桌面管理系统在医院信息化中的应用

魏 智

(第三军医大学大坪医院野战外科研究所信息科，重庆 400042)

桌面管理系统在医院信息化中的应用

魏 智

(第三军医大学大坪医院野战外科研究所信息科，重庆 400042)

介绍当前桌面安全管理中所遇到的问题，阐述了医院在信息建设过程中为解决这些问题及隐患，实施桌面安全管理系统的一些做法及效果。

桌面管理;移动储存;软件分发;远程控制

随着医院信息化建设的深入发展，医院的业务运行对信息技术高度依赖，特别是医院全面进入业务系统整合阶段数据信息大集中，HIS、LIS、PACS等业务系统服务器与内网中医生站、护士站使用的PC机组成。然而，目前各医疗机构的信息安全保障措施多集中于信息中心设备与数据的安全，而针对面向用户的桌面计算机和终端的保障措施不够完善［1］。我院在完成信息中心安全加固的基础上，应用桌面安全管理系统软件对内部网络和信息终端面临的安全问题进行综合管理，取得了良好效果。

桌面信息安全是指“组织内分散的各应用终端计算机的信息安全，包括物理安全、数据安全、数据传输安全、操作系统安全和应用程序安全等方面［2］”。桌面信息安全涉及多个方面，易出现漏洞。目前，我院计算机设备数量近2 000台，如何解决桌面计算机和存储设备存在的信息安全隐患，一直是信息安全管理的难题。为此，我们制定了很多管理制度，但由于缺乏必要的技术和管理手段，许多管理规定难以执行。在桌面安全管理方面存在以下问题:

1 医院桌面管理中存在的问题

1.1 USB移动存储介质不能有效管理

目前，大多数医务人员都配备有USB移动存储设备，因其通用性强、存储量大、体积小、易携带等特点而成为人们日常办公、信息处理与信息交换的首选设备。但是，如果不能有效管理移动存储介质，很容易成为泄密、窃密案件的工具。尤为重要的是，关于患者隐私的泄露会给患者和医院带来不可估量的损失。所以，移动存储介质在医院的大量使用，已经严重危及信息保密工作。使用移动存储介质主要存在的隐患有:内网、外网交叉共用，容易感染木马等病毒，造成内部文档数据失密;多人共用，容易造成信息泄密;公私混用，存在一定的安全隐患;移动存储介质维修和报废管理松懈，容易造成泄密风险;无法有效控制外部人员携带移动存储介质在内联网使用;移动存储介质容易丢失，带来信息失密的风险。

1.2 对于非法接入不能有效管理

外来的笔记本、移动PC私自接入网络，而信息中心却不得而知。可能会窃取数据、传播病毒，或利用网络攻击单位服务器，造成更大的损失。

1.3 新的工作软件升级

新的工作软件升级，需要网管到各个科室逐一安装，费时费力。医院中计算机操作系统补丁漏洞，因为人手少造成不能及时、统一的更新，很容易引起病毒攻击。上班时间医务人员打游戏、看电影、听音乐等个人行为，影响正常工作，且管理人员毫不知情［3］。

1.4 IP地址不能有效管控

入侵者通过扫描程序来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件，并通过相应攻击程序对内网进行攻击［4］。入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网的重要信息。入侵者通过DoS攻击内部网中重要服务器，使得服务器超负荷工作以至拒绝服务，甚至系统瘫痪。

1.5 内部用户的非授权访问

医院内部资源一般不对所有员工开放，即便开放，也要有相应的访问权限。内部用户的非授权访问，更容易造成医院的资源和重要信息的泄漏。另一方面是内部用户的误操作，由于内部用户的计算机操作水平参差不齐，对应用软件的理解也各不相同，如果个别软件没有相应的对误操作的防范措施，极易给服务系统和其他主机造成危害［5］。内部用户的不规范行为包括:私自修改IP地址，随意用外存设备拷贝文件，擅自接入外网，应用程序随意安装卸载，运行不安全的服务和进程，不及时打系统补丁。

1.6 远程控制

由于医护人员对计算机应用技术掌握的水平不同，以及对应用程序的熟悉程度不一样，有时候会导致各种小问题。对于此类问题，如果到现场解决比较浪费人力，这就需要能够在远程端进行控制协助，既能快速解决问题，又能节省人力［6］。当然远程控制的响应速度也是笔者必须考虑的问题。

2 桌面管理系统的应用及方法

通过认真分析以上存在的问题，结合实际情况，我们建立了桌面安全管理系统，该系统可以很好地解决我院在桌面计算机安全管理工作方面存在的诸多问题以及计算机批量安全管理和设置维护难题。它采用了集中式管理方式，提供了以下几个方面的管理功能:

2.1 外设移动介质控制

从操作系统驱动层上实现强制管理控制计算机设备，包括USB可移动存储设备、打印机、DVD/CDROM、软盘、磁带机、PCMCIA设备、COM/LPT端口、1394设备、红外设备等。一旦出现违规事件，将会产生警报信息并以审计信息的形式记录。

2.2 IP/MAC 地址绑定

对受控终端进行IP地址和MAC地址绑定，防止用户随意更改网络配置，增加网络环境的健壮性［7］。

2.3 个人防火墙控制

通过控制台制订的策略，可以控制客户端个人防火墙的应用，如果客户端启用个人防火墙进行端口阻断，就及时将计算机断开网络连接。这样可防止用户通过技术手段进行恶意破坏。

2.4 杀毒软件的检测与控制

对客户端杀毒软件的安装情况进行检测，一旦发现未安装杀毒软件，客户端程序会自动断开网络连接，减少病毒扩散的概率。同时，检测客户端上运行的进程状态，并对受控终端上运行的进程进行强制控制，允许或禁止某些进程的启动［8］。方便网络管理人员从专业人员的角度对应用者提供安全建议。

2.5 网络访问控制

允许或阻断客户端对某些网络地址或是网段的访问。在网络访问控制上，策略还可以细化到针对特定的协议、特定的网络端口以及在特定的时间段允许或是阻断网络连接。

2.6 补丁管理

利用准确的检测机制来判断被控制计算机上补丁程序安装的情况，可以检测出已安装的补丁和未安装的补丁。可以从程序提供的补丁安装包中自动检测到适合的补丁程序，从而自动或手动为客户端进行补丁分发，并对补丁安装结构进行详细跟踪。

2.7 远程控制计算机

远程管理控制计算机使网络管理人员可以通过桌面快照，查看当时计算机的操作状态，同时可以控制鼠标与键盘的使用［9］。使网络管理人员可以对计算机进行关机、重启或是锁定，在第一时间就可快速控制非法的计算机或是非法操作。

3 桌面系统的安装

为了不影响医院正常软件的使用，我们采取了分阶段方式来实施桌面安全管理系统的测试和安装。第一步，我们在非临床科室进行安装测试，如对检验科和设备科两个科室的50台计算机进行了安装测试，主要是检测软件的兼容性，确保全面部署软件后不影响业务的开展。在两个星期的测试过程中，收集客户端软件在使用过程中遇到的问题和运行情况，汇总问题进行改进和完善。

第二步，我们主要对客户端进行了黑白软件分类。白软件是日常用的软件;黑软件为小游戏之类的不符合规定安装的软件，对此进行屏蔽。同时，对各科室的移动存储介质进行了注册，同时下发安全策略，在确保该安全策略不会影响业务开展的情况下，再向整个医院进行统一部署安装。

4 使用桌面管理系统后的效果

4.1 病毒防护作用明显

通过对终端用户系统的及时更新和对病毒库的实时升级，预防用户或者服务器遭到非法攻击，保证医院内信息资源不会外泄，减少病毒对医院局域网的威胁。通过软件分发，可以足不出户就完成多个终端的应用软件分发和设置，节省了大量的人力和时间，提高了工作效率，通过报表分析可以实时地看到网络内计算机的软硬件环境，及时卸载非法软件，有效地使局域网达到最优化的分配［10］。桌面管理系统部署完成后，实现了对整个医院的网络安全和计算机管理的有效控制。控制端的管理员可以根据需要对受管理的计算机按照一定的规则分组，实现软件分发，补丁升级的一次性动作，管理员根据系统补丁的严重等级做出不同级别的动作。

4.2 利用全面的远程维护功能

远程故障诊断、远程接管客户端桌面、发送消息、远程网络配置、远程修改计算机名、远程关闭、重启计算机等工作可以大量节省网管人员的维护时间和维护工作量，提高了工作效率。通过预警平台和远程协助功能可使终端计算机用户和安全管理员之间方便、快捷、实时地交互。不但可向管理人员发送实时的报警信息，也便于安全管理员通过管理中心统一发布相关安全管理规范、安全组织体系、安全宣传资料以及最新的安全动态等信息。另外，通过软件分发服务和时间同步服务可为内网用户提供方便的软件分发和时间同步服务。

4.3 可有效控制移动存储介质

通过桌面安全系统的有效管控使得移动存储介质引起感染木马等病毒明显减少。2009年以前没使用桌面管理系统时，平均每年发生20起违规使用移动存储介质造成的计算机病毒，使得医院大片区域重新升级杀毒软件、重新安装操作系统。桌面安全管理系统终端计算机用户登录身份认证管理、本地文件安全存储以及移动存储介质的认证与注册管理等功能，保证了终端运行环境的安全可控，从而保障了内网运行的可靠性。可以对移动存储介质设定使用范围，不仅可以实现一个U盘控制在整个医院使用，还能实现某个U盘只能在特定的“军字一号”内网计算机上用。如果需要从外网上拷贝数据或文件，还可以设置一台网间数据交换计算机，并配发两个读写权限不同的多分区交换U盘来解决。另外，还提供主机安全策略和IE安全策略的统一设置，加强主机的安全性。

4.4 软件升级更加便利

新的工作软件升级和安装，需要网管到各个科室逐一实施，费时费力。今年医院共更新了五种临床系统软件:住院处方、出院带药、门诊医师工作站、LIS系统更新、医师工作站。以前我们更新软件要全部的维护人员加班到深夜才能完成，而且还不能保障所有的电脑都能升级。所以浪费了很多时间和人力。有了桌面安全管理系统，软件升级就非常方便，利用桌面系统的软件分发功能就能对安装了终端的计算机在短短的几分钟实现系统软件的全面升级。

4.5 非法进程的有效管理

涉及临床的系统软件一共有几十种，如果不能有效管理，患者隐私就会被所有的医师访问。而且，不同工种医务人员所需的系统软件都不一样，比如医师所需要的工作软件有:PACS系统、LIS系统、医师工作站、住院处方、出院带药、门诊工作站。医师工作站就不能安装全院的病历浏览系统，因为这个软件能了解全部病人的情况和资料。2009年我院就发生一起因医师泄露患者隐私而被起诉的案件，有了桌面管理系统的黑白软件功能，就能有效管理哪些软件的进程是禁止使用的。

综上所述，通过桌面安全系统的部署和探索，我院信息安全管理在制度建设、工作方式和保密手段上都得到了极大提高，为建立信息安全管理工作的长效机制打下了坚实基础，同时也改变了以往的被动服务模式，增强了管理员对问题的主动发现和远程维护能力，降低了运营维护和管理的成本，提高了工作效率和质量。

［1］谢希仁.计算机网络［M］.4版.北京:电子工业出版社，2006:18

［2］张仕斌，谭三.网络安全技术［M］.北京:清华大学出版社，2006:25

［3］张佳新.桌面安全管理在油田企业中的应用［J］.石油仪器，2008，22(3):91-92

［4］马国胜.桌面安全管理系统的应用［J］.中国金融电脑，2009，21(4):55-57

［5］曹芸静，张真真，陈峰.医院信息系统中桌面管理的必要性［J］.中国现代药物应用，2009，3(1):199-200

［6］王健肃.桌面终端安全管理的应用和探索［J］.金融电子化，2009，17(6):77-78

［7］沈军，晋晓东.强化终端管理提升信息安全［J］.金融电子化，2009，17(6):59-61

［8］王义申.在企事业单位内网应用的分析［J］.计算机安全，2007，7(7):63-65

［9］从卫春.浅谈医院信息系统安全管理［J］.电脑知识与技术，2009，16(1):1441-1442

［10］仲大伟.浅谈医院网络信息的不安全因素及防护措施［J］.信息与电脑，2009，21(10):11

Application of desktop management system of hospital informationization

Wei Zhi
(Department of Information，Research Institute of Field Surgery，Daping Hospital of Third Military Medical University，Chongqing 400042，China)

The article introduces problems in the current desktop security management.Then it proposes methods and effectiveness of solving these problems and risks during the process of hospital informationization and implementing the desktop security management system.

desktop management;mobile storage;software distribution;remote control

TP311.138

A

1004-5287(2011)02-0193-03

2010-12-06

魏智(1981-)，男，四川内江人，本科，助理工程师，主要研究方向:网络设备维护及网页美工设计。