1、医疗行业案例分析北信源内网安全管理系统案例分析北京北信源自动化技术有限公司2009年12月一、 前言北信源终端安全管理系统作为一套整体的客户端节点安全防护体系,遵循网络防护和客户端防护并重理念,针对网络安全管理人员在网络管理、防病毒管理、桌面管理过程中所面临的种种问题提供解决方案,强化对桌面的管理控制。整个体系能够对桌面进行状态安全控管,主要涉及防病毒管理、桌面联网监控、客户端状态管理、设备注册、桌面安全管理、桌面应用资源控制以及远程协助管理等功能。系统实时监控和报警网络中存在的网络客户端违规、病毒事件等行为,提供在线桌面安全状态信息;依据系统报警信息和网络客户端上报的安全信息,管理人员在控制
2、台远程对异常网络或者违规客户端机器采取处理措施(如断网、告警、远程协助等),为网络建设一个完善的客户端防护体系,解决网络客户端安全管理的问题。北信源终端安全管理系统采用C/S与B/S混合模式设计,支持分布式部署,并具有模块化软件定制、支持标准API、无缝功能扩展与升级等优点。产品针对政府、电信、金融证券、银行以及各大中型企业等网络专门研制,已通过国家保密局、公安部、国家信息安全评测中心、解放军信息安全评测中心等多项权威认证,经业界权威机构统计北信源终端管理产品中国市场占有率第一。二、北信源部分医院案例北信源产品部分医院成功案例:北京市按摩医院山东聊城医院中国中医科学院广安门医院北京市丰台医院山
3、东荣军总医院贵航集团三00医院北京市积水潭医院上海光华医院贵阳中医学院第二附属医院北京市平谷区医院上海武警总队医院贵阳中医学院第二附属医院 北京市普仁医院上海武警总医院国药集团药业股份公司北京市仁和医院上海医药设计院中国医药协会北京市石景山医院深圳儿童医院海南养生堂药业公司北京市顺义区医院石家庄市卫生局河北北戴河医院北京市新康监狱医院石家庄卫生局菏泽市医疗保险事业处 北京紫竹药业苏州大学附属第二医院湖北省人民医院中国疾病预防控制中心苏州第五人民医院济南第三人民医院中国人民解放军医院天津泰达医院济南军区总医院中国人民解放军医院西藏诺迪康药公司江苏六合医院中国人民解放军455医院新疆卫生监督所江苏
4、省人民医院中国人民解放军85医院亚洲心脏病医院江苏省人民医院中国人民解放军天津254医院云南那曲人民医院辽宁省卫生厅中国武警附属医院镇江第一医院聊城人民医院海军总医院北京市顺义区劳动妇幼保健院龙口市卫生检验站三、成功案例分析一、中国人民解放军306医院(内网基本包+补丁)应用策略包括: 硬件设备控制策略、运行资源监控策略、终端配置策略、终端代理扫描、消息推送策略、终端点对点协助、补丁自动分发、普通文件分发、统一报警平台等。1. 软件自动分发问题中国人民解放军306医院里面经常需要使用某些软件(包括应用程序、操作系统、涉密文档、重要应用程序补丁分发),又由于网络终端分布在全国各地,每次的软件更新
5、、软件下发等工作都会给公司带来很大的工作量 。北信源提供了文件分发策略,可实现远程自动分发及文件到达终端后是否自动运行等设置,方便管理员向各个终端推送软件等,有利于大规模部署各种软件,提高管理员工作效率。2. 系统补丁自动分发问题 无论是黑客攻击、病毒影响还是普通的程序缺陷,终端的操作系统都面临着安全漏洞所造成的安全问题和性能方面的威胁。补丁可以防止病毒利用系统漏洞实施攻击,同时可以防止黑客利用漏洞实施入侵。随着微软公布补丁的时间越来越频繁,打补丁工作非常繁重。如何在不接入Internet的情况下,将计算机漏洞修复是个迫在眉睫的问题。北信源提供了专门的补丁下载服务器,由补丁下载服务器实时更新补
6、丁索引列表后到微软指定位置下载。补丁已根据实际情况,对影响计算机使用与运行的部分补丁进行了过滤。分发时,先小范围测试后,再向其余计算机推送,防止影响医院相关业务。3.终端时间擅自修改问题有些医院的员工无意中中了病毒或者出于某些原因,可能会造成计算机时间被修改,从而使杀毒软件失效或一些管理软件出现问题。虽然仅仅是小的改动但是会造成计算机无法受控和不安全,管理员又往往忽略这些细节方面,如何将所有终端的时间统一起来是个繁琐的事情。北信源提供终端配置策略,针对终端各种琐碎设置进行管理。帮助各个终端同步系统时间、检测多操作系统状态、防止网关欺骗、管理网络共享等,提供管理员快捷便利的工具。4. 桌面终端资
7、产管理中国人民解放军306医院拥有很多终端,而每台终端硬件配置情况迥异,又由于网络终端分布在各地,每逢一年一度的企业资产查询统计的时候,要花费很大的人力、财力、物力,而由于数量庞大又难免出现纰漏,资产难以做到及时准确的统计回馈,所以,如何准确快速的统计全协会的硬件资产信息;如何收集到每台终端的软件安装信息、并对协会许可安装软件进行监控;当终端软硬件发生变化时,能否及时更新上报是医院期待解决的问题。北信源提供软、硬件资产详细信息统计,管理员可以随时查询各个客户端的资产信息。当软硬件资产发生变更时,报警平台会产生相关信息。并且可以管理与监控客户端安装的软件,及时提示或隔离。5. 桌面终端安全控制
8、中国人民解放军306医院作为中国医疗行业的排头兵,对局域网内终端的安全问题极其重视,避免因某一个终端存在着不安全隐患导致整个网络的病毒的泛滥,网络的阻塞而带来的巨大损失,所以医院对如何控制网络设备的接入、访问互联网、网络之间互相访问、未安装杀毒软件、流量超标异常、IP地址滥用、外来设备的随意接入、切断网络中有病毒行为的不安全事件源等各种不安全行为极其重视。北信源提供对外来设备的接入、互联网的访问、内部网络间的IP访问进行控制、IP地址与MAC地址绑定、对未安装杀毒软件、流量超标异常终端的探测,当终端发生违规时,报警平台会产生相关信息,管理员可以及时发现并进行控制或隔离。6远程协助支持问题中国人
9、民解放军306医院的终端用户对计算机的熟悉程度参差不齐,对于一些对计算机认识不够用户来说,一个小小的软件使用问题都有可能要求助于网络管理员,一旦出现程序无法正常运行时更是束手无策。各客户端的分布也又非常广,公司的网络管理员不可能因为小小的软件问题来回于各个地方那个,致使处理问题的效率不高。如果计算机用户能在远程发出求助请求,管理员在远程进行程序安装、调试程序,势必会节省时间,提高管理员的工作效率,那么统一的远程呼叫帮助平台就成为必要。北信源提供了终端点对点远程屏幕支持及统一Web支持平台。计算机使用者可以随时通过平台寻求管理员协助,也可以通过电话、邮件等方式通知管理员后由管理员发起协助。以便在
10、第一时间连接到故障计算机,排查问题,节约时间。7病毒问题计算机病毒是目前对网络及计算机安全最大的威胁,医院虽然已经统一配置安装了杀毒软件,能够对病毒进行一定效果的防范,但是仍存在终端升级不及时,版本不统一,管理不规则等问题,如何有效的准确的定位网络中病毒的引入点,快速、安全的切断安全事件发生点和相关网络以防止病毒在网络中大量爆发,做到防、管、监、控一体化的有效防御体系是医院急需解决问题。北信源提供杀毒软件运行监控策略,实时检测杀毒软件的运行状态。对没有安装杀毒软件的计算机进行提示或者自动隔离出网,并可以转向到杀毒软件服务器所在URL,提示下载安装。二、中国人民解放军209医院(内网基本包+审计
11、)应用策略包括:硬件设备控制策略、终端配置策略、终端代理扫描、消息推送策略、终端点对点协助、文件输出审计、文件保护及审计、统一报警平台、流量采样策略、流量控制策略等1. 违规外联问题中国人民解放军209医院有很多计算机是不允许连接到外网Internat的,而普通的管理办法仅仅是在接入层交换机进行控制,无法进行详细联网状态的检测。如何真正管理计算机外联是个头痛的问题。北信源提供违规外联策略,通过与外网特征地址的检测,可以对采取不同方式(如双网卡、代理、无线3G卡等)连接互联网进行通讯的计算机自动阻断其连接行为并报警。2. 软件自动分发问题中国人民解放军209医院里面经常需要使用某些软件(包括应用
12、程序、操作系统、涉密文档、重要应用程序补丁分发),又由于网络终端分布在全国各地,每次的软件更新、软件下发等工作都会给公司带来很大的工作量 。北信源提供了文件分发策略,可实现远程自动分发及文件到达终端后是否自动运行等设置,方便管理员向各个终端推送软件等,有利于大规模部署各种软件,提高管理员工作效率。3. 桌面终端资产管理中国人民解放军209医院拥有很多终端,而每台终端硬件配置情况迥异,又由于网络终端分布在各地,每逢一年一度的企业资产查询统计的时候,要花费很大的人力、财力、物力,而由于数量庞大又难免出现纰漏,资产难以做到及时准确的统计回馈,所以,如何准确快速的统计全协会的硬件资产信息;如何收集到每
13、台终端的软件安装信息、并对协会许可安装软件进行监控;当终端软硬件发生变化时,能否及时更新上报是医院期待解决的问题。北信源提供软、硬件资产详细信息统计,管理员可以随时查询各个客户端的资产信息。当软硬件资产发生变更时,报警平台会产生相关信息。并且可以管理与监控客户端安装的软件,及时提示或隔离。4. 桌面终端安全控制 中国人民解放军209医院作为中国医疗行业的排头兵,对局域网内终端的安全问题极其重视,避免因某一个终端存在着不安全隐患导致整个网络的病毒的泛滥,网络的阻塞而带来的巨大损失,所以医院对如何控制网络设备的接入、访问互联网、网络之间互相访问、未安装杀毒软件、流量超标异常、IP地址滥用、外来设备
14、的随意接入、切断网络中有病毒行为的不安全事件源等各种不安全行为极其重视。北信源提供对外来设备的接入、互联网的访问、内部网络间的IP访问进行控制、IP地址与MAC地址绑定、对未安装杀毒软件、流量超标异常终端的探测,当终端发生违规时,报警平台会产生相关信息,管理员可以及时发现并进行控制或隔离。5. 终端桌面审计控制中国人民解放军209医院对防止重要文件外泄、数据流失以及安全事件源定位极其关注,具体表现在:终端用户利用移动存储设备拷贝重要数据文件带来的不安全信息审计;用户通过网络间互访带来不安全信息审计;终端用户通过Modem电话拨号、VPN拨号、无线网卡拨号、蓝牙设备非法连接外网或访问非法网站等行
15、为带来的不安全信息审计;终端因未安装杀毒软件等不安全因素带来系统感染病毒,怎样能有效的准确的定位网络中病毒的引入点,快速、安全的切断安全事件发生点和相关网络以防止病毒在网络中大量爆发的信息的审计,以上基于给局域网带来不安全信息审计内容是医院迫切关心的话题。北信源提供了统一、详尽的数据查询平台、审计信息平台及报警信息平台。管理员可以通过审计信息平台对打印、网络共享传输、邮件的发送、上网访问、连接外网等信息进行查询,管理员可以根据目前网络运行状况,随时查询需要的计算机信息,及时定位,及时隔离。6远程协助支持问题中国人民解放军209医院的终端用户对计算机的熟悉程度参差不齐,对于一些对计算机认识不够用
16、户来说,一个小小的软件使用问题都有可能要求助于网络管理员,一旦出现程序无法正常运行时更是束手无策。各客户端的分布也又非常广,公司的网络管理员不可能因为小小的软件问题来回于各个地方那个,致使处理问题的效率不高。如果计算机用户能在远程发出求助请求,管理员在远程进行程序安装、调试程序,势必会节省时间,提高管理员的工作效率,那么统一的远程呼叫帮助平台就成为必要。北信源提供了终端点对点远程屏幕支持及统一Web支持平台。计算机使用者可以随时通过平台寻求管理员协助,也可以通过电话、邮件等方式通知管理员后由管理员发起协助。以便在第一时间连接到故障计算机,排查问题,节约时间。7病毒问题计算机病毒是目前对网络及计
17、算机安全最大的威胁,医院虽然已经统一配置安装了杀毒软件,能够对病毒进行一定效果的防范,但是仍存在终端升级不及时,版本不统一,管理不规则等问题,如何有效的准确的定位网络中病毒的引入点,快速、安全的切断安全事件发生点和相关网络以防止病毒在网络中大量爆发,做到防、管、监、控一体化的有效防御体系是医院急需解决问题。北信源提供杀毒软件运行监控策略,实时检测杀毒软件的运行状态。对没有安装杀毒软件的计算机进行提示或者自动隔离出网,并可以转向到杀毒软件服务器所在URL,提示下载安装。三、北京儿童医院案例分析(内网基本包+补丁+移动存储)应用策略包括: 杀毒软件运行监控、终端配置策略、终端代理扫描、消息推送策略
18、、终端点对点协助、文件输出审计、文件保护及审计、移动存储设备审计、统一报警平台、流量采样策略、流量控制策略、进程异常监控等。1. 移动存储问题北京儿童医院为了统一管理桌面机,经常会将部分桌面机的光驱和软驱拆除,但是因为鼠标会使用USB接口,仍然可以使用优盘将文件进行拷贝,同时也会将病毒带路网络,仍然没有办法解决文件的随意拷贝问题。北信源提供了硬件设备控制策略及移动存储审计策略,针对各种硬件接口从驱动层进行实时的检测与控制,并且专门针对USB存储介质提供了专业的管理工具,有效解决了USB移动存储介质如何使用、在哪里可以使用、谁可以使用的问题。2. 软件自动分发问题北京儿童医院里面经常需要使用某些
19、软件(包括应用程序、操作系统、涉密文档、重要应用程序补丁分发),又由于网络终端分布在全国各地,每次的软件更新、软件下发等工作都会给公司带来很大的工作量.北信源提供了文件分发策略,可实现远程自动分发及文件到达终端后是否自动运行等设置,方便管理员向各个终端推送软件等,有利于大规模部署各种软件,提高管理员工作效率。3. 系统补丁自动分发问题 无论是黑客攻击、病毒影响还是普通的程序缺陷,终端的操作系统都面临着安全漏洞所造成的安全问题和性能方面的威胁。补丁可以防止病毒利用系统漏洞实施攻击,同时可以防止黑客利用漏洞实施入侵。随着微软公布补丁的时间越来越频繁,打补丁工作非常繁重。如何在不接入Internet
20、的情况下,将计算机漏洞修复是个迫在眉睫的问题。北信源提供了专门的补丁下载服务器,由补丁下载服务器实时更新补丁索引列表后到微软指定位置下载。补丁已根据实际情况,对影响计算机使用与运行的部分补丁进行了过滤。分发时,先小范围测试后,再向其余计算机推送,防止影响医院相关业务。4. 桌面终端资产管理北京儿童医院拥有很多终端,而每台终端硬件配置情况迥异,又由于网络终端分布在各地,每逢一年一度的企业资产查询统计的时候,要花费很大的人力、财力、物力,而由于数量庞大又难免出现纰漏,资产难以做到及时准确的统计回馈,所以,如何准确快速的统计全协会的硬件资产信息;如何收集到每台终端的软件安装信息、并对协会许可安装软件
21、进行监控;当终端软硬件发生变化时,能否及时更新上报是医院期待解决的问题。北信源提供软、硬件资产详细信息统计,管理员可以随时查询各个客户端的资产信息。当软硬件资产发生变更时,报警平台会产生相关信息。并且可以管理与监控客户端安装的软件,及时提示或隔离。5. 桌面终端安全控制 北京儿童医院作为中国医疗行业的排头兵,对局域网内终端的安全问题极其重视,避免因某一个终端存在着不安全隐患导致整个网络的病毒的泛滥,网络的阻塞而带来的巨大损失,所以医院对如何控制网络设备的接入、访问互联网、网络之间互相访问、未安装杀毒软件、流量超标异常、IP地址滥用、外来设备的随意接入、切断网络中有病毒行为的不安全事件源等各种不
22、安全行为极其重视。北信源提供对外来设备的接入、互联网的访问、内部网络间的IP访问进行控制、IP地址与MAC地址绑定、对未安装杀毒软件、流量超标异常终端的探测,当终端发生违规时,报警平台会产生相关信息,管理员可以及时发现并进行控制或隔离。6. 远程协助支持问题北京儿童医院的终端用户对计算机的熟悉程度参差不齐,对于一些对计算机认识不够用户来说,一个小小的软件使用问题都有可能要求助于网络管理员,一旦出现程序无法正常运行时更是束手无策。各客户端的分布也又非常广,公司的网络管理员不可能因为小小的软件问题来回于各个地方那个,致使处理问题的效率不高。如果计算机用户能在远程发出求助请求,管理员在远程进行程序安
23、装、调试程序,势必会节省时间,提高管理员的工作效率,那么统一的远程呼叫帮助平台就成为必要。北信源提供了终端点对点远程屏幕支持及统一Web支持平台。计算机使用者可以随时通过平台寻求管理员协助,也可以通过电话、邮件等方式通知管理员后由管理员发起协助。以便在第一时间连接到故障计算机,排查问题,节约时间。7. 病毒问题计算机病毒是目前对网络及计算机安全最大的威胁,医院虽然已经统一配置安装了杀毒软件,能够对病毒进行一定效果的防范,但是仍存在终端升级不及时,版本不统一,管理不规则等问题,如何有效的准确的定位网络中病毒的引入点,快速、安全的切断安全事件发生点和相关网络以防止病毒在网络中大量爆发,做到防、管、
24、监、控一体化的有效防御体系是医院急需解决问题。北信源提供杀毒软件运行监控策略,实时检测杀毒软件的运行状态。对没有安装杀毒软件的计算机进行提示或者自动隔离出网,并可以转向到杀毒软件服务器所在URL,提示下载安装。8.服务器状态监控问题北京儿童医院部署了大量的服务器作为医院信息化的利器。这些服务器每天都在不间断的运行,产生大量数据,如何监控这些重要服务器的运行状态,并在发生状况时及时通知给管理员是个紧迫的问题。北信源应用流量监控策略、运行资源监控策略、进程异常监控策略实时对各客户端流量大小、CPU占用率、内存占用率、硬盘占用率、进程及服务等进行监控,发现异常及时向管理员报警,管理员可以根据目前网络
25、运行状况,随时查询需要的计算机信息,及时定位,及时隔离。四、可以达到的效果随着医院应用系统的不断增加,在网络中传播的病毒造成的风险和管理上的风险也会不断增加,由于单个计算机的病毒引起的损害可能传播到其他系统和主机上,引起网络瘫痪,造成重大损失。系统对网络的安全稳定运行有较高的要求。同时,其它桌面安全和桌面管理方面的问题也十分繁杂,而网络维护管理人员十分有限,因此需要专业的终端安全管理系统,该系统可解决上述提到的终端安全和管理问题,并可取得以下的效益:1、 系统可解决网络统一管理问题:系统将医院网络变成一个真正的可统一管理的级联网络;上级可对下级进行统一的管理和监控,下级数据可统一上报至上级汇总
26、管理。2、 系统可解网络安全的根本问题:提供从密码监控以及进程、端口、访问区域、流量、注册表、安装软件的监控管理,全方位的监控终端使用的各个环节,最大程度上保证客户端系统的健壮性,保证网络终端的安全,从而保证网络的安全。3、 系统可解决客户端网络管理问题:可进行全网统一的远程终端维护管理和审计等,可有效解决网管终端管理的问题。4、 系统可大幅度降低管理的成本:此系统的使用可在增强网络统一管理和安全管理的同时,使原本很多需要手工处理的工作自动化,并可使管理人员在本地远程接管并解决远程终端的问题,从而大幅度降低管理成本,提高效率。5、 由被动防御变主动防御:隔离防御能力脆弱的用户终端;及时更新系统补丁、病毒库,提高抵抗力;限制对网络的不合理使用6、 由单点防御向全面防御多点联动靠拢:采用身份认证与安全策略相结合方式;与专业病毒防火墙、杀毒软件联动;多重权限控制,终端用户的安全级别的等级划分。7、由以网络为中心的分散管理变为以用户为中心集中策略管理:对终端用户安全接入策略统一管理、终端用户安全策略的强制实施、终端用户安全状态的集中审计;对用户事前身份和安全级别的认证、事中安全状态和安全行为的监控、事后安全状态和安全行为的审计。
