摘 要：本文基于等級保護2.0標(biāo)準(zhǔn)體系，從技術(shù)角度論述醫(yī)院信息化安全建設(shè)。依據(jù)醫(yī)院信息化特點，結(jié)合等級保護2.0點的新要求，從內(nèi)外網(wǎng)防護、主機準(zhǔn)入控制和數(shù)據(jù)備份等幾個方面系統(tǒng)的闡述了等級保護建設(shè)的新特點。

關(guān)鍵詞：等級保護2.0;內(nèi)外網(wǎng)防護;數(shù)據(jù)備份;準(zhǔn)入控制

一、概述

為貫徹落實國家信息安全等級保護制度，規(guī)范和指導(dǎo)全國衛(wèi)生行業(yè)信息安全等級保護工作，衛(wèi)生部辦公廳于2011年12月下發(fā)衛(wèi)生部《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》，從物理安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)四個層面提供融合化的等級保護解決方案，本文主要論述了目前系統(tǒng)的現(xiàn)狀，依照《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》2.0版本和系統(tǒng)現(xiàn)狀進行了比對，分析出系統(tǒng)的不足，為達到系統(tǒng)安全等級二級的要求提出整改方案，通過此方案的實施提高信息系統(tǒng)的安全防護水平。

二、等保2.0新變化

（一）基本要求說明

根據(jù)信息系統(tǒng)安全等級保護基本要求說明，信息系統(tǒng)安全被分為兩大部分，分別是技術(shù)要求部分和管理要求部分，只有滿足相應(yīng)等級的技術(shù)（管理）要求，才能達到一定的基本安全要求，從而實現(xiàn)相應(yīng)的安全保護能力。

（二）安全指標(biāo)說明

以信息系統(tǒng)實施等級保護二級為例，根據(jù)技術(shù)5大類（物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全）和管理5大類（安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理），共計有66個子類，175個檢項，如下圖所示：

三、方案設(shè)計

（一）網(wǎng)絡(luò)安全架構(gòu)設(shè)計

（二）拓撲說明

此次網(wǎng)絡(luò)方案設(shè)計嚴(yán)格安全信息安全等級化保護二建設(shè)級標(biāo)準(zhǔn)設(shè)計，并滿足二級等級保護建設(shè)要求。網(wǎng)絡(luò)共分為兩套，外網(wǎng)一套內(nèi)網(wǎng)一套，兩張網(wǎng)絡(luò)中間采用數(shù)據(jù)隔離網(wǎng)閘進行數(shù)據(jù)“擺渡”，既做到了兩網(wǎng)的安全隔離，又確保了內(nèi)網(wǎng)與外網(wǎng)數(shù)據(jù)交互的問題。內(nèi)網(wǎng)出口部署專用防火墻、入侵防御保障主干鏈路安全。外網(wǎng)部署上網(wǎng)行為保證上網(wǎng)安全。運維管理區(qū)部署日至審計、入侵檢測IDS、數(shù)據(jù)庫審計、終端殺毒、堡壘機、備份一體機、準(zhǔn)入系統(tǒng)，保障內(nèi)部醫(yī)療數(shù)據(jù)安全，并記錄分析、追溯。

（1）內(nèi)網(wǎng)防火墻。采用防火墻技術(shù)，對網(wǎng)絡(luò)邊界進行邊界保護，可以對所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴(yán)格的安全規(guī)則進行過濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，防范各類攻擊行為，杜絕越權(quán)訪問，防止非法攻擊。通過合理布局，形成多級的縱深防御體系。（2）外網(wǎng)上網(wǎng)行為管理?；诨ヂ?lián)網(wǎng)的應(yīng)用從最初的文件共享、文件傳輸（FTP）、靜態(tài)網(wǎng)頁瀏覽（HTML）等內(nèi)容單一、靜態(tài)的、簡單應(yīng)用，逐步發(fā)展為包括E-Mail、ERP、OA、CRM、新聞信息、文件共享、視頻會議、VoIP、即時通訊、網(wǎng)絡(luò)游戲、電子商務(wù)、電子政務(wù)等等在內(nèi)的動態(tài)的、復(fù)雜應(yīng)用。網(wǎng)絡(luò)承載的內(nèi)容日益豐富，變得更加復(fù)雜、多樣化。當(dāng)今，互聯(lián)網(wǎng)進入了應(yīng)用級網(wǎng)絡(luò)時代，逐步成為一個虛擬的真實社會。P2P傳輸、網(wǎng)絡(luò)電視、網(wǎng)絡(luò)游戲、在線聊天、Web視頻、股票軟件、網(wǎng)上銀行、數(shù)據(jù)庫、物流供應(yīng)鏈、各種論壇以及大量未知的內(nèi)容和信息紛紛涌進網(wǎng)絡(luò)。（3）內(nèi)網(wǎng)入侵防御系統(tǒng)。串聯(lián)部署IPS入侵防御系統(tǒng)，通過IPS入侵特征庫對流經(jīng)服務(wù)器的所有請求流量進行過濾查殺。在此基礎(chǔ)上增加安全審計產(chǎn)品可以更好的對入侵和安全事件進行關(guān)聯(lián)和管理，并采取短信、郵件等形式的提供告警，實現(xiàn)及時、準(zhǔn)確的入侵告警提醒。（4）數(shù)據(jù)庫審計系統(tǒng)。數(shù)據(jù)庫審計系統(tǒng)通過細粒度的數(shù)據(jù)庫行為審計和SQL注入、XSS攻擊防護，幫助用戶有效監(jiān)控數(shù)據(jù)庫相關(guān)訪問行為，防止敏感信息外泄。實時記錄、分析數(shù)據(jù)庫訪問行為，及時發(fā)現(xiàn)安全事件并實時記錄、告警、定位，方便管理員在安全事件發(fā)生后第一時間采取管控措施，加快對安全事件的響應(yīng)速度，做到有效及時的防范安全風(fēng)險。（5）入侵檢測系統(tǒng)。入侵檢測技術(shù)（IDS）其設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行發(fā)現(xiàn)，通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，避免其造成損失尋找違反安全策略的行為或攻擊跡象，并發(fā)出報警，可與防火墻互補聯(lián)動，實現(xiàn)對攻擊的檢測與防御，構(gòu)筑有效的安全防護鏈。

（三）主機安全準(zhǔn)入控制系統(tǒng)

入網(wǎng)規(guī)范管理系統(tǒng)是基于第三代準(zhǔn)入控制技術(shù)基礎(chǔ)的，面向下一代準(zhǔn)入控制（NG NAC）的，純硬件高性能網(wǎng)絡(luò)準(zhǔn)入控制設(shè)備。網(wǎng)規(guī)范管理系統(tǒng)主要從終端、網(wǎng)絡(luò)、人員、管理4個維度，對網(wǎng)絡(luò)使用、安全、管理中的各種元素進行全面的管控。第一，對網(wǎng)絡(luò)中的終端進行終端授權(quán)管理;第二，基于網(wǎng)絡(luò)層面對接入網(wǎng)絡(luò)的各種設(shè)備進行設(shè)備定位透視、網(wǎng)絡(luò)拓撲結(jié)構(gòu)透視;第三，提供各種靈活的人員認(rèn)證機制;第四，通過報表輸出外部接口提供方便的管理手段。數(shù)據(jù)安全體系建立：備份存儲一體機具有最廣泛的備份功能，支持多種數(shù)據(jù)類型的備份，如數(shù)據(jù)庫備份、文件備份、應(yīng)用備份、操作系統(tǒng)備份等，涵蓋從Windows、Linux到Unix操作系統(tǒng)平臺，備份的數(shù)據(jù)可以通過多種方式進行存儲，它利用成熟結(jié)構(gòu)來完成對數(shù)據(jù)的存儲備份。

四、結(jié)論

等級保護2.0標(biāo)準(zhǔn)的發(fā)布，為信息安全建設(shè)提出了更高的要求，防御理念由被動轉(zhuǎn)變?yōu)橹鲃?，防御手段融合了更多的新興技術(shù)，如態(tài)勢感知，可信計算，此外從安全管理上也提出了更多的要求。本方案以等級保護2.0標(biāo)準(zhǔn)為基礎(chǔ)，構(gòu)建了完備的安全管理體系和技術(shù)體系，從“機構(gòu)”、“制度”和“人員”三方面全面提升，完全滿足網(wǎng)絡(luò)安全法和等級保護2.0體系標(biāo)準(zhǔn)要求。

參考文獻：

[1]肖勇.中醫(yī)藥項目預(yù)算監(jiān)控平臺信息安全等級保護實踐[J].醫(yī)學(xué)信息雜志，2014.09.

[2]劉署生.淺談信息安全風(fēng)險評估與風(fēng)險分析方法的應(yīng)用[J].網(wǎng)絡(luò)空間安全，2017，z2.

作者簡介：周安石（1979-），男，漢族，碩士研究生，高級工程師，研究方向：計算機網(wǎng)絡(luò)通信教學(xué)研究、網(wǎng)絡(luò)與信息安全。