准入控制解决方案山东华软金盾软件股份有限公司二零一六年十月山东华软金盾软件股份有限公司医院行业解决方案目录一、行业背景.................................................2二、需求分析.................................................21.终端入网缺少身份认证..............................................................22.服务器的准入保护.....................................................................33.网络访问管理粗放.....................................................................34.终端远程维护...........................................................................3三、解决方案.................................................31.入网身份认证...........................................................................32.入网准入控制...........................................................................43.网络可访范围划域控制..............................................................44.全面运维管理...........................................................................5四、方案价值.................................................5http://www.neiwang.cn1/9山东华软金盾软件股份有限公司医院行业解决方案一、行业背景近年来,随着信息化网络的不断建设,各医院基本都已建立了完善的业务网络。随着信息化工作由基础建设转变为网络安全建设,信息安全工作逐渐受到各医院的广泛关注。如何保证医院网络资源的安全使用,如何保障项目资料的安全妥善保存,如何打造一个合法合规的高效、安全的网络使用环境,是对医院行业信息安全领域提出的新课题。随着信息化的不断发展,入网随意、各种文件发送手段层出不穷,医院网内突出的安全问题转变为网络随意接入拷贝数据有意或无意造成的泄密问题,如何有效解决数据泄密问题成为业内亟需解决问题。二、需求分析1.终端入网缺少身份认证现阶段大多数医院业务网络搭建已相对完善,各种业务服务器能够在网内高效稳定的运行,但是,网络的建设一直重视的是对业务系统的建设及外网黑http://www.neiwang.cn2/9山东华软金盾软件股份有限公司医院行业解决方案客的攻击防护,对于外来人员到达单位后随意插网线入网无认证的现状是普遍缺少针对措施的。在某些网络内,网络管理人员可能通过可网管交换机的MAC地址认证功能做了简单的网络入网认证,但是此种方式存在MAC地址易被冒用、入网后缺少后续的控制等是没有有效的控制方法的,医院网内亟需一套完善的准入控制、身份认证产品,不仅能对终端进行入网的身份认证,还须具备身份防冒用、入网后的持续监管控制等功能。2.服务器的准入保护医院网内的重要服务器缺少访问控制的保护功能,无法禁止外来人员私自接入后对服务器的非授权访问,无法保护网内核心的业务系统数据不被未经授权的访问。3.网络访问管理粗放网内的不同部门工作时操作的业务数据不同,特别是有些较敏感部门的数据其他部门整个工作流程中都是不需要访问的,例如财务服务器。现网内比较普遍的现象是,当一台服务器可以访问其业务服务器(例如财务数据)时,其http://www.neiwang.cn3/9山东华软金盾软件股份有限公司医院行业解决方案他的与其工作无关的其他部门的业务服务器(例如文件共享服务器)也是能访问的,这时,就存在业务数据服务器交叉访问带来的数据泄密风险。4.终端远程维护医院内部科室众多,人员众多,且分布在各个楼层间,特别是年龄较大的设计师对于计算机的接受能力较差,往往需要网络管理人员到终端电脑前进行实际操作,这是一项非常繁琐的工作。如何提高网络管理人员的运维效率,将管理人员从繁重的运维工作中解脱出来,是医院网络维护工作急需解决的问题。三、解决方案1.入网身份认证通过金盾CIS服务器的身份认证、准入控制功能,可以对入网终端的网络访问行为进行监视并过滤,禁止非法终端的服务器访问情况,只有身份认证通过的终端才能继续进行下一步的入网安全状态评测;身份认证时,为防止对合法终端的非法冒...
