医院信息化建设网络安全策略

摘 要：面对迅猛发展的网络带来的安全威胁，从网络层安全的结构安全、访问控制、安全审计、入侵防范、恶意代码防范、网络设备防护等方面阐述医院信息化建设中网络安全建设策略。

关键词：医院；信息化；网络；安全

中图分类号：TP309.2

随着医改的不断深入，借助信息化提高医院的管理水平和服务质量已成为大势所趋，伴着网络技术的迅猛发展，Web化应用呈现出爆发式增长趋势，一方面，增强了各行业及部门间的协作能力，提高了生产效率，另一方面也不可避免的带来了新的安全威胁。从国家到地方，卫生行政主管部门非常重视医院信息安全，与公安部门联合发文，要求医院完成等级保护工作。

1 我院网络安全建设现状

1.1 医院信息系统现状

我院的信息信息系统主要有：医院信息管理系统（HIS）、医学影像信息系统（PACS）、临床实验室检验信息系统（LIS）、电子病历系统（EMR）、手术麻醉信息系统（AIMS）、医院办公自动化系统（HOA）等。随着各系统应用的不断深入，以及这些系统与医保、合疗、健康档案、财务、银行一卡通等系统的直连，安全问题已越来越突显，网络安全作为信息安全的基础，变得尤为重要。

1.2 网络安全现状与不足

1.2.1 网络安全现状

（1）我们采用内外网物理隔离，内网所有U口禁用。对开放的U口通过北信源的桌面管理软件进行管理；（2）内外网都使用了赛门铁克的网络杀毒软件，对网络病毒进行了防范；（3）与外部连接。

内网与省医保是通过思科防火墙、路由器和医保专线连接进行通信；与市医保是通过联想网御的网闸、医保路由器与医保专线连接进行通信；与合疗及虚拟桌面是通过绿盟的下一代防火墙与互联网进行通信；与健康档案是通过天融信的VPN与互联网进行通信的。另外，内网与财务专用软件、一卡通也是通过网闸及防火墙进行通信的。

另外，我们有较完善的网络安全管理制度体系，这里不再赘述。

1.2.2 网络安全存在的问题

（1）由于医院信息系统与外部业务连接不断增长，专线与安全设备比较繁杂，运维复杂度较高；（2）通过部署网络杀毒软件及安全设备，虽然提升了网络的安全性，但却带来了系统性能下降的问题，如何在不过多影响整体网络性能的前提下，又可以完善整网的安全策略的部署，是后续网络优化所需要重点关注的；（3）终端用户接入网络后所进行的网络访问行为无法进行审计和追溯。

2 医院网络层安全策略部署规划

在等级保护安全策略指导下，我们将整个医院的安全保障体系设计分为安全管理体系建设和安全技术体系建设两个方面，其中安全技术体系建设的内容包括安全基础设施（主要包括安全网关、入侵防护系统、安全审计系统等），安全管理体系建设的内容包括组织、制度、管理手段等。通过建立医院安全技术体系、安全服务体系和安全管理体系，提供身份认证、访问控制、抗抵赖和数据机密性、完整性、可用性、可控性等安全服务，形成集防护、检测、响应于一体的安全防护体系，实现实体安全、应用安全、系统安全、网络安全、管理安全，以满足医院安全的需求[1]。

在这里，我主要从安全技术体系建设方面阐述医院网络层安全策略。

网络层安全主要涉及的方面包括结构安全、访问控制、安全审计、入侵防范、恶意代码防范、网络设备防护几大类安全控制。

2.1 安全域划分[2]

2.1.1 安全域划分原则

（1）业务保障原则。安全域方法的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率；（2）适度安全原则。在安全域划分时会面临有些业务紧密相连，但是根据安全要求（信息密级要求，访问应用要求等）又要将其划分到不同安全域的矛盾。是将业务按安全域的要求强性划分，还是合并安全域以满足业务要求？必须综合考虑业务隔离的难度和合并安全域的风险（会出现有些资产保护级别不够），从而给出合适的安全域划分；（3）结构简化原则。安全域方法的直接目的和效果是要将整个网络变得更加简单，简单的网络结构便于设计防护体系。比如，安全域划分并不是粒度越细越好，安全域数量过多过杂可能导致安全域的管理过于复杂和困难；（4）等级保护原则。安全域的划分要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级安全环境安全策略等；（5）立体协防原则。安全域的主要对象是网络，但是围绕安全域的防护需要考虑在各个层次上立体防守，包括在物理链路网络主机系统应用等层次；同时，在部署安全域防护体系的时候，要综合运用身份鉴别访问控制检测审计链路冗余内容检测等各种安全功能实现协防；（6）生命周期原则。对于安全域的划分和布防不仅仅要考虑静态设计，还要考虑不断的变化；另外，在安全域的建设和调整过程中要考虑工程化的管理。

2.2.2 区域划分

业务网内部根据业务类型及安全需求划分为如图1所示的几个个安全区域，也可以根据医院自己的业务实际情况，添加删减相关的安全域，网络规划拓扑图[3]如下：

图1

（1）外联区：主要与医保网、外联单位进行互联，此区域与数据中心核心交换机互联；在外联区接入处部署防火墙、IPS、硬件杀毒墙，也可以部署下一代防火墙产品，添加IPS功能模块、杀毒功能模块，通过防火墙、IPS、杀毒进行访问控制，实现安全隔离；与数据中心核心交换机处部署网闸设备，实现物理隔离；（2）运维管理区：主要负责运维管理医院信息化系统，此区域与数据中心核心交换机互联；在运维管理区与核心交换机之间部署堡垒机（SAS-H），对运维操作进行身份识别与行为管控；部署远程安全评估系统（RSAS），对系统的漏洞进行安全评估；部署安全配置核查系统，对系统的安全配置做定期检查；部署日志管理软件，对网络设备、安全设备、重要服务器的日志做收集整理和报表呈现；部署网络版杀毒系统，与硬件杀毒墙非同一品牌；部署网络审计系统，对全网所有用户行为进行网络审计；部署主机加固系统，对重要服务器定期进行安全加固，以符合等保的安全配置要求；（3）办公接入区：主要负责在住院部大楼、门急诊楼、公寓后勤楼等办公用户的网络接入；接入汇聚交换机旁路部署IDS；与核心交换机接入采用防火墙进行访问控制；重要办公用户安装桌面终端系统控制非法接入问题；（4）核心交换区：主要负责各个安全域的接入与VLAN之间的访问控制；在两台核心交换机上采用防火墙板卡，来实现各个区域的访问控制。在核心交换机旁路部署安全审计系统，对全网数据进行内容审计，可以与运维管理区的网络审计使用同一台；（5）互联网接入区：主要负责为办公区用户访问互联网提供服务，以及互联网用户访问门户网站及网上预约等业务提供服务；在互联网出口处，部署负载均衡设备对链路做负载处理；部署下一代防火墙设备（IPS+AV+行为管理），对进出互联网的数据进行安全审计和管控；在门户服务器与汇聚交换机之间部署硬件WEB应用防火墙，对WEB服务器进行安全防护；在门户服务器上安装防篡改软件，来实现对服务器的防篡改的要求；部署网闸系统，实现互联网与业务内网的物理隔离要求；（6）数据中心区：此区域主要为医院信息系统防护的核心，可分为关键业务服务器群和非关键业务服务器群，为整个医院内网业务提供运算平台；在非关键业务服务器群与核心交换区之间部署防火墙和入侵保护系统，对服务器做基础的安全防护；在关键业务服务器群与核心交换机之间部署防火墙、入侵保护系统、WEB应用防护系统，对服务器做安全防护；（7）开发测试区：为软件开发机第三方运维人员提供接入医院内网服务，与核心交换机互联；部署防火墙进行访问控制，所有的开发测试区的用户必须通过堡垒机访问医院内网；（8）存储备份区：此区域主要为医院信息化系统数据做存储备份，与核心交换机互联。

2.2 边界访问控制[1]

在网络结构中，需要对各区域的边界进行访问控制，对于医院外网边界、数据交换区边界、应用服务区域边界及核心数据区边界，需采取部署防火墙的方式实现高级别的访问控制，各区域访问控制方式说明如下：

（1）外联区：通过部署高性能防火墙，实现数据中心网络与医院外网之间的访问控制；（2）核心交换区：通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对数据交换区的访问控制；（3）数据中心区：通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制；（4）运维区：通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对核心数据区的访问控制；（5）互联网区：与内网核心交换区采用网闸系统进行物理隔离；与互联网出口采用防火墙实现访问控制；（6）开发测试区：通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制；（7）办公网接入区：通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制；（8）备份存储区：通过核心交换机的VLAN划分、访问控制列表以及在出口处部署防火墙实现对应用服务区的访问控制。

2.3 网络审计[1]

网络安全审计系统主要用于监视并记录网络中的各类操作，侦查系统中存在的现有和潜在的威胁，实时地综合分析出网络中发生的安全事件，包括各种外部事件和内部事件。在数据中心核心交换机处旁路部署网络行为监控与审计系统，形成对全网网络数据的流量检测并进行相应安全审计，同时和其他网络安全设备共同为集中安全管理提供监控数据用于分析及检测。

网络行为监控和审计系统将独立的网络传感器硬件组件连接到网络中的数据汇聚点设备上，对网络中的数据包进行分析、匹配、统计，通过特定的协议算法，从而实现入侵检测、信息还原等网络审计功能，根据记录生成详细的审计报表。网络行为监控和审计系统采取旁路技术，不用在目标主机中安装任何组件。同时玩了个审计系统可以与其他网络安全设备进行联动，将各自的监控记录送往安全管理安全域中的安全管理服务器，集中对网络异常、攻击和病毒进行分析和检测。

2.4 网络入侵防范[1]

根据数据中心的业务安全需求和等级保护三级对入侵防范的要求，需要在网络中部署入侵防护产品。

入侵防护和产品通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测产品应支持深度内容检测、技术。配合实时更新的入侵攻击特征库，可检测网络攻击行为，包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁。当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

入侵防护产品部署在数据中心与核心交换机之间，继防火墙边界访问控制后的第二道防线。

2.5 边界恶意代码防范[1]

根据数据中心业务风险分析和等级保护三级对边界恶意代码防范的要求，需要在互联网边界部署防病毒产品，也可以在下一代防火墙添加防病毒模块来实现此功能；防病毒产品应具备针对HTTP、FTP、SMTP、POP3、IMAP以及MSN协议的内容检查、清除病毒的能力。支持查杀引导区病毒、文件型病毒、宏病毒、蠕虫病毒、特洛伊木马、后门程序、恶意脚本等各种恶意代码，并定期提供对病毒库版本的升级。

2.6 网络设备保护[1]

对于网络中关键的交换机、路由器设备，也需要采用一定的安全设置及安全保障手段来实现网络层的控制。主要是根据等级保护基本要求配置网络设备自身的身份鉴别与权限控制，包括：登录地址、标识符、口令复杂度、失败处理、传输加密、特权用户权限分配等方面对网络设备进行安全加固。

由于不同网络设备安全配置的不同、配置维护工作繁杂，且信息安全是动态变化的，因此这里推荐通过自动化的配置核查设备，对网络层面和主机层的安全配置进行定期扫描核查，及时发现不满足基线要求的相关配置，并根据等级保护的安全配置要求提供相对应的安全配置加固指导。

3 结束语

通过以上六个方面的安全加固，重点解决了医院当前网络安全环境中面临的主要问题。随着医院数字化进程的不断深入，我们还将重点跟踪网络安全方面出现的新问题、新的技术思路和新的技术解决方案，做好医院的网络安全工作，为医院信息化建设保驾护航。

目前，网络已经深刻影响与改变现有的医疗模式[4]，网络安全已成为医院信息化建设中的重中之重，它是一项复杂而艰巨的系统工程，需全方位入手，切实保障医院各信息系统安全稳定的运行、医院各项工作顺利的开展，真正为广大患者提供优质便捷的服务。

参考文献：

[1]GB/T 22239-2008，信息系统安全等级保护基本要求[S].

[2]GB/T 9387.2-1995，开放系统互连基本参考模型第2部分：安全体系结构《医疗机构》，P14-P18：安全服务与安全机制的配置[S].

[3]ISO 10181：1996 信息技术开放系统互连开放系统安全框架[S].

[4]陈理兵，陈起燕.论医院网络应用系统的安全设计[J].福建电脑，2013（11）.

作者简介：皇甫宜娣（1967.09-），女，河南博爱人，信息科科长，高级工程师，计算机应用专业本科毕业，学士学位，研究方向：医院信息化建设。

作者单位：西安市中医医院 信息科，西安 710001