XX大型医院终端接入管理系统平台建设解决方案.docx

1、XX大型医院终端接入管理系统平台建设解决方案XXXX医院终端接入管理系统解决方案设计目 录项目概述 4第一章 项目背景 51.1 安全动态及风险分析 51.2 安全法律法规 61.3 项目建设目标 7第二章 技术方案 92.1 技术设计的指导思想 92.1.1 终端接入管理系统部署的目的 92.1.2 终端接入管理系统解决方案设计原则 92.2 技术设计方案 112.2.1 方案概述 112.2.2 高可靠性应急预案 132.2.3 主要业务流程 132.2.4 终端接入管理系统部署后的影响? 14第三章 产品功能说明 153.1 能够对人员和设备提供双实名认证 153.2 能够提供来宾管理功

2、能 153.3 能够提供用户与设备的“人机对应”负责制 153.4 多种杀毒软件厂商支持，快速补丁扫描与修复 163.5 提供有贵单位特色的安全检查规范库 173.6 能够对漏洞设备进行“一键式”智能修复 173.7 能够基于人员角色进行动态授权 173.8 提供无客户端agentless的准入部署模式 183.9 能够提供实名制日志审计报表 183.10 能够提供网络边界可视化管理 183.11 能够提供及时的报警响应 183.12 多个3000点以上的大规模部署案例 183.13 终端接入管理系统主要功能及特点说明 193.13.1 创新的安全策略引擎 193.13.2 贴身的行业管理规范

3、 193.13.3 全面的网络环境支持 193.13.4 快速的系统实施部署 203.13.5 智能的违规引导修复 203.13.6 丰富的管理要求规则 20第四章 项目效果 224.1 入网流程 224.1.1 入网引导 224.1.2 身份验证 234.1.3 安全性评估与修复 244.1.4 安全报表 254.2 平台建设收益 264.3 其他安全贴士 274.4 总体安全效果图 28项目概述XXXX医院（以下简称：XXXX）下属入网终端数目众多，信息化程度高，具有良好的基础网络架构。目前为适应单位内部对于信息安全的要求，规范IT 安全管理，特提出本次终端接入控制系统的建设目标。通过采用

4、合适的技术手段对单位网络的入网终端范进行统一管理，对网络接入、访问情况进行统一授权和管理，对外网用户的入网流程进行规范，有效地避免各类违规事件的发生，提高网络的整体维护效率和管理力度，符合相关信息安全管理规范要求。为此，盈高科技特针对本次项目提出基于无客户端Agentless模式的国际领先的第三代准入技术架构Appliance-based技术解决方案。通过先进的第三代准入技术解决方案，盈高科技能够帮助XXXX医院实现如下的终端接入管理系统体系建设目标：防范非法接入，并实现外网接入设备的授权、身份验证、安全规范管理等一系列标准流程保证单位网络的安全性、可控性、统一管理性、稳定及可扩展性构建技术与

5、管理相结合的全方位、多层次、可动态发展的网络安全规范体系根据不同员工的身份细化不同的访问权限，以保证企业内部网络的机密性第一章 项目背景近年来国际国内网络安全事件频发，信息资源在不同程度上存在着各种各样的安全风险。并且随着信息技术的迅速发展和内网中有效安全机制的缺乏，内部漏洞对重要资源造成的的威胁远远大于从外部穿越防火墙造成的入侵，而传统的防护技术如防火墙、IDS等均无法有效地进行防范。2012年6月份温州附一医院存在着“统方”泄漏的隐患，非法人员利用内部网络存在的漏洞将机密数据等带到医院外；此外在日常工作中也存在各种违规网络行为（如私自访问互联网、程序安装无法有效管理等），计算机主动抵御攻击

6、能力弱（如系统补丁无法及时更新、部分机器漏装杀毒软件等），安全性低下的单台终端极易成为影响全网的威胁来源和跳板（如ARP病毒攻击），并且对分布广泛的各楼层接入计算机缺乏有效的远程维护及管理手段，信息部门工作人员管理维护难度大，效率较低。1.1 安全动态及风险分析近年来各地有关“统方”数据的违法犯罪案件多有发生，利用内部网络将“统方”信息带出并流入医药代表的行为依然较为普遍的存在。从2008年海宁市人民医院惊爆“统方案”后，浙江省多家医院就加强了对“统方”的管控力度，制定了相应的管理规定，并与相关人员签订了保密协议，但由于缺少对网络技术层面的管控，外部人员依然能够通过各种手段拿到医院的“统方”信

7、息。 “统方”数据泄漏网络技术层面分析： 泄漏途径一：外来人员非法接入外来人员携带笔记本进入医院，通过访问内部网络获取数据。 泄漏途径二：PC桌面未设置屏保电脑未设置屏保，在工作人员暂时离开后，其他人员通过操作电脑窃取数据。 泄漏途径三：非法外联这种数据泄漏方式更是防不胜防。随着3G的日益普及，越来越多的人使用3G无线网卡接入网络，这也给医院的数据安全带来巨大的挑战。通过3G网络，可以轻易把获取到的内部数据通过邮箱、网盘、QQ等方式泄漏出去。 泄漏途径四：存在共享的文件夹数据存放在共享文件夹下，其他人员可以通过局域网获取文件夹文件。如果该共享文件夹包含内部机密数据，将导致该数据泄密。 泄漏途径

8、五：网络越权访问网络间各个网段（安全域）之间未设置相应的访问权限，外来人员终端也能随意访问内部数据，导致网络越权访问行为极易发生，为内部数据泄漏提供便利温床。鉴于以上情况，由于XXXX医院信息化程度较高，终端点数较多，对IT软硬件的资产管理及故障维护靠人工施行难度较大，且效率低下。同时员工存在对管理制度执行不到位的情况，迫切需要通过技术手段规范员工入网行为。1.2 安全法律法规国家以及国外各权威机构对于内网安全都很早就明确了准入控制相关的法律法规。信息安全等级保护管理办法等级保护中从技术和管理两个方面整体上规定了信息系统的安全保护等级。内网安全的相关内容包括： 终端接入控制 边界完整性检查 主

9、机身份鉴别 内网访问控制 恶意代码防范和系统安全管理等ISO 27001 信息安全管理体系ISO27001指出：信息安全是通过实现组合控制获得的，用以防止信息受到的各种威胁，确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。安全控制可以是策略、惯例、规程、组织结构和软件功能。 ISO27001中明确指出了接入网络的管理规范和设备要求规范。1.3 项目建设目标从各类相关安全动态及法律法规都中都集中体现出，在目前的系统应用过程中，确保网络的安全运行和使用环境规范化相当重要，不仅要建立规范的计算机管理规章制度和运行规程，制定综合的安全管理策略，更需要从技术手段上进行安全措施的落

10、实，在安全事故发生之前就进行预防和治理，从而减少和杜绝来自外部人员或单位内部的各类违规操作，真正有效、便捷地保障单位网络的安全可靠性。因此，建立起一套行之有效的可操控和集中管理的信息安全保障系统势在必行，从而能够对安全风险做到可知、可控、可防。对于目前的网络环境而言，推荐采用网络准入控制NAC作为入网的安全保障平台，对设备、人员进行授权-安全评估-实时监测-智能管控的一体化管理体系，从接入与使用两个角度建设全网立体安全防护体系，真正做到对资源分配和网络安全的全面管理，全面提升网络性能及安全架构。第二章 技术方案 二.1 技术设计的指导思想二.1.1 终端接入管理系统部署的目的现在XXXX医院的

11、业务内网是XXXX医院的核心业务运营平台，业务应用的多样性，特别是无线查房应用的出现，致使网络安全建设越来越重要，同时内部网及部分外部单位用户均需要进行访问，为了避免因为终端自身问题带来的安全隐患，针对办公计算机的系统安全以及访问区域管理显的尤为重要，如果出现安全管理漏洞，将会严重影响整体业务运行安全。为加强网络安全管理及加强内部PC的安全管理，准备在XXXX医院建立终端接入管理系统，终端接入管理系统将重点解决以下问题： 入网终端登记注册认证化 违规终端不准入网 入网终端必合规 安全检查一目了然、智能化修复 根据用户身份指定不同的访问权限二.1.2 终端接入管理系统解决方案设计原则盈高科技认为

12、有必要参考国际、国内的安全管理经验，来设计XXXX医院办公网络的终端接入管理系统解决方案。BS7799作为英国政府颁发的一项信息系统安全管理规范，目前已经成为全球公认的安全管理最佳实践，成为全国大型机构在设计、管理信息系统安全时的实践指南。BS7799认为，设计信息安全系统时，必须掌握以下安全原则： 相对安全原则 没有100%的信息安全，安全是相对的，在安全保护方面投入的资源是有限的 保护的目的是要使信息资产得以有效利用，不能为了保护而过度限制对信息资产的使用 分级/分组保护原则 对信息系统分类，不同对象定义不同的安全级别 首先要保障安全级别高的对象 全局性原则 解决安全问题不只是一个技术问题

13、 要从组织、流程、管理上予以整体考虑、解决在设计XXXX医院办公网络的终端接入管理系统解决方案时，非常有必要参考BS7799中的有关重要安全原则。BS7799中，除了安全原则之外，给出了许多非常细致的安全管理指导规范。在BS7799中有一个非常有名的安全模型，称为PDCA安全模型。PDCA安全模型的核心思想是：信息系统的安全需求是不断变化的，要使得信息系统的安全能够满足业务需要，必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法，持续不断地改进信息系统的安全性。以下是PDCA安全模型。PDCA安全模型XXXX医院终端接入管理系统的建设也将是一个持续、动态、不断改进的过程，终端接入管

14、理系统将为其提供统一的、集成化的平台和工具，融合检查、告警、修复等机制，帮助XXXX医院对其终端进行统一的安全控制、安全评估、安全审计及安全改进策略部署。XXXX医院终端接入管理系统解决方案的设计应坚持使用户网络安全防护具有先进性、实用性、可靠性、兼容性、可扩充性和灵活性原则。二.2 技术设计方案二.2.1 方案概述经过前期与XXXX医院信息部门领导的交流、了解，在这里推荐采用两台INFOGO-ASM入网规范管理系统方案来实现内网准入建设，设备的部署建议采用旁路方式连接部署在路由器，并结合MVG虚拟网关（PBR策略路由）环境进行网络准入控制NAC,如下图所示：（此处按需求插入图片）XXXX医院

15、终端接入管理部署示意图在基于MVG技术的准入平台下，ASM准入控制设备采用旁路方式连接到核心交换机，将接入层可网管交换机在ASM设备上进行注册，准入技术的关键视ASM设备与边界可网管交换机联动下实现的vlan切换功能，原理如下：1、 终端机器入网访问网络，ASM比对终端信息和自身合格终端数据信息a) 终端信息在ASM合格终端数据信息中，则为合格终端，即可访问内部网络；b) 终端信息未在ASM合格终端数据信息中，则为存在问题终端或新入网终端，ASM通过和交换机的联动将此终端所在端口vlan切换到隔离vlan（不可信vlan）中；此终端流量均定向到ASM设备；2、 ASM设备对新入网设备访问进行审

16、核，非授权终端禁止接入3、 审核通过的设备将得到访问网络的授权，并遵循ASM策略进行认证安检流程；4、 终端设备进行身份认证、安全检查及修复，判断终端是否合格a) 未合格终端仍处在隔离vlan中，无法访问内部资源b) 终端认证安检均符合要求，ASM与交换机联动将交换机端口切换回正常vlan，获得内部网络访问权限，终端按正常方式访问网络。通过准入控制系统解决方案的部署，可以将整个网络划分为三个不同的区：来宾访问区、隔离修复区和正常工作区（可根据实际情况作调整）。准入控制系统可以根据终端用户的身份、终端满足安全策略程度将终端设备自动划分到这三个区域中。终端在不同安全区域能够访问到的网络资源不同，比

17、如：来宾访问区只能访问组织可以公开的网络资源，如有限资源或者出现WEB访问引导页面；隔离修复区一般限制只能访问安全修复服务器等资源；正常工作区是正常办公需要的所有网络资源，这个区域是大多数的安全区域。策略路由模式采用以下说明：（在基于PBR的准入平台下，ASM准入控制设备采用旁路方式连接核心交换机，整体准入技术的关键是核心交换机上的数据引导，原理如下：1. 所有分支机构访问总部网络，流量都会重定向到ASM设备；2. ASM设备对入网设备的访问进行审核，非授权禁止接入；同时对网内授权访问的设备连接数进行控制，从而实现流量控制的功能；3. 审核通过的设备将得到访问网络的授权，并遵循ASM指定的连接

18、数访问外网，其流量得到有效管理；4. 从服务器区返回的下行流量不经过ASM设备，实现了下行完全旁路。PBR方案原理示意图ASM入网准入控制系统通过基于角色创建的多个不同的安全访问区域，并将用户角色与其对应的网络使用行为进行权限绑定，这样就可以在内网中做好区域访问布控。其次还将提供“来宾”选择访问模式，管理员可以事先配置来宾可以访问的资源，比如只能上互联网、收发邮件等。这种基于应用控制来宾访问权限，既可以很好地满足业务需要，又可以很好地保护用户内网资源。)将来要建设的系统必须提供统一、集成化融合管理平台。本项目建设的主要概述如下： 方案要求具有高可靠性、良好的逃生方案； 外来非法设备或者具有安全

19、隐患的终端将被移送的隔离区，只有在管理员授权或安全隐患得到修复后才能接入企业办公网络； 需要具有例外设备的处理能力，可以定义部分终端例外不受上网的控制，以便于对于一些特权用户或设备的灵活管理； 检测到不安全状态的终端将限制其只能访问隔离修复区的网络资源，直到修复完整后才能重新认证恢复使用； 建立“人机对应”管理机制，可以快速定位全网当中任一台终端设备； 确保全网终端都必须安装防病毒软件，建立一套安装并升级防病毒软件的机制；二.2.2 主要业务流程二.2.2.1 员工入网流程1. 员工输入任意网址，浏览器跳转到安全控件安装页面，利用友好的提示知道用户入网。2. 员工根据自己的实际信息，进行入网注

20、册，方便管理员管理内网用户。3. 如果开启入网审核，用户注册完成后，需要等待管理员审核通过才能正常使用网络。4. 用户输入分配好的用户名和密码。5. 认证通过后，ASM会根据定义好的入网规范检查使用者的终端安全情况，如果存在安全隐患，ASM会提供智能化的修复选项，终端修复后才能正常使用网络。二.2.2.2 来宾机器的处理流程1. 事先定义一批来宾帐号，并且规定这些帐号的访问权限；2. 如果是一台来宾的机器需要接入网络，用户联系管理员；3. 管理员会审核是否属于来宾，这个需要人工参与；4. 管理员将来宾的账号分配给用户；5. 用户通过输入来宾帐号，机器接入网络；6. 此类中的的访问权限按事先定义

21、好的规则，所以一定要做好此类帐号的访问权限。二.2.2.3 长时期未上线的机器处理流程1. 系统定义长时期未上线需要清理机器的时间间隔；2. 系统自动查找并清理此类机器；3. 下次此类机器如果又再次需要入网时，按新机器接入流程处理；二.2.3 针对移动终端准入管理流程XXXX医院新近增加了一套移动查房系统，利用移动终端设备和无线wifi网络的便利性，建立了一套灵活高效的移动查房管理体系，实现在医院无线局域网覆盖的任何地方，在手持PDA、iPad上实时查看核对病人的基本信息，并将病人的基本情况实时传送至服务器进行处理，大大推进了整个医院的数字化、信息化建设进程，提高了医院工作的工作效率。然而移动

22、查房系统在其高效便利的前提下，由于无线局域网灵活接入的特点，只需要知道相关密码，即可方便接入网络，形成边界管理盲点，同时如何确认入网终端使用者的身份信息，也给医院网络信息安全建设带来不小的安全隐患本次盈高科技为XXXX医院终端入网管理建设提供了全面的解决方案，针对XXXX采用移动查房技术的情况下，避免无线终端入网带来的安全隐患，采用终端指纹识别技术，实现对无线终端的识别管理，提高网络安全性，保证现有业务的正常运行，具体流程如下：1、 无线终端接入网络，ASM获取终端信息，通过终端指纹识别技术识别终端类型；a) 接入终端为无线笔记本终端，则按照2.2.2流程入网b) 接入终端为ios、andro

23、id等移动设备，则按照以下流程入网2、 管理员核实入网移动终端信息后，利用ASM设备对入网移动终端访问进行审核，授权终端允许入网，并对其IP/MAC信息进行绑定，非授权禁止接入；3、 审核通过的终端进行身份认证，通过认证终端允许访问网络；为通过认证终端进入隔离区域，无法访问内部网络资源。二.2.4 终端接入管理系统部署后的影响?部署终端接入管理系统之后，可以定义后台所有的桌面电脑接入计算机网络之前，都必须经过如下认证： 检查该电脑是否有合法的用户名密码，目前根据实际情况可以不采用系统缺省密码。 检查该电脑是否单位合法终端（检查电脑的硬件ID），合法的电脑硬件ID保存在管理服务器的数据库中，支持

24、新接入设备管理员审批功能。 检查该电脑是否符合安全管理规定：例如操作系统补丁是否安装、防病毒软件是否安装等。这些管理规定产生的安全策略保存在管理服务器的数据库中。网络交换机将准备接入网络的电脑终端所上传的以上各种信息转发给联动控制器，由联动控制器再去查询数据库服务器并将查询分析的结果返回给网络交换机。由于网络准入控制服务一旦发生故障，会导致电脑终端无法接入网络，因此必须保障网络准入控制的高度可靠。盈高科技提供的准入控制系统部署方案具有如下特征： 和入网流程相关的设备和系统，不存在单点故障。即：单台服务器或者设备的暂时性故障，不会导致整个网络接入服务不可用； 和准入控制系统相关的网络设备、服务器

25、、数据库和软件故障，系统能够实现自动报警，向相关管理员发送手机短信息等； 在特殊紧急情况下（例如：双机故障），网络管理员可以通过执行脚本的方式，快速将网络接入设置为“不设防”状态，使得所有电脑终端能够正常接入网络。通过以上手段，可以保障网络接入服务的高度可用性。第三章 产品功能说明盈高入网规范管理系统（英文简称：ASM）是基于国际第3代准入控制标准的纯硬件网络准入控制NAC产品，能够实现设备、人员双实名身份认证，支持友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规范库、“一键式”智能修复、实名日志审计等功能，满足等级保护对网络边界、终端防护的相应要求，其功能点如下：三.1

26、能够对人员和设备提供双实名认证ASM能够提供多样化的人员身份认证方式（如用户名密码、AD域、USB-KEY、邮箱认证、手机短信等），在保障接入网络人员合法性的同时还能够支持对设备的实名认证，保障接入网络终端设备的合法性，方便管理员对网络的统一管理。三.2 能够提供来宾管理功能随着各项业务的开展，访客来往单位会十分的频繁，对来宾访客的安全规划和有效管理十分重要。ASM提供“我是来宾”选择访问模式，管理员可以事先配置来宾可以访问的资源，比如只能上互联网、收发邮件等。并且来宾在不知道具体员工身份认证的方式，没有办法获取内部员工的访问模式与权限，只能选择“来宾模式”。这样基于应用控制来宾访问权限，可以

27、很好地解决既满足业务需要，又很好地保护好用户内网资源。三.3 能够提供用户与设备的“人机对应”负责制ASM能够实现非常灵活的设备分组、分级分域管理，对所有设备建立责任人对应管理制度；这样将IP设备与用户ID建立对应关系，对日常管理、事中责任明确以及事后规范行为审计等有十分重要的意义。同时可以根据不同组别的资产，可以采取不同的安全检查规范。三.4 多种杀毒软件厂商支持，快速补丁扫描与修复鉴于杀毒软件与系统补丁对于内网安全的重要性，ASM全力支持检查主流的杀毒软件产品（包括诺顿、Mcafee、瑞星、卡巴斯基、金山等10种以上主流杀毒软件）；准入平台自身提供补丁服务器功能，能够保持及时与微软官方的补

28、丁更新同步，并且提供补丁的分级管理（如严重、重要、中等）和分级修复，对终端进行补丁扫描的时间控制在8秒以内，不影响单位员工的日常工作，能够对系统补丁进行自动修复。防病毒软件联动管理补丁安全管理三.5 提供有贵单位特色的安全检查规范库ASM能够针对贵单位的具体网络情况提供个性化的规范模版，包含内网安全所必须的补丁检查、杀毒软件检查、IP/MAC地址绑定检查等常规安全检查项，也需要包含了桌面客户端运行状态检查、域用户检查、必须/禁止安装软件检查等个性化安全检查项，还可以根据用户的实际需求进行扩充；并以此模版作为入网的安全检查规范，帮助制度管理的真正落实。三.6 能够对漏洞设备进行“一键式”智能修复

29、由于本单位接入终端数量多、配置差异大，人员计算机水平参差不齐，ASM提供对存在安全隐患的设备进行智能、快速的“一键式”修复功能，解决终端用户面对漏洞而无从下手导致不能及时恢复正常业务的问题，从而减少安全隐患修复的复杂性和专业性，同时也大大减少管理员的工作量。三.7 能够基于人员角色进行动态授权ASM能够基于终端用户的角色分配网络访问权限，通过权限规范用户的网络使用行为。可以事先做好安全管理规划，根据需要划分多个安全域，并且由管理员自定义配置安全域的ip地址段。这样就可以在内网中做好区域访问布控。三.8 提供无客户端agentless的准入部署模式ASM基于无客户端agentless部署模式，这

30、样可以充分防止客户端的兼容性和稳定性问题对于网络准入平台的不良影响，将整个平台的防单点故障能力提升一个等级。三.9 能够提供实名制日志审计报表平台可以收集接入设备的相关信息，对各检查项数据进行统计分析并提供报表便于查看，方便管理员能一目了然地掌控全网的安全状态。三.10 能够提供网络边界可视化管理平台能够和网络边界可网管交换机联动，为管理员提供可视化的网络边界情况，如交换机端口使用情况、终端接入情况等，以及针对边界Hub、NAT设备的接入情况及报警，协助管理员及时掌握网络使用情况。三.11 能够提供及时的报警响应能够将新入网设备、待审核设备、统计报表及网络中的异常情况以邮件、手机短信等形式及时

31、报告给网络管理员，让管理员随时掌握网络边界安全动态。三.12 多个3000点以上的大规模部署案例ASM在多个行业拥有大量应用客户，其中有多家3000点以上的大规模复杂网络实现案例。ASM是国内通过大规模部署考验的成功案例最多的平台，充分证明了其在准入领域的成熟度及可靠性。三.13 终端接入管理系统主要功能及特点说明三.13.1 创新的安全策略引擎采用了获得国家科技部创新基金（编号09C26223301274）支持的“基于安全策略可配置引擎”作为安全检查的驱动引擎。在该引擎的基础上面进行安全检查规则库的不断更新和应用，来应对各种层出不穷的安全问题。众所周知安全问题是随着时间的变化而会不停的演变，如果没有一个好的安全检查引擎，不能做到随着安全问题的“应需而变”，那么所有的安全措施将最终无法适用环境的发展而无疾而终。 盈高科技通过采用安全引擎和检查规则库结合的方法，通过对规则库的不断升级，使得ASM可以即时的跟进各种安全问题，分析各种安全问题，并最终解决企业的各种安全问题，使得企业可以真正做到一劳永逸的解决安全问题。三.13.2 贴身的行业管理规范每一个行业都具有本身的各种管理特性和管理要求，适合一个行业的管理规范并不一