设为首页 | 关于易和 | 网站地图
中文 | English
首 页 | 易和服务 | 解决方案 | 成功案例 | 产品中心 | 技术支持 | 招聘贤才 | 联系我们
解决方案
政府行业
教育行业
电信行业
制造行业
医疗行业
酒店行业
首页 > 医疗行业
医院终端安全管理

第一 医院用户需求分析

  医院在生产终端的安全管理方面存在以下问题:
    ◆现有的终端分散管理方式,个人随意性很强;关键文件需要保护;
    ◆外设设备的访问控制;
    ◆能禁止/允许客户端访问网络和服务的能力;
    ◆系统资源和资产的访问控制管理;
    ◆终端数量多,日常使用人员维护管理压力大;
    ◆移动终端接入互联网后又接入生产网,所带病毒交叉感染;
    ◆终端私接上网或从事与工作无关的事务无法限制,同时为企业带来安全问题;
    ◆特定安全手段的实现、培训成本高
  为了落实医院信息化管理标准和管理规范,以及医院自身运行管理的需求,决定了在生产和管理网络中实施终端自动化管理,以保证医院网络、计算机以及信息资源的安全。
  根据用户目前的网络结构,可在计算机中心部署终端安全服务器端,在医院各个科室和分支的计算机终端上部署终端安全客户端,由服务器端统一进行管理。
  如果用户网络中已经部署有一系列安全产品如防火墙、防病毒等,终端安全集中管理软件的部署还需要考虑和用户现有安全产品的兼容性,以及配合使用。
  为了解决上述问题,加强生产网络整体安全,并提高生产终端安全管理的效率,我们为用户推荐冠群金辰终端安全管理系统(KSMS )。KSMS采用集成化网络安全防卫思想,遵循终端生命周期管理模型,应用集成防卫的理论与技术,采用分布式的体系结构,通过安全策略的设计及集中的安全控制管理平台,提供一套功能强大的安全管理控制系统;在降低网络安全管理成本的同时,能有效的保护网络和主机系统的安全,既能防止内部的信息泄漏,也可以阻止外部的攻击。KSMS也能和目前绝大多数的应用软件稳定兼容、并支持与主流防病毒产品互动。能够满足用户对终端管理所提出的身份认证、访问控制、资源保护、用户审计等目标。

适应医院的技术特点

  ◆领先的分布式可扩展的系统体系结构
  整个系统通过系统支持平台的分布式设计可以提供十分灵活、强大的部署能力,具有良好的可扩展性。
  ◆基于安全策略集的统一、灵活的安全管理体系
  所有的安全管理都是通过策略集的定制和分发来完成的,支持集中的安全管理,便于整个系统的统一管理。
  为了简化策略的管理,我们将用户按照角色来管理。对不同的角色实施不同的安全策略。如果许可,用户可以制定自己的特有策略,但不得和自身角色的安全策略冲突。
  ◆独有的智能化系统安全分析和异常检测机制
  系统通过特有的环境因子和用户因子生成报警因子,并结合策略因子和历史数据,共同输入到决策引擎中;该引擎采用专有的安全算法,综合分析判断得出对某个事件是否报警。这样就避免了大量误报给管理员带来的工作量。
  ◆丰富的安全策略类里和全方位的主机保护机制
  系统的保护覆盖了系统内核——系统设备——应用程序三个层面,提供了全方位的保护,支持防火墙策略、应用程序策略、E -mail 策略、个人隐私策略、Web 策略、入侵检测策略、DOS 策略、系统监管等等各个方面的保护。
  在系统内核层面,可以自动、透明地帮助用户将操作系统加固,将所用IT 资源的风险性降至最低,这样用户完全从对技术的掌握中解脱出来,从而可以非常放心地更加关注于自己的核心业务。同时,用户根本不需要具有专业的计算机知识即可将自己的主机及时加固到专家级的安全程度。
  在系统设备层面,严格限定了用户是否具有使用特定硬件设备的权限(例如:CD -ROM 、USB 设备等)和用户对网络的使用情况以及外界通过网络访问主机的通道。无论是该主机对外攻击,还是遭受外来攻击的可能性都极大降低,避免了由此造成的损失,同时避免了用户通过网络窃取机密的可能。
  在应用程序层面,严格限定了指定用户在指定电脑上的合法行为和禁止行为,任何未经许可的程序都将被禁止。这保证了用户只能在合法范围内正常使用电脑,即避免了用户对资源的滥用,也避免了由此造成的维护成本升高。
  ◆多级的基于组织机构和角色的用户管理体系
  可以根据单位组织机构的不同划分管理权限,不同的管理者具有不同的权限和不同的管辖范围,支持系统清晰的职权划分。
  管理员通过组织的安全策略,可以灵活地针对不同个人、组、地理位置等设置不同的资源使用策略;这样可以根据不同的用户角色来部署不同的安全级别。策略的制定、分发和执行对于最终用户完全透明。
  ◆灵活、健壮、丰富的安全认证通信加密机制
  特有的多元认证方式,使得合法用户在使用电脑访问网络时,网络地址、物理地址和其他硬件标识必须匹配,避免了用户擅自更改主机配置所导致的管理混乱。多重身份认证保证了管理员不能随意使用监管和监控功能,避免了隐私的泄漏。
  系统不仅为目标主机提供了强大的保护,系统本身的保护也十分健壮并且提供了适应不同环境的认证机制。支持Kerberos 、OTP 、证书等安全的认证,也提供口令认证等简单方便的认证方式,所有的通信都是加密且安全可靠的。
  ◆支持广泛的操作系统平台
  系统支持平台提供WindowS 版本和Linux 版本,策略执行点(保护主机)的操作系统支持Win2K , WinXP , Win2003 ,以后还将将支持Linux 、Solaris、A IX等。
  ◆丰富和强大的日志分析、报警机制
  提供系统日志、认证日志、攻击日志等等的分析和自定义查询,并且将日志的级别划分为7 个级别(紧急、警报、严重、错误、警告、通知、提示),可以根据日志级别的不同选择多种告警方式(声音、邮件、Windows 消息等等)。
  ◆提供与防火墙、防病毒软件的联动功能
  提供与防火墙、防病毒软件的联动功能。通过与防火墙的联动功能,有效的防止了个别用户越过KSMS 安全策略的控制和保护,访问非授权的网络资源。通过与防病毒系统的联动功能,能够使用户通过KSMS 安全策略对防病毒客户端程序进行集中统一的病毒库的及时快速更新,极大提高了网络系统的维护升级工作效率。从而为用户的网络、业务系统形成立体的、纵深的、全方位的安全保护屏障。

第二 医院业务目标实现

  对于医院生产终端集中安全管理当中碰到的如下管理要点,KSMS都可以提供有效的解决:
  ◆终端接入及配置
  对于用户所有接入的终端,KSMS都可以针对其制定相应的策略。所有的安全管理都是通过策略集的定制和分发来完成的,支持集中的安全管理,便于整个系统的统一管理。
  KSMS包括多种安全策略:元策略、环境策略、应用策略、内容策略、流量策略和分组策略等。不同类型的策略负责在不同的范围内对网络安全行为进行规范,并且可能适用于不同类型的网络节点。
对于移动终端(如临时访客或前来实施项目的厂商单位工程师所携设备),可以通过KSMS设置限制其对用户资源的访问。
  ◆终端应用软件管理
  通过应用程序策略,KSMS能够严格限定指定用户在指定电脑上的合法行为和禁止行为,任何未经许可的程序都将被禁止。这保证了用户只能在合法范围内正常使用电脑,即避免了用户对资源的滥用,也避免了由此造成的维护成本升高。
  KSMS也可以对生产终端操作系统、应用系统的运行情况进行监控,判断并维护终端系统的完整性,维护操作系统/应用系统补丁通知、分发和管理。
  ◆终端系统安全管理
  KSMS能够对用户权限分类分级控制,通过安全域的建立,相同的访问权限只能执行一致的安全策略;管理员还可以维护终端的文件共享,根据业务需要开启相应端口服务,以及部署、检测、升级全网统一的网络版防病毒系统。
  ◆终端上网管理
  通过防火墙策略,KSMS可以禁止生产终端以任何方式绕过用户网关私接因特网;并且可以限制所有允许上网的生产终端必须通过在网络边界统一设置的代理服务器访问因特网。
  ◆终端外设安全管理
  通过设备控制策略和打印机控制策略,KSMS能够禁用一切终端外设包括软驱、光驱、移动存储、调制解调器、红外设备、蓝牙设备、串口、并口设备等等,消除由此可能带来的旁路以及恶意代码、病毒的引入。
具体而言,对于用户最关注的几项目标:
  ◆认证
  需求:所有寻求访问网络资源的终端/用户必须首先进行身份验证。
  实现:满足。在本系统中,所有试图访问网络资源的终端/用户必须首先进行身份验证,未经验证的用户会被发现并阻止访问网络资源。阻止的方式可以通过网关或者和系统联动的其他设备来实现;也可以通过系统自带的策略功能来实现。不同情况下的实现方式不一样。
  客户端一旦安装,即可防止用户自行卸载、停止服务或删除相关文件来试图绕过管理。客户端服务可以实现对用户不可见;系统会自动检测终端用户试图绕过系统管理的行为,并加以自我恢复和限制。
  ◆访问控制
  需求:资源的查看、修改、运行等权限必须根据实际需要分配给用户。
  实现:满足。系统可集中管理访问控制、资源查看、修改、运行等的权限,并提供了针对客户阻止结构的对应关系,用户管理员可将这些权限按照用户的身份、角色、所属机构、地理位置等分配给不同的用户或用户组。这样就可以保证每个用户的权限是确实需要的,而对于不需要的权限则不给用户分配,并且可禁止用户享有。
  ◆保密性
  需求:必须采取适当的措施以保证医院的专利、资源或用户的数据不会遭到损害。
  实现:可以。系统可通过多种策略和控制的方式将各种可能的泄密方法进行有效的控制:
    访问控制策略可以有效限制其他用户对用户主机的访问,使得用户主机不接受非法人员的访问;
    系统可以有效地将windows的默认共享关闭,并且审查用户主机提供的对外共享目录,防止信息通过共享目录泄漏;
    内容过滤策略可以根据关键字、文件类型、长度等限制,防止用户将敏感信息通过邮件、web、ftp等方式传播出去;
     应用程序的控制策略可以限制用户不能使用未经审查的应用程序,避免通过该程序所带后门造成的信息泄漏;
       基于设备的安全策略,能够限制用户使用各种外设,例如U盘、软盘、光盘刻录、打印输出、拨号或无线传输等;这样就有效避免了通过这些方式的泄密;
       打印机策略可以限制用户可用的打印机,防止用户私自打印。同时也可将打印的文档加以备份,以便追查。
       通过策略可以限制sniffer之类的监听,防止信息通过网络的泄密;
  ◆完整性
  需求:所有影响数据的改动必须要经过认证、控制、确认以保证数据准确无误。
  实现:
    系统提供了自定义文件完整性检查功能。用户可自定义相关文件,保证所有影响数据的改动在需要禁止的情况下会被禁止;
    可通过对特定的本地文件资源(目录保护、磁盘保护、文件的读取/修改/执行权限)的限制使用来保证所有影响数据的改动必须要经过认证、控制、确认以保证数据准确无误。可恢复性
  ◆审计
  需求:用户访问和活动情况必须进行记录和保留。
  实现:用户的行为会被有选择地严格记录和审计;管理员的行为被严格记录和审计。可实现管理的三权分立:管理员具有执法权、日志管理员具有监督权、领导具有立法权(给管理员授权的权限),保证日志的完整、不被篡改和详细。

第三 KSMS提升医院业务优势

  KSMS 为客户提供了成体系的、基于P2DR 模型的整体安全解决方案。通过安全策略在组织内部所有桌面主机、服务器、网络设备、网络安全设备上的部署和执行,为客户带来了前所未有的价值和安全体验。
  ◆全面的安全保障
  KSMS 摆脱了传统安全设备专注于单一安全功能的局限,解决了安全、性能和业务之间的冲突和统一;通过单一系统部署,就可为客户带来全面、丰富的安全保障。系统的保护覆盖了物理安全、网络安全、系统安全、应用安全、管理安全的多个层面,提供了丰富的安全保障功能。
  ◆简化安全管理
  KSMS 的部署使得管理员可以远程维护、管理和加固用户主机,避免了现场维护。同时安全策略的自动部署和执行,可以非常迅速地在组织内部构建起统一、高效的安全防御体系,大大简化了安全管理的工作量。
  ◆降低总成本
  KSMS 通过集中的策略制定可以使得终端用户在得到安全性保证的同时,从对安全的学习和理解中彻底解脱出来,更加专注于自己的核心业务。
  管理员通过集中的策略设定,就可以避免在用户现场无休止的维护工作。通过全组织的安全策略部署,既可以有效避免对其他传统安全设备的需要,降低设备采购的成本,也可以作为传统安全解决手段的互补品,有效保护现有投资。KSMS 的部署不需要变更现有的网络结构,这可以有效降低项目实施的成本。
  ◆适应未来需求
  有效的主动策略控制将使得该系统一次部署之后,可以在未来的大规模安全事件爆发之前有效地解决可能出现的安全问题。例如:由于策略限制了每个用户可以使用的资源和内容,因此可以有效地防范针对系统漏洞的新型病毒。
  对于不断出现的网络边界(例如无线、移动等), KSMS 都能保证在不增加设备投入的情况下有效适应。
  目前,KSMS 可以保护的主机操作系统包括全windows 系列,以后还将支持Linllx 、Solaris 、A IX 等;跨平台的支持,将使得组织中大多数的主机被统一管理,适应了整个组织的需求。支持的用户数可以自由增加,适应组织的变化,保护投资;设备的部署不会对网络性能造成影响。

医院KSMS产品部署设计

  针对用户的实际情况和需求,我们为客户提供冠群金辰的KSMS 部署方案。
 
  建议医院的内网(终端)管理由专人负责,分为IT系统管理员和审计员不同角色。系统管理员主要职责是负责维护目前的安全终端管理系统,而审计员则对日志信息和审计记录进行详细而审慎的核查。
  在组织内所有的用户主机和服务器上安装策略执行引擎。当子网用户登录网络时,引擎会从所属的服务器上自动下载安全策略,并且在本地自动执行。部署KSMS 后,有效地解决和预防了原来系统中出现的各种安全和管理问题,极大地减少了管理员对用户主机的维护和管理成本,透明有效地保证了用户主机的安全。
  KSMS的部署通常包括几个部分:
  1.管理端软件的安装:运行于管理员主机,进行整体的管理策略配置;是一个标准的windows程序;
  2.服务器的安装:服务器在出厂时进行了几乎所有的配置工作;管理员只需要将其连入以太网、启动,并同管管理端软件为其分配适当的IP地址即可;
  3.客户端程序的安装:客户端的安装是KSMS中工作量最大的内容。有以下几种安装方式:
  项目实施人员在客户端主机现场逐一安装,并为客户配置相关的注册信息。该方案的特点是,适合大多终端用户计算机水平较低的客户,便于统计真正的计算机数量,工作量大。
  客户端远程安装。只要管理员知道客户端主机的IP或主机名、管理员密码,即可通过系统自带的远程安装程序,为客户端进行远程安装。该方案的特点是:最大化减少终端用户工作量,但须终端用户提供部分敏感信息。
  客户端自行安装。实施时通过网站提供相关下载,客户端自行下载、安装和注册;安装过程中,客户端程序会要求用户输入用户名、密码等注册信息,系统根据这些信息自动为终端用户生成用户信息。该方案的特点是:极大减少了管理员和项目实施人员的工作量,适合大多终端用户计算机水平较高的客户。
  4.日志服务器的安装:日志采用SQL Server存储,标准的MS SQL Server安装;
地址:广州市天河区五山路248号金山大厦北塔312室  广州市天河路490号壬丰大厦3510室
电话:020-38889987 38889812  传真:020-38889856
广州市易和信息技术有限公司 © 2011版权所有    
粤ICP备10059817号-1 备案编号:4401060100863