LanSecS内网安全管理系统解决方案(医疗行业).doc

《LanSecS内网安全管理系统解决方案(医疗行业).doc》由会员分享，可在线阅读，更多相关《LanSecS内网安全管理系统解决方案(医疗行业).doc（50页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、医疗行业内网安全管理系统解决方案保密事宜本文档包含北京圣博润高新技术有限公司的专有商业信息和保密信息。接受方同意维护本文档所提供信息的保密性，承诺不对其进行复制，或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息，接受方不向圣博润承担保密责任：1、 接受方在接收该文档前，已经掌握的信息。2、 可以通过与接受方无关的其他渠道公开获得的信息。3、 可以从第三方无附加保密方式获得的信息。适用范围此文档是圣博润为医疗行业XXX医院提供的LanSecS内网安全管理系统解决方案。文档信息文档名称 内网安全管理系统解决方案保密级别商密文档版本号V1.0制作人制作日期审批人审批日期扩散范围XXX医

2、院、北京圣博润高新技术有限公司目 录1.计算机终端安全管理需求分析11.1.网络管理21.1.1.物理网络拓扑图21.1.2.流量控制21.1.3.IP地址管理31.1.4.故障定位31.2.终端安全防护31.2.1.补丁安装防护31.2.2.防病毒防护41.2.3.进程防护41.2.4.网页过滤41.2.5.非法外联防护51.3.终端涉密信息防护51.3.1.终端登录安全认证61.3.2.I/O接口管理61.3.3.桌面文件安全管理71.3.4.文件安全共享管理71.3.5.网络外联控制71.4.移动存储介质的管理81.5.网络接入控制91.6.计算机终端管理与维护91.7.分级分权管理10

3、2.计算机终端安全防护解决方案112.1.方案目标112.2.遵循标准112.3.方案内容132.3.1.网络管理132.3.1.1.物理网络拓扑图132.3.1.2.流量控制142.3.1.3.IP地址绑定142.3.1.4.故障定位142.3.2.终端安全控制142.3.2.1.补丁管理152.3.2.2.防病毒控制152.3.2.3.进程监控152.3.2.4.网页过滤控制152.3.2.5.非法外联控制162.3.3.终端安全审计162.3.4.移动存储介质管理172.3.4.1.注册授权192.3.4.2.访问控制192.3.4.3.数据保护192.3.4.4.自我保护202.3.4

4、.5.操作记录202.3.5.计算机终端接入控制212.3.5.1.非法主机的定义212.3.5.2.非法接入控制策略212.3.5.3.非法接入阻断技术实现原理222.3.6.计算机终端管理与维护232.3.6.1.主机信息收集232.3.6.2.网络参数配置242.3.6.3.远程协助242.3.6.4.预警平台243.系统设计253.1.产品设计思路253.2.产品的设计原则253.3.产品标准符合性设计263.3.1.BMB17-2006符合性263.3.2.ISO 27001符合性273.4.LanSecS系统简介293.5.LanSecS系统架构设计313.6.LanSecS系统功

5、能设计333.6.1.安全审计333.6.2.安全加固343.6.3.安全服务343.6.4.安全网管343.6.5.资产管理353.7.LanSecS系统安全性设计363.7.1.控制中心安全性363.7.2.主机代理安全性373.7.3.数据库安全性373.7.4.策略分发与存储安全性383.7.5.主机代理与控制中心通讯安全性384.系统特色与系统部署404.1.LanSecS系统特色404.2.LanSecS典型部署424.2.1.简单内网环境424.2.2.本地多内网环境434.2.3.分级部署环境445.技术服务445.1.售后技术服务445.2.系统二次开发扩展支持456.产品配

6、置要求461. 计算机终端安全管理需求分析随着科技的发展，计算机和网络作为现代医院重要的工具，在日常办公过程中发挥着越来越重要的角色。计算机和计算机网络已经成为医疗机构、医院和其它各种远程就诊等领域的重要信息载体和传输渠道。很明显，计算机、计算机网络和其所带来的信息数字化大幅度提供了工作效率，也使得海量的信息存储和处理成为了现实。但是，在享受到计算机以及计算机网络所带来的方便性的同时，也出现了目前受到广泛关注的对内网设备如何进行有效管理的问题，以及由此带来的网络信息安全问题。目前随着医疗行业单位规模不断增大，IT硬件成本降低、更新换代速度比较快，单位为了提高工作效率，不断的增加新的设备；因此机

7、器数量和网络规模也随之增多、增大。员工办公感觉是越来越方便了，但是给网络管理员带来的内网管理问题却越来越重了。首先是网络的管理，IP混乱、网络拥塞、出现故障无法及时定位进行解决；其次是资产的管理，越来越多的设备使资产管理处于混乱，管理员疲于资产的统计。在内网信息安全管理方面，尤其是设备自身的健壮性，如何保证设备硬件所承载的系统能够正常运行；另一方面对于单位内部的设计部门，由于数字信息本身具有易于复制的特性，利用这个特性，信息更易于受到难以控制和追溯的盗取威胁，网络使信息更容易受到破坏、更改和盗取。很明显，能否最大限度确保医院内部数字信息的安全性已经关系到了计算机和计算机网络能否真正成为有实质意

8、义大规模应用的关键因素。如何提高安全性保证机器的正常办公、如何将非法入侵者拒之门外、如何防止内部信息外泄，如何更好的保证网络快速高效运行，这些都是医疗行业目前在进行网络化过程中必须解决的问题。目前各行业内部网络所采取的安全措施基本上是采用防火墙、入侵检测等安全产品放置于内部网络和外网连接处保证网络层的安全，并采用操作系统或应用系统所带的身份验证机制，或通过安装物理隔离卡将内部局域网划分成内网与外网两个组成部分。内部网络上大多数的应用对医疗行业单位是至关重要的，甚至是严格保密的。一旦出现病毒传播、破坏的事件，将产生严重后果。这些都使得内网安全问题变得越来越重要和突出。而内网安全存在许多问题，为了

9、防范各种各样的安全风险，必须在内网建立可靠的网络管理、安全监控和审计控制，以保证内部系统的顺利运行。为了确保医疗行业单位内部的IT系统的平稳运行，一个健壮的内网安全管理体系是十分重要的。作为医疗行业的计算机终端安全管理方案而言，需要解决如下问题：1.1. 网络管理在医疗行业的网络环境中，由于单位规模、单位办公的需要，存在很多的工作区域，甚至在外地也有自己的分院、社区医院或者远程诊断系统，为了便于医院内部的信息共享，一般采用专线或其他网络互联技术，使之与内部网络连接，便于单位内部的数据管理和办公管理。但是大规模的网络环境、复杂的分支机构，给网络管理带来了极大的困难，设备的分布不明确；流量管理没有

10、依据；对于静态IP地址环境地址混乱、冲突也是很棘手的问题。针对网络管理方面主要包括一下几个方面：1.1.1. 物理网络拓扑图 单位的内部网络是由网络设备共同作用，协同工作建立起来的，主要设备有：路由器、交换机、HUB，而在局域网中对数据交互起核心作用的是交换机。目前的网管软件可以对逻辑拓扑图进行绘制，对交换机的面板信息进行提取和控制，但是无法看到终端设备和交换机端口的物理连接关系，无法从拓扑图上看到下连设备的信息。如何建立起交换机端口和设备的连接关系是至关重要的，因为端口的流量信息其实就是设备的流量信息；想要掌控设备，只要对交换机端口进行控制就可以了。因此物理拓扑图显示设备与端口的物理连接关系

11、会给管理带来极大的方便。1.1.2. 流量控制 借助物理网络拓扑图上设备的物理连接关系，通过可网管交换机端口的流量控制，能够对交换机下连的设备进行端口控制，关闭端口或是打开端口。但是内部网络环境中不可能所有的交换机全部都是可网管的，而且管理员不可能天天进行端口的打开、闭合操作，除非是出现异常的网络攻击和拥塞时，才会采取如此非常手段。因此对于日常的控制来说，最有效的方法是通过控制每个终端设备的网卡流量，如果能将设备的流量控制在一定的范围内，既保证了设备的正常工作使用，又可以防范在非法使用P2P下载软件抢占带宽和病毒爆发时给网络速度带来的拥塞，这对于管理来说才是实用的管理手段。1.1.3. IP地

12、址管理为了便于管理，出现问题能够及时追查，网络建设时管理员通常使用静态IP地址，这对于管理来说确实是一个有效可行的措施。但是由于员工的计算机操作水平不同，很可能造成随意修改IP地址带来的内网地址冲突，这给内网管理带来很繁琐的问题。虽然通过在核心或二层交换机上，可以通过命令来绑定IP/MAC地址从而消除上述问题，但是工作量庞大，因此彻底屏蔽IP地址冲突的问题是网络管理必须要做的。1.1.4. 故障定位很多医疗行业内部网络庞大，分支繁多，一旦终端机器或网络链路出现问题，很难迅速定义问题点，如果从链路着手解决问题，除非管理员此前做了详尽的网络链路备份信息表（每次增加机器都需要逐台进行记录），否则从众

13、多网络排线中找出问题链路将是一件十分费时、费力的事情。1.2. 终端安全防护单位内网进行办公所运行的各种服务都是应用在终端设备的基础上，一旦终端设备的安全性出现问题，那么所有其承载的服务将无法运行，严重影响单位的工作效率，给单位的生产造成损失。因此必须保证机器的健壮性，为了保证机器的正常运行包括以下几个方面：1.2.1. 补丁安装防护目前在医疗行业的单位中，承载各种应用的操作系统90%以上的端终用户使用的都是windows2000,XP或以上的操作系统，但是这几种操作系统的安全漏洞非常多，很容易收到攻击。微软公司会通过定期发布安全补丁的方式来弥补这些漏洞，但由于某些员工用户缺乏相关知识，或者处

14、于研发部门的设计网是和单位局域网物理隔离的网络，从而导致补丁安装的不完全，不及时，这就会严重影响终端计算机的安全，一旦发生针对微软操作系统漏洞的攻击，就会导致整个网络受到威胁。1.2.2. 防病毒防护员工由于防范病毒意识较淡薄，没有安装防病毒软件；或者由于个人对防病毒品牌的倾向性，从而发生没有安装防病毒软件，甚至意外卸载，或防病毒软件没有运行，这样不仅使单台PC机受到病毒侵害，而且一旦感染病毒，可能回向内网的其他机器传播，导致整个内网病毒泛滥，甚至网络拥塞。因此一定要保证防病毒软件的安装、正常运行、及时升级。1.2.3. 进程防护由于当前大量病毒以及恶意程序的存在，而这些程序对于普通用户而言并

15、不知情，甚至有些恶意程序通过技术手段使得用户无法通过任务管理器看到其工作进程；另一方面，有些用户可能有意或无意地运行一些可能会影响他人或自己工作的软件(如网络嗅探器)。单位的机器目的是提高员工的生产效率，充分利用上班时间为单位创造更多效益，但是某些娱乐性软件严重影响了员工的工作效率，某些下载软件造成网络速度减慢，影响了内网的正常办公。因此通过制定策略，实现对非法进程的监控并阻止，能够大大减少由内部引起的网络安全事件，提高我们的工作效率。1.2.4. 网页过滤某些员工访问Internet时，由于安全防范意识不够，登陆恶意网站，造成机器受到攻击，从而产生病毒感染、机器不能正常使用，注册表被修改、浏

16、览器无法正常的访问网络；严重的甚至会植入木马，造成机器重要数据的网络泄密。因此必须对内网机器的网络访问进行必要的过滤。1.2.5. 非法外联防护 单位内部的局域网会在网络的出口上，增加相关的安全硬件防护设备，例如：防火墙、IDS、IPS、防病毒网关等设备来加强边界的防护，保证内网的安装。但是员工由于好奇，或者厌烦上网出口的种种限制，通过Modem或ADSL拨号方式访问Internet，极易受到外部网络的攻击；当该机器一旦受到攻击，回到内网后很容易将相关病毒、木马向内网传播。1.3. 终端涉密信息防护在现代生活中，信息就是财富。无论是国家、政府、医院和个人都不希望机密信息被别人窃取，造成各种经济

17、和社会损失。对医疗行业单位的设计、研发部门来说，机密信息的存储、使用和传递过程中，会面临各种各样的泄漏风险。信息外泄的途径包括：l 本地打印机、网络打印机的非法输出涉密文件；l 终端计算机非法拨号、非法外联访问； l 离线存储设备存储涉密文件遗失；l 内部员工使用涉密计算机连接外部网络致使泄密；l 工作人员由于对计算机专业知识的不熟悉而泄密。从泄密行为的区别上，分为两种泄密：被动泄密和主动泄密。被动泄密：由于员工的电子信息保密的意识还不强，常常由于专业知识不熟悉或者工作疏忽而造成泄密。如有些人由于不知道计算机的电磁波辐射会泄露秘密信息，计算机工作时未采取任何措施，因而给他人提供窃密的机会；有些

18、人由于不知道计算机软盘上的剩磁可以提取还原，将曾经存贮过秘密信息的软盘交流出去，因而造成泄密；有些人因事离机时没有及时关机，或者采取屏幕保护加密措施，使各种输入、输出信息暴露在界面上；有些人对自己使用的计算机终端缺乏防护意识，如没有及时升级病毒库和更新系统补丁，导致病毒和木马的入侵，在不知不觉中泄露了机密信息。主动泄密：这种情况是由于内部员工出于个人利益或者发泄不满情绪，有意识的收集和窃取机密信息。由于电子信息文档不像传统文档那样直观，极易被复制，且不会留下痕迹，所以窃取秘密也非常容易。电子计算机操作人员徇私枉法，受亲友或朋友委托，通过计算机查询有关案情，就可以向有关人员泄露案情。计算机操作人

19、员被收买，泄露计算机系统软件保密措施，口令或密钥，就会使不法分子打入计算机网络，窃取信息系统、数据库内的重要秘密。对于医疗行业单位来说，涉密终端计算机作为涉密信息处理的工具，在其上存储、传输和处理的涉密信息的安全性保护相当重要。任何一个环节的疏漏均可导致涉密信息的丢失。因此，必须加强对涉密信息的防护。当前，对涉密信息的防护需求主要包括如下几个方面：1.3.1. 终端登录安全认证终端用户当前通过用户名/口令方式进行计算机本地/域登录，然而用户名/口令方式虽然简单，但是存在很大的安全隐患：l 密码管理复杂l 密码容易泄漏l 存在暴力破解的可能性l 无法阻止他人恶意非法盗用因此，作为终端安全管理的第

20、一步，首先需要解决终端登录安全认证的问题。1.3.2. I/O接口管理随着计算机外设的增多，各种各样的输出设备（软驱、刻录机、打印机、绘图仪、移动存储设备、红外、蓝牙、无线网络设备）为信息处理和传输提供极大便利的同时，也为机密信息的扩散和泄露带来了可能。尤其是USB接口的计算机周边设备的丰富，使得计算机与其他外部设备，如U盘，USB打印机等连接十分方便，并能轻而易举地通过USB设备将外部数据导入或者内部数据导出，为重要数据的保护带来了巨大的安全隐患。1.3.3. 桌面文件安全管理作为数据最终处理的计算机终端，存储着大量的业务数据。由于Windows操作系统默认将数据以明文方式存储于磁盘上，因此

21、一旦其他未被授权用户能够进入操作系统，都能非常方便地实现对磁盘数据的访问和阅读。因此，如何确保数据信息在计算机终端的安全，也是计算机终端安全管理必须考虑的问题。1.3.4. 文件安全共享管理由于计算机终端大多使用Windows操作系统，而该操作系统安装后即开放了部分共享目录，同时由于许多用户并未采用安全的访问密码，造成其他用户能够较为方便地通过远程网络实现对他人网络共享数据的访问。因此严格控制终端的文件共享，尤其是涉密终端的文件共享，也是桌面系统安全管理的重要内容。同时，作为常见的文件共享，应能提供安全的用户身份认证机制、完善的共享授权以及详细的访问日志信息。1.3.5. 网络外联控制涉密内网

22、虽然不与互联网直接连接，但是内部人员可能会出于各种原因通过Modem拨号、ADSL上网、无线上网等技术手段将个人终端计算机接入互联网。这种行为带来的危害不仅包括内部员工通过主动的邮件发送、即时通讯等手段将机密信息发送到内网之外，也为内网增加了来自互联网上的攻击和破坏的风险，从而导致由互联网入侵或者木马程序等方式造成内网机密信息的被动泄密。因此对终端计算机的网络外联控制是防泄密管理的重要内容之一。1.4. 移动存储介质的管理移动存储介质已经得到普及应用，移动存储介质使用灵活、方便，使它在各个单位的信息化过程中迅速得到普及，越来越多的敏感信息、秘密数据和档案资料被存贮在移动存储介质里，大量的秘密文

23、件和资料变为磁性介质、光学介质，存贮在无保护的移动存储介质中，这给医院涉及设计、研发信息资源带来相当大的安全隐患。存储介质作为医院核心商业机密和敏感信息的载体，实现对它们安全、有效的管理是保证医院信息安全的重要手段。 移动存储介质使用过程中常见的风险包括：1) 非法拷贝敏感信息和涉密信息到磁盘、U盘或其他移动存储介质中；2) 医院外部移动存储介质未经授权在内部使用；3) 医院内部移动存储介质及信息资源被带出，在外部非授权使用；4) 使用过程的疏忽；5) 存贮在媒体中的秘密信息在联网交换时被泄露或被窃取，存贮在媒体中的秘密信息在进行人工交换时泄密；6) 处理废旧移动存储介质时，由于磁盘经消磁十余

24、次后，仍有办法恢复原来记录的信息，存有秘密信息的磁盘很可能被利用磁盘剩磁提取原记录的信息这很容易发生在对磁盘的报废时，或存贮过秘密信息的磁盘，用户认为已经清除了信息，而给其他人使用；7) 移动存储介质发生故障时，存有秘密信息的介质不经处理或无人监督就带出修理，或修理时没有懂技术的人员在场监督，而造成泄密；8) 移动存储介质管理不规范，秘密信息和非秘密信息放在同一媒体上，明密不分，媒体介质不标密级，不按有关规定管理秘密信息的媒体，容易造成泄密；9) 移动存储设备在更新换代时没有进行技术处理； 10) 媒体失窃，存有秘密信息的磁盘等媒体被盗，就会造成大量的国家或医院秘密信息外泄，其危害程度将是难以

25、估量的，丢失造成后果非常严重。综上所述，移动存储介质的管理对医疗行业来说，是一个必须关注的问题。1.5. 网络接入控制若不对接入网络的计算机设备进行认证，则每一台外来的计算机设备只要通过涉密网内的任何一个端口连接，则整个网络都将向其开放，这显然对于内部网络安全而言是巨大的安全隐患。因此，需要对计算机终端的接入进行有效的监视和控制。通过提取接入计算机的物理特征，可以判断该计算机是否为医院内网上授权接入的计算机，如果为非授权计算机，则视为非法主机。对非法主机需要采取必要的方式进行阻断和隔离，从而保证该计算机无法访问内网的相关资源。另外，对于内网授权使用的计算机，任何一台感染了病毒和木马，管理人员也

26、无法及时定位和自动阻断该计算机的破坏行为。往往需要花费很长的时间才能判断和定位该计算机，然后再通过手动的方式断网。对安全强度差的终端计算机缺乏有效的安全状态检测和内网接入控制，也是内网管理人员比较头疼的问题之一。要想对此类计算机进行接入的控制，首先应该对计算机的安全状态能够实时掌握，例如病毒库的升级情况和操作系统补丁的修补情况等。只有掌握了计算机的安全状态，才能根据其安全状态判断是否应该对其进行阻断和隔离。1.6. 计算机终端管理与维护对于医疗行业单位庞大的网络和众多的终端计算机来说，依靠传统的资产登记管理办法，根本无法做到对计算机配置信息的准确掌握，对计算机配置的变化也无法及时跟踪。例如，要

27、准确掌握每台计算机的软硬件配置信息，通过手工方式将是非常耗时和繁琐的工作。要想实时并准确地掌握内网终端计算机的配置状况与配置变更状况，必须通过技术手段和工具来辅助实现，才能有效节省成本和资源，提高内网管理的效率。另外，由于终端计算机的数量众多，管理人员也无法实时掌握每台终端计算机的运行状态。当终端计算机出现故障需要维护时，管理人员如果采用现场维护的方式，一方面增加了人力成本，另外由于人力资源有限，也无法保证维护的及时性。如何实时监视终端计算机的运行状况，并且方便地对终端计算机进行远程维护，是医疗行业单位网络管理人员迫切需要解决的问题。1.7. 分级分权管理内网安全管理系统作为一个计算机终端防护

28、、检测、维护和工具，其特点是管理的计算机数量众多。管理这么多的计算机，依靠某一位管理员是不现实的，另外，如果医院的部门设置较为复杂，分支机构多，则会加剧管理的难度。因为一个管理员不可能了解所有计算机终端用户的计算机使用细节，所以对管理的深度和强度无法把握。由于以上的原因，对以一个大型医院，从科学管理的角度来讲，必须采用分权管理的思想。所谓分权管理，包括两层含义。l 是把所管理的计算机终端范围进行划分和分配，采取谁熟悉、谁管理的原则，不同管理员自己管理自己范围内的计算机、包括策略的设置和审计的查看等。l 是把系统策略的配置进行划分和分配，采取谁适合、谁管理的原则，不同管理员有不同的策略配置权限。

29、这样处理可以保证策略的配置不会违反单位的保密规定。例如，某管理员可以配置补丁分发的策略，而另一个管理员则可以配置安全审计的策略。对于规模巨大的医疗行业单位，往往都在管理层次上划分为多个垂直单位，如总院、分院、社区医院等。考虑到医疗行业单位对管理上的需求往往希望能够由上级部门直接设定下级部门的安全策略和查看下级单位的审计信息。这就提出了分级管理的需求。所谓分级管理，就是由上级机构对下级直接进行管理，管理上的控制力度可以由上级机构自主设定。例如可能上级机构希望取消下级机构的所有管理权限，或者希望为下级机构分配一定范围的管理权限，而关键策略的设置则由自己设定。分级管理的主要需求分为如下两个方面：l

30、策略配置，上级机构可以直接接管下级的策略配置权限，上级设定的策略，下级无法更改。l 审计报表查看，上级机构可以随时要求下级机构将上级关心的报表传递上来，审查下级机构的策略执行情况以及违规事件等。2. 计算机终端安全防护解决方案2.1. 方案目标北京圣博润高新技术有限公司(以下简称“圣博润”)作为国内领先的内网安全管理产品开发商，在计算机终端的安全管理、安全审计、系统加固和运行维护等方面，积累了丰富的应用经验。本方案的目标是为医院提供一套计算机终端安全管理解决方案。为机密信息的防护和计算机终端的运行维护提供有效的工具和手段。通过本方案，能够实现对医院内部局域网进行网络的统一管理、计算机终端的统一

31、安全控制，达到对内网终端计算机的流量控制、安全管理、终端涉密信息防护、网络接入/外联管理、移动存储介质的管理和计算机的日常运行维护。2.2. 遵循标准本设计方案的主要依据是国家保密局文件 涉及国家秘密的信息系统分级保护技术要求 （BMB17-2006），同时，还参考了以下标准和法规、文件：l 国家标准GB/T 2887-2000电子计算机场地通用规范；l 国家标准GB9254-1998信息技术设备的无线电骚扰限值和测量方法；l 国家标准GB9361-1998计算站场地安全要求；l 国家标准GB/T 9387.2-1995 信息处理系统 开放系统互连 基本参考模型 第2部分：安全体系结构（idt

32、 ISO 7498-2：1989）；l 国家标准GB17859-1999计算机信息系统安全保护等级划分准则；l 国家标准GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则（idt ISO/IEC 15408：1999）；l 国家标准GB50174-1993电子计算机机房设计规范；l 国家军用标准GJB3433-1998军用计算机网络安全体系结构；l 国家公共安全和保密标准GGBB1-1999信息设备电磁泄漏发射限值；l 国家保密标准BMB2-1998使用现场的信息设备电磁泄漏发射检查测 试 方法和安全判据；l 国家保密标准BMB3-1999处理涉密信息的电磁屏蔽室的技术

33、要求和 测试方法国家保密标准BMB4-2000电磁干扰器技术要求和测试方法；l 国家保密标准BMB5-2000涉密信息设备使用现场的电磁泄漏发射防 护要求；l 国家保密指南BMZ1-2000涉及国家秘密的计算机信息系统保密技术 要求；l 国家保密指南BMZ2-2001涉及国家秘密的计算机信息系统安全保密方案设计指南；l 国家保密指南BM23-2000涉及国家秘密的计算机信息系统安全保密测评指南；l 国家信息化领导小组关于加强信息安全保障工作的意见 中共中央办公厅 国务院办公厅 中办发200327号；l 国家保密局文件计算机信息系统保密管理暂行规定（国保发19981号）；l 中央保密委员会办公室

34、、国家保密局文件涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法（中保办发19986号）；l 中共中央办公厅国务院办公厅关于转发中共中央保密委员会办公室、国家保密局关于国家秘密载体保密管理的规定的通知（厅字200058号）；l 关于加强信息安全保障工作中保密管理的若干意见 中共中央保密委员会 中保委发20047号；l 涉及国家秘密德信息系统分级保护管理办法 国家保密局 国保发200516号；l 信息安全等级保护管理办法（试行） 公安部 国家保密局 国家密码管理局 国务院信息化工作办公室 公通字20067号。2.3. 方案内容针对医疗行业单位内网面临的问题，如病毒防范、网络流量控制、外

35、设存储设备防病毒、网络设备状态监控等，医疗单位的内网管理主要从病毒防范管理和病毒防范预防为重点，对内网安全进行全面防护，达到“防患于未燃”的效果。单位的网络环境（添加单位网络环境及拓扑信息）为了加强医院的内网安全防护：第一步：对网络设备状态监控，保证单位网络的正常运行，防范网络瘫痪对医疗工作的影响；第二步：对网络中计算机流量控制，设置计算机的带宽使用，防范感染病毒计算机向网络中发送大量病毒，防范对交换机端口被病毒包的堵塞；第三步：控制外设存储设备的读写权限和使用范围，防范U盘成为病毒传播的介质；第四步：网络中计算机的防病毒软件监控，监控防病毒软件的安装、启动和病毒库的更新，对违法规则的向管理员

36、报警并向终端计算机使用者提示；第四步：补丁管理，对全网计算机的补丁进行管理，对计算机的漏洞进行修复。以上是针对医疗行业单位内网安全管理需求，推荐的安全应用建议，主要考虑的基本需求。LanSecS内网安全管理解决方案不但针对基本需求进行安全防范的考虑，还结合以往经验给出以下的安全管理解决方案。2.3.1. 网络管理网络管理是建立在内网中支持SNMP协议的可网管交换机，自动进行拓扑图的学习，从而生成物理网络拓扑图。在此基础上实现对交换机流量的控制、设备故障定位，结合客户端控制软件的IP地址管理功能、网卡流量控制功能，全面实现对内网从网络设备到终端机器的控制。既保证了网络的正常运行，又可以在出现问题

37、时能够尽快解决，对医院各项网络运转做出监督作用。2.3.1.1. 物理网络拓扑图在支持公有SNMP协议的交换机上，能够自动发现网络内所有网络设备（包括三层和二层设备），通过系统提供的智能学习功能，自动识别网络的物理拓扑结构，生成网络物理连接拓扑图。物理拓扑图包括两种：链路拓扑和全局拓扑图。链路拓扑图只显示交换机之间的端口连接关系；全局拓扑图显示所有的网络设备和客户端主机，可以直观查看客户端主机与网络设备之间的端口连接关系。拓扑图可以进行编辑、保存，并可以通过参数设置，按设置好的时间段对拓扑图上的合法接入设备进行实时更新。在拓扑图上可以方便地查看可管理设备的配置信息，如System、Interf

38、ace、IP Address、Routing、ARP、MAC Address、Flow等。物理网络拓扑图便于管理员掌握内部网络的分布情况，机器连接链路的变化情况，使整个网络了然于胸。2.3.1.2. 流量控制 流量控制包括两个方面，既可以通过控制交换机的端口，使用端口的打开和闭合功能实现对下连设备的链路流量的开启和关闭，也可以通过客户端程序对每个终端机器的网卡流量进行设置，对于超过指定阀值的设备进行自动的网络阻断，当网卡流量恢复到正常时，网卡自动开启、恢复网络连接，保证受控端在指定的流量范围内进行网络连通。既保证了其正常工作，又不会影响网络带宽。2.3.1.3. IP地址绑定通过使IP地址和每

39、台机器的ID号相对应，以一一对应的关系为依据，从而保证每个IP有一个唯一的标识与之对应。当客户端程序检测到IP地址进行修改时，IP地址会自动恢复到此前已经绑定了的IP值，保证IP地址不会被随意修改。杜绝了单位内部的IP地址冲突问题。2.3.1.4. 故障定位通过物理网络拓扑图显示的物理网络链路连接关系，可以得到设备和交换机的物理连接链路。一旦设备或链路出现故障，可以通过直观的图象信息，准确定位故障点，对问题进行及时排查、处理。配合交换机端口流量阀值设置，一旦某条链路出现流量超限的事件，相应链路连接会产生颜色的变化，便于管理员及时掌握内网链路流量状况。2.3.2. 终端安全控制通过对补丁分发、防

40、病毒控制、进程监控、网页过滤控制，来尽最大程度保证内网机器的安全性和健壮性，避免由于自身安全性不完善而造成的系统崩溃，抵御已知的一切外部攻击。2.3.2.1. 补丁管理通过补丁管理，能够对内网终端计算机缺失补丁进行定期检测和自动安装与更新，保证系统与软件缺陷一经发现便可及时修补。通过补丁分发管理，大大减少了操作系统和应用软件漏洞被利用所造成的安全隐患和经济损失。同时，管理人员还可以实时统计当前各终端计算机的补丁缺失情况、补丁安装情况以及补丁安装的进度等，得到全网的终端计算机补丁安装快照。方便了对补丁分发过程的监控。2.3.2.2. 防病毒控制通过防病毒软件监测，可以判断终端计算机是否安装了防病

41、毒软件、防病毒软件运行是否正常以及病毒库是否保持最新等情况。如果以上几条不满足设定的策略要求，监测系统可以向管理人员发送报警信息。另外，监测系统还可阻断终端计算机的内网接入和内网访问，确保易被感染的终端计算机无法使用内网。未安装防病毒软件的计算机进行网络访问控制和隔离，使其形成内网中的“孤岛”。避免该终端计算机对内网其它主机造成安全威胁。2.3.2.3. 进程监控通过进程的黑、白名单对机器上运行的应用程序进行控制，黑名单与白名单是一种“或”的关系，可以同时配合使用，不同于以往同时只能有一个处于工作状态。被列入黑名单的进程是无法在系统中运行的；而列入白名单的进程，在系统启动后必须运行，否则会强制

42、断网，直到开启了该程序，网络才会恢复连接。2.3.2.4. 网页过滤控制通过网页过滤，可以有效屏蔽掉管理员禁止访问的网站，避免误入已知的非法或易受攻击的网站，在事前保证机器访问网站的合法性。2.3.2.5. 非法外联控制通过禁用设备的Modem、ADSL拨号、双网卡、代理上网等方式，禁止工作于内网的设备与外网连通，发生数据泄密和被攻击的事件，保证仅允许工作于内网的设备的纯粹性、安全性、机密性。而且一旦产生相关的事件，会产生相关的预警信息，及时同时管理员。2.3.3. 终端安全审计终端计算机的防泄密解决措施对计算机终端进行安全审计，如网络接入、网络外联、文件操作、共享访问、设备使用、进程活动等，

43、通过安全审计可以实时掌握用户的计算机使用行为。这类措施主要是应对恶意用户的主动泄密行为。这类措施主要是应对合法用户由于疏忽导致的被动泄密行为。计算机终端的安全审计包括了事前控制、事中监控和事后审计在内的一系列安全管理策略。通过安全审计，可以有效的控制、监视和追踪计算机终端用户的行为，一旦用户有违保密规定的行为发生，管理员能够快速得到报警信息。对受控终端进行审计是通过规则进行的。审计规则设置的是对服务器规则控制下的行为的记录和统计。在服务器设置相应的审计规则后，如果客户端所在的设备有符合规则的行为发生，则在服务器的日志中会有相应记录。可以根据需要配置受控终端的文件操作、进程、网络访问等事件的规则

44、。系统根据规则自动记录安全审计日志并存入系统日志信息库，这些信息是事后了解和判断网络安全事故的宝贵资料。安全审计应包括如下几个方面： 涉密审计：涉密文件被操作使用、存储和传输审计功能； 入网审计：非法设备接入审计功能； 资产审计：自动登记受控终端的硬件配置（包括CPU、内存、硬盘、显示卡、网卡等等），当受控终端的硬件发生变动时能自动向安全管理核心系统发出报警信息； 系统审计：自动记录受控终端操作系统配置的用户、工作组、逻辑驱动器，当其发生变化时，自动向安全管理核心系统发出报警信息； 加载服务审计：对受控终端安装的系统服务进行审计，自动记录系统服务的启动和停止； 安装和卸载审计：自动记录受控终端

45、上应用程序的安装与卸载情况； 文件审计：对文件操作进行审计，记录用户对规则指定文件进行的各种操作； 网络访问审计：对网络访问进行审计，记录用户对规则指定网址进行的访问操作； 打印机操作审计：对本地打印机使用情况进行审计； 移动存储设备审计：对受控终端的可移动存储设备的使用情况进行审计； 非法外联审计：对拨号、无线网卡、手机红外等访问情况进行审计。 进程审计：通过对终端计算机运行的进程进行审计，可以发现用户正在运行的程序。可以通过进程黑名单的方式限制用户运行某些程序，例如游戏、攻击工具、视频播放器、MP3播放器等。限制用户利用计算机进行与工作无关的操作。2.3.4. 移动存储介质管理可信移动介质

46、解决方案，主要是实现如下目标：1) 通过移动介质存储的数据必须是密文，保证数据离开应用环境后不可用；2) 对移动存储介质的读写权限进行控制，而且可以定义移动存储介质的使用次数；3) 记录数据交换过程的工作日志，便于以后进行跟踪审计；4) 未经授权的移动介质，在工作环境中不可用，只有经过医院授权的移动介质才能进入到医院的办公环境；5) 工作配发的移动介质带出办公环境后变为不可用。 为满足以上要求，公司在原有产品内容安全监控系统的基础上，通过扩展，增加了可信移动介质管理子系统，该系统综合利用信息保密、访问控制、审计等技术手段，对医院移动存储设备实施安全保护的软件系统，使医院信息资产、涉密信息不能被移动存储设备非法流失，用技术的手段，实现移动存储设备信息安全的“五不”原则，即：“进不来、拿不走、读不懂、改不了、走不脱”。 “进不来”，是指外部的移动存储介质拿到单位内部来不能用；“拿不走”是指单位内部的存储介质拿出去使不了；“读不懂”是指只有授权的人才能解密阅读，任何未经授权的人均无法打开其中的文件，这意味着即使存储介质丢失也不会造成泄密；“改不了”是指其中的信息篡改不了；“走不脱”是指系统具有事后审计功能，对违反策略的行为和事件可以跟踪审计。可信移动介质管理模块的对象定位即移动存储设备，包括以下种类：1) 软盘；2) U盘；3) 移动硬盘；4) 各种移