【摘要】? ? 隨著社會的發(fā)展,技術的進步,醫(yī)院信息化程度越來越高,加強醫(yī)院信息網絡安全尤為重要。本文以東南大學附屬中大醫(yī)院為例,討論醫(yī)院信息網絡安全的建設。
【關鍵詞】? ? 網絡? ? 網絡安全? ? 網絡安全管理
隨著社會的發(fā)展,技術的進步,醫(yī)院信息化程度越來越高,醫(yī)院的日常業(yè)務越來越依賴醫(yī)院信息系統(tǒng)。因此,在新環(huán)境下加強醫(yī)院信息網絡安全尤為重要。本文以東南大學附屬中大醫(yī)院為例,分網絡架構、網絡安全、信息網絡安全管理三個部分來討論醫(yī)院信息網絡安全的建設。
一、網絡架構
網絡架構是醫(yī)院信息網絡安全建設的基礎,下面是以東南大學附屬中大醫(yī)院為例,討論醫(yī)院網絡的架構。
合理的網絡架構是成功的一半,大中型網絡通常由核心層、匯聚層、接入層三層結構組成,網絡結構較為清晰,便于以后擴展。但是基于性能、價格以及單點故障等多方面考慮,目前醫(yī)院網絡結構的選擇越來越傾向于核心層、接入層組成的二層結構星型網絡。
1.1網絡結構選擇
網絡結構上減少匯聚層,主體選擇星型扁平化網絡。以東南大學附屬中大醫(yī)院為例,整個網絡除個別老樓有匯聚層之外,其余都是核心層、接入層組成的二層結構的星型網絡。
1.2桌面交換機選擇
接入交換機通常是低端的交換機,價格便宜,性能與穩(wěn)定性稍差,組網簡單。通常不支持多vlan,這樣管理和業(yè)務往往會共用一個vlan,不利于管理,適合于較小的網絡環(huán)境。東南大學附屬中大醫(yī)院接入層桌面交換機選擇三層交換機,支持多vlan管理。在中型和大型網絡建設中,星型網絡結構與全三層網絡設備都是成功的關鍵。接入層桌面三層交換機配置時每臺交換機只設置兩個VLAN,其中一個業(yè)務vlan、一個管理VLAN,業(yè)務vlan只分配交換機接口,不配置路由以及訪問控制列表,管理VLAN只設置交換機管理ip地址和網關,不為分配交換機接口。接入層三層桌面交換機配置功能盡量精簡,這樣穩(wěn)定性會得到增強,對于這一點在醫(yī)院應用中尤為重要。
1.3主干三層網絡
接入層三層桌面交換機其業(yè)務vlan不配置三層路由,只對端口進行二層配置,所有業(yè)務數據轉發(fā)都集中到核心三層交換機。盡可能每臺接入層三層桌面交換機都使用雙路光纖直連核心三層交換機。有條件在每幢樓的每一層都配備一個網絡配線間,每一個網絡配線間內每種業(yè)務網絡單獨分配一個VLAN。保障每臺接入層三層桌面交換機都擁有足夠的IP地址,IP地址按設定規(guī)則分配,便于管理。而光纖兩端連接的接入層三層桌面交換機與核心三層交換機的光口配置為Trunk模式,光口的Trunk模式設置只允許接入層三層桌面交換機的業(yè)務vlan和管理VLAN這兩個VLAN通過,提高了數據轉發(fā)效率,限制廣播風暴。
1.4網絡管理
東南大學附屬中大醫(yī)院將所有交換機都納入管理,統(tǒng)一進行AAA認證,通過網絡管理軟件使用大屏幕實時展示醫(yī)院網絡拓撲圖。通過網絡準入管理系統(tǒng)實時監(jiān)控和管理醫(yī)院全網所有網絡連接的終端,配合醫(yī)院實時網絡拓撲圖可以及時發(fā)現網絡故障情況,快速獲取故障信息、鎖定故障點。所有交換機均實現統(tǒng)一的自動備份,將每臺交換機的配置文件按照日期一一保存,方便隨時查驗和使用。東南大學附屬中大醫(yī)院信息中心常備接入層桌面交換機的備機,必要時及時導入相應配置及時現場更換。
兩臺核心三層主交換機雙機運行、接入層三層桌面交換機雙光纖組成雙鏈路分別連接兩臺核心三層主交換機,組成的二層結構的星型網絡,配合AAA認證、準入管理、實時網絡拓撲圖大屏展示、網絡管理軟件等組成了醫(yī)院網絡的架構。
二、網絡安全
網絡簡單來說,可以看作是一臺擴大了的計算機,可以實現運算、存儲、數據傳輸等功能。例如英特網既是全球通訊系統(tǒng)、是海量存儲器、也是超級運算體。網絡數據通訊需要數據傳輸雙方遵守共同的協(xié)議,這些通訊協(xié)議往往具有簡單、開放的特性,在開放性網絡中傳輸信息,信息容易被截獲,網絡安全的概念也就應運而生。以東南大學附屬中大醫(yī)院為例,討論提升網絡安全性的具體措施。
東南大學附屬中大醫(yī)院的網絡安全結構由入侵檢測、網閘、堡壘機、防火墻、路由器、準入管理、三層交換機、接入層交換機(或AP、AC)、虛擬服務器、VPN虛擬終端、殺毒軟件、終端臺式電腦、移動終端等組成。現在醫(yī)院信息化開放性發(fā)展往往帶來各種安全隱患。各種外部開放式網上查詢、掛號、付費等服務,各種醫(yī)療工作使用的移動平板電腦、移動工作站、移動醫(yī)療儀器等無線設備的使用,各種點餐app、移動護理、移動電子病歷、移動查房等信息系統(tǒng)的復雜應用,各種醫(yī)院聯(lián)合體、醫(yī)保單位、醫(yī)療單位以及政府單位的互聯(lián)互通等都會給醫(yī)院網絡安全很大壓力。
2.1醫(yī)院內部網絡安全防護
醫(yī)院內部網絡結構明了,其安全通常使用醫(yī)院內部網絡中防火墻、網絡管理軟件、路由策略、準入管理、殺毒軟件、桌面管理軟件等來實現。醫(yī)院內部業(yè)務網絡的安全,以網絡的物理隔離為主,以人員的網絡安全培訓、操作規(guī)范培訓等網絡安全管理為輔。以路由策略為例,醫(yī)院內部網絡不通設備的訪問??梢栽诮粨Q機接口上設置IP地址,通過路由配置,實現某一個IP地址或者幾段IP地址對另外某一個IP地址或者幾段IP地址進行訪問,如HIS網絡與PACS網絡的互相連通。HIS網絡通過路由與PACS網絡的連接,可以在保障網絡訪問的情況下,規(guī)避PACS網絡的大量數據包的影響、規(guī)避網絡風暴。
2.2外聯(lián)型網絡常規(guī)安全防護
醫(yī)院外聯(lián)網絡情況復雜,如醫(yī)院聯(lián)合體等醫(yī)療單位以及政府單位下的互聯(lián)就有:合作醫(yī)療、社區(qū)系統(tǒng)、遠程會診、區(qū)域PACS、政務網、醫(yī)療網等等不同的情況,網絡安全實現難度大。
1.在沒有專線網絡的條件下,使用數據加密技術,保障網絡安全。數據加密(Data Encryption)技術是指將一個信息(或稱明文,plain text)經過加密鑰匙(Encryption key)及加密函數轉換,變成無意義的密文(cipher text),而接收方則將此密文經過解密函數、解密鑰匙(Decryption key)還原成明文。加密技術是網絡安全技術的基石。
2.外聯(lián)服務端口層面的點對點路由,通過路由來最大程度限定網絡的訪問。
3.通過防火墻,實現常見攻擊的防御,實現通訊端口級防護,實現對訪問路徑方向的控制。
4.在內部網絡實現精確路由,最大程度限定路由路徑,盡可能限定到IP地址,提升網絡安全性,也為安全監(jiān)控與安全分析提供便捷。
5.在不影響網絡性能的情況下有條件地使用地址訪問列表,控制網絡訪問規(guī)則,提升網絡安全性。方便網絡安全分析。
6.使用殺毒軟件、準入管理、桌面管理軟件、防病墻等安全軟件或硬件,監(jiān)控業(yè)務服務器,保障業(yè)務網絡安全。
7.經常日志分析,分析安全狀態(tài)
2.3外聯(lián)型網絡動態(tài)安全防護
網絡系統(tǒng)在眾多的安全挑戰(zhàn)中,有一種具有組織性、特定目標性以及長時間持續(xù)性的網絡攻擊危害極大,國際上常稱之為APT(Advanced Persistent Threat),APT攻擊者攻擊前往往進行時間跨度可長達數月甚至數年的長時間的準備,其攻擊具有極強的隱蔽性和針對性,這對醫(yī)院集團化、交互式發(fā)展有著很大的威脅,醫(yī)院這些外圍的節(jié)點往往是防護脆弱的。我們從以下三點來應對:
1.建立多維度的協(xié)同防御體系,從而能夠從不同的角度防護可能的APT攻擊。
2.對網絡進行長期檢測、分析日志的工作,重點監(jiān)測網絡流量是否異常,重點分析客戶端和服務器的各種狀態(tài)參數是否異常。
3.利用大數據分析技術實現信息共享,共同關聯(lián)分析、綜合預警。
2.4醫(yī)院網絡安全的策略應用與總結
隨著醫(yī)院內部網絡的復雜化、龐大化,隨著醫(yī)院醫(yī)療層面的業(yè)務聯(lián)合化,醫(yī)院網絡安全也需要聯(lián)合化,政府、公安、各醫(yī)療組織聯(lián)合起來,所有單位的網絡及安全設備、安全軟件,組成一個龐大的安全觸角,聯(lián)動管理、聯(lián)動分析。安全日志共享、聯(lián)動,加強對服務器和客戶端運行環(huán)境的監(jiān)控與預警,聯(lián)合起來針對通訊協(xié)議、針對網絡數據,使用大數據進行寬時間域數據關聯(lián)分析、寬應用域事件關聯(lián)分析,盡可能攻擊溯源或增加攻擊者的攻擊成本并加強脆弱方面的安全措施、監(jiān)控和行政管理,最大程度保障醫(yī)院網絡的安全。
以東南大學附屬中大醫(yī)院某個獨立實驗室網站外部訪問為例,實驗室網絡所有外部訪問都需要嚴格審核,進行授權管理,嚴格把控外部通訊端口的開啟。網絡內外訪問盡可能使用NAT,如無必要,及時關閉所有外部訪問,盡可能保持網絡內外隔離,保障內部網絡的安全。
醫(yī)院實驗室因聯(lián)合各單位科研方面的需求,實驗室網站與外部相關科研單位的Internet相互訪問不可缺少。在滿足需求的同時,盡可能最大程度考慮網絡安全,實驗室每日匯集各種日志信息進行安全分析并與醫(yī)院網絡中心對接,上報每日安全分析資料。實驗室內部網絡是實驗室內建立的獨立局域網,不與醫(yī)院內部網絡互連,保障醫(yī)院內部網絡的安全。
三、醫(yī)院信息網絡安全管理
醫(yī)院網絡的安全漏洞有很大一部分是由于管理制度不夠完善造成的。因此,建立一套完善的信息網絡安全管理制度是醫(yī)院建設所必不可少的。以東南大學附屬中大醫(yī)院為例,通過加強網絡管理,定期完成操作系統(tǒng)安全策略的維護與檢查、應用程序及數據的備份、防火墻和路由器的安全檢查、系統(tǒng)日志的分析與備份等方面的制度,彌補了醫(yī)院的安全漏洞,提升了信息網絡的安全性,保障了醫(yī)院的醫(yī)療服務、科研服務和管理決策。具體的信息網絡安全管理做法如下:
1.加強院內培訓與學習,避免網絡安全中常見的人為威脅。
2.機房管理人員,保障機房服務器與網絡設備等硬件設備的安全使用,進出機房需要登記,保障機房的電源、UPS、防雷系統(tǒng)、溫度、濕度等各種狀態(tài)的良好,做好每日機房日志記錄。
3.網絡管理員保障網絡硬件設備的使用狀態(tài)良好,保障其配置策略安全。做好交換機、路由器、堡壘機、防火墻、入侵檢測、vpn等設備的日常狀態(tài)分析和日志記錄。
4.服務器管理人員,保障服務器系統(tǒng)運行安全,保障服務器中各應用服務權限的安全分配與控制,做好服務器的操作系統(tǒng)、數據庫、存儲、應用服務的每日安全分析與日志記錄。
5.建立完備的醫(yī)院信息網絡安全預案,保障醫(yī)院信息網絡的安全。
為及時處理醫(yī)院信息系統(tǒng)的各種故障,保障門診、病房信息系統(tǒng)的正常工作,保障醫(yī)院科研工作,保障醫(yī)院管理決策,我們需要不斷地提升醫(yī)院信息網絡的安全。
參? 考? 文? 獻
[1]王曉麗,丁月紅,陸昊. 等保2.0要求下醫(yī)療網絡安全建設與管理研究[J]. 中國數字醫(yī)學.2020(12)
[2]楊瑾.醫(yī)院信息系統(tǒng)的網絡安全建設分析[J].? 數字技術與應用.2016(11)
張云磊(1980-),男,漢族,江蘇南京,碩士研究生,工程師,研究方向:醫(yī)院網絡信息軟硬件維護和安全管理。