俞向前

（蘇州大學(xué)附屬第二醫(yī)院，江蘇　蘇州　215004）

三級(jí)醫(yī)院信息化等級(jí)保護(hù)方案研究

俞向前

（蘇州大學(xué)附屬第二醫(yī)院，江蘇蘇州215004）

醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)是通訊、辦公自動(dòng)化的載體，其暢通與穩(wěn)定具有重要意義。近年來(lái)各種安全事故層出不窮，給醫(yī)院的正常運(yùn)營(yíng)造成了潛在的不可低估的損失。信息安全不是單純的技術(shù)問(wèn)題，需要在采用安全技術(shù)和產(chǎn)品的同時(shí)，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。

等級(jí)保護(hù)；信息安全；系統(tǒng)風(fēng)險(xiǎn)

1　前言

醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)是通訊、辦公自動(dòng)化的載體，其暢通與穩(wěn)定具有重要意義。由于網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議等不可避免地存在安全技術(shù)上的漏洞，以及實(shí)際工作中管理體制上的不嚴(yán)密，近年來(lái)各種安全事故層出不窮，給醫(yī)院的正常運(yùn)營(yíng)造成了潛在的不可低估的損失。

政策層面上，國(guó)家公安部、保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化領(lǐng)導(dǎo)小組辦公室于2007年聯(lián)合頒布了861號(hào)文件《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》和《信息安全等級(jí)保護(hù)管理辦法》。

為了信息安全等級(jí)保護(hù)能在各醫(yī)院更好地實(shí)施，衛(wèi)生部針對(duì)醫(yī)療行業(yè)的實(shí)際情況制定了《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》衛(wèi)辦發(fā)【2011】85號(hào)，此文件在信息安全等級(jí)保護(hù)和醫(yī)療行業(yè)信息安全管理之間起到了橋梁與銜接的作用。

2　設(shè)計(jì)原則

2.1分級(jí)保護(hù)建設(shè)原則

三級(jí)醫(yī)院核心業(yè)務(wù)系統(tǒng)屬國(guó)計(jì)民生的重要信息系統(tǒng)，其安全建設(shè)不能忽視國(guó)家相關(guān)政策要求，按三級(jí)等保建設(shè)要求設(shè)計(jì)，其余系統(tǒng)按二級(jí)等保要求設(shè)計(jì)。

2.2體系化的系統(tǒng)設(shè)計(jì)原則

系統(tǒng)設(shè)計(jì)應(yīng)充分考慮到各個(gè)層面的安全風(fēng)險(xiǎn)，構(gòu)建完善的安全防護(hù)體系，保證系統(tǒng)的安全性。

2.3安全與管理并重原則

信息安全不是單純的技術(shù)問(wèn)題，需要在采用安全技術(shù)和產(chǎn)品的同時(shí)，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。

3　系統(tǒng)現(xiàn)狀分析

3.1網(wǎng)絡(luò)架構(gòu)分析

以蘇州市三級(jí)甲等醫(yī)院為例，當(dāng)前都已建成全院網(wǎng)絡(luò)覆蓋。從目前的全局網(wǎng)絡(luò)結(jié)構(gòu)上看，可以分為兩大部分：用于日常醫(yī)療信息交換的業(yè)務(wù)內(nèi)網(wǎng)以及用于連接市醫(yī)保、吳江醫(yī)保、園區(qū)醫(yī)保、銀聯(lián)等業(yè)務(wù)外網(wǎng)。其中醫(yī)院業(yè)務(wù)內(nèi)網(wǎng)是醫(yī)院業(yè)務(wù)開(kāi)展的重要平臺(tái)，承載著核心業(yè)務(wù)；醫(yī)院業(yè)務(wù)外網(wǎng)與市醫(yī)保、吳江醫(yī)保、園區(qū)醫(yī)保、銀聯(lián)機(jī)構(gòu)互聯(lián)，實(shí)時(shí)獲取信息資源。

3.2業(yè)務(wù)內(nèi)網(wǎng)分析

醫(yī)院的業(yè)務(wù)內(nèi)網(wǎng)主要提供醫(yī)療數(shù)據(jù)交換、存儲(chǔ)和醫(yī)院業(yè)務(wù)系統(tǒng)的運(yùn)維，各業(yè)務(wù)大樓主要提供醫(yī)護(hù)人員的日常業(yè)務(wù)的開(kāi)展。

醫(yī)院內(nèi)網(wǎng)采用“核心-匯聚-接入”三層交換架構(gòu)，門(mén)診、住院終端通過(guò)匯聚交換機(jī)連接至中心機(jī)房核心交換機(jī)。HIS、 LIS系統(tǒng)作為醫(yī)院核心業(yè)務(wù)系統(tǒng)，系統(tǒng)服務(wù)器直接掛載在中心機(jī)房核心交換機(jī)上。

3.3業(yè)務(wù)外網(wǎng)分析

業(yè)務(wù)外網(wǎng)主要由匯聚交換機(jī)和防火墻等組成。醫(yī)院有兩條出口與外網(wǎng)互聯(lián)，一條通過(guò)匯聚交換機(jī)與銀聯(lián)、園區(qū)社保、吳江區(qū)社保等互聯(lián)；另一條通過(guò)防火墻接入互聯(lián)網(wǎng)。業(yè)務(wù)外網(wǎng)主要是用來(lái)幫助醫(yī)護(hù)人員連接Internet和實(shí)時(shí)獲取社保等信息資源。

3.4系統(tǒng)風(fēng)險(xiǎn)分析

3.4.1網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)

不同安全域之間的網(wǎng)絡(luò)連接沒(méi)有有效的訪問(wèn)控制措施，來(lái)自互聯(lián)網(wǎng)或其它兄弟單位的訪問(wèn)存在潛在的掃描攻擊、DOS攻擊、非法侵入等。

3.4.2網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)

隨著業(yè)務(wù)的不斷發(fā)展，系統(tǒng)的訪問(wèn)量會(huì)逐漸增加，各種類型的DOS、DDOS攻擊、木馬后門(mén)也會(huì)逐漸增加，因此建議在網(wǎng)絡(luò)邊界部署入侵防御系統(tǒng)，在核心交換機(jī)上部署入侵檢測(cè)系統(tǒng)，這樣可以保證平臺(tái)內(nèi)業(yè)務(wù)系統(tǒng)在遭受諸如SQL注入、木馬上傳等行為時(shí)可以及時(shí)檢測(cè)或阻斷，確保內(nèi)網(wǎng)服務(wù)器網(wǎng)站集群的安全。

3.4.3WEB業(yè)務(wù)風(fēng)險(xiǎn)

一個(gè)Web系統(tǒng)設(shè)計(jì)者更多地考慮滿足用戶應(yīng)用，如何實(shí)現(xiàn)業(yè)務(wù)，很少考慮Web系統(tǒng)開(kāi)發(fā)過(guò)程中所存在的漏洞，這些漏洞在不關(guān)注安全代碼設(shè)計(jì)的人員眼里幾乎不可見(jiàn)。大多數(shù)網(wǎng)站設(shè)計(jì)開(kāi)發(fā)者、系統(tǒng)維護(hù)人員對(duì)網(wǎng)站攻防技術(shù)的了解甚少；在正常使用過(guò)程中，即便存在安全漏洞，正常的使用者并不會(huì)察覺(jué)。但在黑客對(duì)漏洞敏銳的發(fā)掘和充分利用下，網(wǎng)站存在的這些漏洞就被挖掘出來(lái)，且成為黑客們直接或間接謀取利益的機(jī)會(huì)。

3.4.4人員管理風(fēng)險(xiǎn)

網(wǎng)絡(luò)建設(shè)和維護(hù)中，常常會(huì)因?yàn)槿藶榈囊蛩卦斐蓴?shù)據(jù)的一些誤操作或破壞。如何有效地管控內(nèi)部人員、設(shè)備廠商和代維人員的運(yùn)維操作行為，并進(jìn)行事后的審計(jì)是醫(yī)院面臨的一個(gè)關(guān)鍵問(wèn)題。嚴(yán)格的規(guī)章制度只能約束一部分人的行為，只有通過(guò)嚴(yán)格的權(quán)限控制和操作審計(jì)才能確保安全管理制度的有效執(zhí)行。

3.4.5系統(tǒng)日志風(fēng)險(xiǎn)

當(dāng)前客戶在進(jìn)行日志審計(jì)的過(guò)程中幾乎都面臨著相似的挑戰(zhàn)。這其中最主要的三個(gè)挑戰(zhàn)是：日志分散、日志格式不統(tǒng)一、日志量巨大。

(1)日志分散

客戶網(wǎng)絡(luò)中信息系統(tǒng)相關(guān)的各種軟硬件設(shè)備、安全防護(hù)設(shè)施都會(huì)產(chǎn)生日志。并且這些設(shè)備都分散在網(wǎng)絡(luò)的不同位置。他們各自產(chǎn)生日志，并有各自的控制臺(tái)進(jìn)行日志查看，這對(duì)審計(jì)人員而言簡(jiǎn)直就是噩夢(mèng)，根本沒(méi)有精力去查看這么多控制臺(tái)，更不要說(shuō)分析其中的日志信息了。

(2)日志格式不統(tǒng)一

每種設(shè)備類型的日志格式都不相同，各有各的表達(dá)，即使是表達(dá)同一件事情，也都有各自的表達(dá)方式。例如同樣的登錄失敗信息，防火墻中的描述和主機(jī)操作系統(tǒng)中的描述格式就可能根本不相同。這迫使審計(jì)人員去了解每種設(shè)備類型的格式。

(3)日志量巨大

很多設(shè)備，尤其是網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的日志量十分巨大，單個(gè)防火墻每秒就可能產(chǎn)生上千條的日志信息，而全網(wǎng)的設(shè)備每天產(chǎn)生的日志量就更加可觀，可能數(shù)以百GB計(jì)。審計(jì)員去查看這么多的日志根本不可能，即便是將它們存起來(lái)都是個(gè)問(wèn)題。

3.4.6數(shù)據(jù)安全風(fēng)險(xiǎn)

醫(yī)院內(nèi)部存在著重要的數(shù)據(jù)信息，一旦信息被盜用、篡改、破壞，將會(huì)對(duì)醫(yī)院網(wǎng)絡(luò)造成重要的損失，因此需要對(duì)內(nèi)部這些重要的數(shù)據(jù)的使用情況進(jìn)行監(jiān)控，防止這些數(shù)據(jù)被攻擊者改寫(xiě)。

尤其是對(duì)數(shù)據(jù)庫(kù)的調(diào)用可能是通過(guò)web頁(yè)面、業(yè)務(wù)系統(tǒng)等前臺(tái)程序進(jìn)行的時(shí)候，需要進(jìn)行精確的身份關(guān)聯(lián)，方便事前預(yù)防、事中記錄審計(jì)、事后追溯。

3.4.7自由連接風(fēng)險(xiǎn)

目前醫(yī)院Internet區(qū)域沒(méi)有安全接入防御機(jī)制，外部人員對(duì)內(nèi)網(wǎng)服務(wù)器數(shù)據(jù)資源訪問(wèn)都靠防火墻的端口映射，有些服務(wù)器映射了3389端口，這樣的連接方式數(shù)據(jù)無(wú)法做到保密傳輸，這也使得攻擊者有了可趁之機(jī)。

4　系統(tǒng)方案設(shè)計(jì)

根據(jù)等級(jí)保護(hù)建設(shè)要求，技術(shù)層面以網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全四個(gè)維度進(jìn)行設(shè)計(jì)，管理方面則以規(guī)章制度進(jìn)行設(shè)計(jì)。

4.1技術(shù)方面完善設(shè)計(jì)

4.1.1網(wǎng)絡(luò)安全方面

(1)動(dòng)態(tài)路由協(xié)議間實(shí)施安全認(rèn)證措施。(2)不同的區(qū)域或不同的VLAN間根據(jù)實(shí)際訪問(wèn)需要配置訪問(wèn)控制策略。(3)與外聯(lián)單位的邊界部署訪問(wèn)控制設(shè)備。(4)內(nèi)部各信息系統(tǒng)之間、互聯(lián)網(wǎng)出口配置的訪問(wèn)控制策略需要達(dá)到端口級(jí)。(5)對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過(guò)濾。

4.1.2主機(jī)安全方面

(1)操作系統(tǒng)需符合配置口令復(fù)雜度要求，定期更換。(2)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。(3)根據(jù)業(yè)務(wù)需要設(shè)置訪問(wèn)控制策略，鑒別具體操作人員權(quán)限，及時(shí)找到責(zé)任人。(4)實(shí)現(xiàn)管理用戶的權(quán)限分離。(5)對(duì)重要信息資源設(shè)置敏感標(biāo)記。

4.1.3應(yīng)用安全方面

(1)采用雙因子鑒別技術(shù)進(jìn)行身份鑒別。(2)提供鑒別信息復(fù)雜度檢查功能。(3)采用登錄失敗處理功能。(4)采用密碼技術(shù)對(duì)初始化驗(yàn)證信息進(jìn)行保護(hù)。(5)提供數(shù)據(jù)不可否認(rèn)性的檢測(cè)功能。

4.1.4數(shù)據(jù)安全方面

(1)完善數(shù)據(jù)傳輸完整性保護(hù)。(2)完善數(shù)據(jù)存儲(chǔ)完整性保護(hù)。(3)完善數(shù)據(jù)傳輸保密性保護(hù)。(4)完善數(shù)據(jù)存儲(chǔ)保密性保護(hù)。(5)檢測(cè)網(wǎng)絡(luò)結(jié)構(gòu)是否存在單點(diǎn)故障。

4.1.5設(shè)備部署

根據(jù)醫(yī)院信息系統(tǒng)和業(yè)務(wù)的功能特性、安全特性，將醫(yī)院信息系統(tǒng)劃分了6個(gè)安全域，1個(gè)安全管理中心。根據(jù)對(duì)安全域和管理中心的詳細(xì)設(shè)計(jì)，已經(jīng)可以比較清晰地勾畫(huà)出醫(yī)院網(wǎng)絡(luò)安全建設(shè)的整體全景，如圖1所示。

圖1　醫(yī)院等級(jí)保護(hù)改造后的拓?fù)鋱D

4.2安全管理建設(shè)

4.2.1安全管理制度

主要從管理制度、制定和發(fā)布、評(píng)審和修訂作為要求控制點(diǎn)，制定、發(fā)布、評(píng)審、修訂一整套安全管理制度、流程、技術(shù)規(guī)范和保密協(xié)議。

4.2.2安全管理機(jī)構(gòu)

主要從崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查作為要求控制點(diǎn)，落實(shí)安全組織，包括崗位設(shè)置、人員配備、職責(zé)定義等。

4.2.3人員安全管理

主要從人員錄用、人員離崗、人員考核、人員意識(shí)教育和培訓(xùn)、外部人員訪問(wèn)管理作為要求控制點(diǎn)，建立人員安全管理制度，涵蓋人員錄用、離崗、考核、教育，以及對(duì)外部來(lái)訪人員進(jìn)行合理管理等。

4.2.4系統(tǒng)建設(shè)管理

主要從系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)測(cè)評(píng)、安全服務(wù)商選擇作為要求控制點(diǎn)，對(duì)系統(tǒng)進(jìn)行定級(jí)，按照安全等級(jí)對(duì)系統(tǒng)進(jìn)行安全規(guī)劃和方案設(shè)計(jì)，提供產(chǎn)品采購(gòu)和使用方面的建議和培訓(xùn)，制定軟件開(kāi)發(fā)和外包管理辦法，制定安全服務(wù)商選擇辦法等，提供安全集成、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)測(cè)評(píng)等服務(wù)。

4.2.5系統(tǒng)運(yùn)維管理

主要從環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處理、應(yīng)急預(yù)案管理等方面定制相關(guān)管理制度，制定應(yīng)急預(yù)案，定期演練。

5　應(yīng)用效果

在網(wǎng)絡(luò)邊界部署網(wǎng)絡(luò)出口防火墻、IPS，對(duì)局域網(wǎng)與互聯(lián)網(wǎng)的訪問(wèn)進(jìn)行控制與邏輯隔離，防止互聯(lián)網(wǎng)病毒、木馬入侵。在WEB服務(wù)器前部署網(wǎng)站與WEB業(yè)務(wù)防護(hù)系統(tǒng)，可實(shí)時(shí)攔截應(yīng)用層非法訪問(wèn)、應(yīng)用層攻擊行為。在安全運(yùn)維中心部署運(yùn)維管控堡壘機(jī)、安全管理與日志審計(jì)和VPN網(wǎng)關(guān)系統(tǒng)，可對(duì)授權(quán)人員的運(yùn)維操作進(jìn)行記錄、分析、展現(xiàn)，對(duì)系統(tǒng)中產(chǎn)生的海量日志進(jìn)行集中化存儲(chǔ)、查詢、分析、管理并可通過(guò)安全通道對(duì)內(nèi)網(wǎng)資源進(jìn)行管控。在核心交換機(jī)上部署內(nèi)網(wǎng)入侵檢測(cè)（IDS）、數(shù)據(jù)庫(kù)安全審計(jì)，可對(duì)內(nèi)網(wǎng)木馬后門(mén)等攻擊進(jìn)行監(jiān)控并對(duì)業(yè)務(wù)人員對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的操作行為進(jìn)行解析、分析、記錄。在網(wǎng)絡(luò)邊界串聯(lián)上網(wǎng)行為審計(jì)系統(tǒng)，可對(duì)上網(wǎng)行為、資源占用進(jìn)行管理。

[1]王世偉．論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J]．中國(guó)圖書(shū)館學(xué)報(bào)，2015(02)：72-84．

[2]王心力．網(wǎng)絡(luò)信息安全面臨的問(wèn)題[J]．圖書(shū)館理論與實(shí)踐，2004 (02)：51-52．

[3]鄭培峰．淺談如何構(gòu)建安全的學(xué)校Web網(wǎng)站[J];信息安全與技術(shù)，2013，4(5)：92-100．

[4]王福春．試論網(wǎng)絡(luò)安全及其防護(hù)[J]．江西行政學(xué)院學(xué)報(bào)，2006，8 (z2)：103-104．

[5]易文平．網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系探討[J]．信息與電腦(理論版)，2013(08)．

Research on the Tertiary Hospital Informatization Level Protection Plan

Yu Xiangqian
(The SecondAffiliated Hospital of Soochow University,Suzhou 215004,Jiangsu)

Hospital computer network is the carrier of communication and office automation.The flow and stability is of great significance.In recent years,all kinds of safety accidents emerge endlessly,causing a potential loss that cannot be underestimated to the normal operation of hospital.Information security is not a pure technical question.It needs focus on the safety management while using security technology and products,and constantly improve various rules and regulations and operation procedures of safety management,improving safety management level.

level protection;information security;system risk

TP309

A

1008-6609(2016)06-0065-03

俞向前，男，江蘇蘇州人，工商管理碩士，工程師，研究方向：項(xiàng)目管理，網(wǎng)絡(luò)與弱電工程。