医院终端整体安全解决方案讲义.docx

**省**医院 终端安全整体解决方案 赛门铁克软件（北京）有限公司 2012-07-17 保密声明与用途 本文档包含“保密信息”（如下定义）。本文档旨在提供赛门铁克提交本文之时可提供的产品和（或）服务的概要信息。本文档专向**省**医院（以下简称“您”或“您的”）提供，因为赛门铁克认为“您”有意向与赛门铁克公司（以下简称“赛门铁克”）达成交易。此“保密信息”的唯一用途是帮助“您”决定是否就本文档中所述产品或服务与赛门铁克签订合同协议。赛门铁克努力确保本文档中包含的信息正确无误，对于此类信息中的任何错误或疏漏，赛门铁克不承担任何责任，并在此就任何准确性或其他方面的暗示保证明确提出免责。“您”接受本文档并不代表“您”与赛门铁克之间达成约束性协议，仅表明“您”有义务保护此处标识的任何“保密信息”。赛门铁克有权就任意及所有客户协议的条款与条件进行协商。 “您”与赛门铁克之间没有书面保密协议，但“您”阅读赛门铁克建议书即表明，在因本文档而交换和接收的赛门铁克保密信息和专有信息的范围内，包括但不限于报价、方法、知识、数据、工作文件、技术和其他商业信息，无论书面还是口头形式（以下简称“保密信息”），“您”同意依照“您”在申请函中所述用途仅在内部阅读本“保密信息”。“您”同意不泄露、销售、许可、分发或以任何其他方式向他人提供“保密信息”，除非因需知晓该信息而必须提供，但必须遵守此类“保密信息”使用的管理条款与条件，而且该条款与条件的限制性必须至少相当于“您”用于保护自有同类信息所用的条款与条件，且在任何情况下绝不低于合理的商业保护。 本文档及已提供的任何其他赛门铁克相关信息仍归赛门铁克独自所有，未经赛门铁克事先书面许可，不得拷贝、复制或分发。赛门铁克提供本文档，但并不负责为“您”提供任何产品或任何服务。本文档阐述赛门铁克就本文所述主题而言的一般意图，赛门铁克的任何行为均取决于双方签订的正式书面协议。 除非“您”已经获得赛门铁克的事先书面许可，否则赛门铁克谨请“您”不要联系本文档中可能提及的任何赛门铁克客户。 一经请求即可提供此处所述产品使用和（或）服务交付所适用的赛门铁克条款与条件的副本以供查阅和审议。条款与条件可在签订合同时进行协商。 ? 2011 Symantec Corporation. ? 2011 年 Symantec Corporation 版权所有。All Rights Reserved. 保留所有权利。 版本变更记录 版本 修订日期 修订人 描述 1.0 2012-07-15 Eric Wang 目 录 第1章 概述 1 1.1 背景 1 1.2 挑战 1 第2章 **医院信息安全建设思路 5 2.1 规划目标 5 2.2 规划依据 5 2.3 规划框架 7 第3章 **医院信息安全整体建设方案 9 3.1 综述 9 3.1.1 方案效果 10 3.2 终端安全综合防护系统-实现“零病毒”“零威胁” 12 3.2.1 设计思路 12 3.2.2 技术实现 15 3.2.3 部署方案 27 3.3 终端标准化运维管理系统-实现”零管理“ 28 3.3.1 设计思路 28 3.3.2 技术实现 30 3.3.3 部署方案 42 3.4 终端行为审计监控系统-监测”不当操作行为“ 43 3.4.1 设计思路 43 3.4.2 技术实现 44 3.4.3 部署方案 55 3.5 终端业务内容监控系统-监控”不当内容复制“ 56 3.5.1 设计思路 56 3.5.2 技术实现 59 3.5.3 部署方案 62 3.6 终端准入控制系统-强制隔离”非法终端“ 62 3.6.1 设计思路 63 3.6.2 技术实现 64 3.6.3 部署方案 72 第4章 系统及硬件配置 73 4.1 硬件配置 73 4.2 第三方软件配置 74 4.3 软件配置 74 第1章 概述 1.1 背景 **省****医院的信息化经过十几年的发展，对业务的支撑作用已经表现得非常明显，医院业务的开展已经离不开信息系统的正常运转。随着**省**医院信息化的深化，**医院的业务流程已经高度自动化、高效率，从而为病人提供更好的医疗健康服务。 但另一方面，承载**医院业务流程的信息系统基础架构的管理手段却仍然相对落后，在当前复杂多变的信息安全形势下，无论是外部黑客入侵、内部恶意使用，还是大多数情况下内部用户无意造成的漏洞，信息科（处）的安全管理手段都正在变得越来越不够用。而同时，“统方”信息泄露、媒体舆论炒作、医患关系紧张、上级领导问责、法律法规监管等等，都在无形中让医院的信息安全管理压力越来越大。 1.2 挑战 ? 恶意攻击数量快速增加，攻击手段不断丰富，最新的未知威胁防不胜防：如何防范未知威胁，抵御不同攻击手段和攻击途径带来的信息安全冲击? 2011