對網絡安全等級保護設計方案的探討

摘 要：我院作為三級市級婦幼保健院，在信息系統的發展上緊跟時代的步伐，醫療主要的系統包括HIS、LIS、PACS、EMR、信息集成平臺以及自助機、微信預約掛號等，在勒索病毒頻發的今天，網絡的安全問題已經成為各行各業數據安全的首要解決的問題，國家也要求重要機構要按等級保護標準進行安全設備升級，結合我院實際情況，接下來對等級保護的設計方案進行探討。

關鍵詞：勒索病毒;網絡安全;等級保護

1 改造前的概況

1）辦公外網。針對辦公需要使用郵件、辦公自動化系統OA以及醫院官網運維等，辦公外網主要通過聯通接入一條光纖，通過光貓后，通過網線接入我們的外網專用天融信防火墻。防火墻進行簡單的限制和過濾后，接入外網核心交換機，通過核心交換機再分發到樓層交換機，每層的外網終端PC機和無線路由都接到該層交換機上，手機端通過無線路由上網辦公。這是一個簡單的外網結構，安全性較低，對外網的管理能力也不高。因為涉及上與內網無交集，所以不影響業務內網的安全。

2）業務內網。醫院主要業務系統包括HIS、LIS、PACS、EMR、信息集成平臺等，都部署在內網中，這些系統每天都會產生大量業務信息，也會進行各種類型的數據交換，醫院的業務流程也是通過這些系統來完成，醫生的醫囑、處方和電子病歷，護士的各種護理記錄，以及檢驗儀檢的各種報告、圖文，都保存在業務系統中，在無紙化改造過程中，電子數據更是無可替代的角色來存在。我院設有醫保網專線，專線通過專線路由器接入服務器交換機，服務器交換機一邊接所有重要的業務系統服務器和各種存儲用的磁盤陳列，另一邊接天融信內網防火墻，防火墻接兩臺雙機熱備狀態的內網核心交換機，而核心交換機通過光纖接到數十個層樓交換機，包括門診部和住院部，每個交換機都劃分網段，層樓交換機再接入內網業務終端PC機和相應的設備。

這樣的內網結構，安全隱患還是比較大的。首先醫保網直接接內網服務器交換機，這個過程中沒防火墻的攔截與保護，容易造成病毒從醫保網端進入服務器。其次，內網終端到服務器，中間只有一個內網天融信防火墻，安全等級比較低，防火墻沒有雙機熱備，也沒有日志和數據庫審計系統，各種木馬、蠕蟲、僵尸和勒索等病毒很可能通過終端的U盤等設備進入內網，通過潛伏和攻擊，突破防火墻，進入業務服務器，從而破壞醫院的正常業務系統運作，針對這樣的風險，在做網絡安全等級保護設計，必須從總體出發，結合現有的設備等實際情況，進行合理規劃，有備無患。

2 改造思路

1）依據等級保護標準和指南等文件要求，結合實際需求情況，我們對保護對象進行區域劃分和定級，對不同的保護對象從通信網絡防護、區域邊界防護、計算環境防護等多方面進行不同級別的安全防護設計。通過“一個中心、三重防護”的設計理念，形成網絡安全綜合技術防護體系。按照網絡分類，總體大分為醫院外網區域和醫院內網區域;而內外網之間通過網閘連接。

2）醫院外網區域。外網區域主要是與互聯網連接的區，細分功能模塊為互聯網出口區，DMZ非軍事化區，核心交換區以及終端接入區。（1）互聯網出口區，是指接互聯網的區域，包含互聯網服務商的專線，互聯網出口用的下一代防火墻設備，以及上網行為管理系統。其中，下一代防火墻有L2-L7層安全防御，包含入侵防御、僵尸網絡識別、WEB應用防護等，并且以網絡模式部署，具備BYPASS功能。同時還可以實時漏洞分析、威脅情報預警和處置等。對入侵攻擊等事件做到事前事中事后的全程保護。上網行為管理系統則惡意通過帶寬調整資源配置，細粒度管理，監控各種上網行為，避免出現網絡違法、機密泄露和上班時間玩游戲、下載電影、在線看直播等與工作無關的行為，滿足審計要求。（2）DMZ非軍事化區也稱隔離區，連接互聯網出口防火墻，放置需要連互聯網但是對安全要求較高的服務器，例如微信前置機服務器等。（3）外網核心交換區，包含一臺外網核心交換機，以及VPN虛擬專用網絡設備和潛伏威脅探針，還有一臺安全感知平臺。VPN的作用是在公用網絡上建立專用網絡，進行加密通訊，通過對數據包的加密和數據包目標地址的轉換實現遠程訪問，從而實現安全快速簡易的遠程接入，在技術上對工程師遠程維護系統的操控提供了安全保障。潛伏威脅探針是和安全感知平臺搭配使用的設備，兩臺潛伏威脅探針都是通過旁路部署在內外核心交換機上，通過對全流量信息進行采集，然后把采集的信息發送給安全感知平臺進行處理。安全感知平臺可部署在內網核心交換機上，也可以部署在外網核心交換機，處于對后期方便遠程查看此設備的分析情況，我們傾向部署在外網核心交換機上，由于內外網通過網閘進行隔離和聯通，所以部署在外網核心交換機上也能監測到內網核心交換機的探針，獲取內網各個服務器的流量情況。安全感知平臺功能強大，可進行：內部橫向攻擊行為檢測、內網業務訪問關系可視化、違規訪問行為檢測、設備聯通管理和第三方設備日志管理。（4）終端接入區，由連接外網核心交換機的各樓層交換機和外網辦公的PC以及各種無線路由組成。

3）內外網隔離交換區。這是存在于醫院外網和內網之間的區域，這個區域部署了網閘。網閘，簡稱GAP，是使用帶有多種控制功能的固態開關讀寫介質，連接兩個獨立主機系統的信息安全設備，網閘從邏輯上隔離、阻斷了對內網具有潛在攻擊可能的一切網絡連接，使外部攻擊者無法直接入侵、攻擊或破壞內網，保障了內部主機的

安全。

4）醫院內網區域。內網區域根據安全域劃分主要由外網接入區、內網核心交換區、內網終端接入區、安全管理區和數據中心區組成。（1）外網接入區，就是外網專線接入的區域，醫保網、衛健委等專線通過這里進入，首先要通過一個專線專用下一代防火墻，這個防火墻相比辦公外網的防火墻功能差不多，但配置上可以低一些，因為流量和數據都不高，降低投入成本。（2）內網核心交換區，主要是兩臺組成雙機熱備的內網核心交換機，也旁路部署一臺潛伏威脅探針設備在交換機上，監測內網業務服務器全流量情況。（3）內網終端接入區，由通過連接內網核心交換機的各層層樓交換機和內網辦公終端PC機組成。（4）安全管理區，這個區由旁路部署在內網核心交換機上的準入控制系統和旁路部署在服務器交換機上的等保一體機組成。準入控制系統作用是下發策略給終端用戶，終端接受到策略后，通過終端設備windows防火墻的WFP功能，達到終端設備只能與指定網段設備進行通信的效果。等保一體機是為等保評審設置的重要設備，它包含安全運維管理、日志審計和數據庫審計于一體，一臺設備就能滿足三個方面的要求。（5）數據中心區。通過光纖與內網核心交換機的兩臺數據中心防火墻作為把關，再加入一條服務器交換機上，交換機再接到各種業務系統服務器。這次的防火墻和交換機對性能要求比較高。

3 結語

整體方案符合從醫院實際情況出發來改造，也基本滿足了網絡安全等級保護的要求，只是數據中心區的服務器交換機如果有兩臺組成雙機熱備，安全效果會更佳。

參考文獻

[1]宋睿，公丕強.信息系統安全等級保護方案設計方法研究[J].郵電設計技術，2015（4）：79-83.

[2]簡偉光，湯培新，陳能，等.數據中心等級保護安全設計方案[J].信息化建設，2016（3）.

作者簡介

盧方建（1986-），男，漢族，廣東陽江人，大學本科，副高，從事的工作：醫院信息系統安全管理。