淺談三級(jí)甲等醫(yī)院部署殺毒軟件及使用心得

◆張 堯 彭建明

?

淺談三級(jí)甲等醫(yī)院部署殺毒軟件及使用心得

◆張 堯 彭建明

（新疆維吾爾自治區(qū)人民醫(yī)院信息中心 新疆 830001）

信息技術(shù)和管理科學(xué)的發(fā)展，推動(dòng)了醫(yī)院管理信息系統(tǒng)的發(fā)展，目前云計(jì)算、大數(shù)據(jù)技術(shù)的快速發(fā)展和進(jìn)步促進(jìn)了醫(yī)院信息化管理系統(tǒng)的普及和使用。在醫(yī)院的管理中，信息化管理系統(tǒng)所發(fā)揮的作用和給醫(yī)院帶來(lái)的效益，越來(lái)越明顯地表現(xiàn)出來(lái)。與此同時(shí)信息化系統(tǒng)也面臨著較多的安全威脅，比如黑客、木馬和病毒等，這一威脅使得醫(yī)院急需擁有一套安全系統(tǒng)進(jìn)行防御，保證信息化管理系統(tǒng)的正常運(yùn)行。本文講述了三甲醫(yī)院部署殺毒軟件的心得體會(huì)，供讀者參考。

防病毒軟件；部署；實(shí)施；效果

0 前言

醫(yī)院又好又快的發(fā)展離不開(kāi)信息網(wǎng)絡(luò)的技術(shù)，近年來(lái)關(guān)于醫(yī)院網(wǎng)絡(luò)被病毒攻擊的報(bào)道不勝枚舉，相關(guān)醫(yī)院信息網(wǎng)絡(luò)安全逐漸受到人們的廣泛重視，關(guān)于如何做好醫(yī)院信息網(wǎng)絡(luò)安全控制始終是醫(yī)院信息行業(yè)領(lǐng)域研究的熱點(diǎn)之一。本文就我院殺毒軟件部署、實(shí)施和實(shí)際工作總結(jié)了病毒防護(hù)技術(shù)在醫(yī)院信息網(wǎng)絡(luò)安全中的具體應(yīng)用措施。

1 項(xiàng)目基本情況介紹

新疆維吾爾自治區(qū)人民醫(yī)院始建于1934年，是一所集醫(yī)療、教學(xué)、科研、預(yù)防、保健和社區(qū)衛(wèi)生服務(wù)為一體的大型綜合性“三級(jí)甲等醫(yī)院”。目前，醫(yī)院編制床位2700張，現(xiàn)有職工5000余人。醫(yī)院緊緊圍繞“創(chuàng)建數(shù)字化醫(yī)院”總目標(biāo)，不斷完善醫(yī)院信息化建設(shè)，助推醫(yī)院各項(xiàng)工作快速發(fā)展。2009年率先在新疆開(kāi)展遠(yuǎn)程會(huì)診工作，2011年建成全國(guó)唯一遠(yuǎn)程醫(yī)療專網(wǎng)和覆蓋全疆126家各級(jí)醫(yī)療機(jī)構(gòu)的遠(yuǎn)程會(huì)診專網(wǎng)，2016年順利通過(guò)國(guó)家衛(wèi)生計(jì)生委審核，確定為電子病歷系統(tǒng)功能應(yīng)用水平評(píng)價(jià)六級(jí)醫(yī)院。

醫(yī)院信息網(wǎng)絡(luò)分為互聯(lián)網(wǎng)、內(nèi)網(wǎng)（局域網(wǎng)）和無(wú)線網(wǎng)絡(luò)，實(shí)現(xiàn)物理隔離。醫(yī)院無(wú)線網(wǎng)絡(luò)為內(nèi)網(wǎng)網(wǎng)絡(luò)，手持PDA（Windows mobile系統(tǒng)和Android系統(tǒng)）、移動(dòng)護(hù)理查房（iOS系統(tǒng)）等。全院現(xiàn)有計(jì)算機(jī)終端2500余臺(tái)，各類物理服務(wù)器60臺(tái)，運(yùn)行各類業(yè)務(wù)118項(xiàng)。服務(wù)器操作系統(tǒng)以Windows Server2008 R2居多，其他由于部分業(yè)務(wù)需求，也有小部分Windows Server 2003和Linux操作系統(tǒng)。服務(wù)器硬件配置較高，可以滿足殺毒軟件的運(yùn)行條件。全院2500多臺(tái)計(jì)算機(jī)終端配置不一，一般都是四核4G內(nèi)存居多，但也有雙核2G內(nèi)存甚至雙核1G內(nèi)存計(jì)算機(jī)。操作系統(tǒng)是Windows 7x64家庭版和Windows XP系統(tǒng)。80%計(jì)算機(jī)終端在住院病區(qū)使用，其余20%計(jì)算機(jī)終端在門診部、收費(fèi)科室、手術(shù)麻醉科室、體檢科室和其他科室使用。圖1為醫(yī)院終端分布情況。

圖1 醫(yī)院終端分布情況

2 項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估

隨著我院信息網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，信息系統(tǒng)各類應(yīng)用不斷得到擴(kuò)充，信息化的過(guò)程是一個(gè)成效與風(fēng)險(xiǎn)并存的系統(tǒng)工程，一方面系統(tǒng)方便了醫(yī)療和管理，另一方面醫(yī)院業(yè)務(wù)對(duì)信息系統(tǒng)的依賴性越來(lái)越強(qiáng)，如何保護(hù)物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全以及管理安全成為擺在醫(yī)院信息管理人員面前一道刻不容緩的課題。

Trustwave發(fā)布了一份2015年醫(yī)療行業(yè)的安全報(bào)告，通過(guò)對(duì)398名專業(yè)的醫(yī)療專業(yè)人員（部分是技術(shù)人員，包括CIO、CISO、IT主管等，另一部分是普通的醫(yī)護(hù)人員）的調(diào)查，發(fā)現(xiàn)有91%的調(diào)查對(duì)象認(rèn)為針對(duì)醫(yī)療行業(yè)的網(wǎng)絡(luò)攻擊活動(dòng)越來(lái)越多。我院現(xiàn)處于內(nèi)外網(wǎng)物理隔離狀態(tài)中，TCP445網(wǎng)絡(luò)共享開(kāi)啟，admin共享權(quán)限開(kāi)啟，本地策略、Windows系統(tǒng)老舊、關(guān)鍵服務(wù)器、內(nèi)網(wǎng)終端密碼安全度低，造成了Kido、Viking網(wǎng)絡(luò)蠕蟲(chóng)的常駐、頻繁的網(wǎng)絡(luò)發(fā)包攻擊、重復(fù)感染等現(xiàn)狀，不但影響我院院內(nèi)網(wǎng)網(wǎng)絡(luò)帶寬，同時(shí)可造成共享打印計(jì)劃任務(wù)排隊(duì)、內(nèi)網(wǎng)數(shù)據(jù)丟失或長(zhǎng)期沒(méi)有強(qiáng)大反病毒軟件防護(hù)的前提下內(nèi)網(wǎng)核心業(yè)務(wù)系統(tǒng)病毒泛濫等問(wèn)題。

3 項(xiàng)目安裝部署前期調(diào)研

前期醫(yī)院內(nèi)網(wǎng)環(huán)境使用的其他免費(fèi)殺毒軟件，由于不能及時(shí)更新病毒庫(kù)以及控制臺(tái)，臨床科室使用情況不佳，存在個(gè)別病毒、木馬、廣告程序清除不徹底，查殺時(shí)占用資源多，造成臨床使用計(jì)算機(jī)有卡頓現(xiàn)象，嚴(yán)重影響臨床科室工作。我院于2018年公開(kāi)招標(biāo)殺毒軟件，最終北京卡巴斯基中標(biāo)。前期針對(duì)我院終端實(shí)際情況，制作了Windows 7系統(tǒng)卡巴斯基安裝包和XP系統(tǒng)卡巴斯基安裝包，卡巴斯基工程師對(duì)我院現(xiàn)有計(jì)算機(jī)終端、網(wǎng)絡(luò)情況以及臨床實(shí)際工作展開(kāi)調(diào)研，制定出幾種部署方式，如表1。

最后為保證臨床工作正常開(kāi)展及信息系統(tǒng)正常運(yùn)行，決定利用下班時(shí)間，采用封包技術(shù)，制作本單位操作系統(tǒng)，對(duì)科室計(jì)算機(jī)進(jìn)行統(tǒng)一安裝部署。不占用臨床工作時(shí)間，統(tǒng)一操作系統(tǒng)為方便后期維護(hù)。

表1 部署方式比較

部署方式部署方法實(shí)際效果 通過(guò)pcanywhere部署遠(yuǎn)程操控將原有殺毒軟件卸載，在安裝卡巴安裝包由于計(jì)算機(jī)系統(tǒng)環(huán)境差異，調(diào)試、安裝時(shí)間過(guò)長(zhǎng)，占用臨床工作時(shí)間 Web發(fā)布自解壓安裝包把安全防護(hù)產(chǎn)品通過(guò)簡(jiǎn)易的操作制作成自解壓安裝包，然后將其放在內(nèi)部網(wǎng)絡(luò)進(jìn)行共享；使用殺毒軟件的通知功能將鏈接發(fā)布，用戶下載后雙擊運(yùn)行即可完成臨床欠缺計(jì)算機(jī)常識(shí)，有可能會(huì)取消安裝 域模式下登錄腳本安裝在管理服務(wù)器上，針對(duì)域賬號(hào)創(chuàng)建安裝腳本，用戶只要使用域賬號(hào)登錄計(jì)算機(jī)，安裝進(jìn)程就會(huì)自動(dòng)運(yùn)行由于計(jì)算機(jī)系統(tǒng)環(huán)境差異，有可能會(huì)造成安裝失敗；安裝成功后需要卸載之前的殺毒軟件，臨床缺乏計(jì)算機(jī)常識(shí)，可能不會(huì)卸載 基于Windows RPC安裝使用Windows共享文件夾的安裝方式進(jìn)行安裝，客戶端登錄指定的共享文件夾，執(zhí)行安裝程序由于計(jì)算機(jī)系統(tǒng)環(huán)境差異，有可能會(huì)造成安裝失敗；安裝成功后需要卸載之前的殺毒軟件，臨床缺乏計(jì)算機(jī)常識(shí)，可能不會(huì)卸載 域模式下組策略發(fā)布安裝殺毒軟件網(wǎng)絡(luò)安全管理中心支持安全防護(hù)程序通過(guò)域模式下的組策略方式進(jìn)行安裝由于計(jì)算機(jī)系統(tǒng)環(huán)境差異，調(diào)試、安裝時(shí)間過(guò)長(zhǎng)，占用臨床工作時(shí)間 本地移動(dòng)存儲(chǔ)安裝通過(guò)光盤(pán)或其他移動(dòng)存儲(chǔ)介質(zhì)，將安全防護(hù)產(chǎn)品拷貝到本地，執(zhí)行安裝利用下班時(shí)間，采用封包技術(shù)，制作本單位操作系統(tǒng)，對(duì)科室計(jì)算機(jī)進(jìn)行統(tǒng)一安裝部署。不占用臨床工作時(shí)間，而且統(tǒng)一操作系統(tǒng)，方便后期維護(hù)

4 殺毒軟件運(yùn)營(yíng)經(jīng)驗(yàn)

服務(wù)端硬件是一臺(tái)Dell R730，安裝SqlServerExpress2016數(shù)據(jù)庫(kù)一套，安裝Kaspersky Security Center 10 管理控制臺(tái)一套，授權(quán)計(jì)算機(jī)數(shù)量4500臺(tái)。根據(jù)業(yè)務(wù)需求現(xiàn)將設(shè)備進(jìn)行了分組分權(quán)，統(tǒng)一集中管理，包含（服務(wù)器組，辦公室可用U盤(pán)組，辦公室禁止U盤(pán)組，補(bǔ)丁測(cè)試組，二級(jí)分組對(duì)win7和winXP區(qū)別管理），經(jīng)過(guò)測(cè)試，分別將常用醫(yī)療系統(tǒng)件加入白名單（例如his、電子病歷組件、lis相關(guān)文件、pac相關(guān)文件等），以確保臨床能夠正常使用。

針對(duì)我院的具體應(yīng)用情況，為完全滿足需求的防護(hù)系統(tǒng)。內(nèi)外網(wǎng)部署端點(diǎn)安全產(chǎn)品，設(shè)置配置性能不同，必須有針對(duì)低配置計(jì)算機(jī)的瘦版本反病毒程序使得我院部署無(wú)死角。在虛擬化環(huán)境中，安裝虛擬化安全反病毒產(chǎn)品，并且保障與虛擬化平臺(tái)集成無(wú)縫防護(hù)機(jī)制。移動(dòng)終端和手持查房設(shè)備等也需安裝響應(yīng)卡巴斯基安全產(chǎn)品。并通過(guò)一個(gè)管理端對(duì)所有安全產(chǎn)品做到統(tǒng)一管理。

選擇適當(dāng)?shù)姆雷o(hù)標(biāo)準(zhǔn)。確保病毒、木馬不能侵入服務(wù)器或者終端，同時(shí)也不能在防護(hù)或者查殺過(guò)程中影響到臨床的正常使用。采用世界最先進(jìn)的清除威脅能力較強(qiáng)的安全防護(hù)產(chǎn)品，可確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)具有最佳的威脅、黑客軟件防護(hù)能力，同時(shí)也降低了管理人員的工作量和安全防護(hù)產(chǎn)品的維護(hù)成本。選用產(chǎn)品應(yīng)具備對(duì)多種文件格式、多層壓縮文件的威脅檢測(cè)，對(duì)包括各種宏病毒、變種病毒、勒索病毒和黑客程序等已知威脅具有最佳的威脅檢測(cè)率，對(duì)未知威脅亦有良好的檢測(cè)能力。在提高威脅檢測(cè)力的同時(shí)，對(duì)檢測(cè)出的威脅也有很高的清除能力，依靠程序本身就可徹底清除感染文件的威脅，減輕管理人員對(duì)中毒事件的介入，把更多的精力放在構(gòu)建完整的威脅防護(hù)體系和管理工作上。并對(duì)系統(tǒng)中的應(yīng)用程序，外接設(shè)備，員工上網(wǎng)行為進(jìn)行詳細(xì)而靈活的管理。避免惡意程序通過(guò)外接設(shè)備在網(wǎng)絡(luò)中傳播，增強(qiáng)數(shù)據(jù)安全性。并設(shè)置自動(dòng)查殺病毒功能，建議設(shè)置空閑查殺，自動(dòng)暫停查殺讓出系統(tǒng)資源供臨床軟件使用。

定期修復(fù)漏洞補(bǔ)丁。從用戶群體分類，分為大眾類軟件的漏洞，如Windows的漏洞、IE的漏洞等等。專用軟件的漏洞，如Oracle漏洞、Apache漏洞等等。利用好殺毒軟件的高級(jí)漏洞掃描和智能補(bǔ)丁管理的強(qiáng)大組合，按優(yōu)先級(jí)處理各類漏洞，以杜絕未知病毒的攻擊。定時(shí)定量打補(bǔ)丁在很大程度上能夠避免網(wǎng)絡(luò)病毒的攻擊。

定期了解網(wǎng)絡(luò)信息安全威脅情報(bào)。當(dāng)國(guó)內(nèi)外的醫(yī)療行業(yè)出現(xiàn)重大安全事件后，能夠迅速完整的了解事件解釋和防范措施，確保我院提前預(yù)警和防范，避免遭受同樣的攻擊。自動(dòng)升級(jí)病毒庫(kù)和組件是衡量安全防護(hù)系統(tǒng)是否具有生命力的重要指標(biāo)。殺毒軟件隨著各類新威脅的出現(xiàn)而必須盡快進(jìn)行更新和升級(jí)，并且迅速下發(fā)到各個(gè)終端。

5 結(jié)束語(yǔ)

嚴(yán)格執(zhí)行以上制定的措施經(jīng)過(guò)一年多時(shí)間后，本院的病毒已趨于穩(wěn)定。總結(jié)幾點(diǎn)：安裝正版殺毒軟件是非常有必要的，但是不能一裝了之，平時(shí)需要有專人維護(hù)殺毒軟件，定期組織全網(wǎng)查殺，一旦發(fā)現(xiàn)問(wèn)題就要及時(shí)跟蹤處理。我院雖然購(gòu)買了正版的殺毒軟件, 后續(xù)如果條件允許，應(yīng)購(gòu)買網(wǎng)管軟件，網(wǎng)管軟件可以彌補(bǔ)殺毒軟件的不足。安裝使用網(wǎng)管軟件可以控制網(wǎng)內(nèi)每個(gè)計(jì)算機(jī)的行為，可以防止由于人員的有意或無(wú)意的操作通過(guò)其他媒介給局域網(wǎng)帶來(lái)新的病毒。網(wǎng)管軟件有下幾個(gè)作用，例如：如何真正控制管理內(nèi)網(wǎng)終端設(shè)備的運(yùn)行；如何對(duì)內(nèi)網(wǎng)的IP進(jìn)行監(jiān)管；如何對(duì)內(nèi)網(wǎng)終端上傳、下載文件等行為進(jìn)行監(jiān)管；如何對(duì)內(nèi)網(wǎng)的敏感信息進(jìn)行管理；這些都可以安裝使用監(jiān)控軟件來(lái)實(shí)現(xiàn)。

[1]王曉波.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略分析[J].中國(guó)新通信, 2015(10):62.

[2]史源.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用, 2015(01):202+204.

[3]笪智.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)信息安全與防護(hù)策略分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2016(08):6.