摘要针对互联网医疗模式下,医院的内外网需要打通,数据在不同网络之间交互成为发展趋势。在分析了传统医疗模式下网络安全防护存在问题的基础上,讨论了在互联网模式下的网络安全保护措施、互联互通方法,并介绍了具体案例。

关键词互联网+医疗网络安全网络安全防护案例

0引言

互联网+医疗健康模式下要求医院的信息系统功能向外扩展,实现在线预约、挂号、缴费和诊疗服务。为了实现在线服务的功能,势必要将医院局域网与互联网打通,来进行数据交互,但只有在网络与安全的建设达标的情况下,才能开展相关业务。同国内一些大型企业比较,医院的网络安全建设相对薄弱,这与医院信息系统的特殊性和信息化的发展历程有关。最初的网络建设是为局域网系统提供服务,没有与外部系统互联的需求。如今面对越来越开放的服务需求,信息网络的安全性面临着极大的挑战。网络安全作为信息化建设的基石,如何在现有医院网络基础上实施安全防护,为互联网医院需要开展的业务提供高速、可靠的网络环境,是管理者面临的又一挑战。

1医院网络安全发展历程

医院信息系统发展[1]的不同时期,对网络安全建设要求不同。

1.1最初的内外网隔离时期

医院在建设信息系统初期,多数选择内外网隔离的网络方案,内网负责承载医疗业务,外网负责承载办公业务。内网常见有数据库服务器、文件服务器,外网有邮件服务器和网站服务器等。当时的信息系统多为客户端/服务器(C/S)架构,信息系统功能局限在局域网内,数据不用穿越防火墙,信息系统架构简洁,实施与维护方便。网络上通常采用二层树状架构,结构简单、部署迅速。内外网隔离的方式,可以阻断全部来自外网的攻击,将防护重点集中在内网终端上。采用的方法是在服务器与客户端安装杀毒软件。虽然,在这个时期网络安全风险低,但是面对一波又一波的网络病毒,如蓝色代码、熊猫烧香、冲击波、震荡波等病毒,还是暴露了医院终端防护水平低、安全建设滞后的问题。

1.2接入专线网络外联

医院的信息系统发展很快,为了方便患者就医,优化就医流程,新的应用、功能需求层出不穷。其中,包括医保实时结算、银医结算与医疗数据共享等应用。由于早期完全隔离的网络使得系统无法与外界交互,这就需要在独立封闭的网络中“开孔出气”。网络的基础上,与外界系统交互只通过专线的方式,边界清晰、业务明确。在这个时期的应用中,院方系统作为请求发起方即客户端,院内系统不需要对外部系统开放接口或者服务,并且与内网系统联通的专线网络属于“可信”环境。在此基础上,只需要在前置服务器外联边界设置防火墙,阻断由外向内的所有连接,允许由内向外的请求。

1.3划分虚拟专网方式接入

随着医院信息系统的进一步发展,医生远程办公、分院业务系统交互,以及患者自助查询、缴费等新需求应运而生,简单的外联已经不能满足新业务开展的要求。此时,就需要进一步对网络进行开放。远程办公可以使用互联网虚拟专用网络(VPN)接入,患者检查结果查询方式为互联网接入。与以往不同,这些应用的开展,都是以内网信息系统的数据为最终请求目标。不管数据包如何跳转,最终需要到达内网服务端。这一时期的服务从面向医务工作者,扩展到了面向部分就诊患者,请求量有所提升。但最根本的转变在于内网系统面向部分外网客户端,提供多样化的服务。虽然,服务对象是特定人群,但是面向互联网开放了“窗口”,见图2。不管是通过前置机中转,还是地址变换、隐藏等手段提供服务,都不能回避互联网上存在的扫描、攻击等潜在风险。这类应用一般为非必要医疗业务环节,面对互联网上的威胁、风险,还可以忍受一定程度上的服务中断。通过接入物理专线的方式,将医保中心、银行及相关卫生主管部门联通。在相关业务系统外围增加前置服务器,作为院方与互联单位的数据中转站,并负责将相关数据、表格保持同步,将上报数据、业务请求发送至外网服务端。这个时期的网络防护也较为轻松。因为在原有封闭但在网络安全方面,是不能允许存在任何非授权访问和入侵破坏的。

1.4互联网+医疗背景下的网络融合

在互联网+医疗时代背景下,医院信息系统将达到前所未有的开放程度。医院将从医疗、公共卫生、家庭医生签约、药品供应保障、医保结算、医学教育和科普等方面推动互联网与医疗健康服务相融合,涵盖医疗、医药、医保“三医联动”诸多方面[2]。医院还将制订、完善相关配套政策,加快实现医疗健康信息互通互享,提高医院管理和便民服务水平[3]。这就需要医院要将网络大门打开,将网络进行融合设计,让患者可以通过互联网上的多种方式享受就医服务。在医疗业务不断向互联网开放后,对于系统中断服务的容忍度基本为零。医院既要保障服务的敏捷性和持续性,又要保障数据的安全性和保密性,还要防止原有系统被入侵和攻击行为所破坏。同时,需要从多角度、多层次对系统进行网络防护。

2网络安全措施

在已有医院信息系统(HIS)等系统的情况下,医院如何进行“开放系统”的防护工作。保护的指导方针是根据国家信息安全等级保护要求,按等保要求系统应具备抗分布式拒绝服务(distributeddenialofservice,DDOS)攻击、入侵、病毒的防御能力和控制端口、行为等控制能力[4].

2.1流量清洗

在互联网上众多的网络请求中,充斥着大量的无用请求、恶意访问[5]。如果不对互联网中的流量进行清洗,将对系统的可用性构成极大威胁。该部分清洗主要是针对DDOS攻击流量。常见DDOS攻击类型有SYNfloods、Land-Base、PINGofdeath、Teardrop、Smurf等。应根据自身情况选择专用设备或运营商服务进行DDOS攻击流量清洗。

2.2入侵防御

清洗完的流量中还存在着扫描、嗅探、恶意代码等威胁,它们通过系统漏洞,绕过防护,对系统实施入侵行为,达到控制主机的目的。一旦入侵成功,造成的后果和损失是巨大的。通过部署入侵防御系统(intrusionpreventionsystem,IPS)对那些被明确判断为攻击行为,会对网络、主机造成危害的恶意行为进行检测和防御。深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包[6]。基于特征的入侵防御系统无法对高级持续性威胁(advancedpersistentthreat,APT)攻击进行防护,因此在建设入侵防御系统时,要特别注意该类型的攻击防护。可增加态势感知系统辅助IPS,将全网流量威胁可视化,进一步消除0day漏洞隐患。

2.3防病毒

根据国际著名病毒研究机构国际计算机安全联盟(internationalcomputersecurityassociation,ICSA)的统计,目前通过磁盘传播的病毒仅占7%,剩下93%的病毒来自网络。其中,包括Email、网页、QQ和MSN等传播渠道。计算机病毒网络化的趋势愈加明显,需要企业部署防毒墙/防病毒网关,以进一步保障网络的安全。防毒墙/防毒网关能够检测进出网络内部的数据,对HTTP、FTP、SMTP、IMAP等协议的数据进行病毒扫描,一旦发现病毒就会采取相应的手段进行隔离或查杀,在防护病毒方面可起到非常大的作用.

2.4访问控制

在经过流量清洗、入侵防御、防病毒3道工序处理后,访问控制系统是主机最“贴身”的一道防线。它是帮助保护服务器,按照个体情况来制定防护策略,精细防护到开几扇门,允许什么人、什么时间、什么方式访问主机。通常用硬件防火墙来进行访问控制[7]。常见防火墙类型有网络层防火墙、应用层防火墙以及数据库防火墙,可实现针对来源IP地址、来源端口号、目的IP地址、目的端口号、数据库语句、应用层指令、速率等属性进行控制。还有一种特殊的访问控制系统——“安全隔离与信息交换系统”即网闸[8]。主要功能有安全隔离、协议转换、内核防护功能。由于网闸在所连接的两个独立系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议;不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。网闸设备通常由3部分组成:外部处理单元、内部处理单元、隔离安全数据交换单元。安全数据交换单元不同时与内、外部处理单元连接,从而创建一个内、外网物理断开的环境,从物理上隔离、阻断了具有潜在攻击可能的连接,使“黑客”无法入侵、无法攻击、无法破坏。

2.5负载均衡

在面对互联网中大量的网络请求时,必须要增加负载均衡设备,扩展网络设备和服务器的带宽、吞吐量、数据处理能力,从而提高网络的灵活性和可用性[9]。负载均衡有多种算法,可以实现基于轮询、连接数、源IP和端口、响应时间的算法。负载均衡设备增加了应用系统处理能力,不法分子想要攻瘫系统的难度将成倍增加。

2.6日志审计与事后分析

日志审计与事后分析非常重要[10],必须将拦截和放行的网络请求记录下来。一方面,统计攻击日志,分析网络运行风险;另一方面,记录放行的流量,对各个防护环节进行查漏、补缺,优化防护策略。日志审计越全面,对优化网络、提升系统服务水平的帮助越大。日志审计的范围包括:应用系统日志、数据库日志、操作系统日志、网络安全防护日志等。还可将日志系统与网络安全态势感知系统相结合,使分析结果更全面、更准确。日志存储时间应大于6个月。

3具体实例

根据以上的防护要求,本文给出了一个内外网融合并进行防护的具体案例。按照重要程度与功能将网络划分为多个区域,总体原则:首先是按照应用系统划分区域;其次是实施严格的边界访问控制;最后是完善监控、审计等辅助能力建设。由此,形成了包括三级域、二级域、安全管理域、专线接入域、数据交换域、互联网服务接入域在内的6个主要区域。将医院最重要的HIS系统、集成平台、数据仓库等系统接入在三级域,进行最严格的保护;其他业务应用系统放在二级域,网站、VPN、线上业务等放在互联网服务接入域。边界分别部署下一代防火墙、Web应用防火墙(webapplicationfirewal,WAF)。防火墙开启入侵防御、防病毒等防护模块,只放行应用系统对外提供服务的端口流量,对每个源IP的新建连接数、并发连接数、半开连接数进行限制。WAF针对应用实际情况,开启对数据库、中间件、开发语言的防护规则。由于三级域系统业务量大,采用多台应用服务器并行架构,通过旁挂负载均衡器实现应用引流、负载分担,保障应用系统处理能力。将应用服务器与数据库服务器用数据库防火墙进行隔离、控制,从SQL语句、角色权限等角度对数据进行保护。数据交换域的主要功能为数据中转与应用代理,边界同样部署下一代防火墙,开启入侵防御、防病毒等防护模块,对出入流量进行严格管控。当互联网服务或线上医疗业务需要与HIS等核心系统产生数据请求时,需要通过中转服务器完成数据中转功能;当来自低安全级别系统向HIS等核心系统请求服务时,需要通过中转服务器完成应用代理功能。这样,在保证系统互联互通的同时,解决了不同系统间的信任问题。安全管理区中放置防病毒软件、堡垒主机、日志审计、态势感知平台、认证系统和监控平台等用于网络管理的服务器,与业务系统隔离,在边界严格控制此区域系统进出流量。在互联网出口处,设置有抗DDOS设备、IPS、防毒墙、下一代防火墙、负载均衡器,全方位对互联网实时流量进行过滤。国家卫生健康委员会、医保中心、银行等业务通过物理专线接入至专线接入域,通过前置机与防火墙对这类业务进行访问控制。总之,通过多种设备和全面的管理,形成一个边界清晰、管控严格、监控全面、审计详实、可感知态势的网络系统。这样,在快速开展互联网线上业务的同时,还能够最大限度地进行网络防护。

4结语

网络防护是互联网+医疗实施的重要保证。一个没有安全保证的网络若实施在线业务将会给医院的应用带来巨大风险。通过严格的安全防护,可使医院的信息系统能够面向移动和互联网客户提供服务,并回避其中的风险。随着技术的进步与保护措施的加强,相信未来医院会按照一体化设计、内外网并用去做,而严格的网络安全建设方案必将成为网络建设主流。