盧方建 盧方玉 關(guān)益香 彭觀平 陽江市婦幼保健院

一、改造前的概況

1.密碼設(shè)置

所謂核心系統(tǒng)，具體分為醫(yī)囑系統(tǒng)、電子病歷系統(tǒng)、LIS 系統(tǒng)和PACS 系統(tǒng)。系統(tǒng)上線初期，由于安裝服務(wù)器是服務(wù)器廠家提供的技術(shù)人員，所以有些服務(wù)器的初始密碼比較簡單，后期安裝系統(tǒng)時也沒有足夠的安全意識把密碼復(fù)雜度設(shè)置符合等保要求，這對于服務(wù)器的安全是個隱患。

2.賬號單一

服務(wù)器操作系統(tǒng)的默認(rèn)賬號基本都是啟用administrator，這個賬號很容易被入侵者利用，而且賬號權(quán)限過大，沒做到賬號分組分權(quán)管理，增加了被入侵者破解的風(fēng)險。

3.端口和服務(wù)

服務(wù)器安裝系統(tǒng)后，開啟了服務(wù)器所有默認(rèn)的端口和服務(wù)，一些高危端口，成為入侵者入侵服務(wù)器的重要途徑，一些用不到的服務(wù)，卻在后臺默認(rèn)開啟，也成為入侵者入侵的工具。

4.殺毒軟件

有些服務(wù)器因為只對內(nèi)部網(wǎng)絡(luò)的終端開放，而未安裝殺毒軟件，這樣容易造成病毒從內(nèi)網(wǎng)終端傳播至服務(wù)器，導(dǎo)致服務(wù)器異常，從而影響醫(yī)院業(yè)務(wù)正常運(yùn)作。

二、整改實用操作

1.關(guān)于windows 系統(tǒng)密碼復(fù)雜度策略設(shè)置

通過win+R 組合鍵調(diào)出“運(yùn)行”窗口，輸入gpedit.msc 打開“本地組策略編輯器”依次選擇計算機(jī)配置—windows 設(shè)置—安全設(shè)置—賬戶策略—密碼策略：“密碼必須符合復(fù)雜性要求”選擇“已啟用”；“密碼長度最小值”選擇“8 個字符”；“密碼最短使用期限”選擇“1 天”；“密碼最長使用期限”選擇“90 天”；“強(qiáng)制密碼歷史”選擇“24 個記住的密碼”；“用可還原的加密來儲存密碼”選擇“已禁用”。

當(dāng)然，在設(shè)置上述參數(shù)前，必須手動把服務(wù)器的密碼改為符合該要求的密碼，否則，設(shè)置后服務(wù)器將無法登陸。

2.關(guān)于windows 系統(tǒng)賬戶鎖定策略設(shè)置

打開“本地組策略編輯器”，依次選擇計算機(jī)配置—windows 設(shè)置—安全設(shè)置—賬戶策略—賬戶鎖定策略：“賬戶鎖定時間”設(shè)置為“30 分鐘”；“賬戶鎖定閾值”設(shè)置為“5 次無效登陸”；“重置賬戶鎖定計時器”設(shè)置為“30 分鐘之后”。

3.開啟服務(wù)器審計策略

（1）首先開啟服務(wù)器的審核內(nèi)容，打開“本地組策略編輯器”，依次選擇 計算機(jī)配置—windows 設(shè)置—安全設(shè)置—本地策略—審核策略：把“審核策略更改”“審核登錄事件”“審核對象訪問”“審核進(jìn)程跟蹤”“審核目錄服務(wù)訪問”“審核特權(quán)使用”“審核系統(tǒng)事件”“審核賬戶登錄事件”“審核賬戶管理”等策略的安全設(shè)置都改為“成功，失敗”，從而監(jiān)控審核內(nèi)容。

（2）接下來設(shè)置widows 應(yīng)用程序、安全、系統(tǒng)等日志的，日志存儲最大大小，大于50M，并配置日志滿時將其存儲，不覆蓋事件，配置方法：進(jìn)入“事件查看器”，選擇“windows 日志”，下一級選“應(yīng)用程序”，鼠標(biāo)右鍵選“日志屬性”，把日志大大小調(diào)整為51200KB，達(dá)到事件日志最大大小時，選“日志滿時將其存檔，不覆蓋事件”；針對“安全”和“系統(tǒng)”這兩個方面也做同樣的設(shè)置操作。

4.登錄連接超時及自動退出策略

（1）打開“本地組策略編輯器”，依次選擇計算機(jī)配置—windows 設(shè)置—安全設(shè)置—本地策略—安全選項：暫停會話前所需的空閑事件數(shù)量，把終端連接如果空閑時間設(shè)置為超過15 分鐘自動斷開。

（2）打開“本地組策略編輯器”，依次選擇計算機(jī)配置—管理模板—windows 組件—遠(yuǎn)程桌面服務(wù)—遠(yuǎn)程桌面會話主機(jī)—會話時間限制，把策略“設(shè)置活動但空閑的遠(yuǎn)程桌面服務(wù)會話的時間限制”選“已啟用”，空閑會話限制設(shè)置為“15 分鐘”。

（3）開啟屏幕保護(hù)程序，在桌面右鍵個性化，進(jìn)入屏幕保護(hù)程序，保護(hù)程序選空白，等待時間選5 分鐘，并勾上“在恢復(fù)時顯示登錄屏幕”。

5.對特權(quán)用戶進(jìn)行權(quán)限分離

進(jìn)入：計算機(jī)管理—系統(tǒng)工具—本地用戶和組—用戶；禁用：administrator 等超級管理員用戶，新建：數(shù)據(jù)庫管理員、系統(tǒng)管理員、審計管理員、安全管理員—注意各管理員的所在的組，每一個賬號的密碼都要符合設(shè)置的密碼復(fù)雜度策略要求。

6.禁用系統(tǒng)不必要的端口、服務(wù)

（1）禁用不必要的系統(tǒng)服務(wù)，方法：依次打開：計算機(jī)管理—系統(tǒng)工具—服務(wù)和應(yīng)用程序—服務(wù)，建議禁用如print spooler 等服務(wù)器用不到的服務(wù)。

（2）禁用不必要的端口，Win+R 輸入cmd，在命令行輸入"netstat-an”，查看列表中的監(jiān)聽端口，按實際使用情況，如無用到即可禁用，建議禁用TCP 135、139、45、593、1025 端口，UDP 135、137、138、445端口，和一些流行病毒的后門端口，如TCP 2745、3127、6129 端口。

7.每臺服務(wù)器都務(wù)必安裝殺毒軟件，建議使用具有操作后臺、支持統(tǒng)一管理的正規(guī)殺毒軟件。

三、結(jié)語

服務(wù)器整改方案操作簡單，效果明顯，把服務(wù)器的主要隱患通過上述方案整改，就能明顯提升服務(wù)器的安全水平，這對于醫(yī)院業(yè)務(wù)工作可持續(xù)進(jìn)行發(fā)揮了重要的作用。