醫(yī)院信息化安全是現在所有(yǒu)醫(yī)院面臨的重要課題。為了更好的保證醫(yī)院信息安全，2011年底，衛生(shēng)部先後下達85号通(tōng)知和(hé)1126号通(tōng)知，要求全國衛生(shēng)行(xíng)業各單位全面開(kāi)展信息安全等級保護工作(zuò)，于2015年12月30日前完成等保建設整改并通(tōng)過等級測評。

2007年由公安部下發的43号令拉開(kāi)了各行(xíng)業信息安全等保建設的序幕，2008年頒布的國标《GB/T 22239-2008 信息安全技(jì)術(shù)-信息系統安全等級保護基本要求》是信息系統安全等保的建設标準。衛生(shēng)部下發的“85号通(tōng)知”中的等保工作(zuò)指導意見明(míng)确要求全國所有(yǒu)三甲醫(yī)院核心業務信息系統的安全保護等級原則上(shàng)不低(dī)于第三級，哪些(xiē)系統是核心業務信息系統則由各地區(qū)自己定義，比如上(shàng)海最終規定的核心業務信息系統是HIS、LIS和(hé)RIS。

圖1醫(yī)院網絡現狀

（如圖1所示）醫(yī)院的網絡根據承載業務的不同可(kě)劃分為內(nèi)網、外網和(hé)設備網，其中：

內(nèi)網即醫(yī)院的醫(yī)務生(shēng)産網，承載所有(yǒu)業務應用系統，包括大(dà)家(jiā)熟知的HIS、PACS、LIS等系統；

外網即與Internet相聯的網絡，承載的業務包括郵件、OA等；

設備網是一張新興的網，承載IP化的智能化弱電(diàn)系統，包括：公共廣播、門(mén)禁、樓控、安防視(shì)頻監控等。

各醫(yī)院實際網絡建設模式會(huì)有(yǒu)不同。傳統的是內(nèi)外網物理(lǐ)隔離，但(dàn)仍有(yǒu)相當一部分是內(nèi)外網物理(lǐ)合一、邏輯隔離。內(nèi)網實際上(shàng)也有(yǒu)外部連接，如醫(yī)保、公共衛生(shēng)、新農合、銀行(xíng)等；但(dàn)這些(xiē)連接都是內(nèi)網與內(nèi)網通(tōng)過專線連接，且通(tōng)過前置機進行(xíng)數(shù)據訪問。

醫(yī)院的網絡根據承載介質的不同可(kě)分為有(yǒu)線網絡和(hé)無線網絡。根據傳統習慣，如果不特别說明(míng)，上(shàng)述的內(nèi)網、外網和(hé)設備網均特指有(yǒu)線網絡。但(dàn)實際上(shàng)無線網絡承載的業務也有(yǒu)內(nèi)外網之分。有(yǒu)的醫(yī)院無線網隻承載內(nèi)網業務，如無線查房(fáng)、無線護理(lǐ)、無線補液等；有(yǒu)的醫(yī)院無線網不僅承載內(nèi)網業務，還(hái)會(huì)提供與外網相關的業務，如員工外網業務、病房(fáng)VIP Internet業務等。無線網絡中的內(nèi)網業務都要訪問HIS、RIS等核心業務信息系統，所以作(zuò)為有(yǒu)線網絡的有(yǒu)效補充，無線網絡也應是三級安全等保檢查中的一部分。

如前所述，大(dà)部分地區(qū)規定的核心業務信息系統都是內(nèi)網業務，即三級安全等保隻與醫(yī)院的內(nèi)網業務系統相關，而對于內(nèi)外網物理(lǐ)隔離的工作(zuò)場(chǎng)景，與傳統的以防範Internet業務為主的安全解決方案明(míng)顯不同。

一、 安全等保的測評對象

GB/T 22239-2008中的三級安全等保标準共290項內(nèi)容，由技(jì)術(shù)（136項）和(hé)管理(lǐ)（154項）2部分組成；技(jì)術(shù)要求中分為物理(lǐ)、網絡、主機、應用和(hé)數(shù)據安全5部分。根據各地的自有(yǒu)特點，以提高(gāo)系統的安全性為目的，各地的等保測評機構會(huì)進行(xíng)标準的補充。

醫(yī)院的信息系統有(yǒu)幾十種，除了明(míng)确定級為三級的核心業務信息系統，其它業務系統如何處理(lǐ)？拿(ná)上(shàng)海為例，HIS、LIS和(hé)RIS定級為三級信息系統，那(nà)麽這3個(gè)系統之外的如EMR、臨床路徑系統等如何考慮？實際上(shàng)等保的第一項工作(zuò)即是給本單位信息系統分類定級，根據系統重要性的不同，進行(xíng)不同級别的定級。如果某個(gè)系統與核心業務系統同樣重要，可(kě)另外定為三級；其它系統可(kě)以定為二級。定為二級的系統按照二級安全等保标準進行(xíng)建設和(hé)測評。

對于二級或三級的業務信息系統，其安全運行(xíng)所需要的機房(fáng)、鏈路、網絡、服務器(qì)、存儲、操作(zuò)系統、應用軟件等都是測評對象。

二、 安全等保網絡安全解讀

作(zuò)為安全等保的重要組成部分，網絡安全因其分散、覆蓋面廣的特點，是等保評測的重點，也是醫(yī)院信息安全的難點。在等保三級标準內(nèi)容中，網絡安全共分為7部分，共33條：

l 結構安全——7條要求，對整體(tǐ)網絡架構、帶寬和(hé)設備性能提出了管理(lǐ)要求；

l 網絡訪問控制(zhì)——8條要求，對網絡邊界控制(zhì)防範、邊界連接的控制(zhì)提出了管理(lǐ)要求；

l 安全審計(jì)—— 4條要求，對包括設備、事件和(hé)用戶等目标的日志(zhì)系統提出管理(lǐ)要求；

l 邊界完整性檢查——2條要求，對接入規範和(hé)防內(nèi)網外聯提出了管理(lǐ)要求；

l 入侵防範——2條要求，對網絡邊界應用級攻擊的檢測防範提出了管理(lǐ)要求；

l 惡意代碼防範——2條要求，對網絡邊界惡意代碼防範和(hé)代碼庫的升級提出的管理(lǐ)要求；

l 網絡設備防護 ——8條要求，對設備管理(lǐ)的安全性提出了管理(lǐ)要求。

經過分析，等保網絡安全部分的管理(lǐ)要求在很(hěn)大(dà)程度上(shàng)與邊界設備和(hé)終端系統直接相關，邊界設備的安全和(hé)管理(lǐ)功能，終端系統的功能和(hé)用戶管理(lǐ)功能，可(kě)以直接覆蓋絕大(dà)部分網絡安全的管理(lǐ)要求條款。

三、 H3C三級安全等保解決方案

H3C 提供的包括網絡設備、網絡安全融合方案，基于iMC的終端管理(lǐ)等業務軟件全面覆蓋了等保網絡安全7大(dà)項，33小(xiǎo)項的絕大(dà)部分（如圖2所示）。

圖2 H3C醫(yī)院三級等保網絡安全解決方案

1. 網絡訪問控制(zhì)管理(lǐ)

一般規模的醫(yī)院網絡都采用二層結構，即全院網關終結在核心交換機；同時(shí)醫(yī)院的數(shù)據流量絕大(dà)部分都是縱向流量（即終端訪問服務器(qì)的流量），橫向流量（終端之間(jiān)的訪問流量）基本沒有(yǒu)。在這樣的流量模型下，盡管內(nèi)網與公網隔離，但(dàn)還(hái)有(yǒu)如下內(nèi)容要進行(xíng)安全保護。

l 服務器(qì)區(qū)域：要防範的是“家(jiā)賊”，即內(nèi)部數(shù)據洩露或病毒DDoS攻擊。

l 與無線網絡的連接鏈路：無線網絡的開(kāi)放性使其通(tōng)常被認為是不安全的。

l 與外聯單位的連接鏈路：外聯單位屬于網絡邊界。

安全插卡的優勢體(tǐ)現在兩點：

傳統醫(yī)院服務器(qì)大(dà)都直接連在核心交換機上(shàng)，在進行(xíng)服務器(qì)的防範時(shí)，如果采用外接安全設備，不得(de)不把安全設備串接在服務器(qì)和(hé)核心交換機之間(jiān)或者進行(xíng)流量重定向，即需要對原來(lái)的網絡結構進行(xíng)改造；

（如圖2所示）所有(yǒu)的硬件安全産品（FW、IPS和(hé)流量探針）都采用插卡形式，通(tōng)過其虛拟化功能，即1塊插在交換機中的安全插卡可(kě)以虛拟化成多(duō)個(gè)同功能的安全産品，可(kě)以進行(xíng)上(shàng)述不同線路上(shàng)的安全防範。

H3C安全插卡解決方案可(kě)以滿足三級等保網絡安全技(jì)術(shù)條款中的11條（網絡訪問控制(zhì)、入侵防範和(hé)惡意代碼防範）。

2. 審計(jì)報表規範

醫(yī)院業務關系到民生(shēng)，而且是7*24小(xiǎo)時(shí)提供服務，因此醫(yī)院的網絡建設首先要考慮可(kě)靠性，因此選擇的網絡産品通(tōng)常會(huì)高(gāo)于業務流量的實際需求，引發的問題是大(dà)部分醫(yī)院并不知道(dào)自己實際的流量模型，即各個(gè)服務器(qì)、各種業務的訪問高(gāo)峰、整個(gè)網絡流量分布圖等。

H3C的NTA+iAR+UBA方案可(kě)以實現對網絡系統中的網絡設備運行(xíng)狀況、網絡流量、用戶行(xíng)為等進行(xíng)日志(zhì)記錄，通(tōng)過交換機上(shàng)的Netstream卡配合iMC的NTA、iAR和(hé)UBA組件，完美的實現了醫(yī)院網絡流量和(hé)用戶行(xíng)為數(shù)據的統計(jì)、分析和(hé)報表輸出。

H3C審計(jì)報表規範解決方案可(kě)以滿足三級等保網絡安全技(jì)術(shù)條款中的3條（安全審計(jì)部分）。

3. 網絡邊界完整性檢查

目前醫(yī)院的網絡分布，在很(hěn)多(duō)地方是既有(yǒu)內(nèi)網口又有(yǒu)外網口。醫(yī)務人(rén)員對工作(zuò)地點的網絡結構熟悉後，會(huì)出現自行(xíng)把醫(yī)用終端從內(nèi)網移到外網，違規訪問外網後再接回內(nèi)網的情況。目前針對此問題，醫(yī)院想到的方法通(tōng)常是MAC地址和(hé)端口綁定，但(dàn)引發的問題是維護工作(zuò)量巨大(dà)，使得(de)很(hěn)多(duō)醫(yī)院對此解決方案望而卻步。同時(shí)，随着各種醫(yī)務自助機應用的普及，內(nèi)網接入點也延伸到公共區(qū)域，給醫(yī)院內(nèi)網新增了不安全性。三級等保安全标準7.1.2.4節中對邊界完整性檢查有(yǒu)2條明(míng)确要求：

 應能夠對非授權設備私自聯到網絡的行(xíng)為進行(xíng)檢查，并準确定出位置，對其進行(xíng)有(yǒu)效阻斷；

 應能夠對內(nèi)部網絡用戶私自聯到外部網絡的行(xíng)為進行(xíng)檢查，準确定出位置，并對其進行(xíng)有(yǒu)效阻斷。

可(kě)以看出，單純的MAC地址與端口綁定已不能滿足三級等保标準的要求；同時(shí)存在仿冒MAC地址的漏洞，即非法終端可(kě)以把自己MAC地址改成合法MAC後接入網絡。為解決這些(xiē)問題，H3C采用EAD端點終入控制(zhì)系統來(lái)進行(xíng)醫(yī)用終端的安全接入。EAD中的iNode客戶端可(kě)以防MAC篡改，即iNode發現終端的物理(lǐ)MAC和(hé)管理(lǐ)MAC不一緻時(shí)禁止認證。同時(shí)，防內(nèi)網外聯功能，使得(de)醫(yī)用終端隻能接入內(nèi)網。退一步講，如果醫(yī)院認為無法接受醫(yī)用終端上(shàng)安裝客戶端軟件，在能接受存在仿冒MAC地址漏洞的前提下，可(kě)以使用以MAC地址為認證信息的啞終端認證方式。它與傳統的MAC地址端口綁定方案的優勢是所有(yǒu)管理(lǐ)維護工作(zuò)都在集中的服務器(qì)側，而不是分散的網絡交換機側，從而大(dà)大(dà)降低(dī)維護工作(zuò)量。

H3C網絡邊界完整性檢查解決方案可(kě)以滿足三級等保網絡安全技(jì)術(shù)條款中的8條（網絡訪問控制(zhì)部分、網絡邊界完整性檢查部分、訪問控制(zhì)部分）。

4. 網絡設備防護

目前醫(yī)院的網絡設備管理(lǐ)通(tōng)常有(yǒu)兩種方式：集成管理(lǐ)平台和(hé)設備分散遠程登錄管理(lǐ)。對于後者，目前主流管理(lǐ)方法還(hái)是通(tōng)過Telnet遠程管理(lǐ)。由于設備數(shù)量多(duō)維護工程量大(dà)，出于維護的便利性，設備的登錄用戶口令通(tōng)常是所有(yǒu)設備相同且永遠不變，甚至網管人(rén)員更換後也不會(huì)更換設備的用戶口令。

對于設備的遠程登錄管理(lǐ)，等保标準也有(yǒu)一些(xiē)要求，如采用加密的SSH替代明(míng)文的Telnet、雙因子認證等。基于以上(shàng)需求，H3C推出的TAM方案可(kě)以解決上(shàng)述問題。網絡設備的登錄認證通(tōng)過标準的TACACS協議與TAM服務器(qì)通(tōng)信，設備的用戶名口令在服務器(qì)側統一管理(lǐ)，而口令管理(lǐ)也可(kě)以接合Token卡等動态密碼機制(zhì)以實現登錄的雙因子認證。不僅更改登錄用戶名與口令變得(de)方便，通(tōng)過TAM對設備的任何遠程操作(zuò)都有(yǒu)記錄，便于問題的回溯管理(lǐ)。

H3C網絡設備防護解決方案可(kě)以滿足三級等保網絡安全技(jì)術(shù)條款中的7條（網絡設備防護部分）。

四、 無線安全解決方案

從醫(yī)院無線網絡的建議模式來(lái)看，通(tōng)常分為運營商代建和(hé)醫(yī)院自建兩種。無論哪種建設模式，無線技(jì)術(shù)本身安全性的問題都無法回避。不像有(yǒu)線網絡，隻要不提供接入點，就無法侵入；無線是開(kāi)放的，任何外來(lái)人(rén)員都可(kě)以和(hé)內(nèi)部人(rén)員一樣接收到無線信号，所以必須進行(xíng)接入認證安全保護。但(dàn)如果像家(jiā)庭一樣隻提供密碼接入保護，那(nà)麽無線網絡的安全形同虛設，因為整網單一的密碼很(hěn)容易外洩。

除了文章開(kāi)篇提到內(nèi)網及外網業務，運營商代建的無線網絡還(hái)提供公共無線網接入(如電(diàn)信的ChinaNet、移動的CMCC等)。公網和(hé)私網的混用還(hái)會(huì)引入更多(duō)的安全問題。

另外，無線終端比傳統的醫(yī)用終端更容易做(zuò)接入網絡切換，而考慮到病毒和(hé)木馬的防範，醫(yī)院不希望用于內(nèi)網的無線終端在訪問外網後再接入內(nèi)網。

醫(yī)院的無線網絡安全方案的構建需要考慮以下幾個(gè)問題：

 考慮到醫(yī)院的業務模式，傳統的用戶名口令無法作(zuò)為唯一的認證因素，原因是醫(yī)生(shēng)護士的用戶名口令幾乎是半公開(kāi)的。那(nà)麽如何識别醫(yī)院的合法移動終端？

 随着平闆電(diàn)腦(nǎo)和(hé)智能手機的普及，傳統的移動推車(chē)+PDA的應用受到沖擊。如何支持新型的移動終端？

 如何防止合法終端接入運營商提供的無線網絡？

 對于運營商承建的無線網絡，如何防止登錄公共無線網絡的用戶的黑(hēi)客入侵？

針對以上(shàng)需求，根據醫(yī)院對安全級别考慮的不同，H3C提供以下幾種方案：

 EAD端點準入控制(zhì)方案；

 移動終端證書(shū)認證方案；

 啞終端接入控制(zhì)方案。

其中EAD端點準入控制(zhì)方案安全級别最高(gāo)，可(kě)以解決目前考慮到的所有(yǒu)問題，但(dàn)需要在移動終端上(shàng)安裝iNode客戶端軟件。證書(shū)認證方案可(kě)以完美地實現用戶安全認證，但(dàn)無法做(zuò)到控制(zhì)合法終端登錄其它無線網絡。啞終端接入控制(zhì)方案不需要安裝任何客戶軟件，但(dàn)具有(yǒu)MAC地址仿冒的漏洞，同時(shí)也無法做(zuò)到控制(zhì)合法終端登錄其它無線網絡。

這三種方案的共性都是在無線網絡中提供認證網關。如果無線網是醫(yī)院自建的，則AC可(kě)以兼做(zuò)認證網關。如果無線網是運營商代建的，考慮到無線的設備産權及運維都是運營商負責，需要在AC與有(yǒu)線網絡之間(jiān)單獨部署認證網關（如圖3所示）。

圖3 無線安全認證系統部署

結束語

醫(yī)院的三級安全等保技(jì)術(shù)要求，既有(yǒu)與其它行(xíng)業要求的共性，又有(yǒu)其自己的特點。這些(xiē)要求中除了網絡層面的，還(hái)包括機房(fáng)、主機、應用和(hé)數(shù)據安全。

三級安全等保對醫(yī)院既是一次命題考試，又是一次切實提升醫(yī)院安全能力的好機會(huì)。作(zuò)為安全等保技(jì)術(shù)要求的主要部分——網絡安全，因其分散、覆蓋面廣和(hé)難以管理(lǐ)，也是整個(gè)等保安全的難點。H3C從網絡與安全融合、終端與邊界融合、集中與分級融合等多(duō)個(gè)維度，覆蓋了包括結構安全、訪問控制(zhì)、安全審計(jì)、邊界完整性、入侵防範、惡意代碼入侵和(hé)設備防護在內(nèi)的絕大(dà)多(duō)數(shù)技(jì)術(shù)要求，提供了完整的醫(yī)院三級等保方案。