首页 > 新闻 > 专家观点 >

华为助医院等级保护建设化繁为简

2015-01-23 10:22:23   作者:华为交换机与企业通信产品线安全产品领域营销经理 乐洋   来源:CTI论坛   评论:0  点击:


  经过近20年的发展,我国医院信息系统(HIS)建设已经初具规模,其发展经历了从单机系统、局部网络系统到整个医院信息系统多个阶段,而医疗行业对其信息系统的依赖程度也越来越强。随之而来的信息系统安全保障工作也受到了国家的关注。国家卫生部以及各省卫生厅都相继发布了关于医疗行业等级保护建设的意见,要求各省市卫生平台以及三甲医院网络建设需要达到等级保护3级水平。

  医院等级保护建设首要任务

  医院较为严重的信息系统故障不外乎服务器故障和网络故障两大类。就对医院的影响而言,往往网络故障的影响更大。自从医院大力推行信息化起,各大医院都或多或少地受到此类问题的困扰。等级保护建设中的技术要求,既提出了系统要具备一定的安全保护能力,能发现安全漏洞和安全事件,在系统遭到损害后能较快恢复绝大部分功能;又提出了系统要具备一定的对抗能力,能对抗具有较高能力、较大范围、有预设目标的渗透攻击和信息窃取。

  医院的网络结构包括内网和外网,其核心信息系统都在内网,为了保护自身的核心利益不被侵害,内网与外网采用物理隔离。等级保护3级中的保护对象就是内网中的核心信息系统,也就是说内网是等级保护3级建设的主要对象。

  等级保护建设中网络安全的核心思路也即首要任务就是做到区域隔离。将医院按照日常业务应用划分出以下区域:内网终端区、服务器区、运维区、外联区和远程医疗接入区,每个区域之间进行严格的安全隔离,也就是等级保护中提出的“应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,应对进出网络的信息内容进行过滤,实现对应用层等协议的控制”,这样做的好处就是网络区域边界的访问控制扩展到应用层,区域边界的其它防护措施进一步增强,不仅能够被动的“防”,还能主动反应,进行如报警、阻断等工作。

  不同区域隔离的等级保护策略

  内网终端区:要放在首要位置考虑,实行严格的终端安全管理,并在网关处对不同VLAN进行严格的安全隔离。对应等级保护中的安全保护能力,终端安全应该由接入控制、行为管控、外设管理、补丁管理、策略管理几个部分组成,控制终端不能做与医院信息系统无关的任何操作,严防其它未授权的终端接入内网,终端一旦接入内网,要经过严格的身份认证、违规软件和非法外设检查等。对应等级保护中的恢复能力,内网的网关核心区域应具备防病毒功能,可以快速阻断异常终端的网络病毒传播流量,快速定位异常终端的IP地址。

  服务器区:要布重兵进行把守,等级保护的安全保护能力和对抗能力的主要发力点就是服务器区。HIS系统通常采用客户端/服务器架构,服务器的重要性不言而喻。HIS使用的操作系统多是Windows或Linux,针对其漏洞的入侵攻击为首要的安全防护需求。Oracle是HIS系统常见的数据存储软件,针对其常见的攻击手段有恶意的数据查询、修改以及SQL注入等,进行数据库操作审计以及专业防护为重要的安全手段。HIS系统通常使用80或者443端口进行通信,常见的访问规则会打开这两个端口的访问,而恶意应用程序可以使用其进行伪装,所以基于HIS的应用级安全防护是服务器区必备的安全保护手段。

  运维区:近年来,医院的各种多发事件——“统方事件”、“恶意篡改”、“病人资料外泄”几乎都发生在维护区,所以要特别重视其安全。对应等级保护的安全防护能力和对抗能力,运维区域首先要进行高规格的防病毒、防窥探隔离,从网络层面防止服务器受到病毒和恶意代码的侵扰;其次对应等级保护的恢复能力,要收回运维人员的权限,使用中间设备对帐号和权限统一管理,并把人员对服务器的操作维护过程全程审计,一旦发现违规操作,可以利用审计日志快速发现问题、解决问题。

  外联区和远程医疗接入区:要对这两个区域的接入行为采用4到7层的隔离手段,并对传输过程中的数据进行加密。对应等级保护的安全防护能力和对抗能力,同样要进行高规格的防病毒、防窥探隔离,从网络层面防止服务器受到病毒和恶意代码的侵扰,网络安全设备必须要支持应用定义以及应用层隔离能力,严格保证这两个区域的接入安全。

  最后,部署统一日志收集管理软件,对整网的安全事件以及流量日志进行审计,对设备的状态进行统一管控。

  综上所述,医院等级保护建设,要的是整体安全,而不是设备的罗列;要的是有计划的实施,而不是哪里有问题再处理哪里;要的是终端、网络、安全和HIS应用的协作,而不是为了过等级保护而增加网络的延时和复杂度。华为等级保护3级解决方案以区域边界安全为核心,每个区域内落实“保护能力”和“对抗能力”,完整定义HIS的专有应用,全面提升安全防护等级,再在专有应用识别的基础上进行病毒查杀、入侵扫描、行为审计等,相当于为每一家医院打造了量身定制的安全解决方案。

分享到: 收藏

专题