標準化信息管理與信息安全研究論文

　　摘要:當今國內絕大多數醫院已具備一定信息化程度,作為一個(gè)醫療機構其信息化系統中必定存儲著(zhù)大量的病患身份、診療信息。隨著(zhù)整個(gè)社會(huì )環(huán)境對于保護個(gè)人信息私密性的需要越來(lái)越高,對醫院來(lái)說(shuō)保障信息安全的重要性越發(fā)突出。該文主要介紹了目前醫療機構一些較普遍的信息安全管理缺陷,重點(diǎn)提出了對內部用戶(hù)的身份鑒別、權限控制、行為審計等管理行為和如何引入一套標準化信息管理平臺來(lái)提高信息管理效率、改善管理難題。

　　關(guān)鍵詞:信息安全；標準化信息管理平臺

　　1現有的問(wèn)題

　　在許多醫院特別是三級甲等醫院常備的信息系統維護部門(mén)早已經(jīng)具備,防火墻、網(wǎng)閘之類(lèi)的邊界防護設備也早已經(jīng)是標準配置,對由外部網(wǎng)絡(luò )對內部局域網(wǎng)的訪(fǎng)問(wèn)隔離等功能亦是非常完備。然而縱觀(guān)近年來(lái)的各種官方、非官方渠道公布的各類(lèi)醫療信息泄露事件,再結合自身的多年的信息系統管理實(shí)踐,筆者無(wú)奈地發(fā)覺(jué),安全事件的發(fā)生,完全由黑電腦的人等群體從外部攻破防火墻等防護措施的事例實(shí)在是九牛一毛,在絕大多數事件中,都有醫院內部人員的身影,或獨自、或內外勾結竊取醫院數據用以牟利。當然,這并不是說(shuō)想說(shuō)明機構內部的員工是多么的不可信,絕大多數的同志還是好同志。筆者只是想指出系統內部的信息安全防護應該與外部邊界防護一樣重要。歸納了一些個(gè)人覺(jué)得較為普遍的安全問(wèn)題如下。(1)網(wǎng)絡(luò )內部訪(fǎng)問(wèn)終端數量龐大,有限人力下難以保證終端設備合法性和安全性。(2)缺乏標準化管理工具,導致管理效率不高。(3)對內部員工信任較高,對于其訪(fǎng)問(wèn)權限管理粗放。(4)由于使用者對本身私有賬戶(hù)概念的不重視,私有賬戶(hù)成了公共賬戶(hù),導致身份鑒別如同虛設。(5)相關(guān)管理制度缺失,或制度執行不到位,導致空有技術(shù)手段,卻無(wú)法部署到位。表面上看這是一個(gè)個(gè)獨立的問(wèn)題,深入了看能發(fā)現這些問(wèn)題背后是有關(guān)聯(lián)性的。出于各種原因,大部分醫院的信息部門(mén)可能只有寥寥數人,一人身負數職,難以做到專(zhuān)人專(zhuān)管,基于醫院的規模大量的人力都投入在了日常繁瑣的各類(lèi)系統維護中。此既上述提到的第一點(diǎn)問(wèn)題,結合第二點(diǎn)缺乏有效的管理工具,使得管理人員難以有精力對數量龐大的員工賬戶(hù)進(jìn)行細致的權限分級管理。賬戶(hù)權限管理的混亂、低效,加上缺乏相關(guān)的管理制度及執行力又間接導致了員工為了完成工作相互“借用”賬號。長(cháng)此以往惡性循環(huán)。

　　2解決方案與實(shí)現

　　為了解決這些問(wèn)題,走出這個(gè)死胡同,筆者對這些問(wèn)題進(jìn)行了討論分析。制度缺失及使用者對私有賬戶(hù)重視的問(wèn)題并非一朝一夕能夠解決,但現階段可以通過(guò)有效的技術(shù)手段來(lái)盡量彌補,那目前最為行之有效的方案是引入一套標準化信息管理平臺來(lái)改進(jìn)多年來(lái)的網(wǎng)絡(luò )信息管理模式,幫助人們改善現狀。一套標準化管理平臺需要具備哪些功能才能夠達到人們的需求,結合資料收集及多次實(shí)地調研,筆者總結出以下一些想法。

　　2.1網(wǎng)絡(luò )準入控制

　　準入控制室此平臺應該必須具有的基本功能,是為用戶(hù)接入局域網(wǎng)的第一道關(guān)卡。其實(shí)傳統的802.1x協(xié)議也能實(shí)現此功能,但并不能全面滿(mǎn)足實(shí)際需求,實(shí)際部署時(shí)802.1x協(xié)議往往要求準入系統、交換機、客戶(hù)端均出自同一廠(chǎng)商,才能有較好的準入效果。其次它不支持多種終端類(lèi)型,一般支持主流的Windows系統,對于其他非主流桌面操作系統的支持非常有限,難以保證各類(lèi)型終端的合法性和安全性。同時(shí)它不支持非PC類(lèi)終端,例如網(wǎng)絡(luò )打印機、網(wǎng)絡(luò )攝像機、IP電話(huà)等。首先,理想的準入控制系統應該能支持多種準入協(xié)議方式,如:802.1X、DHCP準入、IPAM準入、SNMP準入、RDP準入、網(wǎng)關(guān)準入等,這些準入方式可以在用戶(hù)環(huán)境中任意組合使用,提供更細顆粒度的安全策略。達到靈活的部署方式和全面部署的可能。支持各類(lèi)主流操作系統。其次,盡可能不用更新網(wǎng)絡(luò )設備、不用改變現有網(wǎng)絡(luò )拓撲結構,尤其是主干結構的情況下,實(shí)現系統的靈活部署。再則,應能支持外部認證源,如:LDAP/CA/Radius/AD域認證。這里提一下在上海市交通大學(xué)醫院最后實(shí)現的實(shí)際應用場(chǎng)景中,認證功能與該院原有的AD域用戶(hù)認證系統完美的結合。目前在該院實(shí)現了一套賬戶(hù)各個(gè)應用平臺通用的狀態(tài),包括局域網(wǎng)準入系統;院內郵箱系統;人事信息系統;辦公報告系統;HIS系統等。尤其是結合了人事信息系統后,由于其內嵌的工資查詢(xún)、個(gè)人信息等私密度較高的模塊,使得賬戶(hù)使用人對于自身私有賬戶(hù)的管理保密程度有了大幅度的提升,從技術(shù)層面上很大程度地解決了原先一個(gè)制度層面上的問(wèn)題。多平臺的賬戶(hù)通用也使得員工免去了對多套系統不同賬戶(hù)密碼記憶上的繁瑣和困難,從而對新系統的接受度大大提高。最后,應能探測到終端設備的各類(lèi)信息:IP、MAC、操作系統版本、上聯(lián)交換機端口等。通過(guò)多元素結合判定終端是否為合法合規設備,不符合安全要求的,將被隔離或者阻斷。

　　2.2終端安全管理

　　終端安全管理是指對計算機類(lèi)終端的強控制,應能實(shí)現資產(chǎn)管理、外設管理、軟件下發(fā)、遠程協(xié)助等主要功能。各功能描述如下:終端健康檢查:檢查終端硬件信息、防病毒軟件、病毒庫版本、系統補丁、系統弱口令檢查等。終端外聯(lián)控制:可實(shí)現控制計算機的多種外聯(lián)方式,例如3G/4G網(wǎng)卡、各種撥號、多網(wǎng)卡、代理服務(wù)、靜態(tài)路由等,并可以與準入控制功能聯(lián)動(dòng)隔離非法計算機終端。終端資產(chǎn)管理:自動(dòng)收集計算機終端的硬件和軟件信息,管理員可以對計算機終端的硬件和安裝的軟件進(jìn)行查詢(xún),軟硬件信息變更告警和審計。終端外設管理:控制計算機終端硬件外設的使用,啟用或者禁用光驅、USB設備、打印機、Modem、串行并行口等等。終端軟件分發(fā):可以向計算機終端分發(fā)指定的補丁、各種類(lèi)型的安裝包、自定義文件。文件分發(fā)帶寬優(yōu)化及控制,可自定義并發(fā)分發(fā)數量。終端遠程協(xié)助:管理員可以發(fā)起遠程協(xié)助,在用戶(hù)授權后,登錄用戶(hù)計算機終端桌面進(jìn)行維護。

　　2.3網(wǎng)絡(luò )訪(fǎng)問(wèn)控制

　　網(wǎng)絡(luò )訪(fǎng)問(wèn)控制既是可以針對不同用戶(hù)/用戶(hù)組實(shí)現不同的訪(fǎng)問(wèn)權限分配,達到不同員工的不同訪(fǎng)問(wèn)需求。一般有兩種實(shí)現方式,一種是通過(guò)客戶(hù)端軟件實(shí)現,集成在安裝在終端上的客戶(hù)端軟件內,以安全策略形式實(shí)現基于用戶(hù)、終端、子網(wǎng)定義訪(fǎng)問(wèn)控制。另一種是通過(guò)準入系統實(shí)現,系統服務(wù)器端在終端接入準入系統是直接向計算機終端下發(fā)訪(fǎng)問(wèn)控制策略.

　　2.4實(shí)名制行為審計

　　這又是一個(gè)標準化信息管理平臺需要具備的一個(gè)基礎功能,對用戶(hù)的準入、退網(wǎng)、訪(fǎng)問(wèn)目的、訪(fǎng)問(wèn)端口等重要事件和時(shí)間節點(diǎn)進(jìn)行記錄,結合目前日趨普及的堡壘機的操作行為錄像記錄功能,為網(wǎng)絡(luò )安全事件分析和審計、追溯提供重要的手段和依據。同時(shí)也應該要能提供包含安全事件、違規事件、入網(wǎng)用戶(hù)、入網(wǎng)終端、終端檢查等各類(lèi)情況生產(chǎn)的可導出的統計報表。

　　2.5局域網(wǎng)可視化管理

　　這個(gè)功能主要是幫助管理人員提高工作效率,省卻部分命令行管理方式的負擔,在人力資源相對緊張的信息部門(mén)必不可少。實(shí)時(shí)網(wǎng)絡(luò )發(fā)現:自動(dòng)化網(wǎng)絡(luò )數據收集,對接入局域網(wǎng)的設備進(jìn)行實(shí)時(shí)或定期監視,能夠發(fā)現各種主流網(wǎng)絡(luò )類(lèi)設備、服務(wù)類(lèi)設備、終端類(lèi)設備。自動(dòng)化技術(shù)減輕管理員的工作量。IP地址管理:實(shí)時(shí)有效地對全網(wǎng)的IP地址進(jìn)行管理和監控,簡(jiǎn)化IP地址管理,減少手工IP管理工作。發(fā)現非法或者異常使用IP地址時(shí),可以給出安全告警信息,供管理員分析、定位和排障使用。豐富的IP分配記錄和報表,以及靈活方便的搜索功能,提高IP地址管理效率。交換機管理:圖形化方式管理交換機端口,兼容SNMPV1/2/3協(xié)議,自動(dòng)化顯示交換機端口下接的終端和設備信息。讓管理員一目了然的掌握端口的連接類(lèi)型:Uplink、單臺終端、連接HUB等。與準入功能結合,即可提供端口級別的合規管理。與IP地址管理結合,可以提供故障、威脅定位的管理。

　　2.6局域網(wǎng)運行數據實(shí)施展現

　　許多網(wǎng)絡(luò )管理員可能都會(huì )碰到這樣的情況,大家管理著(zhù)局域網(wǎng),但對于局域網(wǎng)常常處于一種模糊的認識狀態(tài)。人們不能非常明確地知道局域網(wǎng)內現在有多少人、多少終端、什么人正在使用;不知道主干鏈路帶寬占用率現在是多少;不知道IP地址的使用情況;不知道是否有不合規的網(wǎng)絡(luò )設備(如:私帶的路由器、無(wú)線(xiàn)AP等)正在局域網(wǎng)內運行。當然人們可以通過(guò)使用不同的管理工具,使用多條操作指令分別去獲取所需要的數據,但如果有這樣一個(gè)平臺能自動(dòng)化記錄一些這類(lèi)的網(wǎng)絡(luò )主要運行數據,并實(shí)時(shí)展示,能一目了然地查看比較,顯然大家會(huì )很歡迎。

　　3結語(yǔ)

　　通過(guò)上述總結出功能需求,以此為據,經(jīng)過(guò)多次、較長(cháng)時(shí)間調查研究,測試試用,筆者最終確定了一套最大限度符合預計想法的標準化信息管理平臺。該院于2014年初正式將這套系統上線(xiàn)。經(jīng)過(guò)半年多的使用,目前這套管理平臺運行平穩,并從根本上改變著(zhù)該院的網(wǎng)絡(luò )管理模式,改善了曾經(jīng)的管理難點(diǎn)。展望未來(lái),會(huì )有越來(lái)越多的類(lèi)似信息管理平臺涌現,功能更強大、策略顆粒性更細致化、與堡壘機整合實(shí)現更豐富的行為審計能力。更甚至吸收越來(lái)越多的單一管理工具的功能,實(shí)現統一界面接口的多領(lǐng)域的多元化的管理方式,自動(dòng)化技術(shù)更多的引入,使運維人員的工作方式日趨便捷。這,也許正是一種趨勢。

　　參考文獻

　　[1]馮國登.計算機通信網(wǎng)絡(luò )安全[M].清華大學(xué)出版社,2001.

　　[2]趙樹(shù)升.信息安全原理與實(shí)現[M].清華大學(xué)出版社,2004.

【標準化信息管理與信息安全研究論文】相關(guān)文章：

關(guān)于物聯(lián)網(wǎng)的信息安全技術(shù)研究論文09-29

計算機信息管理論文11-05

計算機信息管理論文05-16

信息管理實(shí)習報告08-09

信息管理述職報告12-13

信息管理實(shí)習報告08-18

網(wǎng)絡(luò )信息安全與防范論文05-23

網(wǎng)絡(luò )信息安全與防范論文11-05

[優(yōu)]計算機信息管理論文15篇07-16

計算機應用技術(shù)的信息管理整合論文06-10