醫(yī)院網(wǎng)絡(luò)安全運(yùn)維架構(gòu)設(shè)計(jì)與應(yīng)用

紀(jì)亞亮 鄭陽

【摘要】? ? 目的：為了達(dá)到等保2.0關(guān)于網(wǎng)絡(luò)安全運(yùn)維管理的相關(guān)要求，實(shí)現(xiàn)對醫(yī)院IT資產(chǎn)、運(yùn)維人員訪問身份和權(quán)限的集中管控。方法：在現(xiàn)有網(wǎng)絡(luò)架構(gòu)上部署虛擬專用網(wǎng)絡(luò)、網(wǎng)閘和堡壘機(jī)，利用隧道和加解密技術(shù)，網(wǎng)絡(luò)隔離技術(shù)和應(yīng)用代理技術(shù)，設(shè)計(jì)一套醫(yī)院網(wǎng)絡(luò)安全運(yùn)維架構(gòu)。結(jié)果：基于可信網(wǎng)絡(luò)前提下，通過堡壘機(jī)隨時(shí)隨地可以運(yùn)維各自權(quán)屬設(shè)備和系統(tǒng)，運(yùn)維效率顯著提升。結(jié)論：在醫(yī)院傳統(tǒng)內(nèi)外兩套網(wǎng)絡(luò)模式下，通過在合理位置部署網(wǎng)絡(luò)安全設(shè)備和堡壘機(jī)，可實(shí)現(xiàn)便捷而又可審計(jì)的醫(yī)院網(wǎng)絡(luò)安全運(yùn)維。

【關(guān)鍵詞】? ? 等保2.0? ? 網(wǎng)絡(luò)安全運(yùn)維? ? 虛擬專用網(wǎng)絡(luò)? ? 網(wǎng)閘? ? 堡壘機(jī)? ? 審計(jì)

引言：

當(dāng)代是大數(shù)據(jù)、云計(jì)算、移動互聯(lián)的信息社會，醫(yī)院在此背景下，也在不斷用信息技術(shù)武裝自己，使自身醫(yī)療業(yè)務(wù)更智慧，醫(yī)療服務(wù)更智能。但與此同時(shí)，日益復(fù)雜的網(wǎng)絡(luò)和系統(tǒng)迭代使得醫(yī)院的網(wǎng)絡(luò)安全運(yùn)維問題突顯。醫(yī)院的HIS、LIS、EMR等主要信息系統(tǒng)無時(shí)無刻不在提供服務(wù)，醫(yī)院的網(wǎng)絡(luò)需要在安全保障的基礎(chǔ)上暢通無阻。因此，運(yùn)維的時(shí)效性在醫(yī)院要求越來越高，需要7*24小時(shí)全天候及時(shí)響應(yīng)。特別是在疫情期間，為減少人員聚集和集體辦公，信息化工作可以逐步轉(zhuǎn)向遠(yuǎn)程業(yè)務(wù)監(jiān)控和無人值守運(yùn)維[1]。在便捷運(yùn)維的同時(shí)安全運(yùn)維的共識已毋容置疑，便捷和安全如何做到統(tǒng)一，要使兩架馬車并駕齊驅(qū)，以往很難做到。以一家通過電子病歷五級評審的醫(yī)院為例，機(jī)房運(yùn)行著各種服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備，虛機(jī)與日俱增，大大小小的系統(tǒng)已超百個(gè)。如果沒有集中管控措施，賬號和密碼僅靠手工記錄和多人共享，粗放式的權(quán)限管理，安全性很難保證[2]，一旦出現(xiàn)人為操作失誤或者信息泄露，后果不堪設(shè)想。2017年，國家正式施行網(wǎng)絡(luò)安全法，明確規(guī)定國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。2019年，《網(wǎng)絡(luò)安全等級保護(hù)基本要求》標(biāo)準(zhǔn)正式發(fā)布，新標(biāo)準(zhǔn)對之前標(biāo)準(zhǔn)進(jìn)行了修訂和擴(kuò)展，以適應(yīng)新技術(shù)、新應(yīng)用、新形勢下等級保護(hù)工作的開展，標(biāo)志著網(wǎng)絡(luò)安全等級保護(hù)工作正式進(jìn)入了2.0時(shí)代[3]，為醫(yī)院網(wǎng)絡(luò)安全建設(shè)指明了方向，對網(wǎng)絡(luò)安全運(yùn)維做了不同等級的詳細(xì)說明，設(shè)計(jì)和應(yīng)用符合等保2.0標(biāo)準(zhǔn)的醫(yī)院網(wǎng)絡(luò)安全運(yùn)維架構(gòu)已是三級醫(yī)院等保工作中一項(xiàng)必選而又重要的內(nèi)容。

一、架構(gòu)組件

（一）虛擬專用網(wǎng)絡(luò)

虛擬專用網(wǎng)絡(luò)（virtual private network，VPN），不同于傳統(tǒng)專網(wǎng)的端到端物理鏈接，依靠互聯(lián)網(wǎng)在用戶端與目的私有網(wǎng)絡(luò)間開辟一條通道。通過隧道和加解密等技術(shù)，將數(shù)據(jù)包傳輸?shù)剿接芯W(wǎng)絡(luò)終端，實(shí)現(xiàn)對端私有資源的訪問。安全套接層（secure socket layer，SSL）VPN作為VPN的一種模型，采用SSL協(xié)議，在應(yīng)用層之間建立加密連接。使用 SSL 協(xié)議進(jìn)行認(rèn)證和數(shù)據(jù)加密不用安裝客戶端軟件[4]，是使用較為方便的一種隧道VPN，在醫(yī)院網(wǎng)絡(luò)安全建設(shè)中較為流行。

（二）堡壘機(jī)

堡壘機(jī)是在特定網(wǎng)絡(luò)中，為了保障網(wǎng)絡(luò)信息安全，防止來自內(nèi)部和外部運(yùn)維人員的非正當(dāng)操作行為，運(yùn)用單點(diǎn)登錄、身份識別、資源授權(quán)、協(xié)議代理、操作審計(jì)等手段，對該網(wǎng)絡(luò)內(nèi)多種設(shè)備包括服務(wù)器、存儲、交換機(jī)、安全設(shè)備等的運(yùn)維過程進(jìn)行實(shí)時(shí)記錄和分析，實(shí)現(xiàn)集中管控和審計(jì)定責(zé)的設(shè)備。從功能上來講，其綜合了系統(tǒng)運(yùn)維、分權(quán)管理、賬戶管理及安全審計(jì)幾大功能[5]。它將運(yùn)維審計(jì)由事件審計(jì)提升為內(nèi)容審計(jì)，對運(yùn)維操作隨時(shí)可回放溯源，形成了運(yùn)維終端與運(yùn)維資源邏輯隔離[6]，做到事前防范、事中監(jiān)管、事后審查，幫助主體單位最小化人為操作風(fēng)險(xiǎn)。

（三）網(wǎng)閘

網(wǎng)閘（GAP）又稱安全隔離與信息交換系統(tǒng)，用于實(shí)現(xiàn)兩個(gè)物理隔離網(wǎng)絡(luò)間的通信。它是一種帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，并能夠在網(wǎng)絡(luò)間進(jìn)行安全適度的應(yīng)用數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。硬件主要由外部處理單元、仲裁處理單元、內(nèi)部處理單元組成，當(dāng)網(wǎng)絡(luò)間無信息交換時(shí)，三者之間是完全斷開的，內(nèi)外網(wǎng)之前沒有直接的物理通路[7]。所以，即使外部網(wǎng)絡(luò)遭到黑客入侵，也不會影響到內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全。

二、架構(gòu)設(shè)計(jì)

（一）網(wǎng)絡(luò)現(xiàn)狀概述

我院作為南京市屬三級甲等醫(yī)院，目前有鐘阜和公衛(wèi)醫(yī)療中心兩個(gè)院區(qū)，醫(yī)院內(nèi)網(wǎng)通過兩條專線互聯(lián)。本文網(wǎng)絡(luò)安全運(yùn)維設(shè)計(jì)討論的范疇在鐘阜院區(qū)，該院區(qū)網(wǎng)絡(luò)分為內(nèi)外兩套物理網(wǎng)絡(luò)，內(nèi)網(wǎng)核心交換機(jī)為兩組華為CE12800企業(yè)級萬兆交換機(jī)，通過堆疊與各匯聚層相連;外網(wǎng)核心交換機(jī)為一組華三7510E核心交換機(jī)，出口通過防火墻與互聯(lián)網(wǎng)相連。兩網(wǎng)都設(shè)計(jì)有服務(wù)器區(qū)域，內(nèi)網(wǎng)服務(wù)器區(qū)域主要承載醫(yī)院信息系統(tǒng)核心業(yè)務(wù)，包括HIS、EMR、LIS、HRP等，外網(wǎng)服務(wù)器區(qū)域部署有互聯(lián)網(wǎng)醫(yī)院、耗材管理、省市數(shù)據(jù)上傳、移動端醫(yī)療服務(wù)平臺相關(guān)前置機(jī)。隨著互聯(lián)網(wǎng)+醫(yī)療的推進(jìn)，目前內(nèi)外網(wǎng)通過網(wǎng)閘互聯(lián)，在因特網(wǎng)訪問內(nèi)網(wǎng)資源的業(yè)務(wù)場景正逐日增加。

（二）設(shè)計(jì)原則

1.旁路掛載

不改變原先網(wǎng)絡(luò)結(jié)構(gòu)，VPN、網(wǎng)閘、堡壘機(jī)通過旁路掛載加入網(wǎng)絡(luò)。如此可以大大降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，對現(xiàn)有網(wǎng)絡(luò)運(yùn)行幾乎沒有影響，同時(shí)也方便今后調(diào)整和變更安全組件設(shè)備。

2.最小權(quán)限訪問控制

無論是VPN的網(wǎng)絡(luò)資源、還是堡壘機(jī)的用戶權(quán)限和資產(chǎn)分配，都采取最小化權(quán)限訪問控制，默認(rèn)不信任網(wǎng)絡(luò)內(nèi)部和外部的任何人[8]。對運(yùn)維人員通過身份識別和訪問控制登錄VPN設(shè)備，只開通訪問堡壘機(jī)一個(gè)資源。內(nèi)網(wǎng)堡壘機(jī)通過網(wǎng)閘映射必要的代理端口到外網(wǎng)，以供登錄VPN設(shè)備的運(yùn)維用戶訪問。

3.精細(xì)化

VPN、堡壘機(jī)中的用戶精確到人名，在堡壘機(jī)中留有公司、身份證、聯(lián)系方式等信息，方便日后審計(jì)。對資源和資產(chǎn)統(tǒng)一命名規(guī)則，盡量避免直接ip或自動命名。網(wǎng)閘端口映射做到一對一，且明細(xì)要有備注，一目了然。

（三）設(shè)計(jì)方案

在內(nèi)外網(wǎng)之間部署一臺網(wǎng)閘，實(shí)現(xiàn)兩網(wǎng)數(shù)據(jù)交互。外網(wǎng)局域網(wǎng)配置1臺堡壘機(jī)、1臺VPN設(shè)備。運(yùn)維人員從互聯(lián)網(wǎng)通過VPN撥入外網(wǎng)局域網(wǎng)，直接登錄外網(wǎng)堡壘機(jī)設(shè)備，進(jìn)行外網(wǎng)業(yè)務(wù)的維護(hù)。內(nèi)網(wǎng)局域網(wǎng)配置1臺堡壘機(jī)，運(yùn)維人員從互聯(lián)網(wǎng)通過VPN撥入外網(wǎng)局域網(wǎng)，間接登錄內(nèi)網(wǎng)堡壘機(jī)設(shè)備，內(nèi)網(wǎng)堡壘機(jī)的業(yè)務(wù)地址通過網(wǎng)閘設(shè)備映射到外網(wǎng)局域網(wǎng)，進(jìn)行內(nèi)網(wǎng)業(yè)務(wù)的維護(hù)，設(shè)計(jì)的架構(gòu)圖如圖1。

三、 架構(gòu)應(yīng)用

（一）組件入網(wǎng)

在外網(wǎng)區(qū)域分別接入一臺SANGFOR VPN和一臺亞信堡壘機(jī)，管理ip分別規(guī)劃為192.168.60.200和192.168.60.11。在內(nèi)網(wǎng)區(qū)域接入一臺亞信堡壘機(jī)，管理ip規(guī)劃為172.16.50.45。采購的GAP-6000網(wǎng)閘設(shè)備部署在內(nèi)網(wǎng)和外網(wǎng)之間，內(nèi)網(wǎng)單元接入內(nèi)網(wǎng)交換機(jī)指定端口，ip規(guī)劃為172.16.224.253。外網(wǎng)單元接入外網(wǎng)核心交換機(jī)指定端口，ip規(guī)劃為192.168.100.253。

（二）策略配置

將VPN的院內(nèi)web登錄端口映射到公網(wǎng)，實(shí)現(xiàn)院外用戶通過VPN撥入。同時(shí)為安全考慮，VPN的管理端口不做映射，只限于院內(nèi)web登錄管理。為了實(shí)現(xiàn)VPN間接訪問內(nèi)網(wǎng)區(qū)域的堡壘機(jī)，需要通過網(wǎng)閘分別在內(nèi)網(wǎng)側(cè)的服務(wù)端定制TCP訪問和外網(wǎng)側(cè)的客戶端定制TCP訪問，內(nèi)網(wǎng)側(cè)和外網(wǎng)側(cè)的任務(wù)號需要一一對應(yīng)，配置如表一。

（三）應(yīng)用展示

運(yùn)維人員通過VPN登錄后，獲得堡壘機(jī)訪問資源，如圖2。登錄堡壘機(jī)后，獲得授權(quán)的資源，利用協(xié)議SSH、RDP等代理進(jìn)行運(yùn)維，如圖3。無論是圖形界面還是字符界面，堡壘機(jī)都會留有視頻日志，如圖4。

四、結(jié)束語

通過設(shè)計(jì)和應(yīng)用網(wǎng)絡(luò)安全運(yùn)維架構(gòu)，建設(shè)一個(gè)集中管控的運(yùn)維平臺，掌握醫(yī)院所有網(wǎng)絡(luò)資源和運(yùn)維人員的權(quán)屬關(guān)系，實(shí)現(xiàn)了運(yùn)維人員對運(yùn)維對象的按時(shí)按需動態(tài)分配，并且能夠統(tǒng)一進(jìn)行可視化監(jiān)管，支撐醫(yī)院信息系統(tǒng)業(yè)務(wù)的順利推進(jìn)，持續(xù)服務(wù)能力得到進(jìn)一步保障。在智慧醫(yī)院時(shí)代背景下，醫(yī)院內(nèi)部的網(wǎng)絡(luò)越來越復(fù)雜，系統(tǒng)也越來越龐大，數(shù)據(jù)增長越來越超乎想象，這對醫(yī)院的網(wǎng)絡(luò)安全運(yùn)維提出了更高的要求，本文通過架構(gòu)設(shè)計(jì)和實(shí)踐，輕松實(shí)現(xiàn)了醫(yī)院信息部門對網(wǎng)絡(luò)安全運(yùn)維的集中管理，使原先繁瑣而摸不到頭腦的多方運(yùn)維得到大大簡化。

作者單位：紀(jì)亞亮? ? 鄭陽? ? 南京市第二醫(yī)院

參? 考? 文? 獻(xiàn)

[1]顧文潔，姚文嵩等.新冠肺炎疫情下醫(yī)院遠(yuǎn)程運(yùn)維分析[J].中國數(shù)字醫(yī)學(xué)，2021，16（3）：100-103.

[2]彭桂芬，者明偉等.基于醫(yī)科類院校堡壘機(jī)的建設(shè)及應(yīng)用展望初探[J].現(xiàn)代信息科技，2019，3（10）：152-154.

[3]魏帥嶺， 閆國濤等.等級保護(hù)2.0下醫(yī)院網(wǎng)絡(luò)安全體系的建設(shè)與探索[J].中國數(shù)字醫(yī)學(xué)，2021，16（4）：101-105.

[4] 劉 軍，韓 冬等.天津市疾病預(yù)防控制信息系統(tǒng)安全專網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)[J].醫(yī)療衛(wèi)生裝備，2017，38（2）：66-68.

[5] 黃劍韜，黃志中等.基于堡壘機(jī)的智能綜合運(yùn)維管理系統(tǒng)的設(shè)計(jì)與思考[J].中國數(shù)字醫(yī)學(xué)，2018，13（8）：68-70.

[6] 王偉杰，林 耀等.廈門市第三醫(yī)院云醫(yī)院建設(shè)實(shí)踐初探[J].醫(yī)療衛(wèi)生裝備，2017，38（8）：54-57.

[7] 陳晨，包曾.醫(yī)院網(wǎng)絡(luò)安全管理體系的建設(shè)方法分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（8）：128-129.

[8] 于欣越，孫 剛等.基于零信任的軟件定義邊界網(wǎng)絡(luò)隱身技術(shù)研究[J].通信術(shù)，2021，54（5）：1229-1233.