基于等級保護的網絡安全技術的應用研究

周 炎

（泰州市人民醫院 江蘇 泰州 225300）

1 引言

隨著我國國際地位的不斷提高和經濟的發展，網絡情報和關鍵信息系統日益受到威脅，網絡犯罪正在迅速增加。計算機病毒的傳播和非法網絡的滲透十分普遍。犯罪分子主要利用網絡安全漏洞、木馬網絡間諜攻擊軟件、網絡電信釣魚攻擊技術、黑客勒索病毒攻擊技術等手段進行各種網絡電信詐騙、網絡非法盜竊、網絡非法賭博等各種違法犯罪活動，對用戶造成嚴重損害。因此，維護網絡信息的安全是非常困難的。計算機以及網絡通信技術的迅速發展對現代社會的各個領域都產生了巨大的社會影響。醫院病人信息管理系統也正在日益完善。然而，醫療網絡信息安全系統和醫療網絡信息系統的安全保障問題越來越突出。在這種情況下，醫院根據實際情況設計實施信息網絡平臺的安全體系，并實施保障國家信息安全水平的基本指導思想[1]。

2 網絡安全等級保護

網絡通信技術的廣泛普及大大改變了現代人們的日常生活和生產方式，為現代人們生活帶來了方便，促進了工業生產的健康發展。然而，網絡安全仍然存在一些不容忽視的問題。目前，由于我國現代企業網絡安全技術管理專業還不夠成熟，如何有效率解決現代網絡安全管理上的問題仍然是一個亟待解決的重大技術問題。企業網絡安全管理系統涉及大量的商業秘密和核心技術，但由于資源有限，為了減少核心秘密泄露的可能性，加強對核心秘密的保護，有必要對企業網絡安全管理系統進行研究。對于重要制度的保護，需要將制度劃分為多個層次。由于現有網絡安全技術體系的不完善，并不是所有的資源都能得到保護，因此實施保護是一種科學有效的選擇。當有技術和資源的時候，保密信息的安全保護是指對公共信息和信息系統的存儲、傳輸和處理。網絡信息安全防護體系由技術和行政管理兩部分組成，見圖1。技術要求分為數據安全、應用安全、網絡安全、主機安全和物理安全[2]。

圖1 等級保護基本安全要求

2.1 物理安全

物理安全涉及應用到幾個方面，其中最重要的一個是環境安全（如環境防火、保護和排水、防雷和抗打擊等）和裝置與專用設備以及各種介質之間的防盜與防破壞性能。

2.2 主機安全

主機操作系統中的安全性就是指一個企業計算機專用設備（主要包括主機服務器、終端/主機工作站等）及其位于主機操作系統和主機數據庫管理系統各個功能層面上的安全；通過自行開發部署主機終端安全等級管理控制系統（TSM）、準人員的認證安全網關（SACG）、以及專門的企業主機安全等級加固防護服務，能夠輕松實現各種主機等級安全保護以及相應的企業主機安全加固防護功能需求。

2.3 網絡安全

網絡安全威脅防護是維護我國網絡安全信息系統的實時互聯、交流和普遍公共利益的重要基礎，其中一個重點防治任務就是要確保各個用戶網絡之間的合法連接，檢測、阻止內外部的惡意網絡攻擊；通過網絡部署統一的網絡威脅檢測管理系統網絡相關USGES系列，入侵威脅檢測/攻擊防范管理系統和ANIP，ANTI-DDOS等網絡安全防護產品，為合法保護用戶安全提供了合法的惡意網絡安全訪問，及時地檢測發現了在各個網絡內部可能受到的惡意網絡攻擊和安全性的威脅。

2.4 應用安全

應用安全審計泛指有效保護整個系統的各類軟件應用程序安全運行，其中主要包括各類基本的網絡應用，如電子郵件發送、Web網頁瀏覽等；電子業務系統中的各類應用，如移動互聯網、電子商務、電子政務等；網站部署了系統文件安全審計管理（DSM）并對系統、數據庫對應的UMA-DB，防病毒庫對互聯網中最關鍵的AVE以及相關軟件產品服務進行了安全審計。并且通過安全的數據網絡開關USG網絡可以有效實現對整個數據安全鏈路的高速傳輸USIPSECVPN數據進行安全加密，數據安全預警器和防護可以有效實現對一個企業的內部信息管理系統中所有數據的安全防護，降低了由于一次意外，如交通事故或者數據丟失而給企業帶來的損失。

2.5 數據安全

數據安全主要指的是對用戶數據、系統和客戶數據、業務和個人數據進行安全保護；通過對所有的信息系統、網絡裝置、安全裝置、服務器、終端機的安全事件日志進行采集、分析、輸出各種相關法規和技術要求的安全事件進行審計和報告，制訂標準安全事件的應急響應工單和操作流程。

3 醫院網絡安全現狀

目前，醫院信息系統包括HIS、LIS、PACS、EMR等。信息技術給醫護人員和患者帶來了方便，但與此同時也存在著諸多的安全隱患。由于業務的需要，醫院的內外網絡必須時刻處于互聯狀態。但是，一些醫院對網絡安全建設的重視不夠，內網之間沒有防火墻和網關等安全設置，導致外部網絡攻擊很容易侵入醫院內部網絡。而一旦醫院網絡感染病毒，服務器上的患者信息和相關的醫療信息就無法正常訪問。另外，安全風險不僅來自外部網絡，也可能存在于內部網絡。大多數木馬病毒通常通過移動硬盤和其他一些設備在內部的計算機之間傳播，如果不采取終端接入或其他保護措施，計算機感染會迅速蔓延到內部網絡，并導致網絡癱瘓。因此，保證網絡安全是醫院信息化建設的重點。

4 醫院信息網絡平臺安全風險與需求分析

醫院管理數據主要有3大類：文獻資料、業務數據和決策數據。理論上來講，醫院信息網絡平臺的核心業務模式是信息網絡平臺建設，是數據中心。搭建信息網絡平臺的基礎設備主要分為兩部分，即信息網絡平臺中不可或缺的內部網絡，另一個是負責信息收集和提供的外部網絡。此外，隨著Internet在隨機互聯網等領域的發展，大數據在資源優化和大數據挖掘中也具有重要價值。

醫院信息網絡平臺系統容易受到自然和人為破壞，其安全風險的來源主要是網絡自身的安全風險和傳遞網絡信息過程中產生的風險。總的來說，影響醫院信息網絡平臺安全的主要威脅因素有很多，其中包括但不限于信息平臺的脆弱性和防范措施不足、自然災害、人為因素和突發事件。

5 醫院信息平臺的安全防護設計與實現

5.1 信息平臺的設計原則、設計目標以及設計框架

醫院信息平臺安全系統要遵循可行性、均衡性、系統性、動態性的設計原則，同時要符合相關的政策標準，把控好各方面的資源，確保系統的運維安全。醫院信息平臺安全系統的總體設計框架基于網絡信息安全政策和相關的規則大體分為安全基礎設施、安全管理和核心安全技術3個部分，要起到保護用戶信息安全和隱私的作用。

5.2 信息網絡平臺安全防護的設計與實現

5.2.1 外聯區

信息網絡平臺的外聯區通過網絡將醫院門戶平臺和外聯單元鏈接起來，讓數據中心的核心交換機實現互聯。在信息網絡平臺的防火墻區域可以進行很多操作，包括自主設置防病毒功能模塊，可以有效保護信息網絡系統的安全。

5.2.2 運維管理區

運營管理部主要控制醫院信息系統。具體操作是將堡壘機放置在數據中心核心交換機室內，掌握好運維人員工作中的實踐身份，管理與控制好運維工作中的實踐。此外，還需要建立一套安全風險評估體系。主要功能就是關注信息系統中有沒有出現漏洞，需要定期對其進行檢查，以確保系統安全性。其主要功能之一就是訪問所有的信息網絡平臺中的所有安全域。

5.2.3 核心交換區

交換區是信息網絡平臺的核心部分，通過配置系統中兩個核心交換機的防火墻，來實現對平臺每個區域訪問的控制。同時，信息網絡平臺還要通過交換器部署安全審計系統，不經過核心交換機完成對整個信息網絡平臺的數據進行統計和審核過程。

5.2.4 互聯網接入區

辦公區互聯網接入區作為信息網絡平臺的重要區域，主要為用戶提供互聯網接入信息，這需要在互聯網出口設置負載均衡設備，同時加載鏈路時間。此外，要實現平臺對互聯網相關數據的訪問和管控，要先配置好防火墻設備，以有效保障服務器的安全[3]。

5.3 基于等級保護的網絡安全保護要點

從具體工作來看，要認真分析技術差距，以安全掃描技術和人工安全服務檢查技術等來對網絡架構內容和系統檢查，認真了解網絡設備安全配置的基本情況。然后，做好管理差距的相關分析工作，通過第三方權威安全評估檢測的方式，來對安全管理制度規劃設計，保障其完整。

6 結語

分類信息安全保護是實施國家信息安全戰略的重要措施，是建立信息安全體系的基本制度。從信息技術的角度看，國家安全體系建設的重要基礎是安全保障體系的構建必須遵循分級保護的理念和原則。本文基于分類、域、子系統安全建設的思想，提出了防護技術建設方案。同時，本文提出的醫院信息管理系統（醫院信息管理系統）的完整層次結構，可以供用戶參考。