關于我們 / ABOUT US

行業概述   

    随着科(kē)技的發展，作(zuò)爲醫療行業信息化的重要推動力，醫院信息系統（HIS）經過近二十年(nián)的發展，已經初具規模。目前，我國(guó)大(dà)部分(fēn)醫院網絡系統分(fēn)爲兩個部分(fēn)——用于日(rì)常醫療信息交換的業務網以及實時獲取Internet信息資源的辦公網。其中的醫院業務網是醫院業務開展的平台，爲了保障安全，業務網與辦公網之間進行了物理(lǐ)隔離(lí)。然而，随着業務網應用的深入，業務網内網存在的一些不安全因素成爲影(yǐng)響其正常運行的重大(dà)隐患，例如(rú)人(rén)員(yuán)的非法接入、因員(yuán)工(gōng)濫用移動存儲導緻的信息洩漏，違規使用BT等P2P軟件(jiàn)造成的帶寬濫用等。爲了保障内網安全，深化醫療信息化的發展，醫院迫切需要一套有效的内網安全管理(lǐ)系統。

需求分(fēn)析
作(zuò)爲醫療行業的計(jì)算機(jī)終端安全管理(lǐ)而言，需要解決如(rú)下問(wèn)題：
1、網絡管理(lǐ)
    在醫療行業的網絡環境中，由于單位規模、單位辦公的需要，存在很多的工(gōng)作(zuò)區域，甚至在外地也有自(zì)己的分(fēn)院、社區醫院或者遠(yuǎn)程診斷系統，爲了便于醫院内部的信息共享，一般采用專線或其他(tā)網絡互聯技術(shù)，使之與内部網絡連接，便于單位内部的數據管理(lǐ)和辦公管理(lǐ)。但(dàn)是大(dà)規模的網絡環境、複雜的分(fēn)支機(jī)構，給網絡管理(lǐ)帶來(lái)了極大(dà)的困難，設備的分(fēn)布不明确；流量管理(lǐ)沒有依據；對于靜(jìng)态IP地址環境地址混亂、沖突也是很棘手的問(wèn)題。
2、流量控制
    借助物理(lǐ)網絡拓撲圖上設備的物理(lǐ)連接關系，通過可(kě)網管交換機(jī)端口的流量控制，能夠對交換機(jī)下連的設備進行端口控制，關閉端口或是打開端口。但(dàn)是内部網絡環境中不可(kě)能所有的交換機(jī)全部都(dōu)是可(kě)網管的，而且管理(lǐ)員(yuán)不可(kě)能天天進行端口的打開、閉合操作(zuò)，除非是出現異常的網絡攻擊和擁塞時，才會采取如(rú)此非常手段。因此對于日(rì)常的控制來(lái)說(shuō)，最有效的方法是通過控制每個終端的流量，如(rú)果能将設備的流量控制在一定的範圍内，既保證了終端的正常工(gōng)作(zuò)使用，又可(kě)以防範在非法使用P2P下載軟件(jiàn)搶占帶寬和病毒爆發時給網絡速度帶來(lái)的擁塞，這對于管理(lǐ)來(lái)說(shuō)才是實用的管理(lǐ)手段。
3、IP地址管理(lǐ)
    爲了便于管理(lǐ)，出現問(wèn)題能夠及時追查，網絡建設時管理(lǐ)員(yuán)通常使用靜(jìng)态IP地址，這對于管理(lǐ)來(lái)說(shuō)确實是一個有效可(kě)行的措施。但(dàn)是由于員(yuán)工(gōng)的計(jì)算機(jī)操作(zuò)水平不同，很可(kě)能造成随意修改IP地址帶來(lái)的内網地址沖突，這給内網管理(lǐ)帶來(lái)很繁瑣的問(wèn)題。雖然通過在核心或二層交換機(jī)上，可(kě)以通過命令來(lái)綁定IP/MAC地址從(cóng)而消除上述問(wèn)題，但(dàn)是工(gōng)作(zuò)量龐大(dà)，因此徹底屏蔽IP地址沖突的問(wèn)題是網絡管理(lǐ)必須要做的。
4、桌面管理(lǐ)方面
    單位内網進行辦公所運行的各種服務都(dōu)是應用在終端設備的基礎上，一旦終端設備的安全性出現問(wèn)題，那麽所有其承載的服務将無法運行，嚴重影(yǐng)響單位的工(gōng)作(zuò)效率，給單位的生(shēng)産造成損失。因此必須保證機(jī)器的健壯性。
5、進程控制
    由于當前大(dà)量病毒以及惡意程序的存在，而這些程序對于普通用戶而言并不知情，甚至有些惡意程序通過技術(shù)手段使得(de)用戶無法通過任務管理(lǐ)器看(kàn)到其工(gōng)作(zuò)進程；另一方面，有些用戶可(kě)能有意或無意地運行一些可(kě)能會影(yǐng)響他(tā)人(rén)或自(zì)己工(gōng)作(zuò)的軟件(jiàn)(如(rú)網絡嗅探器)。
    單位的機(jī)器目的是提高員(yuán)工(gōng)的生(shēng)産效率，充分(fēn)利用上班時間爲單位創造更多效益，但(dàn)是某些娛樂性軟件(jiàn)嚴重影(yǐng)響了員(yuán)工(gōng)的工(gōng)作(zuò)效率，某些下載軟件(jiàn)造成網絡速度減慢(màn)，影(yǐng)響了内網的正常辦公。因此通過制定策略，實現 對非法進程的監控并阻止，能夠大(dà)大(dà)減少由内部引起的網絡安全事(shì)件(jiàn)，提高我們的工(gōng)作(zuò)效率。
6、接口管理(lǐ)
    随着計(jì)算機(jī)外設的增多，各種各樣的輸出設備（軟驅、刻錄機(jī)、打印機(jī)、繪圖儀、移動存儲設備、紅(hóng)外、藍牙、無線網絡設備）爲信息處理(lǐ)和傳輸提供極大(dà)便利的同時，也爲機(jī)密信息的擴散和洩露帶來(lái)了可(kě)能。尤其是USB接口的計(jì)算機(jī)周邊設備的豐富，使得(de)計(jì)算機(jī)與其他(tā)外部設備，如(rú)U盤，USB打印機(jī)等連接十分(fēn)方便，并能輕而易舉地通過USB設備将外部數據導入或者内部數據導出，爲重要數據的保護帶來(lái)了巨大(dà)的安全隐患。因此，對終端物理(lǐ)端口的控制是必不可(kě)少的。
7、移動存儲介質的管理(lǐ)
    移動存儲介質已經得(de)到普及應用，移動存儲介質使用靈活、方便，使它在各個單位的信息化過程中迅速得(de)到普及，越來(lái)越多的敏感信息、秘密數據和檔案資料被存貯在移動存儲介質裡(lǐ)，大(dà)量的秘密文件(jiàn)和資料變爲磁性介質、光(guāng)學介質，存貯在無保護的移動存儲介質中，這給醫院涉及設計(jì)、研發信息資源帶來(lái)相(xiàng)當大(dà)的安全隐患。存儲介質作(zuò)爲醫院核心商業機(jī)密和敏感信息的載體(tǐ)，實現對它們安全、有效的管理(lǐ)是保證醫院信息安全的重要手段。
8、網絡接入控制
    若不對接入網絡的計(jì)算機(jī)設備進行認證，則每一台外來(lái)的計(jì)算機(jī)設備隻要通過涉密網内的任何一個端口連接，則整個網絡都(dōu)将向其開放(fàng)，這顯然對于内部網絡安全而言是巨大(dà)的安全隐患。因此，需要對計(jì)算機(jī)終端的接入進行有效的監視和控制。通過提取接入計(jì)算機(jī)的物理(lǐ)特征，可(kě)以判斷該計(jì)算機(jī)是否爲醫院内網上授權接入的計(jì)算機(jī)，如(rú)果爲非授權計(jì)算機(jī)，則視爲非法主機(jī)。對非法主機(jī)需要采取必要的方式進行阻斷和隔離(lí)，從(cóng)而保證該計(jì)算機(jī)無法訪問(wèn)内網的相(xiàng)關資源。


解決方案
1、針對人(rén)員(yuán)非法接入的問(wèn)題
    對非授權用戶接入網絡需要身(shēn)份認證，在用戶身(shēn)份認證時，可(kě)綁定用戶接入IP、MAC、接入設備IP、端口等信息，進行強身(shēn)份認證，防止帳号盜用、限定帳号所使用的終端，确保接入用戶的身(shēn)份安全。對于安全狀态評估不合格的用戶，可(kě)以限制其訪問(wèn)權限，被隔離(lí)到神盾網絡隔離(lí)區，待危險終端到達安全級别後方可(kě)入網。可(kě)以限制接入網絡的用戶必須安裝、運行或禁止安裝、運行其中某些軟件(jiàn)。對于不符合安全策略的用戶可(kě)以記錄日(rì) 志、提醒或隔離(lí)。對于外來(lái)計(jì)算機(jī)由于業務需要接入内網或者訪問(wèn)Internet時，針對對方IP、MAC等端口做授信暫時放(fàng)行；可(kě)以限制用戶隻能在允許的時間和網絡IP段内（接入設備和端口）使用網絡。
2、針對由于業務網與互聯網物理(lǐ)隔離(lí)導緻的操作(zuò)系統補丁無法及時更新，安全漏洞無法及時解決等問(wèn)題：
    神盾基于補丁分(fēn)發管理(lǐ)功能，可(kě)自(zì)動實現終端主機(jī)的系統補丁更新。降低終端主機(jī)感染病毒的機(jī)會，增強安全性。
3、針對因醫院員(yuán)工(gōng)濫用移動存儲設備造成的信息洩露和病毒泛濫：
    神盾可(kě)在在線和離(lí)線的情況下，對終端主機(jī)硬件(jiàn)外設接口進行有選擇性的禁用管理(lǐ)；
4、針對内部人(rén)員(yuán)濫用P2P軟件(jiàn)，造成網絡帶寬被占用，工(gōng)作(zuò)效率下降的問(wèn)題：
    神盾基于程序黑(hēi)白(bái)名單等技術(shù)，對終端行爲進行約束，終端隻能運行被允許的特定應用程序。通過設定終端主機(jī)流量來(lái)控制終端主機(jī)的訪問(wèn)流量；
5、針對終端主機(jī)硬件(jiàn)信息統計(jì)困難的問(wèn)題：
    神盾可(kě)随時統計(jì)終端主機(jī)的硬件(jiàn)配置和軟件(jiàn)程序，并形成報表。
    由于醫院員(yuán)工(gōng)計(jì)算機(jī)知識欠缺，管理(lǐ)員(yuán)常需要到現場解決問(wèn)題，神盾基于遠(yuǎn)程協助技術(shù)，讓管理(lǐ)員(yuán)可(kě)遠(yuǎn)程對任意終端主機(jī)進行接管及操作(zuò)；
6、針對移動存儲介質的管理(lǐ)問(wèn)題
    神盾支持管理(lǐ)員(yuán)能夠集中對其所能夠使用的計(jì)算機(jī)範圍和用戶範圍進行設定，具體(tǐ)的接入控制可(kě)以細分(fēn)爲三種：
    A. 未授權用戶使用該介質，或者内部人(rén)員(yuán)在未授權的機(jī)器上使用該介質，系統将自(zì)動對其進行阻斷，防止涉密數據的流失；
    B. 隻有合法的用戶在合法的機(jī)器上接入，該移動存儲介質才能正常使用；
    C. 管理(lǐ)員(yuán)能夠方便對存儲介質進行挂失，一旦挂失，相(xiàng)關存儲介質也将無法接入内部網絡。