張譯心

（山西白求恩醫(yī)院 山西省太原市 030032）

互聯(lián)網(wǎng)技術(shù)、大數(shù)據(jù)、云計算的普及給各個行業(yè)帶來了更多的機會和發(fā)展，也帶來更多的網(wǎng)絡(luò)安全風(fēng)險，醫(yī)療行業(yè)安全事件頻發(fā)。2017年4月WannaCry 勒索病毒侵染全球100 多個國家超20 萬臺服務(wù)器、主機。英國國立醫(yī)療服務(wù)系統(tǒng)（NHS）連接的80 多家醫(yī)院和診所系統(tǒng)癱瘓無法工作，造成了極大的社會影響。我國三甲醫(yī)院遭受勒索、入侵等安全事件也屢見媒體。究其原因，首先是醫(yī)療機構(gòu)的數(shù)據(jù)資產(chǎn)不僅包含患者的個人基本信息，還包含患者的健康數(shù)據(jù)和支付信息，利用價值高。而醫(yī)療機構(gòu)對于網(wǎng)絡(luò)安全工作的認識和實施還不到位，使得病毒肆虐有可乘之機[1]。三甲醫(yī)院是國家醫(yī)療優(yōu)良醫(yī)療資源的匯聚地，信息化建設(shè)作為提高效率和質(zhì)量的手段蓬勃發(fā)展，在醫(yī)療信息化市場中占有重要份額。三甲醫(yī)院的網(wǎng)絡(luò)安全建設(shè)卻沒有跟上醫(yī)療信息化建設(shè)的步伐。

國家早在1994年就提出《中華人民共和國計算機信息安全保護條例》，規(guī)定計算機信息系統(tǒng)實行等級保護，并在后續(xù)的二十多年里充實相關(guān)的制度法規(guī)，形成相對完整的等級保護管理體系（等保1.0）。2016年《中華人民共和國網(wǎng)絡(luò)安全法》和全新的等保要求頒布標(biāo)志著等保進入2.0 時代。等保2.0 管理體系為各行各業(yè)進行從定級、備案、建設(shè)、測評、運營等全流程網(wǎng)絡(luò)安全建設(shè)指明了方向和道路。本文依照等保2.0 體系要求探討三甲醫(yī)院網(wǎng)絡(luò)安全建設(shè)通用模型，符合等保測評通過要求，為三甲醫(yī)院營造符合實際情況的網(wǎng)絡(luò)安全運行環(huán)境提供參考。

1 醫(yī)療信息安全建設(shè)現(xiàn)狀

1.1 等保2.0體系介紹

等級保護制度是指對信息和載體按照重要程度和遭受攻擊影響的范圍定義的不同的等級實施不同安全保護措施的制度。1994年，國務(wù)院頒布《中華人民共和國計算機信息系統(tǒng)安全保護條例》，明確計算機信息系統(tǒng)實行等級保護，并明確由公安部門主管。2003年，中央辦公廳、國務(wù)院辦公廳頒發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27 號）明確指出“實行信息安全等級保護”，為等級保護工作營造了政策環(huán)境。

2004-2006年，公安部聯(lián)合國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室開展設(shè)計65117 家單位，共115319 個信息系統(tǒng)的等級保護基礎(chǔ)調(diào)查和試點工作，為全面開戰(zhàn)等級保護工作奠定基礎(chǔ)。2007年，四部委聯(lián)合出臺《信息安全等級保護管理辦法》和《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》標(biāo)志著信息安全等級保護制度開始實施。運營、使用單位按需照《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級保護基本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù)-信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006），和信息安全技術(shù)中關(guān)于網(wǎng)絡(luò)基礎(chǔ)、操作系統(tǒng)、數(shù)據(jù)庫管理、服務(wù)器技術(shù)、終端計算機、信息系統(tǒng)安全管理等規(guī)定同步建設(shè)。

2016年11月7日《中華人民共和國網(wǎng)絡(luò)安全法》正式頒布，第一次將“網(wǎng)絡(luò)安全等級保護制度”從行政指令上升到法律遵守層面。2017年5月，國家頒布了《網(wǎng)絡(luò)安全等級保護基本要求》系列標(biāo)準(zhǔn)，標(biāo)志著等級保護制度進入2.0 時代。

相較于等保1.0 制度體系，等保2.0 更加強調(diào)網(wǎng)絡(luò)安全建設(shè)與信息化“同步規(guī)劃、同步建設(shè)、同步運行”，以做了如下的改變：

（1）更名為“網(wǎng)絡(luò)安全等級保護”，拓展了等級保護的對象，將新興的云計算、移動互聯(lián)、物聯(lián)網(wǎng)、人工智能等技術(shù)納入到等級保護對象的范疇。

（2）定級對象中對于公民、法人和其他組織的合法權(quán)益受到特別嚴重損害的，從原來定義為等保第二級調(diào)整為等保第三級；并且定級工作流程中增加了“專家評審”，使得定級更加準(zhǔn)確、客觀；重新對定級對象進行了調(diào)整，分為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)和其他信息系統(tǒng)，信息系統(tǒng)再細分為工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動互聯(lián)以及云計算平臺。

（3）網(wǎng)絡(luò)安全等級保護基本要求、設(shè)計技術(shù)要求和測評要求都變更為基本要求+擴展部分要求，擴展部分包括云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)的要求，使用單位可以按照網(wǎng)絡(luò)使用實際情況進行選擇，如：有移動互聯(lián)業(yè)務(wù)的單位，需滿足基本要求+移動互聯(lián)安全擴展要求；更加靈活、貼切得適用于各個網(wǎng)絡(luò)實體。

（4）根據(jù)技術(shù)應(yīng)用的發(fā)展，淘汰了老舊不適用的項目，整合、新增了現(xiàn)今主流的技術(shù)應(yīng)用場景適用的項目，并有新的安全技術(shù)要求的拓展，如可信驗證技術(shù)等。

等保三級通用要求中，整體上將原有十個安全域整合縮減至八個，劃分定義更加明確、內(nèi)涵更加符合網(wǎng)絡(luò)安全建設(shè)的發(fā)展趨勢，如圖1。

圖1

1.2 三甲醫(yī)院信息化建設(shè)的歷程和現(xiàn)狀

醫(yī)療信息化的建設(shè)始于20世紀(jì)70年代，計算機技術(shù)帶來的人工節(jié)省、效率和準(zhǔn)確率的提升，讓大型醫(yī)院特別是三甲醫(yī)院在不增加各類成本的前提下擴張業(yè)務(wù)看到希望。三甲醫(yī)院開始不斷地引進信息技術(shù)來輔助醫(yī)院各項工作，因此，在后續(xù)幾十年里，三甲醫(yī)院一直是信息化技術(shù)在醫(yī)療行業(yè)應(yīng)用的“主戰(zhàn)場”。醫(yī)療信息化的發(fā)展主要經(jīng)歷以下四個階段：起步階段、局部應(yīng)用發(fā)展的階段、面向管理的全院級應(yīng)用階段、互聯(lián)互通的數(shù)字化醫(yī)院階段。

（1）起步階段源于計算機技術(shù)的開始普及，但是礙于成本高的限制，只能應(yīng)用于收費、藥品、人事、病案首頁等部門內(nèi)部單點工作電子化。單機存儲和應(yīng)用、PC 間基本沒有互聯(lián)是這個階段三甲醫(yī)院信息化建設(shè)的特點。

（2）進入90年代，以太網(wǎng)技術(shù)、關(guān)系型數(shù)據(jù)庫技術(shù)的發(fā)展和應(yīng)用，特別是Windows 圖像化便捷操作使得個人PC 進入普通工作場景，刺激著醫(yī)療信息化的應(yīng)用有了一個大的進步，進入局部應(yīng)用發(fā)展的階段。系統(tǒng)在部門內(nèi)部能聯(lián)網(wǎng)，出現(xiàn)C/S 架構(gòu)的程序部署并很快風(fēng)靡起來。這個時期醫(yī)院不同專業(yè)的系統(tǒng)應(yīng)用多了起來，有的醫(yī)院可能有多達數(shù)十個業(yè)務(wù)系統(tǒng)。最初網(wǎng)絡(luò)組網(wǎng)采用總線型網(wǎng)絡(luò)結(jié)構(gòu)，單點故障引起整個局域網(wǎng)癱瘓和網(wǎng)速帶寬有限制約著醫(yī)院局域網(wǎng)的發(fā)展。待到交換技術(shù)的發(fā)展和以太網(wǎng)技術(shù)的應(yīng)用，為組網(wǎng)的擴大和數(shù)據(jù)傳輸更加穩(wěn)定快速提供技術(shù)基礎(chǔ)，使醫(yī)療信息系統(tǒng)局部應(yīng)用向深、遠擴展和系統(tǒng)間數(shù)據(jù)交互成為可能。

1997年，原衛(wèi)生部牽頭攻克了國家八五重點科技攻關(guān)項目“醫(yī)院綜合信息系統(tǒng)研究”和“軍字一號工程”，2002年4月，原衛(wèi)生部印發(fā)了《醫(yī)院信息系統(tǒng)基本功能規(guī)范》，初步界定了醫(yī)院信息系統(tǒng)功能范圍，建立了以財務(wù)管理為核心的全院級信息系統(tǒng)規(guī)范，包含數(shù)十個信息系統(tǒng)功能。由此，醫(yī)院信息化進入面向管理的全院及應(yīng)用階段。此階段的特點與HIS 系統(tǒng)由交互的系統(tǒng)實現(xiàn)了互聯(lián)，很多專業(yè)信息系統(tǒng)仍是孤島。

隨著時間的推進，聚焦醫(yī)院運營的管理模式不再適用，面向以電子病歷為核心，以提升患者服務(wù)滿意度為目標(biāo)的管理模式開始成為主導(dǎo)?！峨娮硬v基本規(guī)范與功能規(guī)范》、《電子病歷基本架構(gòu)與數(shù)據(jù)標(biāo)準(zhǔn)》、《電子病歷系統(tǒng)功能應(yīng)用水平分級評價辦法及標(biāo)準(zhǔn)》、《基于電子病歷的醫(yī)院信息平臺建設(shè)技術(shù)解決方案。

2 模型建設(shè)

2.1 管理要求

等保2.0 體系的管理要求主要以“安全制度”、“機構(gòu)”、“人員”、“活動”為管理對象，制定完整的安全管理控制體系。具體包含：網(wǎng)絡(luò)安全管理制度和策略、安全機構(gòu)和人員管理、安全建設(shè)和運維管理。

2.2 技術(shù)要求

2.2.1 物理和環(huán)境安全

主要以物理環(huán)境、設(shè)備和設(shè)施為對象制定安全策略。主要包含如圖2所示內(nèi)容。

圖2

2.2.2 網(wǎng)絡(luò)和通信安全

目前三甲醫(yī)院大多采用三層架構(gòu)，核心層、匯聚層和接入層，核心服務(wù)器和存儲一般會使用數(shù)據(jù)中心交換機作為業(yè)務(wù)服務(wù)器的網(wǎng)關(guān)。服務(wù)器一般采用物理或者虛擬機，常見的存儲有DAS、NAS、SAN、雙活存儲和云存儲等。通常至少保證匯聚級和以上的網(wǎng)絡(luò)設(shè)備使用堆疊或者雙機不同路由值的組網(wǎng)方式、接入冷備的方式保證網(wǎng)絡(luò)暢通。業(yè)務(wù)承載在物理服務(wù)器上的可以采用Windows 集群、雙機等技術(shù)保證業(yè)務(wù)連續(xù)性，虛擬化一般通過保證虛擬機漂移環(huán)境實現(xiàn)冗余。存儲一般通過RAID 和磁盤熱備的方式，有的存儲還有基于LUN 域冗余熱備的技術(shù)疊加保證存儲安全。

可采用VLAN、ACL、防火墻及其他軟件隔離技術(shù)進行邏輯分區(qū)。一般可分為終端接入、核心網(wǎng)絡(luò)、核心業(yè)務(wù)、網(wǎng)絡(luò)管理區(qū)、網(wǎng)絡(luò)安全運維區(qū)等。業(yè)務(wù)最好根據(jù)核心程度分為核心業(yè)務(wù)、普通業(yè)務(wù)和邊緣業(yè)務(wù)區(qū)域，方便用更加細致地制作安全策略。

三甲醫(yī)院一般的網(wǎng)絡(luò)邊界一般有三個，連接互聯(lián)網(wǎng)、連接醫(yī)療專網(wǎng)和網(wǎng)內(nèi)的終端。連接互聯(lián)網(wǎng)和醫(yī)療專網(wǎng)的邊界可采用防火墻+IPS（入侵檢測防御）+網(wǎng)閘的方式加固、終端處可以采用殺毒+準(zhǔn)入的技術(shù)進行控制。其中，訪問控制策略的精細度是保證“門戶”安全的關(guān)鍵。

在“門戶”嚴格控制數(shù)據(jù)進出的前提下，可以采用在主干鏈路中搭配安全檢測設(shè)備來實現(xiàn)對于未知威脅的監(jiān)測。目前主流的技術(shù)是以態(tài)勢感知為“大腦”，吸納所有安全和網(wǎng)絡(luò)設(shè)備的日志，進行全流量綜合分析安全威脅和業(yè)務(wù)風(fēng)險，深度挖掘訪問關(guān)系，實現(xiàn)檢測、聯(lián)動阻斷、攻擊回溯等功能。安全監(jiān)測防護設(shè)備可旁掛鏡像，必要時也可串聯(lián)至主干鏈路中，包含APT（高級持續(xù)性威脅）、態(tài)勢感知探針、防火墻、網(wǎng)絡(luò)安全日志審計、WAF（WEB 應(yīng)用防護系統(tǒng)）。

2.2.3 設(shè)備和計算安全

采用堡壘機作為綜合運維的入口，將所有業(yè)務(wù)服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的運維均通過堡壘機實現(xiàn)。根據(jù)訪問者的角色、訪問數(shù)據(jù)的需求開具相應(yīng)權(quán)限，保證開放權(quán)限最小化及時關(guān)停無用賬號，并對所有操作進行錄像、字符和其他審計記錄。至少使用兩種登錄驗證方式，常規(guī)為賬號密碼+動態(tài)口令。

服務(wù)器系統(tǒng)、數(shù)據(jù)庫、存儲、網(wǎng)絡(luò)設(shè)備及安全設(shè)備的賬號管理一般采用超級管理員、管理員和審計員三種，原則上超級管理員、審計賬號不做業(yè)務(wù)處理、管理員只具有業(yè)務(wù)管理的最低權(quán)限，審計員只能進行審計查看。包括業(yè)務(wù)系統(tǒng)賬號在內(nèi)的所有賬號均需設(shè)置密碼復(fù)雜度、密碼定期修改、賬號鎖定等強制策略。多種身份驗證三甲醫(yī)院一般采用業(yè)務(wù)賬號密碼+CA 認證實現(xiàn)。

采用數(shù)據(jù)庫審計、日志審計等設(shè)備對系統(tǒng)訪問進行數(shù)據(jù)庫、日志、泄密軌跡、數(shù)據(jù)庫訪問關(guān)系、數(shù)據(jù)庫攻擊威脅的分析。三甲醫(yī)院還可能配有防統(tǒng)方軟件，一種特殊的數(shù)據(jù)庫審計軟件，針對HIS、CIS 系統(tǒng)的特定SELECT 語句進行分析，防范統(tǒng)方行為的發(fā)生。目前主流的日志審計設(shè)備能兼容大多數(shù)網(wǎng)絡(luò)、安全、服務(wù)器、存儲設(shè)備日志留存，成為綜合的日志審計平臺，運維方便。留存應(yīng)符合等保制度要求，并注意開啟防擦除功能。

對于惡意代碼防范，主要可以從系統(tǒng)上線前監(jiān)測和上線后定期監(jiān)測完成，降低實時監(jiān)測阻斷正常業(yè)務(wù)的風(fēng)險。網(wǎng)絡(luò)邊界處的IPS設(shè)備需要實時開啟惡意代碼防范功能。

設(shè)備和計算環(huán)境的監(jiān)測等保2.0 要求采用綜合監(jiān)控的方式，抓取所有設(shè)備的運行狀態(tài)，實行集中監(jiān)控。特別是對重要設(shè)備的CPU、內(nèi)存、硬盤等硬件環(huán)境實時監(jiān)測，并對分散的審計數(shù)據(jù)集中分析處理。

2.2.4 應(yīng)用和數(shù)據(jù)安全

三甲醫(yī)院經(jīng)過幾十年的發(fā)展，大多體量比較大，主干數(shù)據(jù)實時流量能達到GB 量級。互聯(lián)互通的要求使得業(yè)務(wù)運行時交互行為增多，等待交互結(jié)果回寫是提升業(yè)務(wù)系統(tǒng)運行速度的瓶頸之一。因此，在主干鏈路中增加加密傳輸數(shù)據(jù)的機制目前還沒有得到普遍應(yīng)用。可以考慮在數(shù)據(jù)出口做數(shù)據(jù)交付時采用VPN 的技術(shù)保證傳輸通道的加密，還可以使用數(shù)據(jù)脫敏和加密的方式保證數(shù)據(jù)傳輸完整性和安全。對于內(nèi)部非生產(chǎn)數(shù)據(jù)使用需求例如科研教學(xué)用數(shù)據(jù)，可以采用數(shù)據(jù)脫敏加密和水印的技術(shù)，達到保證數(shù)據(jù)的保密性而數(shù)據(jù)結(jié)構(gòu)不變的目的，同時數(shù)據(jù)水印可以把數(shù)據(jù)提取者打上標(biāo)簽利于泄密后溯源。

3 擴展要求

目前三甲醫(yī)院對于移動互聯(lián)技術(shù)和云計算技術(shù)均有運用。移動互聯(lián)主要體現(xiàn)在兩種場景。

（1）院內(nèi)移動業(yè)務(wù)使用。主要是移動醫(yī)護工作站、移動醫(yī)療采集設(shè)備，特點是不與互聯(lián)網(wǎng)相連，需要直接訪問核心資源?？梢圆捎脟栏窆芸匾苿尤刖W(wǎng)，劃分特殊的網(wǎng)段給移動應(yīng)用，綁定移動設(shè)備的MAC 地址，按區(qū)域劃分聯(lián)網(wǎng)賬號密碼；安裝準(zhǔn)入控制軟件限制設(shè)備連接非醫(yī)院內(nèi)網(wǎng)，通過訪問策略限制可訪問的資源。

（2）院內(nèi)業(yè)務(wù)與互聯(lián)網(wǎng)交互使用，例如，院外可穿戴設(shè)備的數(shù)據(jù)通過互聯(lián)網(wǎng)回寫至醫(yī)院內(nèi)網(wǎng)服務(wù)器。首先，傳輸可以使用互聯(lián)網(wǎng)VPN 電路，或者VPN 授權(quán)移動APP 發(fā)起連接的形式，保證傳輸安全。通過網(wǎng)閘連通生產(chǎn)網(wǎng)絡(luò)和互聯(lián)網(wǎng)，嚴格控制交互地址和端口，串聯(lián)防火墻和其他入侵檢測設(shè)備保障數(shù)據(jù)安全。啟用前置機組建DMZ 區(qū)，避免互聯(lián)網(wǎng)直接連通醫(yī)院內(nèi)網(wǎng)核心資源。

云計算使用場景主要指醫(yī)院將數(shù)據(jù)托管或者業(yè)務(wù)托管給云提供商，通過互聯(lián)網(wǎng)實現(xiàn)數(shù)據(jù)交互。虛擬化按照等保三級云計算擴展要求，強調(diào)云服務(wù)商的選擇、責(zé)任劃分和對數(shù)據(jù)的保護。

4 結(jié)語

安全是相對的，網(wǎng)絡(luò)安全建設(shè)是一項“永遠在路上”的工程。本文構(gòu)建的三甲醫(yī)院適用的網(wǎng)絡(luò)安全等保2.0 建設(shè)模型，基于三甲醫(yī)院目前主流的組網(wǎng)技術(shù)和業(yè)務(wù)架構(gòu)，是一個基礎(chǔ)模型，能為三甲醫(yī)院提供滿足基本網(wǎng)絡(luò)安全需求的網(wǎng)絡(luò)安全運行環(huán)境。將安全風(fēng)險減低到最小的方法，依照等保2.0 體系要求，網(wǎng)絡(luò)安全與醫(yī)院信息化“同步規(guī)劃、同步建設(shè)、同步運行”，做到：

（1）強化醫(yī)院員工的安全責(zé)任意識和安全操作技能的培養(yǎng)；

（2）嚴格執(zhí)行網(wǎng)絡(luò)安全制度規(guī)定，深耕日常運維工作；

（3）將安全風(fēng)險量化分級，針對不同風(fēng)險做不同級別的加固，使得對于風(fēng)險做到“心中有數(shù)”[4]。

（4）深入精細梳理院內(nèi)資產(chǎn)和數(shù)據(jù)流向，制作相應(yīng)的安全策略，真正把安全設(shè)備的價值發(fā)揮到最大。

（5）運用PDCA 戴明環(huán)實踐理論，在建設(shè)、運維中總結(jié)提升，周而復(fù)始，不斷提升醫(yī)院的網(wǎng)絡(luò)安全防護能力。