等保2.0環(huán)境下醫(yī)院網(wǎng)絡安全整體加固方案

羅志恒 鐘麗娜 莫建坤

（廣東省第二人民醫(yī)院 廣東省廣州市 510317）

作為一個現(xiàn)代化的醫(yī)療機構網(wǎng)絡，如何保證醫(yī)院網(wǎng)絡系統(tǒng)中的數(shù)據(jù)安全問題尤為重要。

《中華人民共和國網(wǎng)絡安全法》中明確提到： “國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞，喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，實行重點保護”[1]。因此，必須對醫(yī)院信息系統(tǒng)的網(wǎng)絡安全進行加固改造，將目前被動式防御安全體系升級為主動防御式安全體系，保障醫(yī)院信息系統(tǒng)的運行安全。

1 建設目標

建設目標是結合醫(yī)院信息系統(tǒng)安全現(xiàn)狀，確定醫(yī)院信息網(wǎng)絡檔案管理系統(tǒng)安全建設需求，并且解決“等級保護合規(guī)性要求”、“內外網(wǎng)安全隔離缺失”、“網(wǎng)絡準入認證失效”的網(wǎng)絡現(xiàn)狀，全面提升醫(yī)院新建數(shù)據(jù)中心的整體網(wǎng)絡安全水平。

通過本次安全建設整改與策略加固工作，達到以下4個方面的目標：

1.1 合法合規(guī)

醫(yī)院信息網(wǎng)絡系統(tǒng)屬國計民生的重要信息系統(tǒng)，其安全建設必須要符合國家相關政策要求，其安全保障體系建設最終要達到的保護效果應符合《網(wǎng)絡安全法》、《網(wǎng)絡安全等級保護基本要求》等政策要求。實現(xiàn)統(tǒng)籌規(guī)劃安全建設，合理規(guī)劃安全域、建立有效的安全技術保障體系、完善安全管理體系的建設。同時對標等保2.0要求構建一個中心、三重防護保障的主動防御安全體系[2]（一個中心是指安全管理中心，三重防護由安全計算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡組成），從物理和環(huán)境、網(wǎng)絡和通信、設備和計算及應用和數(shù)據(jù)方面對信息安全進行統(tǒng)籌規(guī)劃設計。如圖1的示。

圖1：防御安全體系

1.2 內外隔離

在技術體系方面，針對性解決當前網(wǎng)絡安全區(qū)域劃分不明確的情況，建立應用訪問、用戶接入、數(shù)據(jù)傳輸?shù)陌踩褂脵C制，最終實現(xiàn)區(qū)域安全隔離。

1.3 可管可視

建立統(tǒng)一的信息安全運營管理體系，確切落實各項管理制度，讓安全管理體系有清晰的責任權限、合理的制度要求。同時運用包括網(wǎng)絡安全可視化、運維統(tǒng)一管理的創(chuàng)新技術手段，實現(xiàn)簡化安全運維管理，減輕安全運維管理負擔，提升安全運維管理的效率，最終做到整體防御、分區(qū)隔離；積極防護、內外兼防；自身防御、主動免疫；縱深防御、技管并重。

1.4 經(jīng)濟合理

落地實施方面需要滿足經(jīng)濟性原則，即所選產(chǎn)品在滿足醫(yī)院功能性能要求的前提下，考慮2-3年冗余，按照頂層設計，統(tǒng)籌規(guī)劃，分步實施的原則逐步落地，充分節(jié)約費用和資金。

2 當前主要網(wǎng)絡問題及分析

醫(yī)院現(xiàn)網(wǎng)與互聯(lián)網(wǎng)相連，網(wǎng)絡拓撲圖如圖2所示。

圖2：網(wǎng)絡拓撲圖

2.1 網(wǎng)絡準入控制問題

內外網(wǎng)存在多樣性的終端設備（電腦終端、訪客終端、移動終端、亞終端等），這些終端設備接入到內網(wǎng)或無線網(wǎng)絡，本身可能存在安全隱患，會給內網(wǎng)安全帶來極大的隱患，如攜帶病毒的終端接入業(yè)務網(wǎng)絡導致病毒蔓延等威脅。

因此，需要網(wǎng)絡準入控制來實現(xiàn)可信終端接入內部網(wǎng)絡，能對終端進行有效管理，能阻斷不可信、不合規(guī)的終端接入網(wǎng)絡；同時，能夠通過綁定IP和MAC地址來管控用戶訪問業(yè)務系統(tǒng)的權限，并記錄用戶訪問業(yè)務的行為，以便事后追溯。

2.2 內網(wǎng)服務器區(qū)安全問題

當前服務器區(qū)安全主要存在以下安全隱患：

（1）內網(wǎng)DMZ區(qū)安全：內網(wǎng)部分業(yè)務需要通過醫(yī)保網(wǎng)等專網(wǎng)對接上報數(shù)據(jù)，該業(yè)務存在受專網(wǎng)橫向傳播威脅影響的風險，需要進行單獨隔離建設。

（2）云（虛擬化）安全：目前的服務器虛擬化上，整體安全還是需要加強的，因為虛擬化服務器的安全，包括平臺的安全和虛擬機的安全，虛擬化的安全，如虛擬機與虛擬機之前的流量、虛擬機與虛擬機之間的攻擊都不可視，需要加強東西的流量可視與主機安全防護。

2.3 外網(wǎng)接入及運維審計問題

醫(yī)院運維需求面臨的問題如下：

（1）系統(tǒng)帳號密碼難管理，目前操作人員都是自行管理自己負責的系統(tǒng)，為了便于記憶，甚至多套系統(tǒng)共用一個密碼，存在安全隱患；

（2）系統(tǒng)帳號安全風險缺乏管控手段，由于帳號數(shù)量較多，難以通過人工方式對帳號風險進行核查；

（3）訪問權限粗管控，目前采用跳板機的管理方式,操作人員在辦公終端中中可隨時登錄設備，并可在多臺設備間任意跳轉，不符合安全管理規(guī)范；

（4）命令操作權限無限制，對高危操作無任何限制，存在誤操作，惡意操作的風險；

（5）操作日志審計難，操作過程中沒有有效的審計和回溯，如果發(fā)生安全事件，無法進行審計和問責；

因此，建設一套行之有效的訪問方式與管理手段非常必要。

3 整體方案設計

醫(yī)院新建數(shù)據(jù)中心整體安全設計方案的總體目標是在醫(yī)院信息系統(tǒng)現(xiàn)狀的基礎上，對其進行整體安全設計規(guī)劃和等保合規(guī)性整改，建立一個完整的安全保障體系，有效保障醫(yī)院系統(tǒng)業(yè)務的正常開展，保護敏感數(shù)據(jù)信息的安全，保證整體的網(wǎng)絡安全水平，并能夠實現(xiàn)防御、檢測、響應的一體化安全建設目標。

本方案首先對各個功能區(qū)進行劃分，本著安全、穩(wěn)定、節(jié)約的原則，在滿足等保合規(guī)性增設最適合的安全設備，以保障用最少的成本讓用戶和工作人員得到最流暢的、最安全的網(wǎng)絡體驗，讓管理員獲得最有效的、最簡易的管理方式。針對醫(yī)院實際情況，采用如下部署：

3.1 互聯(lián)網(wǎng)出口區(qū)

雙機部署下一代防火墻、上網(wǎng)行為管理于互聯(lián)網(wǎng)出口，雙機部署可保障網(wǎng)絡的高可用性，避免單點故障導致的業(yè)務不可用；

（1）上網(wǎng)行為管理可針對各個用戶提供全局統(tǒng)一的寬帶控制策略；

（2）下一代防火墻可針對用戶的上網(wǎng)終端提供安全威脅過濾、木馬惡意流量檢測、DMZ服務器保護、NAT、路由等安全防護功能；

（3）部署一臺SSL VPN設備，在移動辦公上，通過SSL VPN將內網(wǎng)服務器隱藏，通過VPN的方式進行安全訪問，對傳輸?shù)臄?shù)據(jù)進行加密，防止被人竊取。保證內部應用在互聯(lián)網(wǎng)傳輸?shù)陌踩乐箶?shù)據(jù)被監(jiān)聽甚至篡改。

3.2 對外服務器區(qū)

（1）在該區(qū)域采用外網(wǎng)專線接入，雙機部署下一代防火墻對外網(wǎng)業(yè)務進行防護，下一代防火墻能夠雙向分析網(wǎng)絡流量的網(wǎng)絡層、應用層和內容風險，提供比傳統(tǒng)防火墻、IPS和WAF等多種安全設備更強的安全防護能力，可以抵御來源更廣泛、攻擊更容易、危害更明顯的應用層攻擊，實現(xiàn)L2-L7層全面的數(shù)據(jù)中心安全加固[3]。

（2）提供網(wǎng)站安全監(jiān)測服務，通過云端的實時監(jiān)測的方式，對網(wǎng)站進行風險評估的服務。及時的發(fā)現(xiàn)網(wǎng)站安全問題，避免主管單位的通報，或者提前發(fā)現(xiàn)網(wǎng)站問題，并且在發(fā)現(xiàn)網(wǎng)站有漏洞、網(wǎng)頁篡改、黑鏈等安全事件的時候，通過微信推送的方式進行實時告警，提高網(wǎng)站的監(jiān)測效率。

（3）部署一臺流量分析探針，分析網(wǎng)絡流量日志的內容包括了每個IP每時每刻所發(fā)起的每個session的時間、分布、流量、流向、所屬應用和類別。例如針對醫(yī)院用血安全全程質量控制數(shù)字化、無紙化管理系統(tǒng)某功能需要更新時，須向醫(yī)院信息管理部門提前報備和申請；醫(yī)院的流量分析探針可實時觀察記錄并提示系統(tǒng)功能更新前后的變化及系統(tǒng)運行穩(wěn)定與否，對流量日志最直觀的一種數(shù)據(jù)加工就是按照應用切片的流量流向圖[4-5]。

3.3 內外網(wǎng)隔離區(qū)

（1）目前醫(yī)院內、外網(wǎng)辦公區(qū)終端采用原有同一套接入交換機和匯聚交換機，通過vlan技術隔離。部署一臺新的外網(wǎng)核心交換機作為外網(wǎng)終端網(wǎng)關設備。

（2）在內、外網(wǎng)辦公區(qū)部署防火墻，對接入核心交換機的終端做流量的過濾。來自于辦公PC和移動終端的病毒、木馬、蠕蟲的危害可能導致終端系統(tǒng)癱瘓、被控制、存儲的信息被竊取、被引導訪問釣魚網(wǎng)站，成為僵尸網(wǎng)絡，甚至于成為攻擊到主要業(yè)務系統(tǒng)服務器的跳板等，因此成為接入核心最為迫切的安全防護需求。

3.4 內網(wǎng)服務器區(qū)

（1）在該區(qū)域邊界以雙機模式部署下一代防火墻對內網(wǎng)業(yè)務進行防護，雙機部署提高網(wǎng)絡冗余能力，避免單點故障帶來的業(yè)務不可用；相比傳統(tǒng)堆疊式安全部署，解決了數(shù)據(jù)中心部署多臺安全設備帶來的單點故障、性能消耗、難以管理的問題[6]。

（2）對于內網(wǎng)虛擬機內部流量不可視、虛擬機的安全防護缺失的情況，通過在每臺主機上部署輕量級端點探針Agent，在運維管理區(qū)部署EDR管理平臺（可在現(xiàn)有虛擬機上部署）；提供全面基于虛擬機應用角色之間的訪問控制，做到可視化的安全訪問策略配置，簡單高效地對應用服務之間訪問進行隔離技術實現(xiàn)，避免某臺虛擬機被攻陷后，帶來的進一步橫向攻擊導致虛擬化平臺全部陷入癱瘓的境地，同時EDR支持虛擬機殺毒功能，進一步構建起虛擬機對病毒、木馬等威脅的隔離。

3.5 安全運維區(qū)

（1）終端檢測響應系統(tǒng)管理平臺，通過部署的服務器安全組件集中管理平臺實現(xiàn)對全部EDR終端的統(tǒng)一策略下發(fā)，特征庫更新，集中管理，同一日志上傳等，達到服務器區(qū)閉環(huán)響應處置的目的。

（2）態(tài)勢感知的管理平臺。通過平臺實現(xiàn)全網(wǎng)統(tǒng)一安全事件分析和聯(lián)動處置，解決檢測、防御、響應閉環(huán)問題。

（3）管理區(qū)部署運維安全管理系統(tǒng)（堡壘機），實現(xiàn)對運維人員遠程訪問操作服務器、網(wǎng)絡設備、數(shù)據(jù)庫過程的認證、授權、監(jiān)控與審計，實現(xiàn)對IT運維過程的全面監(jiān)管，做到有效的事前預防、事中控制及事后審計，滿足用戶的安全管理需求。

（4）管理區(qū)部署1套數(shù)據(jù)庫安全審計系統(tǒng)，可以保護對數(shù)據(jù)庫非法操作及時告警與審計、保障非法操作的準確溯源、保護數(shù)據(jù)庫中賬號安全、統(tǒng)計分析安全現(xiàn)狀，并能以可視化報表從多維度分析數(shù)據(jù)庫的安全現(xiàn)狀等四方面保障數(shù)據(jù)庫的安全。

（5）管理區(qū)部署日志審計設備，通過標準日志傳輸模式進行傳遞。加強網(wǎng)絡日志審計措施，滿足《網(wǎng)絡安全法》第二十一條“監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施，并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月”的法律要求，并滿足網(wǎng)監(jiān)部門監(jiān)察以及公安部82號令要求[7-8]。

4 結論

等保2.0網(wǎng)絡安全加固方案給醫(yī)院帶來全網(wǎng)安全可視、預警及響應，高效感知內部高級安全風險；在外部，通過大量的外部威脅情報，輔助高級安全事件的分析；在網(wǎng)絡內部，在各個子域的關鍵節(jié)點上，通過探針或安全設備，精準的采集有效檢測信息。將外部威脅情報和內部真實流量信息匯總到一起，通過行為分析、機器學習等算法對各類潛伏到網(wǎng)絡內部的高級威脅進行檢測，并通過可視化的方式，最終讓醫(yī)院感知到我們現(xiàn)在是否安全？哪里不安全？造成什么危害，并如何處置。結合邊界防護、安全檢測、內網(wǎng)檢測、管理中心、可視化平臺，基于行為和關聯(lián)分析技術，對全網(wǎng)的流量實現(xiàn)全網(wǎng)應用可視化，業(yè)務可視化，攻擊與可疑流量可視化，解決安全黑洞與安全洼地的問題。