摘要：探索終端安全管理系統(tǒng)在醫(yī)院信息化建設(shè)中的應(yīng)用。全面分析醫(yī)院終端安全管理存在的問題，層層剖析，不斷改進布署方式和實施流程。通過應(yīng)用終端安全管理解決方案，切實簡化了醫(yī)院IT運維管理的復(fù)雜性，降低了因終端行為不當(dāng)造成的風(fēng)險問題。深刻認(rèn)識到終端安全管理系統(tǒng)在醫(yī)院信息化應(yīng)用的重要性，只有采用主動式、集中式管理醫(yī)院終端的方式，才能夠有效提高醫(yī)院信息安全建設(shè)管理水平。
我國醫(yī)療信息化從單機單用戶應(yīng)用和部門級系統(tǒng)應(yīng)用階段，正全面進入全院級系統(tǒng)應(yīng)用和區(qū)域醫(yī)療的發(fā)展階段。不過，醫(yī)院信息安全主要集中在網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)安全，作為面向醫(yī)院內(nèi)部每一個員工的終端，其安全管理一直沒有受到足夠重視?！毒W(wǎng)絡(luò)安全法》的正式頒布，對醫(yī)院信息安全建設(shè)提出了更高的要求和約束。隨著醫(yī)院終端設(shè)備數(shù)量和種類的增多，加上“永恒之藍”的入侵，終端安全管理已經(jīng)成為醫(yī)院信息安全建設(shè)的重中之重。
杭州師范大學(xué)附屬醫(yī)院共有1300余個終端，針對之前被動管理的不足，以及醫(yī)院信息化建設(shè)的需求，醫(yī)院選擇了終端安全管理系統(tǒng)為醫(yī)院信息安全提供保障，主動式、集中式管理所有終端，形成“主動管理”“深度防御”的終端安全管理體系，提升IT終端綜合安全管理水平。
醫(yī)院終端安全管理存在的問題據(jù)統(tǒng)計，醫(yī)院信息系統(tǒng)中的安全威脅有80%來源于終端，終端由于其廣泛性、分散性，缺乏有效的安全管理手段，成為醫(yī)院信息安全建設(shè)最薄弱的環(huán)節(jié)之一，醫(yī)院信息化安全由核心防護逐步轉(zhuǎn)移至網(wǎng)絡(luò)邊界的每一個終端。醫(yī)院終端安全管理主要存在以下問題：1.1 醫(yī)院IT運維人員工作量巨大 醫(yī)院信息科運維人員花費在電腦、打印機等終端維護的工作時間，占據(jù)了50%～60%，運維人員每天就像救火員，把大量精力消耗在事務(wù)性工作中，在保障HIS上的時間變得越來越有限。并且，醫(yī)療信息化程度越高，終端數(shù)量和種類越多，問題也就越突出。1.2 醫(yī)療系統(tǒng)軟件需要更高效的布署維護手段 醫(yī)療系統(tǒng)軟件不斷開發(fā)、不斷升級，包括版本更新和功能升級，每年都有很多大大小小的升級版本，對于運維人員而言，軟件系統(tǒng)的布署升級變得越來越復(fù)雜。所以，如何簡化現(xiàn)有的軟件系統(tǒng)布署和升級工作，是醫(yī)院IT管理的重中之重。1.3 需要更為便捷高效的遠程管理平臺 我院有急診樓、門診樓、病房樓等，樓層之間距離較遠，加上醫(yī)護人員計算機技術(shù)參差不齊，使用過程中會出現(xiàn)各式各樣的問題。我院一直使用Radmin、PCAnywhere等遠程工具，但是要綜合使用才能達到預(yù)期效果，迫切需要便捷高效的、適合我院實際情況的遠程管理平臺。1.4 信息化建設(shè)需要全方位的安全管理 隨著勒索病毒在全球范圍內(nèi)的爆發(fā)，醫(yī)院不重視補丁管理的風(fēng)險顯現(xiàn)出來，補丁種類多而繁瑣，人工安裝和維護的工作量巨大。醫(yī)院醫(yī)療系統(tǒng)眾多，補丁的兼容性難以保證，無法有效的全局統(tǒng)一布署，需要重視兼容性、穩(wěn)定性、分發(fā)的高效性。我院實施內(nèi)外網(wǎng)隔離，但是由于計算機接口是通用的，亟需控制USB、無線網(wǎng)卡等外接設(shè)備，防止病毒交叉?zhèn)鞑?，杜絕接口成為安全隱患。另外，由于管理的不規(guī)范，內(nèi)部人員使用違規(guī)軟件，大大降低安全系數(shù)，需要對此類軟件實施有效的控制。1.5 資產(chǎn)定位和統(tǒng)計難以確定 由于缺乏有效的技術(shù)手段，無法精準(zhǔn)定位醫(yī)院終端位置，如位于哪棟大樓、哪個部室、哪位用戶，難以實施有針對性的管理。另外，我院資產(chǎn)管理更多是基于制度層面，資產(chǎn)報表主要是Excel表，內(nèi)容單一，數(shù)據(jù)遲滯。IT資產(chǎn)盤點過程冗長，耗費大量時間。醫(yī)院設(shè)備還經(jīng)常更換，我院難以對每臺終端進行實時的、全面的掌握。
終端安全管理系統(tǒng)架構(gòu)及布署為了解決醫(yī)院終端安全管理面臨的五大難題，醫(yī)院上線了終端安全管理系統(tǒng)。系統(tǒng)布署采用C/S架構(gòu)
通過核心服務(wù)器對所有終端進行策略下發(fā)，并對終端進行資產(chǎn)管理、電源管理、補丁管理、軟件分發(fā)、外設(shè)控制、應(yīng)用程序控制等功能管理，支持遠程故障診斷和維護。
為了保障醫(yī)院業(yè)務(wù)正常運行，醫(yī)院采取分階段的方式布署和安裝。第一階段，在部分門診樓和病房大樓進行推送測試，檢測軟件的兼容性，確保全面布署后不影響業(yè)務(wù)開展，一周的測試過程中，及時解決問題；第二階段，逐步對已有的客戶端進行策略的下發(fā)，包括外設(shè)控制、應(yīng)用程序控制、補丁分發(fā)、電源管理等，下發(fā)安全策略；第三階段，在確保軟件的兼容性和安全管理策略有效的前提下，向院所有終端統(tǒng)一布署安裝和策略下發(fā)。

終端安全管理系統(tǒng)實施效果針對醫(yī)院終端安全管理存在的五大問題，通過終端安全管理系統(tǒng)，找到了對應(yīng)的解決方案，實施效果符合預(yù)期。3.1 全面細(xì)致的管理 運維人員通過Ivanti可以提前預(yù)防故障，如通過后臺清單掃描獲知HIS前端機器系統(tǒng)盤硬盤空間是否充足、CPU負(fù)載是否正常；還可以通過自動掃描HIS工作站的各類安全隱患，從分散管理轉(zhuǎn)為集中管理。通過自定義修復(fù)，我院設(shè)置“七步洗手法”統(tǒng)一屏保，統(tǒng)一自動待機、關(guān)機時間，實現(xiàn)綠色IT管理。另外，終端安全管理系統(tǒng)自身的維護和布署非常簡單，便于運維人員將工作重心放在保障和維護HIS上。3.2 高效的軟件布署終端安全管理系統(tǒng)擁有三項專利技術(shù)，保證軟件分發(fā)效率，隨時進行軟件布署和升級，并且能夠控制網(wǎng)絡(luò)帶寬，不會造成網(wǎng)絡(luò)堵塞，實現(xiàn)全自動化運維。比如，我院針對Windows XP和Windows 7終端，在工作時間下發(fā)Office 2010，批量分發(fā)，靜默安裝，花費不到1d時間，也不會影響業(yè)務(wù)網(wǎng)絡(luò)。3.3 主動監(jiān)視的遠程支持平臺 在遠程支持平臺中，HIS工作站同步可見，運維人員可以第一時間發(fā)現(xiàn)問題，及時解決問題。同時，一個界面還可以展現(xiàn)多個被管理界面，滿足遠程多主機同時維護的需要?？紤]到系統(tǒng)安全性，Ivanti對整個遠程登錄過程還支持日志審計。3.4 多層次安全管理功能 針對終端安全，需要構(gòu)建補丁及時更新、外設(shè)管理、應(yīng)用程序控制等多層次的復(fù)合防護體系。比如，針對勒索病毒的MS17-010補丁修復(fù)，我院1 300臺終端不到半天時間便將補丁分發(fā)且安裝成功。USB接口是安全隱患的發(fā)源地，通過軟件對全院U盤和無線網(wǎng)卡進行控制，并確保不影響醫(yī)療儀器、打印機等設(shè)備的正常使用。我院還對內(nèi)網(wǎng)中Windows游戲和違規(guī)軟件實施了黑名單控制。3.5 IT資產(chǎn)的自動追蹤統(tǒng)計 針對醫(yī)院整個IT資產(chǎn)，Ivanti終端安全管理系統(tǒng)通過清單掃描器，收集終端各項軟硬件資產(chǎn)，以及資產(chǎn)變更信息、增量掃描、差異傳輸，通過各種手段自動匯報終端資產(chǎn)情況，幫助我院實施準(zhǔn)確有效的資產(chǎn)盤點。

結(jié)論

隨著醫(yī)院信息化建設(shè)的深入及終端數(shù)量的增加，傳統(tǒng)的管理方式已經(jīng)很難應(yīng)付日益增長的安全管理需要。因此，選擇合適有效的、功能穩(wěn)定的、兼容性好的終端安全管理系統(tǒng)是非常必要的。通過Ivanti終端安全管理系統(tǒng)，切實簡化了我院運維管理的復(fù)雜性，降低了安全風(fēng)險隱患，得以從煩瑣而繁重的終端日常維護工作中解放出來。