王 鵬，馬錫坤，于京杰

醫(yī)院終端安全和終端管理體系建設(shè)探討

王 鵬，馬錫坤，于京杰

分析了醫(yī)院網(wǎng)絡(luò)安全的現(xiàn)狀，指出了建立一套完善的、多級的、體系的醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)的必要性。從技術(shù)、管理、服務(wù)3個方面闡述了如何加強(qiáng)防病毒體系建設(shè)，應(yīng)用Symantec Endpiont Protection實現(xiàn)了“終端安全、終端管理和服務(wù)體系”三位一體的建設(shè)，確保了醫(yī)院網(wǎng)絡(luò)終端安全。

網(wǎng)絡(luò)安全；終端安全；終端管理；服務(wù)；防病毒

0 引言

醫(yī)院信息化迅速發(fā)展，計算機(jī)病毒日益猖獗，網(wǎng)絡(luò)集中式終端安全和管理已成為保障醫(yī)院網(wǎng)絡(luò)安全不可缺少的一部分。醫(yī)院終端所面臨的安全威脅已不再是傳統(tǒng)的病毒，而是更加復(fù)雜的惡意代碼（廣義病毒）。為了提前應(yīng)對這些隱蔽多變的新型安全威脅，醫(yī)院內(nèi)網(wǎng)必須升級終端安全和終端管理的體系化防護(hù)等級，更好地構(gòu)建病毒防護(hù)體系，優(yōu)化現(xiàn)有安全防護(hù)系統(tǒng)，從而實現(xiàn)終端安全和終端管理體系化建設(shè)的最終目標(biāo)[1]。

1 基于特征的防病毒技術(shù)分析

計算機(jī)病毒作為一個名詞已經(jīng)得到廣泛的認(rèn)識，但其真正的定義卻略顯模糊。一方面精確定義計算機(jī)病毒存在一定困難，另一方面計算機(jī)病毒也在隨著技術(shù)的發(fā)展而不斷變化[2]。美國Command Software Systems公司的安全專家認(rèn)為：計算機(jī)病毒是一種程序，在某環(huán)境下，你未知或未經(jīng)你同意，通過控制你的計算機(jī)系統(tǒng)，復(fù)制自身、修改執(zhí)行代碼，實施破壞[3]。計算機(jī)病毒之父弗雷德·科恩博士于1988年強(qiáng)調(diào)：計算機(jī)病毒不是利用操作系統(tǒng)的錯誤或缺陷的程序，而是正常的用戶程序，它僅適用于那些每天都使用的正常操作[4]。隨著計算機(jī)的發(fā)展，純病毒時代已經(jīng)一去不復(fù)返，取代它們的是破壞程度呈幾何增長的新型病毒，這種新型病毒被稱為混合型病毒[5]。

目前，計算機(jī)病毒都具有混合型的特征，利用一切可利用的方式進(jìn)行傳播[6]。傳統(tǒng)應(yīng)對混合型病毒的方式是：發(fā)現(xiàn)混合型病毒爆發(fā)，快速捕獲樣本，然后寫出病毒特征，并快速部署該病毒特征，最后寄希望于其能迅速清除病毒并阻止病毒威脅的蔓延。此方式曾經(jīng)很有效果，但近年來特別是近2 a多次影響我院的病毒和地址解橋協(xié)議（address resolution protocol，ARP）欺騙等，已經(jīng)說明該種基于病毒特征的被動式病毒響應(yīng)方式未能達(dá)到預(yù)期效果。主要原因為：近十幾年來特征響應(yīng)速度已經(jīng)遠(yuǎn)遠(yuǎn)低于病毒爆發(fā)速度，并且傳統(tǒng)的防病毒技術(shù)對于新型的安全威脅采取的是被動跟蹤方法，該種方法因?qū)Σ《咎卣鞫x的滯后性使其應(yīng)對混合型病毒威脅的效果不佳。

2“技術(shù)、管理、服務(wù)”三位一體的建設(shè)

根據(jù)如上分析，傳統(tǒng)的防病毒產(chǎn)品均以分析病毒特征為主，僅僅依靠病毒防護(hù)技術(shù)是不能解決所有問題的。對于一個大型醫(yī)院而言，防病毒產(chǎn)品的可管理性往往比病毒的查殺能力更為重要，如果防病毒產(chǎn)品不能做到醫(yī)院全網(wǎng)安全防護(hù)體系的統(tǒng)一集中控制和管理，即使擁有再多的功能也不能滿足醫(yī)院的實際需求。實踐證明，一個安全、有效和完善的防病毒解決方案應(yīng)包含防護(hù)技術(shù)、安全管理和體系化服務(wù)3個層面的內(nèi)容。網(wǎng)絡(luò)集中式防病毒體系和管理已成為保障醫(yī)院網(wǎng)絡(luò)安全不可缺少的一部分。

2.1 防護(hù)技術(shù)層面

從上述我們對惡意軟件和傳統(tǒng)病毒特征的分析可知，目前傳統(tǒng)被動的防護(hù)方法已經(jīng)無法遏制與日俱增的惡意軟件和病毒的入侵。因此，我們必須從“主動防范”這種觀點出發(fā)，針對醫(yī)院構(gòu)建一個整體、多層次的防病毒體系。相對于傳統(tǒng)的被動式病毒防范技術(shù)而言，主動式響應(yīng)技術(shù)可在新的惡意軟件和病毒未出現(xiàn)之前就形成防火墻，靜候威脅的到來，從而避免惡意軟件和病毒所帶來的損失。防病毒體系架構(gòu)如圖1所示。

圖1 防病毒系統(tǒng)架構(gòu)

2.1.1 基于應(yīng)用程序的防火墻技術(shù)

個人防火墻能夠按應(yīng)用程序或其通信特征，阻止/允許任何端口和協(xié)議進(jìn)出。通過個人防火墻技術(shù)，可以有效防止惡意軟件和病毒通過漏洞進(jìn)入客戶端，更為重要的是，可以有效阻止病毒的傳播路徑。

以ARP木馬為例，正常的ARP請求和響應(yīng)包是由ndisiuo.sys驅(qū)動發(fā)出，而ARP病毒或者其他ARP攻擊通常是利用其他系統(tǒng)驅(qū)動偽造ARP數(shù)據(jù)包發(fā)出。因此，在防火墻規(guī)則中設(shè)定，只允許ndisiuo.sys對外發(fā)送ARP數(shù)據(jù)包（協(xié)議號0×806），其他的全部禁止，這樣就能在沒有最新病毒定義的前提下對病毒進(jìn)行阻斷和有效防護(hù)。

2.1.2 應(yīng)用程序控制技術(shù)

首先設(shè)置一份惡意軟件的黑名單，然后通過應(yīng)用程序控制技術(shù)對終端的應(yīng)用程序行為進(jìn)行全方位監(jiān)控，如發(fā)現(xiàn)與黑名單相近似的行為就進(jìn)行阻止。以“熊貓燒香”這種經(jīng)過多次變種的蠕蟲病毒為例，如采用傳統(tǒng)的被動防護(hù)技術(shù)，解決的方法是：必須及時捕獲每一個變種后的樣本，才能有針對性地編寫病毒定義。但該種病毒的傳播和爆發(fā)其實具有很明顯的行為特征，它主要是通過U盤傳播，利用操作系統(tǒng)在打開U盤或移動硬盤時，自動根據(jù)根目錄下的autorun.inf文件，執(zhí)行病毒程序。而賽門鐵克公司所提供的系統(tǒng)防護(hù)技術(shù)可以有效地管控根目錄下的autorun.inf文件讀寫權(quán)限，尤其當(dāng)已受病毒感染的計算機(jī)試圖往移動存儲設(shè)備上寫入該文件時，可自動終止該病毒進(jìn)程，并向管理員遞送報告。

2.1.3 客戶端系統(tǒng)加固

保證客戶端安全的基礎(chǔ)條件是客戶端自身的安全加固。醫(yī)院終端大多使用Windows操作系統(tǒng)，此類系統(tǒng)應(yīng)用廣泛，但本身也存在著非常多的安全漏洞，需及時安裝操作系統(tǒng)的補丁程序[7]。為了醫(yī)院整體網(wǎng)絡(luò)的安全不受個別軟件系統(tǒng)漏洞的威脅，必須在醫(yī)院網(wǎng)絡(luò)安全管理中加強(qiáng)對操作系統(tǒng)的補丁升級和安全配置。

集中管理醫(yī)院網(wǎng)絡(luò)中客戶端的操作系統(tǒng)補丁升級、系統(tǒng)配置等，可以自動定義客戶端操作系統(tǒng)補丁下載、操作系統(tǒng)補丁升級策略以及增強(qiáng)客戶端系統(tǒng)安全策略配置并自動下發(fā)給運行于各個客戶端設(shè)備上的代理模塊，代理模塊自動執(zhí)行管理控制臺下發(fā)的策略，保證客戶端操作系統(tǒng)補丁升級、安全配置策略的有效性。整個管理過程都是自動完成，對終端用戶來說完全透明，減少了終端用戶的麻煩，降低了醫(yī)院網(wǎng)絡(luò)的安全風(fēng)險，提高了醫(yī)院網(wǎng)絡(luò)整體的安全配置管理效率和效用，使醫(yī)院網(wǎng)絡(luò)的操作系統(tǒng)補丁及安全配置管理策略得到有效落實。

綜上所述，通過最新主動防范技術(shù)，我們才能有效應(yīng)對現(xiàn)今的惡意軟件和病毒威脅。網(wǎng)絡(luò)集中式終端安全和管理已成為保障醫(yī)院網(wǎng)絡(luò)安全不可缺少的一部分。

2.2 安全管理層面

在病毒和惡意軟件的管理層面上我們需要達(dá)到2個目標(biāo)，即管理技術(shù)化與技術(shù)管理化。管理技術(shù)化體現(xiàn)在客戶端的策略和行為控制上，把“三分技術(shù)、七分管理”口號變成實際可操作的控制程序，這樣就需要我們通過技術(shù)手段把對終端用戶的管理要求現(xiàn)實化和可執(zhí)行化。技術(shù)管理化要求我們對上述提到的多種安全防護(hù)技術(shù)進(jìn)行合理、有效的管理，使防護(hù)技術(shù)發(fā)揮其應(yīng)有的作用。通過統(tǒng)一、有效和實時的集中式管理，建立完善的安全技術(shù)保障體系。

賽門鐵克公司的阻截惡意軟件（Symantec Endpoint Protection）解決方案適合我院的實際需求。該解決方案主要依靠策略管理服務(wù)器來實現(xiàn)。根據(jù)我院的實際情況，終端安全管理平臺采用“統(tǒng)一控制，二級管理”的架構(gòu)，此架構(gòu)與我院現(xiàn)有的行政管理模式相吻合，不僅提高了安全管理的效率，而且又能體現(xiàn)“統(tǒng)一規(guī)劃，分級管理”的思想。

策略服務(wù)器是整個終端安全管理的核心，利用策略服務(wù)器實現(xiàn)所有安全策略、設(shè)定和監(jiān)控。通過使用控制臺，管理員可以創(chuàng)建和管理各種策略、將策略分配給終端代理、查看日志并運行端點安全活動報告。通過圖形報告、集中日志記錄和閾值警報等功能提供全面的端點可見。統(tǒng)一控制臺簡化了客戶端的安全管理，提供集中軟件更新、策略更新、報告等服務(wù)。

2.3 體系化服務(wù)層面

體系化服務(wù)是一個產(chǎn)品的完美補充，因為沒有任何一個防病毒廠商能做到對已知病毒和未知病毒的快速準(zhǔn)確查殺。

醫(yī)院通過構(gòu)建完善的網(wǎng)絡(luò)防病毒體系來防御病毒和惡意軟件的入侵。一套完善的終端安全體系既是主動與病毒對抗的過程，又是攻守雙方博弈的過程。因為攻方始終握有主動權(quán)，所以僅僅依靠防病毒產(chǎn)品不能達(dá)到完全意義的安全，還需要配合行之有效的管理及合適的安全策略，并且不斷根據(jù)各種情況調(diào)整策略。只有結(jié)合防病毒方案提供的安全服務(wù)，才能使醫(yī)院的防護(hù)體系及整體安全提升至一個新的高度。

根據(jù)我院終端的特殊情況，我們制定了一整套完整的客戶端安全服務(wù)體系，包括日常維護(hù)服務(wù)、病毒預(yù)警服務(wù)以及突發(fā)事件應(yīng)急響應(yīng)服務(wù)幾部分。

2.3.1 日常維護(hù)服務(wù)

日常維護(hù)包括每周病毒特征庫的更新、每月一次的巡檢。其中巡檢包括系統(tǒng)脆弱性掃描、安全評估、安全建議等。由于病毒及惡意軟件的持續(xù)激增，病毒特征庫的及時更新及定期巡檢顯得尤為重要。

2.3.2 預(yù)警服務(wù)

病毒威脅預(yù)警服務(wù)為我院提供了對新病毒感染暴發(fā)提前預(yù)警、通知和防范的標(biāo)準(zhǔn)化流程。該流程為信息科安全小組管理人員提供必要的信息和預(yù)警，以便在病毒威脅到達(dá)我院前或病毒尚未泛濫前調(diào)整部署相應(yīng)的安全配置策略，并成功抵御攻擊，降低病毒事件的爆發(fā)率，減少病毒事件對我院網(wǎng)絡(luò)終端的影響。

2.3.3 突發(fā)事件應(yīng)急響應(yīng)服務(wù)

當(dāng)發(fā)現(xiàn)某種未知的病毒威脅或惡意軟件傳播導(dǎo)致網(wǎng)絡(luò)或應(yīng)用癱瘓時，現(xiàn)有防病毒解決方案未能及時對其進(jìn)行控制，或者當(dāng)病毒解決方案能及時發(fā)現(xiàn)病毒威脅但不能對其進(jìn)行隔離或有效刪除時，需要防病毒軟件廠商及時幫助我們解決遇到的問題。我院通常需要在一個時間范圍內(nèi)解決上述問題，我們可以通過提交病毒威脅樣本或直接要求應(yīng)急上門服務(wù)的方式，請防病毒軟件廠商協(xié)助解決這些問題，避免病毒威脅和惡意軟件在我院大規(guī)模擴(kuò)散。

3 結(jié)語

隨著醫(yī)院業(yè)務(wù)范圍的不斷拓展，規(guī)模越來越大，其信息系統(tǒng)應(yīng)用范圍也日漸擴(kuò)大，網(wǎng)絡(luò)上出現(xiàn)的各種問題給網(wǎng)絡(luò)用戶帶來了無休止的煩惱，數(shù)據(jù)和網(wǎng)絡(luò)安全已成為醫(yī)院最頭痛的問題之一。我院部署的Symantec Endpiont Protection解決方案實現(xiàn)了“終端安全、終端管理和服務(wù)體系”三位一體的建設(shè)，大大提升了工作效率，同時我院的終端安全管理水平也提高到一個新的高度，確保了醫(yī)院網(wǎng)絡(luò)終端安全。

[1] 吳曉東.醫(yī)院網(wǎng)絡(luò)防病毒解決方案[J].醫(yī)療設(shè)備信息，2003，18（5）：29-31，33.

[2] 肖英，鄒福泰.計算機(jī)病毒及其發(fā)展趨勢[J].計算機(jī)工程，2011，37（11）：149-151.

[3] Gordan S.Technologically enabled crime：shifting paradigms for the year 2000[J].Computer and Security，1995，14（5）：391-402.

[4] Cohen F.On the implications of computer viruses and methods of defense[J].Computers＆Security，1988，7（2）：167-184.

[5] 陳聯(lián).IPS vs IDS孰更安全[J].軟件世界，2005（3）：61.

[6] 鄭蕾，翁盛鑫，黃影.醫(yī)院信息系統(tǒng)客戶端的安全管理和實踐[J].醫(yī)療衛(wèi)生裝備，2010，31（3）：62-63.

[7] 王蕾，朱劉松，孫瑛.軍隊醫(yī)院網(wǎng)絡(luò)安全管理[J].醫(yī)療衛(wèi)生裝備，2013，34（7）：124-125.

（收稿：2014-03-20 修回：2014-06-25）

（欄目責(zé)任編校：李 影）

Analysis of hospital terminal security and terminal management system

WANG Peng,MA Xi-kun,YU Jing-jie
（Information Department,Nanjing General Hospital of Nanjing Military Area Command,Nanjing 210002,China）

The present situation of hospital network security is analyzed,and the necessity is pointed out to establish a set of complete,multilevel and systemic hospital network security system.Some suggestions are put forward to enhance anti-virus system from the aspects of technology,management and service.Symantec Endpoint Protection is used to realize terminal security,terminal management and service system.[Chinese Medical Equipment Journal，2015，36（4）：135-137]

network security;terminal security;terminal management;service;anti-virus

R318；TP393.08

A

1003-8868（2015）04-0135-03

10.7687/J.ISSN1003-8868.2015.04.135

王 鵬（1984—），男，助理工程師，主要從事醫(yī)院網(wǎng)絡(luò)安全方面的研究工作。

210002南京，南京軍區(qū)南京總醫(yī)院信息科（王 鵬，馬錫坤，于京杰）

于京杰，E-mail：13705182269@163.com