医院网络全局安全建设探讨

医院网络全局安全建设探讨摘要：近些年我国医院信息化发展迅猛，医院信息化的不断完善能够更好地提供医疗就诊服务，同时医院信息安全也越来越成为医院的关键所在。本文充分分析医院现状及存在的安全威胁，提出一套全局安全防护的建设方案关键词：信息安全、医疗信息化、全局安全、安全威胁分析、等保医院信息安全现状2009年医改方案发布至今，在国家政策及卫生部门的推动下，医院信息化发展较前几年有较大变化。而随着信息化的发展，信息系统的安全特性日趋明显。就诊预付费（一卡通）、医保实时结算，使病人实现先交钱后看病，从而减少病人的就诊等待时间，减化就医流程。但随之而来的是医院就诊信息的敏感性越来越强。如果财务数据出现问题将会带来非常严重的问题。曾经就有某医院因数据被篡改，引发骗药的经济罪犯事件。电子病历得到了大力的推广，尤其是2010年至2011年成为电子病历的普及年，不论医院大小都在考虑或正在实施电子病历系统，实现真正的“无纸化”数字医院。而真正实现电子化的病历后，没有纸质病历的支撑。电子病历自身信息的完整性、防篡改也将变的尤为重要。预约挂号、在线检验结果查询等业务的应用，使原来医院内外网物理隔离的现状终将打破。这些业务的应用最基本的信息化需求就是要实现内网业务系统与外网门户网站之间的实时通信。而如何保护业务系统的安全、稳定运行成为众多医院关注的重点，也是难点。国家对于信息系统安全等级保护在医疗机构的推广力度越来越强，在全国很多省份已经完成的业务系统信息安全等级的上报、定级。部分省份在进行三级医院评审中，明确将信息安全的关键措施做为评级的重要指标。而部分省份上级卫生管理部门则不定期地组织信息安全检查工作，发现医院的安全问题，立即要求进行改善。 上述这些无不表明上到国家，下到医院自身，对于信息安全的重视与日俱增。而医院当前的信息安全防护确存在着大量的问题。医院网络安全存在的问题分析1、安全措施不足，有明显安全隐患据了解，很多医院安全防范意识弱，虽然进行了内外网的物理隔离，但只是简单部署了杀毒软件、出口防火墙，存在着明显的安全漏斗。如怎样保证所有主机都安装杀毒软件、怎么保证所有主机杀毒软件的病毒库都是最新版本等等。2、安全设备各自为战，无法形成体系有些医院通过不断的投入、已经基本具备了一些安全防范措施，如杀毒软件、桌管、防火墙、上网行为管理等。但这些设备及措施的实施都是因为遇到某一问题时，针对个别问题提供的解决办法。没有形成一个防护体系。即使有这么多安全措施，仍然心有余悸，总担心哪些可能还会出问题，而这些担心也确实时真实存在的安全隐患。3、安全策略固化死板，形同虚设首先我们要搞清楚，安全策略是为了解决安全隐患或已经存在的安全问题的。那安全威胁最大的特点是什么呢？动态。最简单的理解，病毒、木马是不断更新、演变、升级，安全攻击或入侵行为时也是随时随地产生的，且行为内容完全取决于攻击者。甚至最基本的网络访问权限控制，传统的控制就是在交换机上配置ACL，但真正意义上的权限控制是基于用户的，人走到哪权限就应该动态地跟随着变化。而不是局限在特定的终端或区域内。面对“动态”的安全威胁，而现在大多数安全防范措施往往都是静态的。交换机上静态的ACL、防火墙静态的防攻击和访问控制、杀毒软件病毒库得不到及时更新等等。这些问题都大大制约了安全防范的有效性。当真正安全事件发生时，这些静态的安全措施将无法有效提供安全防护。医院网络安全技术目标及建设思路建设目标：1、 体系化医院的信息安全防护需要从全局考虑，建设系统完善的安全防护体系，而并非简单的安全设备的堆砌。2、 符合医院特色从医院业务应用及实际网络环境出发，分析医院存在的安全威胁和隐患，制定对应的安全策略，避免盲目投入，无效投入。3、 满足后续的等保要求在分析解决医院当前安全隐患及问题的同时，在全局安全规划时充分融合国家信息系统安全等级保护的架构、要求，便于后续等保在医院信息系统的落地。4、 简化管理在满足信息系统安全防护的同时，尽可能采用技术手段简化信息科维护人员的工作。避免因安全策略过多或过复杂而额外增大信息科的安全管理难度和工作量。5、 改善体验在信息安全保障的基础上，通过技术手段改善医护人员的工作体验，不因过多的安全策略影响医护人员的工作习惯，增加医生人员额外的系统操作工作。建设思路1、 选择权威科学的信息安全技术架构本方案采用信息安全技术的权威架构IATF（美国国家安全局提出的“信息保障技术框架”）针对医院IT环境进行合理的“安全域”划分。2、 结合医院业务特点综合分析安全威胁在IATF的安全域框架下，结合“信息系统安全等级保护基本要求”中的技术安全思路，对医院现状进行安全威胁分析3、 制定、实施安全防护策略从医院实际应用角度出发，针对安全威胁制定相应的安全防护策略，充分与医院现有的安全设备、措施相融合，形成一套完善的安全防护体系。4、 周期性安全策略应用评估、策略完善在日常的安全管理过程中，周期性对安全策略及威胁进行评估，不断发现新的安全威胁，制定安全防护策略。形成一个循环的安全防护过程。医院网络安全威胁分析医院信息安全域划分如上所示，按照IATF的信息技术框架将医院网络环境划分为四大安全域：网络基础设施域、支撑性设施域、边界接入域、计算环境域。 网络基础设施域：主要包括终端的安全接入、基础网络数据传输环境 支撑性设施域：主要包括运维管理、安全防护等安全、管理设备 边界接入域：主要包括医院内网的安全出口区域，如医保、新农合专线、区域卫生信息平台连入等 计算环境域：医院网络中业务应用的设施，包括业务服务器、存储、网络等医院信息系统安全等级保护基本要求 以电子病历为核心的的医院信息平台所涉及信息包括：病人的基本健康信息，病人的诊疗数据等等。这些业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。一旦业务信息遭到非法入侵、修改、增加、删除等不明侵害（形式可以包括丢失、破坏、损坏等），会对公民、法人和其他组织的合法权益造成影响和损害，可以表现为：影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等。程度表现为严重损害，即工作职能收到严重影响，业务能力显著下降，出现较严重的法律问题，较大范围的不良影响等。根据以上描述国家将绝大部分的医院的信息系统安全可以确定安全保护等级为第二级。部分医院可能由涉及更高级别的涉密信息需要定义到三级。 信息系统安全等级基本要求中涉及物理安全、网络安全、主机安全、应用安全、数据安全五大技术要求。其中第二级别的信息安全主要要求如下： 物理安全：重点是机房物理位置选择、物理访问控制、防盗和防破坏、防雷击、防火、防水、防潮湿、防静电、电力保障、电磁防护 网络安全：结构安全和网段划分、网络访问控制、拨号访问控制、网络安全审计、边界完整性检测、网络入侵防范、网络防护、恶意代码防范 主机安全：身份鉴别、自主访问控制、强制访问控制、安全审计、系统保护、剩余信息保护、入侵防范、恶意代码防范、资源控制 应用安全：身份鉴别、访问控制、安全审计、剩余信息保护、通信保密性、通信完整性、抗抵赖、软件容错、资源控制 数据安全：数据完整性、数据保密性、数据备份与恢复医院信息系统安全威胁分析 基于IATF安全域架构环境下，结合等级安全保护的建设思路，结合医院的业务应用特点，对医院每个安全域进行安全威胁分析，主要安全威胁如下表所示安全域物理安全网络安全主机安全应用安全数据安全网络基础设施域接入、汇聚设备弱电间管理混杂医护人员笔记本接入网络外来人员电脑连入网络U口无有效控制病毒库、补丁更新不及时游戏、电影3G上网影响工作病历随意打印、数据拷贝导致信息泄露支撑性设施域机房环境物理安全隐患安全、管理系统随无访问控制服务器自身系统安全隐患外包商、厂商权限管理混乱网管、审计数据泄露边界接入域机房环境物理安全隐患医保对内网的访问威胁前置机的系统隐患医保网中的病毒、木马对于内网 的攻击、破坏医保数据的丢失、篡改计算环境域机房环境物理安全隐患所有人可以访问所有服务器，无权限划分网络攻击、木马入侵病毒库、补丁更新不及时服务器故障导致业务中断软件BUG、数据错误导致业务中断单存储、传统备份，盘柜故障导致 数据丢失、业务中断数据窃取、数据篡改医院动态安全防护建设方案安全防护拓扑示意图 本安全建设方案主要包括6大安全防护：终端安全防护、网络安全、数据库安全、出口安全、安全单点登陆五大部分组织。终端安全防护针对医院的内网终端部署桌面管理软件，对医院的所有终端进行统一的安全管理。主要功能包括： U口控制：针对不同科室定义不同的U口控制策略。如门诊主机U口全部禁用，部分连接打印机的U口授权只能连接打印设备，不能连接存储设备。针对行政办公人员呆以使用U盘但需将信息科授权的U盘才可使用，并对U盘数据进行加密处理，防止数据外泄，防止外来U盘传播病毒。 资源管理：自动收集、记录所有终端的硬件、软件资产信息，并基于科室进行资产的管理、维护，当资产发生变化时，自动进行资产的变更告警，并进行详细的日志记录。便于网管人员对IT资产的维修、更新。有效控制计算机的零件丢失、被盗、管理混乱等问题 软件分发：采用灵活的多样的方式（强制、提示等）对终端主机的系统补丁、应用程序、杀毒软件库进行批量的更新，并可定义策略，针对不同科室进行细致管理。 进程管理：对所有终端运行的应用程序进程进行统一的监控和管理。通过黑白名单的设置能够有效控制医务人员在上班时间只能够运行医院业务相关的程序，防止打游戏、看电影等事件的发生，影响工作。 远程协助：能够方便进对全院任意一台电脑进行实时的运行状态监控，同时对于该终端进行远程控制或远程协助。网管人员对于终端的小问题将可直接远程解决，减轻工作压力。网络安全在终端控制基础之上，实现使用人员按分配唯一账号连入网络。 基于身份的准入：其于IEEE802.1X实现每个员工连入网络时，进行身份的认证，只有合法的用户才能够连入网络，防止外来人员的随意连接。 基于身份的网络权限控制：员工进行身份认证后，针对不同科室的员工实现自动分配相应的VLAN，IP、并将网络访问的权限针对用户进行下发。 严格的终端安全准入：进行身份认证后，同时对终端状态进行安全检测（IP、MAC、硬盘ID、进程状态、补丁状态、病毒库状态等），确保只有安全、合规的医院内部授权主机才可连入网络。防止外来主机、存在安全隐患的主机的连入。 IDS入侵检测、防御：网络部署IDS对网络中的流量进行实时检测，发现异常行为流量时，能够主动产生告警并告之SMP（安全管理平台），安全管理平台依据告警的级别以及之前定义的安全控制策略，将具体的安全防护策略下发到接入交换机或防火墙设备上对异常行为进行有效的阻断。 基于CA的统一身份准入：随着医院EMR的应用及成熟，要求医护人员必须有严格明确的身份识别信息，以进行电子签名（U盘证书），本方案支持后续与CA的统一认证，实现医护人员直接通过U盘进行网络准入与电子病历准入相融合统一，简化医护人员的操作。 服务器安全防护：通过在核心交换机部署防火墙模块，防火墙模块之间可进行双冗余。可将核心交换机的任意端口变为安全端口，进行安全防护控制。从而对服务器进行单独的安全防护，安全隔离。同时不需要独立的防火墙避免增加单点故障设备。同时防火墙模块支持BYPASS功能，当防火墙模块出现问题时能够实现交换机的端口的仍能正常数据处理，不会造成网络中断影响业务。数据库安全针对医院内网所有用户的数据库操作行为进行全审计 基于旁路的数据库操作审计：采用网络旁路模式对进出数据库的所有数据进行审计，即能够完整记录数据库所的操作行为，同时对数据库不会造成任何的影响。 真实的数据库还原：采用智能的SQL语句分析引擎，能够在完整审计所有内容的同时，保障所有数据还原的真实性及准确性，为软件开发人员或安全审计人员提供准确的数据信息 真正定位到人的审计：采用数据库审计与网络准入相融合的方式，准确定位到什么人在什么时间利用哪台主机对数据库进行了什么样的操作，从而防止恶意抵赖，责任定位的问题。真正起到事前威摄，事后定位的作用。出口安全全网采用统一的出口进行安全控制 防火墙进行出口安全控制：通过千兆高性能防火墙实现医院的统一出口安全防护。包括连接医保、新农合、区域卫生等专线网络。防止外网对医院网络的入侵、攻击等破坏行为。 统一出口，简化管理：医院内网必然需要和外部网络连接（医保、新农合等），本方案采用统一出口，即保障了内网外出的安全，同时也简化管理。 VPN，实现外出简易办公：针对医院领导层或部分人员，在外出公干时，仍能够安全地对医院的业务进行访问，使用网内、网外的统一安全应用。安全单点登陆在全局安全防护的基础上，通过在医院部署基于网络安全身份准入的单点登陆系统，简化医护人员的工作环境，提高工作效率。实现单点登陆的步骤1、 基于网络802.1X的网络身份认证，所有用户在连入网络时进行身份识别，确保只有合法的用户才可连入网络2、 用户认证通过后，安全管理平台主动推送页面给用户，页面中包含 该用户授权访问的所有业务应用系统的列表3、 用户直接点击相应业务应用系统，即可直接访问该系统，无需再输入用户名密码基于网络安全的单点登陆系统的特点：1、 业务系统0开发0配置。无需针对医院当前业务系统进行任何的开发，配置、无需在业务服务器安装AGENT2、 原有帐号、密码无须变更。用户只需自助在新的认证系统上修改自己密码即可，在第一次初始化操作时，将原有各业务系统的帐号、密码录入。以后只需记忆一个帐号、密码即可。原有帐号无法删改。3、 院内院外统一工作环境。能够实现与VPN的完美融合，实现用户无论在院内还是院