医疗行业统方问题解决方案

1、医疗行业统方问题处理方案North Pan-Commercial SE TeamPresenters Title Here第1页医院“统方”第一案海宁市人民医院信息科主要负责电脑硬件、软件和网络等管理工作从开始每个月向药品经销商沈某提供医院保密统方资料受贿14万多元王力第2页回扣门5月，宁波市第一医院部分医生受贿清单被曝光；11月，杭州6家医院和一家名为“泰瑞医疗”医药企业回扣交易内容被曝光医院回扣清单曝光第3页卫生部：严禁医院为商业目“统方”对于违反要求，未经同意私自“统方”或者为商业目标“统方”，不但要对当事人从严处理，还要严厉追究医院相关领导和科室责任人责任。卫生部：第4页“统方”路径来

2、自万能网友第5页统方信息泄露路径医生工作站等终端进行非授权统计药房等具备统计权限用户被冒用外来计算机经过黑客伎俩获取网络用户信息统方数据被传出计算机（打印、拷贝、邮件）外部人员私自经过查询数据库方式进行统计第6页怎样防范统方信息泄露怎样预防终端用户滥用这个信息（打印、拷贝、外发）怎样控制其它人员入网使用这些信息怎样从系统和应用软件上规范用户权限管理（比如只有固定用户有权做这种操作，他们密码受控）怎样追踪数据库操作确定发生详细情况怎样将上述各项安全办法日志做综合分析，方便不停改进监控策略第7页统方信息防泄漏关键点客户端控制服务器端控制事后审计第8页安全建设提议流程 事后审计证实有效性并判定趋势

3、查询汇报搜集统计关联分析加固安全状态预防问题发生 Anti-malware Firewall HIPS App. Ctrl. Device CtrlLAN准入网关准入自我强制P2P控制DHCP准入桌面虚拟化应用程序虚拟化终端安全网络准入虚拟化事先防范管理控制并处理问题零日攻击违规操作入侵防护数据防泄密事中控制安全性防护 监控 预防 发觉 保护端点控制信息中心信息管理第9页防范统方信息泄露处理方案终端控制终端权限控制（AD、Token、VeriSign）终端防护 （SEP）终端准入控制 （SNAC）标准化集中控管 （Altiris CMS）工作区虚拟化 （SWC/R）数据中心控制服务器加固（SC

4、SP）信息管理信息防泄露 （DLP）安全管理及审计 （SSIM）第10页终端控制第11页终端权限控制第12页为何终端权限控制使用者私自修改IP地址使用者私自安装软件，威胁到整个网络安全使用者随意添加硬件使用者随意关闭或卸载安全防护软件使用者使用迅雷等下载工具，妨碍网络正常工作。第13页怎样进行终端权限限制对客户端用户重新授权收回客户端管理员权限14Presentation Identifier Goes Here第14页终端防护第15页为何需要终端防护病毒木马黑客恶意程序第16页防病毒/防间谍软件入侵防护(主机)防火墙设备控制主侵防护(网络)应用程序控制第17页终端防护Symantec 防病毒

5、与先进威胁防护技术结合起来单一处理方案提供终端安全防护单代理、单控制台结果:降低了成本、复杂度，降低了风险暴露 增强了保护、控制和管理性防病毒防间谍软件防火墙(主机) 入侵防护设备控制应用控制(网络) 入侵防护第18页终端准入控制第19页防止 事后处理屏蔽 不安全接入规范 接入行为铲除 威胁源头第20页从纸面管理口号到技术上策略遵从传统方法通告 红头文件邮件 电话通知管理 规章制度罚款 通报批评策略制订策略执行身份认证安全认证准许接入终端接入失败修复周期检验拒绝或隔离Symantec方法第21页检测终端接入第2步Enforce针对策略检验配置遵从性第3步Monitor连续监控，恪守当前策略第5

6、步Remediate基于策略检验结果采取办法第4步定义策略第1步Discover第22页23准入控制能干什么谁能够进入服务器网访问哪台服务器访问什么端口(应用)桌面运行什么程序访问特定端口不能获取什么数据第23页准入控制御“毒”于网络之外第 1 关外设控制监管全部I/O端口第 2 关双向防火墙监管全部网络通讯第 3 关NIPS 和 HIPS发觉并阻止入侵行为第 4 关主动防御技术发觉各种未知安全风险第 5 关传统实时防护检测并去除恶意程序第 6 关系统加固修补漏洞提升安全性第 7 关紧急事件响应快速应对降低损失第 8 关第24页终端标准化集中管理第25页乱资产合约布署配置补丁软件升级帮助台分析

7、监视事件问题变更公布远程维护汇报备份恢复标识迁移服务等级第26页IT Life CycleManagement过渡和迁移远程帮助和故障排除监控和跟踪业务连续性保障补丁程序管理映像制作布署和配置应用程序打包和质量确保软件管理和虚拟化 报废 采购 准备 生产 客户端查询和清单第27页支持不一样种类平台资产管理客户端和移动用户管理 Network资产布署Network DevicesSite 监控 Windows资产布署补丁管理软件分发打包工具应用软件管理远程控制Windows 网管服务器监控备份与修复 UNIX/Linux资产布署补丁管理2软件分发Windows 网管3服务器监控备份与修复2 Ma

8、cintosh资产补丁管理2软件分发2 Windows资产布署补丁管理软件分发打包工具应用软件管理远程控制Windows 网管个性化迁移应用测量备份与修复 Handheld资产布署软件分发2打包工具服务器管理资产应用软件固定资产条形码协议管理TCO管理帮助台第28页工作区虚拟化第29页虚拟化对于主要业务和应用，提议经过虚拟化桌面或虚拟化应用程序来进行使用。全部应用计算都在后台服务器上进行，全部数据也存放在服务器上。隔离终端对关键业务和关键数据访问，降低数据使用风险处理应用因为权限不足兼容性问题降低数据泄漏风险。提议经过Symantec SWC/R来实现第30页动态工作区管理Presented

9、Apps and/or DesktopsTask workersShared computeVirtual desktopsHigh securityDedicated computingVirtual PCsPower usersThin client accessRich Client PCProfessionalsHigh graphic applicationsSAN / StorageCommon storeSecure dataBacked upRich Client PCMobile workersFrequently disconnectedTerminal ServerPro

10、filesApplicationsDesktopHypervisorProfilesApplicationsDesktopPC BladeProfilesApplicationsDesktopDesktopProfilesApplicationsDesktopLaptopProfilesApplicationsDesktopStorageData(Profiles)HypervisorPC BladeDesktopLaptopTerminal ServerStorage硬件和基础架构(混合架构)Citrixor Microsoftor Altiris, etc.VMwareor Microso

11、ftor Sun, etc.Symantecor NetAppor EMC, etc.Altirisor Microsoftor Dell or HP, etc.Altirisor Microsoftor Dell, etc.Altirisor Microsoftor Dell, etc.一致动态工作区自动工作区控制用户设备位置Managed by:Workspace CorporateSymantec Endpoint Virtualization Suite桌面应用配置数据第31页数据中心控制第32页服务器加固第33页怎样阻截已经射出子弹？第34页Symantec Critical Sys

12、tem Protection维持系统策略依从加固系统入侵检测入侵防护降低管理复杂程度提升产品管理能力预防零日攻击加固日志系统, 日志转发, 和日志监控对无法立即安装补丁程序或锁定系统提供防护企业级报表功能经过简单，集中策略创建管理系统降低企业用于资产保护成本目提供怀有恶意内部用户攻击系统未知攻击针对: 内存 文件系统 注册表 操作系统 应用终端用户违反企业安全策略预防第35页关键HIS、LIS服务器安全加固医院HIS、LIS服务器安全极为主要，一旦HIS、LIS有安全风险，造成后果不但仅是数据丢失，而且会造成医院业务可用性故障。加固HIS、LIS等关键服务器安全，防止服务器受到恶意内部或者外部

13、人员攻击。防止因为攻击行为而造成数据泄露和服务器停顿。考虑到医院内有很多维护供给商，包含软件和硬件以及业务维护人员。这些人员经常会进入到机房甚至操作服务器。这些人员无意思操作风险或者有意识渗透都会造成数据泄密和服务器停顿风险。需要监控 这些人员在服务器上操作，并在他们执行危险操作时阻止他们第36页SCSP 关键系统多重防护功效NetworkProtection(Host IPS) ExploitPrevention(Host IPS)SystemControls(Host IPS)Auditing &Alerting(Host IDS)Symantec Critical System Prot

14、ection 限制应用和操作系统行为阻止缓冲区溢出攻击检测零日攻击降低系统宕机时间操作系统加固监控日志和安全事件 归并并转发日志到SSIM平台 智能事件响应阻止后门限制应用程序网络连接限制进出流量主机防火墙功效默认策略即可有效保护系统锁定系统配置和设定注册表保护文件系统保护强制遵从安全策略限制用户权限限制移动存放设备第37页行为监控内容未授权系统配置更改未授权管理权限更改及滥用用户登录、退出，和失败登录操作命令和参数主要文件未授权访问、更改变更内容注册表更改（针对Windows平台)38Presentation Identifier Goes Here第38页信息控制39Presentatio

15、n Identifier Goes Here第39页信息防泄露第40页信息泄露情况：产生-传输-使用全过程信息泄漏环境信息外发和活动监控存放发觉和信息整理邮件外发、上网第三方数据库交流移动媒体端点监控木马文件服务器第41页信息防泄漏从3方面来考虑信息泄露风险，保障企业关键信息安全因为统方信息大多情况是经过个人终端传递出去，我们首先需要考虑问题是，监测存放在终端上医院敏感信息复制、打印、刻录、邮件等行为，经过警讯提醒医务人员风险操作。并在需要情况下实时阻止这些泄密行为考虑到医院内部经过网络通信路径比较多，在网络层监测信息使用者敏感信息传递过程协议监控，包含 email, web, IM, FTP

16、, PTP等。防止经过网络将信息传递出去全部统方数据都经过HIS服务器取得，经过DLP监控医务人员对于HIS服务器数据查询，及时发觉统方查询和数据取得情况。并建立事件及时报警和审计。提议经过Symnatec DLP 处理方案来到达目标42Presentation Identifier Goes Here第42页医疗行业信息防泄漏需求针对HIS系统服务器上数据查询分级审计进行数据泄密监控针对IT系统中全部导出数据进行数据防泄密监控针对医疗一些关键性报表进行数据防泄密监控对以上监控数据客户端要求阻断功效43Symantec龙湖集团DLP项目测试汇报第43页DLP项目总体目标经过DLP产品重塑企业内

17、部审计流程，符合医疗行业 CFO、内审、IT基础架构对信息防泄漏体系要求经过医疗DLP项目提升医疗系统IT信息化建设信息安全等级，提升医院形象。经过医疗DLP项目，站在更高角度上审阅医疗行业信息安全，完善信息安全基础架构，为业务系统提供更安全保障44Symantec龙湖集团DLP项目测试汇报第44页以保护“信息”为关键最正确实践定义敏感信息监视这些数据怎样被使用建立防泄漏管理机制和流程提升整个医院对信息安全管理参加度将信息安全管理上升到业务风险管理高度把业务部门引入安全管理最正确“切入点”：识别风险监控审计监控信息泄漏风险管了解决方案控制CD/DVD笔记本电脑电子邮件及时消息数据库File 服

18、务器USB 设备终端网络存放防泄漏 策略监控 & 预防发觉 &保护Web邮件Web/ftp 服务器由下属部门主管组成负责制订战略方向，扩大覆盖范围，设定风险防范机制目标，监测标准。确保优先权正确，资源充分，业务单位正在进行数据监测。CISO,CIO应该率领指导委员会，推进业务部门参加数据指标监控，对事件进行补救，并增减政策要求。 统筹管理委员会风险管理部门IT部门业务部门 负责DLP系统管理负责维护系统功效和性能，配置和管理策略、响应规则、用户、角色、工作流系统优调和扩展，监测运行指标 负责部门内事件管理普通风险由部门自己管理高危风险需上报总部风险管理部门定时提交所属部门风险统计数据 负责上报

19、事件和统计数据管理风险管理部门给出明确风险等级定义明确哪个等级事件必须上报管理上报事件，进行调查和取证定时按统计数据进行排名，排名结果记入KPI指标必要时，开启紧急响应流程。联络公关部门，外部法律机构减小或消除负面影响理念方案方法论结合实际最正确实践45Symantec龙湖集团DLP项目测试汇报第45页Symantec能够帮助您怎样来预防数据泄漏？发觉监控阻止数据在网络中怎样流动？敏感信息在什么位置?DATA LOSS PREVENTION (DLP)第46页DLP工作原理管理管理发觉识别扫描目标运行扫描以发觉网络及端点上敏感数据data启用或自定义策略模板补救并汇报风险降低监控保护检验发送数

20、据 外设检测监控网络与端点事件禁止、删除或加密隔离或复制文件外设控制通知员工及其经理47Presentation Identifier Goes Here第47页文件密级划分（绝密、机密、秘密、公开）在做DLP项目之前最好经过内审对医院涉密数据统计分析，形成了量化需求。医院内审需求经过IT信息防泄漏软件执行到达高层对信息安全要求48Presentation Identifier Goes Here第48页49报表识别(正则表示式方式识别)统方统计表识别序号s1,10科室编号s1,10医生代码s1,10药品名称s1,10药品用量s1,10单价s1,10总价经过对统方表格识别，到达统方审计问题。第

21、49页密级分类及控制方式50Symantec龙湖集团DLP项目测试汇报第50页泄密事件追溯第51页安全管理及审计第52页安全管理和审计很多安全管理软件会产生大量安全日志，假如不进行管理分析这些安全处理方案作用 就被消弱。针对于可能发生“统方”事件以及其它对医院影响较大安全事件。必须能够及时发觉、定位、报警以及事后审计。及时发觉“统方”事件和全部其它严重安全事件定位“统方”事件发生源、时间、人员以及影响范围对于主要时间及时报警通知管理员采取办法全部安全事件能够被事后审计、分析、评定。并能够提供分析报表。第53页日志引入日志 原始凭证、记账凭证：统计我们出差整个过程。做到有证可查。审计功效IT系统

22、日志 -统计IT活动过程和状态。入侵告警日志病毒安全日志网络链路日志用户活动日志系统性能统计业务相关日志。第54页日志带来IT价值建立工业安全架构标准取得ROI或者降低开支为企业产生报表IT操作过程控制遵从网络设备安全接入市场准入法规遵从追踪可疑行动和用户活动法律判定和关联信息泄露防护第55页归纳总结安全保障追踪取证安全威胁分析和响应策略调优IT运行故障监控、预防蠕虫暴发服务水平提升资源优化法规标准等合规要求COBITISO27002SOX法案等级保护第56页57Symantec Security Information Manager Identified .threatsKnown vul

23、nerabilitiesBusiness-critical IT assetsRisk-based Prioritization Threat DeterminedFirewalls/VPNIntrusionDetectionSystemsVulnerabilityAssessmentNetworkEquipmentServer and Desktop OSAnti-VirusApplicationsDatabasesUser Activity MonitoringCritical file modificationsPolicy ChangesMalicious IPTraffic WebT

24、raffic Tens of Millions:Raw Events Millions:Security Relevant Events Hundreds:Correlated Events第57页Symantec Security Information ManagerSymantec Security Information Manager (SSIM) 是安全信息和事件管理统一平台,他能帮助用户:搜集并分类安全日志识别并处理重大安全事件满足在安全监控和日志存贮方面审计和合规需求衡量安全控制有效性58Presentation Identifier Goes Here第58页业务安全-内部操

25、作违规口令猜测系统层面针对不一样账号进行口令猜测系统层面针对同一个账号进行口令猜测时间违规用户系统层面非计划时间内变更审计用户网络层面非计划时间内变更审计起源违规面地址段登录生产和测试网段网络设备桌面地址段登录生产和测试网段网络设备并更改配置发觉桌面地址段到生产和测试网段成功访问行为访问路径违规绕过USP系统直接登录操作系统用户经过USP登录目标系统后二次跳转行为绕过网络运维平台登录网络设备并更改配置绕过网络运维平台在ACS账号登录网络远程VPN用户接入后绕过USP登录主机远程VPN用户绕过网络运维平台登录网络设备更改配置重大影响性操作用户USP高危操作行为敏感对象操作用户USP敏感操作行为内部操作违规第59页60SSIM/Complianc