1、医院信息安全管理整体解决方案医疗用户需要整体安全方案医疗用户需要整体安全方案 所有医院都已经有防病毒软件、防火墙、入侵检测等基本设施 安全事件仍然时有发生,特别在办公网内 整体安全状况无人能够描述 业务网同办公网隔离 高端用户开始部署全院覆盖的无线网络 以支持各种移动手持设备或工作站 作为有线网络的补充 业务网不再是密不透风了安全规划与建设思路的转变安全规划与建设思路的转变防护重点防护重点安全治理观念安全治理观念高效安全管理需求高效安全管理需求以边界、安全域为主的以边界、安全域为主的 “传统防护思路传统防护思路”被动的、防御型被动的、防御型 的技术手段的技术手段应对型的安全建设应对型的安全建设
2、 模式模式通过工具化、自动化的工具化、自动化的安安全全手段手段,应对不断扩张的IT资 产的管理,有效落实安全管 理要求逐渐转向针对:数据内容数据内容应用应用用户身份用户身份行为行为的安全防护。1.加强主动防御的合规管理合规管理工作工作。2.加强安全监监控控综综合分析合分析;3.通过安全指标为衡量手 段,推进安全治理、衡量 安全建设绩效。传统的思路和模式传统的思路和模式信息信息的安全的安全合规管理合规管理自动化高效的安全管理自动化高效的安全管理关键字关键字安全建设建议流程安全建设建议流程事后审计事后审计证明有效性并判定趋势证明有效性并判定趋势查询报告查询报告关联分析关联分析收集记录收集记录加固安
3、全状态防止问题发生加固安全状态防止问题发生 Anti-malware Firewall HIPS App.Ctrl.Device CtrlLAN准入 网关准入 自我强制P2P控制DHCP准入桌面虚拟化应用程 序虚拟 化终端安全终端安全网络准入网络准入虚拟化虚拟化事先防范事先防范管理控制并解决问题管理控制并解决问题零日攻击 违规操作 入侵防护数据防数据防泄密泄密事中控制事中控制安全性安全性防护防护 监控 预防 发现 保护端点控制端点控制信息中心信息中心信息管理信息管理终端控制终端控制终端安全建设的困境终端安全建设的困境 终端类型多样化 固定PC 移动PC 智能终端 终端用途多样化 公私混用(公用
4、/私用)多业务混用(办公/业务)终端环境多样化 操作系统(windows系列)硬件配置(CPU/Mem/外设)应用(QQ、MSN)策略设置管理复杂 安全性和易用性的权衡 防护产品的环境适应性 安全策略上的妥协 安全产品形同虚设安全产品不好用安全产品不好用 更换产品更换产品抱怨终端用户抱怨终端用户默认终端现状默认终端现状终端环境:终端环境:建设困境建设困境结果结果终端建设历程分析终端建设历程分析病毒防病毒产品企业的终端安全管理防病毒产品五 花八门,防毒 水平参差不齐企业统一防病毒体系全面终端安全防护终端感染病毒的 渠道越来越多,带来其他的威胁防护软件删了怎么办?外来终端怎么办?大量终端1个管 理
5、员怎么管?统一化管理要求、考核要求、运维 要求配套解决病毒转向解 决人的问题减少感染机会解决管理策略问题管理力度问题运维自动化问题技术与管理配合问题为何终端权限控制为何终端权限控制 使用者私自修改IP地址 使用者私自安装软件,威胁到整个网络安全 使用者随意添加硬件 使用者随意关闭或卸载安全防护软件 使用者使用迅雷等下载工具,阻碍网络的正常工作。如何进行终端权限限制如何进行终端权限限制10为何需要终端防护为何需要终端防护防病毒防病毒/防间谍软件防间谍软件入侵防护入侵防护(主机主机)防火墙防火墙设备控制设备控制主侵防护主侵防护(网络网络)应用程序控制应用程序控制终端防护终端防护降低了成本、复杂度,
6、降低了成本、复杂度,减少了风险的暴露减少了风险的暴露增强了保护、增强了保护、控制和管理性控制和管理性防间谍防间谍软件软件防病毒防病毒防火墙防火墙 XX防病毒与先进的威胁防护技术结合起来 单一的解决方案提供终端安全防护 单代理、单控制台结果结果:(主机主机)入侵防护入侵防护设备控制设备控制应用控制应用控制(网络网络)入侵防护入侵防护避避免免 事后处理事后处理屏屏蔽蔽 不安全接入不安全接入规规范范 接入行为接入行为铲铲除除 威胁源头威胁源头从纸面的管理口号到技术上的从纸面的管理口号到技术上的策策略遵从略遵从传传统统的方法的方法罚 款管 理邮 件通 告通 报 批 评规 章 制 度电 话 通 知红 头
7、 文 件策略策略 制定制定策略策略 执行执行安全认证安全认证准许接入准许接入身份认证身份认证终端接入终端接入失败失败修复修复周期检查周期检查拒绝或隔离拒绝或隔离SymantecSymantec的方法的方法检测终端接入检测终端接入第第2步步第第3步步针对策略检查配置的遵针对策略检查配置的遵从从性性持续监控,遵守当前的持续监控,遵守当前的策策略略第第5步步基于策略检查的结果采基于策略检查的结果采取取措施措施第第4步步定义策略定义策略第第1步步准入控制能干什么准入控制能干什么谁可以进入服务器网访问哪台服务器访问什么端口(应用)桌面运行什么程序访问特定端口不能获取什么数据19准入控制准入控制御“毒”于
8、网络之外第 1 关外设控制外设控制监管所有I/O端口第 2 关双向防火墙双向防火墙监管所有网络通讯第 3 关NIPS 和和 HIPS发现并阻止入侵行为第 4 关主动防御技术主动防御技术发现各种未知的安全风险第 5 关传统实时防护传统实时防护检测并清除恶意程序第 6 关系统加固系统加固修补漏洞提高安全性第 7 关紧急事件响应紧急事件响应迅速应对减少损失第 8 关资产资产合约配置配置补丁补丁升级软件软件备份标识迁移部署部署事件问题问题变更发布帮助台帮助台服务等级恢复分析分析远程维远程维护护监视监视报告IT Life CycleManagement过渡和过渡和 迁移迁移远程帮助远程帮助和故障排除和故
9、障排除监控监控 和跟踪和跟踪业务业务连续性保障连续性保障补丁程序补丁程序管理管理映像制作映像制作 部署和配置部署和配置应用程序应用程序打包和质量保证打包和质量保证软件管理软件管理 和虚拟化和虚拟化客户端客户端 查询和查询和 清单清单支持不同种类的平台支持不同种类的平台资产管理资产管理客户端和移动用户管理客户端和移动用户管理NetworkNetwork资产部署NetworkNetworkDevicesDevicesSiteSite 监控WindowsWindows资产部署补丁管理软件分发 打包工具应用软件管理 远程控制Windows 网管 服务器监控 备份与修复UNIX/LinuxUNIX/Li
10、nux资产 部署补丁管理2 2软件分发Windows 网管3 3 服务器监控 备份与修复2 2MacintoshMacintosh资产补丁管理2 2软件分发2 2远程控制Windows 网管个性化迁移应用测量备份与修复WindowsWindowsHandheldHandheld资产资产部署部署补丁管理软件分发软件分发2 2打包工具打包工具 应用软件管理服务器管理服务器管理资产资产应用软件应用软件固定资产固定资产条形码条形码合同管理合同管理TCOTCO管理管理帮助台帮助台数据中心控制数据中心控制如何阻截已经射出的子弹?如何阻截已经射出的子弹?XXCritical System Protectio
11、n 维持系统的策略依从 加固系统 入侵检测 入侵防护 减少管理复杂程度 提升产品的管理能力 防止零日攻击 加固日志系统,日志转发,和日志监控 对无法立即安装补丁程序或锁 定的系统提供防护 企业级的报表功能 通过简单,集中的策略创建管 理系统降低企业用于资产保护 的成本目的提供 怀有恶意的内部用户攻击系 统 未知攻击针对:内存 文件系统 注册表 操作系统 应用 终端用户违背企业安全策略预防核心核心HIS、LIS服务器安全加固服务器安全加固医院HIS、LIS服务器安全极为重要,一旦HIS、LIS有安全风险,造成的后果不仅仅是数据丢失,而且会造成医院业务可用性 故障。1.加固HIS、LIS等核心服务
12、器的安全,避免服务器受到恶意 内部或者外部人员的攻击。避免由于攻击行为而造成数据 的泄露和服务器的停顿。2.考虑到医院内有很多的维护供应商,包括软件的和硬件以 及业务维护人员。这些人员经常会进入到机房甚至操作服 务器。这些人员无意思的操作风险或者有意识的渗透都会 造成数据泄密和服务器停顿的风险。需要监控 这些人员在 服务器上的操作,并在他们执行危险操作时阻止他们SCSP 关键系统多重防护功能关键系统多重防护功能Network Protection(Host IPS)Exploit Prevention(Host IPS)System Controls(Host IPS)Auditing&Ale
13、rting(Host IDS)XXCritical System Protection 限制应用和操作系统的 行为 阻止缓冲区溢出攻击 检测零日攻击 减少系统宕机时间 操作系统加固 监控日志和安全事件 归并并转发日志到SSIM平台 智能事件响应 阻止后门 限制应用程序的网络连 接 限制进出流量 主机防火墙功能 默认策略即可有效保护系统 锁定系统配置和设定 注册表保护 文件系统保护 强制遵从安全策略 限制用户的权限 限制移动存储设备行为监控内容行为监控内容 未授权的系统配置更改 未授权的管理权限更改及滥用 用户登录、退出,和失败登录 操作命令和参数 重要文件未授权访问、更改 变更内容 注册表的更
14、改(针对Windows平台)31信息控制信息控制32信息泄露的状况:产信息泄露的状况:产生生-传传输输-使使用用的全的全过过程程信息泄漏环境信息泄漏环境信息外发和活动监控信息外发和活动监控存储发现和信存储发现和信 息整理息整理第三第三方方邮件外发、上网邮件外发、上网移动媒体移动媒体端点监控端点监控木木马马交流交流数据数据库库文件服务器文件服务器信息防泄漏信息防泄漏从3方面来考虑信息泄露风险,保障企业核心信息安全1.由于统方信息大多情况是通过个人的终端传递出去,我们首先 需要考虑的问题是,监测存放在终端上的医院敏感信息的复制、打印、刻录、邮件等行为,通过警讯提醒医务人员风险操作。并在需要的情况下
15、实时阻止这些泄密行为2.考虑到医院内部通过网络的通信途径比较多,在网络层监测信息使用者敏感信息传递过程协议监控,包括 email,web,IM,FTP,PTP等。避免通过网络将信息传递出去3.所有的统方数据都通过HIS服务器获得,通过DLP监控医务人员 对于HIS服务器的数据查询,及时发现统方查询和数据获得情况。并建立事件及时报警和审计。建议通过Symnatec DLP 解决方案来达到目标35医院医院信息防泄漏需求信息防泄漏需求 针对HIS系统服务器上的数据查询分级审计进行数据泄密的 监控 针对IT系统中所有导出的数据进行数据防泄密的监控 针对一些关键性excel报表进行数据防泄密的监控 对以
16、上监控数据客户端要求阻断功能36DLP项目总体目标项目总体目标 通过DLP产品重塑企业内部审计流程,符合医院 CFO、内审、IT基础架构对信息防泄漏体系的要求 通过医疗DLP项目提升医疗系统IT信息化建设信息安全等级,提升企业形象。通过医疗DLP项目,站在更高的角度上审视医院信息安 全,完善信息安全基础架构,为业务系统提供更安全的保障37以保护以保护“信息信息”为核心为核心最佳实践最佳实践 定义敏感信息 监视这些数据如何被使用 建立防泄漏的管理机制和流程 提升整个企业对信息安全管理的参 与度 将信息安全管理上升到业务风险管 理的高度把业务部门引入安全管理把业务部门引入安全管理的的 最佳最佳“切
17、入点切入点”:信息泄漏信息泄漏 风险管理风险管理 解决方案解决方案电子 邮件USB设备笔 记 本电 脑File 服务 器防泄漏 策略监控&预防 发现&保护Web邮 件及时 消息Web/ftp数据库服务器由下属部门的主管组成负责制定战略方向,扩大覆盖范围,设定风险防范机制目标,监测标准。确保优先权正确,资源充足,业务单位正在进行数据监测。CISO,CIO应当带领指导委员会,推动业务部门参加数据指标的监控,对事件 进行补救,并增减政策规定。统筹管理委员会统筹管理委员会风险管理部风险管理部 门门IT部门部门业务部业务部 门门负责DLP系统的 管理负责维护系统功 能和性能,配置和 管理策略、响应规 则
18、、用户、角色、工作流系统优调和扩展,监测运行指标负责部门内的事 件管理一般风险由部门自己 管理高危风险需上报总部 风险管理部门定期提交所属部门风 险统计数据负责上报事件和统计数据 的管理风险管理部门给出明确的风险等 级定义明确哪个等级的事件必须上报管理上报事件,进行调查和取证定期按统计数据进行排名,排名 结果记入KPI指标必要时,启动紧急响应流程。联 系公关部门,外部法律机构减小或消除负面影响理念方案CD/DVD方法论结合实际的最佳实践Symantec可以帮助可以帮助您您如何来防止数据泄漏?发现发现监控监控阻止阻止数据在网络中如何流动?敏感信息在什么位置?DATA LOSS PREVENTIO
19、N(DLP)DLP工作原理工作原理Presentation Identifier Goes Here40管理管理发现发现 识别扫描目标 运行扫描以发现网络及端点 上的敏感数据启用或自定义策略模板补救并报告风险降低监控监控123保护保护45 检查发送的数据 外设检测 监控网络与端点事件 禁止、删除或加密 隔离或复制文件 外设控制 通知员工及其经理DLP可完成的工作可完成的工作CD/DVDLaptopsEmailInstant MessageFTPSharePoint/Lotus Notes/ExchangeDatabasesFile ServersU盘盘DLP PolicyMonitoring&
20、PreventionDiscovery&ProtectionWebmailWeb servers本地本地硬硬盘盘Outlook Lotus打印打印/传传真真HTTP/SExcel 表格识别表格识别(正则表达式方式正则表达式方式识别识别)统方统计表识别 序号s1,10科室编号s1,10医生代码s1,10药物名称s1,10药物用量s1,10单价s1,10总价 通过对统方表格的识别,达到统方审计问题。43泄密事件追泄密事件追溯溯44安全管理和审计安全管理和审计诸多安全管理软件会产生大量的安全日志,如果不进行管理 分析这些安全解决方案的作用 就被消弱。针对于可能发生的 “统方”事件以及其他对医院影响较
21、大的安全事件。必须能 够及时发现、定位、报警以及事后审计。1.及时发现“统方”事件和所有其他严重安全事件2.定位“统方”事件的发生源、时间、人员以及影响范围3.对于重要时间及时报警通知管理员采取措施4.所有安全事件可以被事后审计、分析、评估。并能够提供 分析报表。日志的引入日志的引入 日志 原始凭证、记账凭证:记 录我们出差的整个过程。做到有 证可查。审计功能 IT系统的日志-记录IT活动的过 程和状态。Vontu ServerSNAC 6100LAN Enforce MasterSNAC 610LAN Enforce S0laveInside PC接入层交换机核心交换firewall接入层交
22、换机核心交换SNAC6100Gateway Enforce公网SSIM9630SSIM9650Altiris ServerOutSide PCSEPMBE DLO/BESR入侵告警日志入侵告警日志 病毒安全日志病毒安全日志 网络链路日志网络链路日志 用户活动日志用户活动日志 系统性能记录系统性能记录 业务相关日志业务相关日志。日志带来的日志带来的IT价值价值 建立工业安全架构标准 获得ROI或者降低开支 为企业产生报表 IT操作过程控制遵从 网络设备安全接入 市场准入的法规遵从 追踪可疑行动和用户活动 法律鉴定和关联 信息泄露防护归纳总结归纳总结安全保障安全保障 追踪取证追踪取证 安全威安全威
23、胁分析和响应胁分析和响应 策略调优策略调优ITIT运行运行 故障监故障监控、防止蠕虫爆发控、防止蠕虫爆发 服务水服务水平提升平提升 资源优化资源优化法规标准等合规要求法规标准等合规要求 SOX法案法案 等级保护等级保护 COBIT ISO27002XXSecurity Information Manager50IdentifiedthreatsKnown vulnerabilitiesBusiness-critical IT assetsRisk-based PrioritizationThreat DeterminedFirewalls/VPNIntrusionDetection Syste
24、msVulnerability AssessmentNetwork EquipmentServer and Desktop OSAnti-VirusApplicationsDatabasesUser Activity MonitoringCritical file modificationsPolicy ChangesMalicious IP TrafficWeb TrafficTens of Millions:Raw EventsMillions:Security Relevant EventsHundreds:Correlated Events业务安全业务安全-内部操作违规内部操作违规口令
25、猜测系统层面针对不同账号进行口令猜测系统层面针对同一个账号进行口令猜测时间违规用户系统层面非计划时间内变更审计用户网络层面非计划时间内变更审计来源违规面地址段登录生产和测试网段的网络设备桌面地址段登录生产和测试网段的网络设备并更改配置发现桌面地址段到生产和测试网段的成功访问行为访问路径违规绕过USP系统直接登录操作系统用户通过USP登录目标系统后二次跳转行为绕过网络运维平台登录网络设备并更改配置绕过网络运维平台在ACS的账号登录网络远程VPN用户接入后绕过USP登录主机远程VPN用户绕过网络运维平台登录网络设备更改配置重大影响性操作用户USP高危操作行为敏感对象操作用户USP敏感操作行为内部操
26、作违规53SSIM/Compliance54SSIM/Management进程管理新增未知进程报告进程管理新增未知进程报告55产品:SIM+SCSP应对:利用非法/恶意进程进行违规操作;及时发现攻击迹象网络端口管理周期检查网络端口管理周期检查产品:SIM+SCSP应对:结合进程管理,及时发现攻击迹象关键配置文件监控关键配置文件监控配置文件变更监控监控配置文件创建、修改、删除配置文件差异比对(内容、owner、group、权限)增加内容 删除内容产品:SIM+SCSP应对:及时发现更为隐蔽的恶意行为总结总结权限权限控制控制终端终端防护防护虚拟化虚拟化防泄露防泄露加固加固准入准入控制控制集中集中控管控管安全安全审计审计59立体化从终端到服务器,从事前防范到事后审计实现安全和管理的有效结合终终端端 系虚系虚拟拟化化应用程序虚拟化桌面虚拟化网网络络 准入准入控制控制 Lan Enforcer GW EnforcerDHCP EnforcerP2P Enforcement数据数据丢丢失失防防护护 监控 预防 发现 保护 解决方案总结总结终终端端保保护护 Anti-malware Firewall HIPS App.Ctrl.Device Ctrl服服务务器器安全安全加固加固零日攻击违规操作入侵防护安全安全审计审计 事件收集 关联分析及时报警事后审计谢谢!谢谢!
