安全資訊

摘要：探索終端安全管理系統在醫院信息化建設中的應用。全面分析醫院終端安全管理存在的問(wèn)題，層層剖析，不斷改進(jìn)布署方式和實(shí)施流程。通過(guò)應用終端安全管理解決方案，切實(shí)簡(jiǎn)化了醫院IT運維管理的復雜性，降低了因終端行為不當造成的風(fēng)險問(wèn)題。深刻認識到終端安全管理系統在醫院信息化應用的重要性，只有采用主動(dòng)式、集中式管理醫院終端的方式，才能夠有效提高醫院信息安全建設管理水平。
我國醫療信息化從單機單用戶(hù)應用和部門(mén)級系統應用階段，正全面進(jìn)入全院級系統應用和區域醫療的發(fā)展階段。不過(guò)，醫院信息安全主要集中在網(wǎng)絡(luò )設備和數據安全，作為面向醫院內部每一個(gè)員工的終端，其安全管理一直沒(méi)有受到足夠重視?！毒W(wǎng)絡(luò )安全法》的正式頒布，對醫院信息安全建設提出了更高的要求和約束。隨著(zhù)醫院終端設備數量和種類(lèi)的增多，加上“永恒之藍”的入侵，終端安全管理已經(jīng)成為醫院信息安全建設的重中之重。
杭州師范大學(xué)附屬醫院共有1300余個(gè)終端，針對之前被動(dòng)管理的不足，以及醫院信息化建設的需求，醫院選擇了終端安全管理系統為醫院信息安全提供保障，主動(dòng)式、集中式管理所有終端，形成“主動(dòng)管理”“深度防御”的終端安全管理體系，提升IT終端綜合安全管理水平。
醫院終端安全管理存在的問(wèn)題據統計，醫院信息系統中的安全威脅有80%來(lái)源于終端，終端由于其廣泛性、分散性，缺乏有效的安全管理手段，成為醫院信息安全建設最薄弱的環(huán)節之一，醫院信息化安全由核心防護逐步轉移至網(wǎng)絡(luò )邊界的每一個(gè)終端。醫院終端安全管理主要存在以下問(wèn)題：1.1 醫院IT運維人員工作量巨大 醫院信息科運維人員花費在電腦、打印機等終端維護的工作時(shí)間，占據了50%～60%，運維人員每天就像救火員，把大量精力消耗在事務(wù)性工作中，在保障HIS上的時(shí)間變得越來(lái)越有限。并且，醫療信息化程度越高，終端數量和種類(lèi)越多，問(wèn)題也就越突出。1.2 醫療系統軟件需要更高效的布署維護手段 醫療系統軟件不斷開(kāi)發(fā)、不斷升級，包括版本更新和功能升級，每年都有很多大大小小的升級版本，對于運維人員而言，軟件系統的布署升級變得越來(lái)越復雜。所以，如何簡(jiǎn)化現有的軟件系統布署和升級工作，是醫院IT管理的重中之重。1.3 需要更為便捷高效的遠程管理平臺 我院有急診樓、門(mén)診樓、病房樓等，樓層之間距離較遠，加上醫護人員計算機技術(shù)參差不齊，使用過(guò)程中會(huì )出現各式各樣的問(wèn)題。我院一直使用Radmin、PCAnywhere等遠程工具，但是要綜合使用才能達到預期效果，迫切需要便捷高效的、適合我院實(shí)際情況的遠程管理平臺。1.4 信息化建設需要全方位的安全管理 隨著(zhù)勒索病毒在全球范圍內的爆發(fā)，醫院不重視補丁管理的風(fēng)險顯現出來(lái)，補丁種類(lèi)多而繁瑣，人工安裝和維護的工作量巨大。醫院醫療系統眾多，補丁的兼容性難以保證，無(wú)法有效的全局統一布署，需要重視兼容性、穩定性、分發(fā)的高效性。我院實(shí)施內外網(wǎng)隔離，但是由于計算機接口是通用的，亟需控制USB、無(wú)線(xiàn)網(wǎng)卡等外接設備，防止病毒交叉傳播，杜絕接口成為安全隱患。另外，由于管理的不規范，內部人員使用違規軟件，大大降低安全系數，需要對此類(lèi)軟件實(shí)施有效的控制。1.5 資產(chǎn)定位和統計難以確定 由于缺乏有效的技術(shù)手段，無(wú)法精準定位醫院終端位置，如位于哪棟大樓、哪個(gè)部室、哪位用戶(hù)，難以實(shí)施有針對性的管理。另外，我院資產(chǎn)管理更多是基于制度層面，資產(chǎn)報表主要是Excel表，內容單一，數據遲滯。IT資產(chǎn)盤(pán)點(diǎn)過(guò)程冗長(cháng)，耗費大量時(shí)間。醫院設備還經(jīng)常更換，我院難以對每臺終端進(jìn)行實(shí)時(shí)的、全面的掌握。
終端安全管理系統架構及布署為了解決醫院終端安全管理面臨的五大難題，醫院上線(xiàn)了終端安全管理系統。系統布署采用C/S架構
通過(guò)核心服務(wù)器對所有終端進(jìn)行策略下發(fā)，并對終端進(jìn)行資產(chǎn)管理、電源管理、補丁管理、軟件分發(fā)、外設控制、應用程序控制等功能管理，支持遠程故障診斷和維護。
為了保障醫院業(yè)務(wù)正常運行，醫院采取分階段的方式布署和安裝。第一階段，在部分門(mén)診樓和病房大樓進(jìn)行推送測試，檢測軟件的兼容性，確保全面布署后不影響業(yè)務(wù)開(kāi)展，一周的測試過(guò)程中，及時(shí)解決問(wèn)題；第二階段，逐步對已有的客戶(hù)端進(jìn)行策略的下發(fā)，包括外設控制、應用程序控制、補丁分發(fā)、電源管理等，下發(fā)安全策略；第三階段，在確保軟件的兼容性和安全管理策略有效的前提下，向院所有終端統一布署安裝和策略下發(fā)。

終端安全管理系統實(shí)施效果針對醫院終端安全管理存在的五大問(wèn)題，通過(guò)終端安全管理系統，找到了對應的解決方案，實(shí)施效果符合預期。3.1 全面細致的管理 運維人員通過(guò)Ivanti可以提前預防故障，如通過(guò)后臺清單掃描獲知HIS前端機器系統盤(pán)硬盤(pán)空間是否充足、CPU負載是否正常；還可以通過(guò)自動(dòng)掃描HIS工作站的各類(lèi)安全隱患，從分散管理轉為集中管理。通過(guò)自定義修復，我院設置“七步洗手法”統一屏保，統一自動(dòng)待機、關(guān)機時(shí)間，實(shí)現綠色IT管理。另外，終端安全管理系統自身的維護和布署非常簡(jiǎn)單，便于運維人員將工作重心放在保障和維護HIS上。3.2 高效的軟件布署終端安全管理系統擁有三項專(zhuān)利技術(shù)，保證軟件分發(fā)效率，隨時(shí)進(jìn)行軟件布署和升級，并且能夠控制網(wǎng)絡(luò )帶寬，不會(huì )造成網(wǎng)絡(luò )堵塞，實(shí)現全自動(dòng)化運維。比如，我院針對Windows XP和Windows 7終端，在工作時(shí)間下發(fā)Office 2010，批量分發(fā)，靜默安裝，花費不到1d時(shí)間，也不會(huì )影響業(yè)務(wù)網(wǎng)絡(luò )。3.3 主動(dòng)監視的遠程支持平臺 在遠程支持平臺中，HIS工作站同步可見(jiàn)，運維人員可以第一時(shí)間發(fā)現問(wèn)題，及時(shí)解決問(wèn)題。同時(shí)，一個(gè)界面還可以展現多個(gè)被管理界面，滿(mǎn)足遠程多主機同時(shí)維護的需要?？紤]到系統安全性，Ivanti對整個(gè)遠程登錄過(guò)程還支持日志審計。3.4 多層次安全管理功能 針對終端安全，需要構建補丁及時(shí)更新、外設管理、應用程序控制等多層次的復合防護體系。比如，針對勒索病毒的MS17-010補丁修復，我院1 300臺終端不到半天時(shí)間便將補丁分發(fā)且安裝成功。USB接口是安全隱患的發(fā)源地，通過(guò)軟件對全院U盤(pán)和無(wú)線(xiàn)網(wǎng)卡進(jìn)行控制，并確保不影響醫療儀器、打印機等設備的正常使用。我院還對內網(wǎng)中Windows游戲和違規軟件實(shí)施了黑名單控制。3.5 IT資產(chǎn)的自動(dòng)追蹤統計 針對醫院整個(gè)IT資產(chǎn)，Ivanti終端安全管理系統通過(guò)清單掃描器，收集終端各項軟硬件資產(chǎn)，以及資產(chǎn)變更信息、增量掃描、差異傳輸，通過(guò)各種手段自動(dòng)匯報終端資產(chǎn)情況，幫助我院實(shí)施準確有效的資產(chǎn)盤(pán)點(diǎn)。

結論

隨著(zhù)醫院信息化建設的深入及終端數量的增加，傳統的管理方式已經(jīng)很難應付日益增長(cháng)的安全管理需要。因此，選擇合適有效的、功能穩定的、兼容性好的終端安全管理系統是非常必要的。通過(guò)Ivanti終端安全管理系統，切實(shí)簡(jiǎn)化了我院運維管理的復雜性，降低了安全風(fēng)險隱患，得以從煩瑣而繁重的終端日常維護工作中解放出來(lái)。