醫(yī)院網(wǎng)絡(luò)安全防護(hù)

醫(yī)院網(wǎng)絡(luò)平安防護(hù)論文摘要針對互聯(lián)網(wǎng)醫(yī)療形式下，醫(yī)院的內(nèi)外網(wǎng)需要打通，數(shù)據(jù)在不同網(wǎng)絡(luò)之間交互成為開展趨勢。在分析了傳統(tǒng)醫(yī)療形式下網(wǎng)絡(luò)平安防護(hù)存在問題的根底上，討論了在互聯(lián)網(wǎng)形式下的網(wǎng)絡(luò)平安保護(hù)措施、互聯(lián)互通方法，并介紹了詳細(xì)案例。關(guān)鍵詞互聯(lián)網(wǎng)+醫(yī)療網(wǎng)絡(luò)平安網(wǎng)絡(luò)平安防護(hù)案例0引言互聯(lián)網(wǎng)+醫(yī)療安康形式下要求醫(yī)院的信息系統(tǒng)功能向外擴(kuò)展，實如今線預(yù)約、掛號、繳費(fèi)和診療效勞。為了實如今線效勞的功能，勢必要將醫(yī)院局域網(wǎng)與互聯(lián)網(wǎng)打通，來進(jìn)展數(shù)據(jù)交互，但只有在網(wǎng)絡(luò)與平安的建立達(dá)標(biāo)的情況下，才能開展相關(guān)業(yè)務(wù)。同國內(nèi)一些大型企業(yè)比擬，醫(yī)院的網(wǎng)絡(luò)平安建立相對薄弱，這與醫(yī)院信息系統(tǒng)的特殊性和信息化的開展歷程有關(guān)。最初的網(wǎng)絡(luò)建立是為局域網(wǎng)系統(tǒng)提供效勞，沒有與外部系統(tǒng)互聯(lián)的需求。如今面對越來越開放的效勞需求，信息網(wǎng)絡(luò)的平安性面臨著極大的挑戰(zhàn)。網(wǎng)絡(luò)平安作為信息化建立的基石，如何在現(xiàn)有醫(yī)院網(wǎng)絡(luò)根底上施行平安防護(hù)，為互聯(lián)網(wǎng)醫(yī)院需要開展的業(yè)務(wù)提供高速、可靠的網(wǎng)絡(luò)環(huán)境，是管理者面臨的又一挑戰(zhàn)。1醫(yī)院網(wǎng)絡(luò)平安開展歷程醫(yī)院信息系統(tǒng)開展[1]的不同時期，對網(wǎng)絡(luò)平安建立要求不同。1.1最初的內(nèi)外網(wǎng)隔離時期醫(yī)院在建立信息系統(tǒng)初期，多數(shù)選擇內(nèi)外網(wǎng)隔離的網(wǎng)絡(luò)方案，內(nèi)網(wǎng)負(fù)責(zé)承載醫(yī)療業(yè)務(wù)，外網(wǎng)負(fù)責(zé)承載辦公業(yè)務(wù)。內(nèi)網(wǎng)常見有數(shù)據(jù)庫效勞器、文件效勞器，外網(wǎng)有郵件效勞器和網(wǎng)站效勞器等。當(dāng)時的信息系統(tǒng)多為客戶端/效勞器〔C/S〕架構(gòu)，信息系統(tǒng)功能局限在局域網(wǎng)內(nèi)，數(shù)據(jù)不用穿越防火墻，信息系統(tǒng)架構(gòu)簡潔，施行與維護(hù)方便。網(wǎng)絡(luò)上通常采用二層樹狀架構(gòu)，構(gòu)造簡單、部署迅速。內(nèi)外網(wǎng)隔離的方式，可以阻斷全部來自外網(wǎng)的攻擊，將防護(hù)重點集中在內(nèi)網(wǎng)終端上。采用的方法是在效勞器與客戶端安裝殺毒軟件。雖然，在這個時期網(wǎng)絡(luò)平安風(fēng)險低，但是面對一波又一波的網(wǎng)絡(luò)病毒，如藍(lán)色代碼、熊貓燒香、沖擊波、震蕩波等病毒，還是暴露了醫(yī)院終端防護(hù)程度低、平安建立滯后的問題。1.2接入專線網(wǎng)絡(luò)外聯(lián)醫(yī)院的信息系統(tǒng)開展很快，為了方便患者就醫(yī)，優(yōu)化就醫(yī)流程，新的應(yīng)用、功能需求層出不窮。其中，包括醫(yī)保實時結(jié)算、銀醫(yī)結(jié)算與醫(yī)療數(shù)據(jù)共享等應(yīng)用。由于早期完全隔離的網(wǎng)絡(luò)使得系統(tǒng)無法與外界交互，這就需要在獨(dú)立封閉的網(wǎng)絡(luò)中“開孔出氣〞。網(wǎng)絡(luò)的根底上，與外界系統(tǒng)交互只通過專線的方式，邊界明晰、業(yè)務(wù)明確。在這個時期的應(yīng)用中，院方系統(tǒng)作為懇求發(fā)起方即客戶端，院內(nèi)系統(tǒng)不需要對外部系統(tǒng)開放接口或者效勞，并且與內(nèi)網(wǎng)系統(tǒng)聯(lián)通的專線網(wǎng)絡(luò)屬于“可信〞環(huán)境。在此根底上，只需要在前置效勞器外聯(lián)邊界設(shè)置防火墻，阻斷由外向內(nèi)的所有連接，允許由內(nèi)向外的懇求。1.3劃分虛擬專網(wǎng)方式接入隨著醫(yī)院信息系統(tǒng)的進(jìn)一步開展，醫(yī)生遠(yuǎn)程辦公、分院業(yè)務(wù)系統(tǒng)交互，以及患者自助查詢、繳費(fèi)等新需求應(yīng)運(yùn)而生，簡單的外聯(lián)已經(jīng)不能滿足新業(yè)務(wù)開展的要求。此時，就需要進(jìn)一步對網(wǎng)絡(luò)進(jìn)展開放。遠(yuǎn)程辦公可以使用互聯(lián)網(wǎng)虛擬專用網(wǎng)絡(luò)〔VPN〕接入，患者檢查結(jié)果查詢方式為互聯(lián)網(wǎng)接入。與以往不同，這些應(yīng)用的開展，都是以內(nèi)網(wǎng)信息系統(tǒng)的數(shù)據(jù)為最終懇求目的。不管數(shù)據(jù)包如何跳轉(zhuǎn)，最終需要到達(dá)內(nèi)網(wǎng)效勞端。這一時期的效勞從面向醫(yī)務(wù)工作者，擴(kuò)展到了面向局部就診患者，懇求量有所提升。但最根本的轉(zhuǎn)變在于內(nèi)網(wǎng)系統(tǒng)面向局部外網(wǎng)客戶端，提供多樣化的效勞。雖然，效勞對象是特定人群，但是面向互聯(lián)網(wǎng)開放了“窗口〞，見圖2。不管是通過前置機(jī)中轉(zhuǎn)，還是地址變換、隱藏等手段提供效勞，都不能回避互聯(lián)網(wǎng)上存在的掃描、攻擊等潛在風(fēng)險。這類應(yīng)用一般為非必要醫(yī)療業(yè)務(wù)環(huán)節(jié)，面對互聯(lián)網(wǎng)上的威脅、風(fēng)險，還可以忍受一定程度上的效勞中斷。通過接入物理專線的方式，將醫(yī)保中心、銀行及相關(guān)衛(wèi)生主管部門聯(lián)通。在相關(guān)業(yè)務(wù)系統(tǒng)外圍增加前置效勞器，作為院方與互聯(lián)單位的數(shù)據(jù)中轉(zhuǎn)站，并負(fù)責(zé)將相關(guān)數(shù)據(jù)、表格保持同步，將上報數(shù)據(jù)、業(yè)務(wù)懇求發(fā)送至外網(wǎng)效勞端。這個時期的網(wǎng)絡(luò)防護(hù)也較為輕松。因為在原有封閉但在網(wǎng)絡(luò)平安方面，是不能允許存在任何非受權(quán)訪問和入侵破壞的。1.4互聯(lián)網(wǎng)+醫(yī)療背景下的網(wǎng)絡(luò)交融在互聯(lián)網(wǎng)+醫(yī)療時代背景下，醫(yī)院信息系統(tǒng)將到達(dá)前所未有的開放程度。醫(yī)院將從醫(yī)療、公共衛(wèi)生、家庭醫(yī)生簽約、藥品供給保障、醫(yī)保結(jié)算、醫(yī)學(xué)教育和科普等方面推動互聯(lián)網(wǎng)與醫(yī)療安康效勞相交融，涵蓋醫(yī)療、醫(yī)藥、醫(yī)?！叭t(yī)聯(lián)動〞諸多方面[2]。醫(yī)院還將制訂、完善相關(guān)配套政策，加快實現(xiàn)醫(yī)療安康信息互通互享，進(jìn)步醫(yī)院管理和便民效勞程度[3]。這就需要醫(yī)院要將網(wǎng)絡(luò)大門翻開，將網(wǎng)絡(luò)進(jìn)展交融設(shè)計，讓患者可以通過互聯(lián)網(wǎng)上的多種方式享受就醫(yī)效勞。在醫(yī)療業(yè)務(wù)不斷向互聯(lián)網(wǎng)開放后，對于系統(tǒng)中斷效勞的容忍度根本為零。醫(yī)院既要保障效勞的敏捷性和持續(xù)性，又要保障數(shù)據(jù)的平安性和保密性，還要防止原有系統(tǒng)被入侵和攻擊行為所破壞。同時，需要從多角度、多層次對系統(tǒng)進(jìn)展網(wǎng)絡(luò)防護(hù)。2網(wǎng)絡(luò)平安措施在已有醫(yī)院信息系統(tǒng)〔HIS〕等系統(tǒng)的情況下，醫(yī)院如何進(jìn)展“開放系統(tǒng)〞的防護(hù)工作。保護(hù)的指導(dǎo)方針是根據(jù)國家信息平安等級保護(hù)要求，按等保要求系統(tǒng)應(yīng)具備抗分布式回絕效勞〔distributeddenialofservice，DDOS〕攻擊、入侵、病毒的防御才能和控制端口、行為等控制才能[4].2.1流量清洗在互聯(lián)網(wǎng)上眾多的網(wǎng)絡(luò)懇求中，充滿著大量的無用懇求、惡意訪問[5]。假設(shè)不對互聯(lián)網(wǎng)中的流量進(jìn)展清洗，將對系統(tǒng)的可用性構(gòu)成極大威脅。該局部清洗主要是針對DDOS攻擊流量。常見DDOS攻擊類型有SYNfloods、Land-Base、PINGofdeath、Teardrop、Smurf等。應(yīng)根據(jù)自身情況選擇專用設(shè)備或運(yùn)營商效勞進(jìn)展DDOS攻擊流量清洗。2.2入侵防御清洗完的流量中還存在著掃描、嗅探、惡意代碼等威脅，它們通過系統(tǒng)破綻，繞過防護(hù)，對系統(tǒng)施行入侵行為，到達(dá)控制主機(jī)的目的。一旦入侵成功，造成的后果和損失是宏大的。通過部署入侵防御系統(tǒng)〔intrusionpreventionsystem，IPS〕對那些被明確判斷為攻擊行為，會對網(wǎng)絡(luò)、主機(jī)造成危害的惡意行為進(jìn)展檢測和防御。深化網(wǎng)絡(luò)數(shù)據(jù)內(nèi)部，查找它所認(rèn)識的攻擊代碼特征，過濾有害數(shù)據(jù)流，丟棄有害數(shù)據(jù)包[6]。基于特征的入侵防御系統(tǒng)無法對高級持續(xù)性威脅〔advancedpersistentthreat，APT〕攻擊進(jìn)展防護(hù)，因此在建立入侵防御系統(tǒng)時，要特別注意該類型的攻擊防護(hù)。可增加態(tài)勢感知系統(tǒng)輔助IPS，將全網(wǎng)流量威脅可視化，進(jìn)一步消除0day破綻隱患。2.3防病毒根據(jù)國際著名病毒研究機(jī)構(gòu)國際計算機(jī)平安聯(lián)盟〔internationalputersecurityassociation，ICSA〕的統(tǒng)計，目前通過磁盤傳播的病毒僅占7%，剩下93%的病毒來自網(wǎng)絡(luò)。其中，包括Email、網(wǎng)頁、QQ和MSN等傳播渠道。計算機(jī)病毒網(wǎng)絡(luò)化的趨勢愈加明顯，需要企業(yè)部署防毒墻/防病毒網(wǎng)關(guān)，以進(jìn)一步保障網(wǎng)絡(luò)的平安。防毒墻/防毒網(wǎng)關(guān)可以檢測進(jìn)出網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)，對、FTP、SMTP、IMAP等協(xié)議的數(shù)據(jù)進(jìn)展病毒掃描，一旦發(fā)現(xiàn)病毒就會采取相應(yīng)的手段進(jìn)展隔離或查殺，在防護(hù)病毒方面可起到非常大的作用.2.4訪問控制在經(jīng)過流量清洗、入侵防御、防病毒3道工序處理后，訪問控制系統(tǒng)是主機(jī)最“貼身〞的一道防線。它是幫助保護(hù)效勞器，按照個體情況來制定防護(hù)策略，精細(xì)防護(hù)到開幾扇門，允許什么人、什么時間、什么方式訪問主機(jī)。通常用硬件防火墻來進(jìn)展訪問控制[7]。常見防火墻類型有網(wǎng)絡(luò)層防火墻、應(yīng)用層防火墻以及數(shù)據(jù)庫防火墻，可實現(xiàn)針對來源IP地址、來源端口號、目的IP地址、目的端口號、數(shù)據(jù)庫語句、應(yīng)用層指令、速率等屬性進(jìn)展控制。還有一種特殊的訪問控制系統(tǒng)——“平安隔離與信息交換系統(tǒng)〞即網(wǎng)閘[8]。主要功能有平安隔離、協(xié)議轉(zhuǎn)換、內(nèi)核防護(hù)功能。由于網(wǎng)閘在所連接的兩個獨(dú)立系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議；不存在根據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡〞，且對固態(tài)存儲介質(zhì)只有“讀〞和“寫〞兩個命令。網(wǎng)閘設(shè)備通常由3局部組成：外部處理單元、內(nèi)部處理單元、隔離平安數(shù)據(jù)交換單元。平安數(shù)據(jù)交換單元不同時與內(nèi)、外部處理單元連接，從而創(chuàng)立一個內(nèi)、外網(wǎng)物理斷開的環(huán)境，從物理上隔離、阻斷了具有潛在攻擊可能的連接，使“黑客〞無法入侵、無法攻擊、無法破壞。2.5負(fù)載平衡在面對互聯(lián)網(wǎng)中大量的網(wǎng)絡(luò)懇求時，必需要增加負(fù)載平衡設(shè)備，擴(kuò)展網(wǎng)絡(luò)設(shè)備和效勞器的帶寬、吞吐量、數(shù)據(jù)處理才能，從而進(jìn)步網(wǎng)絡(luò)的靈敏性和可用性[9]。負(fù)載平衡有多種算法，可以實現(xiàn)基于輪詢、連接數(shù)、源IP和端口、響應(yīng)時間的算法。負(fù)載平衡設(shè)備增加了應(yīng)用系統(tǒng)處理才能，不法分子想要攻癱系統(tǒng)的難度將成倍增加。2.6日志審計與事后分析日志審計與事后分析非常重要[10]，必須將攔截和放行的網(wǎng)絡(luò)懇求記錄下來。一方面，統(tǒng)計攻擊日志，分析網(wǎng)絡(luò)運(yùn)行風(fēng)險；另一方面，記錄放行的流量，對各個防護(hù)環(huán)節(jié)進(jìn)展查漏、補(bǔ)缺，優(yōu)化防護(hù)策略。日志審計越全面，對優(yōu)化網(wǎng)絡(luò)、提升系統(tǒng)效勞程度的幫助越大。日志審計的范圍包括：應(yīng)用系統(tǒng)日志、數(shù)據(jù)庫日志、操作系統(tǒng)日志、網(wǎng)絡(luò)平安防護(hù)日志等。還可將日志系統(tǒng)與網(wǎng)絡(luò)平安態(tài)勢感知系統(tǒng)相結(jié)合，使分析結(jié)果更全面、更準(zhǔn)確。日志存儲時間應(yīng)大于6個月。3詳細(xì)實例根據(jù)以上的防護(hù)要求，本文給出了一個內(nèi)外網(wǎng)交融并進(jìn)展防護(hù)的詳細(xì)案例。按照重要程度與功能將網(wǎng)絡(luò)劃分為多個區(qū)域，總體原那么：首先是按照應(yīng)用系統(tǒng)劃分區(qū)域；其次是施行嚴(yán)格的邊界訪問控制；最后是完善監(jiān)控、審計等輔助才能建立。由此，形成了包括三級域、二級域、平安管理域、專線接入域、數(shù)據(jù)交換域、互聯(lián)網(wǎng)效勞接入域在內(nèi)的6個主要區(qū)域。將醫(yī)院最重要的HIS系統(tǒng)、集成平臺、數(shù)據(jù)倉庫等系統(tǒng)接入在三級域，進(jìn)展最嚴(yán)格的保護(hù)；其他業(yè)務(wù)應(yīng)用系統(tǒng)放在二級域，網(wǎng)站、VPN、線上業(yè)務(wù)等放在互聯(lián)網(wǎng)效勞接入域。邊界分別部署下一代防火墻、Web應(yīng)用防火墻〔webapplicationfirewal，WAF〕。防火墻開啟入侵防御、防病毒等防護(hù)模塊，只放行應(yīng)用系統(tǒng)對外提供效勞的端口流量，對每個源IP的新建連接數(shù)、并發(fā)連接數(shù)、半開連接數(shù)進(jìn)展限制。WAF針對應(yīng)用實際情況，開啟對數(shù)據(jù)庫、中間件、開發(fā)語言的防護(hù)規(guī)那么。由于三級域系統(tǒng)業(yè)務(wù)量大，采用多臺應(yīng)用效勞器并行架構(gòu)，通過旁掛負(fù)載平衡器實現(xiàn)應(yīng)用引流、負(fù)載分擔(dān)，保障應(yīng)用系統(tǒng)處理才能。將應(yīng)用效勞器與數(shù)據(jù)庫效勞器用數(shù)據(jù)庫防火墻進(jìn)展隔離、控制，從SQL語句、角色權(quán)限等角度對數(shù)據(jù)進(jìn)展保護(hù)。數(shù)據(jù)交換域的主要功能為數(shù)據(jù)中轉(zhuǎn)與應(yīng)用代理，邊界同樣部署下一代防火墻，開啟入侵防御、防病毒等防護(hù)模塊，對出入流量進(jìn)展嚴(yán)格管控。當(dāng)互聯(lián)網(wǎng)效勞或線上醫(yī)療業(yè)務(wù)需要與HIS等核心系統(tǒng)產(chǎn)生數(shù)據(jù)懇求時，需要通過中轉(zhuǎn)效勞器完成數(shù)據(jù)中轉(zhuǎn)功能；當(dāng)來自低平安級別系統(tǒng)向HIS等核心系統(tǒng)懇求效勞時，需要通過中轉(zhuǎn)效勞器完成應(yīng)用代理功能。這樣，在保證系統(tǒng)互聯(lián)互通的同時，解決了不同系統(tǒng)間的信任問題。平安管理區(qū)中放置防病毒軟件、堡壘主機(jī)、日志審計、態(tài)勢感知平臺、認(rèn)證系統(tǒng)和監(jiān)控平臺等用于網(wǎng)絡(luò)管理的效勞器，與業(yè)務(wù)系統(tǒng)隔離，在邊界嚴(yán)格控制此區(qū)域系統(tǒng)進(jìn)出流量。在互聯(lián)網(wǎng)出口處，設(shè)置有抗DDOS設(shè)備、IPS、防毒墻、下一代防火墻、負(fù)載平衡器，全方位對互聯(lián)網(wǎng)實時流量進(jìn)展過濾。國家衛(wèi)生安康委員會、醫(yī)保中心、銀行等業(yè)務(wù)通過物理專線接入至專線接入域，通過前置機(jī)與防火墻對這類業(yè)務(wù)進(jìn)展訪問控制?？傊?，通過多種設(shè)備和全面的管理，形成一個邊界明晰、管控嚴(yán)格、監(jiān)