等保2.0 下堡壘機在醫(yī)院信息系統(tǒng)的應(yīng)用

劉炬宏

(徐州市婦幼保健院，江蘇 徐州221009)

一、 信息安全現(xiàn)狀與要求

國家《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》(GB/T22239—2019)的公布，標(biāo)志著等級保護標(biāo)準(zhǔn)正式進入2.0 時代，各單位應(yīng)按要求使用等保2.0 標(biāo)準(zhǔn)建設(shè)整改自己的網(wǎng)絡(luò)。 網(wǎng)絡(luò)安全等級保護制度2.0 國家標(biāo)準(zhǔn)在等保1.0 的基礎(chǔ)上進行了以下改動:增加了對新技術(shù)、新應(yīng)用的安全保護對象和安全保護領(lǐng)域的全方位覆蓋，特別突出技術(shù)思維和立體防范，注重全方位主動防御、動態(tài)防御、整體防控和精準(zhǔn)防護，提出了“一個中心，三重防護”的安全保護體系。 其中“一個中心”代表要建立安全管理中心，由等保1.0 分類里的管理要求變更為技術(shù)要求，測評控制點分別為系統(tǒng)管理、審計管理、安全管理和集中管控，也對等級保護測評和整改提出了更高的要求，其中涉及生產(chǎn)數(shù)據(jù)以及運維操作審計、運維人員身份鑒別等安全問題。

二、 醫(yī)院信息系統(tǒng)安全運維存在的問題

高度的醫(yī)院信息化可以支撐醫(yī)院的臨床醫(yī)療效率和后勤行政的管理協(xié)作，減輕各個工作流程中醫(yī)護人員的勞動強度，提高醫(yī)院整體的工作效率。 醫(yī)院信息系統(tǒng)主要分為醫(yī)療業(yè)務(wù)系統(tǒng)(HIS)、實驗室信息系統(tǒng)(LIS)、醫(yī)學(xué)影像系統(tǒng)(PACS)等管理系統(tǒng)和主要臨床系統(tǒng)，各個子系統(tǒng)更加繁多，如院內(nèi)感染管理系統(tǒng)、手麻監(jiān)護系統(tǒng)、財務(wù)管理系統(tǒng)以及固定資產(chǎn)管理系統(tǒng)等。

隨著信息化程度的越來越高，開發(fā)廠商越來越分散，信息系統(tǒng)的服務(wù)器也越來越多。 這種情況下，不但醫(yī)院信息科員工維護起來需要耗費大量的精力，且對各家廠商工程師維護各自服務(wù)器的行為也無法監(jiān)控，從而使整個運維流程由于運維人員登錄方式不規(guī)范、賬號管理靠手工、運維權(quán)限無法劃分、認(rèn)證流程簡單、無法監(jiān)控等原因，造成了事前無規(guī)劃、事中無監(jiān)控及事后無審計的現(xiàn)象。 系統(tǒng)管理員在維護信息系統(tǒng)時可能會產(chǎn)生違規(guī)操作或惡意操作，對醫(yī)院的正常運行產(chǎn)生惡劣影響，造成系統(tǒng)宕機或病人就醫(yī)隱私數(shù)據(jù)遭泄露等重大管理事故。 因此，加強對運維人員的管理，規(guī)范運維行為流程，是穩(wěn)步發(fā)展醫(yī)院信息安全的重要前提條件，也是現(xiàn)代醫(yī)院信息安全管理的重要組成部分。

三、 堡壘機在安全管理中心的應(yīng)用

等保2.0 指南里的安全管理中心定義了四個項目，分別為系統(tǒng)管理、審計管理、安全管理和集中管控，它是最為關(guān)鍵的一點，也是在信息日常業(yè)務(wù)中最不容易達到的一點，因為它要求等保目標(biāo)將技術(shù)和管理相結(jié)合，以真正達到保護內(nèi)網(wǎng)網(wǎng)絡(luò)安全的目的。

在堡壘機風(fēng)靡之前，傳統(tǒng)的網(wǎng)絡(luò)中大多配置了下一代防火墻和日志審計類設(shè)備，它們可以實現(xiàn)部分訪問權(quán)限劃分和安全審計功能，但也存在很多弊端:只能通過采集網(wǎng)絡(luò)流量來審計運維行為，無法審計加密流量如ssh 等協(xié)議，下一代防火墻雖然可以根據(jù)不同IP 地址來定義訪問網(wǎng)絡(luò)的權(quán)限，但實現(xiàn)起來太過煩瑣。 而且這種審計功能屬于事后審計，在發(fā)生問題后又無法確切地確定問題的出現(xiàn)點，于是在漫長的日常維護中人們大多會忽略掉這些設(shè)備的存在，畢竟它們既不像下一代防火墻一樣在網(wǎng)絡(luò)架構(gòu)中那么重要，也不像運維監(jiān)控軟件時時刻刻出現(xiàn)在管理人員視線中。 那么就需要一個可以在事前就詳細(xì)劃分權(quán)限，全流程監(jiān)控運維操作，事后也方便審計的安全管理平臺。 堡壘機就是一個既能達到合規(guī)性，又方便管理人員使用，也不會有太高的學(xué)習(xí)成本的安全設(shè)備。

廣義上的堡壘機可以是軟件也可以是硬件，它以提供協(xié)議代理等方式使代理客戶端訪問目標(biāo)設(shè)備的圖形管理界面或字符終端，對運維操作進行安全審計，集中管理運維權(quán)限，對運維過程全程進行審計，可以防止對內(nèi)網(wǎng)網(wǎng)絡(luò)和數(shù)據(jù)的非授權(quán)訪問。 堡壘機在信息系統(tǒng)和網(wǎng)絡(luò)中的定位類似安全網(wǎng)關(guān)，對訪問關(guān)鍵網(wǎng)絡(luò)的人和操作進行檢查，只有經(jīng)過授權(quán)的操作和命令才被放行，并且記錄訪問日志，沒有通過身份鑒別的用戶、違規(guī)的操作都會被攔截于外。

四、 堡壘機具備的功能

(一)設(shè)備賬號管理

在日常的運維管理中，系統(tǒng)管理員面對的一大問題就是服務(wù)器的賬號密碼管理，或手寫在本子上或明文存儲在電子表格中，但這兩種方式都不符合等保的安全規(guī)定，靠譜點的方式只能靠人腦死記，相對安全且合規(guī)的方式就是加密存儲在保密的賬戶或軟件中。

在配置了堡壘機之后，賬號管理這一難題就迎刃而解，因為管理員不需要再記憶設(shè)備密碼，他們在堡壘機內(nèi)管理內(nèi)網(wǎng)網(wǎng)絡(luò)資產(chǎn)時，只需要在第一次配置時輸入設(shè)備賬戶，便可以實現(xiàn)對網(wǎng)內(nèi)的網(wǎng)絡(luò)設(shè)備、服務(wù)器等其他設(shè)備的登錄賬號進行密碼托管統(tǒng)一管理，而且可以使用堡壘機的自動改密功能定期執(zhí)行修改密碼任務(wù)達到等保要求。 日后如果有服務(wù)器軟件配置時需要輸入賬戶密碼，還能從堡壘機導(dǎo)出加密的密碼文件。

(二)管理授權(quán)

堡壘機可以實現(xiàn)針對訪問網(wǎng)絡(luò)設(shè)備、服務(wù)器等其他設(shè)備的協(xié)議和行為的不同來區(qū)分賬號權(quán)限，用戶登錄時只能看到自己有權(quán)限訪問的資源，看不到其他網(wǎng)絡(luò)內(nèi)資源，一方面隱藏了內(nèi)網(wǎng)資源不被暴露以免受到橫向攻擊，另一方面實現(xiàn)了最小權(quán)限原則防止越權(quán)訪問，如網(wǎng)絡(luò)管理員只被允許訪問網(wǎng)絡(luò)設(shè)備，廠商實施工程師只被允許訪問負(fù)責(zé)維護的服務(wù)器，其他資源一律不允許訪問。

在實際使用過程中，信息中心管理人員應(yīng)對登錄服務(wù)器、網(wǎng)絡(luò)設(shè)備或安全設(shè)備不同身份的人員分配不同的賬號，如系統(tǒng)管理員、系統(tǒng)操作員和系統(tǒng)審計員三權(quán)分立，滿足審計和運維人員安全管理要求。

(三)身份認(rèn)證

系統(tǒng)維護人員登錄時使用堡壘機的統(tǒng)一用戶界面登錄，目前市面上的大多數(shù)堡壘機產(chǎn)品都可以支持靜態(tài)密碼、動態(tài)令牌、短信驗證碼，支持與AD、LDAP、RADIUS 第三方認(rèn)證平臺對接，有的支持微信掃碼，部分支持雙因子認(rèn)證，而最新的軟件版本可以實現(xiàn)任意幾種認(rèn)證方式組成一個自定義認(rèn)證組合，根據(jù)使用場景的不同來用戶自定驗證方式，提高了安全性。

(四)訪問控制

堡壘機應(yīng)支持劃分用戶角色，對各個角色分配可登錄的設(shè)備和權(quán)限，然后再給用戶分配角色，來達到各個用戶有各自相應(yīng)的權(quán)限。 還支持制定不同的使用策略，包括對用戶指定訪問源地址或指定可登錄堡壘機系統(tǒng)的時間，實現(xiàn)最小權(quán)限原則和細(xì)粒度控制，達到防止非授權(quán)訪問的效果，最大限度地保護內(nèi)網(wǎng)資源的安全。

(五)操作審計

堡壘機可以審計的運維操作有很多，常用的有命令行字符操作、圖形界面操作、文件傳輸?shù)龋趯徲嫷耐瑫r保存錄像，也可以實時查看監(jiān)控。 高級的堡壘機可以實現(xiàn)在審計回放時中搜索審計關(guān)鍵詞來跳轉(zhuǎn)到錄像位置。

(六)高危操作阻斷

在運維過程中，系統(tǒng)管理員可能無意或惡意地輸入個別高危指令，例如Linux 系統(tǒng)中的“rm /”刪除命令。 但國內(nèi)醫(yī)院信息系統(tǒng)大多都還是使用Windows 服務(wù)器系統(tǒng)來搭建業(yè)務(wù)服務(wù)器，Linux 命令行里的高危指令在Windows 服務(wù)器里不適用，現(xiàn)在已經(jīng)有部分廠商的堡壘機開發(fā)出了面向Windows 服務(wù)器版本的高危操作阻斷功能，例如可以在通過堡壘機使用圖形界面遠(yuǎn)程維護Windows 服務(wù)器時識別到右鍵文件點擊刪除的指令，然后根據(jù)權(quán)限來判定是否阻斷，可以防止維護人員使用圖形界面點擊刪除一些系統(tǒng)文件。 高危操作如果無法阻斷則會對服務(wù)器造成致命影響，盡管可以通過事后審計來確定操作人員，但對業(yè)務(wù)系統(tǒng)造成的危害和損失是不可挽回的，所以堡壘機應(yīng)對高危操作有攔截功能，并可以向管理員推送告警。

五、 堡壘機在實際使用場景中的案例

自2019 年全新的等保2.0 標(biāo)準(zhǔn)出臺后，我院就開始根據(jù)等保2.0 的指導(dǎo)著手整改醫(yī)院內(nèi)網(wǎng)架構(gòu)，整改項目其中之一就是添置堡壘機。 在近兩年的使用中，堡壘機大大提高了運維和管理效率，全面規(guī)范了運維管理人員的行為。 在使用堡壘機運維之后，發(fā)生過一次門診叫號呼叫系統(tǒng)的宕機事件，事后通過堡壘機的審計回放功能發(fā)現(xiàn)，是廠家工程師因為系統(tǒng)盤空間不足，刪除了幾個占用空間較大的臨時文件造成了呼叫服務(wù)端軟件停止工作，但是工程師操作前并不知道會對程序有影響，事前事后都沒有告知信息科。 發(fā)生這種事件后，我們規(guī)范了廠商工程師的運維流程，一人一賬戶且互不借用，詳細(xì)劃分登錄權(quán)限，規(guī)定廠商工程師在維護生產(chǎn)服務(wù)器、對軟件功能和系統(tǒng)文件進行改動前必須上報信息科審批。 堡壘機的上線為我院建立安全管理中心、保護業(yè)務(wù)系統(tǒng)防止非授權(quán)訪問和維護日常業(yè)務(wù)不間斷使用打下了堅實基礎(chǔ)。

六、 總結(jié)

總而言之，堡壘機支持高效的資產(chǎn)管理；支持對運維人員操作過程的全流程跟蹤、控制、記錄與回放；支持細(xì)粒度管理運維人員權(quán)限，支持阻斷高危、違規(guī)操作。 在運維過程中效率是非常重要的，但是高效率的同時往往伴隨著高風(fēng)險，而堡壘機在實現(xiàn)高效率運維的同時規(guī)避了“人”的風(fēng)險，成為等保2.0 體系安全管理中心最有力的支撐平臺之一。 但網(wǎng)絡(luò)安全不是一蹴而就的事情，想要保障業(yè)務(wù)系統(tǒng)服務(wù)不中斷，實現(xiàn)高可用性，不僅需要采購搭建堡壘機等安全設(shè)備或軟件，最重要的還是理論與實際相結(jié)合，規(guī)章制度和安全設(shè)備相互補充，才能不斷完善醫(yī)院的信息網(wǎng)絡(luò)，達到“一個中心三重防護”的安全防護要求。