等級保護技術(shù)在虛擬化平臺上的應用

高月宏 顧敏 夏丹丹 吳俊

（南通市腫瘤醫(yī)院信息科 江蘇省南通市 226000）

1 醫(yī)院信息系統(tǒng)現(xiàn)狀

隨著IT 技術(shù)的迅速發(fā)展，大部分醫(yī)院已建成了針對不同需求的信息系統(tǒng)，如：醫(yī)院信息系統(tǒng)（HIS）、實驗室信息系統(tǒng)（LIS）、放射信息系統(tǒng)（RIS）、醫(yī)學影像系統(tǒng)（PACS）、電子病歷、體檢系統(tǒng)等。醫(yī)院信息系統(tǒng)主要有以下幾個特點：業(yè)務(wù)連續(xù)性要求高，要求全天候不間斷服務(wù)，各系統(tǒng)系統(tǒng)架構(gòu)不同，采用的數(shù)據(jù)庫、架構(gòu)、編程語言都不一樣，各系統(tǒng)間接口眾多，復雜程度高，數(shù)據(jù)保密級別高，安全要求高等方面。

醫(yī)院信息系統(tǒng)的逐步推廣，顯著提高了醫(yī)院的工作質(zhì)量和效率，但醫(yī)療活動對信息系統(tǒng)的依賴程度也逐漸增加。信息系統(tǒng)一旦出現(xiàn)故障，將直接影響到醫(yī)院業(yè)務(wù)的正常運行。醫(yī)院信息系統(tǒng)中存儲著大量患者診療數(shù)據(jù)，一旦發(fā)生數(shù)據(jù)泄露，后果不堪設(shè)想。因此加強醫(yī)院信息安全防護體系建設(shè)顯得尤為重要。信息安全隱患不斷顯露，信息安全保障盲點也日漸凸現(xiàn)，保障信息安全已經(jīng)從一個宏觀論調(diào)轉(zhuǎn)化為新醫(yī)改工程建設(shè)工作中不可規(guī)避的基礎(chǔ)內(nèi)容。

2 醫(yī)院信息安全等級保護要求

信息安全等級保護是我國信息安全保障的基本制度、基本方法和基本策略。貫徹落實國家信息安全等級保護制度，滿足醫(yī)院信息安全等級保護要求，開展等級保護建設(shè)相關(guān)工作勢在必行。

信息安全已成為醫(yī)院信息系統(tǒng)建設(shè)中不可或缺的一部分，主要涉及到數(shù)據(jù)安全，網(wǎng)絡(luò)安全等。信息安全等級保護是我國信息安全保障的基本制度。按照衛(wèi)生部印發(fā)了《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》等相關(guān)文件要求，三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)安全保護等級原則上不低于第三級，按照信息系統(tǒng)定級，備案，系統(tǒng)建設(shè)、整改，開展等級測評，信息安全監(jiān)管部門定期開展監(jiān)督檢查五個流程來提高信息系統(tǒng)的安全防護水平。定級備案是等級保護的首要環(huán)節(jié)，按等級保護、監(jiān)管是等級保護的核心，建設(shè)整改是等級保護工作落實的關(guān)鍵，等級測評是評價安全保護狀況的方法，監(jiān)督檢查是保護能力不斷提高的保障。等級保護工作中的五個環(huán)節(jié)如圖1所示。

醫(yī)院信息系統(tǒng)中存儲著大量患者的診療信息，如患者基本信息、患者診斷數(shù)據(jù)、藥品信息、住院信息、統(tǒng)方信息等。醫(yī)院HIS 系統(tǒng)如果數(shù)據(jù)被泄露或是被篡改，將會對醫(yī)院、就診患者乃及公共衛(wèi)生行政主管部門的合法權(quán)益造成嚴重侵害，并有可能造成醫(yī)療安全事故的發(fā)生，對社會秩序和公共利益造成損害。信息安全等級保護的提出不僅讓國家信息安全政策合規(guī)，也更能增加醫(yī)院自身安全防護的需要，為醫(yī)院的各大核心業(yè)務(wù)提供一個穩(wěn)定、安全的運行環(huán)境。

3 醫(yī)院等保2.0

醫(yī)院需要明確落實責任制，明確總責、分責人。建立誰主管誰負責的原則；根據(jù)當前業(yè)務(wù)情況，識別出可能的風險因素，參考風險優(yōu)先級，確定解決思路。主要從空間維度和時間維度兩方面建立等級保護防御體系，空間維度主要從物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境等方面來構(gòu)建，時間維度從預測、識別、檢測、響應、恢復等方面構(gòu)建事前預防、事中控制、事后響應的動態(tài)安全體系。按照業(yè)務(wù)類型和功能區(qū)別，確定各安全域的物理邊界和邏輯邊界，明確信任關(guān)系，并在安全域邊界配置不同的安全策略。明確數(shù)據(jù)分級，通過數(shù)據(jù)庫防護、數(shù)據(jù)泄露防護，加密等技術(shù)，保證醫(yī)院數(shù)據(jù)在存儲、傳輸?shù)冗^程中的保密和完整。通過數(shù)據(jù)挖掘和分析技術(shù)，分析終端操作、威脅時間等行為，并針對風險因素設(shè)置各種安裝措施，爭取將損失降到最低。

4 虛擬化技術(shù)簡介

虛擬化就是把物理資源轉(zhuǎn)變?yōu)檫壿嬌峡梢怨芾淼馁Y源，以打破物理結(jié)構(gòu)間的壁壘。虛擬化技術(shù)就其本質(zhì)而言屬于一種資源管理技術(shù)，它將硬件、軟件、網(wǎng)絡(luò)、存儲等硬件設(shè)備隔離開來,使用戶能更合理、更充分的控制和管理各種資源。虛擬化技術(shù)能夠充分應用好虛擬技術(shù)在物理服務(wù)器上，將物理服務(wù)器虛擬出諸多個虛擬服務(wù)器，將物理服務(wù)器整合為一個資源地，再根據(jù)業(yè)務(wù)系統(tǒng)的基本需求，為其分配適當?shù)拇鎯臻g和內(nèi)存空間。

以VMware vSphere 為例，對服務(wù)器、存儲硬件進行整合，對操作系統(tǒng)和應用進行抽象，將操作系統(tǒng)和應用從硬件中分離出來，ESXi 可以獨立安裝運行在裸機上的系統(tǒng)，安裝完成后通過vSphere Client 遠程連接，在 ESXi 服務(wù)器上創(chuàng)建多個虛擬機，然后為虛擬機安裝各種所需的操作系統(tǒng)，使之成為能為醫(yī)院信息系統(tǒng)提供服務(wù)的虛擬服務(wù)器。每臺虛擬機都是完全隔離的，很多操作系統(tǒng)可以同時在一個主機上運行。虛擬化技術(shù)將一臺物理服務(wù)器變成多臺相互隔離的虛擬服務(wù)器，將CPU、內(nèi)存、磁盤、I/O 等硬件變成動態(tài)管理的“資源池”，通過區(qū)分各服務(wù)器所需資源的優(yōu)先次序，實現(xiàn)動態(tài)資源分配。

服務(wù)器虛擬化，可以降低硬件成本投入，便于服務(wù)器維護，減少維護成本，提高服務(wù)器利用率，實現(xiàn)系統(tǒng)高兼容性，增加信息系統(tǒng)間的交互性和容災能力，提高數(shù)據(jù)安全性，提升管理的靈活性。

5 等級保護在虛擬化平臺vSphere上的應用

以vSphere 為例，探討等級保護技術(shù)在虛擬化環(huán)境下的應用。

（1）身份鑒別：通過設(shè)置ESXi 主機上ROOT 賬戶密碼，設(shè)置ESXi Shell 和SSH 的連接超時鎖定時間，在vCenter 服務(wù)器上開啟vCenter 主機的口令復雜性要求和口令更換周期限制，設(shè)置vSphere Client 客戶端連接超時時間，實現(xiàn)登錄用戶身份鑒別。

（2）訪問控制：根據(jù)vCenter Server 管理用戶的角色分配權(quán)限，通過限制角色的訪問控制權(quán)限實現(xiàn)對不同用戶的訪問控制。對于vCenter Server 服務(wù)器主機操作系統(tǒng)，建議只允許有一個administrator 的系統(tǒng)管理員賬戶，并設(shè)置強口令定期更換，其他的用戶賬戶只設(shè)為為power user 或user。所有用戶賬戶開啟強制密碼策略并設(shè)置定期更換口令。

布盧姆斯伯里集團中，凌叔華與伍爾夫關(guān)系最近，因此，研究者對她們二人及凌叔華的英文小說《古韻》關(guān)注較多?！豆彭崱肥窃谖闋柗虻墓膭钕掠糜⑽膶懽鞯淖詡黧w小說。前述蔡璐《凌叔華與布盧姆斯伯里》第三章即以《古韻》中的女性主義色彩與伍爾夫的女性主義思想暗合展開，認為她們在戰(zhàn)爭期間的通信體現(xiàn)了女性寫作與戰(zhàn)爭的關(guān)系，在反戰(zhàn)思想的背后實際上是對男權(quán)的否定與質(zhì)疑。相關(guān)論文還有江淼《和伍爾夫一起寫作——〈古韻〉的西方視野》、董姝雯的碩士論文《在現(xiàn)代與傳統(tǒng)之間——論凌叔華小說創(chuàng)作》等。

（3）安全審計：設(shè)置vCenter Server日志記錄，導出日志并進行分析統(tǒng)計。

（4）剩余信息保護：對于vCenter 管理服務(wù)器主機，定期清理系統(tǒng)垃圾文件和系統(tǒng)緩存，在vCenter Server 服務(wù)器主機上嚴禁互聯(lián)網(wǎng)或作其他無關(guān)操作，嚴格控制系統(tǒng)用戶的訪問權(quán)限和軟件運行權(quán)限。

（5）入侵防范：vCenter Server 管理服務(wù)器主機可以通過實施密碼策略，設(shè)置賬戶鎖定策略的方式防止口令猜解。系統(tǒng)只安裝vCenter Server 系統(tǒng)軟件及其支撐環(huán)境軟件，嚴禁安裝其他無關(guān)軟件或“一機多用”。

及時更新windows 操作系統(tǒng)以及ms-sql2005 數(shù)據(jù)庫的補丁，防范來自利用操作系統(tǒng)漏洞進行“提權(quán)”的入侵攻擊行為。通過啟用“本地安全策略”→“軟件限制策略”并設(shè)置“不允許、不受限和基本用戶”的軟件運行限制策略，防范利用漏洞上傳惡意程序并運行提權(quán)的入侵行為。通過對系統(tǒng)文件夾或其他敏感文件夾按系統(tǒng)用戶訪問權(quán)限需要分別設(shè)置“安全權(quán)限”，允許或拒絕對文件夾的讀和執(zhí)行、讀取、寫入、修改、列文件夾內(nèi)容等訪問控制權(quán)限進行細粒度的配置。

對于windows 系統(tǒng)文件夾在整個vCenter Server 系統(tǒng)配置完畢并不需要進行調(diào)整后取消所有非system 和administrator 用戶的訪問權(quán)限，同時取消system 和administrator 對該文件夾的寫入和修改權(quán)限，并只在需要對操作系統(tǒng)進行重新配置或更新系統(tǒng)補丁的時候恢復修改的權(quán)限。通過上述的安全加固措施來防范“非授權(quán)的資源訪問”、“系統(tǒng)提權(quán)以”及“惡意代碼”攻擊等系統(tǒng)入侵行為。

（1）惡意代碼防范：惡意代碼的防范除了主機安全加固外，可通過在服務(wù)器主機上部署網(wǎng)絡(luò)版殺毒軟件來加強對惡意代碼的防范。服務(wù)器開啟網(wǎng)絡(luò)防火墻需要將vCenter Server 所需的端口加入訪問控制列表并允許訪問，主要有：80、389、443、636、902、903、8080、8443、60099、10443、10109、10111。

（2）資源控制：通過配置防火墻屬性設(shè)置訪問控制列表的方式來實現(xiàn)虛擬主機的資源訪問控制，在防火墻屬性中設(shè)置“僅允許從以下網(wǎng)絡(luò)連接”實現(xiàn)。

6 醫(yī)院虛擬化安全上等級保護上的具體措施

虛擬化作為醫(yī)院普遍使用的新技術(shù)，業(yè)務(wù)系統(tǒng)也正逐步向虛擬化平臺遷移，根據(jù)云計算安全擴展要求，需要重點關(guān)注建立虛擬化網(wǎng)絡(luò)邊界的訪問控制機制，檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量，虛擬機遷移時訪問控制策略隨其遷移、檢測到惡意代碼感染及在虛擬機間蔓延，需要構(gòu)建可適配虛擬化的安全新技術(shù)，將風險控制在虛擬化最小范圍之內(nèi)；參考等級保護對虛擬化安全提出的具體要求，對照目前南通市腫瘤醫(yī)院的實際需求進行分析，在以下幾個方面采取安全措施。

（1）對虛擬機之間網(wǎng)絡(luò)資源進行隔離，避免網(wǎng)絡(luò)資源被某項虛擬化業(yè)務(wù)應用過量占用。

（2）將虛擬化平臺的管理流量與實際業(yè)務(wù)流量進行分離。

（3）通過配置訪問控制策略的方式避免虛擬機通過網(wǎng)絡(luò)非授權(quán)訪問宿主機，宿主機采用帶外管理的方式避免內(nèi)部網(wǎng)絡(luò)用戶帶來的安全威脅。

（4）在虛擬化網(wǎng)絡(luò)邊界部署訪問控制機制，并設(shè)置訪問控制規(guī)則。

（5）使用運維堡壘機對遠程執(zhí)行特權(quán)命令進行限制并進行審計。

（6）在虛擬化區(qū)域邊界處部署入侵檢測防御措施，防范來自網(wǎng)絡(luò)的攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等。

（7）針對重要業(yè)務(wù)系統(tǒng)提供加固的操作系統(tǒng)鏡像。

7 結(jié)語

不論從等保2.0 的要求上，還是從醫(yī)院信息系統(tǒng)的安全來考慮，醫(yī)院有責任也有需要加強自身安全管理體系和技術(shù)方面建設(shè)，從而切實提高醫(yī)院整體的信息系統(tǒng)及相關(guān)數(shù)據(jù)安全級別。醫(yī)院需要統(tǒng)一思想充分認識到做好信息網(wǎng)絡(luò)和數(shù)據(jù)安全保障工作的重要性和緊迫性，加快推進網(wǎng)絡(luò)安全等級保護測評工作，在等保標準的基礎(chǔ)上構(gòu)建覆蓋技術(shù)和管理的綜合防御體系，提升網(wǎng)絡(luò)安全風險治理意識，做好安全防護基礎(chǔ)工作，加強網(wǎng)絡(luò)安全防御和檢測能力，健全預案開展演練提高應急處置能力，變被動防護為主動防護，變靜態(tài)防護為動態(tài)防護，變單點防護為整體防控，變粗放防護為精準防護，為持續(xù)推進智慧醫(yī)院保駕護航。本文以vSphere 為例，具體分析了等級保護在虛擬化環(huán)境中應用，通過多種方式，建立有效的安全防御體系，并根據(jù)南通市腫瘤醫(yī)院實際需求，在虛擬化安全方面提出具體措施，提升醫(yī)院信息系統(tǒng)安全等級。

在虛擬化環(huán)境中，信息安全還面臨許多新的問題和挑戰(zhàn)，如虛擬機逃逸技術(shù)，vSphere 系統(tǒng)軟件自身的漏洞和缺陷都會給信息系統(tǒng)的安全造成極大風險。所以虛擬化環(huán)境下的信息安全除了要根據(jù)安全策略做好訪問控制規(guī)則，部署安全防護措施外，加強對數(shù)據(jù)資源的訪問控制、審計也是必不可少的安全保護措施。