醫(yī)院信息化安全是現(xiàn)在所有醫(yī)院面臨的重要課題。為了更好的保證醫(yī)院信息安全，2011年底，衛(wèi)生部先后下達(dá)85號通知和1126號通知，要求全國衛(wèi)生行業(yè)各單位全面開展信息安全等級保護(hù)工作，于2015年12月30日前完成等保建設(shè)整改并通過等級測評。

2007年由公安部下發(fā)的43號令拉開了各行業(yè)信息安全等保建設(shè)的序幕，2008年頒布的國標(biāo)《GB/T 22239-2008 信息安全技術(shù)-信息系統(tǒng)安全等級保護(hù)基本要求》是信息系統(tǒng)安全等保的建設(shè)標(biāo)準(zhǔn)。衛(wèi)生部下發(fā)的“85號通知”中的等保工作指導(dǎo)意見明確要求全國所有三甲醫(yī)院核心業(yè)務(wù)信息系統(tǒng)的安全保護(hù)等級原則上不低于第三級，哪些系統(tǒng)是核心業(yè)務(wù)信息系統(tǒng)則由各地區(qū)自己定義，比如上海最終規(guī)定的核心業(yè)務(wù)信息系統(tǒng)是HIS、LIS和RIS。

圖1醫(yī)院網(wǎng)絡(luò)現(xiàn)狀

（如圖1所示）醫(yī)院的網(wǎng)絡(luò)根據(jù)承載業(yè)務(wù)的不同可劃分為內(nèi)網(wǎng)、外網(wǎng)和設(shè)備網(wǎng)，其中：

內(nèi)網(wǎng)即醫(yī)院的醫(yī)務(wù)生產(chǎn)網(wǎng)，承載所有業(yè)務(wù)應(yīng)用系統(tǒng)，包括大家熟知的HIS、PACS、LIS等系統(tǒng)；

外網(wǎng)即與Internet相聯(lián)的網(wǎng)絡(luò)，承載的業(yè)務(wù)包括郵件、OA等；

設(shè)備網(wǎng)是一張新興的網(wǎng)，承載IP化的智能化弱電系統(tǒng)，包括：公共廣播、門禁、樓控、安防視頻監(jiān)控等。

各醫(yī)院實(shí)際網(wǎng)絡(luò)建設(shè)模式會(huì)有不同。傳統(tǒng)的是內(nèi)外網(wǎng)物理隔離，但仍有相當(dāng)一部分是內(nèi)外網(wǎng)物理合一、邏輯隔離。內(nèi)網(wǎng)實(shí)際上也有外部連接，如醫(yī)保、公共衛(wèi)生、新農(nóng)合、銀行等；但這些連接都是內(nèi)網(wǎng)與內(nèi)網(wǎng)通過專線連接，且通過前置機(jī)進(jìn)行數(shù)據(jù)訪問。

醫(yī)院的網(wǎng)絡(luò)根據(jù)承載介質(zhì)的不同可分為有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)。根據(jù)傳統(tǒng)習(xí)慣，如果不特別說明，上述的內(nèi)網(wǎng)、外網(wǎng)和設(shè)備網(wǎng)均特指有線網(wǎng)絡(luò)。但實(shí)際上無線網(wǎng)絡(luò)承載的業(yè)務(wù)也有內(nèi)外網(wǎng)之分。有的醫(yī)院無線網(wǎng)只承載內(nèi)網(wǎng)業(yè)務(wù)，如無線查房、無線護(hù)理、無線補(bǔ)液等；有的醫(yī)院無線網(wǎng)不僅承載內(nèi)網(wǎng)業(yè)務(wù)，還會(huì)提供與外網(wǎng)相關(guān)的業(yè)務(wù)，如員工外網(wǎng)業(yè)務(wù)、病房VIP Internet業(yè)務(wù)等。無線網(wǎng)絡(luò)中的內(nèi)網(wǎng)業(yè)務(wù)都要訪問HIS、RIS等核心業(yè)務(wù)信息系統(tǒng)，所以作為有線網(wǎng)絡(luò)的有效補(bǔ)充，無線網(wǎng)絡(luò)也應(yīng)是三級安全等保檢查中的一部分。

如前所述，大部分地區(qū)規(guī)定的核心業(yè)務(wù)信息系統(tǒng)都是內(nèi)網(wǎng)業(yè)務(wù)，即三級安全等保只與醫(yī)院的內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)相關(guān)，而對于內(nèi)外網(wǎng)物理隔離的工作場景，與傳統(tǒng)的以防范Internet業(yè)務(wù)為主的安全解決方案明顯不同。

一、 安全等保的測評對象

GB/T 22239-2008中的三級安全等保標(biāo)準(zhǔn)共290項(xiàng)內(nèi)容，由技術(shù)（136項(xiàng)）和管理（154項(xiàng)）2部分組成；技術(shù)要求中分為物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和數(shù)據(jù)安全5部分。根據(jù)各地的自有特點(diǎn)，以提高系統(tǒng)的安全性為目的，各地的等保測評機(jī)構(gòu)會(huì)進(jìn)行標(biāo)準(zhǔn)的補(bǔ)充。

醫(yī)院的信息系統(tǒng)有幾十種，除了明確定級為三級的核心業(yè)務(wù)信息系統(tǒng)，其它業(yè)務(wù)系統(tǒng)如何處理？拿上海為例，HIS、LIS和RIS定級為三級信息系統(tǒng)，那么這3個(gè)系統(tǒng)之外的如EMR、臨床路徑系統(tǒng)等如何考慮？實(shí)際上等保的第一項(xiàng)工作即是給本單位信息系統(tǒng)分類定級，根據(jù)系統(tǒng)重要性的不同，進(jìn)行不同級別的定級。如果某個(gè)系統(tǒng)與核心業(yè)務(wù)系統(tǒng)同樣重要，可另外定為三級；其它系統(tǒng)可以定為二級。定為二級的系統(tǒng)按照二級安全等保標(biāo)準(zhǔn)進(jìn)行建設(shè)和測評。

對于二級或三級的業(yè)務(wù)信息系統(tǒng)，其安全運(yùn)行所需要的機(jī)房、鏈路、網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、操作系統(tǒng)、應(yīng)用軟件等都是測評對象。

二、 安全等保網(wǎng)絡(luò)安全解讀

作為安全等保的重要組成部分，網(wǎng)絡(luò)安全因其分散、覆蓋面廣的特點(diǎn)，是等保評測的重點(diǎn)，也是醫(yī)院信息安全的難點(diǎn)。在等保三級標(biāo)準(zhǔn)內(nèi)容中，網(wǎng)絡(luò)安全共分為7部分，共33條：

l 結(jié)構(gòu)安全——7條要求，對整體網(wǎng)絡(luò)架構(gòu)、帶寬和設(shè)備性能提出了管理要求；

l 網(wǎng)絡(luò)訪問控制——8條要求，對網(wǎng)絡(luò)邊界控制防范、邊界連接的控制提出了管理要求；

l 安全審計(jì)—— 4條要求，對包括設(shè)備、事件和用戶等目標(biāo)的日志系統(tǒng)提出管理要求；

l 邊界完整性檢查——2條要求，對接入規(guī)范和防內(nèi)網(wǎng)外聯(lián)提出了管理要求；

l 入侵防范——2條要求，對網(wǎng)絡(luò)邊界應(yīng)用級攻擊的檢測防范提出了管理要求；

l 惡意代碼防范——2條要求，對網(wǎng)絡(luò)邊界惡意代碼防范和代碼庫的升級提出的管理要求；

l 網(wǎng)絡(luò)設(shè)備防護(hù) ——8條要求，對設(shè)備管理的安全性提出了管理要求。

經(jīng)過分析，等保網(wǎng)絡(luò)安全部分的管理要求在很大程度上與邊界設(shè)備和終端系統(tǒng)直接相關(guān)，邊界設(shè)備的安全和管理功能，終端系統(tǒng)的功能和用戶管理功能，可以直接覆蓋絕大部分網(wǎng)絡(luò)安全的管理要求條款。

三、 H3C三級安全等保解決方案

H3C 提供的包括網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全融合方案，基于iMC的終端管理等業(yè)務(wù)軟件全面覆蓋了等保網(wǎng)絡(luò)安全7大項(xiàng)，33小項(xiàng)的絕大部分（如圖2所示）。

圖2 H3C醫(yī)院三級等保網(wǎng)絡(luò)安全解決方案

1. 網(wǎng)絡(luò)訪問控制管理

一般規(guī)模的醫(yī)院網(wǎng)絡(luò)都采用二層結(jié)構(gòu)，即全院網(wǎng)關(guān)終結(jié)在核心交換機(jī)；同時(shí)醫(yī)院的數(shù)據(jù)流量絕大部分都是縱向流量（即終端訪問服務(wù)器的流量），橫向流量（終端之間的訪問流量）基本沒有。在這樣的流量模型下，盡管內(nèi)網(wǎng)與公網(wǎng)隔離，但還有如下內(nèi)容要進(jìn)行安全保護(hù)。

l 服務(wù)器區(qū)域：要防范的是“家賊”，即內(nèi)部數(shù)據(jù)泄露或病毒DDoS攻擊。

l 與無線網(wǎng)絡(luò)的連接鏈路：無線網(wǎng)絡(luò)的開放性使其通常被認(rèn)為是不安全的。

l 與外聯(lián)單位的連接鏈路：外聯(lián)單位屬于網(wǎng)絡(luò)邊界。

安全插卡的優(yōu)勢體現(xiàn)在兩點(diǎn)：

傳統(tǒng)醫(yī)院服務(wù)器大都直接連在核心交換機(jī)上，在進(jìn)行服務(wù)器的防范時(shí)，如果采用外接安全設(shè)備，不得不把安全設(shè)備串接在服務(wù)器和核心交換機(jī)之間或者進(jìn)行流量重定向，即需要對原來的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行改造；

（如圖2所示）所有的硬件安全產(chǎn)品（FW、IPS和流量探針）都采用插卡形式，通過其虛擬化功能，即1塊插在交換機(jī)中的安全插卡可以虛擬化成多個(gè)同功能的安全產(chǎn)品，可以進(jìn)行上述不同線路上的安全防范。

H3C安全插卡解決方案可以滿足三級等保網(wǎng)絡(luò)安全技術(shù)條款中的11條（網(wǎng)絡(luò)訪問控制、入侵防范和惡意代碼防范）。

2. 審計(jì)報(bào)表規(guī)范

醫(yī)院業(yè)務(wù)關(guān)系到民生，而且是7*24小時(shí)提供服務(wù)，因此醫(yī)院的網(wǎng)絡(luò)建設(shè)首先要考慮可靠性，因此選擇的網(wǎng)絡(luò)產(chǎn)品通常會(huì)高于業(yè)務(wù)流量的實(shí)際需求，引發(fā)的問題是大部分醫(yī)院并不知道自己實(shí)際的流量模型，即各個(gè)服務(wù)器、各種業(yè)務(wù)的訪問高峰、整個(gè)網(wǎng)絡(luò)流量分布圖等。

H3C的NTA+iAR+UBA方案可以實(shí)現(xiàn)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄，通過交換機(jī)上的Netstream卡配合iMC的NTA、iAR和UBA組件，完美的實(shí)現(xiàn)了醫(yī)院網(wǎng)絡(luò)流量和用戶行為數(shù)據(jù)的統(tǒng)計(jì)、分析和報(bào)表輸出。

H3C審計(jì)報(bào)表規(guī)范解決方案可以滿足三級等保網(wǎng)絡(luò)安全技術(shù)條款中的3條（安全審計(jì)部分）。

3. 網(wǎng)絡(luò)邊界完整性檢查

目前醫(yī)院的網(wǎng)絡(luò)分布，在很多地方是既有內(nèi)網(wǎng)口又有外網(wǎng)口。醫(yī)務(wù)人員對工作地點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)熟悉后，會(huì)出現(xiàn)自行把醫(yī)用終端從內(nèi)網(wǎng)移到外網(wǎng)，違規(guī)訪問外網(wǎng)后再接回內(nèi)網(wǎng)的情況。目前針對此問題，醫(yī)院想到的方法通常是MAC地址和端口綁定，但引發(fā)的問題是維護(hù)工作量巨大，使得很多醫(yī)院對此解決方案望而卻步。同時(shí)，隨著各種醫(yī)務(wù)自助機(jī)應(yīng)用的普及，內(nèi)網(wǎng)接入點(diǎn)也延伸到公共區(qū)域，給醫(yī)院內(nèi)網(wǎng)新增了不安全性。三級等保安全標(biāo)準(zhǔn)7.1.2.4節(jié)中對邊界完整性檢查有2條明確要求：

 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到網(wǎng)絡(luò)的行為進(jìn)行檢查，并準(zhǔn)確定出位置，對其進(jìn)行有效阻斷；

 應(yīng)能夠?qū)��?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷。

可以看出，單純的MAC地址與端口綁定已不能滿足三級等保標(biāo)準(zhǔn)的要求；同時(shí)存在仿冒MAC地址的漏洞，即非法終端可以把自己MAC地址改成合法MAC后接入網(wǎng)絡(luò)。為解決這些問題，H3C采用EAD端點(diǎn)終入控制系統(tǒng)來進(jìn)行醫(yī)用終端的安全接入。EAD中的iNode客戶端可以防MAC篡改，即iNode發(fā)現(xiàn)終端的物理MAC和管理MAC不一致時(shí)禁止認(rèn)證。同時(shí)，防內(nèi)網(wǎng)外聯(lián)功能，使得醫(yī)用終端只能接入內(nèi)網(wǎng)。退一步講，如果醫(yī)院認(rèn)為無法接受醫(yī)用終端上安裝客戶端軟件，在能接受存在仿冒MAC地址漏洞的前提下，可以使用以MAC地址為認(rèn)證信息的啞終端認(rèn)證方式。它與傳統(tǒng)的MAC地址端口綁定方案的優(yōu)勢是所有管理維護(hù)工作都在集中的服務(wù)器側(cè)，而不是分散的網(wǎng)絡(luò)交換機(jī)側(cè)，從而大大降低維護(hù)工作量。

H3C網(wǎng)絡(luò)邊界完整性檢查解決方案可以滿足三級等保網(wǎng)絡(luò)安全技術(shù)條款中的8條（網(wǎng)絡(luò)訪問控制部分、網(wǎng)絡(luò)邊界完整性檢查部分、訪問控制部分）。

4. 網(wǎng)絡(luò)設(shè)備防護(hù)

目前醫(yī)院的網(wǎng)絡(luò)設(shè)備管理通常有兩種方式：集成管理平臺和設(shè)備分散遠(yuǎn)程登錄管理。對于后者，目前主流管理方法還是通過Telnet遠(yuǎn)程管理。由于設(shè)備數(shù)量多維護(hù)工程量大，出于維護(hù)的便利性，設(shè)備的登錄用戶口令通常是所有設(shè)備相同且永遠(yuǎn)不變，甚至網(wǎng)管人員更換后也不會(huì)更換設(shè)備的用戶口令。

對于設(shè)備的遠(yuǎn)程登錄管理，等保標(biāo)準(zhǔn)也有一些要求，如采用加密的SSH替代明文的Telnet、雙因子認(rèn)證等�；�于以上需求，H3C推出的TAM方案可以解決上述問題。網(wǎng)絡(luò)設(shè)備的登錄認(rèn)證通過標(biāo)準(zhǔn)的TACACS協(xié)議與TAM服務(wù)器通信，設(shè)備的用戶名口令在服務(wù)器側(cè)統(tǒng)一管理，而口令管理也可以接合Token卡等動(dòng)態(tài)密碼機(jī)制以實(shí)現(xiàn)登錄的雙因子認(rèn)證。不僅更改登錄用戶名與口令變得方便，通過TAM對設(shè)備的任何遠(yuǎn)程操作都有記錄，便于問題的回溯管理。

H3C網(wǎng)絡(luò)設(shè)備防護(hù)解決方案可以滿足三級等保網(wǎng)絡(luò)安全技術(shù)條款中的7條（網(wǎng)絡(luò)設(shè)備防護(hù)部分）。

四、 無線安全解決方案

從醫(yī)院無線網(wǎng)絡(luò)的建議模式來看，通常分為運(yùn)營商代建和醫(yī)院自建兩種。無論哪種建設(shè)模式，無線技術(shù)本身安全性的問題都無法回避。不像有線網(wǎng)絡(luò)，只要不提供接入點(diǎn)，就無法侵入；無線是開放的，任何外來人員都可以和內(nèi)部人員一樣接收到無線信號，所以必須進(jìn)行接入認(rèn)證安全保護(hù)。但如果像家庭一樣只提供密碼接入保護(hù)，那么無線網(wǎng)絡(luò)的安全形同虛設(shè)，因?yàn)檎�網(wǎng)單一的密碼很容易外泄。

除了文章開篇提到內(nèi)網(wǎng)及外網(wǎng)業(yè)務(wù)，運(yùn)營商代建的無線網(wǎng)絡(luò)還提供公共無線網(wǎng)接入(如電信的ChinaNet、移動(dòng)的CMCC等)。公網(wǎng)和私網(wǎng)的混用還會(huì)引入更多的安全問題。

另外，無線終端比傳統(tǒng)的醫(yī)用終端更容易做接入網(wǎng)絡(luò)切換，而考慮到病毒和木馬的防范，醫(yī)院不希望用于內(nèi)網(wǎng)的無線終端在訪問外網(wǎng)后再接入內(nèi)網(wǎng)。

醫(yī)院的無線網(wǎng)絡(luò)安全方案的構(gòu)建需要考慮以下幾個(gè)問題：

 考慮到醫(yī)院的業(yè)務(wù)模式，傳統(tǒng)的用戶名口令無法作為唯一的認(rèn)證因素，原因是醫(yī)生護(hù)士的用戶名口令幾乎是半公開的。那么如何識別醫(yī)院的合法移動(dòng)終端？

 隨著平板電腦和智能手機(jī)的普及，傳統(tǒng)的移動(dòng)推車+PDA的應(yīng)用受到?jīng)_擊。如何支持新型的移動(dòng)終端？

 如何防止合法終端接入運(yùn)營商提供的無線網(wǎng)絡(luò)？

 對于運(yùn)營商承建的無線網(wǎng)絡(luò)，如何防止登錄公共無線網(wǎng)絡(luò)的用戶的黑客入侵？

針對以上需求，根據(jù)醫(yī)院對安全級別考慮的不同，H3C提供以下幾種方案：

 EAD端點(diǎn)準(zhǔn)入控制方案；

 移動(dòng)終端證書認(rèn)證方案；

 啞終端接入控制方案。

其中EAD端點(diǎn)準(zhǔn)入控制方案安全級別最高，可以解決目前考慮到的所有問題，但需要在移動(dòng)終端上安裝iNode客戶端軟件。證書認(rèn)證方案可以完美地實(shí)現(xiàn)用戶安全認(rèn)證，但無法做到控制合法終端登錄其它無線網(wǎng)絡(luò)。啞終端接入控制方案不需要安裝任何客戶軟件，但具有MAC地址仿冒的漏洞，同時(shí)也無法做到控制合法終端登錄其它無線網(wǎng)絡(luò)。

這三種方案的共性都是在無線網(wǎng)絡(luò)中提供認(rèn)證網(wǎng)關(guān)。如果無線網(wǎng)是醫(yī)院自建的，則AC可以兼做認(rèn)證網(wǎng)關(guān)。如果無線網(wǎng)是運(yùn)營商代建的，考慮到無線的設(shè)備產(chǎn)權(quán)及運(yùn)維都是運(yùn)營商負(fù)責(zé)，需要在AC與有線網(wǎng)絡(luò)之間單獨(dú)部署認(rèn)證網(wǎng)關(guān)（如圖3所示）。

圖3 無線安全認(rèn)證系統(tǒng)部署

結(jié)束語

醫(yī)院的三級安全等保技術(shù)要求，既有與其它行業(yè)要求的共性，又有其自己的特點(diǎn)。這些要求中除了網(wǎng)絡(luò)層面的，還包括機(jī)房、主機(jī)、應(yīng)用和數(shù)據(jù)安全。

三級安全等保對醫(yī)院既是一次命題考試，又是一次切實(shí)提升醫(yī)院安全能力的好機(jī)會(huì)。作為安全等保技術(shù)要求的主要部分——網(wǎng)絡(luò)安全，因其分散、覆蓋面廣和難以管理，也是整個(gè)等保安全的難點(diǎn)。H3C從網(wǎng)絡(luò)與安全融合、終端與邊界融合、集中與分級融合等多個(gè)維度，覆蓋了包括結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性、入侵防范、惡意代碼入侵和設(shè)備防護(hù)在內(nèi)的絕大多數(shù)技術(shù)要求，提供了完整的醫(yī)院三級等保方案。