準(zhǔn)入控制解決方案

《準(zhǔn)入控制解決方案》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫。

1、.準(zhǔn)入控制解決方案山東華軟金盾軟件股份有限公司二零一六年十月..目錄一、行業(yè)背景2二、需求分析21.終端入網(wǎng)缺少身份認(rèn)證22.服務(wù)器的準(zhǔn)入保護(hù)33.網(wǎng)絡(luò)訪問管理粗放34.終端遠(yuǎn)程維護(hù)3三、解決方案31.入網(wǎng)身份認(rèn)證32.入網(wǎng)準(zhǔn)入控制43.網(wǎng)絡(luò)可訪范圍劃域控制44.全面運(yùn)維管理5四、方案價(jià)值5..一、行業(yè)背景近年來，隨著信息化網(wǎng)絡(luò)的不斷建設(shè)，各醫(yī)院基本都已建立了完善的業(yè)務(wù)網(wǎng)絡(luò)。隨著信息化工作由基礎(chǔ)建設(shè)轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)安全建設(shè)，信息安全工作逐漸受到各醫(yī)院的廣泛關(guān)注。如何保證醫(yī)院網(wǎng)絡(luò)資源的安全使用，如何保障項(xiàng)目資料的安全妥善

2、保存，如何打造一個(gè)合法合規(guī)的高效、安全的網(wǎng)絡(luò)使用環(huán)境，是對(duì)醫(yī)院行業(yè)信息安全領(lǐng)域提出的新課題。隨著信息化的不斷發(fā)展，入網(wǎng)隨意、各種文件發(fā)送手段層出不窮，醫(yī)院網(wǎng)內(nèi)突出的安全問題轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)隨意接入拷貝數(shù)據(jù)有意或無意造成的泄密問題，如何有效解決數(shù)據(jù)泄密問題成為業(yè)內(nèi)亟需解決問題。二、需求分析1.終端入網(wǎng)缺少身份認(rèn)證現(xiàn)階段大多數(shù)醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)搭建已相對(duì)完善，各種業(yè)務(wù)服務(wù)器能夠在網(wǎng)內(nèi)高效穩(wěn)定的運(yùn)行，但是，網(wǎng)絡(luò)的建設(shè)一直重視的是對(duì)業(yè)務(wù)系統(tǒng)的建設(shè)及外網(wǎng)黑客的攻擊防護(hù)，對(duì)于外來人員到達(dá)單位后隨意插網(wǎng)線入網(wǎng)無認(rèn)證的現(xiàn)狀是普遍缺少針對(duì)措施

3、的。在某些網(wǎng)絡(luò)內(nèi)，網(wǎng)絡(luò)管理人員可能通過可網(wǎng)管交換機(jī)的MAC地址認(rèn)證功能做了簡單的網(wǎng)絡(luò)入網(wǎng)認(rèn)證，但是此種方式存在MAC地址易被冒用、入網(wǎng)后缺少后續(xù)的控制等是沒有有效的控制方法的，醫(yī)院網(wǎng)內(nèi)亟需一套完善的準(zhǔn)入控制、身份認(rèn)證產(chǎn)品，不僅能對(duì)終端進(jìn)行入網(wǎng)的身份認(rèn)證，還須具備身份防冒用、入網(wǎng)后的持續(xù)監(jiān)管控制等功能。..1.服務(wù)器的準(zhǔn)入保護(hù)醫(yī)院網(wǎng)內(nèi)的重要服務(wù)器缺少訪問控制的保護(hù)功能，無法禁止外來人員私自接入后對(duì)服務(wù)器的非授權(quán)訪問，無法保護(hù)網(wǎng)內(nèi)核心的業(yè)務(wù)系統(tǒng)數(shù)據(jù)不被未經(jīng)授權(quán)的訪問。2.網(wǎng)絡(luò)訪問管理粗放網(wǎng)內(nèi)的不同部門工作時(shí)操作的業(yè)務(wù)

4、數(shù)據(jù)不同，特別是有些較敏感部門的數(shù)據(jù)其他部門整個(gè)工作流程中都是不需要訪問的，例如財(cái)務(wù)服務(wù)器?，F(xiàn)網(wǎng)內(nèi)比較普遍的現(xiàn)象是，當(dāng)一臺(tái)服務(wù)器可以訪問其業(yè)務(wù)服務(wù)器（例如財(cái)務(wù)數(shù)據(jù)）時(shí)，其他的與其工作無關(guān)的其他部門的業(yè)務(wù)服務(wù)器（例如文件共享服務(wù)器）也是能訪問的，這時(shí)，就存在業(yè)務(wù)數(shù)據(jù)服務(wù)器交叉訪問帶來的數(shù)據(jù)泄密風(fēng)險(xiǎn)。3.終端遠(yuǎn)程維護(hù)醫(yī)院內(nèi)部科室眾多，人員眾多，且分布在各個(gè)樓層間，特別是年齡較大的設(shè)計(jì)師對(duì)于計(jì)算機(jī)的接受能力較差，往往需要網(wǎng)絡(luò)管理人員到終端電腦前進(jìn)行實(shí)際操作，這是一項(xiàng)非常繁瑣的工作。如何提高網(wǎng)絡(luò)管理人員的運(yùn)維效率，將管理

5、人員從繁重的運(yùn)維工作中解脫出來，是醫(yī)院網(wǎng)絡(luò)維護(hù)工作急需解決的問題。三、解決方案1.入網(wǎng)身份認(rèn)證l..通過金盾CIS服務(wù)器的身份認(rèn)證、準(zhǔn)入控制功能，可以對(duì)入網(wǎng)終端的網(wǎng)絡(luò)訪問行為進(jìn)行監(jiān)視并過濾，禁止非法終端的服務(wù)器訪問情況，只有身份認(rèn)證通過的終端才能繼續(xù)進(jìn)行下一步的入網(wǎng)安全狀態(tài)評(píng)測；身份認(rèn)證時(shí)，為防止對(duì)合法終端的非法冒用，金盾CIS產(chǎn)品客戶端安裝時(shí)，會(huì)為每臺(tái)終端生成一個(gè)全球唯一的標(biāo)識(shí)（ID），即非法終端即時(shí)仿冒了合法終端的MAC、IP、計(jì)算機(jī)名等信息，依然無法入網(wǎng)，有效防止了冒用入網(wǎng)的問題；1.入網(wǎng)準(zhǔn)入控制l入網(wǎng)終端

6、進(jìn)行身份驗(yàn)證通過后，CIS客戶端軟件可以對(duì)入網(wǎng)終端的安全狀態(tài)進(jìn)行檢查，包括檢查是否安裝殺毒軟件、是否禁用Guest賬戶等涉及系統(tǒng)運(yùn)行安全的項(xiàng)目，檢查通過的終端才能訪問關(guān)鍵服務(wù)器；終端身份認(rèn)證及評(píng)測合格后，金盾CIS系統(tǒng)對(duì)終端電腦施加安全策略，包括下發(fā)加密策略、禁止使用USB接口、禁止連接WIFI上網(wǎng)、違規(guī)變化報(bào)警等功能，通過一系列的安全規(guī)范策略，提高業(yè)務(wù)終端電腦的整體安全性；l施加安全策略：終端身份認(rèn)證及評(píng)測合格后，金盾NACP對(duì)終端電腦施加安全策略，包括禁止使用USB接口、禁止連接WIFI上網(wǎng)、資產(chǎn)變化報(bào)警等功

7、能，通過一系列的安全規(guī)范策略，提高業(yè)務(wù)終端電腦的整體安全性；2.網(wǎng)絡(luò)可訪范圍劃域控制l網(wǎng)絡(luò)訪問范圍控制：金盾網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品提供用于細(xì)分網(wǎng)絡(luò)訪問權(quán)限的內(nèi)網(wǎng)安全域功能。終端合規(guī)入網(wǎng)后，..通過內(nèi)網(wǎng)安全域功能，可以將物理互通的網(wǎng)絡(luò)劃分為N個(gè)不同的網(wǎng)絡(luò)范圍，將每個(gè)網(wǎng)絡(luò)內(nèi)終端可以訪問的范圍進(jìn)行細(xì)化授權(quán)控制，從而避免對(duì)無關(guān)業(yè)務(wù)的服務(wù)器訪問可能帶來的泄密風(fēng)險(xiǎn)。例如，可以將網(wǎng)絡(luò)劃分為財(cái)務(wù)域、共享域，這樣劃分后，財(cái)務(wù)域內(nèi)的電腦之間可以正常互訪及訪問財(cái)務(wù)服務(wù)器數(shù)據(jù)，但是無法與共享域內(nèi)的終端或服務(wù)器通信，反之亦然。通過安全域的設(shè)置細(xì)

8、化了網(wǎng)絡(luò)訪問范圍，從而有效避免了網(wǎng)絡(luò)交叉訪問可能帶來的違規(guī)訪問泄密風(fēng)險(xiǎn)；1.全面運(yùn)維管理l網(wǎng)絡(luò)管理員可以遠(yuǎn)程接管終端電腦的鼠標(biāo)、鍵盤輸入及屏幕顯示，遠(yuǎn)程對(duì)終端電腦進(jìn)行維護(hù)操作，達(dá)到與現(xiàn)場操作相同的維護(hù)效果。l可對(duì)當(dāng)前網(wǎng)內(nèi)終端的軟硬件信息、硬件維修情況進(jìn)行詳細(xì)的匯總，提供可視化分析視圖，協(xié)助運(yùn)維人員進(jìn)行資產(chǎn)信息的詳細(xì)記錄分析。l支持遠(yuǎn)程修改IP的地址、遠(yuǎn)程協(xié)助、文件分發(fā)、消