，，

[作者單位]青島大學(xué)附屬醫(yī)院，山東 青島 266003

隨著醫(yī)院信息化建設(shè)的不斷推進(jìn),醫(yī)院信息系統(tǒng)(Hospital Information System,HIS)的應(yīng)用越來(lái)越廣泛，日常醫(yī)療工作對(duì)其依賴(lài)性不斷增強(qiáng)[1]。

目前醫(yī)院的安全防御理念往往局限在入侵檢測(cè)、防火墻、殺毒軟件等，重要的安全設(shè)施大多集中于機(jī)房或網(wǎng)絡(luò)邊界處。在這些設(shè)備的嚴(yán)密監(jiān)控下，來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小[2]。據(jù)IDC調(diào)查報(bào)告顯示，85%的網(wǎng)絡(luò)威脅來(lái)自于內(nèi)部，其危害程度遠(yuǎn)遠(yuǎn)超過(guò)黑客攻擊所造成的損失。傳統(tǒng)的安全措施注重防外不注重防內(nèi)，對(duì)于內(nèi)部用戶攻擊和威脅事件往往無(wú)能為力。因此，安全戰(zhàn)場(chǎng)已經(jīng)逐步由核心與主干的防護(hù)，轉(zhuǎn)向網(wǎng)絡(luò)內(nèi)部的終端安全管理[3]。

青島大學(xué)附屬醫(yī)院(以下簡(jiǎn)稱(chēng)“我院”)已建成以數(shù)字機(jī)房為核心的信息化系統(tǒng)，核心業(yè)務(wù)位于中心機(jī)房，實(shí)施內(nèi)外網(wǎng)物理隔離，終端通過(guò)醫(yī)院內(nèi)網(wǎng)訪問(wèn)中心機(jī)房服務(wù)器，內(nèi)網(wǎng)終端包括移動(dòng)終端和PC工作站，總數(shù)已超過(guò)5 000點(diǎn)，通過(guò)引進(jìn)桌面終端管理系統(tǒng)，有效地解決了醫(yī)院終端違規(guī)操作帶來(lái)的安全威脅和終端宕機(jī)，提高了醫(yī)院信息系統(tǒng)的安全性和穩(wěn)定性。

1 醫(yī)院內(nèi)網(wǎng)終端安全性分析

1.1 核心業(yè)務(wù)數(shù)據(jù)保護(hù)困難

醫(yī)院數(shù)字中心機(jī)房是醫(yī)院信息化建設(shè)的核心，存儲(chǔ)著醫(yī)院海量的病案數(shù)據(jù)。隨著大數(shù)據(jù)分析的到來(lái)，醫(yī)療大數(shù)據(jù)分析所產(chǎn)生的價(jià)值已經(jīng)不可估量，在利益驅(qū)使下，診療信息的泄密風(fēng)險(xiǎn)也大大增加[4-5]。

然而隨著醫(yī)院規(guī)模的擴(kuò)大，客戶端數(shù)量大、位置分散，很難防止非法用戶侵入網(wǎng)絡(luò)，竊取醫(yī)院核心數(shù)據(jù)。另外，醫(yī)生或患者的筆記本電腦等未知終端的非法接入，也使醫(yī)院產(chǎn)生信息安全隱患[6]。

1.2 終端違規(guī)操作管理困難

計(jì)算機(jī)終端違規(guī)外聯(lián)、USB存儲(chǔ)濫用等安全威脅頻發(fā)，終端行為難以規(guī)范[7]。光驅(qū)、軟驅(qū)和USB接口的使用可能會(huì)導(dǎo)致機(jī)密文件的泄露；U盤(pán)的內(nèi)外網(wǎng)互用以及院外的使用，增加了病毒傳播的風(fēng)險(xiǎn)；部分醫(yī)生私自使用無(wú)線網(wǎng)卡、通過(guò)WiFi方式違規(guī)外聯(lián)，智能手機(jī)等便攜設(shè)備插入內(nèi)網(wǎng)終端充電，使同一臺(tái)終端既訪問(wèn)內(nèi)網(wǎng)又訪問(wèn)外網(wǎng)，花大量資金、人力建設(shè)的內(nèi)外網(wǎng)物理隔離就被一個(gè)小小的網(wǎng)卡打敗了。違規(guī)外聯(lián)的終端被黑客或病毒利用后，極可能通過(guò)該終端進(jìn)入內(nèi)部網(wǎng)絡(luò)，進(jìn)而通過(guò)嗅探等方式收集內(nèi)部的關(guān)鍵數(shù)據(jù)和敏感信息，或以此終端為“跳板”攻擊內(nèi)部的其他主機(jī)。

1.3 正常業(yè)務(wù)流程經(jīng)常受到影響

目前，醫(yī)院的正常業(yè)務(wù)流程依賴(lài)于HIS系統(tǒng)的安全穩(wěn)定運(yùn)行。在日常維護(hù)中我們發(fā)現(xiàn)，終端故障大多數(shù)是因?yàn)閮?nèi)部的不當(dāng)和非正常使用，如卸載應(yīng)用軟件、安裝非法軟件、刪除系統(tǒng)文件等。為減少操作不當(dāng)引起的終端宕機(jī)，需要對(duì)終端的各項(xiàng)操作權(quán)限進(jìn)行逐一限制，這個(gè)過(guò)程一般需要維護(hù)人員花費(fèi)1個(gè)多小時(shí)的時(shí)間。終端出現(xiàn)故障需要排查和修復(fù)時(shí)又要逐一解除限制，使日常維護(hù)工作變得更加繁瑣，工作效率降低[8]。

1.4 安全違規(guī)事件追溯追責(zé)困難

安全事件絕大多數(shù)最后是在終端計(jì)算機(jī)上確認(rèn)的事件源，這就足以說(shuō)明管理終端計(jì)算機(jī)的重要性。違規(guī)操作發(fā)生時(shí)，如何及時(shí)報(bào)警、審計(jì)以及阻斷違規(guī)行為？在日常工作中發(fā)現(xiàn)有部分終端操作人員對(duì)違規(guī)操作行為矢口否認(rèn)，在檢查人員到達(dá)現(xiàn)場(chǎng)前已將痕跡清除，由于沒(méi)有依據(jù)和線索，無(wú)法對(duì)事件進(jìn)行調(diào)查，一旦發(fā)生安全事件，往往難以追責(zé)。

2 醫(yī)院內(nèi)網(wǎng)終端安全管理的實(shí)踐

針對(duì)當(dāng)前醫(yī)院終端管理的現(xiàn)狀，我院引進(jìn)了國(guó)內(nèi)某知名廠商的桌面終端管理系統(tǒng)。該系統(tǒng)提供了可視化的、體系化的終端安全管理和全面終端遠(yuǎn)程維護(hù)功能，實(shí)現(xiàn)了安全、穩(wěn)定、高效的終端運(yùn)行環(huán)境，有效防止了安全事件的發(fā)生。桌面終端管理平臺(tái)為軟硬結(jié)合一體機(jī)，采用旁路接入方式，旁路模式采用監(jiān)聽(tīng)機(jī)制實(shí)施網(wǎng)絡(luò)控制，部署簡(jiǎn)便，完全不影響原有網(wǎng)絡(luò)結(jié)構(gòu)，并且無(wú)網(wǎng)絡(luò)單點(diǎn)故障之憂(圖1)。

圖1 桌面終端管理架構(gòu)

2.1 準(zhǔn)入管理

對(duì)入網(wǎng)電腦安裝終端軟件，確定接入設(shè)備合法后授權(quán)，定制密碼保護(hù)功能防止用戶卸載或修改終端軟件，禁止未授權(quán)的計(jì)算機(jī)上網(wǎng)或者訪問(wèn)指定的服務(wù)器，并在控制臺(tái)上發(fā)出報(bào)警信息，及時(shí)發(fā)現(xiàn)非法入侵用戶。采用主動(dòng)推送的終端部署方式，設(shè)備會(huì)自動(dòng)重新定向到終端下載界面，可通過(guò)計(jì)算機(jī)搜索功能搜索未裝終端的終端，極大地縮短了終端的部署周期。

2.2 外設(shè)管理

該功能可以設(shè)置對(duì)計(jì)算機(jī)USB存儲(chǔ)、光驅(qū)、軟驅(qū)、便攜式設(shè)備如手機(jī)等的管理狀態(tài)，允許或是禁止客戶機(jī)使用上述設(shè)備。管理人員可根據(jù)需要，針對(duì)設(shè)備制定相應(yīng)管理策略，如設(shè)置授權(quán)/安全/保密U盤(pán)等，有效防止網(wǎng)內(nèi)機(jī)密信息通過(guò)U盤(pán)外泄。提供對(duì)介質(zhì)使用的記錄審計(jì)功能，包括使用人、部門(mén)、IP地址等，以備日后有據(jù)可查，而且當(dāng)異常情況發(fā)生時(shí)，可以確定違規(guī)人員和違規(guī)行為，圖2 為USB存儲(chǔ)設(shè)備審計(jì)記錄。

圖2 USB存儲(chǔ)設(shè)備審計(jì)記錄

2.3 外聯(lián)管理

設(shè)定內(nèi)網(wǎng)終端IP地址和服務(wù)器IP地址為內(nèi)網(wǎng)地址，當(dāng)終端配置或訪問(wèn)非內(nèi)網(wǎng)地址時(shí)被認(rèn)定為違規(guī)外聯(lián)?？梢钥刂苾?nèi)網(wǎng)終端，通過(guò)無(wú)線WiFi、無(wú)線上網(wǎng)卡、手機(jī)熱點(diǎn)、外網(wǎng)網(wǎng)線、智能手機(jī)使用USB接口充電等方式連接互聯(lián)網(wǎng)，當(dāng)出現(xiàn)違規(guī)外聯(lián)時(shí)，會(huì)自動(dòng)報(bào)警、斷網(wǎng)，并對(duì)違規(guī)終端名稱(chēng)、上網(wǎng)方式進(jìn)行記錄，杜絕內(nèi)網(wǎng)電腦私接外網(wǎng)。設(shè)置網(wǎng)站訪問(wèn)管理，禁用一些常用外網(wǎng)訪問(wèn)網(wǎng)站如百度、騰訊等，當(dāng)違規(guī)外聯(lián)終端訪問(wèn)這些網(wǎng)站時(shí)，會(huì)進(jìn)行阻止并記錄。

通過(guò)報(bào)警和審計(jì)記錄，可以清楚地記錄違規(guī)外聯(lián)發(fā)生的時(shí)間、終端、方式和具體訪問(wèn)網(wǎng)站等信息(圖3)。根據(jù)服務(wù)器地址可知，WiFi為醫(yī)院為優(yōu)化患者就醫(yī)而提供的無(wú)線網(wǎng)絡(luò)，只需輸入手機(jī)驗(yàn)證碼即可連接互聯(lián)網(wǎng)。

圖3 違規(guī)外聯(lián)報(bào)警記錄

發(fā)生違規(guī)外聯(lián)后，常規(guī)處理方法是查詢(xún)?yōu)g覽器的歷史記錄、Cookie等。若上述痕跡被清除，可通過(guò)查看隱藏的index.dat文件，但是需要下載專(zhuān)門(mén)工具，過(guò)程也比較繁瑣[9]。網(wǎng)站訪問(wèn)管理可以記錄違規(guī)訪問(wèn)的網(wǎng)站(圖4)，違規(guī)外聯(lián)期間此終端試圖訪問(wèn)過(guò)百度等外網(wǎng)網(wǎng)站，即使上網(wǎng)痕跡被清除，也能通過(guò)控制臺(tái)報(bào)警記錄查詢(xún)，使安全事件能夠追查到責(zé)任人。

圖4 違規(guī)網(wǎng)站訪問(wèn)報(bào)警記錄

2.4 桌面策略配置

由于醫(yī)院使用的HIS是基于WEB的訪問(wèn)方式，因此為了加強(qiáng)終端管理，需要對(duì)終端權(quán)限進(jìn)行限制，如鎖定“Internet選項(xiàng)”，隱藏“控制面板”，禁用“我的電腦”，禁止添加、刪除打印機(jī)等。桌面的策略配置包括控制面板、計(jì)算機(jī)管理、“我的電腦”屬性、“本地連接”屬性和組策略，只需要在控制臺(tái)點(diǎn)幾下鼠標(biāo)，就可以輕松地完成終端的權(quán)限設(shè)置，快捷而高效，也有效避免了用戶因?yàn)檎`操作導(dǎo)致的操作系統(tǒng)或應(yīng)用軟件運(yùn)行不正常，保證了業(yè)務(wù)系統(tǒng)正常運(yùn)行。

2.5 應(yīng)用程序管理

可以設(shè)定計(jì)算機(jī)允許運(yùn)行的進(jìn)程或禁止運(yùn)行的進(jìn)程，方便地把客戶端塑造成工作專(zhuān)用機(jī)，可以明顯提高工作效率。

另外，若病毒為新病毒,已有殺毒軟件無(wú)法殺除時(shí)，在已知病毒進(jìn)程的情況下，可將病毒進(jìn)程設(shè)置為禁止運(yùn)行。如通過(guò)禁用SICHOST.EXE進(jìn)程，病毒程序?qū)⒉荒茏詣?dòng)運(yùn)行，可通過(guò)報(bào)警快速鎖定攜帶病毒的終端(圖5)。

圖5 禁止進(jìn)程報(bào)警記錄

2.6 其他功能

通過(guò)IE配置、資產(chǎn)監(jiān)控、遠(yuǎn)程協(xié)助監(jiān)控、遠(yuǎn)程開(kāi)關(guān)機(jī)、消息發(fā)送、軟件分發(fā)、殺毒軟件管理、補(bǔ)丁管理、共享資源管理、流量管理、帶寬管理、IP/MAC地址綁定、查看/修改注冊(cè)表、修改計(jì)算機(jī)名、查看系統(tǒng)資源清單、阻斷/恢復(fù)通訊、鎖定/解鎖客戶端等，使日常維護(hù)變得簡(jiǎn)潔高效，確保醫(yī)院內(nèi)網(wǎng)終端得到了安全有效管理。

3 結(jié)語(yǔ)

通過(guò)桌面終端管理平臺(tái)并統(tǒng)一控制和定制桌面，實(shí)現(xiàn)了安全管理，保護(hù)了核心數(shù)據(jù)，增強(qiáng)了終端使用人員的安全意識(shí)，規(guī)范了網(wǎng)絡(luò)行為，減少了現(xiàn)場(chǎng)維護(hù)工作量，保證了整個(gè)網(wǎng)絡(luò)以及醫(yī)院的HIS系統(tǒng)安全、穩(wěn)定運(yùn)行，大幅提升了醫(yī)院信息化管理水平。