醫(yī)療信息網絡安全堡壘反病毒解決方案分享

行業(yè)現(xiàn)狀

隨著計算機網絡技術的迅猛發(fā)展和普及應用，我國絕大多數(shù)的醫(yī)院引進了網絡系統(tǒng)，它使原有的醫(yī)院管理從手工轉向機器，由單機轉向網絡，加強了醫(yī)院的計算機管理水平；它摒棄了傳統(tǒng)的醫(yī)院診療模式，在互聯(lián)網（Internet）的配合下，使異地網上醫(yī)療、遠程會診、就醫(yī)成為現(xiàn)實，真正發(fā)揮了醫(yī)院“救死扶傷，治病救人”的醫(yī)療準則。它為醫(yī)院的自身發(fā)展注入了新的活力，奠定了現(xiàn)代化醫(yī)院網絡管理的基石。在高科技產品給人們帶來欣喜的同時，卻忽略了這樣一個事實：醫(yī)院網絡系統(tǒng)不是無懈可擊的，它同樣存在安全隱患，并時刻威脅著醫(yī)院發(fā)展的步伐。

客戶背景

南方某醫(yī)院有計算機 4000多臺，分布在4棟大樓，分別為網絡中心、門診樓、醫(yī)技樓、住院樓。整個醫(yī)院的網絡共劃分了4個局域網，醫(yī)院網絡中的重要服務器固定IP，其他局域網中的工作站IP地址均為自動分配，IP租約設置為一個月星期。網絡管理中心建設有應用程序服務器（HIS，LISPACS，CIS，OA系統(tǒng)），提供醫(yī)院的基本醫(yī)療信息服務，4個子網的交換機與核心交換機通過光纖互聯(lián)。

下圖是南方某醫(yī)院的網絡拓撲圖：

南方某醫(yī)院目前所采取的安全措施包括：

1. 在internet接入處部署了千兆硬件防火墻

2. 在醫(yī)院網絡內計算機安裝了瑞星企業(yè)版殺毒軟件，從部署至今，防毒查殺效果均不太理想，經常出現(xiàn)病毒無法清除，或者無法發(fā)現(xiàn)病毒的情況，醫(yī)院網內ARP病毒泛濫。很多機器由于防病毒效果不好，被卸載更換成其他的單機版殺毒軟件。

3. 大部分計算機均安裝了 360安全衛(wèi)士。

4. 某些機器安裝還原卡

南方某醫(yī)院現(xiàn)階段的主要問題：

1. 雖然醫(yī)院的接入部分接了千兆防火墻，但是醫(yī)院的Web服務器，應用程序服務器仍然頻繁被黑客攻擊。網頁經常被篡改，數(shù)據被破壞等，嚴重情況下醫(yī)院的主頁都無法打開，非常影響企業(yè)形象。

2. 醫(yī)院網內ARP病毒泛濫，嚴重影響辦公和醫(yī)院服務。

3. 醫(yī)院整個龐大的網絡，當前所采購的瑞星企業(yè)版防病毒軟件，病毒查殺效果不甚理想，很多病毒無法查殺。醫(yī)院內網局域網某些計算機感染病毒后，不斷攻擊其他計算機，造成其他計算機被病毒感染。雖然作了全盤掃描，仍然不能徹底根除。

4. 醫(yī)院員工濫用移動存儲設備，造成U盤病毒泛濫。

5. 某些機器由于當前的防病毒軟件效果不好，被卸載換成了別的產品的單機版殺毒軟件，網絡管理員疲于應付。

6. 員工隨意下載、上傳、觀看在線影視占用大量網絡資源，網絡帶寬占用，工作效率下降。

7. 醫(yī)院網的某些應用業(yè)務與其他外部網絡有業(yè)務往來、醫(yī)院員工濫用可移動磁盤，造成醫(yī)院信息泄密。

8. 醫(yī)院網絡上的用戶網絡信息安全意識淡薄、管理制度不完善

醫(yī)院的員工對網絡安全知識甚少，安全意識淡薄，U盤、移動硬盤、手機等存貯介質隨意使用、網絡下載等，機器很容易感染病毒。感染病毒后不得不求助網絡管理員，網絡管理員工作量非常大；某些計算機雖然安裝了還原卡或使用還原軟件，但是也無法免受病毒的攻擊，病毒往往能夠突破還原卡，即使重啟計算機，病毒仍然存留在計算機之中活躍，這些導致醫(yī)院網形成很大的安全漏洞。

9. 缺乏集中管理

醫(yī)院網絡的結構向來復雜，還要涉及到眾多應用服務器的管理和多個局域網之間的協(xié)調。在信息安全防護方面沒有實施統(tǒng)一管理，很多機器上安裝的防病毒軟件被隨意卸載，換成其他產品的單機版軟件，管理員無法從全局把握企業(yè)的信息安全。

綜上所述，醫(yī)院網絡的安全形勢非常嚴峻，在這種情況下，醫(yī)院如何能夠保證網絡的安全運行，同時又能提供豐富的網絡資源，保障醫(yī)療及辦公上網的多種需求成為了一個難題。根據醫(yī)療網絡面臨的安全問題，BitDefender特為此設計了一整套完整的解決方案。

整個解決方案采用BitDefender增強版，包含工作站保護，文件服務器保護，郵件服務器保護及BitDefender管理平臺。BitDefender增強版支持主流的操作系統(tǒng)：Windows Server 2008，2003，2000；Windows 7，Vista，XP，以及基于Unix/Linux平臺的32/64位系統(tǒng)。

1. 在醫(yī)院的網絡中心建立一個BitDefender服務器，集中管理所有的BitDefender防病毒產品。（工作站、服務器）

2. 在醫(yī)院內部的重要服務器：DNS服務器，DHCP服務器，WEB服務器，VPN服務器，WINS服務器，文件服務器，打印服務器，郵件服務器、OA服務器和其他重要的HIS，LISPACS，CIS服務器上，安裝BitDefender服務器安全產品。

3. 在醫(yī)院內部的所有工作站上，安裝BitDefender客戶端安全產品。

病毒庫的更新：

在網絡中心的BitDefender管理服務器上，架設內部升級服務器，網內所有的BitDefender產品，均指向內網服務器升級病毒庫。可大大節(jié)約企業(yè)的帶寬，保障業(yè)務的暢通運作。

管理員可以在網絡上任何一臺 Windows計算機上安裝BitDefender管理員控制臺，輕松從遠程即可管理整個醫(yī)院網絡的所有BitDefender產品。通過BitDefender安全策略的設置和BitDefender提供的強大的WMI腳本，可以實現(xiàn)整個網絡的安全、網絡資產管理、上網行為管理、防止信息泄密、打齊操作系統(tǒng)補丁等眾多功能。

BitDefender解決方案特點：

一. 全功能的企業(yè)版殺毒軟件：

BitDefender不僅擁有強大的病毒查殺能力，還擁有注冊表監(jiān)控、Cookies監(jiān)控、腳本監(jiān)控、反黑客、反垃圾郵件、反釣魚、數(shù)據備份、恢復等眾多實用功能。

1. 強大的反病毒：BitDefender作為世界頂級的反病毒產品，擁有業(yè)界領先的啟發(fā)式引擎B-HAVE，能夠有效查殺各種已知和未知的病毒。BitDefender還擁有全球最全病毒庫，截止到2010-6-4號，BitDefender病毒庫達到了615萬，遠遠領先于其他反病毒產品。除此之外，BitDefender每天至少更新16次病毒庫，能夠快速應對互聯(lián)網的新威脅。

2. 智能防火墻：BitDefender防火墻能夠有效攔截來自互聯(lián)網的黑客攻擊和內部的攻擊，全面查殺了醫(yī)院網絡中泛濫的ARP病毒。

3. 反垃圾郵件：BitDefender 郵件服務器安全、工作站中都集成了屢獲殊榮的反垃圾郵件引擎。除此之外還綜合應用了傳統(tǒng)的反垃圾郵件技術例如貝葉斯算法，黑名單、白名單技術，URL過濾，內容過濾等技術。BitDefender在國際權威機構VirusBulletin的反垃圾郵件測試排名中排名第一，多次獲得反垃圾郵件VBSpam金獎。

4. 工作站數(shù)據備份、恢復： BitDefender企業(yè)版包含工作站數(shù)據備份、恢復功能，能夠有效保障醫(yī)院的數(shù)據安全。

二. 集中管理

通過強大的BitDefender管理工具，管理員可以對全網的反病毒程序集中進行管理，集中分發(fā)反病毒策略、防火墻策略、反垃圾郵件策略、隱私控制策略、用戶控制策略、病毒庫升級策略等。管理員可以在管理平臺上實時查看到客戶端的狀態(tài)信息，禁止客戶端修改配置、禁止卸載，并集成生成日志報表，使得一個管理員就可以完成整個所轄網絡的防毒系統(tǒng)的集中管理，大大減少了人力投入，保證了防毒系統(tǒng)策略的一致性。

三. 部署簡單

BitDefender企業(yè)版的部署非常簡單，即可以采用自動部署方式，也可以采用靈活的離線部署方式，通常在一個小時內就可以部署完成百上千個節(jié)點。

四. 集中更新

所有的BitDefender反病毒產品，均從企業(yè)內部架設的BitDefende更新服務器更新病毒庫，無須直接連接到互聯(lián)網升級，節(jié)省了企業(yè)的帶寬。當然針對筆記本用戶BitDefender也提供了復合更新的方案，在企業(yè)內部直接從內部升級服務器升級，如果移動辦公到公司外部，可以從自動指向internet升級病毒庫。

五. 網絡資產管理

BitDefender創(chuàng)新地將WMI腳本引入到BitDefender企業(yè)版中，通過強大的WMI腳本，網絡管理員可以輕松管理、登記網絡資產。例如：登記工作站的CPU、主板、硬盤、內存、計算機名稱、操作系統(tǒng)、系統(tǒng)用戶、顯示器、網卡、IP地址等眾多信息。

六. 上網行為管理

網頁控制：可設置限制訪問指定的網頁，例如土豆網，優(yōu)酷網，迅雷看看，酷6網，在線網頁游戲。

應用程序控制：阻止訪問管理員指定的應用程序。例如QQ聊天工具，浩方對戰(zhàn)平臺，VS對戰(zhàn)平臺，QQ游戲，網絡游戲，本地游戲等。必要時管理員可以分發(fā)WMI腳本，遠程刪除客戶端所安裝的應用程序。

網絡限時器：BitDefender可以靈活地設置員工的上網時間。例如可設置18點下班后無法上網，節(jié)約資源。

發(fā)式網頁過濾器：根據BitDefender預先建立的，以內容為基礎的規(guī)則過濾網頁訪問。例如限制訪問BitDefender收錄的色情、暴力網站。

流量控制：管理員可集中設置禁止P2P軟件的運行和設置禁止訪問視頻播放網站。例如禁止運行下載工具：迅雷，游戲程序，BT，emule，Web迅雷，F(xiàn)lashget；禁止運行在線播放軟件：暴風影音，QVod， QQ音樂等。綜合網頁控制，禁止訪問視頻播放網站，可以有效管理企業(yè)的帶寬，確保業(yè)務的暢通運作。

七. 防止信息泄密

禁用可移動磁盤：管理員可設置禁止可移動磁盤，防止數(shù)據泄密

HTTP關鍵詞過濾：含有關鍵詞的網頁將被阻止。

SMTP、POP3關鍵詞過濾：含有關鍵詞的電子郵件將被阻止。

八. 打齊操作系統(tǒng)補丁

管理員可集中配置Windows自動更新選項，查看可用的windows更新補丁，打齊操作系統(tǒng)補丁等，提高企業(yè)內計算機的安全性。

用戶評價：

BitDefender企業(yè)版功能非常強大，不僅查殺病毒能力強，還附帶了上網行為管理，數(shù)據備份、恢復，防止數(shù)據泄密等眾多實用功能，BitDefender企業(yè)版解決了我們醫(yī)院的眾多難題，為醫(yī)院構筑了一道強大的信息安全堡壘，BitDefender值得我們信賴！

更多醫(yī)療電子信息請關注：21ic醫(yī)療電子頻道