終端安全管理系統(tǒng)在醫(yī)院信息化的應(yīng)用
我國醫(yī)療信息化從單機(jī)單用戶應(yīng)用和部門級系統(tǒng)應(yīng)用階段,正全面進(jìn)入全院級系統(tǒng)應(yīng)用和區(qū)域醫(yī)療的發(fā)展階段。不過,醫(yī)院信息安全主要集中在網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)安全,作為面向醫(yī)院內(nèi)部每一個員工的終端,其安全管理一直沒有受到足夠重視?!毒W(wǎng)絡(luò)安全法》的正式頒布,對醫(yī)院信息安全建設(shè)提出了更高的要求和約束。隨著醫(yī)院終端設(shè)備數(shù)量和種類的增多,加上“永恒之藍(lán)”的入侵,終端安全管理已經(jīng)成為醫(yī)院信息安全建設(shè)的重中之重。
杭州師范大學(xué)附屬醫(yī)院共有1300余個終端,針對之前被動管理的不足,以及醫(yī)院信息化建設(shè)的需求,醫(yī)院選擇了終端安全管理系統(tǒng)為醫(yī)院信息安全提供保障,主動式、集中式管理所有終端,形成“主動管理”“深度防御”的終端安全管理體系,提升IT終端綜合安全管理水平。
醫(yī)院終端安全管理存在的問題據(jù)統(tǒng)計,醫(yī)院信息系統(tǒng)中的安全威脅有80%來源于終端,終端由于其廣泛性、分散性,缺乏有效的安全管理手段,成為醫(yī)院信息安全建設(shè)最薄弱的環(huán)節(jié)之一,醫(yī)院信息化安全由核心防護(hù)逐步轉(zhuǎn)移至網(wǎng)絡(luò)邊界的每一個終端。醫(yī)院終端安全管理主要存在以下問題:1.1 醫(yī)院IT運維人員工作量巨大 醫(yī)院信息科運維人員花費在電腦、打印機(jī)等終端維護(hù)的工作時間,占據(jù)了50%~60%,運維人員每天就像救火員,把大量精力消耗在事務(wù)性工作中,在保障HIS上的時間變得越來越有限。并且,醫(yī)療信息化程度越高,終端數(shù)量和種類越多,問題也就越突出。1.2 醫(yī)療系統(tǒng)軟件需要更高效的布署維護(hù)手段 醫(yī)療系統(tǒng)軟件不斷開發(fā)、不斷升級,包括版本更新和功能升級,每年都有很多大大小小的升級版本,對于運維人員而言,軟件系統(tǒng)的布署升級變得越來越復(fù)雜。所以,如何簡化現(xiàn)有的軟件系統(tǒng)布署和升級工作,是醫(yī)院IT管理的重中之重。1.3 需要更為便捷高效的遠(yuǎn)程管理平臺 我院有急診樓、門診樓、病房樓等,樓層之間距離較遠(yuǎn),加上醫(yī)護(hù)人員計算機(jī)技術(shù)參差不齊,使用過程中會出現(xiàn)各式各樣的問題。我院一直使用Radmin、PCAnywhere等遠(yuǎn)程工具,但是要綜合使用才能達(dá)到預(yù)期效果,迫切需要便捷高效的、適合我院實際情況的遠(yuǎn)程管理平臺。1.4 信息化建設(shè)需要全方位的安全管理 隨著勒索病毒在全球范圍內(nèi)的爆發(fā),醫(yī)院不重視補(bǔ)丁管理的風(fēng)險顯現(xiàn)出來,補(bǔ)丁種類多而繁瑣,人工安裝和維護(hù)的工作量巨大。醫(yī)院醫(yī)療系統(tǒng)眾多,補(bǔ)丁的兼容性難以保證,無法有效的全局統(tǒng)一布署,需要重視兼容性、穩(wěn)定性、分發(fā)的高效性。我院實施內(nèi)外網(wǎng)隔離,但是由于計算機(jī)接口是通用的,亟需控制USB、無線網(wǎng)卡等外接設(shè)備,防止病毒交叉?zhèn)鞑?,杜絕接口成為安全隱患。另外,由于管理的不規(guī)范,內(nèi)部人員使用違規(guī)軟件,大大降低安全系數(shù),需要對此類軟件實施有效的控制。1.5 資產(chǎn)定位和統(tǒng)計難以確定 由于缺乏有效的技術(shù)手段,無法精準(zhǔn)定位醫(yī)院終端位置,如位于哪棟大樓、哪個部室、哪位用戶,難以實施有針對性的管理。另外,我院資產(chǎn)管理更多是基于制度層面,資產(chǎn)報表主要是Excel表,內(nèi)容單一,數(shù)據(jù)遲滯。IT資產(chǎn)盤點過程冗長,耗費大量時間。醫(yī)院設(shè)備還經(jīng)常更換,我院難以對每臺終端進(jìn)行實時的、全面的掌握。
終端安全管理系統(tǒng)架構(gòu)及布署為了解決醫(yī)院終端安全管理面臨的五大難題,醫(yī)院上線了終端安全管理系統(tǒng)。系統(tǒng)布署采用C/S架構(gòu)
通過核心服務(wù)器對所有終端進(jìn)行策略下發(fā),并對終端進(jìn)行資產(chǎn)管理、電源管理、補(bǔ)丁管理、軟件分發(fā)、外設(shè)控制、應(yīng)用程序控制等功能管理,支持遠(yuǎn)程故障診斷和維護(hù)。
為了保障醫(yī)院業(yè)務(wù)正常運行,醫(yī)院采取分階段的方式布署和安裝。第一階段,在部分門診樓和病房大樓進(jìn)行推送測試,檢測軟件的兼容性,確保全面布署后不影響業(yè)務(wù)開展,一周的測試過程中,及時解決問題;第二階段,逐步對已有的客戶端進(jìn)行策略的下發(fā),包括外設(shè)控制、應(yīng)用程序控制、補(bǔ)丁分發(fā)、電源管理等,下發(fā)安全策略;第三階段,在確保軟件的兼容性和安全管理策略有效的前提下,向院所有終端統(tǒng)一布署安裝和策略下發(fā)。
終端安全管理系統(tǒng)實施效果針對醫(yī)院終端安全管理存在的五大問題,通過終端安全管理系統(tǒng),找到了對應(yīng)的解決方案,實施效果符合預(yù)期。3.1 全面細(xì)致的管理 運維人員通過Ivanti可以提前預(yù)防故障,如通過后臺清單掃描獲知HIS前端機(jī)器系統(tǒng)盤硬盤空間是否充足、CPU負(fù)載是否正常;還可以通過自動掃描HIS工作站的各類安全隱患,從分散管理轉(zhuǎn)為集中管理。通過自定義修復(fù),我院設(shè)置“七步洗手法”統(tǒng)一屏保,統(tǒng)一自動待機(jī)、關(guān)機(jī)時間,實現(xiàn)綠色I(xiàn)T管理。另外,終端安全管理系統(tǒng)自身的維護(hù)和布署非常簡單,便于運維人員將工作重心放在保障和維護(hù)HIS上。3.2 高效的軟件布署終端安全管理系統(tǒng)擁有三項專利技術(shù),保證軟件分發(fā)效率,隨時進(jìn)行軟件布署和升級,并且能夠控制網(wǎng)絡(luò)帶寬,不會造成網(wǎng)絡(luò)堵塞,實現(xiàn)全自動化運維。比如,我院針對Windows XP和Windows 7終端,在工作時間下發(fā)Office 2010,批量分發(fā),靜默安裝,花費不到1d時間,也不會影響業(yè)務(wù)網(wǎng)絡(luò)。3.3 主動監(jiān)視的遠(yuǎn)程支持平臺 在遠(yuǎn)程支持平臺中,HIS工作站同步可見,運維人員可以第一時間發(fā)現(xiàn)問題,及時解決問題。同時,一個界面還可以展現(xiàn)多個被管理界面,滿足遠(yuǎn)程多主機(jī)同時維護(hù)的需要。考慮到系統(tǒng)安全性,Ivanti對整個遠(yuǎn)程登錄過程還支持日志審計。3.4 多層次安全管理功能 針對終端安全,需要構(gòu)建補(bǔ)丁及時更新、外設(shè)管理、應(yīng)用程序控制等多層次的復(fù)合防護(hù)體系。比如,針對勒索病毒的MS17-010補(bǔ)丁修復(fù),我院1 300臺終端不到半天時間便將補(bǔ)丁分發(fā)且安裝成功。USB接口是安全隱患的發(fā)源地,通過軟件對全院U盤和無線網(wǎng)卡進(jìn)行控制,并確保不影響醫(yī)療儀器、打印機(jī)等設(shè)備的正常使用。我院還對內(nèi)網(wǎng)中Windows游戲和違規(guī)軟件實施了黑名單控制。3.5 IT資產(chǎn)的自動追蹤統(tǒng)計 針對醫(yī)院整個IT資產(chǎn),Ivanti終端安全管理系統(tǒng)通過清單掃描器,收集終端各項軟硬件資產(chǎn),以及資產(chǎn)變更信息、增量掃描、差異傳輸,通過各種手段自動匯報終端資產(chǎn)情況,幫助我院實施準(zhǔn)確有效的資產(chǎn)盤點。
結(jié)論
隨著醫(yī)院信息化建設(shè)的深入及終端數(shù)量的增加,傳統(tǒng)的管理方式已經(jīng)很難應(yīng)付日益增長的安全管理需要。因此,選擇合適有效的、功能穩(wěn)定的、兼容性好的終端安全管理系統(tǒng)是非常必要的。通過Ivanti終端安全管理系統(tǒng),切實簡化了我院運維管理的復(fù)雜性,降低了安全風(fēng)險隱患,得以從煩瑣而繁重的終端日常維護(hù)工作中解放出來。