路萬(wàn)里，鞏蕾

濟(jì)南市第三人民醫(yī)院 信息中心，山東 濟(jì)南 250101

內(nèi)網(wǎng)安全管理系統(tǒng)在醫(yī)院網(wǎng)絡(luò)中的作用

路萬(wàn)里，鞏蕾

濟(jì)南市第三人民醫(yī)院 信息中心，山東 濟(jì)南 250101

目的 通過(guò)軟件保障醫(yī)院信息安全。方法 在醫(yī)院內(nèi)網(wǎng)中部署內(nèi)網(wǎng)安全管理系統(tǒng)。結(jié)果 能夠有效地防止信息外泄和用于非法用途；防止濫用電腦，提高工作效率；方便硬件資產(chǎn)管理和統(tǒng)計(jì)；對(duì)非法的行為能夠查找線索、保留證據(jù)；方便的遠(yuǎn)程維護(hù)功能，降低人力成本。結(jié)論 內(nèi)網(wǎng)安全管理系統(tǒng)能夠有效的保障醫(yī)院內(nèi)網(wǎng)信息安全和大幅提高網(wǎng)絡(luò)維護(hù)人員的工作效率。

內(nèi)網(wǎng)安全管理；醫(yī)院網(wǎng)絡(luò)維護(hù)；信息安全

1 醫(yī)院內(nèi)部網(wǎng)絡(luò)面臨的安全問(wèn)題

提起網(wǎng)絡(luò)安全、人們自然就會(huì)想到病毒破壞和黑客攻擊，其實(shí)不然。常規(guī)安全防御理念往往局限在網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界（防火墻、漏洞掃描、防病毒、IDS）等方面的防御、重要的安全設(shè)施大致集中于機(jī)房和網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密防控下，來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小。相反，來(lái)自網(wǎng)絡(luò)內(nèi)部計(jì)算機(jī)終端的安全威脅卻是眾多網(wǎng)絡(luò)管理人員普遍反映的問(wèn)題。自2003年以來(lái)，以SQL蠕蟲(chóng)、“沖擊波”、“震蕩波”等病毒的連續(xù)爆發(fā)為起點(diǎn)，到信息泄密、硬件資產(chǎn)丟失、服務(wù)器系統(tǒng)癱瘓等諸多終端安全事件在網(wǎng)絡(luò)中頻繁發(fā)生，這些事件讓信息中心管理人員頭痛不已?？偨Y(jié)起來(lái)，醫(yī)院內(nèi)部網(wǎng)絡(luò)管理大致面臨著以下一些常見(jiàn)問(wèn)題：

⑴ 對(duì)軟件進(jìn)行分發(fā)安裝，以大幅度減少網(wǎng)管的工作量。

⑵ 對(duì)硬件資產(chǎn)進(jìn)行自動(dòng)發(fā)現(xiàn)識(shí)別，并打印報(bào)表，以便對(duì)網(wǎng)絡(luò)硬件資產(chǎn)進(jìn)行電子化跟蹤和管理，在提高工作精度的同時(shí)減少網(wǎng)絡(luò)管理人員的工作量。

⑶ 有效監(jiān)控重要終端的運(yùn)維信息，以便網(wǎng)管了解網(wǎng)絡(luò)中的客戶端是否已超負(fù)荷運(yùn)轉(zhuǎn)，是否需要升級(jí)。

⑷ 對(duì)電子郵件、網(wǎng)絡(luò)拷貝、打印輸出的數(shù)據(jù)進(jìn)行審計(jì)，保證其安全。

⑸ 進(jìn)行有效的遠(yuǎn)程維護(hù)和接管，進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)故障診斷，遠(yuǎn)程查看客戶機(jī)屏幕。

⑹ 對(duì)網(wǎng)絡(luò)中的軟件狀態(tài)信息進(jìn)行有效的查詢和管理，以及時(shí)發(fā)現(xiàn)隱患。

⑺ 防范移動(dòng)電腦和存儲(chǔ)設(shè)備隨意接入內(nèi)網(wǎng)。將非安全計(jì)算機(jī)阻斷出網(wǎng)。

⑻ 防范內(nèi)網(wǎng)設(shè)備隨意外聯(lián)。

⑼ 管理終端資產(chǎn)，保障網(wǎng)絡(luò)設(shè)備正常運(yùn)行。

⑽ 在全網(wǎng)制訂統(tǒng)一的安全策略。

⑾ 發(fā)現(xiàn)網(wǎng)絡(luò)中占用帶寬最大的終端。

⑿ 防止病人信息泄露和非法統(tǒng)計(jì)處方的行為。

⒀ 對(duì)原有的終端安全軟件進(jìn)行統(tǒng)一管理、監(jiān)控。

⒁ 快速有效地定位網(wǎng)絡(luò)中病毒、蠕蟲(chóng)、黑客的引入點(diǎn)，及時(shí)、準(zhǔn)確地切斷安全事件發(fā)生點(diǎn)和網(wǎng)絡(luò)。

⒂ 構(gòu)架功能強(qiáng)大的統(tǒng)一網(wǎng)絡(luò)安全報(bào)警處置平臺(tái)，進(jìn)行安全事件響應(yīng)和事件查詢，全面管理網(wǎng)絡(luò)資源。

采用內(nèi)網(wǎng)安全管理系統(tǒng)能夠有效地解決上述問(wèn)題。

2 內(nèi)網(wǎng)安全管理系統(tǒng)

我院所采用的內(nèi)網(wǎng)安全管理系統(tǒng)是由北信源公司開(kāi)發(fā)的系統(tǒng)。它主要是將內(nèi)部網(wǎng)絡(luò)終端安全管理從終端狀態(tài)、行為、事件三個(gè)方面來(lái)進(jìn)行防御，管理手段大致包括接入管理、IT資產(chǎn)管理、補(bǔ)丁及文件分發(fā)管理、桌面管理及運(yùn)維、桌面安全及審計(jì)、非法外聯(lián)行為監(jiān)控。

2.1 系統(tǒng)構(gòu)架

系統(tǒng)采用B/S結(jié)構(gòu)設(shè)計(jì)，前臺(tái)使用Web瀏覽方式對(duì)用戶進(jìn)行管理和注冊(cè)，后臺(tái)通過(guò)SQL服務(wù)器對(duì)用戶數(shù)據(jù)加以統(tǒng)計(jì)和存儲(chǔ)。 北信源內(nèi)網(wǎng)安全管理系統(tǒng)分為：數(shù)據(jù)庫(kù)環(huán)境初始化模塊、區(qū)域管理器 （RegionManage）、區(qū)域掃描器（Regionscan）、注冊(cè)程序、探頭代理程序(用戶不可見(jiàn))、Web主控平臺(tái)。 系統(tǒng)應(yīng)用拓?fù)湟?jiàn)圖1。

圖 1 系統(tǒng)應(yīng)用拓?fù)鋱D

2.2 系統(tǒng)配置要求

專用服務(wù)器或高檔PC服務(wù)器，Windows2000 Server（SP4）以上操作系統(tǒng)（安裝IIS），基本配置： P3 800 以上CPU，512M以上內(nèi)存；建議選用配置：P4 2.4G以上CPU，1G以上內(nèi)存。 區(qū)域管理器、SQLserver數(shù)據(jù)庫(kù)、Web主控平臺(tái)均可在一臺(tái)服務(wù)器上安裝，或依據(jù)區(qū)域劃分分別安裝。SQLserver數(shù)據(jù)庫(kù)，用于內(nèi)網(wǎng)安全管理建立數(shù)據(jù)庫(kù)列表項(xiàng)；IIS服務(wù)器提供WEB站點(diǎn)，用于web平臺(tái)進(jìn)行系統(tǒng)管理和報(bào)警信息調(diào)用瀏覽。

2.3 系統(tǒng)管理策略

系統(tǒng)采用統(tǒng)一的策略中心實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)終端的統(tǒng)一安全管理。策略管理中心內(nèi)置終端安全防護(hù)需要的安全管理參數(shù)，提供對(duì)計(jì)算機(jī)終端的安全規(guī)則配置，安全功能策略開(kāi)啟/關(guān)閉，安全策略的執(zhí)行范圍/周期設(shè)定等一系列安全措施管理。主要包括以下策略:

2.3.1 硬件資源管理?？刂朴布庠O(shè)的使用，啟用或禁用光驅(qū)、軟驅(qū)、USB移動(dòng)設(shè)備、打印機(jī)、調(diào)制解調(diào)器、串、并行口。徹底阻斷病毒來(lái)源和信息外泄。

2.3.2 進(jìn)程及軟件監(jiān)控。包括軟件安裝監(jiān)控、進(jìn)程執(zhí)行監(jiān)控。能夠禁止用戶安裝或運(yùn)行某些軟件如：QQ、MSN、各種游戲等。

2.3.3 客戶端違規(guī)聯(lián)網(wǎng)策略。監(jiān)視違規(guī)網(wǎng)絡(luò)連接，并對(duì)其做出相應(yīng)的處理，保證信息安全。

2.3.4 行為管理及審計(jì)。移動(dòng)設(shè)備審計(jì)：對(duì)移動(dòng)設(shè)備的接入、接出、審計(jì)處理，記錄其操作時(shí)間。文件審計(jì)：審計(jì)打印文件、電子郵件，以及對(duì)系統(tǒng)文件提供保護(hù)。進(jìn)程審計(jì)(進(jìn)程黑名單、白名單)：對(duì)違規(guī)啟動(dòng)或停止的進(jìn)程報(bào)警或停止已啟動(dòng)進(jìn)程、啟動(dòng)已停止進(jìn)程等。對(duì)進(jìn)程全路徑審計(jì)，審計(jì)非特定目錄的程序運(yùn)行。

2.3.5 軟件分發(fā)執(zhí)行策略。補(bǔ)丁文件分發(fā)：向客戶端分發(fā)指定的補(bǔ)丁，提供補(bǔ)丁的運(yùn)行參數(shù)和提供必要的運(yùn)行控制。普通文件分發(fā)：向客戶端分發(fā)指定的文件或安裝軟件，提供軟件的運(yùn)行參數(shù)和必要的運(yùn)行控制。

2.3.6 自動(dòng)補(bǔ)丁分發(fā)策略。提供客戶端補(bǔ)丁的自動(dòng)下載及安裝，可設(shè)置補(bǔ)丁探測(cè)時(shí)間、運(yùn)行參數(shù)及運(yùn)行形式。

2.3.7 客戶端涉密安全檢查。IE訪問(wèn)檢查：檢查訪問(wèn)某一特定網(wǎng)絡(luò)的歷史信息，如IE緩存、Cookie信息、收藏夾等。文件內(nèi)容檢查：對(duì)指定的某一文件夾或某一類型文件，檢查是否有違規(guī)的信息。

2.3.8 安全策略。注冊(cè)表檢查：檢查系統(tǒng)注冊(cè)表鍵或者鍵值是否符合某一條件。 用戶密碼策略：檢測(cè)系統(tǒng)用戶、網(wǎng)絡(luò)共享、屏幕保護(hù)等密碼是否符合規(guī)范。用戶權(quán)限策略：監(jiān)控系統(tǒng)用戶及用戶組的變化。

2.3.9 流量管理策略。提供對(duì)系統(tǒng)網(wǎng)絡(luò)流量的控制，并給出相應(yīng)的處理方式，包括流量采樣策略、流量控制策略。

2.3.10 運(yùn)行維護(hù)策略。運(yùn)行資源監(jiān)控策略（CPU信息、內(nèi)存信息、硬盤信息等監(jiān)控）、客戶端流量異常監(jiān)控、進(jìn)程異常監(jiān)控（未響應(yīng)窗口監(jiān)控、意外退出進(jìn)程監(jiān)控）。

2.3.11 消息推送策略。向客戶端發(fā)送消息通知，請(qǐng)求重注冊(cè)信息以及要求升級(jí)等消息。

2.3.12 腳本策略。向客戶端分發(fā)用戶腳本(該腳本通過(guò)腳本編輯器創(chuàng)建，可以控制客戶端的進(jìn)程啟停，以及軟件的下載、安裝等)。 注冊(cè)表腳本分發(fā)：向客戶端分發(fā)注冊(cè)表腳本(該腳本通過(guò)腳本編輯器創(chuàng)建，可對(duì)客戶端的注冊(cè)表進(jìn)行新建、修改、刪除的操作)。

2.4 終端控制

2.4.1 管理終端信息查看。包括設(shè)備基本信息、查看運(yùn)行進(jìn)程、查看安裝軟件、查看運(yùn)行狀態(tài)、查看漏打補(bǔ)丁。

2.4.2 終端安全審計(jì)。

2.4.3 終端行為控制?？蛻舳讼⑼ㄖ⒖蛻舳酥匦伦?cè)、客戶端網(wǎng)絡(luò)配置修改、客戶端運(yùn)行程序監(jiān)控、客戶端網(wǎng)絡(luò)連接斷開(kāi)、客戶端計(jì)算機(jī)關(guān)閉。

3 結(jié)論

通過(guò)內(nèi)網(wǎng)安全管理系統(tǒng)保證了每個(gè)人對(duì)電腦安全合理的使用，不需要靠人員的自律和醫(yī)院的規(guī)章制度，保障每一個(gè)用戶都在規(guī)定的范圍內(nèi)合法地使用電腦和數(shù)據(jù)，有效地防止病人信息泄露和非法統(tǒng)計(jì)處方的行為。對(duì)于信息中心的管理者來(lái)說(shuō)，通過(guò)內(nèi)網(wǎng)安全管理系統(tǒng)對(duì)信息系統(tǒng)進(jìn)行集中監(jiān)控，及時(shí)發(fā)現(xiàn)和排除故障；使信息系統(tǒng)穩(wěn)定、可靠、安全的運(yùn)行，使信息中心更好地為業(yè)務(wù)系統(tǒng)提供服務(wù)，從而降低了人力成本，大大提高工作效率。

[1] 韓冬.網(wǎng)絡(luò)安全信息檢測(cè)與管理[D].北京:北京交通大學(xué),2008.

[2] 孫娜.非法外聯(lián)監(jiān)測(cè)技術(shù)的研究與實(shí)現(xiàn)[D].北京:北京郵電大學(xué),2006.

[3] 歐陽(yáng)晗黎.內(nèi)網(wǎng)安全中硬件設(shè)備控制的研究與實(shí)現(xiàn)[D].成都:電子科技大學(xué),2007.

[4] 劉臣.淺析醫(yī)院局域網(wǎng)內(nèi)病毒防治[J].中國(guó)醫(yī)療設(shè)備,2009(5): 81-82.

[5] 董錚.局域網(wǎng)故障排除與實(shí)踐[J].福建電腦,2008(9):26.

[6] 張振江.醫(yī)院網(wǎng)絡(luò)安全現(xiàn)狀分析與研究[J].計(jì)算機(jī)系統(tǒng)應(yīng)用, 2006(7):87-93.

[7] 王川.醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)安全管理與防護(hù)措施[J].實(shí)用醫(yī)技雜志, 2006(24):419-420.

[8] 劉占魁.淺談無(wú)線局域網(wǎng)[J].科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì),2005,15 (18):247-248.

The Effect of Intranet Security Management System in Hospital Network

LU Wan-li,GONG Lei
Information Center, Jinan Third People's Hospital,Jinan Shandong 250101,China

TN915.08；TP393.1

C

10.3969/j.issn.1674-1633.2010.04.029

1674-1633(2010)04-0073-02

2009-08-12

2010-01-20

作者郵箱：wanli-lu@163.com

Abstract:Objective To guarantee information security of hospital. Methods Deployed intranet security management system in hospital network.Results The intranet security management system can effectively prevent information against leak or illegal use,avoid computer abuse and improve work efficiency.It is convenient for hardware asset management and statistic,and can lookup clew and keep down proof for illegal action.Its convenient long-distance maintenance function reduces manpower cost. Conclusion Intranet security management system can effectively guarantee information security of hospital intranet and greatly improve work efficiency of network maintenance personnel.

Key words:intranet security management;hospital network maintenance;information security