醫院計算機終端安全管理策略

陳利民，宋莉莉，郭雪清，程 冰

隨著醫院信息化建設的不斷普及和深入，醫院信息系統已覆蓋了日常醫療、管理、后勤、財務等多個業務子系統，一個穩定、可靠的醫院網絡信息環境已成為醫院正常運行的重要保障。然而，由于醫院的特殊環境，工作人員的計算機水平普遍偏低，系統操作不當，非法存儲接入，硬件設備變更，非法IP接入等都可能給醫院信息網絡安全帶來風險，醫院計算機終端的安全管理已成為當前醫院信息管理部門的重要內容。隨著醫院規模的不斷擴大，各種終端設施分散，給網絡信息管理部門的日常維護帶來了極大困難，迫切需要一個便捷的有效的手段及集中終端監管平臺來控制和預防這些有意或無意的破壞行為。

1 計算機終端安全管理需求分析

筆者所在醫院是一所三甲綜合性醫院，全院共有計算機終端2000余臺，并且還在不斷增長，終端設備型號多，分布廣，用途也不盡相同，因此給網絡信息管理部門的工作帶來了極大挑戰。目前醫院終端安全管理主要存在以下幾個方面的困難：一是終端涉及軍網、專網和內網等多種網絡，終端安全級別也略有差別，基本應用程序需求也不盡相同，基于內網的醫院辦公系統由于工作需要，時常會發布一些包含不同信息的通知和命令；二是不利于終端資產監管，系統補丁升級困難，缺乏集中統一的監控平臺，依靠信息維護人員手工維護，工作量巨大；三是終端接入混亂，特別是移動存儲設備的隨意使用，經常導致網絡特別是內網系統病毒木馬入侵，網絡癱瘓，隨著物聯網、無線網的應用，甚至還有非法接入內網的情況；四是人員計算機水平參差不齊，特別是新入人員，不熟悉HIS系統，誤操作后缺乏有效的監控機制來輔助日常維護。為了有效對醫院計算機終端進行監管，醫院引入了一套內網管理系統，并在此基礎上建立針對醫院特點和需求建立相應的管理策略。

2 基于策略的內網安全管理系統

2．1 系統體系結構 內網管理系統是一套完整的內網信息安全解決方案，其目標是保障內網系統安全有序的運行，規范和約束員工的各種行為，防止敏感信息泄密。該系統通過全面靈活的定制并執行各種安全策略，實現對內網中計算機進行集中管控和安全管理，做到非法主機“進不來”，有效防止機密敏感信息的泄露，為醫院構建一個可信可控的內網。結合醫院應用實踐對內網安全管理系統進行了功能定制，其功能組成如圖1所示。

圖1 內網安全管理系統功能組成

內網安全管理系統采用B／S模式，軟件系統由客戶端程序和管控中心兩部分組成。客戶端程序安裝后即進入后臺運行模式，系統啟動時自動運行，安裝成功后自動向服務器注冊終端基本信息，如計算機名、IP地址、軟件安裝情況等。管控中心軟件基于瀏覽器進行訪問，且與客戶端程序不能同時運行，即安裝客戶端程序的計算機終端無法登陸管控中心。

2．2 功能介紹

2．2．1 終端管理 近年來，醫院進入了發展的快速道，醫院信息化水平不斷提高，終端數量不斷增加，并且地理位置分散，涉及門診、住院、醫技等多個樓宇，缺乏有效的手段對終端進行集中管理，對于日常出現的小問題，特別是軟件問題，缺乏有效的協助手段，大多需要下科維護，大大增加了信息工程人員的維護量。內網安全管理系統中的終端管理為緩解這一問題提供了支持，該功能主要包含以下幾個方面的功能：①分組管理：能夠根據終端所在的地理位置或是科室進行分組，方便快速定位查找；結合醫院科室分布情況，設定了“樓宇——科室”的兩級分組管理策略；②終端遠程協助：實現對終端的遠程桌面控制，目前大部分軟件問題都可以通過該策略解決；③軟件分發：實現對終端統一進行文件和軟件推送，并自動運行，并可以選擇分發的目標路徑、設定運行參數、是否后臺運行的功能，如軟件已安裝時的處理方式，可以選擇覆蓋安裝和不安裝。發起的分發行為統一計入日志，終端的分發情況也可以進行查詢。

通過該功能，信息部門能夠便捷敵對計算機終端進行統一高效地管理，有利于減輕維護壓力，避免重復工作。

2．2．2 安全準入管理 隨著網絡通信技術的不斷發展，新技術的應用在醫院信息化中的應用也日益廣泛，如移動醫護平臺、物聯網等，對醫院信息網絡的管理也提出了新的挑戰。根據醫院網絡結構，制定相應的安全準入策略，防止非本單位配發計算機通過無線、WIFI、私接HUB、交換機等手段接入網絡，導致病毒泛濫、網絡中斷、數據泄密、管理混亂等現象發生，保障網絡的安全有序運轉。安全準入管理主要包括以下幾個方面的功能：①身份認證：驗證入網的計算機終端是否符合一般的計算機安全標準，如密碼復雜性檢查（密碼長度和更改時間周期）、用戶鎖定設置（超過登陸次數鎖定賬戶及鎖定時間長度） 等； ②802．1X準入： 對支持IEEE802．1X協議的主流網絡設備進行網絡的準入控制，采用基于端口的認證方式將沒有安裝準入代理的主機進行數據隔離，可自行設定相應的認證策略，如超出認證時間設置、認證數據傳播模式設定等；③準入合規檢查：對進入內網的計算機進行合規性檢查，包含進程檢查、軟件安裝檢查、文件檢查、注冊表檢查、操作系統檢查、病毒檢查等10余種檢查方式。

2．2．3 桌面標準化管理 內網計算機終端主要用于日常醫療辦公業務。為防止工作人員私裝軟件、私自改變系統設置，統一配置內網內計算機的軟件安裝，可用外設端口、應用程序、桌面背景、屏保等資源，提高員工工作效率、提升單位形象，啟用桌面標準化管理策略，其功能主要包括以下幾個方面：①桌面管理：通過設定策略實現對受控計算機終端進程運行、外設端口（串口并口、1394、紅外、藍牙、PCMCIA、SCSI控制器、調制解調器）、打印設備（本地、共享、網絡打印機）、設備屬性（設備管理屬性、網絡適配器屬性、任務管理屬性、控制面板屬性等）的集中管理；②注冊表保護：實現對終端注冊表項修改的集中管理，保護注冊表不被惡意篡改，如啟用系統自啟動項保護，啟用系統服務項保護，啟動IE設置項保護等，也可自定義注冊表保護控制（允許修改、禁止修改和詢問用戶）；③文件訪問控制：對計算機終端共享文件的訪問進行控制，保護和監控終端指定目錄和網絡共享文件的讀取、修改和刪除權限，并對操作進行審計；④終端提醒：通過網頁鏈接或文本的形式對終端發布廣播信息，如接入終端提醒（當終端接入網絡是服務器對其進行接入提示），定時終端提醒（終端接入網絡后由服務器根據設定的時間對其進行提示），即時終端提醒（立即對終端進行即時提示）；⑤主機密碼：對終端主機的密碼復雜度和屏保進行設置。

2．2．4 網絡行為管理 網絡行為管理可以內網網絡和終端桌面資源，如網站、網絡視頻、網站軟件、電腦外設端口、電腦屏幕等信息進行統一監管和審計，提高員工工作效率，保障網絡暢通，其功能主要包括以下三個方面：①IP／MAC綁定策略：監控終端主機在本地網絡上IP地址與其MAC地址的變化情況，選中“啟用終端IP／MAC地址綁定控制”，該策略生效，設定IP／MAC地址綁定關系發生時的三種方式（不處理、自動恢復原有綁定信息、斷開網絡），離線時IP／MAC地址綁定信息變化不做處理：是指若計算機離開內網，計算的IP變化不做處理；允許／禁止修改網關和子網掩碼（如果發生修改，則恢復原有信息）啟用／停用多網卡控制（僅允許使用與服務器通信的網卡，其余冗余網卡禁用）探測周期（單位：秒，大于5秒）：是指設定探測IP地址變化的一個周期；②安全域啟動策略：對終端主機時間、安全與訪問，磁盤密級控制以及各種信息的上報進行設置，安全終端設置策略：啟用／停用終端與服務器的時間同步，允許／禁止終端進入安全模式，系統啟動時取消／不取消非首選操作系統選項，系統啟動時允許／禁止使用從屬本地硬盤（僅允許使用當前操作系統所在的本地硬盤），啟用／停用安全終端網絡分域訪問控制，啟用／停用移動磁盤密級使用控制（設置計算機——移動存儲設備不同密級配對時的訪問控制方式，分別為公開級，秘密級，絕密級，專用級），策略更新周期（單位：秒），審計日報上報周期（單位：秒）；協議端口設置：根據用戶的特定環境對一些協議端口進行配置（SMTP協議，POP3協議，HTTP協議，FTP協議）；③日志策略：設置需要對網絡行為進行記錄，主要包括IP訪問日志、網絡端口控制日志、網頁訪問日志、異常鏈接日志、IP／MAC變更日志和記錄安全域日志，及其日志等級（普通、重要、預警、異常、嚴重）和記錄時間段（全天、朝九晚五）。

2．2．5 資產管理 資產管理主要對內網計算機相關資產進行管理，包括軟件和硬件兩個部分，系統自動進行收集或是手動添加，便于信息部門對醫院當前信息資產進行統一的信息化管理，該部分功能主要以查詢統計為主，不需要進行相應策略設置。資產管理主要包括軟件資產和計算機資產管理兩部分：①軟件資產管理：能夠自動收集終端上報的軟件信息，進行分組管理和統計，信息部門可隨時查詢當前內網中終端的軟件安裝情況，并定位到相應的終端，有效防止私裝軟件；軟件變更報告可以查詢軟件安裝或卸載的記錄，方便管理員對資產的變更進行統計；②計算機資產管理：主要管理計算機硬件資產，如CPU型號，內存，硬盤等，并以報表或者圖形的形式直觀顯示資產統計數據，信息部門也可以查詢硬件資產的位置分布情況；計算機資產變更報告可以查詢網內終端硬件資產的變更信息。

2．2．6 移動磁盤管理 移動磁盤管理主要通過注冊、讀寫加解密等手段對移動存儲設備進行統一管理，防止因移動存儲設備公私不分、內外網交叉使用或遺失，而造成病毒感染、丟失泄密和外來存儲設備竊取內部機密等問題，主要包含以下兩個方面的功能：①移動磁盤策略：屏蔽終端計算機的U盤、光盤，包括可擦寫光盤的限制性使用，控制類型包括禁止使用、只讀控制、安全制度操作、讀寫控制和安全讀寫控制五種；禁止使用是指禁止終端對移動磁盤的使用；只讀控制是指只允許終端的可信移動磁盤進行只讀的操作；安全只讀操作是指只允許終端的可信移動磁盤進行透明加密的只讀操作；讀寫控制是指允許終端的可信移動磁盤進行讀寫的操作；安全讀寫控制，是指允許終端的可信移動磁盤進行透明加密的讀寫操作；②日志設置策略：設置是否記錄移動磁盤管理日志，只有日志策略下發后終端才會記錄并上報日志，勾選需要記錄日志的審計項（插入、創建、打開、保存、重命名、刪除和遠程注冊），日志等級標志日志重要程度（普通、重要、預警、異常、嚴重），預警及預警以上的等級默認在預警中心顯示，記錄時間標志需要記錄日志的時間段（全天、朝九晚五），需要在策略對象的時間計劃組中提前設置，此時間段外終端不記錄日志。目前內網計算機默認禁止使用，配合相應的管理制度，審批后更改為讀寫控制。

2．2．7 補丁分發管理 補丁分發管理主要為內網計算機終端統一更新操作系統補丁、修復系統漏洞，降低終端系統安全風險，其功能主要包括以下三個部分：①補丁自動分發策略：通過策略提供客戶端補丁的自動下載及安裝，可設置補丁漏洞程度，探測時間，運行參數及運行形式，基于分發時間、補丁檢測周期等進行策略制訂，策略發送到網絡客戶端后，客戶端注冊程序統一執行補丁應用策略，主要用于對網內終端進行規模化的自動升級；②補丁手動分發策略：通過策略提供客戶端補丁的管理員手工設定的下載及安裝，可設置運行參數及運行形式，策略發送到網絡客戶端后，客戶端注冊程序統一執行補丁應用策略，主要用于對1臺或幾臺計算機進行補丁分發；③日志策略：作為系統補丁分發日志的審計開關，只有日志策略下發后終端才記錄并上報日志，勾選需要記錄日志的審計項，日志等級標志日志重要程度，預警及預警以上的等級默認在預警中心顯示，記錄時間標志需要記錄日志的時間段，需要在策略對象的時間計劃組中提前設置，此時間段外終端不記錄日志。

2．2．8 違規外聯控制 違規外聯控制主要是為防止局域網內計算機私自通過無線網絡、3G網卡、私拉網線等方式接入外部網絡，而導致數據泄漏、病毒引入等現象發生，該功能采用陷阱的報警系統能夠在發生非法外聯的同時，迅速定位到外聯終端并報警，威懾非法外聯事件的發生。其功能主要包括以下兩個部分：①違規外聯控制：檢測（在本策略的對象中設定的）計算機的網絡使用是否符合制定的原則，對不符合原則的計算機進行處理。啟用違規外聯探測：通過設置，檢測策略應用的對象的客戶端是否能和外網通信來判斷該計算機是否違反了管理員制定的規則；“采用外網地址探測方法”是指，利用系統的功能，對這兩個地址，進行檢測，當可以與這兩個網站通信時，視為本機違反策略；禁止使用IE代理上網訪問：如果選擇這個選項，則瀏覽器無法使用代理服務器訪問網絡，該選項可屏蔽瀏覽器使用內網或者外網的大多數代理服務；非法外聯處置設置包括不處理、斷開網絡、關機、鎖定和僅提示五種；②日志策略：作為違規外聯日志的審計開關，只有日志策略下發后終端才記錄并上報日志。勾選需要記錄日志的審計項，其中可以審計非法外聯屏幕快照，日志等級標志日志重要程度，預警及預警以上的等級默認在預警中心顯示，記錄時間標志需要記錄日志的時間段，需要在策略對象的時間計劃組中提前設置，此時間段外終端不記錄日志。

4 應用效果與結論

目前全院計算機2000余臺，其中在網計算機1800余臺，除此外還有1000余臺各種類型的打印機，而維護人員偏少，信息部門工作人員維護量之大可想而知，維護人員時常奔跑于維護科室和辦公室之間。應用內網安全管理系統以來，除了硬件和網絡問題外，95%以上的軟件問題均可通過遠程進行處理，并且落實移動存儲管理制度后，大大凈化了內網運行環境，有利于提高工作效率。

［1］吳 亮．基于策略管理的醫院網絡安全信息系統［J］．中國數字醫學，2011，6（7）：78－79．

［2］孫 輝，聶媛媛，高立芳．軍隊醫院計算機網絡信息安全存在問題及管理措施［J］．實用醫藥雜志，2011，28（7）：665．

［3］夏 勇，陳敏亞，沈志強．醫院計算機終端的安全管理和實現［J］．中國數字醫學，2011，6（2）：112－113．

［4］宋莉莉，王光華，郭雪清．醫院網絡信息安全防護體系及應用研究［J］．中國數字醫學，2013，8（1）：59－63．

［5］韓銳生，趙 彬，徐開勇．基于策略的一體化網絡安全管理系統［J］．計算機工程，2009，35（8）：201－204．