H3C醫院信息等級保護解決方案
醫院信息化安全是現在所有醫院面臨的重要課題。為了更好的保證醫院信息安全,2011年底,衛生部先后下達85號通知和1126號通知,要求全國衛生行業(yè)各單位全面開(kāi)展信息安全等級保護工作,于2015年12月30日前完成等保建設整改并通過(guò)等級測評。
2007年由公安部下發(fā)的43號令拉開(kāi)了各行業(yè)信息安全等保建設的序幕,2008年頒布的國標《GB/T 22239-2008 信息安全技術(shù)-信息系統安全等級保護基本要求》是信息系統安全等保的建設標準。衛生部下發(fā)的“85號通知”中的等保工作指導意見(jiàn)明確要求全國所有三甲醫院核心業(yè)務(wù)信息系統的安全保護等級原則上不低于第三級,哪些系統是核心業(yè)務(wù)信息系統則由各地區自己定義,比如上海最終規定的核心業(yè)務(wù)信息系統是HIS、LIS和RIS。
圖1醫院網(wǎng)絡(luò )現狀
(如圖1所示)醫院的網(wǎng)絡(luò )根據承載業(yè)務(wù)的不同可劃分為內網(wǎng)、外網(wǎng)和設備網(wǎng),其中:
內網(wǎng)即醫院的醫務(wù)生產(chǎn)網(wǎng),承載所有業(yè)務(wù)應用系統,包括大家熟知的HIS、PACS、LIS等系統;
外網(wǎng)即與Internet相聯(lián)的網(wǎng)絡(luò ),承載的業(yè)務(wù)包括郵件、OA等;
設備網(wǎng)是一張新興的網(wǎng),承載IP化的智能化弱電系統,包括:公共廣播、門(mén)禁、樓控、安防視頻監控等。
各醫院實(shí)際網(wǎng)絡(luò )建設模式會(huì )有不同。傳統的是內外網(wǎng)物理隔離,但仍有相當一部分是內外網(wǎng)物理合一、邏輯隔離。內網(wǎng)實(shí)際上也有外部連接,如醫保、公共衛生、新農合、銀行等;但這些連接都是內網(wǎng)與內網(wǎng)通過(guò)專(zhuān)線(xiàn)連接,且通過(guò)前置機進(jìn)行數據訪(fǎng)問(wèn)。
醫院的網(wǎng)絡(luò )根據承載介質(zhì)的不同可分為有線(xiàn)網(wǎng)絡(luò )和無(wú)線(xiàn)網(wǎng)絡(luò )。根據傳統習慣,如果不特別說(shuō)明,上述的內網(wǎng)、外網(wǎng)和設備網(wǎng)均特指有線(xiàn)網(wǎng)絡(luò )。但實(shí)際上無(wú)線(xiàn)網(wǎng)絡(luò )承載的業(yè)務(wù)也有內外網(wǎng)之分。有的醫院無(wú)線(xiàn)網(wǎng)只承載內網(wǎng)業(yè)務(wù),如無(wú)線(xiàn)查房、無(wú)線(xiàn)護理、無(wú)線(xiàn)補液等;有的醫院無(wú)線(xiàn)網(wǎng)不僅承載內網(wǎng)業(yè)務(wù),還會(huì )提供與外網(wǎng)相關(guān)的業(yè)務(wù),如員工外網(wǎng)業(yè)務(wù)、病房VIP Internet業(yè)務(wù)等。無(wú)線(xiàn)網(wǎng)絡(luò )中的內網(wǎng)業(yè)務(wù)都要訪(fǎng)問(wèn)HIS、RIS等核心業(yè)務(wù)信息系統,所以作為有線(xiàn)網(wǎng)絡(luò )的有效補充,無(wú)線(xiàn)網(wǎng)絡(luò )也應是三級安全等保檢查中的一部分。
如前所述,大部分地區規定的核心業(yè)務(wù)信息系統都是內網(wǎng)業(yè)務(wù),即三級安全等保只與醫院的內網(wǎng)業(yè)務(wù)系統相關(guān),而對于內外網(wǎng)物理隔離的工作場(chǎng)景,與傳統的以防范Internet業(yè)務(wù)為主的安全解決方案明顯不同。
一、 安全等保的測評對象
GB/T 22239-2008中的三級安全等保標準共290項內容,由技術(shù)(136項)和管理(154項)2部分組成;技術(shù)要求中分為物理、網(wǎng)絡(luò )、主機、應用和數據安全5部分。根據各地的自有特點(diǎn),以提高系統的安全性為目的,各地的等保測評機構會(huì )進(jìn)行標準的補充。
醫院的信息系統有幾十種,除了明確定級為三級的核心業(yè)務(wù)信息系統,其它業(yè)務(wù)系統如何處理?拿上海為例,HIS、LIS和RIS定級為三級信息系統,那么這3個(gè)系統之外的如EMR、臨床路徑系統等如何考慮?實(shí)際上等保的第一項工作即是給本單位信息系統分類(lèi)定級,根據系統重要性的不同,進(jìn)行不同級別的定級。如果某個(gè)系統與核心業(yè)務(wù)系統同樣重要,可另外定為三級;其它系統可以定為二級。定為二級的系統按照二級安全等保標準進(jìn)行建設和測評。
對于二級或三級的業(yè)務(wù)信息系統,其安全運行所需要的機房、鏈路、網(wǎng)絡(luò )、服務(wù)器、存儲、操作系統、應用軟件等都是測評對象。
二、 安全等保網(wǎng)絡(luò )安全解讀
作為安全等保的重要組成部分,網(wǎng)絡(luò )安全因其分散、覆蓋面廣的特點(diǎn),是等保評測的重點(diǎn),也是醫院信息安全的難點(diǎn)。在等保三級標準內容中,網(wǎng)絡(luò )安全共分為7部分,共33條:
l 結構安全——7條要求,對整體網(wǎng)絡(luò )架構、帶寬和設備性能提出了管理要求;
l 網(wǎng)絡(luò )訪(fǎng)問(wèn)控制——8條要求,對網(wǎng)絡(luò )邊界控制防范、邊界連接的控制提出了管理要求;
l 安全審計—— 4條要求,對包括設備、事件和用戶(hù)等目標的日志系統提出管理要求;
l 邊界完整性檢查——2條要求,對接入規范和防內網(wǎng)外聯(lián)提出了管理要求;
l 入侵防范——2條要求,對網(wǎng)絡(luò )邊界應用級攻擊的檢測防范提出了管理要求;
l 惡意代碼防范——2條要求,對網(wǎng)絡(luò )邊界惡意代碼防范和代碼庫的升級提出的管理要求;
l 網(wǎng)絡(luò )設備防護 ——8條要求,對設備管理的安全性提出了管理要求。
經(jīng)過(guò)分析,等保網(wǎng)絡(luò )安全部分的管理要求在很大程度上與邊界設備和終端系統直接相關(guān),邊界設備的安全和管理功能,終端系統的功能和用戶(hù)管理功能,可以直接覆蓋絕大部分網(wǎng)絡(luò )安全的管理要求條款。
三、 H3C三級安全等保解決方案
H3C 提供的包括網(wǎng)絡(luò )設備、網(wǎng)絡(luò )安全融合方案,基于iMC的終端管理等業(yè)務(wù)軟件全面覆蓋了等保網(wǎng)絡(luò )安全7大項,33小項的絕大部分(如圖2所示)。
圖2 H3C醫院三級等保網(wǎng)絡(luò )安全解決方案
1. 網(wǎng)絡(luò )訪(fǎng)問(wèn)控制管理
一般規模的醫院網(wǎng)絡(luò )都采用二層結構,即全院網(wǎng)關(guān)終結在核心交換機;同時(shí)醫院的數據流量絕大部分都是縱向流量(即終端訪(fǎng)問(wèn)服務(wù)器的流量),橫向流量(終端之間的訪(fǎng)問(wèn)流量)基本沒(méi)有。在這樣的流量模型下,盡管內網(wǎng)與公網(wǎng)隔離,但還有如下內容要進(jìn)行安全保護。
l 服務(wù)器區域:要防范的是“家賊”,即內部數據泄露或病毒DDoS攻擊。
l 與無(wú)線(xiàn)網(wǎng)絡(luò )的連接鏈路:無(wú)線(xiàn)網(wǎng)絡(luò )的開(kāi)放性使其通常被認為是不安全的。
l 與外聯(lián)單位的連接鏈路:外聯(lián)單位屬于網(wǎng)絡(luò )邊界。
安全插卡的優(yōu)勢體現在兩點(diǎn):
傳統醫院服務(wù)器大都直接連在核心交換機上,在進(jìn)行服務(wù)器的防范時(shí),如果采用外接安全設備,不得不把安全設備串接在服務(wù)器和核心交換機之間或者進(jìn)行流量重定向,即需要對原來(lái)的網(wǎng)絡(luò )結構進(jìn)行改造;
(如圖2所示)所有的硬件安全產(chǎn)品(FW、IPS和流量探針)都采用插卡形式,通過(guò)其虛擬化功能,即1塊插在交換機中的安全插卡可以虛擬化成多個(gè)同功能的安全產(chǎn)品,可以進(jìn)行上述不同線(xiàn)路上的安全防范。
H3C安全插卡解決方案可以滿(mǎn)足三級等保網(wǎng)絡(luò )安全技術(shù)條款中的11條(網(wǎng)絡(luò )訪(fǎng)問(wèn)控制、入侵防范和惡意代碼防范)。
2. 審計報表規范
醫院業(yè)務(wù)關(guān)系到民生,而且是7*24小時(shí)提供服務(wù),因此醫院的網(wǎng)絡(luò )建設首先要考慮可靠性,因此選擇的網(wǎng)絡(luò )產(chǎn)品通常會(huì )高于業(yè)務(wù)流量的實(shí)際需求,引發(fā)的問(wèn)題是大部分醫院并不知道自己實(shí)際的流量模型,即各個(gè)服務(wù)器、各種業(yè)務(wù)的訪(fǎng)問(wèn)高峰、整個(gè)網(wǎng)絡(luò )流量分布圖等。
H3C的NTA+iAR+UBA方案可以實(shí)現對網(wǎng)絡(luò )系統中的網(wǎng)絡(luò )設備運行狀況、網(wǎng)絡(luò )流量、用戶(hù)行為等進(jìn)行日志記錄,通過(guò)交換機上的Netstream卡配合iMC的NTA、iAR和UBA組件,完美的實(shí)現了醫院網(wǎng)絡(luò )流量和用戶(hù)行為數據的統計、分析和報表輸出。
H3C審計報表規范解決方案可以滿(mǎn)足三級等保網(wǎng)絡(luò )安全技術(shù)條款中的3條(安全審計部分)。
3. 網(wǎng)絡(luò )邊界完整性檢查
目前醫院的網(wǎng)絡(luò )分布,在很多地方是既有內網(wǎng)口又有外網(wǎng)口。醫務(wù)人員對工作地點(diǎn)的網(wǎng)絡(luò )結構熟悉后,會(huì )出現自行把醫用終端從內網(wǎng)移到外網(wǎng),違規訪(fǎng)問(wèn)外網(wǎng)后再接回內網(wǎng)的情況。目前針對此問(wèn)題,醫院想到的方法通常是MAC地址和端口綁定,但引發(fā)的問(wèn)題是維護工作量巨大,使得很多醫院對此解決方案望而卻步。同時(shí),隨著(zhù)各種醫務(wù)自助機應用的普及,內網(wǎng)接入點(diǎn)也延伸到公共區域,給醫院內網(wǎng)新增了不安全性。三級等保安全標準7.1.2.4節中對邊界完整性檢查有2條明確要求:
應能夠對非授權設備私自聯(lián)到網(wǎng)絡(luò )的行為進(jìn)行檢查,并準確定出位置,對其進(jìn)行有效阻斷;
應能夠對內部網(wǎng)絡(luò )用戶(hù)私自聯(lián)到外部網(wǎng)絡(luò )的行為進(jìn)行檢查,準確定出位置,并對其進(jìn)行有效阻斷。
可以看出,單純的MAC地址與端口綁定已不能滿(mǎn)足三級等保標準的要求;同時(shí)存在仿冒MAC地址的漏洞,即非法終端可以把自己MAC地址改成合法MAC后接入網(wǎng)絡(luò )。為解決這些問(wèn)題,H3C采用EAD端點(diǎn)終入控制系統來(lái)進(jìn)行醫用終端的安全接入。EAD中的iNode客戶(hù)端可以防MAC篡改,即iNode發(fā)現終端的物理MAC和管理MAC不一致時(shí)禁止認證。同時(shí),防內網(wǎng)外聯(lián)功能,使得醫用終端只能接入內網(wǎng)。退一步講,如果醫院認為無(wú)法接受醫用終端上安裝客戶(hù)端軟件,在能接受存在仿冒MAC地址漏洞的前提下,可以使用以MAC地址為認證信息的啞終端認證方式。它與傳統的MAC地址端口綁定方案的優(yōu)勢是所有管理維護工作都在集中的服務(wù)器側,而不是分散的網(wǎng)絡(luò )交換機側,從而大大降低維護工作量。
H3C網(wǎng)絡(luò )邊界完整性檢查解決方案可以滿(mǎn)足三級等保網(wǎng)絡(luò )安全技術(shù)條款中的8條(網(wǎng)絡(luò )訪(fǎng)問(wèn)控制部分、網(wǎng)絡(luò )邊界完整性檢查部分、訪(fǎng)問(wèn)控制部分)。
4. 網(wǎng)絡(luò )設備防護
目前醫院的網(wǎng)絡(luò )設備管理通常有兩種方式:集成管理平臺和設備分散遠程登錄管理。對于后者,目前主流管理方法還是通過(guò)Telnet遠程管理。由于設備數量多維護工程量大,出于維護的便利性,設備的登錄用戶(hù)口令通常是所有設備相同且永遠不變,甚至網(wǎng)管人員更換后也不會(huì )更換設備的用戶(hù)口令。
對于設備的遠程登錄管理,等保標準也有一些要求,如采用加密的SSH替代明文的Telnet、雙因子認證等;谝陨闲枨,H3C推出的TAM方案可以解決上述問(wèn)題。網(wǎng)絡(luò )設備的登錄認證通過(guò)標準的TACACS協(xié)議與TAM服務(wù)器通信,設備的用戶(hù)名口令在服務(wù)器側統一管理,而口令管理也可以接合Token卡等動(dòng)態(tài)密碼機制以實(shí)現登錄的雙因子認證。不僅更改登錄用戶(hù)名與口令變得方便,通過(guò)TAM對設備的任何遠程操作都有記錄,便于問(wèn)題的回溯管理。
H3C網(wǎng)絡(luò )設備防護解決方案可以滿(mǎn)足三級等保網(wǎng)絡(luò )安全技術(shù)條款中的7條(網(wǎng)絡(luò )設備防護部分)。
四、 無(wú)線(xiàn)安全解決方案
從醫院無(wú)線(xiàn)網(wǎng)絡(luò )的建議模式來(lái)看,通常分為運營(yíng)商代建和醫院自建兩種。無(wú)論哪種建設模式,無(wú)線(xiàn)技術(shù)本身安全性的問(wèn)題都無(wú)法回避。不像有線(xiàn)網(wǎng)絡(luò ),只要不提供接入點(diǎn),就無(wú)法侵入;無(wú)線(xiàn)是開(kāi)放的,任何外來(lái)人員都可以和內部人員一樣接收到無(wú)線(xiàn)信號,所以必須進(jìn)行接入認證安全保護。但如果像家庭一樣只提供密碼接入保護,那么無(wú)線(xiàn)網(wǎng)絡(luò )的安全形同虛設,因為整網(wǎng)單一的密碼很容易外泄。
除了文章開(kāi)篇提到內網(wǎng)及外網(wǎng)業(yè)務(wù),運營(yíng)商代建的無(wú)線(xiàn)網(wǎng)絡(luò )還提供公共無(wú)線(xiàn)網(wǎng)接入(如電信的ChinaNet、移動(dòng)的CMCC等)。公網(wǎng)和私網(wǎng)的混用還會(huì )引入更多的安全問(wèn)題。
另外,無(wú)線(xiàn)終端比傳統的醫用終端更容易做接入網(wǎng)絡(luò )切換,而考慮到病毒和木馬的防范,醫院不希望用于內網(wǎng)的無(wú)線(xiàn)終端在訪(fǎng)問(wèn)外網(wǎng)后再接入內網(wǎng)。
醫院的無(wú)線(xiàn)網(wǎng)絡(luò )安全方案的構建需要考慮以下幾個(gè)問(wèn)題:
考慮到醫院的業(yè)務(wù)模式,傳統的用戶(hù)名口令無(wú)法作為唯一的認證因素,原因是醫生護士的用戶(hù)名口令幾乎是半公開(kāi)的。那么如何識別醫院的合法移動(dòng)終端?
隨著(zhù)平板電腦和智能手機的普及,傳統的移動(dòng)推車(chē)+PDA的應用受到?jīng)_擊。如何支持新型的移動(dòng)終端?
如何防止合法終端接入運營(yíng)商提供的無(wú)線(xiàn)網(wǎng)絡(luò )?
對于運營(yíng)商承建的無(wú)線(xiàn)網(wǎng)絡(luò ),如何防止登錄公共無(wú)線(xiàn)網(wǎng)絡(luò )的用戶(hù)的黑客入侵?
針對以上需求,根據醫院對安全級別考慮的不同,H3C提供以下幾種方案:
EAD端點(diǎn)準入控制方案;
移動(dòng)終端證書(shū)認證方案;
啞終端接入控制方案。
其中EAD端點(diǎn)準入控制方案安全級別最高,可以解決目前考慮到的所有問(wèn)題,但需要在移動(dòng)終端上安裝iNode客戶(hù)端軟件。證書(shū)認證方案可以完美地實(shí)現用戶(hù)安全認證,但無(wú)法做到控制合法終端登錄其它無(wú)線(xiàn)網(wǎng)絡(luò )。啞終端接入控制方案不需要安裝任何客戶(hù)軟件,但具有MAC地址仿冒的漏洞,同時(shí)也無(wú)法做到控制合法終端登錄其它無(wú)線(xiàn)網(wǎng)絡(luò )。
這三種方案的共性都是在無(wú)線(xiàn)網(wǎng)絡(luò )中提供認證網(wǎng)關(guān)。如果無(wú)線(xiàn)網(wǎng)是醫院自建的,則AC可以兼做認證網(wǎng)關(guān)。如果無(wú)線(xiàn)網(wǎng)是運營(yíng)商代建的,考慮到無(wú)線(xiàn)的設備產(chǎn)權及運維都是運營(yíng)商負責,需要在A(yíng)C與有線(xiàn)網(wǎng)絡(luò )之間單獨部署認證網(wǎng)關(guān)(如圖3所示)。
圖3 無(wú)線(xiàn)安全認證系統部署
結束語(yǔ)
醫院的三級安全等保技術(shù)要求,既有與其它行業(yè)要求的共性,又有其自己的特點(diǎn)。這些要求中除了網(wǎng)絡(luò )層面的,還包括機房、主機、應用和數據安全。
三級安全等保對醫院既是一次命題考試,又是一次切實(shí)提升醫院安全能力的好機會(huì )。作為安全等保技術(shù)要求的主要部分——網(wǎng)絡(luò )安全,因其分散、覆蓋面廣和難以管理,也是整個(gè)等保安全的難點(diǎn)。H3C從網(wǎng)絡(luò )與安全融合、終端與邊界融合、集中與分級融合等多個(gè)維度,覆蓋了包括結構安全、訪(fǎng)問(wèn)控制、安全審計、邊界完整性、入侵防范、惡意代碼入侵和設備防護在內的絕大多數技術(shù)要求,提供了完整的醫院三級等保方案。
- 上一篇:4100 系列 WLC 支持哪些輕量接入點(diǎn) (LAP)? 2014/10/5
- 下一篇:H3C國稅數據容災備份解決方案 2014/10/5