对网络安全等级保护设计方案的探讨

2022.07.11

摘要：我院作为三级市级妇幼保健院，在信息系统的发展上紧跟时代的步伐，医疗主要的系统包括HIS、LIS、PACS、EMR、信息集成平台以及自助机、微信预约挂号等，在勒索病毒频发的今天，网络的安全问题已经成为各行各业数据安全的首要解决的问题，国家也要求重要机构要按等级保护标准进行安全设备升级，结合我院实际情况，接下来对等级保护的设计方案进行探讨。

关键词：勒索病毒;网络安全;等级保护

1 改造前的概况

1）办公外网。针对办公需要使用邮件、办公自动化系统OA以及医院官网运维等，办公外网主要通过联通接入一条光纤，通过光猫后，通过网线接入我们的外网专用天融信防火墙。防火墙进行简单的限制和过滤后，接入外网核心交换机，通过核心交换机再分发到楼层交换机，每层的外网终端PC机和无线路由都接到该層交换机上，手机端通过无线路由上网办公。这是一个简单的外网结构，安全性较低，对外网的管理能力也不高。因为涉及上与内网无交集，所以不影响业务内网的安全。

2）业务内网。医院主要业务系统包括HIS、LIS、PACS、EMR、信息集成平台等，都部署在内网中，这些系统每天都会产生大量业务信息，也会进行各种类型的数据交换，医院的业务流程也是通过这些系统来完成，医生的医嘱、处方和电子病历，护士的各种护理记录，以及检验仪检的各种报告、图文，都保存在业务系统中，在无纸化改造过程中，电子数据更是无可替代的角色来存在。我院设有医保网专线，专线通过专线路由器接入服务器交换机，服务器交换机一边接所有重要的业务系统服务器和各种存储用的磁盘陈列，另一边接天融信内网防火墙，防火墙接两台双机热备状态的内网核心交换机，而核心交换机通过光纤接到数十个层楼交换机，包括门诊部和住院部，每个交换机都划分网段，层楼交换机再接入内网业务终端PC机和相应的设备。

这样的内网结构，安全隐患还是比较大的。首先医保网直接接内网服务器交换机，这个过程中没防火墙的拦截与保护，容易造成病毒从医保网端进入服务器。其次，内网终端到服务器，中间只有一个内网天融信防火墙，安全等级比较低，防火墙没有双机热备，也没有日志和数据库审计系统，各种木马、蠕虫、僵尸和勒索等病毒很可能通过终端的U盘等设备进入内网，通过潜伏和攻击，突破防火墙，进入业务服务器，从而破坏医院的正常业务系统运作，针对这样的风险，在做网络安全等级保护设计，必须从总体出发，结合现有的设备等实际情况，进行合理规划，有备无患。

2 改造思路

1）依据等级保护标准和指南等文件要求，结合实际需求情况，我们对保护对象进行区域划分和定级，对不同的保护对象从通信网络防护、区域边界防护、计算环境防护等多方面进行不同级别的安全防护设计。通过“一个中心、三重防护”的设计理念，形成网络安全综合技术防护体系。按照网络分类，总体大分为医院外网区域和医院内网区域;而内外网之间通过网闸连接。

2）医院外网区域。外网区域主要是与互联网连接的区，细分功能模块为互联网出口区，DMZ非军事化区，核心交换区以及终端接入区。（1）互联网出口区，是指接互联网的区域，包含互联网服务商的专线，互联网出口用的下一代防火墙设备，以及上网行为管理系统。其中，下一代防火墙有L2-L7层安全防御，包含入侵防御、僵尸网络识别、WEB应用防护等，并且以网络模式部署，具备BYPASS功能。同时还可以实时漏洞分析、威胁情报预警和处置等。对入侵攻击等事件做到事前事中事后的全程保护。上网行为管理系统则恶意通过带宽调整资源配置，细粒度管理，监控各种上网行为，避免出现网络违法、机密泄露和上班时间玩游戏、下载电影、在线看直播等与工作无关的行为，满足审计要求。（2）DMZ非军事化区也称隔离区，连接互联网出口防火墙，放置需要连互联网但是对安全要求较高的服务器，例如微信前置机服务器等。（3）外网核心交换区，包含一台外网核心交换机，以及VPN虚拟专用网络设备和潜伏威胁探针，还有一台安全感知平台。VPN的作用是在公用网络上建立专用网络，进行加密通讯，通过对数据包的加密和数据包目标地址的转换实现远程访问，从而实现安全快速简易的远程接入，在技术上对工程师远程维护系统的操控提供了安全保障。潜伏威胁探针是和安全感知平台搭配使用的设备，两台潜伏威胁探针都是通过旁路部署在内外核心交换机上，通过对全流量信息进行采集，然后把采集的信息发送给安全感知平台进行处理。安全感知平台可部署在内网核心交换机上，也可以部署在外网核心交换机，处于对后期方便远程查看此设备的分析情况，我们倾向部署在外网核心交换机上，由于内外网通过网闸进行隔离和联通，所以部署在外网核心交换机上也能监测到内网核心交换机的探针，获取内网各个服务器的流量情况。安全感知平台功能强大，可进行：内部横向攻击行为检测、内网业务访问关系可视化、违规访问行为检测、设备联通管理和第三方设备日志管理。（4）终端接入区，由连接外网核心交换机的各楼层交换机和外网办公的PC以及各种无线路由组成。

3）内外网隔离交换区。这是存在于医院外网和内网之间的区域，这个区域部署了网闸。网闸，简称GAP，是使用带有多种控制功能的固态开关读写介质，连接两个独立主机系统的信息安全设备，网闸从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接，使外部攻击者无法直接入侵、攻击或破坏内网，保障了内部主机的

安全。

4）医院内网区域。内网区域根据安全域划分主要由外网接入区、内网核心交换区、内网终端接入区、安全管理区和数据中心区组成。（1）外网接入区，就是外网专线接入的区域，医保网、卫健委等专线通过这里进入，首先要通过一个专线专用下一代防火墙，这个防火墙相比办公外网的防火墙功能差不多，但配置上可以低一些，因为流量和数据都不高，降低投入成本。（2）内网核心交换区，主要是两台组成双机热备的内网核心交换机，也旁路部署一台潜伏威胁探针设备在交换机上，监测内网业务服务器全流量情况。（3）内网终端接入区，由通过连接内网核心交换机的各层层楼交换机和内网办公终端PC机组成。（4）安全管理区，这个区由旁路部署在内网核心交换机上的准入控制系统和旁路部署在服务器交换机上的等保一体机组成。准入控制系统作用是下发策略给终端用户，终端接受到策略后，通过终端设备windows防火墙的WFP功能，达到终端设备只能与指定网段设备进行通信的效果。等保一体机是为等保评审设置的重要设备，它包含安全运维管理、日志审计和数据库审计于一体，一台设备就能满足三个方面的要求。（5）数据中心区。通过光纤与内网核心交换机的两台数据中心防火墙作为把关，再加入一条服务器交换机上，交换机再接到各种业务系统服务器。这次的防火墙和交换机对性能要求比较高。

3 结语

整体方案符合从医院实际情况出发来改造，也基本满足了网络安全等级保护的要求，只是数据中心区的服务器交换机如果有两台组成双机热备，安全效果会更佳。

参考文献

[1]宋睿，公丕强.信息系统安全等级保护方案设计方法研究[J].邮电设计技术，2015（4）：79-83.

[2]简伟光，汤培新，陈能，等.数据中心等级保护安全设计方案[J].信息化建设，2016（3）.

作者简介

卢方建（1986-），男，汉族，广东阳江人，大学本科，副高，从事的工作：医院信息系统安全管理。