汤其宇，王士勇，田鹏

·医学信息技术·

基于等级保护制度2.0下两院区总体安全架构的建设与实现

汤其宇1，王士勇1，田鹏2

1.海军军医大学第三附属医院信息科，上海 200438；2.复旦大学信息化办公室，上海 200433

结合网络安全等级保护制度2.0的工作实践，制定现代数字化医院在两院区结构下总体信息安全架构设计重点和实现方案，对各个功能的网络安全域进行合理地划分隔离及安全设备的增设，提出了以“三个统一”为原则构筑的主动防御安全管理保障体系，使得两院区信息系统的安全防护能力得到有效提升，医院规章制度的完善与工作人员安全意识的提高有助于提升医院整体信息安全管理水平，为其他医院在日后的网络安全建设中提供了借鉴与思路。

等级保护2.0；网络安全；医院信息化；信息系统架构

医院作为保障民生的重要基础设施，提供持续稳定的医疗服务资源是重中之重。随着信息技术的发展，医院业务信息系统建设从原来单纯的电子化更多地转变成互联网化、在线化，使得更多诸如诊疗数据、病例数据等重要敏感数据进入信息系统，构成庞大的医疗基础数据，也导致了不法分子入侵医疗卫生行业的关键信息基础设施以求获取高价值医疗数据等的恶性相关事件频发[1]。由此可见，保护医疗基础数据已成为信息时代里医院面临的一个关键任务[2]。2019年国家发布《信息安全技术——网络安全等级保护基本要求》（GB/T 22239—2019）[3]将传统的被动防护模式提升为主动安全防御架构[4]，推动医疗卫生行业建立更加全面的安全保障。

传统的单院区架构技术框架成熟，建设成本较低，但是面对两院区的情况，现有技术已经无法满足实际的信息化使用需求，无论是数据安全保护还是应用冗余灾备等相关基本保障，都难以做到较为完善的恢复方案，一旦发生较大面积的物理破坏或自然灾害等不可抗力情况，医院将面临业务中断的高危风险。为此，采用两院区模式的安全架构设计能够有效提高其安全防护能力，在原有单院区建设的基础上，对两院区的网络边界、业务系统、设备管理和应用数据进行统一管理与整合，形成一套完整的安全运营平台，保障整个医院的系统数据中心、网络、终端及应用数据安全，全面提升医院信息基础设施的安全防护能力。本研究在两院区场景下，对于开展医院信息化网络安全等级保护制度2.0（以下简称等保2.0）保护条例建设进行实践探索与总结探讨。

1 背景与现状

1.1 等保2.0保护条例简介

等保2.0保护条例在等保1.0的基础上进行更新完善，其最大的优化之处是设立安全管理中心为主体核心，以安全通信网络为支撑，安全区域边界为保障，安全计算环境为基础的三重防御结构进行全面安全管控。同时，技术方面深化了访问控制、安全审计和入侵与恶意代码防范的防护标准，并增加可信验证与隐私数据保护等相关要求；管理方面提出以系统、审计、安全三层次统一集中管控的相关要求[5]。

1.2 当前医院现状

目前，医院的网络架构大多从初期的单院区建设沿用至今，随着院区的扩建与业务的延伸，两院区内安全区域边界模糊不清，同一网段的服务器和终端存在横向无阻碍通信的风险，拓扑上串联的网络设备和安全管理设备存在单点运行的情况，冗余设备形同虚设。另外，两院区内网的终端也存在不经过任何信任机制便可入网的安全隐患。与此同时，由于没有规范化的规章办法和安全意识培训，运维人员为图方便使用弱密码直接通过默认端口登录目标设备，医院对于当前复杂化网络态势的安全意识相对淡薄。以上诸多问题致使业务系统屡遭勒索病毒与恶意入侵，导致诊疗服务中断，引起安全事故。

2 建设目标

医院网络安全等保体系是一项长周期持续建设的工程，要本着“三个统一”的原则，即统一防御准则、统一安全强度、统一管理体系，有步骤、有计划、有效率地推动安全防护措施实施，实现防御、检测、响应、恢复的一体化安全建设目标[6]。

2.1 统一防御准则

总体设计上遵循统一纵深防御的准则，充分了解将安全措施组合应用到各区域边界所面临的安全风险。在技术层面落实等保2.0保护条例中提及的各个层次的安全加固方式，兼顾管理层面能力，形成从外到内、自上而下的全面统一防御体系，增强信息系统的整体安全保护能力。

2.2 统一安全强度

将安全防护措施细化至医院每个信息系统的安全域。应从点到面形成一体化防御结构，充分考虑每个区域边界和内部安全防护强度的一致性，防止因某个安全域防护不到位而导致整体的安全防护水平削弱，给不法分子带来可乘之机。

2.3 统一管理体系

建立并落实体系化规章管理制度，满足责任分明、权限清晰、制度健全等要求，运用包括安全运维统一、安全策略统一、安全管理统一等手段，优化运维流程、减轻运维负担、提升运维效率，最终建立一个整体防护主动免疫的信息安全运维管理体系[7]。

3 实现方案

医院两院区总体安全架构实现方案的目标是在医院业务系统的基础上，对全网整体安全设计规划符合等保2.0保护条例的合规性，建立以“安全通信网络”“安全区域边界”“安全计算环境”为板块的主动防御安全管理保障体系，确保敏感数据信息的机密性、信息通信传输的完整性和医院系统业务的可用性[8]。具体的安全实现方案拓扑见图1。

3.1 安全通信网络

网络架构方面，对核心交换区与两院互联区的骨干网络设备采用“通信资源优先保障、报文流量优先处理”的设计主旨。通过服务质量安全机制和双机堆叠的方案满足业务高峰期带宽需要和通信的高可用性要求。同时，核心业务、办公接入等其他功能区域接入骨干网络时，应独立存在于各自的物理安全域内，并隔离在主备模式部署的下一代防火墙逻辑网络通道中。

通信传输方面，业务系统需要使用奇偶校验、海明校验和循环冗余校验等数据完整性校验方法来保证数据传输的完整。此外，涉及医保网络、政务外网等国家职能部门信息专网对接的专线接入区，需要通过零信任架构的安全机制建立安全访问路径，保证通信时数据的机密性与完整性[9]。

可信验证方面采用“身份+终端”的准入验证方式合法入网，既能对接入用户的身份信息进行动态确认，又能有效地根据安全策略对非可信的终端进行必要管控，一旦发现用户产生异常操作就会向管理平台发送告警信息并立即阻断所有访问权限，形成不可抵赖记录[10]。

3.2 安全区域边界

根据医院实际的业务需求将两院区分别划分为7个安全区域，分别是核心交换区、核心业务区、灾备业务区、安全管理区、专线接入区、办公接入区和无线接入区。两院区的对接部分划为1个公用的两院互联区，各个区域的名称与功能见表1。

对于网络攻击的防护，需要对各安全区域边界进行网络边界隔离，配置合理的安全策略保证访问控制规则数量最小化，并加载入侵防御系统与防病毒软件模块将日志报文发送至安全管理区中进行审计事件记录分析，进行快速定位。重要的业务系统还需要增设网站应用级入侵防御系统（web application firewall，WAF）设备以提高应用层协议的安全防护。同时，在核心交换区增配入侵检测系统设备与探针设备，更智能地实现对全网的病毒与恶意代码的流量检测[11]。除此之外，还可以使用蜜罐设备的欺骗式主动防御技术将具有威胁的病毒与攻击提前诱捕。对于核心业务区域内的服务尽量使用虚拟化平台，同时配合虚拟化防火墙，利用安全控制策略阻止各类对外业务与管理端口在非授权情况下的访问，防止病毒快速横向跨区域扩散，以确保核心业务的最小化风险控制。

图1 医院安全实现方案拓扑图

表1 区域的名称与功能对照表

3.3 安全计算环境

安全计算环境是对内网应用与数据库系统的主机工作环境的安全要求，这类系统正是不法分子的重点攻击目标。针对以下3个安全维度，可以设定不同的安全预期。

3.3.1 身份验证与访问控制维度 用户输入密码登录业务系统时，需要一种新的鉴别技术对身份的真伪性进行验证，如一次性口令或短信验证方式等，此类认证方式不仅成本较低、验证方便，还有较高的安全性与抗抵赖性。对于重要的核心业务系统，在采用双因子认证的同时还可以增加指纹或人脸等生物识别方式，更能提升身份可信度[12]。相应地，为确保权限细化分离，用户的访问控制需要根据用户角色对应不同的功能模块，并将每个操作细节记录日志，便于事后追溯。

3.3.2 主机防范与应用安全维度 为了充分发挥每台主机的计算资源，可以将业务的应用服务与数据库分离部署，也可防止因单台主机宕机而连带影响其他服务，然后集中控制主机使用最小精简化模式，力求做到软件非必要不安装，端口非必要不开启[13]。再通过SSL方式加密传输，访问地址使用反向代理方式防范跨站脚本攻击、Cookie欺骗等入侵行为，联动下一代防火墙、WAF等安全设备，同时向态势感知平台发出报警。

3.3.3 数据库安全维度 数据库作为核心数字资产存储设施，对其建设应进行全方位考虑。①保密性：除了传输报文与存储字段，加密过程都必须符合国家商用密码算法[14]，还需将包含医疗个人敏感信息的开发调试与科研测试数据库及时脱敏，在为患者提供医疗服务的同时提供完善的个人隐私保护。②安全性：使用数据库堡垒机作为数据库唯一登录方式，进行双向强身份认证，访问控制的颗粒度可细化至字段级别，数据库防火墙设备安装虚拟补丁以防范恶意代码及SQL注入等行为。③可用性：软件方面可以采取持续数据保护与定时自动备份；硬件方面除了采取磁盘阵列、两院区互为容灾等传统方式，还可以配置备份恢复一体机进一步提高数据库的容灾能力。

4 结语

由于网络攻击手段的不断发展，医院的信息安全建设需要成为一项动态可持续发展工程。多项信息安全领域的国家标准相继颁布，标志着国家对网络安全的高度重视。等保2.0保护条例的提出对医院信息安全建设工作有了完善的参考标准，更指明了防护的重点方向，医院需根据实际情况来应对网络安全需求的更新换代，带着“三个统一”原则延伸新业务模式、引入新技术思想建设安全的信息系统，稳定的支持医院的日益发展，使得医院的整体信息安全能力变得日渐完备。

[1] 陈少敏, 陈爱民, 梁丽萍. 医疗大数据共享的制约因素及治理研究[J]. 卫生经济研究, 2021, 38(9): 18–20, 24.

[2] 李砚, 崔凯, 王俊. 浅析医院信息安全威胁及应对措施[J]. 江苏卫生事业管理, 2021, 32(8): 1079–1082.

[3] 国家市场监督管理总局, 中国国家标准化管理委员会. 信息安全技术网络安全等级保护基本要求: GB/T 22239—2019[S]. 北京: 中国标准出版社, 2019.

[4] 杨旋, 周小甲. 医院信息系统安全等级保护定级与整改结果探讨[J]. 中国医疗设备, 2017, 32(6): 166–169.

[5] 王晓丽, 丁月红, 陆昊. 等保2.0要求下医疗网络安全建设与管理研究[J]. 中国数字医学, 2020, 15(12): 5–9.

[6] 李先锋, 曹亮, 刘熠斐, 等. 等保2. 0对医院信息安全管理的新要求探讨[J]. 江苏卫生事业管理, 2020, 31(3): 344–347.

[7] 罗志恒, 钟丽娜, 莫建坤. 等保2.0环境下医院网络安全整体加固方案[J]. 电子技术与软件工程, 2021(15): 240–242.

[8] 袁骏毅, 潘常青, 宓林晖. 基于等级保护2.0标准体系的医院信息化安全建设与研究[J]. 中国医院, 2021, 25(1): 72–73.

[9] 李梦悦, 陈敏. 基于零信任架构的医院网络安全防护研究[J]. 中国数字医学, 2021, 16(9): 106–109.

[10] 余佳伟. 基于等级保护2.0的医院网络安全建设方案[J]. 长江信息通信, 2021(1): 4–7.

[11] 庞延辉, 罗俊, 肖鹏, 等. 疾控信息系统网络安全防护实践[J]. 医学信息学杂志, 2022, 43(4): 76–80.

[12] 魏帅岭, 闫国涛, 李星, 等. 等级保护2.0下医院网络安全体系的建设与探索[J]. 中国数字医学, 2021, 16(4): 101–105.

[13] 魏勤, 刘艳亭, 郭敬鹏, 等. 基于三级等保标准的医院信息安全体系建设实践[J]. 医学信息学杂志, 2019, 40(2): 35–39.

[14] 国家市场监督管理总局､中国国家标准化管理委员会. 信息安全技术信息系统密码应用基本要求: GB/T 39786—2021[S]. 北京: 中国标准出版社, 2021.

Construction and implementation of overall security architecture in two hospital districts based on Equal Protection 2.0

TANG Qiyu, WANG Shiyong, TIAN Peng

1.Department of Information, Third Affiliated Hospital of Naval Medical University, Shanghai 200438, China; 2. Informatization Office of Fudan University, Shanghai 200433, China

Based on the working practice of Network Security Level Protection System 2.0 (“Equal Protection 2.0”), formulated the design focus and implementation plan of the overall information security architecture of a modern digital hospital under the structure of two hospital districts, reasonably divided and isolated the network security domains of each function and added security equipments, and put forward an active defense security management and guarantee system constructed on the principle of “three unities”, which has effectively improved the security protection capability of the information system of two hospital districts. The improvement of hospital regulations and staff security awareness has helped to improve the overall information security management level of the hospital, which will provide reference and ideas for other hospitals in the future network security construction. Provides reference and ideas for other hospitals in future network security construction.

Equal protection 2.0; Network security; Hospital Informatization; Information system architecture

R319

A

10.3969/j.issn.1673-9701.2023.23.026

王士勇，电子信箱：wsybangde@163.com

（2022–08–15）

（2022–12–26）