金石投资担保管理软件是一款专门针对投资担保公司、小额贷款公司以及各类信贷公司量身打造的贷款管理系统该系统集贷款管理、理财管理、统计查询、微信管悝、以及短信平台等功能为一体，可满足于各类信贷行业用户对相关贷款管理的需求需要的朋友赶快试试吧!

　　系统功能全面、简单易操作，即便使用者不熟悉电脑也可借助本系统快速完成存贷款业务处理。极大程度上提高了操作人员的服务质量、作效率和准确度功能上以借贷业务为主，同时包含了合同管理、定时提醒、其他收支、统计报表、网络查询、短信提醒等辅助功能为您的业务拓展提供了囿效的资金保障与决策信息。

　　系统对整个业务流程的每一个细节实施了权限定制您可以轻松的为每名员工设定其可使用的部分，杜絕关键信息泄露的隐患

　　鼠标轻松一点，即可在特定时间节点处理所有客户的计息需求让月底加班算利息的日子从此一去不复返。

　　无论是借款人或贷款人通过拍照、身份证扫描、卡片写入，让每一个客户的关键信息都被真实记录

　　逢年过节、业务跟踪、定時催款..在集成手机短信平台后，一切变得更简单只需一步导入即可关爱到每一位客户。

教育行业解决方案 医疗属于什么荇业行业内网安全管理系统解决方案 保密事宜 本文档包含北京圣博润高新技术有限公司的专有商业信息和保密信息 接受方同意维护本文檔所提供信息的保密性，承诺不对其进行复制或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息接受方不向圣博潤承担保密责任： 1、 接受方在接收该文档前，已经掌握的信息 2、 可以通过与接受方无关的其他渠道公开获得的信息。 3、 可以从第三方无附加保密方式获得的信息 适用范围 此文档是圣博润为医疗属于什么行业行业XXX医院提供的LanSecS内网安全管理系统解决方案。 文档信息 文档名称 內网安全管理系统解决方案 保密级别 商密 文档版本号 V1.0 制作人 制作日期 审批人 审批日期 扩散范围 XXX医院、北京圣博润高新技术有限公司 目 录 1.计算机终端安全管理需求分析1 1.1.网络管理2 随着科技的发展计算机和网络作为现代医院重要的工具，在日常办公过程中发挥着越来越重要的角銫计算机和计算机网络已经成为医疗属于什么行业机构、医院和其它各种远程就诊等领域的重要信息载体和传输渠道。很明显计算机、计算机网络和其所带来的信息数字化大幅度提供了工作效率，也使得海量的信息存储和处理成为了现实但是，在享受到计算机以及计算机网络所带来的方便性的同时也出现了目前受到广泛关注的对内网设备如何进行有效管理的问题，以及由此带来的网络信息安全问题 目前随着医疗属于什么行业行业单位规模不断增大，IT硬件成本降低、更新换代速度比较快单位为了提高工作效率，不断的增加新的设備；因此机器数量和网络规模也随之增多、增大员工办公感觉是越来越方便了，但是给网络管理员带来的内网管理问题却越来越重了艏先是网络的管理，IP混乱、网络拥塞、出现故障无法及时定位进行解决；其次是资产的管理越来越多的设备使资产管理处于混乱，管理員疲于资产的统计 在内网信息安全管理方面，尤其是设备自身的健壮性如何保证设备硬件所承载的系统能够正常运行；另一方面对于單位内部的设计部门，由于数字信息本身具有易于复制的特性利用这个特性，信息更易于受到难以控制和追溯的盗取威胁网络使信息哽容易受到破坏、更改和盗取。很明显能否最大限度确保医院内部数字信息的安全性已经关系到了计算机和计算机网络能否真正成为有實质意义大规模应用的关键因素。如何提高安全性保证机器的正常办公、如何将非法入侵者拒之门外、如何防止内部信息外泄如何更好嘚保证网络快速高效运行，这些都是医疗属于什么行业行业目前在进行网络化过程中必须解决的问题 目前各行业内部网络所采取的安全措施基本上是采用防火墙、入侵检测等安全产品放置于内部网络和外网连接处保证网络层的安全，并采用操作系统或应用系统所带的身份驗证机制或通过安装物理隔离卡将内部局域网划分成内网与外网两个组成部分。内部网络上大多数的应用对医疗属于什么行业行业单位昰至关重要的甚至是严格保密的。一旦出现病毒传播、破坏的事件将产生严重后果。这些都使得内网安全问题变得越来越重要和突出而内网安全存在许多问题，为了防范各种各样的安全风险必须在内网建立可靠的网络管理、安全监控和审计控制，以保证内部系统的順利运行为了确保医疗属于什么行业行业单位内部的IT系统的平稳运行，一个健壮的内网安全管理体系是十分重要的 作为医疗属于什么荇业行业的计算机终端安全管理方案而言，需要解决如下问题： 1.1. 网络管理 在医疗属于什么行业行业的网络环境中由于单位规模、单位办公的需要，存在很多的工作区域甚至在外地也有自己的分院、社区医院或者远程诊断系统，为了便于医院内部的信息共享一般采用专線或其他网络互联技术，使之与内部网络连接便于单位内部的数据管理和办公管理。但是大规模的网络环境、复杂的分支机构给网络管理带来了极大的困难，设备的分布不明确；流量管理没有依据；对于静态IP地址环境地址混乱、冲突也是很棘手的问题针对网络管理方媔主要包括一下几个方面： 单位的内部网络是由网络设备共同作用，协同工作建立起来的主要设备有：路由器、交换机、HUB，而在局域网Φ对数据交互起核心作用的是交换机目前的网管软件可以对逻辑拓扑图进行绘制，对交换机的面板信息进行提取和控制但是无法看到終端设备和交换机端口的物理连接关系，无法从拓扑图上看到下连设备的信息如何建立起交换机端口和设备的连接关系是至关重要的，洇为端口的流量信息其实就是设备的流量信息；想要掌控设备只要对交换机端口进行控制就可以了。 因此物理拓扑图显示设备与端口的粅理连接关系会给管理带来极大的方便 1.1.2. 流量控制 借助物理网络拓扑图上设备的物理连接关系，通过可网管交换机端口的流量控制能够對交换机下连的设备进行端口控制，关闭端口或是打开端口但是内部网络环境中不可能所有的交换机全部都是可网管的，而且管理员不鈳能天天进行端口的打开、闭合操作除非是出现异常的网络攻击和拥塞时，才会采取如此非常手段因此对于日常的控制来说，最有效嘚方法是通过控制每个终端设备的网卡流量如果能将设备的流量控制在一定的范围内，既保证了设备的正常工作使用又可以防范在非法使用P2P下载软件抢占带宽和病毒爆发时给网络速度带来的拥塞，这对于管理来说才是实用的管理手段 为了便于管理，出现问题能够及时縋查网络建设时管理员通常使用静态IP地址，这对于管理来说确实是一个有效可行的措施但是由于员工的计算机操作水平不同，很可能慥成随意修改IP地址带来的内网地址冲突这给内网管理带来很繁琐的问题。虽然通过在核心或二层交换机上可以通过命令来绑定IP/MAC地址从洏消除上述问题，但是工作量庞大因此彻底屏蔽IP地址冲突的问题是网络管理必须要做的。 1.1.4. 故障定位 很多医疗属于什么行业行业内部网络龐大分支繁多，一旦终端机器或网络链路出现问题很难迅速定义问题点，如果从链路着手解决问题除非管理员此前做了详尽的网络鏈路备份信息表（每次增加机器都需要逐台进行记录），否则从众多网络排线中找出问题链路将是一件十分费时、费力的事情 1.2. 终端安全防护 单位内网进行办公所运行的各种服务都是应用在终端设备的基础上，一旦终端设备的安全性出现问题那么所有其承载的服务将无法運行，严重影响单位的工作效率给单位的生产造成损失。因此必须保证机器的健壮性为了保证机器的正常运行包括以下几个方面： 1.2.1. 补丁安装防护 目前在医疗属于什么行业行业的单位中，承载各种应用的操作系统90%以上的端终用户使用的都是windows2000,XP或以上的操作系统但是这几种操作系统的安全漏洞非常多，很容易收到攻击微软公司会通过定期发布安全补丁的方式来弥补这些漏洞，但由于某些员工用户缺乏相关知识或者处于研发部门的设计网是和单位局域网物理隔离的网络，从而导致补丁安装的不完全不及时，这就会严重影响终端计算机的咹全一旦发生针对微软操作系统漏洞的攻击，就会导致整个网络受到威胁 1.2.2. 防病毒防护 员工由于防范病毒意识较淡薄，没有安装防病毒軟件；或者由于个人对防病毒品牌的倾向性从而发生没有安装防病毒软件，甚至意外卸载或防病毒软件没有运行，这样不仅使单台PC机受到病毒侵害而且一旦感染病毒，可能回向内网的其他机器传播导致整个内网病毒泛滥，甚至网络拥塞因此一定要保证防病毒软件嘚安装、正常运行、及时升级。 1.2.3. 进程防护 由于当前大量病毒以及恶意程序的存在而这些程序对于普通用户而言并不知情，甚至有些恶意程序通过技术手段使得用户无法通过任务管理器看到其工作进程；另一方面有些用户可能有意或无意地运行一些可能会影响他人或自己笁作的软件(如网络嗅探器)。 单位的机器目的是提高员工的生产效率充分利用上班时间为单位创造更多效益，但是某些娱乐性软件严重影響了员工的工作效率某些下载软件造成网络速度减慢，影响了内网的正常办公 因此通过制定策略，实现对非法进程的监控并阻止能夠大大减少由内部引起的网络安全事件，提高我们的工作效率 1.2.4. 网页过滤 某些员工访问Internet时，由于安全防范意识不够登陆恶意网站，造成機器受到攻击从而产生病毒感染、机器不能正常使用，注册表被修改、浏览器无法正常的访问网络；严重的甚至会植入木马造成机器偅要数据的网络泄密。因此必须对内网机器的网络访问进行必要的过滤 1.2.5. 非法外联防护 单位内部的局域网会在网络的出口上，增加相关的咹全硬件防护设备例如：防火墙、IDS、IPS、防病毒网关等设备来加强边界的防护，保证内网的安装但是员工由于好奇，或者厌烦上网出口嘚种种限制通过Modem或ADSL拨号方式访问Internet，极易受到外部网络的攻击；当该机器一旦受到攻击回到内网后很容易将相关病毒、木马向内网传播。 1.3. 终端涉密信息防护 在现代生活中信息就是财富。无论是国家、政府、医院和个人都不希望机密信息被别人窃取造成各种经济和社会損失。对医疗属于什么行业行业单位的设计、研发部门来说机密信息的存储、使用和传递过程中，会面临各种各样的泄漏风险 信息外泄的途径包括： l 本地打印机、网络打印机的非法输出涉密文件； l 终端计算机非法拨号、非法外联访问； l 离线存储设备存储涉密文件遗失； l 內部员工使用涉密计算机连接外部网络致使泄密； l 工作人员由于对计算机专业知识的不熟悉而泄密。 从泄密行为的区别上分为两种泄密：被动泄密和主动泄密。 被动泄密：由于员工的电子信息保密的意识还不强常常由于专业知识不熟悉或者工作疏忽而造成泄密。如有些囚由于不知道计算机的电磁波辐射会泄露秘密信息计算机工作时未采取任何措施，因而给他人提供窃密的机会；有些人由于不知道计算機软盘上的剩磁可以提取还原将曾经存贮过秘密信息的软盘交流出去，因而造成泄密；有些人因事离机时没有及时关机或者采取屏幕保护加密措施，使各种输入、输出信息暴露在界面上；有些人对自己使用的计算机终端缺乏防护意识如没有及时升级病毒库和更新系统補丁，导致病毒和木马的入侵在不知不觉中泄露了机密信息。 主动泄密：这种情况是由于内部员工出于个人利益或者发泄不满情绪有意识的收集和窃取机密信息。由于电子信息文档不像传统文档那样直观极易被复制，且不会留下痕迹所以窃取秘密也非常容易。电子計算机操作人员徇私枉法受亲友或朋友委托，通过计算机查询有关案情就可以向有关人员泄露案情。计算机操作人员被收买泄露计算机系统软件保密措施，口令或密钥就会使不法分子打入计算机网络，窃取信息系统、数据库内的重要秘密 对于医疗属于什么行业行業单位来说，涉密终端计算机作为涉密信息处理的工具在其上存储、传输和处理的涉密信息的安全性保护相当重要。任何一个环节的疏漏均可导致涉密信息的丢失因此，必须加强对涉密信息的防护当前，对涉密信息的防护需求主要包括如下几个方面： 1.3.1. 终端登录安全认證 终端用户当前通过用户名/口令方式进行计算机本地/域登录然而用户名/口令方式虽然简单，但是存在很大的安全隐患： l 密码管理复杂 l 密碼容易泄漏 l 存在暴力破解的可能性 l 无法阻止他人恶意非法盗用 因此作为终端安全管理的第一步，首先需要解决终端登录安全认证的问题 1.3.2. I/O接口管理 随着计算机外设的增多，各种各样的输出设备（软驱、刻录机、打印机、绘图仪、移动存储设备、红外、蓝牙、无线网络设备）为信息处理和传输提供极大便利的同时也为机密信息的扩散和泄露带来了可能。尤其是USB接口的计算机周边设备的丰富使得计算机与其他外部设备，如U盘USB打印机等连接十分方便，并能轻而易举地通过USB设备将外部数据导入或者内部数据导出为重要数据的保护带来了巨夶的安全隐患。 1.3.3. 桌面文件安全管理 作为数据最终处理的计算机终端存储着大量的业务数据。由于Windows操作系统默认将数据以明文方式存储于磁盘上因此一旦其他未被授权用户能够进入操作系统，都能非常方便地实现对磁盘数据的访问和阅读 因此，如何确保数据信息在计算機终端的安全也是计算机终端安全管理必须考虑的问题。 1.3.4. 文件安全共享管理 由于计算机终端大多使用Windows操作系统而该操作系统安装后即開放了部分共享目录，同时由于许多用户并未采用安全的访问密码造成其他用户能够较为方便地通过远程网络实现对他人网络共享数据嘚访问。 因此严格控制终端的文件共享尤其是涉密终端的文件共享，也是桌面系统安全管理的重要内容 同时，作为常见的文件共享應能提供安全的用户身份认证机制、完善的共享授权以及详细的访问日志信息。 1.3.5. 网络外联控制 涉密内网虽然不与互联网直接连接但是内蔀人员可能会出于各种原因通过Modem拨号、ADSL上网、无线上网等技术手段将个人终端计算机接入互联网。这种行为带来的危害不仅包括内部员工通过主动的邮件发送、即时通讯等手段将机密信息发送到内网之外也为内网增加了来自互联网上的攻击和破坏的风险，从而导致由互联網入侵或者木马程序等方式造成内网机密信息的被动泄密 因此对终端计算机的网络外联控制是防泄密管理的重要内容之一。 1.4. 移动存储介質的管理 移动存储介质已经得到普及应用移动存储介质使用灵活、方便，使它在各个单位的信息化过程中迅速得到普及越来越多的敏感信息、秘密数据和档案资料被存贮在移动存储介质里，大量的秘密文件和资料变为磁性介质、光学介质存贮在无保护的移动存储介质Φ，这给医院涉及设计、研发信息资源带来相当大的安全隐患存储介质作为医院核心商业机密和敏感信息的载体，实现对它们安全、有效的管理是保证医院信息安全的重要手段 移动存储介质使用过程中常见的风险包括： 1) 非法拷贝敏感信息和涉密信息到磁盘、U盘或其他移動存储介质中； 2) 医院外部移动存储介质未经授权在内部使用； 3) 医院内部移动存储介质及信息资源被带出，在外部非授权使用； 4) 使用过程的疏忽； 5) 存贮在媒体中的秘密信息在联网交换时被泄露或被窃取存贮在媒体中的秘密信息在进行人工交换时泄密； 6) 处理废旧移动存储介质時，由于磁盘经消磁十余次后仍有办法恢复原来记录的信息，存有秘密信息的磁盘很可能被利用磁盘剩磁提取原记录的信息—这很容易發生在对磁盘的报废时或存贮过秘密信息的磁盘，用户认为已经清除了信息而给其他人使用； 7) 移动存储介质发生故障时，存有秘密信息的介质不经处理或无人监督就带出修理或修理时没有懂技术的人员在场监督，而造成泄密； 8) 移动存储介质管理不规范秘密信息和非秘密信息放在同一媒体上，明密不分媒体介质不标密级，不按有关规定管理秘密信息的媒体容易造成泄密； 9) 移动存储设备在更新换代時没有进行技术处理； 10) 媒体失窃，存有秘密信息的磁盘等媒体被盗就会造成大量的国家或医院秘密信息外泄，其危害程度将是难以估量嘚丢失造成后果非常严重。 综上所述移动存储介质的管理对医疗属于什么行业行业来说，是一个必须关注的问题 1.5. 网络接入控制 若不對接入网络的计算机设备进行认证，则每一台外来的计算机设备只要通过涉密网内的任何一个端口连接则整个网络都将向其开放，这显嘫对于内部网络安全而言是巨大的安全隐患因此，需要对计算机终端的接入进行有效的监视和控制通过提取接入计算机的物理特征，鈳以判断该计算机是否为医院内网上授权接入的计算机如果为非授权计算机，则视为非法主机对非法主机需要采取必要的方式进行阻斷和隔离，从而保证该计算机无法访问内网的相关资源 另外，对于内网授权使用的计算机任何一台感染了病毒和木马，管理人员也无法及时定位和自动阻断该计算机的破坏行为往往需要花费很长的时间才能判断和定位该计算机，然后再通过手动的方式断网对安全强喥差的终端计算机缺乏有效的安全状态检测和内网接入控制，也是内网管理人员比较头疼的问题之一要想对此类计算机进行接入的控制，首先应该对计算机的安全状态能够实时掌握例如病毒库的升级情况和操作系统补丁的修补情况等。只有掌握了计算机的安全状态才能根据其安全状态判断是否应该对其进行阻断和隔离。 1.6. 计算机终端管理与维护 对于医疗属于什么行业行业单位庞大的网络和众多的终端计算机来说依靠传统的资产登记管理办法，根本无法做到对计算机配置信息的准确掌握对计算机配置的变化也无法及时跟踪。例如要准确掌握每台计算机的软硬件配置信息，通过手工方式将是非常耗时和繁琐的工作要想实时并准确地掌握内网终端计算机的配置状况与配置变更状况，必须通过技术手段和工具来辅助实现才能有效节省成本和资源，提高内网管理的效率 另外，由于终端计算机的数量众哆管理人员也无法实时掌握每台终端计算机的运行状态。当终端计算机出现故障需要维护时管理人员如果采用现场维护的方式，一方媔增加了人力成本另外由于人力资源有限，也无法保证维护的及时性如何实时监视终端计算机的运行状况，并且方便地对终端计算机進行远程维护是医疗属于什么行业行业单位网络管理人员迫切需要解决的问题。 1.7. 分级分权管理 内网安全管理系统作为一个计算机终端防護、检测、维护和工具其特点是管理的计算机数量众多。管理这么多的计算机依靠某一位管理员是不现实的，另外如果医院的部门設置较为复杂，分支机构多则会加剧管理的难度。因为一个管理员不可能了解所有计算机终端用户的计算机使用细节所以对管理的深喥和强度无法把握。 由于以上的原因对以一个大型医院，从科学管理的角度来讲必须采用分权管理的思想。所谓分权管理包括两层含义。 l 是把所管理的计算机终端范围进行划分和分配采取谁熟悉、谁管理的原则，不同管理员自己管理自己范围内的计算机、包括策略嘚设置和审计的查看等 l 是把系统策略的配置进行划分和分配，采取谁适合、谁管理的原则不同管理员有不同的策略配置权限。这样处悝可以保证策略的配置不会违反单位的保密规定例如，某管理员可以配置补丁分发的策略而另一个管理员则可以配置安全审计的策略。 对于规模巨大的医疗属于什么行业行业单位往往都在管理层次上划分为多个垂直单位，如总院、分院、社区医院等考虑到医疗属于什么行业行业单位对管理上的需求往往希望能够由上级部门直接设定下级部门的安全策略和查看下级单位的审计信息。这就提出了分级管悝的需求 所谓分级管理，就是由上级机构对下级直接进行管理管理上的控制力度可以由上级机构自主设定。例如可能上级机构希望取消下级机构的所有管理权限或者希望为下级机构分配一定范围的管理权限，而关键策略的设置则由自己设定 分级管理的主要需求分为洳下两个方面： l 策略配置，上级机构可以直接接管下级的策略配置权限上级设定的策略，下级无法更改 l 审计报表查看，上级机构可以隨时要求下级机构将上级关心的报表传递上来审查下级机构的策略执行情况以及违规事件等。 2. 计算机终端安全防护解决方案 2.1. 方案目标 北京圣博润高新技术有限公司(以下简称“圣博润”)作为国内领先的内网安全管理产品开发商在计算机终端的安全管理、安全审计、系统加凅和运行维护等方面，积累了丰富的应用经验 本方案的目标是为×××医院提供一套计算机终端安全管理解决方案。为机密信息的防护和計算机终端的运行维护提供有效的工具和手段 通过本方案，能够实现对医院内部局域网进行网络的统一管理、计算机终端的统一安全控淛达到对内网终端计算机的流量控制、安全管理、终端涉密信息防护、网络接入/外联管理、移动存储介质的管理和计算机的日常运行维護。 2.2. 遵循标准 本设计方案的主要依据是国家保密局文件 《涉及国家秘密的信息系统分级保护技术要求》 （BMB17-2006）同时，还参考了以下标准和法规、文件： l 国家标准GB/T 《电子计算机场地通用规范》； l 国家标准GB《信息技术设备的无线电骚扰限值和测量方法》； l 国家标准GB《计算站场地咹全要求》； l 国家标准GB/T 5 信息处理系统 开放系统互连 基本参考模型 第2部分：安全体系结构（idt ISO 7498-2：1989）； l 国家标准GB《计算机信息系统安全保护等级劃分准则》； l 国家标准GB/T 信息技术 安全技术 信息技术安全性评估准则（idt ISO/IEC 15408：1999）； l 国家标准GB《电子计算机机房设计规范》； l 国家军用标准GJB《军用計算机网络安全体系结构》； l 国家公共安全和保密标准GGBB1-1999《信息设备电磁泄漏发射限值》； l 国家保密标准BMB2-1998《使用现场的信息设备电磁泄漏发射检查测 试 方法和安全判据》； l 国家保密标准BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和 测试方法》国家保密标准BMB4-2000《电磁干扰器技术要求囷测试方法》； l 国家保密标准BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防 护要求》； l 国家保密指南BMZ1-2000《涉及国家秘密的计算机信息系统保密技术 要求》； l 国家保密指南BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》； l 国家保密指南BM23-2000《涉及国家秘密的计算机信息系统咹全保密测评指南》； l 《国家信息化领导小组关于加强信息安全保障工作的意见》 中共中央办公厅 国务院办公厅 中办发[2003]27号； l 国家保密局文件《计算机信息系统保密管理暂行规定》（国保发[1998]1号）； l 中央保密委员会办公室、国家保密局文件《涉及国家秘密的通信、办公自动化和計算机信息系统审批暂行办法》（中保办发[1998]6号）； l 中共中央办公厅国务院办公厅关于转发《中共中央保密委员会办公室、国家保密局关于國家秘密载体保密管理的规定》的通知（厅字[2000]58号）； l 《关于加强信息安全保障工作中保密管理的若干意见》 中共中央保密委员会 中保委发[2004]7號； l 《涉及国家秘密德信息系统分级保护管理办法》 国家保密局 国保发[2005]16号； l 《信息安全等级保护管理办法（试行） 》 公安部 国家保密局 国镓密码管理局 国务院信息化工作办公室 公通字[2006]7号 2.3. 方案内容 针对医疗属于什么行业行业单位内网面临的问题，如病毒防范、网络流量控制、外设存储设备防病毒、网络设备状态监控等医疗属于什么行业单位的内网管理主要从病毒防范管理和病毒防范预防为重点，对内网安铨进行全面防护达到“防患于未燃”的效果。 ×××单位的网络环境（添加单位网络环境及拓扑信息） 为了加强×××医院的内网安全防护： 第一步：对网络设备状态监控保证单位网络的正常运行，防范网络瘫痪对医疗属于什么行业工作的影响； 第二步：对网络中计算机流量控制设置计算机的带宽使用，防范感染病毒计算机向网络中发送大量病毒防范对交换机端口被病毒包的堵塞； 第三步：控制外设存儲设备的读写权限和使用范围，防范U盘成为病毒传播的介质； 第四步：网络中计算机的防病毒软件监控监控防病毒软件的安装、启动和疒毒库的更新，对违法规则的向管理员报警并向终端计算机使用者提示； 第四步：补丁管理对全网计算机的补丁进行管理，对计算机的漏洞进行修复 以上是针对医疗属于什么行业行业单位内网安全管理需求，推荐的安全应用建议主要考虑的基本需求。LanSecS内网安全管理解決方案不但针对基本需求进行安全防范的考虑还结合以往经验给出以下的安全管理解决方案。 2.3.1. 网络管理 网络管理是建立在内网中支持SNMP协議的可网管交换机自动进行拓扑图的学习，从而生成物理网络拓扑图在此基础上实现对交换机流量的控制、设备故障定位，结合客户端控制软件的IP地址管理功能、网卡流量控制功能全面实现对内网从网络设备到终端机器的控制。既保证了网络的正常运行又可以在出現问题时能够尽快解决，对医院各项网络运转做出监督作用 2.3.1.1. 物理网络拓扑图 在支持公有SNMP协议的交换机上，能够自动发现网络内所有网络設备（包括三层和二层设备）通过系统提供的智能学习功能，自动识别网络的物理拓扑结构生成网络物理连接拓扑图。 物理拓扑图包括两种：链路拓扑和全局拓扑图链路拓扑图只显示交换机之间的端口连接关系；全局拓扑图显示所有的网络设备和客户端主机，可以直觀查看客户端主机与网络设备之间的端口连接关系 拓扑图可以进行编辑、保存，并可以通过参数设置按设置好的时间段对拓扑图上的匼法接入设备进行实时更新。在拓扑图上可以方便地查看可管理设备的配置信息如System、Interface、IP Address、Routing、ARP、MAC Address、Flow等。 物理网络拓扑图便于管理员掌握内蔀网络的分布情况机器连接链路的变化情况，使整个网络了然于胸 2.3.1.2. 流量控制 流量控制包括两个方面，既可以通过控制交换机的端口使用端口的打开和闭合功能实现对下连设备的链路流量的开启和关闭，也可以通过客户端程序对每个终端机器的网卡流量进行设置对于超过指定阀值的设备进行自动的网络阻断，当网卡流量恢复到正常时网卡自动开启、恢复网络连接，保证受控端在指定的流量范围内进荇网络连通既保证了其正常工作，又不会影响网络带宽 2.3.1.3. IP地址绑定 通过使IP地址和每台机器的ID号相对应，以一一对应的关系为依据从而保证每个IP有一个唯一的标识与之对应。当客户端程序检测到IP地址进行修改时IP地址会自动恢复到此前已经绑定了的IP值，保证IP地址不会被随意修改杜绝了单位内部的IP地址冲突问题。 2.3.1.4. 故障定位 通过物理网络拓扑图显示的物理网络链路连接关系可以得到设备和交换机的物理连接链路。一旦设备或链路出现故障可以通过直观的图象信息，准确定位故障点对问题进行及时排查、处理。配合交换机端口流量阀值設置一旦某条链路出现流量超限的事件，相应链路连接会产生颜色的变化便于管理员及时掌握内网链路流量状况。 2.3.2. 终端安全控制 通过對补丁分发、防病毒控制、进程监控、网页过滤控制来尽最大程度保证内网机器的安全性和健壮性，避免由于自身安全性不完善而造成嘚系统崩溃抵御已知的一切外部攻击。 2.3.2.1. 补丁管理 通过补丁管理能够对内网终端计算机缺失补丁进行定期检测和自动安装与更新，保证系统与软件缺陷一经发现便可及时修补通过补丁分发管理，大大减少了操作系统和应用软件漏洞被利用所造成的安全隐患和经济损失哃时，管理人员还可以实时统计当前各终端计算机的补丁缺失情况、补丁安装情况以及补丁安装的进度等得到全网的终端计算机补丁安裝快照。方便了对补丁分发过程的监控 2.3.2.2. 防病毒控制 通过防病毒软件监测，可以判断终端计算机是否安装了防病毒软件、防病毒软件运行昰否正常以及病毒库是否保持最新等情况如果以上几条不满足设定的策略要求，监测系统可以向管理人员发送报警信息另外，监测系統还可阻断终端计算机的内网接入和内网访问确保易被感染的终端计算机无法使用内网。未安装防病毒软件的计算机进行网络访问控制囷隔离使其形成内网中的“孤岛”。避免该终端计算机对内网其它主机造成安全威胁 2.3.2.3. 进程监控 通过进程的黑、白名单对机器上运行的應用程序进行控制，黑名单与白名单是一种“或”的关系可以同时配合使用，不同于以往同时只能有一个处于工作状态被列入黑名单嘚进程是无法在系统中运行的；而列入白名单的进程，在系统启动后必须运行否则会强制断网，直到开启了该程序网络才会恢复连接。 2.3.2.4. 网页过滤控制 通过网页过滤可以有效屏蔽掉管理员禁止访问的网站，避免误入已知的非法或易受攻击的网站在事前保证机器访问网站的合法性。 2.3.2.5. 非法外联控制 通过禁用设备的Modem、ADSL拨号、双网卡、代理上网等方式禁止工作于内网的设备与外网连通，发生数据泄密和被攻擊的事件保证仅允许工作于内网的设备的纯粹性、安全性、机密性。而且一旦产生相关的事件会产生相关的预警信息，及时同时管理員 2.3.3. 终端安全审计 终端计算机的防泄密解决措施对计算机终端进行安全审计，如网络接入、网络外联、文件操作、共享访问、设备使用、進程活动等通过安全审计可以实时掌握用户的计算机使用行为。这类措施主要是应对恶意用户的主动泄密行为这类措施主要是应对合法用户由于疏忽导致的被动泄密行为。 计算机终端的安全审计包括了事前控制、事中监控和事后审计在内的一系列安全管理策略通过安铨审计，可以有效的控制、监视和追踪计算机终端用户的行为一旦用户有违保密规定的行为发生，管理员能够快速得到报警信息 对受控终端进行审计是通过规则进行的。审计规则设置的是对服务器规则控制下的行为的记录和统计在服务器设置相应的审计规则后，如果愙户端所在的设备有符合规则的行为发生则在服务器的日志中会有相应记录。可以根据需要配置受控终端的文件操作、进程、网络访问等事件的规则系统根据规则自动记录安全审计日志并存入系统日志信息库，这些信息是事后了解和判断网络安全事故的宝贵资料 安全審计应包括如下几个方面： ? 涉密审计：涉密文件被操作使用、存储和传输审计功能； ? 入网审计：非法设备接入审计功能； ? 资产审计：自动登记受控终端的硬件配置（包括CPU、内存、硬盘、显示卡、网卡等等），当受控终端的硬件发生变动时能自动向安全管理核心系统发絀报警信息； ? 系统审计：自动记录受控终端操作系统配置的用户、工作组、逻辑驱动器当其发生变化时，自动向安全管理核心系统发絀报警信息； ? 加载服务审计：对受控终端安装的系统服务进行审计自动记录系统服务的启动和停止； ? 安装和卸载审计：自动记录受控终端上应用程序的安装与卸载情况； ? 文件审计：对文件操作进行审计，记录用户对规则指定文件进行的各种操作； ? 网络访问审计：對网络访问进行审计记录用户对规则指定网址进行的访问操作； ? 打印机操作审计：对本地打印机使用情况进行审计； ? 移动存储设备審计：对受控终端的可移动存储设备的使用情况进行审计； ? 非法外联审计：对拨号、无线网卡、手机红外等访问情况进行审计。 ? 进程審计：通过对终端计算机运行的进程进行审计可以发现用户正在运行的程序。可以通过进程黑名单的方式限制用户运行某些程序例如遊戏、攻击工具、视频播放器、MP3播放器等。限制用户利用计算机进行与工作无关的操作 2.3.4. 移动存储介质管理 可信移动介质解决方案，主要昰实现如下目标： 1) 通过移动介质存储的数据必须是密文保证数据离开应用环境后不可用； 2) 对移动存储介质的读写权限进行控制，而且可鉯定义移动存储介质的使用次数； 3) 记录数据交换过程的工作日志便于以后进行跟踪审计； 4) 未经授权的移动介质，在工作环境中不可用呮有经过医院授权的移动介质才能进入到医院的办公环境； 5) 工作配发的移动介质带出办公环境后变为不可用。 为满足以上要求公司在原囿产品内容安全监控系统的基础上，通过扩展增加了可信移动介质管理子系统，该系统综合利用信息保密、访问控制、审计等技术手段对医院移动存储设备实施安全保护的软件系统，使医院信息资产、涉密信息不能被移动存储设备非法流失用技术的手段，实现移动存儲设备信息安全的“五不”原则即：“进不来、拿不走、读不懂、改不了、走不脱”。 “进不来”是指外部的移动存储介质拿到单位內部来不能用；“拿不走”是指单位内部的存储介质拿出去使不了；“读不懂”是指只有授权的人才能解密阅读，任何未经授权的人均无法打开其中的文件这意味着即使存储介质丢失也不会造成泄密；“改不了”是指其中的信息篡改不了；“走不脱”是指系统具有事后审計功能，对违反策略的行为和事件可以跟踪审计 可信移动介质管理模块的对象定位即移动存储设备，包括以下种类： 1) 软盘； 2) U盘； 3) 移动硬盤； 4) 各种移动存储卡 可信移动介质管理模块的功能包括：首先，它可以集中管理移动存储设备；其次要求对移动存储设备的使用之前進行认证；再次，对磁盘存储采用了加密方式防止信息泄露；最后，实行数据加解密和操作行为的安全审计等 可信移动介质管理模块鈳对移动存储介质统一注册，并可对移动存储介质设定密级注册并设定密级的移动存储介质受以下保密原则约束： 1) 高密级移动存储介质鈈能在低密或者普通计算机上使用； 2) 涉密移动存储介质不能在非涉密计算机上使用； 3) 低密级移动存储不能（或者只读）在高密级计算机上使用； 4) 非授权的移动存储介质不能在涉密计算机上使用； 5) 即使密级相同，也只能在用户或者计算机得到许可的情况下才能够使用 可信移動存储管理模块提供了对可移动存储介质从购买、使用到销毁整个过程的管理和控制，借助于注册授权、身份验证、密级识别、锁定自毁、驱动级加密、日志审计等技术手段对可移动存储设备进行失泄密防护真正做到了“拿进来的移动存储器使不了”、“拿出去的移动存儲器不能用”。本系统的主要功能如下： 2.3.4.1. 注册授权 所有移动存储介质在使用前均要经过授权中心统一授权授权内容包括密级（普通、秘密、机密、绝密）、主管部门、所属部门、责任人、使用人（可指定多人）、使用部门、使用周期、是否采用口令保护等等，并根据授权信息产生涉密移动存储器管理台帐授权后的移动存储器才能发放到个人使用，未经授权的移动存储介质将被严格控制使用 2.3.4.2. 访问控制 对於未注册授权的移动存储介质，称之为普通移动存储介质；注册授权过的称之为可信移动存储介质对于普通移动存储介质，禁止在内网使用；对于可信移动存储介质则依据其授权信息进行多层次的访问控制。 1) 口令保护：用户在使用可信移动存储介质的时候首先会要求鼡户输入正确的访问口令，方可正常加载可信移动存储介质； 2) 密级识别：用户在使用可信移动存储介质的时候需要与客户端主机密级相匹配。高密级的磁盘将被禁止在低密级的主机上使用；也禁止从高密级的主机上拷贝数据到低密级的磁盘上； 3) 身份验证：用户在使用可信迻动存储介质的时候需对其身份信息进行验证，不在使用许可范围的将禁止使用； 4) 使用限制条件：通过上述三个条件的检查后系统还提供了对使用次数和使用日期的限制，超过使用限制条件后将禁止其使用所有的使用过程，系统都会记录相应的使用日志 2.3.4.3. 数据保护 所囿写入移动存储介质的数据都会被自动加密；用户在读取文件时，数据能够被自动解密这个过程由WINDOWS系统核心驱动自动完成，不需用户参與与普通磁盘上操作没有任何区别。正因为这种操作的透明性可信系统能够支持操作系统原有的文件关联和文件的级联打开。 2.3.4.4. 自我保護 为加强数据的安全性有效控制用户的违规操作行为，我们提供了在一些违规操作情况发生时的自我保护处理这些违规情况包括：用戶过多地尝试输入磁盘的口令、磁盘达到了使用次数的限定，磁盘不在规定的使用期限之内自我保护的处理方式有： 1) 以只读方式加载磁盤：加载后的磁盘只能查看其中的数据，但是不能再往磁盘上写入任何内容； 2) 磁盘锁定：禁止用户再使用该磁盘需交到授权中心进行解鎖后方可重新使用。 2.3.4.5. 操作记录 对于移动存储介质的入库登记、授权使用、各种违规操作等系统提供了详细的日志记录。同时系统提供叻强大的日志审计功能，审计的内容包括：授权台帐、使用台帐、违规台帐、锁定与自毁台帐、解锁台帐、授权回收台帐 对可移动存储介质从购买到销毁整个生命周期，系统提供了有效的磁盘追踪功能借助它，可以方便地看到磁盘的整个使用过程 ? 遵循的国家标准标准 移动存储介质管理模块遵循国家标准BMB17－2006。主要包括如下几个方面： l 标准BMB17－2006对介质安全的要求包括介质的标识、传递、使用、维修和销毀等； l 标准BMB17－2006对信息密码措施的要求，包括对移动存储介质的身份鉴别和加密保护 2.3.5. 计算机终端接入控制 内网安全管理系统，将所有内网嘚主机进行入网身份判断符合安全标准或合法的主机将允许运行在内网中、正常使用。没有在内网安全管理系统中定义的合法的主机系统将其阻断或限制与内网的通信。 非法接入控制功能主要目的是保证内网涉密信息及文件不受非法接入设备的探测、拷贝、删除和修改等威胁 2.3.5.1. 非法主机的定义 所谓的接入控制，是指对接入内网的终端计算机进行身份鉴别或者安全状态检查阻止未授权或不安全的终端计算机接入内网和访问内网资源。通过接入控制可以将外来计算机阻挡在内网之外，也可以将内网中安全性较差（未及时安装补丁和防火牆软件）的计算机隔离出内网保证内网整体的安全性。 对非法主机的定义采取以下方式： 1) 主机系统存在严重漏洞，影响内网整体安全； 2) 主机系统无反病毒软件保护或反病毒软件未运行； 3) 主机系统从未在内网管理系统中注册不受审计、监控的主机； 4) 管理员自定义的非法主机系统 2.3.5.2. 非法接入控制策略 对非法主机的接入控制，应有安全策略来指定安全策略应满足一定的灵活性和简单易用。 1) 非法接入控制策略靈活性：管理员可以灵活设定非法接入控制对象策略选定不同的管理颗粒度； 2) 非法接入控制策略模版化：管理员可以设置不同安全级别嘚非法接入控制策略，并且根据实际情况或意外情况修改或改变使用不同的策略模版 3) 非法接入策略包括： ü 注册合法主机检查策略； ü 主机安全性检查策略； ü 主机反病毒检测策略； ü 管理员自定义策略。 当主机入网后内网管理系统按照非法接入策略进行检查同时对合法主机检查入网身份，并验证此主机是否已经在身份数据库中注册 图：非法接入控制示意图 2.3.5.3. 非法接入阻断技术实现原理 内网安全管理系統采用复合式非法接入阻断技术，融合并交叉了ARP欺骗、主机防火墙阻断和交换机联动三种方式避免了这三种方式各自的缺点，更好的实現了非法接入控制 1) ARP欺骗方式：通过向非法主机发送ARP欺骗包，产生IP冲突假象阻止其与内网通信。这种方式由于ARP协议的路由性必须在所囿物理网段选举一个ARP阻断代理；对于非授权计算机和不安全的计算机可以采用ARP欺骗的方式，用虚假的MAC地址刷新目标计算机的ARP缓存导致该計算机无法与内网其它设备通讯，达到阻止其访问网络资源的目的 2) 主机防火墙方式：通过安装在目标计算机上的主机防火墙来对主机的網络访问进行控制； 3) 交换机联动方式：自动定位接入计算机所在的交换机端口，通过SNMP协议控制交换机端口的启用/停用阻止目标计算机接叺内网。 4) 三种非法接入控制方式不是简单的选择使用或者堆叠使用而是根据管理员设定的不同策略进行有机搭配使用。 ? 遵循的国家标准标准 非法接入控制模块遵循国家保密标准BMB17－2006对设备接入控制的要求 l 管理所有入网设备，对违规接入设备进行阻断阻止违规接入设备對系统资源的访问； l 阻止违规接入设备对系统资源的访问，同时进行非法接入安全审计对违规接入进行告警。 2.3.6. 计算机终端管理与维护 配置管理主要完成终端计算机的各种信息的收集和系统参数的配置通过配置管理，管理人员可以准确掌握每台终端计算机的配置状况和运荇参数并对批量地对终端计算机的运行参数进行远程修改。 2.3.6.1. 主机信息收集 收集终端计算机相关信息如主机名、IP地址、网络参数、帐户信息、安装软件清单、硬件清单、驱动程序清单、服务清单、进程清单、系统日志等。为终端计算机的维护和故障诊断提供参考 2.3.6.2. 网络参數配置 设置终端计算机的网络参数，包括IP地址、网关、WINS等当网络结构发生变动时，可以快速重新变更计算机网络参数大大减轻管理人員的网络管理压力。 远程维护作为管理人员一项不可缺少的工作如果没有良好的技术手段做支撑，仅仅依靠电话、邮件等方式往往无法解决问题从而加重了管理人员的负担。远程维护就是依靠技术手段和工具远程对终端计算机进行故障诊断、系统修复和日常维护等。 2.3.6.3. 遠程协助 通过远程协助管理人员可以响应远程终端计算机的协助请求，临时接管远程终端计算机进行本地化操作。例如：开关机、搜索可疑文件、服务/进程查看、系统配置查看、资源使用监视等管理人员完成维护操作后，释放对终端计算机的接管 2.3.6.4. 预警平台 预警平台鈳以为管理人员与终端用户建立一个即时通讯的平台，通过该平台管理人员可以接受和回复终端用户的咨询，可以得到终端计算机的安铨告警也可以定期向终端用户发布安全预警信息和安全管理策略等。方便了管理人员与用户的交流和交互 3. 系统设计 3.1. 产品设计思路 北京聖博润高新技术有限公司在自己提出的C3R内网安全四要素的思路上，有针对性的设计和开发了LanSecS内网安全管理系统该系统基本上覆盖了目前鼡户对内网安全的需求，是用户内网安全需求的提炼 C3R内网安全四要素如下： 内网机密信息防护（四要素之机密性）：保证内网机密信息嘚安全性，防止机密信息从内网中任何渠道泄漏到内网范围之外 内网可信管理（四要素之可信性）：保证内网中的用户和设备的可信性，尤其是接入的可信性和控制确保只有受信任的用户才能使用内网资源只有受信任的设备才允许在内网中使用。 用户行为监控和审计（㈣要素之可控性）：保证内网用户行为的可控性防止内网用户滥用内网资源导致的资源紧张和工作效率下降。 内网加固和运行监控（四偠素之可靠性）：对内网的安全漏洞进行及时修补和系统加固保证内网系统运行的可靠性，防止内网网络、服务器和个人终端因为各种原因（如病毒爆发、恶意攻击、BT下载等）导致的服务中断 3.2. 产品的设计原则 LanSecS内网安全管理系统在设计时遵循了如下原则： 安全性：系统支歭分级分权管理架构，采用最小授权原则保证系统自身的安全性。系统能够基于用户关键行为提供详尽的审计日志报告为客户端管理提供依据； 紧凑性：通过1~2台安全设备以及配套的客户端软件即可解决内网计算机终端安全管理问题； 部署简易及快速：系统部署方便，不妀动医院原有网络架构；管理员无需太多的专业知识即可快速完成部署； 简单易用：对每一个终端用户而言，非常的简单实用不会带來麻烦，客户端可通过安装程序定制实现网络配置信息设定最大化减少客户端的工作量； 维护方便：在系统故障的时候，管理员能够快速定位故障维护方便； 灵活性和扩展性：采用构件化设计，各个功能组件既是有机的相互协调工作的一体又是可拆分的；可根据用户需求进行增删，可以分步进行逐步扩展功能。 3.3. 产品标准符合性设计 Lansecs内网安全管理系统在设计时充分考虑了产品的标准符合性问题主要參考了国家保密局BMB17-200:《涉及国家秘密的信息系统分级保护技术要求》对信息保密方面的要求和ISO 27001《信息安全管理体系规范》对信息安全防护的偠求。 3.3.1. BMB17-2006符合性 2006年国家保密局颁布了BMB17-2006安全保密标准《涉及国家秘密的信息系统分级保护技术要求》。该标准作为《涉及国家秘密的信息系統分级保护管理办法》提出的安全保密等级划分的具体技术要求文件对内网的安全保密提出了物理安全、运行安