医院内网安全解决方案

医院的内网，信息点多，运行着和医院业务息息相关的应用程序，网络的安全防护的也是信息化建设的重点。IDC统计，80%以上的安全威胁来自于内部。补丁和病毒库升级不及时，非法外联、缺乏外设管理导致的泄密，医护人员安全意识薄弱，上网行为缺乏有效管理，医疗纠纷取证困难等等，这些都是医院信息化面临的严峻问题， 而传统内网安全防护技术，如：主机防毒软件、主机防火墙、主机入侵检测系统、间谍软件清除工具、操作系统补丁升级工具、文件加密系统等，属于分散、繁琐的主机安全配置，这大大增加了医院的管理维护成本，而且属于亡羊补牢型的攻防安全策略，使医院丧失了应对安全威胁的最佳时机。

身份可信

客户机如果要接入内网，必须安装安全代理软件，启用认证协议，将用户帐号、密码、IP地址、MAC地址等认证信息通过802.1X交换机，转发到DCBI。若身份合法，DCBI才会下发策略打开交换机端口，这些用户就可以访问FREE RESOURCE并进一步执行认证。这个时候客户端只能访问FREE RESOURCE区域内的资源，处于受限状态。同时DCBI将认证通过信息发送给内网安全管理系统DCSM。

状态可信

DCSM对于通过身份认证的客户机进行自定义的主机完整性（HI）检查，可检查进程、文件系统、注册表等的完整性，保证企业的安全措施。当某条规则规定的条件不满足时将自动执行完整性修复，手段包括执行本地修复命令。例如：客户机没有安装指定的防病毒软件，则DCSM将自动执行强制安装。客户机通过了HI检测以后，DCSM下发安全策略到客户机，才可以正常访问网络资源。

完整性检查与自动修复

完整性检查 对系统中某些注册表项、文件的状态按指定的完整性规则进行检查（定期或按要求），以确保主机上必要的安全部件得以正确实施。 自动修复 当某条规则规定的条件不满足时将自动执行以下动作进行完整性修复： 1、执行本地某个文件； 2、从指定URL下载并执行某个文件。 智能规则集 每条完整性规则都隶属于一个规则集。同一个集合中的各规则间为“或”关系；不同集合之间为“与”关系。经过逻辑运算最终得到一个完整性遵从结果。 完整性检查和模块升级 CPMS控制升级。

行为可控

客户机在接入到内网以后，均需严格执行DCSM下发的各项安全策略。一旦有非法行为发生，都将进行触发安全代理的主机入侵防护系统，同时主机防火墙会阻止该行为的发生，并发出告警信息。 1、安全防护：弱口令检测、系统进程监测与控制、服务检测控制、自启动项检测、共享检测、系统漏洞检测与修复、病毒和木马的检测与查杀、黑客入侵防护 2、监控控制：屏幕察看、外设使用控制 3、集中管理：资产管理、信息发布与收集、补丁分发、病毒库升级

行为可取证

针对客户机的操作行为，均会在DCSM上生成细粒度的操作行为审计记录，便于网络管理者对于网络安全事件有证可查。 如：文件操作记录、窗口打开记录、光盘刻录记录、打印记录等。