医疗行业终端安全管理的探索.doc

医疗行业终端安全管理的探索 杭州盈高科技有限公司二一年十月概述在刚刚过去的二十一世纪第一个十年中，医疗信息化取得了飞速的发展。实际上，并没有哪一个行业的信息化，能像医疗行业一样，对传统工作方式带来如此大的冲击；也没有哪一个行业的信息化，能像医疗行业一样，让每个老百姓都能切实感受到变化。不管是什么年龄层次和文化程度的人，都能感受到二十年前排队叫号、十年前电子屏幕通告和如今网上预约之间的便捷和进步。经过多年努力，绝大多数医疗机构已建立临床、医技、财务、管理等部门的内部信息网，和连接各医保中心、Intent外部网的网络体系，信息交换、信息共享的模式日趋成形。医院信息系统（HIS）实现了对医疗等部门人流、物流、财流的综合管理，为医院的运行提供智能化的管理和服务。医学图像存储传输系统（PACS）、检验信息系统(LIS)、电子病历系统（EMR）的有效利用，使HIS从初期的以收费为中心的管理系统逐步走向以病人为中心的临床信息系统（CIS）。集电子病历、电子医嘱、检查电子申请单于一体的临床信息系统的成功应用，使医疗机构进入了全面数字化的时代。但是，由于目前医疗机构的各项业务完全依赖于计算机系统，特别是数量剧增的计算机终端，为保证HIS、LIS、PACS、EMR系统的正常运行和数据安全，保证各业务系统724小时不间断运行，各类网络安全设备也逐步实施，但大量终端的安全管理问题却日益加剧。非法“统方”激流暗涌非法“统方”作为药耗回扣利益链条中的重要环节，既违反了卫生部八项行业纪律，同时触犯了中华人民共和国刑法第285条第2款。“统方”行为破坏了医院良好的公众形象，减低了医院的社会满意度。但目前二层架构的医院信息系统，分布广泛的接入终端，给信息管理工作带来了巨大的挑战。如何及时发现利用信息系统漏洞进行的“统方”的行为？如何利用技术手段禁止该类行为？外来计算机带来的安全和管理漏洞 随着笔记本电脑的普及，特别是上网本的兴起，移动办公和移动娱乐成为普遍行为。但也出现了医生或患者的笔记本电脑随意接入医院内部网络的情况，带来了安全风险和管理隐患。甚至成为“统方”行为的工具。如何规范和管理外来计算机的接入？U盘随意使用内外网物理隔离，计算机专机专用，的确给内部办公带来了很多便捷，但也会给个人使用带来一些“不便”。因此，总有人利用各种办法，把游戏和小说等娱乐内容带入办公环境。简单易用的U盘成为最常用的工具。如何禁止U盘的私下随意使用？内部计算机违规访问互联网绝大多数医院早已采用内外网物理隔离，通过网关处的设置，禁止内部电脑访问互联网，杜绝了大部分安全隐患。但随着3G网卡的出现，这一隔离手段面临着失效的危险。如何对内部网络做到真正的隔离？远程协助的不受控使用为了快速维护分散的大量计算机设备和多种业务应用软件，很多医院都安装了“PCANYWHERE”或“REMOTE”之类的远程协助工具。这类工具使用便捷高效，但风险也很大，任何人都可以使用该工具远程登录其他人包括领导的计算机。如何在安全的前提下，高效的进行远程协助？解决之道在调研多家三级以上医院软件环境和实际需求后，普遍认为，要解决上述问题，建立安全有效的终端管理机制，必须全面考虑到以下几个方面：1. 采用双实名制，解决入网人员与设备的合法性问题保障接入网络人员合法性的同时，支持对设备的实名认证，保障了接入网络终端设备的合法性，从而加强内部网络的可控性，方便管理员对网络的统一管理。2. 建立“人机对应”负责制应该实现非常灵活的设备分组、分级分域管理，对所有设备建立责任人对应管理制度；将IP设备与用户ID建立对应关系，对日常管理、事中责任明确以及事后规范行为审计等有十分重要的意义。同时可以根据不同组别的资产，可以采取不同的安全检查规范。3. 实行应用程序安全管理u 客户端进程应用监控监控客户端软件的使用情况，特别是连接数据库的进程。对所有的应用软件进程，采用MD5的算法，有效地做到唯一可靠性。禁止管理员规定以外的进程连接数据库服务器，禁止对合法程序的私自篡改。并对违规的终端进行报警提示、终端提示、阻断联网等措施。u 安装软件黑白名单控制对终端软件安装情况进行黑白名单控制，禁止私自安装数据库软件或信息采集软件，并对违规的终端进行报警提示、终端提示、阻断联网等措施。u 网络进程监视功能统一汇总和监视内网中出现的所有进程，可以增量式的显示网络中新出现的进程，也可统计网络中最常运行的进程，从而统计出网络客户端软件的使用情况。可对网络中出现的异常进程进行定位和报警，在必要时可直接阻断。4. 计算机行为安全管理功能u 文件保护及审计功能对用户指定的目录及文件进行访问权限的控制，如读取、修改、删除，并且可以对该指定目录及文件的操作行为进行审计，如读取、修改、删除、重命名等。u 共享目录访问控制功能对客户端的共享目录访问行为进行监控审计，即是否允许客户端访问共享目录，同时可以对通过共享目录拷贝文件的行为进行审计，同时可以对共享目录拷贝的文件类型进行限制，如只允许拷贝.doc/.exe/.rar等文件，除此之外的文件都不可以拷贝。5. USB等硬件设备禁用功能n控制外设的使用，如启用或禁用软驱、光驱、U口、打印机、Model、串口、并口、1394火线口、红外接口等。其中USB存储设备提供禁用、只读、读写三种控制状态，其他类型外设提供禁用、可用两种状态，能够对所有外设访问行为进行细粒度审计。6. 外联安全管理发现网络中存在的计算机通过Modem、Adsl、无线网卡以及离线方式等设备接入互联网行为；详细记录非法上网计算机的计算机名称、单位、上网方式（代理、拨号）；并需要对违规行为进行及时的处理，包括断网、报警等。7. 远程维护平台信息维护人员可以通过WEB管理平台被授权访问网络中的客户端，访问方式包括只读模式（只能查看客户端屏幕，不能进行远程操作）和读写模式（可以进行远程操作），所有操作都需要客户端确认并有使用记录。对于通过地址转换（NAT）方式接入的用户网络管理员也可以通过进行远程控制。8. 补丁安全管理对于物理隔离的内部网络，其补丁升级服务器中的补丁数据必须从外部获得，因此，要求在Internet上进行补丁下载，巨大的补丁库使得每次补丁导入工作非常烦琐。针对此类物理隔离的内网，使用增量式补丁分离技术，在外网补丁下载服务器分离出内网已安装、未安装补丁，分类导入系统补丁，即仅对内网的补丁进行“增量式”的升级，以提高效率。通过增量补丁分离器，在每次导入导出补丁时，可减少拷贝工作量。9. IP/MAC地址绑定管理可以对任意客户端进行IP地址与MAC地址进行绑定管理，且对私自修改IP地址的用户进行不通方式的操作，如恢复原IP地址、提示报警、阻断其网络连接。同时提供对关键客户端进行IP保护，当有人私自修改IP地址与某些关键客户端进行IP冲突时，被保护的关键客户端则正常进行网络连接，而修改者则断开网络。