医院下属入网终端接入技术方案建议书.doc

医院下属入网终端接入管理方案建议书 目 录 项目概述 4 第一章 项目背景 5 1.1 安全动态及风险分析 5 1.2 安全法律法规 6 1.3 项目建设目标 7 第二章 技术方案 9 2.1 技术设计的指导思想 9 2.1.1 终端接入管理系统部署的目的 9 2.1.2 终端接入管理系统解决方案设计原则 9 2.2 技术设计方案 11 2.2.1 方案概述 11 2.2.2 高可靠性应急预案 13 2.2.3 主要业务流程 13 2.2.4 终端接入管理系统部署后的影响? 14 第三章 产品功能说明 15 3.1 能够对人员和设备提供双实名认证 15 3.2 能够提供来宾管理功能 15 3.3 能够提供用户与设备的“人机对应”负责制 15 3.4 多种杀毒软件厂商支持，快速补丁扫描与修复 16 3.5 提供有贵单位特色的安全检查规范库 17 3.6 能够对漏洞设备进行“一键式”智能修复 17 3.7 能够基于人员角色进行动态授权 17 3.8 提供无客户端agentless的准入部署模式 18 3.9 能够提供实名制日志审计报表 18 3.10 能够提供网络边界可视化管理 18 3.11 能够提供及时的报警响应 18 3.12 多个3000点以上的大规模部署案例 18 3.13 终端接入管理系统主要功能及特点说明 19 3.13.1 创新的安全策略引擎 19 3.13.2 贴身的行业管理规范 19 3.13.3 全面的网络环境支持 19 3.13.4 快速的系统实施部署 20 3.13.5 智能的违规引导修复 20 3.13.6 丰富的管理要求规则 20 第四章 项目效果 22 4.1 入网流程 22 4.1.1 入网引导 22 4.1.2 身份验证 23 4.1.3 安全性评估与修复 24 4.1.4 安全报表 25 4.2 平台建设收益 26 4.3 其他安全贴士 27 4.4 总体安全效果图 28 项目概述 医院（以下简称：）下属入网终端数目众多，信息化程度高，具有良好的基础网络架构。目前为适应单位内部对于信息安全的要求，规范IT 安全管理，特提出本次终端接入控制系统的建设目标。通过采用合适的技术手段对单位网络的入网终端范进行统一管理，对网络接入、访问情况进行统一授权和管理，对外网用户的入网流程进行规范，有效地避免各类违规事件的发生，提高网络的整体维护效率和管理力度，符合相关信息安全管理规范要求。 为此，盈高科技特针对本次项目提出基于无客户端Agentless模式的国际领先的第三代准入技术架构Appliance-based技术解决方案。通过先进的第三代准入技术解决方案，盈高科技能够帮助XXXX医院实现如下的终端接入管理系统体系建设目标： 防范非法接入，并实现外网接入设备的授权、身份验证、安全规范管理等一系列标准流程 保证单位网络的安全性、可控性、统一管理性、稳定及可扩展性 构建技术与管理相结合的全方位、多层次、可动态发展的网络安全规范体系 根据不同员工的身份细化不同的访问权限，以保证企业内部网络的机密性 项目背景 近年来国际国内网络安全事件频发，信息资源在不同程度上存在着各种各样的安全风险。并且随着信息技术的迅速发展和内网中有效安全机制的缺乏，内部漏洞对重要资源造成的的威胁远远大于从外部穿越防火墙造成的入侵，而传统的防护技术如防火墙、IDS等均无法有效地进行防范。 2012年6月份温州附一医院存在着“统方”泄漏的隐患，非法人员利用内部网络存在的漏洞将机密数据等带到医院外；此外在日常工作中也存在各种违规网络行为（如私自访问互联网、程序安装无法有效管理等），计算机主动抵御攻击能力弱（如系统补丁无法及时更新、部分机器漏装杀毒软件等），安全性低下的单台终端极易成为影响全网的威胁来源和跳板（如ARP病毒攻击），并且对分布广泛的各楼层接入计算机缺乏有效的远程维护及管理手段，信息部门工作人员管理维护难度大，效率较低。 安全动态及风险分析 近年来各地有关“统方”数据的违法犯罪案件多有发生，利用内部网络将“统方”信息带出并流入医药代表的行为依然较为普遍的存在。从2008年海宁市人民医院惊爆“统方案”后，浙江省多家医院就加强了对“统方”的管控力度，制定了相应的管理规定，并与相关人员签订了保密协议，但由于缺少对网络技术层面的管控，外部人员依然能够通过各种手段拿到医院的“统方”信息。 “统方”数据泄漏网络技术层面分析： 泄漏途径一：外来人员非法接入 外来人员携带笔记本进入医院，通过访问内部网络获取数据。 泄漏途径二：PC桌面未设置屏保 电脑未设置屏保，在工作人员暂时离开后，其他人员通过操作电脑窃取数据。 泄漏途径三：非法外联 这种数据泄漏方式更是防不胜防。随着3G的日益普及，越来越多的人使用3G无线网卡接入网络，这也给医院的