医院计算机终端安全管理策略

陈利民，宋莉莉，郭雪清，程 冰

随着医院信息化建设的不断普及和深入，医院信息系统已覆盖了日常医疗、管理、后勤、财务等多个业务子系统，一个稳定、可靠的医院网络信息环境已成为医院正常运行的重要保障。然而，由于医院的特殊环境，工作人员的计算机水平普遍偏低，系统操作不当，非法存储接入，硬件设备变更，非法IP接入等都可能给医院信息网络安全带来风险，医院计算机终端的安全管理已成为当前医院信息管理部门的重要内容。随着医院规模的不断扩大，各种终端设施分散，给网络信息管理部门的日常维护带来了极大困难，迫切需要一个便捷的有效的手段及集中终端监管平台来控制和预防这些有意或无意的破坏行为。

1 计算机终端安全管理需求分析

笔者所在医院是一所三甲综合性医院，全院共有计算机终端2000余台，并且还在不断增长，终端设备型号多，分布广，用途也不尽相同，因此给网络信息管理部门的工作带来了极大挑战。目前医院终端安全管理主要存在以下几个方面的困难：一是终端涉及军网、专网和内网等多种网络，终端安全级别也略有差别，基本应用程序需求也不尽相同，基于内网的医院办公系统由于工作需要，时常会发布一些包含不同信息的通知和命令；二是不利于终端资产监管，系统补丁升级困难，缺乏集中统一的监控平台，依靠信息维护人员手工维护，工作量巨大；三是终端接入混乱，特别是移动存储设备的随意使用，经常导致网络特别是内网系统病毒木马入侵，网络瘫痪，随着物联网、无线网的应用，甚至还有非法接入内网的情况；四是人员计算机水平参差不齐，特别是新入人员，不熟悉HIS系统，误操作后缺乏有效的监控机制来辅助日常维护。为了有效对医院计算机终端进行监管，医院引入了一套内网管理系统，并在此基础上建立针对医院特点和需求建立相应的管理策略。

2 基于策略的内网安全管理系统

2．1 系统体系结构 内网管理系统是一套完整的内网信息安全解决方案，其目标是保障内网系统安全有序的运行，规范和约束员工的各种行为，防止敏感信息泄密。该系统通过全面灵活的定制并执行各种安全策略，实现对内网中计算机进行集中管控和安全管理，做到非法主机“进不来”，有效防止机密敏感信息的泄露，为医院构建一个可信可控的内网。结合医院应用实践对内网安全管理系统进行了功能定制，其功能组成如图1所示。

图1 内网安全管理系统功能组成

内网安全管理系统采用B／S模式，软件系统由客户端程序和管控中心两部分组成。客户端程序安装后即进入后台运行模式，系统启动时自动运行，安装成功后自动向服务器注册终端基本信息，如计算机名、IP地址、软件安装情况等。管控中心软件基于浏览器进行访问，且与客户端程序不能同时运行，即安装客户端程序的计算机终端无法登陆管控中心。

2．2 功能介绍

2．2．1 终端管理 近年来，医院进入了发展的快速道，医院信息化水平不断提高，终端数量不断增加，并且地理位置分散，涉及门诊、住院、医技等多个楼宇，缺乏有效的手段对终端进行集中管理，对于日常出现的小问题，特别是软件问题，缺乏有效的协助手段，大多需要下科维护，大大增加了信息工程人员的维护量。内网安全管理系统中的终端管理为缓解这一问题提供了支持，该功能主要包含以下几个方面的功能：①分组管理：能够根据终端所在的地理位置或是科室进行分组，方便快速定位查找；结合医院科室分布情况，设定了“楼宇——科室”的两级分组管理策略；②终端远程协助：实现对终端的远程桌面控制，目前大部分软件问题都可以通过该策略解决；③软件分发：实现对终端统一进行文件和软件推送，并自动运行，并可以选择分发的目标路径、设定运行参数、是否后台运行的功能，如软件已安装时的处理方式，可以选择覆盖安装和不安装。发起的分发行为统一计入日志，终端的分发情况也可以进行查询。

通过该功能，信息部门能够便捷敌对计算机终端进行统一高效地管理，有利于减轻维护压力，避免重复工作。

2．2．2 安全准入管理 随着网络通信技术的不断发展，新技术的应用在医院信息化中的应用也日益广泛，如移动医护平台、物联网等，对医院信息网络的管理也提出了新的挑战。根据医院网络结构，制定相应的安全准入策略，防止非本单位配发计算机通过无线、WIFI、私接HUB、交换机等手段接入网络，导致病毒泛滥、网络中断、数据泄密、管理混乱等现象发生，保障网络的安全有序运转。安全准入管理主要包括以下几个方面的功能：①身份认证：验证入网的计算机终端是否符合一般的计算机安全标准，如密码复杂性检查（密码长度和更改时间周期）、用户锁定设置（超过登陆次数锁定账户及锁定时间长度） 等； ②802．1X准入： 对支持IEEE802．1X协议的主流网络设备进行网络的准入控制，采用基于端口的认证方式将没有安装准入代理的主机进行数据隔离，可自行设定相应的认证策略，如超出认证时间设置、认证数据传播模式设定等；③准入合规检查：对进入内网的计算机进行合规性检查，包含进程检查、软件安装检查、文件检查、注册表检查、操作系统检查、病毒检查等10余种检查方式。

2．2．3 桌面标准化管理 内网计算机终端主要用于日常医疗办公业务。为防止工作人员私装软件、私自改变系统设置，统一配置内网内计算机的软件安装，可用外设端口、应用程序、桌面背景、屏保等资源，提高员工工作效率、提升单位形象，启用桌面标准化管理策略，其功能主要包括以下几个方面：①桌面管理：通过设定策略实现对受控计算机终端进程运行、外设端口（串口并口、1394、红外、蓝牙、PCMCIA、SCSI控制器、调制解调器）、打印设备（本地、共享、网络打印机）、设备属性（设备管理属性、网络适配器属性、任务管理属性、控制面板属性等）的集中管理；②注册表保护：实现对终端注册表项修改的集中管理，保护注册表不被恶意篡改，如启用系统自启动项保护，启用系统服务项保护，启动IE设置项保护等，也可自定义注册表保护控制（允许修改、禁止修改和询问用户）；③文件访问控制：对计算机终端共享文件的访问进行控制，保护和监控终端指定目录和网络共享文件的读取、修改和删除权限，并对操作进行审计；④终端提醒：通过网页链接或文本的形式对终端发布广播信息，如接入终端提醒（当终端接入网络是服务器对其进行接入提示），定时终端提醒（终端接入网络后由服务器根据设定的时间对其进行提示），即时终端提醒（立即对终端进行即时提示）；⑤主机密码：对终端主机的密码复杂度和屏保进行设置。

2．2．4 网络行为管理 网络行为管理可以内网网络和终端桌面资源，如网站、网络视频、网站软件、电脑外设端口、电脑屏幕等信息进行统一监管和审计，提高员工工作效率，保障网络畅通，其功能主要包括以下三个方面：①IP／MAC绑定策略：监控终端主机在本地网络上IP地址与其MAC地址的变化情况，选中“启用终端IP／MAC地址绑定控制”，该策略生效，设定IP／MAC地址绑定关系发生时的三种方式（不处理、自动恢复原有绑定信息、断开网络），离线时IP／MAC地址绑定信息变化不做处理：是指若计算机离开内网，计算的IP变化不做处理；允许／禁止修改网关和子网掩码（如果发生修改，则恢复原有信息）启用／停用多网卡控制（仅允许使用与服务器通信的网卡，其余冗余网卡禁用）探测周期（单位：秒，大于5秒）：是指设定探测IP地址变化的一个周期；②安全域启动策略：对终端主机时间、安全与访问，磁盘密级控制以及各种信息的上报进行设置，安全终端设置策略：启用／停用终端与服务器的时间同步，允许／禁止终端进入安全模式，系统启动时取消／不取消非首选操作系统选项，系统启动时允许／禁止使用从属本地硬盘（仅允许使用当前操作系统所在的本地硬盘），启用／停用安全终端网络分域访问控制，启用／停用移动磁盘密级使用控制（设置计算机——移动存储设备不同密级配对时的访问控制方式，分别为公开级，秘密级，绝密级，专用级），策略更新周期（单位：秒），审计日报上报周期（单位：秒）；协议端口设置：根据用户的特定环境对一些协议端口进行配置（SMTP协议，POP3协议，HTTP协议，FTP协议）；③日志策略：设置需要对网络行为进行记录，主要包括IP访问日志、网络端口控制日志、网页访问日志、异常链接日志、IP／MAC变更日志和记录安全域日志，及其日志等级（普通、重要、预警、异常、严重）和记录时间段（全天、朝九晚五）。

2．2．5 资产管理 资产管理主要对内网计算机相关资产进行管理，包括软件和硬件两个部分，系统自动进行收集或是手动添加，便于信息部门对医院当前信息资产进行统一的信息化管理，该部分功能主要以查询统计为主，不需要进行相应策略设置。资产管理主要包括软件资产和计算机资产管理两部分：①软件资产管理：能够自动收集终端上报的软件信息，进行分组管理和统计，信息部门可随时查询当前内网中终端的软件安装情况，并定位到相应的终端，有效防止私装软件；软件变更报告可以查询软件安装或卸载的记录，方便管理员对资产的变更进行统计；②计算机资产管理：主要管理计算机硬件资产，如CPU型号，内存，硬盘等，并以报表或者图形的形式直观显示资产统计数据，信息部门也可以查询硬件资产的位置分布情况；计算机资产变更报告可以查询网内终端硬件资产的变更信息。

2．2．6 移动磁盘管理 移动磁盘管理主要通过注册、读写加解密等手段对移动存储设备进行统一管理，防止因移动存储设备公私不分、内外网交叉使用或遗失，而造成病毒感染、丢失泄密和外来存储设备窃取内部机密等问题，主要包含以下两个方面的功能：①移动磁盘策略：屏蔽终端计算机的U盘、光盘，包括可擦写光盘的限制性使用，控制类型包括禁止使用、只读控制、安全制度操作、读写控制和安全读写控制五种；禁止使用是指禁止终端对移动磁盘的使用；只读控制是指只允许终端的可信移动磁盘进行只读的操作；安全只读操作是指只允许终端的可信移动磁盘进行透明加密的只读操作；读写控制是指允许终端的可信移动磁盘进行读写的操作；安全读写控制，是指允许终端的可信移动磁盘进行透明加密的读写操作；②日志设置策略：设置是否记录移动磁盘管理日志，只有日志策略下发后终端才会记录并上报日志，勾选需要记录日志的审计项（插入、创建、打开、保存、重命名、删除和远程注册），日志等级标志日志重要程度（普通、重要、预警、异常、严重），预警及预警以上的等级默认在预警中心显示，记录时间标志需要记录日志的时间段（全天、朝九晚五），需要在策略对象的时间计划组中提前设置，此时间段外终端不记录日志。目前内网计算机默认禁止使用，配合相应的管理制度，审批后更改为读写控制。

2．2．7 补丁分发管理 补丁分发管理主要为内网计算机终端统一更新操作系统补丁、修复系统漏洞，降低终端系统安全风险，其功能主要包括以下三个部分：①补丁自动分发策略：通过策略提供客户端补丁的自动下载及安装，可设置补丁漏洞程度，探测时间，运行参数及运行形式，基于分发时间、补丁检测周期等进行策略制订，策略发送到网络客户端后，客户端注册程序统一执行补丁应用策略，主要用于对网内终端进行规模化的自动升级；②补丁手动分发策略：通过策略提供客户端补丁的管理员手工设定的下载及安装，可设置运行参数及运行形式，策略发送到网络客户端后，客户端注册程序统一执行补丁应用策略，主要用于对1台或几台计算机进行补丁分发；③日志策略：作为系统补丁分发日志的审计开关，只有日志策略下发后终端才记录并上报日志，勾选需要记录日志的审计项，日志等级标志日志重要程度，预警及预警以上的等级默认在预警中心显示，记录时间标志需要记录日志的时间段，需要在策略对象的时间计划组中提前设置，此时间段外终端不记录日志。

2．2．8 违规外联控制 违规外联控制主要是为防止局域网内计算机私自通过无线网络、3G网卡、私拉网线等方式接入外部网络，而导致数据泄漏、病毒引入等现象发生，该功能采用陷阱的报警系统能够在发生非法外联的同时，迅速定位到外联终端并报警，威慑非法外联事件的发生。其功能主要包括以下两个部分：①违规外联控制：检测（在本策略的对象中设定的）计算机的网络使用是否符合制定的原则，对不符合原则的计算机进行处理。启用违规外联探测：通过设置，检测策略应用的对象的客户端是否能和外网通信来判断该计算机是否违反了管理员制定的规则；“采用外网地址探测方法”是指，利用系统的功能，对这两个地址，进行检测，当可以与这两个网站通信时，视为本机违反策略；禁止使用IE代理上网访问：如果选择这个选项，则浏览器无法使用代理服务器访问网络，该选项可屏蔽浏览器使用内网或者外网的大多数代理服务；非法外联处置设置包括不处理、断开网络、关机、锁定和仅提示五种；②日志策略：作为违规外联日志的审计开关，只有日志策略下发后终端才记录并上报日志。勾选需要记录日志的审计项，其中可以审计非法外联屏幕快照，日志等级标志日志重要程度，预警及预警以上的等级默认在预警中心显示，记录时间标志需要记录日志的时间段，需要在策略对象的时间计划组中提前设置，此时间段外终端不记录日志。

4 应用效果与结论

目前全院计算机2000余台，其中在网计算机1800余台，除此外还有1000余台各种类型的打印机，而维护人员偏少，信息部门工作人员维护量之大可想而知，维护人员时常奔跑于维护科室和办公室之间。应用内网安全管理系统以来，除了硬件和网络问题外，95%以上的软件问题均可通过远程进行处理，并且落实移动存储管理制度后，大大净化了内网运行环境，有利于提高工作效率。

［1］吴 亮．基于策略管理的医院网络安全信息系统［J］．中国数字医学，2011，6（7）：78－79．

［2］孙 辉，聂媛媛，高立芳．军队医院计算机网络信息安全存在问题及管理措施［J］．实用医药杂志，2011，28（7）：665．

［3］夏 勇，陈敏亚，沈志强．医院计算机终端的安全管理和实现［J］．中国数字医学，2011，6（2）：112－113．

［4］宋莉莉，王光华，郭雪清．医院网络信息安全防护体系及应用研究［J］．中国数字医学，2013，8（1）：59－63．

［5］韩锐生，赵 彬，徐开勇．基于策略的一体化网络安全管理系统［J］．计算机工程，2009，35（8）：201－204．