基于ＶＩＡＣＯＮＴＲＯＬ的醫院內網安全管理

摘要：隨著醫院信息化的全面發展，網絡安全在醫院實際工作中已經十分重要。文中就醫院內部網絡存在的安全隱患和通過對威盾（VIACONTROL）內網安全管理應用可以解決的問題進行了較為詳實的闡述。

關鍵詞：內網安全；Viacontrol；信息管理

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)17-21431-02

現在大家談論到信息安全，首先想到的就是病毒、黑客入侵，在媒體的宣傳下，病毒、黑客已經成為危害信息安全的罪魁禍首。然而，對計算機系統造成重大破壞的往往不是病毒、黑客，而是組織內部人員有意或無意對信息的窺探或竊取。從技術上來講，隨著IT知識的日益普及，內部人員更易獲取信息，因為內部人員可以很容易地辨識信息存儲地，且無需擁有精深的IT知識，只要會操作計算機，就可以輕易地獲取自己想要得資料，相對而言，黑客從外部竊取資料就比較困難。

FBI和CSI對484家公司進行了網絡安全專項調查，調查結果顯示：超過85%的安全威脅來自單位內部，只有5%是來自黑客的攻擊；在損失金額上，由內部人員泄密導致的損失是黑客所造成損失的16倍，是病毒所造成損失的12倍。這組數據告訴我們應加強網絡內部安全建設。在信息經濟年代，醫院的信息管理系統如同一把雙刃劍，一方面是把醫院的管理，就醫的高效便利上升到了一個前所未有的高度，另一方面是由于其自身的開放性和漏洞等而使醫院的信息安全受到嚴重威脅。隨著信息系統用戶的增加，大家對系統的依賴已經到了不可缺少的地步。這使得內網安全問題變得越來越重要和突出。必須在內網建立可靠的安全機制，當網絡規模達到一定程度時，靠IT信息管理人員的人工管理，已經很難掌控，而Viacontrol正是這方面的管理利器。她可以嚴格監控和記錄醫院內部各臺計算機的使用情況，具有強大的屏幕快照、網絡管理、實時跟蹤、運行統計、歷史歸檔，設備管理、遠程維護等功能。可根據用戶需要回播這些記錄來報告工作站的工作狀況，讓您隨時了解計算機用戶的資源利用情況，以保證內網安全。

1 醫院在內網管理中所面臨的問題

1.1 網絡資產及資源管理難度日益提高

計算機軟、硬件數量無法確實掌握，盤點困難；無法有效防止員工私裝軟件，造成非法版權使用威脅；硬件設備私下挪用、竊取，造成財產損失；使用者計算機IP地址隨易變更，造成故障頻傳；軟件單機安裝浪費人力，應用軟件版本不易控制；設備故障或資源不足，無法事先得到預警；應用軟件購買后，員工真正使用狀況如何，無從分析；居高不下的信息化資源成本，不知如何改善。

1.2 病毒入侵和文檔泄密

病人的信息，工作人員的信息等重要資料遭非法拷貝，資料外泄，無法監督；私自安裝軟盤驅動器、光盤驅動器、光盤刻錄機、磁帶驅動器等存儲設備;私接COM口、LPT端口、移動硬盤、USB存儲設備、1394、紅外線等通訊設備 ;使用網絡打印機將資料打印后帶出;使用便攜式電腦進入局域網竊取信息;隨意將文件設成共享，導致不相關人員獲取資料。

1.3 不規范的網絡行為

上班玩游戲、聽音樂；編輯與工作無關的文件，使用與工作無關的程序；進入同事電腦獲取資料，進入服務器獲取非授權資料；破壞共享服務器中的文件、程序，散播網絡病毒等。

2 Viacontrol在醫院內網管理中的實施

2.1 Viacontrol功能及基本運行框架

Viacontrol是一個在局域網上進行有效監視的工具。它的主要功能包括：

可以實時監視和記錄局域網上各個計算機上的屏幕快照；可以將所有計算機的屏幕快照歸檔保存，并能方便快速地調出和查閱所保存的歷史記錄；可以記錄所有計算機各項應用運行的情況，并能產生統計圖表讓管理員查看用戶的使用情況；可以阻止計算機運行某些指定的應用程序；可以查看所有計算機的軟硬件配置信息；可以記錄用戶對文檔的操作和控制系統的外部設備；可協助管理人員和工作站員工透過工作站作實時互動。

系統的基本框架如下圖所示。

2.2 Viacontrol的基本組成及安裝實施

Viacontrol基本系統由五個不同的模塊組成：代理模塊、服務器模塊、控制臺模塊、交換機模塊和遠程控制模塊。用戶根據具體需要將它們安裝在局域網中的計算機上。我院局域網因與Internet外網物理隔離，只選用了其中前三種模塊：

代理模塊定時采集、保存、發送數據到服務器，響應控制臺監視請求，傳送實時屏幕快照信息。代理模塊安裝在每一臺需要被監視的終端計算機上。安裝時，只需在終端電腦上直接運行代理模塊的安裝程序即可。代理模塊在安裝到需要被監視的計算機上后，每次在被監視的計算機啟動時，代理模塊會自動運行。安裝有代理模塊的計算器具有較強的安全保護功能。代理模塊經過安裝后在系統后臺運行，用戶看不到代理模塊的運行痕跡，可防止被非授權用戶刪除。用戶可以利用控制臺模塊來實時了解安裝有代理模塊的計算機的代理程序運行情況，并且根據需要卸載代理模塊。

服務器模塊定時搜索網絡，管理所有已安裝代理程序的機器，并向代理模塊傳遞相關的設置和命令信息；收集代理模塊采集的數據，并將其保存到數據庫中，備份、管理、歸檔歷史記錄。我院將服務器模塊安裝在一臺具有大容量硬盤空間的用作服務器的高端PC機上。在選定安裝服務器模塊的電腦上運行服務器安裝程序即可。一個局域網中只允許在一臺機器上運行服務器模塊。

控制臺模塊實時監控單個或分組目標機，輪流顯示多個目標機屏幕快照；設置監視和控制規則；查看并播放記錄在服務器端的歷史記錄；查詢特定機器特定時刻的歷史記錄。我院將其安裝在經過授權的網管人員的計算機上。在網管員電腦上運行控制臺安裝程序即可。

3 結束語

Viacontrol內網管理軟件在我院安裝部署完成后，對醫院的局域網內網管理帶來了極大的便利。現在的電腦USB接口特別多，USB外設也特別多，以往發現網絡有病毒你不知道是那個電腦偷偷使用了優盤，或者是那位員工私自在辦公電腦中安裝了光驅，誰都不認帳，網管員最初在CMOS里禁用了USB設備，可是沒辦法，現在有些打印機只能用USB接口，還得開放，接下來就用封條封上USB接口，可下面也有對策，剝開，用好后再虛封上，最后，網管員只能把它用硅膠堵上，防不勝防。就一個小小的USB接口，如果醫院有三百臺電腦，每臺電腦又有四個USB接口，一共就有一千二百個USB接口，靠網管員的兩只眼睛去管，顯然不科學，現在好了，Viacontrol實施后的效果明顯：

(1)遠程桌面管理，醫院信息中心管理員可以通過遠程控制來進行終端電腦的維護管理，網絡管理員可以通過消息管理器向終端違規員工發送信息，讓違規員工停止行為，也可以采取更加嚴厲的措施，對終端電腦進行鎖定、關閉、重新啟動等操作。(2)終端電腦事件日志管理，詳細記錄終端電腦的所有操作日志信息，包括：系統事件、應用程序事件、瀏覽網頁事件、控制事件、硬件事件、軟件事件、啟動程序事件、窗口事件。方便信息管理部門對終端電腦的維護，大大縮短終端電腦維修周期，提高了信息科的工作效率。(3)終端電腦設備管理， 通過對終端電腦的讀寫設備的開關管理，避免員工帶入病毒程序，感染內網，造成網絡癱瘓。 (4)信息化資產管理， 通過對終端電腦的硬件、軟件資產及時獲取，為IT資產管理提供方便，避免了傳統IT資產統計信息不準確的現象，同時，實現了及時的IT資產變化報警管理。 (5)對終端電腦非法使用報警， 通過對員工使用電腦報警規則設置，在員工非法進行電腦改名、改ip、添加硬件、刪除硬件、添加程序、刪除程序、改寫MAC地址，系統立即進行報警提示，并對報警內容進行記錄。

當然，隨著計算機軟硬件的不斷升級換代，內網安全管理軟件也應當與時俱進，以適應新的信息安全管理需求。

參考文獻：

[1] 王光華，郭雪清，黃正東.內網安全解決方案[J].醫療衛生裝備，2006，27，5:27-28.

[2] 李欣，侯松霞.內網安全防御系統的研究[J].計算機應用，2007，27:245-246.

[3] http://www.hupu.net/product/product_1.asp.

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文