基于“互联网＋医疗”环境下医院信息安全的建设探索

◆段茜

（广州市花都区人民医院广东 510800）

当前，在“互联网＋医疗”创新模式技术的发展和推动下，预约诊疗、诊间结算、检验检查结果在线查询、远程会诊等多种医疗形式向外无限扩展，院内院外的数据进行交互。然而，服务平台存储大量重要而敏感的患者诊疗信息及运营数据，使新模式下的医院信息安全不可避免存在诸多隐患。因此，如何加强信息的安全防护，确保系统安全稳定可靠运行，是新时代医疗安全领域面临的巨大挑战。

1 医院信息系统安全现状分析及需求

1.1 安全现状分析

1.1.1 威胁分析

外部威胁：（1）未经允许，私自扩大权限、避开访问控制机制，越权对设备或资源进行非授权访问。（2）商业目的或随机目的对网络恶意入侵扫描，获取篡改甚至破坏敏感业务数据的黑客扫描和攻击。（3）网络流通的诊疗信息数据错误或数据泄密。（4）穿透防火墙导致网络处理性能下降，拥塞，甚至服务宕机的病毒或蠕虫侵袭。

内部威胁：（1）由于管理漏洞与缺陷造成非法数据访问或修改，而无法知晓记录追溯问题。（2）工作人员安全意识缺乏，引入外部风险。（3）非关键应用恶意消耗网络带宽。（4）别有用心人员从内部恶意发起进攻破坏。

1.1.2 网络安全现状分析

当前，医院网络共规划为5个安全域：服务器区、医保区、互联网出口区、核心区、终端接入区，其中各区域边界并未部署防火墙设备进行安全隔离及防护。

互联网出口区部署有上网行为管理设备，设备性能无法满足为医院出口带宽的升级。

医保区部署有H3C防火墙，该防火墙为传统型防火墙，无法防护新型的网络攻击及入侵防范。

服务器区部署有360安全杀毒软件，属于被动防护，对于新的未知蠕虫病毒，防病毒软件无法检测出。

1.2 需求分析

1.2.1 防火墙

（1）保护服务：过滤不安全服务，如禁止NIS、NFS服务等，保证只可访问得到许可的才能访问的业务系统。

（2）提供对系统的访问控制：如同意外部访问特定WEB和FTP服务器，而禁止访问另外主机。

（3）入侵防御：能够对基于特征、异常行为、可移动存储等进行检测及防御。

（4）记录和统计网络日志：对通过边界的网络通信记录统计，利用日志进行跟踪和事后分析。

1.2.2 防病毒网关

现今，病毒越发泛滥，一旦有主机被感染，病毒便主动对整个网络上的所有主机进行探测，且探测过程极大消耗网络带宽资源。 而斩断传播途径，是防止病毒爆发最有效手段之一，因此迫切需要网关型产品在网络层面对病毒给予查杀。

1.2.3 安全隔离网闸

根据医院业务的需要，某些内网应用须对外网进行访问。 为防止互联网引入风险，需对数据交换、传输协议、传输内容等进行检查，同时需要外网网络对内网数据库访问进行严格的管理控制。

1.2.4 网络防病毒系统

恶意代码：木马、病毒、蠕虫等会给业务系统带来无限的安全隐患。（1）信息被窃取： 破坏程序同时释放后门程序，一旦重要服务器中毒，核心技术将会泄露。（2）文件传播：机械的复制传播导致文件服务器性能下降或瘫痪，重要文件永久性被破坏。（3）邮件传播：当终端中毒并发出几何数量级信件时，导致性能迅速下降，直至宕机。（4）客户机感染：病毒通过Internet、局域网、U盘等多种多样传播方式进行攻击。（5）网络带宽阻塞：病毒能占用有限带宽，至网络瘫痪。（6）信息资产损失和经济损失。

1.2.5 综合日志审计系统

（1）日志规范化：采集全网各种信息设备日志信息，包括存储格式、字段含义、通信协议等，进行归一化处理，且能提取审计记录的完整信息。

（2）基于策略的日志过滤、归并：为减轻海量日志数据传输和存储压力，按照相关策略进行过滤和归并。

（3）关联分析及审计：对于各资源的日志信息提供多维的关联分析及审计功能。

（4）日志存储：为确保原始日志的保密性及完整性，不得随意被访问、修改和删除。同时，由于日志量较大且需要长期保存，应提供压缩存储机制。

1.2.6 堡垒机

由于网络设备和服务器众多，且关键核心业务都部署在Linux和Windows服务器上。医疗应用系统的复杂性决定了需要多种角色交叉管理，而运维人员多数于依赖远程。为方便登录，多人使用共享账号；需定期更改密码的策略流于形式；权限管理授权不清；访问控制策略不严格；用户操作无法有效审计等问题。

因此，通过部署堡垒主机，对运维操作进行集中统一管理，实现对服务器、数据库等设备操作过程进行记录和回放，对违规操作进行阻断与审计。

1.2.7 Web应用防护

Web应用的威胁主要来自以下几个部分：（1）Web网站初期开发者安全意识薄弱。（2）第三方内容成风险源。（3）篡改Web系统数据。（4）Cookie监听、Cookie投毒。

2 建设方案设计

2.1 拓扑图设计

图1 拓扑图

该拓扑图依据“信息安全等级保护建设标准”，进行设计规划。

对外发布区域：对外网访问者提供服务的网站、WAP、短信平台、微信等系统，通过Web防火墙和网页防篡改对服务器的安全保护。

互联网接入区域：对互联网威胁提供统一的防护能力，通过防火墙、入侵防御、防病毒网关、上网行为管理等设备进行网络边界的安全防护，为外网用户访问内网数据提供安全保障。

医保专线区域：对医保网进行隔离，部署边界防火墙及杀毒网关。

安全管理区域：内网安全管理区部署安全感知平台、综合日志审计、运维审防病毒系统、威胁发现系统、堡垒机等系统；外网安全管理区部署防病毒等系统。

核心交换区域：核心交换区包含内网核心交换区和外网核心交换机区，是医院网络数据交换的核心区域，在两个区域各旁路镜像部署一台潜伏威胁探针设备，为安全感知平台提供数据收集。

数据中心区域：包含医院所有内网访问的信息，同时也包含系统所涉及配套基础设施，如数据库、存储设备等；在数据中心区需要部署边界防火墙、数据库审计系统；以及在服务器汇聚交换机处需部署一台潜伏威胁探针设备，为安全感知平台提供数据收集。

内网终端区域：包含内网、外网及分院的终端用户PC、移动终端和笔记本等，需要部署杀毒软件客户端及终端安全管理客户端。

远程接入区域：随着互联网发展，不断会进行网络架构调整，以及第三方协同办公，运维，移动办公普及，对远程接入部分进行重点划分，保障数据传输加密的安全性。

2.2 安全防御体系设计

2.2.1 防火墙

防火墙设备分别部署在互联网边界、数据中心区边界、医保网边界。将内外信息访问进行逻辑隔离，严格执行访问控制。

设置安全策略：安全域隔离、访问控制策略、应用控制策略、会话监控策略、会话限制策略、地址绑定策略、身份认证策略、日志审计策略。

2.2.2 防病毒网关

在互联网边界防火墙设备之后及医保网边界部署防病毒网关。对蠕虫、间谍软件、混合攻击等病毒进行阻止和拦截，防止病毒扩散和传播到内部安全域中。截断传播途径，净化网络流量。

防病毒功能执行以下的安全策略：病毒过滤策略、恶意代码防护策略、蠕虫防护策略、病毒库升级策略、日志策略。

2.2.3 安全隔离网闸

通过在外网与内网的核心交换机安全边界上部署安全隔离网闸，对内外网络进行隔离。 外网用户要访问内网业务服务器，先发送业务访问请求，通过安全隔离网闸，对数据库进行业务处理，根据部门不同，返回处理结果存储在安全域里的部门服务器中，完成内外网相关业务的访问。同时，内网用户可通过安全隔离网闸，对外网业务服务器提交数据，供外网单位进行数据同步和交换。

2.2.4 网络防病毒系统

为防范病毒带来的危害及损失，我们将在所有的业务服务器和终端上部署网络防病毒系统，将病毒封堵在主机终端上。及时升级病毒库（恶意代码库和软件版本），增强终端和服务器的防护能力。同时终端病毒库和防病毒网关的病毒库进行异构设计，使得防护效果最大化。捍卫主机及服务器免受病毒、特洛伊木马和其他恶意程序的侵袭，不让其有机会透过文件及数据的分享进而散布到整个用户的网络环境， 提供完整的病毒扫描防护功能。

2.2.5 综合日志审计系统

在安全管理区部署综合日志审计系统，通过集中采集应用软件中系统运行日志、状态、网络存取日志、用户访问记录等信息，并以统一格式，对经过过滤归并分析等处理后的日志形式进行存储管理。

日志审计系统支持分布式部署，可实时采集、集中存储、异常报警、分析信息系统中各类设备的安全事件。系统安全管理员可随时调阅查看整个医院信息系统的运行情况，通过审计系统的报表统计，能及时高效的定位故障，进行追踪异常事件或非法访问行为，全面、可靠的对医院各类设备、系统、服务等进行安全审计能力。

2.2.6 堡垒机

堡垒机部署在安全管理安全域，具有对运维人员的行为接管、运维权限、运维操作审计等功能。通过访问控制策略的限定，运维工程师以WEB方式登录堡垒机内控管理平台，对医院网络设备、安全设备和服务器等资源列表授权资源再进行远程维护。

2.2.7 WEB应用防护

通过专业的WAF产品，抵御针对WEB的各类攻击行为。由出口防火墙集成WAF功能：（1）Web应用安全防护；（2）Web请求信息的安全过滤；（3）Web敏感信息防泄漏；（4）Cookie防篡改；（5）网页防篡改；（6）Web业务连续性。

2.3 安全监测体系设计

2.3.1 安全感知平台

现今各种攻击手段逐渐隐蔽、高级，如果单纯将防护重点在网络与应用系统方面，当关键业务数据受到攻击，那安全建设便是无效的。黑客会用合法用户身份对业务数据库进行窃取、破坏。如图2：安全风险开始向内部进行转移。

安全感知平台部署是采用旁路的方式部署，结合潜伏威胁探针做数据采集，潜伏威胁探针在外网核心节点、内网核心节点及数据中心汇聚节点进行部署，并将数据镜像给探针做搜集，感知平台做数据分析和处理。

通过隐藏的威胁感知探针，可对：（1）全网业务资产可视化：主动发现新增资产，对资产暴露情况进行评估和呈现；（2）全网业务访问关系可视化：通过颜色呈现不同危险程度的访问关系可视化，对业务系统流量、应用、会话等可视化趋势分析；（3）内部攻击可视化：对内部以越过边界防护或通过主机的横向攻击的威胁，进行实时监测和报警；（4）违规操作可视化：对违规访问行为检测，出现疑似行为报警；（5）异常行为可视化：潜在风险的访问路径进行预警，及时调整安全策略。

图2 安全风险开始向内部进行转移

安全感知系统以业务系统视角，对内网整体安全态势进行评价和呈现，能实时动态感知威胁攻击趋势、漏洞信息、异常流量、网页篡改、资产脆弱性等安全事件行为。通过关联分析， 有效决策更高级的安全威胁。

2.3.2 深度威胁发现设备

本次方案在内网及外网各部署一台深度威胁发现设备，检测内网及外网的病毒威胁。威胁发现设备具备强大的侦测分析能力，可对恶意文件、移动设备、恶意行为分析、未知威胁、应用呈现、信誉、多协议关联等进行侦测；对高危病毒侦测、流量阻断、实时更新。保护各个网段的设备正常运行。

3 建设效果

（1）网络架构更加优化，区域划分更加合理，按照功能将各部分区域进行有效隔离，可有效制定边界安全策略；对网络进行冗余设计，避免业务高峰期，由单点而引起网络和业务中断便于安全产品部署，提高网络与信息系统防护能力。

（2）通过策略调整或者部署访问控制设备，将数据转发严格控制，满足等保要求的合规性检测。

（3）实现一体化安全防护。对于面向互联网提供服务的业务系统的防Web攻击。

（4）实现对所有访问业务系统的行为审计，能记录该行为的源IP，目的IP，端口协议等，且日志保存至少3个月。

（5）通过非法外联监控管理，防止用户访问非信任网络资源，并防止引入的安全风险导致信息泄密。

（6）统一运维维护人员访问系统和设备入口，提供访问控制功能，降低安全风险。

（7）通过安全管理中心建设，真正实现技术层和管理层的相互结合，全面提升网络信息安全保障能力。

4 结束语

根据国家信息安全等保测评要求，在适应“互联网+医疗”，平台互联互通等发展趋势下，既要能满足医院的信息系统使用需求，同时兼顾今后易扩充性和可管理性。通过对医院信息安全进行统一的整体设计、规划，为医院信息安全打造一个长期、稳定、高效、安全的运行环境，以及医院未来的发展和建设打下良好的平台基础。