標(biāo)準(zhǔn)化信息管理改善信息安全論文

　　當(dāng)今國內(nèi)絕大多數(shù)醫(yī)院已具備一定信息化程度，作為一個醫(yī)療機(jī)構(gòu)其信息化系統(tǒng)中必定存儲著大量的病患身份、診療信息。隨著整個社會環(huán)境對于保護(hù)個人信息私密性的需要越來越高，對醫(yī)院來說保障信息安全的重要性越發(fā)突出。本文主要介紹了目前醫(yī)療機(jī)構(gòu)一些較普遍的信息安全管理缺陷，重點提出了對內(nèi)部用戶的身份鑒別、權(quán)限控制、行為審計等管理行為。和如何引入一套標(biāo)準(zhǔn)化信息管理平臺來提高信息管理效率、改善管理難題。

　　一、現(xiàn)有的問題

　　在許多醫(yī)院特別是三級甲等醫(yī)院常備的信息系統(tǒng)維護(hù)部門早已經(jīng)具備，防火墻、網(wǎng)閘之類的邊界防護(hù)設(shè)備也早已經(jīng)是標(biāo)準(zhǔn)配置，對由外部網(wǎng)絡(luò)對內(nèi)部局域網(wǎng)的訪問隔離等功能亦是非常完備。然而縱觀近年來的各種官方、非官方渠道公布的各類醫(yī)療信息泄露事件，再結(jié)合自身的多年的信息系統(tǒng)管理實踐，我們無奈的發(fā)覺，安全事件的發(fā)生，完全由hacker等群體從外部攻破防火墻等防護(hù)措施的事例實在是九牛一毛，在絕大多數(shù)事件中，都有醫(yī)院內(nèi)部人員的身影，或獨自、或內(nèi)外勾結(jié)竊取醫(yī)院數(shù)據(jù)用以牟利。當(dāng)然，這并不是說想說明機(jī)構(gòu)內(nèi)部的員工是多么的不可信，絕大多數(shù)的同志還是好同志。我們只是想指出系統(tǒng)內(nèi)部的信息安全防護(hù)應(yīng)該與外部邊界防護(hù)一樣重要。

　　歸納了一些個人覺得較為普遍的安全問題如下：

　　1. 網(wǎng)絡(luò)內(nèi)部訪問終端數(shù)量龐大，有限人力下難以保證終端設(shè)備合法性和安全性。

　　2. 缺乏標(biāo)準(zhǔn)化管理工具，導(dǎo)致管理效率不高。

　　3. 對內(nèi)部員工信任較高，對于其訪問權(quán)限管理粗放。

　　4. 由于使用者對本身私有賬戶概念的不重視，私有賬戶成了公共賬戶，導(dǎo)致身份鑒別如同虛設(shè)。

　　5. 相關(guān)管理制度缺失，或制度執(zhí)行不到位，導(dǎo)致空有技術(shù)手段，卻無法部署到位。

　　表面上看這是一個個獨立的問題，深入了看能發(fā)現(xiàn)這些問題背后是有關(guān)聯(lián)性的。出于各種原因，大部分醫(yī)院的信息部門可能只有寥寥數(shù)人，一人身負(fù)數(shù)職，難以做到專人專管，基于醫(yī)院的規(guī)模大量的人力都投入在了日常繁瑣的各類系統(tǒng)維護(hù)中。此既上述提到的第一點問題，結(jié)合第二點缺乏有效的管理工具，使得管理人員難以有精力對數(shù)量龐大的員工賬戶進(jìn)行細(xì)致的權(quán)限分級管理。賬戶權(quán)限管理的混亂、低效，加上缺乏相關(guān)的管理制度及執(zhí)行力又間接導(dǎo)致了員工為了完成工作相互“借用”賬號。長此以往惡性循環(huán)。

　　二、解決方案與實現(xiàn)

　　為了解決這些問題，走出這個死胡同，我們對這些問題進(jìn)行了討論分析。制度缺失及使用者對私有賬戶重視的問題并非一朝一夕能夠解決，但現(xiàn)階段我們可以通過有效的技術(shù)手段來盡量彌補，那目前最為行之有效的方案是引入一套標(biāo)準(zhǔn)化信息管理平臺來改進(jìn)多年來的網(wǎng)絡(luò)信息管理模式，幫助我們改善現(xiàn)狀。一套標(biāo)準(zhǔn)化管理平臺需要具備哪些功能才能夠達(dá)到我們的需求呢?結(jié)合資料收集及多次實地調(diào)研，我們總結(jié)出以下一些想法。

　　1) 網(wǎng)絡(luò)準(zhǔn)入控制

　　準(zhǔn)入控制室此平臺應(yīng)該必須具有的基本功能，是為用戶接入局域網(wǎng)的第一道關(guān)卡。其實傳統(tǒng)的802.1x協(xié)議也能實現(xiàn)此功能，但并不能全面滿足實際需求，實際部署時802.1x協(xié)議往往要求準(zhǔn)入系統(tǒng)、交換機(jī)、客戶端均出自同一廠商，才能有較好的準(zhǔn)入效果。其次它不支持多種終端類型，一般支持主流的Windows系統(tǒng)，對于其他非主流桌面操作系統(tǒng)的支持非常有限，難以保證各類型終端的合法性和安全性。同時它不支持非PC類終端，例如網(wǎng)絡(luò)打印機(jī)、網(wǎng)絡(luò)攝像機(jī)、IP電話等。

　　故理想的準(zhǔn)入控制系統(tǒng)首先應(yīng)該能支持多種準(zhǔn)入?yún)f(xié)議方式，如：802.1X、DHCP準(zhǔn)入、IPAM準(zhǔn)入、SNMP準(zhǔn)入、RDP準(zhǔn)入、網(wǎng)關(guān)準(zhǔn)入等，這些準(zhǔn)入方式可以在用戶環(huán)境中任意組合使用，提供更細(xì)顆粒度的安全策略。達(dá)到靈活的部署方式和全面部署的可能。支持各類主流操作系統(tǒng)。

　　其次，盡可能不用更新網(wǎng)絡(luò)設(shè)備、不用改變現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，尤其是主干結(jié)構(gòu)的情況下，實現(xiàn)系統(tǒng)的靈活部署。

　　再則，應(yīng)能支持外部認(rèn)證源，如：LDAP/CA/Radius/AD域認(rèn)證。這里提一下在我院最后實現(xiàn)的實際應(yīng)用場景中，認(rèn)證功能與我院原有的AD域用戶認(rèn)證系統(tǒng)完美的結(jié)合。目前在我院實現(xiàn)了一套賬戶各個應(yīng)用平臺通用的狀態(tài)，包括局域網(wǎng)準(zhǔn)入系統(tǒng);院內(nèi)郵箱系統(tǒng);人事信息系統(tǒng);辦公報告系統(tǒng);HIS系統(tǒng)等。尤其是結(jié)合了人事信息系統(tǒng)后，由于其內(nèi)嵌的工資查詢、個人信息等私密度較高的模塊，使得賬戶使用人對于自身私有賬戶的管理保密程度有了大幅度的提升，從技術(shù)層面上很大程度地解決了原先一個制度層面上的問題。多平臺的賬戶通用也使得員工免去了對多套系統(tǒng)不同賬戶密碼記憶上的繁瑣和困難，從而對新系統(tǒng)的接受度大大提高。

　　最后，應(yīng)能探測到終端設(shè)備的各類信息：IP、MAC、操作系統(tǒng)版本、上聯(lián)交換機(jī)端口等。通過多元素結(jié)合判定終端是否為合法合規(guī)設(shè)備，不符合安全要求的，將被隔離或者阻斷。

　　2) 終端安全管理

　　終端安全管理是指對計算機(jī)類終端的強控制，應(yīng)能實現(xiàn)資產(chǎn)管理、外設(shè)管理、軟件下發(fā)、遠(yuǎn)程協(xié)助等主要功能。各功能描述如下：

　　終端健康檢查：檢查終端硬件信息、防病毒軟件、病毒庫版本、系統(tǒng)補丁、系統(tǒng)弱口令檢查等。

　　終端外聯(lián)控制：可實現(xiàn)控制計算機(jī)的多種外聯(lián)方式，例如3G/4G網(wǎng)卡、各種撥號、多網(wǎng)卡、代理服務(wù)、靜態(tài)路由等，并可以與準(zhǔn)入控制功能聯(lián)動隔離非法計算機(jī)終端。

　　終端資產(chǎn)管理：自動收集計算機(jī)終端的硬件和軟件信息，管理員可以對計算機(jī)終端的硬件和安裝的軟件進(jìn)行查詢，軟硬件信息變更告警和審計。

　　終端外設(shè)管理：控制計算機(jī)終端硬件外設(shè)的使用，啟用或者禁用光驅(qū)、USB設(shè)備、打印機(jī)、Modem、串行并行口等等。

　　終端軟件分發(fā)：可以向計算機(jī)終端分發(fā)指定的補丁、各種類型的安裝包、自定義文件。文件分發(fā)帶寬優(yōu)化及控制，可自定義并發(fā)分發(fā)數(shù)量。

　　終端遠(yuǎn)程協(xié)助：管理員可以發(fā)起遠(yuǎn)程協(xié)助，在用戶授權(quán)后，登錄用戶計算機(jī)終端桌面進(jìn)行維護(hù)。

　　3) 網(wǎng)絡(luò)訪問控制

　　網(wǎng)絡(luò)訪問控制既是可以針對不同用戶/用戶組實現(xiàn)不同的訪問權(quán)限分配，達(dá)到不同員工的不同訪問需求。一般有兩種實現(xiàn)方式，一種是通過客戶端軟件實現(xiàn)，集成在安裝在終端上的客戶端軟件內(nèi)，以安全策略形式實現(xiàn)基于用戶、終端、子網(wǎng)定義訪問控制。另一種是通過準(zhǔn)入系統(tǒng)實現(xiàn)，系統(tǒng)服務(wù)器端在終端接入準(zhǔn)入系統(tǒng)是直接向計算機(jī)終端下發(fā)訪問控制策略.

　　4) 實名制行為審計

　　這又是一個標(biāo)準(zhǔn)化信息管理平臺需要具備的一個基礎(chǔ)功能，對用戶的準(zhǔn)入、退網(wǎng)、訪問目的、訪問端口等重要事件和時間節(jié)點進(jìn)行記錄，結(jié)合目前日趨普及的堡壘機(jī)的操作行為錄像記錄功能，為網(wǎng)絡(luò)安全事件分析和審計、追溯提供重要的手段和依據(jù)。同時也應(yīng)該要能提供包含安全事件、違規(guī)事件、入網(wǎng)用戶、入網(wǎng)終端、終端檢查等各類情況生產(chǎn)的可導(dǎo)出的統(tǒng)計報表。

　　5) 局域網(wǎng)可視化管理

　　這個功能主要是幫助管理人員提高工作效率，省卻部分命令行管理方式的負(fù)擔(dān)，在人力資源相對緊張的信息部門必不可少。

　　實時網(wǎng)絡(luò)發(fā)現(xiàn)：自動化網(wǎng)絡(luò)數(shù)據(jù)收集，對接入局域網(wǎng)的設(shè)備進(jìn)行實時或定期監(jiān)視，能夠發(fā)現(xiàn)各種主流網(wǎng)絡(luò)類設(shè)備、服務(wù)類設(shè)備、終端類設(shè)備。自動化技術(shù)減輕管理員的工作量。

　　IP地址管理：實時有效地對全網(wǎng)的IP地址進(jìn)行管理和監(jiān)控，簡化IP地址管理，減少手工IP管理工作。發(fā)現(xiàn)非法或者異常使用IP地址時，可以給出安全告警信息，供管理員分析、定位和排障使用。豐富的IP分配記錄和報表，以及靈活方便的搜索功能，提高IP地址管理效率。

　　交換機(jī)管理：圖形化方式管理交換機(jī)端口，兼容SNMP V1/2/3協(xié)議，自動化顯示交換機(jī)端口下接的終端和設(shè)備信息。讓管理員一目了然的掌握端口的連接類型：Uplink、單臺終端、連接HUB等。與準(zhǔn)入功能結(jié)合，即可提供端口級別的合規(guī)管理。與IP地址管理結(jié)合，可以提供故障、威脅定位的管理。

　　6) 局域網(wǎng)運行數(shù)據(jù)實施展現(xiàn)

　　許多網(wǎng)絡(luò)管理員可能都會碰到這樣的情況，我們管理著局域網(wǎng)，但對于局域網(wǎng)常常處于一種模糊的認(rèn)識狀態(tài)。我們不能非常明確的知道局域網(wǎng)內(nèi)現(xiàn)在有多少人、多少終端、什么人正在使用;不知道主干鏈路帶寬占用率現(xiàn)在是多少;不知道IP地址的使用情況;不知道是否有不合規(guī)的網(wǎng)絡(luò)設(shè)備(如：私帶的路由器、無線AP等)正在局域網(wǎng)內(nèi)運行。當(dāng)然我們可以通過使用不同的管理工具，使用多條操作指令分別去獲取所需要的數(shù)據(jù)，但如果有這樣一個平臺能自動化記錄一些這類的網(wǎng)絡(luò)主要運行數(shù)據(jù)，并實時展示，能一目了然地查看比較，顯然我們會很歡迎。

　　三、結(jié)論與展望

　　通過上述總結(jié)出功能需求，以此為據(jù)，經(jīng)過多次的、較長時間調(diào)查研究，測試試用，我們最終確定了一套最大限度符合我們預(yù)計想法的標(biāo)準(zhǔn)化信息管理平臺。我院于2014年初正式將這套系統(tǒng)上線。經(jīng)過半年多的使用，目前這套管理平臺運行平穩(wěn)，并從根本上改變著我們的網(wǎng)絡(luò)管理模式，改善了曾經(jīng)的管理難點。

　　展望未來，會有越來越多的類似信息管理平臺涌現(xiàn)，功能更強大、策略顆粒性更細(xì)致化、與堡壘機(jī)整合實現(xiàn)更豐富的行為審計能力。更甚至吸收越來越多的單一管理工具的功能，實現(xiàn)統(tǒng)一界面接口的多領(lǐng)域的多元化的管理方式，自動化技術(shù)更多的引入，使運維人員的工作方式日趨便捷。這，也許正是一種趨勢。

【標(biāo)準(zhǔn)化信息管理改善信息安全論文】相關(guān)文章：

大壩安全預(yù)警信息管理的分析論文10-12

連鎖企業(yè)的信息管理的分析論文10-10

計算機(jī)信息管理系統(tǒng)安全的對策論文10-09

淺談企業(yè)供水信息管理系統(tǒng)的運用論文10-09

醫(yī)院科室檔案信息管理創(chuàng)新論文10-09

網(wǎng)絡(luò)環(huán)境下檔案信息管理初探論文10-11

企業(yè)應(yīng)用信息管理系統(tǒng)的問題研究論文10-09

計算機(jī)信息管理論文07-23

計算機(jī)信息管理技術(shù)在網(wǎng)絡(luò)安全的應(yīng)用論文10-09

特種設(shè)備檢驗檔案信息管理研究論文10-10