某军区陆军总医院
责任编辑:盈高科技 时间:2020-03-24 浏览次数:10445
项目简介
某军区陆军总医院终端众多,网络规模庞大,网络建设较早,终端用户技术水平各有高低且医院做为一个开放的服务机构每天来往的人员多,身份复杂,导致计算机终端在使用过程中存在着应用、管理、安全等多方面问题。
需求分析
目前该军区陆军总医院面临较为典型的问题终端连接入网不受制约、内网终端实际接入情况不明、终端位置不明、内网终端违规访问外网、计算机防病毒工具不能有效使用、私自更改IP地址,同时单位内部计算机硬盘中机密文档缺乏有效的保护管理基本依赖于终端所有者个人的安全保护意识。具体总结有如下急需解决的问题:
1.做到全无盲点的准入控制。
2.在准入控制的同时不改变网络拓扑。
3.实现对全网透视化管理,精确定位终端
4.保证接入网络的每一台终端都是符合内部安全规范的,对不合规的机器智能化修复。
5.落实终端对杀毒软件、移动存储介质软件的安装。
6.防止内网终端违规访问外网
应用规模
对全院内网进行终端准入控制,共约3000个终端 ,涵盖有线/无线全类型终端.
解决方案
在生产网和办公网分别部署一台ASM对接入服务区的终端进行管控,全网共采用两台准入设备做HA双机热备,准入技术选择策略路由技术接入在核心交换,管理全网接入终端。具体方案包括:
1. PC类终端:采用WEB重定向方式引导终端进行入网流程操作,实现友好快速部署.
2. 手持无线终端:采用无客户端模式,友好web引导界面,快速实施部署,使用人员无抵触情绪。
3. 强身份认证:非授权用户接入网络需要身份认证,在用户身份认证时,可绑定用户接入IP、MAC、接入设备IP、端口等信息,进行强身份认证,防止帐号盗用、限定帐号所使用的终端,确保接入用户的身份安全。
4. 网络隔离区:对于安全状态评估不合格的用户,可以限制其访问权限,被隔离到网络隔离区,待危险终端到达安全级别后方可入网;
5. 软件安装和运行检测:检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离。
6. 严格的终端管理:针对U盘管理/违规外联这类严重危携安全的策略配置全时段的管理(离线生效),对违规设备或操作进行阻断.
价值收益
通过部署以上解决方案,单位实际工作获得如下成效:
1、对外来人员进行有效的管理,防止其接入单位网络访问重要的服务器,窃取单位的重要资料等;
2、建立可控的“监测、审计、预警、阻断”安全机制,防止终端电脑内外网混用,阻断了各种形式的非法外联;
3、规范入网终端,掌控终端动态,并进行全面而细致的审计和分析,为信息安全管理提供决策依据
4、规范移动存储设备的安全使用,明确工作U盘和私人U盘的使用界限,减少文档流失和病毒的进入;
5、规范和简化了维护人员日常的工作