沈彤，萬(wàn)振（通信作者）

天津大學(xué)海河醫(yī)院 （天津 300350）

近年來(lái)，互聯(lián)網(wǎng)、云計(jì)算、物聯(lián)網(wǎng)等技術(shù)的興起和發(fā)展不僅改變著世界，也在影響整個(gè)醫(yī)療行業(yè)，醫(yī)療信息數(shù)字化建設(shè)的新變革與新挑戰(zhàn)已經(jīng)來(lái)臨。隨著醫(yī)聯(lián)體的蓬勃發(fā)展及互聯(lián)互通平臺(tái)的搭建，各級(jí)醫(yī)療機(jī)構(gòu)之間、醫(yī)療機(jī)構(gòu)與患者之間、診療與公共衛(wèi)生系統(tǒng)之間的邊界正在慢慢消失、消融。后疫情時(shí)代智慧醫(yī)院的建設(shè)、全民健康的融合發(fā)展、“互聯(lián)網(wǎng)+”醫(yī)療的全面鋪開(kāi)等互聯(lián)網(wǎng)浪潮所帶來(lái)的創(chuàng)新業(yè)務(wù)模式，促使醫(yī)療信息數(shù)字化建設(shè)打破圍墻思維擁抱互聯(lián)網(wǎng)，隨之而來(lái)的信息化安全問(wèn)題也以全新的面貌展現(xiàn)在我們面前[1]。

1 網(wǎng)絡(luò)安全架構(gòu)建設(shè)背景

突如其來(lái)的新型冠狀病毒肺炎疫情不僅打亂了人們的正常生活秩序，也全面影響著全球互聯(lián)網(wǎng)安全的發(fā)展，在數(shù)字時(shí)代疫情、網(wǎng)情、輿情等多種因素的共同作用下，全球網(wǎng)絡(luò)安全的形勢(shì)更為嚴(yán)峻，面臨著各種新的挑戰(zhàn)。我院是天津市一家以治療呼吸系統(tǒng)疾病為主，集醫(yī)療、教學(xué)、科研為一體的大型三級(jí)甲等綜合醫(yī)院，承載著天津市新型冠狀病毒肺炎患者的收治任務(wù)。在疫情期間，院內(nèi)信息化網(wǎng)絡(luò)系統(tǒng)安全穩(wěn)定運(yùn)行且經(jīng)受住了各種考驗(yàn)。此次疫情不僅改變了人們就醫(yī)問(wèn)診的習(xí)慣，而且使人們逐步意識(shí)到通過(guò)互聯(lián)網(wǎng)的遠(yuǎn)程無(wú)接觸式診療方式或許會(huì)成為未來(lái)醫(yī)療的重要發(fā)展方向。隨著疫情的好轉(zhuǎn)，我院各項(xiàng)診療業(yè)務(wù)逐步恢復(fù)正常，加之后期智慧醫(yī)院數(shù)字化轉(zhuǎn)型建設(shè)的需求，以往與外界物理隔離的局域網(wǎng)運(yùn)行模式已經(jīng)滿足不了未來(lái)醫(yī)療數(shù)字化發(fā)展的需求，急需實(shí)現(xiàn)與外界的互聯(lián)互通[2]?；诖耍以焊鶕?jù)實(shí)際網(wǎng)絡(luò)安全需求，結(jié)合傳統(tǒng)業(yè)務(wù)特性及新型數(shù)字化診療業(yè)務(wù)轉(zhuǎn)型的新邏輯，建立了一套符合自身系統(tǒng)安全需求的網(wǎng)絡(luò)安全保障體系架構(gòu)，以綜合提升系統(tǒng)的安全保障能力和防護(hù)水平，確保各系統(tǒng)接入互聯(lián)網(wǎng)后的安全穩(wěn)定運(yùn)行。

2 網(wǎng)絡(luò)安全架構(gòu)的分析規(guī)劃與技術(shù)運(yùn)用

目前，我院運(yùn)行的信息系統(tǒng)承載著醫(yī)院的醫(yī)院信息系統(tǒng)（hospital information system，HIS）、實(shí)驗(yàn)室信息系統(tǒng)（laboratory information system，LIS）、醫(yī)學(xué)圖像獲取與通信系統(tǒng)（picture archiving and communication systems，PACS）、電子病歷系統(tǒng)（electronic medical record，EMR）等核心業(yè)務(wù)，并傳輸和存儲(chǔ)著大量醫(yī)療敏感信息，面對(duì)互聯(lián)互通后來(lái)自信息系統(tǒng)內(nèi)、外部的各種安全威脅，需要分析網(wǎng)絡(luò)運(yùn)行現(xiàn)狀、搜集匯總存在問(wèn)題、研討規(guī)劃可實(shí)行的方案，在完全符合信息安全等級(jí)保護(hù)（簡(jiǎn)稱“等保”）工作的前提下，建立多層級(jí)、多維度、高可用的網(wǎng)絡(luò)安全架構(gòu)體系，包括終端安全、邊界安全、網(wǎng)絡(luò)識(shí)別、威脅檢測(cè)、安全運(yùn)營(yíng)與監(jiān)管、其他輔助網(wǎng)絡(luò)安全技術(shù)等[3]，見(jiàn)圖1。

圖1 基于等保合規(guī)要求的網(wǎng)絡(luò)安全體系的建立

2.1 終端安全

我院此次采用第三代主動(dòng)安全引擎對(duì)網(wǎng)絡(luò)進(jìn)行加固。與以往第一、二代主要針對(duì)木馬病毒等惡意程序的單純殺毒引擎不同，第三代安全引擎可通過(guò)特定的算法和規(guī)則體系，變被動(dòng)為主動(dòng)，對(duì)本地的程序和文件主動(dòng)進(jìn)行風(fēng)險(xiǎn)分析和行為控制，再通過(guò)對(duì)“內(nèi)存指令控制流的檢測(cè)”來(lái)判斷內(nèi)部網(wǎng)絡(luò)內(nèi)是否有惡意行為發(fā)生，這已大大超出了傳統(tǒng)殺毒引擎的概念范疇，能夠更有效地預(yù)防攻擊行為，可更好地實(shí)現(xiàn)對(duì)所有漏洞和后門(mén)的主動(dòng)防護(hù)。

2.2 邊界安全

通過(guò)在內(nèi)部局域網(wǎng)絡(luò)與互聯(lián)網(wǎng)出口邊界架設(shè)防火墻可以提供限制訪問(wèn)控制，禁止139、445等特定端口的危險(xiǎn)數(shù)據(jù)流通信，有效控制木馬、勒索病毒等對(duì)內(nèi)部網(wǎng)絡(luò)的危害，避免其在目標(biāo)主機(jī)上被執(zhí)行。接受進(jìn)出保護(hù)的網(wǎng)絡(luò)數(shù)據(jù)流會(huì)根據(jù)防火墻的訪問(wèn)控制策略進(jìn)行管控，不僅可以保護(hù)網(wǎng)絡(luò)資源不受外部侵入，還能攔截被保護(hù)網(wǎng)絡(luò)向外傳送的有價(jià)值信息。

網(wǎng)閘是可以實(shí)現(xiàn)物理隔離的網(wǎng)絡(luò)邊界設(shè)備。在內(nèi)網(wǎng)隔離區(qū)（demilitarized zone，DMZ）區(qū)域邊界架設(shè)網(wǎng)閘可隔離依據(jù)協(xié)議進(jìn)行的信息交換，而只允許以數(shù)據(jù)文件形式進(jìn)行的無(wú)協(xié)議數(shù)據(jù)擺渡。在實(shí)際應(yīng)用中，通過(guò)優(yōu)化與天津市衛(wèi)生健康委員會(huì)數(shù)據(jù)報(bào)送系統(tǒng)之間架設(shè)的網(wǎng)閘，不僅實(shí)現(xiàn)了僅限于遠(yuǎn)端特定主機(jī)與內(nèi)部指定數(shù)據(jù)庫(kù)1521、1433開(kāi)放端口的單向通信，而且實(shí)現(xiàn)了以只讀方式進(jìn)行信息傳輸，并只對(duì)特定的應(yīng)用程序產(chǎn)生的信息進(jìn)行傳輸控制，兩個(gè)系統(tǒng)獨(dú)立存在、互不干擾，不存在通信的物理連接、邏輯連接，可起到很好地保護(hù)雙方主機(jī)的作用。我院核心網(wǎng)絡(luò)架構(gòu)及邊界安全設(shè)計(jì)圖見(jiàn)圖2。

圖2 核心網(wǎng)絡(luò)架構(gòu)及邊界安全設(shè)計(jì)圖

2.3 網(wǎng)絡(luò)識(shí)別

2.3.1 網(wǎng)絡(luò)資產(chǎn)識(shí)別

網(wǎng)絡(luò)資產(chǎn)是安全策略保護(hù)的對(duì)象。院內(nèi)所有在網(wǎng)設(shè)備主機(jī)均有詳細(xì)的資產(chǎn)明細(xì)，服務(wù)器單獨(dú)規(guī)劃管理VLAN 地址段，每臺(tái)交換機(jī)設(shè)備均設(shè)置獨(dú)立的管理IP。網(wǎng)絡(luò)威脅正是利用資產(chǎn)自身的脆弱性，對(duì)網(wǎng)絡(luò)發(fā)動(dòng)攻擊形成安全風(fēng)險(xiǎn)，對(duì)資產(chǎn)的有效管理是網(wǎng)絡(luò)安全管理中最基礎(chǔ)且重要的工作之一，完備的資產(chǎn)識(shí)別技術(shù)與可視化的資產(chǎn)管理工具相結(jié)合，可以有效地幫助管理員提高安全信息管理能力。

2.3.2 網(wǎng)絡(luò)流量識(shí)別

網(wǎng)絡(luò)威脅的發(fā)生往往會(huì)引發(fā)網(wǎng)絡(luò)流量的各種異?，F(xiàn)象，在邊界關(guān)鍵位置部署流量監(jiān)測(cè)設(shè)備，通過(guò)檢查網(wǎng)絡(luò)數(shù)據(jù)包的源端口號(hào)和目的端口號(hào)、有效載荷流量分析等方法及時(shí)分離出威脅信息數(shù)據(jù)流，必要時(shí)采取有效的針對(duì)性處置措施。

2.3.3 網(wǎng)絡(luò)用戶身份識(shí)別

身份識(shí)別是系統(tǒng)權(quán)限分配、流量訪問(wèn)控制和上網(wǎng)行為分析的管理基礎(chǔ)。依靠MAC 地址、IP 地址、賬號(hào)、密碼等傳統(tǒng)的身份信息識(shí)別方式已經(jīng)無(wú)法滿足身份識(shí)別的安全準(zhǔn)入需求。按照等級(jí)保護(hù)2.0工作的要求，應(yīng)加強(qiáng)系統(tǒng)密碼管理及系統(tǒng)使用人員的身份準(zhǔn)入。我院引入了Ukey 認(rèn)證登錄，每一名醫(yī)務(wù)人員在操作系統(tǒng)前均需使用自己的Ukey 進(jìn)行認(rèn)證登錄，同時(shí)，系統(tǒng)使用者登錄時(shí)間、登錄主機(jī)、記錄操作行為均可被記錄，并可保留半年日志，這利于事后進(jìn)行大數(shù)據(jù)綜合行為分析，發(fā)現(xiàn)梳理危險(xiǎn)賬戶。

2.4 威脅檢測(cè)

2.4.1 網(wǎng)絡(luò)入侵檢測(cè)

網(wǎng)絡(luò)入侵檢測(cè)可視為對(duì)網(wǎng)絡(luò)資源惡意使用行為進(jìn)行識(shí)別和響應(yīng)處理的一種技術(shù)，主要用來(lái)保護(hù)院內(nèi)關(guān)鍵系統(tǒng)應(yīng)用的服務(wù)器，可通過(guò)硬件或軟件對(duì)數(shù)據(jù)流進(jìn)行檢測(cè)并與系統(tǒng)中的入侵特征數(shù)據(jù)庫(kù)進(jìn)行比對(duì)，一旦發(fā)現(xiàn)攻擊跡象會(huì)根據(jù)安全策略通知管理員立即做出反應(yīng)。

2.4.2 流量威脅檢測(cè)

流量威脅檢測(cè)技術(shù)基于網(wǎng)絡(luò)流量分析，為管理員提供識(shí)別發(fā)現(xiàn)漏洞利用、高級(jí)木馬通信、地址解析協(xié)議（address resolution protocol，ARP）攻擊、數(shù)據(jù)竊取等提供有效的監(jiān)控手段，解決網(wǎng)絡(luò)中安全措施無(wú)法發(fā)現(xiàn)解決的問(wèn)題。

2.4.3 網(wǎng)絡(luò)安全掃描

在新系統(tǒng)上線前操作系統(tǒng)補(bǔ)丁已經(jīng)更新到最新，通過(guò)對(duì)全網(wǎng)進(jìn)行網(wǎng)絡(luò)安全掃描可檢測(cè)到計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全性方面的脆弱點(diǎn)，從而發(fā)現(xiàn)安全隱患和可以被利用的漏洞，并通知管理員按需進(jìn)行漏洞升級(jí)，及時(shí)修復(fù)。

2.5 安全運(yùn)營(yíng)與監(jiān)管

通過(guò)態(tài)勢(shì)感知平臺(tái)實(shí)現(xiàn)日常網(wǎng)絡(luò)安全運(yùn)營(yíng)與監(jiān)管。態(tài)勢(shì)感知是一種以安全大數(shù)據(jù)為基礎(chǔ)，基于環(huán)境的動(dòng)態(tài)、整體洞悉安全風(fēng)險(xiǎn)的能力，可從全局視角提升對(duì)安全威脅的發(fā)現(xiàn)識(shí)別、理解分析及響應(yīng)處置能力。通過(guò)態(tài)勢(shì)感知，可提前預(yù)判各系統(tǒng)主機(jī)與外部通信時(shí)的風(fēng)險(xiǎn)，能夠及時(shí)發(fā)現(xiàn)各種網(wǎng)絡(luò)威脅與異常，快速判別威脅的攻擊目的、路徑及手段，建立安全預(yù)警機(jī)制，完善風(fēng)險(xiǎn)控制、應(yīng)急響應(yīng)和整體安全防護(hù)。

2.6 其他輔助網(wǎng)絡(luò)安全技術(shù)

2.6.1 數(shù)據(jù)加密

數(shù)據(jù)加密技術(shù)不僅是基本的網(wǎng)絡(luò)安全技術(shù)，也是信息安全的核心，通過(guò)變換和置換等方式將被保護(hù)的信息置換成密文后在網(wǎng)絡(luò)中傳輸，即使被截獲也可以保證內(nèi)容及信息不被認(rèn)知，該技術(shù)是實(shí)現(xiàn)數(shù)字認(rèn)證的關(guān)建途徑和手段。

2.6.2 日志審計(jì)

日志被用于故障檢測(cè)和入侵檢測(cè)，反映安全攻擊行為，可提供事中追蹤、事后追查和溯源，并進(jìn)行調(diào)查取證，實(shí)現(xiàn)設(shè)備的安全運(yùn)行。院內(nèi)網(wǎng)絡(luò)審計(jì)在具備審查統(tǒng)方功能的基礎(chǔ)上，增加了系統(tǒng)事件、安全事件、應(yīng)用事件、網(wǎng)絡(luò)事件、其他事件通過(guò)日志記錄器、日志分析器制定的審計(jì)策略規(guī)則進(jìn)行日志文件的審計(jì)，并生成審計(jì)分析報(bào)告，并按等保要求保存6個(gè)月以上。日志審計(jì)流程圖見(jiàn)圖3。

圖3 日志審計(jì)流程圖

2.6.3 上網(wǎng)行為管理

上網(wǎng)行為管理可以深度識(shí)別互聯(lián)網(wǎng)訪問(wèn)流量中的應(yīng)用、用戶及內(nèi)容，實(shí)現(xiàn)對(duì)瀏覽、訪問(wèn)、上傳、下載、接收和外發(fā)行為的精細(xì)化控制和審計(jì)，同時(shí)具備屏蔽非法網(wǎng)站的訪問(wèn)、控制上網(wǎng)時(shí)段、外發(fā)信息監(jiān)控審計(jì)避免泄密等功能，還可以有效管理帶寬限制嚴(yán)重消耗帶寬的應(yīng)用，保障整體網(wǎng)絡(luò)帶寬均衡使用及運(yùn)行順暢。

2.6.4 災(zāi)備技術(shù)

即使具備非常完善的信息系統(tǒng)安全防護(hù)體系，也無(wú)法徹底消除風(fēng)險(xiǎn)，系統(tǒng)網(wǎng)絡(luò)有可能發(fā)生極小概率事件，數(shù)據(jù)災(zāi)備即為最后一道保障，多一份備份或備份副本，就多一份恢復(fù)的可能，選擇合理適用的災(zāi)備模式，可增強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)的安全性。現(xiàn)階段網(wǎng)絡(luò)災(zāi)備技術(shù)及特點(diǎn)見(jiàn)表1。我院現(xiàn)階段使用“冷備”+“雙活”的雙重災(zāi)備方式，輔以O(shè)racle 數(shù)據(jù)庫(kù)自帶的數(shù)據(jù)泵備份定期拷貝保存，并采用專用存儲(chǔ)介質(zhì)進(jìn)行離線備份，隨著新技術(shù)的發(fā)展及備份需求的增大，未來(lái)會(huì)考慮云備份等新型付費(fèi)備份方式。

表1 網(wǎng)絡(luò)災(zāi)備技術(shù)及特點(diǎn)

3 疫情期間網(wǎng)絡(luò)安全架構(gòu)的應(yīng)用效果

疫情期間產(chǎn)生的新業(yè)務(wù)模式如遠(yuǎn)程會(huì)診、遠(yuǎn)程辦公、衛(wèi)生系統(tǒng)數(shù)據(jù)報(bào)送等均需對(duì)互聯(lián)網(wǎng)開(kāi)放，無(wú)論是通過(guò)端口映射開(kāi)放公網(wǎng)訪問(wèn)，還是使用Vpn 打通遠(yuǎn)程網(wǎng)絡(luò)通道，均在以往脆弱的網(wǎng)絡(luò)邊界上產(chǎn)生了很多安全隱患，增加了內(nèi)部網(wǎng)絡(luò)隱私數(shù)據(jù)的暴露風(fēng)險(xiǎn)。新的網(wǎng)絡(luò)安全系統(tǒng)的應(yīng)用效果如下：（1）增加了網(wǎng)絡(luò)系統(tǒng)抵御外來(lái)入侵攻擊的能力，成功有效地避免了蠕蟲(chóng)病毒、木馬病毒的侵入，保護(hù)了數(shù)據(jù)安全，使院內(nèi)的網(wǎng)絡(luò)系統(tǒng)運(yùn)行更加牢固可靠；（2）理清了在用資產(chǎn)，清晰明確使用責(zé)任人，方便后期管理；（3）培養(yǎng)了醫(yī)務(wù)人員良好的用網(wǎng)習(xí)慣，這也為后期向數(shù)字化智慧醫(yī)院轉(zhuǎn)型奠定了安全基礎(chǔ)。

4 總結(jié)

網(wǎng)絡(luò)安全的新技術(shù)、新場(chǎng)景進(jìn)入多元化發(fā)展階段，對(duì)更高級(jí)別安全的需求也進(jìn)入爆發(fā)式的增長(zhǎng)期，以往的網(wǎng)絡(luò)安全只是針對(duì)封閉的網(wǎng)絡(luò)環(huán)境，采用邊界防御即可解決問(wèn)題，但在復(fù)雜的互聯(lián)網(wǎng)新思維趨勢(shì)下，應(yīng)從全新的視角審視網(wǎng)絡(luò)安全問(wèn)題，構(gòu)建更加健全完善的網(wǎng)絡(luò)安全體系，更好地為醫(yī)院的醫(yī)療工作保駕護(hù)航[4]。