行业背景
随着我国经济不断发展,人民生活水平提高,对于身体健康的关注度也在提升,客观上要求医院的医疗水平能够得到提升,这对医院的管理和发展提出了挑战。随着信息化技术在医疗系统的普及,大大加强了医疗管理水平,例如医院采用的HIS系统就是医院信息化发展的体现,其在管理医院的发展方面取得了重要的发展地位。但是医疗信息系统,同样面临通用信息系统受到的APT、0day漏洞、特种木马的威胁。面对新形势下的安全威胁,传统的信息安全产品已无法满足需求。
医疗方案
医疗信息系统,同样面临通用信息系统受到的APT、0day漏洞、特种木马的威胁。。
面临问题
解决勒索病毒的源头以及横向传播
解决内部风险点,使用技术手段弥补因有意或无意导致的安全事件
解决关键数据、文件窃取问题
解决终端数量巨大,无法进行应用安装卸载的统一管理
解决方案
通过主动免疫系统防御机制
提供执行程序可信度量,阻止非授权及不符合预期的执行程序运行,实现对已知/未知恶意代码的主动防御,降低操作系统完整性及可用性被破坏的风险。弥补传统防御手段的不足,可有效防止未知/已知的勒索病毒源头,以及网络中其他中毒计算机的横向传播。
通过底层访问控制机制
根据系统访问需求授权进程对数据文件的访问权限,确保受保护的文件不被其他进程违规访问;同时支持设置进程对授权文件以外的文件访问权限,强制限制进程只拥有合理的访问权限。可有效的解决关键数据、文件的机密性与完整性。
通过可信程序保护机制
禁止任何程序或用户对可信程序进行篡改,保障计算机中的程序能够稳定运行,拦截以任何方式对服务器中应用程序的删除、修改等危险操作;有效遏止内部发生的服务中断风险。
通过动态度量机制
实时监视系统内所有关键进程、模块、执行代码、数据结构、重要跳转表等,对进程的资源访问行为进行实时度量和控制,动态度量模块针对不同的度量对象,采用合理的度量方法,选择合适的度量时机,对系统的运行进行全面度量,确保系统安全可信。
通过存储设备统一管理机制
对所有USB存储设备进行管理未注册的USB设备禁止使用,并且对注册USB设备进行标记管理,防止内网中通过USB设备发生病毒交叉感染。
通过软件库机制
通过安全可靠的软件采集过程形成软件库,并对所有终端的软件进行统一管理,针对不同的业务需求制定相应的软件使用策略,并且下发到指定终端。可有效的解决终端应用软件使用乱象,杜绝非法安装与卸载软件。
通过双因子身份鉴别机制
由安全管理中心统一下发的令牌、数字证书、口令的组合机制进行双因子身份鉴别,并对鉴别数据进行保密性和完整性保护。有效保障了计算机使用者身份的绑定,可一定程度上防止信息泄漏。
医疗解决方案
- 1有效遏止勒索病毒
医疗行业作为勒索病毒攻击的重要目标,防御勒索病毒迫在眉睫,相较于传统防病毒的手段,可信计算的主动免疫系统防御机制不但可以有效遏止勒索病毒的传播源头还能有效防止其横向传播。
- 2提升内部安全管理手段
医疗行业IT运维人员较少但计算机数量庞大,从业人员信息安全意识薄弱难以管理。通过可信进程保护、设备统一管理、动态度量、软件库等机制可大大增加安全管理手段,降低内部风险杜绝因有意或无意造成的安全风险。
- 3符合国家等级保护政策要求
完全符合我国等级保护标准要求,以主动防御的方式,从根本上解决关键基础设施、重要信息系统、涉密信息系统、应用系统所面临的安全威胁。
方案价值
- 1运算和防护并存,从根本上弥补系统的逻辑缺陷
可信计算3.0建立了一种运算和防护并存的主动免疫机制,使运算结果与预期一致,计算全程可测可控,能够及时识别进入系统的有害成分,为计算机信息系统培育了免疫能力,从根本上“弥补”了系统的逻辑缺陷(即漏洞与后门)。
- 2安全与密码技术相结合,实现数据信息处理和系统服务资源可信
可信计算3.0是传统访问控制机制与密码技术相结合的产物,它以密码为基因,通过主动识别、主动度量、主动保密存储,实现统一管理平台策略支撑下的数据信息处理可信和系统服务资源可信。
- 3不针对特定攻击,对已知和未知攻击普遍有效
可信计算3.0采用可信网络连接架构,对入网的计算机的身份和安全状态进行认证,不需要关闭网络连接,即可阻止任何非法计算机实施网络攻击;采用可信度量和运行控制机制,在操作系统核心层接管系统调用,在不改变应用软件的前提下实施主动防御,不需要任何病毒特征库,在攻击行为的源头阻止攻击程序运行,使得已知和未知病毒程序均可不杀自灭。
- 3无需安全补丁,摆脱了受控于国外操作系统厂商的问题
在信息系统中存在已知和未知漏洞和后门的情况下,无需修补任何安全漏洞,由于在的源头阻止攻击程序发作,信息系统依然能够安全运行,从而从根本上摆脱了对国外商用“补丁”的依赖而受控于人的问题。