三級醫院信息化等級保護方案研究

俞向前

（蘇州大學附屬第二醫院，江蘇　蘇州　215004）

三級醫院信息化等級保護方案研究

俞向前

（蘇州大學附屬第二醫院，江蘇蘇州215004）

醫院計算機網絡是通訊、辦公自動化的載體，其暢通與穩定具有重要意義。近年來各種安全事故層出不窮，給醫院的正常運營造成了潛在的不可低估的損失。信息安全不是單純的技術問題，需要在采用安全技術和產品的同時，重視安全管理，不斷完善各類安全管理規章制度和操作規程，全面提高安全管理水平。

等級保護；信息安全；系統風險

1　前言

醫院計算機網絡是通訊、辦公自動化的載體，其暢通與穩定具有重要意義。由于網絡設備、操作系統、網絡協議等不可避免地存在安全技術上的漏洞，以及實際工作中管理體制上的不嚴密，近年來各種安全事故層出不窮，給醫院的正常運營造成了潛在的不可低估的損失。

政策層面上，國家公安部、保密局、國家密碼管理局、國務院信息化領導小組辦公室于2007年聯合頒布了861號文件《關于開展全國重要信息系統安全等級保護定級工作的通知》和《信息安全等級保護管理辦法》。

為了信息安全等級保護能在各醫院更好地實施，衛生部針對醫療行業的實際情況制定了《衛生行業信息安全等級保護工作的指導意見》衛辦發【2011】85號，此文件在信息安全等級保護和醫療行業信息安全管理之間起到了橋梁與銜接的作用。

2　設計原則

2.1分級保護建設原則

三級醫院核心業務系統屬國計民生的重要信息系統，其安全建設不能忽視國家相關政策要求，按三級等保建設要求設計，其余系統按二級等保要求設計。

2.2體系化的系統設計原則

系統設計應充分考慮到各個層面的安全風險，構建完善的安全防護體系，保證系統的安全性。

2.3安全與管理并重原則

信息安全不是單純的技術問題，需要在采用安全技術和產品的同時，重視安全管理，不斷完善各類安全管理規章制度和操作規程，全面提高安全管理水平。

3　系統現狀分析

3.1網絡架構分析

以蘇州市三級甲等醫院為例，當前都已建成全院網絡覆蓋。從目前的全局網絡結構上看，可以分為兩大部分：用于日常醫療信息交換的業務內網以及用于連接市醫保、吳江醫保、園區醫保、銀聯等業務外網。其中醫院業務內網是醫院業務開展的重要平臺，承載著核心業務；醫院業務外網與市醫保、吳江醫保、園區醫保、銀聯機構互聯，實時獲取信息資源。

3.2業務內網分析

醫院的業務內網主要提供醫療數據交換、存儲和醫院業務系統的運維，各業務大樓主要提供醫護人員的日常業務的開展。

醫院內網采用“核心-匯聚-接入”三層交換架構，門診、住院終端通過匯聚交換機連接至中心機房核心交換機。HIS、 LIS系統作為醫院核心業務系統，系統服務器直接掛載在中心機房核心交換機上。

3.3業務外網分析

業務外網主要由匯聚交換機和防火墻等組成。醫院有兩條出口與外網互聯，一條通過匯聚交換機與銀聯、園區社保、吳江區社保等互聯；另一條通過防火墻接入互聯網。業務外網主要是用來幫助醫護人員連接Internet和實時獲取社保等信息資源。

3.4系統風險分析

3.4.1網絡邊界風險

不同安全域之間的網絡連接沒有有效的訪問控制措施，來自互聯網或其它兄弟單位的訪問存在潛在的掃描攻擊、DOS攻擊、非法侵入等。

3.4.2網絡攻擊風險

隨著業務的不斷發展，系統的訪問量會逐漸增加，各種類型的DOS、DDOS攻擊、木馬后門也會逐漸增加，因此建議在網絡邊界部署入侵防御系統，在核心交換機上部署入侵檢測系統，這樣可以保證平臺內業務系統在遭受諸如SQL注入、木馬上傳等行為時可以及時檢測或阻斷，確保內網服務器網站集群的安全。

3.4.3WEB業務風險

一個Web系統設計者更多地考慮滿足用戶應用，如何實現業務，很少考慮Web系統開發過程中所存在的漏洞，這些漏洞在不關注安全代碼設計的人員眼里幾乎不可見。大多數網站設計開發者、系統維護人員對網站攻防技術的了解甚少；在正常使用過程中，即便存在安全漏洞，正常的使用者并不會察覺。但在黑客對漏洞敏銳的發掘和充分利用下，網站存在的這些漏洞就被挖掘出來，且成為黑客們直接或間接謀取利益的機會。

3.4.4人員管理風險

網絡建設和維護中，常常會因為人為的因素造成數據的一些誤操作或破壞。如何有效地管控內部人員、設備廠商和代維人員的運維操作行為，并進行事后的審計是醫院面臨的一個關鍵問題。嚴格的規章制度只能約束一部分人的行為，只有通過嚴格的權限控制和操作審計才能確保安全管理制度的有效執行。

3.4.5系統日志風險

當前客戶在進行日志審計的過程中幾乎都面臨著相似的挑戰。這其中最主要的三個挑戰是：日志分散、日志格式不統一、日志量巨大。

(1)日志分散

客戶網絡中信息系統相關的各種軟硬件設備、安全防護設施都會產生日志。并且這些設備都分散在網絡的不同位置。他們各自產生日志，并有各自的控制臺進行日志查看，這對審計人員而言簡直就是噩夢，根本沒有精力去查看這么多控制臺，更不要說分析其中的日志信息了。

(2)日志格式不統一

每種設備類型的日志格式都不相同，各有各的表達，即使是表達同一件事情，也都有各自的表達方式。例如同樣的登錄失敗信息，防火墻中的描述和主機操作系統中的描述格式就可能根本不相同。這迫使審計人員去了解每種設備類型的格式。

(3)日志量巨大

很多設備，尤其是網絡安全設備產生的日志量十分巨大，單個防火墻每秒就可能產生上千條的日志信息，而全網的設備每天產生的日志量就更加可觀，可能數以百GB計。審計員去查看這么多的日志根本不可能，即便是將它們存起來都是個問題。

3.4.6數據安全風險

醫院內部存在著重要的數據信息，一旦信息被盜用、篡改、破壞，將會對醫院網絡造成重要的損失，因此需要對內部這些重要的數據的使用情況進行監控，防止這些數據被攻擊者改寫。

尤其是對數據庫的調用可能是通過web頁面、業務系統等前臺程序進行的時候，需要進行精確的身份關聯，方便事前預防、事中記錄審計、事后追溯。

3.4.7自由連接風險

目前醫院Internet區域沒有安全接入防御機制，外部人員對內網服務器數據資源訪問都靠防火墻的端口映射，有些服務器映射了3389端口，這樣的連接方式數據無法做到保密傳輸，這也使得攻擊者有了可趁之機。

4　系統方案設計

根據等級保護建設要求，技術層面以網絡安全、主機安全、應用安全、數據安全四個維度進行設計，管理方面則以規章制度進行設計。

4.1技術方面完善設計

4.1.1網絡安全方面

(1)動態路由協議間實施安全認證措施。(2)不同的區域或不同的VLAN間根據實際訪問需要配置訪問控制策略。(3)與外聯單位的邊界部署訪問控制設備。(4)內部各信息系統之間、互聯網出口配置的訪問控制策略需要達到端口級。(5)對進出網絡的信息內容進行過濾。

4.1.2主機安全方面

(1)操作系統需符合配置口令復雜度要求，定期更換。(2)采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。(3)根據業務需要設置訪問控制策略，鑒別具體操作人員權限，及時找到責任人。(4)實現管理用戶的權限分離。(5)對重要信息資源設置敏感標記。

4.1.3應用安全方面

(1)采用雙因子鑒別技術進行身份鑒別。(2)提供鑒別信息復雜度檢查功能。(3)采用登錄失敗處理功能。(4)采用密碼技術對初始化驗證信息進行保護。(5)提供數據不可否認性的檢測功能。

4.1.4數據安全方面

(1)完善數據傳輸完整性保護。(2)完善數據存儲完整性保護。(3)完善數據傳輸保密性保護。(4)完善數據存儲保密性保護。(5)檢測網絡結構是否存在單點故障。

4.1.5設備部署

根據醫院信息系統和業務的功能特性、安全特性，將醫院信息系統劃分了6個安全域，1個安全管理中心。根據對安全域和管理中心的詳細設計，已經可以比較清晰地勾畫出醫院網絡安全建設的整體全景，如圖1所示。

圖1　醫院等級保護改造后的拓撲圖

4.2安全管理建設

4.2.1安全管理制度

主要從管理制度、制定和發布、評審和修訂作為要求控制點，制定、發布、評審、修訂一整套安全管理制度、流程、技術規范和保密協議。

4.2.2安全管理機構

主要從崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查作為要求控制點，落實安全組織，包括崗位設置、人員配備、職責定義等。

4.2.3人員安全管理

主要從人員錄用、人員離崗、人員考核、人員意識教育和培訓、外部人員訪問管理作為要求控制點，建立人員安全管理制度，涵蓋人員錄用、離崗、考核、教育，以及對外部來訪人員進行合理管理等。

4.2.4系統建設管理

主要從系統定級、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、系統備案、等級測評、安全服務商選擇作為要求控制點，對系統進行定級，按照安全等級對系統進行安全規劃和方案設計，提供產品采購和使用方面的建議和培訓，制定軟件開發和外包管理辦法，制定安全服務商選擇辦法等，提供安全集成、工程實施、測試驗收、系統交付、系統備案、等級測評等服務。

4.2.5系統運維管理

主要從環境管理、資產管理、介質管理、設備管理、監控管理和安全管理中心、網絡安全管理、系統安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處理、應急預案管理等方面定制相關管理制度，制定應急預案，定期演練。

5　應用效果

在網絡邊界部署網絡出口防火墻、IPS，對局域網與互聯網的訪問進行控制與邏輯隔離，防止互聯網病毒、木馬入侵。在WEB服務器前部署網站與WEB業務防護系統，可實時攔截應用層非法訪問、應用層攻擊行為。在安全運維中心部署運維管控堡壘機、安全管理與日志審計和VPN網關系統，可對授權人員的運維操作進行記錄、分析、展現，對系統中產生的海量日志進行集中化存儲、查詢、分析、管理并可通過安全通道對內網資源進行管控。在核心交換機上部署內網入侵檢測（IDS）、數據庫安全審計，可對內網木馬后門等攻擊進行監控并對業務人員對數據庫系統的操作行為進行解析、分析、記錄。在網絡邊界串聯上網行為審計系統，可對上網行為、資源占用進行管理。

[1]王世偉．論信息安全、網絡安全、網絡空間安全[J]．中國圖書館學報，2015(02)：72-84．

[2]王心力．網絡信息安全面臨的問題[J]．圖書館理論與實踐，2004 (02)：51-52．

[3]鄭培峰．淺談如何構建安全的學校Web網站[J];信息安全與技術，2013，4(5)：92-100．

[4]王福春．試論網絡安全及其防護[J]．江西行政學院學報，2006，8 (z2)：103-104．

[5]易文平．網絡安全態勢感知體系探討[J]．信息與電腦(理論版)，2013(08)．

Research on the Tertiary Hospital Informatization Level Protection Plan

Yu Xiangqian
(The SecondAffiliated Hospital of Soochow University,Suzhou 215004,Jiangsu)

Hospital computer network is the carrier of communication and office automation.The flow and stability is of great significance.In recent years,all kinds of safety accidents emerge endlessly,causing a potential loss that cannot be underestimated to the normal operation of hospital.Information security is not a pure technical question.It needs focus on the safety management while using security technology and products,and constantly improve various rules and regulations and operation procedures of safety management,improving safety management level.

level protection;information security;system risk

TP309

A

1008-6609(2016)06-0065-03

俞向前，男，江蘇蘇州人，工商管理碩士，工程師，研究方向：項目管理，網絡與弱電工程。