醫院局域網終端的安全管理

郝冀皖，馬 獻，劉陸陸

醫院局域網終端的安全管理

郝冀皖，馬 獻，劉陸陸

醫院局域網；終端管理；虛擬化技術

當前醫院信息系統(hospital information system，HIS)在衛生醫療領域內已不可替代，相關從業人員對其的依賴度也日益加深。HIS系統安全高效運行對醫院的名譽、口碑、效益有較大的影響，也與患者的切身利益息息相關。由于HIS系統自身7×24 h不間斷運轉的特殊要求，系統出現問題，發生故障也不可避免。因此對于醫院信息化工作來說，如何通過有效的管控減少故障發生，如何快速解決問題，及時應對就顯得尤為重要。

1 現狀與問題

HIS系統主要通過局域網共享數據庫資源，從而實現各模塊的功能。為了確保HIS系統能夠安全穩定運行，各大醫院都制定了相應的運行維護方案。如：建立安全管理制度，規范工作人員的操作，制定系統應急預案，入侵檢測、防火墻與殺毒軟件的應用，定期進行數據備份等[1]。但由于醫院信息化的不斷發展，各種硬件設備的更新和軟件的升級，致使這些傳統的措施已經無法應對當前的實際狀況。

1.1 終端系統部署 計算機安裝系統，HIS系統模塊調試及外設連接耗時費力，單調重復。并且隨著其數量的不斷增加，也給終端資產管理帶來了很大的困難。設備的數量型號，分布位置及從屬關系不便統計，終端配置及其軟件安裝也很難管理。

1.2 局域網病毒防護 局域網病毒在危害終端的同時，會快速傳遍整個網絡，造成醫療數據損壞丟失，影響網絡運行速度，甚至導致網絡癱瘓。在局域網絡環境中，終端染毒大多來自于移動存儲介質。禁用USB端口諸多不便，而殺毒軟件以防護為主，一旦染毒很難完全清除。

1.3 維護與升級 在舊有模式下，醫院信息化的大量運行維護需要工程師現場支持。例如終端系統補丁更新，HIS系統模塊升級及新增應用程序等，要求工程師下科作業，效率極低。

1.4 信息安全 由于醫院所處的環境較為特殊，終端漏洞一旦被利用，就會威脅到醫院的經濟利益。這些威脅會避開傳統的安全協議，使醫院成為數據竊取和操控的受害者，造成業務服務中斷，并導致醫院品牌和聲譽嚴重受損[2]。

為解決局域網辦公終端存在的弊病，筆者組織實施了符合本單位信息化現狀的計算機安全管理解決方案。

2 方案實施

該方案采用了主動管理方式來管理局域網終端，其核心是虛擬化技術的應用。服務器通過管理各個分組的虛擬鏡像即可管理全部終端，再配以控制臺的輔助功能，進而規范并簡化了日常紛繁復雜的IT運行維護工作，見圖1。

圖1 醫院局域網終端方案架構圖

2.1 服務器 服務器采用Windows Server 2003操作系統，運行服務器安裝程序包，搭建Ftp服務器。開啟后臺及資產管理等必要服務，配置網絡參數即可完成服務器的安裝部署。

2.2 客戶端 將所部署終端的開機啟動順序設置成從網絡啟動。進入客戶端安裝窗口后，從相關分組中選取對應的系統鏡像即可自動完成安裝。

2.3 控制臺 控制臺可安裝在局域網內任意終端。運行控制臺安裝程序，在初始界面與服務器建立連接后即可使用。通過控制臺可以進行鏡像分組的添加，修改和刪除。輔助功能有遠程桌面、軟件分發、補丁更新、準入控制、消息發布、資產管理等。

3 功能分析

3.1 系統自動部署 首先需要創建相應的虛擬系統，例如病房醫師、門診醫師、護理OS鏡像等。通過控制臺將鏡像上傳至服務器存儲，并建立相應的分組。局域網內每加入一臺終端，在連接網絡后，設置網卡啟動，選擇相應的分組鏡像即可自動安裝，10～15 min完成部署。虛擬鏡像集成了全部外設驅動，可實現打印機、讀卡器等硬件設備的即插即用。P2P技術的引用大大降低了對服務器和網絡指標的要求。經測試，普通塔式服務器和100 M主干網同時部署200臺終端共耗時35 min。

3.2 集中分組式管理 該方案支持局域網終端集中分組管理，在系統虛擬化的基礎上實現了應用虛擬化。根據用途不同，原始鏡像可以安裝不同的HIS應用模塊，實施不同的管理策略，形成多個分組鏡像。只要統一管理好服務器上的虛擬鏡像，及時升級，打補丁，更新病毒碼，各終端就會自動與之對比，完成系統更新。此外通知傳達，消息廣播以及資料分發可以通過控制臺選定范圍后統一執行。

3.3 網絡數據安全 由于虛擬化技術的應用，該方案基本實現了計算機病毒“0”感染。任何病毒只能在終端內存短期駐留，無法寫入OS鏡像，從而無法擴散，而終端在與鏡像同步后也會自動清除病毒。對于用戶數據，則可以定制為本地存儲或遠程存儲。遠程存儲可將用戶數據從終端遷移到存儲服務器，并進行存儲數據陣列冗余備份或雙機備份，實現更安全的數據保護。終端一旦發生硬盤損壞或數據丟失，即可通過SAN的快照功能進行用戶數據按需還原。此外通過控制臺還能夠進行終端IPMAC 地址掃描綁定，從而實現準入控制，杜絕非法訪問。

3.4 遠程協助及資產管理 管理員可以通過控制臺同時對多個終端進行遠程桌面控制，提供技術支持。由于醫院對信息化建設不斷加大投入，準確合理的統計管理便成了信息化資產高效利用的前提基礎[3]。控制臺能夠掃描收集終端信息，包括主板信息、操作系統、邏輯分區、計算機描述以及相關外設。根據統計數據，IT管理部門能夠更加合理的調控，分配信息化資產，為醫院信息化建設打下堅實的基礎。

[1] 鄭 蕾,翁盛鑫,黃 影.醫院信息系統客戶端的安全管理和實踐[J].醫療衛生裝備,2010,31(3)：62-63.

[2] 夏 勇,陳敏亞,沈志強.醫院計算機終端的安全管理和實現[J].網絡安全與管理,2011,6(2)：112-113.

[3] 周 毅.淺析醫院信息化建設的資產管理[J].中國醫學裝備,2012,9(12)：81-83.

(2014-05-20收稿 2014-08-13修回)

(責任編輯 郭 青)

郝冀皖，本科學歷，工程師，E-mail: 121378998@qq.com

100039北京，武警總醫院計算機管理中心

李雷剛，E-mail:151511575@qq.com

R197.324