1、医疗行业统方问题解决方案,医院“统方”第一案,海宁市人民医院信息科主要负责电脑硬件、软件和网络等管理工作从2004年开始每月向药品经销商沈某提供医院保密的统方资料受贿14万多元,王力,回扣门,2010年5月,宁波市第一医院部分医生受贿清单被曝光;2010年11月,杭州6家医院和一家名为“泰瑞医疗”的医药公司的回扣交易内容被曝光,医院回扣清单曝光,卫生部:严禁医院为商业目的“统方”,对于违反规定,未经批准擅自“统方”或者为商业目的“统方”的,不仅要对当事人从严处理,还要严肃追究医院有关领导和科室负责人的责任。,卫生部:,“统方”途径来自万能的网友,统方信息泄露途径,医生工作站等终端进行非授权统计
2、药房等具备统计权限的用户被冒用外来计算机通过黑客手段获取网络的用户信息统方数据被传出计算机(打印、拷贝、邮件)外部人员私自通过查询数据库的方式进行统计,如何防范统方信息泄露,如何防止终端用户滥用这个信息(打印、拷贝、外发)如何控制其他人员入网使用这些信息如何从系统和应用软件上规范用户权限管理(例如只有固定的用户有权做这种操作,他们的密码受控)如何追踪数据库操作确定发生的具体情况如何将上述各项安全措施的日志做综合分析,以便不断改进监控策略,统方信息防泄漏关键点,客户端控制服务器端控制事后审计,安全建设建议流程,端点控制,信息中心,信息管理,防范统方信息泄露解决方案,终端控制终端权限控制(AD、T
3、oken、VeriSign)终端防护 (SEP)终端准入控制 (SNAC)标准化集中控管 (Altiris CMS)工作区虚拟化 (SWC/R)数据中心控制服务器加固(SCSP)信息管理信息防泄露 (DLP)安全管理及审计 (SSIM),终端控制,终端权限控制,为何终端权限控制,使用者私自修改IP地址使用者私自安装软件,威胁到整个网络安全使用者随意添加硬件使用者随意关闭或卸载安全防护软件使用者使用迅雷等下载工具,阻碍网络的正常工作。,如何进行终端权限限制,Presentation Identifier Goes Here,14,对客户端用户重新授权,收回客户端管理员权限,终端防护,为何需要终端
4、防护,病毒,木马,黑客,恶意程序,防病毒/防间谍软件,入侵防护(主机),防火墙,设备控制,主侵防护(网络),应用程序控制,终端防护,Symantec 防病毒与先进的威胁防护技术结合起来单一的解决方案提供终端安全防护单代理、单控制台,结果:,终端准入控制,避免 事后处理,屏蔽 不安全接入,规范 接入行为,铲除 威胁源头,从纸面的管理口号到技术上的策略遵从,传统的方法,通告 红头文件,邮件 电话通知,管理 规章制度,罚款 通报批评,Symantec的方法,Enforce,针对策略检查配置的遵从性,第3步,Remediate,基于策略检查的结果采取措施,第4步,准入控制能干什么,谁可以进入服务器网访
5、问哪台服务器访问什么端口(应用)桌面运行什么程序访问特定端口不能获取什么数据,23,终端标准化集中管理,支持不同种类的平台,资产管理,客户端和移动用户管理,Network资产部署Network DevicesSite 监控,Windows资产部署补丁管理软件分发打包工具应用软件管理远程控制Windows 网管服务器监控备份与修复,UNIX/Linux资产部署补丁管理2软件分发Windows 网管3服务器监控备份与修复2,Macintosh资产补丁管理2软件分发2,Windows资产部署补丁管理软件分发打包工具应用软件管理远程控制Windows 网管个性化迁移应用测量备份与修复,Handheld
6、资产部署软件分发2打包工具,服务器管理,工作区虚拟化,虚拟化,对于重要的业务和应用,建议通过虚拟化桌面或虚拟化应用程序来进行使用。所有应用计算都在后台服务器上进行,所有数据也存放在服务器上。隔离终端对关键业务和关键数据的访问,降低数据的使用风险解决应用由于权限不足的兼容性问题降低数据泄漏风险。建议通过Symantec SWC/R来实现,动态工作区管理,Presented Apps and/or DesktopsTask workersShared compute,Virtual desktopsHigh securityDedicated computing,Virtual PCsPower
7、usersThin client access,Rich Client PCProfessionalsHigh graphic applications,SAN / StorageCommon storeSecure dataBacked up,Rich Client PCMobile workersFrequently disconnected,Terminal ServerProfilesApplicationsDesktop,HypervisorProfilesApplicationsDesktop,PC BladeProfilesApplicationsDesktop,DesktopP
8、rofilesApplicationsDesktop,LaptopProfilesApplicationsDesktop,StorageData(Profiles),Hypervisor,PC Blade,Desktop,Laptop,Terminal Server,Storage,硬件和基础架构(混合架构),Citrixor Microsoftor Altiris, etc.,VMwareor Microsoftor Sun, etc.,Symantecor NetAppor EMC, etc.,Altirisor Microsoftor Dell or HP, etc.,Altirisor
9、 Microsoftor Dell, etc.,Altirisor Microsoftor Dell, etc.,一致的动态工作区,自动的工作区控制用户设备位置,Managed by:,Workspace Corporate,Symantec Endpoint Virtualization Suite,桌面,应用,配置,数据,数据中心控制,服务器加固,如何阻截已经射出的子弹?,Symantec Critical System Protection,维持系统的策略依从加固系统入侵检测入侵防护减少管理复杂程度提升产品的管理能力,防止零日攻击加固日志系统, 日志转发, 和日志监控对无法立即安装补丁程
10、序或锁定的系统提供防护企业级的报表功能通过简单,集中的策略创建管理系统降低企业用于资产保护的成本,目的,提供,怀有恶意的内部用户攻击系统未知攻击针对: 内存 文件系统 注册表 操作系统 应用终端用户违背企业安全策略,预防,核心HIS、LIS服务器安全加固,医院HIS、LIS服务器安全极为重要,一旦HIS、LIS有安全风险,造成的后果不仅仅是数据丢失,而且会造成医院业务可用性故障。加固HIS、LIS等核心服务器的安全,避免服务器受到恶意内部或者外部人员的攻击。避免由于攻击行为而造成数据的泄露和服务器的停顿。考虑到医院内有很多的维护供应商,包括软件的和硬件以及业务维护人员。这些人员经常会进入到机房
11、甚至操作服务器。这些人员无意思的操作风险或者有意识的渗透都会造成数据泄密和服务器停顿的风险。需要监控 这些人员在服务器上的操作,并在他们执行危险操作时阻止他们,SCSP 关键系统多重防护功能,Symantec Critical System Protection,限制应用和操作系统的行为阻止缓冲区溢出攻击检测零日攻击减少系统宕机时间操作系统加固,监控日志和安全事件 归并并转发日志到SSIM平台 智能事件响应,阻止后门限制应用程序的网络连接限制进出流量主机防火墙功能默认策略即可有效保护系统,锁定系统配置和设定注册表保护文件系统保护强制遵从安全策略限制用户的权限限制移动存储设备,行为监控内容,未授
12、权的系统配置更改未授权的管理权限更改及滥用用户登录、退出,和失败登录操作命令和参数重要文件未授权访问、更改变更内容注册表的更改(针对Windows平台),38,信息控制,39,信息防泄露,信息泄露的状况:产生-传输-使用的全过程,信息泄漏环境,信息外发和活动监控,存储发现和信息整理,邮件外发、上网,第三方,数据库,交流,移动媒体,端点监控,木马,文件服务器,信息防泄漏,从3方面来考虑信息泄露风险,保障企业核心信息安全由于统方信息大多情况是通过个人的终端传递出去,我们首先需要考虑的问题是,监测存放在终端上的医院敏感信息的复制、打印、刻录、邮件等行为,通过警讯提醒医务人员风险操作。并在需要的情况下
13、实时阻止这些泄密行为考虑到医院内部通过网络的通信途径比较多,在网络层监测信息使用者敏感信息传递过程协议监控,包括 email, web, IM, FTP, PTP等。避免通过网络将信息传递出去所有的统方数据都通过HIS服务器获得,通过DLP监控医务人员对于HIS服务器的数据查询,及时发现统方查询和数据获得情况。并建立事件及时报警和审计。建议通过Symnatec DLP 解决方案来达到目标,42,医疗行业信息防泄漏需求,针对HIS系统服务器上的数据查询分级审计进行数据泄密的监控针对IT系统中所有导出的数据进行数据防泄密的监控针对医疗一些关键性报表进行数据防泄密的监控对以上监控数据客户端要求阻断功
14、能,43,DLP项目总体目标,通过DLP产品重塑企业内部审计流程,符合医疗行业 CFO、内审、IT基础架构对信息防泄漏体系的要求通过医疗DLP项目提升医疗系统IT信息化建设信息安全等级,提升医院形象。通过医疗DLP项目,站在更高的角度上审视医疗行业信息安全,完善信息安全基础架构,为业务系统提供更安全的保障,44,最佳实践,定义敏感信息监视这些数据如何被使用建立防泄漏的管理机制和流程提升整个医院对信息安全管理的参与度将信息安全管理上升到业务风险管理的高度,45,把业务部门引入安全管理的最佳“切入点”:,理念,方案,方法论,结合实际的最佳实践,Symantec可以帮助您,如何来防止数据泄漏?,发现
15、,监控,阻止,敏感信息在什么位置?,DATA LOSS PREVENTION (DLP),DLP工作原理,Presentation Identifier Goes Here,47,管理,发现,识别扫描目标运行扫描以发现网络及端点上的敏感数据data,启用或自定义策略模板,补救并报告风险降低,监控,1,2,3,保护,4,5,检查发送的数据 外设检测监控网络与端点事件,禁止、删除或加密隔离或复制文件外设控制通知员工及其经理,文件密级划分(绝密、机密、秘密、公开),48,在做DLP项目之前最好通过内审对医院涉密数据统计分析,形成了量化需求。,医院内审需求,通过IT信息防泄漏软件执行,达到高层对信息安
16、全的要求,报表识别(正则表达式方式识别),统方统计表识别序号s1,10科室编号s1,10医生代码s1,10药物名称s1,10药物用量s1,10单价s1,10总价通过对统方表格的识别,达到统方审计问题。,49,密级分类及控制方式,50,泄密事件追溯,安全管理及审计,安全管理和审计,诸多安全管理软件会产生大量的安全日志,如果不进行管理分析这些安全解决方案的作用 就被消弱。针对于可能发生的“统方”事件以及其他对医院影响较大的安全事件。必须能够及时发现、定位、报警以及事后审计。及时发现“统方”事件和所有其他严重安全事件定位“统方”事件的发生源、时间、人员以及影响范围对于重要时间及时报警通知管理员采取措
17、施所有安全事件可以被事后审计、分析、评估。并能够提供分析报表。,日志的引入,日志 原始凭证、记账凭证:记录我们出差的整个过程。做到有证可查。审计功能IT系统的日志 -记录IT活动的过程和状态。,入侵告警日志病毒安全日志网络链路日志用户活动日志系统性能记录业务相关日志。,日志带来的IT价值,建立工业安全架构标准获得ROI或者降低开支为企业产生报表IT操作过程控制遵从网络设备安全接入市场准入的法规遵从追踪可疑行动和用户活动法律鉴定和关联信息泄露防护,归纳总结,法规标准等合规要求,COBIT,ISO27002,SOX法案,等级保护,Symantec Security Information Mana
18、ger,57,Identified .threats,Known vulnerabilities,Business-critical IT assets,Risk-based Prioritization,Threat Determined,IntrusionDetectionSystems,VulnerabilityAssessment,NetworkEquipment,Server and Desktop OS,Anti-Virus,Applications,Databases,User Activity Monitoring,Critical file modifications,Pol
19、icy Changes,Malicious IPTraffic,WebTraffic,Tens of Millions:Raw Events,Millions:Security Relevant Events,Hundreds:Correlated Events,Symantec Security Information Manager,Symantec Security Information Manager (SSIM) 是安全信息和事件管理的的统一平台,他能帮助用户:收集并分类安全日志识别并解决重大安全事件满足在安全监控和日志存贮方面的审计和合规需求衡量安全控制的有效性,Presenta
20、tion Identifier Goes Here,58,业务安全-内部操作违规,口令猜测系统层面针对不同账号进行口令猜测系统层面针对同一个账号进行口令猜测时间违规用户系统层面非计划时间内变更审计用户网络层面非计划时间内变更审计来源违规面地址段登录生产和测试网段的网络设备桌面地址段登录生产和测试网段的网络设备并更改配置发现桌面地址段到生产和测试网段的成功访问行为访问路径违规绕过USP系统直接登录操作系统用户通过USP登录目标系统后二次跳转行为绕过网络运维平台登录网络设备并更改配置绕过网络运维平台在ACS的账号登录网络远程VPN用户接入后绕过USP登录主机远程VPN用户绕过网络运维平台登录网络设
21、备更改配置重大影响性操作用户USP高危操作行为敏感对象操作用户USP敏感操作行为,内部操作违规,60,SSIM/Compliance,61,SSIM/Management,进程管理新增未知进程报告,62,产品:SIM+SCSP应对:利用非法/恶意进程进行违规操作;及时发现攻击迹象,63,网络端口管理周期检查,产品:SIM+SCSP应对:结合进程管理,及时发现攻击迹象,关键配置文件监控,64,配置文件变更监控监控配置文件创建、修改、删除配置文件差异比对(内容、owner、group、权限),增加内容,删除内容,产品:SIM+SCSP应对:及时发现更为隐蔽的恶意行为,总结,权限控制,终端防护,虚拟
22、化,防泄露,加固,准入控制,集中控管,安全审计,防范统方信息泄露解决方案,终端控制终端权限控制(AD、Token、VeriSign)终端防护 (SEP)终端准入控制 (SNAC)标准化集中控管 (Altiris CMS)工作区虚拟化 (SWC/R)数据中心控制服务器加固(SCSP)信息管理信息防泄露 (DLP)安全管理及审计 (SSIM),67,Symantec Proprietary & Confidential - This information is not a commitment, promise or legal obligation to deliver any material, code or functionality,网络准入控制 Lan Enforcer GW Enforcer DHCP Enforcer P2P Enforcement,Symantec解决方案,总结,终端保护 Anti-malware Firewall HIPS App. Ctrl. Device Ctrl,服务器安全加固零日攻击违规操作入侵防护,安全审计 事件收集 关联分析及时报警事后审计,68,问题?,
