第一篇:高煥云——《醫患溝通整體解決方案》
《醫患溝通整體解決方案》培訓課程簡介
一、課程背景
近年來,全國范圍內醫患暴力沖突呈“井噴式”爆發。暴力傷醫凸顯醫患信任危機,醫務人員的生存環境令人擔憂。據有關資料顯示,因醫療事故造成的糾紛僅在3% 左右,90%多的糾紛都是服務問題,而在這90%多的糾紛中,絕大多數又是醫患溝通障礙所致。醫患溝通障礙就是引起醫患糾紛的罪魁禍首。2012年3月23日,某醫科大學附一院,患者李某因不滿醫生的醫療建議,持刀向4名醫生行兇,致一死三傷,這其中牽扯到溝通問題。糾紛!糾紛!還是糾紛!無獨有偶,2012年11月13日某醫科大二附院發生命案,因一患者對手術治療結果有顧慮而拒絕手術,自動離院后,懷疑身體不適是術前檢查引起的,心存不滿進行報復,我們也不得不承認這里面存在溝通問題。在目前醫患關系如此緊張的時刻,醫務人員應該以怎樣的姿態解決醫患溝通問題?作為服務者要使自己的服務得到認可,必須有一個群眾可以接受的溝通態度。為此,高煥云女士特提出我國醫患溝通宣言,它代表著醫務人員徹底改變醫患溝通障礙的堅強決心!
醫療行業目前狀況令人擔憂:
1.醫學院校在培訓啞巴醫生、啞巴護士?很多學校只教給他們醫療操作技能的流程、方法,但是沒有規范的操作語言?他們成了執行醫療操作的啞巴機器人,而這些進入醫院的“機器人”,一旦醫院沒有對其進行專業溝通培訓很可能成為引起醫患糾紛的定時炸彈。
2.臨床醫務人員缺乏溝通技巧訓練,不知道如何說話,殊不知這成了醫患糾紛的最大 禍端。
兩會期間醫生對衛生部長的含淚十問第三問就是醫務人員的溝通問題,醫生問:“醫患關系緊張是由于我們溝通不夠,您是不是希望全體醫護人員都練就如簧巧舌,比如是政客和律師?”,醫生的提問顯示了我們醫務人員對醫患溝通的迷茫。
醫務人員到底如何去溝通?
如何讓白衣天使會說話、說好話? 醫療行業規范化服務語言如何實施? 有沒有盡快提升醫務人員溝通能力的秘籍?
有!這就是——煥云醫患溝通秘籍和超強魔法訓練組合。
本溝通秘籍和超強魔法訓練組合由我國規范化服務第一人、我國新時代醫務禮儀創始人、醫院服務意識奠基人、醫療服務問題解決專家、煥云專業醫務培訓創始人高煥云女士國內獨創。高煥云女士有著從醫31年的臨床經驗,有著醫務禮儀和醫學心理學10余年的研究經驗,深知醫患糾紛癥結所在,真正從醫療行業的特點出發,從根本上解決醫患溝通障礙問題。煥云獨特的溝通公式讓醫務人員的說話有了可衡量的標準,魔法訓練組合真正把臨床醫
務人員的實用溝通問題用可解決的工具和方法進行有效訓練和指導,使醫務人員在短時間內即可掌握溝通要點,真正符合禮儀和醫療規范的專業溝通方式為高煥云女士國內首創,是目前解決我國醫患糾紛最有效的方法。她也以其獨特的360° 醫務培訓開創了我國培訓界的醫務培訓先河,在我國醫療發展史上增添了新的一頁,也再次引起中國關注。
高煥云女士指出“醫療行業的規范化語言應該具備體現尊重、符合常規、科學文明三個特征。”
體現尊重:語言要體現對客戶的尊重,體現對生命尊嚴的尊重,促進醫患關系和諧。符合常規:語言要符合醫療護理操作常規,在操作的哪個環節我們需要詢問到病人什么內容,是我們醫療操作常規所規定的,生命的守護神絕不能把規范流于形式。
科學文明:科學文明的語言是嚴謹的表現,要會說話、說好話、話好說。
她認為作為醫務人員學會如何說話是行業必須,學會說話和如簧巧舌不同,我們是讓病人收到我們關愛,是和病人心靈的溝通,從而實現全身心的康復.高煥云女士認為禮儀就是溝通的根本,醫務人員只有從根本上理解了自己的禮儀許多溝通的問題也會迎刃而解。
二、課程包簡介
《醫患溝通整體解決方案》旨在解決醫務人員的溝通障礙問題,從思想上到行動上進行轉變,樹立溝通理念、增強溝通意識、掌握溝通技巧、杜絕溝通糾紛,徹底規范醫務人員服務語言,使醫患溝通障礙徹底解決。課程內容包括醫患溝通秘籍和超強魔法訓練兩部分。醫患溝通秘籍的靈魂是高煥云老師創作的醫患溝通歌,所有溝通秘籍都圍繞醫患溝通歌進行,使整個課程融會貫通一體,一氣呵成,讓學員真正體會魔法的魔力。
本溝通秘籍和超強魔法訓練組合具有以下四點個特點。第一、醫療專業性和實用性的統一。
本溝通秘籍和強力魔法訓練組合是按照醫務人員工作環節設計,具有實用性和可操作性,它的使用將會使醫務人員的說話有了可衡量的標準,對預防醫患糾紛有著非常顯著的作用。
第二、醫務禮儀和操作規范的統一。
醫療行業的規范化服務,應該是一種科學流程,符合醫療操作常規的內容和規范化語言的統一。本溝通訓練組合真正把禮儀、和諧做到實處,把醫務禮儀融入工作環節中,真正提高了群眾的就醫滿意度。
第三、醫療科學性和行醫文明的統一。
科學文明的語言是醫療行業嚴謹性的表現,醫務人員必須要會說話、說好話、話好說。科學和文明的結合就能極大提高醫療行業者的形象。
第四、溝通有效和快速提升的統一。
醫患溝通障礙最終的結果是溝通的無效,白衣天使溝通秘籍和超強魔法訓練組合的特點之四就是有效性和快速性,可讓病人感受到服務的快速提升,醫務人員的從醫神圣感和責任感都得到了良好的展示,醫患雙方就會達成一種和諧的狀態。
三、課程內容
(1)課程題目:人脈何來———魔法溝通走進心靈(2)課程綱要: ? 認識溝通 ? 溝通障礙原因分析 ? 魔法溝通走進心靈 ? 醫患溝通秘籍講解 ? 醫患溝通魔法公式講解 ? 醫患溝通魔法訓練 ? 測評考核(3)課程收益
? 掌握溝通技巧減少醫患糾紛 ? 提高服務形象 ? 和諧醫患關系 ? 規范醫療護理服務語言
(4)授課時間:10時,其中理論7時,魔法訓練及考核3小時,后續訓練遠程指導。
四、煥云醫患溝通培訓現場精彩瞬間
醫患溝通精彩培訓課堂——講解環節
學員用心唱出醫患溝通歌
醫患溝通精彩培訓課堂——模擬實戰環節
醫患溝通精彩培訓課堂——測評考核環節
第二篇:如何做好醫患溝通
如何做好醫患溝通
醫療糾紛發生的因素比較復雜,但常見的原因除社會、醫院、患者等因素外,醫務人員與患者及其家屬的有效溝通也是其重要的原因之一。解決好醫患之間的有效溝通,使患者及其家屬,與醫務人員在 治療患者疾病中達成共識,是解決醫患糾紛的基礎。
醫生要以尊重醫學、信任法律、用智慧探索醫療侵權處理之真理為己任,建立以誠信和規則為本的現代醫療服務新理念,加強法律教育與研究,誠信行醫、依法行醫;醫生掌握有專業知識,在溝通中容易被病人理解為“以專業知識搪塞病人”,因此,醫生要善于運用病人能理解的方式、方法、生活經驗,讓病人充分認識自己的病情、治療方案并積極配合;醫生要重視對醫療文件規范性的重視。醫務人員在病員的治療全過程中要重點把好醫療質量關,特別要在醫療安全、服務質量、費用的清算以及病員愈后的情況方面,充分地與患者及其家屬進行溝通,使他們認識到醫務工作者是在全心全意為患者服務。
醫生有三件寶,語言、藥物、手術刀。之所以要把語言放在第一位,說明醫務人員的語言在病員及其家屬的面前顯得尤為重要。患者雖然不懂醫,但他對醫務人員的服務態度是非常關注的。心理滿足、得到尊重也是患者的基本要求,但是在醫務界卻有部分人員缺乏情緒管理和與人溝通的能力,在為患者提供的各種服務中,與患者要求存在一定差距。在這種情況下要解決好醫患矛盾、糾紛,作為醫院的各級各類醫務人員就必須要找準與患者及其家屬溝通的著力點,用有效的方式與其溝通,使他們認識到你是在真心地為他們服務、為他們著想。
溝通能力的訓練尤為重要。醫院管理者要把醫療技能的訓練、溝通能力的訓練放在醫院管理的重要工作位置,與患者溝通在醫院是全員性工作,在訓練上,請有關的專家學者進行醫患溝通技巧講座,包括禮儀訓練,落實文明用語和與患者溝通的時間、方法。
醫患之間相互依存,醫生因患者而生存,醫學因疾病而發展,患者生病也要醫生救治才能擺脫病魔,恢復健康。醫患之間應該成為社會上最和諧的人際關系。
第三篇:醫患溝通概論
1、下列錯誤的描述是()
A、醫患溝通是臨床的基本理念和態度
B、醫患溝通的意識第一,技巧第二
C、醫患溝通僅僅是解決醫患糾紛的方法
D、醫患溝通是醫生的基本素養
2、溝通的“三段式”步驟不包括()
A、核實患者的理解
B、通過觀察和傾聽,了解情況,心中有數
C、通過敏銳的提問和深入交流,澄清問題
D、通過總結與核實,達成共識與初步結論
3、以下說法錯誤的是()
A、培養溝通的意識永遠比培訓技巧更重要
B、任何臨床交談都應當是溝通過程
C、溝通是保證治療依從性的重要手段
D、出現糾紛才要去溝通
4、屬于溝通深入階段的是()
A、足夠的準備
B、呈示檢查結果
C、了解對方的觀點
D、根據患者的態度和觀點進行針對性強的解釋
5、基本溝通技巧不包括()
A、共情 B、觀察
C、權威
D、傾聽
6、不屬于溝通開始階段采取的措施是()
A、足夠的準備
B、呈示檢查結果
C、了解對方的觀點
D、根據患者的態度和觀點進行針對性強的解釋
7、提高溝通能力的最直接、有效的方法的是()
A、對患者的理解與共情
B、經常主動運用溝通技巧
C、積極解決糾紛
D、學會傾聽
8、溝通的基本原則不包括()
A、誠信原則
B、交互、反饋、共同參與原則
C、平等原則
D、權威原則
9、臨床工作的支柱是()
A、醫術
B、溝通
C、兩者都是 D、兩者都不是
10、一切溝通技巧之源泉是()
A、共情
B、觀察
C、說話
D、傾聽
第四篇:育優家園共育整體解決方案
北京健康成長科技發展有限公司
育優家園共育
整 體 解 決 方 案
全國婦聯+北京大學+中國兒基會 安康(公益)重點項目授權執行機構 北京健康成長科技發展有限公司
2009-2-3
安康(公益)重點項目授權執行機構 北京健康成長科技發展有限公司 北京市海淀區中關村北大街151號北大資源大廈1016室 郵編:100080 電話:58876940 58876789-851 傳真:58876315
網址:www.tmdps.cn 北京健康成長科技發展有限公司
目 錄
一、項目背景........................................................................................................................3
二、公司簡介........................................................................................................................3
三、育優家園共育整體解決方案...........................................................................5
3-1 方案概述........................................................................................................................5 3-2安康教育信息化示范園服務介紹....................................................................5
3-2-1服務目標:.................................................................................................................5 3-2-2服務項目:.................................................................................................................6
3-3“育優聯盟會員”服務介紹................................................................................6
3-3-1服務目標:.................................................................................................................6 3-3-2服務內容:.................................................................................................................7
3-3-3服務優勢:................................................................................................................8
四、育優家園共育整體解決方案的服務模式及收費方式..................9
五、核心理念........................................................................................................................9
六、結束語..............................................................................................................................9
安康(公益)重點項目授權執行機構 北京健康成長科技發展有限公司 北京市海淀區中關村北大街151號北大資源大廈1016室 郵編:100080 電話:58876940 58876789-851 傳真:58876315
網址:www.tmdps.cn 北京健康成長科技發展有限公司
一、項目背景
幼兒教育作為基礎教育的重要組成部分,逐漸被整個社會及每個家庭所重視。更快更好的發展幼兒教育、學前教育對于促進兒童身心和諧健康發展,提高我國人口整體素質,全面建設小康社會具有重要的現實意義。為了大力推進我國幼兒教育事業的發展,全面提高幼兒教育、學前教育的整體水平,確保“十一?五”期間學前教育規范化工程的實施,我國政府詳細制訂了幼兒教育發展規劃。
在黨的十七大報告中,將重視學前教育、加快教育信息化發展提到了相當重要的位置。二十一世紀是信息化時代,通過教育信息化發展帶動我國基礎教育事業發展,提高學前教育水平將勢在必行,也將關系到整個中華民族的偉大復興。
“安康家園”網絡項目通過分析國外先進的信息化網絡技術,結合我國學前教育、家庭教育現狀,在全國婦聯、中國兒童少年基金會的指導下,聯合北京大學技術研發力量,建設了目前為止國內最先進、最專業的0——6歲嬰幼兒家園共育互動網絡平臺,網址:www.tmdps.cn中文網址:“安康家園”。并承諾以公益捐建的形式捐建給全國的幼兒園所及家庭,目的是讓全國的幼兒園早日完成教育信息化建設,讓嬰幼兒教育工作者及家長都能通過信息化手段科學、專業的撫育孩子健康成長。
二、公司簡介
“成長科技”全稱北京健康成長科技發展有限公司。成立于2005年底,被北京市海淀區工商局列為“北京市高新技術企業”,公司坐落于被稱為中國硅谷的“中關村科技核心”地帶,辦公面積1000平米,共計員工118人。“成長科技”公司歷經兩年多的發展與摸索,本著“根植教育、奉獻愛心、成就未來”的服務宗旨迅速的在中國互聯網行業中樹立了核心發展理念,被眾多同行業伙伴效仿。
“成長科技”發展大事記:
2005年10月 “成長科技”斥資4000萬元人民幣,建設國內專業的0——6歲嬰幼兒家園共育互動網絡平臺,www.tmdps.cn網站成立;
安康(公益)重點項目授權執行機構 北京健康成長科技發展有限公司
北京市海淀區中關村北大街151號北大資源大廈1016室 郵編:100080 電話:58876940 58876789-851 傳真:58876315
網址:www.tmdps.cn 北京健康成長科技發展有限公司
2006年1月 全國婦聯主席、人大副委員長顧秀蓮同志在湖北安康家園捐建現場,親自點擊啟動安康家園網絡項目,由此拉開了安康家園走向全國的序幕;
2006年6月 安康家園專家委員會成立,專家委員會由中國工程院、中國科學院四位院士牽頭,專家團隊的成員共有300余名,涉及嬰幼兒教育教學、教育管理、心理健康、衛生保健、法律咨詢五大領域,為安康家園的專業教育服務奠定基礎;
2006年8月 “成長科技”與澳大利亞最大的教育資源服務提供商“澳大利亞威爾頓教育集團”簽約,雙方承諾為中國幼兒教育系統提供專業的教育資源服務;
2006年12月 “成長科技”與陜西婦聯、江蘇婦聯、山西婦聯、廣東婦聯等各省婦聯建立了捐建安康家園網絡項目的合作協議,使眾多幼兒園所及家庭受益;
2007年8月 “成長科技”與天津教育委員會達成合作捐建協議,作為與教育主管部門的首次合作,對安康家園與全國各省教育主管單位的全面合作起到重要作用;
2007年10月 “成長科技”與全球最大的數據庫服務運營商“美國甲骨文集團”簽訂合作協議,合作包括了技術支持、專業教學培訓、資源共享等眾多領域;
2007年12月 “成長科技”被中國兒童少年基金會評為“公益明星單位”; 2008年2月 “成長科技”與中國移動公司簽訂全面合作協議,由此啟動了安康家園互聯網及移動網技術的全面服務;
2008年8月 “成長科技”已經與全國十個省份地區的教育主管單位簽訂了安康項目捐建協議,落戶安康家園的幼兒園所8000余所,家庭會員上百萬;
2008年10月 “成長科技”正式在安康家園網絡項目中啟動“育優家園共育整體解決方案”,這具有歷史意義一筆,開創了“安康家園”提供網絡教育服務模式的先河。
安康(公益)重點項目授權執行機構 北京健康成長科技發展有限公司
北京市海淀區中關村北大街151號北大資源大廈1016室 郵編:100080 電話:58876940 58876789-851 傳真:58876315
網址:www.tmdps.cn 北京健康成長科技發展有限公司
三、育優家園共育整體解決方案
3-1 方案概述
通過安康家園網絡項目在全國兩年多的推廣和實踐,使我們積累了豐富和寶貴的互聯網運營經驗。我們對全國10個省份的100家幼兒園所、5000多位家長進行了真實需求的詳細抽樣調查,在分析調查的結果及總結安康家園各方面資源優勢和特點的基礎之上,2008年10月安康家園網絡系統正式啟動運營“育優家園共育整體解決方案”(簡稱:育優項目)。“育優項目”作為安康家園網絡項目的家園個性化服務產品,剛剛上線運營就受到了廣大嬰幼兒家長及幼兒園所的認同和好評。“育優項目”不僅為0—6歲嬰幼兒家庭及幼兒園所搭建了科學育兒、家園共育的互動網絡平臺,還為嬰幼兒家庭與幼兒園所提供了專業、個性化的教育服務,使廣大的嬰幼兒家庭及園所都能夠通過信息化手段科學、專業的撫育孩子健康成長。“育優項目”提供的家園共育服務內容由兩部分組成:一是為幼兒園提供的“安康教育信息化示范園服務”,二是為嬰幼兒家庭提供的“育優聯盟會員服務”。
3-2安康教育信息化示范園服務介紹
3-2-1服務目標:
? 讓幼兒園樹立自己的品牌形象 ? 完善幼兒園教師的專業技能 ? 讓幼兒園幫助家長實現科學育兒 ? 幼兒園與家庭共同實現家園共育 ? 完善幼兒園的信息化建設
安康(公益)重點項目授權執行機構 北京健康成長科技發展有限公司
北京市海淀區中關村北大街151號北大資源大廈1016室 郵編:100080 電話:58876940 58876789-851 傳真:58876315
網址:www.tmdps.cn 北京健康成長科技發展有限公司
3-2-2服務項目:
? 獲得專業的家園共育網絡平臺并接受信息化培訓----園所在“安康家園”中獲得屬于自己的獨立域名空間、建設幼兒園個性化網站,開通各班級主頁、寶寶主頁、教師博客,實現有效的家園互動與園所展示。園所如加入安康信息化示范園,則園長和教師需要接受安康網絡項目的專業培訓,并獲得由中國兒童少年基金會和北京大學頒發的結業證書。
? 擁有育優通短信發布系統及不定量的短信----育優通短信發布系統是為幼兒園量身設計并開發的移動網絡服務平臺,它實現了園所對家長及時、準確的信息發布,并開通了中國移動、中國聯通、小靈通用戶的全網服務,讓家園之間的溝通便捷、高速、及時,更好地體現了教育信息化幼兒園的核心能力。我們將根據幼兒園寶寶加入育優聯盟會員的數量配增相應的短信條數,可按每位會員每年200條計算。
? 參加中國兒基會組織的幼教工作者高級研修班學習----示范園園長每年寒、暑假均可參加由中國兒童少年基金會、中華女子學院共同主辦的幼教工作者高級研修班,提高幼教工作者專業水平,參會成員培訓費免費,成績合格者授予園士榮譽。? 接受中國兒基會頒發的教育信息化示范園牌匾----即由中國兒童少年基金會育優聯盟授予“安康教育信息化示范園”牌匾
3-3“育優聯盟會員”服務介紹
3-3-1服務目標:
? 讓家長科學的了解孩子的身心發展狀態以更好的進行因材施教; ? 讓家長在輕松的閱讀環境中獲得實用的育兒知識;
? 在家長遇到育兒的難題時,可以得到專業、權威的指導和幫助;
安康(公益)重點項目授權執行機構 北京健康成長科技發展有限公司
北京市海淀區中關村北大街151號北大資源大廈1016室 郵編:100080 電話:58876940 58876789-851 傳真:58876315
網址:www.tmdps.cn 北京健康成長科技發展有限公司
? 使家長能夠便捷地得到專業的育兒指導和最新的育兒資訊; ? 使家長在科學育兒的教育環境中撫育孩子健康成長;
3-3-2服務內容:
? 科學嚴謹的嬰幼兒成長測評與育優課程----以幼兒身心發展特點為線索,對幼兒的身體與運動、語言、思維、記憶、社會性等各項能力進行科學測評,并在測評后24小時內生成測評報告,再根據測評報告結果向家長分階段推薦育優個性化基礎課程及提高性拓展課程。
● 北京大學心理學系蘇彥捷教授牽頭研發
● 經國內知名心理學家、教育學家、醫學專家聯合評審 ● 中國兒童少年基金會唯一推薦測評系統
作用:通過科學嚴謹的嬰幼兒智能測評系統讓家長及時準確掌握孩子在成長關鍵期的身心發展情況,與此同時家長與孩子可以通過對育優課程的學習和操作提高弱項能力,使孩子能夠在多項智能均衡發展的前提下健康成長。
? 《愛貝貝I-BaBy》電子雜志----《愛貝貝I-BaBy》電子雜志每月為2-6歲嬰幼兒家長提供教育及生活策略、資訊,并搭建溝通、交流的橋梁;同時為家長與孩子提供智力開發、才藝成長、入學準備等方面的親子游戲。
● 全國婦聯主席顧秀蓮同志親筆題詞 ● 中國兒童少年基金會推薦雜志 ● 全國頂尖技術制作團隊加盟
作用:通過將傳統紙質載體進行多媒體創新的技術手段,為2—6嬰幼兒家長定期提供生活——教育類原創電子雜志,即增強了家長科學育兒的能力,還實現了家庭寓教于樂的意義。
? 育優短信服務----育優短信服務是指每周將通過手機短信的形安康(公益)重點項目授權執行機構 北京健康成長科技發展有限公司 北京市海淀區中關村北大街151號北大資源大廈1016室 郵編:100080 電話:58876940 58876789-851 傳真:58876315
網址:www.tmdps.cn 北京健康成長科技發展有限公司
式向家長提供“成長提示”和“幼教資訊”,兩項服務每周共計三條短信。
1)成長提示:將根據孩子月齡的變化成長,適時提醒孩子在關鍵期的注意事項;對于不同季節給孩子帶來的影響給予溫馨提示。
2)幼教資訊:匯聚國內外最新研究成果、教育新聞、及時發送。
作用:利用最為便捷的手機載體,及時準確的將育兒信息和幼兒資訊發送到家長手中,同時實現了中國移動、聯通和小聯通用戶的全網覆蓋。讓家長身在何處都可以與世界的信息共同分享。
? 我的專家----將中國家長最關心的育兒問題與安康專家的精彩回答匯編成上百萬字的專家答疑題庫,供家長搜索查閱。對家長提出的個性化問題,“我的專家”給予會員每年12次的在線提問權利。育優專家將在三個工作日內,對問題進行個性化解答。作用:讓廣大嬰幼兒家長可以與權威專家進行一對一互動、資訊,致力于使專家的智慧為每位孩子的成長保駕護航,讓專業貼心的教育服務伴隨孩子成長。
3-3-3服務優勢:
“育優聯盟會員”服務實現了全國五個第一
? 第一次大規模整合300余位幼兒各個領域專家參與研發; ? 第一次整合網絡優勢與短信優勢于幼教領域,實現了中國移動、聯通、小靈通用戶的全面覆蓋;
? 第一份專門針對2-6歲寶寶家庭育兒——生活類的原創電子雜志;
? 唯一一套獲得中國兒童少年基金會推薦的幼兒成長測評與家庭安康(公益)重點項目授權執行機構 北京健康成長科技發展有限公司 北京市海淀區中關村北大街151號北大資源大廈1016室 郵編:100080 電話:58876940 58876789-851 傳真:58876315
網址:www.tmdps.cn 北京健康成長科技發展有限公司
課程
? 唯一承諾三個工作日內有問必答的貼心專家服務。
四、育優家園共育整體解決方案的服務模式及收費方式
育優家園共育整體解決方案包括安康教育信息化示范園服務及育優聯盟會員服務,其中安康教育信息化示范園服務屬于國家三大公益項目之一的“安康計劃”的重要組成部分。此部分從2005年已經開始運作,至今已經與全國十個省份地區的教育主管單位簽訂了安康項目捐建協議,落戶安康家園的幼兒園所8000余所,家庭會員上百萬。公司還將繼續進行安康家園的捐建,推廣完善全國幼兒園所的信息化建設。
另一部分是育優聯盟會員服務,此為收費服務,但由于我們整個項目起源于公益事業,我們的定價遠遠低于其服務的實際估值水準,目前為360元/年。
五、核心理念
育優家園共育整體解決方案(簡稱育優項目)是在教育信息化高速發展的背景下,為中國0~6歲嬰幼兒家庭和幼兒園提供的個性化教育服務解決方案。育優項目通過線上服務結合線下多元化渠道的推廣,實現園所、家庭、社會及我們的多方共贏,并促進廣大嬰幼兒在科學、和諧的家園環境中健康成長,家園共育、科學育兒是育優項目的核心理念。
六、結束語
讓我們一起努力,為新苗竭誠奉獻、使幼教事業增輝!
安康(公益)重點項目授權執行機構 北京健康成長科技發展有限公司 北京市海淀區中關村北大街151號北大資源大廈1016室 郵編:100080 電話:58876940 58876789-851 傳真:58876315
網址:www.tmdps.cn
第五篇:內網安全整體解決方案
內網安全整體解決方案
內網安全整體解決方案
二〇一八年五月
第 i 頁 內網安全整體解決方案
目錄
第一章 總體方案設計......................................................................................................................................3 1.1 依據政策標準...............................................................................................................................................3 1.1.1 國內政策和標準..................................................................................................................................3 1.1.2 國際標準及規范..................................................................................................................................5 1.2 設計原則.......................................................................................................................................................5 1.3 總體設計思想...............................................................................................................................................6 第二章 技術體系詳細設計..............................................................................................................................8 2.1 技術體系總體防護框架...............................................................................................................................8 2.2 內網安全計算環境詳細設計.......................................................................................................................8 2.2.1 傳統內網安全計算環境總體防護設計..............................................................................................8 2.2.2 虛擬化內網安全計算環境總體防護設計........................................................................................16 2.3 內網安全數據分析.....................................................................................................................................25 2.3.1 內網安全風險態勢感知....................................................................................................................25 2.3.2 內網全景流量分析............................................................................................................................25 2.3.3 內網多源威脅情報分析....................................................................................................................27 2.4 內網安全管控措施.....................................................................................................................................27 2.4.1 內網安全風險主動識別....................................................................................................................27 2.4.2 內網統一身份認證與權限管理........................................................................................................29 2.4.1 內網安全漏洞統一管理平臺............................................................................................................32 第三章 內網安全防護設備清單.....................................................................................................................33
第 ii 頁 內網安全整體解決方案
第一章 總體方案設計
1.1 依據政策標準
1.1.1 國內政策和標準
1.《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)2.《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發〔2003〕27號)
3.《關于信息安全等級保護工作的實施意見》(公通字〔2004〕66號)4.《信息安全等級保護管理辦法》(公通字〔2007〕43號)5.《關于開展全國重要信息系統安全等級保護定級工作的通知》(公信安〔2007〕861號)
6.《信息安全等級保護備案實施細則》(公信安〔2007〕1360號)7.《公安機關信息安全等級保護檢查工作規范》(公信安〔2008〕736號)8.《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》(發改高技〔2008〕2071號)
9.《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安〔2009〕1429號)
10. 國資委、公安部《關于進一步推進中央企業信息安全等級保護工作的通知》(公通字[2010]70號文)
11. 《關于推動信息安全等級保護測評體系建設和開展等保測評工作的通知》(公信安[2010]303號文)
12. 國資委《中央企業商業秘密保護暫行規定》(國資發〔2010〕41號)13. 《GB/T 22239.1-XXXX 信息安全技術 網絡安全等級保護基本要求 第1部分 安全通用要求(征求意見稿)》
14. 《GB/T 22239.2-XXXX 信息安全技術 網絡安全等級保護基本要求
第 3 頁 內網安全整體解決方案
第2部分:云計算安全擴展要求(征求意見稿)》
15. 《GB/T 25070.2-XXXX 信息安全技術 網絡安全等級保護設計技術要求 第2部分:云計算安全要求(征求意見稿)》
16. 《GA/T 20—XXXX 信息安全技術 網絡安全等級保護定級指南(征求意見稿)》
17. 《信息安全技術 信息系統安全等級保護基本要求》 18. 《信息安全技術 信息系統等級保護安全設計技術要求》 19. 《信息安全技術 信息系統安全等級保護定級指南》 20. 《信息安全技術 信息系統安全等級保護實施指南》 21. 《計算機信息系統 安全等級保護劃分準則》 22. 《信息安全技術 信息系統安全等級保護測評要求》 23. 《信息安全技術 信息系統安全等級保護測評過程指南》 24. 《信息安全技術 信息系統等級保護安全設計技術要求》 25. 《信息安全技術 網絡基礎安全技術要求》
26. 《信息安全技術 信息系統安全通用技術要求(技術類)》 27. 《信息安全技術 信息系統物理安全技術要求(技術類)》 28. 《信息安全技術 公共基礎設施 PKI系統安全等級保護技術要求》 29. 《信息安全技術 信息系統安全管理要求(管理類)》 30. 《信息安全技術 信息系統安全工程管理要求(管理類)》 31. 《信息安全技術 信息安全風險評估規范》 32. 《信息技術 安全技術 信息安全事件管理指南》 33. 《信息安全技術 信息安全事件分類分級指南》 34. 《信息安全技術 信息系統安全等級保護體系框架》 35. 《信息安全技術 信息系統安全等級保護基本模型》
第 4 頁 內網安全整體解決方案
36. 《信息安全技術 信息系統安全等級保護基本配置》
37. 《信息安全技術 應用軟件系統安全等級保護通用技術指南》 38. 《信息安全技術 應用軟件系統安全等級保護通用測試指南》 39. 《信息安全技術 信息系統安全管理測評》
40. 《衛生行業信息安全等級保護工作的指導意見》
1.1.2 國際標準及規范
1.國際信息安全ISO27000系列 2.國際服務管理標準ISO20000 3.ITIL最佳實踐 4.企業內控COBIT 1.2 設計原則
隨著單位信息化建設的不斷加強,某單位內網的終端計算機數量還在不斷增加,網絡中的應用日益復雜。某單位信息安全部門保障著各種日常工作的正常運行。
目前為了維護網絡內部的整體安全及提高系統的管理控制,需要對單位內網辦公終端、服務器、信息系統、關鍵數據、網絡設備等統一進行安全防護,加強對非法外聯、終端入侵、病毒傳播、數據失竊等極端情況的風險抑制措施。同時對于內部業務系統的服務器進行定向加固,避免由于外部入侵所導致的主機失陷
第 5 頁 內網安全整體解決方案 等安全事件的發生
如上圖所示,本項目的設計原則具體包括:
? 整體設計,重點突出原則 ? 縱深防御原則
? 追求架構先進、技術成熟,擴展性強原則 ? 統一規劃,分布實施原則 ? 持續安全原則 ? 可視、可管、可控原則
1.3 總體設計思想
如上圖所示,本方案依據國家信息安全相關政策和標準,堅持管理和技術并重的原則,將技術和管理措施有機的結合,建立信息系統綜合防護體系,通過“1341”的設計思想進行全局規劃,具體內容:
第 6 頁 內網安全整體解決方案
? 一個體系
以某單位內網安全為核心、以安全防護體系為支撐,從安全風險考慮,建立符合用戶內網實際場景的安全基線,通過構建縱深防御體系、內部行為分析、外部情報接入,安全防護接入與虛擬主機防護接入等能力,構建基于虛擬化云安全資源池+傳統硬件安全設備的下一代內網安全防御體系。
? 三道防線
結合縱深防御的思想,從內網安全計算環境、內網安全數據分析、內網安全管控手段三個層次,從用戶實際業務出發,構建統一安全策略和防護機制,實現內網核心系統和內網關鍵數據的風險可控。
? 四個安全能力
采用主動防御安全體系框架,結合業務和數據安全需求,實現“預測、防御、檢測、響應”四種安全能力,實現業務系統的可管、可控、可視及可持續。
? 預測能力:通過運用大數據技術對內部的安全數據和外部的威脅情報進行主動探索分析和評估具體包括行為建模與分析、安全基線與態勢分析、能夠使問題出現前提早發現問題,甚至遇見可能侵襲的威脅,隨之調整安全防護策略來應對。
? 防御能力:采用加固和隔離系統降低攻擊面,限制黑客接觸系統、發現漏洞和執行惡意代碼的能力,并通過轉移攻擊手段使攻擊者難以定位真正的系統核心以及可利用漏洞,以及隱藏混淆系統接口信息(如創建虛假系統、漏洞和信息),此外,通過事故預防和安全策略合規審計的方式通過統一的策略管理和策略的聯動,防止黑客未授權而進入系統,并判斷現有策略的合規性并進行相應的優化設置。
? 檢測能力:通過對業務、數據和基礎設施的全面檢測,結合現有的安全策略提出整改建議,與網絡運維系統聯動實現安全整改和策略變更后,并進行持續監控,結合外部安全情況快速發現安全漏洞并進行響應。
? 響應能力:與網絡運維系統進行對接,實現安全聯動,出現安全漏洞時在短時間內,進行安全策略的快速調整,將被感染的系統和賬戶進行隔離,通過回顧分析事件完整過程,利用持續監控所獲取的數據,解決相應安全問題。
第 7 頁 內網安全整體解決方案
第二章 技術體系詳細設計
2.1 技術體系總體防護框架
在進行內網安全防護技術體系詳細設計時,充分考慮某單位內部網絡面臨的威脅風險和安全需求,并遵循《信息系統等級保護基本要求》、《GB/T 22239.1-XXXX 信息安全技術,網絡安全等級保護基本要求:第1部分-安全通用要求(征求意見稿)》,通過對內網安全計算環境、內網安全數據分析、內網安全管控手段等各種防護措施的詳細設計,形成“信息安全技術體系三重防護”的信息安全技術防護體,達到《信息系統等級保護基本要求》、《GB/T 22239.1-XXXX 信息安全技術,網絡安全等級保護基本要求:第1部分-安全通用要求(征求意見稿)》切實做到內部網絡安全的風險可控。
三重防護主要包括:內網安全計算環境、內網安全數據分析、內網安全管控措施。
2.2 內網安全計算環境詳細設計
2.2.1 傳統內網安全計算環境總體防護設計
第 8 頁 內網安全整體解決方案
如上圖所示,在內網安全計算環境方面結合互聯網與辦公網的攻擊,圍繞網絡、主機、應用和數據層實現安全防護,具體內容包括:
? 網絡層安全防護設計
1、通過FW或vFW中的FW、AV、IPS模塊實現網絡層訪問控制、惡意代碼防護、入侵防御。
2、在各個內網安全域邊界處,部署防火墻實現域邊界的網絡層訪問控制。
3、在內網邊界處部署流量監控設備,實現全景網絡流量監控與審計,并對數據包進行解析,通過會話時間、協議類型等判斷業務性能和交互響應時間。
? 主機層安全防護與設計
1、在各個區域的核心交換處部署安全沙箱,實現主機入侵行為和未知威脅分析與預警。
2、通過自適應安全監測系統,對主機操作系統類型、版本、進程、賬號權限、反彈shell、漏洞威脅等進行全面的監控與預警。? 應用層安全防護與設計
1、在通過外部服務域部署WAF設備實現應用層基于入侵特征識別的安全防護
第 9 頁 內網安全整體解決方案
2、通過自適應安全監測系統,對應用支撐系統的類型、版本、框架路徑、訪問權限、漏洞威脅等進行全面的監控與預警。? 數據層安全防護與設計
1、在數據資源域邊界處部署數據庫防護墻實現敏感信息的訪問控制
2、在數據資源域邊界處部署數據庫審計設備實現數據庫的操作審計。
3、在互聯網接入域部署VPN設備,實現對敏感數據傳輸通道的加密
2.2.1.1 內網邊界安全
2.2.1.1.1 內網邊界隔離
嚴格控制進出內網信息系統的訪問,明確訪問的來源、訪問的對象及訪問的類型,確保合法訪問的正常進行,杜絕非法及越權訪問;同時有效預防、發現、處理異常的網絡訪問,確保該區域信息網絡正常訪問活動。2.2.1.1.1 內網惡意代碼防范
病毒、蠕蟲、木馬、流氓軟件等各類惡意代碼已經成為互聯網接入所面臨的重要威脅之一,面對越發復雜的網絡環境,傳統的網絡防病毒控制體系沒有從引入威脅的最薄弱環節進行控制,即便采取一些手段加以簡單的控制,也仍然不能消除來自外界的繼續攻擊,短期消滅的危害仍會繼續存在。為了解決上述問題,對網絡安全實現全面控制,一個有效的控制手段應勢而生:從內網邊界入手,切斷傳播途徑,實現網關級的過濾控制。
建議在該區域部署防病毒網關,對進出的網絡數據內容進行病毒、惡意代碼掃描和和過濾處理,并提供防病毒引擎和病毒庫的自動在線升級,徹底阻斷病毒、蠕蟲及各種惡意代碼向數據中心或辦公區域網絡傳播 2.2.1.1.2 內網系統攻擊防護
網絡入侵防護系統作為一種在線部署的產品,提供主動的、實時的防護,其設計目標旨在準確監測網絡異常流量,自動對各類攻擊性的流量,IPS系統工作在第二層到第七層,通常使用特征匹配和異常分析的方法來識別各種網絡攻擊行為,尤其是應用層的威脅進行實時阻斷,而不是簡單地在監測到惡意流量的同時或之后才發出告警。
第 10 頁 內網安全整體解決方案
IPS是通過直接串聯到網絡鏈路中而實現這一功能的,即IPS接收到外部數據流量時,如果檢測到攻擊企圖,就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷,而不把攻擊流量放進內部網絡。IPS以在線串聯方式部署實現對檢測到的各種攻擊行為進行直接阻斷并生成日志報告和報警信息。2.2.1.1.3 內網信息隔離防護
建議在內網核心業務區的邊界部署安全隔離網閘,為了保證數據安全,高密級網與低密級網絡之間,要求數據只能從低密級網絡流向高密級網絡。為解決高密級網絡通過連接環境泄密問題設計的安全隔離與信息單項導入系統(即安全隔離網閘)。該設備由于其物理單向無反饋環境、基于數據的單項導入,使黑客無法通過該套系統進行入侵和探測,同時行為得不到任何反饋信息,在為用戶提供絕對單向無反饋傳輸功能的同時,為用戶提供高級別的網絡攻擊安全防護解決方案。
2.2.1.1 內網主機安全
2.2.1.1.1 內網用戶行為管控
上網行為管理系統是為滿足單位內部網絡行為管理和內容審計的專業產品。系統不僅具有防止非法信息傳播、敏感信息泄露,實時監控、日志追溯,網絡資源管理,還具有強大的用戶管理、報表統計分析功能。
上網行為管理具有高效實時的網絡數據采集能力、智能的信息處理能力、強大的內容審計分析能力、精細的行為管理能力,是一款高性能、智能靈活、易于管理和擴展的上網行為管理產品。2.2.1.1.2 內網非授權用戶準入
在信息化越來越簡便的背景下,任何接入網絡的設備和人員都有可能對內網信息資源構成威脅,因此針對辦公計算機以及分支機構接入的系統安全以及訪問區域管理顯的尤為重要,如果出現安全事故或越權訪問的情況,將會嚴重影響整體業務系統運行安全。
由于信息化程度較高,終端點數較多,對IT軟硬件的資產管理及故障維護如果單純靠人工施行難度和工作量都比較大且效率比較低,同時如果員工存在對管
第 11 頁 內網安全整體解決方案
理制度執行不到位的情況出現,就迫切需要通過技術手段規范員工的入網行為。
為加強網絡信息安全管理以及內部PC的安全管理,提高內網辦公效率,應建立一套終端準入管理系統,重點解決以下問題:
入網終端注冊和認證化
采用的是雙實名制認證方式,其包含對終端機器的認證和使用人員的認證,終端注冊的目的是為了方便管理員了解入網機器是否為合法的終端,認證的目的是使用終端的人身份的合法性,做到人機一一對應,一旦出現安全事故,也便于迅速定位終端和人。
違規終端不準入網 違規終端定義
外來終端:外部訪客使用的終端,或者為非內部人員使用的、不屬于內部辦公用終端(員工私人終端等);
違規終端:未能通過身份合法性、安全設置合規性檢查的終端。
入網終端安全修復合規化
終端入網時若不符合單位要求的安全規范,則會被暫時隔離,無法訪問業務網絡,待將問題修復符合單位安全規范后才能正常訪問單位網絡。
內網基于用戶的訪問控制
內網基于用戶的訪問控制:可以通過用戶組(角色)的方式定義不同的訪問權限,如內部員工能夠訪問全網資源,來賓訪客只允許訪問有限的網絡資源。2.2.1.1.3 內網終端安全防護
建議部署終端安全管理系統,為數據中心運維人員提供終端安全準入,防止運維人員終端自身的安全問題影響數據中心業務系統。在具備補丁管理、802.1x準入控制、存儲介質(U盤等)管理、非法外聯管理、終端安全性檢查、終端狀態監控、終端行為監控、安全報警等功能基礎上,增加風險管理和主動防范機制,具備完善的違規監測和風險分析,實現有效防護和控制,降低風險,并指導持續改進和完善防護策略,并具備終端敏感信息檢查功能,支持終端流量監控,非常
第 12 頁 內網安全整體解決方案
適合于對數據中心運維終端的安全管理。
終端安全管理系統,提供針對Windows桌面終端的軟硬件資產管理、終端行為監管、終端安全防護、非法接入控制、非法外聯監控、補丁管理等功能,采用統一策略下發并強制策略執行的機制,實現對網絡內部終端系統的管理和維護,從而有效地保護用戶計算機系統安全和信息數據安全。2.2.1.1.4 內網服務器安全加固
建議在內網所有服務器部署安全加固組件,針對內外網IP、對內對外端口、進程、域名、賬號、主機信息、web容器、第三方組件、數據庫、安全與業務分組信息進行服務器信息匯總。主動對服務器進行系統漏洞補丁識別、管理及修復、系統漏洞發現、識別、管理及修復、弱口令漏洞識別及修復建議、高危賬號識別及管理、應用配置缺陷風險識別及管理。7*24小時對服務器進行登錄監控、完整性監控、進程監控、系統資源監控、性能監控、操作審計。通過對服務器整體威脅分析、病毒檢測與查殺、反彈shell識別處理、異常賬號識別處理、端口掃描檢測、日志刪除、登錄/進程異常、系統命令篡改等入侵事件發現及處理。最終完成對服務器立體化的多維度安全加固。2.2.1.1.5 內網服務器安全運維
由于設備眾多、系統操作人員復雜等因素,導致越權訪問、誤操作、資源濫用、疏忽泄密等時有發生。黑客的惡意訪問也有可能獲取系統權限,闖入部門或單位內部網絡,造成不可估量的損失。終端的賬號和口令的安全性,也是安全管理中難以解決的問題。如何提高系統運維管理水平,滿足相關法規的要求,防止黑客的入侵和惡意訪問,跟蹤服務器上用戶行為,降低運維成本,提供控制和審計依據,越來越成為內部網絡控制中的核心安全問題。
安全運維審計是一種符合4A(認證Authentication、賬號Account、授權Authorization、審計Audit)要求的統一安全管理平臺,在網絡訪問控制系統(如:防火墻、帶有訪問控制功能的交換機)的配合下,成為進入內部網絡的一個檢查點,攔截對目標設備的非法訪問、操作行為。
運維審計設備能夠極大的保護客戶內部網絡設備及服務器資源的安全性,使得客戶的網絡管理合理化、專業化。
第 13 頁 內網安全整體解決方案
建議在核心交換機上以旁路方式部署一臺運維審計系統。運維審計(堡壘主機)系統,為運維人員提供統一的運維操作審計。通過部署運維審計設備能夠實現對所有的網絡設備,網絡安全設備,應用系統的操作行為全面的記錄,包括登錄IP、登錄用戶、登錄時間、操作命令全方位細粒度的審計。同時支持過程及行為回放功能,從而使安全問題得到追溯,提供有據可查的功能和相關能力。
2.2.1.1 內網應用安全
2.2.1.1.1 內網應用層攻擊防護
建議內網信息系統邊界部署WEB應用防火墻(WAF)設備,對Web應用服務器進行保護,即對網站的訪問進行7X24小時實時保護。通過Web應用防火墻的部署,可以解決WEB應用服務器所面臨的各類網站安全問題,如:SQL注入攻擊、跨站攻擊(XSS攻擊,俗稱釣魚攻擊)、惡意編碼(網頁木馬)、緩沖區溢出、應用層DDOS攻擊等等。防止網頁篡改、被掛木馬等嚴重影響形象的安全事件發生。
WAF作為常見應用層防護設備,在防護來自于外網的黑客攻擊外,同樣可以防護來自內網的跳板型滲透攻擊,當內部終端或服務器被黑客攻陷后,為防止通過跳板機對內網其他應用系統進行內網滲透,通過WAF防攻擊模塊,可以實時阻斷任何應用層攻擊行為,保護內部系統正常運行
2.2.1.2 內網數據安全
2.2.1.2.1 內網數據防泄密
建議在內網環境中部署數據防泄密系統,保持某單位現有的工作模式和員工操作習慣不變,不改變任何文件格式、不封閉網絡、不改變網絡結構、不封閉計算機各種豐富的外設端口、不改變復雜的應用服務器集群環境,實現對企業內部數據強制透明加解密,員工感覺不到數據存在,保證辦公效率,實現數據防泄密管理,形成“對外受阻,對內無礙”的管理效果。
員工未經授權,不管以任何方式將數據帶離公司的環境,都無法正常查看。如:加密文件通過MSN、QQ、電子郵件、移動存儲設備等方式傳輸到公司授權范圍以外(公司外部或公司內沒有安裝綠盾終端的電腦),那么將無法正常打開
第 14 頁 內網安全整體解決方案
使用,顯示亂碼,并且文件始終保持加密狀態。只有經過公司審批后,用戶才可在授予的權限范圍內,訪問該文件。
1)在不改變員工任何操作習慣、不改變硬件環境和網絡環境、不降低辦公效率,員工感覺不到數據被加密的存在,實現了單位數據防泄密管理;
2)員工不管通過QQ、mail、U 盤等各種方式,將單位內部重要文件發送出去,數據均是加密狀態;
3)存儲著單位重要數據的U 盤、光盤不慎丟失后,沒有在公司的授權環境下打開均是加密狀態;
4)員工出差辦公不慎將筆記本丟失,無單位授予的合法口令,其他人無法閱讀筆記本內任何數據; 2.2.1.2.2 內網數據庫安全審計
建議在內部信息系統部署數據庫審計系統,對多種類數據庫的操作行為進行采集記錄,探測器通過旁路接入,在相應的交換機上配置端口鏡像,對內部人員訪問數據庫的數據流進行鏡像采集并保存信息日志。數據庫審計系統能夠詳細記錄每次操作的發生時間、數據庫類型、源MAC地址、目的MAC地址、源端口、目標端口、數據庫名、用戶名、客戶端IP、服務器端IP、操作指令、操作返回狀態值。數據庫審計系統支持記錄的行為包括:
數據操作類(如select、insert、delete、update等)結構操作類(如create、drop、alter等)
事務操作類(如Begin Transaction、Commit Transaction、Rollback Transaction 等)
用戶管理類以及其它輔助類(如視圖、索引、過程等操作)等數據庫訪問行 為,并對違規操作行為產生報警事件。
第 15 頁 內網安全整體解決方案
2.2.2 虛擬化內網安全計算環境總體防護設計
2.2.2.1 劃分虛擬安全域
圖中提供安全組、連接策略兩種方式。安全組類似白名單方式,而連接策略
第 16 頁 內網安全整體解決方案
類似黑名單方式。通過添加具體的訪問控制規則,支持任意虛擬機之間的訪問控制。靈活的配置方式可以滿足用戶所有的訪問控制類需求。
在原生虛擬化環境中部署的虛擬防火墻可以通過服務鏈技術,實現和SDN網絡控制器的接口、安全控制平臺的接口,并進一步抽象化、池化,實現安全設備的自動化部署。同時,在部署時通過安全管理策略的各類租戶可以獲得相應安全設備的安全管理權限、達成分權分域管理的目標。
在安全控制平臺部署期的過渡階段,可以采用手工配置流控策略的模式,實現無縫過渡。在這種部署模式下,安全設備的部署情況與基于SDN技術的集成部署模式相似,只是所有在使用SDN控制器調度流量處,都需要使用人工的方式配置網絡設備,使之執行相應的路由或交換指令。
以虛擬防火墻防護為例,可以由管理員通過控制器下發計算節點到安全節點中各個虛擬網橋的流表,依次將流量牽引到虛擬防火墻設備即可。
這一切的配置都是通過統一管理界面實現引流、策略下發的自動化,除了這些自動化操作手段,統一管理平臺還提供可視化展示功能,主要功能有,支持虛擬機資產發現、支持對流量、應用、威脅的統計,支持對接入服務的虛擬機進行全方位的網絡監控支持會話日志、系統日志、威脅指數等以邏輯動態拓撲圖的方式展示。
? 南北向流量訪問控制
第 17 頁 內網安全整體解決方案
在云平臺內部邊界部署2套邊界防火墻用于后臺服務域與其他域的邊界訪問控制(即南北向流量的訪問控制)。防火墻設置相應的訪問控制策略,根據數據包的源地址、目的地址、傳輸層協議、請求的服務等,決定該數據包是否可以進出云計算平臺,并確定該數據包可以訪問的客體資源。
? 東西向流量訪問控制
虛擬化場景中的關鍵安全能力組件集合了ACL、防火墻、IPS、Anti-DDoS、DPI、AV等多項功能,vDFW采用統一安全引擎,將應用識別、內容檢測、URL過濾、入侵防御、病毒查殺等處理引擎合并歸一,實現對數據中心內部東西向流量的報文進行高效的一次性處理。不僅如此,vDFW支持多虛一的集群模式,突破性能瓶頸的限制,以達到與數據中心防護需求最佳匹配的效果。當數據中心檢測平臺發現特定虛機發起內部威脅攻擊流量后,管理員只需設置相關策略,由安全控制器調度,即可將策略統一下發到整個數據中心內部相關對應虛擬路由器組件上,將可疑流量全部牽引至vDFW進行檢測防護與內容過濾。針對數據中心內部各類安全域、各個部門、采用的按需配置、差異化、自適應的安全策略。
2.2.2.2 內網安全資源池
與數據中心中的計算、存儲和網絡資源相似,各種形態、各種類型的安全產品都能通過控制和數據平面的池化技術,形成一個個具有某種檢測或防護能力的安全資源池。當安全設備以硬件存在的時候(如硬件虛擬化和硬件原生引擎系統),可直接連接硬件 SDN 網絡設備接入資源池;當安全設備以虛擬機形態存在的時候(如虛擬機形態和硬件內置虛擬機形態),可部署在通用架構(如 x86)的服務器中,連接到虛擬交換機上,由端點的 agent 統一做生命周期管理和網絡資源管理。控制平臺通過安全應用的策略體現出處置的智能度,通過資源池體現出處置的敏捷度。軟件定義的安全資源池可以讓整套安全體系迸發出強大的活力,極大地提高了系統的整體防護效率。
通過安全資源管理與調度平臺,實現與安全資源的對接,包括vFW、vIPS、vWAF等,各個安全子域的邊界防護,通過安全資源管理與調度平臺,通過策略路由的方式,實現服務鏈的管理和策略的編排各安全域邊界之間均采用虛擬防火墻作為邊界。
第 18 頁 內網安全整體解決方案
如上圖所示,在安全子域中將防火墻、WAF、LBS、AV、主機加固等均進行虛擬化資源池配置,通過安全管理子域中的安全控制器根據各子域的實際安全需求進行資源調用。針對各個子域內的邊界訪問控制,由安全資源與管理平臺調用防火墻池化資源,分別針對各子域的訪問請求設置相應的訪問控制策略,根據數據包的源地址、目的地址、傳輸層協議、請求的服務等,決定該數據包是否可以進出本區域,并確定該數據包可以訪問的客體資源。
由此可見,安全資源池對外體現的是多種安全能力的組合、疊加和伸縮,可應用于云計算環境,也可應用于傳統環境,以抵御日益頻繁的內外部安全威脅。當然,在云環境中,安全資源池不僅可以解決云安全的落地,而且能發揮虛擬化和 SDN 等先進技術的優勢,實現最大限度的軟件定義安全。
2.2.2.3 安全域訪問控制
為提升虛擬主機及網絡的安全性,針對虛擬網絡安全邊界設定訪問控制策略,對于縱向流量、橫向流量進行基于IP與端口的訪問路徑限制。
? 對于虛擬網絡邊界進行區域請求控制 ? VPN接入邊界訪問控制 ? Vlan訪問控制
2.2.2.4 iaas系統虛擬化安全規劃
虛擬機的鏡像文件本質上來說就是虛擬磁盤,虛擬機的操作系統與使用者的系統數據全部保存在鏡像文件中,對鏡像文件的加密手段是否有效,將直接關系
第 19 頁 內網安全整體解決方案
虛擬主機的安全性。建議部署鏡像文件加密系統,對iaas區域下的數據盤鏡像文件進行加密,采用任何國家認可的第三方加密算法進行加密。同時解密密碼與uKey綁定,即使數據中心硬件失竊,也無法被破解。加密行為包括:授權、加密、解密功能。
2.2.2.5 虛擬資產密碼管理
為增強虛擬資產的密碼防護功能,建議通過密鑰管理與資產管理分離的技術方式,實現管理員僅維護信息資產,用戶自行管理密鑰的工作模式。通過密碼機集群與虛擬化技術的結合擴充密碼運算能力,將密碼運算能力進行細粒度劃分,并通過集中的密鑰管理及配套的安全策略保護用戶密鑰整生命周期的安全
2.2.2.6 虛擬主機安全防護設計
虛擬主機安全防護設計主要實現如下目標: ? 資產清點
? 自動化的進行細粒度的風險分析 ? 安全合規性基線檢查
? 對后門、Webshell、文件完整性和系統權限變更等進行監測行為分析
第 20 頁 內網安全整體解決方案
如上圖所示,通過收集主機上的操作系統、中間件、數據庫等配置數據,準確分析應用系統在不同層面的配置信息,結合第三方病毒庫進行漏洞和風險分析,并及時給出整改加固建議。
2.2.2.7 內網虛擬化安全運維平臺
2.2.2.7.1 集中賬號管理
在云堡壘機管理系統中建立基于唯一身份標識的全局用戶帳號,統一維護云平臺與服務器管理帳號,實現與各云平臺、服務器等無縫連接。
第 21 頁 內網安全整體解決方案 2.2.2.7.2 統一登錄與管控
用戶通過云堡壘機管理系統單點登錄到相應的虛擬機,且所有操作將通過云堡壘機系統進行統一管控,只需要使用云堡壘機提供的訪問IP、用戶名、密碼登錄后,用戶即可登錄相應的云平臺與服務器,而不需要反復填寫對應云平臺與服務器的地址、用戶名、密碼。
用戶可通過vsphere client登錄vmware vsphere云平臺進行管理,輸入云堡壘機為該云平臺提供的訪問IP與用戶在云堡壘機中的用戶名和密碼即可完成登錄。
第 22 頁 內網安全整體解決方案
2.2.2.7.3 記錄與審計
通過云堡壘機管理系統的訪問歷史記錄回放功能,可隨時查看每個用戶對所屬服務器、虛擬機的訪問情況。
windows歷史訪問回放
第 23 頁 內網安全整體解決方案
linux歷史訪問回放
在回放過程中,用戶可以試用云堡壘機的“智能搜索”功能大大加快回放速度,快速定位到用戶可疑操作位置。
Windows回放智能搜索
回放智能搜索
第 24 頁 內網安全整體解決方案
云堡壘機系統還提供會話管理功能。可以通過云堡壘機系統快速查看用戶會話,實時監控,以及中斷會話。2.2.2.7.1 權限控制與動態授權
云堡壘機系統統一分配系統角色對應的云平臺與服務器權限,當用戶在真實使用場景下的角色權限與云堡壘機系統中預置的角色權限,不一致時,可通過云堡壘機的動態授權功能,對角色的云平臺與服務器權限進行方便靈活變更。
2.3 內網安全數據分析
2.3.1 內網安全風險態勢感知
建議部署態勢感知系統,檢測已知位置的終端惡意軟件的遠控通信行為,定位失陷主機,根據態勢感知設備的告警信息,采集、取證、判定、處置內網終端主機上的惡意代碼,針對未知惡意文件攻擊,將流量還原得到的辦公文檔和可執行文件放入網絡沙箱虛擬環境中執行,根據執行中的可疑行為綜合判定各類含漏洞利用代碼的惡意文檔、惡意可執行程序,及植入攻擊行為。檢測各類植入攻擊:郵件投遞,掛馬網站,文件下載,準確識別0day、Nday漏洞入侵的惡意代碼
2.3.2 內網全景流量分析
建議部署內部網絡流量分析系統,數據的傳遞介質是網絡協議,網絡流量作
第 25 頁 內網安全整體解決方案
為網絡協議中最有價值的安全分析維度,其本身就承載著重要的風險識別作用,針對內部網絡的任何攻擊行為都將在內部異常流量中呈現本質化特征,因此基于流量的內網安全數據分析是最能客觀反映當前內網安全等級的參考指標。
2.3.2.1 基線建模異常流量分析
流量異常檢測的核心問題是實現流量正常行為的描述,并且能夠實時、快速地對異常進行處理。系統采用了一種基于統計的流量異常檢測方法,首先確定正常的網絡流量基線,然后根據此基線利用正態分布假設檢驗實現對當前流量的異常檢測。比如流量的大小、包長的信息、協議的信息、端口流量的信息、TCP標志位的信息等,這些基本特征比較詳細地描述了網絡流量的運行狀態。
總體設計 網絡流量異常檢測模型的總體設計思路是:從網絡的總出口采集數據,對每個數據包進行分類,將它的統計值傳到相應的存儲空間,然后對這些數據包進行流量分析
2.3.2.2 流量分析引擎
對采集到的數據進行分析處理。通過建立正常網絡流量模型,按照一定的規則進行流量異常檢測。同時根據滑動窗口的更新策略,能夠自動學習最近的流量情況,從而調整檢測的準確度。
建立正常網絡流量模型 要進行流量異常檢測,必須首先建立正常的網絡流量模型,然后對比正常模型能夠識別異常。本文使用基于統計的方法來實現異常檢測,利用網絡流量的歷史行為檢測當前的異常活動和網絡性能的下降。因此正常流量模型的建立需要把反映網絡流量的各項指標都體現出來,使其能夠準確反映網絡活動。
在系統運行時,統計當前流量行為可測度集,并同正常的網絡基線相比較,如果當前流量行為與正常網絡基線出現明顯的偏離時,即認為出現了異常行為,并可進一步檢測分析;如果兩種行為沒有明顯偏差,則流量正常,更新正常網絡流量模型。
通過該界面實現查看信息、設定檢測規則、設定閾值、設定報警方式以及處理報警等功能。系統應該對于檢測出的異常主機進行標記,標記異常的類型、統
第 26 頁 內網安全整體解決方案
計量、閾值指標、消息以及異常發生的時間等情況,給系統管理員報告一個異常信息。
2.3.2.3 異常的互聯關系分析
對于不符合白名單和灰名單的互連關系和流量,系統會自動生成未知數據流,并對未知數據流進行識別、匹配,從中提取可供判斷的信息,如:單點對多點的快速連接,系統會識別為網絡掃描,非正常時段的數據連接,系統會視為異常行為,多點對單點的大流量連接,系統會識別為非法應用等。用戶對未知數據流識別、確認、處理后,可將未知數據流自動生產報警或提取到白名單。
2.3.3 內網多源威脅情報分析
建議在內網部署多源威脅情報分析,通過對不同源頭威脅情報的統一匯總、分析、展示等功能,極大提高情報告警準確率,幫助評測內部信息系統遭受的風險以及安全隱患從而讓安全團隊進行有安全數據佐證的重點內部領域防護措施。內部安全團隊多人對單條威脅情報存在疑慮時,可進行協同式研判,提升單挑威脅情報與情報源的命中率統計。內部安全管理員可以定期生成威脅情報月報,便于將一段時間內的系統漏洞、應用漏洞、數據庫漏洞進行選擇性摘要,使安全加固工作處于主動、積極、有效的工作場景之中。
2.4 內網安全管控措施
2.4.1 內網安全風險主動識別
2.4.1.1 基于漏洞檢測的主動防御
云安全防護虛擬資源池內為用戶提供了系統層漏掃、web層漏掃、數據庫漏掃三種檢測工具,可以為用戶提供定期的安全風險檢測,基于已知風險或未知風險進行安全策略調整、漏洞修復、補丁更新等主動防御行為。
第 27 頁 內網安全整體解決方案
2.4.1.1.1 漏洞檢測范圍
操作系統:Microsoft Windows 2003/2008/7/8/10/2012、MacOS、Sun Solaris、UNIX、IBM AIX、IRIX、Linux、BSD;
數據庫:MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird;
網絡設備:支持CISCO、Juniper、Citrix、EMC、Fortinet、Nortel、ZyXEL、BlueCoat、Check Point、趨勢科技、Websense、3COM、F5、SonicWALL、MikroTik RouteOS、DD-WRT、D-Link、NETGEAR。
應用系統:各種Web服務器應用系統(IIS、Apache Tomcat、IBM lotus……)、各種DNS服務器應用系統、各種FTP/TFTP服務器應用系統、虛擬化系統(Vmware、Virtual Box、KVM、OpenStack等等)、郵件服務器應用系統(MS Exchange、IMAP、Ipswitch Imail、Postfix……)2.4.1.1.2 識別漏洞類型 ? 系統漏洞類型
Windows漏洞大于1946種、MacOS漏洞大于192種、UNIX漏洞大于959種、數據庫服務器漏洞大于357種、CGI漏洞大于2301種、DNS漏洞大于76種、第 28 頁 內網安全整體解決方案
FTP/TFTP漏洞大于278種、虛擬化漏洞大于613種、網絡設備漏洞大于516種、Mail漏洞大于251種、雜項漏洞(含RPC、NFS、主機后門、NIS、SNMP、守護進程、PROXY、強力攻擊……)? web漏洞類型
微軟IIS漏洞檢測、Apache漏洞檢測、IBM WebSphere漏洞檢測、Apache Tomcat漏洞檢測、SSL模塊漏洞檢測、Nginx漏洞檢測、IBM Lotus漏洞檢測、Resin漏洞檢測、Weblogic漏洞檢測、Squid漏洞檢測、lighttpd漏洞檢測、Netscape Enterprise漏洞檢測、Sun iPlanet Web漏洞檢測、Oracle HTTP Server漏洞檢測、Zope漏洞檢測、HP System Management Homepage漏洞檢測、Cherokee漏洞檢測、RaidenHTTPD漏洞檢測、Zeus漏洞檢測、Abyss Web Server漏洞檢測、以及其他Web漏洞檢測等Web服務器的掃描,尤其對于IIS具有最多的漏洞檢測能力,IIS漏洞大于155種 ? 數據庫漏洞類型
MSSQL、MySQL、Oracle、DB2、PostgreSQL、SYBASE、SAP MaxDB、solidDB、Firebird……等,可以掃描數據庫大于三百五十多種漏洞,包含了有關空口令、弱口令、用戶權限漏洞、用戶訪問認證漏洞、系統完整性檢查、存儲過程漏洞和與數據庫相關的應用程序漏洞等方面的漏洞,基本上覆蓋了數據庫常被用做后門進行攻擊的漏洞,并提出相應的修補建議 2.4.1.1.3 內部主動防御
根據漏洞掃描結果,給予定制化安全加固方案,結合漏洞級別、漏洞類型、漏洞波及范圍、修復風險、加固后復測等人工服務,配合用戶第一時間完成修復工作,我們將從信息安全專業技術層面為您說明每一條漏洞可能導致的安全事件可能性,從用戶安全運維、業務系統穩定運行的角度出發,給出可落地的安全加固方案。
2.4.2 內網統一身份認證與權限管理
建議構建統一身份認證與權限管理系統,建立統一身份庫,業務操作人員、系統運維人員、IT基礎架構運維人員、業務應用管理員、IT基礎架構管理人員、第 29 頁 內網安全整體解決方案
系統管理人員通過統一認證入口,進行統一的身份認證,并對不同人員設置不同的訪問權限,并實現所有用戶登錄及訪問行為分析和審計。
2.4.2.1 統一用戶身份認證設計
建立的統一身份庫,包括運營身份庫和業務人員身份庫,使用戶在統一身份庫中,只有唯一身份標識,用戶向統一認證平臺提交的證明是其本人的憑據,根據系統級別不同,采用的認證方式不同,每個應用系統都有自己的賬戶體系,這些賬戶被看做是訪問一個信息資產的權限,管理員可以在統一身份認證與權限管理系統中配置某個用戶在系統中對若干賬戶的訪問權限。實現各應用系統不再處理身份認證,而是通過統一的身份認證入口進行認證,通過后期的行為分析提供對異常行為的檢測及加強認證或阻斷操作。用戶分類具體如下圖所示:
2.4.2.2 統一用戶權限管理設計
一、外部用戶
二、內部用戶
1、運維人員的權限管理
第 30 頁 內網安全整體解決方案
2、業務人員的權限管理
2.4.2.3 業務內容身份鑒別與訪問控制設計
一、內部訪問設計
內部訪問設計主要面向內部用戶,通過驗證后會加入到統一用戶身份認證與權限管理平臺身份庫,經過認證策略判定,錄入認證策略庫,最后通過堡壘機實現內部訪問。
二、外部訪問設計
身份合法驗證,通過驗證后會加入到外部用戶統一用戶身份認證與權限管理平臺身份庫,經過認證策略判定并錄入認證策略庫,經過多因素認證資源池(包
第 31 頁 內網安全整體解決方案
括指紋、二維碼、RSA令牌等)實現外部應用的系統資源訪問。
2.4.1 內網安全漏洞統一管理平臺
建議部署安全漏洞統一管理平臺,按照組織架構或業務視圖建立資產管理目錄,快速感知不同資產層級的漏洞態勢,解決內部漏洞無法與業務系統自動關聯分析的問題,為監管方提供宏觀分析視圖。將不同來源、不同廠商、不同語言、不同類型的漏洞數據自動標準化成符合國家標準的全中文漏洞數據,并去重合。形成某單位自身的漏洞信息庫,賦予漏洞數據空間、時間、狀態和威脅屬性,形成每個信息系統的漏洞信息庫,并對其生命周期狀態進行跟蹤。順應國家網絡安全和行業發展的需要,解決了漏洞檢測、漏洞驗證、漏洞處置和響應等環節中存在的多種問題,實現漏洞管理流程化、自動化、平臺化及可視化。
第 32 頁 內網安全整體解決方案
第三章 內網安全防護設備清單
? 云防火墻 ? 硬件防火墻 ? 云waf ? 硬件waf ? IPS ? 防病毒網關 ? 上網行為管理 ? 隔離網閘 ? 流量分析系統
? 多源威脅情報分析系統 ? 安全漏洞統一管理平臺 ? 堡壘機 ? 云堡壘機 ? 數據庫審計 ? 態勢感知平臺 ? 系統漏洞掃描器 ? Web漏洞掃描器 ? 數據庫漏洞掃描器 ? 鏡像文件加密 ? 云堡壘機 ? 云數據庫審計 ? 統一身份證書
? 虛擬終端加固及防護軟件? 虛擬主機加密機 ? 數據防泄密 ? 網絡準入設備 ? 服務器加固軟件
第 33 頁
![下載高煥云——《醫患溝通整體解決方案》[共5篇]word格式文檔](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
點擊咨詢 