经过近二十多年的发展,我国医院信息系统建设经历了从单机系统、局部网络系统、整个医院信息系统、远程医疗的多个阶段,已初具规模。非凡是随着国家“金卫工程”的展开,许多医院相继建立起医院范围的完整信息系统。伴随着众多系统的建立,安全性问题也突现出来。“为解决病毒对医院办公系统带来的影响,本院先后使用了一些单机版的防病毒软件,但是单机防病毒软件在网络系统中存在不少缺陷,如无法集中治理防病毒工作,客户机配置和防护级别无法统一,无法集中更新病毒代码等,使得治理中人为操作的因素大。” 烟台某医院相关负责人这样介绍着当前医院在安全方面所碰到的问题,“尤其现在电子邮件和网络聊天工具是传播病毒的主要途径之一,即使安装了单机版防病毒软件也不能确保整个网络的防病毒能力,医院也曾因大面积的网络病毒爆发而引起网络环境严重阻塞。因此,我们希望通过构建网络防护的安全系统来堵住一切可能造成威胁的漏洞。”
我们知道,一般而言,内部网络连接Internet区域安全等级最低,是病毒产生及传播的地方;而客户端工作区安全等级较高,客户端主要由外来用户、移动办公用户、桌面用户构成,是病毒感染的主要目标,也是病毒进入医院网络的主要载体;核心服务器区安全等级最高,其中包括了医院的业务服务器,这是安全防护体系最终保护的目标。因此,根据网络现状以及安全体系存在的问题,该医院网络病毒防范工作必须从这三个安全区域着手,根据它们之间的访问关系施加防护及病毒监控。
具体来说,针对核心服务器区要严防来自Internet及移动用户的病毒入侵,保护其中的要害服务器,这是防病毒工作的重点;针对客户端工作区,需要部署客户端防病毒产品严防病毒(尤其是具有混合型威胁特征的混合型病毒)的入侵;针对Internet区域,部署网关级防病毒产品,严防来自该区域的病毒及病毒攻击;针对邮件系统,需要部署邮件病毒防护系统;另外还需要部署必要的辅助手段,以监测网络的异常状况,提前预知病毒事件的发生。
业务要害应用向IT提要求
据介绍,烟台这所医院原来使用的是内外网物理隔离的网络结构,通过千兆以太网通向Internet网,病房内部用千兆以太网互联形成一个与Internet物理隔离的内部网络环境。医院新的网络改造结束后,把所有科室的计算机都和服务器连在一起,都可以通过服务器连接上互联网。同时使用了邮件服务器系统,共有12台业务和邮件服务器,500多个客户端,并通过千兆以太网相连,是标准的客户端/服务器架构。但在网络安全方面,并没有做太多的投入,只是简单地在全院网络出口的位置架设了一台防火墙,以起到保护医院服务器免受黑客攻击的目的。但防火墙能够阻挡大多数来自互联网的攻击,却无法阻止来自内部和外部的蠕虫、病毒传播。因此,建立一套防病毒系统则显得更为重要。防火墙与防病毒系统在保护网络安全方面可以互为补充,以“无缝结合”地实现了阻止网络大规模病毒爆发的可能。
但由于该医院网络节点多,结构比较复杂,重点在门诊和病房的防病毒需求,因此,要着重要保护这两块区域的网络安全。
架构“两级控制 三级治理”体系
为了实现网络防病毒的总体目标,医院其提出了网络防病毒整体架构:整体架构包括了全方位的防病毒产品部署及治理,实现全网防病毒体系的“两级控制、三级治理”。
在整个网络中,防病毒机制实现一级单位、二级单位、三级单位三级治理,在三级网络中分别部署防病毒服务器,原则上三级单位只部署客户端防病毒产品,由所属的二级分发治理。
一级单位设立全网的主一级防病毒治理服务器,承担着全网的防病毒产品升级、防护策略制订、报警治理、病毒统计报表生成等工作;同时一级单位的主一级服务器也作为自己所在局域网的一级服务器,治理本局域网内的所有客户端。各二级单位分别部署各自的一级服务器,作为自己所在局域网络的防病毒治理服务器,它除了治理所在二级单位的防病毒产品外还治理下属所有三级的防病毒服务器;三级单位部署防病毒服务器,接受二级单位防病毒服务器的治理,承担所在三级单位的软件分发、升级和病毒防护策略的分发。
因此,在本院防病毒整体架构中,该医院部署了以下几方面功能组件:
防病毒集中治理服务器 负责防病毒策略指定、产品自动分发、升级、生成病毒报告、日志查看等。
群件防病毒 负责邮件系统病毒防护
客户端防病毒 全面防护各种类型操作系统的客户端的病毒
网关防病毒 防护来自Internet的病毒,对从Internet来的流量进行内容过滤
赛门铁克“两级控制、三级治理”示意图
选择供给商看重七特性部署赛门铁克网络病毒防护解决方案
该医院在选择网络防病毒系统及其供给商时,考虑了其7个方面的特性。首先是,充分考虑技术和产品的成熟性和稳定性。网络防病毒产品必须是成熟而且经受大量考验,在各种操作系统平台和服务器平台上都有相应的病毒防护软件的版本并且能够和操作系统紧密结合;第二是能全面满足病毒防御体系的各种需求;第三是能提供主动式的防护,而不是在病毒爆发后再做出反应;第四是系统必须具有可扩展性和可升级性。 可升级能力是衡量防病毒系统是否具有生命力的重要指标。防病毒软件必须不断及时地升级病毒样本文件和引擎,在功能、性能上不断采用新的技术,保证系统的向前发展。向用户提供多种病毒特征文件和病毒引擎的方便的升级方式,保证组织机构的防病毒系统在第一时间内得到升级;第五是可治理性。对于医院这样比较大的网络结构,要治理防病毒软件的分发、升级、配置和支持是一个非常难的事,这就要求提供一个方便治理的平台。防病毒系统必须提供简化治理的工具,可以在几个集中的点上对整个网络中的客户端和服务器进行治理,包括对病毒特征文件和防病毒引擎的分发升级、报警治理和日志分析整理以及病毒处理方式配置等;第七是易用性。由于院方的网管人员比较少,平时工作繁忙,无法单独指定人员来负责这套方案的天天维护,所以要通过使用防病毒解决方案能够最大限度地降低网管人员的工作量。通过这套系统,网管人员只需要在一台控制服务器上简单操作就可以实现对全网客户端和服务器的治理、制定防病毒策略,同时也可以很好地实现防病毒系统的预防未知病毒、检测多变型病毒等功能;通过集中化隔离功能可以实现集中化病毒治理,使得治理人员可以将所有不可修复的、受病毒感染的文件转向到一个集中化的服务器,以实现进一步的检测。
在考量了各不同供给商的解决方案之后,该医院选择了赛门铁克的网络病毒防护产品。具体而言,在医院部署实施的产品主要有:治理类产品、客户端及服务器防病毒产品,邮件防病毒产品。其中,治理类产品即赛门铁克系统中心(SSC)。SSC是赛门铁克防病毒系统的控制中心,通过SSC可对网络中的客户端和服务器防病毒产品进行统一治理。
第二,客户端及服务器防病毒产品即赛门铁克企业版防病毒软件(Symantec AntiVirus)。它具有数字免疫、预防未知病毒的专利技术BloodHound、检测多变形病毒的专利技术、扩展扫描引擎NAVEX专利技术、集中化隔离功能、LiveUpdate增量在线更新、内部病毒码传输的优化、威胁追踪、互联网邮件扫描等功能。
第三,邮件防病毒产品即Symantec Mail Security for Exchange,包含反垃圾邮件、内容过滤和业界领先的防病毒等广泛的解决方案;能自动检测和清除病毒,控制宏病毒的快速传播,保护Exchange服务器远离病毒的威胁;从赛门铁克安全响应中心自动更新病毒定义码到最新病毒库;支持Microsoft Exchange 2000和Microsoft的病毒扫描接口API 2.0以及Microsoft Exchange 2003和Microsoft的病毒扫描接口API 2.5和和新的垃圾邮件分类方法Spam Confidence Layer (SCL);能自动过滤不适当的附件名、扩展名或内容,大大减少Exchange服务器上垃圾邮件的流量,提高效率;能远程安装、集中治理和报警,支持多台Exchange服务器,减少治理负担;并且用新的零治理模式设置使治理和配置时间最小化;也能提供主动的爆发通知功能,使在病毒被识别和得到病毒定义码之前治理员能迅速响应和处理。
实施安全治理建立完善的网络安全治理体系
自从有了互联网,网络安全就是一个永远不会过时的话题,任何企业,任何单位只要有了计算机网络,就必定有网络安全的问题,一般来说,企业网络的Internet区域、客户端、服务器这三个区域是病毒产生和传播的地方,各个企业可以根据企业本身的规模大小、业务应用情况和重点关心的区域来进行有计划、分步骤的实施。
另外,安全是“三分技术,七分治理”。再好的系统要能正常发挥作用,都离不开合理的治理制度。因此,该医院也制定了相应的治理制度。内容包括,第一,配备相应的MIS人员负责整个网络安全的目常治理及维护;第二,制定相应的机房上机治理制度;第三,强制实施统一的防病毒策略;第四,及时更新升级最新病毒定义码。一般情况下每星期应该至少更新一次病毒定义码和扫描引擎,在非凡情况下如有新病毒出现时可能需要天天更新病毒定义码和扫描引擎。因此,治理员最好经常浏览Symantec的网站,查看有关最新发现的漏洞、威胁动态;第五,假如发现隔离区有不清楚的病毒时,要及时提交到赛门铁克防病毒研究中心(SARC),以尽快得到相应的病毒定义码和扫描引擎。第六,不要随意使用盗版软件和光盘。
医院有关负责人相信,在严格遵从治理制度的前提下,有效地应用网络防病毒系统,将能使医院的安全系数大大增加。 医院信息科柳主任兴奋地说:“通过实施赛门铁克防病毒产品,医院的网络系统得到了很好的保护,有效的控制了计算机病毒在网络中的传播,也阻止了垃圾邮件和病毒邮件在网内的传播,大大加强了我院计算机网络的安全强度。
”
