刘浩然 刘彬

摘  要：随着计算机系统等级保护2.0标准的提出，三甲医院核心业务信息系统安全应不低于三级要求，通过对攀枝花市第二人民医院现有组网的网络攻击防护、个人信息保护、运维审计安全、独立区域安全、集中日志审计及安全事件自动分析进行了调查与分析，发现该医院的现有网络设计不具备足够的高可扩展性、高可用性、高灵活性及高安全性，还有极大的提升空间。

关键词：等保2.0;网络安全;网络设计

中图分类号：R197.324      文献标识码：A 文章编号：2096-4706（2020）18-0147-03

Abstract：With the introduction of the computer system grade protection 2.0 standard，the security of the core business information system of the top three hospitals should not be lower than the level three requirements，through investigation and analysis of the existing network of the Second Peoples Hospital of Panzhihua，network attack protection，personal information protection，operation and maintenance audit security，independent area security，centralized log audit and automatic analysis of security events. It was found that the hospitals existing network design did not have sufficient scalability，high availability，high flexibility and high security，as well as great room for improvement.

Keywords：computer system grade protection 2.0;network security;network design

0  引  言

计算机系统等级保护（简称为“等保”）意为对信息安全实现等级化保护和等级化管理，主要是为了保障信息安全和系统安全。自1994年等保概念提出之后，国家相关法律法规及政策不断支持等保工作开展，最新的等保2.0标准以未来的新技术和新应用场景为前提进行制定，以优化为核心，删除已过时或发生变化的方向，针对新形势增加了未知应用防护及个人信息保护等要求，并将安全管理中心从管理层面提升至了技术层面，是适应现在和未来的安全设计标准。

采用传统等保要求进行设计的方案通常有以下四个缺点：首先，系统缺乏必要的体系性考虑与风险处置能力;其次，系统闭环安全要求不足，发生事故后难以及时发现与主动分析;再次，随着云计算、物联网、大数据等新技术的发

展，传统等保方案已不能满足后续的安全需求;最后，新型网络威胁发展极为迅速，系统面对物联感知设备挟持、APT等攻击方式无有效的应对措施。总体而言，采用传统等保要求设计的系统已不具备与当代网络发展现状相匹配的安全性，需要在现行标准与要求下对旧系统方案进行改造与优化。

为进一步实现等保2.0标准在各大重点场合的应用，响应习总书记网络强国的战略，本文作者针对攀枝花市第二人民医院现有组网进行分析，并在其基础上进行改进，通过端口联动提高系统效率、VLAN隔离提高管理便利性、静态路由稳定对外访问通道、划分OSPF域提高系统稳定性、配置下一代防火墙及设置堡垒机提高系统安全性，整體提高系统组网的性能与安全，使得医院关键系统业务能满足等保2.0要求。

1  项目背景

为了更好地保证医院信息安全，2011年卫生部先后下达《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85号）和《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函〔2011〕1126号），要求全国卫生行业各单位全面开展信息安全等级保护工作。《卫生行业信息安全等级保护工作的指导意见》中，明确要求全国所有三甲医院的核心业务信息系统的安全保护等级原则上不低于三级。医院的网络安全是等保评测工作的重点，也是医院信息安全保护的难点。在计算机信息系统安全保护等级划分准则中，明确地定义了用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级与访问验证保护级5个系统级别，并对系统整体网络架构、带宽和设备性能、网络边界控制防范、边界连接的控制、包括设备、事件和用户等目标的日志系统、接入规范和防内网外联、网络边界应用级攻击检测防范、网络边界恶意代码防范和代码库的升级及设备管理的安全性提出了管理要求。

攀枝花市第二人民医院（以下简称“二医院”）是攀西地区的三甲医院。随着互联网技术日益深入到医院运营管理范围，信息化建设已经成为二医院发展的重点与难点内容，电子病历、医患信息等信息安全隐患得到越来越多的关注，对应的安全问题关系到每一位病人的切身利益，如何在保障二医院信息安全的同时确保医院自身业务的连续性，是二医院面临的重要问题。基于此，本方案将以国家相关法律法规为准绳，结合二医院的业务需求，对二医院的网络进行改造设计，以达到医院网络满足国家等保三级标准的目的。

2  需求分析

随着二医院信息化建设的逐步深入，各类业务系统逐渐增多，原有网络设计方案已无法满足医院的现有需求;同时，设备老化、网络带宽不足、网络安全设计缺陷等问题日益突出。经过调研，目前二医院网络建设有以下需求。