基于等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系醫(yī)院信息化安全建設(shè)

摘 要：本文基于等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系，從技術(shù)角度論述醫(yī)院信息化安全建設(shè)。依據(jù)醫(yī)院信息化特點(diǎn)，結(jié)合等級(jí)保護(hù)2.0點(diǎn)的新要求，從內(nèi)外網(wǎng)防護(hù)、主機(jī)準(zhǔn)入控制和數(shù)據(jù)備份等幾個(gè)方面系統(tǒng)的闡述了等級(jí)保護(hù)建設(shè)的新特點(diǎn)。

關(guān)鍵詞：等級(jí)保護(hù)2.0;內(nèi)外網(wǎng)防護(hù);數(shù)據(jù)備份;準(zhǔn)入控制

一、概述

為貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，規(guī)范和指導(dǎo)全國(guó)衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作，衛(wèi)生部辦公廳于2011年12月下發(fā)衛(wèi)生部《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》，從物理安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全與備份恢復(fù)四個(gè)層面提供融合化的等級(jí)保護(hù)解決方案，本文主要論述了目前系統(tǒng)的現(xiàn)狀，依照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》2.0版本和系統(tǒng)現(xiàn)狀進(jìn)行了比對(duì)，分析出系統(tǒng)的不足，為達(dá)到系統(tǒng)安全等級(jí)二級(jí)的要求提出整改方案，通過此方案的實(shí)施提高信息系統(tǒng)的安全防護(hù)水平。

二、等保2.0新變化

（一）基本要求說明

根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求說明，信息系統(tǒng)安全被分為兩大部分，分別是技術(shù)要求部分和管理要求部分，只有滿足相應(yīng)等級(jí)的技術(shù)（管理）要求，才能達(dá)到一定的基本安全要求，從而實(shí)現(xiàn)相應(yīng)的安全保護(hù)能力。

（二）安全指標(biāo)說明

以信息系統(tǒng)實(shí)施等級(jí)保護(hù)二級(jí)為例，根據(jù)技術(shù)5大類（物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全）和管理5大類（安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理），共計(jì)有66個(gè)子類，175個(gè)檢項(xiàng)，如下圖所示：

三、方案設(shè)計(jì)

（一）網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)

（二）拓?fù)湔f明

此次網(wǎng)絡(luò)方案設(shè)計(jì)嚴(yán)格安全信息安全等級(jí)化保護(hù)二建設(shè)級(jí)標(biāo)準(zhǔn)設(shè)計(jì)，并滿足二級(jí)等級(jí)保護(hù)建設(shè)要求。網(wǎng)絡(luò)共分為兩套，外網(wǎng)一套內(nèi)網(wǎng)一套，兩張網(wǎng)絡(luò)中間采用數(shù)據(jù)隔離網(wǎng)閘進(jìn)行數(shù)據(jù)“擺渡”，既做到了兩網(wǎng)的安全隔離，又確保了內(nèi)網(wǎng)與外網(wǎng)數(shù)據(jù)交互的問題。內(nèi)網(wǎng)出口部署專用防火墻、入侵防御保障主干鏈路安全。外網(wǎng)部署上網(wǎng)行為保證上網(wǎng)安全。運(yùn)維管理區(qū)部署日至審計(jì)、入侵檢測(cè)IDS、數(shù)據(jù)庫審計(jì)、終端殺毒、堡壘機(jī)、備份一體機(jī)、準(zhǔn)入系統(tǒng)，保障內(nèi)部醫(yī)療數(shù)據(jù)安全，并記錄分析、追溯。

（1）內(nèi)網(wǎng)防火墻。采用防火墻技術(shù)，對(duì)網(wǎng)絡(luò)邊界進(jìn)行邊界保護(hù)，可以對(duì)所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴(yán)格的安全規(guī)則進(jìn)行過濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，防范各類攻擊行為，杜絕越權(quán)訪問，防止非法攻擊。通過合理布局，形成多級(jí)的縱深防御體系。（2）外網(wǎng)上網(wǎng)行為管理。基于互聯(lián)網(wǎng)的應(yīng)用從最初的文件共享、文件傳輸（FTP）、靜態(tài)網(wǎng)頁瀏覽（HTML）等內(nèi)容單一、靜態(tài)的、簡(jiǎn)單應(yīng)用，逐步發(fā)展為包括E-Mail、ERP、OA、CRM、新聞信息、文件共享、視頻會(huì)議、VoIP、即時(shí)通訊、網(wǎng)絡(luò)游戲、電子商務(wù)、電子政務(wù)等等在內(nèi)的動(dòng)態(tài)的、復(fù)雜應(yīng)用。網(wǎng)絡(luò)承載的內(nèi)容日益豐富，變得更加復(fù)雜、多樣化。當(dāng)今，互聯(lián)網(wǎng)進(jìn)入了應(yīng)用級(jí)網(wǎng)絡(luò)時(shí)代，逐步成為一個(gè)虛擬的真實(shí)社會(huì)。P2P傳輸、網(wǎng)絡(luò)電視、網(wǎng)絡(luò)游戲、在線聊天、Web視頻、股票軟件、網(wǎng)上銀行、數(shù)據(jù)庫、物流供應(yīng)鏈、各種論壇以及大量未知的內(nèi)容和信息紛紛涌進(jìn)網(wǎng)絡(luò)。（3）內(nèi)網(wǎng)入侵防御系統(tǒng)。串聯(lián)部署IPS入侵防御系統(tǒng)，通過IPS入侵特征庫對(duì)流經(jīng)服務(wù)器的所有請(qǐng)求流量進(jìn)行過濾查殺。在此基礎(chǔ)上增加安全審計(jì)產(chǎn)品可以更好的對(duì)入侵和安全事件進(jìn)行關(guān)聯(lián)和管理，并采取短信、郵件等形式的提供告警，實(shí)現(xiàn)及時(shí)、準(zhǔn)確的入侵告警提醒。（4）數(shù)據(jù)庫審計(jì)系統(tǒng)。數(shù)據(jù)庫審計(jì)系統(tǒng)通過細(xì)粒度的數(shù)據(jù)庫行為審計(jì)和SQL注入、XSS攻擊防護(hù)，幫助用戶有效監(jiān)控?cái)?shù)據(jù)庫相關(guān)訪問行為，防止敏感信息外泄。實(shí)時(shí)記錄、分析數(shù)據(jù)庫訪問行為，及時(shí)發(fā)現(xiàn)安全事件并實(shí)時(shí)記錄、告警、定位，方便管理員在安全事件發(fā)生后第一時(shí)間采取管控措施，加快對(duì)安全事件的響應(yīng)速度，做到有效及時(shí)的防范安全風(fēng)險(xiǎn)。（5）入侵檢測(cè)系統(tǒng)。入侵檢測(cè)技術(shù)（IDS）其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行發(fā)現(xiàn)，通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，避免其造成損失尋找違反安全策略的行為或攻擊跡象，并發(fā)出報(bào)警，可與防火墻互補(bǔ)聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)攻擊的檢測(cè)與防御，構(gòu)筑有效的安全防護(hù)鏈。

（三）主機(jī)安全準(zhǔn)入控制系統(tǒng)

入網(wǎng)規(guī)范管理系統(tǒng)是基于第三代準(zhǔn)入控制技術(shù)基礎(chǔ)的，面向下一代準(zhǔn)入控制（NG NAC）的，純硬件高性能網(wǎng)絡(luò)準(zhǔn)入控制設(shè)備。網(wǎng)規(guī)范管理系統(tǒng)主要從終端、網(wǎng)絡(luò)、人員、管理4個(gè)維度，對(duì)網(wǎng)絡(luò)使用、安全、管理中的各種元素進(jìn)行全面的管控。第一，對(duì)網(wǎng)絡(luò)中的終端進(jìn)行終端授權(quán)管理;第二，基于網(wǎng)絡(luò)層面對(duì)接入網(wǎng)絡(luò)的各種設(shè)備進(jìn)行設(shè)備定位透視、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)透視;第三，提供各種靈活的人員認(rèn)證機(jī)制;第四，通過報(bào)表輸出外部接口提供方便的管理手段。數(shù)據(jù)安全體系建立：備份存儲(chǔ)一體機(jī)具有最廣泛的備份功能，支持多種數(shù)據(jù)類型的備份，如數(shù)據(jù)庫備份、文件備份、應(yīng)用備份、操作系統(tǒng)備份等，涵蓋從Windows、Linux到Unix操作系統(tǒng)平臺(tái)，備份的數(shù)據(jù)可以通過多種方式進(jìn)行存儲(chǔ)，它利用成熟結(jié)構(gòu)來完成對(duì)數(shù)據(jù)的存儲(chǔ)備份。

四、結(jié)論

等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的發(fā)布，為信息安全建設(shè)提出了更高的要求，防御理念由被動(dòng)轉(zhuǎn)變?yōu)橹鲃?dòng)，防御手段融合了更多的新興技術(shù)，如態(tài)勢(shì)感知，可信計(jì)算，此外從安全管理上也提出了更多的要求。本方案以等級(jí)保護(hù)2.0標(biāo)準(zhǔn)為基礎(chǔ)，構(gòu)建了完備的安全管理體系和技術(shù)體系，從“機(jī)構(gòu)”、“制度”和“人員”三方面全面提升，完全滿足網(wǎng)絡(luò)安全法和等級(jí)保護(hù)2.0體系標(biāo)準(zhǔn)要求。

參考文獻(xiàn)：

[1]肖勇.中醫(yī)藥項(xiàng)目預(yù)算監(jiān)控平臺(tái)信息安全等級(jí)保護(hù)實(shí)踐[J].醫(yī)學(xué)信息雜志，2014.09.

[2]劉署生.淺談信息安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)分析方法的應(yīng)用[J].網(wǎng)絡(luò)空間安全，2017，z2.

作者簡(jiǎn)介：周安石（1979-），男，漢族，碩士研究生，高級(jí)工程師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)通信教學(xué)研究、網(wǎng)絡(luò)與信息安全。