王 鹏,马锡坤,于京杰
医院终端安全和终端管理体系建设探讨
王 鹏,马锡坤,于京杰
分析了医院网络安全的现状,指出了建立一套完善的、多级的、体系的医院网络安全系统的必要性。从技术、管理、服务3个方面阐述了如何加强防病毒体系建设,应用Symantec Endpiont Protection实现了“终端安全、终端管理和服务体系”三位一体的建设,确保了医院网络终端安全。
网络安全;终端安全;终端管理;服务;防病毒
医院信息化迅速发展,计算机病毒日益猖獗,网络集中式终端安全和管理已成为保障医院网络安全不可缺少的一部分。医院终端所面临的安全威胁已不再是传统的病毒,而是更加复杂的恶意代码(广义病毒)。为了提前应对这些隐蔽多变的新型安全威胁,医院内网必须升级终端安全和终端管理的体系化防护等级,更好地构建病毒防护体系,优化现有安全防护系统,从而实现终端安全和终端管理体系化建设的最终目标[1]。
计算机病毒作为一个名词已经得到广泛的认识,但其真正的定义却略显模糊。一方面精确定义计算机病毒存在一定困难,另一方面计算机病毒也在随着技术的发展而不断变化[2]。美国Command Software Systems公司的安全专家认为:计算机病毒是一种程序,在某环境下,你未知或未经你同意,通过控制你的计算机系统,复制自身、修改执行代码,实施破坏[3]。计算机病毒之父弗雷德·科恩博士于1988年强调:计算机病毒不是利用操作系统的错误或缺陷的程序,而是正常的用户程序,它仅适用于那些每天都使用的正常操作[4]。随着计算机的发展,纯病毒时代已经一去不复返,取代它们的是破坏程度呈几何增长的新型病毒,这种新型病毒被称为混合型病毒[5]。
目前,计算机病毒都具有混合型的特征,利用一切可利用的方式进行传播[6]。传统应对混合型病毒的方式是:发现混合型病毒爆发,快速捕获样本,然后写出病毒特征,并快速部署该病毒特征,最后寄希望于其能迅速清除病毒并阻止病毒威胁的蔓延。此方式曾经很有效果,但近年来特别是近2 a多次影响我院的病毒和地址解桥协议(address resolution protocol,ARP)欺骗等,已经说明该种基于病毒特征的被动式病毒响应方式未能达到预期效果。主要原因为:近十几年来特征响应速度已经远远低于病毒爆发速度,并且传统的防病毒技术对于新型的安全威胁采取的是被动跟踪方法,该种方法因对病毒特征定义的滞后性使其应对混合型病毒威胁的效果不佳。
根据如上分析,传统的防病毒产品均以分析病毒特征为主,仅仅依靠病毒防护技术是不能解决所有问题的。对于一个大型医院而言,防病毒产品的可管理性往往比病毒的查杀能力更为重要,如果防病毒产品不能做到医院全网安全防护体系的统一集中控制和管理,即使拥有再多的功能也不能满足医院的实际需求。实践证明,一个安全、有效和完善的防病毒解决方案应包含防护技术、安全管理和体系化服务3个层面的内容。网络集中式防病毒体系和管理已成为保障医院网络安全不可缺少的一部分。
2.1 防护技术层面
从上述我们对恶意软件和传统病毒特征的分析可知,目前传统被动的防护方法已经无法遏制与日俱增的恶意软件和病毒的入侵。因此,我们必须从“主动防范”这种观点出发,针对医院构建一个整体、多层次的防病毒体系。相对于传统的被动式病毒防范技术而言,主动式响应技术可在新的恶意软件和病毒未出现之前就形成防火墙,静候威胁的到来,从而避免恶意软件和病毒所带来的损失。防病毒体系架构如图1所示。
图1 防病毒系统架构
2.1.1 基于应用程序的防火墙技术
个人防火墙能够按应用程序或其通信特征,阻止/允许任何端口和协议进出。通过个人防火墙技术,可以有效防止恶意软件和病毒通过漏洞进入客户端,更为重要的是,可以有效阻止病毒的传播路径。
以ARP木马为例,正常的ARP请求和响应包是由ndisiuo.sys驱动发出,而ARP病毒或者其他ARP攻击通常是利用其他系统驱动伪造ARP数据包发出。因此,在防火墙规则中设定,只允许ndisiuo.sys对外发送ARP数据包(协议号0×806),其他的全部禁止,这样就能在没有最新病毒定义的前提下对病毒进行阻断和有效防护。
2.1.2 应用程序控制技术
首先设置一份恶意软件的黑名单,然后通过应用程序控制技术对终端的应用程序行为进行全方位监控,如发现与黑名单相近似的行为就进行阻止。以“熊猫烧香”这种经过多次变种的蠕虫病毒为例,如采用传统的被动防护技术,解决的方法是:必须及时捕获每一个变种后的样本,才能有针对性地编写病毒定义。但该种病毒的传播和爆发其实具有很明显的行为特征,它主要是通过U盘传播,利用操作系统在打开U盘或移动硬盘时,自动根据根目录下的autorun.inf文件,执行病毒程序。而赛门铁克公司所提供的系统防护技术可以有效地管控根目录下的autorun.inf文件读写权限,尤其当已受病毒感染的计算机试图往移动存储设备上写入该文件时,可自动终止该病毒进程,并向管理员递送报告。
2.1.3 客户端系统加固
保证客户端安全的基础条件是客户端自身的安全加固。医院终端大多使用Windows操作系统,此类系统应用广泛,但本身也存在着非常多的安全漏洞,需及时安装操作系统的补丁程序[7]。为了医院整体网络的安全不受个别软件系统漏洞的威胁,必须在医院网络安全管理中加强对操作系统的补丁升级和安全配置。
集中管理医院网络中客户端的操作系统补丁升级、系统配置等,可以自动定义客户端操作系统补丁下载、操作系统补丁升级策略以及增强客户端系统安全策略配置并自动下发给运行于各个客户端设备上的代理模块,代理模块自动执行管理控制台下发的策略,保证客户端操作系统补丁升级、安全配置策略的有效性。整个管理过程都是自动完成,对终端用户来说完全透明,减少了终端用户的麻烦,降低了医院网络的安全风险,提高了医院网络整体的安全配置管理效率和效用,使医院网络的操作系统补丁及安全配置管理策略得到有效落实。
综上所述,通过最新主动防范技术,我们才能有效应对现今的恶意软件和病毒威胁。网络集中式终端安全和管理已成为保障医院网络安全不可缺少的一部分。
2.2 安全管理层面
在病毒和恶意软件的管理层面上我们需要达到2个目标,即管理技术化与技术管理化。管理技术化体现在客户端的策略和行为控制上,把“三分技术、七分管理”口号变成实际可操作的控制程序,这样就需要我们通过技术手段把对终端用户的管理要求现实化和可执行化。技术管理化要求我们对上述提到的多种安全防护技术进行合理、有效的管理,使防护技术发挥其应有的作用。通过统一、有效和实时的集中式管理,建立完善的安全技术保障体系。
赛门铁克公司的阻截恶意软件(Symantec Endpoint Protection)解决方案适合我院的实际需求。该解决方案主要依靠策略管理服务器来实现。根据我院的实际情况,终端安全管理平台采用“统一控制,二级管理”的架构,此架构与我院现有的行政管理模式相吻合,不仅提高了安全管理的效率,而且又能体现“统一规划,分级管理”的思想。
策略服务器是整个终端安全管理的核心,利用策略服务器实现所有安全策略、设定和监控。通过使用控制台,管理员可以创建和管理各种策略、将策略分配给终端代理、查看日志并运行端点安全活动报告。通过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见。统一控制台简化了客户端的安全管理,提供集中软件更新、策略更新、报告等服务。
2.3 体系化服务层面
体系化服务是一个产品的完美补充,因为没有任何一个防病毒厂商能做到对已知病毒和未知病毒的快速准确查杀。
医院通过构建完善的网络防病毒体系来防御病毒和恶意软件的入侵。一套完善的终端安全体系既是主动与病毒对抗的过程,又是攻守双方博弈的过程。因为攻方始终握有主动权,所以仅仅依靠防病毒产品不能达到完全意义的安全,还需要配合行之有效的管理及合适的安全策略,并且不断根据各种情况调整策略。只有结合防病毒方案提供的安全服务,才能使医院的防护体系及整体安全提升至一个新的高度。
根据我院终端的特殊情况,我们制定了一整套完整的客户端安全服务体系,包括日常维护服务、病毒预警服务以及突发事件应急响应服务几部分。
2.3.1 日常维护服务
日常维护包括每周病毒特征库的更新、每月一次的巡检。其中巡检包括系统脆弱性扫描、安全评估、安全建议等。由于病毒及恶意软件的持续激增,病毒特征库的及时更新及定期巡检显得尤为重要。
2.3.2 预警服务
病毒威胁预警服务为我院提供了对新病毒感染暴发提前预警、通知和防范的标准化流程。该流程为信息科安全小组管理人员提供必要的信息和预警,以便在病毒威胁到达我院前或病毒尚未泛滥前调整部署相应的安全配置策略,并成功抵御攻击,降低病毒事件的爆发率,减少病毒事件对我院网络终端的影响。
2.3.3 突发事件应急响应服务
当发现某种未知的病毒威胁或恶意软件传播导致网络或应用瘫痪时,现有防病毒解决方案未能及时对其进行控制,或者当病毒解决方案能及时发现病毒威胁但不能对其进行隔离或有效删除时,需要防病毒软件厂商及时帮助我们解决遇到的问题。我院通常需要在一个时间范围内解决上述问题,我们可以通过提交病毒威胁样本或直接要求应急上门服务的方式,请防病毒软件厂商协助解决这些问题,避免病毒威胁和恶意软件在我院大规模扩散。
随着医院业务范围的不断拓展,规模越来越大,其信息系统应用范围也日渐扩大,网络上出现的各种问题给网络用户带来了无休止的烦恼,数据和网络安全已成为医院最头痛的问题之一。我院部署的Symantec Endpiont Protection解决方案实现了“终端安全、终端管理和服务体系”三位一体的建设,大大提升了工作效率,同时我院的终端安全管理水平也提高到一个新的高度,确保了医院网络终端安全。
[1] 吴晓东.医院网络防病毒解决方案[J].医疗设备信息,2003,18(5):29-31,33.
[2] 肖英,邹福泰.计算机病毒及其发展趋势[J].计算机工程,2011,37(11):149-151.
[3] Gordan S.Technologically enabled crime:shifting paradigms for the year 2000[J].Computer and Security,1995,14(5):391-402.
[4] Cohen F.On the implications of computer viruses and methods of defense[J].Computers&Security,1988,7(2):167-184.
[5] 陈联.IPS vs IDS孰更安全[J].软件世界,2005(3):61.
[6] 郑蕾,翁盛鑫,黄影.医院信息系统客户端的安全管理和实践[J].医疗卫生装备,2010,31(3):62-63.
[7] 王蕾,朱刘松,孙瑛.军队医院网络安全管理[J].医疗卫生装备,2013,34(7):124-125.
(收稿:2014-03-20 修回:2014-06-25)
(栏目责任编校:李 影)
Analysis of hospital terminal security and terminal management system
WANG Peng,MA Xi-kun,YU Jing-jie
(Information Department,Nanjing General Hospital of Nanjing Military Area Command,Nanjing 210002,China)
The present situation of hospital network security is analyzed,and the necessity is pointed out to establish a set of complete,multilevel and systemic hospital network security system.Some suggestions are put forward to enhance anti-virus system from the aspects of technology,management and service.Symantec Endpoint Protection is used to realize terminal security,terminal management and service system.[Chinese Medical Equipment Journal,2015,36(4):135-137]
network security;terminal security;terminal management;service;anti-virus
R318;TP393.08
A
1003-8868(2015)04-0135-03
10.7687/J.ISSN1003-8868.2015.04.135
王 鹏(1984—),男,助理工程师,主要从事医院网络安全方面的研究工作。
210002南京,南京军区南京总医院信息科(王 鹏,马锡坤,于京杰)
于京杰,E-mail:13705182269@163.com