◆魏帅岭 侯立根 李 星 白 雷

三级等级保护下医院网络边界安全的防护与设计

◆魏帅岭 侯立根 李 星 白 雷

（邯郸市中心医院信息科 河北 056001）

随着信息技术的迅猛发展和互联网+医疗的兴起，信息安全在医院信息化建设中越来越重要。2017年，国家网络安全法正式生效，信息安全等级保护工作全面展开。如何在医院的网络边界建立安全、可靠、高效的防护体系，是医院的信息化建设中面临的重要课题。本文按照等级保护的要求，对医院的网络边界的现状和需求进行了系统的分析。同时结合健康管理系统，介绍了医院构建的以下一代防火墙及网闸为核心的网络边界安全系统。

信息安全；等级保护；网络边界；医院信息化

近年来，随着互联网技术的发展，医院信息化程度已成为医院现代化的重要指标，以“互联网+医疗”为代表的新兴热点不断冲击着传统医疗行业。信息安全的重要性也随之不断提升，医院信息系统的安全和稳定将直接关系到医院的正常运行。

近年来，各种信息安全事故频发，对医院的信息网络系统和数据的安全造成严重的威胁。2017年6月1号，《中华人民共和国网络安全法》正式施行，条文中明确规定国家实行网络安全等级保护制度，标志着医院信息安全建设进入了一个新的阶段。

2017年10月份我院信息系统正式通过了评审验收，达到信息系统安全等级保护三级标准。同时根据新形势、新要求不断持续改进提升，在2018年底再度通过三级等级保护的复审。其中网络边界的安全防护是等级保护要求中的重要内容。把安全级别不同的网络相连，就有了网络边界，需要在网络边界上面建立安全的、可靠的防御措施，以此来防止来源于网络外界的病毒、黑客、网络攻击等等的恶意或未授权的入侵行为。

1 现状与分析

1.1 医院网络边界现状

目前医院网络边界的数据交互主要两个特点，一个是访问数据量大，另一个是网络复杂性高。

图1 医院网络系统

如图1所示，现阶段由于医院业务的需求，内网系统需要与诸多外部系统进行数据交换。主要的交换分为三种：第一，诸如城乡职工医疗保险、用血直报结算等传统业务网络；第二，随着互联网+医疗的发展，移动支付、手机预约挂号、手机检验报告查询、健康体检管理、导诊机器人、云存储备份等移动互联系统的需求和使用越来越广泛，与互联网的数据交互也与日俱增；第三，为了响应分级诊疗政策及满足精准医疗需求，医院建立了邯郸市医疗联合体大数据中心和精准医疗中心，签约合作的医疗机构数量与日增加，相关专用通信网络的业务量也呈快速上升趋势。这就形成了复杂的、高并发的及高交换量的网络边界，网络边界的安全维护形势严峻。

另一方面，网络边界的复杂性不仅体现在网络线路上，还体现网络边界访问类型上。随着医院涉外网络业务的增多，医院内网对外部开放的端口也相应地增加。同时各软件和服务厂家使用的服务类型也不尽相同，医院网络边界涉及的网络服务访问类型也越来越多样化，如健康管理系统使用IIS、预约挂号系统使用Webservice、药品管理系统使用Tomcat、儿保系统使用Apache等。

1.2 边界安全需求

边界访问控制：访问控制是边界安全中最基本的需求，能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，实现端口级的控制精度；同时对进出网络的信息内容进行检查，对数据流合法性进行识别。

边界完整性检测：根据《信息系统安全等级保护基本要求》，应能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。在检测时应做到以下几点：

（1）对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；

（2）对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。

边界恶意代码防范：病毒爆发呈上涨趋势，病毒与黑客程序相结合，蠕虫病毒更加泛滥，2017年上半年勒索病毒爆发就是典型的实例。边界恶意代码防范主要需要实现以下功能：

（1）应在网络边界处对恶意代码进行检测和清除；

（2）应维护恶意代码库的升级和检测系统的更新。

1.3 设计原则

重点保护原则：根据医院信息系统的特点、重要性和等级保护的要求，划分各系统的安全保护等级，集中优势资源保护核心，实现重点系统重点保护，最终效果满足《信息系统安全等级保护基本要求》的规定。

全面防护原则：充分考虑到各个层面的安全风险，在技术层面进行安全防护措施设计，兼顾管理措施的设计，双管齐下，保证各种安全措施形成一个纵深的安全防护体系，保证信息系统整体的安全保护能力。

动态调整原则：医院网络安全等级保体系的建设是一项持续性工程，因此要根据信息系统实时的变化情况，动态调整安全保护措施，有步骤、有计划的推进医院网络安全体系的建设。

2 主要安全设备及功能

2.1 防火墙

防火墙的是实质是一种隔离技术，主要是通过防火墙上的安全策略将信息系统内部网络与外部网络隔离，对未经授权的访问和数据进行筛选，从而保护内部网免受非法用户的侵入，同时，还能够记录用户的操作及访问记录，保护内网的数据安全。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。在防火墙上进行安全访问控制策略设置，实现特定的用户才能通过特定端口访问特定服务与数据。

医院使用的下一代防火墙除了传统的防护功能外，安全同时包含入侵检测防御（IPS）系统、防病毒（AV）、web应用防护（WAF）和抗拒绝服务等模块。

入侵检测是一种主动保护网络免受攻击的安全技术，通过对数据包的实时监测，及时监测出入侵者对网络和数据发起的攻击，当监测到攻击时，能够记录攻击源IP、攻击类型、攻击目的、攻击时间，并在。发生严重入侵事件时应提供报警。在策略中添加了入侵检测防御功能和防病毒功能，实现了对CGI攻击、RPC攻击、信息窃取、网络数据库攻击、端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和蠕虫攻击等安全威胁的有效防护。

病毒防护模块能够对交换的数据进行防病毒扫描，从而确保系统和数据的安全。

Web安全防护是针对web应用服务器的安全防护（健康管理、移动办公OA），WAF通过对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求，如SQL注入、CSRF攻击、跨站点脚本、恶意扫描等攻击进行有效的实时阻断。

2.2 网闸

网闸（GAP）全称安全隔离网闸。安全隔离网闸是一种带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备，网闸能够实现物理隔离。网闸分为2+1结构及三层结构。医院内采用主要是三层结构网闸，如图2所示，硬件主要由三部分组成：外部处理单元（外端机）、内部处理单元（内端机）、仲裁处理单元（仲裁机），各单元之间采用了隔离安全数据交换单元，内端机和外端机通过专用硬件与仲裁机相连。

图2 三层结构网闸的物理结构及仲裁系统结构

网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议"摆渡"，且对固态存储介质只有"读"和"写"两个命令。由仲裁机担任的“安全检查员”对从网络协议包中剥离出来的应用层信息进行安全检查，与此同时，仲裁系统还会对检查结果进行审计。所以，安全隔离网闸在物理上实现了隔离、阻断了具有潜在攻击可能的一切连接，使"黑客"无法入侵、无法攻击、无法破坏，实现了真正的安全。

网闸采用硬件加密和密码相结合方式，只有通过跨域管理中心，使用专用的登录工具，才能对网闸进行管理和配置，同时系统提供管理员身份鉴别功能，并借助强有力的安全策略来保证鉴别的有效性和安全性，如使用硬件秘钥。对于特定的应用，如FTP、HTTP、邮件、Telnet、数据库，都有独立的交换策略，需要做出针对性的配置。

3 防护体系设计及测试

3.1 应用实例

本文以医院的健康管理系统为例，说明我院网络边界的安全设计。健康管理系统是我院互联网+医疗战略重要组成部分，该系统专门针对体检中心用户使用的应用。体检用户在体检之后可以通过APP、微信或网页端，在手机或者电脑上通过互联网随时查看自己的体检结果、体检报告。同时根据体检结果及以往的体检数据，该系统能够为用户提供动态与静态的健康分析结果及针对性的建议等信息，是实现互联网+医院的重要战略。

图3 医院健康管理系统拓扑图

健康管理系统数据库位于医院内部业务网的体检中心服务器上，Internet访问其数据和服务首先要访问到医院办公网，再由医院外网访问医院内网，这主要涉及两个边界，互联网公网与医院外网，医院外网核心与医院内部业务网。我们通过采用前置服务器的方式，将网闸应用到防护系统当中，在传统的DMZ区域防护的基础上构建了专用于访问医院内网服务和数据的前置区域。将健康管理的IIS应用部署到前置机上，端口为4415，在防火墙上启用策略，只允许DMZ区域的医院办公网访问前置机的4415端口，同时在公网防火墙上也部署策略，只开放前置机对应地址的4415端口，实现公网访问前置机的IIS。在网闸上开放体检中心服务器的1521端口，使前置机能够访问健康管理的数据库。

第一层防护：实现公网与医院外网核心交换机的隔离，医院互联网边界安全的第一道防线；第二层防护：实现外置机与医院互联网隔离。第二层防火墙与第三层网闸之间形成前置区域，前置机对外网及内网的数据访问分别通过防火墙和网闸实现了严格的控制；第三层防护：前置机与内网之间。

第一层和第二层边界的防护措施主要由防火墙构成，入侵检测防御（IPS）系统、防病毒、web应用防护和抗拒绝服务部署在这两层防御体系中。第三层防护主要由网闸组成，将健康管理服务部署到外置机上，然后前置机通过网闸实现与内网体检服务器的数据交换，实现医院内部网与外网的物理隔绝，从而构筑的内网系统与外部网络的最后一道坚固防线。

这样一方面实现了医院内网与外网的硬件隔离，将数据交换程序部署到前置区域的前置机上，同时在医院的网络边界实现了如图3所示的三层边界防护系统，形成了纵深防御系统。

3.2 测试结果

2018年12月，我院与第三方公司配合进行网络边界渗透测试，未发现漏洞。

2019年8月，邯郸市公安局网监对全市29家医院、学校等事业单位进行网络安全攻防演练，通过外网边界对业务内网进行入侵渗透测试。演练持续两天，医院网络边界防护系统对网监的7次攻击进行了有效的阻断。

4 结束语

总而言之，基于等级保护的要求，结合医院的实际网络和系统应用情况，对医院的网络边界安全设计进行研究，制定完整的安全设计方案具有重要意义：在促进了医院等级保护工作的顺利开展同时，提升医院信息系统安全性，保证医院网络安全。通过设计安装下一代防火墙、网闸等多设备构建了多层次纵深保护体系，大大提高了网络边界的安全防御能力，将安全风险进一步降低，有效保证了医院的信息网络安全。同时，医院的信息安全工作是一项动态的持续性工作，根据医院信息系统的变化和等级保护要求的变更，需要不断调整和改进信息安全防护体系。

[1]GA/T 1390.5-2017 《网络安全等级保护基本要求》.

[2]郎漫芝，王晖，邓小虹.医院信息系统信息安全等级保护的实施探讨[J].计算机应用与软件，2013，30（1）：206-208.

[3]王俊.基于等级保护的医院网络区域边界安全研究[J]. 中国数字医学，2013，8（3）：96-98.

[4]张健.等保体系中的边界安全设计[J].网络安全技术与应用，2015（3）：87-87.

[5]邹陆曦，胡广禄，孙玲.三甲医院信息安全等级保护的实施及应用[J].中国数字医学，2015（2）：84-86.

[6]王颖.加强医院信息系统安全管理[J].中国病案，2009， 10（7）：26-27.

[7]王磊，魏晓艳，郎爽，等.医院信息安全等级保护三级评测的应用与实践[J].中国数字医学，2015（2）：81-83.

[8]颜海威.医院信息系统三级等保建设思路[J].电脑知识与技术，2016，12（30）：40-41.

[9]王洲.医院内外网互联中的边界安全防护[J].电脑编程技巧与维护，2015（6）：89-91.

[10]胡建理，李小华，周斌. 一种基于安全隔离网闸技术的医院内部网安全解决方案[J].医疗卫生装备，2010，31（7）：44-45.