BJCA医院内网整合式安全管理解决方案v1.5Word文档下载推荐.docx
- 文档编号:14692968
- 上传时间:2022-10-24
- 格式:PPS
- 页数:38
- 大小:4.27MB
BJCA医院内网整合式安全管理解决方案v1.5Word文档下载推荐.docx
《BJCA医院内网整合式安全管理解决方案v1.5Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《BJCA医院内网整合式安全管理解决方案v1.5Word文档下载推荐.docx(38页珍藏版)》请在冰豆网上搜索。
不合格不合格进入隔离区进入隔离区强制加固强制加固不同用户享不同用户享受不同的网受不同的网络使用权限络使用权限你在做什么你在做什么?
隔离区隔离区办公网络办公网络你可以做什你可以做什么?
么?
动态授权动态授权行为审计行为审计北京数字证书认证中心2007年10月10整合式安全管理概述运维管理人员运维管理人员安全管理平台安全管理平台移动安全移动安全管理平台管理平台移动终端移动终端安全设备安全设备OAHISEmail堡垒主机堡垒主机网络设备网络设备医务人员医务人员第三方人员第三方人员固定终端固定终端应用服务应用服务主机设备主机设备实名访问实名访问控制平台控制平台有权限的访问有权限的访问可管控的访问可管控的访问分析分析管控管控北京数字证书认证中心2007年10月11整合式安全管理组成用户安全接入实名访问控制平台(内网接入、单点登录、行为控制等)移动安全管理平台(移动终端接入)运维安全管理堡垒主机(集中账号管理、单点登录、访问控制、强身份认证、资源授权、操作审计)安全管理平台(安全监控、关联分析、基线管理、审计管理)终端安全管理终端安全管理软件(终端状态监控、强制基线下发)北京数字证书认证中心2007年10月12整合式安全管理解决方案统一账号管理统一账号管理单点登录单点登录分级授权分级授权运维审计运维审计基线下发基线下发合规检查合规检查访问控制访问控制无线接入无线接入安全检测安全检测北京数字证书认证中心2007年10月13目录目录医疗卫生办公现状11整合式安全管理安全概述22整合式安全管理解决方案33整合式安全管理技术实现44北京数字证书认证中心2007年10月14整合式安全管理解决方案身份管理访问控制终端安全信息审计安全问题运维问题实用问题北京数字证书认证中心2007年10月15整合式安全管理解决方案访问控制2层网络访问控制位置终端位置终端A位置终端位置终端B位置终端位置终端C非法终端非法终端802.1x协议是基于Client/Server的访问控制和认证协议。
它可以限制未经授权的用户/设备通过接入端口(accessport)访问LAN/WLAN。
在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。
在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;
认证通过以后,正常的数据可以顺利地通过以太网端口。
802.1x访问控制802.1X交换机交换机访问区域访问区域1访问区域访问区域2访问区域访问区域3北京数字证书认证中心2007年10月16整合式安全管理解决方案访问控制4-7层网络访问控制PORTAL上网上网权限人员权限人员A权限人员权限人员B权限人员权限人员C外来人员外来人员OA核心办公核心办公Web实名访问实名访问控制平台控制平台SSO授权级别最高类角色,通过认证后可访问所有在线业务或互联网。
同时通过统一认证门户,自动完成单点登录,替用户省去复杂繁琐的多门户多账号重复认证过程。
权限人员A权限控制类角色,通过认证后可访问已被授权的OA系统和Web系统。
由于未被授权上网权限,故无法使用互联网。
权限人员B权限控制类角色,通过认证后可拥有访问互联网的权限,同时被上网行为系统监控和审计。
权限人员C无权限类角色,未经过任何认证的用户,无法进行上网及任何业务应用的访问和操作行为。
外来人员北京数字证书认证中心2007年10月17整合式安全管理解决方案访问控制移动终端接入移动终移动终端端移动安全管理平台OA-appEM-app电子病历-appOA服务器Email服务器电子病历服务器移动终端安全管理移动终端安全管理1)移动接入终端身份安全(通过TF卡/USBKEY/证书/口令用户密码等方式来保证接入终端用户身份安全);
2)网络通信安全:
通过高安全算法对传输通道加密,确保移动接入终端和内网通讯的链路安全;
3)应用安全访问:
基于网关的安全访问控制实现不同的接入终端可访问不同的应用;
4)移动终端数据存储安全:
对接入终端要求安全高或应用数据极为重要的客户建议应用数据不落地,保证移动终端和内网应用能实时连接且安全访问互访;
移动终端从移动应用上下载的文件落地加密存储在终端上,实现移动应用数据的安全存储和交换。
北京数字证书认证中心2007年10月18整合式安全管理解决方案终端安全终端安全管理域出口终端管理系统终端管理系统实名访问实名访问控制平台控制平台病毒库服务器病毒库服务器补丁服务器补丁服务器终端终端A杀软版本老旧杀软版本老旧终端终端B操作系统操作系统K09补丁未安装补丁未安装终端终端C终端检测软件终端检测软件被私自卸载被私自卸载终端终端D各项状态符合各项状态符合基线策略基线策略通过邮件或短信通知终端用户升级版本和补丁,自动下发程序恢复已经卸载的终端检测软件。
自动恢复机制自动恢复机制由安全运维人员根据系统合规性要求,制定符合标准的基线策略,其中要求接入终端杀软需升级当日病毒库版本;
操作系统补丁最新k09安装完毕;
终端检测进程处于活跃状态。
满足基线条件的终端才可通过认证访问业务应用。
终端安全基线策略终端安全基线策略北京数字证书认证中心2007年10月19整合式安全管理解决方案终端安全实用问身份加固,通过加强终端使用者的身份认证,来确保终端当前使用者的身份,防止冒名使用终端。
数据保密,采用加密技术,针对数据源头进行保密,建立安全环境,实现数据的安全性。
同时,建立数据合法外发通道,保证内部数据的合法外发。
行为管控,从行为层面对用户的行为进行合理过滤,约束非法行为,放行合法行为,实现事前的安全管理。
日志审计,通过提供丰富的日志信息,以便能够在事后对系统的运行、文档是使用等情况进行监督。
终端安全管理四要素终端安全管理四要素北京数字证书认证中心2007年10月20整合式安全管理解决方案运维审计IT运维审计网络设备网络设备数据库数据库应用服务应用服务安全设备安全设备主机主机审计探针审计探针IT运维人运维人员员运维人员可使用堡垒主机中的审计管理模式,配合安全管理平台系统通过采集各个资产的运行维护日志,经过关联归并处理最终形成定制化报表,为安全管理人员和日常运维人员日后排查问题、追究事故责任、巩固信息系统安全提供重要参考。
堡垒主机堡垒主机安全审计管理安全审计管理北京数字证书认证中心2007年10月21整合式安全管理解决方案身份管理集中账号管理和单点登录网络设备网络设备数据库数据库应用服务应用服务安全设备安全设备主机主机IT运维人运维人员员集中账号管理:
对所有IT资产帐号的集中管理对帐号整个生命周期的监控和管理降低设备管理员管理大量用户帐号的难度和工作量发现帐号中存在的安全隐患,制定统一的、标准的用户帐号安全策略账号关联,可实现多级的用户管理和细粒度的用户授权。
满足实名审计的需要单点登录(SSO):
帮助IT管理员完成过程冗繁的认证登录操作,实现一点式漫游管理堡垒主机堡垒主机SSOIDIDIDIDID北京数字证书认证中心2007年10月22整合式安全管理解决方案运维管理InternetInternetServerServer攻击者攻击者攻击者攻击者RouterRouterFirewallFirewal
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- BJCA 医院 整合 安全管理 解决方案 v1
![提示](https://static.bdocx.com/images/bang_tan.gif)