攀枝花市第二人民醫院網絡改造設計方案研究

劉浩然 劉彬

摘? 要：隨著計算機系統等級保護2.0標準的提出，三甲醫院核心業務信息系統安全應不低于三級要求，通過對攀枝花市第二人民醫院現有組網的網絡攻擊防護、個人信息保護、運維審計安全、獨立區域安全、集中日志審計及安全事件自動分析進行了調查與分析，發現該醫院的現有網絡設計不具備足夠的高可擴展性、高可用性、高靈活性及高安全性，還有極大的提升空間。

關鍵詞：等保2.0;網絡安全;網絡設計

中圖分類號：R197.324? ? ? 文獻標識碼：A 文章編號：2096-4706（2020）18-0147-03

Abstract：With the introduction of the computer system grade protection 2.0 standard，the security of the core business information system of the top three hospitals should not be lower than the level three requirements，through investigation and analysis of the existing network of the Second Peoples Hospital of Panzhihua，network attack protection，personal information protection，operation and maintenance audit security，independent area security，centralized log audit and automatic analysis of security events. It was found that the hospitals existing network design did not have sufficient scalability，high availability，high flexibility and high security，as well as great room for improvement.

Keywords：computer system grade protection 2.0;network security;network design

0? 引? 言

計算機系統等級保護（簡稱為“等保”）意為對信息安全實現等級化保護和等級化管理，主要是為了保障信息安全和系統安全。自1994年等保概念提出之后，國家相關法律法規及政策不斷支持等保工作開展，最新的等保2.0標準以未來的新技術和新應用場景為前提進行制定，以優化為核心，刪除已過時或發生變化的方向，針對新形勢增加了未知應用防護及個人信息保護等要求，并將安全管理中心從管理層面提升至了技術層面，是適應現在和未來的安全設計標準。

采用傳統等保要求進行設計的方案通常有以下四個缺點：首先，系統缺乏必要的體系性考慮與風險處置能力;其次，系統閉環安全要求不足，發生事故后難以及時發現與主動分析;再次，隨著云計算、物聯網、大數據等新技術的發

展，傳統等保方案已不能滿足后續的安全需求;最后，新型網絡威脅發展極為迅速，系統面對物聯感知設備挾持、APT等攻擊方式無有效的應對措施。總體而言，采用傳統等保要求設計的系統已不具備與當代網絡發展現狀相匹配的安全性，需要在現行標準與要求下對舊系統方案進行改造與優化。

為進一步實現等保2.0標準在各大重點場合的應用，響應習總書記網絡強國的戰略，本文作者針對攀枝花市第二人民醫院現有組網進行分析，并在其基礎上進行改進，通過端口聯動提高系統效率、VLAN隔離提高管理便利性、靜態路由穩定對外訪問通道、劃分OSPF域提高系統穩定性、配置下一代防火墻及設置堡壘機提高系統安全性，整體提高系統組網的性能與安全，使得醫院關鍵系統業務能滿足等保2.0要求。

1? 項目背景

為了更好地保證醫院信息安全，2011年衛生部先后下達《衛生行業信息安全等級保護工作的指導意見》（衛辦發〔2011〕85號）和《衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知》（衛辦綜函〔2011〕1126號），要求全國衛生行業各單位全面開展信息安全等級保護工作。《衛生行業信息安全等級保護工作的指導意見》中，明確要求全國所有三甲醫院的核心業務信息系統的安全保護等級原則上不低于三級。醫院的網絡安全是等保評測工作的重點，也是醫院信息安全保護的難點。在計算機信息系統安全保護等級劃分準則中，明確地定義了用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級與訪問驗證保護級5個系統級別，并對系統整體網絡架構、帶寬和設備性能、網絡邊界控制防范、邊界連接的控制、包括設備、事件和用戶等目標的日志系統、接入規范和防內網外聯、網絡邊界應用級攻擊檢測防范、網絡邊界惡意代碼防范和代碼庫的升級及設備管理的安全性提出了管理要求。

攀枝花市第二人民醫院（以下簡稱“二醫院”）是攀西地區的三甲醫院。隨著互聯網技術日益深入到醫院運營管理范圍，信息化建設已經成為二醫院發展的重點與難點內容，電子病歷、醫患信息等信息安全隱患得到越來越多的關注，對應的安全問題關系到每一位病人的切身利益，如何在保障二醫院信息安全的同時確保醫院自身業務的連續性，是二醫院面臨的重要問題。基于此，本方案將以國家相關法律法規為準繩，結合二醫院的業務需求，對二醫院的網絡進行改造設計，以達到醫院網絡滿足國家等保三級標準的目的。

2? 需求分析

隨著二醫院信息化建設的逐步深入，各類業務系統逐漸增多，原有網絡設計方案已無法滿足醫院的現有需求;同時，設備老化、網絡帶寬不足、網絡安全設計缺陷等問題日益突出。經過調研，目前二醫院網絡建設有以下需求。