臧 璆 汪春亮

(蘇州大學(xué)附屬第二醫(yī)院信息處 蘇州 215000)

1 引言

蘇州大學(xué)附屬第二醫(yī)院信息化建設(shè)工作全方位覆蓋運營管控、決策分析、臨床業(yè)務(wù)、科研教學(xué)等業(yè)務(wù)活動，應(yīng)通過信息化手段推進醫(yī)院醫(yī)療水平和業(yè)務(wù)流程創(chuàng)新和持續(xù)優(yōu)化[1]。醫(yī)院信息化建設(shè)不斷推進對網(wǎng)絡(luò)的可靠性和安全性提出更高要求。蘇州大學(xué)附屬第二醫(yī)院目前網(wǎng)絡(luò)穩(wěn)定性和安全性較低，已無法滿足醫(yī)院現(xiàn)有應(yīng)用業(yè)務(wù)要求，需要重新規(guī)劃、設(shè)計和改造實施[2]。

2 等保2.0安全要求

2019年5月《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》2.0版本(以下簡稱等保2.0)發(fā)布。同年12月等保2.0正式實施，為醫(yī)療行業(yè)提供更完善的安全規(guī)范和技術(shù)要求。等保2.0的安全要求從內(nèi)容上可以分成技術(shù)和管理兩部分。技術(shù)要求和管理要求分別包括5個方面。技術(shù)要求可分為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心；管理要求可分為安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理。本項目側(cè)重安全通信網(wǎng)絡(luò)、安全區(qū)域邊界和安全管理中心建設(shè)。在安全通信網(wǎng)絡(luò)方面，對整體網(wǎng)絡(luò)架構(gòu)提出更詳細要求。網(wǎng)絡(luò)帶寬和關(guān)鍵網(wǎng)絡(luò)設(shè)施處理能力需要滿足業(yè)務(wù)高峰期的需求。安全區(qū)域邊界可能涉及多條網(wǎng)絡(luò)邊界，包括互聯(lián)網(wǎng)、社保單位、衛(wèi)健委等上級單位、合作銀行和附屬大學(xué)邊界等。不同網(wǎng)絡(luò)邊界分屬不同安全設(shè)備。安全管理中心是等保2.0全新規(guī)劃節(jié)點，該節(jié)點包括對各項設(shè)備系統(tǒng)運維情況、各類日志、策略配置、監(jiān)控情況、惡意代碼等的集中管理。

3 網(wǎng)絡(luò)安全規(guī)劃

3.1 網(wǎng)絡(luò)安全現(xiàn)狀分析

3.1.1 醫(yī)院現(xiàn)有網(wǎng)絡(luò)安全建設(shè)情況 本院網(wǎng)絡(luò)包括兩個院區(qū)園區(qū)網(wǎng)、數(shù)據(jù)中心以及安全設(shè)施區(qū)域。網(wǎng)絡(luò)設(shè)備和安全設(shè)備等已經(jīng)使用較長時間，呈老化狀態(tài)。承載網(wǎng)核心和匯聚、數(shù)據(jù)中心核心和匯聚都采用智能彈性架構(gòu)(Intelligent Resilient Framework，IRF)虛擬化技術(shù)進行冗余配置，鏈路采用聚合技術(shù)，達到設(shè)備和鏈路冗余狀態(tài)。醫(yī)院網(wǎng)絡(luò)采用內(nèi)外網(wǎng)混合模式，即內(nèi)網(wǎng)和外網(wǎng)使用一套物理網(wǎng)絡(luò)進行轉(zhuǎn)發(fā)。

3.1.2 醫(yī)院現(xiàn)行網(wǎng)絡(luò)存在的問題 內(nèi)外網(wǎng)未進行有效隔離，仍采用內(nèi)外網(wǎng)混合的舊模式；網(wǎng)絡(luò)設(shè)備和安全設(shè)備部分老化，未及時更新升級；骨干網(wǎng)未全部升級到萬兆，業(yè)務(wù)高峰時期流量轉(zhuǎn)發(fā)慢；未完全按照新的安全等保技術(shù)要求配置。

3.1.3 網(wǎng)絡(luò)安全改造升級需求 醫(yī)院現(xiàn)階段業(yè)務(wù)正在逐步與互聯(lián)網(wǎng)接軌，以患者為中心，APP、微信公眾號、微信小程序為服務(wù)載體，逐步建設(shè)互聯(lián)網(wǎng)醫(yī)院。隨著越來越豐富的互聯(lián)網(wǎng)應(yīng)用推進，醫(yī)院需要應(yīng)對來自互聯(lián)網(wǎng)的安全隱患問題，亟需進行網(wǎng)絡(luò)安全改造升級[3]。

3.2 優(yōu)化改造目標(biāo)

一是內(nèi)網(wǎng)和外網(wǎng)需進行物理隔離。醫(yī)院根據(jù)實際情況搭建一套完整的、與內(nèi)網(wǎng)完全物理隔離的外網(wǎng)。二是內(nèi)網(wǎng)和外網(wǎng)需要安全加固。根據(jù)安全等級保護要求，內(nèi)網(wǎng)和外網(wǎng)結(jié)合不同業(yè)務(wù)需求和技術(shù)要求，進行有效安全加固。三是更新升級已有部分內(nèi)網(wǎng)。網(wǎng)絡(luò)和安全設(shè)備使得承載網(wǎng)骨干部分全部達到萬兆帶寬，桌面帶寬達到千兆速率。

4 優(yōu)化改造方案

4.1 內(nèi)網(wǎng)方案

4.1.1 概述 首先對內(nèi)網(wǎng)現(xiàn)有網(wǎng)絡(luò)和安全設(shè)備進行更新升級。將現(xiàn)行網(wǎng)絡(luò)建設(shè)成為內(nèi)網(wǎng)網(wǎng)絡(luò)，見圖1。根據(jù)安全等級保護要求調(diào)整內(nèi)網(wǎng)架構(gòu)，加固邊界和內(nèi)網(wǎng)安全，使醫(yī)院安全體系從被動防御轉(zhuǎn)為主動防御[4]。

4.1.2 安全通信網(wǎng)絡(luò)區(qū)域 涉及醫(yī)院內(nèi)網(wǎng)網(wǎng)絡(luò)安全拓撲結(jié)構(gòu)中所有交換機和路由器設(shè)備，虛擬專用網(wǎng)絡(luò)(Virtual Private Network，VPN)以及終端接入安全防護體系(準(zhǔn)入、桌管)。核心層和匯聚皆由兩臺交換機Switch做雙機雙活冗余配置并進行負載均衡，實現(xiàn)高性能轉(zhuǎn)發(fā)能力和較高網(wǎng)絡(luò)穩(wěn)定性[5]。數(shù)據(jù)中心利用4對萬兆光纖鏈路將主備機房匯聚交換機進行連接，實現(xiàn)主備數(shù)據(jù)中心匯聚4框虛擬化，形成環(huán)形網(wǎng)絡(luò)物理拓撲[6]。VPN設(shè)備使用戶可以安全地通過互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)服務(wù)。終端接入安全防護體系主要涉及終端安全防護技術(shù)，包括準(zhǔn)入控制接入和桌管系統(tǒng)等，旨在避免非法終端接入內(nèi)網(wǎng)以及提高終端自身安全性。

4.1.3 安全區(qū)域邊界 分為互聯(lián)網(wǎng)邊界、專線邊界[7]。具體設(shè)備涉及醫(yī)院內(nèi)網(wǎng)網(wǎng)絡(luò)安全拓撲結(jié)構(gòu)各防火墻，上網(wǎng)行為管理，入侵防御系統(tǒng)(Intrusion Prevention System，IPS)，Web應(yīng)用防火墻(Web Application Firewall，WAF)等設(shè)備。在規(guī)劃業(yè)務(wù)網(wǎng)絡(luò)框架時，在互聯(lián)網(wǎng)邊界劃分隔離區(qū)(Demilitarized Zone，DMZ)用于互聯(lián)網(wǎng)應(yīng)用業(yè)務(wù)。醫(yī)院采用防火墻將互聯(lián)網(wǎng)邊界分割為3個區(qū)域：DMZ、內(nèi)網(wǎng)區(qū)域和外網(wǎng)區(qū)域。內(nèi)網(wǎng)區(qū)域是通往內(nèi)網(wǎng)方向，后置上網(wǎng)行為管理、IPS、網(wǎng)閘等專用安全設(shè)備防護[8]。外網(wǎng)區(qū)域是互聯(lián)網(wǎng)方向。在DMZ中將不涉及敏感數(shù)據(jù)的業(yè)務(wù)系統(tǒng)部署在該區(qū)前置機上。而重要敏感數(shù)據(jù)則在內(nèi)網(wǎng)核心數(shù)據(jù)中心存儲，以確保重要數(shù)據(jù)安全性。醫(yī)院業(yè)務(wù)涉及醫(yī)保單位以及各上級單位通信交互。在規(guī)劃此類業(yè)務(wù)時主要通過獨立防火墻劃分出專線邊界區(qū)域并在其中設(shè)置規(guī)范、嚴謹?shù)陌踩呗詫⑨t(yī)保、銀行等有業(yè)務(wù)交互的單位網(wǎng)絡(luò)獨立開。

4.1.4 安全管理中心 包括安全預(yù)警體系、審計追溯體系和安全防御體系[9]。內(nèi)網(wǎng)安全預(yù)警體系涉及入侵檢測系統(tǒng)(Intrusion Detection System，IDS)以及態(tài)勢感知平臺、殺毒預(yù)警平臺、可視化統(tǒng)一網(wǎng)絡(luò)管理運維平臺等，實時監(jiān)測預(yù)警，屬于主動防御。內(nèi)網(wǎng)審計追溯體系涉及數(shù)據(jù)庫審計平臺、日志審計平臺等，旨在產(chǎn)生安全事件后對事件審計追溯，以便發(fā)現(xiàn)漏洞并完善加固。內(nèi)網(wǎng)安全防御體系涉及殺毒系統(tǒng)等，在安全事件發(fā)生過程中處理其不良反應(yīng)，阻止產(chǎn)生更大危害。

4.2 外網(wǎng)方案

4.2.1 概述 考慮到本次改造重點在于內(nèi)外網(wǎng)物理隔離，因此在已有網(wǎng)絡(luò)基礎(chǔ)上，重新搭建一套新的承載網(wǎng)作為外網(wǎng)使用。

4.2.2 承載網(wǎng) 外網(wǎng)承載網(wǎng)采用物理2層結(jié)構(gòu)，結(jié)構(gòu)同內(nèi)網(wǎng)類似，見圖2。承載網(wǎng)分為骨干層和接入層。骨干層采用開放式最短路徑優(yōu)先(Open Shortest Path First，OSPF)TCP/IP 3層路由協(xié)議，自動生成并分發(fā)路由表項。

4.2.3 安全防護 互聯(lián)網(wǎng)出口方面以防火墻作為出口安全網(wǎng)關(guān)，內(nèi)聯(lián)應(yīng)用控制網(wǎng)關(guān)(Application Control Gateway，ACG)。ACG對外網(wǎng)使用用戶進行合法性認證。用戶通過無線或有線方式連入外網(wǎng)后，利用手機號獲取驗證碼，從而判斷是否可以合法使用互聯(lián)網(wǎng)。

5 優(yōu)化改造方案實施

5.1 安全通信網(wǎng)絡(luò)

5.1.1 承載網(wǎng)設(shè)備 網(wǎng)絡(luò)設(shè)備實施時，骨干核心和匯聚皆采用IRF虛擬化技術(shù)保證設(shè)備多機冗余性。設(shè)備和物理線路高度冗余保證了網(wǎng)絡(luò)穩(wěn)定性和可靠性[10]。醫(yī)院建立可視化統(tǒng)一網(wǎng)絡(luò)運維管理平臺，該平臺能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)設(shè)備運行情況并記錄日志，能夠定期對設(shè)備配置進行統(tǒng)一備份。

5.1.2 VPN 通過對通訊數(shù)據(jù)加密使會話能夠在加密通道內(nèi)進行，進而保障用戶進行安全通訊而不被竊聽。

5.1.3 終端接入安全防護體系 包括準(zhǔn)入系統(tǒng)、桌管。主要對象是各類終端設(shè)備。醫(yī)院內(nèi)網(wǎng)終端和外網(wǎng)終端禁止交叉使用。管理部門需要通過技術(shù)手段禁止非法外聯(lián)終端連入內(nèi)網(wǎng)，同時禁止內(nèi)網(wǎng)終端連入外網(wǎng)。本項目通過準(zhǔn)入控制系統(tǒng)禁止外聯(lián)終端連入內(nèi)網(wǎng)。同時安裝桌管系統(tǒng)客戶端以保證內(nèi)網(wǎng)電腦無法連入外網(wǎng)使用，開啟禁外網(wǎng)功能。桌管系統(tǒng)還可以禁止終端使用移動硬盤、無線網(wǎng)卡等，有效預(yù)防內(nèi)網(wǎng)終端中毒事件。

5.2 安全區(qū)域邊界

5.2.1 防火墻 需按照一定要求升級到功能穩(wěn)定的新版本。設(shè)備采用端口級別的安全策略對交互業(yè)務(wù)進行訪問控制。通過業(yè)務(wù)訪問權(quán)限最小化[11]對訪問行為中的源目IP和端口、傳輸層協(xié)議進行嚴格過濾，阻斷未經(jīng)授權(quán)的數(shù)據(jù)流，有效防范互聯(lián)網(wǎng)非法用戶對醫(yī)院業(yè)務(wù)的惡意訪問、網(wǎng)絡(luò)攻擊。

5.2.2 ACG 網(wǎng)絡(luò)框架設(shè)計中，在防火墻后端各部署1套獨立ACG，以管理監(jiān)控和記錄醫(yī)院互聯(lián)網(wǎng)訪問行為。ACG進行有效帶寬分配以保證醫(yī)院業(yè)務(wù)應(yīng)用以及網(wǎng)絡(luò)用戶用網(wǎng)速率。

5.2.3 IPS與WAF 設(shè)備部署在互聯(lián)網(wǎng)出口處。IPS用以防范來自互聯(lián)網(wǎng)、針對內(nèi)網(wǎng)的木馬蠕蟲病毒、緩沖溢出攻擊、窮舉探測以及公共網(wǎng)關(guān)接口(Common Gateway Interface，CGI)攻擊等入侵行為。WAF部署在DMZ區(qū)域應(yīng)用前置服務(wù)器前端，可以實時攔截應(yīng)用層非法訪問和攻擊行為，例如中間件攻擊、掛馬行為、CMS攻擊以及分布式拒絕服務(wù)(Distributed Denial of Service，DDOS)等。

5.2.4 網(wǎng)閘 部署在交換機前端、IPS后端。對通信進行完整采集、深層解析、應(yīng)用重建，在網(wǎng)絡(luò)間采用專有協(xié)議進行數(shù)據(jù)交換。同時本系統(tǒng)對網(wǎng)絡(luò)通信的主體、客體進行綜合認證，確保通信安全可靠，從而在保證內(nèi)外網(wǎng)絡(luò)相互隔離的基礎(chǔ)上進行適度、可靠的數(shù)據(jù)交換。

5.3 安全管理中心

5.3.1 內(nèi)網(wǎng)安全預(yù)警體系 包括態(tài)勢感知平臺、入侵檢測平臺、殺毒預(yù)警平臺以及可視化網(wǎng)絡(luò)管理運維平臺[12]。態(tài)勢感知以安全大數(shù)據(jù)為基礎(chǔ)，從全局視角搭建綜合網(wǎng)絡(luò)安全運維平臺，包括防御、監(jiān)測、提前預(yù)知、事件處理以及事后日志記錄等功能。態(tài)勢感知平臺包括感知探針和綜合分析平臺。醫(yī)院采用1平臺3探針的網(wǎng)絡(luò)部署模式，3個感知探針分別放置在主院區(qū)、分院區(qū)以及數(shù)據(jù)中心核心，實時抓取網(wǎng)絡(luò)上的流量，通過特征庫匹配得出基本流量分析日志并將日志發(fā)送至綜合分析平臺，形成可視化報告。入侵檢測平臺采用鏡像模式，旁路部署在數(shù)據(jù)中心內(nèi)部，對數(shù)據(jù)中心流量進行監(jiān)控，嚴密監(jiān)測數(shù)據(jù)中心是否被木馬后門等攻擊滲透。一旦發(fā)生滲透IDS立即推送告警信息至相關(guān)安全責(zé)任人。殺毒預(yù)警平臺專職監(jiān)控園區(qū)網(wǎng)和數(shù)據(jù)中心是否存在木馬、勒索、蠕蟲等網(wǎng)絡(luò)病毒。如果出現(xiàn)網(wǎng)絡(luò)病毒立即報警并通過與終端殺毒客戶端聯(lián)動方式聯(lián)動殺毒。

5.3.2 內(nèi)網(wǎng)審計追溯體系 包括日志審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)等。網(wǎng)絡(luò)和安全設(shè)備會將自身產(chǎn)生的操作日志、網(wǎng)絡(luò)日志以及安全日志等發(fā)送至日志審計平臺。日志審計系統(tǒng)對收集到的日志進行存儲、分析。通過對日志分析可以對事件進行追溯，幫助運維人員找到安全漏洞并彌補，杜絕未來發(fā)生同樣類型的安全事件[13]。數(shù)據(jù)庫審計系統(tǒng)通過鏡像方式旁路部署在數(shù)據(jù)中心，通抓取進出數(shù)據(jù)中心的流量，分析、審計和記錄業(yè)務(wù)人員對數(shù)據(jù)庫的操作行為。當(dāng)數(shù)據(jù)庫發(fā)生異常情況時管理人員可以通過審計分析其操作過程，解決異常操作帶來的問題。

5.3.3 安全防御體系 全院內(nèi)網(wǎng)和外網(wǎng)終端都安裝網(wǎng)絡(luò)版殺毒軟件。該軟件客戶端與殺毒預(yù)警平臺聯(lián)動，實時對終端計算機掃描殺毒[14]。

5.4 實施效果

經(jīng)過改造醫(yī)院整體網(wǎng)絡(luò)安全防御體系更加完善。有效加強通訊、邊界安全性。醫(yī)院在此次優(yōu)化改造過程中建立安全管理中心，具體包括安全預(yù)警體系、審計追溯體系、安全防御體系。醫(yī)院網(wǎng)絡(luò)安全從被動防御轉(zhuǎn)為主動防御階段，較大程度提高安全事件預(yù)警和應(yīng)對能力。優(yōu)化后的網(wǎng)絡(luò)架構(gòu)達到等保2.0技術(shù)要求，加強系統(tǒng)安全和集中管控能力。通過對出口策略進行端口級別控制大幅提高內(nèi)外網(wǎng)數(shù)據(jù)交互安全性。

6 結(jié)語

醫(yī)院通過內(nèi)外網(wǎng)物理隔離手段提高自身網(wǎng)絡(luò)安全防護能力[15]。本文主要闡述醫(yī)院內(nèi)外網(wǎng)隔離的技術(shù)要點、方案設(shè)計以及具體實施。此次改造已實施完畢，但仍存在改進空間?；ヂ?lián)網(wǎng)出口和專線出口仍然存在單點故障問題。在未來安全改造過程中可以通過增加設(shè)備和線路方式解決該問題，提高互聯(lián)網(wǎng)出口、專線出口穩(wěn)定性和可靠性。醫(yī)院需要根據(jù)安全等保各方面技術(shù)要求建設(shè)完善的網(wǎng)絡(luò)安全架構(gòu)，保證醫(yī)院各業(yè)務(wù)系統(tǒng)安全穩(wěn)定運行。