XX医院终端安全管理系统方案

XX医院终端安全管理系统方案成都中软计算机技术工程有限公司二零一二年五月地址：成都市一环路南一段1号邮政编码：610041电话：（028）85454809传真：（028）8545439XX医院终端安全管理系统方案本文档仅限成都中软计算机技术工程有限公司和被呈送方内部使用，未经许可，请勿扩散到第三方。第2页共13页文档说明首先非常感谢XX医院给予成都中软计算机技术工程有限公司机会参与此次项目，并希望本文档所提供的内容能在本次项目和今后的建设中发挥应有的作用。特别提示：本文档所涉及到的文字、数据、图表等，仅供成都中软计算机技术工程有限公司机和XX医院内部使用，未经成都中软计算机技术工程有限公司书面许可，请勿泄露第三方！XX医院终端安全管理系统方案本文档仅限成都中软计算机技术工程有限公司和被呈送方内部使用，未经许可，请勿扩散到第三方。第3页共14页3目录1.项目背景.................................................................................................................42.现状分析.................................................................................................................43.项目目标.................................................................................................................64.方案设计.................................................................................................................64.1运行环境...........................................................................................................................74.1.1系统配置要求.................................................................................................................74.1.2系统部署方式.................................................................................................................84.2主机注册...........................................................................................................................94.3客户机管理.............................................................................................................................94.4资产管理.........................................................................................................................104.5补丁管理.........................................................................................................................104.6接入控制.........................................................................................................................104.7策略管理.........................................................................................................................114.7.1非法外联.......................................................................................................................114.7.2外设控制.......................................................................................................................114.7.3安全检测策略...............................................................................................................124.7.4账户密码策略...............................................................................................................124.7.5上网控制策略...............................................................................................................124.7.6软件安装控制...............................................................................................................124.7.7软件运行控制...............................................................................................................134.7.8系统监控.......................................................................................................................134.7.9操作行为审计...............................................................................................................134.7.10文件分发和消息分发...................................................................................................134.8日志管理.........................................................................................................................134.9系统配置.........................................................................................................................13XX医院终端安全管理系统方案本文档仅限成都中软计算机技术工程有限公司和被呈送方内部使用，未经许可，请勿扩散到第三方。第4页共14页41.项目背景信息网络化对全球政治、经济、军事、科技、文化、社会等各个方面都产生了前所未有的影响。信息网络化使信息公开化、信息利用自由化，其结果是信息资源的共享和互动，任何人都可以在网上发布信息和获取信息。信息网络从局部走向全球产生的国际信息网络，更是一个开放的世界，甚至被说成是无管制的世界。在这样的背景下，信息与网络安全问题成为危害信息网络发展的核心问题。据ISCA统计全球每年仅仅由于信息安全问题导致的损失高达数百亿美元，其中来至于内部的威胁高达60％，来自内部的威胁已经成为企业首要的安全问题。目前，比较流行或者说应用比较广泛的一些网络安全系统主要有：防火墙、杀病毒、入侵检测、身份认证、漏洞扫描等等，但这些网络安全系统基本都是专门针对某一类型网络安全威胁的工具，主要定位在防范来自外部网络的安全威胁，并不能够解决大部分内部网络安全问题：防火墙关注的是边界安全，对于内部的各种非法滥用和攻击行为无能为力；杀病毒的定位更为清晰和专业，就是针对病毒等恶意代码的攻击，而不能管理内部网络行为和设备的应用。他们都不是专业的内网安全管理工具，不能解决综合性的、与网络使用者的行为密切相关的、与管理措施密切相关的、尤其关注内部泄密和网络效率的这样一款系统工具。2.现状分析本着为用户负责的态度，成都中软计算机技术工程有限公司的技术人员对XX医院现有的网络环境做了认真、细致的分析，并和XX医院相关技术专家进行了深入的交流，针对XX医院的信息安全防范与管理现状，得出了以下一些结论：随着XX医院HIS系统的建设和防火墙等安全设备的接入，目前信息安全防范处于一种“外硬内软”的状态，即与Internet联接的边界网络处的安全防范措施做得比较出色，而内部安全则较为薄弱，一旦被找到了突破口，就会呈“决堤”之势，所有内部漏洞都会暴露在攻击者面前。或者从另一个角度来说，面对来自熟悉该网络结构的内部人员或准内部人员的攻击，整个系统将显得非常脆弱。目前XX医院待解决的问题主要表现为：XX医院终端安全管理系统方案本文档仅限成都中软计算机技术工程有限公司和被呈送方内部使用，未经许可，请勿扩散到第三方。第5页共14页51)内部人员或设备的主动或者被动泄密泄密问题一直是内部网络的一个头疼问题，尤其是对于医院生存和发展的核心秘密，如医疗行业和医治方案信息、管理数据及病案信息等，都不可避免的需要在内部计算机和网络中产生、传输、存储、修改和应用，涉及到的人员、设备也比较多，因此泄密的危险性也比较大。泄密的途径主要有两个；一是人员，二是机器设备。从主观上来看，一种是无心的过失泄密，另一种则是蓄意的主动泄密行为。无论是什么形式的泄密行为，都将会给医院带来不可忍受的损失和利益。因此，我们需要对内部人员的计算机和网络操作行为进行规范，对网络内部的各种设备进行统一管理、授权。2)内部人员主动或被动的制造／传播病毒等恶意代码在医院内部，总会有一些对网络技术非常感兴趣的人员，这些人也许是有着某种目的，或者纯粹为了好奇，而制造、传播一些有病毒、后门等特征的恶意代码，这些代码如果不进行及时的处理，有可能会引起网络的混乱，导致部分甚至全部的网络资源不能使用，从而影响医院的管理和运作。还有些人员或设备，在没有防备的情况下，中了内部或者外部“恶性病毒”的“招”，成为病毒攻击内部网络的“桥”，从主观上来讲，这些设备和人员是被动的，他