等保2.0環境下醫院網絡安全整體加固方案

羅志恒 鐘麗娜 莫建坤

（廣東省第二人民醫院 廣東省廣州市 510317）

作為一個現代化的醫療機構網絡，如何保證醫院網絡系統中的數據安全問題尤為重要。

《中華人民共和國網絡安全法》中明確提到： “國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞，喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，實行重點保護”[1]。因此，必須對醫院信息系統的網絡安全進行加固改造，將目前被動式防御安全體系升級為主動防御式安全體系，保障醫院信息系統的運行安全。

1 建設目標

建設目標是結合醫院信息系統安全現狀，確定醫院信息網絡檔案管理系統安全建設需求，并且解決“等級保護合規性要求”、“內外網安全隔離缺失”、“網絡準入認證失效”的網絡現狀，全面提升醫院新建數據中心的整體網絡安全水平。

通過本次安全建設整改與策略加固工作，達到以下4個方面的目標：

1.1 合法合規

醫院信息網絡系統屬國計民生的重要信息系統，其安全建設必須要符合國家相關政策要求，其安全保障體系建設最終要達到的保護效果應符合《網絡安全法》、《網絡安全等級保護基本要求》等政策要求。實現統籌規劃安全建設，合理規劃安全域、建立有效的安全技術保障體系、完善安全管理體系的建設。同時對標等保2.0要求構建一個中心、三重防護保障的主動防御安全體系[2]（一個中心是指安全管理中心，三重防護由安全計算環境、安全區域邊界以及安全通信網絡組成），從物理和環境、網絡和通信、設備和計算及應用和數據方面對信息安全進行統籌規劃設計。如圖1的示。

圖1：防御安全體系

1.2 內外隔離

在技術體系方面，針對性解決當前網絡安全區域劃分不明確的情況，建立應用訪問、用戶接入、數據傳輸的安全使用機制，最終實現區域安全隔離。

1.3 可管可視

建立統一的信息安全運營管理體系，確切落實各項管理制度，讓安全管理體系有清晰的責任權限、合理的制度要求。同時運用包括網絡安全可視化、運維統一管理的創新技術手段，實現簡化安全運維管理，減輕安全運維管理負擔，提升安全運維管理的效率，最終做到整體防御、分區隔離；積極防護、內外兼防；自身防御、主動免疫；縱深防御、技管并重。

1.4 經濟合理

落地實施方面需要滿足經濟性原則，即所選產品在滿足醫院功能性能要求的前提下，考慮2-3年冗余，按照頂層設計，統籌規劃，分步實施的原則逐步落地，充分節約費用和資金。

2 當前主要網絡問題及分析

醫院現網與互聯網相連，網絡拓撲圖如圖2所示。

圖2：網絡拓撲圖

2.1 網絡準入控制問題

內外網存在多樣性的終端設備（電腦終端、訪客終端、移動終端、亞終端等），這些終端設備接入到內網或無線網絡，本身可能存在安全隱患，會給內網安全帶來極大的隱患，如攜帶病毒的終端接入業務網絡導致病毒蔓延等威脅。

因此，需要網絡準入控制來實現可信終端接入內部網絡，能對終端進行有效管理，能阻斷不可信、不合規的終端接入網絡；同時，能夠通過綁定IP和MAC地址來管控用戶訪問業務系統的權限，并記錄用戶訪問業務的行為，以便事后追溯。

2.2 內網服務器區安全問題

當前服務器區安全主要存在以下安全隱患：

（1）內網DMZ區安全：內網部分業務需要通過醫保網等專網對接上報數據，該業務存在受專網橫向傳播威脅影響的風險，需要進行單獨隔離建設。

（2）云（虛擬化）安全：目前的服務器虛擬化上，整體安全還是需要加強的，因為虛擬化服務器的安全，包括平臺的安全和虛擬機的安全，虛擬化的安全，如虛擬機與虛擬機之前的流量、虛擬機與虛擬機之間的攻擊都不可視，需要加強東西的流量可視與主機安全防護。

2.3 外網接入及運維審計問題

醫院運維需求面臨的問題如下：

（1）系統帳號密碼難管理，目前操作人員都是自行管理自己負責的系統，為了便于記憶，甚至多套系統共用一個密碼，存在安全隱患；

（2）系統帳號安全風險缺乏管控手段，由于帳號數量較多，難以通過人工方式對帳號風險進行核查；

（3）訪問權限粗管控，目前采用跳板機的管理方式,操作人員在辦公終端中中可隨時登錄設備，并可在多臺設備間任意跳轉，不符合安全管理規范；

（4）命令操作權限無限制，對高危操作無任何限制，存在誤操作，惡意操作的風險；

（5）操作日志審計難，操作過程中沒有有效的審計和回溯，如果發生安全事件，無法進行審計和問責；

因此，建設一套行之有效的訪問方式與管理手段非常必要。

3 整體方案設計

醫院新建數據中心整體安全設計方案的總體目標是在醫院信息系統現狀的基礎上，對其進行整體安全設計規劃和等保合規性整改，建立一個完整的安全保障體系，有效保障醫院系統業務的正常開展，保護敏感數據信息的安全，保證整體的網絡安全水平，并能夠實現防御、檢測、響應的一體化安全建設目標。

本方案首先對各個功能區進行劃分，本著安全、穩定、節約的原則，在滿足等保合規性增設最適合的安全設備，以保障用最少的成本讓用戶和工作人員得到最流暢的、最安全的網絡體驗，讓管理員獲得最有效的、最簡易的管理方式。針對醫院實際情況，采用如下部署：

3.1 互聯網出口區

雙機部署下一代防火墻、上網行為管理于互聯網出口，雙機部署可保障網絡的高可用性，避免單點故障導致的業務不可用；

（1）上網行為管理可針對各個用戶提供全局統一的寬帶控制策略；

（2）下一代防火墻可針對用戶的上網終端提供安全威脅過濾、木馬惡意流量檢測、DMZ服務器保護、NAT、路由等安全防護功能；

（3）部署一臺SSL VPN設備，在移動辦公上，通過SSL VPN將內網服務器隱藏，通過VPN的方式進行安全訪問，對傳輸的數據進行加密，防止被人竊取。保證內部應用在互聯網傳輸的安全，防止數據被監聽甚至篡改。

3.2 對外服務器區

（1）在該區域采用外網專線接入，雙機部署下一代防火墻對外網業務進行防護，下一代防火墻能夠雙向分析網絡流量的網絡層、應用層和內容風險，提供比傳統防火墻、IPS和WAF等多種安全設備更強的安全防護能力，可以抵御來源更廣泛、攻擊更容易、危害更明顯的應用層攻擊，實現L2-L7層全面的數據中心安全加固[3]。

（2）提供網站安全監測服務，通過云端的實時監測的方式，對網站進行風險評估的服務。及時的發現網站安全問題，避免主管單位的通報，或者提前發現網站問題，并且在發現網站有漏洞、網頁篡改、黑鏈等安全事件的時候，通過微信推送的方式進行實時告警，提高網站的監測效率。

（3）部署一臺流量分析探針，分析網絡流量日志的內容包括了每個IP每時每刻所發起的每個session的時間、分布、流量、流向、所屬應用和類別。例如針對醫院用血安全全程質量控制數字化、無紙化管理系統某功能需要更新時，須向醫院信息管理部門提前報備和申請；醫院的流量分析探針可實時觀察記錄并提示系統功能更新前后的變化及系統運行穩定與否，對流量日志最直觀的一種數據加工就是按照應用切片的流量流向圖[4-5]。

3.3 內外網隔離區

（1）目前醫院內、外網辦公區終端采用原有同一套接入交換機和匯聚交換機，通過vlan技術隔離。部署一臺新的外網核心交換機作為外網終端網關設備。

（2）在內、外網辦公區部署防火墻，對接入核心交換機的終端做流量的過濾。來自于辦公PC和移動終端的病毒、木馬、蠕蟲的危害可能導致終端系統癱瘓、被控制、存儲的信息被竊取、被引導訪問釣魚網站，成為僵尸網絡，甚至于成為攻擊到主要業務系統服務器的跳板等，因此成為接入核心最為迫切的安全防護需求。

3.4 內網服務器區

（1）在該區域邊界以雙機模式部署下一代防火墻對內網業務進行防護，雙機部署提高網絡冗余能力，避免單點故障帶來的業務不可用；相比傳統堆疊式安全部署，解決了數據中心部署多臺安全設備帶來的單點故障、性能消耗、難以管理的問題[6]。

（2）對于內網虛擬機內部流量不可視、虛擬機的安全防護缺失的情況，通過在每臺主機上部署輕量級端點探針Agent，在運維管理區部署EDR管理平臺（可在現有虛擬機上部署）；提供全面基于虛擬機應用角色之間的訪問控制，做到可視化的安全訪問策略配置，簡單高效地對應用服務之間訪問進行隔離技術實現，避免某臺虛擬機被攻陷后，帶來的進一步橫向攻擊導致虛擬化平臺全部陷入癱瘓的境地，同時EDR支持虛擬機殺毒功能，進一步構建起虛擬機對病毒、木馬等威脅的隔離。

3.5 安全運維區

（1）終端檢測響應系統管理平臺，通過部署的服務器安全組件集中管理平臺實現對全部EDR終端的統一策略下發，特征庫更新，集中管理，同一日志上傳等，達到服務器區閉環響應處置的目的。

（2）態勢感知的管理平臺。通過平臺實現全網統一安全事件分析和聯動處置，解決檢測、防御、響應閉環問題。

（3）管理區部署運維安全管理系統（堡壘機），實現對運維人員遠程訪問操作服務器、網絡設備、數據庫過程的認證、授權、監控與審計，實現對IT運維過程的全面監管，做到有效的事前預防、事中控制及事后審計，滿足用戶的安全管理需求。

（4）管理區部署1套數據庫安全審計系統，可以保護對數據庫非法操作及時告警與審計、保障非法操作的準確溯源、保護數據庫中賬號安全、統計分析安全現狀，并能以可視化報表從多維度分析數據庫的安全現狀等四方面保障數據庫的安全。

（5）管理區部署日志審計設備，通過標準日志傳輸模式進行傳遞。加強網絡日志審計措施，滿足《網絡安全法》第二十一條“監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月”的法律要求，并滿足網監部門監察以及公安部82號令要求[7-8]。

4 結論

等保2.0網絡安全加固方案給醫院帶來全網安全可視、預警及響應，高效感知內部高級安全風險；在外部，通過大量的外部威脅情報，輔助高級安全事件的分析；在網絡內部，在各個子域的關鍵節點上，通過探針或安全設備，精準的采集有效檢測信息。將外部威脅情報和內部真實流量信息匯總到一起，通過行為分析、機器學習等算法對各類潛伏到網絡內部的高級威脅進行檢測，并通過可視化的方式，最終讓醫院感知到我們現在是否安全？哪里不安全？造成什么危害，并如何處置。結合邊界防護、安全檢測、內網檢測、管理中心、可視化平臺，基于行為和關聯分析技術，對全網的流量實現全網應用可視化，業務可視化，攻擊與可疑流量可視化，解決安全黑洞與安全洼地的問題。