在网络信息化高速发展的形势下，各大医院也非常注重信息化建设，致力于打造以病人为中心的数字化医院，不断提升医院医疗水平和服务质量，让便民服务真正落到实处。经过近年来的信息化建设，目前医院行业已经建立了包括：HIS、CIS在内的多个医疗信息系统，与此同时，电脑终端也已成为了医护以及管理人员日常工作不可或缺的平台。随着信息化建设的深入及终端数量的增加，传统的管理方式将很难应付日益增长的安全形势及管理需要。因此，及时选择合适的、有效的、稳定的、兼容性良好的桌面管理系统，是非常必要的。随着越来越多的电脑成为医院正常开展业务的工作平台，内网终端能否正常工作，便成了医院业务能否正常开展的关键因素。这对电脑终端的管理效率提出了很高的要求。而随着医院客户端设备数量的不断增加、信息系统的深入应用，使客户端的管理面临着更大的挑战，主要体现在：

   1、软件安装要及时准确：基于特殊的应用需求，医院HIS系统的客户端软件经常需要升级，包括版本更新、功能升级，这使得软件分发和安装成为医院IT管理人员经常性的工作。很重要的是，客户端软件的安装不仅要及时，而且不能影响医护人员的正常工作。如果同时要对数百台甚至上千台终端设备进行软件版本升级，如果没有有效的解决方案，其工作量之大、任务之繁重是很难想象的。

  2、 终端安全管理要到位：在病毒、黑客攻击日益猖獗的今天，虽然医院的客户端都是处在内网上，与外网不相连，但一旦某台客户端设备感染上病毒，就会很快感染到内网上其它设备上。为了解决好客户端的安全问题，不仅需要及时发现漏洞、及时安装补丁，确保补丁能正确部署；而且要能正确管理USB接口，因为USB接口实际上成为医院内网与外网的接口。而在医院的应用环境中，需要使用多种USB接口的设备，不仅有打印机、鼠标、键盘，还有医保刷卡机、专用医疗设备等，所以，对USB接口的设备，不能简单关掉了事，要做到有所开有所关，既要保证各科室能根据需要使用USB接口的专用医疗设备，同时要保障安全。

   3、终端用户支持要高效：医院的计算机分布在各科室，各诊室、挂号室、药房、化验室等等，是医护人员的工作平台，一旦出现问题，要及时诊断及时维护，把维护时间降至最短。传统的现场维护显然无法满足千余台终端设备对于现场维护的要求。因此，高效率的远程帮助就成为了必需。

  4、 终端设备的软硬件资产要明晰：不仅医院需要清楚地掌握到底有多少IT资产，而且实际上，终端设备的资产清单更是很多IT服务管理流程的基础，比如，对客户端升级软件，首先要了解这台设备的配置是否符合要求；要通过信息化进行某项业务的改进，首先要明确地知道，该项业务所有的涉及人员使用的电脑是否都安装有相关的应用。因此，医院需要能够高效率地盘点医院IT系统的所有软硬件资产。

针对医院内网，选择的内网桌面管理设备需具备：

1、基本功能：⑴ 系统必须具备多级级联管理，上级可锁定下级的管理策略，⑵ 系统必须具备对管理员分权限管理，达到管理员、审核员、审计员三权分立。提供系统运行审计和操作审计机制，保证系统的稳定运行，系统管理员登录要求支持IP地址访问限定，只有获得授权的计算机才能进入系统控制台。⑶ 系统必须具备良好的系统安全性，终端具有自我防护机制，防止用户使用网上常见的卸载等工具随意停止、卸载。客户端功能在安全模式下仍生效。

2、补丁与文件分发管理：⑴ 需支持补丁自动分发安装，同时支持补丁分发策略制订，支持用户自定义补丁策略并自主配置分发，系统可基于客户端网络IP范围、操作系统种类、补丁类别等多种方式制订策略，策略发送至客户端后统一按策略执行应用，系统可在指定时间、指定网络范围内分发补丁。⑵  控制补丁分发流量，以免占用太大带宽，影响网络正常工作。

3、终端安全管理：⑴ 系统必须具备支持终端流量管理，对网络异常流量终端和异常连接数进行监控和控制，对可疑发包（蠕虫病毒等）行为、多并发连接提供检测、报警、断网功能。⑵ 系统必须具备能够识别并控制至少认可多种主流防病毒系统安装情况。⑶ 具备弱口令策略监控功能；具备用户账户监控功能。⑷ 系统必须具备对服务器等重要主机的IP保护功能，当非法机器企图占用重要主机IP时，非法机器无法上网但重要主机正常使用。⑸ 系统支持IP与MAC绑定功能，禁止终端用户修改IP地址、网关等网络通讯关键参数的功能，如用户修改这些参数可自动由系统的客户端软件将这些参数修复。⑹系统必须具备客户端注册表关键项的监控与保护功能。 ⑺具备远程管理、控制功能  ⑻系统应具备系统重要进程、服务器、软件等的运行监控，对关键进程进行保护。 ⑼系统应具备记录查询终端的连接，通过端口、协议、IP、时间等访问控制。

4、桌面安全维护功能：⑴ 系统具备文件网络输出审计功能，即对终端文件的打印输出、网络共享输出、邮件输出等行为操作进行管理控制，并详细记录其行为信息。⑵ 系统具备对主机内文件的名称进行关键字过滤检查的功能。⑶ 系统具备http上网访问控制和审计功能。⑷ 系统必须具备文件保护及访问审计功能，提供对终端的系统、软件和共享等目录中的文件的保护功能，设定访问、删除、修改权限；支持对设定目录文件的操作审计。⑸ 系统必须具备管理员定义终端用户的重要工作文件区功能，限制重要的工作文件必须在该工作文件区中进行创建、修改、剪切、存储及其他操作，并有能力防止终端用户将工作文件区内工作文件拷贝、剪切到非工作区中。

5、DNS重定向功能：⑴ 具备专用网关重定向功能，未安装客户端监控程序的计算机进行域名解析时，访问地址将被重定向到注册服务器。⑵ 重定向功能必须支持由路由进行NAT转换后接入网络的未安装客户端程序的计算机。⑶ 可以设定永远放行终端的IP和MAC黑、白名单。

6、资产管理：系统必须具备网络终端软硬件资产管理、资产变更功能，并生产报表及报警。

7、移动存储设备管理：⑴ 系统必须具备移动存储设备接入管理控制，定义USB标识，根据策略禁止非法USB存储，支持通过移动存储设备认证方式控制本单位与外来移动存储设备的接入。⑵ 系统必须具备对移动存储数据的读写控制，审计数据的写入与读出，并可以根据策略定制进行限制。

8、终端远程管理：系统必须具备远程管理功能，即点对点获取远程终端在线进程、服务及所开放的端口之间关系，并远程控制。能对指定的远程终端进行网络数据包协议分析和回放储备功能。

9、终端接入控制管理：系统应具备对接入网络的终端的快速发现及控制其网络访问的功能，对未注册终端阻断其联网。

10、报表管理：⑴ 系统必须具备支持对各种日志的导出查询，至少支持文件导出。⑵ 用户可根据需求自主选择报表项并自定义的报表格式（模板），支持模板化组态报表输出。
    上海宝信软件股份有限公司着眼于安全管理中最重要且最为薄弱的内网安全环节，自2002年率先提出“内网安全”、“构建可信并可控的内网”的理念和目标之后，再次创新性的提出新的安全理念：基于主动防御的动态安全防御模型“AD-PDRR”，针对大型行业、企业用户的网络安全需求现状，参照公安部颁布的《信息安全等级保护管理办法》和《互联网安全保护技术措施规定》（公安部第82号令），,遵循ISO17799安全标准及GB/T涉密资质认证，从终端接入控制、终端健康体检、终端运行维护、上网行为管理等方面入手，采取主动防御与控制的手段，全面立体实现内部网络安全。

宝信网络巡警eCop-NSM的功能特性

l 终端接入控制：综合了多种网络节点发现与控制技术；基于网络底层协议的节点发现与保护技术；基于交换机的扫描与控制技术；基于客户端的访问控制技术；基于网关的访问控制技术；支持802.1x认证。通过分布式的部署机制，形成灵活高效的终端接入控制体系。

l 与已部署网关边界设备联动，未安装客户端、健康体检不合格的计算机进行域名解析时，访问地址将被重定向到客户端安装页面；

l 终端健康体检，是用户构建“可信”和“可控”内网环境的可靠保证。监控医疗系统内网各种Windows系统的计算机、服务器的系统补丁、防病毒软件、软硬件配置、进程、外设、网络、流量等安全状态，在满足接入的基准策略后，还必须符合操作系统基本安全要求，符合组织制定的终端安全规范，才能够认定为处于健康状态。对于不符合“健康”标准的终端，则可以采取桌面警告、网络隔离、网络阻断等措施，直到对不符合项进行修复后才准许正常使用网络资源。

l 终端运行维护，通过自动搜集和更新功能，并辅助以手工添加的形式，形成医疗系统内网的IT资产底帐。并提供远程桌面管理、软件分发、网络访问控制、文件审计和通知发布等维护功能，可以有效减轻管理员远程维护的工作困难，是实现“可控”内网环境的有力辅助。对移动存储介质、U盘管理以及U盘加密。