陳利民，宋莉莉，郭雪清，程 冰

隨著醫(yī)院信息化建設的不斷普及和深入，醫(yī)院信息系統(tǒng)已覆蓋了日常醫(yī)療、管理、后勤、財務等多個業(yè)務子系統(tǒng)，一個穩(wěn)定、可靠的醫(yī)院網(wǎng)絡信息環(huán)境已成為醫(yī)院正常運行的重要保障。然而，由于醫(yī)院的特殊環(huán)境，工作人員的計算機水平普遍偏低，系統(tǒng)操作不當，非法存儲接入，硬件設備變更，非法IP接入等都可能給醫(yī)院信息網(wǎng)絡安全帶來風險，醫(yī)院計算機終端的安全管理已成為當前醫(yī)院信息管理部門的重要內(nèi)容。隨著醫(yī)院規(guī)模的不斷擴大，各種終端設施分散，給網(wǎng)絡信息管理部門的日常維護帶來了極大困難，迫切需要一個便捷的有效的手段及集中終端監(jiān)管平臺來控制和預防這些有意或無意的破壞行為。

1 計算機終端安全管理需求分析

筆者所在醫(yī)院是一所三甲綜合性醫(yī)院，全院共有計算機終端2000余臺，并且還在不斷增長，終端設備型號多，分布廣，用途也不盡相同，因此給網(wǎng)絡信息管理部門的工作帶來了極大挑戰(zhàn)。目前醫(yī)院終端安全管理主要存在以下幾個方面的困難：一是終端涉及軍網(wǎng)、專網(wǎng)和內(nèi)網(wǎng)等多種網(wǎng)絡，終端安全級別也略有差別，基本應用程序需求也不盡相同，基于內(nèi)網(wǎng)的醫(yī)院辦公系統(tǒng)由于工作需要，時常會發(fā)布一些包含不同信息的通知和命令；二是不利于終端資產(chǎn)監(jiān)管，系統(tǒng)補丁升級困難，缺乏集中統(tǒng)一的監(jiān)控平臺，依靠信息維護人員手工維護，工作量巨大；三是終端接入混亂，特別是移動存儲設備的隨意使用，經(jīng)常導致網(wǎng)絡特別是內(nèi)網(wǎng)系統(tǒng)病毒木馬入侵，網(wǎng)絡癱瘓，隨著物聯(lián)網(wǎng)、無線網(wǎng)的應用，甚至還有非法接入內(nèi)網(wǎng)的情況；四是人員計算機水平參差不齊，特別是新入人員，不熟悉HIS系統(tǒng)，誤操作后缺乏有效的監(jiān)控機制來輔助日常維護。為了有效對醫(yī)院計算機終端進行監(jiān)管，醫(yī)院引入了一套內(nèi)網(wǎng)管理系統(tǒng)，并在此基礎上建立針對醫(yī)院特點和需求建立相應的管理策略。

2 基于策略的內(nèi)網(wǎng)安全管理系統(tǒng)

2．1 系統(tǒng)體系結構 內(nèi)網(wǎng)管理系統(tǒng)是一套完整的內(nèi)網(wǎng)信息安全解決方案，其目標是保障內(nèi)網(wǎng)系統(tǒng)安全有序的運行，規(guī)范和約束員工的各種行為，防止敏感信息泄密。該系統(tǒng)通過全面靈活的定制并執(zhí)行各種安全策略，實現(xiàn)對內(nèi)網(wǎng)中計算機進行集中管控和安全管理，做到非法主機“進不來”，有效防止機密敏感信息的泄露，為醫(yī)院構建一個可信可控的內(nèi)網(wǎng)。結合醫(yī)院應用實踐對內(nèi)網(wǎng)安全管理系統(tǒng)進行了功能定制，其功能組成如圖1所示。

圖1 內(nèi)網(wǎng)安全管理系統(tǒng)功能組成

內(nèi)網(wǎng)安全管理系統(tǒng)采用B／S模式，軟件系統(tǒng)由客戶端程序和管控中心兩部分組成。客戶端程序安裝后即進入后臺運行模式，系統(tǒng)啟動時自動運行，安裝成功后自動向服務器注冊終端基本信息，如計算機名、IP地址、軟件安裝情況等。管控中心軟件基于瀏覽器進行訪問，且與客戶端程序不能同時運行，即安裝客戶端程序的計算機終端無法登陸管控中心。

2．2 功能介紹

2．2．1 終端管理 近年來，醫(yī)院進入了發(fā)展的快速道，醫(yī)院信息化水平不斷提高，終端數(shù)量不斷增加，并且地理位置分散，涉及門診、住院、醫(yī)技等多個樓宇，缺乏有效的手段對終端進行集中管理，對于日常出現(xiàn)的小問題，特別是軟件問題，缺乏有效的協(xié)助手段，大多需要下科維護，大大增加了信息工程人員的維護量。內(nèi)網(wǎng)安全管理系統(tǒng)中的終端管理為緩解這一問題提供了支持，該功能主要包含以下幾個方面的功能：①分組管理：能夠根據(jù)終端所在的地理位置或是科室進行分組，方便快速定位查找；結合醫(yī)院科室分布情況，設定了“樓宇——科室”的兩級分組管理策略；②終端遠程協(xié)助：實現(xiàn)對終端的遠程桌面控制，目前大部分軟件問題都可以通過該策略解決；③軟件分發(fā)：實現(xiàn)對終端統(tǒng)一進行文件和軟件推送，并自動運行，并可以選擇分發(fā)的目標路徑、設定運行參數(shù)、是否后臺運行的功能，如軟件已安裝時的處理方式，可以選擇覆蓋安裝和不安裝。發(fā)起的分發(fā)行為統(tǒng)一計入日志，終端的分發(fā)情況也可以進行查詢。

通過該功能，信息部門能夠便捷敵對計算機終端進行統(tǒng)一高效地管理，有利于減輕維護壓力，避免重復工作。

2．2．2 安全準入管理 隨著網(wǎng)絡通信技術的不斷發(fā)展，新技術的應用在醫(yī)院信息化中的應用也日益廣泛，如移動醫(yī)護平臺、物聯(lián)網(wǎng)等，對醫(yī)院信息網(wǎng)絡的管理也提出了新的挑戰(zhàn)。根據(jù)醫(yī)院網(wǎng)絡結構，制定相應的安全準入策略，防止非本單位配發(fā)計算機通過無線、WIFI、私接HUB、交換機等手段接入網(wǎng)絡，導致病毒泛濫、網(wǎng)絡中斷、數(shù)據(jù)泄密、管理混亂等現(xiàn)象發(fā)生，保障網(wǎng)絡的安全有序運轉。安全準入管理主要包括以下幾個方面的功能：①身份認證：驗證入網(wǎng)的計算機終端是否符合一般的計算機安全標準，如密碼復雜性檢查（密碼長度和更改時間周期）、用戶鎖定設置（超過登陸次數(shù)鎖定賬戶及鎖定時間長度） 等； ②802．1X準入： 對支持IEEE802．1X協(xié)議的主流網(wǎng)絡設備進行網(wǎng)絡的準入控制，采用基于端口的認證方式將沒有安裝準入代理的主機進行數(shù)據(jù)隔離，可自行設定相應的認證策略，如超出認證時間設置、認證數(shù)據(jù)傳播模式設定等；③準入合規(guī)檢查：對進入內(nèi)網(wǎng)的計算機進行合規(guī)性檢查，包含進程檢查、軟件安裝檢查、文件檢查、注冊表檢查、操作系統(tǒng)檢查、病毒檢查等10余種檢查方式。

2．2．3 桌面標準化管理 內(nèi)網(wǎng)計算機終端主要用于日常醫(yī)療辦公業(yè)務。為防止工作人員私裝軟件、私自改變系統(tǒng)設置，統(tǒng)一配置內(nèi)網(wǎng)內(nèi)計算機的軟件安裝，可用外設端口、應用程序、桌面背景、屏保等資源，提高員工工作效率、提升單位形象，啟用桌面標準化管理策略，其功能主要包括以下幾個方面：①桌面管理：通過設定策略實現(xiàn)對受控計算機終端進程運行、外設端口（串口并口、1394、紅外、藍牙、PCMCIA、SCSI控制器、調制解調器）、打印設備（本地、共享、網(wǎng)絡打印機）、設備屬性（設備管理屬性、網(wǎng)絡適配器屬性、任務管理屬性、控制面板屬性等）的集中管理；②注冊表保護：實現(xiàn)對終端注冊表項修改的集中管理，保護注冊表不被惡意篡改，如啟用系統(tǒng)自啟動項保護，啟用系統(tǒng)服務項保護，啟動IE設置項保護等，也可自定義注冊表保護控制（允許修改、禁止修改和詢問用戶）；③文件訪問控制：對計算機終端共享文件的訪問進行控制，保護和監(jiān)控終端指定目錄和網(wǎng)絡共享文件的讀取、修改和刪除權限，并對操作進行審計；④終端提醒：通過網(wǎng)頁鏈接或文本的形式對終端發(fā)布廣播信息，如接入終端提醒（當終端接入網(wǎng)絡是服務器對其進行接入提示），定時終端提醒（終端接入網(wǎng)絡后由服務器根據(jù)設定的時間對其進行提示），即時終端提醒（立即對終端進行即時提示）；⑤主機密碼：對終端主機的密碼復雜度和屏保進行設置。

2．2．4 網(wǎng)絡行為管理 網(wǎng)絡行為管理可以內(nèi)網(wǎng)網(wǎng)絡和終端桌面資源，如網(wǎng)站、網(wǎng)絡視頻、網(wǎng)站軟件、電腦外設端口、電腦屏幕等信息進行統(tǒng)一監(jiān)管和審計，提高員工工作效率，保障網(wǎng)絡暢通，其功能主要包括以下三個方面：①IP／MAC綁定策略：監(jiān)控終端主機在本地網(wǎng)絡上IP地址與其MAC地址的變化情況，選中“啟用終端IP／MAC地址綁定控制”，該策略生效，設定IP／MAC地址綁定關系發(fā)生時的三種方式（不處理、自動恢復原有綁定信息、斷開網(wǎng)絡），離線時IP／MAC地址綁定信息變化不做處理：是指若計算機離開內(nèi)網(wǎng)，計算的IP變化不做處理；允許／禁止修改網(wǎng)關和子網(wǎng)掩碼（如果發(fā)生修改，則恢復原有信息）啟用／停用多網(wǎng)卡控制（僅允許使用與服務器通信的網(wǎng)卡，其余冗余網(wǎng)卡禁用）探測周期（單位：秒，大于5秒）：是指設定探測IP地址變化的一個周期；②安全域啟動策略：對終端主機時間、安全與訪問，磁盤密級控制以及各種信息的上報進行設置，安全終端設置策略：啟用／停用終端與服務器的時間同步，允許／禁止終端進入安全模式，系統(tǒng)啟動時取消／不取消非首選操作系統(tǒng)選項，系統(tǒng)啟動時允許／禁止使用從屬本地硬盤（僅允許使用當前操作系統(tǒng)所在的本地硬盤），啟用／停用安全終端網(wǎng)絡分域訪問控制，啟用／停用移動磁盤密級使用控制（設置計算機——移動存儲設備不同密級配對時的訪問控制方式，分別為公開級，秘密級，絕密級，專用級），策略更新周期（單位：秒），審計日報上報周期（單位：秒）；協(xié)議端口設置：根據(jù)用戶的特定環(huán)境對一些協(xié)議端口進行配置（SMTP協(xié)議，POP3協(xié)議，HTTP協(xié)議，F(xiàn)TP協(xié)議）；③日志策略：設置需要對網(wǎng)絡行為進行記錄，主要包括IP訪問日志、網(wǎng)絡端口控制日志、網(wǎng)頁訪問日志、異常鏈接日志、IP／MAC變更日志和記錄安全域日志，及其日志等級（普通、重要、預警、異常、嚴重）和記錄時間段（全天、朝九晚五）。

2．2．5 資產(chǎn)管理 資產(chǎn)管理主要對內(nèi)網(wǎng)計算機相關資產(chǎn)進行管理，包括軟件和硬件兩個部分，系統(tǒng)自動進行收集或是手動添加，便于信息部門對醫(yī)院當前信息資產(chǎn)進行統(tǒng)一的信息化管理，該部分功能主要以查詢統(tǒng)計為主，不需要進行相應策略設置。資產(chǎn)管理主要包括軟件資產(chǎn)和計算機資產(chǎn)管理兩部分：①軟件資產(chǎn)管理：能夠自動收集終端上報的軟件信息，進行分組管理和統(tǒng)計，信息部門可隨時查詢當前內(nèi)網(wǎng)中終端的軟件安裝情況，并定位到相應的終端，有效防止私裝軟件；軟件變更報告可以查詢軟件安裝或卸載的記錄，方便管理員對資產(chǎn)的變更進行統(tǒng)計；②計算機資產(chǎn)管理：主要管理計算機硬件資產(chǎn)，如CPU型號，內(nèi)存，硬盤等，并以報表或者圖形的形式直觀顯示資產(chǎn)統(tǒng)計數(shù)據(jù)，信息部門也可以查詢硬件資產(chǎn)的位置分布情況；計算機資產(chǎn)變更報告可以查詢網(wǎng)內(nèi)終端硬件資產(chǎn)的變更信息。

2．2．6 移動磁盤管理 移動磁盤管理主要通過注冊、讀寫加解密等手段對移動存儲設備進行統(tǒng)一管理，防止因移動存儲設備公私不分、內(nèi)外網(wǎng)交叉使用或遺失，而造成病毒感染、丟失泄密和外來存儲設備竊取內(nèi)部機密等問題，主要包含以下兩個方面的功能：①移動磁盤策略：屏蔽終端計算機的U盤、光盤，包括可擦寫光盤的限制性使用，控制類型包括禁止使用、只讀控制、安全制度操作、讀寫控制和安全讀寫控制五種；禁止使用是指禁止終端對移動磁盤的使用；只讀控制是指只允許終端的可信移動磁盤進行只讀的操作；安全只讀操作是指只允許終端的可信移動磁盤進行透明加密的只讀操作；讀寫控制是指允許終端的可信移動磁盤進行讀寫的操作；安全讀寫控制，是指允許終端的可信移動磁盤進行透明加密的讀寫操作；②日志設置策略：設置是否記錄移動磁盤管理日志，只有日志策略下發(fā)后終端才會記錄并上報日志，勾選需要記錄日志的審計項（插入、創(chuàng)建、打開、保存、重命名、刪除和遠程注冊），日志等級標志日志重要程度（普通、重要、預警、異常、嚴重），預警及預警以上的等級默認在預警中心顯示，記錄時間標志需要記錄日志的時間段（全天、朝九晚五），需要在策略對象的時間計劃組中提前設置，此時間段外終端不記錄日志。目前內(nèi)網(wǎng)計算機默認禁止使用，配合相應的管理制度，審批后更改為讀寫控制。

2．2．7 補丁分發(fā)管理 補丁分發(fā)管理主要為內(nèi)網(wǎng)計算機終端統(tǒng)一更新操作系統(tǒng)補丁、修復系統(tǒng)漏洞，降低終端系統(tǒng)安全風險，其功能主要包括以下三個部分：①補丁自動分發(fā)策略：通過策略提供客戶端補丁的自動下載及安裝，可設置補丁漏洞程度，探測時間，運行參數(shù)及運行形式，基于分發(fā)時間、補丁檢測周期等進行策略制訂，策略發(fā)送到網(wǎng)絡客戶端后，客戶端注冊程序統(tǒng)一執(zhí)行補丁應用策略，主要用于對網(wǎng)內(nèi)終端進行規(guī)?；淖詣由墸虎谘a丁手動分發(fā)策略：通過策略提供客戶端補丁的管理員手工設定的下載及安裝，可設置運行參數(shù)及運行形式，策略發(fā)送到網(wǎng)絡客戶端后，客戶端注冊程序統(tǒng)一執(zhí)行補丁應用策略，主要用于對1臺或幾臺計算機進行補丁分發(fā)；③日志策略：作為系統(tǒng)補丁分發(fā)日志的審計開關，只有日志策略下發(fā)后終端才記錄并上報日志，勾選需要記錄日志的審計項，日志等級標志日志重要程度，預警及預警以上的等級默認在預警中心顯示，記錄時間標志需要記錄日志的時間段，需要在策略對象的時間計劃組中提前設置，此時間段外終端不記錄日志。

2．2．8 違規(guī)外聯(lián)控制 違規(guī)外聯(lián)控制主要是為防止局域網(wǎng)內(nèi)計算機私自通過無線網(wǎng)絡、3G網(wǎng)卡、私拉網(wǎng)線等方式接入外部網(wǎng)絡，而導致數(shù)據(jù)泄漏、病毒引入等現(xiàn)象發(fā)生，該功能采用陷阱的報警系統(tǒng)能夠在發(fā)生非法外聯(lián)的同時，迅速定位到外聯(lián)終端并報警，威懾非法外聯(lián)事件的發(fā)生。其功能主要包括以下兩個部分：①違規(guī)外聯(lián)控制：檢測（在本策略的對象中設定的）計算機的網(wǎng)絡使用是否符合制定的原則，對不符合原則的計算機進行處理。啟用違規(guī)外聯(lián)探測：通過設置，檢測策略應用的對象的客戶端是否能和外網(wǎng)通信來判斷該計算機是否違反了管理員制定的規(guī)則；“采用外網(wǎng)地址探測方法”是指，利用系統(tǒng)的功能，對這兩個地址，進行檢測，當可以與這兩個網(wǎng)站通信時，視為本機違反策略；禁止使用IE代理上網(wǎng)訪問：如果選擇這個選項，則瀏覽器無法使用代理服務器訪問網(wǎng)絡，該選項可屏蔽瀏覽器使用內(nèi)網(wǎng)或者外網(wǎng)的大多數(shù)代理服務；非法外聯(lián)處置設置包括不處理、斷開網(wǎng)絡、關機、鎖定和僅提示五種；②日志策略：作為違規(guī)外聯(lián)日志的審計開關，只有日志策略下發(fā)后終端才記錄并上報日志。勾選需要記錄日志的審計項，其中可以審計非法外聯(lián)屏幕快照，日志等級標志日志重要程度，預警及預警以上的等級默認在預警中心顯示，記錄時間標志需要記錄日志的時間段，需要在策略對象的時間計劃組中提前設置，此時間段外終端不記錄日志。

4 應用效果與結論

目前全院計算機2000余臺，其中在網(wǎng)計算機1800余臺，除此外還有1000余臺各種類型的打印機，而維護人員偏少，信息部門工作人員維護量之大可想而知，維護人員時常奔跑于維護科室和辦公室之間。應用內(nèi)網(wǎng)安全管理系統(tǒng)以來，除了硬件和網(wǎng)絡問題外，95%以上的軟件問題均可通過遠程進行處理，并且落實移動存儲管理制度后，大大凈化了內(nèi)網(wǎng)運行環(huán)境，有利于提高工作效率。

［1］吳 亮．基于策略管理的醫(yī)院網(wǎng)絡安全信息系統(tǒng)［J］．中國數(shù)字醫(yī)學，2011，6（7）：78－79．

［2］孫 輝，聶媛媛，高立芳．軍隊醫(yī)院計算機網(wǎng)絡信息安全存在問題及管理措施［J］．實用醫(yī)藥雜志，2011，28（7）：665．

［3］夏 勇，陳敏亞，沈志強．醫(yī)院計算機終端的安全管理和實現(xiàn)［J］．中國數(shù)字醫(yī)學，2011，6（2）：112－113．

［4］宋莉莉，王光華，郭雪清．醫(yī)院網(wǎng)絡信息安全防護體系及應用研究［J］．中國數(shù)字醫(yī)學，2013，8（1）：59－63．

［5］韓銳生，趙 彬，徐開勇．基于策略的一體化網(wǎng)絡安全管理系統(tǒng)［J］．計算機工程，2009，35（8）：201－204．