360安全管理系统在医院终端管理中的应用

2017-01-21 08:46王建伟潘欣
中国卫生产业 2017年1期
关键词:桌面进程运维

王建伟,潘欣

民航总医院计算机中心,北京100123

360安全管理系统在医院终端管理中的应用

王建伟,潘欣

民航总医院计算机中心,北京100123

目的医院桌面终端管理面临着诸多困难,找到适合的方法,提高桌面终端的安全性和运维效率。方法利用360企业版的良好兼容性,易用性,功能性,解决上述诸多问题。结果解决了医院桌面终端的终端信息管理,病毒防御,补丁更新,应用管控,外设管理,远程协助等问题。结论360企业版对于普通医院桌面终端的管理行之有效。

桌面终端管理;终端安全;360企业版

随着信息化技术在医疗行业的快速发展,桌面终端的数量越来越多,应用程序数量迅速增长,终端系统的运维工作面临越来越大的压力。特别是在医院的环境中,医生、护士的用户流动性大,对用户的电脑使用行为难于管控;在例如手术室、产房等特殊的医疗工作环境中,现场运维人员出入困难,维修周期长;各岗位人员的计算机操作水平参差不齐、信息安全知识有限,可能给桌面终端带来一定的安全隐患。如何简化终端管理的复杂性,降低终端安全面临的威胁,提高运维效率是广大医院信息管理部门都十分关注的问题。

1 本医院桌面终端面临的问题

1.1 桌面终端信息管理与用户环境

该院科室共74个,在职人员共1 300余人,拥有计算机类桌面终端数量600余台。新旧电脑跨度在8年左右。占据全院职工大多数的医生、护士存在倒班、进修实习、科室轮转等情况。除机关、后勤外,几乎都存在多用户的公用电脑。一些用户对计算机操作还不熟练,或者安全知识不够。这些都会增加桌面终端病毒感染的风险及系统出现故障的概率。

1.2 桌面终端应用管理

如何能保持全院各应用系统稳定而不受干扰的运行是一个重要问题。尤其面对现在复杂的互联网环境,其中存在着大量广告插件、捆绑安装方式的程序。如果这些程序不加限制地运行在用户终端上,不仅会导致电脑系统运行变慢,还可能会导致系统瘫痪,最终影响到业务应用的顺利运行。要解决以上问题,就要对终端应用进行管理。

1.3 桌面终端外设管理

USB设备的大规模应用为人们的生活和工作提供了便利,但是在医疗办公环境内,尤其是存在众多公用终端的情况下,如何对USB设备实施有效管控是一个重要的问题。这主要因为:第一,在局域网环境下,USB移动存储设备是病毒的主要传播途径之一;第二,USB WIFI热点设备会让医院内部网络暴露在外,易遭受非法用户的入侵。

1.4 桌面终端补丁管理

系统漏洞的修补已经成为终端安全的关键点,不及时修补漏洞很容易使终端安全形成木桶效应。由于大部分终端无法访问因特网,因此也无法设置成自动更新补丁。如果采用人工手动逐台安装的方式,从人力和时间效率上考虑都是不切实际的。

1.5 桌面终端病毒防范

病毒攻击始终是桌面终端所不能回避的安全问题。病毒对系统及文件的破坏仍然是最具毁灭性的。更加严重的是,有些病毒还会对网络造成影响,比如ARP攻击、DNS劫持、广播风暴等。一旦大面积爆发,所有依赖网络的应用系统都可能瘫痪,这将对医院网络与信息系统的安全运行造成严重威胁。

面临上述问题,我们需要在加强终端安全防护的同时提高对桌面终端运维和管控的效率。而大多数医疗机构通常都是通过安装部署防病毒软件解决终端安全问题,再通过部署应用桌面管理系统来提高终端运维的工作效率。但这种模式一方面需要投入两套系统的购置成本,另一方面还必须解决桌面管理软件与杀毒软件冲突的问题。同时国家对政府及事业单位安全产品国产化的要求使得可供选择的产品更少。2013年北京奇虎科技有限公司推出的集杀毒和桌面终端管理为一体的360终端安全管理系统企业版(下文简称360企业版)很好地满足了我们的需求。

2 360企业版介绍

2.1 系统架构

360企业版在系统结构上分为控制中心和客户端(图1)。控制中心是360企业版的管理台,部署在服务器端,采用B/S架构,可以随时随地地通过浏览器访问。一方面它可以通过互联网连接到360升级服务器,进行自身的版本升级、病毒库和补丁的更新。另一方面,它主要负责终端设备分组管理、策略制定下发、全网健康状况监测、统一杀毒、统一漏洞修复、远程控制以及各种报表和查询等。客户端部署在需要被保护的桌面终端上,执行最终的杀毒扫描、漏洞修复、安全策略、远程控制等操作,并向安全控制中心发送相应的安全数据。

2.2 主要功能

正如上一章节所述,能够引起我们关注的是该系统的杀毒功能和桌面终端管理功能可以很好地结合为一体。在管理控制台中可以直接下达病毒查杀任务,并且能够显示出各个终端的查杀结果。终端管理方面提供了丰富的功能,例如终端信息管理,包括了终端名称、IP地址、操作系统版本、硬件配置及其所在分组信息。漏洞修复、系统危险项检修功能,可按计划对终端进行修复,提升终端的安全等级。外接设备管控功能,可以根据实际要求限制终端对USB WIFI热点、USB网卡、USB存储设备等外设的使用。通过软件监控功能,可以对所管终端上安装的应用程序了如指掌,配合进程黑名单、软件白名单功能的使用,可实现企业内部合规应用避免被干扰和查杀,禁用违规程序的效果。资产管理,该功能可以对终端的硬件信息及其硬件变更信息进行监测,并能够显示CPU、硬盘的温度信息。远程协助功能可以方便地连接到所管控终端的桌面,从而实现远程操作。全面的日志报表功能,可以对终端的各类信息进行统计查询,使运维管理人员对整个系统及管控的桌面终端有一定深度的了解。

3 360企业版的实施及应用效果

3.1 安装部署

该院在360企业版部署中保持了既有网络拓扑结构,在机房加装一台360企业服务器,使其接入医院网络,并可安全访问互联网。服务器硬件采用了DELL R710机架式服务器。360企业版服务器端的安装采用了友好的图形界面安装向导来引导管理员逐步完成安装。客户端部署主要采用了如下两种方式:第一种,桌面终端直接从WEB上直接下载该企业的客户端程序进行安装;第二种,在已经装有个人版或其他版本的360安全卫士中,可通过验证码切换为360企业版,并加入该中心的管控。服务端和客户端易于操作,因此得到了大多数用户的支持。目前该院已完成部署桌面终端600余台,完成了从门诊、病区到后勤机关的全部覆盖。

3.2 应用效果

经过实施部署360企业版后,我们所面对的一些问题也得到了很好的解决,下面以一些典型应用案例来介绍本医院应用该系统后的成效。

3.2.1 终端信息管理的应用该院对每台桌面终端设置了唯一编号,并作为计算机名。这样,控制台中就可以看到各个桌面终端的主机名信息、IP信息、硬件信息,以及离线在线状态。并按物理位置进行了分组管理。运维人员可以按终端系统体检分数、系统危险项及数量、病毒名称及数量、安装软件名称、硬件变更信息等来统计终端。依靠这些信息,管理人员可以对医院终端的状况有详细的了解。每年的资产盘点可以参考这些终端信息来进行。

3.2.2 终端防病毒的应用在病毒防御和查杀方面,针对所有管控终端设置了每日的病毒库自动更新,病毒实时监控数据上报。建立了企业应用程序白名单,这样可以避免医院私有应用程序被误杀。依托病毒查杀和桌面管理工具的良好的兼容性,运维人员所做的只是定期从管理控制台中查看全院桌面终端上报的病毒数查杀量及病毒名称。实现了自动化的病毒防御与实时全局监控,运维人员可以对全院桌面终端的病毒查杀情况有据可依,从而可以分析出当前安全形势和未来趋势。

3.2.3 终端系统补丁的应用系统补丁更新作业实现了全自动处理。终端执行定期的漏洞扫描任务,发现漏洞后从360企业服务器获取更新补丁文件进行修复。

3.2.4 终端进程黑名单的应用“进程黑名单”的使用,让终端软件管理更加精准化。管理员通过控制中心能够查看到当前终端上的所有应用的进程列表,应用进程的管理可以通过进程名称、进程数字签名或进程MD5值来精准定位某一个进程,从而实现禁止某一个进程的运行。当违规进程尝试启动运行时,360企业版会在终端上弹出禁用提示给用户并禁止该进程运行。更加方便的是,我们可以从终端现有进程列表中浏览,搜索某一进程,直接选中该进程后加入黑名单。依据此功能,我们专门设立一台黑名单学习终端,在该终端上运行一些违规应用,然后在控制中心把这台终端的违规应用进程加入全局黑名单,从而实现了黑名单进程列表的制定。通过长期的使用,我们发现因违规应用导致的终端故障率有所下降,也尽可能地给用户带来了良好的系统环境体验。

3.2.5 终端外设管理的应用通过外接设备管控功能,该院已全面禁用USB WIFI热点设备,但同时会保障其他与业务相关的USB设备可正常使用。例如:USB连接的打印机,USB扫码枪等办公外设。这得益于外接设备管控功能中可以分别针对电脑终端上常用物理接口,常见外接设备类型的独立管控。实施该项措施后,各类因外接网卡或WIFI热点导致的网络问题报修量已明显下降。

3.2.6 终端远程协助的应用采用远程协助的目的是为了提高运维效率,但同时也要考虑用户的隐私,让用户有个良好的故障处理体验。360企业版远程协助采用“申请-接受”机制,保障了远程控制的合法性。大多数软件问题可直接远程解决,一些复杂问题可以在远程了解故障现象后做出一个初步判断,更直观的了解故障现象,再协调相关技术人员或者配备工具赴现场处理。避免了故障现象描述不清,定位不准,往返用户现场所耽误的时间。

4 总结

360企业版的应用显著提高了桌面终端管理的运维效率,净化和改善了电脑终端的运行环境,提高了系统运行的安全性和稳定性。通过360企业版日志工具统计,到该文撰稿前共查杀病毒1 558个,共修复漏洞58 911个。自一年前开启禁用USB WIFI热点功能后,到目前共拦截134次,涉及26台终端。最近一年共利用远程桌面功能723次,问题处理效率有了一定的提升,大幅降低了往返现场的次数。

该系统在日常使用中也发现了有待完善的地方。例如远程协助功能过于单一,还无法进行远程文件的传输。终端信息管理功能如果能增加备注栏或用户可自定义字段会更加方便运维人员对终端信息的维护。但在整个运维体系中,人为因素也至关重要。如果全院终端唯一编号缺失、混乱,管理人员不定期审阅管理控制台的安全日志报表,不及时了解全院终端安全状况,也会影响系统的应用效果。

[1](美)Kadrich,M.S[著],(中)伍前红,余发江,杨飏,等[译].终端安全[M].北京:电子工业出版社,2009:15-32,67.

[2]陈利民,宋莉莉,郭雪清,等.医院计算机终端安全管理策略[J].实用医药杂志,2014,31(9):854-857.

[3]北京奇虎科技有限公司.360企业版V4.0使用手册[Z]. 2013:5,55-56.

Application of 360 Safety Management System in the Hospital Terminal Management

WANG Jian-wei,PAN Xin
Computer Center,Civil Aviation General Hospital,Beijing,100123 China

ObjectiveTo improve the safety and maintenance efficacy of desktop terminals by finding out the suitable methods.MethodsThe good compatibility,accessibility and functionality of 360 enterprise edition were used to solve the above issues.ResultsThe method solves the issues of terminal information management of hospital desktop terminals,virus defense,critical patch update,application management-control,external equipment management and remote assistance.Conclusion360 enterprise edition is feasible for the common hospital terminal management.

Desktop terminal management;Terminal safety;360 enterprise edition

R197

A

1672-5654(2017)01(a)-0007-03

10.16659/j.cnki.1672-5654.2017.01.007

2016-10-08)

王建伟(1986.11-),男,北京人,本科,助理工程师,主要从事计算机网络终端运维。

猜你喜欢
桌面进程运维
基于APP在线控制双挤出头FDM桌面3D打印机的研制
桌面云技术在铁路行业中的应用
债券市场对外开放的进程与展望
运维技术研发决策中ITSS运维成熟度模型应用初探
改革开放进程中的国际收支统计
风电运维困局
桌面装忙
配电线路的运维管理探讨
基于一体化的变电标准运维模式
社会进程中的新闻学探寻