医院HIS系统及网络安全解决方案

北京东方微点信息技术有限责任公司微点简介北京东方微点信息技术有限责任公司创建于2005年1月，是经北京市认定的高新技术企业，公司员工近200人。东方微点是专业的安全公司，主要从事信息安全防护技术的研究和信息安全防护产品的开发，尤其在反木马技术、防病毒技术、信息安全与监控技术上拥有巨大的优势。主要通用安全防护产品：微点主动防御软件个人版微点主动防御软件网络版微点杀毒软件医院网络信息系统存在的现象通过我们在医院网络信息系统的应用实践，发现医院网络信息系统普遍存在以下现象：HIS系统和HIS服务器缓慢；PACS系统和PACS服务器缓慢；计算机和网络缓慢；网络拥堵；间歇性网络瘫痪。这种现象造成医务人员在传递医疗数据时出现延时、停顿、无法提交和获取等现象，影响了医院医疗信息系统（HIS）的正常应用。这种现象一般都在上午时间出现，主要集中在9：00－11：30之间，下午或者晚上这种显现基本消逝。针对医院网络信息系统出现的这些问题，通过总结，我们发现影响医院网络信息系统质量主要有两个因素：一是医院的网络、应用系统、工作性质特点二是恶意程序的传播特性医院网络和工作性质特点通过总结，我们发现医院的网络结构、应用系统、工作性质存在以下共同的特点：1.医院网络与互联网进行物理隔离；2.医院与医保网络互联互通。3.医院医疗信息系统（HIS）的数据传输模式；4.医务工作者的计算机开机口令简单；5.U盘等移动存储设备的使用不受限制；这些特点存在哪些安全隐患呢？医院网络和工作环境特点的安全隐患1、医院网络与互联网进行物理隔离的安全隐患：系统漏洞带来的安全隐患大家都知道，我们医院计算机普遍使用的Windows操作系统，存在很多的漏洞。由于医院网络与互联网采用物理隔离的方式，网络内的计算机无法连接互联网，所以，无法及时连接到微软服务器修补Windows操作系统的漏洞，这些无法修补的系统漏洞使得计算机存在很多安全隐患。杀毒软件带来的安全隐患杀毒软件技术存在的安全隐患杀毒软件的特征码扫描对比技术，造成没有样本就无法提取特征，也就无法查杀病毒无法升级带来的安全隐患在与互联网物理隔离的状况下，杀毒软件特征库无法及时更新，造成杀毒软件自身存在重大的安全隐患。医院网络和工作环境特点的安全隐患2、医院与医保网络互联互通的安全隐患：每个医院内部网络中都有一台或几台计算机可以访问医保中心的数据，这些计算机通过医保建立的专用网络进行互联互通，这就使得医院的网络通过医保专用网络与医保中心、政府服务中心、其它医院、药店构建了一张互联互通的网络结构。这种特殊的网络结构，造成医院网络并非是严格意义上的物理隔离网络，使得医院网络受到来自医保中心、政府服务中心、其它医院、药店等其他单位网络的安全威胁。政府服务中心医保中心药店社区服务中心医院医院网络和工作环境特点的安全隐患3、医疗信息系统（HIS）数据传输模式的安全隐患：通过我们实践发现，HIS系统是通过计算机共享方式传输医疗信息数据，这就使得HIS服务器以及网络内其他计算机开放了共享服务。虽然共享服务给工作带来了便利，但开放共享服务的计算机就会存在很大的安全风险，尤其是HIS服务器以及PACS影像服务器的安全隐患更加影像了这些服务器的稳定性。医院网络和工作环境特点的安全隐患4、医务工作者计算机开机口令简单的安全隐患：医院的工作性质决定了计算机大多数是由多名医务工作人员共同使用，所以，为了工作的方便性，这些计算机往往设置极其简单的开机口令，如：123，123456……，有的甚至不设置开机口令。如此简单的开机口令，使得计算机很容易被打开，甚至被其它计算机远程控制的安全隐患，这些安全隐患不仅对本机带来安全隐患，还会威胁HIS服务器和PACS影像服务器的安全。医院网络和工作环境特点的安全隐患5、U盘等移动存储设备使用不受限制的安全隐患：出于工作方便角度考虑，大多数医院并没有限制U盘、手机、照相机、摄像机、MP3/4等移动存储设备的使用。虽然有些医院对大部分计算机做了移动存储设备使用的限制，但为了工作方便和个别权威医生的特殊身份，还是开放了个别计算机移动存储设备的使用。U盘等移动存储设备使用不受限制和限制不严格，使得医院网络处于“半开放式”网络结构，通过移动存储设备，间接地将互联网、家庭、其它单位网络连接起来，使得文件在这些环境中互相传递，给医院网络带来很大的安全风险。恶意行为程序的传播特性影响网络质量恶意程序传播特性影响网络质量无论恶意程序制作者真正的目的是什么，但要达到这个目的，首要完成的工作就是：尽最大可能地将恶意程序植入到更多数量的计算机。围绕着这个目的，恶意程序植入和传播方式一定会使用最快捷的方式。1.如何达到交叉植入和传播的目的由于U盘等移动存储设备的广泛使用，包括手机、数码相机等，且移动存储设备具有移动的特点，所以，通过人的移动，可以有效达到交叉植入和传播的目的。如：从家庭带入单位网络，从单位网络带入家庭，各单位网络之间的交叉传递。恶意程序传播特性影响网络质量2.如何在局域网内各计算机间达到交叉植入的目的当恶意程序被带入到医院网络计算机，利用什么方式能够尽快地植入到网络中其它计算机，主要就是以下三种方式：利用操作系统的漏洞利用计算机的共享服务通过远程暴力破解计算机开机口令恶意程序传播特性影响网络质量利用操作系统的漏洞远程探测计算机是否存在系统漏洞，探测到漏洞后，利用漏洞远程打开计算机的进入通道，然后将恶意程序植入到计算机。利用计算机的共享服务通过远程计算机开放的共享服务，将恶意程序直接植入到计算机。远程暴力破解计算机开机口令恶意程序内置计算机开机口令暴力破解功能，成功破解远程计算机开机口令后，获得了掌控计算机的超级权限，进而将恶意程序远程植入到计算机中。恶意程序传播特性影响网络质量恶意程序利用网络和计算机存在的各种问题，尽最大可能地将植入到更多数量的计算机，恶意程序需要保证在计算机中的长期存活。为了达到长期存活的目的，恶意程序主要采取以下两种方式：每台计算机相互间不间断地通过系统漏洞、共享服务、暴力破解口令方式对其它计算机执行着恶意程序植入行为，恶意程序被植入后，恶意程序运行并检查该计算机是否有相同的恶意程序，如果发现存在相同的恶意程序，自动终止自己的运行。这种方式技术实现简单，所以大部分恶意程序都采用这种方式保证自己的长期存活性。各计算机通过网络彼此间实时询问是否存活，如果没有回应存活，立即进行恶意程序植入行为；这种方式由于对技术要求比较高，所以很少有恶意程序采用，恶意程序传播特性影响网络质量恶意程序远程植入方式的传播特性和保证长期存活性，使得每台计算机相互间不间断地执行着恶意程序的植入行为。相互间的问询和恶意程序文件在网络间不间断的传输，消耗了一定量或者大量的网络资源，使得网络可用的有效带宽资源为剩余的网络带宽资源。这就使得医院网络带宽资源出现不足的现象，造成网络缓慢、延时现象。如果某天患者增多，或者拍影像的患者增多（影像指B超、CT等，每张影像片的文件大约20M-30M之间），医疗信息数据的传输量必然增加，进而造成网络拥堵，甚至出现间歇性瘫痪的现象。网络总带宽已经被恶意程序远程植入和传播行为占用的网络带宽剩余可用的有效网络带宽挂号信息医疗诊断信息药品处方划价、取药影像文件恶意程序传播特性影响服务器性能由于网络内计算机存在影响网络质量的恶意程序，它们也在不断向HIS服务器和PACS影像服务器实施远程恶意植入行为，使得HIS服务器和PACS影像服务器在处理正常业务数据请求的同时，也在不断处理远程恶意植入行为的请求，造成HIS服务器和PACS服务器的资源浪费，使得这些服务器的处理性能降低，影响了医院的正常业务。服务器处理性能被远程恶意植入行为消耗的性能剩余可用的有效计算机性能处理挂号信息处理医疗诊断信息处理药品处方处理划价、取药处理影像文件其它计算机恶意植入请求传播途径和方法：1、采用自动播放功能，利用移动存储设备进行传播，如U盘、移动硬盘、数码相机、手机等；2、通过Windows系统漏洞五个普遍存在的漏洞向其它计算机植入；3、采用暴力破解计算机口令方式向其它计算机植入；4、通过开放的共享服务方式向其它计算机植入；5、、从50000个域名中随机挑选500个域名，通过网络连接病毒服务器，进行版本更新、恶意指令接收、其它恶意程序下载；6、、采用点对点（P2P）机制，被感染计算机之间相互进行版本更新、传达攻击指令、下载其它恶意程序。该特点的目的是实现快速传播和避免Kido升级服务器被发现。恶意行为程序Kido对医院网络的影响危害性：1、造成被感染计算机运行缓慢，性能下降；（通常是因为Kido正在尝试破解其它计算机口令）2、造成局域网络缓慢，甚至瘫痪；（每台被感染Kido计算机在尝试对其它计算机传播，与网络结构和计算机数量有关）；3、传播迅速，变种能力强，平均每4天出现一个新变种；4、通过已感染Kido传播Kido变种和其它恶意程序；5、被感染计算机成为僵尸网络中的僵尸计算机，而局域网络将成为一个子僵尸网络；6、Windows自动更新服务被关闭；7、阻止防病毒产品更新；8、涉密信息的安全受到严重威胁。恶意行为程序Kido对医院网络的影响微点主动防御如何解决网络拥堵问题Titleinhere基于系统安全防御Titleinhere反追踪溯源定位Titleinhere基于网络安全防御1.基于系统的安全防御保护主机的安全，防止危害主机及网络和其它计算机的安全2.基于网络的安全防御防御来自网络、其它计算机、移动存储设备的危害3.基于危害源的反追踪溯源定位迅速定位具有危害行为计算机的位置，实现快速安全响应构建终端立体防御体系微点主动防御安全解决方案第一步：清除病毒，保障终端稳定监控程序行为，防御恶意行为危害杜绝对网络及其它计算机产生安全威胁微点主动防御安全解决方案1、清除计算机内的已知病毒等安全隐患内嵌杀毒软件功能，采用多种国际领先的病毒防护技术，实时防护并查杀来自病毒的安全威胁，保护计算机的安全和稳定性，提升计算机性能，防止已知病毒等对网络内其它计算机的威胁。安全特点：查杀各种已知病毒和变型病毒；查杀具有自变种能力的多态型病毒；一对多病毒防护，实现一个病毒特征码识别该病毒的全部变型病毒；技术特点：特征码扫描技术,查杀防护各类已知病毒的威胁;启发式、虚拟机、脱壳扫描技术,查杀防护各类病毒的变型病毒;多态性病毒防护技术，查杀防护具有自变种能力的多态性病毒；程序行为自主分析判断技术,动态防护无特征码的新型病毒的安全威胁。微点主动防御安全解决方案2、基于行为性质自主分析判断，防御恶意行为危害采用国际首创的程序行为自主分析判断技术，实时监控所有程序的行为，自主分析判断程序行为的性质（正常行为和恶意行为），实时防御阻断恶意行为的危害意图，并自动清除实施恶意行为的程序，保护信息和隐私安全。恶意行为是指对计算机、网络和信息的安全产生恶意威胁的行为，包括木马、间谍、后门、蠕虫、僵尸、肉鸡、入侵、恶意植入等行为。安全特点：不需要升级，提前防御木马、间谍、后门、蠕虫的危害，解决单纯依赖杀毒软件造成的安全隐患；不需要升级，解除僵尸、肉鸡的安全危害；防御信息、隐私、帐号、密码被窃取的危害；防止“被动泄密”事件发生；防御恶意行为程序的传播行为，提升计算机和网络的性能；尤其适合采用与互联网物理隔离网络环境的安全防御；技术特点：国际领先的程序行为自主分析判断技术，颠覆了传统特征码检测理念；国家863科技攻关成果；多于八年的技术积累与发展和实际对抗考验，以及专业级安全机构的特种手段检测；微点主动防御安全解决方案第二步：加强基于网络的防护能力防御来自网络及其它计算机的危害行为探测并迅速定位网络内具有危害行为的计算机微点主动防御安全解决方案3、探测并防御来自其它计算机的恶意植入行为，定位网络内危害源采用行为自主分析判断技术，探测来自其它计算机的恶意植入行为的危害：探测并阻止网络内哪些计算机正在对本计算机实施远程恶意植入行为；明确告知管理者具有这种远程恶意植入行为的计算机的IP地址或计算