◆张 尧 彭建明



浅谈三级甲等医院部署杀毒软件及使用心得

◆张 尧 彭建明

（新疆维吾尔自治区人民医院信息中心 新疆 830001）

信息技术和管理科学的发展，推动了医院管理信息系统的发展，目前云计算、大数据技术的快速发展和进步促进了医院信息化管理系统的普及和使用。在医院的管理中，信息化管理系统所发挥的作用和给医院带来的效益，越来越明显地表现出来。与此同时信息化系统也面临着较多的安全威胁，比如黑客、木马和病毒等，这一威胁使得医院急需拥有一套安全系统进行防御，保证信息化管理系统的正常运行。本文讲述了三甲医院部署杀毒软件的心得体会，供读者参考。

防病毒软件；部署；实施；效果

0 前言

医院又好又快的发展离不开信息网络的技术，近年来关于医院网络被病毒攻击的报道不胜枚举，相关医院信息网络安全逐渐受到人们的广泛重视，关于如何做好医院信息网络安全控制始终是医院信息行业领域研究的热点之一。本文就我院杀毒软件部署、实施和实际工作总结了病毒防护技术在医院信息网络安全中的具体应用措施。

1 项目基本情况介绍

新疆维吾尔自治区人民医院始建于1934年，是一所集医疗、教学、科研、预防、保健和社区卫生服务为一体的大型综合性“三级甲等医院”。目前，医院编制床位2700张，现有职工5000余人。医院紧紧围绕“创建数字化医院”总目标，不断完善医院信息化建设，助推医院各项工作快速发展。2009年率先在新疆开展远程会诊工作，2011年建成全国唯一远程医疗专网和覆盖全疆126家各级医疗机构的远程会诊专网，2016年顺利通过国家卫生计生委审核，确定为电子病历系统功能应用水平评价六级医院。

医院信息网络分为互联网、内网（局域网）和无线网络，实现物理隔离。医院无线网络为内网网络，手持PDA（Windows mobile系统和Android系统）、移动护理查房（iOS系统）等。全院现有计算机终端2500余台，各类物理服务器60台，运行各类业务118项。服务器操作系统以Windows Server2008 R2居多，其他由于部分业务需求，也有小部分Windows Server 2003和Linux操作系统。服务器硬件配置较高，可以满足杀毒软件的运行条件。全院2500多台计算机终端配置不一，一般都是四核4G内存居多，但也有双核2G内存甚至双核1G内存计算机。操作系统是Windows 7x64家庭版和Windows XP系统。80%计算机终端在住院病区使用，其余20%计算机终端在门诊部、收费科室、手术麻醉科室、体检科室和其他科室使用。图1为医院终端分布情况。

图1 医院终端分布情况

2 项目信息安全风险评估

随着我院信息网络技术的飞速发展，信息系统各类应用不断得到扩充，信息化的过程是一个成效与风险并存的系统工程，一方面系统方便了医疗和管理，另一方面医院业务对信息系统的依赖性越来越强，如何保护物理安全、网络安全、系统安全、应用安全以及管理安全成为摆在医院信息管理人员面前一道刻不容缓的课题。

Trustwave发布了一份2015年医疗行业的安全报告，通过对398名专业的医疗专业人员（部分是技术人员，包括CIO、CISO、IT主管等，另一部分是普通的医护人员）的调查，发现有91%的调查对象认为针对医疗行业的网络攻击活动越来越多。我院现处于内外网物理隔离状态中，TCP445网络共享开启，admin共享权限开启，本地策略、Windows系统老旧、关键服务器、内网终端密码安全度低，造成了Kido、Viking网络蠕虫的常驻、频繁的网络发包攻击、重复感染等现状，不但影响我院院内网网络带宽，同时可造成共享打印计划任务排队、内网数据丢失或长期没有强大反病毒软件防护的前提下内网核心业务系统病毒泛滥等问题。

3 项目安装部署前期调研

前期医院内网环境使用的其他免费杀毒软件，由于不能及时更新病毒库以及控制台，临床科室使用情况不佳，存在个别病毒、木马、广告程序清除不彻底，查杀时占用资源多，造成临床使用计算机有卡顿现象，严重影响临床科室工作。我院于2018年公开招标杀毒软件，最终北京卡巴斯基中标。前期针对我院终端实际情况，制作了Windows 7系统卡巴斯基安装包和XP系统卡巴斯基安装包，卡巴斯基工程师对我院现有计算机终端、网络情况以及临床实际工作展开调研，制定出几种部署方式，如表1。

最后为保证临床工作正常开展及信息系统正常运行，决定利用下班时间，采用封包技术，制作本单位操作系统，对科室计算机进行统一安装部署。不占用临床工作时间，统一操作系统为方便后期维护。

表1 部署方式比较

部署方式部署方法实际效果 通过pcanywhere部署远程操控将原有杀毒软件卸载，在安装卡巴安装包由于计算机系统环境差异，调试、安装时间过长，占用临床工作时间 Web发布自解压安装包把安全防护产品通过简易的操作制作成自解压安装包，然后将其放在内部网络进行共享；使用杀毒软件的通知功能将链接发布，用户下载后双击运行即可完成临床欠缺计算机常识，有可能会取消安装 域模式下登录脚本安装在管理服务器上，针对域账号创建安装脚本，用户只要使用域账号登录计算机，安装进程就会自动运行由于计算机系统环境差异，有可能会造成安装失败；安装成功后需要卸载之前的杀毒软件，临床缺乏计算机常识，可能不会卸载 基于Windows RPC安装使用Windows共享文件夹的安装方式进行安装，客户端登录指定的共享文件夹，执行安装程序由于计算机系统环境差异，有可能会造成安装失败；安装成功后需要卸载之前的杀毒软件，临床缺乏计算机常识，可能不会卸载 域模式下组策略发布安装杀毒软件网络安全管理中心支持安全防护程序通过域模式下的组策略方式进行安装由于计算机系统环境差异，调试、安装时间过长，占用临床工作时间 本地移动存储安装通过光盘或其他移动存储介质，将安全防护产品拷贝到本地，执行安装利用下班时间，采用封包技术，制作本单位操作系统，对科室计算机进行统一安装部署。不占用临床工作时间，而且统一操作系统，方便后期维护

4 杀毒软件运营经验

服务端硬件是一台Dell R730，安装SqlServerExpress2016数据库一套，安装Kaspersky Security Center 10 管理控制台一套，授权计算机数量4500台。根据业务需求现将设备进行了分组分权，统一集中管理，包含（服务器组，办公室可用U盘组，办公室禁止U盘组，补丁测试组，二级分组对win7和winXP区别管理），经过测试，分别将常用医疗系统件加入白名单（例如his、电子病历组件、lis相关文件、pac相关文件等），以确保临床能够正常使用。

针对我院的具体应用情况，为完全满足需求的防护系统。内外网部署端点安全产品，设置配置性能不同，必须有针对低配置计算机的瘦版本反病毒程序使得我院部署无死角。在虚拟化环境中，安装虚拟化安全反病毒产品，并且保障与虚拟化平台集成无缝防护机制。移动终端和手持查房设备等也需安装响应卡巴斯基安全产品。并通过一个管理端对所有安全产品做到统一管理。

选择适当的防护标准。确保病毒、木马不能侵入服务器或者终端，同时也不能在防护或者查杀过程中影响到临床的正常使用。采用世界最先进的清除威胁能力较强的安全防护产品，可确保计算机网络系统具有最佳的威胁、黑客软件防护能力，同时也降低了管理人员的工作量和安全防护产品的维护成本。选用产品应具备对多种文件格式、多层压缩文件的威胁检测，对包括各种宏病毒、变种病毒、勒索病毒和黑客程序等已知威胁具有最佳的威胁检测率，对未知威胁亦有良好的检测能力。在提高威胁检测力的同时，对检测出的威胁也有很高的清除能力，依靠程序本身就可彻底清除感染文件的威胁，减轻管理人员对中毒事件的介入，把更多的精力放在构建完整的威胁防护体系和管理工作上。并对系统中的应用程序，外接设备，员工上网行为进行详细而灵活的管理。避免恶意程序通过外接设备在网络中传播，增强数据安全性。并设置自动查杀病毒功能，建议设置空闲查杀，自动暂停查杀让出系统资源供临床软件使用。

定期修复漏洞补丁。从用户群体分类，分为大众类软件的漏洞，如Windows的漏洞、IE的漏洞等等。专用软件的漏洞，如Oracle漏洞、Apache漏洞等等。利用好杀毒软件的高级漏洞扫描和智能补丁管理的强大组合，按优先级处理各类漏洞，以杜绝未知病毒的攻击。定时定量打补丁在很大程度上能够避免网络病毒的攻击。

定期了解网络信息安全威胁情报。当国内外的医疗行业出现重大安全事件后，能够迅速完整的了解事件解释和防范措施，确保我院提前预警和防范，避免遭受同样的攻击。自动升级病毒库和组件是衡量安全防护系统是否具有生命力的重要指标。杀毒软件随着各类新威胁的出现而必须尽快进行更新和升级，并且迅速下发到各个终端。

5 结束语

严格执行以上制定的措施经过一年多时间后，本院的病毒已趋于稳定。总结几点：安装正版杀毒软件是非常有必要的，但是不能一装了之，平时需要有专人维护杀毒软件，定期组织全网查杀，一旦发现问题就要及时跟踪处理。我院虽然购买了正版的杀毒软件, 后续如果条件允许，应购买网管软件，网管软件可以弥补杀毒软件的不足。安装使用网管软件可以控制网内每个计算机的行为，可以防止由于人员的有意或无意的操作通过其他媒介给局域网带来新的病毒。网管软件有下几个作用，例如：如何真正控制管理内网终端设备的运行；如何对内网的IP进行监管；如何对内网终端上传、下载文件等行为进行监管；如何对内网的敏感信息进行管理；这些都可以安装使用监控软件来实现。

[1]王晓波.计算机网络信息安全及防护策略分析[J].中国新通信, 2015(10):62.

[2]史源.计算机网络信息安全及防护策略研究[J].计算机光盘软件与应用, 2015(01):202+204.

[3]笪智.关于计算机网络信息安全与防护策略分析[J].网络安全技术与应用, 2016(08):6.