郝冀皖，馬 獻(xiàn)，劉陸陸

醫(yī)院局域網(wǎng)終端的安全管理

郝冀皖，馬 獻(xiàn)，劉陸陸

醫(yī)院局域網(wǎng)；終端管理；虛擬化技術(shù)

當(dāng)前醫(yī)院信息系統(tǒng)(hospital information system，HIS)在衛(wèi)生醫(yī)療領(lǐng)域內(nèi)已不可替代，相關(guān)從業(yè)人員對(duì)其的依賴(lài)度也日益加深。HIS系統(tǒng)安全高效運(yùn)行對(duì)醫(yī)院的名譽(yù)、口碑、效益有較大的影響，也與患者的切身利益息息相關(guān)。由于HIS系統(tǒng)自身7×24 h不間斷運(yùn)轉(zhuǎn)的特殊要求，系統(tǒng)出現(xiàn)問(wèn)題，發(fā)生故障也不可避免。因此對(duì)于醫(yī)院信息化工作來(lái)說(shuō)，如何通過(guò)有效的管控減少故障發(fā)生，如何快速解決問(wèn)題，及時(shí)應(yīng)對(duì)就顯得尤為重要。

1 現(xiàn)狀與問(wèn)題

HIS系統(tǒng)主要通過(guò)局域網(wǎng)共享數(shù)據(jù)庫(kù)資源，從而實(shí)現(xiàn)各模塊的功能。為了確保HIS系統(tǒng)能夠安全穩(wěn)定運(yùn)行，各大醫(yī)院都制定了相應(yīng)的運(yùn)行維護(hù)方案。如：建立安全管理制度，規(guī)范工作人員的操作，制定系統(tǒng)應(yīng)急預(yù)案，入侵檢測(cè)、防火墻與殺毒軟件的應(yīng)用，定期進(jìn)行數(shù)據(jù)備份等[1]。但由于醫(yī)院信息化的不斷發(fā)展，各種硬件設(shè)備的更新和軟件的升級(jí)，致使這些傳統(tǒng)的措施已經(jīng)無(wú)法應(yīng)對(duì)當(dāng)前的實(shí)際狀況。

1.1 終端系統(tǒng)部署 計(jì)算機(jī)安裝系統(tǒng)，HIS系統(tǒng)模塊調(diào)試及外設(shè)連接耗時(shí)費(fèi)力，單調(diào)重復(fù)。并且隨著其數(shù)量的不斷增加，也給終端資產(chǎn)管理帶來(lái)了很大的困難。設(shè)備的數(shù)量型號(hào)，分布位置及從屬關(guān)系不便統(tǒng)計(jì)，終端配置及其軟件安裝也很難管理。

1.2 局域網(wǎng)病毒防護(hù) 局域網(wǎng)病毒在危害終端的同時(shí)，會(huì)快速傳遍整個(gè)網(wǎng)絡(luò)，造成醫(yī)療數(shù)據(jù)損壞丟失，影響網(wǎng)絡(luò)運(yùn)行速度，甚至導(dǎo)致網(wǎng)絡(luò)癱瘓。在局域網(wǎng)絡(luò)環(huán)境中，終端染毒大多來(lái)自于移動(dòng)存儲(chǔ)介質(zhì)。禁用USB端口諸多不便，而殺毒軟件以防護(hù)為主，一旦染毒很難完全清除。

1.3 維護(hù)與升級(jí) 在舊有模式下，醫(yī)院信息化的大量運(yùn)行維護(hù)需要工程師現(xiàn)場(chǎng)支持。例如終端系統(tǒng)補(bǔ)丁更新，HIS系統(tǒng)模塊升級(jí)及新增應(yīng)用程序等，要求工程師下科作業(yè)，效率極低。

1.4 信息安全 由于醫(yī)院所處的環(huán)境較為特殊，終端漏洞一旦被利用，就會(huì)威脅到醫(yī)院的經(jīng)濟(jì)利益。這些威脅會(huì)避開(kāi)傳統(tǒng)的安全協(xié)議，使醫(yī)院成為數(shù)據(jù)竊取和操控的受害者，造成業(yè)務(wù)服務(wù)中斷，并導(dǎo)致醫(yī)院品牌和聲譽(yù)嚴(yán)重受損[2]。

為解決局域網(wǎng)辦公終端存在的弊病，筆者組織實(shí)施了符合本單位信息化現(xiàn)狀的計(jì)算機(jī)安全管理解決方案。

2 方案實(shí)施

該方案采用了主動(dòng)管理方式來(lái)管理局域網(wǎng)終端，其核心是虛擬化技術(shù)的應(yīng)用。服務(wù)器通過(guò)管理各個(gè)分組的虛擬鏡像即可管理全部終端，再配以控制臺(tái)的輔助功能，進(jìn)而規(guī)范并簡(jiǎn)化了日常紛繁復(fù)雜的IT運(yùn)行維護(hù)工作，見(jiàn)圖1。

圖1 醫(yī)院局域網(wǎng)終端方案架構(gòu)圖

2.1 服務(wù)器 服務(wù)器采用Windows Server 2003操作系統(tǒng)，運(yùn)行服務(wù)器安裝程序包，搭建Ftp服務(wù)器。開(kāi)啟后臺(tái)及資產(chǎn)管理等必要服務(wù)，配置網(wǎng)絡(luò)參數(shù)即可完成服務(wù)器的安裝部署。

2.2 客戶(hù)端 將所部署終端的開(kāi)機(jī)啟動(dòng)順序設(shè)置成從網(wǎng)絡(luò)啟動(dòng)。進(jìn)入客戶(hù)端安裝窗口后，從相關(guān)分組中選取對(duì)應(yīng)的系統(tǒng)鏡像即可自動(dòng)完成安裝。

2.3 控制臺(tái) 控制臺(tái)可安裝在局域網(wǎng)內(nèi)任意終端。運(yùn)行控制臺(tái)安裝程序，在初始界面與服務(wù)器建立連接后即可使用。通過(guò)控制臺(tái)可以進(jìn)行鏡像分組的添加，修改和刪除。輔助功能有遠(yuǎn)程桌面、軟件分發(fā)、補(bǔ)丁更新、準(zhǔn)入控制、消息發(fā)布、資產(chǎn)管理等。

3 功能分析

3.1 系統(tǒng)自動(dòng)部署 首先需要?jiǎng)?chuàng)建相應(yīng)的虛擬系統(tǒng)，例如病房醫(yī)師、門(mén)診醫(yī)師、護(hù)理OS鏡像等。通過(guò)控制臺(tái)將鏡像上傳至服務(wù)器存儲(chǔ)，并建立相應(yīng)的分組。局域網(wǎng)內(nèi)每加入一臺(tái)終端，在連接網(wǎng)絡(luò)后，設(shè)置網(wǎng)卡啟動(dòng)，選擇相應(yīng)的分組鏡像即可自動(dòng)安裝，10～15 min完成部署。虛擬鏡像集成了全部外設(shè)驅(qū)動(dòng)，可實(shí)現(xiàn)打印機(jī)、讀卡器等硬件設(shè)備的即插即用。P2P技術(shù)的引用大大降低了對(duì)服務(wù)器和網(wǎng)絡(luò)指標(biāo)的要求。經(jīng)測(cè)試，普通塔式服務(wù)器和100 M主干網(wǎng)同時(shí)部署200臺(tái)終端共耗時(shí)35 min。

3.2 集中分組式管理 該方案支持局域網(wǎng)終端集中分組管理，在系統(tǒng)虛擬化的基礎(chǔ)上實(shí)現(xiàn)了應(yīng)用虛擬化。根據(jù)用途不同，原始鏡像可以安裝不同的HIS應(yīng)用模塊，實(shí)施不同的管理策略，形成多個(gè)分組鏡像。只要統(tǒng)一管理好服務(wù)器上的虛擬鏡像，及時(shí)升級(jí)，打補(bǔ)丁，更新病毒碼，各終端就會(huì)自動(dòng)與之對(duì)比，完成系統(tǒng)更新。此外通知傳達(dá)，消息廣播以及資料分發(fā)可以通過(guò)控制臺(tái)選定范圍后統(tǒng)一執(zhí)行。

3.3 網(wǎng)絡(luò)數(shù)據(jù)安全 由于虛擬化技術(shù)的應(yīng)用，該方案基本實(shí)現(xiàn)了計(jì)算機(jī)病毒“0”感染。任何病毒只能在終端內(nèi)存短期駐留，無(wú)法寫(xiě)入OS鏡像，從而無(wú)法擴(kuò)散，而終端在與鏡像同步后也會(huì)自動(dòng)清除病毒。對(duì)于用戶(hù)數(shù)據(jù)，則可以定制為本地存儲(chǔ)或遠(yuǎn)程存儲(chǔ)。遠(yuǎn)程存儲(chǔ)可將用戶(hù)數(shù)據(jù)從終端遷移到存儲(chǔ)服務(wù)器，并進(jìn)行存儲(chǔ)數(shù)據(jù)陣列冗余備份或雙機(jī)備份，實(shí)現(xiàn)更安全的數(shù)據(jù)保護(hù)。終端一旦發(fā)生硬盤(pán)損壞或數(shù)據(jù)丟失，即可通過(guò)SAN的快照功能進(jìn)行用戶(hù)數(shù)據(jù)按需還原。此外通過(guò)控制臺(tái)還能夠進(jìn)行終端IPMAC 地址掃描綁定，從而實(shí)現(xiàn)準(zhǔn)入控制，杜絕非法訪問(wèn)。

3.4 遠(yuǎn)程協(xié)助及資產(chǎn)管理 管理員可以通過(guò)控制臺(tái)同時(shí)對(duì)多個(gè)終端進(jìn)行遠(yuǎn)程桌面控制，提供技術(shù)支持。由于醫(yī)院對(duì)信息化建設(shè)不斷加大投入，準(zhǔn)確合理的統(tǒng)計(jì)管理便成了信息化資產(chǎn)高效利用的前提基礎(chǔ)[3]。控制臺(tái)能夠掃描收集終端信息，包括主板信息、操作系統(tǒng)、邏輯分區(qū)、計(jì)算機(jī)描述以及相關(guān)外設(shè)。根據(jù)統(tǒng)計(jì)數(shù)據(jù)，IT管理部門(mén)能夠更加合理的調(diào)控，分配信息化資產(chǎn)，為醫(yī)院信息化建設(shè)打下堅(jiān)實(shí)的基礎(chǔ)。

[1] 鄭 蕾,翁盛鑫,黃 影.醫(yī)院信息系統(tǒng)客戶(hù)端的安全管理和實(shí)踐[J].醫(yī)療衛(wèi)生裝備,2010,31(3)：62-63.

[2] 夏 勇,陳敏亞,沈志強(qiáng).醫(yī)院計(jì)算機(jī)終端的安全管理和實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全與管理,2011,6(2)：112-113.

[3] 周 毅.淺析醫(yī)院信息化建設(shè)的資產(chǎn)管理[J].中國(guó)醫(yī)學(xué)裝備,2012,9(12)：81-83.

(2014-05-20收稿 2014-08-13修回)

(責(zé)任編輯 郭 青)

郝冀皖，本科學(xué)歷，工程師，E-mail: 121378998@qq.com

100039北京，武警總醫(yī)院計(jì)算機(jī)管理中心

李雷剛，E-mail:151511575@qq.com

R197.324