- 2011-06-14 16:19
- 作者:佚名
- 来源:互联网
在调研多家三级以上医院软件环境和实际需求后,普遍认为,建立安全有效的终端管理机制,必须全面考虑到以下几个方面:
采用双实名制,解决入网人员与设备的合法性问题
保障接入网络人员合法性的同时,支持对设备的实名认证,保障了接入网络终端设备的合法性,从而加强内部网络的可控性,方便管理员对网络的统一管理。
建立“人机对应”负责制
应该实现非常灵活的设备分组、分级分域管理,对所有设备建立责任人对应管理制度;将IP设备与用户ID建立对应关系,对日常管理、事中责任明确以及事后规范行为审计等有十分重要的意义。同时可以根据不同组别的资产,可以采取不同的安全检查规范。
实行应用程序安全管理
u 客户端进程应用监控
监控客户端软件的使用情况,特别是连接数据库的进程。对所有的应用软件进程,采用MD5的算法,有效地做到唯一可靠性。禁止管理员规定以外的进程连接数据库服务器,禁止对合法程序的私自篡改。并对违规的终端进行报警提示、终端提示、阻断联网等措施。
u 安装软件黑白名单控制
对终端软件安装情况进行黑白名单控制,禁止私自安装数据库软件或信息采集软件,并对违规的终端进行报警提示、终端提示、阻断联网等措施。
u 网络进程监视功能
统一汇总和监视内网中出现的所有进程,可以增量式的显示网络中新出现的进程,也可统计网络中最常运行的进程,从而统计出网络客户端软件的使用情况。可对网络中出现的异常进程进行定位和报警,在必要时可直接阻断。
计算机行为安全管理功能
u 文件保护及审计功能
对用户指定的目录及文件进行访问权限的控制,如读取、修改、删除,并且可以对该指定目录及文件的操作行为进行审计,如读取、修改、删除、重命名等。
u 共享目录访问控制功能
对客户端的共享目录访问行为进行监控审计,即是否允许客户端访问共享目录,同时可以对通过共享目录拷贝文件的行为进行审计,同时可以对共享目录拷贝的文件类型进行限制,如只允许拷贝.doc/.exe/.rar等文件,除此之外的文件都不可以拷贝。
USB等硬件设备禁用功能
控制外设的使用,如启用或禁用软驱、光驱、U口、打印机、Model、串口、并口、1394火线口、红外接口等。其中USB存储设备提供禁用、只读、读写三种控制状态,其他类型外设提供禁用、可用两种状态,能够对所有外设访问行为进行细粒度审计。
外联安全管理
发现网络中存在的计算机通过Modem、Adsl、3G无线网卡以及离线方式等设备接入互联网行为;详细记录非法上网计算机的计算机名称、单位、上网方式(代理、拨号);并需要对违规行为进行及时的处理,包括断网、报警等。
远程维护平台
信息维护人员可以通过WEB管理平台被授权访问网络中的客户端,访问方式包括只读模式(只能查看客户端屏幕,不能进行远程操作)和读写模式(可以进行远程操作),所有操作都需要客户端确认并有使用记录。对于通过地址转换(NAT)方式接入的用户网络管理员也可以通过进行远程控制。
补丁安全管理
对于物理隔离的内部网络,其补丁升级服务器中的补丁数据必须从外部获得,因此,要求在Internet上进行补丁下载,巨大的补丁库使得每次补丁导入工作非常烦琐。针对此类物理隔离的内网,使用增量式补丁分离技术,在外网补丁下载服务器分离出内网已安装、未安装补丁,分类导入系统补丁,即仅对内网的补丁进行“增量式”的升级,以提高效率。通过增量补丁分离器,在每次导入导出补丁时,可减少拷贝工作量。
IP/MAC地址绑定管理
可以对任意客户端进行IP地址与MAC地址进行绑定管理,且对私自修改IP地址的用户进行不通方式的操作,如恢复原IP地址、提示报警、阻断其网络连接。同时提供对关键客户端进行IP保护,当有人私自修改IP地址与某些关键客户端进行IP冲突时,被保护的关键客户端则正常进行网络连接,而修改者则断开网络。
- 分享到: