羅志恒 鐘麗娜 莫建坤

（廣東省第二人民醫(yī)院 廣東省廣州市 510317）

作為一個(gè)現(xiàn)代化的醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)，如何保證醫(yī)院網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)安全問題尤為重要。

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中明確提到： “國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞，喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，實(shí)行重點(diǎn)保護(hù)”[1]。因此，必須對(duì)醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全進(jìn)行加固改造，將目前被動(dòng)式防御安全體系升級(jí)為主動(dòng)防御式安全體系，保障醫(yī)院信息系統(tǒng)的運(yùn)行安全。

1 建設(shè)目標(biāo)

建設(shè)目標(biāo)是結(jié)合醫(yī)院信息系統(tǒng)安全現(xiàn)狀，確定醫(yī)院信息網(wǎng)絡(luò)檔案管理系統(tǒng)安全建設(shè)需求，并且解決“等級(jí)保護(hù)合規(guī)性要求”、“內(nèi)外網(wǎng)安全隔離缺失”、“網(wǎng)絡(luò)準(zhǔn)入認(rèn)證失效”的網(wǎng)絡(luò)現(xiàn)狀，全面提升醫(yī)院新建數(shù)據(jù)中心的整體網(wǎng)絡(luò)安全水平。

通過本次安全建設(shè)整改與策略加固工作，達(dá)到以下4個(gè)方面的目標(biāo)：

1.1 合法合規(guī)

醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)屬國(guó)計(jì)民生的重要信息系統(tǒng)，其安全建設(shè)必須要符合國(guó)家相關(guān)政策要求，其安全保障體系建設(shè)最終要達(dá)到的保護(hù)效果應(yīng)符合《網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等政策要求。實(shí)現(xiàn)統(tǒng)籌規(guī)劃安全建設(shè)，合理規(guī)劃安全域、建立有效的安全技術(shù)保障體系、完善安全管理體系的建設(shè)。同時(shí)對(duì)標(biāo)等保2.0要求構(gòu)建一個(gè)中心、三重防護(hù)保障的主動(dòng)防御安全體系[2]（一個(gè)中心是指安全管理中心，三重防護(hù)由安全計(jì)算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡(luò)組成），從物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計(jì)算及應(yīng)用和數(shù)據(jù)方面對(duì)信息安全進(jìn)行統(tǒng)籌規(guī)劃設(shè)計(jì)。如圖1的示。

圖1：防御安全體系

1.2 內(nèi)外隔離

在技術(shù)體系方面，針對(duì)性解決當(dāng)前網(wǎng)絡(luò)安全區(qū)域劃分不明確的情況，建立應(yīng)用訪問、用戶接入、數(shù)據(jù)傳輸?shù)陌踩褂脵C(jī)制，最終實(shí)現(xiàn)區(qū)域安全隔離。

1.3 可管可視

建立統(tǒng)一的信息安全運(yùn)營(yíng)管理體系，確切落實(shí)各項(xiàng)管理制度，讓安全管理體系有清晰的責(zé)任權(quán)限、合理的制度要求。同時(shí)運(yùn)用包括網(wǎng)絡(luò)安全可視化、運(yùn)維統(tǒng)一管理的創(chuàng)新技術(shù)手段，實(shí)現(xiàn)簡(jiǎn)化安全運(yùn)維管理，減輕安全運(yùn)維管理負(fù)擔(dān)，提升安全運(yùn)維管理的效率，最終做到整體防御、分區(qū)隔離；積極防護(hù)、內(nèi)外兼防；自身防御、主動(dòng)免疫；縱深防御、技管并重。

1.4 經(jīng)濟(jì)合理

落地實(shí)施方面需要滿足經(jīng)濟(jì)性原則，即所選產(chǎn)品在滿足醫(yī)院功能性能要求的前提下，考慮2-3年冗余，按照頂層設(shè)計(jì)，統(tǒng)籌規(guī)劃，分步實(shí)施的原則逐步落地，充分節(jié)約費(fèi)用和資金。

2 當(dāng)前主要網(wǎng)絡(luò)問題及分析

醫(yī)院現(xiàn)網(wǎng)與互聯(lián)網(wǎng)相連，網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。

圖2：網(wǎng)絡(luò)拓?fù)鋱D

2.1 網(wǎng)絡(luò)準(zhǔn)入控制問題

內(nèi)外網(wǎng)存在多樣性的終端設(shè)備（電腦終端、訪客終端、移動(dòng)終端、亞終端等），這些終端設(shè)備接入到內(nèi)網(wǎng)或無(wú)線網(wǎng)絡(luò)，本身可能存在安全隱患，會(huì)給內(nèi)網(wǎng)安全帶來(lái)極大的隱患，如攜帶病毒的終端接入業(yè)務(wù)網(wǎng)絡(luò)導(dǎo)致病毒蔓延等威脅。

因此，需要網(wǎng)絡(luò)準(zhǔn)入控制來(lái)實(shí)現(xiàn)可信終端接入內(nèi)部網(wǎng)絡(luò)，能對(duì)終端進(jìn)行有效管理，能阻斷不可信、不合規(guī)的終端接入網(wǎng)絡(luò)；同時(shí)，能夠通過綁定IP和MAC地址來(lái)管控用戶訪問業(yè)務(wù)系統(tǒng)的權(quán)限，并記錄用戶訪問業(yè)務(wù)的行為，以便事后追溯。

2.2 內(nèi)網(wǎng)服務(wù)器區(qū)安全問題

當(dāng)前服務(wù)器區(qū)安全主要存在以下安全隱患：

（1）內(nèi)網(wǎng)DMZ區(qū)安全：內(nèi)網(wǎng)部分業(yè)務(wù)需要通過醫(yī)保網(wǎng)等專網(wǎng)對(duì)接上報(bào)數(shù)據(jù)，該業(yè)務(wù)存在受專網(wǎng)橫向傳播威脅影響的風(fēng)險(xiǎn)，需要進(jìn)行單獨(dú)隔離建設(shè)。

（2）云（虛擬化）安全：目前的服務(wù)器虛擬化上，整體安全還是需要加強(qiáng)的，因?yàn)樘摂M化服務(wù)器的安全，包括平臺(tái)的安全和虛擬機(jī)的安全，虛擬化的安全，如虛擬機(jī)與虛擬機(jī)之前的流量、虛擬機(jī)與虛擬機(jī)之間的攻擊都不可視，需要加強(qiáng)東西的流量可視與主機(jī)安全防護(hù)。

2.3 外網(wǎng)接入及運(yùn)維審計(jì)問題

醫(yī)院運(yùn)維需求面臨的問題如下：

（1）系統(tǒng)帳號(hào)密碼難管理，目前操作人員都是自行管理自己負(fù)責(zé)的系統(tǒng)，為了便于記憶，甚至多套系統(tǒng)共用一個(gè)密碼，存在安全隱患；

（2）系統(tǒng)帳號(hào)安全風(fēng)險(xiǎn)缺乏管控手段，由于帳號(hào)數(shù)量較多，難以通過人工方式對(duì)帳號(hào)風(fēng)險(xiǎn)進(jìn)行核查；

（3）訪問權(quán)限粗管控，目前采用跳板機(jī)的管理方式,操作人員在辦公終端中中可隨時(shí)登錄設(shè)備，并可在多臺(tái)設(shè)備間任意跳轉(zhuǎn)，不符合安全管理規(guī)范；

（4）命令操作權(quán)限無(wú)限制，對(duì)高危操作無(wú)任何限制，存在誤操作，惡意操作的風(fēng)險(xiǎn)；

（5）操作日志審計(jì)難，操作過程中沒有有效的審計(jì)和回溯，如果發(fā)生安全事件，無(wú)法進(jìn)行審計(jì)和問責(zé)；

因此，建設(shè)一套行之有效的訪問方式與管理手段非常必要。

3 整體方案設(shè)計(jì)

醫(yī)院新建數(shù)據(jù)中心整體安全設(shè)計(jì)方案的總體目標(biāo)是在醫(yī)院信息系統(tǒng)現(xiàn)狀的基礎(chǔ)上，對(duì)其進(jìn)行整體安全設(shè)計(jì)規(guī)劃和等保合規(guī)性整改，建立一個(gè)完整的安全保障體系，有效保障醫(yī)院系統(tǒng)業(yè)務(wù)的正常開展，保護(hù)敏感數(shù)據(jù)信息的安全，保證整體的網(wǎng)絡(luò)安全水平，并能夠?qū)崿F(xiàn)防御、檢測(cè)、響應(yīng)的一體化安全建設(shè)目標(biāo)。

本方案首先對(duì)各個(gè)功能區(qū)進(jìn)行劃分，本著安全、穩(wěn)定、節(jié)約的原則，在滿足等保合規(guī)性增設(shè)最適合的安全設(shè)備，以保障用最少的成本讓用戶和工作人員得到最流暢的、最安全的網(wǎng)絡(luò)體驗(yàn)，讓管理員獲得最有效的、最簡(jiǎn)易的管理方式。針對(duì)醫(yī)院實(shí)際情況，采用如下部署：

3.1 互聯(lián)網(wǎng)出口區(qū)

雙機(jī)部署下一代防火墻、上網(wǎng)行為管理于互聯(lián)網(wǎng)出口，雙機(jī)部署可保障網(wǎng)絡(luò)的高可用性，避免單點(diǎn)故障導(dǎo)致的業(yè)務(wù)不可用；

（1）上網(wǎng)行為管理可針對(duì)各個(gè)用戶提供全局統(tǒng)一的寬帶控制策略；

（2）下一代防火墻可針對(duì)用戶的上網(wǎng)終端提供安全威脅過濾、木馬惡意流量檢測(cè)、DMZ服務(wù)器保護(hù)、NAT、路由等安全防護(hù)功能；

（3）部署一臺(tái)SSL VPN設(shè)備，在移動(dòng)辦公上，通過SSL VPN將內(nèi)網(wǎng)服務(wù)器隱藏，通過VPN的方式進(jìn)行安全訪問，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，防止被人竊取。保證內(nèi)部應(yīng)用在互聯(lián)網(wǎng)傳輸?shù)陌踩?，防止?shù)據(jù)被監(jiān)聽甚至篡改。

3.2 對(duì)外服務(wù)器區(qū)

（1）在該區(qū)域采用外網(wǎng)專線接入，雙機(jī)部署下一代防火墻對(duì)外網(wǎng)業(yè)務(wù)進(jìn)行防護(hù)，下一代防火墻能夠雙向分析網(wǎng)絡(luò)流量的網(wǎng)絡(luò)層、應(yīng)用層和內(nèi)容風(fēng)險(xiǎn)，提供比傳統(tǒng)防火墻、IPS和WAF等多種安全設(shè)備更強(qiáng)的安全防護(hù)能力，可以抵御來(lái)源更廣泛、攻擊更容易、危害更明顯的應(yīng)用層攻擊，實(shí)現(xiàn)L2-L7層全面的數(shù)據(jù)中心安全加固[3]。

（2）提供網(wǎng)站安全監(jiān)測(cè)服務(wù)，通過云端的實(shí)時(shí)監(jiān)測(cè)的方式，對(duì)網(wǎng)站進(jìn)行風(fēng)險(xiǎn)評(píng)估的服務(wù)。及時(shí)的發(fā)現(xiàn)網(wǎng)站安全問題，避免主管單位的通報(bào)，或者提前發(fā)現(xiàn)網(wǎng)站問題，并且在發(fā)現(xiàn)網(wǎng)站有漏洞、網(wǎng)頁(yè)篡改、黑鏈等安全事件的時(shí)候，通過微信推送的方式進(jìn)行實(shí)時(shí)告警，提高網(wǎng)站的監(jiān)測(cè)效率。

（3）部署一臺(tái)流量分析探針，分析網(wǎng)絡(luò)流量日志的內(nèi)容包括了每個(gè)IP每時(shí)每刻所發(fā)起的每個(gè)session的時(shí)間、分布、流量、流向、所屬應(yīng)用和類別。例如針對(duì)醫(yī)院用血安全全程質(zhì)量控制數(shù)字化、無(wú)紙化管理系統(tǒng)某功能需要更新時(shí)，須向醫(yī)院信息管理部門提前報(bào)備和申請(qǐng)；醫(yī)院的流量分析探針可實(shí)時(shí)觀察記錄并提示系統(tǒng)功能更新前后的變化及系統(tǒng)運(yùn)行穩(wěn)定與否，對(duì)流量日志最直觀的一種數(shù)據(jù)加工就是按照應(yīng)用切片的流量流向圖[4-5]。

3.3 內(nèi)外網(wǎng)隔離區(qū)

（1）目前醫(yī)院內(nèi)、外網(wǎng)辦公區(qū)終端采用原有同一套接入交換機(jī)和匯聚交換機(jī)，通過vlan技術(shù)隔離。部署一臺(tái)新的外網(wǎng)核心交換機(jī)作為外網(wǎng)終端網(wǎng)關(guān)設(shè)備。

（2）在內(nèi)、外網(wǎng)辦公區(qū)部署防火墻，對(duì)接入核心交換機(jī)的終端做流量的過濾。來(lái)自于辦公PC和移動(dòng)終端的病毒、木馬、蠕蟲的危害可能導(dǎo)致終端系統(tǒng)癱瘓、被控制、存儲(chǔ)的信息被竊取、被引導(dǎo)訪問釣魚網(wǎng)站，成為僵尸網(wǎng)絡(luò)，甚至于成為攻擊到主要業(yè)務(wù)系統(tǒng)服務(wù)器的跳板等，因此成為接入核心最為迫切的安全防護(hù)需求。

3.4 內(nèi)網(wǎng)服務(wù)器區(qū)

（1）在該區(qū)域邊界以雙機(jī)模式部署下一代防火墻對(duì)內(nèi)網(wǎng)業(yè)務(wù)進(jìn)行防護(hù)，雙機(jī)部署提高網(wǎng)絡(luò)冗余能力，避免單點(diǎn)故障帶來(lái)的業(yè)務(wù)不可用；相比傳統(tǒng)堆疊式安全部署，解決了數(shù)據(jù)中心部署多臺(tái)安全設(shè)備帶來(lái)的單點(diǎn)故障、性能消耗、難以管理的問題[6]。

（2）對(duì)于內(nèi)網(wǎng)虛擬機(jī)內(nèi)部流量不可視、虛擬機(jī)的安全防護(hù)缺失的情況，通過在每臺(tái)主機(jī)上部署輕量級(jí)端點(diǎn)探針Agent，在運(yùn)維管理區(qū)部署EDR管理平臺(tái)（可在現(xiàn)有虛擬機(jī)上部署）；提供全面基于虛擬機(jī)應(yīng)用角色之間的訪問控制，做到可視化的安全訪問策略配置，簡(jiǎn)單高效地對(duì)應(yīng)用服務(wù)之間訪問進(jìn)行隔離技術(shù)實(shí)現(xiàn)，避免某臺(tái)虛擬機(jī)被攻陷后，帶來(lái)的進(jìn)一步橫向攻擊導(dǎo)致虛擬化平臺(tái)全部陷入癱瘓的境地，同時(shí)EDR支持虛擬機(jī)殺毒功能，進(jìn)一步構(gòu)建起虛擬機(jī)對(duì)病毒、木馬等威脅的隔離。

3.5 安全運(yùn)維區(qū)

（1）終端檢測(cè)響應(yīng)系統(tǒng)管理平臺(tái)，通過部署的服務(wù)器安全組件集中管理平臺(tái)實(shí)現(xiàn)對(duì)全部EDR終端的統(tǒng)一策略下發(fā)，特征庫(kù)更新，集中管理，同一日志上傳等，達(dá)到服務(wù)器區(qū)閉環(huán)響應(yīng)處置的目的。

（2）態(tài)勢(shì)感知的管理平臺(tái)。通過平臺(tái)實(shí)現(xiàn)全網(wǎng)統(tǒng)一安全事件分析和聯(lián)動(dòng)處置，解決檢測(cè)、防御、響應(yīng)閉環(huán)問題。

（3）管理區(qū)部署運(yùn)維安全管理系統(tǒng)（堡壘機(jī)），實(shí)現(xiàn)對(duì)運(yùn)維人員遠(yuǎn)程訪問操作服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)過程的認(rèn)證、授權(quán)、監(jiān)控與審計(jì)，實(shí)現(xiàn)對(duì)IT運(yùn)維過程的全面監(jiān)管，做到有效的事前預(yù)防、事中控制及事后審計(jì)，滿足用戶的安全管理需求。

（4）管理區(qū)部署1套數(shù)據(jù)庫(kù)安全審計(jì)系統(tǒng)，可以保護(hù)對(duì)數(shù)據(jù)庫(kù)非法操作及時(shí)告警與審計(jì)、保障非法操作的準(zhǔn)確溯源、保護(hù)數(shù)據(jù)庫(kù)中賬號(hào)安全、統(tǒng)計(jì)分析安全現(xiàn)狀，并能以可視化報(bào)表從多維度分析數(shù)據(jù)庫(kù)的安全現(xiàn)狀等四方面保障數(shù)據(jù)庫(kù)的安全。

（5）管理區(qū)部署日志審計(jì)設(shè)備，通過標(biāo)準(zhǔn)日志傳輸模式進(jìn)行傳遞。加強(qiáng)網(wǎng)絡(luò)日志審計(jì)措施，滿足《網(wǎng)絡(luò)安全法》第二十一條“監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月”的法律要求，并滿足網(wǎng)監(jiān)部門監(jiān)察以及公安部82號(hào)令要求[7-8]。

4 結(jié)論

等保2.0網(wǎng)絡(luò)安全加固方案給醫(yī)院帶來(lái)全網(wǎng)安全可視、預(yù)警及響應(yīng)，高效感知內(nèi)部高級(jí)安全風(fēng)險(xiǎn)；在外部，通過大量的外部威脅情報(bào)，輔助高級(jí)安全事件的分析；在網(wǎng)絡(luò)內(nèi)部，在各個(gè)子域的關(guān)鍵節(jié)點(diǎn)上，通過探針或安全設(shè)備，精準(zhǔn)的采集有效檢測(cè)信息。將外部威脅情報(bào)和內(nèi)部真實(shí)流量信息匯總到一起，通過行為分析、機(jī)器學(xué)習(xí)等算法對(duì)各類潛伏到網(wǎng)絡(luò)內(nèi)部的高級(jí)威脅進(jìn)行檢測(cè)，并通過可視化的方式，最終讓醫(yī)院感知到我們現(xiàn)在是否安全？哪里不安全？造成什么危害，并如何處置。結(jié)合邊界防護(hù)、安全檢測(cè)、內(nèi)網(wǎng)檢測(cè)、管理中心、可視化平臺(tái)，基于行為和關(guān)聯(lián)分析技術(shù)，對(duì)全網(wǎng)的流量實(shí)現(xiàn)全網(wǎng)應(yīng)用可視化，業(yè)務(wù)可視化，攻擊與可疑流量可視化，解決安全黑洞與安全洼地的問題。