基于等級保護2.0標準體系醫院信息化安全建設

摘 要：本文基于等級保護2.0標準體系，從技術角度論述醫院信息化安全建設。依據醫院信息化特點，結合等級保護2.0點的新要求，從內外網防護、主機準入控制和數據備份等幾個方面系統的闡述了等級保護建設的新特點。

關鍵詞：等級保護2.0;內外網防護;數據備份;準入控制

一、概述

為貫徹落實國家信息安全等級保護制度，規范和指導全國衛生行業信息安全等級保護工作，衛生部辦公廳于2011年12月下發衛生部《衛生行業信息安全等級保護工作的指導意見》，從物理安全、主機安全、應用安全、數據安全與備份恢復四個層面提供融合化的等級保護解決方案，本文主要論述了目前系統的現狀，依照《信息安全技術信息系統安全等級保護基本要求》2.0版本和系統現狀進行了比對，分析出系統的不足，為達到系統安全等級二級的要求提出整改方案，通過此方案的實施提高信息系統的安全防護水平。

二、等保2.0新變化

（一）基本要求說明

根據信息系統安全等級保護基本要求說明，信息系統安全被分為兩大部分，分別是技術要求部分和管理要求部分，只有滿足相應等級的技術（管理）要求，才能達到一定的基本安全要求，從而實現相應的安全保護能力。

（二）安全指標說明

以信息系統實施等級保護二級為例，根據技術5大類（物理安全、網絡安全、主機安全、應用安全和數據安全）和管理5大類（安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理），共計有66個子類，175個檢項，如下圖所示：

三、方案設計

（一）網絡安全架構設計

（二）拓撲說明

此次網絡方案設計嚴格安全信息安全等級化保護二建設級標準設計，并滿足二級等級保護建設要求。網絡共分為兩套，外網一套內網一套，兩張網絡中間采用數據隔離網閘進行數據“擺渡”，既做到了兩網的安全隔離，又確保了內網與外網數據交互的問題。內網出口部署專用防火墻、入侵防御保障主干鏈路安全。外網部署上網行為保證上網安全。運維管理區部署日至審計、入侵檢測IDS、數據庫審計、終端殺毒、堡壘機、備份一體機、準入系統，保障內部醫療數據安全，并記錄分析、追溯。

（1）內網防火墻。采用防火墻技術，對網絡邊界進行邊界保護，可以對所有流經防火墻的數據包按照嚴格的安全規則進行過濾，將所有不安全的或不符合安全規則的數據包屏蔽，防范各類攻擊行為，杜絕越權訪問，防止非法攻擊。通過合理布局，形成多級的縱深防御體系。（2）外網上網行為管理。基于互聯網的應用從最初的文件共享、文件傳輸（FTP）、靜態網頁瀏覽（HTML）等內容單一、靜態的、簡單應用，逐步發展為包括E-Mail、ERP、OA、CRM、新聞信息、文件共享、視頻會議、VoIP、即時通訊、網絡游戲、電子商務、電子政務等等在內的動態的、復雜應用。網絡承載的內容日益豐富，變得更加復雜、多樣化。當今，互聯網進入了應用級網絡時代，逐步成為一個虛擬的真實社會。P2P傳輸、網絡電視、網絡游戲、在線聊天、Web視頻、股票軟件、網上銀行、數據庫、物流供應鏈、各種論壇以及大量未知的內容和信息紛紛涌進網絡。（3）內網入侵防御系統。串聯部署IPS入侵防御系統，通過IPS入侵特征庫對流經服務器的所有請求流量進行過濾查殺。在此基礎上增加安全審計產品可以更好的對入侵和安全事件進行關聯和管理，并采取短信、郵件等形式的提供告警，實現及時、準確的入侵告警提醒。（4）數據庫審計系統。數據庫審計系統通過細粒度的數據庫行為審計和SQL注入、XSS攻擊防護，幫助用戶有效監控數據庫相關訪問行為，防止敏感信息外泄。實時記錄、分析數據庫訪問行為，及時發現安全事件并實時記錄、告警、定位，方便管理員在安全事件發生后第一時間采取管控措施，加快對安全事件的響應速度，做到有效及時的防范安全風險。（5）入侵檢測系統。入侵檢測技術（IDS）其設計宗旨是預先對入侵活動和攻擊性網絡流量進行發現，通過監視網絡或系統資源，避免其造成損失尋找違反安全策略的行為或攻擊跡象，并發出報警，可與防火墻互補聯動，實現對攻擊的檢測與防御，構筑有效的安全防護鏈。

（三）主機安全準入控制系統

入網規范管理系統是基于第三代準入控制技術基礎的，面向下一代準入控制（NG NAC）的，純硬件高性能網絡準入控制設備。網規范管理系統主要從終端、網絡、人員、管理4個維度，對網絡使用、安全、管理中的各種元素進行全面的管控。第一，對網絡中的終端進行終端授權管理;第二，基于網絡層面對接入網絡的各種設備進行設備定位透視、網絡拓撲結構透視;第三，提供各種靈活的人員認證機制;第四，通過報表輸出外部接口提供方便的管理手段。數據安全體系建立：備份存儲一體機具有最廣泛的備份功能，支持多種數據類型的備份，如數據庫備份、文件備份、應用備份、操作系統備份等，涵蓋從Windows、Linux到Unix操作系統平臺，備份的數據可以通過多種方式進行存儲，它利用成熟結構來完成對數據的存儲備份。

四、結論

等級保護2.0標準的發布，為信息安全建設提出了更高的要求，防御理念由被動轉變為主動，防御手段融合了更多的新興技術，如態勢感知，可信計算，此外從安全管理上也提出了更多的要求。本方案以等級保護2.0標準為基礎，構建了完備的安全管理體系和技術體系，從“機構”、“制度”和“人員”三方面全面提升，完全滿足網絡安全法和等級保護2.0體系標準要求。

參考文獻：

[1]肖勇.中醫藥項目預算監控平臺信息安全等級保護實踐[J].醫學信息雜志，2014.09.

[2]劉署生.淺談信息安全風險評估與風險分析方法的應用[J].網絡空間安全，2017，z2.

作者簡介：周安石（1979-），男，漢族，碩士研究生，高級工程師，研究方向：計算機網絡通信教學研究、網絡與信息安全。