文档介绍:准入控制解决方案
LT
一、行业背景
近年来,随着信息化网络的不断建设,各医院基本都已建立了完善的业务网络。随着信息化工作由基础建设转变为网络安全建设,信息安全工作逐渐受到各医院的广泛关注。如何保证医院网络资源的安全使用,如何保障项目资料的安全妥善保存,如何打造一个合法合规的高效、安全的网络使用环境,是对医院行业信息安全领域提出的新课题。随着信息化的不断发展,入网随意、各种文件发送手段层出不穷,医院网内突出的安全问题转变为网络随意接入拷贝数据有意或无意造成的泄密问题,如何有效解决数据泄密问题成为业内亟需解决问题。
二、需求分析
终端入网缺少身份认证
现阶段大多数医院业务网络搭建已相对完善,各种业务服务器能够在网内高效稳定的运行,但是,网络的建设一直重视的是对业务系统的建设及外网黑客的攻击防护,对于外来人员到达单位后随意插网线入网无认证的现状是普遍缺少针对措施的。在某些网络内,网络管理人员可能通过可网管交换机的MAC地址认证功能做了简单的网络入网认证,但是此种方式存在MAC地址易被冒用、入网后缺少后续的控制等是没有有效的控制方法的,医院网内亟需一套完善的准入控制、身份认证产品,不仅能对终端进行入网的身份认证,还须具备身份防冒用、入网后的持续监管控制等功能。
服务器的准入保护
医院网内的重要服务器缺少访问控制的保护功能,无法禁止外来人员私自接入后对服务器的非授权访问,无法保护网内核心的业务系统数据不被未经授权的访问。
网络访问管理粗放
网内的不同部门工作时操作的业务数据不同,特别是有些较敏感部门的数据其他部门整个工作流程中都是不需要访问的,例如财务服务器。现网内比较普遍的现象是,当一台服务器可以访问其业务服务器(例如财务数据)时,其他的与其工作无关的其他部门的业务服务器(例如文件共享服务器)也是能访问的,这时,就存在业务数据服务器交叉访问带来的数据泄密风险。
终端远程维护
医院内部科室众多,人员众多,且分布在各个楼层间,特别是年龄较大的设计师对于计算机的接受能力较差,往往需要网络管理人员到终端电脑前进行实际操作,这是一项非常繁琐的工作。如何提高网络管理人员的运维效率,将管理人员从繁重的运维工作中解脱出来,是医院网络维护工作急需解决的问题。
三、解决方案
入网身份认证
通过金盾CIS服务器的身份认证、准入控制功能,可以对入网终端的网络访问行为进行监视并过滤,禁止非法终端的服务器访问情况,只有身份认证通过的终端才能继续进行下一步的入网安全状态评测;
身份认证时,为防止对合法终端的非法冒用,金盾CIS产品客户端安装时,会为每台终端生成一个全球唯一的标识(ID),即非法终端即时仿冒了合法终端的MAC、IP、计算机名等信息,依然无法入网,有效防止了冒用入网的问题;
入网准入控制
入网终端进行身份验证通过后,CIS客户端软件可以对入网终端的安全状态进行检查,包括检查是否安装杀毒软件、是否禁用Guest账户等涉及系统运行安全的项目,检查通过的终端才能访问关键服务器;终端身份认证及评测合格后,金盾CIS系统对终端电脑施加安全策略,包括下发加密策略、禁止使用USB接口、禁止连接WIFI上网、违规变化报警等功能,通过一系列的安全规范策略,提高业务终端电脑的整体安全性;
施