医院HIS系统及网络安全解决方案

加强计算机安全解决网络拥堵问题提高医院网络质量医院HIS系统及网络安全解决方案,北京东方微点信息技术有限责任公司,微点简介,北京东方微点信息技术有限责任公司创建于2005年1月，是经北京市认定的高新技术企业，公司员工近200人。东方微点是专业的安全公司，主要从事信息安全防护技术的研究和信息安全防护产品的开发，尤其在反木马技术、防病毒技术、信息安全与监控技术上拥有巨大的优势。主要通用安全防护产品：微点主动防御软件个人版微点主动防御软件网络版微点杀毒软件,医院网络信息系统存在的现象,通过我们在医院网络信息系统的应用实践，发现医院网络信息系统普遍存在以下现象：HIS系统和HIS服务器缓慢；PACS系统和PACS服务器缓慢；计算机和网络缓慢；网络拥堵；间歇性网络瘫痪。这种现象造成医务人员在传递医疗数据时出现延时、停顿、无法提交和获取等现象，影响了医院医疗信息系统（HIS）的正常应用。这种现象一般都在上午时间出现，主要集中在9：0011：30之间，下午或者晚上这种显现基本消逝。针对医院网络信息系统出现的这些问题，通过总结，我们发现影响医院网络信息系统质量主要有两个因素：一是医院的网络、应用系统、工作性质特点二是恶意程序的传播特性,医院网络和工作性质特点,通过总结，我们发现医院的网络结构、应用系统、工作性质存在以下共同的特点：医院网络与互联网进行物理隔离；医院与医保网络互联互通。医院医疗信息系统（HIS）的数据传输模式；医务工作者的计算机开机口令简单；U盘等移动存储设备的使用不受限制；这些特点存在哪些安全隐患呢？,医院网络和工作环境特点的安全隐患,1、医院网络与互联网进行物理隔离的安全隐患：系统漏洞带来的安全隐患大家都知道，我们医院计算机普遍使用的Windows操作系统，存在很多的漏洞。由于医院网络与互联网采用物理隔离的方式，网络内的计算机无法连接互联网，所以，无法及时连接到微软服务器修补Windows操作系统的漏洞，这些无法修补的系统漏洞使得计算机存在很多安全隐患。杀毒软件带来的安全隐患杀毒软件技术存在的安全隐患杀毒软件的特征码扫描对比技术，造成没有样本就无法提取特征，也就无法查杀病毒无法升级带来的安全隐患在与互联网物理隔离的状况下，杀毒软件特征库无法及时更新，造成杀毒软件自身存在重大的安全隐患。,医院网络和工作环境特点的安全隐患,2、医院与医保网络互联互通的安全隐患：每个医院内部网络中都有一台或几台计算机可以访问医保中心的数据，这些计算机通过医保建立的专用网络进行互联互通，这就使得医院的网络通过医保专用网络与医保中心、政府服务中心、其它医院、药店构建了一张互联互通的网络结构。这种特殊的网络结构，造成医院网络并非是严格意义上的物理隔离网络，使得医院网络受到来自医保中心、政府服务中心、其它医院、药店等其他单位网络的安全威胁。,政府服务中心,药店,社区服务中心,医院,医院网络和工作环境特点的安全隐患,3、医疗信息系统（HIS）数据传输模式的安全隐患：通过我们实践发现，HIS系统是通过计算机共享方式传输医疗信息数据，这就使得HIS服务器以及网络内其他计算机开放了共享服务。虽然共享服务给工作带来了便利，但开放共享服务的计算机就会存在很大的安全风险，尤其是HIS服务器以及PACS影像服务器的安全隐患更加影像了这些服务器的稳定性。,医院网络和工作环境特点的安全隐患,4、医务工作者计算机开机口令简单的安全隐患：医院的工作性质决定了计算机大多数是由多名医务工作人员共同使用，所以，为了工作的方便性，这些计算机往往设置极其简单的开机口令，如：123，123456，有的甚至不设置开机口令。如此简单的开机口令，使得计算机很容易被打开，甚至被其它计算机远程控制的安全隐患，这些安全隐患不仅对本机带来安全隐患，还会威胁HIS服务器和PACS影像服务器的安全。,医院网络和工作环境特点的安全隐患,5、 U盘等移动存储设备使用不受限制的安全隐患：出于工作方便角度考虑，大多数医院并没有限制U盘、手机、照相机、摄像机、MP3/4等移动存储设备的使用。虽然有些医院对大部分计算机做了移动存储设备使用的限制，但为了工作方便和个别权威医生的特殊身份，还是开放了个别计算机移动存储设备的使用。U盘等移动存储设备使用不受限制和限制不严格，使得医院网络处于“半开放式”网络结构，通过移动存储设备，间接地将互联网、家庭、其它单位网络连接起来，使得文件在这些环境中互相传递，给医院网络带来很大的安全风险。,恶意行为程序的传播特性影响网络质量,恶意程序传播特性影响网络质量,无论恶意程序制作者真正的目的是什么，但要达到这个目的，首要完成的工作就是：尽最大可能地将恶意程序植入到更多数量的计算机。围绕着这个目的，恶意程序植入和传播方式一定会使用最快捷的方式。如何达到交叉植入和传播的目的由于U盘等移动存储设备的广泛使用，包括手机、数码相机等，且移动存储设备具有移动的特点，所以，通过人的移动，可以有效达到交叉植入和传播的目的。如：从家庭带入单位网络，从单位网络带入家庭，各单位网络之间的交叉传递。,恶意程序传播特性影响网络质量,如何在局域网内各计算机间达到交叉植入的目的当恶意程序被带入到医院网络计算机，利用什么方式能够尽快地植入到网络中其它计算机，主要就是以下三种方式：利用操作系统的漏洞利用计算机的共享服务通过远程暴力破解计算机开机口令,恶意程序传播特性影响网络质量,利用操作系统的漏洞远程探测计算机是否存在系统漏洞，探测到漏洞后，利用漏洞远程打开计算机的进入通道，然后将恶意程序植入到计算机。利用计算机的共享服务通过远程计算机开放的共享服务，将恶意程序直接植入到计算机。远程暴力破解计算机开机口令恶意程序内置计算机开机口令暴力破解功能，成功破解远程计算机开机口令后，获得了掌控计算机的超级权限，进而将恶意程序远程植入到计算机中。,恶意程序传播特性影响网络质量,恶意程序利用网络和计算机存在的各种问题，尽最大可能地将植入到更多数量的计算机，恶意程序需要保证在计算机中的长期存活。为了达到长期存活的目的，恶意程序主要采取以下两种方式：每台计算机相互间不间断地通过系统漏洞、共享服务、暴力破解口令方式对其它计算机执行着恶意程序植入行为，恶意程序被植入后，恶意程序运行并检查该计算机是否有相同的恶意程序，如果发现存在相同的恶意程序，自动终止自己的运行。这种方式技术实现简单，所以大部分恶意程序都采用这种方式保证自己的长期存活性。各计算机通过网络彼此间实时询问是否存活，如果没有回应存活，立即进行恶意程序植入行为；这种方式由于对技术要求比较高，所以很少有恶意程序采用，,恶意程序传播特性影响网络质量,恶意程序远程植入方式的传播特性和保证长期存活性，使得每台计算机相互间不间断地执行着恶意程序的植入行为。相互间的问询和恶意程序文件在网络间不间断的传输，消耗了一定量或者大量的网络资源，使得网络可用的有效带宽资源为剩余的网络带宽资源。这就使得医院网络带宽资源出现不足的现象，造成网络缓慢、延时现象。如果某天患者增多，或者拍影像的患者增多（影像指B超、CT等，每张影像片的文件大约20M-30M之间），医疗信息数据的传输量必然增加，进而造成网络拥堵，甚至出现间歇性瘫痪的现象。,恶意程序传播特性影响服务器性能,由于网络内计算机存在影响网络质量的恶意程序，它们也在不断向HIS服务器和PACS影像服务器实施远程恶意植入行为，使得HIS服务器和PACS影像服务器在处理正常业务数据请求的同时，也在不断处理远程恶意植入行为的请求，造成HIS服务器和PACS服务器的资源浪费，使得这些服务器的处理性能降低，影响了医院的正常业务。,传播途径和方法：1、采用自动播放功能，利用移动存储设备进行传播，如U盘、移动硬盘、数码相机、手机等；2、通过Windows系统漏洞五个普遍存在的漏洞向其它计算机植入；3、采用暴力破解计算机口令方式向其它计算机植入；4、通过开放的共享服务方式向其它计算机植入；5、从50000个域名中随机挑选500个域名，通过网络连接病毒服务器，进行版本更新、恶意指令接收、其它恶意程序下载；6、采用点对点（P2P）机制，被感染计算机之间相互进行版本更新、传达攻击指令、下载其它恶意程序。该特点的目的是实现快速传播和避免Kido升级服务器被发现。,恶意行为程序Kido对医院网络的影响,危害性：1、造成被感染计算机运行缓慢，性能下降；（通常是因为Kido正在尝试破解其它计算机口令）2、造成局域网络缓慢，甚至瘫痪；（每台被感染Kido计算机在尝试对其它计算机传播，与网络结构和计算机数量有关）；3、传播迅速，变种能力强，平均每4天出现一个新变种；4、通过已感染Kido传播Kido变种和其它恶意程序；5、被感染计算机成为僵尸网络中的僵尸计算机，而局域网络将成为一个子僵尸网络；6、Windows自动更新服务被关闭；7、阻止防病毒产品更新；8、涉密信息的安全受到严重威胁。,恶意行为程序Kido对医院网络的影响,微点主动防御如何解决网络拥堵问题,1.基于系统的安全防御保护主机的安全，防止危害主机及网络和其它计算机的安全2.基于网络的安全防御防御来自网络、其它计算机、移动存储设备的危害3.基于危害源的反追踪溯源定位迅速定位具有危害行为计算机的位置，实现快速安全响应,构建终端立体防御体系,微点主动防御安全解决方案,第一步：清除病毒，保障终端稳定监控程序行为，防御恶意行为危害杜绝对网络及其它计算机产生安全威胁,微点主动防御安全解决方案,1、清除计算机内的已知病毒等安全隐患内嵌杀毒软件功能，采用多种国际领先的病毒防护技术，实时防护并查杀来自病毒的安全威胁，保护计算机的安全和稳定性，提升计算机性能，防止已知病毒等对网络内其它计算机的威胁。安全特点：查杀各种已知病毒和变型病毒；查杀具有自变种能力的多态型病毒；一对多病毒防护，实现一个病毒特征码识别该病毒的全部变型病毒；技术特点：特征码扫描技术,查杀防护各类已知病毒的威胁;启发式、虚拟机、脱壳扫描技术,查杀防护各类病毒的变型病毒;多态性病毒防护技术，查杀防护具有自变种能力的多态性病毒；程序行为自主分析判断技术,动态防护无特征码的新型病毒的安全威胁。,微点主动防御安全解决方案,2、基于行为性质自主分析判断，防御恶意行为危害采用国际首创的程序行为自主分析判断技术，实时监控所有程序的行为，自主分析判断程序行为的性质（正常行为和恶意行为），实时防御阻断恶意行为的危害意图，并自动清除实施恶意行为的程序，保护信息和隐私安全。恶意行为是指对计算机、网络和信息的安全产生恶意威胁的行为，包括木马、间谍、后门、蠕虫、僵尸、肉鸡、入侵、恶意植入等行为。安全特点：不需要升级，提前防御木马、间谍、后门、蠕虫的危害，解决单纯依赖杀毒软件造成的安全隐患；不需要升级，解除僵尸、肉鸡的安全危害；防御信息、隐私、帐号、密码被窃取的危害；防止“被动泄密”事件发生；防御恶意行为程序的传播行为，提升计算机和网络的性能；尤其适合采用与互联网物理隔离网络环境的安全防御；技术特点：国际领先的程序行为自主分析判断技术，颠覆了传统特征码检测理念；国家863科技攻关成果；多于八年的技术积累与发展和实际对抗考验，以及专业级安全机构的特种手段检测；,微点主动防御安全解决方案,第二步：加强基于网络的防护能力防御来自网络及其它计算机的危害行为探测并迅速定位网络内具有危害行为的计算机,微点主动防御安全解决方案,3、探测并防御来自其它计算机的恶意植入行为，定位网络内危害源采用行为自主分析判断技术，探测来自其它计算机的恶意植入行为的危害：探测并阻止网络内哪些计算机正在对本计算机实施远程恶意植入行为；明确告知管理者具有这种远程恶意植入行为的计算机的IP地址或计算机名称。下面几张安全日志是微点主动防御在医院网络信息系统成功应用的范例。,微点主动防御安全解决方案,这是北京同仁医院的安全事件日志：计算机192.168.36.193等计算机安装了微点主动防御：它成功探测到IP地址为192.168.200.42和192.168.100.13等诸多计算机正在对其实施远程恶意植入行为；已经成功阻止这些计算机对计算机192.168.36.193的远程恶意植入行为。也就是说，计算机192.168.36.193自身并没有问题，真正有问题的计算机是IP地址为192.168.200.42和192.168.100.13等其它计算机。,安装了微点主动防御,实施恶意植入行为的计算机,微点主动防御安全解决方案,这是天津胸科医院的安全事件日志：计算机192.168.11.28等计算机安装了微点主动防御：它成功探测到计算机名称为JYK_SH_HITACHI和SFC_BGS等等诸多计算机正在对其实施远程恶意植入行为.已经成功阻止这些计算机对计算机192.168.11.28的远程恶意植入行为。也就是说，计算机192.168.11.28自身并没有问题，真正有问题的计算机是计算机名称为JYK_SH_HITACHI和SFC_BGS等其它计算机。,安装了微点主动防御,实施恶意植入行为的计算机,微点主动防御安全解决方案,4、探测并防御来自其它计算机的网络入侵行为，迅速定位网络内危害源采用网络入侵行为分析判断技术，探测并防御来自网络内其它计算机的恶意网络入侵行为：探测并阻止网络内其它计算机正在对本计算机实施恶意网络入侵行为；明确告知管理者具有这种恶意入侵行为的计算机的IP地址；安装主动防御客户端的计算机即使没有修补系统漏洞，依然能够防御来自其它计算机利用系统漏洞的网络入侵行为。下面几张安全日志是微点主动防御在医院网络信息系统成功应用的范例。,微点主动防御安全解决方案,这是北京同仁医院的利用漏洞进行入侵行为的安全事件日志计算机192.168.5.51安装了微点主动防御，它成功探测到IP地址为192.168.5.21 的远程计算机正在对其实施远程入侵行为，它利用本机system程序（使用445端口）的漏洞对本机实施远程入侵行为，已经成功阻止这种利用系统漏洞进行的恶意入侵行为。恶意程序探测到本机存在漏洞，首先通过入侵方式打开系统漏洞，建立进入计算机的通道，然后再通过这个通道将恶意程序植入。当远程计算机的恶意程序试图通过漏洞建立进入计算机的通道时，微点主动防御探测到这是一种非法的恶意入侵行为，立即阻止这种非法入侵行为。,安装了微点主动防御,实施网络入侵行为的计算机,微点主动防御安全解决方案,这是武汉普仁医院内的医保计算机受到来自医保中心的远程非法恶意入侵行为这是医院负责连接医保中心的医保计算机，成功探测并阻止来自医保中心计算机的远程非法恶意入侵行为，该恶意入侵行为是利用计算机的系统漏洞。,这是医院连接医保的计算机安装了微点主动防御,这是医保中心的计算机实施恶意植入行为,微点主动防御安全解决方案,5、监测并防御医务人员通过何种途径向网络内带入恶意程序微点主动防御能够监控医务人员通过移动存储设备、互联网将恶意程序带入医院网络计算机中。安全日志【1】显示恶意程序文件是在H盘符下，这说明该磁盘为U盘，证明使用了U盘；（备注：后期版本将在【创建者】字段直接显示移动存储设备）安全日志【2】显示在什么时间访问了哪个被已经挂马的网站，并且是使用IE浏览器访问的网站，证明使用无线连接过互联网。,微点主动防御安全解决方案,1,2,第三步：掌握网络应用及安全隐患建立安全监管、评估与决策机制实现依托数据支撑的可见性安全管理模式,微点主动防御安全解决方案,6、识别恶意程序哪里安全隐患实施危害行为，实现安全隐患可见性为什么两个安全日志中【创建者】字段中一个显示的IP地址，一个显示的是计算机名称，这与恶意程序使用哪种手段实施远程恶意植入行为。显示IP地址：这是恶意程序利用暴力破解计算机开机口令的手段实施远程恶意植入；显示计算机名称：这是恶意程序利用计算机共享；显示非法入侵行为：这是利用漏洞进行的远程非法恶意入侵行为。所以，微点主动防御不仅能够通报远程恶意植入行为所采用的恶意植入方法，还能发现受威胁计算机存在共享服务开放、计算机开机口令弱、漏洞等安全隐患。,显示恶意植入计算机的IP地址,显示恶意植入计算机的计算机名称,显示利用漏洞的的非法入侵行为,微点主动防御安全解决方案,7、监控终端使用者操作行为，规范使用者行为实时监控并记录计算机使用者开机、软件等应用操作行为，监督和规范使用者的操作行为，对违规行为做到有据可查。监控使用者软件应用行为软件启动和退出时间，启用什么软件，使用多长时间等等。监控使用者软件安装行为；软件何时安装、安装位置、软件通过什么途径进入计算机等等。监控终端网络访问及流量状态；每个程序访问网络的状态、时间、占用流量大小、访问对象等等。,微点主动防御安全解决方案,8、帮助管理者实现向依托数据支撑管理模式的转变微点主动防御能够探测到网络内危害源计算机，能够记录工作人员通过U盘、互联网等方式将恶意程序带入网络，能够发现计算机哪些系统程序存在高危漏洞、共享服务开放、计算机开机口令弱等安全风险，这些数据既可以做为对管理制度执行的支撑，也是管理者发现网络及其管理所存在问题的数据依据，是管理者制定网络安全解决方案、审批网络安全解决方案的数据依据，使管理者走向数据可依的管理模式。安全事件数据为管理制度提供监督作用，建立医院监管机制医院管理制度中普遍规定，禁止使用U盘，禁止私自连接互联网。由于缺乏有效的技术监督手段，这种违规现象非常普遍。微点的安全事件日志恰恰可以成为管理制度的有力支撑，起到很好的威慑作用。安全事件数据为安全方案决策者提供数据支撑，建立安全评估决策机制管理者可以将微点安全事件整理成报告，通过数据来汇报医院网络存在哪些安全问题，并提出自己的解决方案，给予医院信息中心的管理者和医院的决策者决策以有力的支撑。,微点主动防御安全解决方案,微点主动防御安全解决方案,安全事件数据为管理制度提供监督作用1）对HIS和PACS系统实施恶意行为的计算机列表,微点主动防御安全解决方案,安全事件数据为管理制度提供监督作用2）违规使用移动存储设备向网络内携带恶意程序的计算机列表,微点主动防御安全解决方案,安全事件数据为安全方案决策者提供数据支撑例如：我院与医保中心网络间存在安全隐患依据实际发生的安全事件数据，撰写安全规划报告，阐明安全隐患的危害性和解决方案（需要部署防火墙进行逻辑隔离），递交上级主管领导和院务办，讨论确定。,这是医院连接医保的计算机安装了微点主动防御,这是医保中心的计算机实施恶意植入行为,目录2.1 病毒查杀报告12.2 主动防御恶意行为程序安全事件报告12.3 成功处置造成HIS和PACS系统服务缓慢安全事件报告2 2.3.1 对HIS和PACS系统实施恶意行为的计算机列表22.4 成功防御工作人员违规使用移动存储设备向我院网络携带恶意程序安全事件报告3 2.4.1 违规使用移动存储设备向我院网络携带恶意程序的计算机列表32.5 成功截获工作人员违规私自连接互联网引发的安全事件报告3 2.5.1 违规私自连接互联网计算机列表42.6 成功防御并准确定位实施远程恶意植入行为计算机的安全事件报告4 2.6.1 对其它计算机实施远程恶意植入行为计算机列表52.7 成功防御并准确定位实施恶意网络入侵行为计算机的安全事件报告5 2.7.1 对其它计算机实施恶意网络入侵行为计算机列表52.8 成功防御来自省/市医保中心网络的恶意网络入侵行为报告6 2.8.1 来自省/市医保中心网络对我院实施恶意入侵行为计算机列表62.9 对我院网络危害性较大恶意程序的报告7 2.9.1 降低医院网络性能的恶意程序Kido报告7 2.9.2 危害医院医疗数字信息资料的病毒Folder报告73 网络安全隐患7 3.1 医疗信息系统（HIS系统）特点引发的安全隐患7 3.2 医院网络结构引发的安全隐患8 3.3 工作性质引发的安全隐患8,微点主动防御安全解决方案,1、基于终端的防护，解决医院特殊网络结构安全隐患基于杀毒软件，查杀清除各种已知病毒，保障计算机的安全和稳定性基于行为自主分析判断，实现行为防御，有效防御各种新型及未知的恶意行为程序，摆脱单独依靠杀毒软件带来的安全隐患，摆脱单纯升级手段防护，实现无需升级防护的飞跃。2、基于网络的安全防护，解决外来及交叉安全威胁，提升网络质量无需考虑系统漏洞未修补隐患、共享隐患、弱口令隐患，防护基于网络的威胁：防御远程恶意植入行为；防御网络入侵行为；防御违规互联网访问带来的安全威胁。防御违规使用移动存储设备带来的安全威胁3、基于危害源的反追踪溯源定位，迅速定位危害源，实现安全监控可见性迅速定位网络内哪些计算机存在威胁，使得安全具有可见性，提高工作效率，降低工作强度。定位具有恶意植入行为计