對網絡安全等級保護中高風險問題整改的探討

盧方建 陽江市婦幼保健院

一、項目背景

陽江市婦幼保健院作為三級市婦幼保健院，在信息系統的發展上緊跟時代的步伐，醫療主要的系統包括HIS、LIS、PACS、EMR、信息集成平臺以及自助機、微信預約掛號等，為了更好地保證醫療業務的安全持續運作，陽江市婦幼保健院申請對核心系統和微信預約掛號系統進行網絡安全等級保護三級評審。通過對高風險問題進行整改，能有效提升信息系統的安全水平，接下來結合陽江市婦幼保健院實際情況，對高風險問題整改方案進行探討。

二、具體的高風險問題和建議整改方法

（一）針對專線區域邊界方面

網絡層未采取違規外聯行為監控和阻斷措施，且管理控制不滿足安全要求，整改方法：

1.網絡、服務器設備人為封閉不必要的設備插口（如：pci 插卡、usb 接口）；

2.能夠發現內部網絡用戶私自使用電話撥號、adsl 撥號、手機、pda、無線網卡等連接方式將內網設備連接到外部網絡；

3.監控設備連接異常情況，一旦連接變更，產生報警記錄；

4.物理的訪問控制，包括設備連接方面變更的嚴格審批制度；

5.要定期檢查網絡連接日志；

6.采用域控方式，禁止改變IP；

7.定期對網絡層流量開展行為審計；

8.拒絕除允許的所有通信的情況，需要更改配置的設備包括網閘、防火墻、WAF、路由器和交換機。

（二）針對服務器的口令和身份方面

服務器操作系統用戶的身份鑒別和登錄口令不滿足安全要求：

1.對登錄操作系統的用戶進行身份鑒別。

2.配置勾選“要使用本機，用戶必須輸入用戶名和密碼”。

3.操作系統身份標識具有唯一性，不同用戶采用不同賬號登錄系統。

4.操作系統口令策略配置具備復雜度并定期更換，要求如下：

①密碼必須符合復雜性要求-＞啟用

②密碼長度最小值-＞8

③密碼最長使用期限-＞180 天

④密碼最短使用期限-＞1 天

⑤強制密碼歷史-＞5 次。

5.用戶屬性策略不勾選“密碼永不過期”。

6.HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetworkHideSharePwds 的DWORD 值為1。

7.加密存儲口令，系統口令不得以明文方式貼在易見的地方。

（三）針對服務器數據庫系統的身份鑒別方面

服務器操作數據庫系統的用戶的身份鑒別和登錄口令不滿足安全要求：

1.建議對登錄數據庫系統的用戶進行身份鑒別。

2.建議數據庫啟用密碼復雜度檢測，如配置alter profile default limit password_verify_function verify_function。

3.建議數據庫配置合適的口令可被重用的最大次數PASSWORD_REUSE_MAX 值可參考設為5。

4.建議數據庫配置合適的密碼有效周期PASSWORD_LIFE_TIME值（具體有效期視業務需求定，一般情況可參考設為90-180 天）。

5.加密存儲口令，系統口令不得以明文方式貼在易見的地方。

入之愈深，其進愈難。新時代的改革開放，少不了溝溝坎坎，少不了風風雨雨。迎難而進，需要更多共識的凝聚，需要更加堅定的改革自覺。

數據庫系統的遠程管理模式方面也不滿足安全要求。

6.建議數據庫系統采用安全的方式登錄到數據庫進行管理，配置sqlnet.encryption的值為true。

7.采用sqlplus 連接數據庫，確保客戶端與服務器端之間的通信加密。

8.宿主操作系統，啟用了安全的（RDP2.5 以上或SSH）遠程桌面進行管理，確保只能通過本地對數據庫進行管理。

9.部署其他第三方設備（如堡壘機、VPN）且采用不易被竊聽的管理方式統一管理。

10.數據庫系統禁用遠程登錄管理。

（四）針對網絡安全訪問方面

服務器的通過網絡要做到安全訪問很重要：

2.部署其他第三方設備（如堡壘機、VPN）且采用不易被竊聽的管理方式統一管理。

3.操作系統禁用遠程登錄管理。

更深一層地說，就是整個遠程管理過程中，只能使用加密傳輸通道進行鑒別信息傳輸。通過其他技術管控手段（如準入控制、桌面管理、行為管理等），降低數據竊聽隱患，可降低風險等級。在有管控措施的情況下，開啟非加密管理方式，但默認采用加密進行管理，其風險等級可降低。采用多因素身份認證、訪問地址限定、僅允許內部可控網絡進行訪問的措施時，竊聽到口令而無法直接進行遠程登錄。

（五）針對內外核心交換機方面存在配置不合理，部署不到位等問題，整改方法如下

1.設備進行遠程管理（禁用TELNET、FTP、HTTP），采用SSHHTTPS 遠程管理

①undo telnet server enable

② undo ftp server

③undo web-manager enable

④ web-manager security enable

⑤ stelnet server enable

⑥ sftp server enable。

2.部署其他第三方設備（如堡壘機、VPN）且采用不易被竊聽的管理方式統一管理。

3.設備禁用所有遠程登錄管理，語句：1undo protocol inbound。

三、結語

高風險問題的整改必要性高，效果明顯，通過上述方法針對性進行整改，就能明顯提升信息系統的安全水平，這對于醫院業務工作可持續進行發揮了重要的作用。