基于醫院關鍵信息基礎設施安全防護技術的研究與實踐

孫瑜

摘要：《中華人民共和國網絡安全法》自2017年開始實施，意味著網絡空間從“合規”走向了“合法”。首都醫科大學附屬北京婦產醫院（簡稱北京婦產醫院）從法律層面上認識關鍵信息基礎設施的安全問題，結合自身的實際情況，建立了比較完備的安全防護體系，建立了合理、可靠的技術平臺、細致的日常管理與及時的故障處理應急預案，全面提高了應對網絡安全的能力。

關鍵詞：網絡安全法;關鍵信息基礎設施;網絡安全;技術體系

中圖分類號：TP309????????? 文獻標識碼：A

1 引言

網絡空間被稱為“第五空間”，是繼“陸、海、空、天”之后的又一廣闊天地。隨著人們的需要，這個空間在不斷地擴大、膨脹，不斷地滲透到世界的細枝末節。網絡空間的發展促進了社會的進步和經濟的繁榮。醫院的信息系統也隨之發展起來，功能越來越多;覆蓋面越來越廣，同時也帶來了巨大地安全風險。近年來，網絡安全事件頻發，呈現不確定性、全局性和連鎖性的特點[1]。2008 年由公安部頒布了《信息安全等級保護管理辦法》，使信息系統安全保護有了國家級別的標準。2017年6月1日《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）開始施行?！毒W絡安全法》是我國第一部全面規范網絡空間安全管理方面問題的基礎性法律，是我國網絡空間法治建設的重要里程碑?！毒W絡安全法》第3條明確規定，國家堅持網絡安全與信息化并重，遵循積極利用、科學發展、依法管理、確保安全的方針。這就要求我們既要推進網絡基礎設施建設，又要提高網絡安全保護能力。

2016年4月19日中央領導在網絡安全和信息化工作座談會上提出“加快構建關鍵信息基礎設施安全保障體系”的重要指示精神。關鍵信息基礎設施是指那些一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的系統和設施[2]?！毒W絡安全法》中將網絡運行安全分為 “一般規定”和“關鍵信息基礎設施的運行安全”兩個部分：前者指實行網絡安全等級保護制度;后者指關鍵信息基礎設施保護制度[3]。兩者相輔相成，目標統一 [4]?！毒W絡安全法》第三章用了很大篇幅規范網絡運行安全，特別強調要保障關鍵信息基礎設施的運行安全。

2 現狀分析

面對醫院的門診、住院人次的驟增，醫院信息化建設的逐步深入，業務網上功能的多元化，醫院信息系統已經成為醫院正常運行不可或缺的支撐環境和工作平臺，關鍵信息基礎設施承受的壓力日益增長。因此，北京婦產醫院通過建立合理、可靠的技術平臺、細致的日常管理與及時的故障處理應急預案，將關鍵信息基礎設施保護措施落實到實處，以確保信息系統不間斷地穩定地運行。

北京婦產醫院關鍵信息基礎設施包含三大部分：醫院信息管理系統（HIS）、實驗室報告信息系統（LIS）、醫學影像存檔與通訊系統（PACS）。信息系統由醫院的臨床診療、醫療管理、運營管理三大基礎業務組成，橫跨基礎業務、管理決策、資源管理、知識管理、客戶服務、系統集成等應用領域，承載著核心業務信息的運行。整個網絡為標準的三層網絡結構，由接入到匯聚到核心，核心層做了雙鏈路。對核心信息系統技術建立模型，可看出有相關應用，如圖1所示。

3 安全防護技術體系

《網絡安全法》第31條規定，關鍵信息基礎設施在網絡安全等級保護制度基礎上，實行重點保護。根據《信息系統安全等級保護基本要求》《信息系統安全等級保護測評要求》《信息系統等級保護安全設計技術要求》《醫療機構重要信息系統等級保護三級測評技術要求項》等一些等級保護標準和北京婦產醫院信息系統的 “一個中心”管理下的“三重防護”體系框架的實際情況，在安全技術類上分為五個層面：物理安全、網絡安全、主機安全、應用安全和數據安全。

3.1 物理安全

物理安全體系的建設認為，機房建設是重中之重，中心機房是醫院關鍵信息基礎設施的存放地，包括服務器、磁盤陣列、網絡主交換機等設備，對環境的要求很高。在技術層面，應采取電子門禁、監控報警系統等技術措施;在管理層面，制定機房維護管理、出入登記申報等制度。

技術措施主要包括幾個方面。重要區域配置電子門禁系統：配備光、電等機房防盜報警系統，設置監控報警系統;設置火災自動消防系統：對重要設備采取區域隔離防火措施，并與其他設備在物理上隔離開;安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警。主要設備采用必要的接地防靜電措施，如防靜電手環或防靜電工作服等;設置溫、濕度自動調節設施，使機房溫、濕度的變化在設備運行所允許的范圍之內;設置冗余或并行的電力電纜線路為系統，提供持續供電，建立備用供電系統。

3.2 網絡安全

網絡安全包括路由器、交換機、通信線路等在內的信息系統網絡環境的安全，為信息系統能夠在安全的網絡環境中運行提供支持，確保網絡系統安全運行，提供有效的網絡服務。

3.2.1 訪問控制設計

在北京婦產醫院信息系統應用各區域邊界中，采用了邊界訪問控制技術，以保證安全區域之間進出數據進行訪問的控制，防止未授權訪問發生。醫院還采用了多臺防火墻，對互聯網邊界、內網邊界和業務邊界進行防護。根據醫院網絡的現實情況，在互聯網出口區域邊界，采用了防火墻設備和入侵檢測實現各區域之間的訪問控制，而對于其他物理區域內部的不同網段之間的邊界，則采用了Vlan劃分結合ACL訪問控制列表的方法予以隔離。

3.2.2 帶寬管理

帶寬管理采用上網行為管理設備，同時通過防火墻、網絡行為規范管理設備，來實現對重要應用或協議分配更多的帶寬資源。針對醫院業務的重要應用和輔助應用，可限制其流量，以保證重要業務的可用性，也可以通過限制協議的方式，保證主要協議的可用性。

3.2.3惡意代碼檢測

北京婦產醫院信息系統內部網絡邊界和核心系統服務器群，前端采用帶防病毒模塊的防火墻系統，對流入流出安全區域邊界的信息流進行防病毒檢測與過濾，防止網絡病毒或其他惡意代碼，通過區域邊界進入醫療核心信息系統，以提供有效的病毒過濾與細粒度的深度安全防護。

3.2.4 網絡入侵防范

在醫院應用服務器的邊界，部署Web防護系統和網絡入侵檢測設備，提供主動的、實時的防護，能準確監測網絡異常流量，自動對各類攻擊性的流量，尤其是應用層的威脅進行實時阻斷，而不是簡單地在監測到惡意流量的同時或之后才發出告警。網絡入侵保護系統是通過直接串聯到網絡鏈路中而實現這一功能的，即網絡入侵保護系統接收到惡意數據流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進內部網絡。

3.2.5 網絡安全審計

在連接醫院信息系統服務器交換機的旁路，部署安全審計系統，通過交換機三級系統服務器區和二級系統服務器區的流量鏡像到探測器上，實現對服務器區域訪問的全面細粒度審計。審計內容包括 FTP、TELNET、SMTP、POP3、數據庫訪問、運維人員的運維過程審計等。這樣，在遇到緊急事件后，可以根據審計內容進行有效的追查和問責。

3.3 主機安全

主機系統安全包括服務器、終端、工作站及安全設備、系統內計算機設備在操作系統及數據庫系統層面的安全。主機層面的安全要求，是在物理、網絡層面安全的情況下，提供安全的操作系統和安全的數據庫管理系統，以實現操作系統和數據庫管理系統的安全運行。

3.3.1 訪問控制

現有訪問控制是基本的訪問控制機制，大多數操作系統（如Windows、Linux等）都采用自主訪問控制。醫療核心信息系統增加了強制訪問控制機制，通過部署綠堡壘機，由安全審計系統對核心系統中的主體（用戶、進程）及客體（文件、執行程序、外部設備等）進行安全標識，根據客體類型的不同，分別制定不同的訪問控制規則，從而全方位地確保信息系統的機密性，訪問控制流程如圖2所示。

3.3.2 安全審計

在醫療核心信息系統中，數據庫系統存儲著幾乎全部的數據和信息，無疑是整個信息系統的核心，是醫院防護的重點。醫院采用安全審計系統，以旁路、透明方式部署在醫療核心信息系統的區域邊界，在不改變現有網絡結構的基礎上，實時、高速地對訪問數據庫系統的信息流進行數據截取和還原。通過對數據庫訪問信息的采集、分析、識別，實時監控數據庫的所有訪問操作，同時支持自定義內容關鍵字庫，實現數據庫操作的內容監測識別，發現各種違規數據庫操作行為，及時報警響應、全過程操作還原，從而實現對安全事件的準確全程跟蹤定位，全面保障數據庫系統的安全。

3.3.3 身份鑒別

為了保證網絡信息的保密性、完整性、可控性、可用性和抗抵賴性，信息系統采用了多種安全技術，如身份鑒別、信息加密、信息完整性校驗、抗抵賴等。醫院部署了SSL VPN網關，針對醫院核心信息系統所接受的各類訪問，包括終端用戶的系統登錄、文件讀寫和網絡訪問行為，進行實時認證，以確保數據傳輸的安全性。

3.4 應用安全

應用系統的安全主要包括身份鑒別、數據完整性保護等，應符合機密性與完整性的安全要求。

3.4.1 身份鑒別

北京婦產醫院信息中心部署統一認證系統，管理醫院全部的系統用戶，并連接各業務系統，各系統用戶可通過登錄醫院統一身份認證系統進行身份認證、業務系統單點登錄。各應用系統用戶信息管理與醫院統一身份認證系統同步，可根據授權原則管理本地區用戶。統一認證系統的主要服務功能模塊包括用戶管理、身份認證管理、授權管理、單點登錄、數據服務于信息同步模塊服務及安全管理模塊。安全管理模塊為維護好系統服務功能的安全性，提供了系統自身所有操作的安全審計功能，以及各個應用系統用戶信息的監控功能。

3.4.2 數據完整性

醫院醫護人員使用數字證書USB Key登錄醫院信息系統客戶端。系統客戶端通過調用客戶端控件，實現對存儲于USB Key內數字證書的讀取、解析、驗證和展現，實現基于數字證書的安全登錄。

3.5 數據安全

3.5.1數據庫審計

醫院通過部署數據庫審計系統實現對數據庫通訊協議的精確解析，和對SQL語句基于Lex/Yacc詞法、語法的詳細分析，能夠實時、精準地記錄數據庫業務訪問行為和數據庫運維訪問行為，在安全事件發生后提供有力、全面、精準的事件追蹤、定位和溯源依據。全面、準確地展示、匯報數據庫訪問情況、安全風險和執行效率，方便管理員全方位掌控數據庫運行情況，提高對數據庫安全監管的能力。

3.5.2 安全隔離

醫院通過部署網閘系統，利用“2+1”系統架構，即由兩個主機系統和一個隔離交換矩陣組成。主機系統采用自研安全平臺，隔離交換矩陣基于ASIC專用芯片實現主機系統間采用自有協議擺渡數據，以確保信任網絡和非信任網絡之間任何連接的斷開，徹底阻斷TCP/IP協議及其他網絡協議。

3.5.3 數據安全傳輸

通過部署連續數據保護方案保護設備（Continuous Data Protection，CDP ）不僅涵蓋了各類災難保護（包括人為故障、病毒、軟件故障、物理故障等災難），而且能夠針對不同主機服務器及操作系統、數據庫、存儲的環境提供全面的數據保護。連續數據保護在出現突發意外中斷時，提供快速的業務恢復（RTO指標），并將數據丟失（RPO指標）降至最低，旨在提供數據中心關鍵業務的業務連續性保障。

4 結束語

等級保護是基礎，每個部分都有詳細的安全標準，強調標準和基線[5]。網絡運行安全是網絡安全的重心，關鍵信息基礎設施安全則是重中之重，與國家安全和社會公共利益息息相關。2016年4月19日中央領導在網絡安全和信息化工作座談會上提出：“我們必須深入研究，采取有效措施，切實做好國家關鍵信息基礎設施安全防護”。人的因素固然重要，但是加大對關鍵信息基礎設施的投入，提升安全防護技術的水平也是非常必要的。人和安全設備有效的結合起來，才能保證關鍵信息基礎設施的安全。只有這樣，才能長期、有效地保障醫院信息化的健康發展[6]。

從目前北京婦產醫院對醫院關鍵信息基礎設施安全防護技術的研究與實踐應用情況來看，在基層應用單位要想真正落實“切實做好國家關鍵信息基礎設施安全防護”精神，不僅要從法律層面上，認識到關鍵信息基礎設施安全問題的重要性，而且還要從技術手段的實踐上切實可行，在具體實施上，一步一個腳印地落實。更為重要的是，要得到上至領導部門下至基層科室部門的大力配合與支持，否則加強“醫院關鍵信息基礎設施安全防護技術的研究與實踐應用”就是一句空話。

參考文獻

[1]?王玥，方婷，馬民虎.美國關鍵基礎設施信息安全監測預警機制演進與啟示[J].情報雜志，2016，35（1）：17-23.

[2]?張磊，孫亮，陳曲.醫院關鍵信息基礎設施網絡安全風險評估的實踐[J].中國衛生信息管理雜志，2018，15（4）：390-393.

[3]?周亞超，劉金芳.關鍵信息基礎設施范圍與特點解析[J].網絡空間安全， 2018，9（10）：56-60.

[4]?顧偉.關鍵信息基礎設施保護制度的國際接軌與中國特色—《網絡安全法》亮點解讀[J].信息安全與通信保密，2016，38（11）： 48-53.

[5]?張宇翔，陶源.基于等級保護與可信計算構建我國關鍵信息基礎設施保障體系[J]. 信息安全研究，2017，3（4）： 375-381.

[6]?賈鑫.基于醫院信息系統的網絡安全分析與設計[J].中國管理信息化，2013，9（10）： 46-47.