醫(yī)院內(nèi)網(wǎng)終端安全管理

，，

[作者單位]青島大學附屬醫(yī)院，山東 青島 266003

隨著醫(yī)院信息化建設(shè)的不斷推進,醫(yī)院信息系統(tǒng)(Hospital Information System,HIS)的應(yīng)用越來越廣泛，日常醫(yī)療工作對其依賴性不斷增強[1]。

目前醫(yī)院的安全防御理念往往局限在入侵檢測、防火墻、殺毒軟件等，重要的安全設(shè)施大多集中于機房或網(wǎng)絡(luò)邊界處。在這些設(shè)備的嚴密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小[2]。據(jù)IDC調(diào)查報告顯示，85%的網(wǎng)絡(luò)威脅來自于內(nèi)部，其危害程度遠遠超過黑客攻擊所造成的損失。傳統(tǒng)的安全措施注重防外不注重防內(nèi)，對于內(nèi)部用戶攻擊和威脅事件往往無能為力。因此，安全戰(zhàn)場已經(jīng)逐步由核心與主干的防護，轉(zhuǎn)向網(wǎng)絡(luò)內(nèi)部的終端安全管理[3]。

青島大學附屬醫(yī)院(以下簡稱“我院”)已建成以數(shù)字機房為核心的信息化系統(tǒng)，核心業(yè)務(wù)位于中心機房，實施內(nèi)外網(wǎng)物理隔離，終端通過醫(yī)院內(nèi)網(wǎng)訪問中心機房服務(wù)器，內(nèi)網(wǎng)終端包括移動終端和PC工作站，總數(shù)已超過5 000點，通過引進桌面終端管理系統(tǒng)，有效地解決了醫(yī)院終端違規(guī)操作帶來的安全威脅和終端宕機，提高了醫(yī)院信息系統(tǒng)的安全性和穩(wěn)定性。

1 醫(yī)院內(nèi)網(wǎng)終端安全性分析

1.1 核心業(yè)務(wù)數(shù)據(jù)保護困難

醫(yī)院數(shù)字中心機房是醫(yī)院信息化建設(shè)的核心，存儲著醫(yī)院海量的病案數(shù)據(jù)。隨著大數(shù)據(jù)分析的到來，醫(yī)療大數(shù)據(jù)分析所產(chǎn)生的價值已經(jīng)不可估量，在利益驅(qū)使下，診療信息的泄密風險也大大增加[4-5]。

然而隨著醫(yī)院規(guī)模的擴大，客戶端數(shù)量大、位置分散，很難防止非法用戶侵入網(wǎng)絡(luò)，竊取醫(yī)院核心數(shù)據(jù)。另外，醫(yī)生或患者的筆記本電腦等未知終端的非法接入，也使醫(yī)院產(chǎn)生信息安全隱患[6]。

1.2 終端違規(guī)操作管理困難

計算機終端違規(guī)外聯(lián)、USB存儲濫用等安全威脅頻發(fā)，終端行為難以規(guī)范[7]。光驅(qū)、軟驅(qū)和USB接口的使用可能會導致機密文件的泄露；U盤的內(nèi)外網(wǎng)互用以及院外的使用，增加了病毒傳播的風險；部分醫(yī)生私自使用無線網(wǎng)卡、通過WiFi方式違規(guī)外聯(lián)，智能手機等便攜設(shè)備插入內(nèi)網(wǎng)終端充電，使同一臺終端既訪問內(nèi)網(wǎng)又訪問外網(wǎng)，花大量資金、人力建設(shè)的內(nèi)外網(wǎng)物理隔離就被一個小小的網(wǎng)卡打敗了。違規(guī)外聯(lián)的終端被黑客或病毒利用后，極可能通過該終端進入內(nèi)部網(wǎng)絡(luò)，進而通過嗅探等方式收集內(nèi)部的關(guān)鍵數(shù)據(jù)和敏感信息，或以此終端為“跳板”攻擊內(nèi)部的其他主機。

1.3 正常業(yè)務(wù)流程經(jīng)常受到影響

目前，醫(yī)院的正常業(yè)務(wù)流程依賴于HIS系統(tǒng)的安全穩(wěn)定運行。在日常維護中我們發(fā)現(xiàn)，終端故障大多數(shù)是因為內(nèi)部的不當和非正常使用，如卸載應(yīng)用軟件、安裝非法軟件、刪除系統(tǒng)文件等。為減少操作不當引起的終端宕機，需要對終端的各項操作權(quán)限進行逐一限制，這個過程一般需要維護人員花費1個多小時的時間。終端出現(xiàn)故障需要排查和修復(fù)時又要逐一解除限制，使日常維護工作變得更加繁瑣，工作效率降低[8]。

1.4 安全違規(guī)事件追溯追責困難

安全事件絕大多數(shù)最后是在終端計算機上確認的事件源，這就足以說明管理終端計算機的重要性。違規(guī)操作發(fā)生時，如何及時報警、審計以及阻斷違規(guī)行為？在日常工作中發(fā)現(xiàn)有部分終端操作人員對違規(guī)操作行為矢口否認，在檢查人員到達現(xiàn)場前已將痕跡清除，由于沒有依據(jù)和線索，無法對事件進行調(diào)查，一旦發(fā)生安全事件，往往難以追責。

2 醫(yī)院內(nèi)網(wǎng)終端安全管理的實踐

針對當前醫(yī)院終端管理的現(xiàn)狀，我院引進了國內(nèi)某知名廠商的桌面終端管理系統(tǒng)。該系統(tǒng)提供了可視化的、體系化的終端安全管理和全面終端遠程維護功能，實現(xiàn)了安全、穩(wěn)定、高效的終端運行環(huán)境，有效防止了安全事件的發(fā)生。桌面終端管理平臺為軟硬結(jié)合一體機，采用旁路接入方式，旁路模式采用監(jiān)聽機制實施網(wǎng)絡(luò)控制，部署簡便，完全不影響原有網(wǎng)絡(luò)結(jié)構(gòu)，并且無網(wǎng)絡(luò)單點故障之憂(圖1)。

圖1 桌面終端管理架構(gòu)

2.1 準入管理

對入網(wǎng)電腦安裝終端軟件，確定接入設(shè)備合法后授權(quán)，定制密碼保護功能防止用戶卸載或修改終端軟件，禁止未授權(quán)的計算機上網(wǎng)或者訪問指定的服務(wù)器，并在控制臺上發(fā)出報警信息，及時發(fā)現(xiàn)非法入侵用戶。采用主動推送的終端部署方式，設(shè)備會自動重新定向到終端下載界面，可通過計算機搜索功能搜索未裝終端的終端，極大地縮短了終端的部署周期。

2.2 外設(shè)管理

該功能可以設(shè)置對計算機USB存儲、光驅(qū)、軟驅(qū)、便攜式設(shè)備如手機等的管理狀態(tài)，允許或是禁止客戶機使用上述設(shè)備。管理人員可根據(jù)需要，針對設(shè)備制定相應(yīng)管理策略，如設(shè)置授權(quán)/安全/保密U盤等，有效防止網(wǎng)內(nèi)機密信息通過U盤外泄。提供對介質(zhì)使用的記錄審計功能，包括使用人、部門、IP地址等，以備日后有據(jù)可查，而且當異常情況發(fā)生時，可以確定違規(guī)人員和違規(guī)行為，圖2 為USB存儲設(shè)備審計記錄。

圖2 USB存儲設(shè)備審計記錄

2.3 外聯(lián)管理

設(shè)定內(nèi)網(wǎng)終端IP地址和服務(wù)器IP地址為內(nèi)網(wǎng)地址，當終端配置或訪問非內(nèi)網(wǎng)地址時被認定為違規(guī)外聯(lián)。可以控制內(nèi)網(wǎng)終端，通過無線WiFi、無線上網(wǎng)卡、手機熱點、外網(wǎng)網(wǎng)線、智能手機使用USB接口充電等方式連接互聯(lián)網(wǎng)，當出現(xiàn)違規(guī)外聯(lián)時，會自動報警、斷網(wǎng)，并對違規(guī)終端名稱、上網(wǎng)方式進行記錄，杜絕內(nèi)網(wǎng)電腦私接外網(wǎng)。設(shè)置網(wǎng)站訪問管理，禁用一些常用外網(wǎng)訪問網(wǎng)站如百度、騰訊等，當違規(guī)外聯(lián)終端訪問這些網(wǎng)站時，會進行阻止并記錄。

通過報警和審計記錄，可以清楚地記錄違規(guī)外聯(lián)發(fā)生的時間、終端、方式和具體訪問網(wǎng)站等信息(圖3)。根據(jù)服務(wù)器地址可知，WiFi為醫(yī)院為優(yōu)化患者就醫(yī)而提供的無線網(wǎng)絡(luò)，只需輸入手機驗證碼即可連接互聯(lián)網(wǎng)。

圖3 違規(guī)外聯(lián)報警記錄

發(fā)生違規(guī)外聯(lián)后，常規(guī)處理方法是查詢?yōu)g覽器的歷史記錄、Cookie等。若上述痕跡被清除，可通過查看隱藏的index.dat文件，但是需要下載專門工具，過程也比較繁瑣[9]。網(wǎng)站訪問管理可以記錄違規(guī)訪問的網(wǎng)站(圖4)，違規(guī)外聯(lián)期間此終端試圖訪問過百度等外網(wǎng)網(wǎng)站，即使上網(wǎng)痕跡被清除，也能通過控制臺報警記錄查詢，使安全事件能夠追查到責任人。

圖4 違規(guī)網(wǎng)站訪問報警記錄

2.4 桌面策略配置

由于醫(yī)院使用的HIS是基于WEB的訪問方式，因此為了加強終端管理，需要對終端權(quán)限進行限制，如鎖定“Internet選項”，隱藏“控制面板”，禁用“我的電腦”，禁止添加、刪除打印機等。桌面的策略配置包括控制面板、計算機管理、“我的電腦”屬性、“本地連接”屬性和組策略，只需要在控制臺點幾下鼠標，就可以輕松地完成終端的權(quán)限設(shè)置，快捷而高效，也有效避免了用戶因為誤操作導致的操作系統(tǒng)或應(yīng)用軟件運行不正常，保證了業(yè)務(wù)系統(tǒng)正常運行。

2.5 應(yīng)用程序管理

可以設(shè)定計算機允許運行的進程或禁止運行的進程，方便地把客戶端塑造成工作專用機，可以明顯提高工作效率。

另外，若病毒為新病毒,已有殺毒軟件無法殺除時，在已知病毒進程的情況下，可將病毒進程設(shè)置為禁止運行。如通過禁用SICHOST.EXE進程，病毒程序?qū)⒉荒茏詣舆\行，可通過報警快速鎖定攜帶病毒的終端(圖5)。

圖5 禁止進程報警記錄

2.6 其他功能

通過IE配置、資產(chǎn)監(jiān)控、遠程協(xié)助監(jiān)控、遠程開關(guān)機、消息發(fā)送、軟件分發(fā)、殺毒軟件管理、補丁管理、共享資源管理、流量管理、帶寬管理、IP/MAC地址綁定、查看/修改注冊表、修改計算機名、查看系統(tǒng)資源清單、阻斷/恢復(fù)通訊、鎖定/解鎖客戶端等，使日常維護變得簡潔高效，確保醫(yī)院內(nèi)網(wǎng)終端得到了安全有效管理。

3 結(jié)語

通過桌面終端管理平臺并統(tǒng)一控制和定制桌面，實現(xiàn)了安全管理，保護了核心數(shù)據(jù)，增強了終端使用人員的安全意識，規(guī)范了網(wǎng)絡(luò)行為，減少了現(xiàn)場維護工作量，保證了整個網(wǎng)絡(luò)以及醫(yī)院的HIS系統(tǒng)安全、穩(wěn)定運行，大幅提升了醫(yī)院信息化管理水平。