陳利民，宋莉莉，郭雪清，程 冰

隨著醫(yī)院信息化建設(shè)的不斷普及和深入，醫(yī)院信息系統(tǒng)已覆蓋了日常醫(yī)療、管理、后勤、財務(wù)等多個業(yè)務(wù)子系統(tǒng)，一個穩(wěn)定、可靠的醫(yī)院網(wǎng)絡(luò)信息環(huán)境已成為醫(yī)院正常運行的重要保障。然而，由于醫(yī)院的特殊環(huán)境，工作人員的計算機(jī)水平普遍偏低，系統(tǒng)操作不當(dāng)，非法存儲接入，硬件設(shè)備變更，非法IP接入等都可能給醫(yī)院信息網(wǎng)絡(luò)安全帶來風(fēng)險，醫(yī)院計算機(jī)終端的安全管理已成為當(dāng)前醫(yī)院信息管理部門的重要內(nèi)容。隨著醫(yī)院規(guī)模的不斷擴(kuò)大，各種終端設(shè)施分散，給網(wǎng)絡(luò)信息管理部門的日常維護(hù)帶來了極大困難，迫切需要一個便捷的有效的手段及集中終端監(jiān)管平臺來控制和預(yù)防這些有意或無意的破壞行為。

1 計算機(jī)終端安全管理需求分析

筆者所在醫(yī)院是一所三甲綜合性醫(yī)院，全院共有計算機(jī)終端2000余臺，并且還在不斷增長，終端設(shè)備型號多，分布廣，用途也不盡相同，因此給網(wǎng)絡(luò)信息管理部門的工作帶來了極大挑戰(zhàn)。目前醫(yī)院終端安全管理主要存在以下幾個方面的困難：一是終端涉及軍網(wǎng)、專網(wǎng)和內(nèi)網(wǎng)等多種網(wǎng)絡(luò)，終端安全級別也略有差別，基本應(yīng)用程序需求也不盡相同，基于內(nèi)網(wǎng)的醫(yī)院辦公系統(tǒng)由于工作需要，時常會發(fā)布一些包含不同信息的通知和命令；二是不利于終端資產(chǎn)監(jiān)管，系統(tǒng)補(bǔ)丁升級困難，缺乏集中統(tǒng)一的監(jiān)控平臺，依靠信息維護(hù)人員手工維護(hù)，工作量巨大；三是終端接入混亂，特別是移動存儲設(shè)備的隨意使用，經(jīng)常導(dǎo)致網(wǎng)絡(luò)特別是內(nèi)網(wǎng)系統(tǒng)病毒木馬入侵，網(wǎng)絡(luò)癱瘓，隨著物聯(lián)網(wǎng)、無線網(wǎng)的應(yīng)用，甚至還有非法接入內(nèi)網(wǎng)的情況；四是人員計算機(jī)水平參差不齊，特別是新入人員，不熟悉HIS系統(tǒng)，誤操作后缺乏有效的監(jiān)控機(jī)制來輔助日常維護(hù)。為了有效對醫(yī)院計算機(jī)終端進(jìn)行監(jiān)管，醫(yī)院引入了一套內(nèi)網(wǎng)管理系統(tǒng)，并在此基礎(chǔ)上建立針對醫(yī)院特點和需求建立相應(yīng)的管理策略。

2 基于策略的內(nèi)網(wǎng)安全管理系統(tǒng)

2．1 系統(tǒng)體系結(jié)構(gòu) 內(nèi)網(wǎng)管理系統(tǒng)是一套完整的內(nèi)網(wǎng)信息安全解決方案，其目標(biāo)是保障內(nèi)網(wǎng)系統(tǒng)安全有序的運行，規(guī)范和約束員工的各種行為，防止敏感信息泄密。該系統(tǒng)通過全面靈活的定制并執(zhí)行各種安全策略，實現(xiàn)對內(nèi)網(wǎng)中計算機(jī)進(jìn)行集中管控和安全管理，做到非法主機(jī)“進(jìn)不來”，有效防止機(jī)密敏感信息的泄露，為醫(yī)院構(gòu)建一個可信可控的內(nèi)網(wǎng)。結(jié)合醫(yī)院應(yīng)用實踐對內(nèi)網(wǎng)安全管理系統(tǒng)進(jìn)行了功能定制，其功能組成如圖1所示。

圖1 內(nèi)網(wǎng)安全管理系統(tǒng)功能組成

內(nèi)網(wǎng)安全管理系統(tǒng)采用B／S模式，軟件系統(tǒng)由客戶端程序和管控中心兩部分組成?？蛻舳顺绦虬惭b后即進(jìn)入后臺運行模式，系統(tǒng)啟動時自動運行，安裝成功后自動向服務(wù)器注冊終端基本信息，如計算機(jī)名、IP地址、軟件安裝情況等。管控中心軟件基于瀏覽器進(jìn)行訪問，且與客戶端程序不能同時運行，即安裝客戶端程序的計算機(jī)終端無法登陸管控中心。

2．2 功能介紹

2．2．1 終端管理 近年來，醫(yī)院進(jìn)入了發(fā)展的快速道，醫(yī)院信息化水平不斷提高，終端數(shù)量不斷增加，并且地理位置分散，涉及門診、住院、醫(yī)技等多個樓宇，缺乏有效的手段對終端進(jìn)行集中管理，對于日常出現(xiàn)的小問題，特別是軟件問題，缺乏有效的協(xié)助手段，大多需要下科維護(hù)，大大增加了信息工程人員的維護(hù)量。內(nèi)網(wǎng)安全管理系統(tǒng)中的終端管理為緩解這一問題提供了支持，該功能主要包含以下幾個方面的功能：①分組管理：能夠根據(jù)終端所在的地理位置或是科室進(jìn)行分組，方便快速定位查找；結(jié)合醫(yī)院科室分布情況，設(shè)定了“樓宇——科室”的兩級分組管理策略；②終端遠(yuǎn)程協(xié)助：實現(xiàn)對終端的遠(yuǎn)程桌面控制，目前大部分軟件問題都可以通過該策略解決；③軟件分發(fā)：實現(xiàn)對終端統(tǒng)一進(jìn)行文件和軟件推送，并自動運行，并可以選擇分發(fā)的目標(biāo)路徑、設(shè)定運行參數(shù)、是否后臺運行的功能，如軟件已安裝時的處理方式，可以選擇覆蓋安裝和不安裝。發(fā)起的分發(fā)行為統(tǒng)一計入日志，終端的分發(fā)情況也可以進(jìn)行查詢。

通過該功能，信息部門能夠便捷敵對計算機(jī)終端進(jìn)行統(tǒng)一高效地管理，有利于減輕維護(hù)壓力，避免重復(fù)工作。

2．2．2 安全準(zhǔn)入管理 隨著網(wǎng)絡(luò)通信技術(shù)的不斷發(fā)展，新技術(shù)的應(yīng)用在醫(yī)院信息化中的應(yīng)用也日益廣泛，如移動醫(yī)護(hù)平臺、物聯(lián)網(wǎng)等，對醫(yī)院信息網(wǎng)絡(luò)的管理也提出了新的挑戰(zhàn)。根據(jù)醫(yī)院網(wǎng)絡(luò)結(jié)構(gòu)，制定相應(yīng)的安全準(zhǔn)入策略，防止非本單位配發(fā)計算機(jī)通過無線、WIFI、私接HUB、交換機(jī)等手段接入網(wǎng)絡(luò)，導(dǎo)致病毒泛濫、網(wǎng)絡(luò)中斷、數(shù)據(jù)泄密、管理混亂等現(xiàn)象發(fā)生，保障網(wǎng)絡(luò)的安全有序運轉(zhuǎn)。安全準(zhǔn)入管理主要包括以下幾個方面的功能：①身份認(rèn)證：驗證入網(wǎng)的計算機(jī)終端是否符合一般的計算機(jī)安全標(biāo)準(zhǔn)，如密碼復(fù)雜性檢查（密碼長度和更改時間周期）、用戶鎖定設(shè)置（超過登陸次數(shù)鎖定賬戶及鎖定時間長度） 等； ②802．1X準(zhǔn)入： 對支持IEEE802．1X協(xié)議的主流網(wǎng)絡(luò)設(shè)備進(jìn)行網(wǎng)絡(luò)的準(zhǔn)入控制，采用基于端口的認(rèn)證方式將沒有安裝準(zhǔn)入代理的主機(jī)進(jìn)行數(shù)據(jù)隔離，可自行設(shè)定相應(yīng)的認(rèn)證策略，如超出認(rèn)證時間設(shè)置、認(rèn)證數(shù)據(jù)傳播模式設(shè)定等；③準(zhǔn)入合規(guī)檢查：對進(jìn)入內(nèi)網(wǎng)的計算機(jī)進(jìn)行合規(guī)性檢查，包含進(jìn)程檢查、軟件安裝檢查、文件檢查、注冊表檢查、操作系統(tǒng)檢查、病毒檢查等10余種檢查方式。

2．2．3 桌面標(biāo)準(zhǔn)化管理 內(nèi)網(wǎng)計算機(jī)終端主要用于日常醫(yī)療辦公業(yè)務(wù)。為防止工作人員私裝軟件、私自改變系統(tǒng)設(shè)置，統(tǒng)一配置內(nèi)網(wǎng)內(nèi)計算機(jī)的軟件安裝，可用外設(shè)端口、應(yīng)用程序、桌面背景、屏保等資源，提高員工工作效率、提升單位形象，啟用桌面標(biāo)準(zhǔn)化管理策略，其功能主要包括以下幾個方面：①桌面管理：通過設(shè)定策略實現(xiàn)對受控計算機(jī)終端進(jìn)程運行、外設(shè)端口（串口并口、1394、紅外、藍(lán)牙、PCMCIA、SCSI控制器、調(diào)制解調(diào)器）、打印設(shè)備（本地、共享、網(wǎng)絡(luò)打印機(jī)）、設(shè)備屬性（設(shè)備管理屬性、網(wǎng)絡(luò)適配器屬性、任務(wù)管理屬性、控制面板屬性等）的集中管理；②注冊表保護(hù)：實現(xiàn)對終端注冊表項修改的集中管理，保護(hù)注冊表不被惡意篡改，如啟用系統(tǒng)自啟動項保護(hù)，啟用系統(tǒng)服務(wù)項保護(hù)，啟動IE設(shè)置項保護(hù)等，也可自定義注冊表保護(hù)控制（允許修改、禁止修改和詢問用戶）；③文件訪問控制：對計算機(jī)終端共享文件的訪問進(jìn)行控制，保護(hù)和監(jiān)控終端指定目錄和網(wǎng)絡(luò)共享文件的讀取、修改和刪除權(quán)限，并對操作進(jìn)行審計；④終端提醒：通過網(wǎng)頁鏈接或文本的形式對終端發(fā)布廣播信息，如接入終端提醒（當(dāng)終端接入網(wǎng)絡(luò)是服務(wù)器對其進(jìn)行接入提示），定時終端提醒（終端接入網(wǎng)絡(luò)后由服務(wù)器根據(jù)設(shè)定的時間對其進(jìn)行提示），即時終端提醒（立即對終端進(jìn)行即時提示）；⑤主機(jī)密碼：對終端主機(jī)的密碼復(fù)雜度和屏保進(jìn)行設(shè)置。

2．2．4 網(wǎng)絡(luò)行為管理 網(wǎng)絡(luò)行為管理可以內(nèi)網(wǎng)網(wǎng)絡(luò)和終端桌面資源，如網(wǎng)站、網(wǎng)絡(luò)視頻、網(wǎng)站軟件、電腦外設(shè)端口、電腦屏幕等信息進(jìn)行統(tǒng)一監(jiān)管和審計，提高員工工作效率，保障網(wǎng)絡(luò)暢通，其功能主要包括以下三個方面：①IP／MAC綁定策略：監(jiān)控終端主機(jī)在本地網(wǎng)絡(luò)上IP地址與其MAC地址的變化情況，選中“啟用終端IP／MAC地址綁定控制”，該策略生效，設(shè)定IP／MAC地址綁定關(guān)系發(fā)生時的三種方式（不處理、自動恢復(fù)原有綁定信息、斷開網(wǎng)絡(luò)），離線時IP／MAC地址綁定信息變化不做處理：是指若計算機(jī)離開內(nèi)網(wǎng)，計算的IP變化不做處理；允許／禁止修改網(wǎng)關(guān)和子網(wǎng)掩碼（如果發(fā)生修改，則恢復(fù)原有信息）啟用／停用多網(wǎng)卡控制（僅允許使用與服務(wù)器通信的網(wǎng)卡，其余冗余網(wǎng)卡禁用）探測周期（單位：秒，大于5秒）：是指設(shè)定探測IP地址變化的一個周期；②安全域啟動策略：對終端主機(jī)時間、安全與訪問，磁盤密級控制以及各種信息的上報進(jìn)行設(shè)置，安全終端設(shè)置策略：啟用／停用終端與服務(wù)器的時間同步，允許／禁止終端進(jìn)入安全模式，系統(tǒng)啟動時取消／不取消非首選操作系統(tǒng)選項，系統(tǒng)啟動時允許／禁止使用從屬本地硬盤（僅允許使用當(dāng)前操作系統(tǒng)所在的本地硬盤），啟用／停用安全終端網(wǎng)絡(luò)分域訪問控制，啟用／停用移動磁盤密級使用控制（設(shè)置計算機(jī)——移動存儲設(shè)備不同密級配對時的訪問控制方式，分別為公開級，秘密級，絕密級，專用級），策略更新周期（單位：秒），審計日報上報周期（單位：秒）；協(xié)議端口設(shè)置：根據(jù)用戶的特定環(huán)境對一些協(xié)議端口進(jìn)行配置（SMTP協(xié)議，POP3協(xié)議，HTTP協(xié)議，F(xiàn)TP協(xié)議）；③日志策略：設(shè)置需要對網(wǎng)絡(luò)行為進(jìn)行記錄，主要包括IP訪問日志、網(wǎng)絡(luò)端口控制日志、網(wǎng)頁訪問日志、異常鏈接日志、IP／MAC變更日志和記錄安全域日志，及其日志等級（普通、重要、預(yù)警、異常、嚴(yán)重）和記錄時間段（全天、朝九晚五）。

2．2．5 資產(chǎn)管理 資產(chǎn)管理主要對內(nèi)網(wǎng)計算機(jī)相關(guān)資產(chǎn)進(jìn)行管理，包括軟件和硬件兩個部分，系統(tǒng)自動進(jìn)行收集或是手動添加，便于信息部門對醫(yī)院當(dāng)前信息資產(chǎn)進(jìn)行統(tǒng)一的信息化管理，該部分功能主要以查詢統(tǒng)計為主，不需要進(jìn)行相應(yīng)策略設(shè)置。資產(chǎn)管理主要包括軟件資產(chǎn)和計算機(jī)資產(chǎn)管理兩部分：①軟件資產(chǎn)管理：能夠自動收集終端上報的軟件信息，進(jìn)行分組管理和統(tǒng)計，信息部門可隨時查詢當(dāng)前內(nèi)網(wǎng)中終端的軟件安裝情況，并定位到相應(yīng)的終端，有效防止私裝軟件；軟件變更報告可以查詢軟件安裝或卸載的記錄，方便管理員對資產(chǎn)的變更進(jìn)行統(tǒng)計；②計算機(jī)資產(chǎn)管理：主要管理計算機(jī)硬件資產(chǎn)，如CPU型號，內(nèi)存，硬盤等，并以報表或者圖形的形式直觀顯示資產(chǎn)統(tǒng)計數(shù)據(jù)，信息部門也可以查詢硬件資產(chǎn)的位置分布情況；計算機(jī)資產(chǎn)變更報告可以查詢網(wǎng)內(nèi)終端硬件資產(chǎn)的變更信息。

2．2．6 移動磁盤管理 移動磁盤管理主要通過注冊、讀寫加解密等手段對移動存儲設(shè)備進(jìn)行統(tǒng)一管理，防止因移動存儲設(shè)備公私不分、內(nèi)外網(wǎng)交叉使用或遺失，而造成病毒感染、丟失泄密和外來存儲設(shè)備竊取內(nèi)部機(jī)密等問題，主要包含以下兩個方面的功能：①移動磁盤策略：屏蔽終端計算機(jī)的U盤、光盤，包括可擦寫光盤的限制性使用，控制類型包括禁止使用、只讀控制、安全制度操作、讀寫控制和安全讀寫控制五種；禁止使用是指禁止終端對移動磁盤的使用；只讀控制是指只允許終端的可信移動磁盤進(jìn)行只讀的操作；安全只讀操作是指只允許終端的可信移動磁盤進(jìn)行透明加密的只讀操作；讀寫控制是指允許終端的可信移動磁盤進(jìn)行讀寫的操作；安全讀寫控制，是指允許終端的可信移動磁盤進(jìn)行透明加密的讀寫操作；②日志設(shè)置策略：設(shè)置是否記錄移動磁盤管理日志，只有日志策略下發(fā)后終端才會記錄并上報日志，勾選需要記錄日志的審計項（插入、創(chuàng)建、打開、保存、重命名、刪除和遠(yuǎn)程注冊），日志等級標(biāo)志日志重要程度（普通、重要、預(yù)警、異常、嚴(yán)重），預(yù)警及預(yù)警以上的等級默認(rèn)在預(yù)警中心顯示，記錄時間標(biāo)志需要記錄日志的時間段（全天、朝九晚五），需要在策略對象的時間計劃組中提前設(shè)置，此時間段外終端不記錄日志。目前內(nèi)網(wǎng)計算機(jī)默認(rèn)禁止使用，配合相應(yīng)的管理制度，審批后更改為讀寫控制。

2．2．7 補(bǔ)丁分發(fā)管理 補(bǔ)丁分發(fā)管理主要為內(nèi)網(wǎng)計算機(jī)終端統(tǒng)一更新操作系統(tǒng)補(bǔ)丁、修復(fù)系統(tǒng)漏洞，降低終端系統(tǒng)安全風(fēng)險，其功能主要包括以下三個部分：①補(bǔ)丁自動分發(fā)策略：通過策略提供客戶端補(bǔ)丁的自動下載及安裝，可設(shè)置補(bǔ)丁漏洞程度，探測時間，運行參數(shù)及運行形式，基于分發(fā)時間、補(bǔ)丁檢測周期等進(jìn)行策略制訂，策略發(fā)送到網(wǎng)絡(luò)客戶端后，客戶端注冊程序統(tǒng)一執(zhí)行補(bǔ)丁應(yīng)用策略，主要用于對網(wǎng)內(nèi)終端進(jìn)行規(guī)模化的自動升級；②補(bǔ)丁手動分發(fā)策略：通過策略提供客戶端補(bǔ)丁的管理員手工設(shè)定的下載及安裝，可設(shè)置運行參數(shù)及運行形式，策略發(fā)送到網(wǎng)絡(luò)客戶端后，客戶端注冊程序統(tǒng)一執(zhí)行補(bǔ)丁應(yīng)用策略，主要用于對1臺或幾臺計算機(jī)進(jìn)行補(bǔ)丁分發(fā)；③日志策略：作為系統(tǒng)補(bǔ)丁分發(fā)日志的審計開關(guān)，只有日志策略下發(fā)后終端才記錄并上報日志，勾選需要記錄日志的審計項，日志等級標(biāo)志日志重要程度，預(yù)警及預(yù)警以上的等級默認(rèn)在預(yù)警中心顯示，記錄時間標(biāo)志需要記錄日志的時間段，需要在策略對象的時間計劃組中提前設(shè)置，此時間段外終端不記錄日志。

2．2．8 違規(guī)外聯(lián)控制 違規(guī)外聯(lián)控制主要是為防止局域網(wǎng)內(nèi)計算機(jī)私自通過無線網(wǎng)絡(luò)、3G網(wǎng)卡、私拉網(wǎng)線等方式接入外部網(wǎng)絡(luò)，而導(dǎo)致數(shù)據(jù)泄漏、病毒引入等現(xiàn)象發(fā)生，該功能采用陷阱的報警系統(tǒng)能夠在發(fā)生非法外聯(lián)的同時，迅速定位到外聯(lián)終端并報警，威懾非法外聯(lián)事件的發(fā)生。其功能主要包括以下兩個部分：①違規(guī)外聯(lián)控制：檢測（在本策略的對象中設(shè)定的）計算機(jī)的網(wǎng)絡(luò)使用是否符合制定的原則，對不符合原則的計算機(jī)進(jìn)行處理。啟用違規(guī)外聯(lián)探測：通過設(shè)置，檢測策略應(yīng)用的對象的客戶端是否能和外網(wǎng)通信來判斷該計算機(jī)是否違反了管理員制定的規(guī)則；“采用外網(wǎng)地址探測方法”是指，利用系統(tǒng)的功能，對這兩個地址，進(jìn)行檢測，當(dāng)可以與這兩個網(wǎng)站通信時，視為本機(jī)違反策略；禁止使用IE代理上網(wǎng)訪問：如果選擇這個選項，則瀏覽器無法使用代理服務(wù)器訪問網(wǎng)絡(luò)，該選項可屏蔽瀏覽器使用內(nèi)網(wǎng)或者外網(wǎng)的大多數(shù)代理服務(wù)；非法外聯(lián)處置設(shè)置包括不處理、斷開網(wǎng)絡(luò)、關(guān)機(jī)、鎖定和僅提示五種；②日志策略：作為違規(guī)外聯(lián)日志的審計開關(guān)，只有日志策略下發(fā)后終端才記錄并上報日志。勾選需要記錄日志的審計項，其中可以審計非法外聯(lián)屏幕快照，日志等級標(biāo)志日志重要程度，預(yù)警及預(yù)警以上的等級默認(rèn)在預(yù)警中心顯示，記錄時間標(biāo)志需要記錄日志的時間段，需要在策略對象的時間計劃組中提前設(shè)置，此時間段外終端不記錄日志。

4 應(yīng)用效果與結(jié)論

目前全院計算機(jī)2000余臺，其中在網(wǎng)計算機(jī)1800余臺，除此外還有1000余臺各種類型的打印機(jī)，而維護(hù)人員偏少，信息部門工作人員維護(hù)量之大可想而知，維護(hù)人員時常奔跑于維護(hù)科室和辦公室之間。應(yīng)用內(nèi)網(wǎng)安全管理系統(tǒng)以來，除了硬件和網(wǎng)絡(luò)問題外，95%以上的軟件問題均可通過遠(yuǎn)程進(jìn)行處理，并且落實移動存儲管理制度后，大大凈化了內(nèi)網(wǎng)運行環(huán)境，有利于提高工作效率。

［1］吳 亮．基于策略管理的醫(yī)院網(wǎng)絡(luò)安全信息系統(tǒng)［J］．中國數(shù)字醫(yī)學(xué)，2011，6（7）：78－79．

［2］孫 輝，聶媛媛，高立芳．軍隊醫(yī)院計算機(jī)網(wǎng)絡(luò)信息安全存在問題及管理措施［J］．實用醫(yī)藥雜志，2011，28（7）：665．

［3］夏 勇，陳敏亞，沈志強(qiáng)．醫(yī)院計算機(jī)終端的安全管理和實現(xiàn)［J］．中國數(shù)字醫(yī)學(xué)，2011，6（2）：112－113．

［4］宋莉莉，王光華，郭雪清．醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)體系及應(yīng)用研究［J］．中國數(shù)字醫(yī)學(xué)，2013，8（1）：59－63．

［5］韓銳生，趙 彬，徐開勇．基于策略的一體化網(wǎng)絡(luò)安全管理系統(tǒng)［J］．計算機(jī)工程，2009，35（8）：201－204．