湯其宇，王士勇，田鵬

·醫(yī)學(xué)信息技術(shù)·

基于等級保護(hù)制度2.0下兩院區(qū)總體安全架構(gòu)的建設(shè)與實(shí)現(xiàn)

湯其宇1，王士勇1，田鵬2

1.海軍軍醫(yī)大學(xué)第三附屬醫(yī)院信息科，上海 200438；2.復(fù)旦大學(xué)信息化辦公室，上海 200433

結(jié)合網(wǎng)絡(luò)安全等級保護(hù)制度2.0的工作實(shí)踐，制定現(xiàn)代數(shù)字化醫(yī)院在兩院區(qū)結(jié)構(gòu)下總體信息安全架構(gòu)設(shè)計(jì)重點(diǎn)和實(shí)現(xiàn)方案，對各個(gè)功能的網(wǎng)絡(luò)安全域進(jìn)行合理地劃分隔離及安全設(shè)備的增設(shè)，提出了以“三個(gè)統(tǒng)一”為原則構(gòu)筑的主動(dòng)防御安全管理保障體系，使得兩院區(qū)信息系統(tǒng)的安全防護(hù)能力得到有效提升，醫(yī)院規(guī)章制度的完善與工作人員安全意識(shí)的提高有助于提升醫(yī)院整體信息安全管理水平，為其他醫(yī)院在日后的網(wǎng)絡(luò)安全建設(shè)中提供了借鑒與思路。

等級保護(hù)2.0；網(wǎng)絡(luò)安全；醫(yī)院信息化；信息系統(tǒng)架構(gòu)

醫(yī)院作為保障民生的重要基礎(chǔ)設(shè)施，提供持續(xù)穩(wěn)定的醫(yī)療服務(wù)資源是重中之重。隨著信息技術(shù)的發(fā)展，醫(yī)院業(yè)務(wù)信息系統(tǒng)建設(shè)從原來單純的電子化更多地轉(zhuǎn)變成互聯(lián)網(wǎng)化、在線化，使得更多諸如診療數(shù)據(jù)、病例數(shù)據(jù)等重要敏感數(shù)據(jù)進(jìn)入信息系統(tǒng)，構(gòu)成龐大的醫(yī)療基礎(chǔ)數(shù)據(jù)，也導(dǎo)致了不法分子入侵醫(yī)療衛(wèi)生行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施以求獲取高價(jià)值醫(yī)療數(shù)據(jù)等的惡性相關(guān)事件頻發(fā)[1]。由此可見，保護(hù)醫(yī)療基礎(chǔ)數(shù)據(jù)已成為信息時(shí)代里醫(yī)院面臨的一個(gè)關(guān)鍵任務(wù)[2]。2019年國家發(fā)布《信息安全技術(shù)——網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T 22239—2019）[3]將傳統(tǒng)的被動(dòng)防護(hù)模式提升為主動(dòng)安全防御架構(gòu)[4]，推動(dòng)醫(yī)療衛(wèi)生行業(yè)建立更加全面的安全保障。

傳統(tǒng)的單院區(qū)架構(gòu)技術(shù)框架成熟，建設(shè)成本較低，但是面對兩院區(qū)的情況，現(xiàn)有技術(shù)已經(jīng)無法滿足實(shí)際的信息化使用需求，無論是數(shù)據(jù)安全保護(hù)還是應(yīng)用冗余災(zāi)備等相關(guān)基本保障，都難以做到較為完善的恢復(fù)方案，一旦發(fā)生較大面積的物理破壞或自然災(zāi)害等不可抗力情況，醫(yī)院將面臨業(yè)務(wù)中斷的高危風(fēng)險(xiǎn)。為此，采用兩院區(qū)模式的安全架構(gòu)設(shè)計(jì)能夠有效提高其安全防護(hù)能力，在原有單院區(qū)建設(shè)的基礎(chǔ)上，對兩院區(qū)的網(wǎng)絡(luò)邊界、業(yè)務(wù)系統(tǒng)、設(shè)備管理和應(yīng)用數(shù)據(jù)進(jìn)行統(tǒng)一管理與整合，形成一套完整的安全運(yùn)營平臺(tái)，保障整個(gè)醫(yī)院的系統(tǒng)數(shù)據(jù)中心、網(wǎng)絡(luò)、終端及應(yīng)用數(shù)據(jù)安全，全面提升醫(yī)院信息基礎(chǔ)設(shè)施的安全防護(hù)能力。本研究在兩院區(qū)場景下，對于開展醫(yī)院信息化網(wǎng)絡(luò)安全等級保護(hù)制度2.0（以下簡稱等保2.0）保護(hù)條例建設(shè)進(jìn)行實(shí)踐探索與總結(jié)探討。

1 背景與現(xiàn)狀

1.1 等保2.0保護(hù)條例簡介

等保2.0保護(hù)條例在等保1.0的基礎(chǔ)上進(jìn)行更新完善，其最大的優(yōu)化之處是設(shè)立安全管理中心為主體核心，以安全通信網(wǎng)絡(luò)為支撐，安全區(qū)域邊界為保障，安全計(jì)算環(huán)境為基礎(chǔ)的三重防御結(jié)構(gòu)進(jìn)行全面安全管控。同時(shí)，技術(shù)方面深化了訪問控制、安全審計(jì)和入侵與惡意代碼防范的防護(hù)標(biāo)準(zhǔn)，并增加可信驗(yàn)證與隱私數(shù)據(jù)保護(hù)等相關(guān)要求；管理方面提出以系統(tǒng)、審計(jì)、安全三層次統(tǒng)一集中管控的相關(guān)要求[5]。

1.2 當(dāng)前醫(yī)院現(xiàn)狀

目前，醫(yī)院的網(wǎng)絡(luò)架構(gòu)大多從初期的單院區(qū)建設(shè)沿用至今，隨著院區(qū)的擴(kuò)建與業(yè)務(wù)的延伸，兩院區(qū)內(nèi)安全區(qū)域邊界模糊不清，同一網(wǎng)段的服務(wù)器和終端存在橫向無阻礙通信的風(fēng)險(xiǎn)，拓?fù)渖洗?lián)的網(wǎng)絡(luò)設(shè)備和安全管理設(shè)備存在單點(diǎn)運(yùn)行的情況，冗余設(shè)備形同虛設(shè)。另外，兩院區(qū)內(nèi)網(wǎng)的終端也存在不經(jīng)過任何信任機(jī)制便可入網(wǎng)的安全隱患。與此同時(shí)，由于沒有規(guī)范化的規(guī)章辦法和安全意識(shí)培訓(xùn)，運(yùn)維人員為圖方便使用弱密碼直接通過默認(rèn)端口登錄目標(biāo)設(shè)備，醫(yī)院對于當(dāng)前復(fù)雜化網(wǎng)絡(luò)態(tài)勢的安全意識(shí)相對淡薄。以上諸多問題致使業(yè)務(wù)系統(tǒng)屢遭勒索病毒與惡意入侵，導(dǎo)致診療服務(wù)中斷，引起安全事故。

2 建設(shè)目標(biāo)

醫(yī)院網(wǎng)絡(luò)安全等保體系是一項(xiàng)長周期持續(xù)建設(shè)的工程，要本著“三個(gè)統(tǒng)一”的原則，即統(tǒng)一防御準(zhǔn)則、統(tǒng)一安全強(qiáng)度、統(tǒng)一管理體系，有步驟、有計(jì)劃、有效率地推動(dòng)安全防護(hù)措施實(shí)施，實(shí)現(xiàn)防御、檢測、響應(yīng)、恢復(fù)的一體化安全建設(shè)目標(biāo)[6]。

2.1 統(tǒng)一防御準(zhǔn)則

總體設(shè)計(jì)上遵循統(tǒng)一縱深防御的準(zhǔn)則，充分了解將安全措施組合應(yīng)用到各區(qū)域邊界所面臨的安全風(fēng)險(xiǎn)。在技術(shù)層面落實(shí)等保2.0保護(hù)條例中提及的各個(gè)層次的安全加固方式，兼顧管理層面能力，形成從外到內(nèi)、自上而下的全面統(tǒng)一防御體系，增強(qiáng)信息系統(tǒng)的整體安全保護(hù)能力。

2.2 統(tǒng)一安全強(qiáng)度

將安全防護(hù)措施細(xì)化至醫(yī)院每個(gè)信息系統(tǒng)的安全域。應(yīng)從點(diǎn)到面形成一體化防御結(jié)構(gòu)，充分考慮每個(gè)區(qū)域邊界和內(nèi)部安全防護(hù)強(qiáng)度的一致性，防止因某個(gè)安全域防護(hù)不到位而導(dǎo)致整體的安全防護(hù)水平削弱，給不法分子帶來可乘之機(jī)。

2.3 統(tǒng)一管理體系

建立并落實(shí)體系化規(guī)章管理制度，滿足責(zé)任分明、權(quán)限清晰、制度健全等要求，運(yùn)用包括安全運(yùn)維統(tǒng)一、安全策略統(tǒng)一、安全管理統(tǒng)一等手段，優(yōu)化運(yùn)維流程、減輕運(yùn)維負(fù)擔(dān)、提升運(yùn)維效率，最終建立一個(gè)整體防護(hù)主動(dòng)免疫的信息安全運(yùn)維管理體系[7]。

3 實(shí)現(xiàn)方案

醫(yī)院兩院區(qū)總體安全架構(gòu)實(shí)現(xiàn)方案的目標(biāo)是在醫(yī)院業(yè)務(wù)系統(tǒng)的基礎(chǔ)上，對全網(wǎng)整體安全設(shè)計(jì)規(guī)劃符合等保2.0保護(hù)條例的合規(guī)性，建立以“安全通信網(wǎng)絡(luò)”“安全區(qū)域邊界”“安全計(jì)算環(huán)境”為板塊的主動(dòng)防御安全管理保障體系，確保敏感數(shù)據(jù)信息的機(jī)密性、信息通信傳輸?shù)耐暾院歪t(yī)院系統(tǒng)業(yè)務(wù)的可用性[8]。具體的安全實(shí)現(xiàn)方案拓?fù)湟妶D1。

3.1 安全通信網(wǎng)絡(luò)

網(wǎng)絡(luò)架構(gòu)方面，對核心交換區(qū)與兩院互聯(lián)區(qū)的骨干網(wǎng)絡(luò)設(shè)備采用“通信資源優(yōu)先保障、報(bào)文流量優(yōu)先處理”的設(shè)計(jì)主旨。通過服務(wù)質(zhì)量安全機(jī)制和雙機(jī)堆疊的方案滿足業(yè)務(wù)高峰期帶寬需要和通信的高可用性要求。同時(shí)，核心業(yè)務(wù)、辦公接入等其他功能區(qū)域接入骨干網(wǎng)絡(luò)時(shí)，應(yīng)獨(dú)立存在于各自的物理安全域內(nèi)，并隔離在主備模式部署的下一代防火墻邏輯網(wǎng)絡(luò)通道中。

通信傳輸方面，業(yè)務(wù)系統(tǒng)需要使用奇偶校驗(yàn)、海明校驗(yàn)和循環(huán)冗余校驗(yàn)等數(shù)據(jù)完整性校驗(yàn)方法來保證數(shù)據(jù)傳輸?shù)耐暾?。此外，涉及醫(yī)保網(wǎng)絡(luò)、政務(wù)外網(wǎng)等國家職能部門信息專網(wǎng)對接的專線接入?yún)^(qū)，需要通過零信任架構(gòu)的安全機(jī)制建立安全訪問路徑，保證通信時(shí)數(shù)據(jù)的機(jī)密性與完整性[9]。

可信驗(yàn)證方面采用“身份+終端”的準(zhǔn)入驗(yàn)證方式合法入網(wǎng)，既能對接入用戶的身份信息進(jìn)行動(dòng)態(tài)確認(rèn)，又能有效地根據(jù)安全策略對非可信的終端進(jìn)行必要管控，一旦發(fā)現(xiàn)用戶產(chǎn)生異常操作就會(huì)向管理平臺(tái)發(fā)送告警信息并立即阻斷所有訪問權(quán)限，形成不可抵賴記錄[10]。

3.2 安全區(qū)域邊界

根據(jù)醫(yī)院實(shí)際的業(yè)務(wù)需求將兩院區(qū)分別劃分為7個(gè)安全區(qū)域，分別是核心交換區(qū)、核心業(yè)務(wù)區(qū)、災(zāi)備業(yè)務(wù)區(qū)、安全管理區(qū)、專線接入?yún)^(qū)、辦公接入?yún)^(qū)和無線接入?yún)^(qū)。兩院區(qū)的對接部分劃為1個(gè)公用的兩院互聯(lián)區(qū)，各個(gè)區(qū)域的名稱與功能見表1。

對于網(wǎng)絡(luò)攻擊的防護(hù)，需要對各安全區(qū)域邊界進(jìn)行網(wǎng)絡(luò)邊界隔離，配置合理的安全策略保證訪問控制規(guī)則數(shù)量最小化，并加載入侵防御系統(tǒng)與防病毒軟件模塊將日志報(bào)文發(fā)送至安全管理區(qū)中進(jìn)行審計(jì)事件記錄分析，進(jìn)行快速定位。重要的業(yè)務(wù)系統(tǒng)還需要增設(shè)網(wǎng)站應(yīng)用級入侵防御系統(tǒng)（web application firewall，WAF）設(shè)備以提高應(yīng)用層協(xié)議的安全防護(hù)。同時(shí)，在核心交換區(qū)增配入侵檢測系統(tǒng)設(shè)備與探針設(shè)備，更智能地實(shí)現(xiàn)對全網(wǎng)的病毒與惡意代碼的流量檢測[11]。除此之外，還可以使用蜜罐設(shè)備的欺騙式主動(dòng)防御技術(shù)將具有威脅的病毒與攻擊提前誘捕。對于核心業(yè)務(wù)區(qū)域內(nèi)的服務(wù)盡量使用虛擬化平臺(tái)，同時(shí)配合虛擬化防火墻，利用安全控制策略阻止各類對外業(yè)務(wù)與管理端口在非授權(quán)情況下的訪問，防止病毒快速橫向跨區(qū)域擴(kuò)散，以確保核心業(yè)務(wù)的最小化風(fēng)險(xiǎn)控制。

圖1 醫(yī)院安全實(shí)現(xiàn)方案拓?fù)鋱D

表1 區(qū)域的名稱與功能對照表

3.3 安全計(jì)算環(huán)境

安全計(jì)算環(huán)境是對內(nèi)網(wǎng)應(yīng)用與數(shù)據(jù)庫系統(tǒng)的主機(jī)工作環(huán)境的安全要求，這類系統(tǒng)正是不法分子的重點(diǎn)攻擊目標(biāo)。針對以下3個(gè)安全維度，可以設(shè)定不同的安全預(yù)期。

3.3.1 身份驗(yàn)證與訪問控制維度 用戶輸入密碼登錄業(yè)務(wù)系統(tǒng)時(shí)，需要一種新的鑒別技術(shù)對身份的真?zhèn)涡赃M(jìn)行驗(yàn)證，如一次性口令或短信驗(yàn)證方式等，此類認(rèn)證方式不僅成本較低、驗(yàn)證方便，還有較高的安全性與抗抵賴性。對于重要的核心業(yè)務(wù)系統(tǒng)，在采用雙因子認(rèn)證的同時(shí)還可以增加指紋或人臉等生物識(shí)別方式，更能提升身份可信度[12]。相應(yīng)地，為確保權(quán)限細(xì)化分離，用戶的訪問控制需要根據(jù)用戶角色對應(yīng)不同的功能模塊，并將每個(gè)操作細(xì)節(jié)記錄日志，便于事后追溯。

3.3.2 主機(jī)防范與應(yīng)用安全維度 為了充分發(fā)揮每臺(tái)主機(jī)的計(jì)算資源，可以將業(yè)務(wù)的應(yīng)用服務(wù)與數(shù)據(jù)庫分離部署，也可防止因單臺(tái)主機(jī)宕機(jī)而連帶影響其他服務(wù)，然后集中控制主機(jī)使用最小精簡化模式，力求做到軟件非必要不安裝，端口非必要不開啟[13]。再通過SSL方式加密傳輸，訪問地址使用反向代理方式防范跨站腳本攻擊、Cookie欺騙等入侵行為，聯(lián)動(dòng)下一代防火墻、WAF等安全設(shè)備，同時(shí)向態(tài)勢感知平臺(tái)發(fā)出報(bào)警。

3.3.3 數(shù)據(jù)庫安全維度 數(shù)據(jù)庫作為核心數(shù)字資產(chǎn)存儲(chǔ)設(shè)施，對其建設(shè)應(yīng)進(jìn)行全方位考慮。①保密性：除了傳輸報(bào)文與存儲(chǔ)字段，加密過程都必須符合國家商用密碼算法[14]，還需將包含醫(yī)療個(gè)人敏感信息的開發(fā)調(diào)試與科研測試數(shù)據(jù)庫及時(shí)脫敏，在為患者提供醫(yī)療服務(wù)的同時(shí)提供完善的個(gè)人隱私保護(hù)。②安全性：使用數(shù)據(jù)庫堡壘機(jī)作為數(shù)據(jù)庫唯一登錄方式，進(jìn)行雙向強(qiáng)身份認(rèn)證，訪問控制的顆粒度可細(xì)化至字段級別，數(shù)據(jù)庫防火墻設(shè)備安裝虛擬補(bǔ)丁以防范惡意代碼及SQL注入等行為。③可用性：軟件方面可以采取持續(xù)數(shù)據(jù)保護(hù)與定時(shí)自動(dòng)備份；硬件方面除了采取磁盤陣列、兩院區(qū)互為容災(zāi)等傳統(tǒng)方式，還可以配置備份恢復(fù)一體機(jī)進(jìn)一步提高數(shù)據(jù)庫的容災(zāi)能力。

4 結(jié)語

由于網(wǎng)絡(luò)攻擊手段的不斷發(fā)展，醫(yī)院的信息安全建設(shè)需要成為一項(xiàng)動(dòng)態(tài)可持續(xù)發(fā)展工程。多項(xiàng)信息安全領(lǐng)域的國家標(biāo)準(zhǔn)相繼頒布，標(biāo)志著國家對網(wǎng)絡(luò)安全的高度重視。等保2.0保護(hù)條例的提出對醫(yī)院信息安全建設(shè)工作有了完善的參考標(biāo)準(zhǔn)，更指明了防護(hù)的重點(diǎn)方向，醫(yī)院需根據(jù)實(shí)際情況來應(yīng)對網(wǎng)絡(luò)安全需求的更新?lián)Q代，帶著“三個(gè)統(tǒng)一”原則延伸新業(yè)務(wù)模式、引入新技術(shù)思想建設(shè)安全的信息系統(tǒng)，穩(wěn)定的支持醫(yī)院的日益發(fā)展，使得醫(yī)院的整體信息安全能力變得日漸完備。

[1] 陳少敏, 陳愛民, 梁麗萍. 醫(yī)療大數(shù)據(jù)共享的制約因素及治理研究[J]. 衛(wèi)生經(jīng)濟(jì)研究, 2021, 38(9): 18–20, 24.

[2] 李硯, 崔凱, 王俊. 淺析醫(yī)院信息安全威脅及應(yīng)對措施[J]. 江蘇衛(wèi)生事業(yè)管理, 2021, 32(8): 1079–1082.

[3] 國家市場監(jiān)督管理總局, 中國國家標(biāo)準(zhǔn)化管理委員會(huì). 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求: GB/T 22239—2019[S]. 北京: 中國標(biāo)準(zhǔn)出版社, 2019.

[4] 楊旋, 周小甲. 醫(yī)院信息系統(tǒng)安全等級保護(hù)定級與整改結(jié)果探討[J]. 中國醫(yī)療設(shè)備, 2017, 32(6): 166–169.

[5] 王曉麗, 丁月紅, 陸昊. 等保2.0要求下醫(yī)療網(wǎng)絡(luò)安全建設(shè)與管理研究[J]. 中國數(shù)字醫(yī)學(xué), 2020, 15(12): 5–9.

[6] 李先鋒, 曹亮, 劉熠斐, 等. 等保2. 0對醫(yī)院信息安全管理的新要求探討[J]. 江蘇衛(wèi)生事業(yè)管理, 2020, 31(3): 344–347.

[7] 羅志恒, 鐘麗娜, 莫建坤. 等保2.0環(huán)境下醫(yī)院網(wǎng)絡(luò)安全整體加固方案[J]. 電子技術(shù)與軟件工程, 2021(15): 240–242.

[8] 袁駿毅, 潘常青, 宓林暉. 基于等級保護(hù)2.0標(biāo)準(zhǔn)體系的醫(yī)院信息化安全建設(shè)與研究[J]. 中國醫(yī)院, 2021, 25(1): 72–73.

[9] 李夢悅, 陳敏. 基于零信任架構(gòu)的醫(yī)院網(wǎng)絡(luò)安全防護(hù)研究[J]. 中國數(shù)字醫(yī)學(xué), 2021, 16(9): 106–109.

[10] 余佳偉. 基于等級保護(hù)2.0的醫(yī)院網(wǎng)絡(luò)安全建設(shè)方案[J]. 長江信息通信, 2021(1): 4–7.

[11] 龐延輝, 羅俊, 肖鵬, 等. 疾控信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)實(shí)踐[J]. 醫(yī)學(xué)信息學(xué)雜志, 2022, 43(4): 76–80.

[12] 魏帥嶺, 閆國濤, 李星, 等. 等級保護(hù)2.0下醫(yī)院網(wǎng)絡(luò)安全體系的建設(shè)與探索[J]. 中國數(shù)字醫(yī)學(xué), 2021, 16(4): 101–105.

[13] 魏勤, 劉艷亭, 郭敬鵬, 等. 基于三級等保標(biāo)準(zhǔn)的醫(yī)院信息安全體系建設(shè)實(shí)踐[J]. 醫(yī)學(xué)信息學(xué)雜志, 2019, 40(2): 35–39.

[14] 國家市場監(jiān)督管理總局?中國國家標(biāo)準(zhǔn)化管理委員會(huì). 信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求: GB/T 39786—2021[S]. 北京: 中國標(biāo)準(zhǔn)出版社, 2021.

Construction and implementation of overall security architecture in two hospital districts based on Equal Protection 2.0

TANG Qiyu, WANG Shiyong, TIAN Peng

1.Department of Information, Third Affiliated Hospital of Naval Medical University, Shanghai 200438, China; 2. Informatization Office of Fudan University, Shanghai 200433, China

Based on the working practice of Network Security Level Protection System 2.0 (“Equal Protection 2.0”), formulated the design focus and implementation plan of the overall information security architecture of a modern digital hospital under the structure of two hospital districts, reasonably divided and isolated the network security domains of each function and added security equipments, and put forward an active defense security management and guarantee system constructed on the principle of “three unities”, which has effectively improved the security protection capability of the information system of two hospital districts. The improvement of hospital regulations and staff security awareness has helped to improve the overall information security management level of the hospital, which will provide reference and ideas for other hospitals in the future network security construction. Provides reference and ideas for other hospitals in future network security construction.

Equal protection 2.0; Network security; Hospital Informatization; Information system architecture

R319

A

10.3969/j.issn.1673-9701.2023.23.026

王士勇，電子信箱：wsybangde@163.com

（2022–08–15）

（2022–12–26）