导读：随着医院互联网应用的快速发展，针对医院信息系统的网络入侵和攻击日趋严重，传统静态、平面网络安全保障模式已不能满足现代医院信息安全的需要。为保障信息系统安全，结合医院安全体系的实际，以WPDRRC安全模型为理论指导，提出了医院动态网络安全立体模型结构，建设立体、纵深、主动、动态的网络安全防御体系，以提高医院信息系统安全水平。

　　随着计算机网络技术的不断发展，信息化已经成为了现代医院管理的重要标志。网络作为医疗信息的载体，加快了信息处理过程，实现了院际间互联互通、医疗资源共享，优化了就诊流程，提高了医疗效率，是现代医院不可或缺的工具。

　　然而，随着互联网+医疗的快速发展，传统的保障静态、平面网络安全的模式已不能满足现代医院信息安全的需要，因此，在充分考虑医院信息系统所面临的安全威胁，提出了动态、立体的网络安全建设模型。

　　医院信息系统存在的安全威胁及需求

　　医院快速地从原来与互联网物理隔离的内部局域网，发展成为互联网+医疗、手机端应用、网上预约挂号、检查检验报告推送、云计算、大数据等互联网应用，暴露出了安全建设的不足；医院拥有的患者信息、诊疗信息、医疗材料信息、药品信息更具有商业价值，渐渐得到灰色产业链的觊觎；医院内部网络覆盖整个医院，而攻击行为的80%来源内部系统，内部网络遭受入侵和攻击的现象越来越不容忽视，且入侵和攻击具有智能性、隐蔽性、严重性、多样性和持续性的特点。同时，计算机网络协议、操作系统、网络应用系统固有的安全漏洞、脆弱性，使得基于网络的应用存在安全隐患。

　　为了有效避免网络安全事件的发生；医院核心业务系统达到国家卫计委要求的三级安全等级保护要求。基于某医院网络安全的现状以及安全需求，提出“基于动态安全模型的医院网络安全建设”的项目。

　　医院动态网络安全模型设计

　　参考开放系统互联标准（OSI）和TCP/IP协议对信息系统技术组成的构造方法，依据《信息安全技术信息系统安全等级保护基本要求》《信息安全技术信息系统等级保护安全设计技术要求》等现行标准，结合医院信息系统业务应用以及WPDRRC安全模型，构建以安全策略为核心，安全管理为基础，安全技术和运维管理为支撑，数据容灾为后盾的立体、纵深、主动、动态的医院网络安全防御模型，如图1所示。建立多层次、全方位（网络、系统、终端、数据等）多维度的实时防御，做到在攻击行为发起之前主动发现并预警，攻击行为发生时全面抵御、分析记录，攻击发生后阻断攻击，快速恢复，通过安全事件审计、进行响应、反击。从而建立事前预防、事中控制、事后审计处理机制，保障网络强壮性、连续性。

图1 医院动态网络安全立体模型

　　医院动态网络安全模型实现方案

　　在方案中，采用产品化的可靠技术，利于快速部署，保障其有效性；采用动态模型，依据安全感知平台对安全策略、安全检测、安全管理、安全制度调整，保障安全方案的强壮性、连续性。根据医院动态网络安全立体模型，提出如图2所示的网拓安全拓扑结构。

图2 网拓安全拓扑

　　物理层安全 该层次的重点是机房及通信线路、设备安全，针对医院网络物理环境存在的安全隐患，主要做了如下几项工作：建设机房监控系统，实时监控机房温度、湿度、供电、UPS状态以及是否漏水；制作服务器、存储阵列、网络设备、应用系统间的物理连接关系和地理位置图，以利于安全管理；完善机房及门禁管理；与保卫部门协作，保障通讯线路及设备安全。

　　网络层安全 该层次的重点是解决网络通信安全，确保服务的可用性、连续性。

　　依据医院网络系统安全信任级别，针对网络拓扑及发展，将网络划分为：核心网络区、网管区、业务内网区、业务外网区、外联网区。遵循安全分区、横向隔离、纵向认证的原则，进行安全规划，包括：业务内网隔离与访问控制、互联网数据传输安全、出口边界安全、业务内网与业务外网间边界安全、远程接入安全和用户端接入安全。

　　主要安全措施：根据业务应用，将业务内网划分成不同子网，利用VLAN技术，实现对内部子网的逻辑隔离与访问控制；利用防火墙和网闸进行边界逻辑/物理隔离与访问控制；利用入侵检测和入侵防御，对数据流进行检测与分析，自动识别潜在的攻击行为/进行阻断；利用入侵检测和防火墙联动，自动阻断识别的攻击行为和误操作；利用VPN技术，实现数据的加密传输，保障信息传输的机密性、完整性；采用基于RADIUS技术对业务外网区域的访问进行身份认证。

　　主机系统安全 该层次的重点是解决网络内操作系统的可靠性和主机系统的保护。

　　主要安全措施：部署漏洞发现、补丁管理系统，定期进行漏洞扫描，下载并安装最新补丁；建立病毒防治中心、防病毒控制台、防病毒客户端三级病毒防治体系，部署网络版防病毒软件和反间谍软件，进行病毒防治；在核心网络部署防病毒墙，实现对病毒的主动防御；利用个人防火墙技术，防止病毒利用漏洞渗透进入终端，阻断病毒传播路径；部署桌面终端安全系统，建立终端主动防御技术体系，实现终端层面的防入侵、防外泄、防不良访问；部署基于802.1X准入控制技术并与准入控制策略联动，对终端准入控制。

　　应用层安全 该层次的重点是确保医院业务内网各应用系统安全，确保各业务系统的可用性、连续性、可靠性。

　　主要的安全措施：部署审计系统，对日志进行收集、审计、分析，以便发现系统的脆弱性和漏洞；定期进行安全检查、风险分析，以便发现潜在的攻击；采用基于EAPoL（EAP over LAN）技术，通过用户名+口令和标准的RADIUS服务器配合，对用户的身份认证强制检查，采用基于角色的访问控制技术，实现用户的分级管理；建立三级存储机制,保证历史数据的安全，确保新增数据的高效响应；建立双活数据中心，实现医院信息系统7*24小时的高可用性服务，保障信息系统数据安全。

　　安全管理 该层次的重点是安全技术和设备的管理、安全管理制度、部门与人员的组织规则。

　　针对医院信息系统安全管理现状，主要安全措施：建立信息安全管理组织机构，院长为负责人，信息中心为安全技术实施、管理负责，科室设置安全管理员的三级安全组织机构；建立健全安全管理制度，做到职责到人并应用PDCA对制度及执行持续改进；建立人员管理体系，加强安全技术人员的理论与技术培训，实现安全管理员、系统管理员和数据库管理员三权分立；对医护人员开展安全培训,提高安全意识；建立运维管理系统，对信息资产的生命周期进行全面管理；建设安全策略管理平台，对安全策略及审计进行统一管理，通过业界最佳实践（如ISO17799）来制定切实可行的安全策略并辅助检查对安全策略的执行情况，对网络中的网络设备、主机系统、安全产品的安全策略进行保存和审计，确保安全策略的贯彻实施；建设全网安全感知平台，通过收集安全事件，采用数据挖掘、行为和关联分析技术，对安全事件持续检测、分析，对医院网络中的网络设备、安全设备、安全系统、应用系统、数据库系统做出安全情况与策略吻合性审计并以WEB界面展示，实现安全态势可感知、安全威胁可预警、异常行为可监控、安全事件可溯源，解决安全事件不直观、难发现、响应不及时，安全设备相互孤立等问题。

　　互联网+医疗的出现，医院的互联网应用快速发展，内外网融合，加大了医疗信息的脆弱性，来自于内外网的安全威胁，使现代医院信息系统面临日益严重的安全问题，结合医院网络现状，以主动、动态的设计思想，提出了以安全策略为核心的医院动态网络安全模型，利用产品化有效且可靠的安全技术、一定程度自动化的安全管理系统、强有力的信息安全管理组织机构，完善医院信息系统的日常维护和安全管理工作，保障各强制要求的安全策略正确执行，提高医院信息系统安全水平，做到信息系统安全的统一管理和实施。

　　文章来源：《中国数字医学》杂志2018年第02期，作者及单位：张云 王胤涛 谢峰，昆明医科大学第一附属医院信息中心。