为更好地理解安全保护方案的制订过程,本节以某医院信息系统为例,从资产分析、确定安全标准、风险评估和安全需求分析等方面展开介绍。图3-8所示为医院信息系统的典型网络拓扑。
图3-8 医院信息系统的典型网络拓扑
医院是一个信息和技术密集型的行业,一个现代化的医院信息网络,除满足高效的内部自动化办公需求外,还应和外界通过互联网相连。医院的信息网络可分为业务内网和办公外网。
业务内网包括医院信息系统(Hospital Information System,HIS)、实验室信息管理系统(Laboratory Information Management System,LIMS)、临床信息系统(Clinical Information System,CLS)、电子病历(Electronic Medical Record,EMR)、放射科信息管理系统(Radiology Information System,RIS),以及影像归档和通信系统(Picture Archiving and Communication Systems,PACS)等应用系统,涉及范围包括中心机房、门诊楼、急诊楼、住院楼、医技楼及灾备中心等,中心机房是整个业务网络的核心,主要为医疗数据交换、存储和医院业务系统的运维提供支撑。
医院的业务网络由核心层、汇聚层和接入层的网络交换设备组成。为防止网络设备由于单点故障而影响业务系统的可用性,在主要的核心节点设备上都采用双机冗余方式在线运行。此外,还有相应的VPN专线连接到卫生局、人社局和银行等外部单位,进行相关的医疗业务数据交换。
办公外网主要由门诊楼中心机房、各业务楼和互联网接入区等几部分组成。办公外网的组网方式与业务网类似,但其主要职能是供本院医职人员的互联网浏览服务,以及对外网站的信息发布,所以办公外网采用的是成本更低廉的单核心网络架构,以满足一般性的外网业务需求。具体包括以下几个方面。
(1)信息发布网站:各级医疗系统的Web网站是其公众形象的重要体现,其主要功能是供医院官方发布正式的文件和信息等。
(2)邮件和互联网浏览服务:除了提供对外网站发布服务,医院办公网络系统还对内部人员提供邮件服务和互联网浏览服务。
(3)外网OA系统:供日常办公计算机、办公自动化服务器和数据库使用,包含的应用有电子邮件、公文传递及批复、文件传输和内部主页等。
2019年5月13日,国家市场监督管理总局、国家标准化管理委员会正式发布与等保2.0相关的《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准,要求涉及国计民生的信息系统应达到一定的安全等级,根据文件精神和等级划分的原则,医院信息系统构筑至少应达到二级或以上防护要求。
风险评估首先需要确定保护对象,通过分析系统所属类型、所属信息类别、服务范围,以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功能模块,并确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择,以及安全措施选择提供依据。根据上一步的结果,通过分析医院系统业务流程、功能模块,再根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。
然后参照国家相关等级保护安全要求,确定不同安全域的安全要求。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域需要采用的安全指标。
最后根据各等级的安全要求确定评估内容,根据国标中风险评估的相关方法,对系统各层次安全域进行有针对性的等级风险评估,并找出系统安全现状与等级要求的差距,形成完整、准确的按需防御安全需求。通过等级风险评估,可以明确各层次安全域与相应等级的安全差距,为安全技术解决方案设计和安全管理建设提供依据。
1.医院信息网络需要满足的要求
医院信息网络必须满足数据、语音、图像等综合业务的传输要求,因此,多种高性能设备和先进技术将被应用,以保证系统的正常运行和稳定的效率。此外,医院的信息网络系统一般同时连接着互联网和医保网等,访问人员比较复杂,所以如何保证医院信息网络系统中的数据安全尤为重要。对于医院信息网络来说,主要需要满足以下4个要求。
(1)合规性要求:满足国家、相关行业的建设标准(网络安全法、等级保护、数字化医院)。
(2)基本性要求:业务系统稳定安全运行是医院工作顺利开展的关键,是医院运行最基本的要求。
(3)保密性要求:医院信息系统中存放着大量的病人隐私信息,吸引了黑色产业链的关注,遭到越来越多的攻击。
(4)发展性要求:在“互联网+医疗”背景下,医院开展了很多特色应用,在做安全需求分析时也需要考虑这些发展性要求可能带来的安全隐患。
2.医疗信息系统安全技术需求
下面从物理安全、计算环境安全、区域边界安全和通信网络安全4个方面,对医疗信息系统的安全技术需求进行分析。
(1)物理安全风险与需求分析:物理安全风险主要指网络和服务器设备的环境和物理特性引起的网络设备或服务器不可用,从而造成网络系统的不可用,甚至导致整个网络的瘫痪。它是整个网络系统安全的前提和基础,只有保障物理层的可用性,才能保障整个网络的可用性,进而提高整个网络的安全防护能力。例如,机房缺乏必要的人员管控措施,人员随意出入带来的风险;网络设备被盗、被毁坏;线路老化或有意无意地破坏线路;设备在非预测情况下发生故障、停电;自然灾害如地震、水灾、火灾、雷击等。在考虑安全风险时,应优先考虑物理安全风险。保证网络正常运行的前提是将物理安全风险降到最低,或者尽量考虑在非正常情况下物理层出现风险问题时的应对方案。
(2)计算环境安全风险与需求分析:计算环境的安全主要指主机及应用层面的安全风险与需求分析,包括身份鉴别、访问控制、系统审计、入侵防范、恶意代码防范、软件容错、数据完整性与保密性、备份与恢复、资源合理控制、剩余信息保护、抗抵赖等。
(3)区域边界安全风险与需求分析:区域边界的安全主要包括边界访问控制、边界完整性检测、边界入侵防范、边界安全审计等。
(4)通信网络安全风险与需求分析:医院通信网络的安全主要包括网络结构安全、网络安全审计、网络设备防护、通信完整性与保密性等。
除技术保障措施外,安全管理也是保障安全技术手段发挥作用的有效方法。在安全管理需求方面,主要参考和依赖国家相关标准、行业规范和国际安全标准等,形成可操作的安全管理体系。主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。
通过上述步骤,系统可形成整体的等级化安全保障体系,同时根据安全技术建设和安全管理建设来保障医院信息系统的安全。另外,网络安全方案的建设并非一成不变,而应该是一个不断循环的过程,在后续的运维工作中,安全人员应根据复杂系统的变化,不断更新医院信息系统安全体系,从而保障医院信息系统的稳定安全运行。