醫(yī)院HIS系統(tǒng)及網(wǎng)絡安全解決方案課件

加強計算機安全

解決網(wǎng)絡擁堵問題

提高醫(yī)院網(wǎng)絡質量

－－醫(yī)院HIS系統(tǒng)及網(wǎng)絡安全解決方案北京東方微點信息技術有限責任公司加強計算機安全

解決網(wǎng)絡擁堵問題

提高醫(yī)院網(wǎng)絡質量

－－醫(yī)院1微點簡介北京東方微點信息技術有限責任公司創(chuàng)建于2005年1月，是經(jīng)北京市認定的高新技術企業(yè)，公司員工近200人。東方微點是專業(yè)的安全公司，主要從事信息安全防護技術的研究和信息安全防護產(chǎn)品的開發(fā)，尤其在反木馬技術、防病毒技術、信息安全與監(jiān)控技術上擁有巨大的優(yōu)勢。主要通用安全防護產(chǎn)品：微點主動防御軟件個人版微點主動防御軟件網(wǎng)絡版微點殺毒軟件微點簡介北京東方微點信息技術有限責任公司2醫(yī)院網(wǎng)絡信息系統(tǒng)存在的現(xiàn)象通過我們在醫(yī)院網(wǎng)絡信息系統(tǒng)的應用實踐，發(fā)現(xiàn)醫(yī)院網(wǎng)絡信息系統(tǒng)普遍存在以下現(xiàn)象：HIS系統(tǒng)和HIS服務器緩慢；PACS系統(tǒng)和PACS服務器緩慢；計算機和網(wǎng)絡緩慢；網(wǎng)絡擁堵；間歇性網(wǎng)絡癱瘓。這種現(xiàn)象造成醫(yī)務人員在傳遞醫(yī)療數(shù)據(jù)時出現(xiàn)延時、停頓、無法提交和獲取等現(xiàn)象，影響了醫(yī)院醫(yī)療信息系統(tǒng)（HIS）的正常應用。這種現(xiàn)象一般都在上午時間出現(xiàn)，主要集中在9：00－11：30之間，下午或者晚上這種顯現(xiàn)基本消逝。針對醫(yī)院網(wǎng)絡信息系統(tǒng)出現(xiàn)的這些問題，通過總結，我們發(fā)現(xiàn)影響醫(yī)院網(wǎng)絡信息系統(tǒng)質量主要有兩個因素：一是醫(yī)院的網(wǎng)絡、應用系統(tǒng)、工作性質特點二是惡意程序的傳播特性醫(yī)院網(wǎng)絡信息系統(tǒng)存在的現(xiàn)象通過我們在醫(yī)院網(wǎng)絡信息系統(tǒng)的應用實3醫(yī)院網(wǎng)絡和工作性質特點

通過總結，我們發(fā)現(xiàn)醫(yī)院的網(wǎng)絡結構、應用系統(tǒng)、工作性質存在以下共同的特點：醫(yī)院網(wǎng)絡與互聯(lián)網(wǎng)進行物理隔離；醫(yī)院與醫(yī)保網(wǎng)絡互聯(lián)互通。醫(yī)院醫(yī)療信息系統(tǒng)（HIS）的數(shù)據(jù)傳輸模式；醫(yī)務工作者的計算機開機口令簡單；U盤等移動存儲設備的使用不受限制；

這些特點存在哪些安全隱患呢？醫(yī)院網(wǎng)絡和工作性質特點 通過總結，我們發(fā)現(xiàn)醫(yī)院的網(wǎng)絡結構、應4醫(yī)院網(wǎng)絡和工作環(huán)境特點的安全隱患1、醫(yī)院網(wǎng)絡與互聯(lián)網(wǎng)進行物理隔離的安全隱患：系統(tǒng)漏洞帶來的安全隱患

大家都知道，我們醫(yī)院計算機普遍使用的Windows操作系統(tǒng)，存在很多的漏洞。由于醫(yī)院網(wǎng)絡與互聯(lián)網(wǎng)采用物理隔離的方式，網(wǎng)絡內的計算機無法連接互聯(lián)網(wǎng)，所以，無法及時連接到微軟服務器修補Windows操作系統(tǒng)的漏洞，這些無法修補的系統(tǒng)漏洞使得計算機存在很多安全隱患。殺毒軟件帶來的安全隱患殺毒軟件技術存在的安全隱患殺毒軟件的特征碼掃描對比技術，造成沒有樣本就無法提取特征，也就無法查殺病毒無法升級帶來的安全隱患在與互聯(lián)網(wǎng)物理隔離的狀況下，殺毒軟件特征庫無法及時更新，造成殺毒軟件自身存在重大的安全隱患。醫(yī)院網(wǎng)絡和工作環(huán)境特點的安全隱患1、醫(yī)院網(wǎng)絡與互聯(lián)網(wǎng)進行物理5醫(yī)院網(wǎng)絡和工作環(huán)境特點的安全隱患2、醫(yī)院與醫(yī)保網(wǎng)絡互聯(lián)互通的安全隱患：每個醫(yī)院內部網(wǎng)絡中都有一臺或幾臺計算機可以訪問醫(yī)保中心的數(shù)據(jù)，這些計算機通過醫(yī)保建立的專用網(wǎng)絡進行互聯(lián)互通，這就使得醫(yī)院的網(wǎng)絡通過醫(yī)保專用網(wǎng)絡與醫(yī)保中心、政府服務中心、其它醫(yī)院、藥店構建了一張互聯(lián)互通的網(wǎng)絡結構。這種特殊的網(wǎng)絡結構，造成醫(yī)院網(wǎng)絡并非是嚴格意義上的物理隔離網(wǎng)絡，使得醫(yī)院網(wǎng)絡受到來自醫(yī)保中心、政府服務中心、其它醫(yī)院、藥店等其他單位網(wǎng)絡的安全威脅。政府服務中心醫(yī)保中心藥店社區(qū)服務中心醫(yī)院醫(yī)院網(wǎng)絡和工作環(huán)境特點的安全隱患2、醫(yī)院與醫(yī)保網(wǎng)絡互聯(lián)互通的6醫(yī)院網(wǎng)絡和工作環(huán)境特點的安全隱患3、醫(yī)療信息系統(tǒng)（HIS）數(shù)據(jù)傳輸模式的安全隱患：

通過我們實踐發(fā)現(xiàn)，HIS系統(tǒng)是通過計算機共享方式傳輸醫(yī)療信息數(shù)據(jù)，這就使得HIS服務器以及網(wǎng)絡內其他計算機開放了共享服務。

雖然共享服務給工作帶來了便利，但開放共享服務的計算機就會存在很大的安全風險，尤其是HIS服務器以及PACS影像服務器的安全隱患更加影像了這些服務器的穩(wěn)定性。醫(yī)院網(wǎng)絡和工作環(huán)境特點的安全隱患3、醫(yī)療信息系統(tǒng)（HIS）數(shù)7醫(yī)院網(wǎng)絡和工作環(huán)境特點的安全隱患4、醫(yī)務工作者計算機開機口令簡單的安全隱患：

醫(yī)院的工作性質決定了計算機大多數(shù)是由多名醫(yī)務工作人員共同使用，所以，為了工作的方便性，這些計算機往往設置極其簡單的開機口令，如：123，123456……，有的甚至不設置開機口令。

如此簡單的開機口令，使得計算機很容易被打開，甚至被其它計算機遠程控制的安全隱患，這些安全隱患不僅對本機帶來安全隱患，還會威脅HIS服務器和PACS影像服務器的安全。醫(yī)院網(wǎng)絡和工作環(huán)境特點的安全隱患4、醫(yī)務工作者計算機開機口令8醫(yī)院網(wǎng)絡和工作環(huán)境特點的安全隱患5、

U盤等移動存儲設備使用不受限制的安全隱患：

出于工作方便角度考慮，大多數(shù)醫(yī)院并沒有限制U盤、手機、照相機、攝像機、MP3/4等移動存儲設備的使用。

雖然有些醫(yī)院對大部分計算機做了移動存儲設備使用的限制，但為了工作方便和個別權威醫(yī)生的特殊身份，還是開放了個別計算機移動存儲設備的使用。

U盤等移動存儲設備使用不受限制和限制不嚴格，使得醫(yī)院網(wǎng)絡處于“半開放式”網(wǎng)絡結構，通過移動存儲設備，間接地將互聯(lián)網(wǎng)、家庭、其它單位網(wǎng)絡連接起來，使得文件在這些環(huán)境中互相傳遞，給醫(yī)院網(wǎng)絡帶來很大的安全風險。醫(yī)院網(wǎng)絡和工作環(huán)境特點的安全隱患5、U盤等移動存儲設備使用9惡意行為程序的傳播特性影響網(wǎng)絡質量惡意行為程序的傳播特性影響網(wǎng)絡質量10惡意程序傳播特性影響網(wǎng)絡質量 無論惡意程序制作者真正的目的是什么，但要達到這個目的，首要完成的工作就是：盡最大可能地將惡意程序植入到更多數(shù)量的計算機。圍繞著這個目的，惡意程序植入和傳播方式一定會使用最快捷的方式。如何達到交叉植入和傳播的目的

由于U盤等移動存儲設備的廣泛使用，包括手機、數(shù)碼相機等，且移動存儲設備具有移動的特點，所以，通過人的移動，可以有效達到交叉植入和傳播的目的。

如：從家庭帶入單位網(wǎng)絡，從單位網(wǎng)絡帶入家庭，各單位網(wǎng)絡之間的交叉?zhèn)鬟f。惡意程序傳播特性影響網(wǎng)絡質量 無論惡意程序制作者真正的目的是11惡意程序傳播特性影響網(wǎng)絡質量如何在局域網(wǎng)內各計算機間達到交叉植入的目的

當惡意程序被帶入到醫(yī)院網(wǎng)絡計算機，利用什么方式能夠盡快地植入到網(wǎng)絡中其它計算機，主要就是以下三種方式：利用操作系統(tǒng)的漏洞利用計算機的共享服務通過遠程暴力破解計算機開機口令

惡意程序傳播特性影響網(wǎng)絡質量如何在局域網(wǎng)內各計算機間達到交叉12惡意程序傳播特性影響網(wǎng)絡質量利用操作系統(tǒng)的漏洞遠程探測計算機是否存在系統(tǒng)漏洞，探測到漏洞后，利用漏洞遠程打開計算機的進入通道，然后將惡意程序植入到計算機。利用計算機的共享服務通過遠程計算機開放的共享服務，將惡意程序直接植入到計算機。遠程暴力破解計算機開機口令惡意程序內置計算機開機口令暴力破解功能，成功破解遠程計算機開機口令后，獲得了掌控計算機的超級權限，進而將惡意程序遠程植入到計算機中。

惡意程序傳播特性影響網(wǎng)絡質量利用操作系統(tǒng)的漏洞13惡意程序傳播特性影響網(wǎng)絡質量惡意程序利用網(wǎng)絡和計算機存在的各種問題，盡最大可能地將植入到更多數(shù)量的計算機，惡意程序需要保證在計算機中的長期存活。為了達到長期存活的目的，惡意程序主要采取以下兩種方式：每臺計算機相互間不間斷地通過系統(tǒng)漏洞、共享服務、暴力破解口令方式對其它計算機執(zhí)行著惡意程序植入行為，惡意程序被植入后，惡意程序運行并檢查該計算機是否有相同的惡意程序，如果發(fā)現(xiàn)存在相同的惡意程序，自動終止自己的運行。這種方式技術實現(xiàn)簡單，所以大部分惡意程序都采用這種方式保證自己的長期存活性。各計算機通過網(wǎng)絡彼此間實時詢問是否存活，如果沒有回應存活，立即進行惡意程序植入行為；這種方式由于對技術要求比較高，所以很少有惡意程序采用，惡意程序傳播特性影響網(wǎng)絡質量惡意程序利用網(wǎng)絡和計算機存在的各14惡意程序傳播特性影響網(wǎng)絡質量 惡意程序遠程植入方式的傳播特性和保證長期存活性，使得每臺計算機相互間不間斷地執(zhí)行著惡意程序的植入行為。相互間的問詢和惡意程序文件在網(wǎng)絡間不間斷的傳輸，消耗了一定量或者大量的網(wǎng)絡資源，使得網(wǎng)絡可用的有效帶寬資源為剩余的網(wǎng)絡帶寬資源。這就使得醫(yī)院網(wǎng)絡帶寬資源出現(xiàn)不足的現(xiàn)象，造成網(wǎng)絡緩慢、延時現(xiàn)象。 如果某天患者增多，或者拍影像的患者增多（影像指B超、CT等，每張影像片的文件大約20M-30M之間），醫(yī)療信息數(shù)據(jù)的傳輸量必然增加，進而造成網(wǎng)絡擁堵，甚至出現(xiàn)間歇性癱瘓的現(xiàn)象。網(wǎng)絡總帶寬已經(jīng)被惡意程序遠程植入和傳播行為占用的網(wǎng)絡帶寬剩余可用的有效網(wǎng)絡帶寬掛號信息醫(yī)療診斷信息藥品處方劃價、取藥影像文件惡意程序傳播特性影響網(wǎng)絡質量 惡意程序遠程植入方式的傳播特性15惡意程序傳播特性影響服務器性能由于網(wǎng)絡內計算機存在影響網(wǎng)絡質量的惡意程序，它們也在不斷向HIS服務器和PACS影像服務器實施遠程惡意植入行為，使得HIS服務器和PACS影像服務器在處理正常業(yè)務數(shù)據(jù)請求的同時，也在不斷處理遠程惡意植入行為的請求，造成HIS服務器和PACS服務器的資源浪費，使得這些服務器的處理性能降低，影響了醫(yī)院的正常業(yè)務。服務器處理性能被遠程惡意植入行為消耗的性能剩余可用的有效計算機性能處理掛號信息處理醫(yī)療診斷信息處理藥品處方處理劃價、取藥處理影像文件其它計算機惡意植入請求惡意程序傳播特性影響服務器性能由于網(wǎng)絡內計算機存在影響網(wǎng)絡質16傳播途徑和方法：1、采用自動播放功能，利用移動存儲設備進行傳播，如U盤、移動硬盤、數(shù)碼相機、手機等；2、通過Windows系統(tǒng)漏洞五個普遍存在的漏洞向其它計算機植入；3、采用暴力破解計算機口令方式向其它計算機植入；4、通過開放的共享服務方式向其它計算機植入；5、、從50000個域名中隨機挑選500個域名，通過網(wǎng)絡連接病毒服務器，進行版本更新、惡意指令接收、其它惡意程序下載；6、、采用點對點（P2P）機制，被感染計算機之間相互進行版本更新、傳達攻擊指令、下載其它惡意程序。該特點的目的是實現(xiàn)快速傳播和避免Kido升級服務器被發(fā)現(xiàn)。惡意行為程序Kido對醫(yī)院網(wǎng)絡的影響傳播途徑和方法：惡意行為程序Kido對醫(yī)院網(wǎng)絡的影響17危害性：1、造成被感染計算機運行緩慢，性能下降；（通常是因為Kido正在嘗試破解其它計算機口令）2、造成局域網(wǎng)絡緩慢，甚至癱瘓；（每臺被感染Kido計算機在嘗試對其它計算機傳播，與網(wǎng)絡結構和計算機數(shù)量有關）；3、傳播迅速，變種能力強，平均每4天出現(xiàn)一個新變種；4、通過已感染Kido傳播Kido變種和其它惡意程序；5、被感染計算機成為僵尸網(wǎng)絡中的僵尸計算機，而局域網(wǎng)絡將成為一個子僵尸網(wǎng)絡；6、Windows自動更新服務被關閉；7、阻止防病毒產(chǎn)品更新；8、涉密信息的安全受到嚴重威脅。惡意行為程序Kido對醫(yī)院網(wǎng)絡的影響危害性：惡意行為程序Kido對醫(yī)院網(wǎng)絡的影響18微點主動防御如何解決網(wǎng)絡擁堵問題微點主動防御如何解決網(wǎng)絡擁堵問題19Titleinhere基于系統(tǒng)安全防御Titleinhere反追蹤溯源定位Titleinhere基于網(wǎng)絡安全防御1.基于系統(tǒng)的安全防御保護主機的安全，防止危害主機及網(wǎng)絡和其它計算機的安全2.基于網(wǎng)絡的安全防御防御來自網(wǎng)絡、其它計算機、移動存儲設備的危害3.基于危害源的反追蹤溯源定位迅速定位具有危害行為計算機的位置，實現(xiàn)快速安全響應構建終端立體防御體系微點主動防御安全解決方案Titleinhere基于系統(tǒng)Titleinhere20第一步：清除病毒，保障終端穩(wěn)定監(jiān)控程序行為，防御惡意行為危害杜絕對網(wǎng)絡及其它計算機產(chǎn)生安全威脅微點主動防御安全解決方案第一步：微點主動防御安全解決方案211、清除計算機內的已知病毒等安全隱患內嵌殺毒軟件功能，采用多種國際領先的病毒防護技術，實時防護并查殺來自病毒的安全威脅，保護計算機的安全和穩(wěn)定性，提升計算機性能，防止已知病毒等對網(wǎng)絡內其它計算機的威脅。安全特點：查殺各種已知病毒和變型病毒；查殺具有自變種能力的多態(tài)型病毒；一對多病毒防護，實現(xiàn)一個病毒特征碼識別該病毒的全部變型病毒；技術特點：特征碼掃描技術,查殺防護各類已知病毒的威脅;啟發(fā)式、虛擬機、脫殼掃描技術,查殺防護各類病毒的變型病毒;多態(tài)性病毒防護技術，查殺防護具有自變種能力的多態(tài)性病毒；程序行為自主分析判斷技術,動態(tài)防護無特征碼的新型病毒的安全威脅。微點主動防御安全解決方案1、清除計算機內的已知病毒等安全隱患微點主動防御安全解決方案222、基于行為性質自主分析判斷，防御惡意行為危害采用國際首創(chuàng)的程序行為自主分析判斷技術，實時監(jiān)控所有程序的行為，自主分析判斷程序行為的性質（正常行為和惡意行為），實時防御阻斷惡意行為的危害意圖，并自動清除實施惡意行為的程序，保護信息和隱私安全。惡意行為是指對計算機、網(wǎng)絡和信息的安全產(chǎn)生惡意威脅的行為，包括木馬、間諜、后門、蠕蟲、僵尸、肉雞、入侵、惡意植入等行為。安全特點：不需要升級，提前防御木馬、間諜、后門、蠕蟲的危害，解決單純依賴殺毒軟件造成的安全隱患；不需要升級，解除僵尸、肉雞的安全危害；防御信息、隱私、帳號、密碼被竊取的危害；防止“被動泄密”事件發(fā)生；防御惡意行為程序的傳播行為，提升計算機和網(wǎng)絡的性能；尤其適合采用與互聯(lián)網(wǎng)物理隔離網(wǎng)絡環(huán)境的安全防御；技術特點：國際領先的程序行為自主分析判斷技術，顛覆了傳統(tǒng)特征碼檢測理念；國家863科技攻關成果；多于八年的技術積累與發(fā)展和實際對抗考驗，以及專業(yè)級安全機構的特種手段檢測；微點主動防御安全解決方案2、基于行為性質自主分析判斷，防御惡意行為危害微點主動防御安23第二步：加強基于網(wǎng)絡的防護能力防御來自網(wǎng)絡及其它計算機的危害行為探測并迅速定位網(wǎng)絡內具有危害行為的計算機微點主動防御安全解決方案第二步：微點主動防御安全解決方案243、探測并防御來自其它計算機的惡意植入行為，定位網(wǎng)絡內危害源采用行為自主分析判斷技術，探測來自其它計算機的惡意植入行為的危害：探測并阻止網(wǎng)絡內哪些計算機正在對本計算機實施遠程惡意植入行為；明確告知管理者具有這種遠程惡意植入行為的計算機的IP地址或計算機名稱。 下面幾張安全日志是微點主動防御在醫(yī)院網(wǎng)絡信息系統(tǒng)成功應用的范例。微點主動防御安全解決方案3、探測并防御來自其它計算機的惡意植入行為，定位網(wǎng)絡內危害源25這是北京同仁醫(yī)院的安全事件日志：計算機192.168.36.193等計算機安裝了微點主動防御：它成功探測到IP地址為192.168.200.42和192.168.100.13等諸多計算機正在對其實施遠程惡意植入行為；已經(jīng)成功阻止這些計算機對計算機192.168.36.193的遠程惡意植入行為。也就是說，計算機192.168.36.193自身并沒有問題，真正有問題的計算機是IP地址為192.168.200.42和192.168.100.13等其它計算機。安裝了微點主動防御實施惡意植入行為的計算機微點主動防御安全解決方案這是北京同仁醫(yī)院的安全事件日志：安裝了微點主動防御實施惡意植26這是天津胸科醫(yī)院的安全事件日志：計算機192.168.11.28等計算機安裝了微點主動防御：它成功探測到計算機名稱為JYK_SH_HITACHI和SFC_BGS等等諸多計算機正在對其實施遠程惡意植入行為.已經(jīng)成功阻止這些計算機對計算機192.168.11.28的遠程惡意植入行為。也就是說，計算機192.168.11.28自身并沒有問題，真正有問題的計算機是計算機名稱為JYK_SH_HITACHI和SFC_BGS等其它計算機。安裝了微點主動防御實施惡意植入行為的計算機微點主動防御安全解決方案這是天津胸科醫(yī)院的安全事件日志：安裝了微點主動防御實施惡意植274、探測并防御來自其它計算機的網(wǎng)絡入侵行為，迅速定位網(wǎng)絡內危害源采用網(wǎng)絡入侵行為分析判斷技術，探測并防御來自網(wǎng)絡內其它計算機的惡意網(wǎng)絡入侵行為：探測并阻止網(wǎng)絡內其它計算機正在對本計算機實施惡意網(wǎng)絡入侵行為；明確告知管理者具有這種惡意入侵行為的計算機的IP地址；安裝主動防御客戶端的計算機即使沒有修補系統(tǒng)漏洞，依然能夠防御來自其它計算機利用系統(tǒng)漏洞的網(wǎng)絡入侵行為。 下面幾張安全日志是微點主動防御在醫(yī)院網(wǎng)絡信息系統(tǒng)成功應用的范例。微點主動防御安全解決方案4、探測并防御來自其它計算機的網(wǎng)絡入侵行為，迅速定位網(wǎng)絡內危28這是北京同仁醫(yī)院的利用漏洞進行入侵行為的安全事件日志計算機192.168.5.51安裝了微點主動防御，它成功探測到IP地址為192.168.5.21的遠程計算機正在對其實施遠程入侵行為，它利用本機system程序（使用445端口）的漏洞對本機實施遠程入侵行為，已經(jīng)成功阻止這種利用系統(tǒng)漏洞進行的惡意入侵行為。惡意程序探測到本機存在漏洞，首先通過入侵方式打開系統(tǒng)漏洞，建立進入計算機的通道，然后再通過這個通道將惡意程序植入。當遠程計算機的惡意程序試圖通過漏洞建立進入計算機的通道時，微點主動防御探測到這是一種非法的惡意入侵行為，立即阻止這種非法入侵行為。安裝了微點主動防御實施網(wǎng)絡入侵行為的計算機微點主動防御安全解決方案這是北京同仁醫(yī)院的利用漏洞進行入侵行為的安全事件日志安裝了微29這是武漢普仁醫(yī)院內的醫(yī)保計算機受到來自醫(yī)保中心的遠程非法惡意入侵行為這是醫(yī)院負責連接醫(yī)保中心的醫(yī)保計算機，成功探測并阻止來自醫(yī)保中心計算機的遠程非法惡意入侵行為，該惡意入侵行為是利用計算機的系統(tǒng)漏洞。這是醫(yī)院連接醫(yī)保的計算機安裝了微點主動防御這是醫(yī)保中心的計算機實施惡意植入行為微點主動防御安全解決方案這是武漢普仁醫(yī)院內的醫(yī)保計算機受到來自醫(yī)保中心的遠程非法惡意305、監(jiān)測并防御醫(yī)務人員通過何種途徑向網(wǎng)絡內帶入惡意程序 微點主動防御能夠監(jiān)控醫(yī)務人員通過移動存儲設備、互聯(lián)網(wǎng)將惡意程序帶入醫(yī)院網(wǎng)絡計算機中。安全日志【1】顯示惡意程序文件是在H盤符下，這說明該磁盤為U盤，證明使用了U盤；（備注：后期版本將在【創(chuàng)建者】字段直接顯示移動存儲設備）安全日志【2】顯示在什么時間訪問了哪個被已經(jīng)掛馬的網(wǎng)站，并且是使用IE瀏覽器訪問的網(wǎng)站，證明使用無線連接過互聯(lián)網(wǎng)。微點主動防御安全解決方案[1][2]5、監(jiān)測并防御醫(yī)務人員通過何種途徑向網(wǎng)絡內帶入惡意程序微點主31第三步：掌握網(wǎng)絡應用及安全隱患建立安全監(jiān)管、評估與決策機制實現(xiàn)依托數(shù)據(jù)支撐的可見性安全管理模式微點主動防御安全解決方案第三步：微點主動防御安全解決方案326、識別惡意程序哪里安全隱患實施危害行為，實現(xiàn)安全隱患可見性 為什么兩個安全日志中【創(chuàng)建者】字段中一個顯示的IP地址，一個顯示的是計算機名稱，這與惡意程序使用哪種手段實施遠程惡意植入行為。顯示IP地址：這是惡意程序利用暴力破解計算機開機口令的手段實施遠程惡意植入；顯示計算機名稱：這是惡意程序利用計算機共享；顯示非法入侵行為：這是利用漏洞進行的遠程非法惡意入侵行為。 所以，微點主動防御不僅能夠通報遠程惡意植入行為所采用的惡意植入方法，還能發(fā)現(xiàn)受威脅計算機存在共享服務開放、計算機開機口令弱、漏洞等安全隱患。顯示惡意植入計算機的IP地址顯示惡意植入計算機的計算機名稱顯示利用漏洞的的非法入侵行為微點主動防御安全解決方案6、識別惡意程序哪里安全隱患實施危害行為，實現(xiàn)安全隱患可見性337、監(jiān)控終端使用者操作行為，規(guī)范使用者行為實時監(jiān)控并記錄計算機使用者開機、軟件等應用操作行為，監(jiān)督和規(guī)范使用者的操作行為，對違規(guī)行為做到有據(jù)可查。監(jiān)控使用者軟件應用行為

軟件啟動和退出時間，啟用什么軟件，使用多長時間等等。監(jiān)控使用者軟件安裝行為；

軟件何時安裝、安裝位置、軟件通過什么途徑進入計算機等等。監(jiān)控終端網(wǎng)絡訪問及流量狀態(tài)；

每個程序訪問網(wǎng)絡的狀態(tài)、時間、占用流量大小、訪問對象等等。微點主動防御安全解決方案7、監(jiān)控終端使用者操作行為，規(guī)范使用者行為微點主動防御安全解348、幫助管理者實現(xiàn)向依托數(shù)據(jù)支撐管理模式的轉變

微點主動防御能夠探測到網(wǎng)絡內危害源計算機，能夠記錄工作人員通過U盤、互聯(lián)網(wǎng)等方式將惡意程序帶入網(wǎng)絡，能夠發(fā)現(xiàn)計算機哪些系統(tǒng)程序存在高危漏洞、共享服務開放、計算機開機口令弱等安全風險，這些數(shù)據(jù)既可以做為對管理制度執(zhí)行的支撐，也是管理者發(fā)現(xiàn)網(wǎng)絡及其管理所存在問題的數(shù)據(jù)依據(jù)，是管理者制定網(wǎng)絡安全解決方案、審批網(wǎng)絡安全解決方案的數(shù)據(jù)依據(jù)，使管理者走向數(shù)據(jù)可依的管理模式。安全事件數(shù)據(jù)為管理制度提供監(jiān)督作用，建立醫(yī)院監(jiān)管機制醫(yī)院管理制度中普遍規(guī)定，禁止使用U盤，禁止私自連接互聯(lián)網(wǎng)。由于缺乏有效的技術監(jiān)督手段，這種違規(guī)現(xiàn)象非常普遍。微點的安全事件日志恰恰可以成為管理制度的有力支撐，起到很好的威懾作用。安全事件數(shù)據(jù)為安全方案決策者提供數(shù)據(jù)支撐，建立安全評估決策機制管理者可以將微點安全事件整理成報告，通過數(shù)據(jù)來匯報醫(yī)院網(wǎng)絡存在哪些安全問題，并提出自己的解決方案，給予醫(yī)院信息中心的管理者和醫(yī)院的決策者決策以有力的支撐。微點主動防御安全解決方案8、幫助管理者實現(xiàn)向依托數(shù)據(jù)支撐管理模式的轉變微點主動防御安35微點主動防御安全解決方案安全事件數(shù)據(jù)為管理制度提供監(jiān)督作用1）對HIS和PACS系統(tǒng)實施惡意行為的計算機列表微點主動防御安全解決方案安全事件數(shù)據(jù)為管理制度提供監(jiān)督作用36微點主動防御安全解決方案安全事件數(shù)據(jù)為管理制度提供監(jiān)督作用2）違規(guī)使用移動存儲設備向網(wǎng)絡內攜帶惡意程序的計算機列表微點主動防御安全解決方案安全事件數(shù)據(jù)為管理制度提供監(jiān)督作用37微點主動防御安全解決方案安全事件數(shù)據(jù)為安全方案決策者提供數(shù)據(jù)支撐例如：我院與醫(yī)保中心網(wǎng)絡間存在安全隱患

依據(jù)實際發(fā)生的安全事件數(shù)據(jù)，撰寫安全規(guī)劃報告，闡明安全隱患的危害性和解決方案（需要部署防火墻進行邏輯隔離），遞交上級主管領導和院務辦，討論確定。這是醫(yī)院連接醫(yī)保的計算機安裝了微點主動防御這是醫(yī)保中心的計算機實施惡意植入行為微點主動防御安全解決方案安全事件數(shù)據(jù)為安全方案決策者提供數(shù)據(jù)38

目錄2.1病毒查殺報告

12.2主動防御惡意行為程序安全事件報告

12.3成功處置造成HIS和PACS系統(tǒng)服務緩慢安全事件報告

2

2.3.1對HIS和PACS系統(tǒng)實施惡意行為的計算機列表

22.4成功防御工作人員違規(guī)使用移動存儲設備向我院網(wǎng)絡攜帶惡意程序安全事件報告

3

2.4.1違規(guī)使用移動存儲設備向我院網(wǎng)絡攜帶惡意程序的計算機列表

32.5成功截獲工作人員違規(guī)私自連接互聯(lián)網(wǎng)引發(fā)的安全事件報告

32.5.1違規(guī)私自連接互聯(lián)網(wǎng)計算機列表

42.6成功防御并準確定位實施遠程惡意植入行為計算機的安全事件報告

42.6.1對其它計算機實施遠程惡意植入行為計算機列表

52.7成功防御并準確定位實施惡意網(wǎng)絡入侵行為計算機的安全事件報告

52.7.1對其它計算機實施惡意網(wǎng)絡入侵行為計算機列表

52.8成功防御來自省/市醫(yī)保中心網(wǎng)絡的惡意網(wǎng)絡入侵行為報告 62.8.1來自省/市醫(yī)保中心網(wǎng)絡對我院實施惡意入侵行為計算機列表

62.9對我院網(wǎng)絡危害性較大惡意程序的報告

72.9.1降低醫(yī)院網(wǎng)絡性能的惡意程序Kido報告

72.9.2危害醫(yī)院醫(yī)療數(shù)字信息資料的病毒Folder報告

73網(wǎng)絡安全隱患

73.1醫(yī)療信息系統(tǒng)（HIS系統(tǒng)）特點引發(fā)的安全隱患

73.2醫(yī)院網(wǎng)絡結構引發(fā)的安全隱患

83.3工作性質引發(fā)的安全隱患

8微點主動防御安全解決方案 目錄微點主動防御安全解決方案391、基于終端的防護，解決醫(yī)院特殊網(wǎng)絡結構安全隱患基于殺毒軟件，查殺清除各種已知病毒，保障計算機的安全和穩(wěn)定性基于行為自主分析判斷，實現(xiàn)行為防御，有效防御各種新型及未知的惡意行為程序，擺脫單獨依靠殺毒軟件帶來的安全隱患，擺脫單純升級手段防護，實現(xiàn)無需升級防護的飛躍。2、基于網(wǎng)絡的安全防護，解決外來及交叉安全威脅，提升網(wǎng)絡質量

無需考慮系統(tǒng)漏洞未修補隱患、共享隱患、弱口令隱患，防護基于網(wǎng)絡的威脅：防御遠程惡意植入行為；防御網(wǎng)絡入侵行為；防御違規(guī)互聯(lián)網(wǎng)訪問帶來的安全威脅。防御違規(guī)使用移動存儲設備帶來的安全威脅3、基于危害源的反追蹤溯源定位，迅速定位危害源，實現(xiàn)安全監(jiān)控可見性

迅速定位網(wǎng)絡內哪些計算機存在威脅，使得安全具有可見性，提高工作效率，降低工作強度。定位具有惡意植入行為計算機；定位具有網(wǎng)絡入侵行為計算機；定位具有違規(guī)互聯(lián)網(wǎng)訪問威脅計算機；定位具有違規(guī)使用U盤帶入安全威脅計算機；定位存在漏洞、共享、弱口令等安全隱患計算機；微點主動防御在醫(yī)院網(wǎng)絡應用特點