醫(yī)療信息網(wǎng)絡(luò)安全堡壘反病毒解決方案分享

行業(yè)現(xiàn)狀

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和普及應(yīng)用，我國絕大多數(shù)的醫(yī)院引進(jìn)了網(wǎng)絡(luò)系統(tǒng)，它使原有的醫(yī)院管理從手工轉(zhuǎn)向機(jī)器，由單機(jī)轉(zhuǎn)向網(wǎng)絡(luò)，加強(qiáng)了醫(yī)院的計(jì)算機(jī)管理水平；它摒棄了傳統(tǒng)的醫(yī)院診療模式，在互聯(lián)網(wǎng)（Internet）的配合下，使異地網(wǎng)上醫(yī)療、遠(yuǎn)程會(huì)診、就醫(yī)成為現(xiàn)實(shí)，真正發(fā)揮了醫(yī)院“救死扶傷，治病救人”的醫(yī)療準(zhǔn)則。它為醫(yī)院的自身發(fā)展注入了新的活力，奠定了現(xiàn)代化醫(yī)院網(wǎng)絡(luò)管理的基石。在高科技產(chǎn)品給人們帶來欣喜的同時(shí)，卻忽略了這樣一個(gè)事實(shí)：醫(yī)院網(wǎng)絡(luò)系統(tǒng)不是無懈可擊的，它同樣存在安全隱患，并時(shí)刻威脅著醫(yī)院發(fā)展的步伐。

客戶背景

南方某醫(yī)院有計(jì)算機(jī) 4000多臺(tái)，分布在4棟大樓，分別為網(wǎng)絡(luò)中心、門診樓、醫(yī)技樓、住院樓。整個(gè)醫(yī)院的網(wǎng)絡(luò)共劃分了4個(gè)局域網(wǎng)，醫(yī)院網(wǎng)絡(luò)中的重要服務(wù)器固定IP，其他局域網(wǎng)中的工作站IP地址均為自動(dòng)分配，IP租約設(shè)置為一個(gè)月星期。網(wǎng)絡(luò)管理中心建設(shè)有應(yīng)用程序服務(wù)器（HIS，LISPACS，CIS，OA系統(tǒng)），提供醫(yī)院的基本醫(yī)療信息服務(wù)，4個(gè)子網(wǎng)的交換機(jī)與核心交換機(jī)通過光纖互聯(lián)。

下圖是南方某醫(yī)院的網(wǎng)絡(luò)拓?fù)鋱D：

南方某醫(yī)院目前所采取的安全措施包括：

1. 在internet接入處部署了千兆硬件防火墻

2. 在醫(yī)院網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)安裝了瑞星企業(yè)版殺毒軟件，從部署至今，防毒查殺效果均不太理想，經(jīng)常出現(xiàn)病毒無法清除，或者無法發(fā)現(xiàn)病毒的情況，醫(yī)院網(wǎng)內(nèi)ARP病毒泛濫。很多機(jī)器由于防病毒效果不好，被卸載更換成其他的單機(jī)版殺毒軟件。

3. 大部分計(jì)算機(jī)均安裝了 360安全衛(wèi)士。

4. 某些機(jī)器安裝還原卡

南方某醫(yī)院現(xiàn)階段的主要問題：

1. 雖然醫(yī)院的接入部分接了千兆防火墻，但是醫(yī)院的Web服務(wù)器，應(yīng)用程序服務(wù)器仍然頻繁被黑客攻擊。網(wǎng)頁經(jīng)常被篡改，數(shù)據(jù)被破壞等，嚴(yán)重情況下醫(yī)院的主頁都無法打開，非常影響企業(yè)形象。

2. 醫(yī)院網(wǎng)內(nèi)ARP病毒泛濫，嚴(yán)重影響辦公和醫(yī)院服務(wù)。

3. 醫(yī)院整個(gè)龐大的網(wǎng)絡(luò)，當(dāng)前所采購的瑞星企業(yè)版防病毒軟件，病毒查殺效果不甚理想，很多病毒無法查殺。醫(yī)院內(nèi)網(wǎng)局域網(wǎng)某些計(jì)算機(jī)感染病毒后，不斷攻擊其他計(jì)算機(jī)，造成其他計(jì)算機(jī)被病毒感染。雖然作了全盤掃描，仍然不能徹底根除。

4. 醫(yī)院員工濫用移動(dòng)存儲(chǔ)設(shè)備，造成U盤病毒泛濫。

5. 某些機(jī)器由于當(dāng)前的防病毒軟件效果不好，被卸載換成了別的產(chǎn)品的單機(jī)版殺毒軟件，網(wǎng)絡(luò)管理員疲于應(yīng)付。

6. 員工隨意下載、上傳、觀看在線影視占用大量網(wǎng)絡(luò)資源，網(wǎng)絡(luò)帶寬占用，工作效率下降。

7. 醫(yī)院網(wǎng)的某些應(yīng)用業(yè)務(wù)與其他外部網(wǎng)絡(luò)有業(yè)務(wù)往來、醫(yī)院員工濫用可移動(dòng)磁盤，造成醫(yī)院信息泄密。

8. 醫(yī)院網(wǎng)絡(luò)上的用戶網(wǎng)絡(luò)信息安全意識(shí)淡薄、管理制度不完善

醫(yī)院的員工對(duì)網(wǎng)絡(luò)安全知識(shí)甚少，安全意識(shí)淡薄，U盤、移動(dòng)硬盤、手機(jī)等存貯介質(zhì)隨意使用、網(wǎng)絡(luò)下載等，機(jī)器很容易感染病毒。感染病毒后不得不求助網(wǎng)絡(luò)管理員，網(wǎng)絡(luò)管理員工作量非常大；某些計(jì)算機(jī)雖然安裝了還原卡或使用還原軟件，但是也無法免受病毒的攻擊，病毒往往能夠突破還原卡，即使重啟計(jì)算機(jī)，病毒仍然存留在計(jì)算機(jī)之中活躍，這些導(dǎo)致醫(yī)院網(wǎng)形成很大的安全漏洞。

9. 缺乏集中管理

醫(yī)院網(wǎng)絡(luò)的結(jié)構(gòu)向來復(fù)雜，還要涉及到眾多應(yīng)用服務(wù)器的管理和多個(gè)局域網(wǎng)之間的協(xié)調(diào)。在信息安全防護(hù)方面沒有實(shí)施統(tǒng)一管理，很多機(jī)器上安裝的防病毒軟件被隨意卸載，換成其他產(chǎn)品的單機(jī)版軟件，管理員無法從全局把握企業(yè)的信息安全。

綜上所述，醫(yī)院網(wǎng)絡(luò)的安全形勢(shì)非常嚴(yán)峻，在這種情況下，醫(yī)院如何能夠保證網(wǎng)絡(luò)的安全運(yùn)行，同時(shí)又能提供豐富的網(wǎng)絡(luò)資源，保障醫(yī)療及辦公上網(wǎng)的多種需求成為了一個(gè)難題。根據(jù)醫(yī)療網(wǎng)絡(luò)面臨的安全問題，BitDefender特為此設(shè)計(jì)了一整套完整的解決方案。

整個(gè)解決方案采用BitDefender增強(qiáng)版，包含工作站保護(hù)，文件服務(wù)器保護(hù)，郵件服務(wù)器保護(hù)及BitDefender管理平臺(tái)。BitDefender增強(qiáng)版支持主流的操作系統(tǒng)：Windows Server 2008，2003，2000；Windows 7，Vista，XP，以及基于Unix/Linux平臺(tái)的32/64位系統(tǒng)。

1. 在醫(yī)院的網(wǎng)絡(luò)中心建立一個(gè)BitDefender服務(wù)器，集中管理所有的BitDefender防病毒產(chǎn)品。（工作站、服務(wù)器）

2. 在醫(yī)院內(nèi)部的重要服務(wù)器：DNS服務(wù)器，DHCP服務(wù)器，WEB服務(wù)器，VPN服務(wù)器，WINS服務(wù)器，文件服務(wù)器，打印服務(wù)器，郵件服務(wù)器、OA服務(wù)器和其他重要的HIS，LISPACS，CIS服務(wù)器上，安裝BitDefender服務(wù)器安全產(chǎn)品。

3. 在醫(yī)院內(nèi)部的所有工作站上，安裝BitDefender客戶端安全產(chǎn)品。

病毒庫的更新：

在網(wǎng)絡(luò)中心的BitDefender管理服務(wù)器上，架設(shè)內(nèi)部升級(jí)服務(wù)器，網(wǎng)內(nèi)所有的BitDefender產(chǎn)品，均指向內(nèi)網(wǎng)服務(wù)器升級(jí)病毒庫?？纱蟠蠊?jié)約企業(yè)的帶寬，保障業(yè)務(wù)的暢通運(yùn)作。

管理員可以在網(wǎng)絡(luò)上任何一臺(tái) Windows計(jì)算機(jī)上安裝BitDefender管理員控制臺(tái)，輕松從遠(yuǎn)程即可管理整個(gè)醫(yī)院網(wǎng)絡(luò)的所有BitDefender產(chǎn)品。通過BitDefender安全策略的設(shè)置和BitDefender提供的強(qiáng)大的WMI腳本，可以實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的安全、網(wǎng)絡(luò)資產(chǎn)管理、上網(wǎng)行為管理、防止信息泄密、打齊操作系統(tǒng)補(bǔ)丁等眾多功能。

BitDefender解決方案特點(diǎn)：

一. 全功能的企業(yè)版殺毒軟件：

BitDefender不僅擁有強(qiáng)大的病毒查殺能力，還擁有注冊(cè)表監(jiān)控、Cookies監(jiān)控、腳本監(jiān)控、反黑客、反垃圾郵件、反釣魚、數(shù)據(jù)備份、恢復(fù)等眾多實(shí)用功能。

1. 強(qiáng)大的反病毒：BitDefender作為世界頂級(jí)的反病毒產(chǎn)品，擁有業(yè)界領(lǐng)先的啟發(fā)式引擎B-HAVE，能夠有效查殺各種已知和未知的病毒。BitDefender還擁有全球最全病毒庫，截止到2010-6-4號(hào)，BitDefender病毒庫達(dá)到了615萬，遠(yuǎn)遠(yuǎn)領(lǐng)先于其他反病毒產(chǎn)品。除此之外，BitDefender每天至少更新16次病毒庫，能夠快速應(yīng)對(duì)互聯(lián)網(wǎng)的新威脅。

2. 智能防火墻：BitDefender防火墻能夠有效攔截來自互聯(lián)網(wǎng)的黑客攻擊和內(nèi)部的攻擊，全面查殺了醫(yī)院網(wǎng)絡(luò)中泛濫的ARP病毒。

3. 反垃圾郵件：BitDefender 郵件服務(wù)器安全、工作站中都集成了屢獲殊榮的反垃圾郵件引擎。除此之外還綜合應(yīng)用了傳統(tǒng)的反垃圾郵件技術(shù)例如貝葉斯算法，黑名單、白名單技術(shù)，URL過濾，內(nèi)容過濾等技術(shù)。BitDefender在國際權(quán)威機(jī)構(gòu)VirusBulletin的反垃圾郵件測(cè)試排名中排名第一，多次獲得反垃圾郵件VBSpam金獎(jiǎng)。

4. 工作站數(shù)據(jù)備份、恢復(fù)： BitDefender企業(yè)版包含工作站數(shù)據(jù)備份、恢復(fù)功能，能夠有效保障醫(yī)院的數(shù)據(jù)安全。

二. 集中管理

通過強(qiáng)大的BitDefender管理工具，管理員可以對(duì)全網(wǎng)的反病毒程序集中進(jìn)行管理，集中分發(fā)反病毒策略、防火墻策略、反垃圾郵件策略、隱私控制策略、用戶控制策略、病毒庫升級(jí)策略等。管理員可以在管理平臺(tái)上實(shí)時(shí)查看到客戶端的狀態(tài)信息，禁止客戶端修改配置、禁止卸載，并集成生成日志報(bào)表，使得一個(gè)管理員就可以完成整個(gè)所轄網(wǎng)絡(luò)的防毒系統(tǒng)的集中管理，大大減少了人力投入，保證了防毒系統(tǒng)策略的一致性。

三. 部署簡單

BitDefender企業(yè)版的部署非常簡單，即可以采用自動(dòng)部署方式，也可以采用靈活的離線部署方式，通常在一個(gè)小時(shí)內(nèi)就可以部署完成百上千個(gè)節(jié)點(diǎn)。

四. 集中更新

所有的BitDefender反病毒產(chǎn)品，均從企業(yè)內(nèi)部架設(shè)的BitDefende更新服務(wù)器更新病毒庫，無須直接連接到互聯(lián)網(wǎng)升級(jí)，節(jié)省了企業(yè)的帶寬。當(dāng)然針對(duì)筆記本用戶BitDefender也提供了復(fù)合更新的方案，在企業(yè)內(nèi)部直接從內(nèi)部升級(jí)服務(wù)器升級(jí)，如果移動(dòng)辦公到公司外部，可以從自動(dòng)指向internet升級(jí)病毒庫。

五. 網(wǎng)絡(luò)資產(chǎn)管理

BitDefender創(chuàng)新地將WMI腳本引入到BitDefender企業(yè)版中，通過強(qiáng)大的WMI腳本，網(wǎng)絡(luò)管理員可以輕松管理、登記網(wǎng)絡(luò)資產(chǎn)。例如：登記工作站的CPU、主板、硬盤、內(nèi)存、計(jì)算機(jī)名稱、操作系統(tǒng)、系統(tǒng)用戶、顯示器、網(wǎng)卡、IP地址等眾多信息。

六. 上網(wǎng)行為管理

網(wǎng)頁控制：可設(shè)置限制訪問指定的網(wǎng)頁，例如土豆網(wǎng)，優(yōu)酷網(wǎng)，迅雷看看，酷6網(wǎng)，在線網(wǎng)頁游戲。

應(yīng)用程序控制：阻止訪問管理員指定的應(yīng)用程序。例如QQ聊天工具，浩方對(duì)戰(zhàn)平臺(tái)，VS對(duì)戰(zhàn)平臺(tái)，QQ游戲，網(wǎng)絡(luò)游戲，本地游戲等。必要時(shí)管理員可以分發(fā)WMI腳本，遠(yuǎn)程刪除客戶端所安裝的應(yīng)用程序。

網(wǎng)絡(luò)限時(shí)器：BitDefender可以靈活地設(shè)置員工的上網(wǎng)時(shí)間。例如可設(shè)置18點(diǎn)下班后無法上網(wǎng)，節(jié)約資源。

發(fā)式網(wǎng)頁過濾器：根據(jù)BitDefender預(yù)先建立的，以內(nèi)容為基礎(chǔ)的規(guī)則過濾網(wǎng)頁訪問。例如限制訪問BitDefender收錄的色情、暴力網(wǎng)站。

流量控制：管理員可集中設(shè)置禁止P2P軟件的運(yùn)行和設(shè)置禁止訪問視頻播放網(wǎng)站。例如禁止運(yùn)行下載工具：迅雷，游戲程序，BT，emule，Web迅雷，F(xiàn)lashget；禁止運(yùn)行在線播放軟件：暴風(fēng)影音，QVod， QQ音樂等。綜合網(wǎng)頁控制，禁止訪問視頻播放網(wǎng)站，可以有效管理企業(yè)的帶寬，確保業(yè)務(wù)的暢通運(yùn)作。

七. 防止信息泄密

禁用可移動(dòng)磁盤：管理員可設(shè)置禁止可移動(dòng)磁盤，防止數(shù)據(jù)泄密

HTTP關(guān)鍵詞過濾：含有關(guān)鍵詞的網(wǎng)頁將被阻止。

SMTP、POP3關(guān)鍵詞過濾：含有關(guān)鍵詞的電子郵件將被阻止。

八. 打齊操作系統(tǒng)補(bǔ)丁

管理員可集中配置Windows自動(dòng)更新選項(xiàng)，查看可用的windows更新補(bǔ)丁，打齊操作系統(tǒng)補(bǔ)丁等，提高企業(yè)內(nèi)計(jì)算機(jī)的安全性。

用戶評(píng)價(jià)：

BitDefender企業(yè)版功能非常強(qiáng)大，不僅查殺病毒能力強(qiáng)，還附帶了上網(wǎng)行為管理，數(shù)據(jù)備份、恢復(fù)，防止數(shù)據(jù)泄密等眾多實(shí)用功能，BitDefender企業(yè)版解決了我們醫(yī)院的眾多難題，為醫(yī)院構(gòu)筑了一道強(qiáng)大的信息安全堡壘，BitDefender值得我們信賴！

更多醫(yī)療電子信息請(qǐng)關(guān)注：21ic醫(yī)療電子頻道