三級醫(yī)院信息化等級保護(hù)方案研究

俞向前

（蘇州大學(xué)附屬第二醫(yī)院，江蘇　蘇州　215004）

三級醫(yī)院信息化等級保護(hù)方案研究

俞向前

（蘇州大學(xué)附屬第二醫(yī)院，江蘇蘇州215004）

醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)是通訊、辦公自動化的載體，其暢通與穩(wěn)定具有重要意義。近年來各種安全事故層出不窮，給醫(yī)院的正常運(yùn)營造成了潛在的不可低估的損失。信息安全不是單純的技術(shù)問題，需要在采用安全技術(shù)和產(chǎn)品的同時，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。

等級保護(hù)；信息安全；系統(tǒng)風(fēng)險

1　前言

醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)是通訊、辦公自動化的載體，其暢通與穩(wěn)定具有重要意義。由于網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議等不可避免地存在安全技術(shù)上的漏洞，以及實(shí)際工作中管理體制上的不嚴(yán)密，近年來各種安全事故層出不窮，給醫(yī)院的正常運(yùn)營造成了潛在的不可低估的損失。

政策層面上，國家公安部、保密局、國家密碼管理局、國務(wù)院信息化領(lǐng)導(dǎo)小組辦公室于2007年聯(lián)合頒布了861號文件《關(guān)于開展全國重要信息系統(tǒng)安全等級保護(hù)定級工作的通知》和《信息安全等級保護(hù)管理辦法》。

為了信息安全等級保護(hù)能在各醫(yī)院更好地實(shí)施，衛(wèi)生部針對醫(yī)療行業(yè)的實(shí)際情況制定了《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》衛(wèi)辦發(fā)【2011】85號，此文件在信息安全等級保護(hù)和醫(yī)療行業(yè)信息安全管理之間起到了橋梁與銜接的作用。

2　設(shè)計(jì)原則

2.1分級保護(hù)建設(shè)原則

三級醫(yī)院核心業(yè)務(wù)系統(tǒng)屬國計(jì)民生的重要信息系統(tǒng)，其安全建設(shè)不能忽視國家相關(guān)政策要求，按三級等保建設(shè)要求設(shè)計(jì)，其余系統(tǒng)按二級等保要求設(shè)計(jì)。

2.2體系化的系統(tǒng)設(shè)計(jì)原則

系統(tǒng)設(shè)計(jì)應(yīng)充分考慮到各個層面的安全風(fēng)險，構(gòu)建完善的安全防護(hù)體系，保證系統(tǒng)的安全性。

2.3安全與管理并重原則

信息安全不是單純的技術(shù)問題，需要在采用安全技術(shù)和產(chǎn)品的同時，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。

3　系統(tǒng)現(xiàn)狀分析

3.1網(wǎng)絡(luò)架構(gòu)分析

以蘇州市三級甲等醫(yī)院為例，當(dāng)前都已建成全院網(wǎng)絡(luò)覆蓋。從目前的全局網(wǎng)絡(luò)結(jié)構(gòu)上看，可以分為兩大部分：用于日常醫(yī)療信息交換的業(yè)務(wù)內(nèi)網(wǎng)以及用于連接市醫(yī)保、吳江醫(yī)保、園區(qū)醫(yī)保、銀聯(lián)等業(yè)務(wù)外網(wǎng)。其中醫(yī)院業(yè)務(wù)內(nèi)網(wǎng)是醫(yī)院業(yè)務(wù)開展的重要平臺，承載著核心業(yè)務(wù)；醫(yī)院業(yè)務(wù)外網(wǎng)與市醫(yī)保、吳江醫(yī)保、園區(qū)醫(yī)保、銀聯(lián)機(jī)構(gòu)互聯(lián)，實(shí)時獲取信息資源。

3.2業(yè)務(wù)內(nèi)網(wǎng)分析

醫(yī)院的業(yè)務(wù)內(nèi)網(wǎng)主要提供醫(yī)療數(shù)據(jù)交換、存儲和醫(yī)院業(yè)務(wù)系統(tǒng)的運(yùn)維，各業(yè)務(wù)大樓主要提供醫(yī)護(hù)人員的日常業(yè)務(wù)的開展。

醫(yī)院內(nèi)網(wǎng)采用“核心-匯聚-接入”三層交換架構(gòu)，門診、住院終端通過匯聚交換機(jī)連接至中心機(jī)房核心交換機(jī)。HIS、 LIS系統(tǒng)作為醫(yī)院核心業(yè)務(wù)系統(tǒng)，系統(tǒng)服務(wù)器直接掛載在中心機(jī)房核心交換機(jī)上。

3.3業(yè)務(wù)外網(wǎng)分析

業(yè)務(wù)外網(wǎng)主要由匯聚交換機(jī)和防火墻等組成。醫(yī)院有兩條出口與外網(wǎng)互聯(lián)，一條通過匯聚交換機(jī)與銀聯(lián)、園區(qū)社保、吳江區(qū)社保等互聯(lián)；另一條通過防火墻接入互聯(lián)網(wǎng)。業(yè)務(wù)外網(wǎng)主要是用來幫助醫(yī)護(hù)人員連接Internet和實(shí)時獲取社保等信息資源。

3.4系統(tǒng)風(fēng)險分析

3.4.1網(wǎng)絡(luò)邊界風(fēng)險

不同安全域之間的網(wǎng)絡(luò)連接沒有有效的訪問控制措施，來自互聯(lián)網(wǎng)或其它兄弟單位的訪問存在潛在的掃描攻擊、DOS攻擊、非法侵入等。

3.4.2網(wǎng)絡(luò)攻擊風(fēng)險

隨著業(yè)務(wù)的不斷發(fā)展，系統(tǒng)的訪問量會逐漸增加，各種類型的DOS、DDOS攻擊、木馬后門也會逐漸增加，因此建議在網(wǎng)絡(luò)邊界部署入侵防御系統(tǒng)，在核心交換機(jī)上部署入侵檢測系統(tǒng)，這樣可以保證平臺內(nèi)業(yè)務(wù)系統(tǒng)在遭受諸如SQL注入、木馬上傳等行為時可以及時檢測或阻斷，確保內(nèi)網(wǎng)服務(wù)器網(wǎng)站集群的安全。

3.4.3WEB業(yè)務(wù)風(fēng)險

一個Web系統(tǒng)設(shè)計(jì)者更多地考慮滿足用戶應(yīng)用，如何實(shí)現(xiàn)業(yè)務(wù)，很少考慮Web系統(tǒng)開發(fā)過程中所存在的漏洞，這些漏洞在不關(guān)注安全代碼設(shè)計(jì)的人員眼里幾乎不可見。大多數(shù)網(wǎng)站設(shè)計(jì)開發(fā)者、系統(tǒng)維護(hù)人員對網(wǎng)站攻防技術(shù)的了解甚少；在正常使用過程中，即便存在安全漏洞，正常的使用者并不會察覺。但在黑客對漏洞敏銳的發(fā)掘和充分利用下，網(wǎng)站存在的這些漏洞就被挖掘出來，且成為黑客們直接或間接謀取利益的機(jī)會。

3.4.4人員管理風(fēng)險

網(wǎng)絡(luò)建設(shè)和維護(hù)中，常常會因?yàn)槿藶榈囊蛩卦斐蓴?shù)據(jù)的一些誤操作或破壞。如何有效地管控內(nèi)部人員、設(shè)備廠商和代維人員的運(yùn)維操作行為，并進(jìn)行事后的審計(jì)是醫(yī)院面臨的一個關(guān)鍵問題。嚴(yán)格的規(guī)章制度只能約束一部分人的行為，只有通過嚴(yán)格的權(quán)限控制和操作審計(jì)才能確保安全管理制度的有效執(zhí)行。

3.4.5系統(tǒng)日志風(fēng)險

當(dāng)前客戶在進(jìn)行日志審計(jì)的過程中幾乎都面臨著相似的挑戰(zhàn)。這其中最主要的三個挑戰(zhàn)是：日志分散、日志格式不統(tǒng)一、日志量巨大。

(1)日志分散

客戶網(wǎng)絡(luò)中信息系統(tǒng)相關(guān)的各種軟硬件設(shè)備、安全防護(hù)設(shè)施都會產(chǎn)生日志。并且這些設(shè)備都分散在網(wǎng)絡(luò)的不同位置。他們各自產(chǎn)生日志，并有各自的控制臺進(jìn)行日志查看，這對審計(jì)人員而言簡直就是噩夢，根本沒有精力去查看這么多控制臺，更不要說分析其中的日志信息了。

(2)日志格式不統(tǒng)一

每種設(shè)備類型的日志格式都不相同，各有各的表達(dá)，即使是表達(dá)同一件事情，也都有各自的表達(dá)方式。例如同樣的登錄失敗信息，防火墻中的描述和主機(jī)操作系統(tǒng)中的描述格式就可能根本不相同。這迫使審計(jì)人員去了解每種設(shè)備類型的格式。

(3)日志量巨大

很多設(shè)備，尤其是網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的日志量十分巨大，單個防火墻每秒就可能產(chǎn)生上千條的日志信息，而全網(wǎng)的設(shè)備每天產(chǎn)生的日志量就更加可觀，可能數(shù)以百GB計(jì)。審計(jì)員去查看這么多的日志根本不可能，即便是將它們存起來都是個問題。

3.4.6數(shù)據(jù)安全風(fēng)險

醫(yī)院內(nèi)部存在著重要的數(shù)據(jù)信息，一旦信息被盜用、篡改、破壞，將會對醫(yī)院網(wǎng)絡(luò)造成重要的損失，因此需要對內(nèi)部這些重要的數(shù)據(jù)的使用情況進(jìn)行監(jiān)控，防止這些數(shù)據(jù)被攻擊者改寫。

尤其是對數(shù)據(jù)庫的調(diào)用可能是通過web頁面、業(yè)務(wù)系統(tǒng)等前臺程序進(jìn)行的時候，需要進(jìn)行精確的身份關(guān)聯(lián)，方便事前預(yù)防、事中記錄審計(jì)、事后追溯。

3.4.7自由連接風(fēng)險

目前醫(yī)院Internet區(qū)域沒有安全接入防御機(jī)制，外部人員對內(nèi)網(wǎng)服務(wù)器數(shù)據(jù)資源訪問都靠防火墻的端口映射，有些服務(wù)器映射了3389端口，這樣的連接方式數(shù)據(jù)無法做到保密傳輸，這也使得攻擊者有了可趁之機(jī)。

4　系統(tǒng)方案設(shè)計(jì)

根據(jù)等級保護(hù)建設(shè)要求，技術(shù)層面以網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全四個維度進(jìn)行設(shè)計(jì)，管理方面則以規(guī)章制度進(jìn)行設(shè)計(jì)。

4.1技術(shù)方面完善設(shè)計(jì)

4.1.1網(wǎng)絡(luò)安全方面

(1)動態(tài)路由協(xié)議間實(shí)施安全認(rèn)證措施。(2)不同的區(qū)域或不同的VLAN間根據(jù)實(shí)際訪問需要配置訪問控制策略。(3)與外聯(lián)單位的邊界部署訪問控制設(shè)備。(4)內(nèi)部各信息系統(tǒng)之間、互聯(lián)網(wǎng)出口配置的訪問控制策略需要達(dá)到端口級。(5)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾。

4.1.2主機(jī)安全方面

(1)操作系統(tǒng)需符合配置口令復(fù)雜度要求，定期更換。(2)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別。(3)根據(jù)業(yè)務(wù)需要設(shè)置訪問控制策略，鑒別具體操作人員權(quán)限，及時找到責(zé)任人。(4)實(shí)現(xiàn)管理用戶的權(quán)限分離。(5)對重要信息資源設(shè)置敏感標(biāo)記。

4.1.3應(yīng)用安全方面

(1)采用雙因子鑒別技術(shù)進(jìn)行身份鑒別。(2)提供鑒別信息復(fù)雜度檢查功能。(3)采用登錄失敗處理功能。(4)采用密碼技術(shù)對初始化驗(yàn)證信息進(jìn)行保護(hù)。(5)提供數(shù)據(jù)不可否認(rèn)性的檢測功能。

4.1.4數(shù)據(jù)安全方面

(1)完善數(shù)據(jù)傳輸完整性保護(hù)。(2)完善數(shù)據(jù)存儲完整性保護(hù)。(3)完善數(shù)據(jù)傳輸保密性保護(hù)。(4)完善數(shù)據(jù)存儲保密性保護(hù)。(5)檢測網(wǎng)絡(luò)結(jié)構(gòu)是否存在單點(diǎn)故障。

4.1.5設(shè)備部署

根據(jù)醫(yī)院信息系統(tǒng)和業(yè)務(wù)的功能特性、安全特性，將醫(yī)院信息系統(tǒng)劃分了6個安全域，1個安全管理中心。根據(jù)對安全域和管理中心的詳細(xì)設(shè)計(jì)，已經(jīng)可以比較清晰地勾畫出醫(yī)院網(wǎng)絡(luò)安全建設(shè)的整體全景，如圖1所示。

圖1　醫(yī)院等級保護(hù)改造后的拓?fù)鋱D

4.2安全管理建設(shè)

4.2.1安全管理制度

主要從管理制度、制定和發(fā)布、評審和修訂作為要求控制點(diǎn)，制定、發(fā)布、評審、修訂一整套安全管理制度、流程、技術(shù)規(guī)范和保密協(xié)議。

4.2.2安全管理機(jī)構(gòu)

主要從崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查作為要求控制點(diǎn)，落實(shí)安全組織，包括崗位設(shè)置、人員配備、職責(zé)定義等。

4.2.3人員安全管理

主要從人員錄用、人員離崗、人員考核、人員意識教育和培訓(xùn)、外部人員訪問管理作為要求控制點(diǎn)，建立人員安全管理制度，涵蓋人員錄用、離崗、考核、教育，以及對外部來訪人員進(jìn)行合理管理等。

4.2.4系統(tǒng)建設(shè)管理

主要從系統(tǒng)定級、安全方案設(shè)計(jì)、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級測評、安全服務(wù)商選擇作為要求控制點(diǎn)，對系統(tǒng)進(jìn)行定級，按照安全等級對系統(tǒng)進(jìn)行安全規(guī)劃和方案設(shè)計(jì)，提供產(chǎn)品采購和使用方面的建議和培訓(xùn)，制定軟件開發(fā)和外包管理辦法，制定安全服務(wù)商選擇辦法等，提供安全集成、工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級測評等服務(wù)。

4.2.5系統(tǒng)運(yùn)維管理

主要從環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處理、應(yīng)急預(yù)案管理等方面定制相關(guān)管理制度，制定應(yīng)急預(yù)案，定期演練。

5　應(yīng)用效果

在網(wǎng)絡(luò)邊界部署網(wǎng)絡(luò)出口防火墻、IPS，對局域網(wǎng)與互聯(lián)網(wǎng)的訪問進(jìn)行控制與邏輯隔離，防止互聯(lián)網(wǎng)病毒、木馬入侵。在WEB服務(wù)器前部署網(wǎng)站與WEB業(yè)務(wù)防護(hù)系統(tǒng)，可實(shí)時攔截應(yīng)用層非法訪問、應(yīng)用層攻擊行為。在安全運(yùn)維中心部署運(yùn)維管控堡壘機(jī)、安全管理與日志審計(jì)和VPN網(wǎng)關(guān)系統(tǒng)，可對授權(quán)人員的運(yùn)維操作進(jìn)行記錄、分析、展現(xiàn)，對系統(tǒng)中產(chǎn)生的海量日志進(jìn)行集中化存儲、查詢、分析、管理并可通過安全通道對內(nèi)網(wǎng)資源進(jìn)行管控。在核心交換機(jī)上部署內(nèi)網(wǎng)入侵檢測（IDS）、數(shù)據(jù)庫安全審計(jì)，可對內(nèi)網(wǎng)木馬后門等攻擊進(jìn)行監(jiān)控并對業(yè)務(wù)人員對數(shù)據(jù)庫系統(tǒng)的操作行為進(jìn)行解析、分析、記錄。在網(wǎng)絡(luò)邊界串聯(lián)上網(wǎng)行為審計(jì)系統(tǒng)，可對上網(wǎng)行為、資源占用進(jìn)行管理。

[1]王世偉．論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J]．中國圖書館學(xué)報(bào)，2015(02)：72-84．

[2]王心力．網(wǎng)絡(luò)信息安全面臨的問題[J]．圖書館理論與實(shí)踐，2004 (02)：51-52．

[3]鄭培峰．淺談如何構(gòu)建安全的學(xué)校Web網(wǎng)站[J];信息安全與技術(shù)，2013，4(5)：92-100．

[4]王福春．試論網(wǎng)絡(luò)安全及其防護(hù)[J]．江西行政學(xué)院學(xué)報(bào)，2006，8 (z2)：103-104．

[5]易文平．網(wǎng)絡(luò)安全態(tài)勢感知體系探討[J]．信息與電腦(理論版)，2013(08)．

Research on the Tertiary Hospital Informatization Level Protection Plan

Yu Xiangqian
(The SecondAffiliated Hospital of Soochow University,Suzhou 215004,Jiangsu)

Hospital computer network is the carrier of communication and office automation.The flow and stability is of great significance.In recent years,all kinds of safety accidents emerge endlessly,causing a potential loss that cannot be underestimated to the normal operation of hospital.Information security is not a pure technical question.It needs focus on the safety management while using security technology and products,and constantly improve various rules and regulations and operation procedures of safety management,improving safety management level.

level protection;information security;system risk

TP309

A

1008-6609(2016)06-0065-03

俞向前，男，江蘇蘇州人，工商管理碩士，工程師，研究方向：項(xiàng)目管理，網(wǎng)絡(luò)與弱電工程。