终端安全体系建设论文范文

1“技术、管理、服务”三位一体的建设

根据如上分析，传统的防病毒产品均以分析病毒特征为主，仅仅依靠病毒防护技术是不能解决所有问题的。对于一个大型医院而言，防病毒产品的可管理性往往比病毒的查杀能力更为重要，如果防病毒产品不能做到医院全网安全防护体系的统一集中控制和管理，即使拥有再多的功能也不能满足医院的实际需求。实践证明，一个安全、有效和完善的防病毒解决方案应包含防护技术、安全管理和体系化服务3个层面的内容。网络集中式防病毒体系和管理已成为保障医院网络安全不可缺少的一部分。

1.1防护技术层面从上述我们对恶意软件和传统病毒特征的分析可知，目前传统被动的防护方法已经无法遏制与日俱增的恶意软件和病毒的入侵。因此，我们必须从“主动防范”这种观点出发，针对医院构建一个整体、多层次的防病毒体系。相对于传统的被动式病毒防范技术而言，主动式响应技术可在新的恶意软件和病毒未出现之前就形成防火墙，静候威胁的到来，从而避免恶意软件和病毒所带来的损失。防病毒体系架构如图1所示。

1.1.1基于应用程序的防火墙技术个人防火墙能够按应用程序或其通信特征，阻止/允许任何端口和协议进出。通过个人防火墙技术，可以有效防止恶意软件和病毒通过漏洞进入客户端，更为重要的是，可以有效阻止病毒的传播路径。以ARP木马为例，正常的ARP请求和响应包是由ndisiuo.sys驱动发出，而ARP病毒或者其他ARP攻击通常是利用其他系统驱动伪造ARP数据包发出。因此，在防火墙规则中设定，只允许ndisiuo.sys对外发送ARP数据包（协议号0×806），其他的全部禁止，这样就能在没有最新病毒定义的前提下对病毒进行阻断和有效防护。

1.1.2应用程序控制技术首先设置一份恶意软件的黑名单，然后通过应用程序控制技术对终端的应用程序行为进行全方位监控，如发现与黑名单相近似的行为就进行阻止。以“熊猫烧香”这种经过多次变种的蠕虫病毒为例，如采用传统的被动防护技术，解决的方法是：必须及时捕获每一个变种后的样本，才能有针对性地编写病毒定义。但该种病毒的传播和爆发其实具有很明显的行为特征，它主要是通过U盘传播，利用操作系统在打开U盘或移动硬盘时，自动根据根目录下的autorun.inf文件，执行病毒程序。而赛门铁克公司所提供的系统防护技术可以有效地管控根目录下的autorun.inf文件读写权限，尤其当已受病毒感染的计算机试图往移动存储设备上写入该文件时，可自动终止该病毒进程，并向管理员递送报告。

1.1.3客户端系统加固保证客户端安全的基础条件是客户端自身的安全加固。医院终端大多使用Windows操作系统，此类系统应用广泛，但本身也存在着非常多的安全漏洞，需及时安装操作系统的补丁程序[7]。为了医院整体网络的安全不受个别软件系统漏洞的威胁，必须在医院网络安全管理中加强对操作系统的补丁升级和安全配置。集中管理医院网络中客户端的操作系统补丁升级、系统配置等，可以自动定义客户端操作系统补丁下载、操作系统补丁升级策略以及增强客户端系统安全策略配置并自动下发给运行于各个客户端设备上的模块，模块自动执行管理控制台下发的策略，保证客户端操作系统补丁升级、安全配置策略的有效性。整个管理过程都是自动完成，对终端用户来说完全透明，减少了终端用户的麻烦，降低了医院网络的安全风险，提高了医院网络整体的安全配置管理效率和效用，使医院网络的操作系统补丁及安全配置管理策略得到有效落实。综上所述，通过最新主动防范技术，我们才能有效应对现今的恶意软件和病毒威胁。网络集中式终端安全和管理已成为保障医院网络安全不可缺少的一部分。

1.2安全管理层面在病毒和恶意软件的管理层面上我们需要达到2个目标，即管理技术化与技术管理化。管理技术化体现在客户端的策略和行为控制上，把“三分技术、七分管理”口号变成实际可操作的控制程序，这样就需要我们通过技术手段把对终端用户的管理要求现实化和可执行化。技术管理化要求我们对上述提到的多种安全防护技术进行合理、有效的管理，使防护技术发挥其应有的作用。通过统一、有效和实时的集中式管理，建立完善的安全技术保障体系。赛门铁克公司的阻截恶意软件（SymantecEnd－pointProtection）解决方案适合我院的实际需求。该解决方案主要依靠策略管理服务器来实现。根据我院的实际情况，终端安全管理平台采用“统一控制，二级管理”的架构，此架构与我院现有的行政管理模式相吻合，不仅提高了安全管理的效率，而且又能体现“统一规划，分级管理”的思想。策略服务器是整个终端安全管理的核心，利用策略服务器实现所有安全策略、设定和监控。通过使用控制台，管理员可以创建和管理各种策略、将策略分配给终端、查看日志并运行端点安全活动报告。通过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见。统一控制台简化了客户端的安全管理，提供集中软件更新、策略更新、报告等服务。

1.3体系化服务层面体系化服务是一个产品的完美补充，因为没有任何一个防病毒厂商能做到对已知病毒和未知病毒的快速准确查杀。医院通过构建完善的网络防病毒体系来防御病毒和恶意软件的入侵。一套完善的终端安全体系既是主动与病毒对抗的过程，又是攻守双方博弈的过程。因为攻方始终握有主动权，所以仅仅依靠防病毒产品不能达到完全意义的安全，还需要配合行之有效的管理及合适的安全策略，并且不断根据各种情况调整策略。只有结合防病毒方案提供的安全服务，才能使医院的防护体系及整体安全提升至一个新的高度。根据我院终端的特殊情况，我们制定了一整套完整的客户端安全服务体系，包括日常维护服务、病毒预警服务以及突发事件应急响应服务几部分。

1.3.1日常维护服务日常维护包括每周病毒特征库的更新、每月一次的巡检。其中巡检包括系统脆弱性扫描、安全评估、安全建议等。由于病毒及恶意软件的持续激增，病毒特征库的及时更新及定期巡检显得尤为重要。

1.3.2预警服务病毒威胁预警服务为我院提供了对新病毒感染暴发提前预警、通知和防范的标准化流程。该流程为信息科安全小组管理人员提供必要的信息和预警，以便在病毒威胁到达我院前或病毒尚未泛滥前调整部署相应的安全配置策略，并成功抵御攻击，降低病毒事件的爆发率，减少病毒事件对我院网络终端的影响。

1.3.3突发事件应急响应服务当发现某种未知的病毒威胁或恶意软件传播导致网络或应用瘫痪时，现有防病毒解决方案未能及时对其进行控制，或者当病毒解决方案能及时发现病毒威胁但不能对其进行隔离或有效删除时，需要防病毒软件厂商及时帮助我们解决遇到的问题。我院通常需要在一个时间范围内解决上述问题，我们可以通过提交病毒威胁样本或直接要求应急上门服务的方式，请防病毒软件厂商协助解决这些问题，避免病毒威胁和恶意软件在我院大规模扩散。

2结语

随着医院业务范围的不断拓展，规模越来越大，其信息系统应用范围也日渐扩大，网络上出现的各种问题给网络用户带来了无休止的烦恼，数据和网络安全已成为医院最头痛的问题之一。我院部署的SymantecEndpiontProtection解决方案实现了“终端安全、终端管理和服务体系”三位一体的建设，大大提升了工作效率，同时我院的终端安全管理水平也提高到一个新的高度，确保了医院网络终端安全。

作者：王鹏马锡坤于京杰单位：南京军区南京总医院信息科