终端安全管理系统在医院信息化的应用
我国医疗信息化从单机单用户应用和部门级系统应用阶段,正全面进入全院级系统应用和区域医疗的发展阶段。不过,医院信息安全主要集中在网络设备和数据安全,作为面向医院内部每一个员工的终端,其安全管理一直没有受到足够重视。《网络安全法》的正式颁布,对医院信息安全建设提出了更高的要求和约束。随着医院终端设备数量和种类的增多,加上“永恒之蓝”的入侵,终端安全管理已经成为医院信息安全建设的重中之重。
杭州师范大学附属医院共有1300余个终端,针对之前被动管理的不足,以及医院信息化建设的需求,医院选择了终端安全管理系统为医院信息安全提供保障,主动式、集中式管理所有终端,形成“主动管理”“深度防御”的终端安全管理体系,提升IT终端综合安全管理水平。
医院终端安全管理存在的问题据统计,医院信息系统中的安全威胁有80%来源于终端,终端由于其广泛性、分散性,缺乏有效的安全管理手段,成为医院信息安全建设最薄弱的环节之一,医院信息化安全由核心防护逐步转移至网络边界的每一个终端。医院终端安全管理主要存在以下问题:1.1 医院IT运维人员工作量巨大 医院信息科运维人员花费在电脑、打印机等终端维护的工作时间,占据了50%~60%,运维人员每天就像救火员,把大量精力消耗在事务性工作中,在保障HIS上的时间变得越来越有限。并且,医疗信息化程度越高,终端数量和种类越多,问题也就越突出。1.2 医疗系统软件需要更高效的布署维护手段 医疗系统软件不断开发、不断升级,包括版本更新和功能升级,每年都有很多大大小小的升级版本,对于运维人员而言,软件系统的布署升级变得越来越复杂。所以,如何简化现有的软件系统布署和升级工作,是医院IT管理的重中之重。1.3 需要更为便捷高效的远程管理平台 我院有急诊楼、门诊楼、病房楼等,楼层之间距离较远,加上医护人员计算机技术参差不齐,使用过程中会出现各式各样的问题。我院一直使用Radmin、PCAnywhere等远程工具,但是要综合使用才能达到预期效果,迫切需要便捷高效的、适合我院实际情况的远程管理平台。1.4 信息化建设需要全方位的安全管理 随着勒索病毒在全球范围内的爆发,医院不重视补丁管理的风险显现出来,补丁种类多而繁琐,人工安装和维护的工作量巨大。医院医疗系统众多,补丁的兼容性难以保证,无法有效的全局统一布署,需要重视兼容性、稳定性、分发的高效性。我院实施内外网隔离,但是由于计算机接口是通用的,亟需控制USB、无线网卡等外接设备,防止病毒交叉传播,杜绝接口成为安全隐患。另外,由于管理的不规范,内部人员使用违规软件,大大降低安全系数,需要对此类软件实施有效的控制。1.5 资产定位和统计难以确定 由于缺乏有效的技术手段,无法精准定位医院终端位置,如位于哪栋大楼、哪个部室、哪位用户,难以实施有针对性的管理。另外,我院资产管理更多是基于制度层面,资产报表主要是Excel表,内容单一,数据迟滞。IT资产盘点过程冗长,耗费大量时间。医院设备还经常更换,我院难以对每台终端进行实时的、全面的掌握。
终端安全管理系统架构及布署为了解决医院终端安全管理面临的五大难题,医院上线了终端安全管理系统。系统布署采用C/S架构
通过核心服务器对所有终端进行策略下发,并对终端进行资产管理、电源管理、补丁管理、软件分发、外设控制、应用程序控制等功能管理,支持远程故障诊断和维护。
为了保障医院业务正常运行,医院采取分阶段的方式布署和安装。第一阶段,在部分门诊楼和病房大楼进行推送测试,检测软件的兼容性,确保全面布署后不影响业务开展,一周的测试过程中,及时解决问题;第二阶段,逐步对已有的客户端进行策略的下发,包括外设控制、应用程序控制、补丁分发、电源管理等,下发安全策略;第三阶段,在确保软件的兼容性和安全管理策略有效的前提下,向院所有终端统一布署安装和策略下发。
终端安全管理系统实施效果针对医院终端安全管理存在的五大问题,通过终端安全管理系统,找到了对应的解决方案,实施效果符合预期。3.1 全面细致的管理 运维人员通过Ivanti可以提前预防故障,如通过后台清单扫描获知HIS前端机器系统盘硬盘空间是否充足、CPU负载是否正常;还可以通过自动扫描HIS工作站的各类安全隐患,从分散管理转为集中管理。通过自定义修复,我院设置“七步洗手法”统一屏保,统一自动待机、关机时间,实现绿色IT管理。另外,终端安全管理系统自身的维护和布署非常简单,便于运维人员将工作重心放在保障和维护HIS上。3.2 高效的软件布署终端安全管理系统拥有三项专利技术,保证软件分发效率,随时进行软件布署和升级,并且能够控制网络带宽,不会造成网络堵塞,实现全自动化运维。比如,我院针对Windows XP和Windows 7终端,在工作时间下发Office 2010,批量分发,静默安装,花费不到1d时间,也不会影响业务网络。3.3 主动监视的远程支持平台 在远程支持平台中,HIS工作站同步可见,运维人员可以第一时间发现问题,及时解决问题。同时,一个界面还可以展现多个被管理界面,满足远程多主机同时维护的需要。考虑到系统安全性,Ivanti对整个远程登录过程还支持日志审计。3.4 多层次安全管理功能 针对终端安全,需要构建补丁及时更新、外设管理、应用程序控制等多层次的复合防护体系。比如,针对勒索病毒的MS17-010补丁修复,我院1 300台终端不到半天时间便将补丁分发且安装成功。USB接口是安全隐患的发源地,通过软件对全院U盘和无线网卡进行控制,并确保不影响医疗仪器、打印机等设备的正常使用。我院还对内网中Windows游戏和违规软件实施了黑名单控制。3.5 IT资产的自动追踪统计 针对医院整个IT资产,Ivanti终端安全管理系统通过清单扫描器,收集终端各项软硬件资产,以及资产变更信息、增量扫描、差异传输,通过各种手段自动汇报终端资产情况,帮助我院实施准确有效的资产盘点。
结论
随着医院信息化建设的深入及终端数量的增加,传统的管理方式已经很难应付日益增长的安全管理需要。因此,选择合适有效的、功能稳定的、兼容性好的终端安全管理系统是非常必要的。通过Ivanti终端安全管理系统,切实简化了我院运维管理的复杂性,降低了安全风险隐患,得以从烦琐而繁重的终端日常维护工作中解放出来。