第一篇:电脑终端安全系统管理办法
电脑终端安全系统管理办法
为了加强计算机终端信息安全管理,促使员工规范安全的使用网络及信息系统,切实保障公司IT资产的完整可靠,同时鉴于本系统的敏感性,特制定本办法。实施范围:控股集团总裁班子除外的所有员工(含如山创投及事业部)。设置专用服务器安装终端安全服务端系统,指定专人管理。3 系统管理员密码须由两人以上分段保管,每一个月必须修改一次。以下软件、网站等在工作时间段予以禁用:
4.1 各类下载工具软件,如迅雷、FlashGet等P2P软件。
4.2 游戏软件、游戏插件、娱乐软件。
4.3 色情、反动、游戏等网站。下列软件在工作时间段如需开通,必须经本部门负责人批准,报企管部审核,并进行台账登记管理。
5.1 即时通讯软件,如QQ、MSN、飞信等。
5.2 股票软件、期货软件。
5.3 其它除禁用软件以外且与工作无关的软件。禁止修改计算机名称、IP地址等属性,未经信息管理部同意禁止重装系统、卸载终端安全系统客户端。本系统由控股集团信息管理部指定人员负责维护,定期检查系统运行状况及客户端运行情况。
8员工若违反下述条款,给予50-1000元的负激励,并在集团OA上通报批评。情节严重的,给以待岗或辞退处理,构成犯罪的将移交司法机关处理。
8.1 未经信息管理部同意,私自重装操作系统。
8.2 私自卸载或禁止终端安全客户端软件。
8.3 攻击公司的网络系统、服务器等;对软件进行反向工程,如反汇编、反编译等。
8.4 系统管理员利用系统私自查看及获取他人数据。
8.5 上述行为同时违反保密管理标准的,同时按保密管理标准规定进行考核。
9本办法适用于盾安控股集团有限公司,由信息管理部提出并负责解释。
第二篇:计算机终端安全管理办法
计算机终端安全管理办法
第一章 总则
一、为了保护计算机系统、本地DCN网络的安全,促进本公司各类信息系统、计算机终端、网络的应用和发展,保证DCN网络上的各个系统的稳定运行,特制定本办法。
二、本办法所称的系统、网络、终端,是指运行在泰安本地DCN网络上的服务器、网络设备及个人使用的计算机终端。
三、系统管理员、网络管理员、所有系统使用人员及所有计算机终端使用人员都有义务遵照本办法执行与维护系统、网络安全运行。
第二章
硬件安全
四、各种网络设备、接入网络的计算机终端设备所使用电源都必须符合设备安装使用规范。网络设备所用电源必须有良好的接地,必须有可靠的稳压保护措施,重要的核心网络设备、小型计算机与客服相关计算机终端必须配有UPS。
五、各种系统、网络设备、计算机终端在安装过程中应严格按照安装手册中指定步骤和要求进行施工;确保各种设备通风散热良好。
六、本地DCN网络系统的安全运行和系统设备管理维护工作由信息化支撑中心负责,未经信息化支撑中心同意,任何单位和个人,不得擅自安装、拆卸网络设备,不得私自增减和改动网络节点。
七、除信息化支撑中心网络管理员外,任何人不得修改网络设备的软硬件配置,不得更换交换机或路由器端口。
八、如确因工作需要调整网络配置或端口配置,应先征得信息化支撑中心的同意,调整完毕后将调整情况通报信息化支撑中心网络管理
员,以方便网络资料的归档与更新。
九、任何单位和个人从事施工、建设时,不得危害计算机系统、本地DCN网络与计算机终端的安全。
第三章 软件安全
十、接入DCN网络的计算机终端,应确保安装正版操作系统,并安装相应的系统补丁(windowsXP操作系统至少安装SP2补丁)。安装公司统一要求的防病毒软件诺顿后方可接入DCN网络。
十一、个人终端设置开机密码和屏保密码,入域机器自动符合符合集团的相关要求(密码长度至少为8位,且包含大写、小写、数字、特殊字符中任意两种字符),屏保时间设置为10分钟以内;未入域机器通过定期或不定期抽查的方式控制密码设置情况。
十二、严禁在DCN网络运行的服务器、计算机终端上使用未经授权、来历不明的应用软件;严禁使用可能携带病毒的软件,对于网络上的系统软件,应及时查阅有关资料,找出其存在的BUG,并及时打补丁。
十三、任何单位和个人不得在系统网络及其联网计算机上传送危害国家安全、通信公司安全的信息及个人隐私(包括多媒体信息),不得录阅传送淫秽、色情资料。
十四、网络的IP地址是网络中的重要的资源。IP地址配置不当将会引起地址冲突,给网络安全带来隐患。IP地址应由网络管理员按计划分配和回收。维护人员在给节点分配IP地址时,应在规定的地址段内按地址由低至高依次分配,并将配置资料交网络管理员。任何IP地址的使用人员不得随意更改IP地址信息。
第四章 网络互联
十五、任何单位和个人不得私自将DCN网络内的计算机接入其他网络(包括其他专业承载网络),不得将本DCN网络和其他网络互联(包括其他专业承载网络)。
十六、任何单位和个人不得私自将DCN内的终端接入INTERNET,确保完全双网隔离,不允许双网卡及双网互换。
十七、任何单位和个人不得私自开设代理服务器、MAIL服务器、和www.xiexiebang.com网络互连,必须采用134.40.*.*、10.73.*.*、130.17.*.*规范地址。如确实不能采用规范地址的,必须采用地址转换技术接入。内部网络互连需经网运部批准后方能实施。
第五章
病毒防护
二十、为防止病毒感染,各种操作系统在安装后都应及时安装防病毒软件及操作系统的补丁。对于每台新入L_DCN网络的计算机,都必须经过信息化支撑中心的检查后才能接入。检查的内容:操作系统的补丁安装情况、SQLServer的补丁安装情况、Norton客户端及其他防毒软件的安装情况,及时更新情况等内容。
二十一、计算机终端使用人员应定期或不定期对系统进行查杀病毒,对病毒的感染情况和双网隔离情况进行及时上报。
二十二、任何可能携带病毒的软件一律不得在系统上安装使用。二
十三、信息化支撑中心做为计算机安全的主办部门,负责对病毒、入侵攻击事件的监控。
二十四、管理人员应了解最新的病毒信息和病毒动向,及时发布反病毒公告,及时下载杀毒防毒补丁及病毒专杀工具。
二十五、由于计算机信息安全是一个群众性的日常工作,为了进一步加强计算机信息安全的力度,成立计算机信息安全小组。各县市分公司、岱岳分公司指定二名同志、市公司各单位指定一名同志作为计算机信息安全员。计算机信息安全小组受市公司运维部领导,在信息化支撑中心指导下开展日常工作。计算机信息安全员的职责如下:
1、负责本部门计算机信息安全管理制度的落实和监督;
2、负责本部门日常计算机查毒、杀毒、操作系统补丁的安装及计算机共享的管理;
3、检查Norton杀毒软件的安装及更新情况,及其它杀毒软件的手工病毒代码更新,杀毒软件的定期执行;
4、如果发现计算机病毒或操作系统的漏洞,要及时通知信息化支撑中心做病毒情况记录,考虑整体防范方案。
第六章、考核办法
二十六、计算机终端安全管理办法的执行情况纳入各部门绩效考核运维基础管理中。
二十七、信息化支撑中心应每天对诺顿病毒情况与入侵攻击事件进行监控,通知事件较多的相关部门,并协助其进行相应的病毒查杀等工作。如果信息化支撑中心未及时对病毒及威胁情况进行通报或者通知,应当对信息化支撑中心进行责任追究。
二十八、在监控中病毒事件较多的部门,应当积极配合信息化支撑中心对计算机进行病毒的查杀工作。
二十九、对于连续一周内,病毒或者入侵事件排在第一位的单位,进行责任追究并予以扣分处理,同时进行信息安全通报。
三
十、对于每天监控中,病毒或者入侵事件超过100的计算机进行封网处理。
三
十一、对于每天监控中,病毒或者入侵事件超过200的计算机进行封网处理。同时对所在单位,进行责任追究并予以扣分处理,进行信息安全通报。
三
十二、每周对一周内病毒或者入侵事件的前十名计算机终端进行信息安全通报。
三
十三、市公司运维部、信息化支撑中心每月抽查部分部门或部分计算机设备一次。检查要点如下:
1、有无感染病毒的计算机设备(不论病毒来源);
2、有无使用双网卡、双网线、拨号设备等方法在企业内部网计算机上交替上互联网的情况;
3、每台计算机Norton网络版杀毒软件的安装、更新、运行情况。因计算机性能低无法安装Norton的应替换为其他杀毒软件;
4、企业内网计算机上有无游戏等非工作用软件的安装; 5、计算机信息安全管理制度所规定的其他内容。
第三篇:卫星移动通信系统终端地球站管理办法
【发布单位】工业和信息化部
【发布文号】工业和信息化部令第19号 【发布日期】2011-04-21 【生效日期】2011-06-01 【失效日期】
【所属类别】国家法律法规 【文件来源】中国政府网
卫星移动通信系统终端地球站管理办法
工业和信息化部令第19号
《卫星移动通信系统终端地球站管理办法》已经2011年3月23日中华人民共和国工业和信息化部第17次部务会议审议通过,现予公布,自2011年6月1日起施行。
部 长:苗 圩
二〇一一年四月二十一日
卫星移动通信系统终端地球站管理办法
第一条 为了规范卫星移动通信系统终端地球站的设置使用,避免和减少卫星移动通信系统之间、卫星移动通信系统与其他无线电业务系统之间的干扰,根据《中华人民共和国无线电管理条例》,制定本办法。
第二条 在中华人民共和国境内设置使用卫星移动通信系统终端地球站,适用本办法。
本办法所称卫星移动通信系统终端地球站(以下简称“移动地球站”),是指使用卫星移动业务频率的卫星移动通信系统中民用的船载终端、航空器载终端、车载终端、固定终端、便携式终端和手持机。
第三条 设置使用移动地球站的,应当使用中华人民共和国工业和信息化部(以下简称“工业和信息化部”)批准的卫星移动通信系统或者卫星移动业务频率,通过工业和信息化部批准的境内关口地球站进行通信,并通过国家批准的在境内经营卫星移动通信业务的服务提供者(以下简称“境内经营者”)办理入网手续。但是,本办法另有规定的除外。
第四条 设置使用卫星移动通信系统车载终端、固定终端、便携式终端和手持机(以下统称“陆地移动地球站”)的,应当按照本办法的规定向无线电管理机构申请办理无线电台注册登记手续,领取电台执照。
在具有中华人民共和国国籍的船舶或者航空器上设置使用卫星移动通信系统船载终端、航空器载终端的,应当按照《中华人民共和国无线电管理条例》的规定办理设置使用无线电台手续,领取电台执照。
第五条 工业和信息化部委托省、自治区、直辖市无线电管理机构负责受理陆地移动地球站无线电台注册登记手续的申请,核发电台执照。
第六条 陆地移动地球站的设置使用人可以自行办理无线电台注册登记手续,也可以委托为其办理入网手续的境内经营者代办。
第七条 陆地移动地球站的设置使用人或者其代理人应当向设置使用人住所地的省、自治区、直辖市无线电管理机构申请办理无线电台注册登记手续,领取电台执照。
申请办理无线电台注册登记手续,应当提交下列材料:
(一)《移动地球站注册登记申请表》(附录一);
(二)单位证明或者个人身份证明材料的原件、复印件或者扫描件;
(三)已办理相关卫星移动通信系统入网手续的证明材料的原件、复印件或者扫描件。
受理单位在验证前款第二项、第三项材料的真实性后应当及时将原件退还申请人。
申请人可以通过受理单位指定的信息系统,进行网上申请。
第八条 申请材料不全、不符合法定形式的,无线电管理机构应当当场或者在五个工作日内一次告知申请人需要补正的全部内容。
申请材料齐全、符合法定形式和本办法规定的,无线电管理机构应当当场或者在二十个工作日内核发电台执照;不符合规定条件的,应当书面通知申请人不予核发电台执照并说明理由。
第九条 变更已领取电台执照的陆地移动地球站的设备或者使用人的,应当按照本办法的规定重新办理无线电台注册登记手续,换发电台执照。
停止使用已领取电台执照的陆地移动地球站的,应当到原发照机构办理注销手续,交回电台执照,并告知设备处理情况。
第十条 无线电管理机构应当自核发、换发或者注销电台执照之日起三十日内,将相关陆地移动地球站的有关资料和电台执照编号录入工业和信息化部的无线电管理相关数据库。
第十一条 境内经营者入网开通各种类型或者型号的陆地移动地球站设备,应当提前四十五日填写《移动地球站技术资料备案表》(附录二),报工业和信息化部备案。
资料齐备、真实的,工业和信息化部应当在相关设备入网使用前将上述陆地移动地球站技术资料录入工业和信息化部无线电管理相关数据库,并通知各省、自治区、直辖市无线电管理机构。
第十二条 境内经营者为陆地移动地球站设置使用人办理入网手续,应当告知其需按照本办法的规定办理无线电台注册登记手续,领取电台执照。
第十三条 境内经营者应当按照工业和信息化部的要求报送系统中移动地球站的有关资料,配合无线电管理机构对系统中移动地球站进行的监督管理。
第十四条 应对突发事件、危及人民生命财产安全等紧急情况的,可以临时设置使用未取得电台执照的陆地移动地球站,但是应当及时向临时设置使用地的省、自治区、直辖市无线电管理机构报告。紧急情况解除后需要继续使用的,应当按照本办法的规定办理无线电台注册登记手续,领取电台执照。
第十五条 临时设置使用移动地球站,涉及使用未经批准的卫星移动通信系统或者卫星移动业务频率的,应当向工业和信息化部提出申请。经审查批准、领取电台执照后方可设置使用,使用期限不得超过六个月。
第十六条 境外短期来华的团体和个人拟临时入境使用已在境外办理入网手续的陆地移动地球站的,由国内接待单位或者对口的业务主管部门向工业和信息化部提交书面申请、使用人身份证明材料和相关技术材料。经审查批准、领取电台执照后方可在境内设置使用,使用期限不得超过六个月。
第十七条 外国船载、航空器载移动地球站需要在我国境内使用的,其使用的频率应当经工业和信息化部批准,并遵守中华人民共和国缔结或者参加的国际条约和中华人民共和国的法律规定。
第十八条 移动地球站的设置使用人,应当接受无线电管理机构对其使用的设备和无线电台执照的核验和监督检查。第十九条 违反本办法第三条、第十五条、第十六条规定,擅自设置使用陆地移动地球站的,按照《中华人民共和国无线电管理条例》第四十三条的规定处罚。
第二十条 违反本办法第四条第一款、第九条第一款规定的,由有关省、自治区、直辖市无线电管理机构责令限期改正;逾期不改的,按照《中华人民共和国无线电管理条例》第四十三条的规定处罚。
第二十一条 各国驻中华人民共和国使(领)馆和享有外交特权与豁免的国际组织驻中华人民共和国的代表机构设置使用移动地球站、外国领导人访华临时设置使用移动地球站的,应当事先通过外交途径向工业和信息化部提出申请。
第二十二条 本办法自2011年6月1日起施行。
本内容来源于政府官方网站,如需引用,请以正式文件为准。
第四篇:电脑管理办法
XXX(公司)
办公用电脑检查工作实施方案
为规范公司内计算机的使用和管理,有效杜绝违法反“四风”建设的上网行为,更好的营造积极向上的工作氛围,根据《临汾市烟草专卖局(公司)终端计算机使用管理办法》和反“四风”整顿办公室要求,结合本公司使用实际,制定本办法。
一、组织领导
为规范全市系统员工上网行为,确保全市系统办公用电脑符合反“四风”建设要求,切实加强全市系统计算机网络信息安全。市局成立办公用电脑检查工作领导小组。领导小组设在市局(公司)反“四风”整顿办公室,信息中心协助检查工作。
二、检查内容
1.是否存在上班时间观看网络电影、电视,进行聊天和网 络(单机)游戏。
2.是否存在上班时间使用BT、迅雷、电驴、网际快车等工具下载电影、电视、游戏等文件。
3.是否访问不健康网站,计算机中有无下载非法影像、图片和软件。
4.计算机是否安装与工作无关软件,主要包括下载、炒股、游戏、聊天、博彩等工具。
5.是否私自修改计算机IP地址等计算机参数,影响局域网内计算机的正常使用。
6.是否将IP地址进行安全注册。
7.是否安装卡巴斯基杀毒软件。
8.是否在非工作时间关机。
9.是否停止windows xp系统的使用。
三、检查范围
全市系统办公用电脑(包括台式机、笔记本、平板电脑等)。
四、检查方式
自查与抽查相结合。各单位首先采取自查,信息科将受反 “四风”整顿办公室委托,对全市系统所有终端计算机进行抽查。
五、检查时间
*月*日前,各单位先根据检查内容进行自查,发现问题立即整改。要清除与工作无关的软件、上网记录、电脑文件等,安装规定的软件,并对IP地址进行注册。
*月*日后,信息科将协助反“四风”整顿办公室对全市系统办公用电脑通过实地检查和网管平台监管进行抽查。
六、处罚措施
由反“四风”办公室处理。
七、检查要求
1、精心组织,做好宣传。各单位要从讲政治的高度严肃认真地对待此次检查工作,精心组织,深入细致地开展宣传动员,把检查的目的、和要求传达到位,确保高标准、高质量地完成检查任务。
2、落实责任,彻底自查。这次检查是本着防患于未然的目的,各单位要实行“拉网式”式自查,必须做到不漏一机。要建立检查档案,加强监督指导。
3、即查即改,不留隐患。各单位对检查中发现的问题要立即纠正。同时,要坚持以查促防、以查促管、以查促改,杜绝各类不符合规定的行为。
4、完善制度,加强管理。各单位要进一步完善制度,针对检查中发现的薄弱环节,对各项制度进行细化,并确保各项制度落到实处,形成长效机制。
第五篇:XX医院终端安全管理系统方案
XX医院终端安全管理系统方案
成都中软计算机技术工程有限公司
二零一二年五月
地址:成都市一环路南一段1号 邮政编码:610041 电话:(028)85454809 传真:(028)8545439
XX医院终端安全管理系统方案
文档说明
首先非常感谢XX医院给予成都中软计算机技术工程有限公司机会参与此次项目,并希望本文档所提供的内容能在本次项目和今后的建设中发挥应有的作用。
特别提示:本文档所涉及到的文字、数据、图表等,仅供成都中软计算机技术工程有限公司机和XX医院内部使用,未经成都中软计算机技术工程有限公司书面许可,请勿泄露第三方!
本文档仅限成都中软计算机技术工程有限公司和被呈送方内部使用,未经许可,请勿扩散到第三方。
XX医院终端安全管理系统方案 1.项目背景
信息网络化对全球政治、经济、军事、科技、文化、社会等各个方面都产生了前所未有的影响。信息网络化使信息公开化、信息利用自由化,其结果是信息资源的共享和互动,任何人都可以在网上发布信息和获取信息。信息网络从局部走向全球产生的国际信息网络,更是一个开放的世界,甚至被说成是无管制的世界。在这样的背景下,信息与网络安全问题成为危害信息网络发展的核心问题。
据ISCA统计全球每年仅仅由于信息安全问题导致的损失高达数百亿美元,其中来至于内部的威胁高达60%,来自内部的威胁已经成为企业首要的安全问题。
目前,比较流行或者说应用比较广泛的一些网络安全系统主要有:防火墙、杀病毒、入侵检测、身份认证、漏洞扫描等等,但这些网络安全系统基本都是专门针对某一类型网络安全威胁的工具,主要定位在防范来自外部网络的安全威胁,并不能够解决大部分内部网络安全问题:防火墙关注的是边界安全,对于内部的各种非法滥用和攻击行为无能为力;杀病毒的定位更为清晰和专业,就是针对病毒等恶意代码的攻击,而不能管理内部网络行为和设备的应用。他们都不是专业的内网安全管理工具,不能解决综合性的、与网络使用者的行为密切相关的、与管理措施密切相关的、尤其关注内部泄密和网络效率的这样一款系统工具。
2.现状分析
本着为用户负责的态度,成都中软计算机技术工程有限公司的技术人员对XX医院现有的网络环境做了认真、细致的分析,并和XX医院相关技术专家进行了深入的交流,针对XX医院的信息安全防范与管理现状,得出了以下一些结论:
随着XX医院HIS系统的建设和防火墙等安全设备的接入,目前信息安全防范处于一种“外硬内软”的状态,即与Internet联接的边界网络处的安全防范措施做得比较出色,而内部安全则较为薄弱,一旦被找到了突破口,就会呈“决堤”之势,所有内部漏洞都会暴露在攻击者面前。或者从另一个角度来说,面对来自熟悉该网络结构的内部人员或准内部人员的攻击,整个系统将显得非常脆弱。
目前XX医院待解决的问题主要表现为:
本文档仅限成都中软计算机技术工程有限公司和被呈送方内部使用,未经许可,请勿扩散到第三方。
XX医院终端安全管理系统方案 1)内部人员或设备的主动或者被动泄密
泄密问题一直是内部网络的一个头疼问题,尤其是对于医院生存和发展的核心秘密,如医疗行业和医治方案信息、管理数据及病案信息等,都不可避免的需要在内部计算机和网络中产生、传输、存储、修改和应用,涉及到的人员、设备也比较多,因此泄密的危险性也比较大。泄密的途径主要有两个;一是人员,二是机器设备。从主观上来看,一种是无心的过失泄密,另一种则是蓄意的主动泄密行为。无论是什么形式的泄密行为,都将会给医院带来不可忍受的损失和利益。因此,我们需要对内部人员的计算机和网络操作行为进行规范,对网络内部的各种设备进行统一管理、授权。2)内部人员主动或被动的制造/传播病毒等恶意代码
在医院内部,总会有一些对网络技术非常感兴趣的人员,这些人也许是有着某种目的,或者纯粹为了好奇,而制造、传播一些有病毒、后门等特征的恶意代码,这些代码如果不进行及时的处理,有可能会引起网络的混乱,导致部分甚至全部的网络资源不能使用,从而影响医院的管理和运作。还有些人员或设备,在没有防备的情况下,中了内部或者外部“恶性病毒”的“招”,成为病毒攻击内部网络的“桥”,从主观上来讲,这些设备和人员是被动的,他们不知道已经被利用,然而他们的这些无意识行为也给网络运行造成了不良影响。
3)非授权使用或者授权滥用
XX医院制定的管理制度来规范网络资源的使用,详细规定了某人或某机器在什么时间、什么地点做什么类型的事情。也就是说,区分了授权和非授权操作。但事实上实际情况往往不是这么简单。例如某员工无权访问单位的业务数据库,他通过攻击、欺骗等手段,获得了访问数据库的机会;有权上网的员工,没有利用互联网去开展业务,而是在下载电影、玩游戏等等,非工作需要拷贝、修改医院的关键数据等等。大部分医院都想通过相应的制度来控制这些情况,然而实际效果却并不理想。非授权使用或授权滥用依旧是我们最头疼的。
4)内部人员或者设备的主动或者被动攻击
从网络诞生的那一天开始,黑客就存在,发展到今天已经到了无孔不入本文档仅限成都中软计算机技术工程有限公司和被呈送方内部使用,未经许可,请勿扩散到第三方。
XX医院终端安全管理系统方案 的地步,而且还在进一步蔓延,许多黑客攻击行为已经不需要太多的网络攻击知识,只需简单的攻击程序和设置就可以实现。在医院内部人员和设备中,也不乏这样的角色,他们本身不具有很高超的攻击水平,而只是应用现成的攻击程序来实现“黑客”目的,主动或者干脆被一些真正的黑客利用被动的去攻击内部网络的一些目标。
5)因安全管理不善,引发的IT资源不可用或者资源损失
这里的管理不善,主要是指没有一套科学的内部网络资源使用管理制度,或者制度执行不力。比如,我们规定在某一台工作计算机上,不能安装运行某些软件,可是还是有人安装了;对内部网络的IP/MAC地址,做了统一的部署,可是还是有人任意的修改;任意的将非本网络的设备接入内部网络;任意添加或删除各种硬件设备、修改网络属性等等,这些行为都应该得到彻底的规范。
6)客户机自身存在安全缺陷,导致网络内部安全隐患
网络当中的客户机很多,终端的存在安全隐患容易导致网络安全事件。如客户机存在安全漏洞,可能会引发蠕虫病毒等威胁。如果配置不完善,则容易导致信息泄露甚至黑客攻击事件的发生。因此,维护每台客户机自身的系统安全性,也是应该予以考虑的。
3.项目目标
本方案根据XX医院存在的安全问题,通过终端安全管理,实现桌面终端安全管理在全院层面的实施,在全院范围内部署终端安全管理平台,实现对全院桌面终端安全的集中监控及管理;包括桌面软硬件资产管理;远程维护;网络接入控制;外部设备管理;软件安装情况;硬件配置;桌面安全及审计;桌面管理及运维;补丁分发管理;外设与接口管理;安全准入管理;非法外联监控;防病毒等的监控管理。达到提高员工的安全观念,提高系统管理人员的工作效率,增强终端主机的安全性,从而对关键信息资产进行保护,保证医院HIS系统的稳定运行。
4.方案设计
LCMS桌面与网络安全管理系统——是一套主要针对内网主机进行管理、监本文档仅限成都中软计算机技术工程有限公司和被呈送方内部使用,未经许可,请勿扩散到第三方。
XX医院终端安全管理系统方案 控和审计的内网安全管理系统。LCMS桌面管理系统由三个不同的模块组成:代理模块(Agent)、服务器模块(Server)、WEB管理与控制平台模块。代理模块安装在每一台需要被监视的计算机上。服务器模块用来存储和管理所有安装有代理模块的计算机,用于管理监视所产生的资料。WEB控制管理中心是管理员进行策略配置、系统配置、下发命令、监控工作站点,即可以单独使用一台PC,也可以和其他系统共用。应用服务器桌面管理Server是系统的核心,在后台常驻运行,负责执行管理员提交的策略配置、系统配置、指令等,完成和数据库的交互,将管理员的指令下达到被管终端的桌面管理Agent。
4.1 运行环境
4.1.1 系统配置要求
服务器端:
操作系统:Windows 2000 Server(Service Pack 4)、Windows xp Professional、Windows 2003 SP2 推荐配置: Intel Pentium4 1.7G及以上/1GB内存以上/10G硬盘空间及以上/分辨率1024×768以上,表示色256色以上/网卡/光驱(安装使用) 端口资源:LCMS服务器软件运行需要使用以下几个端口:
TCP 80:管理Web服务器端口,操作员在管理控制台(浏览器)通过与此端口通讯来对系统进行管理操作;客户端代理插件通过此端口来获取派发的文件。
TCP 6604~6605:管理服务器使用端口,为系统内部通讯使用。 TCP 6606:内置数据库系统使用端口。
TCP 6610:应用服务器端口,此端口对LCMS客户机代理软件开放,代理软件通过此端口与服务器进行通讯。
注意:如果服务器安装防火墙,需手动放开TCP80、TCP6610端口,具 体方法可在防火墙例外处放开此端口。
客户端:
操作系统:Windows 2000/ Windows XP/Windows 2003/Vista/Windows 7
本文档仅限成都中软计算机技术工程有限公司和被呈送方内部使用,未经许可,请勿扩散到第三方。
XX医院终端安全管理系统方案 Windows XP Embedded(XPE)
推荐配置:Pentium Ⅱ300 MHz及以上/64MB内存以上/512M硬盘空间及以上/分辨率800×600以上,表示色256色以上/网卡/光驱(安装使用) 端口资源:LCMS代理软件运行需要使用以下两个端口:
6611:此端口对LCMS 服务器开放,LCMS服务器通过此端口来对代理进行管理。
网络要求:LCM S代理软件要求将要安装代理软件的主机的网络必须能与LCMS服务器连通,这样服务器才能对代理主机进行管理。
控制台:
操作系
统
:
WindowsXP/Windows2000Server/Windows 2003Server/ Windows XP Embedded(XPE)
浏览器:建议使用Microsoft Internet Explorer 6.0及以上版本,分辨率1024*768
4.1.2 系统部署方式
根据用户使用环境的不同,LCMS系统主要有基本部署方式及分级部署方式两种,基本部署方式适合被监管的主机较少,网络结构单一的情况。分级部署方式适合组织结构庞大,网络分布较广,或者具有分支机构的情况。
在基本部署方式下,需要部署一套LCMS服务器,并根据需要部署相应的客户端代理,所有的客户端代理均由唯一的LCMS服务器进行管理。
在分级部署方式下需要安装一套以上的LCMS服务器软件,此时,LCMS服务器分为上级服务器及下级服务器。在部署时需要现部署上级服务器,再部署下级服务器。上级服务器和下级服务器可以分别注册对应的被管理客户端。下级服务器可以再部署更下一级的服务器,服务器部署的层次没有限制。一种最典型的分级部署方式是分为两级部署。
上级服务器与下级服务器之间的关系如下:
(1)各下级服务器只能管理相应的终端计算机,下级终端计算机在下级服务器中注册,注册信息通过下级服务器自动上传到上级服务器中;
(2)下级服务器定期上报下级终端产生的各种日志及事件到上级服务器中,具本文档仅限成都中软计算机技术工程有限公司和被呈送方内部使用,未经许可,请勿扩散到第三方。
XX医院终端安全管理系统方案 体需要上传的信息可通过上级服务器的配置完成;(3)下级服务器的安全策略继承上级服务器下发的安全策略;
(4)上级服务器可以对下级的终端计算机进行安全策略的制定,但不允许在线控制下级的终端机算机;
(5)各个不同的下级服务器之间之间没有信息交换,也不需要进行连接。
4.2主机注册
在终端主机安装客户端软件之后,服务器系统会自动对安装有客户端终端的识别,主机注册提供灵活的分组、树形结构管理模式,管理员可根据部门类别、系统、职能等对终端主机进行分组,以方便对网络中的计算机进行系统化的管理,计算机分组可无限分级,支持拖动改变所属关系,LCMS系统还提供了基于网段的分组,在服务器识别客户端后,会自动根据网段分配到相应的组。
4.3 客户机管理
客户机管理模块提供了众多方便快捷的对远程主机系统进行管理、维护的工具,包括硬件信息查询、系统信息查询、远程控制主机、远程系统命令、共享文件管理、系统服务管理、系统进程管理、远程锁定与解锁、远程关闭或重启系统,桌面管理系统可进行远程桌面查看,方便管理员看到用户的桌面操作界面;能够远程上去控制用户的桌面操作,辅导用户行为,网络系统为了方便用户共享信息,需要客户端共享一些资料,桌面管理系统可以查看客户端开放的所有实时共享,检查共享内容是否符合要求,如果出现非法共享可以即时关闭共享信息,保障信息安全。桌面管理系统能够查看和管理各客户端当前和曾经运行的进程,管理员实时查看分析用户当前的使用程序,当网络出现阻塞时能通过链路流量分析客户端的具体进程,如果发现非法进程则来可关闭实时进程。
4.4 资产管理
系统会自动采集和跟踪被管理主机设备的资产信息,并可导出报表,方便日后的查询和审计,包括硬件资产、软件资产、网络资源,一旦主机资产发生变更本文档仅限成都中软计算机技术工程有限公司和被呈送方内部使用,未经许可,请勿扩散到第三方。
XX医院终端安全管理系统方案 后将会自动上报服务器。
4.5 补丁管理
系统提供了对Windows操作系统(包含Windows2000、Windows XP、Windows 2003、Windows7、Vista)、应用软件(包括IE 5.0、IE 5.5、IE 6.0、IE 7.0等)以及LCMS软件自身的补丁进行自动检测、安装的功能。客户端配置补丁策略后,将自身需要下载的补丁列表上报服务器端,如果LCMS服务器没有相应补丁,则会到微软网站上下载该补丁,如果不能连接互联网,则需要利用补丁离线下载工具下载。增加的补丁默认需要经过管理员批准后才可以被安装到主机中。客户端按照策略配置的方式(通知与自动方式)安装。另外还可根据补丁号来查询哪些主机已安装此补丁,便于针对性的操作管理。
4.6 接入控制
此模块能够对主机接入内网行为进行控制。对已注册但存在安全隐患的主机,管理员可以限制其网络功能以避免安全隐患通过网络肆虐传播;此外,此模块还可以与策略模块联动,系统根据主机违规后采取的措施来对内网里注册的主机进行自动接入控制。当主机网络功能被系统限制后,该主机就不能访问除开LCMS服务器以外的其它任何主机。如果被入网限制的主机安全隐患排除后,管理员可手动解除其网络限制。
对非法接入内网的主机,系统能够自动检测并阻断其接入内网。系统通过ARP的方式来对非法主机的接入进行控制。系统将通过ARP干扰技术来阻断该主机的接入,禁止接入的主机将不再可以访问除安装网络探测器主机以外的计算机,对于正处于阻断状态的主机,可以手动解除对该主机的入网阻断。
4.7 策略管理
策略管理模块用本系统中最为重要的模块,其提供了对主机系统众多策略进行统一配置、管理的功能,包括外设使用策略、网络访问策略、软件策略、上网控制策略、违规外联策略等,管理员可根据不同情况配置不同的策略或多种策略本文档仅限成都中软计算机技术工程有限公司和被呈送方内部使用,未经许可,请勿扩散到第三方。
XX医院终端安全管理系统方案 相结合的组合策略,主要目标为解决非法外联、外设控制、操作行为控制等,同时,对违背策略规则的用户操作行为将生成详细的日志记录,以备管理员查询。
4.7.1 非法外联
现有的主机连接互联网的方式非常多,总结一下有以下几种:(1)通过以太网网线,连接互联网网关而接入互联网;(2)通过无线网卡接入互联网;
(3)通过Modem、ADSL、上网卡等设备拨号接入互联网;
(4)通过移动通信设备,如手机,使用GPRS、CDMA等网络接入互联网;(5)通过虚拟机接入互联网。
在不允许上互联网的网络环境中,主机可能通过以上途径违规外联,从而可能导致涉密信息的泄露。这里的违规外联是指对不允许连接互联网的计算机进行互联网访问的行为。
为此,LCMS系统提供了违规外联检测模块,通过定期检测特定网址的连通性(例如每隔10秒检测www.xiexiebang.com),达到实时检测终端是否已经连入外网,并根据策略制定的模式采取相应的措施,并及时记录保存日志。为了防止意外或特殊情况,LCMS系统支持两个特定网址,只要有任何一个检测成功,便判断其已非法连入外网,保证外联检测的实时性、可靠性。
4.7.2 外设控制
随着各种接口技术的发展,计算机的外设接口不断丰富,使用者可以通过各种方式与外部介质进行数据交换,比较典型的外设接口包括光驱、USB接口、ADSL接口、COM/LPT口等等,这些接口有的可以直接连接数码设备(如手机)进行数据交换,有的可以与其他计算机建立通信连接(如USB网卡),有的可以将信息输出到外部设备(如打印机)等。无论哪种方式,都形成了信息的流入流出通道,对信息安全构成威胁。
LCMS桌面安全管理系统系统系统对外设接口设计了周密的控制机制,和严格的审计功能,保证外设使用的安全:
(1)对常用接口(如光驱、COM/LPT口),LCMS桌面安全管理系统系统具有允许使用及禁止使用两种安全策略,该策略可以同时发布给若干计算机;(2)对于USB接口,LCMS桌面安全管理系统系统细分为USB存储、USB本文档仅限成都中软计算机技术工程有限公司和被呈送方内部使用,未经许可,请勿扩散到第三方。
XX医院终端安全管理系统方案 打印和其他等多种类型,对每一种类型具有允许使用和禁止使用功能;对USB存储,LCMS系统在启用/禁用的基础上细分权限,增加了只读权限,细致保障数据资料的安全性和完整性。
(3)针对ADSL,LCMS桌面安全管理系统系统也提供了允许使用和禁止使用的两种安全策略。
4.7.3安全检测策略
LCMS桌面安全管理系统系统的安全检测模块提供了杀毒软件检测和系统补丁检测功能。
杀毒软件检测可以实时检测终端主机杀毒软件的安装情况,如果发现未安装杀毒软件,则可发生告警信息,限制主机外联,并记录日志。
系统补丁检测可以根据补丁号、补丁安装情况来控制终端外联,告警并记录日志。
4.7.4 账户密码策略
账户密码策略可强制性要求终端用户设置复杂密码,并可控制在离开一定时间后自动进入屏保,强制用密码恢复,以保证信息在用户无意识时造成泄漏。
4.7.5 上网控制策略
通过对黑、白名单的设置,控制终端用户不能访问哪些网页,或只能访问那些网页。
4.7.6 软件安装控制
软件安装控制提供了黑、白、红名单,其中黑名单为限制安装的软件,白名单为只允许安装的软件,红名单为必须安装的软件,一旦检测到违规行为就触发相应的策略,弹出告警信息;记录日志;限制网络连接。
4.7.7 软件运行控制
软件运行控制通过把添加相关进程到黑、白名单,从而限制非法软件的运行,有效阻止恶意程序,保障终端安全。另外软件运行控制模块还提供了时间段的划分,可根据时间段来精确控制软件的运行时间、阻止时间。
4.7.8 系统监控
本文档仅限成都中软计算机技术工程有限公司和被呈送方内部使用,未经许可,请勿扩散到第三方。
XX医院终端安全管理系统方案 系统监控功能通过对计算机资源的全面监视保障终端的安全可控运行环境。包括网络流量监视、CPU使用率监视、内存使用率监视、可用内存监视、磁盘剩余空间监视,配合远程桌面控制、远程主机命令可实现对终端的操作维护,方便及时解决终端问题,减轻了技术人员的工作压力,提高了工作效率。
4.7.9 操作行为审计
操作行为审计涉及到对网络应用访问、程序安装、程序运行、文件操作、文件打印、网络操作、系统运行、用户登录等的监视及审计,保证管理员即时发现及跟踪安全事件。文件操作更是提供了制定文件类型的功能,有效过滤非敏感文件,减小审计压力,方便管理员查看。
4.7.10 文件分发和消息分发
文件分发支持各种文件的下发,并可控制下发时的保存位置,便于资料快速传达,公司文件的及时下发。
消息分发以弹窗的方式发布消息,保证终端用户及时看到消息,系统还提供了显示时间的控制,最短5秒,最长可达一天时间。
4.8 日志管理
系统提供了对远程主机的系统日志和用户行为日志进行审计的功能。通过日志管理功能,管理员能够查询主机的各类日志,存档日志,删除日志;通过存档日志管理功能,管理员能够下载、删除已经存档的日志文件;日志管理还提供了自动备份的功能,管理员可定义一个时间,系统就会自动给对日志进行备份,方便日后的查看和审计;另外可根据日志的级别,定义告警方式,LCMS系统支持的告警方式有:电子邮件、弹出窗口、Windows消息三种以便管理员实时掌握终端安全情况。
4.9 系统配置
系统配置模块中,管理员可选择系统的部署方式,以及分层部署时上级服务器需要下级服务器同步的数据内容和日志。
通过可信管理终端配置,可以限制管理员只能在授权的可信终端主机上才能本文档仅限成都中软计算机技术工程有限公司和被呈送方内部使用,未经许可,请勿扩散到第三方。
XX医院终端安全管理系统方案 登录LCMS管理器对LCMS系统进行管理。LCMS系统在安装后默认只能用服务器的本地回路地址(127.0.0.1)来登录系统并进行管理。
LCMS系统还提供了告警参数的配置和告警方式的选择。告警方式有电子邮件、弹出消息、Windows消息三种,管理员可根据需要自由配置。
在系统维护中记录了所有系统管理员的操作日志,以方便查看和审计,对防止误操作后的提供了帮助。
本文档仅限成都中软计算机技术工程有限公司和被呈送方内部使用,未经许可,请勿扩散到第三方。