福建省腫瘤醫(yī)院網(wǎng)絡中心　蔡　頤

?

三甲醫(yī)院信息安全建設(shè)策略研究

福建省腫瘤醫(yī)院網(wǎng)絡中心蔡頤

三級甲等醫(yī)院（簡稱“三甲醫(yī)院”）信息系統(tǒng)按照等級保護要求來建設(shè)，該文以HIS系統(tǒng)等級保護建設(shè)經(jīng)驗為藍本，總結(jié)了醫(yī)院三級等級保護建設(shè)經(jīng)驗，并全面研究了三甲醫(yī)院內(nèi)網(wǎng)和外網(wǎng)安全建設(shè)策略，為醫(yī)院信息安全建設(shè)提供全面、可實施的建設(shè)經(jīng)驗。

醫(yī)院信息安全 等級保護 安全策略

1　概述

福建省腫瘤醫(yī)院是福建省唯一的集醫(yī)療、科研、教學、預防、康復和培訓于一體的腫瘤醫(yī)院，1997年被國家衛(wèi)生部評為三級甲等腫瘤醫(yī)院。醫(yī)院在信息化方面始終走在前列，經(jīng)過將近一年的努力，醫(yī)院的HIS系統(tǒng)（醫(yī)院信息系統(tǒng)）于2014 年7月在福建省率先通過了等級保護測評機構(gòu)的三級測評。

等級保護是我國信息安全基本制度。2011年11月，原衛(wèi)生部印發(fā)了《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》（衛(wèi)辦發(fā)〔2011〕85號），明確提出衛(wèi)生行業(yè)信息安全等級保護工作的指導意見。2012年1月，福建省衛(wèi)生廳和福建省公安廳印發(fā)了《福建省醫(yī)院信息系統(tǒng)安全等級保護工作實施方案》，對定級范圍、等級保護、保護措施、工作要求、進度安排作了明確的指示。

我院非常重視信息安全建設(shè)，根據(jù)等級保護的要求，開展了醫(yī)院信息系統(tǒng)的等級保護建設(shè)工作，并按照信息安全工程要求和等級保護實施規(guī)范開展等級保護建設(shè)。本文通過基于HIS系統(tǒng)等級保護建設(shè)的目標和過程，延伸探討了醫(yī)院全網(wǎng)安全建設(shè)的策略，包括醫(yī)院內(nèi)網(wǎng)安全建設(shè)、醫(yī)院外網(wǎng)安全建設(shè)以及醫(yī)院安全管理措施建設(shè)等，為醫(yī)院信息安全建設(shè)提供經(jīng)驗參考。

2　醫(yī)院信息安全建設(shè)目標

按照自主定級的原則，通過對醫(yī)院信息系統(tǒng)的梳理，根據(jù)業(yè)務重要程度和業(yè)務安全需求，把HIS系統(tǒng)定為三級信息系統(tǒng)，LIS系統(tǒng)、PACS系統(tǒng)、電子病歷系統(tǒng)、外網(wǎng)網(wǎng)站定為二級信息系統(tǒng)。由于信息系統(tǒng)直接業(yè)務關(guān)聯(lián)較大，遵照等同保護的原則，因此醫(yī)院內(nèi)網(wǎng)核心業(yè)務系統(tǒng)總體按三級進行建設(shè)。

醫(yī)院等級保護工程建設(shè)的目標，主要是依據(jù)國家等級保護標準和省等級保護實施方案，從信息安全技術(shù)體系、信息安全管理體系、信息安全運維體系三個方面入手，建立完整的醫(yī)院信息安全等級保護保障體系：

（1）建立醫(yī)院信息安全技術(shù)體系，從區(qū)域邊界安全、計算環(huán)境安全、通信網(wǎng)絡安全等方面進行整改建設(shè)。通過內(nèi)網(wǎng)外網(wǎng)網(wǎng)絡層面的安全整改建設(shè)，達到等級保護的基本要求。

（2）建立醫(yī)院信息安全管理體系，通過安全管理制度建設(shè)，建立信息安全組織、人員管理、運維管理等方面的管理制度，達到等級保護的基本要求。

（2）建立醫(yī)院安全運維體系，通過網(wǎng)絡管理、漏洞管理、安全事件管理、信息安全服務等內(nèi)容建設(shè)日常安全運維管理，使醫(yī)院的信息安全保障體系能夠有效落實。

3　醫(yī)院安全建設(shè)策略

等級保護基本要求對三級信息系統(tǒng)的要求包含的技術(shù)要求有136個控制點，管理要求有154個控制點，涉及物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全與備份恢復、安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等層面。其涉及面廣，為醫(yī)院信息安全建設(shè)提供了全面的指導和參考。醫(yī)院在等級保護建設(shè)過程中，面向已經(jīng)定級的HIS系統(tǒng)展開等級保護建設(shè)。醫(yī)院各信息系統(tǒng)直接的業(yè)務關(guān)聯(lián)緊密，不僅應考慮定級系統(tǒng)的安全建設(shè)，還應根據(jù)定級系統(tǒng)的建設(shè)經(jīng)驗，推廣到整個醫(yī)院信息網(wǎng)絡來考慮。下面按照醫(yī)院內(nèi)網(wǎng)和醫(yī)院外網(wǎng)，分別探討三甲醫(yī)院在信息安全整體建設(shè)中的策略和措施。

三甲醫(yī)院根據(jù)業(yè)務需求不同，其網(wǎng)絡系統(tǒng)分為醫(yī)院內(nèi)網(wǎng)和醫(yī)院外網(wǎng)。醫(yī)院內(nèi)網(wǎng)和外網(wǎng)是物理隔離的，醫(yī)院內(nèi)網(wǎng)的信息系統(tǒng)是醫(yī)院的核心業(yè)務支撐，內(nèi)網(wǎng)應用可以分成兩類，一類是以HIS系統(tǒng)為核心的臨床醫(yī)技業(yè)務，另一類是行政管理應用，內(nèi)網(wǎng)的主機主要包括服務器和客戶機。醫(yī)院外網(wǎng)是能夠接入互聯(lián)網(wǎng)的局域網(wǎng)，主要包括能夠訪問互聯(lián)網(wǎng)的客戶機和對外提供信息發(fā)布的網(wǎng)站系統(tǒng)。

參照等級保護的建設(shè)要求，按照技術(shù)體系和管理體系 2大層面，本文設(shè)計了醫(yī)院信息安全建設(shè)框架，如圖1所示。

圖1　醫(yī)院信息安全建設(shè)框架

3.1醫(yī)院內(nèi)網(wǎng)安全建設(shè)策略

醫(yī)院內(nèi)網(wǎng)的安全可靠性直接影響到醫(yī)院業(yè)務正常運行。醫(yī)院內(nèi)網(wǎng)安全建設(shè)的重點主要包括內(nèi)網(wǎng)邊界安全、內(nèi)網(wǎng)終端安全、內(nèi)網(wǎng)服務器與設(shè)備安全、內(nèi)網(wǎng)業(yè)務應用安全以及內(nèi)網(wǎng)數(shù)據(jù)安全。

3.1.1內(nèi)網(wǎng)安全域劃分與邊界安全

醫(yī)院內(nèi)網(wǎng)在建設(shè)之初僅僅按物理位置和不同職能部門進行了VLAN劃分，引入等級保護后，醫(yī)院內(nèi)網(wǎng)應該在終端和服務器之間建立安全的訪問路徑，并根據(jù)各部門的工作職能、重要性劃分不同的子網(wǎng)，重要網(wǎng)段與子網(wǎng)之間采取技術(shù)隔離措施。在等級保護整改期間，醫(yī)院建立起了服務器區(qū)、安全接入?yún)^(qū)、終端接入?yún)^(qū)、應用開發(fā)區(qū)、運維管理區(qū)等，并且在各個區(qū)域之間采取了技術(shù)隔離措施。各安全區(qū)描述如下：

（1）服務器區(qū)。它是指醫(yī)院服務器所在區(qū)域，并且根據(jù)重要程度預留了核心服務器區(qū)、通用服務器區(qū)。在等級保護建設(shè)初期，由于歷史的原因，把所有服務器還是統(tǒng)一放在一個區(qū)域，隨著新系統(tǒng)的更新?lián)Q代，應逐步把核心服務器和一般服務器進行分離。

（2）安全接入?yún)^(qū)。醫(yī)院對外接入到省醫(yī)保網(wǎng)絡、市醫(yī)保網(wǎng)絡、政務外網(wǎng)，在把安全接入邊界設(shè)備共同劃分到安全接入?yún)^(qū)中管理。

（3）終端接入?yún)^(qū)。醫(yī)院終端眾多，按職能劃分不同的VLAN，但統(tǒng)稱為終端接入?yún)^(qū)。

（4）應用開發(fā)區(qū)。等級保護改造之前，第三方開發(fā)人員隨意的接入到服務器區(qū)域之間進行軟件開發(fā)、測試，給業(yè)務系統(tǒng)帶來安全隱患。在等級保護改造時，劃分出應用軟件開發(fā)區(qū)，作為軟件開發(fā)調(diào)試人員的專門網(wǎng)絡區(qū)域。

（5）運維管理區(qū)。它是指運行維護的軟硬件設(shè)備、日志服務器及運維終端機所在的區(qū)域。

（6）數(shù)據(jù)交換區(qū)。醫(yī)院內(nèi)網(wǎng)越來越多需要跟醫(yī)院外網(wǎng)進行數(shù)據(jù)交換，因此建立了醫(yī)院數(shù)據(jù)交換區(qū)作為安全隔離與數(shù)據(jù)交換用途。

上述安全區(qū)域劃分后，就產(chǎn)生了醫(yī)院內(nèi)部安全邊界如下：邊界1——醫(yī)院內(nèi)網(wǎng)與醫(yī)院外網(wǎng)邊界。

邊界2——醫(yī)院內(nèi)網(wǎng)與其他專網(wǎng)的邊界（如醫(yī)保網(wǎng)、政務外網(wǎng)）。

邊界3——醫(yī)院內(nèi)網(wǎng)服務器區(qū)與終端接入?yún)^(qū)之間的邊界。

邊界4——醫(yī)院內(nèi)網(wǎng)管理運維區(qū)、應用開發(fā)區(qū)與其他區(qū)域之間的邊界。

邊界5——醫(yī)院內(nèi)網(wǎng)終端接入?yún)^(qū)內(nèi)各科室、各樓層之間的邊界。

為此，醫(yī)院內(nèi)網(wǎng)的邊界安全策略設(shè)計如下：

邊界1是醫(yī)院內(nèi)網(wǎng)與醫(yī)院外網(wǎng)之間的邊界，原則上應采取物理隔離的安全策略，需要數(shù)據(jù)交換時采用移動介質(zhì)進行數(shù)據(jù)安全交換。

近年來，由于醫(yī)院業(yè)務發(fā)展需要，醫(yī)院網(wǎng)上預約、掌上醫(yī)院系統(tǒng)的興起，醫(yī)院內(nèi)網(wǎng)和外網(wǎng)直接的數(shù)據(jù)交換越來越頻繁。因此，需要在醫(yī)院內(nèi)網(wǎng)和外網(wǎng)之間建立一個數(shù)據(jù)交換區(qū)，以實現(xiàn)數(shù)據(jù)交換的目標，數(shù)據(jù)交換應該采用安全隔離與交換系統(tǒng)進行安全交換。

邊界2應建立起安全邊界接入?yún)^(qū)，并以防火墻設(shè)備、入侵檢測防御設(shè)備（IDS/IPS）來實現(xiàn)邊界訪問控制和入侵防范的要求。定級為三級的信息系統(tǒng)還應該配備網(wǎng)關(guān)型防病毒設(shè)備，并且保證網(wǎng)關(guān)防病毒的病毒庫和桌面防病毒來自同一廠家產(chǎn)品。

邊界3應該在服務器區(qū)與客戶機接入?yún)^(qū)直接采用雙機熱備模式的高性能防火墻，從而達到安全隔離的要求。

邊界4可以采用防火墻進行區(qū)域邊界隔離。

邊界5應在核心交換機或接入交換機上劃分VLAN，不同業(yè)務部署在不同VLAN上。并在交換設(shè)備上啟用訪問控制列表（ACL）功能，細化到IP和端口控制，必要時采用防火墻來實現(xiàn)訪問控制策略。

上述防火墻策略和ACL策略應該細化到IP地址和端口，IDS/IPS設(shè)備和網(wǎng)關(guān)防病毒設(shè)備應能夠定期更新規(guī)則庫或病毒庫。

網(wǎng)絡安全方面還有一個重點是應該避免單點故障。在網(wǎng)絡進出口出現(xiàn)單點故障而缺乏應急預案將是一個很大的隱患。為此，要采用具有冗余和備份的線路、設(shè)備來避免出現(xiàn)單點故障。

3.1.2內(nèi)網(wǎng)終端安全

目前，醫(yī)院內(nèi)網(wǎng)終端已經(jīng)達到了千余臺，終端安全是醫(yī)院安全管理比較困難的一個方面，常見的內(nèi)網(wǎng)終端安全風險主要是：

（1）終端準入安全風險，醫(yī)院終端不能隨便接入到醫(yī)院內(nèi)部網(wǎng)絡，必須進行準入控制。

（2）終端移動介質(zhì)濫用安全風險，移動介質(zhì)是病毒傳播的渠道。

（3）終端病毒爆發(fā)風險，終端發(fā)生病毒不但影響本機，還可能影響整個內(nèi)網(wǎng)。

根據(jù)等級保護主機安全要求，醫(yī)院內(nèi)網(wǎng)終端主要采取以下安全策略：

一是防病毒技術(shù)措施，部署統(tǒng)一網(wǎng)絡防病毒軟件，并定期更新惡意代碼庫。

二是終端計算機統(tǒng)一防護，采取集中統(tǒng)一管理方式對終端進行防護，統(tǒng)一軟件下發(fā)、安裝系統(tǒng)補丁。

三是終端計算機接入控制，采取部署網(wǎng)絡安全準入系統(tǒng)，對接入本單位網(wǎng)絡的終端計算機進行控制。

3.1.3內(nèi)網(wǎng)服務器及設(shè)備安全

醫(yī)院服務器和網(wǎng)絡設(shè)備是承載業(yè)務系統(tǒng)的重要基礎(chǔ)設(shè)施，服務器安全直接影響到全院業(yè)務安全。根據(jù)等級保護主機安全相關(guān)要求，結(jié)合最先進的安全技術(shù)措施，應采取以下安全策略和措施：

一是采用運維安全審計系統(tǒng)（堡壘機）對應用服務器、數(shù)據(jù)庫服務器、網(wǎng)絡設(shè)備、安全設(shè)備等運行維護行為進行授權(quán)、認證、審計管理。

二是服務器、應用系統(tǒng)及各種設(shè)備確保不存在弱口令，定期進行弱口令審計。

三是對業(yè)務服務器的操作系統(tǒng)、中間件、數(shù)據(jù)庫進行安全配置加固，從賬號、口令、權(quán)限、服務、審計等方面優(yōu)化系統(tǒng)配置，避免服務器、設(shè)備配置不合理帶來的安全風險。

3.1.4業(yè)務應用安全

醫(yī)院業(yè)務應用安全主要風險包括系統(tǒng)脆弱性被非法利用，藥品數(shù)據(jù)被非法統(tǒng)方，應用系統(tǒng)存在邏輯錯誤導致系統(tǒng)故障等。針對這些安全風險，應采取以下安全策略:

一是定期對HIS、LIS、PACS、EMR業(yè)務系統(tǒng)、辦公系統(tǒng)、郵件系統(tǒng)等應用系統(tǒng)進行漏洞檢測掃描，存在漏洞及時修復，留存掃描和修復詳細記錄。

二是采用數(shù)據(jù)庫操作行為安全審計措施，并對數(shù)據(jù)庫統(tǒng)方行為進行定期審計分析。

三是對照等級保護應用安全要求，對于應用系統(tǒng)賬號管理、業(yè)務操作審計等應用軟件隱患提交軟件開發(fā)商進行改進和升級。

3.1.5內(nèi)網(wǎng)數(shù)據(jù)安全

醫(yī)院數(shù)據(jù)安全主要采取的安全策略有：一是在醫(yī)院內(nèi)部不同大樓采取技術(shù)措施對重要數(shù)據(jù)和業(yè)務系統(tǒng)進行定期備份；二是將離線備份數(shù)據(jù)定期存放到異地。

3.2醫(yī)院外網(wǎng)安全建設(shè)策略

醫(yī)院外網(wǎng)主要包括能夠上互聯(lián)網(wǎng)的終端和對外提供服務的DMZ服務區(qū)。外網(wǎng)連接互聯(lián)網(wǎng)，直接受到互聯(lián)網(wǎng)的安全威脅。醫(yī)院外網(wǎng)安全建設(shè)主要從外網(wǎng)邊界安全、外網(wǎng)終端安全、外網(wǎng)設(shè)備和服務器安全、外網(wǎng)網(wǎng)站安全等方面進行。

3.2.1外網(wǎng)邊界安全

醫(yī)院外網(wǎng)主要劃分成2個區(qū)域，外網(wǎng)終端接入?yún)^(qū)和DMZ服務器區(qū)。DMZ服務器區(qū)主要用于存放對互聯(lián)網(wǎng)提供服務的服務器，如網(wǎng)站服務器。醫(yī)院外網(wǎng)終端連接互聯(lián)網(wǎng)的線路出口應該控制在1個，應該禁止各科室終端私自通過各種手段接入互聯(lián)網(wǎng)。在醫(yī)院互聯(lián)網(wǎng)出口進行安全訪問控制和安全審計。

一是外網(wǎng)互聯(lián)網(wǎng)接入邊界部署訪問控制設(shè)備，能夠阻斷非授權(quán)訪問，對外屏蔽不必要的服務/端口。

二是網(wǎng)絡邊界部署安全審計設(shè)備，對終端訪問互聯(lián)網(wǎng)的網(wǎng)絡訪問情況進行審計，并定期分析審計記錄。

3.2.2外網(wǎng)終端安全

外網(wǎng)終端安全策略與內(nèi)網(wǎng)類似，主要有：

（1）防病毒技術(shù)措施部署，統(tǒng)一安裝防病毒軟件，并定期更新惡意代碼庫。

（2）采取集中統(tǒng)一管理方式對終端進行防護，統(tǒng)一軟件下發(fā)、安裝系統(tǒng)補丁。

（3）終端計算機接入控制，部署集中管理系統(tǒng)，對接入本單位網(wǎng)絡的終端計算機進行控制。

3.2.3外網(wǎng)設(shè)備及服務器安全

外網(wǎng)網(wǎng)絡設(shè)備及服務器安全策略設(shè)計如下：

（1）遠程運維服務方式，原則上不得采用互聯(lián)網(wǎng)遠程在線方式，確需采用時采取書面審批、訪問控制、日志審計、VPN加密、運維審計等安全防護措施。

（2）配置網(wǎng)絡設(shè)備和安全設(shè)備的口令策略，并保證網(wǎng)絡設(shè)備和安全設(shè)備口令強度和更新頻率。

（3）啟用服務器系統(tǒng)的口令策略，并保證服務器系統(tǒng)、數(shù)據(jù)庫口令強度和更新頻率。不能存在弱口令。

（4）及時對服務器操作系統(tǒng)補丁和數(shù)據(jù)庫管理系統(tǒng)補丁進行更新。

3.2.4外網(wǎng)網(wǎng)站系統(tǒng)安全

醫(yī)院外網(wǎng)網(wǎng)站雖然不如內(nèi)網(wǎng)服務器重要，但醫(yī)院網(wǎng)站直接面臨互聯(lián)網(wǎng)的攻擊，是整個醫(yī)院最容易遭受攻擊的薄弱點。針對醫(yī)院網(wǎng)站，采取以下安全策略：

一是對網(wǎng)站服務器進行安全加固，啟用網(wǎng)站服務器系統(tǒng)安全審計功能，定期對服務器進行漏洞掃描，進行服務器木馬查殺、后門清理及日志分析。

二是定期對網(wǎng)站系統(tǒng)進行漏洞檢測，存在漏洞及時修復，留存掃描和修復詳細記錄。

三是門戶網(wǎng)站采取網(wǎng)頁防篡改措施。

四是門戶網(wǎng)站采取網(wǎng)站防護與抗攻擊措施，防范針對web應用的攻擊和拒絕服務攻擊。

五是采取技術(shù)措施對重要數(shù)據(jù)和網(wǎng)站系統(tǒng)進行定期備份。

3.3醫(yī)院安全管理措施建設(shè)

根據(jù)等級保護基本要求，醫(yī)院已經(jīng)成立了信息安全領(lǐng)導小組，制定了一套符合等級保護要求的安全管理制度，并且落實到日常管理中。下面主要從信息安全組織管理、信息安全人員管理、信息安全應急管理等方面進行分析。

3.3.1信息安全組織管理

首先，確定一名醫(yī)院分管領(lǐng)導作為信息安全管理小組組長，具有較高的權(quán)威或話語權(quán)。無論是在出安全事故時協(xié)調(diào)其他部門，還是在經(jīng)費保障方面，組長都能夠起到重要作用。

醫(yī)院還需要安排一名專職或兼職的信息安全管理員，并且要求安全員去獲得信息安全領(lǐng)域的認證資格。

3.3.2信息安全人員管理

人員是信息安全管理最薄弱的環(huán)節(jié)，人員包括醫(yī)院內(nèi)部人員和第三方人員。為了更有效地加強人員安全管理，采用以下安全管理措施：

（1）重點崗位人員（系統(tǒng)管理員、網(wǎng)絡管理員、信息安全員等）須簽訂信息安全與保密協(xié)議。

（2）人員離崗離職時，收回其相關(guān)網(wǎng)絡相關(guān)權(quán)限，簽署安全保密承諾書。

（3）外部人員訪問機房等重要區(qū)域時應采取審批、人員陪同、進出記錄等安全管理措施。

（4）與信息技術(shù)外包服務提供商簽訂信息安全與保密協(xié)議。

（5）定期開展信息安全人員和技術(shù)人員專業(yè)培訓。

3.3.3信息安全應急管理

完善的應急預案是醫(yī)院信息化建設(shè)的成熟度表現(xiàn)。醫(yī)院信息系統(tǒng)運轉(zhuǎn)一旦出現(xiàn)問題，各部門各崗位該如何開展業(yè)務，什么時候該切換到手工操作，這些都需要在應急預案中進行規(guī)定。

（1）制定信息安全事件應急預案（這是信息中心級預案，非單個信息系統(tǒng)的安全應急預案），并使相關(guān)人員熟悉應急預案。應急事件應包含突發(fā)黑客攻擊行為的類型事件。

（2）定期開展應急演練，并留存演練計劃、方案、記錄、總結(jié)等文檔。

（3）指定應急技術(shù)支援隊伍，配備必要的備機、備件等應急物資。

4　結(jié)束語

等級保護在醫(yī)院信息安全建設(shè)中起到了重要的指導作用，在應用過程中應該緊密結(jié)合醫(yī)療行業(yè)的行業(yè)特點，結(jié)合實際情況在醫(yī)院信息安全建設(shè)過程中落地。本文結(jié)合等級保護要求，針對醫(yī)院內(nèi)網(wǎng)、醫(yī)院外網(wǎng)以及安全管理建設(shè)進行了安全策略分析，為醫(yī)院信息化建設(shè)者提供參考。此外，醫(yī)院信息安全建設(shè)不能僅僅停留在建設(shè)上，還需要在安全運維方面考慮建起長效機制，保障醫(yī)院信息化建設(shè)長治久安。

［1］ 王俊.醫(yī)院信息安全等級保護管理體系的構(gòu)建［J］ . 醫(yī)學信息學，2013， 26（4）: 45-47.