王建偉，潘欣

民航總醫(yī)院計算機(jī)中心，北京100123

360安全管理系統(tǒng)在醫(yī)院終端管理中的應(yīng)用

王建偉，潘欣

民航總醫(yī)院計算機(jī)中心，北京100123

目的醫(yī)院桌面終端管理面臨著諸多困難，找到適合的方法，提高桌面終端的安全性和運(yùn)維效率。方法利用360企業(yè)版的良好兼容性，易用性，功能性，解決上述諸多問題。結(jié)果解決了醫(yī)院桌面終端的終端信息管理，病毒防御，補(bǔ)丁更新，應(yīng)用管控，外設(shè)管理，遠(yuǎn)程協(xié)助等問題。結(jié)論360企業(yè)版對于普通醫(yī)院桌面終端的管理行之有效。

桌面終端管理；終端安全；360企業(yè)版

隨著信息化技術(shù)在醫(yī)療行業(yè)的快速發(fā)展，桌面終端的數(shù)量越來越多，應(yīng)用程序數(shù)量迅速增長，終端系統(tǒng)的運(yùn)維工作面臨越來越大的壓力。特別是在醫(yī)院的環(huán)境中，醫(yī)生、護(hù)士的用戶流動性大，對用戶的電腦使用行為難于管控；在例如手術(shù)室、產(chǎn)房等特殊的醫(yī)療工作環(huán)境中，現(xiàn)場運(yùn)維人員出入困難，維修周期長；各崗位人員的計算機(jī)操作水平參差不齊、信息安全知識有限，可能給桌面終端帶來一定的安全隱患。如何簡化終端管理的復(fù)雜性，降低終端安全面臨的威脅，提高運(yùn)維效率是廣大醫(yī)院信息管理部門都十分關(guān)注的問題。

1 本醫(yī)院桌面終端面臨的問題

1.1 桌面終端信息管理與用戶環(huán)境

該院科室共74個，在職人員共1 300余人，擁有計算機(jī)類桌面終端數(shù)量600余臺。新舊電腦跨度在8年左右。占據(jù)全院職工大多數(shù)的醫(yī)生、護(hù)士存在倒班、進(jìn)修實(shí)習(xí)、科室輪轉(zhuǎn)等情況。除機(jī)關(guān)、后勤外，幾乎都存在多用戶的公用電腦。一些用戶對計算機(jī)操作還不熟練，或者安全知識不夠。這些都會增加桌面終端病毒感染的風(fēng)險及系統(tǒng)出現(xiàn)故障的概率。

1.2 桌面終端應(yīng)用管理

如何能保持全院各應(yīng)用系統(tǒng)穩(wěn)定而不受干擾的運(yùn)行是一個重要問題。尤其面對現(xiàn)在復(fù)雜的互聯(lián)網(wǎng)環(huán)境，其中存在著大量廣告插件、捆綁安裝方式的程序。如果這些程序不加限制地運(yùn)行在用戶終端上，不僅會導(dǎo)致電腦系統(tǒng)運(yùn)行變慢，還可能會導(dǎo)致系統(tǒng)癱瘓，最終影響到業(yè)務(wù)應(yīng)用的順利運(yùn)行。要解決以上問題，就要對終端應(yīng)用進(jìn)行管理。

1.3 桌面終端外設(shè)管理

USB設(shè)備的大規(guī)模應(yīng)用為人們的生活和工作提供了便利，但是在醫(yī)療辦公環(huán)境內(nèi)，尤其是存在眾多公用終端的情況下，如何對USB設(shè)備實(shí)施有效管控是一個重要的問題。這主要因?yàn)椋旱谝?，在局域網(wǎng)環(huán)境下，USB移動存儲設(shè)備是病毒的主要傳播途徑之一；第二，USB WIFI熱點(diǎn)設(shè)備會讓醫(yī)院內(nèi)部網(wǎng)絡(luò)暴露在外，易遭受非法用戶的入侵。

1.4 桌面終端補(bǔ)丁管理

系統(tǒng)漏洞的修補(bǔ)已經(jīng)成為終端安全的關(guān)鍵點(diǎn)，不及時修補(bǔ)漏洞很容易使終端安全形成木桶效應(yīng)。由于大部分終端無法訪問因特網(wǎng)，因此也無法設(shè)置成自動更新補(bǔ)丁。如果采用人工手動逐臺安裝的方式，從人力和時間效率上考慮都是不切實(shí)際的。

1.5 桌面終端病毒防范

病毒攻擊始終是桌面終端所不能回避的安全問題。病毒對系統(tǒng)及文件的破壞仍然是最具毀滅性的。更加嚴(yán)重的是，有些病毒還會對網(wǎng)絡(luò)造成影響，比如ARP攻擊、DNS劫持、廣播風(fēng)暴等。一旦大面積爆發(fā)，所有依賴網(wǎng)絡(luò)的應(yīng)用系統(tǒng)都可能癱瘓，這將對醫(yī)院網(wǎng)絡(luò)與信息系統(tǒng)的安全運(yùn)行造成嚴(yán)重威脅。

面臨上述問題，我們需要在加強(qiáng)終端安全防護(hù)的同時提高對桌面終端運(yùn)維和管控的效率。而大多數(shù)醫(yī)療機(jī)構(gòu)通常都是通過安裝部署防病毒軟件解決終端安全問題，再通過部署應(yīng)用桌面管理系統(tǒng)來提高終端運(yùn)維的工作效率。但這種模式一方面需要投入兩套系統(tǒng)的購置成本，另一方面還必須解決桌面管理軟件與殺毒軟件沖突的問題。同時國家對政府及事業(yè)單位安全產(chǎn)品國產(chǎn)化的要求使得可供選擇的產(chǎn)品更少。2013年北京奇虎科技有限公司推出的集殺毒和桌面終端管理為一體的360終端安全管理系統(tǒng)企業(yè)版(下文簡稱360企業(yè)版)很好地滿足了我們的需求。

2 360企業(yè)版介紹

2.1 系統(tǒng)架構(gòu)

360企業(yè)版在系統(tǒng)結(jié)構(gòu)上分為控制中心和客戶端（圖1）。控制中心是360企業(yè)版的管理臺，部署在服務(wù)器端，采用B/S架構(gòu)，可以隨時隨地地通過瀏覽器訪問。一方面它可以通過互聯(lián)網(wǎng)連接到360升級服務(wù)器，進(jìn)行自身的版本升級、病毒庫和補(bǔ)丁的更新。另一方面，它主要負(fù)責(zé)終端設(shè)備分組管理、策略制定下發(fā)、全網(wǎng)健康狀況監(jiān)測、統(tǒng)一殺毒、統(tǒng)一漏洞修復(fù)、遠(yuǎn)程控制以及各種報表和查詢等?？蛻舳瞬渴鹪谛枰槐Ｗo(hù)的桌面終端上，執(zhí)行最終的殺毒掃描、漏洞修復(fù)、安全策略、遠(yuǎn)程控制等操作，并向安全控制中心發(fā)送相應(yīng)的安全數(shù)據(jù)。

2.2 主要功能

正如上一章節(jié)所述，能夠引起我們關(guān)注的是該系統(tǒng)的殺毒功能和桌面終端管理功能可以很好地結(jié)合為一體。在管理控制臺中可以直接下達(dá)病毒查殺任務(wù)，并且能夠顯示出各個終端的查殺結(jié)果。終端管理方面提供了豐富的功能，例如終端信息管理，包括了終端名稱、IP地址、操作系統(tǒng)版本、硬件配置及其所在分組信息。漏洞修復(fù)、系統(tǒng)危險項檢修功能，可按計劃對終端進(jìn)行修復(fù)，提升終端的安全等級。外接設(shè)備管控功能，可以根據(jù)實(shí)際要求限制終端對USB WIFI熱點(diǎn)、USB網(wǎng)卡、USB存儲設(shè)備等外設(shè)的使用。通過軟件監(jiān)控功能，可以對所管終端上安裝的應(yīng)用程序了如指掌，配合進(jìn)程黑名單、軟件白名單功能的使用，可實(shí)現(xiàn)企業(yè)內(nèi)部合規(guī)應(yīng)用避免被干擾和查殺，禁用違規(guī)程序的效果。資產(chǎn)管理，該功能可以對終端的硬件信息及其硬件變更信息進(jìn)行監(jiān)測，并能夠顯示CPU、硬盤的溫度信息。遠(yuǎn)程協(xié)助功能可以方便地連接到所管控終端的桌面，從而實(shí)現(xiàn)遠(yuǎn)程操作。全面的日志報表功能，可以對終端的各類信息進(jìn)行統(tǒng)計查詢，使運(yùn)維管理人員對整個系統(tǒng)及管控的桌面終端有一定深度的了解。

3 360企業(yè)版的實(shí)施及應(yīng)用效果

3.1 安裝部署

該院在360企業(yè)版部署中保持了既有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，在機(jī)房加裝一臺360企業(yè)服務(wù)器，使其接入醫(yī)院網(wǎng)絡(luò)，并可安全訪問互聯(lián)網(wǎng)。服務(wù)器硬件采用了DELL R710機(jī)架式服務(wù)器。360企業(yè)版服務(wù)器端的安裝采用了友好的圖形界面安裝向?qū)硪龑?dǎo)管理員逐步完成安裝?？蛻舳瞬渴鹬饕捎昧巳缦聝煞N方式：第一種，桌面終端直接從WEB上直接下載該企業(yè)的客戶端程序進(jìn)行安裝；第二種，在已經(jīng)裝有個人版或其他版本的360安全衛(wèi)士中，可通過驗(yàn)證碼切換為360企業(yè)版，并加入該中心的管控。服務(wù)端和客戶端易于操作，因此得到了大多數(shù)用戶的支持。目前該院已完成部署桌面終端600余臺，完成了從門診、病區(qū)到后勤機(jī)關(guān)的全部覆蓋。

3.2 應(yīng)用效果

經(jīng)過實(shí)施部署360企業(yè)版后，我們所面對的一些問題也得到了很好的解決，下面以一些典型應(yīng)用案例來介紹本醫(yī)院應(yīng)用該系統(tǒng)后的成效。

3.2.1 終端信息管理的應(yīng)用該院對每臺桌面終端設(shè)置了唯一編號，并作為計算機(jī)名。這樣，控制臺中就可以看到各個桌面終端的主機(jī)名信息、IP信息、硬件信息，以及離線在線狀態(tài)。并按物理位置進(jìn)行了分組管理。運(yùn)維人員可以按終端系統(tǒng)體檢分?jǐn)?shù)、系統(tǒng)危險項及數(shù)量、病毒名稱及數(shù)量、安裝軟件名稱、硬件變更信息等來統(tǒng)計終端。依靠這些信息，管理人員可以對醫(yī)院終端的狀況有詳細(xì)的了解。每年的資產(chǎn)盤點(diǎn)可以參考這些終端信息來進(jìn)行。

3.2.2 終端防病毒的應(yīng)用在病毒防御和查殺方面，針對所有管控終端設(shè)置了每日的病毒庫自動更新，病毒實(shí)時監(jiān)控數(shù)據(jù)上報。建立了企業(yè)應(yīng)用程序白名單，這樣可以避免醫(yī)院私有應(yīng)用程序被誤殺。依托病毒查殺和桌面管理工具的良好的兼容性，運(yùn)維人員所做的只是定期從管理控制臺中查看全院桌面終端上報的病毒數(shù)查殺量及病毒名稱。實(shí)現(xiàn)了自動化的病毒防御與實(shí)時全局監(jiān)控，運(yùn)維人員可以對全院桌面終端的病毒查殺情況有據(jù)可依，從而可以分析出當(dāng)前安全形勢和未來趨勢。

3.2.3 終端系統(tǒng)補(bǔ)丁的應(yīng)用系統(tǒng)補(bǔ)丁更新作業(yè)實(shí)現(xiàn)了全自動處理。終端執(zhí)行定期的漏洞掃描任務(wù)，發(fā)現(xiàn)漏洞后從360企業(yè)服務(wù)器獲取更新補(bǔ)丁文件進(jìn)行修復(fù)。

3.2.4 終端進(jìn)程黑名單的應(yīng)用“進(jìn)程黑名單”的使用，讓終端軟件管理更加精準(zhǔn)化。管理員通過控制中心能夠查看到當(dāng)前終端上的所有應(yīng)用的進(jìn)程列表，應(yīng)用進(jìn)程的管理可以通過進(jìn)程名稱、進(jìn)程數(shù)字簽名或進(jìn)程MD5值來精準(zhǔn)定位某一個進(jìn)程，從而實(shí)現(xiàn)禁止某一個進(jìn)程的運(yùn)行。當(dāng)違規(guī)進(jìn)程嘗試啟動運(yùn)行時，360企業(yè)版會在終端上彈出禁用提示給用戶并禁止該進(jìn)程運(yùn)行。更加方便的是，我們可以從終端現(xiàn)有進(jìn)程列表中瀏覽，搜索某一進(jìn)程，直接選中該進(jìn)程后加入黑名單。依據(jù)此功能，我們專門設(shè)立一臺黑名單學(xué)習(xí)終端，在該終端上運(yùn)行一些違規(guī)應(yīng)用，然后在控制中心把這臺終端的違規(guī)應(yīng)用進(jìn)程加入全局黑名單，從而實(shí)現(xiàn)了黑名單進(jìn)程列表的制定。通過長期的使用，我們發(fā)現(xiàn)因違規(guī)應(yīng)用導(dǎo)致的終端故障率有所下降，也盡可能地給用戶帶來了良好的系統(tǒng)環(huán)境體驗(yàn)。

3.2.5 終端外設(shè)管理的應(yīng)用通過外接設(shè)備管控功能，該院已全面禁用USB WIFI熱點(diǎn)設(shè)備，但同時會保障其他與業(yè)務(wù)相關(guān)的USB設(shè)備可正常使用。例如：USB連接的打印機(jī)，USB掃碼槍等辦公外設(shè)。這得益于外接設(shè)備管控功能中可以分別針對電腦終端上常用物理接口，常見外接設(shè)備類型的獨(dú)立管控。實(shí)施該項措施后，各類因外接網(wǎng)卡或WIFI熱點(diǎn)導(dǎo)致的網(wǎng)絡(luò)問題報修量已明顯下降。

3.2.6 終端遠(yuǎn)程協(xié)助的應(yīng)用采用遠(yuǎn)程協(xié)助的目的是為了提高運(yùn)維效率，但同時也要考慮用戶的隱私，讓用戶有個良好的故障處理體驗(yàn)。360企業(yè)版遠(yuǎn)程協(xié)助采用“申請-接受”機(jī)制，保障了遠(yuǎn)程控制的合法性。大多數(shù)軟件問題可直接遠(yuǎn)程解決，一些復(fù)雜問題可以在遠(yuǎn)程了解故障現(xiàn)象后做出一個初步判斷，更直觀的了解故障現(xiàn)象，再協(xié)調(diào)相關(guān)技術(shù)人員或者配備工具赴現(xiàn)場處理。避免了故障現(xiàn)象描述不清，定位不準(zhǔn)，往返用戶現(xiàn)場所耽誤的時間。

4 總結(jié)

360企業(yè)版的應(yīng)用顯著提高了桌面終端管理的運(yùn)維效率，凈化和改善了電腦終端的運(yùn)行環(huán)境，提高了系統(tǒng)運(yùn)行的安全性和穩(wěn)定性。通過360企業(yè)版日志工具統(tǒng)計，到該文撰稿前共查殺病毒1 558個，共修復(fù)漏洞58 911個。自一年前開啟禁用USB WIFI熱點(diǎn)功能后，到目前共攔截134次，涉及26臺終端。最近一年共利用遠(yuǎn)程桌面功能723次，問題處理效率有了一定的提升，大幅降低了往返現(xiàn)場的次數(shù)。

該系統(tǒng)在日常使用中也發(fā)現(xiàn)了有待完善的地方。例如遠(yuǎn)程協(xié)助功能過于單一，還無法進(jìn)行遠(yuǎn)程文件的傳輸。終端信息管理功能如果能增加備注欄或用戶可自定義字段會更加方便運(yùn)維人員對終端信息的維護(hù)。但在整個運(yùn)維體系中，人為因素也至關(guān)重要。如果全院終端唯一編號缺失、混亂，管理人員不定期審閱管理控制臺的安全日志報表，不及時了解全院終端安全狀況，也會影響系統(tǒng)的應(yīng)用效果。

[1](美)Kadrich,M.S[著]，（中）伍前紅，余發(fā)江，楊飏，等[譯].終端安全[M].北京:電子工業(yè)出版社，2009:15-32,67.

[2]陳利民，宋莉莉，郭雪清，等.醫(yī)院計算機(jī)終端安全管理策略[J].實(shí)用醫(yī)藥雜志，2014，31（9）:854-857.

[3]北京奇虎科技有限公司.360企業(yè)版V4.0使用手冊[Z]. 2013:5,55-56.

Application of 360 Safety Management System in the Hospital Terminal Management

WANG Jian-wei,PAN Xin
Computer Center,Civil Aviation General Hospital,Beijing,100123 China

ObjectiveTo improve the safety and maintenance efficacy of desktop terminals by finding out the suitable methods.MethodsThe good compatibility,accessibility and functionality of 360 enterprise edition were used to solve the above issues.ResultsThe method solves the issues of terminal information management of hospital desktop terminals,virus defense,critical patch update,application management-control,external equipment management and remote assistance.Conclusion360 enterprise edition is feasible for the common hospital terminal management.

Desktop terminal management;Terminal safety;360 enterprise edition

R197

A

1672-5654（2017）01（a）-0007-03

10.16659/j.cnki.1672-5654.2017.01.007

2016-10-08）

王建偉（1986.11-），男，北京人，本科，助理工程師，主要從事計算機(jī)網(wǎng)絡(luò)終端運(yùn)維。