《医院信息安全技术体系产品功能介绍.doc》由会员分享,可在线阅读,更多相关《医院信息安全技术体系产品功能介绍.doc(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、医院信息安全技术体系产品功能介绍边界控制管理对于国内大部分机构而言,内部网络环境都混合了多厂商的设备,终端准入系统遍历各种交换、路由设备制造商,能够兼容国内各种混合网络环境,在此基础上提供从802.1x、PBR(PolicyBased-Routing)、MVG的各种边界控制强度的实现方案,终端准入系统准入控制系统是真正适合国内网络环境的方案,也是众多用户的第一选择。利用各种网络控制技术,实现在各种网络环境下适应性,终端准入系统能够帮助用户快速实现对于内网边界的规划。可以实现基于接入层边界的控制和基于重要资源边界的控制。1.1.1.1.1 人员认证管理终端准入系统能够提供广泛的身份认证功能,以及
2、基于人员角色的权限控制功能,从而在识别、授权、审计等多个角度对内网边界设立好人员管理的第一道防线。l 本地用户名/密码通过管理者在终端准入系统中内建用户名/密码,具有中小规模网络的机构能够迅速地对所有接入内网安全边界的人员进行识别和授权。由于提供了相当大限度的自定义字段,管理者能够对每个人员的身份特征进行描述,从而便于在后期进行更为详细的入网审计和统计。l Email绝大多数机构都内建了E-mail系统,利用POP3协议及其他邮件协议,终端准入系统能够和机构已有的E-mail系统进行身份衔接。用户在入网时能够凭借已有的邮箱/口令进行快速认证,并得到相应的访问授权。l RadiusRadius协
3、议是具有广泛应用基础的认证/授权/计费标准,在包括802.1x、交换机安全登录、VPN拨号等诸多环境中都能够提供唯一的、有力的支撑。终端准入系统从大量的802.1x部署环境中获取了与第三方Radius Server联动的丰富经验,在各种Radius环境下均能够迅速实现用户的识别与认证。l LDAPLDAP(Lightweight Directory Access Protocol)是相比Radius更为专业的得到关于人或资源的集中及静态数据的快速方式。被广泛运用于利用数字证书进行人员识别的系统中。终端准入系统能够对众多基于LDAP的认证系统进行身份认证联动,在提取出其中的用户信息后进行相关的用
4、户认证、审计和授权管理。l AD域AD(Active Directory)是基于Windows系统的强大而有效的安全管理工具。由于在目录中包含了有关各种对象(例如:用户、用户组、计算机、域、组织单位(OU)以及安全策略)的信息,终端准入系统能够从中获取到相比其他认证系统/接口更为详细的管理信息。终端准入系统优秀的AD同步功能能够一次性或按需从AD中自动请求有关用户的所有相关字段,配合已部署的AD域实现安全准入功能。终端准入系统还能够提供AD域环境下的单点登录,为机构提供更多的管理便捷性。l 短信在管理者登记了所有授权入网用户的移动电话后,终端准入系统能够迅速跟运营商或用户网络中的短信平台进行结
5、合,为入网用户提供更方便的利用动态短信验证码进行认证的入网访问验证方式。结合终端准入系统自建的用户名+密码认证方式,还可以搭建静态+动态密码的双因素认证,从而为机构提供更高层次的安全接入保障。提供自主研发的短信Modem,可以获得与终端准入系统更高的集成性和稳定性。l 生物指纹随着生物信息技术的发展,利用个人特征进行识别的人员管理模式在众多行业的管理模式中均得到了应用,如虹膜、指纹、语音等。由于这些生物特征具有唯一性和永久性,且无需人员进行预先设置和记忆,因此具有其他记忆和携带类认证方式所不具有的突出优点。终端准入系统在行业内率先推出了与众多品牌个人指纹识别系统进行结合的身份认证模块,能够利用
6、用户的指纹识别系统作为入网人员身份的采集点,并结合内置的角色管理、授权审计模块进行更细致的人员入网访问管理,从而更适合高端用户基于边界的用户认证管理需求。l 其他第三方认证方式终端准入系统提供了行业内领先的第三方认证接口API,您可以通过网络中已有的各种身份系统与终端准入系统进行无缝对接,终端准入系统能够从各种以其他方式存储账号/口令的第三方系统(如OA服务器等)获取到需要进行授权的人员信息,并结合机构所制定的安全策略进行相应的角色划分和访问授权。1.1.1.1.2 设备规范管理机构自身的安全规范是隐居于抽屉、文件夹或墙头真正的安全管理高手,准入控制的意义就在于释放出安全规范中所包含的真正的安
7、全意蕴,遵循ISMS的框架性指导,用技术平台的手段实现安全规范的意义,管理者的思路能够在终端准入系统中真正得到展示。终端准入系统充分利用了PDCA的管理模型,通过准入控制的技术手段加强了“Do”、“Check”和“Act”这3个在内网管理中传统的弱势环节。在终端准入系统数年所历经的大型网络用户中,积累了关于各行业的规范特征,并最终形成了更适合用户行业特点的核心规范库,终端准入系统的核心规范库与设备识别、用户认证、行为监测等共同构成了几十项的内网安全要素集合,这就克服了老旧控制技术单一利用MAC地址、用户认证等极少量安全要素进行管理的短板。l 通用规范终端准入系统所提供的机构内网安全管理的通用规
8、范包括:设备识别根据IP、MAC、操作系统、硬盘ID系统指纹等特征完整地给出接入设备的形态,从而帮助管理者区分内部设备与外部设备,授权设备与非授权设备,已注册设备与未知设备等多种管理形态。用户认证依托于终端准入系统强大完善的认证系统,能够提供给管理者基于用户的角色管理,赋予不同的用户不同的访问权限、所使用设备的安全配置要素及网络行为准则。AV(Anti-Virus,防病毒软件)健康保障众多的机构都部署了防病毒软件,但在实际使用中往往存在漏装、不更新病毒库或杀毒引擎、或意外卸载的诸多问题,管理者定期的统计数据表明,国内机构内防病毒软件的安装/运行率一般徘徊在60%70%之间。因此,针对机构内防病
9、毒软件的健康性保障系统是帮助管理者增强防御水平,降低管理成本的有效手段。终端准入系统能够针对主流的十几类杀毒软件进行健康性保障,基于用户所规划的边界,确保在终端设备接入边界时就自动提升杀毒软件的健康程度,从而在终端设备最重要的安全配置上实施强制管理。系统补丁(Patch)健康保障如果操作系统不及时更新补丁,那么任何漏洞都会变成0day威胁,从而对设备、使用者甚至是机构造成巨大的威胁和损失。终端准入系统依托于Microsoft每月补丁更新,及自身专业补丁检测团队,为用户提供更合适的补丁分级管理机制,确保检测过的补丁具有更高的稳定性和安全针对性。由于终端准入系统自身集成了补丁服务器功能,因此不需要
10、用户额外搭建WSUS等补丁设施,从而有效降低了内网管理的TCO。l 行业特征规范医疗卫生类似于金融机构所拥有的消费及账号信息,医疗机构中存储的大量医药、患者信息由于其重要性及涉及到的非法利益链,日益成为网络安全事件的焦点所在,而在众多医疗机构纷纷加固服务器自身安全的同时,内网边界的模糊、内网接入终端的缺乏管理、人员控制成为了自身的另一块短板。终端准入系统在大量医疗机构中搭建了防御于服务器区域之前的坚强壁垒,通过强大的控制系统,终端准入系统能够在内网接入层边界进行布防,利用设备识别/用户认证/hub及NAT管理等手段进行严密的内网接入规范。终端准入系统提供的近30项安全要素规范库,能够充分满足企
11、业机构对接入终端设备多样性的安全配置及安全操作要求。另外在终端准入系统的规范系统中还提供了行业内最全面的来宾管理模块,依据管理严格度从低到高可以分别配置为:禁止访客非授权入网;对试图入网的访客进行有效审计;对部分访客进行审核后允许入网;访客入网后权限受到控制;明确访客访问的内部员工对象,进行一对一监管;访客入网有时效限制,超过规定时间自动出网,如需入网则必须再次向管理员申请等。1.1.1.1.3 操作行为管理出于对NAC理念全面理解的终端准入系统,除了在边界位置履行对人员和设备控制的基本NAC职责外,更提供了延续到人员和设备入网后的行为、状态变更、维护等综合管理。能够在用户及设备入网后,提供机
12、构管理策略的延展性,可配置的策略能够搭建用户/设备入网后的全面管理规范,包括:l 对用户各种操作的监控和响应:ip更改违规软件使用必须安装软件随意卸载网络访问操作安全检查违规l 计算机设备状态变更的监控和响应设备变更系统环境变更入/出网状态变更开/关机状态变更l 计算机设备的统一维护管理类别管理设备信息管理软件分发服务管理终端探测l 违规外联管控(单独授权模块)终端外联行为检测终端外联行为阻断外联行为记录违规外联报警l U盘数据加密管控(单独授权模块)U盘强制加密U盘注册审核U盘使用权限控制非法U盘禁用l 资产管理(单独授权模块)终端硬件资产信息收集终端软件资产信息收集终端硬件资产变动收集终端
13、软件资产变动收集终端资产变动排行l 任务管控终端软件安装包分发终端批处理脚本分发终端消息通知分发入网后,直至设备出网或下线的管理保证了接入控制的延续性,同时更符合机构对各类规范/制度的连续性要求,确保网络管理与维护者的工作不存在盲点和漏洞,准入控制也真正成为一个能够维系和把控内网各种流程安全的平台性方案。1.1.1.1.4 视角报表管理终端准入系统中提供多种查看安全威胁点的方法和方式。系统使用人员可以从自己关注的起始点出发逐级进行查看。所有安全状态均提供了丰富的报表输出。l 基于网络管理的整体视图架设在用户网络中的终端准入系统能够对网络设备进行自动发现,同时能够利用telnet、snmp、ss
14、h等方式对机构的所有网络设备(switch、router、firewall、vpn等)进行更全面的统一管理,通过优化的算法,为用户快速生成全网的整体视图。利用终端准入系统的整体网络视图,用户能够直观地获得所辖网络的基础设施资产概况、物理分布、连接状况、地址分配、所有物理位置的接入设备状况利用报表系统,终端准入系统能够帮助管理者统计出全网接入设备的数量;利用网络整体视图,管理者则能够进一步明确接入设备的位置和分布状况。l 基于端口的空间定位在整体视图的基础上,终端准入系统能够勾勒出所有网络设备的面板视图,并展现出各个端口的运行状态,从而从物理位置/空间角度更形象地向用户传递所有即时接入信息。利用
15、递进式的展现页面,管理者更能够获取到从端口到下联设备、设备安全状况直至设备详情的4层安全信息。l 事件/时间交互定位在大部分的网络安全方案忽视/忽略时间维度的情况下,终端准入系统能够在行业内提供领先的时间维度的安全定位。通过将所有事件(入网、出网、上线、下线、认证、评估、监测等)以时间维度进行串联,管理者能够获取到以时间段为中心轴的事件体系报告,从而能够对时间进行事件定位;终端准入系统还支持通过查询事件得出对应的时间报表,并得出事件的时间分布状况,以及同一类型的事件的归类视图。通过事件/时间的交互定位管理,管理者能够对网络中深层次的运维状况进行具有连续性的统计和管理,将所有的接入网络/组成网络的终端进行归纳,形成一个不断发展,不断治理的内网管理体系。