等保2.0环境下医院网络安全整体加固方案

罗志恒 钟丽娜 莫建坤

（广东省第二人民医院 广东省广州市 510317）

作为一个现代化的医疗机构网络，如何保证医院网络系统中的数据安全问题尤为重要。

《中华人民共和国网络安全法》中明确提到： “国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏，丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，实行重点保护”[1]。因此，必须对医院信息系统的网络安全进行加固改造，将目前被动式防御安全体系升级为主动防御式安全体系，保障医院信息系统的运行安全。

1 建设目标

建设目标是结合医院信息系统安全现状，确定医院信息网络档案管理系统安全建设需求，并且解决“等级保护合规性要求”、“内外网安全隔离缺失”、“网络准入认证失效”的网络现状，全面提升医院新建数据中心的整体网络安全水平。

通过本次安全建设整改与策略加固工作，达到以下4个方面的目标：

1.1 合法合规

医院信息网络系统属国计民生的重要信息系统，其安全建设必须要符合国家相关政策要求，其安全保障体系建设最终要达到的保护效果应符合《网络安全法》、《网络安全等级保护基本要求》等政策要求。实现统筹规划安全建设，合理规划安全域、建立有效的安全技术保障体系、完善安全管理体系的建设。同时对标等保2.0要求构建一个中心、三重防护保障的主动防御安全体系[2]（一个中心是指安全管理中心，三重防护由安全计算环境、安全区域边界以及安全通信网络组成），从物理和环境、网络和通信、设备和计算及应用和数据方面对信息安全进行统筹规划设计。如图1的示。

图1：防御安全体系

1.2 内外隔离

在技术体系方面，针对性解决当前网络安全区域划分不明确的情况，建立应用访问、用户接入、数据传输的安全使用机制，最终实现区域安全隔离。

1.3 可管可视

建立统一的信息安全运营管理体系，确切落实各项管理制度，让安全管理体系有清晰的责任权限、合理的制度要求。同时运用包括网络安全可视化、运维统一管理的创新技术手段，实现简化安全运维管理，减轻安全运维管理负担，提升安全运维管理的效率，最终做到整体防御、分区隔离；积极防护、内外兼防；自身防御、主动免疫；纵深防御、技管并重。

1.4 经济合理

落地实施方面需要满足经济性原则，即所选产品在满足医院功能性能要求的前提下，考虑2-3年冗余，按照顶层设计，统筹规划，分步实施的原则逐步落地，充分节约费用和资金。

2 当前主要网络问题及分析

医院现网与互联网相连，网络拓扑图如图2所示。

图2：网络拓扑图

2.1 网络准入控制问题

内外网存在多样性的终端设备（电脑终端、访客终端、移动终端、亚终端等），这些终端设备接入到内网或无线网络，本身可能存在安全隐患，会给内网安全带来极大的隐患，如携带病毒的终端接入业务网络导致病毒蔓延等威胁。

因此，需要网络准入控制来实现可信终端接入内部网络，能对终端进行有效管理，能阻断不可信、不合规的终端接入网络；同时，能够通过绑定IP和MAC地址来管控用户访问业务系统的权限，并记录用户访问业务的行为，以便事后追溯。

2.2 内网服务器区安全问题

当前服务器区安全主要存在以下安全隐患：

（1）内网DMZ区安全：内网部分业务需要通过医保网等专网对接上报数据，该业务存在受专网横向传播威胁影响的风险，需要进行单独隔离建设。

（2）云（虚拟化）安全：目前的服务器虚拟化上，整体安全还是需要加强的，因为虚拟化服务器的安全，包括平台的安全和虚拟机的安全，虚拟化的安全，如虚拟机与虚拟机之前的流量、虚拟机与虚拟机之间的攻击都不可视，需要加强东西的流量可视与主机安全防护。

2.3 外网接入及运维审计问题

医院运维需求面临的问题如下：

（1）系统帐号密码难管理，目前操作人员都是自行管理自己负责的系统，为了便于记忆，甚至多套系统共用一个密码，存在安全隐患；

（2）系统帐号安全风险缺乏管控手段，由于帐号数量较多，难以通过人工方式对帐号风险进行核查；

（3）访问权限粗管控，目前采用跳板机的管理方式,操作人员在办公终端中中可随时登录设备，并可在多台设备间任意跳转，不符合安全管理规范；

（4）命令操作权限无限制，对高危操作无任何限制，存在误操作，恶意操作的风险；

（5）操作日志审计难，操作过程中没有有效的审计和回溯，如果发生安全事件，无法进行审计和问责；

因此，建设一套行之有效的访问方式与管理手段非常必要。

3 整体方案设计

医院新建数据中心整体安全设计方案的总体目标是在医院信息系统现状的基础上，对其进行整体安全设计规划和等保合规性整改，建立一个完整的安全保障体系，有效保障医院系统业务的正常开展，保护敏感数据信息的安全，保证整体的网络安全水平，并能够实现防御、检测、响应的一体化安全建设目标。

本方案首先对各个功能区进行划分，本着安全、稳定、节约的原则，在满足等保合规性增设最适合的安全设备，以保障用最少的成本让用户和工作人员得到最流畅的、最安全的网络体验，让管理员获得最有效的、最简易的管理方式。针对医院实际情况，采用如下部署：

3.1 互联网出口区

双机部署下一代防火墙、上网行为管理于互联网出口，双机部署可保障网络的高可用性，避免单点故障导致的业务不可用；

（1）上网行为管理可针对各个用户提供全局统一的宽带控制策略；

（2）下一代防火墙可针对用户的上网终端提供安全威胁过滤、木马恶意流量检测、DMZ服务器保护、NAT、路由等安全防护功能；

（3）部署一台SSL VPN设备，在移动办公上，通过SSL VPN将内网服务器隐藏，通过VPN的方式进行安全访问，对传输的数据进行加密，防止被人窃取。保证内部应用在互联网传输的安全，防止数据被监听甚至篡改。

3.2 对外服务器区

（1）在该区域采用外网专线接入，双机部署下一代防火墙对外网业务进行防护，下一代防火墙能够双向分析网络流量的网络层、应用层和内容风险，提供比传统防火墙、IPS和WAF等多种安全设备更强的安全防护能力，可以抵御来源更广泛、攻击更容易、危害更明显的应用层攻击，实现L2-L7层全面的数据中心安全加固[3]。

（2）提供网站安全监测服务，通过云端的实时监测的方式，对网站进行风险评估的服务。及时的发现网站安全问题，避免主管单位的通报，或者提前发现网站问题，并且在发现网站有漏洞、网页篡改、黑链等安全事件的时候，通过微信推送的方式进行实时告警，提高网站的监测效率。

（3）部署一台流量分析探针，分析网络流量日志的内容包括了每个IP每时每刻所发起的每个session的时间、分布、流量、流向、所属应用和类别。例如针对医院用血安全全程质量控制数字化、无纸化管理系统某功能需要更新时，须向医院信息管理部门提前报备和申请；医院的流量分析探针可实时观察记录并提示系统功能更新前后的变化及系统运行稳定与否，对流量日志最直观的一种数据加工就是按照应用切片的流量流向图[4-5]。

3.3 内外网隔离区

（1）目前医院内、外网办公区终端采用原有同一套接入交换机和汇聚交换机，通过vlan技术隔离。部署一台新的外网核心交换机作为外网终端网关设备。

（2）在内、外网办公区部署防火墙，对接入核心交换机的终端做流量的过滤。来自于办公PC和移动终端的病毒、木马、蠕虫的危害可能导致终端系统瘫痪、被控制、存储的信息被窃取、被引导访问钓鱼网站，成为僵尸网络，甚至于成为攻击到主要业务系统服务器的跳板等，因此成为接入核心最为迫切的安全防护需求。

3.4 内网服务器区

（1）在该区域边界以双机模式部署下一代防火墙对内网业务进行防护，双机部署提高网络冗余能力，避免单点故障带来的业务不可用；相比传统堆叠式安全部署，解决了数据中心部署多台安全设备带来的单点故障、性能消耗、难以管理的问题[6]。

（2）对于内网虚拟机内部流量不可视、虚拟机的安全防护缺失的情况，通过在每台主机上部署轻量级端点探针Agent，在运维管理区部署EDR管理平台（可在现有虚拟机上部署）；提供全面基于虚拟机应用角色之间的访问控制，做到可视化的安全访问策略配置，简单高效地对应用服务之间访问进行隔离技术实现，避免某台虚拟机被攻陷后，带来的进一步横向攻击导致虚拟化平台全部陷入瘫痪的境地，同时EDR支持虚拟机杀毒功能，进一步构建起虚拟机对病毒、木马等威胁的隔离。

3.5 安全运维区

（1）终端检测响应系统管理平台，通过部署的服务器安全组件集中管理平台实现对全部EDR终端的统一策略下发，特征库更新，集中管理，同一日志上传等，达到服务器区闭环响应处置的目的。

（2）态势感知的管理平台。通过平台实现全网统一安全事件分析和联动处置，解决检测、防御、响应闭环问题。

（3）管理区部署运维安全管理系统（堡垒机），实现对运维人员远程访问操作服务器、网络设备、数据库过程的认证、授权、监控与审计，实现对IT运维过程的全面监管，做到有效的事前预防、事中控制及事后审计，满足用户的安全管理需求。

（4）管理区部署1套数据库安全审计系统，可以保护对数据库非法操作及时告警与审计、保障非法操作的准确溯源、保护数据库中账号安全、统计分析安全现状，并能以可视化报表从多维度分析数据库的安全现状等四方面保障数据库的安全。

（5）管理区部署日志审计设备，通过标准日志传输模式进行传递。加强网络日志审计措施，满足《网络安全法》第二十一条“监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”的法律要求，并满足网监部门监察以及公安部82号令要求[7-8]。

4 结论

等保2.0网络安全加固方案给医院带来全网安全可视、预警及响应，高效感知内部高级安全风险；在外部，通过大量的外部威胁情报，辅助高级安全事件的分析；在网络内部，在各个子域的关键节点上，通过探针或安全设备，精准的采集有效检测信息。将外部威胁情报和内部真实流量信息汇总到一起，通过行为分析、机器学习等算法对各类潜伏到网络内部的高级威胁进行检测，并通过可视化的方式，最终让医院感知到我们现在是否安全？哪里不安全？造成什么危害，并如何处置。结合边界防护、安全检测、内网检测、管理中心、可视化平台，基于行为和关联分析技术，对全网的流量实现全网应用可视化，业务可视化，攻击与可疑流量可视化，解决安全黑洞与安全洼地的问题。