醫療信息網(wǎng)絡(luò )安全堡壘反病毒解決方案分享

行業(yè)現狀

隨著(zhù)計算機網(wǎng)絡(luò )技術(shù)的迅猛發(fā)展和普及應用，我國絕大多數的醫院引進(jìn)了網(wǎng)絡(luò )系統，它使原有的醫院管理從手工轉向機器，由單機轉向網(wǎng)絡(luò )，加強了醫院的計算機管理水平；它摒棄了傳統的醫院診療模式，在互聯(lián)網(wǎng)（Internet）的配合下，使異地網(wǎng)上醫療、遠程會(huì )診、就醫成為現實(shí)，真正發(fā)揮了醫院“救死扶傷，治病救人”的醫療準則。它為醫院的自身發(fā)展注入了新的活力，奠定了現代化醫院網(wǎng)絡(luò )管理的基石。在高科技產(chǎn)品給人們帶來(lái)欣喜的同時(shí)，卻忽略了這樣一個(gè)事實(shí)：醫院網(wǎng)絡(luò )系統不是無(wú)懈可擊的，它同樣存在安全隱患，并時(shí)刻威脅著(zhù)醫院發(fā)展的步伐。

客戶(hù)背景

南方某醫院有計算機 4000多臺，分布在4棟大樓，分別為網(wǎng)絡(luò )中心、門(mén)診樓、醫技樓、住院樓。整個(gè)醫院的網(wǎng)絡(luò )共劃分了4個(gè)局域網(wǎng)，醫院網(wǎng)絡(luò )中的重要服務(wù)器固定IP，其他局域網(wǎng)中的工作站IP地址均為自動(dòng)分配，IP租約設置為一個(gè)月星期。網(wǎng)絡(luò )管理中心建設有應用程序服務(wù)器（HIS，LISPACS，CIS，OA系統），提供醫院的基本醫療信息服務(wù)，4個(gè)子網(wǎng)的交換機與核心交換機通過(guò)光纖互聯(lián)。

下圖是南方某醫院的網(wǎng)絡(luò )拓撲圖：

南方某醫院目前所采取的安全措施包括：

1. 在internet接入處部署了千兆硬件防火墻

2. 在醫院網(wǎng)絡(luò )內計算機安裝了瑞星企業(yè)版殺毒軟件，從部署至今，防毒查殺效果均不太理想，經(jīng)常出現病毒無(wú)法清除，或者無(wú)法發(fā)現病毒的情況，醫院網(wǎng)內ARP病毒泛濫。很多機器由于防病毒效果不好，被卸載更換成其他的單機版殺毒軟件。

3. 大部分計算機均安裝了 360安全衛士。

4. 某些機器安裝還原卡

南方某醫院現階段的主要問(wèn)題：

1. 雖然醫院的接入部分接了千兆防火墻，但是醫院的Web服務(wù)器，應用程序服務(wù)器仍然頻繁被黑客攻擊。網(wǎng)頁(yè)經(jīng)常被篡改，數據被破壞等，嚴重情況下醫院的主頁(yè)都無(wú)法打開(kāi)，非常影響企業(yè)形象。

2. 醫院網(wǎng)內ARP病毒泛濫，嚴重影響辦公和醫院服務(wù)。

3. 醫院整個(gè)龐大的網(wǎng)絡(luò )，當前所采購的瑞星企業(yè)版防病毒軟件，病毒查殺效果不甚理想，很多病毒無(wú)法查殺。醫院內網(wǎng)局域網(wǎng)某些計算機感染病毒后，不斷攻擊其他計算機，造成其他計算機被病毒感染。雖然作了全盤(pán)掃描，仍然不能徹底根除。

4. 醫院?jiǎn)T工濫用移動(dòng)存儲設備，造成U盤(pán)病毒泛濫。

5. 某些機器由于當前的防病毒軟件效果不好，被卸載換成了別的產(chǎn)品的單機版殺毒軟件，網(wǎng)絡(luò )管理員疲于應付。

6. 員工隨意下載、上傳、觀(guān)看在線(xiàn)影視占用大量網(wǎng)絡(luò )資源，網(wǎng)絡(luò )帶寬占用，工作效率下降。

7. 醫院網(wǎng)的某些應用業(yè)務(wù)與其他外部網(wǎng)絡(luò )有業(yè)務(wù)往來(lái)、醫院?jiǎn)T工濫用可移動(dòng)磁盤(pán)，造成醫院信息泄密。

8. 醫院網(wǎng)絡(luò )上的用戶(hù)網(wǎng)絡(luò )信息安全意識淡薄、管理制度不完善

醫院的員工對網(wǎng)絡(luò )安全知識甚少，安全意識淡薄，U盤(pán)、移動(dòng)硬盤(pán)、手機等存貯介質(zhì)隨意使用、網(wǎng)絡(luò )下載等，機器很容易感染病毒。感染病毒后不得不求助網(wǎng)絡(luò )管理員，網(wǎng)絡(luò )管理員工作量非常大；某些計算機雖然安裝了還原卡或使用還原軟件，但是也無(wú)法免受病毒的攻擊，病毒往往能夠突破還原卡，即使重啟計算機，病毒仍然存留在計算機之中活躍，這些導致醫院網(wǎng)形成很大的安全漏洞。

9. 缺乏集中管理

醫院網(wǎng)絡(luò )的結構向來(lái)復雜，還要涉及到眾多應用服務(wù)器的管理和多個(gè)局域網(wǎng)之間的協(xié)調。在信息安全防護方面沒(méi)有實(shí)施統一管理，很多機器上安裝的防病毒軟件被隨意卸載，換成其他產(chǎn)品的單機版軟件，管理員無(wú)法從全局把握企業(yè)的信息安全。

綜上所述，醫院網(wǎng)絡(luò )的安全形勢非常嚴峻，在這種情況下，醫院如何能夠保證網(wǎng)絡(luò )的安全運行，同時(shí)又能提供豐富的網(wǎng)絡(luò )資源，保障醫療及辦公上網(wǎng)的多種需求成為了一個(gè)難題。根據醫療網(wǎng)絡(luò )面臨的安全問(wèn)題，BitDefender特為此設計了一整套完整的解決方案。

整個(gè)解決方案采用BitDefender增強版，包含工作站保護，文件服務(wù)器保護，郵件服務(wù)器保護及BitDefender管理平臺。BitDefender增強版支持主流的操作系統：Windows Server 2008，2003，2000；Windows 7，Vista，XP，以及基于Unix/Linux平臺的32/64位系統。

1. 在醫院的網(wǎng)絡(luò )中心建立一個(gè)BitDefender服務(wù)器，集中管理所有的BitDefender防病毒產(chǎn)品。（工作站、服務(wù)器）

2. 在醫院內部的重要服務(wù)器：DNS服務(wù)器，DHCP服務(wù)器，WEB服務(wù)器，VPN服務(wù)器，WINS服務(wù)器，文件服務(wù)器，打印服務(wù)器，郵件服務(wù)器、OA服務(wù)器和其他重要的HIS，LISPACS，CIS服務(wù)器上，安裝BitDefender服務(wù)器安全產(chǎn)品。

3. 在醫院內部的所有工作站上，安裝BitDefender客戶(hù)端安全產(chǎn)品。

病毒庫的更新：

在網(wǎng)絡(luò )中心的BitDefender管理服務(wù)器上，架設內部升級服務(wù)器，網(wǎng)內所有的BitDefender產(chǎn)品，均指向內網(wǎng)服務(wù)器升級病毒庫?？纱蟠蠊澕s企業(yè)的帶寬，保障業(yè)務(wù)的暢通運作。

管理員可以在網(wǎng)絡(luò )上任何一臺 Windows計算機上安裝BitDefender管理員控制臺，輕松從遠程即可管理整個(gè)醫院網(wǎng)絡(luò )的所有BitDefender產(chǎn)品。通過(guò)BitDefender安全策略的設置和BitDefender提供的強大的WMI腳本，可以實(shí)現整個(gè)網(wǎng)絡(luò )的安全、網(wǎng)絡(luò )資產(chǎn)管理、上網(wǎng)行為管理、防止信息泄密、打齊操作系統補丁等眾多功能。

BitDefender解決方案特點(diǎn)：

一. 全功能的企業(yè)版殺毒軟件：

BitDefender不僅擁有強大的病毒查殺能力，還擁有注冊表監控、Cookies監控、腳本監控、反黑客、反垃圾郵件、反釣魚(yú)、數據備份、恢復等眾多實(shí)用功能。

1. 強大的反病毒：BitDefender作為世界頂級的反病毒產(chǎn)品，擁有業(yè)界領(lǐng)先的啟發(fā)式引擎B-HAVE，能夠有效查殺各種已知和未知的病毒。BitDefender還擁有全球最全病毒庫，截止到2010-6-4號，BitDefender病毒庫達到了615萬(wàn)，遠遠領(lǐng)先于其他反病毒產(chǎn)品。除此之外，BitDefender每天至少更新16次病毒庫，能夠快速應對互聯(lián)網(wǎng)的新威脅。

2. 智能防火墻：BitDefender防火墻能夠有效攔截來(lái)自互聯(lián)網(wǎng)的黑客攻擊和內部的攻擊，全面查殺了醫院網(wǎng)絡(luò )中泛濫的ARP病毒。

3. 反垃圾郵件：BitDefender 郵件服務(wù)器安全、工作站中都集成了屢獲殊榮的反垃圾郵件引擎。除此之外還綜合應用了傳統的反垃圾郵件技術(shù)例如貝葉斯算法，黑名單、白名單技術(shù)，URL過(guò)濾，內容過(guò)濾等技術(shù)。BitDefender在國際權威機構VirusBulletin的反垃圾郵件測試排名中排名第一，多次獲得反垃圾郵件VBSpam金獎。

4. 工作站數據備份、恢復： BitDefender企業(yè)版包含工作站數據備份、恢復功能，能夠有效保障醫院的數據安全。

二. 集中管理

通過(guò)強大的BitDefender管理工具，管理員可以對全網(wǎng)的反病毒程序集中進(jìn)行管理，集中分發(fā)反病毒策略、防火墻策略、反垃圾郵件策略、隱私控制策略、用戶(hù)控制策略、病毒庫升級策略等。管理員可以在管理平臺上實(shí)時(shí)查看到客戶(hù)端的狀態(tài)信息，禁止客戶(hù)端修改配置、禁止卸載，并集成生成日志報表，使得一個(gè)管理員就可以完成整個(gè)所轄網(wǎng)絡(luò )的防毒系統的集中管理，大大減少了人力投入，保證了防毒系統策略的一致性。

三. 部署簡(jiǎn)單

BitDefender企業(yè)版的部署非常簡(jiǎn)單，即可以采用自動(dòng)部署方式，也可以采用靈活的離線(xiàn)部署方式，通常在一個(gè)小時(shí)內就可以部署完成百上千個(gè)節點(diǎn)。

四. 集中更新

所有的BitDefender反病毒產(chǎn)品，均從企業(yè)內部架設的BitDefende更新服務(wù)器更新病毒庫，無(wú)須直接連接到互聯(lián)網(wǎng)升級，節省了企業(yè)的帶寬。當然針對筆記本用戶(hù)BitDefender也提供了復合更新的方案，在企業(yè)內部直接從內部升級服務(wù)器升級，如果移動(dòng)辦公到公司外部，可以從自動(dòng)指向internet升級病毒庫。

五. 網(wǎng)絡(luò )資產(chǎn)管理

BitDefender創(chuàng )新地將WMI腳本引入到BitDefender企業(yè)版中，通過(guò)強大的WMI腳本，網(wǎng)絡(luò )管理員可以輕松管理、登記網(wǎng)絡(luò )資產(chǎn)。例如：登記工作站的CPU、主板、硬盤(pán)、內存、計算機名稱(chēng)、操作系統、系統用戶(hù)、顯示器、網(wǎng)卡、IP地址等眾多信息。

六. 上網(wǎng)行為管理

網(wǎng)頁(yè)控制：可設置限制訪(fǎng)問(wèn)指定的網(wǎng)頁(yè)，例如土豆網(wǎng)，優(yōu)酷網(wǎng)，迅雷看看，酷6網(wǎng)，在線(xiàn)網(wǎng)頁(yè)游戲。

應用程序控制：阻止訪(fǎng)問(wèn)管理員指定的應用程序。例如QQ聊天工具，浩方對戰平臺，VS對戰平臺，QQ游戲，網(wǎng)絡(luò )游戲，本地游戲等。必要時(shí)管理員可以分發(fā)WMI腳本，遠程刪除客戶(hù)端所安裝的應用程序。

網(wǎng)絡(luò )限時(shí)器：BitDefender可以靈活地設置員工的上網(wǎng)時(shí)間。例如可設置18點(diǎn)下班后無(wú)法上網(wǎng)，節約資源。

發(fā)式網(wǎng)頁(yè)過(guò)濾器：根據BitDefender預先建立的，以?xún)热轂榛A的規則過(guò)濾網(wǎng)頁(yè)訪(fǎng)問(wèn)。例如限制訪(fǎng)問(wèn)BitDefender收錄的色情、暴力網(wǎng)站。

流量控制：管理員可集中設置禁止P2P軟件的運行和設置禁止訪(fǎng)問(wèn)視頻播放網(wǎng)站。例如禁止運行下載工具：迅雷，游戲程序，BT，emule，Web迅雷，Flashget；禁止運行在線(xiàn)播放軟件：暴風(fēng)影音，QVod， QQ音樂(lè )等。綜合網(wǎng)頁(yè)控制，禁止訪(fǎng)問(wèn)視頻播放網(wǎng)站，可以有效管理企業(yè)的帶寬，確保業(yè)務(wù)的暢通運作。

七. 防止信息泄密

禁用可移動(dòng)磁盤(pán)：管理員可設置禁止可移動(dòng)磁盤(pán)，防止數據泄密

HTTP關(guān)鍵詞過(guò)濾：含有關(guān)鍵詞的網(wǎng)頁(yè)將被阻止。

SMTP、POP3關(guān)鍵詞過(guò)濾：含有關(guān)鍵詞的電子郵件將被阻止。

八. 打齊操作系統補丁

管理員可集中配置Windows自動(dòng)更新選項，查看可用的windows更新補丁，打齊操作系統補丁等，提高企業(yè)內計算機的安全性。

用戶(hù)評價(jià)：

BitDefender企業(yè)版功能非常強大，不僅查殺病毒能力強，還附帶了上網(wǎng)行為管理，數據備份、恢復，防止數據泄密等眾多實(shí)用功能，BitDefender企業(yè)版解決了我們醫院的眾多難題，為醫院構筑了一道強大的信息安全堡壘，BitDefender值得我們信賴(lài)！

更多醫療電子信息請關(guān)注：21ic醫療電子頻道