医院局域网终端的安全管理
2014-07-18郝冀皖刘陆陆
郝冀皖,马 献,刘陆陆
医院局域网终端的安全管理
郝冀皖,马 献,刘陆陆
医院局域网;终端管理;虚拟化技术
当前医院信息系统(hospital information system,HIS)在卫生医疗领域内已不可替代,相关从业人员对其的依赖度也日益加深。HIS系统安全高效运行对医院的名誉、口碑、效益有较大的影响,也与患者的切身利益息息相关。由于HIS系统自身7×24 h不间断运转的特殊要求,系统出现问题,发生故障也不可避免。因此对于医院信息化工作来说,如何通过有效的管控减少故障发生,如何快速解决问题,及时应对就显得尤为重要。
1 现状与问题
HIS系统主要通过局域网共享数据库资源,从而实现各模块的功能。为了确保HIS系统能够安全稳定运行,各大医院都制定了相应的运行维护方案。如:建立安全管理制度,规范工作人员的操作,制定系统应急预案,入侵检测、防火墙与杀毒软件的应用,定期进行数据备份等[1]。但由于医院信息化的不断发展,各种硬件设备的更新和软件的升级,致使这些传统的措施已经无法应对当前的实际状况。
1.1 终端系统部署 计算机安装系统,HIS系统模块调试及外设连接耗时费力,单调重复。并且随着其数量的不断增加,也给终端资产管理带来了很大的困难。设备的数量型号,分布位置及从属关系不便统计,终端配置及其软件安装也很难管理。
1.2 局域网病毒防护 局域网病毒在危害终端的同时,会快速传遍整个网络,造成医疗数据损坏丢失,影响网络运行速度,甚至导致网络瘫痪。在局域网络环境中,终端染毒大多来自于移动存储介质。禁用USB端口诸多不便,而杀毒软件以防护为主,一旦染毒很难完全清除。
1.3 维护与升级 在旧有模式下,医院信息化的大量运行维护需要工程师现场支持。例如终端系统补丁更新,HIS系统模块升级及新增应用程序等,要求工程师下科作业,效率极低。
1.4 信息安全 由于医院所处的环境较为特殊,终端漏洞一旦被利用,就会威胁到医院的经济利益。这些威胁会避开传统的安全协议,使医院成为数据窃取和操控的受害者,造成业务服务中断,并导致医院品牌和声誉严重受损[2]。
为解决局域网办公终端存在的弊病,笔者组织实施了符合本单位信息化现状的计算机安全管理解决方案。
2 方案实施
该方案采用了主动管理方式来管理局域网终端,其核心是虚拟化技术的应用。服务器通过管理各个分组的虚拟镜像即可管理全部终端,再配以控制台的辅助功能,进而规范并简化了日常纷繁复杂的IT运行维护工作,见图1。
图1 医院局域网终端方案架构图
2.1 服务器 服务器采用Windows Server 2003操作系统,运行服务器安装程序包,搭建Ftp服务器。开启后台及资产管理等必要服务,配置网络参数即可完成服务器的安装部署。
2.2 客户端 将所部署终端的开机启动顺序设置成从网络启动。进入客户端安装窗口后,从相关分组中选取对应的系统镜像即可自动完成安装。
2.3 控制台 控制台可安装在局域网内任意终端。运行控制台安装程序,在初始界面与服务器建立连接后即可使用。通过控制台可以进行镜像分组的添加,修改和删除。辅助功能有远程桌面、软件分发、补丁更新、准入控制、消息发布、资产管理等。
3 功能分析
3.1 系统自动部署 首先需要创建相应的虚拟系统,例如病房医师、门诊医师、护理OS镜像等。通过控制台将镜像上传至服务器存储,并建立相应的分组。局域网内每加入一台终端,在连接网络后,设置网卡启动,选择相应的分组镜像即可自动安装,10~15 min完成部署。虚拟镜像集成了全部外设驱动,可实现打印机、读卡器等硬件设备的即插即用。P2P技术的引用大大降低了对服务器和网络指标的要求。经测试,普通塔式服务器和100 M主干网同时部署200台终端共耗时35 min。
3.2 集中分组式管理 该方案支持局域网终端集中分组管理,在系统虚拟化的基础上实现了应用虚拟化。根据用途不同,原始镜像可以安装不同的HIS应用模块,实施不同的管理策略,形成多个分组镜像。只要统一管理好服务器上的虚拟镜像,及时升级,打补丁,更新病毒码,各终端就会自动与之对比,完成系统更新。此外通知传达,消息广播以及资料分发可以通过控制台选定范围后统一执行。
3.3 网络数据安全 由于虚拟化技术的应用,该方案基本实现了计算机病毒“0”感染。任何病毒只能在终端内存短期驻留,无法写入OS镜像,从而无法扩散,而终端在与镜像同步后也会自动清除病毒。对于用户数据,则可以定制为本地存储或远程存储。远程存储可将用户数据从终端迁移到存储服务器,并进行存储数据阵列冗余备份或双机备份,实现更安全的数据保护。终端一旦发生硬盘损坏或数据丢失,即可通过SAN的快照功能进行用户数据按需还原。此外通过控制台还能够进行终端IPMAC 地址扫描绑定,从而实现准入控制,杜绝非法访问。
3.4 远程协助及资产管理 管理员可以通过控制台同时对多个终端进行远程桌面控制,提供技术支持。由于医院对信息化建设不断加大投入,准确合理的统计管理便成了信息化资产高效利用的前提基础[3]。控制台能够扫描收集终端信息,包括主板信息、操作系统、逻辑分区、计算机描述以及相关外设。根据统计数据,IT管理部门能够更加合理的调控,分配信息化资产,为医院信息化建设打下坚实的基础。
[1] 郑 蕾,翁盛鑫,黄 影.医院信息系统客户端的安全管理和实践[J].医疗卫生装备,2010,31(3):62-63.
[2] 夏 勇,陈敏亚,沈志强.医院计算机终端的安全管理和实现[J].网络安全与管理,2011,6(2):112-113.
[3] 周 毅.浅析医院信息化建设的资产管理[J].中国医学装备,2012,9(12):81-83.
(2014-05-20收稿 2014-08-13修回)
(责任编辑 郭 青)
郝冀皖,本科学历,工程师,E-mail: 121378998@qq.com
100039北京,武警总医院计算机管理中心
李雷刚,E-mail:151511575@qq.com
R197.324
