基于等級保護制度2.0下兩院區(qū)總體安全架構(gòu)的建設(shè)與實現(xiàn)

湯其宇，王士勇，田鵬

·醫(yī)學(xué)信息技術(shù)·

基于等級保護制度2.0下兩院區(qū)總體安全架構(gòu)的建設(shè)與實現(xiàn)

湯其宇1，王士勇1，田鵬2

1.海軍軍醫(yī)大學(xué)第三附屬醫(yī)院信息科，上海 200438；2.復(fù)旦大學(xué)信息化辦公室，上海 200433

結(jié)合網(wǎng)絡(luò)安全等級保護制度2.0的工作實踐，制定現(xiàn)代數(shù)字化醫(yī)院在兩院區(qū)結(jié)構(gòu)下總體信息安全架構(gòu)設(shè)計重點和實現(xiàn)方案，對各個功能的網(wǎng)絡(luò)安全域進行合理地劃分隔離及安全設(shè)備的增設(shè)，提出了以“三個統(tǒng)一”為原則構(gòu)筑的主動防御安全管理保障體系，使得兩院區(qū)信息系統(tǒng)的安全防護能力得到有效提升，醫(yī)院規(guī)章制度的完善與工作人員安全意識的提高有助于提升醫(yī)院整體信息安全管理水平，為其他醫(yī)院在日后的網(wǎng)絡(luò)安全建設(shè)中提供了借鑒與思路。

等級保護2.0；網(wǎng)絡(luò)安全；醫(yī)院信息化；信息系統(tǒng)架構(gòu)

醫(yī)院作為保障民生的重要基礎(chǔ)設(shè)施，提供持續(xù)穩(wěn)定的醫(yī)療服務(wù)資源是重中之重。隨著信息技術(shù)的發(fā)展，醫(yī)院業(yè)務(wù)信息系統(tǒng)建設(shè)從原來單純的電子化更多地轉(zhuǎn)變成互聯(lián)網(wǎng)化、在線化，使得更多諸如診療數(shù)據(jù)、病例數(shù)據(jù)等重要敏感數(shù)據(jù)進入信息系統(tǒng)，構(gòu)成龐大的醫(yī)療基礎(chǔ)數(shù)據(jù)，也導(dǎo)致了不法分子入侵醫(yī)療衛(wèi)生行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施以求獲取高價值醫(yī)療數(shù)據(jù)等的惡性相關(guān)事件頻發(fā)[1]。由此可見，保護醫(yī)療基礎(chǔ)數(shù)據(jù)已成為信息時代里醫(yī)院面臨的一個關(guān)鍵任務(wù)[2]。2019年國家發(fā)布《信息安全技術(shù)——網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239—2019）[3]將傳統(tǒng)的被動防護模式提升為主動安全防御架構(gòu)[4]，推動醫(yī)療衛(wèi)生行業(yè)建立更加全面的安全保障。

傳統(tǒng)的單院區(qū)架構(gòu)技術(shù)框架成熟，建設(shè)成本較低，但是面對兩院區(qū)的情況，現(xiàn)有技術(shù)已經(jīng)無法滿足實際的信息化使用需求，無論是數(shù)據(jù)安全保護還是應(yīng)用冗余災(zāi)備等相關(guān)基本保障，都難以做到較為完善的恢復(fù)方案，一旦發(fā)生較大面積的物理破壞或自然災(zāi)害等不可抗力情況，醫(yī)院將面臨業(yè)務(wù)中斷的高危風(fēng)險。為此，采用兩院區(qū)模式的安全架構(gòu)設(shè)計能夠有效提高其安全防護能力，在原有單院區(qū)建設(shè)的基礎(chǔ)上，對兩院區(qū)的網(wǎng)絡(luò)邊界、業(yè)務(wù)系統(tǒng)、設(shè)備管理和應(yīng)用數(shù)據(jù)進行統(tǒng)一管理與整合，形成一套完整的安全運營平臺，保障整個醫(yī)院的系統(tǒng)數(shù)據(jù)中心、網(wǎng)絡(luò)、終端及應(yīng)用數(shù)據(jù)安全，全面提升醫(yī)院信息基礎(chǔ)設(shè)施的安全防護能力。本研究在兩院區(qū)場景下，對于開展醫(yī)院信息化網(wǎng)絡(luò)安全等級保護制度2.0（以下簡稱等保2.0）保護條例建設(shè)進行實踐探索與總結(jié)探討。

1 背景與現(xiàn)狀

1.1 等保2.0保護條例簡介

等保2.0保護條例在等保1.0的基礎(chǔ)上進行更新完善，其最大的優(yōu)化之處是設(shè)立安全管理中心為主體核心，以安全通信網(wǎng)絡(luò)為支撐，安全區(qū)域邊界為保障，安全計算環(huán)境為基礎(chǔ)的三重防御結(jié)構(gòu)進行全面安全管控。同時，技術(shù)方面深化了訪問控制、安全審計和入侵與惡意代碼防范的防護標(biāo)準(zhǔn)，并增加可信驗證與隱私數(shù)據(jù)保護等相關(guān)要求；管理方面提出以系統(tǒng)、審計、安全三層次統(tǒng)一集中管控的相關(guān)要求[5]。

1.2 當(dāng)前醫(yī)院現(xiàn)狀

目前，醫(yī)院的網(wǎng)絡(luò)架構(gòu)大多從初期的單院區(qū)建設(shè)沿用至今，隨著院區(qū)的擴建與業(yè)務(wù)的延伸，兩院區(qū)內(nèi)安全區(qū)域邊界模糊不清，同一網(wǎng)段的服務(wù)器和終端存在橫向無阻礙通信的風(fēng)險，拓?fù)渖洗?lián)的網(wǎng)絡(luò)設(shè)備和安全管理設(shè)備存在單點運行的情況，冗余設(shè)備形同虛設(shè)。另外，兩院區(qū)內(nèi)網(wǎng)的終端也存在不經(jīng)過任何信任機制便可入網(wǎng)的安全隱患。與此同時，由于沒有規(guī)范化的規(guī)章辦法和安全意識培訓(xùn)，運維人員為圖方便使用弱密碼直接通過默認(rèn)端口登錄目標(biāo)設(shè)備，醫(yī)院對于當(dāng)前復(fù)雜化網(wǎng)絡(luò)態(tài)勢的安全意識相對淡薄。以上諸多問題致使業(yè)務(wù)系統(tǒng)屢遭勒索病毒與惡意入侵，導(dǎo)致診療服務(wù)中斷，引起安全事故。

2 建設(shè)目標(biāo)

醫(yī)院網(wǎng)絡(luò)安全等保體系是一項長周期持續(xù)建設(shè)的工程，要本著“三個統(tǒng)一”的原則，即統(tǒng)一防御準(zhǔn)則、統(tǒng)一安全強度、統(tǒng)一管理體系，有步驟、有計劃、有效率地推動安全防護措施實施，實現(xiàn)防御、檢測、響應(yīng)、恢復(fù)的一體化安全建設(shè)目標(biāo)[6]。

2.1 統(tǒng)一防御準(zhǔn)則

總體設(shè)計上遵循統(tǒng)一縱深防御的準(zhǔn)則，充分了解將安全措施組合應(yīng)用到各區(qū)域邊界所面臨的安全風(fēng)險。在技術(shù)層面落實等保2.0保護條例中提及的各個層次的安全加固方式，兼顧管理層面能力，形成從外到內(nèi)、自上而下的全面統(tǒng)一防御體系，增強信息系統(tǒng)的整體安全保護能力。

2.2 統(tǒng)一安全強度

將安全防護措施細化至醫(yī)院每個信息系統(tǒng)的安全域。應(yīng)從點到面形成一體化防御結(jié)構(gòu)，充分考慮每個區(qū)域邊界和內(nèi)部安全防護強度的一致性，防止因某個安全域防護不到位而導(dǎo)致整體的安全防護水平削弱，給不法分子帶來可乘之機。

2.3 統(tǒng)一管理體系

建立并落實體系化規(guī)章管理制度，滿足責(zé)任分明、權(quán)限清晰、制度健全等要求，運用包括安全運維統(tǒng)一、安全策略統(tǒng)一、安全管理統(tǒng)一等手段，優(yōu)化運維流程、減輕運維負(fù)擔(dān)、提升運維效率，最終建立一個整體防護主動免疫的信息安全運維管理體系[7]。

3 實現(xiàn)方案

醫(yī)院兩院區(qū)總體安全架構(gòu)實現(xiàn)方案的目標(biāo)是在醫(yī)院業(yè)務(wù)系統(tǒng)的基礎(chǔ)上，對全網(wǎng)整體安全設(shè)計規(guī)劃符合等保2.0保護條例的合規(guī)性，建立以“安全通信網(wǎng)絡(luò)”“安全區(qū)域邊界”“安全計算環(huán)境”為板塊的主動防御安全管理保障體系，確保敏感數(shù)據(jù)信息的機密性、信息通信傳輸?shù)耐暾院歪t(yī)院系統(tǒng)業(yè)務(wù)的可用性[8]。具體的安全實現(xiàn)方案拓?fù)湟妶D1。

3.1 安全通信網(wǎng)絡(luò)

網(wǎng)絡(luò)架構(gòu)方面，對核心交換區(qū)與兩院互聯(lián)區(qū)的骨干網(wǎng)絡(luò)設(shè)備采用“通信資源優(yōu)先保障、報文流量優(yōu)先處理”的設(shè)計主旨。通過服務(wù)質(zhì)量安全機制和雙機堆疊的方案滿足業(yè)務(wù)高峰期帶寬需要和通信的高可用性要求。同時，核心業(yè)務(wù)、辦公接入等其他功能區(qū)域接入骨干網(wǎng)絡(luò)時，應(yīng)獨立存在于各自的物理安全域內(nèi)，并隔離在主備模式部署的下一代防火墻邏輯網(wǎng)絡(luò)通道中。

通信傳輸方面，業(yè)務(wù)系統(tǒng)需要使用奇偶校驗、海明校驗和循環(huán)冗余校驗等數(shù)據(jù)完整性校驗方法來保證數(shù)據(jù)傳輸?shù)耐暾?。此外，涉及醫(yī)保網(wǎng)絡(luò)、政務(wù)外網(wǎng)等國家職能部門信息專網(wǎng)對接的專線接入?yún)^(qū)，需要通過零信任架構(gòu)的安全機制建立安全訪問路徑，保證通信時數(shù)據(jù)的機密性與完整性[9]。

可信驗證方面采用“身份+終端”的準(zhǔn)入驗證方式合法入網(wǎng)，既能對接入用戶的身份信息進行動態(tài)確認(rèn)，又能有效地根據(jù)安全策略對非可信的終端進行必要管控，一旦發(fā)現(xiàn)用戶產(chǎn)生異常操作就會向管理平臺發(fā)送告警信息并立即阻斷所有訪問權(quán)限，形成不可抵賴記錄[10]。

3.2 安全區(qū)域邊界

根據(jù)醫(yī)院實際的業(yè)務(wù)需求將兩院區(qū)分別劃分為7個安全區(qū)域，分別是核心交換區(qū)、核心業(yè)務(wù)區(qū)、災(zāi)備業(yè)務(wù)區(qū)、安全管理區(qū)、專線接入?yún)^(qū)、辦公接入?yún)^(qū)和無線接入?yún)^(qū)。兩院區(qū)的對接部分劃為1個公用的兩院互聯(lián)區(qū)，各個區(qū)域的名稱與功能見表1。

對于網(wǎng)絡(luò)攻擊的防護，需要對各安全區(qū)域邊界進行網(wǎng)絡(luò)邊界隔離，配置合理的安全策略保證訪問控制規(guī)則數(shù)量最小化，并加載入侵防御系統(tǒng)與防病毒軟件模塊將日志報文發(fā)送至安全管理區(qū)中進行審計事件記錄分析，進行快速定位。重要的業(yè)務(wù)系統(tǒng)還需要增設(shè)網(wǎng)站應(yīng)用級入侵防御系統(tǒng)（web application firewall，WAF）設(shè)備以提高應(yīng)用層協(xié)議的安全防護。同時，在核心交換區(qū)增配入侵檢測系統(tǒng)設(shè)備與探針設(shè)備，更智能地實現(xiàn)對全網(wǎng)的病毒與惡意代碼的流量檢測[11]。除此之外，還可以使用蜜罐設(shè)備的欺騙式主動防御技術(shù)將具有威脅的病毒與攻擊提前誘捕。對于核心業(yè)務(wù)區(qū)域內(nèi)的服務(wù)盡量使用虛擬化平臺，同時配合虛擬化防火墻，利用安全控制策略阻止各類對外業(yè)務(wù)與管理端口在非授權(quán)情況下的訪問，防止病毒快速橫向跨區(qū)域擴散，以確保核心業(yè)務(wù)的最小化風(fēng)險控制。

圖1 醫(yī)院安全實現(xiàn)方案拓?fù)鋱D

表1 區(qū)域的名稱與功能對照表

3.3 安全計算環(huán)境

安全計算環(huán)境是對內(nèi)網(wǎng)應(yīng)用與數(shù)據(jù)庫系統(tǒng)的主機工作環(huán)境的安全要求，這類系統(tǒng)正是不法分子的重點攻擊目標(biāo)。針對以下3個安全維度，可以設(shè)定不同的安全預(yù)期。

3.3.1 身份驗證與訪問控制維度 用戶輸入密碼登錄業(yè)務(wù)系統(tǒng)時，需要一種新的鑒別技術(shù)對身份的真?zhèn)涡赃M行驗證，如一次性口令或短信驗證方式等，此類認(rèn)證方式不僅成本較低、驗證方便，還有較高的安全性與抗抵賴性。對于重要的核心業(yè)務(wù)系統(tǒng)，在采用雙因子認(rèn)證的同時還可以增加指紋或人臉等生物識別方式，更能提升身份可信度[12]。相應(yīng)地，為確保權(quán)限細化分離，用戶的訪問控制需要根據(jù)用戶角色對應(yīng)不同的功能模塊，并將每個操作細節(jié)記錄日志，便于事后追溯。

3.3.2 主機防范與應(yīng)用安全維度 為了充分發(fā)揮每臺主機的計算資源，可以將業(yè)務(wù)的應(yīng)用服務(wù)與數(shù)據(jù)庫分離部署，也可防止因單臺主機宕機而連帶影響其他服務(wù)，然后集中控制主機使用最小精簡化模式，力求做到軟件非必要不安裝，端口非必要不開啟[13]。再通過SSL方式加密傳輸，訪問地址使用反向代理方式防范跨站腳本攻擊、Cookie欺騙等入侵行為，聯(lián)動下一代防火墻、WAF等安全設(shè)備，同時向態(tài)勢感知平臺發(fā)出報警。

3.3.3 數(shù)據(jù)庫安全維度 數(shù)據(jù)庫作為核心數(shù)字資產(chǎn)存儲設(shè)施，對其建設(shè)應(yīng)進行全方位考慮。①保密性：除了傳輸報文與存儲字段，加密過程都必須符合國家商用密碼算法[14]，還需將包含醫(yī)療個人敏感信息的開發(fā)調(diào)試與科研測試數(shù)據(jù)庫及時脫敏，在為患者提供醫(yī)療服務(wù)的同時提供完善的個人隱私保護。②安全性：使用數(shù)據(jù)庫堡壘機作為數(shù)據(jù)庫唯一登錄方式，進行雙向強身份認(rèn)證，訪問控制的顆粒度可細化至字段級別，數(shù)據(jù)庫防火墻設(shè)備安裝虛擬補丁以防范惡意代碼及SQL注入等行為。③可用性：軟件方面可以采取持續(xù)數(shù)據(jù)保護與定時自動備份；硬件方面除了采取磁盤陣列、兩院區(qū)互為容災(zāi)等傳統(tǒng)方式，還可以配置備份恢復(fù)一體機進一步提高數(shù)據(jù)庫的容災(zāi)能力。

4 結(jié)語

由于網(wǎng)絡(luò)攻擊手段的不斷發(fā)展，醫(yī)院的信息安全建設(shè)需要成為一項動態(tài)可持續(xù)發(fā)展工程。多項信息安全領(lǐng)域的國家標(biāo)準(zhǔn)相繼頒布，標(biāo)志著國家對網(wǎng)絡(luò)安全的高度重視。等保2.0保護條例的提出對醫(yī)院信息安全建設(shè)工作有了完善的參考標(biāo)準(zhǔn)，更指明了防護的重點方向，醫(yī)院需根據(jù)實際情況來應(yīng)對網(wǎng)絡(luò)安全需求的更新?lián)Q代，帶著“三個統(tǒng)一”原則延伸新業(yè)務(wù)模式、引入新技術(shù)思想建設(shè)安全的信息系統(tǒng)，穩(wěn)定的支持醫(yī)院的日益發(fā)展，使得醫(yī)院的整體信息安全能力變得日漸完備。

[1] 陳少敏, 陳愛民, 梁麗萍. 醫(yī)療大數(shù)據(jù)共享的制約因素及治理研究[J]. 衛(wèi)生經(jīng)濟研究, 2021, 38(9): 18–20, 24.

[2] 李硯, 崔凱, 王俊. 淺析醫(yī)院信息安全威脅及應(yīng)對措施[J]. 江蘇衛(wèi)生事業(yè)管理, 2021, 32(8): 1079–1082.

[3] 國家市場監(jiān)督管理總局, 中國國家標(biāo)準(zhǔn)化管理委員會. 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求: GB/T 22239—2019[S]. 北京: 中國標(biāo)準(zhǔn)出版社, 2019.

[4] 楊旋, 周小甲. 醫(yī)院信息系統(tǒng)安全等級保護定級與整改結(jié)果探討[J]. 中國醫(yī)療設(shè)備, 2017, 32(6): 166–169.

[5] 王曉麗, 丁月紅, 陸昊. 等保2.0要求下醫(yī)療網(wǎng)絡(luò)安全建設(shè)與管理研究[J]. 中國數(shù)字醫(yī)學(xué), 2020, 15(12): 5–9.

[6] 李先鋒, 曹亮, 劉熠斐, 等. 等保2. 0對醫(yī)院信息安全管理的新要求探討[J]. 江蘇衛(wèi)生事業(yè)管理, 2020, 31(3): 344–347.

[7] 羅志恒, 鐘麗娜, 莫建坤. 等保2.0環(huán)境下醫(yī)院網(wǎng)絡(luò)安全整體加固方案[J]. 電子技術(shù)與軟件工程, 2021(15): 240–242.

[8] 袁駿毅, 潘常青, 宓林暉. 基于等級保護2.0標(biāo)準(zhǔn)體系的醫(yī)院信息化安全建設(shè)與研究[J]. 中國醫(yī)院, 2021, 25(1): 72–73.

[9] 李夢悅, 陳敏. 基于零信任架構(gòu)的醫(yī)院網(wǎng)絡(luò)安全防護研究[J]. 中國數(shù)字醫(yī)學(xué), 2021, 16(9): 106–109.

[10] 余佳偉. 基于等級保護2.0的醫(yī)院網(wǎng)絡(luò)安全建設(shè)方案[J]. 長江信息通信, 2021(1): 4–7.

[11] 龐延輝, 羅俊, 肖鵬, 等. 疾控信息系統(tǒng)網(wǎng)絡(luò)安全防護實踐[J]. 醫(yī)學(xué)信息學(xué)雜志, 2022, 43(4): 76–80.

[12] 魏帥嶺, 閆國濤, 李星, 等. 等級保護2.0下醫(yī)院網(wǎng)絡(luò)安全體系的建設(shè)與探索[J]. 中國數(shù)字醫(yī)學(xué), 2021, 16(4): 101–105.

[13] 魏勤, 劉艷亭, 郭敬鵬, 等. 基于三級等保標(biāo)準(zhǔn)的醫(yī)院信息安全體系建設(shè)實踐[J]. 醫(yī)學(xué)信息學(xué)雜志, 2019, 40(2): 35–39.

[14] 國家市場監(jiān)督管理總局?中國國家標(biāo)準(zhǔn)化管理委員會. 信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求: GB/T 39786—2021[S]. 北京: 中國標(biāo)準(zhǔn)出版社, 2021.

Construction and implementation of overall security architecture in two hospital districts based on Equal Protection 2.0

TANG Qiyu, WANG Shiyong, TIAN Peng

1.Department of Information, Third Affiliated Hospital of Naval Medical University, Shanghai 200438, China; 2. Informatization Office of Fudan University, Shanghai 200433, China

Based on the working practice of Network Security Level Protection System 2.0 (“Equal Protection 2.0”), formulated the design focus and implementation plan of the overall information security architecture of a modern digital hospital under the structure of two hospital districts, reasonably divided and isolated the network security domains of each function and added security equipments, and put forward an active defense security management and guarantee system constructed on the principle of “three unities”, which has effectively improved the security protection capability of the information system of two hospital districts. The improvement of hospital regulations and staff security awareness has helped to improve the overall information security management level of the hospital, which will provide reference and ideas for other hospitals in the future network security construction. Provides reference and ideas for other hospitals in future network security construction.

Equal protection 2.0; Network security; Hospital Informatization; Information system architecture

R319

A

10.3969/j.issn.1673-9701.2023.23.026

王士勇，電子信箱：wsybangde@163.com

（2022–08–15）

（2022–12–26）