三甲医院信息安全建设策略研究

福建省肿瘤医院网络中心　蔡　颐



三甲医院信息安全建设策略研究

福建省肿瘤医院网络中心蔡颐

三级甲等医院（简称“三甲医院”）信息系统按照等级保护要求来建设，该文以HIS系统等级保护建设经验为蓝本，总结了医院三级等级保护建设经验，并全面研究了三甲医院内网和外网安全建设策略，为医院信息安全建设提供全面、可实施的建设经验。

医院信息安全 等级保护 安全策略

1　概述

福建省肿瘤医院是福建省唯一的集医疗、科研、教学、预防、康复和培训于一体的肿瘤医院，1997年被国家卫生部评为三级甲等肿瘤医院。医院在信息化方面始终走在前列，经过将近一年的努力，医院的HIS系统（医院信息系统）于2014 年7月在福建省率先通过了等级保护测评机构的三级测评。

等级保护是我国信息安全基本制度。2011年11月，原卫生部印发了《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85号），明确提出卫生行业信息安全等级保护工作的指导意见。2012年1月，福建省卫生厅和福建省公安厅印发了《福建省医院信息系统安全等级保护工作实施方案》，对定级范围、等级保护、保护措施、工作要求、进度安排作了明确的指示。

我院非常重视信息安全建设，根据等级保护的要求，开展了医院信息系统的等级保护建设工作，并按照信息安全工程要求和等级保护实施规范开展等级保护建设。本文通过基于HIS系统等级保护建设的目标和过程，延伸探讨了医院全网安全建设的策略，包括医院内网安全建设、医院外网安全建设以及医院安全管理措施建设等，为医院信息安全建设提供经验参考。

2　医院信息安全建设目标

按照自主定级的原则，通过对医院信息系统的梳理，根据业务重要程度和业务安全需求，把HIS系统定为三级信息系统，LIS系统、PACS系统、电子病历系统、外网网站定为二级信息系统。由于信息系统直接业务关联较大，遵照等同保护的原则，因此医院内网核心业务系统总体按三级进行建设。

医院等级保护工程建设的目标，主要是依据国家等级保护标准和省等级保护实施方案，从信息安全技术体系、信息安全管理体系、信息安全运维体系三个方面入手，建立完整的医院信息安全等级保护保障体系：

（1）建立医院信息安全技术体系，从区域边界安全、计算环境安全、通信网络安全等方面进行整改建设。通过内网外网网络层面的安全整改建设，达到等级保护的基本要求。

（2）建立医院信息安全管理体系，通过安全管理制度建设，建立信息安全组织、人员管理、运维管理等方面的管理制度，达到等级保护的基本要求。

（2）建立医院安全运维体系，通过网络管理、漏洞管理、安全事件管理、信息安全服务等内容建设日常安全运维管理，使医院的信息安全保障体系能够有效落实。

3　医院安全建设策略

等级保护基本要求对三级信息系统的要求包含的技术要求有136个控制点，管理要求有154个控制点，涉及物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等层面。其涉及面广，为医院信息安全建设提供了全面的指导和参考。医院在等级保护建设过程中，面向已经定级的HIS系统展开等级保护建设。医院各信息系统直接的业务关联紧密，不仅应考虑定级系统的安全建设，还应根据定级系统的建设经验，推广到整个医院信息网络来考虑。下面按照医院内网和医院外网，分别探讨三甲医院在信息安全整体建设中的策略和措施。

三甲医院根据业务需求不同，其网络系统分为医院内网和医院外网。医院内网和外网是物理隔离的，医院内网的信息系统是医院的核心业务支撑，内网应用可以分成两类，一类是以HIS系统为核心的临床医技业务，另一类是行政管理应用，内网的主机主要包括服务器和客户机。医院外网是能够接入互联网的局域网，主要包括能够访问互联网的客户机和对外提供信息发布的网站系统。

参照等级保护的建设要求，按照技术体系和管理体系 2大层面，本文设计了医院信息安全建设框架，如图1所示。

图1　医院信息安全建设框架

3.1医院内网安全建设策略

医院内网的安全可靠性直接影响到医院业务正常运行。医院内网安全建设的重点主要包括内网边界安全、内网终端安全、内网服务器与设备安全、内网业务应用安全以及内网数据安全。

3.1.1内网安全域划分与边界安全

医院内网在建设之初仅仅按物理位置和不同职能部门进行了VLAN划分，引入等级保护后，医院内网应该在终端和服务器之间建立安全的访问路径，并根据各部门的工作职能、重要性划分不同的子网，重要网段与子网之间采取技术隔离措施。在等级保护整改期间，医院建立起了服务器区、安全接入区、终端接入区、应用开发区、运维管理区等，并且在各个区域之间采取了技术隔离措施。各安全区描述如下：

（1）服务器区。它是指医院服务器所在区域，并且根据重要程度预留了核心服务器区、通用服务器区。在等级保护建设初期，由于历史的原因，把所有服务器还是统一放在一个区域，随着新系统的更新换代，应逐步把核心服务器和一般服务器进行分离。

（2）安全接入区。医院对外接入到省医保网络、市医保网络、政务外网，在把安全接入边界设备共同划分到安全接入区中管理。

（3）终端接入区。医院终端众多，按职能划分不同的VLAN，但统称为终端接入区。

（4）应用开发区。等级保护改造之前，第三方开发人员随意的接入到服务器区域之间进行软件开发、测试，给业务系统带来安全隐患。在等级保护改造时，划分出应用软件开发区，作为软件开发调试人员的专门网络区域。

（5）运维管理区。它是指运行维护的软硬件设备、日志服务器及运维终端机所在的区域。

（6）数据交换区。医院内网越来越多需要跟医院外网进行数据交换，因此建立了医院数据交换区作为安全隔离与数据交换用途。

上述安全区域划分后，就产生了医院内部安全边界如下：边界1——医院内网与医院外网边界。

边界2——医院内网与其他专网的边界（如医保网、政务外网）。

边界3——医院内网服务器区与终端接入区之间的边界。

边界4——医院内网管理运维区、应用开发区与其他区域之间的边界。

边界5——医院内网终端接入区内各科室、各楼层之间的边界。

为此，医院内网的边界安全策略设计如下：

边界1是医院内网与医院外网之间的边界，原则上应采取物理隔离的安全策略，需要数据交换时采用移动介质进行数据安全交换。

近年来，由于医院业务发展需要，医院网上预约、掌上医院系统的兴起，医院内网和外网直接的数据交换越来越频繁。因此，需要在医院内网和外网之间建立一个数据交换区，以实现数据交换的目标，数据交换应该采用安全隔离与交换系统进行安全交换。

边界2应建立起安全边界接入区，并以防火墙设备、入侵检测防御设备（IDS/IPS）来实现边界访问控制和入侵防范的要求。定级为三级的信息系统还应该配备网关型防病毒设备，并且保证网关防病毒的病毒库和桌面防病毒来自同一厂家产品。

边界3应该在服务器区与客户机接入区直接采用双机热备模式的高性能防火墙，从而达到安全隔离的要求。

边界4可以采用防火墙进行区域边界隔离。

边界5应在核心交换机或接入交换机上划分VLAN，不同业务部署在不同VLAN上。并在交换设备上启用访问控制列表（ACL）功能，细化到IP和端口控制，必要时采用防火墙来实现访问控制策略。

上述防火墙策略和ACL策略应该细化到IP地址和端口，IDS/IPS设备和网关防病毒设备应能够定期更新规则库或病毒库。

网络安全方面还有一个重点是应该避免单点故障。在网络进出口出现单点故障而缺乏应急预案将是一个很大的隐患。为此，要采用具有冗余和备份的线路、设备来避免出现单点故障。

3.1.2内网终端安全

目前，医院内网终端已经达到了千余台，终端安全是医院安全管理比较困难的一个方面，常见的内网终端安全风险主要是：

（1）终端准入安全风险，医院终端不能随便接入到医院内部网络，必须进行准入控制。

（2）终端移动介质滥用安全风险，移动介质是病毒传播的渠道。

（3）终端病毒爆发风险，终端发生病毒不但影响本机，还可能影响整个内网。

根据等级保护主机安全要求，医院内网终端主要采取以下安全策略：

一是防病毒技术措施，部署统一网络防病毒软件，并定期更新恶意代码库。

二是终端计算机统一防护，采取集中统一管理方式对终端进行防护，统一软件下发、安装系统补丁。

三是终端计算机接入控制，采取部署网络安全准入系统，对接入本单位网络的终端计算机进行控制。

3.1.3内网服务器及设备安全

医院服务器和网络设备是承载业务系统的重要基础设施，服务器安全直接影响到全院业务安全。根据等级保护主机安全相关要求，结合最先进的安全技术措施，应采取以下安全策略和措施：

一是采用运维安全审计系统（堡垒机）对应用服务器、数据库服务器、网络设备、安全设备等运行维护行为进行授权、认证、审计管理。

二是服务器、应用系统及各种设备确保不存在弱口令，定期进行弱口令审计。

三是对业务服务器的操作系统、中间件、数据库进行安全配置加固，从账号、口令、权限、服务、审计等方面优化系统配置，避免服务器、设备配置不合理带来的安全风险。

3.1.4业务应用安全

医院业务应用安全主要风险包括系统脆弱性被非法利用，药品数据被非法统方，应用系统存在逻辑错误导致系统故障等。针对这些安全风险，应采取以下安全策略:

一是定期对HIS、LIS、PACS、EMR业务系统、办公系统、邮件系统等应用系统进行漏洞检测扫描，存在漏洞及时修复，留存扫描和修复详细记录。

二是采用数据库操作行为安全审计措施，并对数据库统方行为进行定期审计分析。

三是对照等级保护应用安全要求，对于应用系统账号管理、业务操作审计等应用软件隐患提交软件开发商进行改进和升级。

3.1.5内网数据安全

医院数据安全主要采取的安全策略有：一是在医院内部不同大楼采取技术措施对重要数据和业务系统进行定期备份；二是将离线备份数据定期存放到异地。

3.2医院外网安全建设策略

医院外网主要包括能够上互联网的终端和对外提供服务的DMZ服务区。外网连接互联网，直接受到互联网的安全威胁。医院外网安全建设主要从外网边界安全、外网终端安全、外网设备和服务器安全、外网网站安全等方面进行。

3.2.1外网边界安全

医院外网主要划分成2个区域，外网终端接入区和DMZ服务器区。DMZ服务器区主要用于存放对互联网提供服务的服务器，如网站服务器。医院外网终端连接互联网的线路出口应该控制在1个，应该禁止各科室终端私自通过各种手段接入互联网。在医院互联网出口进行安全访问控制和安全审计。

一是外网互联网接入边界部署访问控制设备，能够阻断非授权访问，对外屏蔽不必要的服务/端口。

二是网络边界部署安全审计设备，对终端访问互联网的网络访问情况进行审计，并定期分析审计记录。

3.2.2外网终端安全

外网终端安全策略与内网类似，主要有：

（1）防病毒技术措施部署，统一安装防病毒软件，并定期更新恶意代码库。

（2）采取集中统一管理方式对终端进行防护，统一软件下发、安装系统补丁。

（3）终端计算机接入控制，部署集中管理系统，对接入本单位网络的终端计算机进行控制。

3.2.3外网设备及服务器安全

外网网络设备及服务器安全策略设计如下：

（1）远程运维服务方式，原则上不得采用互联网远程在线方式，确需采用时采取书面审批、访问控制、日志审计、VPN加密、运维审计等安全防护措施。

（2）配置网络设备和安全设备的口令策略，并保证网络设备和安全设备口令强度和更新频率。

（3）启用服务器系统的口令策略，并保证服务器系统、数据库口令强度和更新频率。不能存在弱口令。

（4）及时对服务器操作系统补丁和数据库管理系统补丁进行更新。

3.2.4外网网站系统安全

医院外网网站虽然不如内网服务器重要，但医院网站直接面临互联网的攻击，是整个医院最容易遭受攻击的薄弱点。针对医院网站，采取以下安全策略：

一是对网站服务器进行安全加固，启用网站服务器系统安全审计功能，定期对服务器进行漏洞扫描，进行服务器木马查杀、后门清理及日志分析。

二是定期对网站系统进行漏洞检测，存在漏洞及时修复，留存扫描和修复详细记录。

三是门户网站采取网页防篡改措施。

四是门户网站采取网站防护与抗攻击措施，防范针对web应用的攻击和拒绝服务攻击。

五是采取技术措施对重要数据和网站系统进行定期备份。

3.3医院安全管理措施建设

根据等级保护基本要求，医院已经成立了信息安全领导小组，制定了一套符合等级保护要求的安全管理制度，并且落实到日常管理中。下面主要从信息安全组织管理、信息安全人员管理、信息安全应急管理等方面进行分析。

3.3.1信息安全组织管理

首先，确定一名医院分管领导作为信息安全管理小组组长，具有较高的权威或话语权。无论是在出安全事故时协调其他部门，还是在经费保障方面，组长都能够起到重要作用。

医院还需要安排一名专职或兼职的信息安全管理员，并且要求安全员去获得信息安全领域的认证资格。

3.3.2信息安全人员管理

人员是信息安全管理最薄弱的环节，人员包括医院内部人员和第三方人员。为了更有效地加强人员安全管理，采用以下安全管理措施：

（1）重点岗位人员（系统管理员、网络管理员、信息安全员等）须签订信息安全与保密协议。

（2）人员离岗离职时，收回其相关网络相关权限，签署安全保密承诺书。

（3）外部人员访问机房等重要区域时应采取审批、人员陪同、进出记录等安全管理措施。

（4）与信息技术外包服务提供商签订信息安全与保密协议。

（5）定期开展信息安全人员和技术人员专业培训。

3.3.3信息安全应急管理

完善的应急预案是医院信息化建设的成熟度表现。医院信息系统运转一旦出现问题，各部门各岗位该如何开展业务，什么时候该切换到手工操作，这些都需要在应急预案中进行规定。

（1）制定信息安全事件应急预案（这是信息中心级预案，非单个信息系统的安全应急预案），并使相关人员熟悉应急预案。应急事件应包含突发黑客攻击行为的类型事件。

（2）定期开展应急演练，并留存演练计划、方案、记录、总结等文档。

（3）指定应急技术支援队伍，配备必要的备机、备件等应急物资。

4　结束语

等级保护在医院信息安全建设中起到了重要的指导作用，在应用过程中应该紧密结合医疗行业的行业特点，结合实际情况在医院信息安全建设过程中落地。本文结合等级保护要求，针对医院内网、医院外网以及安全管理建设进行了安全策略分析，为医院信息化建设者提供参考。此外，医院信息安全建设不能仅仅停留在建设上，还需要在安全运维方面考虑建起长效机制，保障医院信息化建设长治久安。

［1］ 王俊.医院信息安全等级保护管理体系的构建［J］ . 医学信息学，2013， 26（4）: 45-47.