三级等保下医院信息系统安全优化方案实践

汤斌，黄玉成

中南大学湘雅医院（中南大学医院管理研究所） 网络信息中心，湖南 长沙 410008

引言

为进一步提高信息的保障能力，根据《信息安全等级保护管理办法》（公通字2007[43]号）的精神，中南大学湘雅医院在2016年对HIS系统、LIS系统、PACS系统、电子病历系统进行信息安全等级保护三级测评工作，通过此次测评，中南大学湘雅医院发现了目前信息系统的安全现状与等级保护三级的基本要求存在一定的差距，信息系统存在较大的安全隐患[1]。中南大学湘雅医院决定对信息系统进行整体信息安全加固建设。

本文力图通过对等保三级保护要求的解析，结合中南大学湘雅医院的网络现状，提出一个满足等保要求的信息系统安全加固优化方案。

1 设计背景

1.1 需求分析

对于医院网络架构来说，高质量的网络传输在整个医院的网络化办公中起着至关重要的作用，结合医院内部复杂的HIS、LIS、PACS等应用系统，大批的文件，图像和业务数据流都会通过网络进行传输，这就要求网络有足够的主干带宽和医院内部网络的扩展能力和冗余能力。除上述考虑外，还要注意将医保业务网络和内部办公网络分开，建成后网络应能提供多个网段的划分和隔离，并能做到灵活配置，以适应日后环境的调整和变化。除此之外，医院的网络系统连接着外部Internet和高校等，访问人员众多且复杂，因此如何保证医院网络系统中的数据安全问题显得尤为重要。

湘雅医院作为卫生计生委直属管辖的三级甲等医疗机构，内部运行的HIS、LIS和PACS等系统的正常运行至关重要。依据卫生部于2011年11月发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》的要求[2]，非常有必要对我院的网络安全开展等级保护建设，不仅是以利于医院自身进行安全体系化建设，更重要的是确保医院各项业务的正常开展。

1.2 现状调研

目前中南大学湘雅医院信息系统分为内网和外网两套网络[3]，内网与外网通过双向隔离网闸进行了物理隔离，见图1。

中南大学湘雅医院内网进行了合理的分区，包括运维管理区、内网终端接入区、外部单位接入区、内网应用服务器区。使中南大学湘雅医院内网网络结构清晰，边界明确，大大提升了安全防护、运维等工作效率，同时针对主要的数据处理设备均有冗余，极大的增加了网络的健壮性。

在湘雅外网平台，针对外部应用服务器区，部署有Web应用防火墙、下一代统一安全网关进行安全防护，同时在互联网出口边界区部署有防病毒网关，对访问互联网的数据流进行了流量清洗。

1.3 差距分析

中南大学湘雅医院在整体的信息系统安全架构上有一定的安全防护措施手段，但仍旧存在一定的问题，主要如下：

（1）医疗业务系统数据库是全院医疗应用系统的核心，在现网内缺乏针对数据库系统的有效审计机制，无法对数据库的各项操作行为进行监管与审计。

（2）在互联网出口边界区部分设备缺乏有效的冗余备份机制，存在一定的单点故障隐患。当某台设备故障，将会导致互联网访问中断。

（3）终端主机安全性存在安全漏洞易被人攻击，从登陆口令、服务进程、系统补丁、防病毒软件等进行加固升级。

（4）核心数据均采用了本地备份机制未采用异地备份，在条件允许的情况下，可采用异地备份，在本地机房出现灾难性事故下数据不丢失。

图1 现行网络拓扑

2 建设目标与框架

2.1 建设目标

依据国家信息安全等级保护制度，遵循相关标准规范，结合中南大学湘雅医院核心业务系统和基础设施现状，总体目标为：建设满足等级保护三级要求的安全技术防护体系，进一步明确信息安全保障重点，建立安全管理组织机构，落实信息安全责任，健全信息系统安全管理制度，制定核心业务系统不中断的应急预案，建立信息安全等级保护工作长效机制，切实提高信息安全防护能力、隐患发现能力、应急处置能力，保障自身计算网络及信息系统持续正常运行[3]，建设目标，见图2。

图2 建设目标

医院业务内网中不同区域之间进行安全隔离，细化现有防火墙的安全策略，在区域的边界应采用强制访问控制手段进行隔离，同时对入侵攻击应能进行阻断，对病毒应能在边界处进行过滤[4]；应定期对网络设备、操作系统和数据库三个方面进行扫描，发现潜在的安全隐患[5]；医院业务内网中的信息系统需具备有效的内控和安全审计，对出现的问题实现事前监测，事后对问题进行追溯[6]。

互联网为湘雅医院内部网络接入用户提供统一的互联网出口。由于互联网为公共网络，安全性低，需要在互联网接入区内部署多种安全防护设备，以应对不同安全层面的防护问题。

2.2 建设框架

按照最新的等级保护2.0和《网络安全法》要求，统筹规划安全建设，合理规划安全域、建立有效的安全技术保障体系、完善安全管理体系的建设。构建一个中心、三重防护保障的主动防御安全体系（一个中心是指安全管理中心，三重防护由安全计算环境、安全区域边界以及安全通信网络组成），从物理和环境、网络和通信、设备和计算及应用和数据方面对医院信息安全进行统筹规划设计，相关框架，见图3。

图3 建设框架

秉承合规为基础，持续保护为实践标准，本着建立真正有效的技术体系的原则，构建“防御+检测+响应”的安全能力。使安全技术体系不再是简单的堆叠防御手段。既能满足等级保护2.0要求，又能充分发挥安全技术体系的有效性，抵御新威胁，切实地解决安全问题，减少事故发生的概率。

建立统一的信息安全管理体系，落实各项管理制度，让医院的安全管理体系，有宏观的设计、有清晰的责任权限、有合理的制度要求。同时应用包括安全可视化、统一运维管理的创新的技术手段，简化安全运维管理，减轻安全运维管理的负担，提升安全运维管理的效率，最终做到整体防御、分区隔离；积极防护、内外兼防；自身防御、主动免疫；纵深防御、技管并重。

整个医院信息安全体系与信息系统整体之间，不是彼此独立、分离，而是紧密镶嵌、有机结合、高度融合的。依据国家等级保护的相关标准和规范，结合现阶段信息系统面临的安全挑战，建立一个完整的安全保障体系。

3 内网等级保护改造建设方案

整个内网安全设计以审计和检测为核心，联动整体安全建设与运行。对于中南大学湘雅医院内部网络，承载着所有重要业务系统的运行工作，且与外部进行交互的通道主要为服务器区汇聚交换，因此，作为首要保障，用防火墙端口级别的策略做了内外隔离。同时，为保障业务平稳安全运行，最重要的能力是持续的检测，通过漏洞扫描评估内网脆弱性，防病毒网关监控病毒情况，再通过各类审计设备持续监听从应用层到数据层的风险状况。通过检测和审计的结果，辅助业务的安全改造，从而不断优化业务的稳定与安全运行。

3.1 防火墙设计

防火墙部署在核心交换机与服务器汇聚交换机之间，对进出应用服务区的数据流量进行控制，禁止未授权访问应用服务区资源，同时屏蔽不安全的对外应用。防火墙策略细化到端口级，只对需要访问的人员开放必须的应用服务的端口。防火墙采用双机模式部署，确保服务的高可用性，防范单点故障。

3.2 防病毒设计

防病毒网关与主机防病毒软件不同，防病毒网关部署在湘雅医院内网核心交换机与入侵防御之间。实现安全防护、病毒处理分析和展现等功能，湘雅医院内网大部分为Web应用系统，如电子病历系统、RIS、PACS等，Web上传和下载是病毒传输主要形式之一，通过部署防病毒网关系统可以对Web、邮件、FTP等多种传播手段进行检查和阻断。

3.3 漏洞扫描设计

在医院内网运维区部署漏洞扫描设备，对整个医院业务内网定期进行漏洞扫描[7]，并可以随时改变接入位置。实现漏洞扫描、漏洞分析、漏洞管理等功能，通过对湘雅主机、应用、网络设备等全方位的安全漏洞扫描，全面的漏洞分析、完善的漏洞管理，保障湘雅医院的网络信息安全。

3.4 数据库审计系统设计

在医院业务内网的服务器汇聚交换机部署数据库审计系统，对所有数据库的操作进行审计，对出现的数据库事件追溯提供证据[8-10]。实现数据库协议审计、数据库安全审计、SQL操作审计、实时告警等功能。以便于管理员及时发现网络中的潜在危险，快速处理，保证网络运行的安全。

3.5 网络审计系统

网络分析系统部署在核心交换机上，通过采集镜像数据，对所有的用户网络访问行为进行监听和审计[11]。此系统应具有长期数据存储、回溯取证能力、大数据挖掘能力、七层协议解码、智能分析、安全分析、应用访问记录等能力，能有效地帮助网络管理员进行运维和监管工作。

4 外网安全建设方案

在原有网络架构中，互联网出口区通过部署一台防毒墙和三层防火墙，DMZ区部署一台WAF（Web应用防护系统），除了合规性问题之外，整体架构面临以下几方面的问题：首先，互联网出口串接两台防护类设备，“串糖葫芦式”部署，运维复杂，同时存在单点故障，更无法应对日益增多的应用层攻击（据Gartner统计，外网攻击中70%以上属于应用层攻击）；另外，多链路的互联网出口未做负载保障，缺乏可靠性，链路资源未得到充分利用；其次，对于外网用户的上网行为缺乏审计，员工的上网行为无法管控，也无法记录，如出现数据泄密，无从追溯；同时，远程桌面等运维方式带来了极大的安全风险，勒索病毒攻击多半利用远程桌面的端口进入[12-13]。因此，整体方案从可靠性，高效性和可视性三方面出发，构建了外网的防护架构，见图4。

图4 外网拓扑图

4.1 防火墙设计

现有的互联网出口上仅部署了一台防火墙，且应用时间较大，在此外网安全改造方案中，新增防火墙代替现有的防火墙，同时为避免单点故障的出现，采用两台防火墙为主备方式，防火墙策略采用端口级的过滤策略，采取权限最小化的原则，对访问行为进行控制[14]。防火墙对进出外网办公区、内网办公区、DMZ区的流量进行过滤，防范未经授权的访问。对于外网办公区，可以防范终端被非法访问[15]；对于内网办公区，可以防范来自互联网的非法访问；对于DMZ区，防范OA、预约挂号、门户网站等应用系统被未授权地访问。

4.2 上网行为管理设计

在防火墙前端部署一套上网行为管理系统，对员工的上网行为进行监控和管理，通过定制精细化的上网行为管理方案[16]，对员工的上网行为进行细致而灵活的管理，提高员工的工作效率，避免机密信息的泄漏[17]。上网行为如产生故障会采取BY PASS模式，不会对网络正常使用造成单点故障，为了节约成本，本方案故而没有采取双机冗余设计。

4.3 链路负载均衡设计

随着互联网应用的发展，湘雅医院对外业务承载的数据量也越来越大，提供的服务与患者需求密切相关，如预约挂号等。目前亟需解决网络带宽不足，单一运营商链路出现线路故障导致全部互联网业务中断的问题。通过部署负载均衡系统，接入多家运营商的线路，一方面可以解决带宽不足的问题，另外一方面可以解决单一运营商线路单点故障的风险。

5 安全管理体系建设

除了技术建设之外，制定落地的安全管理制度是本次建设的核心，只有真正从信息化管理人员到普通员工都按照标准化的要求进行信息系统的操作与使用，才能真正全方位全天候的保障湘雅医院的信息安全。湘雅医院信息系统安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式，组织结构图，见图5。

图5 安全组织结构图

信息安全领导小组是由湘雅医院信息科主管领导牵头，各部门的负责人为组成成员的组织机构，主要负责批准湘雅医院信息系统的安全策略、分配安全责任并协调安全策略能够实施，确保安全管理工作有一个明确的方向，从管理和决策层角度对信息安全管理提供支持。

信息安全工作组是信息安全工作的日常执行机构，内设专职的安全管理组织和岗位，负责日常具体安全工作的落实、组织和协调。为了有效落实信息安全各项工作，湘雅医院应设立以下专职的安全岗位，负责安全工作的落实和执行。

（1） 信息安全工作组主管：① 负责网络与信息安全的日常整体协调、管理工作；② 负责组织人员制定信息安全管理制度，并对管理制度进行推广、培训和指导；③ 负责重大安全事件的具体协调和沟通工作。

（2）安全管理员岗位：① 负责执行网络与信息安全工作的日常协调、管理工作；② 负责日常的安全监控管理，并对上报和发现的各类安全事件进行处置；③ 负责系统、网络和应用安全管理的协调和技术指导；④ 负责安全管理平台安全策略制定，访问控制策略审核；⑤ 负责组织安全管理制度的推广和培训工作；⑥ 负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。

（3）安全审计员岗位：① 负责安全管理制度落实情况的检查、监督和指导；② 负责安全策略执行情况的审核。

（4）系统管理员：① 负责系统安全稳定运行的日常管理工作；② 负责保持系统的防病毒系统、补丁等保持最新，定期对系统进行安全加固，保持系统漏洞最小化。

（5）网络管理员：① 负责网络设备安全稳定运行的日常管理工作；② 负责保持网络设备的漏洞最小化，定期对系统进行安全加固；③ 负责保持网络路由和交换策略与业务需求保护一致。

湘雅医院应根据日常的运行维护和管理工作，设置物理环境管理、业务管理、应用管理以及资产管理等岗位，这些岗位也应当包括安全职责，这些安全职责的具体内容通过《信息安全管理岗位说明书》落实。

6 结语

网络安全法已于2017年6月1日正式实施。网络安全法第二十一条明确国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改，信息安全等级保护工作已经上升到国家战略层面，成为关系国计民生的重要任务。医院的三级安全等保技术建设，既有与其它行业要求的共性，又有其自己的特点。这些要求中除了网络层面的，还包括机房、主机、应用和数据安全。三级安全等保对医院既是一次命题考试，又是一次切实提升医院安全能力的好机会。作为安全等保技术要求的主要部分——网络安全，因其分散、覆盖面广和难以管理，也是整个等保安全的难点。医院需要从网络与安全融合、终端与边界融合、集中与分级融合等多个维度全面考虑，覆盖包括结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码入侵和设备防护多方面技术要求，建设完善的网络安全体系，确保医院实现自身核心业务安全稳定运行。

[参考文献]

[1] 程斌.医疗卫生行业信息安全等级保护设计方案[J].信息网络安全,2012,(10):150.

[2] 赵士洁.卫生部印发《卫生行业信息安全等级保护工作的指导意见》[J].中国数字医学,2012,7(1):98.

[3] 郎漫芝,王晖,邓小虹.医院信息系统信息安全等级保护的实施探讨[J].计算机应用与软件,2013,30(1):206-208.

[4] 李广.等级保护三级系统建设实践[J].计算机安全,2010,(8):82-84.

[5] 张庆.小型企业网络安全隐患扫描系统的设计与实现[J].消费电子,2013,(6):87.

[6] 韩亮,蔡力,廖菁,等.卫生适宜技术推广管理信息系统的需求分析[J].中国医学教育技术,2011,25(5):558-561.

[7] 张云,王胤涛.医院信息系统安全等级保护实践——终端安全建设[J].中国医学教育技术,2013,27(1):95-97.

[8] 吴业刚.基于web的彩票安全交易系统设计与实现[D].上海:复旦大学,2008.

[9] 郑丽生,陈金聪.基于入侵防护系统的网络安全研究[J].软件导刊,2011,10(7):145-147.

[10] 李晶媛.网络数据库系统审计跟踪研究[D].太原:中北大学,2010.

[11] 孟召瑞.利用网络回溯分析技术进行邮件系统攻击分析[J].网络安全技术与应用,2013,(12):6.

[12] 杨向东.等级保护——信息安全的重要保障[J].华南金融电脑,2004,(1):22-24.

[13] 曾颖.医院信息系统等级保护安全体系设计[J].微型电脑应用,2014,30(3):43-47.

[14] 开拓.基于网络安全视角的医院网络管理研究[J].网络空间安全,2016,7(8):21-23.

[15] 杨旋,周小甲.医院信息系统安全等级保护定级与整改结果探讨[J].中国医疗设备,2017,32(6):166-169.

[16] 王波.基于等级保护的医院信息网络平台安全体系设计与实现[J].医学信息学杂志,2014,35(7):30-32.

[17] 颜海威.医院信息系统三级等保建设思路[J].电脑知识与技术,2016,12(30):40-41.