構(gòu)建醫(yī)院信息安全體系的思路和實(shí)施建議

林榮寶

（福建省老年醫(yī)院，福建 福州 350003）

1.醫(yī)院信息安全現(xiàn)狀分析

近些年，我國(guó)互聯(lián)網(wǎng)經(jīng)濟(jì)發(fā)展和國(guó)家對(duì)信息安全的高度重視，以及信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)的實(shí)施，這些都促進(jìn)了醫(yī)院信息安全建設(shè)進(jìn)程，提高了整個(gè)安全體系的水平。醫(yī)院對(duì)信息化的投入也在不斷加強(qiáng)，無論是軟件、硬件、安全設(shè)備等都在不斷增加和迭代，新產(chǎn)品、新技術(shù)、新方案也都應(yīng)運(yùn)而生，但是安全產(chǎn)品的增加并不一定會(huì)產(chǎn)生質(zhì)的飛躍，相反，如果沒有合理的安全架構(gòu)和健全的安全策略，不但無法提高安全等級(jí)，反而會(huì)帶來更多的安全隱患和故障點(diǎn)[1]。筆者從事醫(yī)院信息安全工作多年，在醫(yī)院信息化多年的建設(shè)過程中，整理總結(jié)了一些經(jīng)驗(yàn)，對(duì)醫(yī)院安全的現(xiàn)狀和可能存在的問題進(jìn)行分析。

1.1 醫(yī)院網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜

由于醫(yī)院的不斷發(fā)展，業(yè)務(wù)應(yīng)用需求的不斷增加，服務(wù)內(nèi)容不斷擴(kuò)展，醫(yī)院網(wǎng)絡(luò)由封閉式的隔離網(wǎng)逐步開放，連接醫(yī)保網(wǎng)、政務(wù)外網(wǎng)、政務(wù)內(nèi)網(wǎng)、財(cái)政專網(wǎng)、互聯(lián)網(wǎng)，這就導(dǎo)致眾多網(wǎng)絡(luò)交融在一起，形成一個(gè)多出入口、多區(qū)域、交互復(fù)雜的網(wǎng)絡(luò)環(huán)境，這其中包括有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、物聯(lián)網(wǎng)絡(luò)、5G 網(wǎng)絡(luò)等，不同的網(wǎng)絡(luò)之間的通信也極為頻繁[2]，接入設(shè)備也多種多樣，包括PC 機(jī)、打印機(jī)、自助機(jī)、智能設(shè)備、移動(dòng)PDA、智慧屏、物聯(lián)設(shè)備等。另外，醫(yī)院信息系統(tǒng)數(shù)量眾多，大型三甲醫(yī)院的系統(tǒng)數(shù)量甚至百余個(gè)，加上業(yè)務(wù)系統(tǒng)的復(fù)雜性，數(shù)據(jù)跨多區(qū)域傳輸，而其中系統(tǒng)間數(shù)據(jù)交互和共享也是錯(cuò)綜復(fù)雜，操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、開發(fā)語言也各不相同，數(shù)據(jù)庫(kù)之間的數(shù)據(jù)交互類型也多種多樣，這些都使醫(yī)院整體的信息安全龐大而復(fù)雜。

1.2 缺乏安全管理機(jī)制和統(tǒng)一的處置流程，整體安全意識(shí)不足

信息部門工作雜多，軟件實(shí)施和維護(hù)、網(wǎng)絡(luò)維護(hù)、日常維護(hù)、系統(tǒng)集成、數(shù)據(jù)統(tǒng)計(jì)上報(bào)等等，這就致使信息部門要分不同的功能組，各司其職。而安全問題幾乎涉及每一個(gè)類別，包括終端安全、管理安全、網(wǎng)絡(luò)安全、服務(wù)器安全、數(shù)據(jù)庫(kù)安全、數(shù)據(jù)安全、設(shè)備安全、物理安全、策略安全、主動(dòng)防御等等，安全管理員無法獨(dú)立完成所有安全工作，甚至沒有設(shè)置專職安全管理員，經(jīng)常出現(xiàn)隨意安裝設(shè)備，任意開放端口，降低管理權(quán)限，提升使用權(quán)限等等問題。另外，有時(shí)為了保證業(yè)務(wù)系統(tǒng)正常運(yùn)行，或者軟件系統(tǒng)本身的架構(gòu)和特性，安全問題往往也作出臨時(shí)的或者永久的讓步，這就產(chǎn)生了安全隱患，而這種隱患隨著業(yè)務(wù)的上線，是很難修正的。還有一些信息部門工作人員，安全意識(shí)不足，安全知識(shí)匱乏，隨意修改安全策略，隨意卸載安全軟件等等。

1.3 安全架構(gòu)設(shè)計(jì)存在缺陷和漏洞

醫(yī)院信息網(wǎng)絡(luò)可能存在安全域劃分不夠合理、對(duì)數(shù)據(jù)流向分析不夠精細(xì)、對(duì)功能區(qū)邊界定義不夠清晰等諸多問題。安全設(shè)備比如防火墻、WAF 墻、IPS 等，策略設(shè)置得不夠精細(xì)，源地址、目標(biāo)地址、端口設(shè)置顆粒度不夠，特征庫(kù)也沒有及時(shí)更新，服務(wù)器之間或者安全域內(nèi)部的東西流量沒有控制策略，核心設(shè)備管理地址沒有做好隱藏，賬號(hào)密碼復(fù)雜度不夠[3]，缺少針對(duì)數(shù)據(jù)庫(kù)的防火墻等等，還有一些安全設(shè)備策略不合理，甚至成為網(wǎng)絡(luò)攻擊的跳板。

2.信息安全體系設(shè)計(jì)及實(shí)施建議

2.1 建立安全管理制度，提高人員安全意識(shí)

信息安全是信息部門全員參與的工作，要建立切實(shí)可行的安全管理制度，包括終端的安全、網(wǎng)絡(luò)的安全、服務(wù)器及數(shù)據(jù)庫(kù)的安全、軟件的安全等等，都要落實(shí)到位并建立相關(guān)的責(zé)任追溯制度。

通過培訓(xùn)和學(xué)習(xí)，提高工作人員的安全意識(shí)，結(jié)合自身的相關(guān)工作，由安全管理員牽頭，共同建立一套可落地、可執(zhí)行的安全管理的機(jī)制和應(yīng)對(duì)安全事件的方案，并加強(qiáng)工作協(xié)調(diào)力度。

有完整、全面的安全工作細(xì)則，包括系統(tǒng)的安裝、軟件的部署、網(wǎng)絡(luò)的接入、權(quán)限的分配、策略的變更等，都有相關(guān)的指導(dǎo)文件為支撐，做到全方位覆蓋無死角。

2.2 重構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)，分區(qū)分域

重構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)的目的是重新梳理現(xiàn)有網(wǎng)絡(luò)，找到設(shè)計(jì)缺陷和安全漏洞，然后從功能角度重新設(shè)計(jì)整個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。醫(yī)院網(wǎng)絡(luò)區(qū)域一般分為業(yè)務(wù)內(nèi)網(wǎng)、醫(yī)保政務(wù)等外聯(lián)網(wǎng)、內(nèi)網(wǎng)安全前置區(qū)、互聯(lián)網(wǎng)安全前置區(qū)、互聯(lián)網(wǎng)區(qū)等，各個(gè)區(qū)域要根據(jù)實(shí)際情況進(jìn)行物理隔離或者邏輯隔離[4]，區(qū)域之間有相應(yīng)的網(wǎng)閘、下一代墻、光閘等安全設(shè)備，還要保證設(shè)備的可用性和策略的合理性。

業(yè)務(wù)內(nèi)網(wǎng)區(qū)又可以分為有線接入?yún)^(qū)、無線接入?yún)^(qū)、服務(wù)器區(qū)、運(yùn)維管理區(qū)等，每個(gè)區(qū)域都要有相應(yīng)的安全設(shè)備進(jìn)行隔離，根據(jù)實(shí)際應(yīng)用嚴(yán)格管控?cái)?shù)據(jù)流向。針對(duì)接入?yún)^(qū)，要?jiǎng)澐諺LAN進(jìn)行隔離，針對(duì)服務(wù)器區(qū)，每一臺(tái)服務(wù)器的防火墻策略要細(xì)化到端口級(jí)，關(guān)閉一切和業(yè)務(wù)無關(guān)的端口和服務(wù)。

利用SDN 引流技術(shù)或者Vmware 的NSX 技術(shù)，解決傳統(tǒng)防火墻無法管控東西流量的問題，使防火墻策略下沉，加強(qiáng)服務(wù)器之間的訪問策略的安全性。

外聯(lián)區(qū)包括醫(yī)保網(wǎng)、政務(wù)外網(wǎng)、政務(wù)內(nèi)網(wǎng)、財(cái)政專網(wǎng)等，該區(qū)域與業(yè)務(wù)內(nèi)網(wǎng)區(qū)要有防火墻、IPS、防毒墻等安全設(shè)備，并且要嚴(yán)控?cái)?shù)據(jù)流向，細(xì)化源地址、目標(biāo)地址、服務(wù)及端口，并及時(shí)更新設(shè)備的病毒庫(kù)、特征庫(kù)。

業(yè)務(wù)內(nèi)網(wǎng)區(qū)和互聯(lián)網(wǎng)區(qū)要設(shè)置前置區(qū)，包括內(nèi)網(wǎng)前置和外網(wǎng)前置，區(qū)域之間要邏輯隔離，通過網(wǎng)閘、光閘等設(shè)備連接，對(duì)于TCP 請(qǐng)求，要進(jìn)行IP 和端口的轉(zhuǎn)換，對(duì)于訪問數(shù)據(jù)庫(kù)業(yè)務(wù)，要利用網(wǎng)閘的數(shù)據(jù)擺渡功能同步數(shù)據(jù)，嚴(yán)格禁止從互聯(lián)網(wǎng)直接連接至內(nèi)網(wǎng)。

2.3 基于“零信任”原則，針對(duì)不同安全區(qū)實(shí)施策略，并定期檢查策略有效性

對(duì)入網(wǎng)的所有設(shè)備的合法性進(jìn)行管控，對(duì)接入端設(shè)備例如：PC 主機(jī)、PDA、移動(dòng)設(shè)備、物聯(lián)網(wǎng)設(shè)備、智能電視、LED 屏等進(jìn)行準(zhǔn)入驗(yàn)證，嚴(yán)格匹配IP 地址、MAC 地址、交換機(jī)端口、硬盤序列號(hào)等信息，未經(jīng)授權(quán)的設(shè)備嚴(yán)禁接入網(wǎng)絡(luò)，并做好預(yù)警提示和日志審計(jì)。對(duì)服務(wù)器要關(guān)閉所有非應(yīng)用端口和服務(wù)，通過堡壘機(jī)進(jìn)行數(shù)據(jù)庫(kù)日常運(yùn)維，權(quán)限要保證“最小化”原則，超級(jí)管理員賬號(hào)要嚴(yán)格管控，建立三權(quán)分立的工作流程。

嚴(yán)格把控設(shè)備運(yùn)行過程中的合規(guī)性，保證防病毒軟件、桌面管理軟件的穩(wěn)定運(yùn)行，及時(shí)更新系統(tǒng)補(bǔ)丁，并嚴(yán)禁隨意卸載。禁止一切非授權(quán)外設(shè)接入，例如接入U(xiǎn) 盤、光驅(qū)、硬盤等。嚴(yán)禁內(nèi)網(wǎng)電腦連接互聯(lián)網(wǎng)，也禁止私有電腦接入內(nèi)網(wǎng)，并做好日志記錄。對(duì)LED、智慧屏、電視等亞終端，對(duì)接口和協(xié)議進(jìn)行改造和關(guān)閉，防止物理性入侵。

合理規(guī)劃網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，防止出現(xiàn)安全死角，保證策略覆蓋的全面性。信息安全具有木桶效應(yīng)特性，任何一個(gè)短板，都有可能導(dǎo)致所有安全措施防御失敗，所以，要多維度、多角度、全方位地執(zhí)行安全策略[5]。同時(shí)，精確掌握數(shù)據(jù)流向特征，關(guān)閉非必要數(shù)據(jù)通道，要隔離VLAN、安全域之間的非授權(quán)訪問，將每一臺(tái)服務(wù)器或者設(shè)備都建成安全的孤島（即禁止一切非必要數(shù)據(jù)流量通行）。

對(duì)策略的變更進(jìn)行嚴(yán)格管控，建立可追溯機(jī)制，對(duì)于任何策略的變更都要驗(yàn)證其合理性，如果是測(cè)試行為，要設(shè)置有效期或者注明標(biāo)簽，防止其長(zhǎng)期生效。對(duì)于遠(yuǎn)程運(yùn)維行為，要做到單次授權(quán)或者短期授權(quán)，并且要通過VPN和堡壘機(jī)進(jìn)行連接，記錄操作日志，并有雙因素認(rèn)證體系保證其合法性。

系統(tǒng)在不斷的運(yùn)行調(diào)整過程中，難免出現(xiàn)紕漏，所以要定期驗(yàn)證策略的有效性，比如安全軟件是否被卸載、網(wǎng)絡(luò)準(zhǔn)入策略是否生效、防火墻策略是否有效、服務(wù)器非必要端口是否開啟等等?？梢酝ㄟ^漏洞掃描工具對(duì)全網(wǎng)特別是互聯(lián)網(wǎng)出口進(jìn)行定期掃描，并及時(shí)解決，形成網(wǎng)絡(luò)安全事件的PDCA 循環(huán)[6]，還可以通過態(tài)勢(shì)感知、日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)等設(shè)備，在應(yīng)用層對(duì)非法數(shù)據(jù)進(jìn)行分析、審計(jì)和留痕。

2.4 以查促建，保持警惕

信息安全工作是永無止境的，沒有任何系統(tǒng)是絕對(duì)安全的，所以作為安全管理人員，要時(shí)刻保持警惕，不斷學(xué)習(xí)以提高技術(shù)水平。同時(shí)，可以通過邀請(qǐng)?jiān)和獍踩珜＜疫M(jìn)行同行評(píng)審、接受網(wǎng)安部門的檢查、等保測(cè)評(píng)、安全演練等活動(dòng)，查找安全漏洞，也可以通過購(gòu)買第三方安全服務(wù)的方式，授權(quán)模擬滲透和攻擊。這種方式可以為我們提供更為廣闊的思路，有利于提升整體安全水平。

3.結(jié)語

醫(yī)院信息安全工作任重而道遠(yuǎn)，是信息化建設(shè)的保障。規(guī)劃一個(gè)適合醫(yī)院自身環(huán)境的安全解決方案和網(wǎng)絡(luò)架構(gòu)是構(gòu)建一個(gè)安全的網(wǎng)絡(luò)環(huán)境的基礎(chǔ)，不但要以醫(yī)院信息化長(zhǎng)期發(fā)展規(guī)劃為依據(jù)，動(dòng)態(tài)調(diào)整安全架構(gòu)，也要從細(xì)微處入手，多維度、多方位地完善安全策略，更要通過制定完善的安全管理制度提高全員的安全意識(shí)。同時(shí)，安全管理人員要通過不斷學(xué)習(xí)和積累，將新技術(shù)和新方案融入具體的工作中。