三甲医院等保2.0建设实践

山西白求恩医院 张译心

目的通过等保2.0在三甲医院的实践，梳理普适于三家医院的网络安全基本的建设模型。方法以网络安全相关标准制度为依据，以初步实践为基础，从网络安全组织机构划分、网络安全管理、网络安全运行等方面提出医院网络安全防护策略建议。

0 引言

随着等保2.0体系的提出，为各行各业的网络安全等保建设提出了更高的基本要求[1]。本文聚焦国内三甲医院的网络安全建设，遵循国家网络安全相关法律，以等保2.0体系要求为指引，从网络安全组织架构和制度体系入手，全面梳理三甲医院网络安全建设内容。

1 网络安全管理组织架构和制度体系

1.1 组织架构

医院的网络安全工作是“一把手”工程，成立了由医院党委书记、院长任组长，主管副院长任副组长牵头的网络安全领导管理组。包含全院医、护、技等临床医技科室，行政管理、信息、设备、后勤、实验基地等全部科室，并将网络安全日常管理工作设立在信息中心。信息中心负责人为网络安全负责人。领导小组完成医院网络安全工作的方针领导、目标规划审定、考核网络安全日常工作、监督安全事件的处理、评估年度安全工作成果等。信息中心完成网络规划和年度预算的制定执行、网络安全策略和设备的配置和上线、日常网络安全运维、全院网络安全培训、安全事件的处理总结和汇报等。其他科室的负责人为本科室的网络安全负责人，负责统筹本科室网络安全管理任务的完成，并向网络安全工作领导小组汇报。

1.2 制度体系

医院构建了总体网络安全管理框架，制定了包含网络安全总体建设规划、方针和策略、基本原则、网络安全管理组织架构及人员配备、信息系统项目全生命周期管理、工作流程、资产管理及使用、日常运维、安全事件处理、应急预案、安全培训等规章制度，形成了完整的网络安全管理制度体系[2]。

总体的建设管理方针为:以国家等保2.0体系要求为基础，实现与医院信息化建设“同步规划、同步建设、同步运行”，达到纵深防御的目标[3]。制度的制定完成后，更重要的是制度是否得到有效实施。定期安全培训、应急演练、安全检查、良性的安全风险通报机制、恰当的安全事件奖惩制度，甚至通过医院微信公众号工作群平台发送安全常识、利用终端管理软件通知模块下发威胁情报和安全注意事项均是医院增强员工安全意识，加深了解安全规则和提高安全操作技能的方法。

2 网络安全集中管理

2.1 安全管理中心

安全管理中心是指:“对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台区域”[4]。

专人管理:指定专人分别对系统（包含存储）、数据库、网络设备、安全设备进行管理和监控，完成资源配置、运行状态监控、事件及异常分析并进行预警。指定审计员对以上资源操作和安全事件处理进行审计和跟踪。

账号管理:账号设置基于“三权分立”的原则，即超级管理员、管理员、审计员三个不同权限账号。超级管理员拥有系统最高权限但不能参与业务管理，管理员具有业务运行的最低权限，审计员只有审计权。新项目上线前，项目组向各资产管理员申请相应账号，并对账号权限范围和用途作出说明。管理员应定期清查是否有测试或没有用的账号进行清理。口令复杂度管理主要通过密码复杂度、锁定等强制策略实现，定期进行弱口令的筛查，对于老旧程序无法增加策略设置的，及时督促修改弱口令情况。通过单点登录和CA认证保证账号密码安全。

集中监控管理:医院通过态势感知和综合运维软件架构安全管理中心。态势感知平台作为管理中心的神经中枢，收集综合日志平台的所有日志，包含网络设备、服务器、存储、安全设备，和流量探针（APT）提供的安全威胁信息。从全局视角对安全威胁进行发现识别、理解分析、提出预警和联动处置。综合运维平台能从业务监控的角度出发，贯穿“业务、软件、网络、设备、动环”等多个维度，实现包括系统、服务、进程、端口、数据库、中间件、虚拟机资源、设备配置变更等运行状态的监控，通过设立阀值管理，实时预警。

2.2 网络通信安全

目前，医院的基础网络并发带宽峰值已经达到GB级别。网络采用三层架构，“万兆到核心、千兆到桌面”。使用六类非屏蔽网线接入终端，接入层共享千兆带宽至汇聚，并使用双万兆主备链路上连至核心，完成数据高速转发，以保证业务高峰期带宽需求。核心及数据中心交换机采用双机路由选择模式提供冗余空间，汇聚及接入设备采用冷备和库存备板的方式保证业务可用性和实现故障恢复时间最小化。

整个网络区域通过物理和逻辑划分为:网络设备区、核心业务服务器、普通业务服务器、边缘业务服务器（前置）、存储设备、安全管理区、安全运维区、终端接入和动力环境区。服务器区域根据业务重要程度划分不同IP地址段确定所属区域；根据业务件互联关系，通过主机管理软件（EDR）微隔离功能设置IP、协议、端口互访白名单策略，实现服务器区的边界和横向隔离。

接入层采用VLAN（虚拟LAN）技术进行二层隔离，在汇聚级通过ACL（访问列表）禁止所有VLAN虚地址间互访，开放互访白名单，实现纵向隔离。核心层通过防火墙，基于终端向服务器的访问关系，采用白名单的形式，实现和终端接入区的隔离。

安全管理和安全运维主要是安全设备区和安全工作人员运维工作使用的终端设备，主要通过防火墙和访问策略和其他区域隔离。

2.3 区域边界安全

医院网络分为生产局域网（内网）和办公局域网（外网），外网出口为互联网，内网和外网物理隔离，通过网闸有控制地和互联网业务互访。内网主要有以下四个边界:

医保、财政等专线边界:主要连接医保中心、财政等用途的运营商专网线路。该类业务目前主要的数据流向为内网客户端主动向中心端发起数据通信请求，并且是终端接入区部分计算机有业务需求。主要通过IPS+防火墙，基于IP、端口、协议白名单的安全策略，仅允许部分客户端向外访问，少量外到内的访问精确到目的地址、端口和协议。根据工作时间段的特点，设置工作时放行、休息时阻断策略。

内网连接互联网边界:主要通过网闸实现内外网互联。基本策略为核心服务器不直接连通互联网，通过网闸两侧设置前置服务器作为数据中转。网闸的主要工作模式为透明传输和协议透传两种。主要使用协议透传，原则上确定源、目的IP地址、端口和使用协议，将开放通路最小化。需要将外网资源映射通用端口到互联网时，变换映射端口能很好的防范入侵的发生。

内网和院内移动网络的边界:院内的移动网络处于医院内网环境里，主要是为医护工作人员提供移动工作环境，使用手持终端完成病历医嘱、手麻、心电系统等系统的操作。通过设定特定IP地址段将移动业务与通用业务分离，严格限定移动终端的纵向访问范围。移动终端控制端开启设备MAC、账号绑定。利用终端管理软件限定安卓系统和Windows系统的移动终端只能连接医院的移动网络，禁止平板电脑的多余网卡使用模式。

客户端终端边界:通过一体化的客户端管理软件，集成了杀毒、管控策略、软硬件管理、进程黑白名单、外设管理、桌面管理、漏洞补丁等功能。配合准入模块，具有定时杀毒，认证通过后访问服务器资源，限制插入U盘、光驱、多余网卡、摄像头和其他“非法”外设的使用等功能，保证终端在相对安全的环境下运行，实现医疗数据安全。

2.4 计算环境安全

计算环境指:“定级的信息进行存储、处理及实施安全策略的相关部件”[4]。安全计算环境设计技术要求主要包含用户身份鉴定、访问控制、系统安全审计、入侵防范、恶意代码防范、可信验证等。

身份鉴别、访问控制:根据应用角色区分账号权限，采用上文提到的“三权分立”的方式设立账号，保证账号授权最小化。所有网络设备禁止Telnet的登录方式，启用相对安全的SSH方式；关闭所有网页访问和HTTP协议，启用较为安全的HTTPS协议。所有网络设备、服务器、存储、虚拟平台、安全设备的访问均通过堡垒机设备，禁止任意网段直接远程桌面服务器等设备，所有运维人员按照权限和角色申请获取堡垒机资源使用权。所有账号均有有效期限，管理员账号有效期为100天，权限为读写；厂家工程师使用前由系统管理员提出申请，按照所需时长设置有效时间，开具只读权限。启用账号、密码+动态口令的双因子认证模式，保证堡垒机和核心资源的安全使用。

数据一体化备份机制:采用一体式灾备系统搭配服务器的灾备中心模式，实现在物理机、虚拟化环境中的操作系统、应用、数据库、文件、应用环境I/O级别操作的实时备份，并秒级同步到灾备中心。备份完成即可实现容灾。基于业务级的整体数据保护，能够支持不同数量的文件、逻辑卷、裸机、云主机的业务级恢复。同时为开发测试、业务培训、补丁修复、容灾演练等工作需求提供模拟环境。

3 物理环境安全

等保2.0体系弱化了机房的选址和对于物理访问的控制要求，但需加强相应的防护措施。因为历史原因，核心机房位于矮楼楼顶，在机房装修时墙面采用了具有耐火等级的建筑钢板材料，地面铺设防静电地板，并在地板下方铺设了铜条网络接地和除静电，做好防水、防潮、防雷电等措施。安装80KVA可续航8小时的UPS不间断电源为核心设备提供稳定的直流电源，安装精密空调提供恒定温湿度，总制冷量约占170P，基本保持在温度21℃，湿度27%左右。机房内部和外部工作间配置了热气溶胶灭火装置，防止火灾发生。上线动环监控系统，全方位全天候监控机房环境，安装门禁系统保证机房资产安全。

机房内部根据功能性，兼顾动力、空调承载能力及陈列整齐需求划分为核心网络设备区、服务器区、存储设备区、安全设备区、动力环境区；外部分为电池间、安全管理区、安全运维区和值班室。

4 建设效果

医院根据信息系统运行情况，将核心业务系统HIS（Hospital Information System）医院信息系统、CIS（Clinic Information System）医院临床系统、LIS（Laboratory Information System）医学检验系统、RIS&PACS（Radioiogy Information System&Picture Archiving and Communication System）放射信息系统，共四个向公安部门进行等保备案为三级。并于2019年上半年顺利完成等保2.0体系下的等保测评工作。

5 结语

经过整改建设工作，医院实现了基于可信计算的防御体系，在数据完整性、数据保密性、数据备份恢复、剩余信息保护以及个人信息保护等方面，加强了对数据安全和患者隐私的安全网络保护。在医院的网络架构中，充分体现了基于等保2.0的“一个中心、三重防御”的理念，整合了系统安全和集中管控的能力。其中，内网和医学影像信息系统网络存放着核心的业务系统，相关的数据库服务器等被放置在单独的DMZ区；外网与内网通过网闸进行物理隔离，数据交互建立在应用服务器上，在互联网出口实施了安全出口控制；对于部分在技术和管理上达不到最高标准的应用，纳入过渡的安全隔离网；安全管理中心主要针对数据中心安全计算环境，监控了业务应用、行政后勤和运维管理等系统，审计所有的物理环境、通信网络、区域边界、计算环境和后台预警管理。各项专有网络，分别按照安全扩展要求的评测指标，达到技术、人员和流程上的有机结合，保证整个医院网络的安全可信[5]。