基于医院关键信息基础设施安全防护技术的研究与实践

孙瑜

摘要：《中华人民共和国网络安全法》自2017年开始实施，意味着网络空间从“合规”走向了“合法”。首都医科大学附属北京妇产医院（简称北京妇产医院）从法律层面上认识关键信息基础设施的安全问题，结合自身的实际情况，建立了比较完备的安全防护体系，建立了合理、可靠的技术平台、细致的日常管理与及时的故障处理应急预案，全面提高了应对网络安全的能力。

关键词：网络安全法;关键信息基础设施;网络安全;技术体系

中圖分类号：TP309          文献标识码：A

1 引言

网络空间被称为“第五空间”，是继“陆、海、空、天”之后的又一广阔天地。随着人们的需要，这个空间在不断地扩大、膨胀，不断地渗透到世界的细枝末节。网络空间的发展促进了社会的进步和经济的繁荣。医院的信息系统也随之发展起来，功能越来越多;覆盖面越来越广，同时也带来了巨大地安全风险。近年来，网络安全事件频发，呈现不确定性、全局性和连锁性的特点[1]。2008 年由公安部颁布了《信息安全等级保护管理办法》，使信息系统安全保护有了国家级别的标准。2017年6月1日《中华人民共和国网络安全法》（以下简称《网络安全法》）开始施行。《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑。《网络安全法》第3条明确规定，国家坚持网络安全与信息化并重，遵循积极利用、科学发展、依法管理、确保安全的方针。这就要求我们既要推进网络基础设施建设，又要提高网络安全保护能力。

2016年4月19日中央领导在网络安全和信息化工作座谈会上提出“加快构建关键信息基础设施安全保障体系”的重要指示精神。关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的系统和设施[2]。《网络安全法》中将网络运行安全分为 “一般规定”和“关键信息基础设施的运行安全”两个部分：前者指实行网络安全等级保护制度;后者指关键信息基础设施保护制度[3]。两者相辅相成，目标统一 [4]。《网络安全法》第三章用了很大篇幅规范网络运行安全，特别强调要保障关键信息基础设施的运行安全。

2 现状分析

面对医院的门诊、住院人次的骤增，医院信息化建设的逐步深入，业务网上功能的多元化，医院信息系统已经成为医院正常运行不可或缺的支撑环境和工作平台，关键信息基础设施承受的压力日益增长。因此，北京妇产医院通过建立合理、可靠的技术平台、细致的日常管理与及时的故障处理应急预案，将关键信息基础设施保护措施落实到实处，以确保信息系统不间断地稳定地运行。

北京妇产医院关键信息基础设施包含三大部分：医院信息管理系统（HIS）、实验室报告信息系统（LIS）、医学影像存档与通讯系统（PACS）。信息系统由医院的临床诊疗、医疗管理、运营管理三大基础业务组成，横跨基础业务、管理决策、资源管理、知识管理、客户服务、系统集成等应用领域，承载着核心业务信息的运行。整个网络为标准的三层网络结构，由接入到汇聚到核心，核心层做了双链路。对核心信息系统技术建立模型，可看出有相关应用，如图1所示。

3 安全防护技术体系

《网络安全法》第31条规定，关键信息基础设施在网络安全等级保护制度基础上，实行重点保护。根据《信息系统安全等级保护基本要求》《信息系统安全等级保护测评要求》《信息系统等级保护安全设计技术要求》《医疗机构重要信息系统等级保护三级测评技术要求项》等一些等级保护标准和北京妇产医院信息系统的 “一个中心”管理下的“三重防护”体系框架的实际情况，在安全技术类上分为五个层面：物理安全、网络安全、主机安全、应用安全和数据安全。

3.1 物理安全

物理安全体系的建设认为，机房建设是重中之重，中心机房是医院关键信息基础设施的存放地，包括服务器、磁盘阵列、网络主交换机等设备，对环境的要求很高。在技术层面，应采取电子门禁、监控报警系统等技术措施;在管理层面，制定机房维护管理、出入登记申报等制度。

技术措施主要包括几个方面。重要区域配置电子门禁系统：配备光、电等机房防盗报警系统，设置监控报警系统;设置火灾自动消防系统：对重要设备采取区域隔离防火措施，并与其他设备在物理上隔离开;安装对水敏感的检测仪表或元件，对机房进行防水检测和报警。主要设备采用必要的接地防静电措施，如防静电手环或防静电工作服等;设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内;设置冗余或并行的电力电缆线路为系统，提供持续供电，建立备用供电系统。

3.2 网络安全

网络安全包括路由器、交换机、通信线路等在内的信息系统网络环境的安全，为信息系统能够在安全的网络环境中运行提供支持，确保网络系统安全运行，提供有效的网络服务。

3.2.1 访问控制设计

在北京妇产医院信息系统应用各区域边界中，采用了边界访问控制技术，以保证安全区域之间进出数据进行访问的控制，防止未授权访问发生。医院还采用了多台防火墙，对互联网边界、内网边界和业务边界进行防护。根据医院网络的现实情况，在互联网出口区域边界，采用了防火墙设备和入侵检测实现各区域之间的访问控制，而对于其他物理区域内部的不同网段之间的边界，则采用了Vlan划分结合ACL访问控制列表的方法予以隔离。

3.2.2 带宽管理

带宽管理采用上网行为管理设备，同时通过防火墙、网络行为规范管理设备，来实现对重要应用或协议分配更多的带宽资源。针对医院业务的重要应用和辅助应用，可限制其流量，以保证重要业务的可用性，也可以通过限制协议的方式，保证主要协议的可用性。

3.2.3恶意代码检测

北京妇产医院信息系统内部网络边界和核心系统服务器群，前端采用带防病毒模块的防火墙系统，对流入流出安全区域边界的信息流进行防病毒检测与过滤，防止网络病毒或其他恶意代码，通过区域边界进入医疗核心信息系统，以提供有效的病毒过滤与细粒度的深度安全防护。

3.2.4 网络入侵防范

在医院应用服务器的边界，部署Web防护系统和网络入侵检测设备，提供主动的、实时的防护，能准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。网络入侵保护系统是通过直接串联到网络链路中而实现这一功能的，即网络入侵保护系统接收到恶意数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内部网络。

3.2.5 网络安全审计

在连接医院信息系统服务器交换机的旁路，部署安全审计系统，通过交换机三级系统服务器区和二级系统服务器区的流量镜像到探测器上，实现对服务器区域访问的全面细粒度审计。审计内容包括 FTP、TELNET、SMTP、POP3、数据库访问、运维人员的运维过程审计等。这样，在遇到紧急事件后，可以根据审计内容进行有效的追查和问责。

3.3 主机安全

主机系统安全包括服务器、终端、工作站及安全设备、系统内计算机设备在操作系统及数据库系统层面的安全。主机层面的安全要求，是在物理、网络层面安全的情况下，提供安全的操作系统和安全的数据库管理系统，以实现操作系统和数据库管理系统的安全运行。

3.3.1 访问控制

现有访问控制是基本的访问控制机制，大多数操作系统（如Windows、Linux等）都采用自主访问控制。医疗核心信息系统增加了强制访问控制机制，通过部署绿堡垒机，由安全审计系统对核心系统中的主体（用户、进程）及客体（文件、执行程序、外部设备等）进行安全标识，根據客体类型的不同，分别制定不同的访问控制规则，从而全方位地确保信息系统的机密性，访问控制流程如图2所示。

3.3.2 安全审计

在医疗核心信息系统中，数据库系统存储着几乎全部的数据和信息，无疑是整个信息系统的核心，是医院防护的重点。医院采用安全审计系统，以旁路、透明方式部署在医疗核心信息系统的区域边界，在不改变现有网络结构的基础上，实时、高速地对访问数据库系统的信息流进行数据截取和还原。通过对数据库访问信息的采集、分析、识别，实时监控数据库的所有访问操作，同时支持自定义内容关键字库，实现数据库操作的内容监测识别，发现各种违规数据库操作行为，及时报警响应、全过程操作还原，从而实现对安全事件的准确全程跟踪定位，全面保障数据库系统的安全。

3.3.3 身份鉴别

为了保证网络信息的保密性、完整性、可控性、可用性和抗抵赖性，信息系统采用了多种安全技术，如身份鉴别、信息加密、信息完整性校验、抗抵赖等。医院部署了SSL VPN网关，针对医院核心信息系统所接受的各类访问，包括终端用户的系统登录、文件读写和网络访问行为，进行实时认证，以确保数据传输的安全性。

3.4 应用安全

应用系统的安全主要包括身份鉴别、数据完整性保护等，应符合机密性与完整性的安全要求。

3.4.1 身份鉴别

北京妇产医院信息中心部署统一认证系统，管理医院全部的系统用户，并连接各业务系统，各系统用户可通过登录医院统一身份认证系统进行身份认证、业务系统单点登录。各应用系统用户信息管理与医院统一身份认证系统同步，可根据授权原则管理本地区用户。统一认证系统的主要服务功能模块包括用户管理、身份认证管理、授权管理、单点登录、数据服务于信息同步模块服务及安全管理模块。安全管理模块为维护好系统服务功能的安全性，提供了系统自身所有操作的安全审计功能，以及各个应用系统用户信息的监控功能。

3.4.2 数据完整性

医院医护人员使用数字证书USB Key登录医院信息系统客户端。系统客户端通过调用客户端控件，实现对存储于USB Key内数字证书的读取、解析、验证和展现，实现基于数字证书的安全登录。

3.5 数据安全

3.5.1数据库审计

医院通过部署数据库审计系统实现对数据库通讯协议的精确解析，和对SQL语句基于Lex/Yacc词法、语法的详细分析，能够实时、精准地记录数据库业务访问行为和数据库运维访问行为，在安全事件发生后提供有力、全面、精准的事件追踪、定位和溯源依据。全面、准确地展示、汇报数据库访问情况、安全风险和执行效率，方便管理员全方位掌控数据库运行情况，提高对数据库安全监管的能力。

3.5.2 安全隔离

医院通过部署网闸系统，利用“2+1”系统架构，即由两个主机系统和一个隔离交换矩阵组成。主机系统采用自研安全平台，隔离交换矩阵基于ASIC专用芯片实现主机系统间采用自有协议摆渡数据，以确保信任网络和非信任网络之间任何连接的断开，彻底阻断TCP/IP协议及其他网络协议。

3.5.3 数据安全传输

通过部署连续数据保护方案保护设备（Continuous Data Protection，CDP ）不仅涵盖了各类灾难保护（包括人为故障、病毒、软件故障、物理故障等灾难），而且能够针对不同主机服务器及操作系统、数据库、存储的环境提供全面的数据保护。连续数据保护在出现突发意外中断时，提供快速的业务恢复（RTO指标），并将数据丢失（RPO指标）降至最低，旨在提供数据中心关键业务的业务连续性保障。

4 结束语

等级保护是基础，每个部分都有详细的安全标准，强调标准和基线[5]。网络运行安全是网络安全的重心，关键信息基础设施安全则是重中之重，与国家安全和社会公共利益息息相关。2016年4月19日中央领导在网络安全和信息化工作座谈会上提出：“我们必须深入研究，采取有效措施，切实做好国家关键信息基础设施安全防护”。人的因素固然重要，但是加大对关键信息基础设施的投入，提升安全防护技术的水平也是非常必要的。人和安全设备有效的结合起来，才能保证关键信息基础设施的安全。只有这样，才能长期、有效地保障医院信息化的健康发展[6]。

从目前北京妇产医院对医院关键信息基础设施安全防护技术的研究与实践应用情况来看，在基层应用单位要想真正落实“切实做好国家关键信息基础设施安全防护”精神，不仅要从法律层面上，认识到关键信息基础设施安全问题的重要性，而且还要从技术手段的实践上切实可行，在具体实施上，一步一个脚印地落实。更为重要的是，要得到上至领导部门下至基层科室部门的大力配合与支持，否则加强“医院关键信息基础设施安全防护技术的研究与实践应用”就是一句空话。

参考文献

[1] 王玥，方婷，马民虎.美国关键基础设施信息安全监测预警机制演进与启示[J].情报杂志，2016，35（1）：17-23.

[2] 张磊，孙亮，陈曲.医院关键信息基础设施网络安全风险评估的实践[J].中国卫生信息管理杂志，2018，15（4）：390-393.

[3] 周亚超，刘金芳.关键信息基础设施范围与特点解析[J].网络空间安全， 2018，9（10）：56-60.

[4] 顾伟.关键信息基础设施保护制度的国际接轨与中国特色—《网络安全法》亮点解读[J].信息安全与通信保密，2016，38（11）： 48-53.

[5] 张宇翔，陶源.基于等级保护与可信计算构建我国关键信息基础设施保障体系[J]. 信息安全研究，2017，3（4）： 375-381.

[6] 贾鑫.基于医院信息系统的网络安全分析与设计[J].中国管理信息化，2013，9（10）： 46-47.