医院终端安全方案-SEP-Altiris-SWG-SSIM15882.docx

《医院终端安全方案-SEP-Altiris-SWG-SSIM15882.docx》由会员分享，可在线阅读，更多相关《医院终端安全方案-SEP-Altiris-SWG-SSIM15882.docx（37页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XX医院院终端整体体安全解解决方案案终端整体安全解决方案目录第1章概概述11.1背背景11.2安安全威胁胁分析11第2章XXX医院院终端安安全建设设规划552.1规规划目标标52.2规规划依据据52.3规规划框架架7第3章XXX医院院终端安安全建设设内容99第4章XXX医院院终端安安全建设设方案1124.1终终端安全全综合防防护系统统-实现“零零病毒”“零零威胁”124.1.1设计计思路与与技术实实现1224.1.2部署署方案1164.2终终端标准准化运维维管理系系统-实现”零零管理“164.2.1设计计思路与与技术实实现1664.2.2部署署方案2224.3终终端行为为审计监监控系统统-监测

2、”不不当操作作行为“234.3.1设计计思路与与技术实实现2334.3.2部署署方案2264.4终终端准入入控制系系统-强制隔隔离”非非法终端端“264.4.1设计计思路和和技术实实现2664.4.2部署署方案330第5章系系统及硬硬件配置置325.1硬硬件配置置325.2第第三方软软件配置置325.3软软件配置置325.4实实施服务务33II第1章 概述1.1 背景XX省昆昆明XXX医院的的信息化化经过十十几年的的发展，对对业务的的支撑作作用已经经表现得得非常明明显，医医院业务务的开展展已经离离不开信信息系统统的正常常运转。随随着XXX省XX医院院信息化化的深化化，XXX医院的的业务流流程已

3、经经高度自自动化、高高效率，从从而为病病人提供供更好的的医疗健健康服务务。但另一方方面，承承载XXX医院业业务流程程的信息息系统基基础架构构的管理理手段却却仍然相相对落后后，在当当前复杂杂多变的的信息安安全形势势下，无无论是外外部黑客客入侵、内内部恶意意使用，还还是大多多数情况况下内部部用户无无意造成成的漏洞洞，信息息科（处处）的安安全管理理手段都都正在变变得越来来越不够够用。而而同时，“统统方”信信息泄露露、媒体体舆论炒炒作、医医患关系系紧张、上上级领导导问责、法法律法规规监管等等等，都都在无形形中让医医院的信信息安全全管理压压力越来来越大。1.2 安全威胁胁分析l 恶意攻击击数量快快速增加

4、加，攻击击手段不不断丰富富，最新新的未知知威胁防防不胜防防：如何防防范未知知威胁，抵抵御不同同攻击手手段和攻攻击途径径带来的的信息安安全冲击击?据权威机机构统计计，20011年年互联网网总共产产生超过过55亿次次的恶意意攻击，这这个数量量比20010年年增加了了81%。此外外，特殊殊恶意软软件变种种数量增增加至44.033亿个，超超过755%的恶恶意代码码攻击都都是有针针对性的的，仅仅仅依靠基基于特征征码的单单一终端端防护安安全软件件已经力力不从心心！有必必要利用用最新的的国际上上先进的的基于云云的文件件信誉对对比技术术和基于于程序行行为判断断的主动动防御方方式来防防止大量量的未知知恶意威威胁

5、.l 高级、有有针对性性的高危危持续性性攻击APPT已蔓蔓延至各各类规模模企业：如何阻阻止不同同的攻击击手段？不仅仅仅是防病病毒！需需要终端端多层次次的防护护，增加加网络边边界的威威胁防范范等技术术综合考考虑！APT攻攻击：“高高危持续续性风险险”是220111年以来来最有威威胁的攻攻击手段段，攻击击者利用用不同的的针对性性攻击手手段做长长时间的的不同攻攻击尝试试和潜伏伏。 有有针对性性的攻击击正在不不断增加加，截至至20111年底底，有针针对性攻攻击的数数量平均均每日822个。有有针对性性的攻击击利用社社会工程程学原理理和定制制化的恶恶意软件件来非法法访问敏敏感信息息。这些些高级的的有针对对

6、性的攻攻击过去去一直以以公共部部门和政政府为首首要目标标。l 复杂混乱乱的应用用与外接接设备环环境：如何确确保应用用和设备备的准入入控制？虽然很多多医院信信息科都都根据自自身的情情况建立立了完备备的信息息系统管管理制度度，但由由于缺乏乏自动化化、强制制性的技技术手段段，这些些管理制制度往往往变得流流于形式式终终端用户户随意私私自安装装外来的的应用程程序，通通过U盘等方方式传播播未经授授权的资资料，私私自重新新安装终终端操作作系统，未未经授权权将外来来终端（笔笔记本电电脑）接接入医院院业务网网等等。所所有这些些行为都都带来一一个结果果，就是是让医院院的业务务应用环环境变得得复杂、混混乱，难难以管

7、理理。l 繁琐枯燥燥的系统统维护和和安全管管理：如何更更有效利利用有限限的信息息人力资资源？信息科的的维护人人员总是是每天重重复这样样一些事事情：重重装系统统、打补补丁、修修改配置置、安装装应用软软件、配配置网络络、配置置应用参参数，这些些事情不不仅大量量浪费了了维护人人员的时时间，让让他们没没有精力力去做更更加重要要的事情情，而且且让整个个信息科科的运维维水平一一直处于于低层次次重复的的怪圈之之中，无无法有效效提升信信息系统统管理运运维能力力。l 工具带来来的新问问题：如如何保证证安全策策略的强强制要求求，统一一管理和和实施效效果？为了解决决前面几几方面的的挑战，部部分医院院用户采采用了一一

8、些单点点的工具具型解决决方案，但但这些工工具却带带来了新新的问题题。如何何确保新新的工具具的统一一管理，拥拥有不同同管理方方式的工工具将反反而大大大增加信信息安全全管理人人员的复复杂性和和可操作作性。部部署不同同的安全全工具，我我们如何何了解这这些工具具的实施施效果？如何让让运维工工作向标标准化、流流程化的的更高阶阶段提升升。l 终端接入入不受控控：如何何确保终终端满足足制定的的终端安安全策略略-终端准准入控制制传统的安安全解决决方案往往往比较较强调网网关安全全，所以以很多医医院购买买了防火火墙、入入侵检测测与防御御（IDDP）等等产品。但但当前更更多的安安全隐患患来自终终端透过防防御薄弱弱的

9、终端端，往往往能够更更加容易易地接触触到医院院的核心心内网，而而终端使使用者安安全意识识的缺乏乏为安全全威胁打打开了便便利的大大门。虽然很多多医院都都采用内内外网隔隔离的方方式进行行基本的的安全接接入控制制，但隔隔离策略略往往因因为内外外网终端端的随意意接入而而无法有有效执行行。而住住院“无无线查房房”等方方式不仅仅方便了了医生，同同时也方方便了“不不受欢迎迎的客人人”的接接入。l 网页式攻攻击(WWeb-bassed Atttackk)已成成为最主主流的攻攻击手法法：如何何确保访访问可靠靠网站？网页式攻攻击系当当有漏洞洞的终端端浏览内内嵌恶意意代码的的网页时时，即于于该终端端植入恶恶意代码码

10、。相较较于传统统的病毒毒扩散管管道与攻攻击手法法，网页页式攻击击不但更更加隐密密，且更更难预测测与防范范。而僵僵尸网络络(Bootneet)仍仍持续盛盛行，已已成为散散播垃圾圾邮件、架架设网络络钓鱼网网站及发发动分布布式拒绝绝服务攻攻击(DDooS AAttaack)的最佳佳途径。l 内外部有有意无意意的信息息泄露将将严重影影响企业业的声誉誉和重大大经济损损失国内越来来越多曝曝光的医医疗数据据，个人人医疗信信息泄露露事件受受到公众众和监管管部门的的关注和和重视。如如何保证证防止这这类数据据以及处处方信息息的泄露露是XXX医院在在数据防防泄密上上的主要要关注对对象，这这些数据据的泄露露将严重重影

11、响XXX昆明明XX医院院的声誉誉，监管管上的违违规，经经济利益益上的重重大损失失。l 法律法规规监管的的加强-如何确确保做进进行的信信息安全全建设符符合等保保要求中华人人民共和和国刑法法修正案案（七）第第2533条、第第2855条等对对医疗行行业信息息泄密的的规定；侵权责责任法第第36条、第第61条、第第62条等等对医疗疗机构及及人员要要求妥善善保管机机密信息息的规定定；公安部“信信息安全全等级保保护”对对医院信信息系统统的信息息安全保保护要求求；。随着国家家各种相相关法律律法规对对医疗行行为信息息安全的的规范逐逐步加强强，医院院信息科科（处）在在医院管管理方面面的重要要性正在在变得越越来越高

12、高，但同同时由于于缺乏灵灵活、自自动化的的安全管管理手段段导致的的被动境境地也正正在变得得越来越越明显。如何更加加主动地地应对法法律法规规的监管管，是信信息部门门今后工工作重点点之一。第2章 XX医院院终端安安全建设设规划医疗行业业中的信信息终端端作为IIT资产产中数量量庞大、种种类繁多多、分布布广泛、管管理难度度大、管管理成本本高的一一个分类类，其带带给医院院的安全全风险已已经越来来越不容容忽视，医医院在终终端安全全方面加加大投入入的同时时，也更更加期待待其带来来的效果果。因此此，结合合医院信信息系统统的建设设状况，日日益变化化的安全全威胁，整整体规划划和和统统盘考虑虑在终端端安全上上的建设

13、设思路、建建设步骤骤，才能能达到良良好的效效果。2.1 规划目标标XX医院院终端信信息安全全的建设设，应当当达到以以下目标标：1. 要实现终终端层面面的“防防入侵”、“防外外泄”、“防不不良访问问”三大安全全防护目目标。2. 在技术上上，立足足现有建建设成果果，建立立终端“主主动防御御”技术术体系。以完善当前端点策略遵从为目标，逐步转向IT法规遵从（等级保护要求）为目标。3. 在管理上上，通过过技术手手段的支支撑，逐逐步建立立终端集集中化、标标准化、自自动化、流流程化的的管理模模式。2.2 规划依据据作为终端端安全的的整体规规划应当当考虑和和关注的的内容，GGarttnerr提出了了作为端端点

14、防护护平台（EEPP）的的架构和和内容，如如下图所所示：终端防护护平台，主主要通过过当前提提供防恶恶意代码码技术，数数据保护护技术，PPC生命命周期管管理以及及未来技技术（包包括：认认证、云云技术、备备份恢复复等），借借助统一一的网络络访问控控制，为为高层提提供管理理和报告告的支撑撑。其中中：1. 防恶意代代码技术术：主要要通过防防毒、终终端防护护、上网网行为管管控、网网页访问问管控等等手段。2. 数据防护护技术：主要通通过终端端防护、数数据防泄泄漏、数数据加密密等手段段。3. PC生命命周期管管理：可可以通过过专业的的IT资产产生命周周期管理理产品或或者建立立这样一一个平台台，配合合企业的的

15、采购、使使用、维维护、退退服等资资产管理理各环节节的操作作流程，进进行标准准化、流流程化和和自动化化的管理理。4. 未来技术术：通过过身份认认证、云云计算技技术、备备份恢复复等技术术手段加加强终端端安全的的管理。5. 网络访问问控制：主要是是通过终终端的网网络准入入机制进进行策略略遵从和和强制策策略执行行，并实实施网络络接入的的控制。在在工行目目前已经经初步实实现。6. 管理和报报告问题题：通常常需要建建立一个个安全管管理平台台将上述述技术手手段、产产品相关关的事件件、日志志等进行行集中收收集和分分析，形形成综合合性的管管理性报报告，满满足企业业各管理理阶层的的管理需需要。2.3 规划框架架任

16、何一个个安全工工作的落落实，都都依赖于于组织（人人）、技技术、流流程作为为支撑，终终端安全全的建设设也不例例外，最最终是要要落实上上述终端端建设目目标。分分解XXX昆明XXX医院的终终端安全全建设的的目标。依依据Garttnerr的建议议，结合合国内的的实际情情况，XXX昆明明XX医院院提出了了从网络络、系统统、数据据，终端端的行为为，乃至至终端整整体管理理几个方方面的全全方位终终端安全全总体建建设框架架（如下下图所示示），并并提出了了相应的的规划内内容。图1：终终端安全全建设总总体框架架就上述终终端整体体解决方方案中的的建设内内容来看看，分为为两个大大层次，55个方面面。第一层：安全专专业防

17、护护层：从从终端个个体在信信息系统统中的可可能发生生的各种种行为，以以及相应应的各种种威胁角角度，提提供对应应的安全全技术手手段。技技术手段段又分为为4个方方面：端点安全全保护：这是终终端安全全的基础础，保持持终端自自身的良良好环境境，防止止各种途途径的外外部入侵侵和攻击击，是降降低企业业整体风风险的一一个基本本条件。终端准入入控制：在终端端自身系系统保护护条件基基础上，对对各类受受控和不不受控终终端入网网进行网网络层面面的准入入控制是是有效防防范病毒毒、蠕虫虫传播，防防止风险险进一步步扩大，同同时也是是企业进进一步落落实终端端安全策策略的一一个重要要的手段段。信息防止止外泄：终端在在自身环环

18、境和网网络层面面的管控控得以保保障后，进进一步的的在终端端进行操操作、存存储的各各类数据据信息层层面需要要具备相相应的安安全手段段加强防防护，以以保证企企业最关关心的信信息数据据不被非非法的访访问和窃窃取。终端行为为管控：终端自自身系统统的保护护并不能能解决来来自对互互联网应应用的安安全威胁胁，这个个威胁包包括了来来自不良良网页访访问给终终端带来来的各类类威胁，还还包括了了内部员员工浏览览不当网网页，影影响生产产力，滥滥用网络络资源进进行非法法下载等等威胁，加加强终端端用户的的行为管管理和访访问内容容的管理理，是进进一步增增强终端端安全的的一个重重要内容容。第二层：安全集集中管理理层：实实现终

19、端端标准化化管理和和法规遵遵从，需需要通过过相应的的技术支支撑升段段，才能能达到高高效的管管理，最最为主要要的是集集中管控控和合规规审计的的手段。集中管控控：在专专业防护护基础上上通过提提供安全全管理、维维护管理理、备份份管理等等功能，实实现终端端的集中中安全管管控。合规审计计：在端端点专业业安全防防护的各各项功能能中已经经基本实实现了终终端的安安全策略略的执行行，可以以通过集集中的日日志和安安全事件件管理，包包括终端端违规日日志、操操作日志志、上网网行为日日志等，形形成集中中的收集集和综合合分析，形形成终端端合规管管理的报报告。第3章 XX医院院终端安安全建设设内容基于XXX医院终终端安全全

20、建设框框架，本本期XXX医院终终端安全全建设包包括下面面4个方面面的内容容：l 终端安全全综合防防护系统统全面的终终端安全全防护，在在已有终终端防病病毒的基基础上，增增强终端端主机防防火墙、入入侵检测测/防护技技术、硬硬件/应用程程序控制制、缓冲冲区溢出出防护、进进程控制制等安全全防护技技术，以以有效应应对零日日威胁/未知安安全威胁胁。针对业务务终端实实现系统统锁定，通通过终端端应用程程序控制制的白名名单机制制，防止止任何已已知或未未知病毒毒在业务务网内传传播。“终端安安全综合合防护系系统”同同时与准准入控制制系统集集成，一一方面禁禁止非医医院终端端、违规规终端接接入医院院网络，另另一方面面，

21、基于于准入控控制系统统发现的的安全问问题是可可以调用用终端安安全综合合防护系系统调整整防护策策略。l 终端标准准化运维维管理系系统部署终端端资产生生命周期期管理运运维工具具，维护护人员可可以在完完全无需需人工值值守的情情况下对对一台或或多台终终端设备备进行日日常的终终端维护护，也可可以在一一个集中中管理平平台上进进行实时时的终端端管理工工作，包包括：l 资产管理理，充分分了解软软硬件资资产信息息以及变变更；l 软件正版版化管理理，实时时跟踪正正版软件件的许可可，及时时回收未未使用的的软件许许可。l 操作系统统部署分分发，快快速安装装、恢复复操作系系统l 虚拟化的的软件分分发，提提高软件件部署工

22、工作效率率，解决决软件冲冲突问题题，提高高软件修修复效率率；l 全自动地地补丁升升级，包包括操作作系统补补丁和常常见应用用补丁；l 终端远程程维护以以及实时时的终端端系统管管理；“终端标标准化运运维管理理系统”同同时与准准入控制制系统集集成，一一方面强强制终端端必须安安装标准准化运维维管理软软件，另另一方面面准入控控制系统统检测到到违规终终端后可可以利用用管理运运维平台台进行自自动修复复（如安安装补丁丁、部署署防病毒毒软件等等）。l 终端行为为审计监监控系统统最近医疗疗行业出出现的“统统方泄漏漏”事件件从技术术角度来来说，是是一种典典型的信信息泄密密事件，需需要从“事事前预防防、事中中控制和和

23、事后审审计”三三个方面面来看。终终端安全全防护系系统和标标准化运运维管理理系统，对对“统方方泄漏”等等安全事事件起到到了预防防和事中中控制的的作用。从事后审审计的角角度，对对于各类类信息安安全事件件/事故，需需要通过过“终端端行为审审计监控控系统”对对所有信信息系统统（主机机、网络络、终端端、安全全设备、应应用）的的安全日日志、安安全事件件进行集集中的收收集、审审计和关关联分析析。特别别的，通通过记录录、监控控HISS系统的的访问日日志，访访问行为为事件，关关联分析析HISS系统日日志和其其他安全全设备，网网络设备备、终端端日志，可可以确保保不当行行为的事事件监控控和告警警。即使使事中控控制环

24、节节没有及及时进行行阻止，事事后审计计也对所所有事件件进行了了记录，这这又反过过来提高高了涉密密人员的的防泄密密安全意意识。“终端行行为审计计监控系系统”同同样需要要和准入入控制系系统进行行联动，保保证终端端上的日日志审计计功能正正常。另另一方面面，准入入控制系系统将产产生大量量的重要要的终端端访问行行为日志志，需要要输入到到“终端端行为审审计监控控系统”进进行集中中的事件件审计和和分析。l 终端准入入控制系系统“终端安安全综合合防护系系统”、“终端标标准化运运维管理理系统”、“终端端行为审审计监控控系统”都都依赖于于终端准准入控制制保证管管理和技技术控制制地落地地，一方方面防止止合法用用户私

25、自自卸载相相关安全全防护、管管理工具具，一方方面严格格限定非非法用户户和非法法终端的的网络接接入，从从而在安安全威胁胁进入到到医院网网络以前前进行阻阻断。XX医院院将采用用8022.1xx局域网网强制，结结合“只只强制”和和“点对对点”强强制方式式，严格格保证接接入业务务网的终终端完全全符合医医院预定定义的安安全规范范，杜绝绝未经授授权的终终端和不不符合医医院安全全策略的的终端接接入业务务网，导导致业务务内网出出现安全全漏洞。第4章 XX医院院终端安安全建设设方案4.1 终端安全全综合防防护系统统-实现“零零病毒”“零零威胁”4.1.1 设计思路路与技术术实现在XXXXX医院院的网络络架构中中

26、分为内内部网络络和外部部网络。其其中内部部网络终终端承载载了XXX医院最最重要的的业务信信息系统统，包括括了医疗疗信息终终端，业业务收费费终端，医医护人员员终端等等等。因因此对于于内部网网络终端端我们需需要对其其做最严严格的终终端信息息安全防防护。通通过进一一步对内内部终端端的调研研发现，处处于内部部网络的的业务终终端有如如下的几几个特征征： 业务固定定 使用人员员和角色色固定 使用时间间固定 使用应用用系统固固定 网络访问问固定通过内部部终端的的这些使使用属性性，建议议对内部部终端系系统实现现系统锁锁定，通通过白名名单设置置和资源源使用权权限设定定等配置置，实现现“零病病毒”，“零零威胁”的

27、的内网终终端信息息安全防防护的最最终目标标，确保保内网终终端始终终处于安安全的信信息工作作环境。具体技术术包括：r 系统锁定定/最小权权限 通过核心心操作系系统服务务策略配配置选项项，配置置核心操操作系统统服务单单独的行行为控制制，并作作为操作作系统的的一部分分安装核核心操作作系统服服务。 通过严格格限制防防护策略略，进行行终端的的系统锁锁定和白白名单应应用的设设置。限限定可以以使用的的业务应应用程序序，限定定进行系系统升级级的系统统应用程程序，其其他任何何未授权权的应用用程序和和进程都都无法启启动和安安装。 通过资源源访问控控制，限限定可以以使用的的操作系系统服务务，确定定业务应应用程序序对

28、资源源的访问问控制权权限。资资源包含含文件，文文件夹，注注册表，设设备和网网络。任任何未授授权的资资源访问问都将被被阻断，只只有受信信任的管管理账号号和应用用，进程程通过相相应的配配置后才才可以对对资源进进行修改改或配置置。 通过网络络访问控控制策略略配置，限限定可以以使用的的白名单单应用程程序或进进程的网网络访问问端口。 通过威胁胁注入防防护，实实现对已已知或未未知威胁胁的行为为控制，内内存注入入防护，阻阻止缓冲冲溢出攻攻击的发发生。 通过关键键系统和和应用配配置实现现对核心心系统配配置文件件，应用用配置文文件的监监控和审审计，防防止这类类文件的的有意或或无意的的篡改造造成的配配置漏洞洞或系

29、统统弱点。 利用系统统防护功功能，锁锁定内部部终端上上的系统统管理员员账号的的权限，防防止通过过泄露的的管理员员账号而而产生的的安全威威胁事件件。r 对爆发的的未知威威胁和多多种新的的威胁攻攻击方式式的防护护如今的恶恶意程序序的发展展趋势由由之前的的少量病病毒大规规模传播播，演变变为大量量的恶意意程序变变种攻击击特定少少数的目目标。利利用基于于云的文文件信誉誉对比技技术Innsigght技技术，可可以更容容易的阻阻止新的的0daay恶意意程序的的传播。同同时大幅幅度提升升了病毒毒扫描的的速度，减减少了所所需要扫扫描的文文件数量量，减少少对终端端性能的的影响。r 具备通用用漏洞阻阻截技术术的入侵

30、侵防护通用漏洞洞利用阻阻截技术术的思想想是：正正如只有有形状正正确的钥钥匙才能能打开锁锁一样，只只有“形形状”相相符的混混合型病病毒才能能利用该该漏洞进进行攻击击。如果果对一把把锁的内内部锁齿齿进行研研究，便便可以立立即了解解到能够够打开这这把锁的的钥匙必必需具备备的特征征甚甚至不需需要查看看实际的的钥匙。类类似地，当当新漏洞洞发布时时，研究究人员可可以总结结该漏洞洞的“形形状”特特征。也也就是说说，可以以描述经经过网络络到达漏漏洞计算算机并利利用该漏漏洞实施施入侵的的数据的的特征。对对照该“形形状”特特征，就就可以检检测并阻阻截具有有该明显显“形状状”的任任何攻击击（例如如蠕虫）。r 应用程

31、序序控制技技术通过应用用程序行行为控制制，在系系统中实实时监控控各种程程序行为为，一旦旦出现与与预定的的恶意行行为相同同的行为为就立即即进行阻阻截。此外，基基于行为为的恶意意软件阻阻截技术术，还可可以锁定定IE设置置、注册册表、系系统目录录，当木木马或者者流氓软软件试图图更改这这些设置置时会被被禁止。从从而，即即使用户户下载了了未知的的恶意软软件，也也无法在在终端上上正常安安装和作作用。基基于行为为的防护护技术非非常有效效，根本本无需捕捕获恶意意软件样样本然后后再匆忙忙响应，利利用此项项技术可可以成功功的在零零时间阻阻截主流流的蠕虫虫病毒，包包括熊猫猫烧香、威威金等。由于采用用了集中中的策略略

32、部署和和控制，无无须最终终用户的的干预，因因此不需需要用户户具备高高深的病病毒防护护技术。同同时，基基于行为为规则的的防护技技术非常常适合于于主机系系统环境境，主机机系统应应用单一一并且管管理专业业，采用用行为规规则的防防护是对对传统防防病毒技技术的一一个很好好的补充充。r 设备控制制：设备控制制技术让让管理员员能够决决定并控控制允许许哪些设设备连接接端点。例例如，它它可以锁锁定端点点，禁止止便携硬硬盘、CCD 刻刻录机、打打印机或或其它 USBB 设备备连接到到系统，以以防止将将机密信信息从系系统复制制到其中中。禁止止设备连连接的功功能还可可以帮助助防止端端点受来来自上述述设备以以及其它它设

33、备的的病毒感感染r 前瞻性威威胁扫描描Proaactiive Thrreatt Sccan是是一种主主动威胁胁防护技技术，可可防御利利用已知知漏洞的的多种变变种和前前所未见见的威胁胁。Prroacctivve TThreeat Scaan 基基于分析析系统所所运行进进程的行行为来检检测潜在在威胁的的启发式式技术。大大多数基基于主机机的 IIPS 仅检测测它们认认为的“不不良行为为”。所所以，它它们经常常会将可可接受的的应用程程序行为为识别为为威胁并并将它们们关闭，严严重影响响用户和和技术支支持中心心的工作作效率，让让管理员员面临着着艰巨的的挑战。不不过，PProaactiive Thrreat

34、t Sccan 会同时时记录应应用程序序的正常常行为和和不良行行为，提提供更加加准确的的威胁检检测，可可显著减减少误报报的数量量。前瞻瞻性地威威胁扫描描让企业业能够检检测到任任何基于于特征的的技术都都检测不不到的未未知威胁胁。r 终端系统统加固事实上，确确保终端端安全的的一个必必须的基基础条件件时终端端自身的的安全加加固，包包括补丁丁安装、口口令强度度等。显显然，口口令为空空、缺少少必要的的安全补补丁的终终端，即即使有再再优秀的的防护技技术也不不可避免免地遭受受到攻击击和病毒毒感染。为为了弥补补和纠正正运行在在企业网网络终端端设备的的系统软软件、应应用软件件的安全全漏洞，使使整个网网络安全全不

35、至由由于个别别软件系系统的漏漏洞而受受到危害害，必需需在企业业的安全全管理策策略中加加强对补补丁升级级、系统统安全配配置的管管理。建议集中中管理企企业网络络终端的的补丁升升级、系系统配置置策略，可可以定义义终端补补丁下载载，补丁丁升级策策略以及及增强终终端系统统安全配配置策略略并下发发给运行行于各终终端设备备上的代代理，代代理执行行这些策策略，保保证终端端系统补补丁升级级、安全全配置的的完备有有效，整整个管理理过程都都是自动动完成的的，对终终端用户户来说完完全透明明，减少少了终端端用户的的麻烦和和企业网网络的安安全风险险，提高高企业网网络整体体的补丁丁升级、安安全配置置管理效效率和效效用，使使

36、企业网网络的补补丁及安安全配置置管理策策略得到到有效的的落实。4.1.2 部署方案案在XX省省XX医院院的内部部网络终终端部署署终端综综合防护护系统，通通过服务务器控制制台统一一配置，管管理所有有内部终终端的安安全控制制策略，定定义下载载的统一一管理分分发。同时所有有的内部部业务终终端安装装终端综综合防护护系统代代理程序序，实现现内部终终端的严严格管控控，实现现“零病病毒”“零零威胁“的的安全防防护目标标。4.2 终端标准准化运维维管理系系统-实现”零零管理“4.2.1 设计思路路与技术术实现随着XXX省XX医院院的终端端数量的的不断增增长，而而且目前前XX省XX医院院的信息息管理人人员的缺缺

37、乏，所所使用的的管理工工具的复复杂性，都都要求有有一套高高效，统统一的终终端标准准运维管管理系统统，能在在一个统统一的管管理平台台上实现现大部分分的终端端运维管管理需求求功能，比比如软件件和补丁丁的分发发，远程程维护，系系统的统统一部署署和恢复复，所有有终端软软硬件的的资产信信息收集集管理和和终端定定位等。设计采用用“终端端标准化化运维管管理系统统”实现现对终端端运维管管理的需需求。通通过标准准化运维维管理实实施，可可以帮助助XX省XX医院院实现基基于ITTIL最最佳实践践的资产产生命周周期管理理。r 终端资产产清单管管理（充充分了解解软硬件件资产信信息以及及变更）通过终端端资产清清单管理理功

38、能，可以实实现: 资产信息息自动收收集（如如计算机机硬件信信息、安安装的软软件包、操操作系统统配置等等） 资产变更更自动监监控，及及时反映映医院IIT资产产变化状状况 资产评估估报表集集成，为为资产评评估以及及升级提提供科学学依据，节节约升级级费用。同同时用户户可通过过直接的的接口对对数据库库的数据据表进行行调整，生生成自定定义报告告。 自动跟踪踪应用程程序负载载数据，如如CPUU和内存存负载情情况、软软件的运运行时间间，软件件使用状状况，测测定某软软件将来来需要授授权证书书的真实实数量，回回收使用用率低的的软件授授权证书书。 拒绝客户户端用户户使用非非法软件件，不管管是联网网用户，还还是远程

39、程用户，甚甚至不联联网用户户！同时时能够通通过分发发脚本,禁止某某些功能能(如限限制修改改IP、限限制某些些端口)r 终端系统统部署功功能（快快速安装装操作系系统）l通过终端端系统部部署功能能，可以以实现： 支持快速速部署多多种设备备：桌面面PC、笔笔记本系系统迁移移以及部部署 支持多种种操作系系统：如如Winndowws, UNIIX, Linnux等等 支持从裸裸机开始始的系统统部署：只要网网卡支持持远程唤唤醒。 裸机部署署支持BB/S结结构，使使用方便便 减少新系系统和应应用的部部署时间间：当客客户拥有有大量的的客户端端设备，而而且分布布在不同同的地域域，在安安装操作作系统和和应用时时，

40、可以以不用到到每台计计算机上上去工作作，就能能完所有有计算机机的部署署。 节约时间间成本：减少系系统和应应用的升升级和迁迁移的部部署成本本和时间间r 终端软件件管理功功能（提提高分发发效率）通过终端端系统部部署功能能，可以以实现： 简化软件件安装管管理（完完全控制制台远程程操作） 支持异地地快速部部署（节节省时间间以及差差旅成本本） 软件升级级非常方方便 (自动通通过软件件的版本本，软件件的注册册表，软软件的一一切可定定义的信信息定位位软件并并决定是是否需要要升级) 无需用户户参与，无无需重新新启动计计算机，资资源消耗耗低 支持低带带宽下的的软件分分发，支支持软件件分发带带宽管理理，支持持软件

41、分分发的断断点续传传 支持基于于策略的的软件分分发：可可以将软软件只发发给指定定的用户户群，不不会将软软件分发发给不需需要的客客户 可以设定定软件分分发计划划：可以以设定软软件分发发的时间间，从而而在下班班时间或或非工作作高峰时时间进行行分发，提提高效率率 支持多种种操作系系统 可以生成成软件分分发结果果报告：让系统统管理员员准确了了解分发发结果。r 终端软件件虚拟化化功能，有有效节省省liccensse通过终端端软件虚虚拟化功功能，可可以实现现： 消除应用用冲突：无需修改改操作系系统，也也不与其其它应用用发生冲冲突，可可以保证证应用使使用正确确的文件件和注册册表设置置。这带带来了很很多好处处

42、，如提提高了可可靠性和和灵活性性。举个个例子，安安装新软软件或进进行应用用升级时时，管理理员可能能会在无无意间用用新的.DLLL文件替替换了旧旧的.DDLL文文件，这这会直接接导致共共享.DDLL文文件的应应用间的的冲突，然然后，既既有可能能引发应应用故障障，也有有可能导导致已修修复的安安全漏洞洞的再次次爆发。现现在，软软件虚拟拟化可助助管理员员彻底摆摆脱“.DLLL烦恼”。 有效缩短短应用发发布前的的测试时时间：在发布应应用新版版本之前前通常需需要大量量时间进进行冲突突测试以以及重新新配备实实验室测测试电脑脑。软件件虚拟化化简化了了部署前前的测试试，加快快了部署署周期，削削减了部部署后的的支

43、持成成本。采采用软件件虚拟化化，管理理员可以以在同一一系统上上安装同同一应用用的多个个版本，而而且新旧旧文件间间不会产产生任何何冲突。该该解决方方案甚至至还极大大地加速速了应用用的阶段段性发布布过程，因因为它随随时都可可以立即即恢复应应用状态态。一旦旦旧应用用完成向向新应用用的转换换，关闭闭和删除除旧的版版本就很很简单了了。 按需提供供应用：采用软件件虚拟化化，只要要给客户户端系统统发送一一个命令令，管理理员就可可以根据据需要激激活或关关闭应用用了。应应用会立立即生效效。用户户安装应应用不需需要具备备系统管管理权，也也不必为为激活或或关闭应应用后的的重启操操心。r 终端补丁丁管理功功能（全全自

44、动化化）终端补丁丁管理功功能，可可以实现现： 自动为客客户端安安装补丁丁程序，减减轻管理理员的工工作负担担提高补补丁程序序的安装装效率（系系统管理理员不用用到每台台计算机机上去安安装补丁丁程序，就就能完成成远端计计算机的的补丁安安装） 支持快速速的远程程分支机机构的补补丁管理理，不需需要出差差进行补补丁程序序安装（节节约支持持费用） 支持基于于策略和和目标的的补丁分分发（可可以将补补丁只发发给指定定的用户户群，便便于用户户按照部部门之间间不同的的安全级级别进行行补丁修修补） 补丁可用用性测试试，减少少补丁对对应用的的影响：一些补补丁程序序可能会会导致系系统或者者应用程程序的不不稳定，所所以管理

45、理员需要要在安装装前进行行测试。补补丁管理理可以先先建立一一个小规规模的集集合或者者组，然然后进行行测试，通通过小范范围测试试提前发发现这些些补丁程程序可能能对系统统或者应应用程序序造成的的影响 如果忘记记了补丁丁可用性性测试，万万一因为为安装补补丁程序序，使系系统瘫痪痪（系统统奔溃）或或应用程程序不能能正常工工作，通通过和备备份方案案的整合合能实现现系统和和应用尽尽快的恢恢复 能够生成成详细的的补丁更更新和分分发的详详细报表表r 终端实时时系统管管理功能能（无需需安装客客户端）实时系统统管理功功能，可可以实现现： 可实时查查看用户户的进程程信息，结结束非法法的进程程（避免免非法进进程） 可以

46、实时时查看计计算机全全部系统统端口（避避免非法法端口使使用） 可以跟踪踪计算机机路由（获获取信息息的当前前传输路路径） 可以实时时查看CCPU使使用率（获获知计算算机的处处理能力力是否出出现高负负载以及及大量的的资源空空闲） 可以实时时查看内内存使用用情况（获获知计算算机的内内存使用用是否出出现高负负载以及及大量的的资源空空闲） 可以实实时查看看磁盘使使用情况况（查看看是否需需要扩张张硬盘空空间） 可以实时时查看客客户端操操作系统统日志（密密切留意意系统发发生的一一切） 能够支持持Inttel vPrro（支支持非wwinddowss状态的的管理） 完全支持持常用带带外管理理协议，包包括ASS

47、F、AAMT、DDASHH等（强强大的兼兼容性）r 终端远程程维护功功能（可可录制审审计远程程维护过过程）远程维护护管理功功能，可可以实现现： 基于带宽宽控制的的远程维维护（适适用于各各类带宽宽） 多种身份份认证，确确保安全全性（适适用于各各种安全全级别的的登录） 可选用户户确认登登录模式式（避免免最终用用户的抵抵触） 除了传统统的远程程画图，对对话等功功能外具具备了录录像功能能，能够够为远程程维护的的合法性性，正确确性提供供佐证（便便于重现现故障现现场以及及作为远远程维护护规范性性以及可可监督性性的佐证证） 完整的日日志记录录（可监监督性） 能够通过过专门的的控件管管理不同同安全级级别的计计

48、算机以以及服务务器（适适用多种种安全网网络架构构）4.2.2 部署方案案由于XXX省XX医院院的信息息管理主主要面对对内部业业务终端端，建议议在内部部网络部部署终端端标准化化运维管管理系统统一套，部部署管理理控制台台在一台台较高性性能的内内网服务务器上，所所有内部部网络终终端部署署代理软软件。所所有的运运维管理理策略和和操作通通过控制制台根据据设定的的范围统统一下发发到内网网终端上上执行。部署顺序序上，最最先部署署终端标标准化运运维管理理系统，通通过软件件分发功功能，可可以在一一个控制制台上快快速高效效的，受受控的，可可根据带带宽，位位置，不不同部门门等进行行其他安安全防护护软件的的部署安安装，大大幅提升升XX省XX医院院