攀枝花市第二人民醫(yī)院網(wǎng)絡(luò)改造設(shè)計方案研究

劉浩然 劉彬

摘? 要：隨著計算機系統(tǒng)等級保護(hù)2.0標(biāo)準(zhǔn)的提出，三甲醫(yī)院核心業(yè)務(wù)信息系統(tǒng)安全應(yīng)不低于三級要求，通過對攀枝花市第二人民醫(yī)院現(xiàn)有組網(wǎng)的網(wǎng)絡(luò)攻擊防護(hù)、個人信息保護(hù)、運維審計安全、獨立區(qū)域安全、集中日志審計及安全事件自動分析進(jìn)行了調(diào)查與分析，發(fā)現(xiàn)該醫(yī)院的現(xiàn)有網(wǎng)絡(luò)設(shè)計不具備足夠的高可擴展性、高可用性、高靈活性及高安全性，還有極大的提升空間。

關(guān)鍵詞：等保2.0;網(wǎng)絡(luò)安全;網(wǎng)絡(luò)設(shè)計

中圖分類號：R197.324? ? ? 文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2020）18-0147-03

Abstract：With the introduction of the computer system grade protection 2.0 standard，the security of the core business information system of the top three hospitals should not be lower than the level three requirements，through investigation and analysis of the existing network of the Second Peoples Hospital of Panzhihua，network attack protection，personal information protection，operation and maintenance audit security，independent area security，centralized log audit and automatic analysis of security events. It was found that the hospitals existing network design did not have sufficient scalability，high availability，high flexibility and high security，as well as great room for improvement.

Keywords：computer system grade protection 2.0;network security;network design

0? 引? 言

計算機系統(tǒng)等級保護(hù)（簡稱為“等?！保┮鉃閷π畔踩珜崿F(xiàn)等級化保護(hù)和等級化管理，主要是為了保障信息安全和系統(tǒng)安全。自1994年等保概念提出之后，國家相關(guān)法律法規(guī)及政策不斷支持等保工作開展，最新的等保2.0標(biāo)準(zhǔn)以未來的新技術(shù)和新應(yīng)用場景為前提進(jìn)行制定，以優(yōu)化為核心，刪除已過時或發(fā)生變化的方向，針對新形勢增加了未知應(yīng)用防護(hù)及個人信息保護(hù)等要求，并將安全管理中心從管理層面提升至了技術(shù)層面，是適應(yīng)現(xiàn)在和未來的安全設(shè)計標(biāo)準(zhǔn)。

采用傳統(tǒng)等保要求進(jìn)行設(shè)計的方案通常有以下四個缺點：首先，系統(tǒng)缺乏必要的體系性考慮與風(fēng)險處置能力;其次，系統(tǒng)閉環(huán)安全要求不足，發(fā)生事故后難以及時發(fā)現(xiàn)與主動分析;再次，隨著云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)的發(fā)

展，傳統(tǒng)等保方案已不能滿足后續(xù)的安全需求;最后，新型網(wǎng)絡(luò)威脅發(fā)展極為迅速，系統(tǒng)面對物聯(lián)感知設(shè)備挾持、APT等攻擊方式無有效的應(yīng)對措施?？傮w而言，采用傳統(tǒng)等保要求設(shè)計的系統(tǒng)已不具備與當(dāng)代網(wǎng)絡(luò)發(fā)展現(xiàn)狀相匹配的安全性，需要在現(xiàn)行標(biāo)準(zhǔn)與要求下對舊系統(tǒng)方案進(jìn)行改造與優(yōu)化。

為進(jìn)一步實現(xiàn)等保2.0標(biāo)準(zhǔn)在各大重點場合的應(yīng)用，響應(yīng)習(xí)總書記網(wǎng)絡(luò)強國的戰(zhàn)略，本文作者針對攀枝花市第二人民醫(yī)院現(xiàn)有組網(wǎng)進(jìn)行分析，并在其基礎(chǔ)上進(jìn)行改進(jìn)，通過端口聯(lián)動提高系統(tǒng)效率、VLAN隔離提高管理便利性、靜態(tài)路由穩(wěn)定對外訪問通道、劃分OSPF域提高系統(tǒng)穩(wěn)定性、配置下一代防火墻及設(shè)置堡壘機提高系統(tǒng)安全性，整體提高系統(tǒng)組網(wǎng)的性能與安全，使得醫(yī)院關(guān)鍵系統(tǒng)業(yè)務(wù)能滿足等保2.0要求。

1? 項目背景

為了更好地保證醫(yī)院信息安全，2011年衛(wèi)生部先后下達(dá)《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》（衛(wèi)辦發(fā)〔2011〕85號）和《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護(hù)工作的通知》（衛(wèi)辦綜函〔2011〕1126號），要求全國衛(wèi)生行業(yè)各單位全面開展信息安全等級保護(hù)工作?！缎l(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》中，明確要求全國所有三甲醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)的安全保護(hù)等級原則上不低于三級。醫(yī)院的網(wǎng)絡(luò)安全是等保評測工作的重點，也是醫(yī)院信息安全保護(hù)的難點。在計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則中，明確地定義了用戶自主保護(hù)級、系統(tǒng)審計保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級與訪問驗證保護(hù)級5個系統(tǒng)級別，并對系統(tǒng)整體網(wǎng)絡(luò)架構(gòu)、帶寬和設(shè)備性能、網(wǎng)絡(luò)邊界控制防范、邊界連接的控制、包括設(shè)備、事件和用戶等目標(biāo)的日志系統(tǒng)、接入規(guī)范和防內(nèi)網(wǎng)外聯(lián)、網(wǎng)絡(luò)邊界應(yīng)用級攻擊檢測防范、網(wǎng)絡(luò)邊界惡意代碼防范和代碼庫的升級及設(shè)備管理的安全性提出了管理要求。

攀枝花市第二人民醫(yī)院（以下簡稱“二醫(yī)院”）是攀西地區(qū)的三甲醫(yī)院。隨著互聯(lián)網(wǎng)技術(shù)日益深入到醫(yī)院運營管理范圍，信息化建設(shè)已經(jīng)成為二醫(yī)院發(fā)展的重點與難點內(nèi)容，電子病歷、醫(yī)患信息等信息安全隱患得到越來越多的關(guān)注，對應(yīng)的安全問題關(guān)系到每一位病人的切身利益，如何在保障二醫(yī)院信息安全的同時確保醫(yī)院自身業(yè)務(wù)的連續(xù)性，是二醫(yī)院面臨的重要問題?；诖耍痉桨笇⒁試蚁嚓P(guān)法律法規(guī)為準(zhǔn)繩，結(jié)合二醫(yī)院的業(yè)務(wù)需求，對二醫(yī)院的網(wǎng)絡(luò)進(jìn)行改造設(shè)計，以達(dá)到醫(yī)院網(wǎng)絡(luò)滿足國家等保三級標(biāo)準(zhǔn)的目的。

2? 需求分析

隨著二醫(yī)院信息化建設(shè)的逐步深入，各類業(yè)務(wù)系統(tǒng)逐漸增多，原有網(wǎng)絡(luò)設(shè)計方案已無法滿足醫(yī)院的現(xiàn)有需求;同時，設(shè)備老化、網(wǎng)絡(luò)帶寬不足、網(wǎng)絡(luò)安全設(shè)計缺陷等問題日益突出。經(jīng)過調(diào)研，目前二醫(yī)院網(wǎng)絡(luò)建設(shè)有以下需求。