行业现状
随着计算机网络技术的迅猛发展和普及应用,我国绝大多数的医院引进了网络系统,它使原有的医院管理从手工转向机器,由单机转向网络,加强了医院的计算机管理水平;它摒弃了传统的医院诊疗模式,在互联网(Internet)的配合下,使异地网上医疗、远程会诊、就医成为现实,真正发挥了医院“救死扶伤,治病救人”的医疗准则。它为医院的自身发展注入了新的活力,奠定了现代化医院网络管理的基石。在高科技产品给人们带来欣喜的同时,却忽略了这样一个事实:医院网络系统不是无懈可击的,它同样存在安全隐患,并时刻威胁着医院发展的步伐。
客户背景
南方某医院有计算机 4000多台,分布在4栋大楼,分别为网络中心、门诊楼、医技楼、住院楼。整个医院的网络共划分了4个局域网,医院网络中的重要服务器固定IP,其他局域网中的工作站IP地址均为自动分配,IP租约设置为一个月星期。网络管理中心建设有应用程序服务器(HIS,LISPACS,CIS,OA系统),提供医院的基本医疗信息服务,4个子网的交换机与核心交换机通过光纤互联。
下图是南方某医院的网络拓扑图:
南方某医院目前所采取的安全措施包括:
1. 在internet接入处部署了千兆硬件防火墙
2. 在医院网络内计算机安装了瑞星企业版杀毒软件,从部署至今,防毒查杀效果均不太理想,经常出现病毒无法清除,或者无法发现病毒的情况,医院网内ARP病毒泛滥。很多机器由于防病毒效果不好,被卸载更换成其他的单机版杀毒软件。
3. 大部分计算机均安装了 360安全卫士。
4. 某些机器安装还原卡
南方某医院现阶段的主要问题:
1. 虽然医院的接入部分接了千兆防火墙,但是医院的Web服务器,应用程序服务器仍然频繁被黑客攻击。网页经常被篡改,数据被破坏等,严重情况下医院的主页都无法打开,非常影响企业形象。
2. 医院网内ARP病毒泛滥,严重影响办公和医院服务。
3. 医院整个庞大的网络,当前所采购的瑞星企业版防病毒软件,病毒查杀效果不甚理想,很多病毒无法查杀。医院内网局域网某些计算机感染病毒后,不断攻击其他计算机,造成其他计算机被病毒感染。虽然作了全盘扫描,仍然不能彻底根除。
4. 医院员工滥用移动存储设备,造成U盘病毒泛滥。
5. 某些机器由于当前的防病毒软件效果不好,被卸载换成了别的产品的单机版杀毒软件,网络管理员疲于应付。
6. 员工随意下载、上传、观看在线影视占用大量网络资源,网络带宽占用,工作效率下降。
7. 医院网的某些应用业务与其他外部网络有业务往来、医院员工滥用可移动磁盘,造成医院信息泄密。
8. 医院网络上的用户网络信息安全意识淡薄、管理制度不完善
医院的员工对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用、网络下载等,机器很容易感染病毒。感染病毒后不得不求助网络管理员,网络管理员工作量非常大;某些计算机虽然安装了还原卡或使用还原软件,但是也无法免受病毒的攻击,病毒往往能够突破还原卡,即使重启计算机,病毒仍然存留在计算机之中活跃,这些导致医院网形成很大的安全漏洞。
9. 缺乏集中管理
医院网络的结构向来复杂,还要涉及到众多应用服务器的管理和多个局域网之间的协调。在信息安全防护方面没有实施统一管理,很多机器上安装的防病毒软件被随意卸载,换成其他产品的单机版软件,管理员无法从全局把握企业的信息安全。
综上所述,医院网络的安全形势非常严峻,在这种情况下,医院如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障医疗及办公上网的多种需求成为了一个难题。根据医疗网络面临的安全问题,BitDefender特为此设计了一整套完整的解决方案。
整个解决方案采用BitDefender增强版,包含工作站保护,文件服务器保护,邮件服务器保护及BitDefender管理平台。BitDefender增强版支持主流的操作系统:Windows Server 2008,2003,2000;Windows 7,Vista,XP,以及基于Unix/Linux平台的32/64位系统。
1. 在医院的网络中心建立一个BitDefender服务器,集中管理所有的BitDefender防病毒产品。(工作站、服务器)
2. 在医院内部的重要服务器:DNS服务器,DHCP服务器,WEB服务器,VPN服务器,WINS服务器,文件服务器,打印服务器,邮件服务器、OA服务器和其他重要的HIS,LISPACS,CIS服务器上,安装BitDefender服务器安全产品。
3. 在医院内部的所有工作站上,安装BitDefender客户端安全产品。
病毒库的更新:
在网络中心的BitDefender管理服务器上,架设内部升级服务器,网内所有的BitDefender产品,均指向内网服务器升级病毒库。可大大节约企业的带宽,保障业务的畅通运作。
管理员可以在网络上任何一台 Windows计算机上安装BitDefender管理员控制台,轻松从远程即可管理整个医院网络的所有BitDefender产品。通过BitDefender安全策略的设置和BitDefender提供的强大的WMI脚本,可以实现整个网络的安全、网络资产管理、上网行为管理、防止信息泄密、打齐操作系统补丁等众多功能。
BitDefender解决方案特点:
一. 全功能的企业版杀毒软件:
BitDefender不仅拥有强大的病毒查杀能力,还拥有注册表监控、Cookies监控、脚本监控、反黑客、反垃圾邮件、反钓鱼、数据备份、恢复等众多实用功能。
1. 强大的反病毒:BitDefender作为世界顶级的反病毒产品,拥有业界领先的启发式引擎B-HAVE,能够有效查杀各种已知和未知的病毒。BitDefender还拥有全球最全病毒库,截止到2010-6-4号,BitDefender病毒库达到了615万,远远领先于其他反病毒产品。除此之外,BitDefender每天至少更新16次病毒库,能够快速应对互联网的新威胁。
2. 智能防火墙:BitDefender防火墙能够有效拦截来自互联网的黑客攻击和内部的攻击,全面查杀了医院网络中泛滥的ARP病毒。
3. 反垃圾邮件:BitDefender 邮件服务器安全、工作站中都集成了屡获殊荣的反垃圾邮件引擎。除此之外还综合应用了传统的反垃圾邮件技术例如贝叶斯算法,黑名单、白名单技术,URL过滤,内容过滤等技术。BitDefender在国际权威机构VirusBulletin的反垃圾邮件测试排名中排名第一,多次获得反垃圾邮件VBSpam金奖。
4. 工作站数据备份、恢复: BitDefender企业版包含工作站数据备份、恢复功能,能够有效保障医院的数据安全。
二. 集中管理
通过强大的BitDefender管理工具,管理员可以对全网的反病毒程序集中进行管理,集中分发反病毒策略、防火墙策略、反垃圾邮件策略、隐私控制策略、用户控制策略、病毒库升级策略等。管理员可以在管理平台上实时查看到客户端的状态信息,禁止客户端修改配置、禁止卸载,并集成生成日志报表,使得一个管理员就可以完成整个所辖网络的防毒系统的集中管理,大大减少了人力投入,保证了防毒系统策略的一致性。
三. 部署简单
BitDefender企业版的部署非常简单,即可以采用自动部署方式,也可以采用灵活的离线部署方式,通常在一个小时内就可以部署完成百上千个节点。
四. 集中更新
所有的BitDefender反病毒产品,均从企业内部架设的BitDefende更新服务器更新病毒库,无须直接连接到互联网升级,节省了企业的带宽。当然针对笔记本用户BitDefender也提供了复合更新的方案,在企业内部直接从内部升级服务器升级,如果移动办公到公司外部,可以从自动指向internet升级病毒库。
五. 网络资产管理
BitDefender创新地将WMI脚本引入到BitDefender企业版中,通过强大的WMI脚本,网络管理员可以轻松管理、登记网络资产。例如:登记工作站的CPU、主板、硬盘、内存、计算机名称、操作系统、系统用户、显示器、网卡、IP地址等众多信息。
六. 上网行为管理
网页控制:可设置限制访问指定的网页,例如土豆网,优酷网,迅雷看看,酷6网,在线网页游戏。
应用程序控制:阻止访问管理员指定的应用程序。例如QQ聊天工具,浩方对战平台,VS对战平台,QQ游戏,网络游戏,本地游戏等。必要时管理员可以分发WMI脚本,远程删除客户端所安装的应用程序。
网络限时器:BitDefender可以灵活地设置员工的上网时间。例如可设置18点下班后无法上网,节约资源。
发式网页过滤器:根据BitDefender预先建立的,以内容为基础的规则过滤网页访问。例如限制访问BitDefender收录的色情、暴力网站。
流量控制:管理员可集中设置禁止P2P软件的运行和设置禁止访问视频播放网站。例如禁止运行下载工具:迅雷,游戏程序,BT,emule,Web迅雷,Flashget;禁止运行在线播放软件:暴风影音,QVod, QQ音乐等。综合网页控制,禁止访问视频播放网站,可以有效管理企业的带宽,确保业务的畅通运作。
七. 防止信息泄密
禁用可移动磁盘:管理员可设置禁止可移动磁盘,防止数据泄密
HTTP关键词过滤:含有关键词的网页将被阻止。
SMTP、POP3关键词过滤:含有关键词的电子邮件将被阻止。
八. 打齐操作系统补丁
管理员可集中配置Windows自动更新选项,查看可用的windows更新补丁,打齐操作系统补丁等,提高企业内计算机的安全性。
用户评价:
BitDefender企业版功能非常强大,不仅查杀病毒能力强,还附带了上网行为管理,数据备份、恢复,防止数据泄密等众多实用功能,BitDefender企业版解决了我们医院的众多难题,为医院构筑了一道强大的信息安全堡垒,BitDefender值得我们信赖!