随着整体信息化的不断发展,信息安全应该提到了医院规划议程中来,也受到了院各级领导的充分重视,现就最基础的边界安全防护和内网安全防护的角度,提出一个基础的安全解决方案。
一、医院的背景及需求:
1、内外网准入控制需求
医疗卫生行业单位大都有两个网络,用于医疗信息交换的业务网和与互联网相连的办公网。为保障业务网安全,这两个网络一般进行物理或逻辑隔离。但部分用户或外来人员为办理业务方便,经常需要接入两个网络,从而使“双网”隔而未离。医疗卫生行业客户需要一种有效的准入控制手段阻止终端接入两个网络的行为。
2、灵活的双因子身份鉴别需求
以医院为代表的医疗卫生行业客户工作轮班制,计算机也是多人轮流使用,而医生和护士访问权限不同,这种多人共用一机的现象容易造成非法入侵的漏洞。此外大多医疗卫生单位身份鉴别凭据为用户名密码,使用不便,记忆困难,易被盗取或破解,在出现责任事件时不能有效追查相关人员。医疗卫生行业单位需要一种安全可靠、使用灵活方便的身份凭据,该凭据不能被仿冒,也不需要记忆复杂的密码。
3、U盘等移动存储设备可控使用的需求
4、禁止非法连接互联网的需求
5、远程协助平台需求
6、打印审计及文件审计需求
二、解决方案
网御ISM-V医疗卫生行业终端安全解决方案以准入控制为基础,使用了准入控制模块、终端安全控制模块、桌面合规管理模块、移动存储管理模块、终端审计模块、增强身份认证模块,涵盖了终端管理领域的方方面面,是业界最完整的终端安全解决方案。网御认为,终端管理准入优先,网御ISM-V完善的准入控制可以确保终端安全体系的建立,结合其他五个功能模块,为医疗卫生行业客户建设一个安全可控的内网环境,提高法规遵从性。
三、方案设计拓扑图
四、方案效益
Ø 真正实现内网安全,明确网络的安全边界,强化终端的访问权限及安全策略,弥补现有网络安全缺陷;
Ø 加固了终端自身安全性,从而大量减少了病毒、木马等的入侵行为,减少了网络出现故障的几率;
Ø 通过对用户终端的实名管理,对终端硬件资产进行监控,对资产变动进行定位和告警,有效防止硬件资产的流失;
Ø 防止用户的私自非法外联行为,对用户的正常网络行为进行有效监管;
Ø 规范用户日常终端使用,提升工作效率;