【IT168 案例报道】苏州市立医院是苏州市最大的公立医院,苏南地区规模最大的综合性三级甲等医院,集医疗、教学、科研、保健于一体。不仅要承担每年172万人次的年门、急诊总量,还要管理多个社区卫生服务机构,因此对于网络的依赖达到不可或缺的地步。如何保证网络的安全,也就成为苏州市立医院基建中心的重要话题。而从2007年就在苏州市立医院开始部署的趋势科技云安全防病毒系统又能如何协助基建中心完成这一艰巨的任务呢?
苏州市立医院为确保24小时正常运转,除了安装硬件防火墙和客户端防毒软件外,还进行了内外网分离、做了策略控制,并且封闭了客户端的USB等数据输入接口。但是,这些措施并不能完全保证网络的安全。尤其是最为重要的内网,还存在大量的历史遗留问题和可能人为带来的一些问题情况下,如何防止从内网触发外来病毒和内部潜伏病毒就成为如今防治的重点。
苏州市立医院内网中所谓的历史遗留的问题很简单,就是早期网络部署和运行的时候,难免有一些客户端电脑会有病毒潜伏。由于医院必须24小时运转,做不到断网停机,对每台客户端电脑进行查毒、杀毒,而且,830个客户端也不是短时间内全部能查清的。因此一直存在这种无法解决的隐患。而所谓人的问题就涉及到管理了。从某种角度说,医院里的人个个是“人精”,尤其是那些医生,能进入三甲医院工作的医生基本都是医学博士,读了22年的书后,有自己的想法,有自己的做事风格,如何避免这些聪明的人给内网带来安全风险也成为一个不可忽视的因素。而趋势科技云安全2.0的出现让苏州市立医院意外地发现了一条防毒+管理双重收获之路。
众所周知,病毒的主要来源无非这么几种,浏览网页的时候被Web病毒感染、查看邮件的时候被邮件病毒感染、打开文件的时候被隐藏在文件中的病毒感染。苏州市立医院采用的OfficeScan的日志显示,超过80%的病毒是通过Web进入内部网络的,而剩下的20%中,又有80%是旧病毒重复感染。不过,不管是哪种病毒感染的方式,客户端的操作才是触发的关键。因此,2008年开始,苏州市立医院开始使用趋势科技的云安全产品来对客户端的操作进行严密控制。这些产品包括30多个服务器端的病毒防护软件ServerProtect和830个客户端的防病毒软件OfficeScan,同时近期也成功测试了内网威胁发现解决方案TDS (Threat Discovery Suite)。
终端的病毒防护软件ServerProtect/OfficeScan是趋势科技的明星产品,OfficeScan可以在用户不需要下载与部署任何病毒码的状况下对照云端的已知的良性文件清单和已知的恶性文件数据库,检查位于端点或服务器的每个文件的信誉(FRT),一旦发现所执行的文件属于恶性文件,OfficeScan就会阻拦该文件的打开或执行。在云安全2.0的架构下,因为病毒码的更新只需要在趋势科技云端的文件信誉技术数据库上发生,客户端不需要下载最新的病毒码就可以得到最及时的防护,OfficeScan客户端也不会因为病毒持续地增长而需要占用更多内存与其他系统资源。这样客户就可以减少在计算机设备上的投资,同时提高用户对安全管理的满意度与支持度。Officescan Web信誉评估功能自从去年问世,就帮助数千家企业解决了大量Web威胁问题,被全球用户广泛认可,满意度很高的产品。苏州市立医院利用officescan防护由客户端引来的Web病毒或者邮件病毒和本机可执行文件中隐藏的潜伏病毒。
对于同时采用Serverprotect和OffcieScan的用户来说,两者结合使用后,通过有WRT对可疑网页访问的拦截将大部分病毒变种的下载阻断,从而阻止新病毒的入侵,同时也使内网已经存在的病毒无法变种,降低了内网OfficeScan客户端的防毒压力,从而进一步提高了防毒效果。由于云安全采用多种方式收集数据信息来动态分析恶意威胁,生成动态的信誉库,并通过行为关联分析技术,建立各种的关联,因此可信度很高,可以达到99.9999%的可靠性,资料库第一次命中率就可以达到99%。
不过,更能让苏州市立医院感到惊喜的还不只是云安全的防毒能力,而是衍生而来的管理功能。2009年,医院试用了趋势科技内网威胁发现解决方案(Threat Discovery Suites), 由于其采用了云安全2.0多协议关联分析技术,能从网络层为终端主动构建了一个立体模型,利用恶意程序关联分析迅速定位感染源头,通过同趋势科技监控中心(MOC)的互动,发现企业网络中的“肉鸡”和各种未知威胁或者安全管理问题,因此,可以第一时间帮助用户找出具体对应的病毒来源终端,使得历史遗留的带毒终端,只要有一次发作,就能被及时抓住。而OffcieScan配合TDS后,真正启用终端多层次防护的概念,除了确保OSCE可以确实起到已知病毒的防护同时对于变种或新的恶意程序的攻击也可以在最短时间内进行发现,建立起内网恶意程序安全监控防护的机制。为保证部门管理纪律的执行提供了技术支持和可靠证据。让违反管理制度的“人精”们做一次就会被揪住一次。从而彻底解决前述内网中两大危险来源。
由于目前国内网络尚不能保证随时随地通畅,而且内外网分离后,也会对云安全的实时安全状态检测速度带来影响,苏州市立医院曾经担心过云安全的部署是否会带来延迟问题,从而影响实际使用感受。但趋势科技将防病毒特征码以及各种操作的记录缓存在本地服务器和网关的做法打消了他们的顾虑。
自2008年以来,在趋势科技云安全技术的保护下,苏州市立医院的网络已经很少受到病毒攻击,近期除了交换机老化带来的安全问题,还没有出现过病毒影响整个网络的情况。特别是应用了采用云安全技术的OfficeScan,以及最近测试的TDS,不仅为内网网络安全防护构筑起立体式、多层次的防护体系,还实现了极为重要的终端行为管理作用,彻底解决了内网的两大隐患,让苏州市立医院内网更干净、更高效、更安全。如何进一步提升员工安全意识,制定更完善的网络安全防范策略,这将是苏州市立医院未来网络安全建设的重点,而趋势科技云安全2.0中的产品将是苏州市立医院会最优先考虑的对象。
