標準化信息管理改善信息安全

王弢 金蕾

摘要：當今國內絕大多數醫院已具備一定信息化程度，作為一個醫療機構其信息化系統中必定存儲著大量的病患身份、診療信息。隨著整個社會環境對于保護個人信息私密性的需要越來越高，對醫院來說保障信息安全的重要性越發突出。本文主要介紹了目前醫療機構一些較普遍的信息安全管理缺陷，重點提出了對內部用戶的身份鑒別、權限控制、行為審計等管理行為。和如何引入一套標準化信息管理平臺來提高信息管理效率、改善管理難題。

關鍵字：信息安全；標準化信息管理平臺。

中圖分類號：TP309文獻標識碼：A 文章編號：1672-3791（2016） 06（a）-0000-00

一、現有的問題

在許多醫院特別是三級甲等醫院常備的信息系統維護部門早已經具備，防火墻、網閘之類的邊界防護設備也早已經是標準配置，對由外部網絡對內部局域網的訪問隔離等功能亦是非常完備。然而縱觀近年來的各種官方、非官方渠道公布的各類醫療信息泄露事件，再結合自身的多年的信息系統管理實踐，我們無奈的發覺，安全事件的發生，完全由黑客等群體從外部攻破防火墻等防護措施的事例實在是九牛一毛，在絕大多數事件中，都有醫院內部人員的身影，或獨自、或內外勾結竊取醫院數據用以牟利。當然，這并不是說想說明機構內部的員工是多么的不可信，絕大多數的同志還是好同志。我們只是想指出系統內部的信息安全防護應該與外部邊界防護一樣重要。

歸納了一些個人覺得較為普遍的安全問題如下：

1. 網絡內部訪問終端數量龐大，有限人力下難以保證終端設備合法性和安全性。

2. 缺乏標準化管理工具，導致管理效率不高。

3. 對內部員工信任較高，對于其訪問權限管理粗放。

4. 由于使用者對本身私有賬戶概念的不重視，私有賬戶成了公共賬戶，導致身份鑒別如同虛設。

5. 相關管理制度缺失，或制度執行不到位，導致空有技術手段，卻無法部署到位。

表面上看這是一個個獨立的問題，深入了看能發現這些問題背后是有關聯性的。出于各種原因，大部分醫院的信息部門可能只有寥寥數人，一人身負數職，難以做到專人專管，基于醫院的規模大量的人力都投入在了日常繁瑣的各類系統維護中。此既上述提到的第一點問題，結合第二點缺乏有效的管理工具，使得管理人員難以有精力對數量龐大的員工賬戶進行細致的權限分級管理。賬戶權限管理的混亂、低效，加上缺乏相關的管理制度及執行力又間接導致了員工為了完成工作相互“借用”賬號。長此以往惡性循環。

二、解決方案與實現

為了解決這些問題，走出這個死胡同，我們對這些問題進行了討論分析。制度缺失及使用者對私有賬戶重視的問題并非一朝一夕能夠解決，但現階段我們可以通過有效的技術手段來盡量彌補，那目前最為行之有效的方案是引入一套標準化信息管理平臺來改進多年來的網絡信息管理模式，幫助我們改善現狀。一套標準化管理平臺需要具備哪些功能才能夠達到我們的需求呢？結合資料收集及多次實地調研，我們總結出以下一些想法。

1） 網絡準入控制

準入控制室此平臺應該必須具有的基本功能，是為用戶接入局域網的第一道關卡。其實傳統的802.1x協議也能實現此功能，但并不能全面滿足實際需求，實際部署時802.1x協議往往要求準入系統、交換機、客戶端均出自同一廠商，才能有較好的準入效果。其次它不支持多種終端類型，一般支持主流的Windows系統，對于其他非主流桌面操作系統的支持非常有限，難以保證各類型終端的合法性和安全性。同時它不支持非PC類終端，例如網絡打印機、網絡攝像機、IP電話等。

故理想的準入控制系統首先應該能支持多種準入協議方式，如：802.1X、DHCP準入、IPAM準入、SNMP準入、RDP準入、網關準入等，這些準入方式可以在用戶環境中任意組合使用，提供更細顆粒度的安全策略。達到靈活的部署方式和全面部署的可能。支持各類主流操作系統。

其次，盡可能不用更新網絡設備、不用改變現有網絡拓撲結構，尤其是主干結構的情況下，實現系統的靈活部署。

再則，應能支持外部認證源，如：LDAP/CA/Radius/AD域認證。這里提一下在我院最后實現的實際應用場景中，認證功能與我院原有的AD域用戶認證系統完美的結合。目前在我院實現了一套賬戶各個應用平臺通用的狀態，包括局域網準入系統；院內郵箱系統；人事信息系統；辦公報告系統；HIS系統等。尤其是結合了人事信息系統后，由于其內嵌的工資查詢、個人信息等私密度較高的模塊，使得賬戶使用人對于自身私有賬戶的管理保密程度有了大幅度的提升，從技術層面上很大程度地解決了原先一個制度層面上的問題。多平臺的賬戶通用也使得員工免去了對多套系統不同賬戶密碼記憶上的繁瑣和困難，從而對新系統的接受度大大提高。

最后，應能探測到終端設備的各類信息：IP、MAC、操作系統版本、上聯交換機端口等。通過多元素結合判定終端是否為合法合規設備，不符合安全要求的，將被隔離或者阻斷。

2） 終端安全管理

終端安全管理是指對計算機類終端的強控制，應能實現資產管理、外設管理、軟件下發、遠程協助等主要功能。各功能描述如下：

終端健康檢查：檢查終端硬件信息、防病毒軟件、病毒庫版本、系統補丁、系統弱口令檢查等。

終端外聯控制：可實現控制計算機的多種外聯方式，例如3G/4G網卡、各種撥號、多網卡、代理服務、靜態路由等，并可以與準入控制功能聯動隔離非法計算機終端。

終端資產管理：自動收集計算機終端的硬件和軟件信息，管理員可以對計算機終端的硬件和安裝的軟件進行查詢，軟硬件信息變更告警和審計。

終端外設管理：控制計算機終端硬件外設的使用，啟用或者禁用光驅、USB設備、打印機、Modem、串行并行口等等。

終端軟件分發：可以向計算機終端分發指定的補丁、各種類型的安裝包、自定義文件。文件分發帶寬優化及控制，可自定義并發分發數量。

終端遠程協助：管理員可以發起遠程協助，在用戶授權后，登錄用戶計算機終端桌面進行維護。

3） 網絡訪問控制

網絡訪問控制既是可以針對不同用戶/用戶組實現不同的訪問權限分配，達到不同員工的不同訪問需求。一般有兩種實現方式，一種是通過客戶端軟件實現，集成在安裝在終端上的客戶端軟件內，以安全策略形式實現基于用戶、終端、子網定義訪問控制。另一種是通過準入系統實現，系統服務器端在終端接入準入系統是直接向計算機終端下發訪問控制策略.

4） 實名制行為審計

這又是一個標準化信息管理平臺需要具備的一個基礎功能，對用戶的準入、退網、訪問目的、訪問端口等重要事件和時間節點進行記錄，結合目前日趨普及的堡壘機的操作行為錄像記錄功能，為網絡安全事件分析和審計、追溯提供重要的手段和依據。同時也應該要能提供包含安全事件、違規事件、入網用戶、入網終端、終端檢查等各類情況生產的可導出的統計報表。

5） 局域網可視化管理

這個功能主要是幫助管理人員提高工作效率，省卻部分命令行管理方式的負擔，在人力資源相對緊張的信息部門必不可少。

實時網絡發現：自動化網絡數據收集，對接入局域網的設備進行實時或定期監視，能夠發現各種主流網絡類設備、服務類設備、終端類設備。自動化技術減輕管理員的工作量。

IP地址管理：實時有效地對全網的IP地址進行管理和監控，簡化IP地址管理，減少手工IP管理工作。發現非法或者異常使用IP地址時，可以給出安全告警信息，供管理員分析、定位和排障使用。豐富的IP分配記錄和報表，以及靈活方便的搜索功能，提高IP地址管理效率。

交換機管理：圖形化方式管理交換機端口，兼容SNMP V1/2/3協議，自動化顯示交換機端口下接的終端和設備信息。讓管理員一目了然的掌握端口的連接類型：Uplink、單臺終端、連接HUB等。與準入功能結合，即可提供端口級別的合規管理。與IP地址管理結合，可以提供故障、威脅定位的管理。

6） 局域網運行數據實施展現

許多網絡管理員可能都會碰到這樣的情況，我們管理著局域網，但對于局域網常常處于一種模糊的認識狀態。我們不能非常明確的知道局域網內現在有多少人、多少終端、什么人正在使用；不知道主干鏈路帶寬占用率現在是多少；不知道IP地址的使用情況；不知道是否有不合規的網絡設備（如：私帶的路由器、無線AP等）正在局域網內運行。當然我們可以通過使用不同的管理工具，使用多條操作指令分別去獲取所需要的數據，但如果有這樣一個平臺能自動化記錄一些這類的網絡主要運行數據，并實時展示，能一目了然地查看比較，顯然我們會很歡迎。

三、結論與展望

通過上述總結出功能需求，以此為據，經過多次的、較長時間調查研究，測試試用，我們最終確定了一套最大限度符合我們預計想法的標準化信息管理平臺。我院于2014年初正式將這套系統上線。經過半年多的使用，目前這套管理平臺運行平穩，并從根本上改變著我們的網絡管理模式，改善了曾經的管理難點。

展望未來，會有越來越多的類似信息管理平臺涌現，功能更強大、策略顆粒性更細致化、與堡壘機整合實現更豐富的行為審計能力。更甚至吸收越來越多的單一管理工具的功能，實現統一界面接口的多領域的多元化的管理方式，自動化技術更多的引入，使運維人員的工作方式日趨便捷。這，也許正是一種趨勢。

參考文獻

[1] 馮國登，《計算機通信網絡安全》，清華大學出版社

[2] 趙樹升等，《信息安全原理與實現》，清華大學出版社