1、2023-1-12医疗行业统方问题解决方案Northv12医疗行业统方问题解决医疗行业统方问题解决方案方案Northv12医疗行业统方问题解决方案Northv12医院医院“统方统方”第一案第一案 海宁市人民医院信息科 主要负责电脑硬件、软件和网络等管理工作 从2004年开始每月向药品经销商沈某提供医院保密的统方资料 受贿14万多元王力医疗行业统方问题解决方案Northv12回扣门回扣门 2010年5月,宁波市第一医院部分医生受贿清单被曝光;2010年11月,杭州6家医院和一家名为“泰瑞医疗”的医药公司的回扣交易内容被曝光医院回扣清单曝光医疗行业统方问题解决方案Northv12卫生部:严禁医院为
2、商业目的卫生部:严禁医院为商业目的“统方统方”对于违反规定,未经批准擅自“统方”或者为商业目的“统方”的,不仅要对当事人从严处理,还要严肃追究医院有关领导和科室负责人的责任。卫生部:医疗行业统方问题解决方案Northv12“统方统方”途径途径来自万能的网友来自万能的网友医疗行业统方问题解决方案Northv12统方信息泄露途径统方信息泄露途径 医生工作站等终端进行非授权统计 药房等具备统计权限的用户被冒用 外来计算机通过黑客手段获取网络的用户信息 统方数据被传出计算机(打印、拷贝、邮件)外部人员私自通过查询数据库的方式进行统计医疗行业统方问题解决方案Northv12如何防范统方信息泄露如何防范统
3、方信息泄露 如何防止终端用户滥用这个信息(打印、拷贝、外发)如何控制其他人员入网使用这些信息 如何从系统和应用软件上规范用户权限管理(例如只有固定的用户有权做这种操作,他们的密码受控)如何追踪数据库操作确定发生的具体情况 如何将上述各项安全措施的日志做综合分析,以便不断改进监控策略医疗行业统方问题解决方案Northv12统方信息防泄漏关键点统方信息防泄漏关键点 客户端控制 服务器端控制 事后审计医疗行业统方问题解决方案Northv12安全建设建议流程安全建设建议流程 事后审计事后审计证明有效性并判定趋势证明有效性并判定趋势 查询报告查询报告收集记录收集记录关联分析关联分析加固安全状态防止问题发
4、生加固安全状态防止问题发生 Anti-malware Firewall HIPS App.Ctrl.Device CtrlLAN准入网关准入自我强制P2P控制DHCP准入桌面虚拟化应用程序虚拟化终端安全终端安全网络准入网络准入虚拟化虚拟化事先防范事先防范管理控制并解决问题管理控制并解决问题零日攻击违规操作入侵防护数据防泄密数据防泄密事中控制事中控制安全性防护安全性防护 监控 预防 发现 保护端点控制端点控制信息中心信息中心信息管理信息管理医疗行业统方问题解决方案Northv12防范统方信息泄露解决方案防范统方信息泄露解决方案终端控制终端权限控制(AD、Token、VeriSign)终端防护(S
5、EP)终端准入控制(SNAC)标准化集中控管(Altiris CMS)工作区虚拟化(SWC/R)数据中心控制服务器加固(SCSP)信息管理信息防泄露(DLP)安全管理及审计(SSIM)医疗行业统方问题解决方案Northv12终端控制终端控制医疗行业统方问题解决方案Northv12终端权限控制终端权限控制医疗行业统方问题解决方案Northv12为何终端权限控制为何终端权限控制 使用者私自修改IP地址 使用者私自安装软件,威胁到整个网络安全 使用者随意添加硬件 使用者随意关闭或卸载安全防护软件 使用者使用迅雷等下载工具,阻碍网络的正常工作。医疗行业统方问题解决方案Northv12如何进行终端权限限
6、制如何进行终端权限限制医疗行业统方问题解决方案Northv12终端防护终端防护医疗行业统方问题解决方案Northv12为何需要终端防护为何需要终端防护恶意程序恶意程序医疗行业统方问题解决方案Northv12医疗行业统方问题解决方案Northv12终端防护终端防护 Symantec 防病毒与先进的威胁防护技术结合起来 单一的解决方案提供终端安全防护 单代理、单控制台结果结果:降低了成本、复杂度,降低了成本、复杂度,减少了风险的暴露减少了风险的暴露 增强了保护、增强了保护、控制和管理性控制和管理性防病毒防病毒防间谍软件防间谍软件防火墙防火墙(主机主机)入侵防护入侵防护设备控制设备控制应用控制应用控
7、制(网络网络)入侵防护入侵防护医疗行业统方问题解决方案Northv12终端准入控制终端准入控制医疗行业统方问题解决方案Northv12避免避免 事后处理事后处理屏蔽屏蔽 不安全接入不安全接入规范规范 接入行为接入行为铲除铲除 威胁源头威胁源头医疗行业统方问题解决方案Northv12从纸面的管理口号到技术上的策略遵从从纸面的管理口号到技术上的策略遵从传统的方法传统的方法通告 红头文件邮件 电话通知管理 规章制度罚款 通报批评策略策略制定制定策略策略执行执行身份认证安全认证准许接入终端接入失败修复周期检查拒绝或隔离SymantecSymantec的方法的方法医疗行业统方问题解决方案Northv12
8、检测终端接入第2步Enforce针对策略检查配置的遵从性第3步Monitor持续监控,遵守当前的策略第5步Remediate基于策略检查的结果采取措施第4步定义策略第1步Discover医疗行业统方问题解决方案Northv12准入控制能干什么准入控制能干什么 谁可以进入服务器网 访问哪台服务器 访问什么端口(应用)桌面运行什么程序访问特定端口 不能获取什么数据医疗行业统方问题解决方案Northv12准入控制御“毒”于网络之外第 1 关外设控制监管所有I/O端口第 2 关双向防火墙监管所有网络通讯第 3 关NIPS 和 HIPS发现并阻止入侵行为第 4 关主动防御技术发现各种未知的安全风险第 5
9、 关传统实时防护检测并清除恶意程序第 6 关系统加固修补漏洞提高安全性第 7 关紧急事件响应迅速应对减少损失第 8 关医疗行业统方问题解决方案Northv12终端标准化集中管理终端标准化集中管理医疗行业统方问题解决方案Northv12乱资产资产合约部署部署配置配置补丁补丁软件软件升级帮助台帮助台分析分析监视监视事件问题问题变更发布远程维护远程维护报告备份恢复标识迁移服务等级医疗行业统方问题解决方案Northv12IT Life CycleManagement过渡和迁移远程帮助和故障排除监控和跟踪业务连续性保障补丁程序管理映像制作部署和配置应用程序打包和质量保证软件管理和虚拟化 报废 采购 准备
10、 生产 客户端查询和清单医疗行业统方问题解决方案Northv12支持不同种类的平台支持不同种类的平台资产管理客户端和移动用户管理 Network Network资产部署Network Network DevicesDevicesSite Site 监控 Windows Windows资产部署补丁管理软件分发打包工具应用软件管理远程控制Windows 网管服务器监控备份与修复 UNIX/Linux UNIX/Linux资产部署补丁管理2 2软件分发Windows 网管3 3服务器监控备份与修复2 2 Macintosh Macintosh资产补丁管理2 2软件分发2 2 Windows Wind
11、ows资产部署补丁管理软件分发打包工具应用软件管理远程控制Windows 网管个性化迁移应用测量备份与修复 Handheld Handheld资产部署软件分发2 2打包工具服务器管理资产应用软件固定资产条形码合同管理TCOTCO管理帮助台医疗行业统方问题解决方案Northv12工作区虚拟化工作区虚拟化医疗行业统方问题解决方案Northv12虚拟化虚拟化对于重要的业务和应用,建议通过虚拟化桌面或虚拟化应用程序来进行使用。所有应用计算都在后台服务器上进行,所有数据也存放在服务器上。隔离终端对关键业务和关键数据的访问,降低数据的使用风险解决应用由于权限不足的兼容性问题降低数据泄漏风险。建议通过Sym
12、antec SWC/R来实现医疗行业统方问题解决方案Northv12动态工作区管理动态工作区管理Presented Apps and/or DesktopsTask workersShared computeVirtual desktopsHigh securityDedicated computingVirtual PCsPower usersThin client accessRich Client PCProfessionalsHigh graphic applicationsSAN/StorageCommon storeSecure dataBacked upRich Client P
13、CMobile workersFrequently disconnectedTerminal ServerProfilesApplicationsDesktopHypervisorProfilesApplicationsDesktopPC BladeProfilesApplicationsDesktopDesktopProfilesApplicationsDesktopLaptopProfilesApplicationsDesktopStorageData(Profiles)HypervisorPC BladeDesktopLaptopTerminal ServerStorage硬件和基础架构
14、(混合架构)Citrixor Microsoftor Altiris,etc.VMwareor Microsoftor Sun,etc.Symantecor NetAppor EMC,etc.Altirisor Microsoftor Dell or HP,etc.Altirisor Microsoftor Dell,etc.Altirisor Microsoftor Dell,etc.一致的动态工作区自动的工作区控制用户设备位置Managed by:Workspace CorporateSymantec Endpoint Virtualization Suite桌面应用配置数据医疗行业统方问
15、题解决方案Northv12数据中心控制数据中心控制医疗行业统方问题解决方案Northv12服务器加固服务器加固医疗行业统方问题解决方案Northv12如何阻截已经射出的子弹?如何阻截已经射出的子弹?医疗行业统方问题解决方案Northv12Symantec Critical System Protection 维持系统的策略依从 加固系统 入侵检测 入侵防护 减少管理复杂程度 提升产品的管理能力 防止零日攻击 加固日志系统,日志转发,和日志监控 对无法立即安装补丁程序或锁定的系统提供防护 企业级的报表功能 通过简单,集中的策略创建管理系统降低企业用于资产保护的成本目的提供 怀有恶意的内部用户攻击
16、系统 未知攻击针对:内存 文件系统 注册表 操作系统 应用 终端用户违背企业安全策略预防医疗行业统方问题解决方案Northv12核心核心HIS、LIS服务器安全加固服务器安全加固医院HIS、LIS服务器安全极为重要,一旦HIS、LIS有安全风险,造成的后果不仅仅是数据丢失,而且会造成医院业务可用性故障。加固HIS、LIS等核心服务器的安全,避免服务器受到恶意内部或者外部人员的攻击。避免由于攻击行为而造成数据的泄露和服务器的停顿。1.考虑到医院内有很多的维护供应商,包括软件的和硬件以及业务维护人员。这些人员经常会进入到机房甚至操作服务器。这些人员无意思的操作风险或者有意识的渗透都会造成数据泄密和
17、服务器停顿的风险。需要监控 这些人员在服务器上的操作,并在他们执行危险操作时阻止他们医疗行业统方问题解决方案Northv12SCSP 关键系统多重防护功能关键系统多重防护功能NetworkProtection(Host IPS)ExploitPrevention(Host IPS)SystemControls(Host IPS)Auditing&Alerting(Host IDS)Symantec Critical System Protection 限制应用和操作系统的行为 阻止缓冲区溢出攻击 检测零日攻击 减少系统宕机时间 操作系统加固 监控日志和安全事件 归并并转发日志到SSIM平台 智
18、能事件响应 阻止后门 限制应用程序的网络连接 限制进出流量 主机防火墙功能 默认策略即可有效保护系统 锁定系统配置和设定 注册表保护 文件系统保护 强制遵从安全策略 限制用户的权限 限制移动存储设备医疗行业统方问题解决方案Northv12行为监控内容行为监控内容 未授权的系统配置更改 未授权的管理权限更改及滥用 用户登录、退出,和失败登录 操作命令和参数 重要文件未授权访问、更改 变更内容 注册表的更改(针对Windows平台)医疗行业统方问题解决方案Northv12信息控制信息控制医疗行业统方问题解决方案Northv12信息防泄露信息防泄露医疗行业统方问题解决方案Northv12信息泄露的状
19、况:产生信息泄露的状况:产生-传输传输-使用的全过程使用的全过程信息泄漏环境信息泄漏环境信息外发和活动监控信息外发和活动监控存储发现和信存储发现和信息整理息整理邮件外发、上网邮件外发、上网第三方第三方数据库数据库交流交流移动媒体移动媒体端点监控端点监控木马木马文件服务器文件服务器医疗行业统方问题解决方案Northv12信息防泄漏信息防泄漏从3方面来考虑信息泄露风险,保障企业核心信息安全由于统方信息大多情况是通过个人的终端传递出去,我们首先需要考虑的问题是,监测存放在终端上的医院敏感信息的复制、打印、刻录、邮件等行为,通过警讯提醒医务人员风险操作。并在需要的情况下实时阻止这些泄密行为考虑到医院内
20、部通过网络的通信途径比较多,在网络层监测信息使用者敏感信息传递过程协议监控,包括 email,web,IM,FTP,PTP等。避免通过网络将信息传递出去所有的统方数据都通过HIS服务器获得,通过DLP监控医务人员对于HIS服务器的数据查询,及时发现统方查询和数据获得情况。并建立事件及时报警和审计。建议通过Symnatec DLP 解决方案来达到目标医疗行业统方问题解决方案Northv12医疗行业信息防泄漏需求医疗行业信息防泄漏需求 针对HIS系统服务器上的数据查询分级审计进行数据泄密的监控 针对IT系统中所有导出的数据进行数据防泄密的监控 针对医疗一些关键性报表进行数据防泄密的监控 对以上监控
21、数据客户端要求阻断功能医疗行业统方问题解决方案Northv12DLP项目总体目标项目总体目标 通过DLP产品重塑企业内部审计流程,符合医疗行业 CFO、内审、IT基础架构对信息防泄漏体系的要求 通过医疗DLP项目提升医疗系统IT信息化建设信息安全等级,提升医院形象。通过医疗DLP项目,站在更高的角度上审视医疗行业信息安全,完善信息安全基础架构,为业务系统提供更安全的保障医疗行业统方问题解决方案Northv12以保护以保护“信息信息”为核心为核心 定义敏感信息 监视这些数据如何被使用 建立防泄漏的管理机制和流程 提升整个医院对信息安全管理的参与度 将信息安全管理上升到业务风险管理的高度把业务部门
22、引入安全管理的最佳“切入点”:识别风险监控审计监控信息泄漏风险管理解决方案控制CD/DVD笔记本电脑电子邮件及时消息数据库File 服务器USB 设备终端网络存储防泄漏 策略监控&预防发现&保护Web邮件Web/ftp 服务器由下属部门的主管组成负责制定战略方向,扩大覆盖范围,设定风险防范机制目标,监测标准。确保优先权正确,资源充足,业务单位正在进行数据监测。CISO,CIO应当带领指导委员会,推动业务部门参加数据指标的监控,对事件进行补救,并增减政策规定。统筹管理委员会风险管理部门IT部门业务部门 负责DLP系统的管理负责维护系统功能和性能,配置和管理策略、响应规则、用户、角色、工作流系统优
23、调和扩展,监测运行指标 负责部门内的事件管理一般风险由部门自己管理高危风险需上报总部风险管理部门定期提交所属部门风险统计数据 负责上报事件和统计数据的管理风险管理部门给出明确的风险等级定义明确哪个等级的事件必须上报管理上报事件,进行调查和取证定期按统计数据进行排名,排名结果记入KPI指标必要时,启动紧急响应流程。联系公关部门,外部法律机构减小或消除负面影响理念方案方法论结合实际的最佳实践医疗行业统方问题解决方案Northv12Symantec可以帮助您可以帮助您如何来防止数据泄漏?数据在网络中如何流动?敏感信息在什么位置?DATA LOSS PREVENTION(DLP)医疗行业统方问题解决方
24、案Northv12DLP工作原理工作原理管理管理管理管理发现发现 识别扫描目标 运行扫描以发现网络及端点上的敏感数据data启用或自定义策略模板补救并报告风险降低监控监控保护保护 检查发送的数据 外设检测 监控网络与端点事件 禁止、删除或加密 隔离或复制文件 外设控制 通知员工及其经理医疗行业统方问题解决方案Northv12文件密级划分(绝密、机密、秘密、公开)文件密级划分(绝密、机密、秘密、公开)医院内审需求通过IT信息防泄漏软件执行达到高层对信息安全的要求医疗行业统方问题解决方案Northv12报表识别报表识别(正则表达式方式识别正则表达式方式识别)统方统计表识别 序号s1,10科室编号s
25、1,10医生代码s1,10药物名称s1,10药物用量s1,10单价s1,10总价 通过对统方表格的识别,达到统方审计问题。医疗行业统方问题解决方案Northv12密级分类及控制方式密级分类及控制方式医疗行业统方问题解决方案Northv12泄密事件追溯泄密事件追溯医疗行业统方问题解决方案Northv12安全管理及审计安全管理及审计医疗行业统方问题解决方案Northv12安全管理和审计安全管理和审计诸多安全管理软件会产生大量的安全日志,如果不进行管理分析这些安全解决方案的作用 就被消弱。针对于可能发生的“统方”事件以及其他对医院影响较大的安全事件。必须能够及时发现、定位、报警以及事后审计。及时发现
26、“统方”事件和所有其他严重安全事件定位“统方”事件的发生源、时间、人员以及影响范围对于重要时间及时报警通知管理员采取措施所有安全事件可以被事后审计、分析、评估。并能够提供分析报表。医疗行业统方问题解决方案Northv12日志的引入日志的引入日志 IT系统的日志-入侵告警日志入侵告警日志病毒安全日志病毒安全日志网络链路日志网络链路日志用户活动日志用户活动日志系统性能记录系统性能记录业务相关日志业务相关日志。医疗行业统方问题解决方案Northv12日志带来的日志带来的IT价值价值 建立工业安全架构标准 获得ROI或者降低开支 为企业产生报表 IT操作过程控制遵从 网络设备安全接入 市场准入的法规遵
27、从 追踪可疑行动和用户活动 法律鉴定和关联 信息泄露防护医疗行业统方问题解决方案Northv12归纳总结归纳总结安全保障安全保障 追踪取证追踪取证 安全威胁分析和响应安全威胁分析和响应 策略调优策略调优ITIT运行运行 故障监控、防止蠕虫爆发故障监控、防止蠕虫爆发 服务水平提升服务水平提升 资源优化资源优化法规标准等合规要求法规标准等合规要求 COBIT ISO27002 SOX法案法案 等级保护等级保护医疗行业统方问题解决方案Northv12Symantec Security Information Manager Identified .threatsKnown vulnerabiliti
28、esBusiness-critical IT assetsRisk-based Prioritization Threat DeterminedFirewalls/VPNIntrusionDetectionSystemsVulnerabilityAssessmentNetworkEquipmentServer and Desktop OSAnti-VirusApplicationsDatabasesUser Activity MonitoringCritical file modificationsPolicy ChangesMalicious IPTraffic WebTraffic Ten
29、s of Millions:Raw Events Millions:Security Relevant Events Hundreds:Correlated Events医疗行业统方问题解决方案Northv12Symantec Security Information Manager Symantec Security Information Manager(SSIM)是安全信息和事件管理的的统一平台,他能帮助用户:收集并分类安全日志 识别并解决重大安全事件 满足在安全监控和日志存贮方面的审计和合规需求 衡量安全控制的有效性医疗行业统方问题解决方案Northv12业务安全业务安全-内部操作违规
30、内部操作违规口令猜测系统层面针对不同账号进行口令猜测系统层面针对同一个账号进行口令猜测时间违规用户系统层面非计划时间内变更审计用户网络层面非计划时间内变更审计来源违规面地址段登录生产和测试网段的网络设备桌面地址段登录生产和测试网段的网络设备并更改配置发现桌面地址段到生产和测试网段的成功访问行为访问路径违规绕过USP系统直接登录操作系统用户通过USP登录目标系统后二次跳转行为绕过网络运维平台登录网络设备并更改配置绕过网络运维平台在ACS的账号登录网络远程VPN用户接入后绕过USP登录主机远程VPN用户绕过网络运维平台登录网络设备更改配置重大影响性操作用户USP高危操作行为敏感对象操作用户USP敏
31、感操作行为内部操作违规医疗行业统方问题解决方案Northv12SSIM/Compliance医疗行业统方问题解决方案Northv12SSIM/Management医疗行业统方问题解决方案Northv12进程管理新增未知进程报告进程管理新增未知进程报告产品:SIM+SCSP应对:利用非法/恶意进程进行违规操作;及时发现攻击迹象医疗行业统方问题解决方案Northv12网络端口管理周期检查网络端口管理周期检查产品:SIM+SCSP应对:结合进程管理,及时发现攻击迹象医疗行业统方问题解决方案Northv12关键配置文件监控关键配置文件监控配置文件变更监控监控配置文件创建、修改、删除配置文件差异比对(内
32、容、owner、group、权限)增加内容删除内容产品:SIM+SCSP应对:及时发现更为隐蔽的恶意行为医疗行业统方问题解决方案Northv12总结总结医疗行业统方问题解决方案Northv12防范统方信息泄露解决方案防范统方信息泄露解决方案终端控制终端权限控制(AD、Token、VeriSign)终端防护(SEP)终端准入控制(SNAC)标准化集中控管(Altiris CMS)工作区虚拟化(SWC/R)数据中心控制服务器加固(SCSP)信息管理信息防泄露(DLP)安全管理及审计(SSIM)医疗行业统方问题解决方案Northv1267Symantec Proprietary&Confidenti
33、al-This information is not a commitment,promise or legal obligation to deliver any material,code or functionality 立体化从终端到服务器,从事前防范到事后审计实现安全和管理的有效结合终终端端系虚系虚拟拟化化应用程序虚拟化桌面虚拟化网网络络准入控制准入控制 Lan Enforcer GW Enforcer DHCP Enforcer P2P Enforcement数据数据丢丢失防失防护护 监控 预防 发现 保护Symantec解决方案总结总结终终端端保保护护 Anti-malware Firewall HIPS App.Ctrl.Device Ctrl服服务务器器安全加固安全加固零日攻击违规操作入侵防护安全安全审计审计 事件收集 关联分析及时报警事后审计医疗行业统方问题解决方案Northv12问题?2023-1-12医疗行业统方问题解决方案Northv12
