医院信息化终端桌面管理系统应用

1、医院信息化终端桌面管理系统应用摘要：随着医院信息化的发展，以计算机和通讯 设备为基础，为医院各部门提供业务支撑与信息交换的医院 信息系统越来越广泛地得到应用。但是提起信息安全，大家 一般会把注意力集中在防火墙、防病毒、ids、网络互联设 备及交换机、路由器等信息中心安全加固管理上，却忽视了 电脑终端的管理。我院在完成信息中心安全加固的基础上， 应用桌面安全管理系统软件对内部网络和信息终端面临的 安全问题进行综合管理，取得了良好效果。本文介绍目前医 院信息化中遇到到一些终端安全管理问题，阐述了实施桌面 安全管理系统的一些做法及效果。关键词：医院信息化桌面管理终端管理中图分类号：tp393. 08

2、文献标识码：a文章编号： 1007-9416 (2013) 08-0058-02医院信息化建设程度代表医院现代化管理水平高低和 服务能力的多少。因此，各级医院把信息化建设作为医院工 作重点。信息化能逐步使医院的管理现代化、科学化、规范 化，从而实现医院管理向低成本、高效率的模式转变。随着 各项信息化应用系统的使用，医院的网络越来越壮大，医务 人员对计算机的依赖性也越来越强。因此医院对于信息系统 的安全性要求也越来越高。1网络终端安全管理面临的几个难题1.1移动存储介质使用隐患随着移动存储设备使用大大普及，以及其价格日趋低廉，因此医院目前使用的移动存储设备非常之多。多样化的 u盘、移动硬盘、手机

3、/mp3/mp4、cf/md/sd卡、以及各类 flashdisk等移动存储介质体积越来越小，携带使用方便， 这类产品为信息传递带来便捷的同时，也给医院系统信息安 全保密带来严重的威胁：(1)交叉使用：由于普通u盘本身 可以在任意计算机进行使用，因此有意无意地将涉密u盘插 入非涉密计算机、或者有意无意地将非涉密u盘插入涉密计 算机的违规事件时有发生。一旦发生交叉使用的违规事件， 就极有可能造成医院业务敏感信息文件被非法拷贝出去，造 成泄密。(2)木马摆渡：通过u盘，木马摆渡可突破“物理 隔离”，在与internet隔离的网络上，木马先将文件拷贝到u盘。一旦该u盘插入到其他能够连接interne

4、t的计算机时,该u盘就会将拷贝出来的文件通过internet发送出去。(3)病毒传播:染毒的计算机会将病毒感染到u盘,旦带毒u盘插入其他计算机，会造成计算机感染病毒。如此反复会造成计算机和u盘的循环交叉感染,难以清除，病毒经常死灰复燃。根据目前的统计数据，u盘已经成为internet 之后的第2大病毒传播途径。(4)丢失被盗：如果u盘丢失、 被盗，其保存的敏感信息将会丢失，造成信息泄密。1.2外设端口使用威胁计算机外设常规的有线和无线输入输出端口：软驱、光 驱、本地打印机、数码图形仪、调制解调器、串行通讯口、 并行通讯口、1394、红外通讯口、无线网卡、无线蓝牙等， 如果这些端口不加以严格的管

5、理，将会成为信息泄漏和非法 外联的重要途径。1.3非法接入无法监控办公楼层规模化的网络接口方便了计算机接入网络，但 这既方便了内部计算机，同时也方便了外来计算机，管理人 员对此类情况难以准确判定并加以监视和控制，如有内部不 自觉人员或者有其他目的的外来计算机接入，可能造成对网 络资源的滥用或窃密，也给医院的网络安全和信息安全带来 潜在的威胁。1.4非法外联时有发生目前，医院各部门都非常明确内网计算机非法外联事件的严重性，但是内网计算机通过拨号或其他形式私自接入外 部网络的情况依然存在，黑客极可能通过该主机进对内部网 络的其他主机进行攻击，直接威胁医院信息网络的安全性。1.5软硬资产难以管理随着

6、单位信息网络的不断建设，同时由于计算机的维修导致硬件配置经常变动，计算机硬件资产管理如果仍采用老 的手动台账，基本无法准确、实时的掌握网络内部计算机准 确数量及其硬件资产的配置。1.6无关程序私自滥用内部人员私自下载、安装、运行与工作无关的应用程序, 导致网络资源的巨大浪费，也时常带来病毒的传播和木马或 蠕虫；如果不加以控制，将严重威胁医院信息网络的安全运 行。1.7 ip地址使用混乱单位人员随意设置ip地址，可能造成ip地址冲突，加 上arp欺骗泛滥，ip地址使用存在一定混乱，如果没有严格 的管理策略，不仅日常工作效率受到影响，甚至会导致关键 设备的工作异常，影响不可估量。若出现恶意盗用、冒

7、用ip 地址以进行恶意攻击或发布负面甚至非法信息，甚至谋求非 法利益窃取重要资料，后果将更为严重。1.8系统补丁安装复杂微软不定期地发布修复系统漏洞的补丁，但很多用户不 能及时使用这些补丁对系统进行修复，系统的安全漏洞仍然 存在，容易造成重大损失。现在网络结构庞大，网管要保证 每台终端及时全面地安装上补丁，工作量很大，且很难实现, 这也是计算机网络安全建设的一个重点。1.9终端维护工作量大由于计算机网络的庞大性和分散性，经常某台计算机出 现哪怕可能是简单的问题，信息科人员都需要跑来跑去进行 维护，导致人力资源的巨大浪费，再加上人手不足，也可能 导致同事抱怨和投诉，有损单位内部和谐。1. 10流

8、量使用难以控制由于计算机病毒的发作，直接引发广播风暴导致网络瘫痪，或者单位人员滥用网络资源，致使需要保障的正常使用 者流量却无法得到合理流量的保障，如果对此缺乏有效的管 理手段，就会直接导致极大的网络安全隐患。2桌面管理系统架构及管理部署为了解决以上网络终端安全管理面临的几个难题，我院上线了桌面管理系统。系统通过管理服务器对全网进行各种 安全策略，并对客户端进程监控、流量监控、违规行为告警、终端软硬件管理、软件及系统补丁分发、消息分发等工作，并对客户端进行各种操作行为和状态进行审计，对异常计算 机进行断网等处理，也可通过系统远程对客户端进行故障诊 断和维护。我院使用的桌面管理软件结构采用c/s

9、（client/server,客户机/服务器）模式。客户端（client）负责对计算机终端的安全管理，记录 计算机终端用户行为并与管理服务器（server）进行通信。管理端（manager）可根据使用医院本身的组织架构灵 活进行权限配置，每个管理端可在预先定义的权限内管理本 部门内的所有计算机。服务器（serwec由两个部分组成：数据库服务器和接 入服务器。数据服务器（dbserver）：系统的后台数据库是独立的服务器，采用的是开源的mysql,数据库服务器与内 网完全物理隔离，仅与系统平台服务器连接，确保数据安全。 接入服务器（ulserver）：服务器（server）是桌面管理系 统的核心

10、系统，实现应用与数据库的高效连接。3我院桌面管理系统实现功能3. 1移动存储介质使用管理可以设定计算机能允许使用哪些指定的移动存储设备，防止u盘病毒感染客户端计算机。系统能够自动识别并控制usb存储设备，不影响非存储类的其它usb设备（usb键盘、usb鼠标等）的正常使用；可以管理的移动存储设备包括:指纹u盘、u盘、移动硬盘、mp3、mp4、手机、数码相机等。3.2非法外联及非法外联告警主动防止终端计算机通过拨号、无线连接、3g网卡、冗 余网卡等途径违规手段连接到外部网络；通过网络访问控 制，控制内网的计算机只能访问指定的网段。3. 3网络访问控制可通过ip地址段的访问控制，建立安全域；可实时

11、控制计算机的通讯端口的开放和阻断；可通过设置网络流量的 阀值，防止广播风暴。3.4访客控制管理能够自动识别局域网内所有非系统内的未受控计算机,未经授权的外来计算机无法访问网内的合法计算机。外来计 算机必须经过授权才能访问网内的计算机。3.5端口与设备管理支持远程对终端计算机以下端口或设备的启用和禁用:软盘驱动器、光盘驱动器、本地打印机、数码图形仪、调制 解调器、串行通讯口、并行通讯口、1394、红外通讯口、wifi 无线网卡、无线蓝牙。3.6流量控制管理通过设定策略，可以允许或阻止指定网络范围内的数据传输，而且可以限制指定网络范围内网络数据传输的最大流量带宽，对于不同的分组，可以分别设置不同的

12、流量带宽限 制。3.7系统补丁分发管理终端计算机可根据管理员策略要求，强制自动从wsus 升级服务器下载和安装系统补丁。3.8应用软件分发管理可以对指定范围内的计算机进行软件分发，并且能够自 动识别软件在客户端计算机是否已安装，如果已安装，则不 再提示安装。分发模式可分"建议安装提示”和“强制安 装”两种模式，“建议安装提示”为提示客户端计算机要安 装某软件；“强制安装”模式则自动将需要安装的软件强制 安装。3.9共享目录/文件/打印机控制通过启用或禁用选项，来决定是否允许终端计算机上的 目录或文件对外共享，以及打印机是否对外共享。3. 10硬件资产管理、软件资产管理可记录客户端计算

13、机安装的软件以及硬件的添加、移 除、变更，并列出异动报表。3. 11远程桌面控制功能通过远程协助这一功能进行计算机常见故障的排除。此 功能是在服务器端对客户端机器进行的“接管”级别的操 作。可以向指定的远端客户机发送对话框式的消息。有效解 决信息中心管理员对网内机器维护管理效率低下的问题。4结语以上所列出的只是管理基础中的一部份，通过实施桌面 管理，我院信息安全管理在制度建设、工作方式上都得到了 极大提高，并且能极大提高信息科工作人员工作效率，节约 了信息科大量的人力物力。在信息化建设急速发展中。对于信息化管理的安全性， 稳定性显得尤其重要。部署桌面管理软件后，加强了网络安 全，优化了终端管理，提高了安全意识，并结合多方面措施, 保障信息安全，减少事故的发生，结合理论和实际应用，从 整体上去保障医院的信息系统安全稳定的运行。参考文献谢希仁计算机网络m4版北京：电子工业出版社, 2006：