医疗行业信息系统安全整体解决方案.docx

1、医疗行业信息系统安全整体解决方案医疗行业信息系统整体安全解决方案前言医疗信息化建设是行业信息化建设过程中的重要组成部分。目前正是医疗信息化的大发展时期。未来几年中，我国将有超过70%的医院实现信息化管理。根据医疗系统的信息化水平划分，医院信息化发展要经历三个阶段：医院管理信息化(HIS)阶段、临床管理信息化(CIS)阶段、局域医疗卫生服务(GMIS)阶段。医院能否为病人提供方便、快捷的优质服务？这不仅是百姓关心的问题，也是医院所重视的问题。医院对信息化的要求是很迫切的，对他们来说，信息化带来的不仅是便捷，更把医院管理带向现代化轨道。在HIS系统上，不仅护士和药品管理部门的人员能看到医生的医嘱信

2、息，医生也能看到药品的报价情况，这彻底改变了以往各个部门之间信息沟通不畅的问题，真正实现了业务透明化。据不完全统计，这种全新的管理方式每年为医院至少节约1000万元。医院管理信息系统在20多年的发展中，历经了单机单任务、PC机Foxbase局域网部门级信息系统，直到C/S、B/S结构的一体化医院信息系统。网络也正在经历院内局域网扩展为医疗城域网，直至将来的全国联网的网络形态变化，其原因是：一方面医院需要为患者提供更多的服务，需要为内部移动用户提供VPN接入，为病人提供网上预约挂号，为专家提供远程会诊等；另一方面由于医院是整个社会保障体系中必不可少的一环，又肩负着教、科、研的重任，要求医院信息化

3、系统逐步从封闭走向开放。因此，医院信息系统正变成医疗体系结构中不可或缺的基础架构，该架构的网络安全和数据可用变得异常重要。任何的系统停机或数据丢失都会轻则降低患者的满意度、损害医院的信誉，重则引起医患纠纷、法律问题或社会问题。和其他行业一样，医疗信息系统在日常运行中面临各种风险带来的应用服务停机和数据丢失或泄密，例如：网络病毒、攻击造成停机与数据丢失黑客入侵造成信息泄密人为错误造成数据删除存储损坏造成应用停机和数据丢失服务器故障或交换机故障导致应用意外停机不可抗因素如火灾、地震等造成信息中心毁坏随着医疗信息系统的深入发展，IT环境也变的越来越复杂。不仅有不同厂家的存储、服务器、网络等硬件平台，

4、还会有Oracle、SQL Server、中间件等异构的软件平台。虽然异构为医院带来低成本和高适应性，但同时也会带来复杂性，引起性能和高可用性问题。因此无论是医疗制度改革带给医院的压力，还是政府疾病防治和控制给医院信息化建设带来的机会，医院信息系统在发展过程中首当其冲要解决的问题是：因外部及内部原因引起的网络安全问题，数据安全问题，保证信息系统的扩展性和高效连续运行。本方案将从医疗信息系统的安全现状出发，讨论如何建立适应未来发展的信息系统安全和可用性架构。第一部分 医疗行业信息系统网络安全解决方案一、医疗行业结构特点及信息安全需求分析随着医疗行业信息化建设的不断完善，目前绝大多数的医院已经部署

5、了网络防火墙，客户端防病毒等产品，但医院网络依然会不断遭受蠕虫病毒，木马等威胁的攻击，现有的技术和防范手段已经不足以应对日益猖狂的各种新型威胁。另外，医院内部发生的安全事件是医院信息资产流失的一个主要因素，越来越多的医院也着手开始实施内网的安全控制措施。图1：医院信息系统的典型网络拓扑医疗行业信息系统结构的安全威胁主要来自以下下几个方面：1、医院数量庞大的固定及移动终端安全和管理难题：操作系统补丁不能及时更新、安全软件不能及时升级，造成威胁侵入、继而整个网络病毒泛滥。 2、 医院的邮件系统逐渐成为医院日常管理的工具，垃圾邮件泛滥不仅造成IT资产浪费、系统效率下降，而且各种利用邮件的网络攻击会给

6、网络带来极大的风险：信息泄漏、病毒传播。 3、 医院绝大部分的病人和医疗信息，如病人的病例|、 药品采购、财务信息等，是以电子信息的形式存在医院的内部网络中，据统计，医院知识产权信息经常以电子邮件，文件传输，web 邮件等形式轻而易举地流出。因此医院需要一定的保护措施，避免信息泄漏造成的各种形式的纠纷。通过上述分析可以看出，医院信息系统的安全防护必须是多层次，全方位的。根据医疗行业的实际情况，设计了完整的、先进的信息系统主动安全防护体系，它主要包括：医院端点标准化管理方案端点安全策略管理 Symantec NAC/Endpoint ProtectionIT 资产标准管理 Symantec Al

7、tiris医院邮件系统安全管理方案邮件安全网关 Symantec Mail Security 邮件归档管理 Symantec Enterprise Vault医院机密数据安全管理方案 防止机密数据泄漏方案 Symantec Vontu DLP二、医疗行业网络安全整体方案1 医院端点标准化管理方案医院网内的终端数量庞大，各自归属的管理网段不一。归纳端点管理的目标：医院全面建立主动式的端点防护体系，即能够有效包含端点本身，又能够对端点上的不规范行为进行监督。端点保护需要集成多种安全技术，如防病毒，防火墙、IPS,程序管理、设备控制等。在网络上部署实时的审核手段，对违规的客户端限制或禁止其网络接入权

8、限。做到发现问题，即时解决问题。不感染网络中其它的工作设备。减少IT 维护终端的工作量，自动收集网络中的IT资产信息，定期统计其变更量，为医院IT 规划提供依据。统一分发医院所需要的系统补丁、应用程序等，减少终端用户的干预程度。的端点标准化管理方案从技术和管理两方面出发，可以很好的解决上述医院面临的端点管理问题。该方案主要由两大部分组成：Symantec Network Access Control/Symantec Endpoint Protection:提供集成的端点安全防护技术和网络准入控制，帮助医院提高端点自身的安全防护能力。同时又在网络上实时审核端点的符合安全规范的程度。一旦发现违规

9、终端，立即限制或取消其访问网络的权利，从而达到规范终端操作，统一策略的主动防护目的。Symantec Altiris：给医院提供IT 资产生命周期的管理架构，从IT 资产的信息收集、登记、系统分发，软件分发、故障排错等全面的自动化的管理，大大减少IT 管理员的维护工作量。下面将阐述这两部分方案如何对医院端点标准化管理。（一）Symantec Network Access Control/Symantec Endpoint Protection（以下简称SNAC/SEP） SNAC/SEP 是端点安全管理方案，它的核心思想是通过网络准入控制和端点安全保护屏蔽一切不安全的设备和人员接入医院内部网络

10、，从而规范终端用户接入网络的行为，铲除对医院重要网络威胁的源头，避免事后处理的高额成本。SEP提供了世界一流、业界领先且基于特征的防病毒和反间谍软件防护。它具备先进的威胁防御能力，能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。包括主动防护技术以及管理控制功能；主动防护技术能够自动分析应用程序行为和网络通信，以检测并阻止可疑活动，而管理控制功能使医院能够拒绝对医院来说被视为高风险的特定设备和应用程序活动。甚至可以根据用户位置阻止特定操作。SEP不仅可以增强防护，而且可以通过降低管理成本以及管理多个端点安全性产品引发的成本来降低总拥有成本。它提供一个代理，通过一个管理控制台即可进行管理

11、。从而不仅简化了端点安全管理，而且还提供了出色的操作效能。SEP 功能结构示意图如下：图2：SEP功能结构示意图在端点安全管理设计中，网络准入控制是把对用户的管理需求通过技术手段贯彻下去的唯一可行办法。SANC 正是这样一个解决方案，它为医院创建了终端接入的可信尺度。常见检查策略为：强制验证操作系统补丁是否更新，反病毒软件是否在运行及病毒库是否更新，端点防火墙软件是否在运行及被适当的配置。同时，SNAC也可以让管理员进一步执行更多高级策略，检查特定安全软件或特殊安全配置是否存在。一旦SNAC检查策略创建完成，就有了在终端连入网络时可参照的安全基线。它通过提前的“准入扫描”，来确保终端可信状态并

12、授权。SNAC的网络访问控制流程包括以下四个步骤：1. 发现和评估端点。此步骤在端点连接到网络访问资源之前执行。通过与现有网络基础架构相集成，同时使用智能代理软件，网络管理员可以确保按照最低 IT 策略要求对连接到网络的新设备进行评估。2. 设置网络访问权限。只有对系统进行评估并确认其遵从 IT 策略后，才准予该系统进行全面的网络访问。对于不遵从 IT 策略或不满足医院最低安全要求的系统，将对其进行隔离，限制或拒绝其对网络进行访问。3. 对不遵从的端点采取补救措施。对不遵从的端点自动采取补救措施使管理员能够将这些端点快速变为遵从状态，随后再改变网络访问权限。管理员可以将补救过程完全自动化，这样

13、会使该过程对最终用户完全透明；也可以将信息提供给用户，以便进行手动补救。4. 主动监视遵从状况。必须时刻遵从策略。因此，Symantec Network Access Control 11以管理员设置的时间间隔主动监视所有端点的遵从状况。如果在某一时刻端点的遵从状态发生了变化，那么该端点的网络访问权限也会随之变化。SNAC 提供多种准入控制方式：局域网准入控制（基于802.1x 标准）LAN Enforcer网关准入控制 Gateway EnforcerDHCP 准入控制自我强制 图3：SNAC 网络准入控制（二）Symantec Altiris Symantec的Altiris资产管理致力于

14、IT管理，以其服务导向架构(SOA) 下提供模块化的服务导向解决管理方案(SOM)为客户提供完整的IT 生命周期管理(IT Lifecycle Management )，并在业界公认的成熟的IT管理最佳实践（IT基础架构库）的基础上为客户提供完全的流程化管理。它帮助医院实现IT 资产生命周期的管理。图4：Symantec Altiris IT 资产生命周期管理Altiris IT生命周期管理解决方案具有多重系统管理功能，医院能随着新的要求或新的系统管理需求部署新的功能，随着医院的发展而不断扩充。每个解决方案以模块化的方式集中安装在Altiris服务器上，通过安装在客户端的Agent（代理）的交

15、互式来实现所有功能。在端点标准化管理的方案中，我们建议使用Altiris Client Management Suite( CMS) 来实现对端点资产的自动化管理。Altiris CMS 套件是一种非常简单易用的客户端管理解决方案，它帮助医院降低PC、笔记本、手持设备等的管理维护成本。专为拥有大量IT设备管理者设计的。这个方案帮助医院实现从任何地点对系统和设备的管理，包括部署、管理、配置、解决问题等功能。它包括如下解决方案：Inventory Solution for Clients, IT资产管理（动态资产统计、资产监控）Deployment Solution for Clients,部署和

16、迁移（系统、应用、个性化设置的部署和升级）Patch Management Solution for Clients,补丁包管理（自动、安全安装补丁程序）Software Delivery Solution for Clients, 软件分发（快速安装软件）Carbon Copy Solution, 远程控制（帮助远程解决问题或培训）Recovery Solution for Clients，备份与恢复（系统、应用程序、文件的备份与恢复）Application Metering Solution, 应用程序测量（分析应用程序使用率）（三）端点标准化管理方案优势来自同一厂家的端点标准化管理方案，

17、用户具有最小的端点管理成本和部署成本。Altiris 提供和SEP的集成组件，可在Altiris 部署的同时，将SEP 一并部署到客户端。SEP 集成了客户端所需要的所有安全防护技术，可以在安全威胁渗透到网络之前将其阻止，即便是由最狡猾的未知新攻击者发起的攻击也不例外。以实时方式检测并阻止恶意软件，包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件和rootkit。Symantec 提供业界最佳的威胁趋势情报 的防护机制使用业界领先的全球情报网络，可以提供有关整个互联网威胁趋势的全面视图。借助此情报可以采取相应的防护措施，并且可以帮助您防御不断变化的攻击，从而使您高枕无忧。SEP 与SNAC 属于

18、同一个管理架构，使用共同的客户端代理和管理控制台。在一个代理上提供防病毒、反间谍软件、桌面防火墙、IPS、设备控制和网络访问控制，最大程度地降低了IT 管理员的维护工作量。SNAC 是业界网络准入控制的领导者，拥有全球最广泛的用户案例，产品成熟度高，确保医院部署SNAC后，没有后顾之忧。SNAC独立于网络设备厂商，具有最广泛的网络设备支持。可以与任何医院的网络架构相结合，达到规范医院终端行为的效果。图5：Symantec 端点安全和管理部署示意图2 医院邮件系统安全管理 医院邮件系统安全管理的目标是：对来自外部网的垃圾邮件进行过滤和处理；对病毒和蠕虫造成的邮件攻击进行拦截；对不断增长的无用带宽

19、进行限制和调整；对包含不正当内容的邮件予以拦截；限制邮件服务器上的用户邮箱配额，同时也能够满足用户有足够的邮件存储空间，提高前台邮件服务器的处理性能。满足对邮件日志保存期限和审计的需求，降低法律诉讼的风险，帮助用户恢复重要的邮件。 的电子邮件安全及可用性方案为用户提供全面卓越的邮件生命周期的安全管理方案，提供了业界领先的产品和服务，通过有效维持通讯系统及数据的安全及随时可用，节省用户的投资，成本而设计，减少大量垃圾邮件、阻截病毒，并通过归档实现对旧有邮件的生命周期管理，协助保障用户电邮系统的弹性架构。邮件生命周期管理方案示意图如下：图2：邮件生命周期安全管理方案如上图所示，的邮件生命周期安全管

20、理方案由两大核心组件构成：Symantec Mail Security 8300：为医院接收和发送的所有邮件提供垃圾邮件、病毒邮件以及邮件含有违规内容的全面安全检测，并提供相应的自动化安全处理措施。Symantec Enterprise Vault 7.5：对医院内部的邮件系统提供基于策略的邮箱归档、日志归档操作。在满足医院保存邮件和审计需求的同时，降低一级邮件存储空间的使用率，提高邮件服务器性能。快速恢复用户需要的重要邮件等。下面将阐述这两大核心组件如何对医院邮件系统进行安全管理。（一）Symantec Mail Security 8300 Symantec Mail Security 83

21、00(以下简称SMS8300) 系列同时提供防垃圾邮件、防病毒、内容过滤等全面防护功能。 SMS 8300 系列设备的用途非常灵活，根据医院网络规模和电子邮件处理的需要，它们可以执行多种不同的功能。每台 SMS 8300 系列设备都可部署为：Scanner：如果只部署为 Scanner，SMS 8300 系列设备将会过滤电子邮件。可以在医院网内安装一个或多个Scanner。SMS8300系列设备可以与现有电子邮件或群件服务器一起工作。控制中心（Control Center）：管理医院网邮件安全系统。每个SMS 8300系列安装都有一个控制中心设备，它是一个基于 Web 的配置和管理中心。 控制

22、中心又承载着隔离区和支持软件。可以从控制中心中配置和监控所有 Scanner设备。 还可以使用控制中心配置和管理电子邮件过滤、SMTP 路由、系统设置及所有其他功能。控制中心同时还提供系统中所有 SMS 8300 系列设备的状态以及系统日志。 它还提供丰富的可自定义的报告。可以使用控制中心来配置系统范围的和主机特定的详细信息。如果正在使用隔离区，则可以使用控制中心来管理隔离区。 最终用户（学生、在校教职员等）可以访问控制中心来查看隔离区中的垃圾邮件，还可以设置他们的语言过滤及禁止或允许的发件人首选项。隔离区是一个存储垃圾邮件并使最终用户能够访问他们的垃圾邮件的组件。也可以将隔离区配置为仅供管理

23、员访问。隔离区的使用是可选的。控制中心兼 Scanner：执行上述两种功能。 适用于医院邮件用户较小的情况安装。 图3：医院邮件安全集中管理（二）Symantec Enterprise Vault 7.5如前文所述，Symantec Enterprise Vault(以下简称EV)为一款提供邮箱归档、日志归档、邮件快速查询及恢复、减轻一级邮件存储压力、满足邮件审计的专业方案。EV可以归档医院内常见的几乎所有数据类型，如：位于 Microsoft Exchange 用户邮箱中的项目位于 Microsoft Exchange 日志邮箱中的项目Microsoft Exchange 公用文件夹内容位于

24、 Domino 邮件文件中的项目位于 Domino 日志数据库中的项目网络文件服务器中保存的文件Microsoft SharePoint 服务器中保存的文档即时消息和 Bloomberg 消息来自其他消息传递服务器的 SMTP 消息 Enterprise Vault 归档进程会检查目标服务器，以获得要归档的项目。相关项目随后会被存储在 Enterprise Vault 归档中。Enterprise Vault 会为已归档项目创建索引，以实现快速搜索和检索。管理员可以设置所需的索引级别。在归档项目时，系统会自动为项目分配一个“保留类别”，该类别定义了必须保存项目的时间长度。管理员可以为不同类型的

25、数据定义不同的保留类别。这样，当Enterprise Vault 监控归档时，它可以删除保留期限已过期的项目。 EV 的各个组件协同工作，实现了灵活的基于策略的邮件生命周期管理：Enterprise Vault Server：归档主服务器，负责归档策略的管理及归档信息的管理Journal Archiving：日记邮件归档模块，可以将邮件服务器复制的每一封进出邮件归档到EV管理的存储，便于审计需要Mailbox Archiving：邮件归档模块，可以将邮件归档到EV管理的存储，扩展邮箱配额，提供outlook集成的界面PST Migrator：迁移模块，可以将现有的PST文件数据迁移到档案库Of

26、fline Vault：离线模块，提供离线情况下对邮件的访问Discovery Accelerator：邮件审计和搜索模块，提供工作流方式的审计File System Archiving, Archiving & Search：文件归档，透明地将文件归档并提供对归档文件的全文搜索功能 （三）邮件系统安全管理方案优势的邮件系统安全方案是业界最成熟的解决方案，SMS 8300 与 Symantec EV在邮件管理市场中都占有第一位的市场份额。SMS8300 采用了多种垃圾邮件过滤技术，有效率达到95以上，准确性达到99.9999%，处于世界领先水平；SMS8300在全世界拥有200万个蜜罐邮箱，专

27、门收集最新的垃圾邮件，能够快速应对最新的垃圾邮件发送技术。同时，Symantec公司在国内设立了20万蜜罐邮箱专门搜集国内的垃圾邮件，针对中文垃圾邮件和国内流行的垃圾邮件同样具有很高的过滤效率；SMS8300通过电子邮件防火墙技术，实现在真正的垃圾邮件与病毒邮件到达用户网络之前，就阻止其企图的功能。通过此技术，可以极大的节省用户网络的带宽利用，并且真正保护了最终邮件服务器的可用资源（SMS 8300独有）；SMS8300可有效防止DHA攻击、垃圾邮件攻击、病毒攻击、空连接攻击、多重压缩攻击等各种针对电子邮件系统的DOS攻击（SMS 8300独有）；SMS8300 提供强大的最终用户可配置功能。

28、最终用户通过登陆管理配置界面，可以管理与自己有关的隔离区垃圾邮件，并且可以自定义个体的黑名单、白名单和语言选项，从而大大的降低管理员的管理负担；EV通过压缩和单实例存储技术，大幅减少邮件归档存储量EV生成归档内容索引，实现快速的目标检索，用户透明体验EV提供所有归档内容的HTML副本，确保用户将来能够通过任何应用程序来访问档案内容EV可以支持最广泛归档数据来源的归档平台，自身就可以直接实现与Domino, Exchange, SharePoint，IM，文件服务器等归档功能。同时，其与合作伙伴广泛的集成包括： SAP、数据库、传真等等，Enterprise Vault还可以提供EMC、IBM、

29、OpenText和Stellent的RM连接器，并提供第三方归档开发接口对Exchange邮箱、日志、公用文件夹和PST文件的内容进行归档。消除配额和信息容量限制，同时控制信息存储的增长。管理员可以定义策略，将Exchange邮件和附件自动归档到在线的仓库中。另外，它还提供了快捷方式，使用户能够通过Outlook，或者通过基于web的扩展搜索功能，轻松、透明地查看或恢复初始条目。EV可以无缝支持Domino Web Access接入模式。通过EVt客户端浏览器，搜索等与Notes客户端及DWA方式完全无缝集成。同时客户端可以从Windows Desktop Search中搜索归档。Enterp

30、rise Vault采用11种语言翻译客户端，包括简体中文版客户端在基于SMTP的电子邮件系统中，EV可以支持基于策略的电子邮件和附件归档3医院敏感数据安全管理方案 随着医院信息化建设的深入，信息系统成为医院业务正常开展的基石，其中的数据是医院最重要的资产。近年来，多家国际上有重要影响力的企业/公司不时被媒体曝光，其重要的客户资料和其他机密信息被非法使用，给企业/公司声誉造成了不可估量的损失，进而影响到企业/公司的财政收入，医疗行业也面临同样类似的问题。 医院那些重要的敏感数据如何进行安全管理呢？从数据保护领域来看，涉及诸多技术，其中最有代表性的主要有两种：第一种是针对含有机密数据的电子文档（

31、或称文件）加强保护，方法主要是加密或者版权管理；第二种是针对机密数据内容本身加强保护，方法是对机密数据的存储、使用和传输进行监控和管理。大多数医院遇到的数据保护需求，需要同时使用上述两种保护技术，甚至还需要更多的技术来满足。的数据丢失防护解决方案 Symantec Vontu Data Loss Prevention（以下简称Vontu DLP）采用的是第二种技术，适合在整个所有医院大规模部署，以微小的性能代价与资源，实现牢固的机密数据保护。 （一）Symantec Vontu 防数据泄漏方案 Vontu DLP 8是业界第一个结合了终端、存储和网络功能的软件，它为机密数据的存储和使用提供保护。无论是存储在网络的、还是不联网终端上的数据，Vontu都可以发现它们，并且可以防止数据从网络网关和终端泄密。 Vontu DLP 8从三个层面全面防止医院机密数据的泄漏： 网络数据发现和保护（Network Data Discovery and Protection）：具备对医院存储数据的全面功能覆盖，包括发现和保护机密数据，这些数据可能存放在文件服务器、数据库、Microsoft SharePoint、Lotus Notes、Documentum、LiveLink、Microsoft Exchange、WEB服务器、以及其他的数据存储中。 该产品线包含了以下2个部署模块： 网