医院下属入网终端接入管理方案建议书

《医院下属入网终端接入管理方案建议书》由会员分享，可在线阅读，更多相关《医院下属入网终端接入管理方案建议书（25页珍藏版）》请在装配图网上搜索。

1、. . . . 医院下属入网终端接入管理方案建议书目 录项目概述4第一章 项目背景51.1安全动态与风险分析51.2安全法律法规61.3项目建设目标7第二章 技术方案92.1 技术设计的指导思想92.1.1 终端接入管理系统部署的目的92.1.2 终端接入管理系统解决方案设计原则92.2 技术设计方案112.2.1 方案概述112.2.2 高可靠性应急预案132.2.3 主要业务流程132.2.4 终端接入管理系统部署后的影响?14第三章 产品功能说明153.1 能够对人员和设备提供双实名认证153.2 能够提供来宾管理功能153.3 能够提供用户与设备的“人机对应”负责制153.4 多种杀毒

2、软件厂商支持，快速补丁扫描与修复163.5 提供有贵单位特色的安全检查规库173.6 能够对漏洞设备进行“一键式”智能修复173.7 能够基于人员角色进行动态授权173.8 提供无客户端agentless的准入部署模式183.9 能够提供实名制日志审计报表183.10 能够提供网络边界可视化管理183.11 能够提供与时的报警响应183.12 多个3000点以上的大规模部署案例183.13 终端接入管理系统主要功能与特点说明193.13.1 创新的安全策略引擎193.13.2 贴身的行业管理规193.13.3 全面的网络环境支持193.13.4 快速的系统实施部署203.13.5 智能的违规引

3、导修复203.13.6 丰富的管理要求规则20第四章 项目效果224.1 入网流程224.1.1 入网引导224.1.2 身份验证234.1.3 安全性评估与修复244.1.4 安全报表254.2 平台建设收益264.3 其他安全贴士274.4 总体安全效果图28项目概述医院（以下简称：）下属入网终端数目众多，信息化程度高，具有良好的基础网络架构。目前为适应单位部对于信息安全的要求，规IT 安全管理，特提出本次终端接入控制系统的建设目标。通过采用合适的技术手段对单位网络的入网终端进行统一管理，对网络接入、访问情况进行统一授权和管理，对外网用户的入网流程进行规，有效地避免各类违规事件的发生，提高

4、网络的整体维护效率和管理力度，符合相关信息安全管理规要求。为此，盈高科技特针对本次项目提出基于无客户端Agentless模式的国际领先的第三代准入技术架构Appliance-based技术解决方案。通过先进的第三代准入技术解决方案，盈高科技能够帮助XXXX医院实现如下的终端接入管理系统体系建设目标：防非法接入，并实现外网接入设备的授权、身份验证、安全规管理等一系列标准流程保证单位网络的安全性、可控性、统一管理性、稳定与可扩展性构建技术与管理相结合的全方位、多层次、可动态发展的网络安全规体系根据不同员工的身份细化不同的访问权限，以保证企业部网络的性第一章 项目背景近年来国际国网络安全事件频发，信

5、息资源在不同程度上存在着各种各样的安全风险。并且随着信息技术的迅速发展和网中有效安全机制的缺乏，部漏洞对重要资源造成的的威胁远远大于从外部穿越防火墙造成的入侵，而传统的防护技术如防火墙、IDS等均无法有效地进行防。2012年6月份附一医院存在着“统方”泄漏的隐患，非法人员利用部网络存在的漏洞将数据等带到医院外；此外在日常工作中也存在各种违规网络行为（如私自访问互联网、程序安装无法有效管理等），计算机主动抵御攻击能力弱（如系统补丁无法与时更新、部分机器漏装杀毒软件等），安全性低下的单台终端极易成为影响全网的威胁来源和跳板（如ARP病毒攻击），并且对分布广泛的各楼层接入计算机缺乏有效的远程维护与管

6、理手段，信息部门工作人员管理维护难度大，效率较低。1.1 安全动态与风险分析近年来各地有关“统方”数据的犯罪案件多有发生，利用部网络将“统方”信息带出并流入医药代表的行为依然较为普遍的存在。从2008年市人民医院惊爆“统方案”后，省多家医院就加强了对“统方”的管控力度，制定了相应的管理规定，并与相关人员签订了协议，但由于缺少对网络技术层面的管控，外部人员依然能够通过各种手段拿到医院的“统方”信息。“统方”数据泄漏网络技术层面分析：l 泄漏途径一：外来人员非法接入外来人员携带笔记本进入医院，通过访问部网络获取数据。l 泄漏途径二：PC桌面未设置屏保电脑未设置屏保，在工作人员暂时离开后，其他人员通

7、过操作电脑窃取数据。l 泄漏途径三：非法外联这种数据泄漏方式更是防不胜防。随着3G的日益普与，越来越多的人使用3G无线网卡接入网络，这也给医院的数据安全带来巨大的挑战。通过3G网络，可以轻易把获取到的部数据通过、网盘、 等方式泄漏出去。l 泄漏途径四：存在共享的文件夹数据存放在共享文件夹下，其他人员可以通过局域网获取文件夹文件。如果该共享文件夹包含部数据，将导致该数据泄密。l 泄漏途径五：网络越权访问网络间各个网段（安全域）之间未设置相应的访问权限，外来人员终端也能随意访问部数据，导致网络越权访问行为极易发生，为部数据泄漏提供便利温床。鉴于以上情况，由于XXXX医院信息化程度较高，终端点数较多

8、，对IT软硬件的资产管理与故障维护靠人工施行难度较大，且效率低下。同时员工存在对管理制度执行不到位的情况，迫切需要通过技术手段规员工入网行为。1.2 安全法律法规国家以与国外各权威机构对于网安全都很早就明确了准入控制相关的法律法规。信息安全等级保护管理办法等级保护中从技术和管理两个方面整体上规定了信息系统的安全保护等级。网安全的相关容包括：l 终端接入控制l 边界完整性检查l 主机身份鉴别l 网访问控制l 恶意代码防和系统安全管理等ISO 27001 信息安全管理体系ISO27001指出：信息安全是通过实现组合控制获得的，用以防止信息受到的各种威胁，确保业务连续性，使业务受到损害的风险减至最小

9、，使投资回报和业务机会最大。安全控制可以是策略、惯例、规程、组织结构和软件功能。 ISO27001中明确指出了接入网络的管理规和设备要求规。1.3 项目建设目标从各类相关安全动态与法律法规都中都集中体现出，在目前的系统应用过程中，确保网络的安全运行和使用环境规化相当重要，不仅要建立规的计算机管理规章制度和运行规程，制定综合的安全管理策略，更需要从技术手段上进行安全措施的落实，在安全事故发生之前就进行预防和治理，从而减少和杜绝来自外部人员或单位部的各类违规操作，真正有效、便捷地保障单位网络的安全可靠性。因此，建立起一套行之有效的可操控和集中管理的信息安全保障系统势在必行，从而能够对安全风险做到可

10、知、可控、可防。对于目前的网络环境而言，推荐采用网络准入控制NAC作为入网的安全保障平台，对设备、人员进行授权-安全评估-实时监测-智能管控的一体化管理体系，从接入与使用两个角度建设全网立体安全防护体系，真正做到对资源分配和网络安全的全面管理，全面提升网络性能与安全架构。第二章 技术方案2.1 技术设计的指导思想2.1.1 终端接入管理系统部署的目的现在XXXX医院的业务网是XXXX医院的核心业务运营平台，业务应用的多样性，特别是无线查房应用的出现，致使网络安全建设越来越重要，同时部网与部分外部单位用户均需要进行访问，为了避免因为终端自身问题带来的安全隐患，针对办公计算机的系统安全以与访问区域

11、管理显的尤为重要，如果出现安全管理漏洞，将会严重影响整体业务运行安全。为加强网络安全管理与加强部PC的安全管理，准备在XXXX医院建立终端接入管理系统，终端接入管理系统将重点解决以下问题： 入网终端登记注册认证化 违规终端不准入网 入网终端必合规 安全检查一目了然、智能化修复 根据用户身份指定不同的访问权限2.1.2 终端接入管理系统解决方案设计原则盈高科技认为有必要参考国际、国的安全管理经验，来设计XXXX医院办公网络的终端接入管理系统解决方案。BS7799作为英国政府颁发的一项信息系统安全管理规，目前已经成为全球公认的安全管理最佳实践，成为全国大型机构在设计、管理信息系统安全时的实践指南。

12、BS7799认为，设计信息安全系统时，必须掌握以下安全原则：n 相对安全原则 没有100%的信息安全，安全是相对的，在安全保护方面投入的资源是有限的 保护的目的是要使信息资产得以有效利用，不能为了保护而过度限制对信息资产的使用n 分级/分组保护原则 对信息系统分类，不同对象定义不同的安全级别 首先要保障安全级别高的对象n 全局性原则 解决安全问题不只是一个技术问题 要从组织、流程、管理上予以整体考虑、解决在设计XXXX医院办公网络的终端接入管理系统解决方案时，非常有必要参考BS7799中的有关重要安全原则。BS7799中，除了安全原则之外，给出了许多非常细致的安全管理指导规。在BS7799中有

13、一个非常有名的安全模型，称为PDCA安全模型。PDCA安全模型的核心思想是：信息系统的安全需不断变化的，要使得信息系统的安全能够满足业务需要，必须建立动态的“计划、设计和部署、监控评估、改进提高”管理方法，持续不断地改进信息系统的安全性。以下是PDCA安全模型。PDCA安全模型XXXX医院终端接入管理系统的建设也将是一个持续、动态、不断改进的过程，终端接入管理系统将为其提供统一的、集成化的平台和工具，融合检查、告警、修复等机制，帮助XXXX医院对其终端进行统一的安全控制、安全评估、安全审计与安全改进策略部署。XXXX医院终端接入管理系统解决方案的设计应坚持使用户网络安全防护具有先进性、实用性、

14、可靠性、兼容性、可扩充性和灵活性原则。2.2 技术设计方案2.2.1 方案概述经过前期与XXXX医院信息部门领导的交流、了解，在这里推荐采用两台INFOGO-ASM入网规管理系统方案来实现网准入建设，设备的部署建议采用旁路方式连接部署在路由器，并结合MVG虚拟网关（PBR策略路由）环境进行网络准入控制NAC,如下图所示：（此处按需求插入图片）XXXX医院终端接入管理部署示意图在基于MVG技术的准入平台下，ASM准入控制设备采用旁路方式连接到核心交换机，将接入层可网管交换机在ASM设备上进行注册，准入技术的关键视ASM设备与边界可网管交换机联动下实现的vlan切换功能，原理如下：1、 终端机器入

15、网访问网络，ASM比对终端信息和自身合格终端数据信息a) 终端信息在ASM合格终端数据信息中，则为合格终端，即可访问部网络；b) 终端信息未在ASM合格终端数据信息中，则为存在问题终端或新入网终端，ASM通过和交换机的联动将此终端所在端口vlan切换到隔离vlan（不可信vlan）中；此终端流量均定向到ASM设备；2、 ASM设备对新入网设备访问进行审核，非授权终端禁止接入3、 审核通过的设备将得到访问网络的授权，并遵循ASM策略进行认证安检流程；4、 终端设备进行身份认证、安全检查与修复，判断终端是否合格a) 未合格终端仍处在隔离vlan中，无法访问部资源b) 终端认证安检均符合要求，ASM

16、与交换机联动将交换机端口切换回正常vlan，获得部网络访问权限，终端按正常方式访问网络。通过准入控制系统解决方案的部署，可以将整个网络划分为三个不同的区：来宾访问区、隔离修复区和正常工作区（可根据实际情况作调整）。准入控制系统可以根据终端用户的身份、终端满足安全策略程度将终端设备自动划分到这三个区域中。终端在不同安全区域能够访问到的网络资源不同，比如：来宾访问区只能访问组织可以公开的网络资源，如有限资源或者出现WEB访问引导页面；隔离修复区一般限制只能访问安全修复服务器等资源；正常工作区是正常办公需要的所有网络资源，这个区域是大多数的安全区域。策略路由模式采用以下说明：（在基于PBR的准入平台

17、下，ASM准入控制设备采用旁路方式连接核心交换机，整体准入技术的关键是核心交换机上的数据引导，原理如下：1. 所有分支机构访问总部网络，流量都会重定向到ASM设备；2. ASM设备对入网设备的访问进行审核，非授权禁止接入；同时对网授权访问的设备连接数进行控制，从而实现流量控制的功能；3. 审核通过的设备将得到访问网络的授权，并遵循ASM指定的连接数访问外网，其流量得到有效管理；4. 从服务器区返回的下行流量不经过ASM设备，实现了下行完全旁路。PBR方案原理示意图ASM入网准入控制系统通过基于角色创建的多个不同的安全访问区域，并将用户角色与其对应的网络使用行为进行权限绑定，这样就可以在网中做好

18、区域访问布控。其次还将提供“来宾”选择访问模式，管理员可以事先配置来宾可以访问的资源，比如只能上互联网、收发等。这种基于应用控制来宾访问权限，既可以很好地满足业务需要，又可以很好地保护用户网资源。)将来要建设的系统必须提供统一、集成化融合管理平台。本项目建设的主要概述如下：n 方案要求具有高可靠性、良好的逃生方案；n 外来非法设备或者具有安全隐患的终端将被移送的隔离区，只有在管理员授权或安全隐患得到修复后才能接入企业办公网络；n 需要具有例外设备的处理能力，可以定义部分终端例外不受上网的控制，以便于对于一些特权用户或设备的灵活管理；n 检测到不安全状态的终端将限制其只能访问隔离修复区的网络资源

19、，直到修复完整后才能重新认证恢复使用；n 建立“人机对应”管理机制，可以快速定位全网当中任一台终端设备；n 确保全网终端都必须安装防病毒软件，建立一套安装并升级防病毒软件的机制；2.2.2 主要业务流程2.2.2.1 员工入网流程1. 员工输入任意网址，浏览器跳转到安全控件安装页面，利用友好的提示知道用户入网。2. 员工根据自己的实际信息，进行入网注册，方便管理员管理网用户。3. 如果开启入网审核，用户注册完成后，需要等待管理员审核通过才能正常使用网络。4. 用户输入分配好的用户名和密码。5. 认证通过后，ASM会根据定义好的入网规检查使用者的终端安全情况，如果存在安全隐患，ASM会提供智能化

20、的修复选项，终端修复后才能正常使用网络。2.2.2.2 来宾机器的处理流程1. 事先定义一批来宾，并且规定这些的访问权限；2. 如果是一台来宾的机器需要接入网络，用户联系管理员；3. 管理员会审核是否属于来宾，这个需要人工参与；4. 管理员将来宾的账号分配给用户；5. 用户通过输入来宾，机器接入网络；6. 此类中的的访问权限按事先定义好的规则，所以一定要做好此类的访问权限。2.2.2.3 长时期未上线的机器处理流程1. 系统定义长时期未上线需要清理机器的时间间隔；2. 系统自动查找并清理此类机器；3. 下次此类机器如果又再次需要入网时，按新机器接入流程处理；2.2.3 针对移动终端准入管理流程

21、XXXX医院新近增加了一套移动查房系统，利用移动终端设备和无线wifi网络的便利性，建立了一套灵活高效的移动查房管理体系，实现在医院无线局域网覆盖的任何地方，在手持PDA、iPad上实时查看核对病人的基本信息，并将病人的基本情况实时传送至服务器进行处理，大大推进了整个医院的数字化、信息化建设进程，提高了医院工作的工作效率。然而移动查房系统在其高效便利的前提下，由于无线局域网灵活接入的特点，只需要知道相关密码，即可方便接入网络，形成边界管理盲点，同时如何确认入网终端使用者的身份信息，也给医院网络信息安全建设带来不小的安全隐患本次盈高科技为XXXX医院终端入网管理建设提供了全面的解决方案，针对XX

22、XX采用移动查房技术的情况下，避免无线终端入网带来的安全隐患，采用终端指纹识别技术，实现对无线终端的识别管理，提高网络安全性，保证现有业务的正常运行，具体流程如下：1、 无线终端接入网络，ASM获取终端信息，通过终端指纹识别技术识别终端类型；a) 接入终端为无线笔记本终端，则按照2.2.2流程入网b) 接入终端为ios、android等移动设备，则按照以下流程入网2、 管理员核实入网移动终端信息后，利用ASM设备对入网移动终端访问进行审核，授权终端允许入网，并对其IP/MAC信息进行绑定，非授权禁止接入；3、 审核通过的终端进行身份认证，通过认证终端允许访问网络；为通过认证终端进入隔离区域，无

23、法访问部网络资源。2.2.4 终端接入管理系统部署后的影响?部署终端接入管理系统之后，可以定义后台所有的桌面电脑接入计算机网络之前，都必须经过如下认证：l 检查该电脑是否有合法的用户名密码，目前根据实际情况可以不采用系统缺省密码。l 检查该电脑是否单位合法终端（检查电脑的硬件ID），合法的电脑硬件ID保存在管理服务器的数据库中，支持新接入设备管理员审批功能。l 检查该电脑是否符合安全管理规定：例如操作系统补丁是否安装、防病毒软件是否安装等。这些管理规定产生的安全策略保存在管理服务器的数据库中。网络交换机将准备接入网络的电脑终端所上传的以上各种信息转发给联动控制器，由联动控制器再去查询数据库服务

24、器并将查询分析的结果返回给网络交换机。由于网络准入控制服务一旦发生故障，会导致电脑终端无法接入网络，因此必须保障网络准入控制的高度可靠。盈高科技提供的准入控制系统部署方案具有如下特征：l 和入网流程相关的设备和系统，不存在单点故障。即：单台服务器或者设备的暂时性故障，不会导致整个网络接入服务不可用；l 和准入控制系统相关的网络设备、服务器、数据库和软件故障，系统能够实现自动报警，向相关管理员发送手机短信息等；l 在特殊紧急情况下（例如：双机故障），网络管理员可以通过执行脚本的方式，快速将网络接入设置为“不设防”状态，使得所有电脑终端能够正常接入网络。通过以上手段，可以保障网络接入服务的高度可用

25、性。第三章 产品功能说明盈高入网规管理系统（英文简称：ASM）是基于国际第3代准入控制标准的纯硬件网络准入控制NAC产品，能够实现设备、人员双实名身份认证，支持友好WEB重定向引导、基于角色的动态授权访问控制、可配置的安全检查规库、“一键式”智能修复、实名日志审计等功能，满足等级保护对网络边界、终端防护的相应要求，其功能点如下：3.1 能够对人员和设备提供双实名认证ASM能够提供多样化的人员身份认证方式（如用户名密码、AD域、USB-KEY、认证、手机短信等），在保障接入网络人员合法性的同时还能够支持对设备的实名认证，保障接入网络终端设备的合法性，方便管理员对网络的统一管理。3.2 能够提供来

26、宾管理功能随着各项业务的开展，访客来往单位会十分的频繁，对来宾访客的安全规划和有效管理十分重要。ASM提供“我是来宾”选择访问模式，管理员可以事先配置来宾可以访问的资源，比如只能上互联网、收发等。并且来宾在不知道具体员工身份认证的方式，没有办法获取部员工的访问模式与权限，只能选择“来宾模式”。这样基于应用控制来宾访问权限，可以很好地解决既满足业务需要，又很好地保护好用户网资源。3.3 能够提供用户与设备的“人机对应”负责制ASM能够实现非常灵活的设备分组、分级分域管理，对所有设备建立责任人对应管理制度；这样将IP设备与用户ID建立对应关系，对日常管理、事中责任明确以与事后规行为审计等有十分重要

27、的意义。同时可以根据不同组别的资产，可以采取不同的安全检查规。3.4 多种杀毒软件厂商支持，快速补丁扫描与修复鉴于杀毒软件与系统补丁对于网安全的重要性，ASM全力支持检查主流的杀毒软件产品（包括、Mcafee、瑞星、卡巴斯基、金山等10种以上主流杀毒软件）；准入平台自身提供补丁服务器功能，能够保持与时与微软官方的补丁更新同步，并且提供补丁的分级管理（如严重、重要、中等）和分级修复，对终端进行补丁扫描的时间控制在8秒以，不影响单位员工的日常工作，能够对系统补丁进行自动修复。防病毒软件联动管理补丁安全管理3.5 提供有贵单位特色的安全检查规库ASM能够针对贵单位的具体网络情况提供个性化的规模版，包

28、含网安全所必须的补丁检查、杀毒软件检查、IP/MAC地址绑定检查等常规安全检查项，也需要包含了桌面客户端运行状态检查、域用户检查、必须/禁止安装软件检查等个性化安全检查项，还可以根据用户的实际需求进行扩充；并以此模版作为入网的安全检查规，帮助制度管理的真正落实。3.6 能够对漏洞设备进行“一键式”智能修复由于本单位接入终端数量多、配置差异大，人员计算机水平参差不齐，ASM提供对存在安全隐患的设备进行智能、快速的“一键式”修复功能，解决终端用户面对漏洞而无从下手导致不能与时恢复正常业务的问题，从而减少安全隐患修复的复杂性和专业性，同时也大大减少管理员的工作量。3.7 能够基于人员角色进行动态授权

29、ASM能够基于终端用户的角色分配网络访问权限，通过权限规用户的网络使用行为。可以事先做好安全管理规划，根据需要划分多个安全域，并且由管理员自定义配置安全域的ip地址段。这样就可以在网中做好区域访问布控。3.8 提供无客户端agentless的准入部署模式ASM基于无客户端agentless部署模式，这样可以充分防止客户端的兼容性和稳定性问题对于网络准入平台的不良影响，将整个平台的防单点故障能力提升一个等级。3.9 能够提供实名制日志审计报表平台可以收集接入设备的相关信息，对各检查项数据进行统计分析并提供报表便于查看，方便管理员能一目了然地掌控全网的安全状态。3.10 能够提供网络边界可视化管理

30、平台能够和网络边界可网管交换机联动，为管理员提供可视化的网络边界情况，如交换机端口使用情况、终端接入情况等，以与针对边界Hub、NAT设备的接入情况与报警，协助管理员与时掌握网络使用情况。3.11 能够提供与时的报警响应能够将新入网设备、待审核设备、统计报表与网络中的异常情况以、手机短信等形式与时报告给网络管理员，让管理员随时掌握网络边界安全动态。3.12 多个3000点以上的大规模部署案例ASM在多个行业拥有大量应用客户，其中有多家3000点以上的大规模复杂网络实现案例。ASM是国通过大规模部署考验的成功案例最多的平台，充分证明了其在准入领域的成熟度与可靠性。3.13 终端接入管理系统主要功

31、能与特点说明3.13.1 创新的安全策略引擎采用了获得国家科技部创新基金（编号09C）支持的“基于安全策略可配置引擎”作为安全检查的驱动引擎。在该引擎的基础上面进行安全检查规则库的不断更新和应用，来应对各种层出不穷的安全问题。众所周知安全问题是随着时间的变化而会不停的演变，如果没有一个好的安全检查引擎，不能做到随着安全问题的“应需而变”，那么所有的安全措施将最终无法适用环境的发展而无疾而终。盈高科技通过采用安全引擎和检查规则库结合的方法，通过对规则库的不断升级，使得ASM可以即时的跟进各种安全问题，分析各种安全问题，并最终解决企业的各种安全问题，使得企业可以真正做到一劳永逸的解决安全问题。3.

32、13.2 贴身的行业管理规每一个行业都具有本身的各种管理特性和管理要求，适合一个行业的管理规并不一定适合另外一个行业，为此盈高科技结合自身的行业用户实际使用情况，通过对同一行业用户的细致对比分析，并充分采用该行业的各种管理标准和管理规，为每一个行业用户都量身定做了一套适合其行业的管理规，方便行业用户的使用，减少用户制定各种管理规的时间和各种管理成本。行业用户可以根据本身所处的行业不同而选择不同的行业管理规，比如电力行业的用户就可以采用我们结合国家电网公司的各种信息安全管理制度而制定的电力行业入网管理规3.13.3 全面的网络环境支持针对国用户网络环境复杂的实际情况，盈高科技率先在国第一家推出综

33、合应用多种网络安全准入技术的ASM入网管理规系统。盈高ASM目前已经综合运用的网络准入技术有EoU，Portal，Mac Authentication，Virtual Gateway，VMPS，DNS Proxy，透明网桥，防火墙联动，UTM联动等多种技术手段。通过采用其中一种或者综合多种技术来支持企业的复杂网络环境，使得企业在部署ASM系统时候无需进行现有网络的改造或者现有网络的升级，避免了传统做法由于技术缺陷而要求进行网络改造所导致的各种网络问题，最大程度的减少了对企业现有网络的影响。3.13.4 快速的系统实施部署盈高ASM入网规系统采用dissolving agent技术，使得在进行系

34、统部署的时候无需在终端电脑上面安装任何客户端程序，即可对终端电脑的合规性进行安全检查。传统的准入控制产品都要求在终端电脑上面安装一个程序，这个在进行系统部署和实施的时候会给用户带来巨大的工作量，同时也会引起被管理员工的抵触情绪，导致项目实施周期的延长，不便于项目的实施。盈高科技采用无客户端的模式，就可进行各种管理要求的操作，减少了系统实施部署时间，做到上架即可运行。3.13.5 智能的违规引导修复在终端设备由于各种原因出现某些违规项目，导致安全隐患的时候，可以采用盈高ASM提供的“一键式”修复方式进行引导修复。对于最终用户，通过智能修复可以将电脑安全问题的复杂性进行屏蔽，减少用户进行问题修复的

35、工作量，避免用户在系统出现问题时候无所适从所导致的各种额外工作量。同时通过智能修复，可以修复终端的各种违规项目，使得终端的合规性得到保证。3.13.6 丰富的管理要求规则便于用户根据自身的管理要求进行动态的管理规则添加和删除。可以对以下的项目进行检查和修复，同时随着规则库的不断升级还会有更多的检查项加入： 杀毒软件检查 Guest来宾检查 系统共享资源检查 屏幕保护设置检查 弱口令检查 密码策略设置检查 系统时间检查 IP/MAC绑定检查 补丁检查 域用户检查 必须安装软件检查 磁盘使用检查 客户端运行状态检查 网络监听端口检查 禁止安装软件检查 系统服务检查 系统进程检查25 / 25第四章

36、 项目效果4.1 入网流程通过ASM所提供的网络准入控制功能，使得用户必须满足身份认证的要求，同时用户的终端设备必须达到一定的安全和策略条件，才可以通过网关设备接入到网络中并获得相应的访问权限。这样一方面验证了用户的身份，避免了非法用户接入到网络中，限定了用户的访问权限；另一方面也避免了存在安全隐患的终端系统的接入，可以大大消除蠕虫、病毒、系统漏洞等对网络系统以与承载的业务越来越严重的威胁和影响，从而帮助客户发现、预防和消除安全威胁。4.1.1 入网引导用户入网（包括VPN拨入用户）访问服务器应用时会被引导至ASM页面，可以选择来宾（默认可以访问外网，不能访问网）或员工（需要进行身份验证和安检

37、）身份进入网络：入网引导产品图4.1.2 身份验证正式员工：单位部的正式员工需要结合XXXX医院目前已有的身份系统（如、域、LDAP等）进行身份验证。正式员工身份认证产品图来宾设备：外来的访客在选择“我是来宾”后，需要经过管理员审核才能够进入网络审核提示产品图等待审核产品图4.1.3 安全性评估与修复评估身份验证成功后用户将在web页面进行安全扫描和检查，检查标准依据XXXX医院的网络管理规进行制定，包括检查入网设备的补丁安装情况、杀毒软件运行情况等。安检页产品图安检结果将在web页面以评分和检查项的方式显示给用户，检查后不符合要求的用户暂时只能处于网络中的修复隔离区。安检结果产品图修复ASM

38、可以对接入设备上存在问题的项目进行自动修复。自动修复产品图用户也可以根据web页面中的提示信息进行一键式智能修复或接受ASM的引导访问修复区进行修复。一键智能修复产品图4.1.4 安全报表用户可以通过自定义方式组合查询相应的安全认证、安全检查、隔离、修复等详细的日报、周报、月报等直观形象的安全报表。安全统计报表4.2 平台建设收益通过本次网络准入平台的系统建设，对单位部的网络架构将实现接入流程的规化和网安全的制度化，各部门人员入网均需要进行规：1、 验证身份u 本单位员工选择已有身份进行登录，从而设备与使用设备的入网人员进行人机对应的负责制；u 来宾访客选择来宾身份入网，可以访问来宾区域（一些

39、可以供外来人员使用的资源）。2、 安全监测u 正式员工的终端设备在入网时必须经过单位的网络规检查，包括监测计算机的软件使用情况（必须安装软件、禁止安装软件等），监测计算机的防病毒软件安装和运行情况，并确保病毒库与时更新；u 对不符合要求的终端设备能够进行智能自动修复，在修复完成后允许入网。3、 访问控制入网的员工将根据身份的角色（如归属部门、岗位等）被划分予相应的访问权限，从而接受网的访问管理，避免越权访问和涉密资源的非法操作。4.3 其他安全贴士 平台运行过程中，入网设备需要定期接受安全检查，从而落实单位的网络安全管理制度，对于安检情况会生成相应报表并进行汇报和审核。1、 定期安检为了保障网

40、络的稳定正常运行，将定期进行入网设备的安全检查，检查项将依据单位的网络安全管理制度给出。利用定期的安全性检查与评估能够获得全网的整体安全性视图，建立安全事故的事前预防机制，确保对重点设备进行与时有效的修复。2、 网络变动与异常通知平台将利用或短信定期向网络管理员通知新设备的入网情况、网络检查情况、设备违规情况与修复情况等，网络管理员通过平台信息获知网络的现状和变化。3、 形成网络安全报表并归档安全准入平台将综合身份识别、来宾控制、访问管理、网络规落实等一系列的网安全措施形成全网各个项目和条例的报表情况，通过导出为excel格式的文件形成本局的安全归档文件，方便随时参考与评定考核。4.4 总体安全效果图综上所述，本次的网络准入控制平台将实现以下的流程效果。入网采购中心资源全网定期安全检查评估是否设计部门资源管理中心资源。角色C角色B角色A权限分配合乎规定安全性检查有限访问区内部员工来宾访客身份识别全网安全视图落实管理制度