醫(yī)院信息化安全是現(xiàn)在所有醫(yī)院面臨的重要課題。為了更好的保證醫(yī)院信息安全，2011年底，衛(wèi)生部先后下達85號通知和1126號通知，要求全國衛(wèi)生行業(yè)各單位全面開展信息安全等級保護工作，于2015年12月30日前完成等保建設整改并通過等級測評。

2007年由公安部下發(fā)的43號令拉開了各行業(yè)信息安全等保建設的序幕，2008年頒布的國標《GB/T22239-2008信息安全技術-信息系統(tǒng)安全等級保護基本要求》是信息系統(tǒng)安全等保的建設標準。衛(wèi)生部下發(fā)的“85號通知”中的等保工作指導意見明確要求全國所有三甲醫(yī)院核心業(yè)務信息系統(tǒng)的安全保護等級原則上不低于第三級，哪些系統(tǒng)是核心業(yè)務信息系統(tǒng)則由各地區(qū)自己定義，比如上海最終規(guī)定的核心業(yè)務信息系統(tǒng)是HIS、LIS和RIS。

圖1醫(yī)院網(wǎng)絡現(xiàn)狀

（如圖1所示）醫(yī)院的網(wǎng)絡根據(jù)承載業(yè)務的不同可劃分為內(nèi)網(wǎng)、外網(wǎng)和設備網(wǎng)，其中：

?內(nèi)網(wǎng)即醫(yī)院的醫(yī)務生產(chǎn)網(wǎng)，承載所有業(yè)務應用系統(tǒng)，包括大家熟知的HIS、PACS、LIS等系統(tǒng)；

?外網(wǎng)即與Internet相聯(lián)的網(wǎng)絡，承載的業(yè)務包括郵件、OA等；

?設備網(wǎng)是一張新興的網(wǎng)，承載IP化的智能化弱電系統(tǒng)，包括：公共廣播、門禁、樓控、安防視頻監(jiān)控等。

各醫(yī)院實際網(wǎng)絡建設模式會有不同。傳統(tǒng)的是內(nèi)外網(wǎng)物理隔離，但仍有相當一部分是內(nèi)外網(wǎng)物理合一、邏輯隔離。內(nèi)網(wǎng)實際上也有外部連接，如醫(yī)保、公共衛(wèi)生、新農(nóng)合、銀行等；但這些連接都是內(nèi)網(wǎng)與內(nèi)網(wǎng)通過專線連接，且通過前置機進行數(shù)據(jù)訪問。

醫(yī)院的網(wǎng)絡根據(jù)承載介質(zhì)的不同可分為有線網(wǎng)絡和無線網(wǎng)絡。根據(jù)傳統(tǒng)習慣，如果不特別說明，上述的內(nèi)網(wǎng)、外網(wǎng)和設備網(wǎng)均特指有線網(wǎng)絡。但實際上無線網(wǎng)絡承載的業(yè)務也有內(nèi)外網(wǎng)之分。有的醫(yī)院無線網(wǎng)只承載內(nèi)網(wǎng)業(yè)務，如無線查房、無線護理、無線補液等；有的醫(yī)院無線網(wǎng)不僅承載內(nèi)網(wǎng)業(yè)務，還會提供與外網(wǎng)相關的業(yè)務，如員工外網(wǎng)業(yè)務、病房VIPInternet業(yè)務等。無線網(wǎng)絡中的內(nèi)網(wǎng)業(yè)務都要訪問HIS、RIS等核心業(yè)務信息系統(tǒng)，所以作為有線網(wǎng)絡的有效補充，無線網(wǎng)絡也應是三級安全等保檢查中的一部分。

如前所述，大部分地區(qū)規(guī)定的核心業(yè)務信息系統(tǒng)都是內(nèi)網(wǎng)業(yè)務，即三級安全等保只與醫(yī)院的內(nèi)網(wǎng)業(yè)務系統(tǒng)相關，而對于內(nèi)外網(wǎng)物理隔離的工作場景，與傳統(tǒng)的以防范Internet業(yè)務為主的安全解決方案明顯不同。

一、安全等保的測評對象

GB/T22239-2008中的三級安全等保標準共290項內(nèi)容，由技術（136項）和管理（154項）2部分組成；技術要求中分為物理、網(wǎng)絡、主機、應用和數(shù)據(jù)安全5部分。根據(jù)各地的自有特點，以提高系統(tǒng)的安全性為目的，各地的等保測評機構會進行標準的補充。

醫(yī)院的信息系統(tǒng)有幾十種，除了明確定級為三級的核心業(yè)務信息系統(tǒng)，其它業(yè)務系統(tǒng)如何處理？拿上海為例，HIS、LIS和RIS定級為三級信息系統(tǒng)，那么這3個系統(tǒng)之外的如EMR、臨床路徑系統(tǒng)等如何考慮？實際上等保的第一項工作即是給本單位信息系統(tǒng)分類定級，根據(jù)系統(tǒng)重要性的不同，進行不同級別的定級。如果某個系統(tǒng)與核心業(yè)務系統(tǒng)同樣重要，可另外定為三級；其它系統(tǒng)可以定為二級。定為二級的系統(tǒng)按照二級安全等保標準進行建設和測評。

對于二級或三級的業(yè)務信息系統(tǒng)，其安全運行所需要的機房、鏈路、網(wǎng)絡、服務器、存儲、操作系統(tǒng)、應用軟件等都是測評對象。

二、安全等保網(wǎng)絡安全解讀

作為安全等保的重要組成部分，網(wǎng)絡安全因其分散、覆蓋面廣的特點，是等保評測的重點，也是醫(yī)院信息安全的難點。在等保三級標準內(nèi)容中，網(wǎng)絡安全共分為7部分，共33條：

l結(jié)構安全——7條要求，對整體網(wǎng)絡架構、帶寬和設備性能提出了管理要求；

l網(wǎng)絡訪問控制——8條要求，對網(wǎng)絡邊界控制防范、邊界連接的控制提出了管理要求；

l安全審計——4條要求，對包括設備、事件和用戶等目標的日志系統(tǒng)提出管理要求；

l邊界完整性檢查——2條要求，對接入規(guī)范和防內(nèi)網(wǎng)外聯(lián)提出了管理要求；

l入侵防范——2條要求，對網(wǎng)絡邊界應用級攻擊的檢測防范提出了管理要求；

l惡意代碼防范——2條要求，對網(wǎng)絡邊界惡意代碼防范和代碼庫的升級提出的管理要求；

l網(wǎng)絡設備防護——8條要求，對設備管理的安全性提出了管理要求。

經(jīng)過分析，等保網(wǎng)絡安全部分的管理要求在很大程度上與邊界設備和終端系統(tǒng)直接相關，邊界設備的安全和管理功能，終端系統(tǒng)的功能和用戶管理功能，可以直接覆蓋絕大部分網(wǎng)絡安全的管理要求條款。

三、H3C三級安全等保解決方案

H3C提供的包括網(wǎng)絡設備、網(wǎng)絡安全融合方案，基于iMC的終端管理等業(yè)務軟件全面覆蓋了等保網(wǎng)絡安全7大項，33小項的絕大部分（如圖2所示）。

圖2H3C醫(yī)院三級等保網(wǎng)絡安全解決方案

1.網(wǎng)絡訪問控制管理

一般規(guī)模的醫(yī)院網(wǎng)絡都采用二層結(jié)構，即全院網(wǎng)關終結(jié)在核心交換機；同時醫(yī)院的數(shù)據(jù)流量絕大部分都是縱向流量（即終端訪問服務器的流量），橫向流量（終端之間的訪問流量）基本沒有。在這樣的流量模型下，盡管內(nèi)網(wǎng)與公網(wǎng)隔離，但還有如下內(nèi)容要進行安全保護。

l服務器區(qū)域：要防范的是“家賊”，即內(nèi)部數(shù)據(jù)泄露或病毒DDoS攻擊。

l與無線網(wǎng)絡的連接鏈路：無線網(wǎng)絡的開放性使其通常被認為是不安全的。

l與外聯(lián)單位的連接鏈路：外聯(lián)單位屬于網(wǎng)絡邊界。

安全插卡的優(yōu)勢體現(xiàn)在兩點：

?傳統(tǒng)醫(yī)院服務器大都直接連在核心交換機上，在進行服務器的防范時，如果采用外接安全設備，不得不把安全設備串接在服務器和核心交換機之間或者進行流量重定向，即需要對原來的網(wǎng)絡結(jié)構進行改造；

?（如圖2所示）所有的硬件安全產(chǎn)品（FW、IPS和流量探針）都采用插卡形式，通過其虛擬化功能，即1塊插在交換機中的安全插卡可以虛擬化成多個同功能的安全產(chǎn)品，可以進行上述不同線路上的安全防范。

H3C安全插卡解決方案可以滿足三級等保網(wǎng)絡安全技術條款中的11條（網(wǎng)絡訪問控制、入侵防范和惡意代碼防范）。

2.審計報表規(guī)范

醫(yī)院業(yè)務關系到民生，而且是7*24小時提供服務，因此醫(yī)院的網(wǎng)絡建設首先要考慮可靠性，因此選擇的網(wǎng)絡產(chǎn)品通常會高于業(yè)務流量的實際需求，引發(fā)的問題是大部分醫(yī)院并不知道自己實際的流量模型，即各個服務器、各種業(yè)務的訪問高峰、整個網(wǎng)絡流量分布圖等。

H3C的NTA+iAR+UBA方案可以實現(xiàn)對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄，通過交換機上的Netstream卡配合iMC的NTA、iAR和UBA組件，完美的實現(xiàn)了醫(yī)院網(wǎng)絡流量和用戶行為數(shù)據(jù)的統(tǒng)計、分析和報表輸出。

H3C審計報表規(guī)范解決方案可以滿足三級等保網(wǎng)絡安全技術條款中的3條（安全審計部分）。

3.網(wǎng)絡邊界完整性檢查

目前醫(yī)院的網(wǎng)絡分布，在很多地方是既有內(nèi)網(wǎng)口又有外網(wǎng)口。醫(yī)務人員對工作地點的網(wǎng)絡結(jié)構熟悉后，會出現(xiàn)自行把醫(yī)用終端從內(nèi)網(wǎng)移到外網(wǎng)，違規(guī)訪問外網(wǎng)后再接回內(nèi)網(wǎng)的情況。目前針對此問題，醫(yī)院想到的方法通常是MAC地址和端口綁定，但引發(fā)的問題是維護工作量巨大，使得很多醫(yī)院對此解決方案望而卻步。同時，隨著各種醫(yī)務自助機應用的普及，內(nèi)網(wǎng)接入點也延伸到公共區(qū)域，給醫(yī)院內(nèi)網(wǎng)新增了不安全性。三級等保安全標準7.1.2.4節(jié)中對邊界完整性檢查有2條明確要求：

?應能夠?qū)Ψ鞘跈嘣O備私自聯(lián)到網(wǎng)絡的行為進行檢查，并準確定出位置，對其進行有效阻斷；

?應能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。

可以看出，單純的MAC地址與端口綁定已不能滿足三級等保標準的要求；同時存在仿冒MAC地址的漏洞，即非法終端可以把自己MAC地址改成合法MAC后接入網(wǎng)絡。為解決這些問題，H3C采用EAD端點終入控制系統(tǒng)來進行醫(yī)用終端的安全接入。EAD中的iNode客戶端可以防MAC篡改，即iNode發(fā)現(xiàn)終端的物理MAC和管理MAC不一致時禁止認證。同時，防內(nèi)網(wǎng)外聯(lián)功能，使得醫(yī)用終端只能接入內(nèi)網(wǎng)。退一步講，如果醫(yī)院認為無法接受醫(yī)用終端上安裝客戶端軟件，在能接受存在仿冒MAC地址漏洞的前提下，可以使用以MAC地址為認證信息的啞終端認證方式。它與傳統(tǒng)的MAC地址端口綁定方案的優(yōu)勢是所有管理維護工作都在集中的服務器側(cè)，而不是分散的網(wǎng)絡交換機側(cè)，從而大大降低維護工作量。

H3C網(wǎng)絡邊界完整性檢查解決方案可以滿足三級等保網(wǎng)絡安全技術條款中的8條（網(wǎng)絡訪問控制部分、網(wǎng)絡邊界完整性檢查部分、訪問控制部分）。

4.網(wǎng)絡設備防護

目前醫(yī)院的網(wǎng)絡設備管理通常有兩種方式：集成管理平臺和設備分散遠程登錄管理。對于后者，目前主流管理方法還是通過Telnet遠程管理。由于設備數(shù)量多維護工程量大，出于維護的便利性，設備的登錄用戶口令通常是所有設備相同且永遠不變，甚至網(wǎng)管人員更換后也不會更換設備的用戶口令。

對于設備的遠程登錄管理，等保標準也有一些要求，如采用加密的SSH替代明文的Telnet、雙因子認證等。基于以上需求，H3C推出的TAM方案可以解決上述問題。網(wǎng)絡設備的登錄認證通過標準的TACACS協(xié)議與TAM服務器通信，設備的用戶名口令在服務器側(cè)統(tǒng)一管理，而口令管理也可以接合Token卡等動態(tài)密碼機制以實現(xiàn)登錄的雙因子認證。不僅更改登錄用戶名與口令變得方便，通過TAM對設備的任何遠程操作都有記錄，便于問題的回溯管理。

H3C網(wǎng)絡設備防護解決方案可以滿足三級等保網(wǎng)絡安全技術條款中的7條（網(wǎng)絡設備防護部分）。

四、無線安全解決方案

從醫(yī)院無線網(wǎng)絡的建議模式來看，通常分為運營商代建和醫(yī)院自建兩種。無論哪種建設模式，無線技術本身安全性的問題都無法回避。不像有線網(wǎng)絡，只要不提供接入點，就無法侵入；無線是開放的，任何外來人員都可以和內(nèi)部人員一樣接收到無線信號，所以必須進行接入認證安全保護。但如果像家庭一樣只提供密碼接入保護，那么無線網(wǎng)絡的安全形同虛設，因為整網(wǎng)單一的密碼很容易外泄。

除了文章開篇提到內(nèi)網(wǎng)及外網(wǎng)業(yè)務，運營商代建的無線網(wǎng)絡還提供公共無線網(wǎng)接入(如電信的ChinaNet、移動的CMCC等)。公網(wǎng)和私網(wǎng)的混用還會引入更多的安全問題。

另外，無線終端比傳統(tǒng)的醫(yī)用終端更容易做接入網(wǎng)絡切換，而考慮到病毒和木馬的防范，醫(yī)院不希望用于內(nèi)網(wǎng)的無線終端在訪問外網(wǎng)后再接入內(nèi)網(wǎng)。

醫(yī)院的無線網(wǎng)絡安全方案的構建需要考慮以下幾個問題：

?考慮到醫(yī)院的業(yè)務模式，傳統(tǒng)的用戶名口令無法作為唯一的認證因素，原因是醫(yī)生護士的用戶名口令幾乎是半公開的。那么如何識別醫(yī)院的合法移動終端？

?隨著平板電腦和智能手機的普及，傳統(tǒng)的移動推車+PDA的應用受到?jīng)_擊。如何支持新型的移動終端？

?如何防止合法終端接入運營商提供的無線網(wǎng)絡？

?對于運營商承建的無線網(wǎng)絡，如何防止登錄公共無線網(wǎng)絡的用戶的黑客入侵？

針對以上需求，根據(jù)醫(yī)院對安全級別考慮的不同，H3C提供以下幾種方案：

?EAD端點準入控制方案；

?移動終端證書認證方案；

?啞終端接入控制方案。

其中EAD端點準入控制方案安全級別最高，可以解決目前考慮到的所有問題，但需要在移動終端上安裝iNode客戶端軟件。證書認證方案可以完美地實現(xiàn)用戶安全認證，但無法做到控制合法終端登錄其它無線網(wǎng)絡。啞終端接入控制方案不需要安裝任何客戶軟件，但具有MAC地址仿冒的漏洞，同時也無法做到控制合法終端登錄其它無線網(wǎng)絡。

這三種方案的共性都是在無線網(wǎng)絡中提供認證網(wǎng)關。如果無線網(wǎng)是醫(yī)院自建的，則AC可以兼做認證網(wǎng)關。如果無線網(wǎng)是運營商代建的，考慮到無線的設備產(chǎn)權及運維都是運營商負責，需要在AC與有線網(wǎng)絡之間單獨部署認證網(wǎng)關（如圖2所示）。

圖2無線安全認證系統(tǒng)部署

結(jié)束語

醫(yī)院的三級安全等保技術要求，既有與其它行業(yè)要求的共性，又有其自己的特點。這些要求中除了網(wǎng)絡層面的，還包括機房、主機、應用和數(shù)據(jù)安全。

三級安全等保對醫(yī)院既是一次命題考試，又是一次切實提升醫(yī)院安全能力的好機會。作為安全等保技術要求的主要部分---網(wǎng)絡安全，因其分散、覆蓋面廣和難以管理，也是整個等保安全的難點。H3C從網(wǎng)絡與安全融合、終端與邊界融合、集中與分級融合等多個維度，