医院内网计算机终端安全管理

医院内网计算机终端安全管理

李宾

（南京市中医院信息中心江苏南京210001）

【摘要】随着IT应用的不断发展，医院开始意识到对内部网络计算机终端进行有效管理和控制的必要性，实施计算机终端安全管理控制，确保医院网络安全，已是当前医院信息安全的一项迫切需求。本文主要讨论医院内部局域网在运行过程中可能面临的安全威胁，以及通过使用终端安全管理系统，加强计算机终端的主动防御能力，保障医院网络的安全。?

【关键词】医院内网；网络安全；终端管理

【中图分类号】R197.39【文献标识码】A【文章编号】1007-8231（2017）10-0266-02

1.引言

近年来，随着医院信息化、数字化的迅猛发展，越来越多的医院都建立了HIS、LIS、PACS等各种医疗软件应用系统，医院的网络也变得越来越复杂、越来越重要，关键业务对网络的依存度越来越高。支撑医院各类业务系统正常运转的计算机终端的安全问题也显得日益突出。

当前医院把信息安全的重点放在防范外部的攻击，其主要依赖于防火墙、防病毒、入侵检测等软硬件产品。然而IP地址非法占用、盗用、非法外联、补丁更新滞后、新型病毒、垃圾邮件、内部人员的信息外泄和黑客入侵而导致的安全事故还是时有发生，威胁业务的正常运行和信息资产的安全。传统的以组织边界和核心资产为保护对象，以外部防御为基础的安全体系逐渐显示出严重的缺陷，无法有效应对当前终端安全威胁。医院迫切需要整合、统一部署一套独立的、可靠的、有效的、易管理的内部网终端数据安全防护系统，以全面消除终端安全隐患，保障网络正常运行和信息资产的安全。

终端安全管理系统从控制管理计算机终端安全的角度出发，整合网络访问控制与终端安全产品，对接入网络的计算机终端强制实施安全策略，严格控制终端用户的网络使用行为，有效地加强了计算机终端的主动防御能力。

2.医院计算机终端安全管理建设思路

医院计算机终端的安全管理建设不能仅仅是功能的堆叠，更需要建立终端管理的体系化防护，从多个方位、多个层级对医院终端进行安全管理。

计算机终端是医院工作中不可或缺的、人机交互最频繁的设备；终端是接触核心数据的重要途径，而且终端本身也是核心数据的产生点。不管是破坏网络，还是窃取数据，终端都是一个重要的切入点。所以针对于终端的“骚扰”是相当频繁的，手段也更是多样的。而且“违规者”可能是来自外部的恶意行为，也可能是内部“非故意的”员工。对于终端的安全管理来说，是非常复杂的过程，任何一个细小“漏洞”都可能对用户的网络和核心数据造成威胁。所以，针对终端的安全管理需要一个整体的、联动的解决方案；具备多层次防御，多手段管理相结合的方案，而不是一个功能型、堆叠型建设方案。

3.医院计算机终端安全分析

3.1外来计算机的管理漏洞

由于笔记本电脑的普及，医院内部网络时常会被医生笔记本电脑偶然接入，此外，各医疗应用系统提供商在对其系统进行维护时，也需将自带的笔记本电脑接入内部网络，从而使得医院的内网安全产生隐患。

3.2内网计算机终端违规访问外网

医院内外网之间是物理隔离的，但随着4G网卡、USB网卡、随身WiFi的出现，已经不能全面的阻止内网计算机连接到互联网，这就给医院终端的系统及敏感信息带来安全隐患。

3.3系统程序漏洞

计算机操作系统自身存在漏洞，需要及时下载、安装系统安全补丁，从而杜绝恶意软件通过操作系统自身的漏洞对网络安全造成威胁。内网计算机终端无法接入外部互联网，不能自动定期下载、安装系统安全补丁，所以必须通过其它途径来解决这个严重的问题。

3.4移动存储介质的管理

医院的内外网是隔离的，但还是会有部分科室因为工作、业务的需要，需要将一些信息数据通过互联网上传到上级主管部门，这就需要使用移动存储介质，移动存储介质在内外网之间交叉使用，容易将病毒带入内网。

4．南京市中医院终端安全管理解决方法

针对日益突出的计算机终端安全问题，结合日常工作中遇到、处理的各类情况，医院信息部门经过反复论证、产品评测，选用了通软公司GTMA终端安全管理产品，并与其不断深入探讨，共同整理出来一套适合我院实际情况的终端安全管理解决方案，大幅提升了终端安全水准。

4.1通软产品的“无漏洞”准入方案，可以对连入内网的计算机终端进行身份认证及合规性检查（杀毒软件安装、补丁安装情况、第三方软件等），实现了对外来终端接入的授权、管理、控制。

4.2通软产品通过对U盘实施灵活的管理，一方面防止机密信息被拷贝，另一方面防止移动存储设备携带的病毒、木马感染业务系统。可以设置授权U盘、保密U盘、安全U盘，可以实现只有通过医院认证的U盘连入到内网终端。防止U盘滥用的情况发生。

4.3通过部署通软产品，计算机终端只能使用被信任的应用；同时可识别监管上网行为；并对WIFI等随身接入设备做到有效管控。多维度提高医护人员的工作效率，降低信息管理风险。

4.4远程维护、软件分发、补丁管理功能的使用，全面提高医院信息部门对现有应用系统的维护效率。

5.终端安全管理建设效果

南京市中医院在全面使用通软终端安全管理产品后，使终端从原来的“随便接入”到现在的安全准入。从原来的现场维护到现在的远程维护；由原来的逐台更新、管理到现在的全网终端可视化智能管理，大大提高了南京市中医院整体信息架构的稳定性、安全性、可管理性。

6.总结

医院内部网络计算机终端安全建设的好坏并不是按照产品功能多少来衡量的，而是看它是否能够提供体系化的防护，建立终端管理的体系化防护是至关重要的，例如可以从边界（准入、外联、外设等）、系统（杀毒软件、补丁管理、端口管理等）、数据（敏感信息检查等）进行体系化建设，这样做的好处是可以进行可视化的多级管理。同时还可让各职能部门根据自身业务特点分别管理，信息中心负责集中管控。这大大减少终端安全管理的成本，使信息中心能够从繁杂的终端维护中走出来。同时各功能之间互相联动，使得内网终端更加安全。随着计算机技术的发展，内部局域网的安全防护措施也不能一成不变，也要随之不断更新和完善。

【参考文献】

[1]马锡坤.医院网络终端准入控制解决方案[J]，中国医疗设备，2011，26(11)：30-32.

[2]刘敏.全面系统化的终端准入控制[J].网管员世界，2011，5(3)：15-17.

[3]夏勇，陈敏亚，沈志强.医院计算机终端的安全管理和实现[J]，中国数字医学，2010，3(5)：113-116.