三級等級保護下醫院網絡邊界安全的防護與設計

◆魏帥嶺 侯立根 李 星 白 雷

三級等級保護下醫院網絡邊界安全的防護與設計

◆魏帥嶺 侯立根 李 星 白 雷

（邯鄲市中心醫院信息科 河北 056001）

隨著信息技術的迅猛發展和互聯網+醫療的興起，信息安全在醫院信息化建設中越來越重要。2017年，國家網絡安全法正式生效，信息安全等級保護工作全面展開。如何在醫院的網絡邊界建立安全、可靠、高效的防護體系，是醫院的信息化建設中面臨的重要課題。本文按照等級保護的要求，對醫院的網絡邊界的現狀和需求進行了系統的分析。同時結合健康管理系統，介紹了醫院構建的以下一代防火墻及網閘為核心的網絡邊界安全系統。

信息安全；等級保護；網絡邊界；醫院信息化

近年來，隨著互聯網技術的發展，醫院信息化程度已成為醫院現代化的重要指標，以“互聯網+醫療”為代表的新興熱點不斷沖擊著傳統醫療行業。信息安全的重要性也隨之不斷提升，醫院信息系統的安全和穩定將直接關系到醫院的正常運行。

近年來，各種信息安全事故頻發，對醫院的信息網絡系統和數據的安全造成嚴重的威脅。2017年6月1號，《中華人民共和國網絡安全法》正式施行，條文中明確規定國家實行網絡安全等級保護制度，標志著醫院信息安全建設進入了一個新的階段。

2017年10月份我院信息系統正式通過了評審驗收，達到信息系統安全等級保護三級標準。同時根據新形勢、新要求不斷持續改進提升，在2018年底再度通過三級等級保護的復審。其中網絡邊界的安全防護是等級保護要求中的重要內容。把安全級別不同的網絡相連，就有了網絡邊界，需要在網絡邊界上面建立安全的、可靠的防御措施，以此來防止來源于網絡外界的病毒、黑客、網絡攻擊等等的惡意或未授權的入侵行為。

1 現狀與分析

1.1 醫院網絡邊界現狀

目前醫院網絡邊界的數據交互主要兩個特點，一個是訪問數據量大，另一個是網絡復雜性高。

圖1 醫院網絡系統

如圖1所示，現階段由于醫院業務的需求，內網系統需要與諸多外部系統進行數據交換。主要的交換分為三種：第一，諸如城鄉職工醫療保險、用血直報結算等傳統業務網絡；第二，隨著互聯網+醫療的發展，移動支付、手機預約掛號、手機檢驗報告查詢、健康體檢管理、導診機器人、云存儲備份等移動互聯系統的需求和使用越來越廣泛，與互聯網的數據交互也與日俱增；第三，為了響應分級診療政策及滿足精準醫療需求，醫院建立了邯鄲市醫療聯合體大數據中心和精準醫療中心，簽約合作的醫療機構數量與日增加，相關專用通信網絡的業務量也呈快速上升趨勢。這就形成了復雜的、高并發的及高交換量的網絡邊界，網絡邊界的安全維護形勢嚴峻。

另一方面，網絡邊界的復雜性不僅體現在網絡線路上，還體現網絡邊界訪問類型上。隨著醫院涉外網絡業務的增多，醫院內網對外部開放的端口也相應地增加。同時各軟件和服務廠家使用的服務類型也不盡相同，醫院網絡邊界涉及的網絡服務訪問類型也越來越多樣化，如健康管理系統使用IIS、預約掛號系統使用Webservice、藥品管理系統使用Tomcat、兒保系統使用Apache等。

1.2 邊界安全需求

邊界訪問控制：訪問控制是邊界安全中最基本的需求，能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，實現端口級的控制精度；同時對進出網絡的信息內容進行檢查，對數據流合法性進行識別。

邊界完整性檢測：根據《信息系統安全等級保護基本要求》，應能夠對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查。在檢測時應做到以下幾點：

（1）對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；

（2）對內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。

邊界惡意代碼防范：病毒爆發呈上漲趨勢，病毒與黑客程序相結合，蠕蟲病毒更加泛濫，2017年上半年勒索病毒爆發就是典型的實例。邊界惡意代碼防范主要需要實現以下功能：

（1）應在網絡邊界處對惡意代碼進行檢測和清除；

（2）應維護惡意代碼庫的升級和檢測系統的更新。

1.3 設計原則

重點保護原則：根據醫院信息系統的特點、重要性和等級保護的要求，劃分各系統的安全保護等級，集中優勢資源保護核心，實現重點系統重點保護，最終效果滿足《信息系統安全等級保護基本要求》的規定。

全面防護原則：充分考慮到各個層面的安全風險，在技術層面進行安全防護措施設計，兼顧管理措施的設計，雙管齊下，保證各種安全措施形成一個縱深的安全防護體系，保證信息系統整體的安全保護能力。

動態調整原則：醫院網絡安全等級保體系的建設是一項持續性工程，因此要根據信息系統實時的變化情況，動態調整安全保護措施，有步驟、有計劃的推進醫院網絡安全體系的建設。

2 主要安全設備及功能

2.1 防火墻

防火墻的是實質是一種隔離技術，主要是通過防火墻上的安全策略將信息系統內部網絡與外部網絡隔離，對未經授權的訪問和數據進行篩選，從而保護內部網免受非法用戶的侵入，同時，還能夠記錄用戶的操作及訪問記錄，保護內網的數據安全。防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。在防火墻上進行安全訪問控制策略設置，實現特定的用戶才能通過特定端口訪問特定服務與數據。

醫院使用的下一代防火墻除了傳統的防護功能外，安全同時包含入侵檢測防御（IPS）系統、防病毒（AV）、web應用防護（WAF）和抗拒絕服務等模塊。

入侵檢測是一種主動保護網絡免受攻擊的安全技術，通過對數據包的實時監測，及時監測出入侵者對網絡和數據發起的攻擊，當監測到攻擊時，能夠記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，并在。發生嚴重入侵事件時應提供報警。在策略中添加了入侵檢測防御功能和防病毒功能，實現了對CGI攻擊、RPC攻擊、信息竊取、網絡數據庫攻擊、端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和蠕蟲攻擊等安全威脅的有效防護。

病毒防護模塊能夠對交換的數據進行防病毒掃描，從而確保系統和數據的安全。

Web安全防護是針對web應用服務器的安全防護（健康管理、移動辦公OA），WAF通過對來自Web應用程序客戶端的各類請求進行內容檢測和驗證，確保其安全性與合法性，對非法的請求，如SQL注入、CSRF攻擊、跨站點腳本、惡意掃描等攻擊進行有效的實時阻斷。

2.2 網閘

網閘（GAP）全稱安全隔離網閘。安全隔離網閘是一種帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接，并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備，網閘能夠實現物理隔離。網閘分為2+1結構及三層結構。醫院內采用主要是三層結構網閘，如圖2所示，硬件主要由三部分組成：外部處理單元（外端機）、內部處理單元（內端機）、仲裁處理單元（仲裁機），各單元之間采用了隔離安全數據交換單元，內端機和外端機通過專用硬件與仲裁機相連。

圖2 三層結構網閘的物理結構及仲裁系統結構

網閘所連接的兩個獨立主機系統之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議"擺渡"，且對固態存儲介質只有"讀"和"寫"兩個命令。由仲裁機擔任的“安全檢查員”對從網絡協議包中剝離出來的應用層信息進行安全檢查，與此同時，仲裁系統還會對檢查結果進行審計。所以，安全隔離網閘在物理上實現了隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無法入侵、無法攻擊、無法破壞，實現了真正的安全。

網閘采用硬件加密和密碼相結合方式，只有通過跨域管理中心，使用專用的登錄工具，才能對網閘進行管理和配置，同時系統提供管理員身份鑒別功能，并借助強有力的安全策略來保證鑒別的有效性和安全性，如使用硬件秘鑰。對于特定的應用，如FTP、HTTP、郵件、Telnet、數據庫，都有獨立的交換策略，需要做出針對性的配置。

3 防護體系設計及測試

3.1 應用實例

本文以醫院的健康管理系統為例，說明我院網絡邊界的安全設計。健康管理系統是我院互聯網+醫療戰略重要組成部分，該系統專門針對體檢中心用戶使用的應用。體檢用戶在體檢之后可以通過APP、微信或網頁端，在手機或者電腦上通過互聯網隨時查看自己的體檢結果、體檢報告。同時根據體檢結果及以往的體檢數據，該系統能夠為用戶提供動態與靜態的健康分析結果及針對性的建議等信息，是實現互聯網+醫院的重要戰略。

圖3 醫院健康管理系統拓撲圖

健康管理系統數據庫位于醫院內部業務網的體檢中心服務器上，Internet訪問其數據和服務首先要訪問到醫院辦公網，再由醫院外網訪問醫院內網，這主要涉及兩個邊界，互聯網公網與醫院外網，醫院外網核心與醫院內部業務網。我們通過采用前置服務器的方式，將網閘應用到防護系統當中，在傳統的DMZ區域防護的基礎上構建了專用于訪問醫院內網服務和數據的前置區域。將健康管理的IIS應用部署到前置機上，端口為4415，在防火墻上啟用策略，只允許DMZ區域的醫院辦公網訪問前置機的4415端口，同時在公網防火墻上也部署策略，只開放前置機對應地址的4415端口，實現公網訪問前置機的IIS。在網閘上開放體檢中心服務器的1521端口，使前置機能夠訪問健康管理的數據庫。

第一層防護：實現公網與醫院外網核心交換機的隔離，醫院互聯網邊界安全的第一道防線；第二層防護：實現外置機與醫院互聯網隔離。第二層防火墻與第三層網閘之間形成前置區域，前置機對外網及內網的數據訪問分別通過防火墻和網閘實現了嚴格的控制；第三層防護：前置機與內網之間。

第一層和第二層邊界的防護措施主要由防火墻構成，入侵檢測防御（IPS）系統、防病毒、web應用防護和抗拒絕服務部署在這兩層防御體系中。第三層防護主要由網閘組成，將健康管理服務部署到外置機上，然后前置機通過網閘實現與內網體檢服務器的數據交換，實現醫院內部網與外網的物理隔絕，從而構筑的內網系統與外部網絡的最后一道堅固防線。

這樣一方面實現了醫院內網與外網的硬件隔離，將數據交換程序部署到前置區域的前置機上，同時在醫院的網絡邊界實現了如圖3所示的三層邊界防護系統，形成了縱深防御系統。

3.2 測試結果

2018年12月，我院與第三方公司配合進行網絡邊界滲透測試，未發現漏洞。

2019年8月，邯鄲市公安局網監對全市29家醫院、學校等事業單位進行網絡安全攻防演練，通過外網邊界對業務內網進行入侵滲透測試。演練持續兩天，醫院網絡邊界防護系統對網監的7次攻擊進行了有效的阻斷。

4 結束語

總而言之，基于等級保護的要求，結合醫院的實際網絡和系統應用情況，對醫院的網絡邊界安全設計進行研究，制定完整的安全設計方案具有重要意義：在促進了醫院等級保護工作的順利開展同時，提升醫院信息系統安全性，保證醫院網絡安全。通過設計安裝下一代防火墻、網閘等多設備構建了多層次縱深保護體系，大大提高了網絡邊界的安全防御能力，將安全風險進一步降低，有效保證了醫院的信息網絡安全。同時，醫院的信息安全工作是一項動態的持續性工作，根據醫院信息系統的變化和等級保護要求的變更，需要不斷調整和改進信息安全防護體系。

[1]GA/T 1390.5-2017 《網絡安全等級保護基本要求》.

[2]郎漫芝，王暉，鄧小虹.醫院信息系統信息安全等級保護的實施探討[J].計算機應用與軟件，2013，30（1）：206-208.

[3]王俊.基于等級保護的醫院網絡區域邊界安全研究[J]. 中國數字醫學，2013，8（3）：96-98.

[4]張健.等保體系中的邊界安全設計[J].網絡安全技術與應用，2015（3）：87-87.

[5]鄒陸曦，胡廣祿，孫玲.三甲醫院信息安全等級保護的實施及應用[J].中國數字醫學，2015（2）：84-86.

[6]王穎.加強醫院信息系統安全管理[J].中國病案，2009， 10（7）：26-27.

[7]王磊，魏曉艷，郎爽，等.醫院信息安全等級保護三級評測的應用與實踐[J].中國數字醫學，2015（2）：81-83.

[8]顏海威.醫院信息系統三級等保建設思路[J].電腦知識與技術，2016，12（30）：40-41.

[9]王洲.醫院內外網互聯中的邊界安全防護[J].電腦編程技巧與維護，2015（6）：89-91.

[10]胡建理，李小華，周斌. 一種基于安全隔離網閘技術的醫院內部網安全解決方案[J].醫療衛生裝備，2010，31（7）：44-45.