现代医院网络安全问题及应对策略分析

    王宝刚　王婷利

    摘要：医疗信息化是现代医院的重要特征。现代医院是一个高度信息化的综合体，各种信息终端通过有线和无线网络连接到医院内外各服务器。基于这些物理平台，医院信息系统、电子病历系统、影像系统和LIS系统等众多应用平台对医院的各项医疗活动、后勤管理和行政决策形成全方位支持，同时对患者提供预约挂号、自助缴费、医院各项信息查询等功能。文章首先分析了现代医院网络的特点，进而总结了现代医院网络面临的各种威胁，最后着重对这些威胁提出了一整套解决方案。

    关键词：网络边界IPS；UTM；安全扫描

    1现代化医院网络的特点

    1.1网络边界复杂，接入方式多样化

    医院作为一个特殊的行业，除了一般企业的Internet接入，还要接入各个农合和医保局，其接入方式大体有两种：专线直连和公网连接。医院内部接入网络的有各信息处理终端、各种医疗设备终端以及各种移动医疗的无线设备终端3大类。同时为了支持在外出差等职工访问医院网络的需求，还需要在边界开放VPN业务。

    1.2数据并发集中，数据量大，系统连续运行

    门诊每日的业务集中于9点-11点，数据量小但可靠性要求高，影像中心实时性要求不高但是数据流量巨大、同时越来越多的监控设备、语音设备也带来了巨大的流量。由于医院的特殊行业性质，医院的信息系统一般都要求24小时不间断运行，这对系统的稳定性、可靠性提出来了很高的要求。

    1.3高扩展性要求

    随着现在医疗技术的发展，各种新型医疗设备不断涌现，这些设备基本上都具有网络功能，同时物联网在医疗方面的应用也越来越多，这些都对医院网络接入能力提出了更高要求。

    这些特点要求医院的网络必须具有高可靠性、高处理能力，以及良好的扩展能力。

    2医院网络面临的威胁

    2.1常规网络安全问题

    随着医院网络的开放程度越来越大，受到外部攻击的可能性也在逐渐增大。包括比较常见的ARP欺骗，ARP病毒，DoS攻击和DDoS攻击。而利用主流应用平台安全漏洞的新型病毒每天都新增成百上千。新型病毒广泛利用底层驱动技术提高优先级以躲避反病毒软件查杀，高隐蔽性已经成为病毒发展的重要趋势。

    2.2有针对性的数据窃取

    随着信息技术的发展，现代医院都积累了大量的医疗数据，从这些数据中可以得到疾病诊治、区域性疾病、传染病分布等方方面面的信息。这些数据无疑对医院、整个社会都具有重要价值。这些数据也是不法医药代表进行统方的最好数据来源。因此，保护这些数据不被非法访问、窃取成为医院信息部门的重要职责。

    2.3BYOD普及及越来越多自助应用带来的问题

    随着各种医务自助机应用的普及及BYOD（Bring Your Own Device）的应用的逐渐推广，医疗行业的工作效率和服务质量显著提高，但同时BYDO的多设备平台特性以及各种自助机的开放式特性，使内部数据库访问从单一平台延伸到多平台，从内网延伸到公共区域，从而使医院的网络面临非常复杂和隐蔽的问题和风险。

    3医院网络安全应对策略

    3.1全网统一管理

    现代化医院电脑终端众多，没有统一的管理将会给信息部门造成巨大的不便，客户端统一管理主演包括2个方面：（1）客户端的远程维护，（2）客户端资源的统一管理。在客户端安装远程控制软件，可以大大减少系统管理员来回奔波解决客户端问题的次数，同时也利于对客户端进行监管。医院普遍采用window终端，可以利用微软提供的域管理方式进行集中管理：域管理员可以对整个域进行集中管理，设定整个域的组策略以及其中每个OU的组策略。依靠域可以限制使用u盘等移动存储介质，从而可以大大减少医院内网病毒、木马传播，也可以减少医院信息被非法复制的风险。为方便管理，也可以利用一些专门的网管软件对医院内网设备进行统一管理。

    3.2内网部署IPS，边界部署UTM

    一般常见的网络安全产品主要有防火墙、UTM、IPS三种，防火墙是一种访问控制隔离设备，它是不同网络安全域之间通信流的唯一通道，能根据用户有关的安全策略控制进出网络的访问行为。而UTM要实现的不仅仅是对网络访问的控制，同时也要实现了对数据包全层次的识别与过滤，因此UTM不仅具有防火墙的功能，还能对流经的数据流进行全方位病毒查杀。IPS也可以提供深达7层的包分析能力，一般主要用来保护WEB业务和数据库业务。

    目前融合多种病毒技术以提高隐蔽性和传播性的新型病毒已经变的越来越常见，以蠕虫为例，就融合了缓冲区溢出技术、网络扫描技术和病毒感染技术。防火墙对于蠕虫病毒的传播无能为力，因为防火墙一般工作在7层网络协议的第3和第4层。而UTM可以提供到深达7层的网络保护。因此在对医院网络进行安全规划时采用在内网核心设备或者服务器前部署IPS过滤全网流量并在网络边界部署UTM，同时在产品选择时选用不同厂家的产品进行异构化部署会是比较好的一种方案。

    3.3网络分区

    医院的网络可以按照是否连接外网分成3类：（1）不访问外网的终端：这类终端可以一般可以设置为禁止使用u盘等移动存储设备，这样只接入内网的机器具有很高的安全性；（2）同时接入内外网和允许插u盘的终端：在访问内网服务器时可以使用IPS对数据流进行严格的分析过滤，这类设备往往需要进行内外网数据交互（如医保结算终端），所以不能使用完全的内外网物理隔离；（3）只访问外网的终端：不需要访问内网的终端严格限制其对内部网络的访问，有条件的医院最好对这类终端进行物理隔离。对于没有条件或者不方便进行物理隔离的医院可以采用防火墙和交换机结合的方式实现内外网隔离。

    医院内部可以采用VLAN隔离这3类终端，通过核心IPS对所有出入服务器区的数据包进行安全控制及过滤，可根据实际对第2类设备访问服务器进行更为严格的包过滤以保证服务器区的安全，必要时可以使用ACL对终端进行更为详细的访问控制。

    3.4网络设备的管理要求

    3.4.1关闭网络设备未使用的端口

    一般交换机的console口默认都是没有设置密码的，攻击者能接触到交换机就能通过串口看到交换机的配置，甚至更改交换机配置，这是网络安全的一个重大隐患。因此在交换机配置时，要关闭不使用的端口，同时给交换机console口配置密码，若交换机支持分级密码，可以对不同的网络管理人员设置不同权限。需要注意的是，大多数交换机都支持密码恢复，即可以破解交换机密码。但是这样的过程基本上都需要重新启动交换机，所以在日常维护中，如果发现交换机等网络设备异常重启，一定要迅速查看，查明原因。

    3.4.2MAC和端口绑定

    医院内部人员由于各种原因，会出现自行移动客户端的位置的情况。由于不同的区域拥有不同的安全权限级别，这样做会破坏原本的网络安全机制。针对此问题，通常采用MAC和网络设备端口绑定的方式予以限制。需要注意的是，单纯的MAC与端口绑定存在仿冒MAC的漏洞，即非法终端可以把自己MAC改成合法MAC后接入网络，要完全杜绝此类问题可以采用类似H3C EAD端点终入控制系统进行终端安全接入管理。

    3.5定期执行安全扫描

    安全扫描能够测试和评价系统的安全性并及时发现安全漏洞。安全扫描分为2类：主机安全扫描和网络安全扫描。主机安全扫描则是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞；网络安全扫描主要针对系统中的脆弱口令以及其它同安全规则相抵触的对象。

    通过安全扫描，网络管理员可以及时发现安全漏洞，客观评估网络风险等级，在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段，那么安全扫描就是一种主动的防范措施。

    3.6部署上网行为管理设备

    上网行为管理产品是专用于防止非法信息恶意传播，避免国家机密、商业信息、科研成果泄漏的产品；可实时监控、管理网络资源使用情况，提高整体工作效率。同时在医院进行信息化建设时三级等保有明确要求必须部署该类产品。建议国内用户尽量选择使用国内厂商推出的上网行为管理产品，毕竟中国的厂商更了解中国用户的互联网环境和互联网使用习惯。

    3.7其他一些网络安全部署

    （1）客户端安装企业版杀毒软件；（2）所有终端在使用U盘等移动存储设备时必须进行安全扫描；（3）架设补丁升级服务器，及时为客户端服务器打补丁，医院的电脑一般使用windows系统，可以使用WSUS打补丁；（4）部署数据库审计与防统方系统；（5）制定严格的网络安全管理制度，并切实执行。

    网络安全遵循木桶原则，任何一个短板都可能给入侵者和破坏者可乘之机，因此要求网络管理人员具备大局意识，对任何可能危害网络安全的行为做到先知先觉，在日常维护中严格遵守规章制度，保证医院网络平稳安全的运行。