三級等保下醫院信息系統安全優化方案實踐

湯斌，黃玉成

中南大學湘雅醫院（中南大學醫院管理研究所） 網絡信息中心，湖南 長沙 410008

引言

為進一步提高信息的保障能力，根據《信息安全等級保護管理辦法》（公通字2007[43]號）的精神，中南大學湘雅醫院在2016年對HIS系統、LIS系統、PACS系統、電子病歷系統進行信息安全等級保護三級測評工作，通過此次測評，中南大學湘雅醫院發現了目前信息系統的安全現狀與等級保護三級的基本要求存在一定的差距，信息系統存在較大的安全隱患[1]。中南大學湘雅醫院決定對信息系統進行整體信息安全加固建設。

本文力圖通過對等保三級保護要求的解析，結合中南大學湘雅醫院的網絡現狀，提出一個滿足等保要求的信息系統安全加固優化方案。

1 設計背景

1.1 需求分析

對于醫院網絡架構來說，高質量的網絡傳輸在整個醫院的網絡化辦公中起著至關重要的作用，結合醫院內部復雜的HIS、LIS、PACS等應用系統，大批的文件，圖像和業務數據流都會通過網絡進行傳輸，這就要求網絡有足夠的主干帶寬和醫院內部網絡的擴展能力和冗余能力。除上述考慮外，還要注意將醫保業務網絡和內部辦公網絡分開，建成后網絡應能提供多個網段的劃分和隔離，并能做到靈活配置，以適應日后環境的調整和變化。除此之外，醫院的網絡系統連接著外部Internet和高校等，訪問人員眾多且復雜，因此如何保證醫院網絡系統中的數據安全問題顯得尤為重要。

湘雅醫院作為衛生計生委直屬管轄的三級甲等醫療機構，內部運行的HIS、LIS和PACS等系統的正常運行至關重要。依據衛生部于2011年11月發布《衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知》的要求[2]，非常有必要對我院的網絡安全開展等級保護建設，不僅是以利于醫院自身進行安全體系化建設，更重要的是確保醫院各項業務的正常開展。

1.2 現狀調研

目前中南大學湘雅醫院信息系統分為內網和外網兩套網絡[3]，內網與外網通過雙向隔離網閘進行了物理隔離，見圖1。

中南大學湘雅醫院內網進行了合理的分區，包括運維管理區、內網終端接入區、外部單位接入區、內網應用服務器區。使中南大學湘雅醫院內網網絡結構清晰，邊界明確，大大提升了安全防護、運維等工作效率，同時針對主要的數據處理設備均有冗余，極大的增加了網絡的健壯性。

在湘雅外網平臺，針對外部應用服務器區，部署有Web應用防火墻、下一代統一安全網關進行安全防護，同時在互聯網出口邊界區部署有防病毒網關，對訪問互聯網的數據流進行了流量清洗。

1.3 差距分析

中南大學湘雅醫院在整體的信息系統安全架構上有一定的安全防護措施手段，但仍舊存在一定的問題，主要如下：

（1）醫療業務系統數據庫是全院醫療應用系統的核心，在現網內缺乏針對數據庫系統的有效審計機制，無法對數據庫的各項操作行為進行監管與審計。

（2）在互聯網出口邊界區部分設備缺乏有效的冗余備份機制，存在一定的單點故障隱患。當某臺設備故障，將會導致互聯網訪問中斷。

（3）終端主機安全性存在安全漏洞易被人攻擊，從登陸口令、服務進程、系統補丁、防病毒軟件等進行加固升級。

（4）核心數據均采用了本地備份機制未采用異地備份，在條件允許的情況下，可采用異地備份，在本地機房出現災難性事故下數據不丟失。

圖1 現行網絡拓撲

2 建設目標與框架

2.1 建設目標

依據國家信息安全等級保護制度，遵循相關標準規范，結合中南大學湘雅醫院核心業務系統和基礎設施現狀，總體目標為：建設滿足等級保護三級要求的安全技術防護體系，進一步明確信息安全保障重點，建立安全管理組織機構，落實信息安全責任，健全信息系統安全管理制度，制定核心業務系統不中斷的應急預案，建立信息安全等級保護工作長效機制，切實提高信息安全防護能力、隱患發現能力、應急處置能力，保障自身計算網絡及信息系統持續正常運行[3]，建設目標，見圖2。

圖2 建設目標

醫院業務內網中不同區域之間進行安全隔離，細化現有防火墻的安全策略，在區域的邊界應采用強制訪問控制手段進行隔離，同時對入侵攻擊應能進行阻斷，對病毒應能在邊界處進行過濾[4]；應定期對網絡設備、操作系統和數據庫三個方面進行掃描，發現潛在的安全隱患[5]；醫院業務內網中的信息系統需具備有效的內控和安全審計，對出現的問題實現事前監測，事后對問題進行追溯[6]。

互聯網為湘雅醫院內部網絡接入用戶提供統一的互聯網出口。由于互聯網為公共網絡，安全性低，需要在互聯網接入區內部署多種安全防護設備，以應對不同安全層面的防護問題。

2.2 建設框架

按照最新的等級保護2.0和《網絡安全法》要求，統籌規劃安全建設，合理規劃安全域、建立有效的安全技術保障體系、完善安全管理體系的建設。構建一個中心、三重防護保障的主動防御安全體系（一個中心是指安全管理中心，三重防護由安全計算環境、安全區域邊界以及安全通信網絡組成），從物理和環境、網絡和通信、設備和計算及應用和數據方面對醫院信息安全進行統籌規劃設計，相關框架，見圖3。

圖3 建設框架

秉承合規為基礎，持續保護為實踐標準，本著建立真正有效的技術體系的原則，構建“防御+檢測+響應”的安全能力。使安全技術體系不再是簡單的堆疊防御手段。既能滿足等級保護2.0要求，又能充分發揮安全技術體系的有效性，抵御新威脅，切實地解決安全問題，減少事故發生的概率。

建立統一的信息安全管理體系，落實各項管理制度，讓醫院的安全管理體系，有宏觀的設計、有清晰的責任權限、有合理的制度要求。同時應用包括安全可視化、統一運維管理的創新的技術手段，簡化安全運維管理，減輕安全運維管理的負擔，提升安全運維管理的效率，最終做到整體防御、分區隔離；積極防護、內外兼防；自身防御、主動免疫；縱深防御、技管并重。

整個醫院信息安全體系與信息系統整體之間，不是彼此獨立、分離，而是緊密鑲嵌、有機結合、高度融合的。依據國家等級保護的相關標準和規范，結合現階段信息系統面臨的安全挑戰，建立一個完整的安全保障體系。

3 內網等級保護改造建設方案

整個內網安全設計以審計和檢測為核心，聯動整體安全建設與運行。對于中南大學湘雅醫院內部網絡，承載著所有重要業務系統的運行工作，且與外部進行交互的通道主要為服務器區匯聚交換，因此，作為首要保障，用防火墻端口級別的策略做了內外隔離。同時，為保障業務平穩安全運行，最重要的能力是持續的檢測，通過漏洞掃描評估內網脆弱性，防病毒網關監控病毒情況，再通過各類審計設備持續監聽從應用層到數據層的風險狀況。通過檢測和審計的結果，輔助業務的安全改造，從而不斷優化業務的穩定與安全運行。

3.1 防火墻設計

防火墻部署在核心交換機與服務器匯聚交換機之間，對進出應用服務區的數據流量進行控制，禁止未授權訪問應用服務區資源，同時屏蔽不安全的對外應用。防火墻策略細化到端口級，只對需要訪問的人員開放必須的應用服務的端口。防火墻采用雙機模式部署，確保服務的高可用性，防范單點故障。

3.2 防病毒設計

防病毒網關與主機防病毒軟件不同，防病毒網關部署在湘雅醫院內網核心交換機與入侵防御之間。實現安全防護、病毒處理分析和展現等功能，湘雅醫院內網大部分為Web應用系統，如電子病歷系統、RIS、PACS等，Web上傳和下載是病毒傳輸主要形式之一，通過部署防病毒網關系統可以對Web、郵件、FTP等多種傳播手段進行檢查和阻斷。

3.3 漏洞掃描設計

在醫院內網運維區部署漏洞掃描設備，對整個醫院業務內網定期進行漏洞掃描[7]，并可以隨時改變接入位置。實現漏洞掃描、漏洞分析、漏洞管理等功能，通過對湘雅主機、應用、網絡設備等全方位的安全漏洞掃描，全面的漏洞分析、完善的漏洞管理，保障湘雅醫院的網絡信息安全。

3.4 數據庫審計系統設計

在醫院業務內網的服務器匯聚交換機部署數據庫審計系統，對所有數據庫的操作進行審計，對出現的數據庫事件追溯提供證據[8-10]。實現數據庫協議審計、數據庫安全審計、SQL操作審計、實時告警等功能。以便于管理員及時發現網絡中的潛在危險，快速處理，保證網絡運行的安全。

3.5 網絡審計系統

網絡分析系統部署在核心交換機上，通過采集鏡像數據，對所有的用戶網絡訪問行為進行監聽和審計[11]。此系統應具有長期數據存儲、回溯取證能力、大數據挖掘能力、七層協議解碼、智能分析、安全分析、應用訪問記錄等能力，能有效地幫助網絡管理員進行運維和監管工作。

4 外網安全建設方案

在原有網絡架構中，互聯網出口區通過部署一臺防毒墻和三層防火墻，DMZ區部署一臺WAF（Web應用防護系統），除了合規性問題之外，整體架構面臨以下幾方面的問題：首先，互聯網出口串接兩臺防護類設備，“串糖葫蘆式”部署，運維復雜，同時存在單點故障，更無法應對日益增多的應用層攻擊（據Gartner統計，外網攻擊中70%以上屬于應用層攻擊）；另外，多鏈路的互聯網出口未做負載保障，缺乏可靠性，鏈路資源未得到充分利用；其次，對于外網用戶的上網行為缺乏審計，員工的上網行為無法管控，也無法記錄，如出現數據泄密，無從追溯；同時，遠程桌面等運維方式帶來了極大的安全風險，勒索病毒攻擊多半利用遠程桌面的端口進入[12-13]。因此，整體方案從可靠性，高效性和可視性三方面出發，構建了外網的防護架構，見圖4。

圖4 外網拓撲圖

4.1 防火墻設計

現有的互聯網出口上僅部署了一臺防火墻，且應用時間較大，在此外網安全改造方案中，新增防火墻代替現有的防火墻，同時為避免單點故障的出現，采用兩臺防火墻為主備方式，防火墻策略采用端口級的過濾策略，采取權限最小化的原則，對訪問行為進行控制[14]。防火墻對進出外網辦公區、內網辦公區、DMZ區的流量進行過濾，防范未經授權的訪問。對于外網辦公區，可以防范終端被非法訪問[15]；對于內網辦公區，可以防范來自互聯網的非法訪問；對于DMZ區，防范OA、預約掛號、門戶網站等應用系統被未授權地訪問。

4.2 上網行為管理設計

在防火墻前端部署一套上網行為管理系統，對員工的上網行為進行監控和管理，通過定制精細化的上網行為管理方案[16]，對員工的上網行為進行細致而靈活的管理，提高員工的工作效率，避免機密信息的泄漏[17]。上網行為如產生故障會采取BY PASS模式，不會對網絡正常使用造成單點故障，為了節約成本，本方案故而沒有采取雙機冗余設計。

4.3 鏈路負載均衡設計

隨著互聯網應用的發展，湘雅醫院對外業務承載的數據量也越來越大，提供的服務與患者需求密切相關，如預約掛號等。目前亟需解決網絡帶寬不足，單一運營商鏈路出現線路故障導致全部互聯網業務中斷的問題。通過部署負載均衡系統，接入多家運營商的線路，一方面可以解決帶寬不足的問題，另外一方面可以解決單一運營商線路單點故障的風險。

5 安全管理體系建設

除了技術建設之外，制定落地的安全管理制度是本次建設的核心，只有真正從信息化管理人員到普通員工都按照標準化的要求進行信息系統的操作與使用，才能真正全方位全天候的保障湘雅醫院的信息安全。湘雅醫院信息系統安全管理組織應形成由主管領導牽頭的信息安全領導小組、具體信息安全職能部門負責日常工作的組織模式，組織結構圖，見圖5。

圖5 安全組織結構圖

信息安全領導小組是由湘雅醫院信息科主管領導牽頭，各部門的負責人為組成成員的組織機構，主要負責批準湘雅醫院信息系統的安全策略、分配安全責任并協調安全策略能夠實施，確保安全管理工作有一個明確的方向，從管理和決策層角度對信息安全管理提供支持。

信息安全工作組是信息安全工作的日常執行機構，內設專職的安全管理組織和崗位，負責日常具體安全工作的落實、組織和協調。為了有效落實信息安全各項工作，湘雅醫院應設立以下專職的安全崗位，負責安全工作的落實和執行。

（1） 信息安全工作組主管：① 負責網絡與信息安全的日常整體協調、管理工作；② 負責組織人員制定信息安全管理制度，并對管理制度進行推廣、培訓和指導；③ 負責重大安全事件的具體協調和溝通工作。

（2）安全管理員崗位：① 負責執行網絡與信息安全工作的日常協調、管理工作；② 負責日常的安全監控管理，并對上報和發現的各類安全事件進行處置；③ 負責系統、網絡和應用安全管理的協調和技術指導；④ 負責安全管理平臺安全策略制定，訪問控制策略審核；⑤ 負責組織安全管理制度的推廣和培訓工作；⑥ 負責定期進行安全檢查，檢查內容包括系統日常運行、系統漏洞和數據備份等情況。

（3）安全審計員崗位：① 負責安全管理制度落實情況的檢查、監督和指導；② 負責安全策略執行情況的審核。

（4）系統管理員：① 負責系統安全穩定運行的日常管理工作；② 負責保持系統的防病毒系統、補丁等保持最新，定期對系統進行安全加固，保持系統漏洞最小化。

（5）網絡管理員：① 負責網絡設備安全穩定運行的日常管理工作；② 負責保持網絡設備的漏洞最小化，定期對系統進行安全加固；③ 負責保持網絡路由和交換策略與業務需求保護一致。

湘雅醫院應根據日常的運行維護和管理工作，設置物理環境管理、業務管理、應用管理以及資產管理等崗位，這些崗位也應當包括安全職責，這些安全職責的具體內容通過《信息安全管理崗位說明書》落實。

6 結語

網絡安全法已于2017年6月1日正式實施。網絡安全法第二十一條明確國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改，信息安全等級保護工作已經上升到國家戰略層面，成為關系國計民生的重要任務。醫院的三級安全等保技術建設，既有與其它行業要求的共性，又有其自己的特點。這些要求中除了網絡層面的，還包括機房、主機、應用和數據安全。三級安全等保對醫院既是一次命題考試，又是一次切實提升醫院安全能力的好機會。作為安全等保技術要求的主要部分——網絡安全，因其分散、覆蓋面廣和難以管理，也是整個等保安全的難點。醫院需要從網絡與安全融合、終端與邊界融合、集中與分級融合等多個維度全面考慮，覆蓋包括結構安全、訪問控制、安全審計、邊界完整性、入侵防范、惡意代碼入侵和設備防護多方面技術要求，建設完善的網絡安全體系，確保醫院實現自身核心業務安全穩定運行。

[參考文獻]

[1] 程斌.醫療衛生行業信息安全等級保護設計方案[J].信息網絡安全,2012,(10):150.

[2] 趙士潔.衛生部印發《衛生行業信息安全等級保護工作的指導意見》[J].中國數字醫學,2012,7(1):98.

[3] 郎漫芝,王暉,鄧小虹.醫院信息系統信息安全等級保護的實施探討[J].計算機應用與軟件,2013,30(1):206-208.

[4] 李廣.等級保護三級系統建設實踐[J].計算機安全,2010,(8):82-84.

[5] 張慶.小型企業網絡安全隱患掃描系統的設計與實現[J].消費電子,2013,(6):87.

[6] 韓亮,蔡力,廖菁,等.衛生適宜技術推廣管理信息系統的需求分析[J].中國醫學教育技術,2011,25(5):558-561.

[7] 張云,王胤濤.醫院信息系統安全等級保護實踐——終端安全建設[J].中國醫學教育技術,2013,27(1):95-97.

[8] 吳業剛.基于web的彩票安全交易系統設計與實現[D].上海:復旦大學,2008.

[9] 鄭麗生,陳金聰.基于入侵防護系統的網絡安全研究[J].軟件導刊,2011,10(7):145-147.

[10] 李晶媛.網絡數據庫系統審計跟蹤研究[D].太原:中北大學,2010.

[11] 孟召瑞.利用網絡回溯分析技術進行郵件系統攻擊分析[J].網絡安全技術與應用,2013,(12):6.

[12] 楊向東.等級保護——信息安全的重要保障[J].華南金融電腦,2004,(1):22-24.

[13] 曾穎.醫院信息系統等級保護安全體系設計[J].微型電腦應用,2014,30(3):43-47.

[14] 開拓.基于網絡安全視角的醫院網絡管理研究[J].網絡空間安全,2016,7(8):21-23.

[15] 楊旋,周小甲.醫院信息系統安全等級保護定級與整改結果探討[J].中國醫療設備,2017,32(6):166-169.

[16] 王波.基于等級保護的醫院信息網絡平臺安全體系設計與實現[J].醫學信息學雜志,2014,35(7):30-32.

[17] 顏海威.醫院信息系統三級等保建設思路[J].電腦知識與技術,2016,12(30):40-41.