某医院安全解决方案.docx

1、某医院安全解决方案安定医院信息安全解决方案一、医疗信息化背景概述医疗信息化即医疗服务的数字化、网络化、信息化，是指通过计算机科学和现代网络通信技术及数据库技术，为各医院之间以及医院所属各部门之间提供病人信息和管理信息的收集、存储、处理、提取和数据交换，并满足所有授权用户的功能需求。根据国际统一的医疗系统信息化水平划分，医疗信息化的建设分为三个层次：医院信息管理系统、临床信息管理系统和公共卫生信息化。信息技术是现代医学的重要组成部分，是深化医疗卫生体制的重要任务和重要支撑于保障；是方便群众获得规范、便捷的医疗服务，以及安全、有效、价廉的药品和医疗费用实时结算的重要手段；是做好重大疾病及突发公共卫

2、生事件预测预警和处置的必要保障；对于强化政府与社会对卫生服务的监管，改善卫生服务体系运行状态，提高医疗卫生服务质量和效率，促进人人享有疾病医疗卫生服务目标具有重要意义。卫生部“十二五”规划明确提出卫生信息化是深化医疗改革的重要任务。卫生部已经初步确定了我国卫生信息化建设路线图，简称“3521 工程”，即建设国家级、省级和地市级三级卫生信息平台，加强公共卫生、医疗服务、新农合、基本药物制度、综合管理5 项业务应用，建设健康档案和电子病历2个基础数据库和1个专用网络建设。另外，在十八届三中全会后，中央成立了全面深化改革领导小组、中央国家安全委员会、中央网络安全和信息化领导小组。习主席强调，网络安全

3、和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进。要创新改进网上宣传，运用网络传播规律，弘扬主旋律，激发正能量，大力培育和践行社会主义核心价值观，把握好网上舆论引导的时、度、效，使网络空间清朗起来；网络信息掌握的多寡成为国家软实力和竞争力的重要标志。要加强核心技术自主创新和基础设施建设，提升信息采集、处理、传播、利用、安全能力，更好惠及民生。习主席指出，没有网络安全就没有国家安全，没有信息化就没有现代化。建设网络强国，要有自己的技术，有过硬的技术；要有丰富全面的信息服务，繁荣发展的网络文化；要有良好的信息基础设施，形成实力雄厚的信息经济；要有高素质的网络安全和信息化人才队伍；

4、要积极开展双边、多边的互联网国际交流合作。二、医院信息化建设情况医疗信息化建设是医疗行业一项基础性、长期性和经常性的工作，是医院建设和人才培养的重要组成部分，其建设水平是医院整体医疗水平、医院形象和地位的重要标志，而医疗信息化在医院的信息化建设中所占据的地位也是至关重要，是医疗的最基础、也是最重要传输载体。经过近二十年的发展，我国医院信息系统（Hospital Information System，HIS）建设初具规模，日趋完善。信息系统的发展经历了从单机系统、局部网络系统到整个医院信息系统的多个阶段，可以说，HIS系统是医疗信息化的最核心资产。从目前医院的网络结构上看，可以分为两大部分，用于

5、日常医疗信息交换的业务网以及实时获取Internet信息资源的办公网。其中，医院业务网是医院业务开展的重要平台，承载着核心业务，同时具备线路出口与医保等其他机构交换数据；而办公网主要对外提供信息发布门户，对内提供Internet网络接入等服务。三、医疗信息化面临的安全问题和挑战随着医院信息化建设的深入发展，与日俱增的海量信息资源的安全问题就显得是否突出，医院信息系统的安全机制一旦受到各种因素的破坏，整个医疗业务的运行将遭受巨大的损失，因此，如何解决信息系统的安全保障问题，保证网络信息系统的正常运行，确保整个信息系统的安全可靠是目前各个医院刻不容缓的重要任务。随着计算机网络在医院的广泛应用,医院

6、信息系统的安全问题就显得尤为重要. 医院信息系统是以医院局域网为依托,以医院的财务管理为中心,以病人为数据采集线索,覆盖患者在医院就诊的各个环节的计算机网络系统.由此看来医院信息系统既包括与患者有关的信息,又涉及医院经济方面的数据,所以必须确保网络信息的保密性、完整性和可用性。伴随着医院信息化的快速发展，信息安全问题日益显现。无论是业务网还是办公网均面临着来自网络外部和内部的一系列安全威胁，必须认清威胁，明确需求，采取措施“攮外”与“安内”并举，才能确保医院信息化的顺利进行。在医疗信息化建设中，安全问题的产生固然有许多因素多个方面，但归纳起来，无外乎表现为7种形式即：网上黑客入侵和犯罪、网上病

7、毒泛滥和蔓延、信息间谍的潜入和窃密、网络恐怖集团的攻击和破坏、内部人员的违规和违法操作、网络系统的脆弱和瘫痪、信息产品的失控等。由于业务网承载着最核心HIS系统，整个安全建设将围绕保障业务系统的安全运行为目标。所以本方案主要考虑其业务网的安全整体建设。3.1 越来越多的边界业务网外部边界通常有两个，一个是与医保等外联单位的边界，一个是与办公网的边界。需要采取措施维护业务网整体的高度独立与安全，并同时能够与医保等相关外联单位以及业务网进行必要的数据交换。内部边界则较多，包括门诊大楼、住院大楼、数据中心、其他大楼等等，内部人员更加容易威胁到业务系统的安全，因此核心区域边界必须能够进行从网络层到应用

8、层的攻击过滤。3.2 薄弱的安全防护能力伴随着医院信息化的建设、医疗资源的整合，数据中心的建立已经是大势所趋，数据中心的安全防护，已成为重点。医院内部出现的网络威胁的种类也越来越多，不仅有非法入侵、网络渗透，还有网络欺骗、DOS/DDOS攻击、各种恶意软件、垃圾邮件等。另外，建立健全网络管理机制、做好医院信息化安全风险监控和预警，完善网络防护技术体系建设，遇到重大网络攻击迅速做出正确判断，及时响应。提高用户安全意识，做好关键数据的加密和保护，实现网络安全的全民参与，是未来医院信息化安全发展的大方向。3.3 来自内部终端的威胁“超过70%的安全问题来自于网络内部”，内部威胁比外部更复杂多样。病毒

9、扩散会严重威胁着广大终端和HIS业务系统的运行安全。而终端用户能否正确使用终端系统关系到HIS系统是否正常运行和日常业务的正常开展。误操作、非法拷贝、系统漏洞、非法程序等均可导致终端自身和HIS系统的非正常运行。3.4 ARP攻击防御ARP欺骗攻击不仅导致网络不稳定，极大影响医疗业务的正常运行，更严重的是利用ARP欺骗攻击可进一步实施中间人攻击和网关仿冒攻击，导致用户无法正常和网关通信，攻击者可以凭借此攻击而独占上行带宽。由于ARP欺骗攻击利用了ARP协议的设计缺陷，光靠包过滤、IPMAC端口绑定等传统办法是比较难解决的。3.5 数据泄露解决了各类安全威胁后，业务系统自身的运行状态还缺乏有效监

10、控。随着国内各大医院数字化建设的快速发展，其核心HIS业务系统积累和掌握了大量的患者基本信息、化验检查结果、电子处方信息及医院生产数据和运营信息。这些数据涉及到公民隐私、医患关系、医院自身经营发展等众多方面。建立起对医疗HIS业务数据的保护，减少由于数据泄漏所带来的公民信息泄漏、医患矛盾、公信度降低具有重要意义。四、需求分析根据前面的分析，可以看到，医院信息化存在着较多的安全隐患，对应网络层、系统应用层、管理层的安全威胁，相应的我们将从网络安全、系统安全、管理安全的角度出发，归纳出医院信息系统在三个层面上对安全防护技术存在的安全需求为：4.1 网络安全的需求网络是信息系统赖以存在的实体，离开了

11、网络平台，信息的传递、业务的开展将无从依托，因此如何保障网络的安全，是构件医院信息系统安全架构的基础性工作，对于医院来讲，网络安全主要解决运行环境的安全问题，对应网络层安全威胁，网络安全主要的技术手段包括边界防护技术、检测与响应技术等，主要涉及的安全产品包括WEB应用防火墙和堡垒机。对照医院的实际情况，我们看到其存在以下的安全需求： 基于医院信息系统对访问合理性缺乏控制的风险，为防范对系统非授权的访问和越权访问的发生，采用强制的访问控制措施，通过访问控制策略，限制信息网络中的访问，确保只有严格执行安全策略的访问才能被转发； 根据环境对涉及到的敏感数据终端进行安全的边界防护，实现“区域内透明，区

12、域外保护”的效果。4.2 系统应用安全的需求4.2.1 数据中心安全需求医院业务系统的核心是数据中心，其中包含了大量的重要信息，包括患者基本信息、化验检查结果、电子处方信息及医院生产数据和运营信息等。这些数据涉及到公民隐私、医患关系、医院自身经营发展等众多方面。医院需采取“教育为先、制度为主、技术为辅”的综合管理手段，多管齐下，对敏感数据进行实时监控，对违规操作进行追根溯源和智能控制，全面提升信息系统安全管理水平，有效遏制违法、违纪活动的发生。比如医闹事件不时见诸报端，不少患者家属认为医院的医疗鉴定不够客观，总是怀疑医院伪造、篡改病历。数据库审计设备能够公正、客观地记录所有的操作，真正实现4W

13、 全程审计(who谁、when什么时间段内、where通过什么途径、what对什么(数据)进行了哪些操作、结果如何)。一旦出现医疗纠纷，完整清晰的操作回放为医疗纠纷的快速处理提供科学依据，维护医院信誉。主要涉及到的安全产品包括堡垒机和信息审计系统。针对医院信息系统的具体情况，我们得到对数据中心的需求包括以下几个方面： 针对安全级别较高的服务器，提供身份鉴别和访问控制功能，从开机验证到准入控制，再到访问服务器前的身份鉴别等一系列严格保护，使得“非法人员不得使用，非法主机不能接入，合法身份合理使用”，从而彻底的保证了服务器信息访问的安全； 根据医院当前的数字化建设，对数据的访问、传输、存储、交换过

14、程进行分析和判断，根据泄密点和风险点，采用加密、控制、授权、审计等方式组合而成的数据保密体系； 在不影响HIS系统、PACS系统、EMR系统等应用系统的前提下，在核心业务服务区增设网络安全审计设备，通过对网络中的海量、无序的数据进行处理、关联分析，实时监控内部人员的越权、违规操作，防止患者信息、医院经营/财务/科研等敏感数据的外泄，构筑八大安全防线，保护院方的核心利益； 有效的隐藏后台Web服务器类型、应用服务器类型、操作系统、版本号、已知安全漏洞、IP地址等信息，利于提高整个系统的安全性。 实时掌握服务器的运行情况，有利于管理人员及时排查安全隐患和网络故障，以确保应用服务的健康运行。服务器防

15、护关注服务器运行健康，从处理器性能、内存、磁盘到进程的监控以及服务瘫痪后的故障恢复，全面细致的为管理人员提供了“可视、可控、可分析”的依据。 针对Web应用的迅速普及和伴随而来的Web安全问题，服务器防护提供了一套完善的解决方案。首先是全过程安全防范，从事前预防、事中检测到事后响应，每一环节都不容忽视，处处设防。其次针对不同类型网站，防护措施不同，如针对静态网页以防篡改为主，针对动态网页则以防SQL注入、XSS等为主。4.2.2 安全隐患发现需求一般来讲，安全的威胁主要来自于系统的弱点，针对医院在系统层面存在的安全隐患，很容易成为内部用户或外部非法入侵者进行攻击的对象，因此，有必要进行分析和评

16、估，发现存在的隐患或弱点后，进行修补及加固。安全扫描系统是现阶段最先进的系统安全评估技术，该系统能够测试和评价系统的安全性，并及时发现安全漏洞。漏洞检测和安全风险评估技术，因其可预知主体受攻击的可能性，并具体指证将要发生的行为和产生的后果，而受到网络安全业界的重视。这一技术的应用可帮助识别检测对象的系统资源，分析这一资源被攻击的可能指数，了解支撑系统本身的脆弱性，评估所有存在的安全风险。网络隐患扫描系统就是这一技术的实现，包括了网络模拟攻击，漏洞检测，报告服务进程，提取对象信息，以及评测风险，提供安全建议和改进措施等功能，帮助用户控制可能发生的安全事件，最大可能的消除安全隐患。安全扫描系统具有

17、强大的漏洞检测能力和检测效率，贴切用户需求的功能定义，灵活多样的检测方式，详尽的漏洞修补方案和友好的报表系统，为网络管理人员制定与合理安全防护策略提供依据。针对医院信息系统的具体情况，我们得到对安全扫描的需求包括以下几个方面： 扫描技术要求隐患扫描系统必须具有全面的漏洞库，应该可以检测到流行的各种网络安全漏洞隐患。要支持智能端口识别技术、模拟穿透技术等先进的扫描技术。 检测报告要求要提供全面的检测报告，能够从技术人员和网络管理人员到行政管理人员提供全面的描述。 管理升级要求能够进行远程的管理和扫描，能够进行自动和手动的策略升级，保证隐患扫描设备随时拥有检测最小漏洞的能力。 方便使用要求提供的设

18、备能够方便的进行移动，能够方便的在网络中进行接入，并且设备的操作非常简便，扫描结果或提交的各种报告要求非常直观，便于系统管理员进行下一步的措施。 解决方案要求针对系统检测到的每一个安全漏洞，都应该提供详细的解决方案，使管理员可以非常迅速的解决问题。4.2.3 终端安全防护的需求计算机终端包可读取各种重要信息，包括患者基本信息 (患者及家属的个人信息、身份证号、家庭住址、联系方式、家族病史、既往病史等)、各种化验检查信息（包括常规检查、体液检查等）、检查信息（包括心电图、放射影像、CT影像、内窥镜影像、B超影像等）、电子处方信息（医生诊断信息、药物医嘱、诊疗医嘱等）用户能否正确使用终端系统关系到

19、HIS系统是否正常运行和日常业务的正常开展。误操作、非法拷贝、系统漏洞等均可导致重要信息的泄露，从而导致公民信息泄漏、医患矛盾、公信度降低。针对各医疗科室终端数据泄密防护，通过对数据出口的安全控制，建立安全可控的用户终端，实现数据在区域内部的原态化，数据离开区域加密保护的效果。主要涉及到的安全产品包括主机监控与审计系统。针对医院信息系统的具体情况，我们得到对安全扫描的需求包括以下几个方面： 系统的操作必须人性化，符合用户的使用习惯。同时也要求该系统对计算机系统资源的占用不能明显降低用户计算机的性能； 通过对终端和访问行为进行限制和保护，实现终端安全加固、网络接入控制、非法外联控制、资产管理、I

20、/O接口管理、终端配置维护、终端审计监控等。4.3 管理安全的需求4.3.1 信息安全一体化集中管理需求随着医院网络规模越来越大，网络设备和安全设备越来越多，如何满足日益复杂的网络安全管理需求，需要面向全网IT资源整合进行集中管理，通过对全网不同IT资产（主机、网络设备和安全设备等）事件的采集、处理和分析，形成基于资产的统一安全威胁与风险管理。主要涉及的安全产品为信息安全一体化集中管理系统。由此，信息安全一体化集中管理的需求包括以下几个方面： 提供资产分类管理功能。按照重要程度和管理域的方式组织资产，支持添加、编辑、删除、查询及统计等快捷操作，资产根据不同属性进行分类，便于管理人员能够方便的查

21、找所需要资产的信息，并对资产属性进行维护。 提供网络设备自动扫描和拓扑绘制功能。对于已发现的网络设备，还提供定期轮询探测功能。管理员通过该系统可以进行网络设备的自动发现、拓扑管理、视图管理、轮询管理、告警管理等操作。 对收集到的所有事件信息进行统一汇总存储，并基于这些信息数据提供多种统计信息展示，包括：以资产和业务为基础的风险状况展示、以安全事件为基础的安全预警扩散范围、工单处理流程展示等。 根据资产的机密性价值、可用性价值、完整性价值、物理价值和威胁事件实时计算每个资产的风险值，按照安全域和资产用户、物理位置、类型分类计算风险值，为用户提供全局的风险信息，能够更有效的、随需应变的不断分析系统

22、的安全风险并提出解决方案。 提供的安全报表分析引擎可以从多角度、多维度对审计数据进行综合分析，包括实时分析、历史分析、统计分析、对比分析，以及趋势分析，用户也可以根据实际需要通过系统内置的报表编辑器定义各类报表。4.3.2 管理制度需求管理安全同时需要考虑的是“人”的因素，即在安全建设及维护的过程中，如何通过“人”来对技术进行安全的“操作”和“配置”，针对医院管理方面存在以下需求： 需要建立完善的机房管理制度，确保重要的安全区域内，只有授权的人员才能进入； 需要建立完善的网络与安全人员管理制度； 需要定期进行培训，提升网络管理人员的技术水平，还需要对全员进行安全意识的培训； 需要对重要的信息资

23、产进行统一的管理，防范信息资产被破坏或窃取； 需要对异构的信息安全平台实现统一的策略下发，安全事件集中关联分析，从而最大化发挥信息安全平台的防护功效。五、捷普安全解决方案由以上的问题我们看出，网络安全从技术角度可包括安全的操作系统、应用系统、防病毒、WEB防火墙、主机监控与审计系统、网络监控、信息审计、安全认证、通信加密等多个安全组件。但是我们认为任何一个单独的组件是无法确保信息网络的安全性，网络的安全是一项动态的、整体的系统工程。所以这就要求我们做一个优秀的解决方案，必须是全方位的立体的解决方案。本次医院信息化安全整体解决方案的安全产品部署拓扑图如下所示：5.1 运维堡垒机5.1.1 运维堡

24、垒机概述随着IT建设的不断深入和完善，计算机硬软件系统的运行维护已经成为了医院信息化管理服务部门普遍关注和不堪重负的问题。医院信息化庞大而复杂的IT系统，IT系统的运营、维护和管理的风险不断加大。运维管理安全风险是指运维用户在运维操作中引入的风险。这里有由于变更设计不完善、误操作、越权操作、恶意操作及代维等因素。由于运维管理一般是采用特权用户进行操作，所以其操作风险是非常大。目前大多用户采用分权双人、各种管理制度等方式来规避或降低，但实际运行中由于制度落实等问题，无法做到全面的控制，运维安全仍然存在很大的风险。5.1.2 运维堡垒机的作用通过部署运维堡垒机，主要为医院信息化提供以下支撑服务：

25、集中帐号管理建立一套新的用户体系，完全替代原有各系统独立管理的用户体系，前端用户直接对应到维护人员，后端用户直接对应到原各个系统用户，提供集中可实名的用户管理机制。通过统一用户信息维护入口，保证各系统的用户帐号信息的唯一性和同步更新； 集中访问控制为维护人员提供统一的系统和设备入口，提供访问控制功能，有效的解决运维人员的操作问题，降低相关IT系统的安全风险； 集中授权提供统一的IT系统授权管理，对所有被管IT资源授权进行标准化的管理，精细的权限分配策略保证管理员可以授予不同用户合适的权限，最大程度的符 合最小权限分配原则，极大限度的保护了IT支撑系统资源的安全。集中安全审计提供集中的日志审计，

26、能关联用户的操作行为，对非法登录和非法操作快速发现、 分析、定位和响应，为安全审计和追踪提供依据； 运维操作的复杂难免会造成运维用户的误操作，用户需要避免由此带来的风险，并能有问题追溯机制。这就要求能对运维用户的所有操作进行实时的控制、告警及监控，避免由于一些敏感的操作导致网络中断或医疗信息泄露，同时能记录所有操作并能随时根据审计的需要查询任何时候任何人员所做的任何操作，并有详尽的报表。 5.2 主机监控与审计系统5.2.1 主机监控与审计系统概述主机监控与审计系统可以有效的控制内部用户对主机和网络的使用，防止内部违规行为的发生，增强医院内部的安全性，同时系统具有强大的日志功能，对用户非法行为

27、进行详细记录，以便相关人员日后审查、取证，增强医院内部事件的可追查性。5.2.2 主机监控与审计系统的作用通过使用主机监控与审计系统，可以在医院信息化安全管理中实现如下目标： 对受控主机的端口、USB、软驱、光驱、网卡、红外、1394 等输入输出设备的使用进行监控并审计，然后产生详细的使用事件日志，同时客户端可以根据相应策略控制要求，限制用户的使用权限，避免受控主机上的信息被非法的盗用或修改； 对于受控主机上的某些需保密的文件，如患者基本信息、化验检查结果、电子处方信息及医院生产数据和运营信息需要制定一定的保护策略，管理员可以设置受控主机上文件的操作权限，包括访问、读、写、读/写等操作，有效的

28、防止文件被删除、 篡改、拷贝； 监控受控主机上的打印情况，根据安全策略控制要求，可以禁止、记录、允许用户提 交打印任务，防止重要信息泄漏； 监控受控主机的 CPU、磁盘、内存、网络带宽的占用率和网络连接数，根据安全策略 控制要求，在超过规定的阀值时，发出报警信息； 在受控主机上，对重要文件进行个人、分组、服务器级三个级别的加密，防止重要信息泄漏，控制信息的使用范围。5.3 WEB应用防火墙系统5.3.1 WEB应用防火墙系统概述WEB应用防火墙系统结合应用服务器特性，根据实际客户的网络需求出发，从接入安全、传输安全、访问控制、信息内容安全、服务器运行安全等多个角度进行系统架构设计，将客户端准入

29、检查、ssl vpn（https）、认证授权、单点登陆、web防火墙、邮件管控以及服务器监控等多种技术有机的融合在一起，实现对服务器应用系统的全方位、多层次的立体性防护。5.3.2 WEB应用防火墙系统的作用通过使用WEB应用防火墙系统，可以在医院服务器的防护中实现如下目标： WEB应用防火墙的部署，可以抵御利用技术漏洞的数据盗用、窃取、篡改行为。针对Web应用的迅速普及和伴随而来的Web安全问题，WEB应用防火墙系统首先是全过程安全防范，从事前预防、事中检测到事后响应，每一环节都不容忽视，处处设防。其次针对不同类型网站，防护措施不同，如针对静态网页以防篡改为主，针对动态网页则以防SQL注入、

30、XSS等为主； 针对安全级别较高的网络，WEB应用防火墙系统提供了一整套的完善的身份鉴别和访问控制功能，从开机验证到准入控制，再到访问服务器前的身份鉴别等一系列严格保护，使得“非法人员不得使用，非法主机不能接入，合法身份合理使用”，从而彻底的保证了服务器信息访问的安全； 实时掌握服务器的运行情况，有利于管理人员及时排查安全隐患和网络故障，以确保应用服务的健康运行。WEB应用防火墙系统防护关注服务器运行健康，从处理器性能、内存、磁盘到进程的监控以及服务瘫痪后的故障恢复，全面细致的为管理人员提供了“可视、可控、可分析”的依据。5.4 信息审计系统5.4.1 信息审计系统概述信息审计系统就是针对以上

31、问题推出的一款既注重记录行为又注重还原内容，即能够实时控制又可以保存完整历史证据的网络内容安全产品。5.4.2 信息审计系统的作用通过使用信息系统审计系统，可以在医院信息系统所访问行为的防护中实现如下目标： 可以从技术上监督医疗机构管理制度的落实情况，阻止患者信息、诊疗信息、费用信息的外泄。如病历信息（法定医学证明及报告、收费收据等）在医疗事故、交通事故、社会医疗保险、伤残鉴定、遗产继承等案件诉讼中的法律作用日趋重要，这些信息若被不法分子利用，可能造成保险诈骗。通过敏感表的细粒度访问控制规则及远程操作的监控，识别未授权操作，并可实时短信告警或阻断操作； 支持旁路接入，不改变网络结构，不影响网络

32、流量，解决了网管人员后顾之忧；支持数据库审计的应用，不仅能够重点监控未通过业务系统(HIS、PACS 等)进行的数据库操作(比如：误操作数据的纠正、应用程序BUG引起的数据调整)，同时可以依据细粒度的审计规则(如：HIS系统中的价格数据维护，仅允许物价办公室专岗人员进行)，发现越权操作行为并及时告警； 系统提供强大的日志查询分析和报表统计，日志查询包括HTTP日志、EMAIL日志、TELNET日志、FTP日志、数据库审计日志、samba审计日志、风险行为日志、阻断日志、内容过滤日志、NFS审计日志、防火墙联动日志、DNS审计日志、SSH审计日志、RDP审计日志、LDAP审计日志、资产审计关联查询等内容；并能够基于发件人、收件人、ip地址、协议类型、时间范围、url、违反的关键词、关键词组等进行查询；统计报表包括HTTP统计报表、EMAIL统计报表、TELNET统计报表、FTP统计报表、风险行为统计报