医院信息化安全是现在所有医院面临的重要课题。为了更好的保证医院信息安全,2011年底,卫生部先后下达85号通知和1126号通知,要求全国卫生行业各单位全面开展信息安全等级保护工作,于2015年12月30日前完成等保建设整改并通过等级测评。
2007年由公安部下发的43号令拉开了各行业信息安全等保建设的序幕,2008年颁布的国标《GB/T 22239-2008 信息安全技术-信息系统安全等级保护基本要求》是信息系统安全等保的建设标准。卫生部下发的“85号通知”中的等保工作指导意见明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级,哪些系统是核心业务信息系统则由各地区自己定义,比如上海最终规定的核心业务信息系统是HIS、LIS和RIS。
图1医院网络现状
(如图1所示)医院的网络根据承载业务的不同可划分为内网、外网和设备网,其中:
内网即医院的医务生产网,承载所有业务应用系统,包括大家熟知的HIS、PACS、LIS等系统;
外网即与Internet相联的网络,承载的业务包括邮件、OA等;
设备网是一张新兴的网,承载IP化的智能化弱电系统,包括:公共广播、门禁、楼控、安防视频监控等。
各医院实际网络建设模式会有不同。传统的是内外网物理隔离,但仍有相当一部分是内外网物理合一、逻辑隔离。内网实际上也有外部连接,如医保、公共卫生、新农合、银行等;但这些连接都是内网与内网通过专线连接,且通过前置机进行数据访问。
医院的网络根据承载介质的不同可分为有线网络和无线网络。根据传统习惯,如果不特别说明,上述的内网、外网和设备网均特指有线网络。但实际上无线网络承载的业务也有内外网之分。有的医院无线网只承载内网业务,如无线查房、无线护理、无线补液等;有的医院无线网不仅承载内网业务,还会提供与外网相关的业务,如员工外网业务、病房VIP Internet业务等。无线网络中的内网业务都要访问HIS、RIS等核心业务信息系统,所以作为有线网络的有效补充,无线网络也应是三级安全等保检查中的一部分。
如前所述,大部分地区规定的核心业务信息系统都是内网业务,即三级安全等保只与医院的内网业务系统相关,而对于内外网物理隔离的工作场景,与传统的以防范Internet业务为主的安全解决方案明显不同。
一、 安全等保的测评对象
GB/T 22239-2008中的三级安全等保标准共290项内容,由技术(136项)和管理(154项)2部分组成;技术要求中分为物理、网络、主机、应用和数据安全5部分。根据各地的自有特点,以提高系统的安全性为目的,各地的等保测评机构会进行标准的补充。
医院的信息系统有几十种,除了明确定级为三级的核心业务信息系统,其它业务系统如何处理?拿上海为例,HIS、LIS和RIS定级为三级信息系统,那么这3个系统之外的如EMR、临床路径系统等如何考虑?实际上等保的第一项工作即是给本单位信息系统分类定级,根据系统重要性的不同,进行不同级别的定级。如果某个系统与核心业务系统同样重要,可另外定为三级;其它系统可以定为二级。定为二级的系统按照二级安全等保标准进行建设和测评。
对于二级或三级的业务信息系统,其安全运行所需要的机房、链路、网络、服务器、存储、操作系统、应用软件等都是测评对象。
二、 安全等保网络安全解读
作为安全等保的重要组成部分,网络安全因其分散、覆盖面广的特点,是等保评测的重点,也是医院信息安全的难点。在等保三级标准内容中,网络安全共分为7部分,共33条:
l 结构安全——7条要求,对整体网络架构、带宽和设备性能提出了管理要求;
l 网络访问控制——8条要求,对网络边界控制防范、边界连接的控制提出了管理要求;
l 安全审计—— 4条要求,对包括设备、事件和用户等目标的日志系统提出管理要求;
l 边界完整性检查——2条要求,对接入规范和防内网外联提出了管理要求;
l 入侵防范——2条要求,对网络边界应用级攻击的检测防范提出了管理要求;
l 恶意代码防范——2条要求,对网络边界恶意代码防范和代码库的升级提出的管理要求;
l 网络设备防护 ——8条要求,对设备管理的安全性提出了管理要求。
经过分析,等保网络安全部分的管理要求在很大程度上与边界设备和终端系统直接相关,边界设备的安全和管理功能,终端系统的功能和用户管理功能,可以直接覆盖绝大部分网络安全的管理要求条款。
三、 H3C三级安全等保解决方案
H3C 提供的包括网络设备、网络安全融合方案,基于iMC的终端管理等业务软件全面覆盖了等保网络安全7大项,33小项的绝大部分(如图2所示)。
图2 H3C医院三级等保网络安全解决方案
1. 网络访问控制管理
一般规模的医院网络都采用二层结构,即全院网关终结在核心交换机;同时医院的数据流量绝大部分都是纵向流量(即终端访问服务器的流量),横向流量(终端之间的访问流量)基本没有。在这样的流量模型下,尽管内网与公网隔离,但还有如下内容要进行安全保护。
l 服务器区域:要防范的是“家贼”,即内部数据泄露或病毒DDoS攻击。
l 与无线网络的连接链路:无线网络的开放性使其通常被认为是不安全的。
l 与外联单位的连接链路:外联单位属于网络边界。
安全插卡的优势体现在两点:
传统医院服务器大都直接连在核心交换机上,在进行服务器的防范时,如果采用外接安全设备,不得不把安全设备串接在服务器和核心交换机之间或者进行流量重定向,即需要对原来的网络结构进行改造;
(如图2所示)所有的硬件安全产品(FW、IPS和流量探针)都采用插卡形式,通过其虚拟化功能,即1块插在交换机中的安全插卡可以虚拟化成多个同功能的安全产品,可以进行上述不同线路上的安全防范。
H3C安全插卡解决方案可以满足三级等保网络安全技术条款中的11条(网络访问控制、入侵防范和恶意代码防范)。
2. 审计报表规范
医院业务关系到民生,而且是7*24小时提供服务,因此医院的网络建设首先要考虑可靠性,因此选择的网络产品通常会高于业务流量的实际需求,引发的问题是大部分医院并不知道自己实际的流量模型,即各个服务器、各种业务的访问高峰、整个网络流量分布图等。
H3C的NTA+iAR+UBA方案可以实现对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录,通过交换机上的Netstream卡配合iMC的NTA、iAR和UBA组件,完美的实现了医院网络流量和用户行为数据的统计、分析和报表输出。
H3C审计报表规范解决方案可以满足三级等保网络安全技术条款中的3条(安全审计部分)。
3. 网络边界完整性检查
目前医院的网络分布,在很多地方是既有内网口又有外网口。医务人员对工作地点的网络结构熟悉后,会出现自行把医用终端从内网移到外网,违规访问外网后再接回内网的情况。目前针对此问题,医院想到的方法通常是MAC地址和端口绑定,但引发的问题是维护工作量巨大,使得很多医院对此解决方案望而却步。同时,随着各种医务自助机应用的普及,内网接入点也延伸到公共区域,给医院内网新增了不安全性。三级等保安全标准7.1.2.4节中对边界完整性检查有2条明确要求:
应能够对非授权设备私自联到网络的行为进行检查,并准确定出位置,对其进行有效阻断;
应能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。
可以看出,单纯的MAC地址与端口绑定已不能满足三级等保标准的要求;同时存在仿冒MAC地址的漏洞,即非法终端可以把自己MAC地址改成合法MAC后接入网络。为解决这些问题,H3C采用EAD端点终入控制系统来进行医用终端的安全接入。EAD中的iNode客户端可以防MAC篡改,即iNode发现终端的物理MAC和管理MAC不一致时禁止认证。同时,防内网外联功能,使得医用终端只能接入内网。退一步讲,如果医院认为无法接受医用终端上安装客户端软件,在能接受存在仿冒MAC地址漏洞的前提下,可以使用以MAC地址为认证信息的哑终端认证方式。它与传统的MAC地址端口绑定方案的优势是所有管理维护工作都在集中的服务器侧,而不是分散的网络交换机侧,从而大大降低维护工作量。
H3C网络边界完整性检查解决方案可以满足三级等保网络安全技术条款中的8条(网络访问控制部分、网络边界完整性检查部分、访问控制部分)。
4. 网络设备防护
目前医院的网络设备管理通常有两种方式:集成管理平台和设备分散远程登录管理。对于后者,目前主流管理方法还是通过Telnet远程管理。由于设备数量多维护工程量大,出于维护的便利性,设备的登录用户口令通常是所有设备相同且永远不变,甚至网管人员更换后也不会更换设备的用户口令。
对于设备的远程登录管理,等保标准也有一些要求,如采用加密的SSH替代明文的Telnet、双因子认证等。基于以上需求,H3C推出的TAM方案可以解决上述问题。网络设备的登录认证通过标准的TACACS协议与TAM服务器通信,设备的用户名口令在服务器侧统一管理,而口令管理也可以接合Token卡等动态密码机制以实现登录的双因子认证。不仅更改登录用户名与口令变得方便,通过TAM对设备的任何远程操作都有记录,便于问题的回溯管理。
H3C网络设备防护解决方案可以满足三级等保网络安全技术条款中的7条(网络设备防护部分)。
四、 无线安全解决方案
从医院无线网络的建议模式来看,通常分为运营商代建和医院自建两种。无论哪种建设模式,无线技术本身安全性的问题都无法回避。不像有线网络,只要不提供接入点,就无法侵入;无线是开放的,任何外来人员都可以和内部人员一样接收到无线信号,所以必须进行接入认证安全保护。但如果像家庭一样只提供密码接入保护,那么无线网络的安全形同虚设,因为整网单一的密码很容易外泄。
除了文章开篇提到内网及外网业务,运营商代建的无线网络还提供公共无线网接入(如电信的ChinaNet、移动的CMCC等)。公网和私网的混用还会引入更多的安全问题。
另外,无线终端比传统的医用终端更容易做接入网络切换,而考虑到病毒和木马的防范,医院不希望用于内网的无线终端在访问外网后再接入内网。
医院的无线网络安全方案的构建需要考虑以下几个问题:
考虑到医院的业务模式,传统的用户名口令无法作为唯一的认证因素,原因是医生护士的用户名口令几乎是半公开的。那么如何识别医院的合法移动终端?
随着平板电脑和智能手机的普及,传统的移动推车+PDA的应用受到冲击。如何支持新型的移动终端?
如何防止合法终端接入运营商提供的无线网络?
对于运营商承建的无线网络,如何防止登录公共无线网络的用户的黑客入侵?
针对以上需求,根据医院对安全级别考虑的不同,H3C提供以下几种方案:
EAD端点准入控制方案;
移动终端证书认证方案;
哑终端接入控制方案。
其中EAD端点准入控制方案安全级别最高,可以解决目前考虑到的所有问题,但需要在移动终端上安装iNode客户端软件。证书认证方案可以完美地实现用户安全认证,但无法做到控制合法终端登录其它无线网络。哑终端接入控制方案不需要安装任何客户软件,但具有MAC地址仿冒的漏洞,同时也无法做到控制合法终端登录其它无线网络。
这三种方案的共性都是在无线网络中提供认证网关。如果无线网是医院自建的,则AC可以兼做认证网关。如果无线网是运营商代建的,考虑到无线的设备产权及运维都是运营商负责,需要在AC与有线网络之间单独部署认证网关(如图3所示)。
图3 无线安全认证系统部署
结束语
医院的三级安全等保技术要求,既有与其它行业要求的共性,又有其自己的特点。这些要求中除了网络层面的,还包括机房、主机、应用和数据安全。
三级安全等保对医院既是一次命题考试,又是一次切实提升医院安全能力的好机会。作为安全等保技术要求的主要部分——网络安全,因其分散、覆盖面广和难以管理,也是整个等保安全的难点。H3C从网络与安全融合、终端与边界融合、集中与分级融合等多个维度,覆盖了包括结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码入侵和设备防护在内的绝大多数技术要求,提供了完整的医院三级等保方案。