360安全管理系統在醫院終端管理中的應用

王建偉，潘欣

民航總醫院計算機中心，北京100123

360安全管理系統在醫院終端管理中的應用

王建偉，潘欣

民航總醫院計算機中心，北京100123

目的醫院桌面終端管理面臨著諸多困難，找到適合的方法，提高桌面終端的安全性和運維效率。方法利用360企業版的良好兼容性，易用性，功能性，解決上述諸多問題。結果解決了醫院桌面終端的終端信息管理，病毒防御，補丁更新，應用管控，外設管理，遠程協助等問題。結論360企業版對于普通醫院桌面終端的管理行之有效。

桌面終端管理；終端安全；360企業版

隨著信息化技術在醫療行業的快速發展，桌面終端的數量越來越多，應用程序數量迅速增長，終端系統的運維工作面臨越來越大的壓力。特別是在醫院的環境中，醫生、護士的用戶流動性大，對用戶的電腦使用行為難于管控；在例如手術室、產房等特殊的醫療工作環境中，現場運維人員出入困難，維修周期長；各崗位人員的計算機操作水平參差不齊、信息安全知識有限，可能給桌面終端帶來一定的安全隱患。如何簡化終端管理的復雜性，降低終端安全面臨的威脅，提高運維效率是廣大醫院信息管理部門都十分關注的問題。

1 本醫院桌面終端面臨的問題

1.1 桌面終端信息管理與用戶環境

該院科室共74個，在職人員共1 300余人，擁有計算機類桌面終端數量600余臺。新舊電腦跨度在8年左右。占據全院職工大多數的醫生、護士存在倒班、進修實習、科室輪轉等情況。除機關、后勤外，幾乎都存在多用戶的公用電腦。一些用戶對計算機操作還不熟練，或者安全知識不夠。這些都會增加桌面終端病毒感染的風險及系統出現故障的概率。

1.2 桌面終端應用管理

如何能保持全院各應用系統穩定而不受干擾的運行是一個重要問題。尤其面對現在復雜的互聯網環境，其中存在著大量廣告插件、捆綁安裝方式的程序。如果這些程序不加限制地運行在用戶終端上，不僅會導致電腦系統運行變慢，還可能會導致系統癱瘓，最終影響到業務應用的順利運行。要解決以上問題，就要對終端應用進行管理。

1.3 桌面終端外設管理

USB設備的大規模應用為人們的生活和工作提供了便利，但是在醫療辦公環境內，尤其是存在眾多公用終端的情況下，如何對USB設備實施有效管控是一個重要的問題。這主要因為：第一，在局域網環境下，USB移動存儲設備是病毒的主要傳播途徑之一；第二，USB WIFI熱點設備會讓醫院內部網絡暴露在外，易遭受非法用戶的入侵。

1.4 桌面終端補丁管理

系統漏洞的修補已經成為終端安全的關鍵點，不及時修補漏洞很容易使終端安全形成木桶效應。由于大部分終端無法訪問因特網，因此也無法設置成自動更新補丁。如果采用人工手動逐臺安裝的方式，從人力和時間效率上考慮都是不切實際的。

1.5 桌面終端病毒防范

病毒攻擊始終是桌面終端所不能回避的安全問題。病毒對系統及文件的破壞仍然是最具毀滅性的。更加嚴重的是，有些病毒還會對網絡造成影響，比如ARP攻擊、DNS劫持、廣播風暴等。一旦大面積爆發，所有依賴網絡的應用系統都可能癱瘓，這將對醫院網絡與信息系統的安全運行造成嚴重威脅。

面臨上述問題，我們需要在加強終端安全防護的同時提高對桌面終端運維和管控的效率。而大多數醫療機構通常都是通過安裝部署防病毒軟件解決終端安全問題，再通過部署應用桌面管理系統來提高終端運維的工作效率。但這種模式一方面需要投入兩套系統的購置成本，另一方面還必須解決桌面管理軟件與殺毒軟件沖突的問題。同時國家對政府及事業單位安全產品國產化的要求使得可供選擇的產品更少。2013年北京奇虎科技有限公司推出的集殺毒和桌面終端管理為一體的360終端安全管理系統企業版(下文簡稱360企業版)很好地滿足了我們的需求。

2 360企業版介紹

2.1 系統架構

360企業版在系統結構上分為控制中心和客戶端（圖1）。控制中心是360企業版的管理臺，部署在服務器端，采用B/S架構，可以隨時隨地地通過瀏覽器訪問。一方面它可以通過互聯網連接到360升級服務器，進行自身的版本升級、病毒庫和補丁的更新。另一方面，它主要負責終端設備分組管理、策略制定下發、全網健康狀況監測、統一殺毒、統一漏洞修復、遠程控制以及各種報表和查詢等。客戶端部署在需要被保護的桌面終端上，執行最終的殺毒掃描、漏洞修復、安全策略、遠程控制等操作，并向安全控制中心發送相應的安全數據。

2.2 主要功能

正如上一章節所述，能夠引起我們關注的是該系統的殺毒功能和桌面終端管理功能可以很好地結合為一體。在管理控制臺中可以直接下達病毒查殺任務，并且能夠顯示出各個終端的查殺結果。終端管理方面提供了豐富的功能，例如終端信息管理，包括了終端名稱、IP地址、操作系統版本、硬件配置及其所在分組信息。漏洞修復、系統危險項檢修功能，可按計劃對終端進行修復，提升終端的安全等級。外接設備管控功能，可以根據實際要求限制終端對USB WIFI熱點、USB網卡、USB存儲設備等外設的使用。通過軟件監控功能，可以對所管終端上安裝的應用程序了如指掌，配合進程黑名單、軟件白名單功能的使用，可實現企業內部合規應用避免被干擾和查殺，禁用違規程序的效果。資產管理，該功能可以對終端的硬件信息及其硬件變更信息進行監測，并能夠顯示CPU、硬盤的溫度信息。遠程協助功能可以方便地連接到所管控終端的桌面，從而實現遠程操作。全面的日志報表功能，可以對終端的各類信息進行統計查詢，使運維管理人員對整個系統及管控的桌面終端有一定深度的了解。

3 360企業版的實施及應用效果

3.1 安裝部署

該院在360企業版部署中保持了既有網絡拓撲結構，在機房加裝一臺360企業服務器，使其接入醫院網絡，并可安全訪問互聯網。服務器硬件采用了DELL R710機架式服務器。360企業版服務器端的安裝采用了友好的圖形界面安裝向導來引導管理員逐步完成安裝。客戶端部署主要采用了如下兩種方式：第一種，桌面終端直接從WEB上直接下載該企業的客戶端程序進行安裝；第二種，在已經裝有個人版或其他版本的360安全衛士中，可通過驗證碼切換為360企業版，并加入該中心的管控。服務端和客戶端易于操作，因此得到了大多數用戶的支持。目前該院已完成部署桌面終端600余臺，完成了從門診、病區到后勤機關的全部覆蓋。

3.2 應用效果

經過實施部署360企業版后，我們所面對的一些問題也得到了很好的解決，下面以一些典型應用案例來介紹本醫院應用該系統后的成效。

3.2.1 終端信息管理的應用該院對每臺桌面終端設置了唯一編號，并作為計算機名。這樣，控制臺中就可以看到各個桌面終端的主機名信息、IP信息、硬件信息，以及離線在線狀態。并按物理位置進行了分組管理。運維人員可以按終端系統體檢分數、系統危險項及數量、病毒名稱及數量、安裝軟件名稱、硬件變更信息等來統計終端。依靠這些信息，管理人員可以對醫院終端的狀況有詳細的了解。每年的資產盤點可以參考這些終端信息來進行。

3.2.2 終端防病毒的應用在病毒防御和查殺方面，針對所有管控終端設置了每日的病毒庫自動更新，病毒實時監控數據上報。建立了企業應用程序白名單，這樣可以避免醫院私有應用程序被誤殺。依托病毒查殺和桌面管理工具的良好的兼容性，運維人員所做的只是定期從管理控制臺中查看全院桌面終端上報的病毒數查殺量及病毒名稱。實現了自動化的病毒防御與實時全局監控，運維人員可以對全院桌面終端的病毒查殺情況有據可依，從而可以分析出當前安全形勢和未來趨勢。

3.2.3 終端系統補丁的應用系統補丁更新作業實現了全自動處理。終端執行定期的漏洞掃描任務，發現漏洞后從360企業服務器獲取更新補丁文件進行修復。

3.2.4 終端進程黑名單的應用“進程黑名單”的使用，讓終端軟件管理更加精準化。管理員通過控制中心能夠查看到當前終端上的所有應用的進程列表，應用進程的管理可以通過進程名稱、進程數字簽名或進程MD5值來精準定位某一個進程，從而實現禁止某一個進程的運行。當違規進程嘗試啟動運行時，360企業版會在終端上彈出禁用提示給用戶并禁止該進程運行。更加方便的是，我們可以從終端現有進程列表中瀏覽，搜索某一進程，直接選中該進程后加入黑名單。依據此功能，我們專門設立一臺黑名單學習終端，在該終端上運行一些違規應用，然后在控制中心把這臺終端的違規應用進程加入全局黑名單，從而實現了黑名單進程列表的制定。通過長期的使用，我們發現因違規應用導致的終端故障率有所下降，也盡可能地給用戶帶來了良好的系統環境體驗。

3.2.5 終端外設管理的應用通過外接設備管控功能，該院已全面禁用USB WIFI熱點設備，但同時會保障其他與業務相關的USB設備可正常使用。例如：USB連接的打印機，USB掃碼槍等辦公外設。這得益于外接設備管控功能中可以分別針對電腦終端上常用物理接口，常見外接設備類型的獨立管控。實施該項措施后，各類因外接網卡或WIFI熱點導致的網絡問題報修量已明顯下降。

3.2.6 終端遠程協助的應用采用遠程協助的目的是為了提高運維效率，但同時也要考慮用戶的隱私，讓用戶有個良好的故障處理體驗。360企業版遠程協助采用“申請-接受”機制，保障了遠程控制的合法性。大多數軟件問題可直接遠程解決，一些復雜問題可以在遠程了解故障現象后做出一個初步判斷，更直觀的了解故障現象，再協調相關技術人員或者配備工具赴現場處理。避免了故障現象描述不清，定位不準，往返用戶現場所耽誤的時間。

4 總結

360企業版的應用顯著提高了桌面終端管理的運維效率，凈化和改善了電腦終端的運行環境，提高了系統運行的安全性和穩定性。通過360企業版日志工具統計，到該文撰稿前共查殺病毒1 558個，共修復漏洞58 911個。自一年前開啟禁用USB WIFI熱點功能后，到目前共攔截134次，涉及26臺終端。最近一年共利用遠程桌面功能723次，問題處理效率有了一定的提升，大幅降低了往返現場的次數。

該系統在日常使用中也發現了有待完善的地方。例如遠程協助功能過于單一，還無法進行遠程文件的傳輸。終端信息管理功能如果能增加備注欄或用戶可自定義字段會更加方便運維人員對終端信息的維護。但在整個運維體系中，人為因素也至關重要。如果全院終端唯一編號缺失、混亂，管理人員不定期審閱管理控制臺的安全日志報表，不及時了解全院終端安全狀況，也會影響系統的應用效果。

[1](美)Kadrich,M.S[著]，（中）伍前紅，余發江，楊飏，等[譯].終端安全[M].北京:電子工業出版社，2009:15-32,67.

[2]陳利民，宋莉莉，郭雪清，等.醫院計算機終端安全管理策略[J].實用醫藥雜志，2014，31（9）:854-857.

[3]北京奇虎科技有限公司.360企業版V4.0使用手冊[Z]. 2013:5,55-56.

Application of 360 Safety Management System in the Hospital Terminal Management

WANG Jian-wei,PAN Xin
Computer Center,Civil Aviation General Hospital,Beijing,100123 China

ObjectiveTo improve the safety and maintenance efficacy of desktop terminals by finding out the suitable methods.MethodsThe good compatibility,accessibility and functionality of 360 enterprise edition were used to solve the above issues.ResultsThe method solves the issues of terminal information management of hospital desktop terminals,virus defense,critical patch update,application management-control,external equipment management and remote assistance.Conclusion360 enterprise edition is feasible for the common hospital terminal management.

Desktop terminal management;Terminal safety;360 enterprise edition

R197

A

1672-5654（2017）01（a）-0007-03

10.16659/j.cnki.1672-5654.2017.01.007

2016-10-08）

王建偉（1986.11-），男，北京人，本科，助理工程師，主要從事計算機網絡終端運維。