基于等级保护的网络安全技术的应用研究

周 炎

（泰州市人民医院 江苏 泰州 225300）

1 引言

随着我国国际地位的不断提高和经济的发展，网络情报和关键信息系统日益受到威胁，网络犯罪正在迅速增加。计算机病毒的传播和非法网络的渗透十分普遍。犯罪分子主要利用网络安全漏洞、木马网络间谍攻击软件、网络电信钓鱼攻击技术、黑客勒索病毒攻击技术等手段进行各种网络电信诈骗、网络非法盗窃、网络非法赌博等各种违法犯罪活动，对用户造成严重损害。因此，维护网络信息的安全是非常困难的。计算机以及网络通信技术的迅速发展对现代社会的各个领域都产生了巨大的社会影响。医院病人信息管理系统也正在日益完善。然而，医疗网络信息安全系统和医疗网络信息系统的安全保障问题越来越突出。在这种情况下，医院根据实际情况设计实施信息网络平台的安全体系，并实施保障国家信息安全水平的基本指导思想[1]。

2 网络安全等级保护

网络通信技术的广泛普及大大改变了现代人们的日常生活和生产方式，为现代人们生活带来了方便，促进了工业生产的健康发展。然而，网络安全仍然存在一些不容忽视的问题。目前，由于我国现代企业网络安全技术管理专业还不够成熟，如何有效率解决现代网络安全管理上的问题仍然是一个亟待解决的重大技术问题。企业网络安全管理系统涉及大量的商业秘密和核心技术，但由于资源有限，为了减少核心秘密泄露的可能性，加强对核心秘密的保护，有必要对企业网络安全管理系统进行研究。对于重要制度的保护，需要将制度划分为多个层次。由于现有网络安全技术体系的不完善，并不是所有的资源都能得到保护，因此实施保护是一种科学有效的选择。当有技术和资源的时候，保密信息的安全保护是指对公共信息和信息系统的存储、传输和处理。网络信息安全防护体系由技术和行政管理两部分组成，见图1。技术要求分为数据安全、应用安全、网络安全、主机安全和物理安全[2]。

图1 等级保护基本安全要求

2.1 物理安全

物理安全涉及应用到几个方面，其中最重要的一个是环境安全（如环境防火、保护和排水、防雷和抗打击等）和装置与专用设备以及各种介质之间的防盗与防破坏性能。

2.2 主机安全

主机操作系统中的安全性就是指一个企业计算机专用设备（主要包括主机服务器、终端/主机工作站等）及其位于主机操作系统和主机数据库管理系统各个功能层面上的安全；通过自行开发部署主机终端安全等级管理控制系统（TSM）、准人员的认证安全网关（SACG）、以及专门的企业主机安全等级加固防护服务，能够轻松实现各种主机等级安全保护以及相应的企业主机安全加固防护功能需求。

2.3 网络安全

网络安全威胁防护是维护我国网络安全信息系统的实时互联、交流和普遍公共利益的重要基础，其中一个重点防治任务就是要确保各个用户网络之间的合法连接，检测、阻止内外部的恶意网络攻击；通过网络部署统一的网络威胁检测管理系统网络相关USGES系列，入侵威胁检测/攻击防范管理系统和ANIP，ANTI-DDOS等网络安全防护产品，为合法保护用户安全提供了合法的恶意网络安全访问，及时地检测发现了在各个网络内部可能受到的恶意网络攻击和安全性的威胁。

2.4 应用安全

应用安全审计泛指有效保护整个系统的各类软件应用程序安全运行，其中主要包括各类基本的网络应用，如电子邮件发送、Web网页浏览等；电子业务系统中的各类应用，如移动互联网、电子商务、电子政务等；网站部署了系统文件安全审计管理（DSM）并对系统、数据库对应的UMA-DB，防病毒库对互联网中最关键的AVE以及相关软件产品服务进行了安全审计。并且通过安全的数据网络开关USG网络可以有效实现对整个数据安全链路的高速传输USIPSECVPN数据进行安全加密，数据安全预警器和防护可以有效实现对一个企业的内部信息管理系统中所有数据的安全防护，降低了由于一次意外，如交通事故或者数据丢失而给企业带来的损失。

2.5 数据安全

数据安全主要指的是对用户数据、系统和客户数据、业务和个人数据进行安全保护；通过对所有的信息系统、网络装置、安全装置、服务器、终端机的安全事件日志进行采集、分析、输出各种相关法规和技术要求的安全事件进行审计和报告，制订标准安全事件的应急响应工单和操作流程。

3 医院网络安全现状

目前，医院信息系统包括HIS、LIS、PACS、EMR等。信息技术给医护人员和患者带来了方便，但与此同时也存在着诸多的安全隐患。由于业务的需要，医院的内外网络必须时刻处于互联状态。但是，一些医院对网络安全建设的重视不够，内网之间没有防火墙和网关等安全设置，导致外部网络攻击很容易侵入医院内部网络。而一旦医院网络感染病毒，服务器上的患者信息和相关的医疗信息就无法正常访问。另外，安全风险不仅来自外部网络，也可能存在于内部网络。大多数木马病毒通常通过移动硬盘和其他一些设备在内部的计算机之间传播，如果不采取终端接入或其他保护措施，计算机感染会迅速蔓延到内部网络，并导致网络瘫痪。因此，保证网络安全是医院信息化建设的重点。

4 医院信息网络平台安全风险与需求分析

医院管理数据主要有3大类：文献资料、业务数据和决策数据。理论上来讲，医院信息网络平台的核心业务模式是信息网络平台建设，是数据中心。搭建信息网络平台的基础设备主要分为两部分，即信息网络平台中不可或缺的内部网络，另一个是负责信息收集和提供的外部网络。此外，随着Internet在随机互联网等领域的发展，大数据在资源优化和大数据挖掘中也具有重要价值。

医院信息网络平台系统容易受到自然和人为破坏，其安全风险的来源主要是网络自身的安全风险和传递网络信息过程中产生的风险。总的来说，影响医院信息网络平台安全的主要威胁因素有很多，其中包括但不限于信息平台的脆弱性和防范措施不足、自然灾害、人为因素和突发事件。

5 医院信息平台的安全防护设计与实现

5.1 信息平台的设计原则、设计目标以及设计框架

医院信息平台安全系统要遵循可行性、均衡性、系统性、动态性的设计原则，同时要符合相关的政策标准，把控好各方面的资源，确保系统的运维安全。医院信息平台安全系统的总体设计框架基于网络信息安全政策和相关的规则大体分为安全基础设施、安全管理和核心安全技术3个部分，要起到保护用户信息安全和隐私的作用。

5.2 信息网络平台安全防护的设计与实现

5.2.1 外联区

信息网络平台的外联区通过网络将医院门户平台和外联单元链接起来，让数据中心的核心交换机实现互联。在信息网络平台的防火墙区域可以进行很多操作，包括自主设置防病毒功能模块，可以有效保护信息网络系统的安全。

5.2.2 运维管理区

运营管理部主要控制医院信息系统。具体操作是将堡垒机放置在数据中心核心交换机室内，掌握好运维人员工作中的实践身份，管理与控制好运维工作中的实践。此外，还需要建立一套安全风险评估体系。主要功能就是关注信息系统中有没有出现漏洞，需要定期对其进行检查，以确保系统安全性。其主要功能之一就是访问所有的信息网络平台中的所有安全域。

5.2.3 核心交换区

交换区是信息网络平台的核心部分，通过配置系统中两个核心交换机的防火墙，来实现对平台每个区域访问的控制。同时，信息网络平台还要通过交换器部署安全审计系统，不经过核心交换机完成对整个信息网络平台的数据进行统计和审核过程。

5.2.4 互联网接入区

办公区互联网接入区作为信息网络平台的重要区域，主要为用户提供互联网接入信息，这需要在互联网出口设置负载均衡设备，同时加载链路时间。此外，要实现平台对互联网相关数据的访问和管控，要先配置好防火墙设备，以有效保障服务器的安全[3]。

5.3 基于等级保护的网络安全保护要点

从具体工作来看，要认真分析技术差距，以安全扫描技术和人工安全服务检查技术等来对网络架构内容和系统检查，认真了解网络设备安全配置的基本情况。然后，做好管理差距的相关分析工作，通过第三方权威安全评估检测的方式，来对安全管理制度规划设计，保障其完整。

6 结语

分类信息安全保护是实施国家信息安全战略的重要措施，是建立信息安全体系的基本制度。从信息技术的角度看，国家安全体系建设的重要基础是安全保障体系的构建必须遵循分级保护的理念和原则。本文基于分类、域、子系统安全建设的思想，提出了防护技术建设方案。同时，本文提出的医院信息管理系统（医院信息管理系统）的完整层次结构，可以供用户参考。