医院信息系统安全等级保护实践—终端安全建设

张 云，王胤涛

昆明医科大学第一附属医院信息中心，昆明 650032

昆明医科大学第一附属医院是一所综合性三级甲等医院，医院信息系统历经10多年的努力已完成了门诊、住院HIS、LIS、PACS、麻醉手术管理、输血管理等系统建设。现拥有3500多个信息点，1800多个终端工作站的有线和无线局域网络系统。医院网络已覆盖门诊、住院、检查、检验、治疗、实验室及管理部门(科室)。

系统的安全性将直接影响到医疗活动能否正常运行，信息终端在HIS中数量庞大、种类繁多、分布广泛，管理难度大、管理成本高，所带来的安全风险已经越来越不容忽视，而攻击行为的80%来源于内部系统［1］。因此，建立一个完整的终端安全体系显得十分重要。许多医院曾经因此蒙受过巨大的损失［2］，为了有效避免攻击发生，我们有针对性地从理论与实践的角度进行了初步的探索和研究，逐步形成了一套实用、有效的终端安全管理体系，取得了较好的效果。

1 建设目标

①实现终端层面的“防入侵”、“防外泄”、“防不良访问”安全防护目标。

②在技术上，立足现有建设成果，建立终端“主动防御”技术体系。以完善当前端点策略遵从，逐步转向法规遵从为目标。

③在管理上，通过技术手段的支撑，逐步建立终端集中化、标准化、自动化、流程化的管理模式。

2 建设依据及技术

依据《计算机信息系统安全保护等级划分准则》GB17859-1999、《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2008等信息安全规定:①防恶意代码技术主要通过防毒、终端防护等手段实现;②数据防护技术主要通过终端防护、数据防泄漏、数据加密等手段实现;③PC生命周期管理通过资产生命周期管理产品，配合采购、使用、维护、报废等资产管理各环节的操作流程，进行标准化、流程化管理;④通过身份认证、备份恢复等技术手段加强终端安全管理;⑤网络访问控制主要是通过终端的网络准入机制进行策略遵从和强制策略执行，并实施网络接入控制;⑥管理和报告问题通常需要建立一个安全管理平台，将上述技术手段、产品相关的事件、日志等进行集中收集和分析，形成综合性的报告，以满足管理需要。

3 总体框架

任何一个安全工作的落实，都依赖于组织(人)、技术、流程作为支撑，终端安全的建设也不例外。结合医院的实际情况，我们提出了从网络、系统、数据，终端的行为，以及终端整体管理几个方面的全方位终端安全总体建设框架(如图1所示)，并提出了相应的规划内容。

图1 总体框架

4 实施方法

4.1 终端准入控制

目前，计算机风险传播途径呈多样性，不再仅仅依靠网络途径进行入侵攻击。随着移动存储介质的大规模应用，透过移动存储对终端进行感染变得越来越普遍，因此针对移动存储介质的管理是如今终端安全必须考虑的一个关键点。同时，根据终端管理制度的完善需求，应用程序的管理也是目前终端标准化管理的一个重点。通过桌面安全软件进行［3］:统一的管理控制台对所有终端通过策略配置来进行外设管理控制，例如硬盘、打印机，光驱、软驱、USB设备、SCSI、并口、串口等，可在管理控制台增添新的硬件设备进行统一管理控制;能够识别移动存储设备的ID，并能够根据设备ID设置访问和使用控制;能够实现USB存储设备的分类管理，包括禁止读写、只读、读写，允许USB键盘和鼠标的使用;对设备分类管理，不同的用户角色应用不同的策略，在生产环境中，根据用户角色，允许或禁止已注册USB外设连接到终端。

4.2 应用程序控制管理

配置主域、备份域服务器，应用Windows 2003的活动目录［4］，根据科室(部门)及工作站用途及用户角色，建立域树、域，规划组织单元，建立组策略规则，利用组策略管理组织单元中的用户，以实现应用程序的统一部署［5］，保证各类工作站具有统一的用户界面和应用软件版本，同时软件限制策略可以防止计算机环境中被安装运行未知的或不被信任的软件(阻止通过exe文件进行软件安装;阻止终端透过msi文件进行软件安装);并能实现补丁的统一发布。

4.3 终端网络准入控制

我院局域网为3层架构，交换机均为CISCO产品。按科室(部门)及工作站用途(如医生、护士、财务)规划IP地址和VLAN［6］，在核心交换机上配置多生成树协议(multiple spanning tree protocol，MSTP)+网关负载均衡协议(gateway load balancing protocol，GLBP)进行VLAN融合和逻辑隔离［7］，在接入层交换机上进行CISCO的端口安全配置，当MAC地址改变时，端口将自动变迁为shutdown状态，阻止非授权设备接入内部网络［6］。

4.4 终端安全防护

内部网络部署SymantecTMEndpoint Protection 12.1基于特征的防病毒和反间谍软件防护［8］。它提供代理端，通过管理控制台即可进行管理，从而简化端点安全管理，如策略更新、统一的集中报告及授权许可和维护计划。使用威胁防御能力，能够保护端点免遭目标性攻击以及之前没有发现的未知攻击。使用主动防御，从而建立一个覆盖全网的、可伸缩、抗打击的防病毒体系。建立统一部署、统一管理的个人防火墙。个人防火墙依据应用程序、主机IP地址及VLAN、通讯特征、制度过滤规则，阻止/容许端口和协议进出。利用个人防火墙技术，一方面可以防止病毒利用漏洞渗透进入终端，另一方面，可以有效地阻断病毒的传播路径。在核心交换机上将各VLAN转发的数据包镜像到入侵检测系统(IDS)上，入侵检测和防火墙设备联动，产生自动阻断识别的攻击行为和误操作，这样既实现了各网段黑客攻击行为的检测，也及时对重要区域的攻击行为进行阻断［9］。定期对相关日志进行收集、审计、分析，以发现系统的脆弱性和漏洞。定期进行安全检查、风险分析和安全隐患整改。

4.5 身份准入控制

通过Windows用户名+口令和标准的RADIUS服务器配合，完成对用户的身份认证的强制检查。进行基于角色的访问控制技术，实现用户的分级管理及系统管理员、安全管理员与审计管理员的三权分立。通过终端准入控制、Windows 2003的活动目录或RADIUS服务器来控制第三方合作人员准入。

4.6 终端标准化管理

我们通过建立运维管理系统，对终端以及服务器进行从购买到部署、使用到管理，维护到报废的全面管理。控制台可对资产变更自动监控，及时反映资产变化状况，能实现全面的收集，快速统计分析，快速生成满足各个部门所需要的资产报表，为资产评估以及更新提供依据。资产信息自动收集(如计算机硬件信息、安装的软件包、操作系统配置等)，可协助实现终端以及服务器管理的合规性、可管理性。同时，也作为故障申报平台，记录申报的设备故障、维修维护结果记录，从而建立运维知识库，提高信息设备资产的维护、管理效率。

医院信息系统内绝大多数计算机为终端客户机，只有保证终端客户机的安全，才能有效保障整个信息系统的安全。我们清楚地认识到，无论所使用的安全技术有多先进，都只是实现信息安全的手段而已。三分技术，七分管理，信息安全源于有效的管理。为此，我们建立了信息安全管理机构，坚持“谁主管谁负责，谁运行谁负责”的原则;坚持决策层参与信息安全管理工作，建立健全安全管理制度，它是计算机网络安全的重要保证，需要不断加大计算机信息网络的规范化管理力度［10］。我们也清楚地认识到，信息安全建设、管理工作要坚持从实际出发，区分不同情况，分级、分类、分阶段进行建设和管理。加强各工作站操作人员的教育和培训，在医务人员中普及安全知识，对安全管理人员进行专门培训和考核。只有从安全技术、安全服务和安全管理三个方面高度重视，不断提高，才能保障医院信息系统健康稳定的运行。

［1］曾凡，欧东，黄昊.医院应用内网安全管理系统的实践［J］.中国医学教育技术，2012，26(2):197-199

［2］杨俊志.医院信息系统安全体系建设实践［J］.医学信息，2011，(7):2868-2869

［3］刘阳晨，刘松林.数字化医院安全策略的应用［J］.中国医疗设备，2010，2(25):42-43

［4］王保中，庄军，刘侃，等.应用活动目录加强医院网络管理［J］.医疗卫生装备，2008，29(8):50-53，103

［5］张展.组策略在Windows域管理中的应用［J］.电脑知识与技术，2011，22(7):5390-5392

［6］曾凡.医院信息系统安全策略中值得关注的问题［J］.重庆医学，2009，38(21):2649-2650

［7］胡建理，李小华，周斌.医院信息系统安全保障策略探析［J］.中国数字医学，2010，5(3):32-34

［8］李娜，卢沙林.军队医院网络信息系统的安全分析［J］.计算机与现代化，2011，(2):138-141

［9］王越，杨平利，李卫军.涉密计算机信息安全管理体系的设计与实现［J］.计算机工程与设计，2010，31(18):3964-3971

［10］王德磊.浅谈网络信息系统安全［J］.信息系统工程，2011，(9):76，84