山东省妇幼保健院金盾网络安全产品案例分析 - 案例
我要咨询
我要试用
我要合作
联系我们
山东省妇幼保健院金盾网络安全产品案例分析
发布时间: 2016-10-10 11:24:19
项目背景

为了保证内网的安全,如何实现对网络接入的合法身份进行认证,如何杜绝因私接U盘导致内网病毒泛滥,如何能实时掌握网内终端的实时资产信息,如何确保网内终端均按要求安装杀毒软件,成为医院领导以及信息中心亟待解决的几大问题。

需求分析

山东省妇幼保健院虽然已部署了防火墙、IPS、杀软服务器,但是仅仅是具备了抵抗外部恶意攻击服务器、集中管理和部署杀毒软件的基础,除此之外仍有诸多网络安全隐患亟待解决:
终端网络准入控制
需实现当有终端需要接入网络使用网内的医疗、财务、网站等服务器资源时,需要对此终端的帐户信息以及终端计算机安全性进行合法性检查,只有网内合法的终端才能访问服务器资源,非法的终端无法访问任何资源,并且需要具备身份防冒用、入网后终端安全状态持续监测等功能。
服务器访问控制保护
医院网内的重要服务器缺少访问控制的保护功能。由于医院网络相对来说是个开放的网络环境,需要禁止外来人员的私自接入,保护医院内部核心的HIS等业务系统未经授权无法访问,需要实现对患者信息的安全访问。
移动存储设备管控
规范终端的U盘使用,防止随意接入的U盘导致病毒、木马在内网肆意传播以及数据泄露。并可以实现U盘白名单功能,即可注册白名单U盘,内网计算机仅可以使用白名单U盘。
移动终端管理
由于医疗工作的需要,越来越多的移动设备加入到诸如移动查房等诊疗工作中。要确保接入的移动终端的数据安全,打造移动工作专用设备,规范移动终端使用的同时削减管理成本,提高工作效率,使医院在移动互联诊疗上保持优势竞争力。
资产变化报警
对内网合法终端现有软硬件资产进行监控,当终端的资产信息发生变更时,能够及时通过报警的形式通知管理员,使管理员对终端电脑的资产情况实时掌握。
终端远程维护
由于地理位置相对分散,各个科室分布在医院内部不同的区域内,日常对终端软件使用中遇到的诸多小问题进行现场维护既费时又费力,效率低且人员成本过高,针对此情况,需要实现对终端计算机进行远程控制,实现终端问题远程维护,提高问题解决速度,节省时间成本以及人力成本。
智能网络管理
由于医院内网系统庞大,网络拓扑结构复杂,网内各类网络设备种类、数量众多,型号不一,管理负担巨大。现需要一套智能管控平台,可对网内网络设备进行拓扑动态生成,可进行远程配置管理,可实现图形化查看IP地址使用状态。
违规外联控制
由于目前上网形式多样,手机等移动智能设备多带有无线网络热点功能,违规使用内网终端计算机接入互联网的难度较低,而接入互联网后医院内部诸多信息则完全暴露于互联网,威胁到患者以及医院的网络安全,因此要控制使用无线网卡、外置网卡等设备,以及实时监测外联状态,一旦发现外联即刻断网并向信息中心报警。
独立办公桌面
需要一套独立办公桌面系统,实现对办公环境的全部隔离,保证医疗数据、财务数据不外泄,保证办公环境不得安装除办公以外的全部应用。全面提高终端计算机安全系数。

解决方案

针对山东省妇幼保健院的相关需求,金盾软件提供CIS9全面网络安全解决方案来实现上述所有需求。
拓扑结构:旁路部署于医院核心交换机,通过核心交换机端口镜像功能实现网络准入控制。
终端网络准入控制
金盾使用NACP技术实现对终端身份认证、准入控制功能,可以对入网终端的网络访问行为进行监视并过滤,禁止非法终端接入内网,禁止安全性不符合要求的终端接入内网。只有终端有合法帐户并且终端通过安全状态测评后才可放行。身份认证时,为防止对合法终端的非法冒用,金盾NACP系统会为每台终端生成一个全球唯一的标识(ID),非法终端即便是仿冒了合法终端的IP、MAC、计算机名称等信息也无法接入网络,有效保证网络安全。
移动存储设备管控
USB移动存储介质管理系统,可以实现对USB存储介质进行禁用、只读、读写权限的控制,并能添加自定义例外列表,灵活的配置医院内部的管理需求。有效实现U盘管控而又不一刀切全面禁止使用U盘。
金盾DLP沙箱虚拟化办公桌面
金盾数据沙箱隔离防护系统在Windows原有桌面的基础上增加隔离办公桌面。隔离办公桌面采用Windows 7原生态页面形式,保持了终端用户正常的办公习惯。隔离桌面中的应用程序支持系统自动生成和终端用户自主添加,同时可一键式快速切换,在数据无损的前提下快速的在系统原始桌面和隔离办公桌面间进行切换操作。
金盾数据沙箱隔离防护系统通过文件重定向技术,把隔离办公桌面中数据的生成、存储、访问、销毁整个过程全部重定向到虚拟安全磁盘中。保证通过任何形式也无法将文件私自导出到虚拟安全磁盘外,与系统原始桌面中的数据完全隔离,从数据的根源出发保证了数据安全性。
金盾数据沙箱隔离防护系统可以对不同的桌面、不同用户分配不同的网络通信权限。系统原始桌面下无法访问单位重要涉密网络及重要应用服务器,同时仅允许隔离办公桌面访问单位涉密网络及各类应用服务器。终端用户仅能通过隔离办公桌面获取重要服务器上数据,从网络数据通信方面保证重要数据不暴露在非安全环境下,从而降低网络泄密的风险。
金盾数据沙箱隔离防护系统可以限制系统原始桌面和隔离办公桌面中运行的应用程序,保障在隔离办公桌面下存在安全隐患或非办公类应用程序无法运行,从应用程序方面保证重要数据不因非法应用程序导致数据泄密。
金盾数据沙箱隔离防护系统支持跨平台涉密数据交互防护,可实现终端PC和移动设备间涉密数据的安全交互。可以对平台间交互文件进行权限跟踪,包括涉密文件的打开次数、打开时间、打印权限、阅后即焚等,同时对移动设备下发相对应的文件访问权限,实现移动设备对涉密文件的读取使用。
违规外联管理
报警中心系统可以对有非法外联操作的终端计算机进行报警,并自动执行设定的关联响应措施,如将终端用户放置隔离区,关闭终端用户计算机,发送报警邮件,发送报警短信等。
终端运维管理
金盾TSM终端安全管理系统可针对终端计算机软硬件进行资产统计分析,亦可实现硬件变化报警。终端安全管理系统通过配置不仅可以实现对硬件如光驱,打印机、无线网卡进行规范管理,还可以对内网和外网访问权限进行规范管理,并且对接入内网的时间进行限制。远程协助功能用于远程对工作人员计算机进行操作,足不出户就可以解决工作人员的问题,完美兼容Win7和Win8系统。
智能网络管理
系统包含资源模板、设备模板、图形处理技术、向导技术、智能路由算法、流程定义器等技术,将各网络资源和地理空间信息完美地结合起来,使用更直观的方式,进行资源地理位置及信息的查询和管理,最大限度地为维护管理人员创造了图文并茂的工作环境,实现了资源管理的资源分布地图化、资源外观可视化。
移动终端管理
金盾使用MDM管理系统实现对移动设备管控,MDM系统采用简单易用的设计原则,支持VPN、专线、跨NAT等多种的网络接入方式,可基于金盾终端身份认证技术,对入网终端进行安全监测,保障移动设备入网的安全性。可提供基于虚拟化安全办公桌面的业务应用办公区域,进行统一平台化的桌面式管理。可对移动终端进行规范化管理,禁止私自使用存在安全隐患的系统功能。高强度应用管控,支持对各类应用进行高强度的密码锁定。支持跨平台间涉密数据的安全交互,依托私有化云盘保障涉密数据不会被其它应用非法获取。高精度的区域性管理,可解决移动设备丢失被盗而引发的涉密事件。数据通信SDK以及文件操作SDK,可解决应用进行数据储存操作时缓存数据管理不当,引发的泄密事件。提供远程应用一键式推送服务,方面解决网络运维中应用推送问题。

价值收益

实现对内网边界的全面防护,有效保证服务器以及内网终端计算机安全。
通过管理手段规范终端计算机安全状态,例如强制安装杀毒软件、开启Windows防火墙,杜绝带病计算机接入内网。
实现全网终端安全状态普查快修,对存在安全隐患的计算机进行自动修复,提高整体安全系数。
资产信息变更及时掌握,对终端计算机软硬件信息全程跟踪监控,一旦发现异常即刻告警。
规范医院内部U盘使用,注册白名单U盘,实现对移动存储的有效管控。
实现对移动智能设备的安全管理,规范移动设备使用,保障数据不泄露,不外传。
实现智能化网络管理,可图形化对全网拓扑结构中的设备进行管控,动态查看IP使用状态。
实现高效终端运维管理,可进行远程协助、文件分发等操作,极大提高信息中心工作人员工作效率。
实现办公数据全面隔离,杜绝办公数据外泄,全面保障医患信息数据安全。

Copyright © 2017 goldencis Inc. All rights reserved.   山东华软金盾软件股份有限公司  鲁ICP备09047076号