構建醫院信息安全體系的思路和實施建議

林榮寶

（福建省老年醫院，福建 福州 350003）

1.醫院信息安全現狀分析

近些年，我國互聯網經濟發展和國家對信息安全的高度重視，以及信息系統等級保護測評的實施，這些都促進了醫院信息安全建設進程，提高了整個安全體系的水平。醫院對信息化的投入也在不斷加強，無論是軟件、硬件、安全設備等都在不斷增加和迭代，新產品、新技術、新方案也都應運而生，但是安全產品的增加并不一定會產生質的飛躍，相反，如果沒有合理的安全架構和健全的安全策略，不但無法提高安全等級，反而會帶來更多的安全隱患和故障點[1]。筆者從事醫院信息安全工作多年，在醫院信息化多年的建設過程中，整理總結了一些經驗，對醫院安全的現狀和可能存在的問題進行分析。

1.1 醫院網絡拓撲結構復雜

由于醫院的不斷發展，業務應用需求的不斷增加，服務內容不斷擴展，醫院網絡由封閉式的隔離網逐步開放，連接醫保網、政務外網、政務內網、財政專網、互聯網，這就導致眾多網絡交融在一起，形成一個多出入口、多區域、交互復雜的網絡環境，這其中包括有線網絡、無線網絡、物聯網絡、5G 網絡等，不同的網絡之間的通信也極為頻繁[2]，接入設備也多種多樣，包括PC 機、打印機、自助機、智能設備、移動PDA、智慧屏、物聯設備等。另外，醫院信息系統數量眾多，大型三甲醫院的系統數量甚至百余個，加上業務系統的復雜性，數據跨多區域傳輸，而其中系統間數據交互和共享也是錯綜復雜，操作系統、數據庫、中間件、開發語言也各不相同，數據庫之間的數據交互類型也多種多樣，這些都使醫院整體的信息安全龐大而復雜。

1.2 缺乏安全管理機制和統一的處置流程，整體安全意識不足

信息部門工作雜多，軟件實施和維護、網絡維護、日常維護、系統集成、數據統計上報等等，這就致使信息部門要分不同的功能組，各司其職。而安全問題幾乎涉及每一個類別，包括終端安全、管理安全、網絡安全、服務器安全、數據庫安全、數據安全、設備安全、物理安全、策略安全、主動防御等等，安全管理員無法獨立完成所有安全工作，甚至沒有設置專職安全管理員，經常出現隨意安裝設備，任意開放端口，降低管理權限，提升使用權限等等問題。另外，有時為了保證業務系統正常運行，或者軟件系統本身的架構和特性，安全問題往往也作出臨時的或者永久的讓步，這就產生了安全隱患，而這種隱患隨著業務的上線，是很難修正的。還有一些信息部門工作人員，安全意識不足，安全知識匱乏，隨意修改安全策略，隨意卸載安全軟件等等。

1.3 安全架構設計存在缺陷和漏洞

醫院信息網絡可能存在安全域劃分不夠合理、對數據流向分析不夠精細、對功能區邊界定義不夠清晰等諸多問題。安全設備比如防火墻、WAF 墻、IPS 等，策略設置得不夠精細，源地址、目標地址、端口設置顆粒度不夠，特征庫也沒有及時更新，服務器之間或者安全域內部的東西流量沒有控制策略，核心設備管理地址沒有做好隱藏，賬號密碼復雜度不夠[3]，缺少針對數據庫的防火墻等等，還有一些安全設備策略不合理，甚至成為網絡攻擊的跳板。

2.信息安全體系設計及實施建議

2.1 建立安全管理制度，提高人員安全意識

信息安全是信息部門全員參與的工作，要建立切實可行的安全管理制度，包括終端的安全、網絡的安全、服務器及數據庫的安全、軟件的安全等等，都要落實到位并建立相關的責任追溯制度。

通過培訓和學習，提高工作人員的安全意識，結合自身的相關工作，由安全管理員牽頭，共同建立一套可落地、可執行的安全管理的機制和應對安全事件的方案，并加強工作協調力度。

有完整、全面的安全工作細則，包括系統的安裝、軟件的部署、網絡的接入、權限的分配、策略的變更等，都有相關的指導文件為支撐，做到全方位覆蓋無死角。

2.2 重構網絡結構，分區分域

重構網絡結構的目的是重新梳理現有網絡，找到設計缺陷和安全漏洞，然后從功能角度重新設計整個網絡拓撲結構。醫院網絡區域一般分為業務內網、醫保政務等外聯網、內網安全前置區、互聯網安全前置區、互聯網區等，各個區域要根據實際情況進行物理隔離或者邏輯隔離[4]，區域之間有相應的網閘、下一代墻、光閘等安全設備，還要保證設備的可用性和策略的合理性。

業務內網區又可以分為有線接入區、無線接入區、服務器區、運維管理區等，每個區域都要有相應的安全設備進行隔離，根據實際應用嚴格管控數據流向。針對接入區，要劃分VLAN進行隔離，針對服務器區，每一臺服務器的防火墻策略要細化到端口級，關閉一切和業務無關的端口和服務。

利用SDN 引流技術或者Vmware 的NSX 技術，解決傳統防火墻無法管控東西流量的問題，使防火墻策略下沉，加強服務器之間的訪問策略的安全性。

外聯區包括醫保網、政務外網、政務內網、財政專網等，該區域與業務內網區要有防火墻、IPS、防毒墻等安全設備，并且要嚴控數據流向，細化源地址、目標地址、服務及端口，并及時更新設備的病毒庫、特征庫。

業務內網區和互聯網區要設置前置區，包括內網前置和外網前置，區域之間要邏輯隔離，通過網閘、光閘等設備連接，對于TCP 請求，要進行IP 和端口的轉換，對于訪問數據庫業務，要利用網閘的數據擺渡功能同步數據，嚴格禁止從互聯網直接連接至內網。

2.3 基于“零信任”原則，針對不同安全區實施策略，并定期檢查策略有效性

對入網的所有設備的合法性進行管控，對接入端設備例如：PC 主機、PDA、移動設備、物聯網設備、智能電視、LED 屏等進行準入驗證，嚴格匹配IP 地址、MAC 地址、交換機端口、硬盤序列號等信息，未經授權的設備嚴禁接入網絡，并做好預警提示和日志審計。對服務器要關閉所有非應用端口和服務，通過堡壘機進行數據庫日常運維，權限要保證“最小化”原則，超級管理員賬號要嚴格管控，建立三權分立的工作流程。

嚴格把控設備運行過程中的合規性，保證防病毒軟件、桌面管理軟件的穩定運行，及時更新系統補丁，并嚴禁隨意卸載。禁止一切非授權外設接入，例如接入U 盤、光驅、硬盤等。嚴禁內網電腦連接互聯網，也禁止私有電腦接入內網，并做好日志記錄。對LED、智慧屏、電視等亞終端，對接口和協議進行改造和關閉，防止物理性入侵。

合理規劃網絡拓撲結構，防止出現安全死角，保證策略覆蓋的全面性。信息安全具有木桶效應特性，任何一個短板，都有可能導致所有安全措施防御失敗，所以，要多維度、多角度、全方位地執行安全策略[5]。同時，精確掌握數據流向特征，關閉非必要數據通道，要隔離VLAN、安全域之間的非授權訪問，將每一臺服務器或者設備都建成安全的孤島（即禁止一切非必要數據流量通行）。

對策略的變更進行嚴格管控，建立可追溯機制，對于任何策略的變更都要驗證其合理性，如果是測試行為，要設置有效期或者注明標簽，防止其長期生效。對于遠程運維行為，要做到單次授權或者短期授權，并且要通過VPN和堡壘機進行連接，記錄操作日志，并有雙因素認證體系保證其合法性。

系統在不斷的運行調整過程中，難免出現紕漏，所以要定期驗證策略的有效性，比如安全軟件是否被卸載、網絡準入策略是否生效、防火墻策略是否有效、服務器非必要端口是否開啟等等。可以通過漏洞掃描工具對全網特別是互聯網出口進行定期掃描，并及時解決，形成網絡安全事件的PDCA 循環[6]，還可以通過態勢感知、日志審計、數據庫審計等設備，在應用層對非法數據進行分析、審計和留痕。

2.4 以查促建，保持警惕

信息安全工作是永無止境的，沒有任何系統是絕對安全的，所以作為安全管理人員，要時刻保持警惕，不斷學習以提高技術水平。同時，可以通過邀請院外安全專家進行同行評審、接受網安部門的檢查、等保測評、安全演練等活動，查找安全漏洞，也可以通過購買第三方安全服務的方式，授權模擬滲透和攻擊。這種方式可以為我們提供更為廣闊的思路，有利于提升整體安全水平。

3.結語

醫院信息安全工作任重而道遠，是信息化建設的保障。規劃一個適合醫院自身環境的安全解決方案和網絡架構是構建一個安全的網絡環境的基礎，不但要以醫院信息化長期發展規劃為依據，動態調整安全架構，也要從細微處入手，多維度、多方位地完善安全策略，更要通過制定完善的安全管理制度提高全員的安全意識。同時，安全管理人員要通過不斷學習和積累，將新技術和新方案融入具體的工作中。