案基于客户端的主机防火墙可以自定义合法设备的网络访问权限，即便在同一 vlan 中也能够划分不同的权限区域，从而帮助客户实现信息的合法、安全分配，真正做到准入体 系的健壮性⑷基于终端的阻断技术采用基于终端设备底层驱动的阻断技术，对于非法流量直接在终端设备端进行阻断，能 有效避免软件方式准入DNS或TCP欺骗方式的情况下，在网络设备端进行阻断时存在的各 种安全漏洞，实现最完备的管理效果参考资料：http://www.zj-。