劉 彬，謝 孟，謝建福，王 勤，李立宇，謝嵩源

·衛(wèi)生管理·

軍隊(duì)醫(yī)院網(wǎng)絡(luò)信息安全隱患及管理對(duì)策

劉 彬，謝 孟，謝建福，王 勤，李立宇，謝嵩源

軍隊(duì)醫(yī)院；網(wǎng)絡(luò)信息；安全；隱患；對(duì)策

目前，軍隊(duì)醫(yī)院因建設(shè)發(fā)展需要，普遍應(yīng)用了4種網(wǎng)絡(luò)，即軍事綜合信息網(wǎng)、全軍遠(yuǎn)程醫(yī)學(xué)信息網(wǎng)、醫(yī)院內(nèi)網(wǎng)(即醫(yī)院獨(dú)立的局域網(wǎng))及互聯(lián)網(wǎng)。軍事綜合信息網(wǎng)及全軍遠(yuǎn)程醫(yī)學(xué)信息網(wǎng)是部隊(duì)專用信息網(wǎng)絡(luò)，涉及部隊(duì)內(nèi)容較多，不對(duì)地方工作人員或安全級(jí)別低的科室開放；醫(yī)院內(nèi)網(wǎng)屬于醫(yī)院內(nèi)部獨(dú)立局域網(wǎng)絡(luò)，用于在醫(yī)院內(nèi)部各科室間傳輸患者各項(xiàng)信息及應(yīng)用于醫(yī)院內(nèi)部人員辦公需要，涉及患者基本信息，尤其軍隊(duì)醫(yī)院內(nèi)網(wǎng)存儲(chǔ)著到醫(yī)院就診的軍隊(duì)人員信息情況，安全級(jí)別更高，保密要求更嚴(yán)；互聯(lián)網(wǎng)則是各科室根據(jù)業(yè)務(wù)建設(shè)需要，報(bào)上級(jí)主管部門審批后，由軍隊(duì)通信部門按照規(guī)定程序辦理，可聯(lián)通因特網(wǎng)等國際網(wǎng)絡(luò)。

1 軍隊(duì)醫(yī)院存在的網(wǎng)絡(luò)安全隱患

1.1 人員類別多，安全意識(shí)薄弱 目前軍隊(duì)醫(yī)院工作人員除部分重要崗位必須由軍人擔(dān)任外，其他崗位很大比例由地方人員擔(dān)任，包括一些聘用人員、雇用人員、實(shí)習(xí)人員等，人員身份復(fù)雜，遍布醫(yī)院醫(yī)療、護(hù)理、醫(yī)技等部門，這些地方人員通過各種渠道普遍可以接觸到住院患者包括軍隊(duì)患者的信息資料。地方人員一方面由于工作不穩(wěn)定流動(dòng)性大，管理難度較高，且未系統(tǒng)受過保密政策及法規(guī)教育，對(duì)就診患者信息保密管理重視不夠；另一方面還有部分人員雖具有較高的保密覺悟，但缺少相應(yīng)的保密知識(shí)或操作技能等等。這些都極易導(dǎo)致軍隊(duì)醫(yī)院網(wǎng)絡(luò)信息安全事故發(fā)生。

1.2 網(wǎng)絡(luò)類型多，運(yùn)行環(huán)境復(fù)雜 如上文所說，軍隊(duì)醫(yī)院網(wǎng)絡(luò)既有軍隊(duì)專用網(wǎng)絡(luò)，又涉及各業(yè)務(wù)網(wǎng)絡(luò)，網(wǎng)絡(luò)類型種類繁多，不同網(wǎng)絡(luò)類型的密級(jí)程度不一，因各種需要各網(wǎng)絡(luò)間又不能進(jìn)行完全物理隔離。如醫(yī)院內(nèi)網(wǎng)與醫(yī)保網(wǎng)絡(luò)間的數(shù)據(jù)交換是在醫(yī)保網(wǎng)絡(luò)與醫(yī)院內(nèi)網(wǎng)間，放置一臺(tái)前置機(jī)和防火墻，雙方的數(shù)據(jù)交換都通過防火墻與前置機(jī)相連來完成，互相不進(jìn)入對(duì)方的區(qū)域[1]，這就是所謂的醫(yī)保信息中心與醫(yī)院內(nèi)網(wǎng)間的“專線”。但這種專線是醫(yī)院內(nèi)網(wǎng)與醫(yī)保中心之間通過在城域網(wǎng)交換機(jī)上設(shè)置虛擬局域網(wǎng)(VLAN)來實(shí)現(xiàn)邏輯上的“專線”[2]。這種專線可通過人為設(shè)置進(jìn)行改變，甚至允許任何節(jié)點(diǎn)訪問，加之醫(yī)保網(wǎng)絡(luò)直接或間接通過互聯(lián)網(wǎng)與醫(yī)院、銀行、社區(qū)(街道)、藥店等單位聯(lián)網(wǎng)，導(dǎo)致醫(yī)院內(nèi)網(wǎng)通過醫(yī)保網(wǎng)絡(luò)與互聯(lián)網(wǎng)間接相連[3]，給軍隊(duì)醫(yī)院網(wǎng)絡(luò)安全帶來很大的不確定性。

1.3 安全漏洞多，被攻擊風(fēng)險(xiǎn)高 隨著醫(yī)院網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，醫(yī)院網(wǎng)絡(luò)的訪問和接入方式呈現(xiàn)多樣化趨勢(shì)，包括無線、有線以及遠(yuǎn)程接入VPN等方式，得到了越來越多的應(yīng)用。在醫(yī)院網(wǎng)絡(luò)中，訪問網(wǎng)絡(luò)的終端設(shè)備種類越來越多，從傳統(tǒng)的PC機(jī)、筆記本到IP話機(jī)、IP攝像頭、打印機(jī)、傳真機(jī)，尤其是移動(dòng)終端設(shè)備如平板電腦、個(gè)人數(shù)字助理和智能手機(jī)的飛速發(fā)展。此外，隨著醫(yī)療業(yè)務(wù)的擴(kuò)展，醫(yī)院網(wǎng)絡(luò)連接的非可信網(wǎng)絡(luò)越來越多，總體表現(xiàn)為醫(yī)院接入網(wǎng)絡(luò)用戶特別多、操作平臺(tái)特別多、后臺(tái)服務(wù)器特別多、業(yè)務(wù)軟件特別多。接入用戶不能及時(shí)更新平臺(tái)客戶端病毒庫、選擇簡(jiǎn)單便捷方式進(jìn)行不同網(wǎng)絡(luò)類型間的數(shù)據(jù)傳輸?shù)热藶橐蛩?，網(wǎng)絡(luò)黑客利用木馬、病毒或操作系統(tǒng)漏洞等非法手段攻擊醫(yī)院網(wǎng)絡(luò)系統(tǒng)等外在因素，醫(yī)院網(wǎng)絡(luò)存在的數(shù)據(jù)庫漏洞、網(wǎng)絡(luò)間交互存在的網(wǎng)絡(luò)協(xié)議漏洞等網(wǎng)絡(luò)環(huán)境自身因素等，這些因素導(dǎo)致任何一個(gè)網(wǎng)絡(luò)類型中的任何一臺(tái)電腦漏洞隱患都有可能導(dǎo)致醫(yī)院整個(gè)網(wǎng)絡(luò)的嚴(yán)重癱瘓，給患者的隱私甚至生命安全帶來了極大的安全隱患。

2 網(wǎng)絡(luò)安全管理對(duì)策

2.1 終端接入安全管控策略 面對(duì)用戶的授權(quán)訪問，如何對(duì)網(wǎng)絡(luò)訪問進(jìn)行權(quán)限控制，如何管理由于智能終端接入網(wǎng)絡(luò)帶來的風(fēng)險(xiǎn)，如何管理訪客的網(wǎng)絡(luò)接入，如何對(duì)終端設(shè)備的訪問進(jìn)行控制等諸此繁多的問題，有效執(zhí)行包括無線、有線以及遠(yuǎn)程接入等網(wǎng)絡(luò)訪問的策略和授權(quán)，審核網(wǎng)絡(luò)使用情況，監(jiān)控醫(yī)院的合規(guī)性，并全面了解整個(gè)網(wǎng)絡(luò)活動(dòng)狀況，在軍隊(duì)醫(yī)院網(wǎng)絡(luò)信息安全上顯得尤為重要且緊迫。身份服務(wù)引擎(identity services engine)作為身份和訪問控制策略平臺(tái)，可以執(zhí)行策略規(guī)定，加強(qiáng)基礎(chǔ)設(shè)施安全，并簡(jiǎn)化服務(wù)操作。在終端接入安全控制方面采用身份服務(wù)引擎來搭建可信網(wǎng)絡(luò)架構(gòu)，對(duì)醫(yī)院網(wǎng)絡(luò)、用戶和設(shè)備收集實(shí)時(shí)信息，在有線、無線和遠(yuǎn)程網(wǎng)絡(luò)訪問等多種情景下，實(shí)施訪問控制策略。它在同一平臺(tái)上集成了身份驗(yàn)證、授權(quán)和升級(jí)的功能，同時(shí)提供終端狀態(tài)、分析和訪客管理服務(wù)等功能，實(shí)現(xiàn)了全院網(wǎng)絡(luò)安全策略的一致性。借助于身份服務(wù)引擎，管理員可以統(tǒng)一集中創(chuàng)建和管理用戶和終端設(shè)備的訪問控制策略，并獲得接入網(wǎng)絡(luò)的所有設(shè)備的端口可見性，最終達(dá)到針對(duì)所有用戶和終端設(shè)備，在網(wǎng)絡(luò)內(nèi)部以統(tǒng)一的策略進(jìn)行身份驗(yàn)證和授權(quán)；阻止未授權(quán)的網(wǎng)絡(luò)訪問，保護(hù)醫(yī)院醫(yī)療數(shù)據(jù)和患者信息安全；定期評(píng)估和修復(fù)解決網(wǎng)絡(luò)設(shè)備漏洞，消除病毒和蠕蟲等間諜軟件威脅；通過對(duì)指定的終端設(shè)備進(jìn)行屬性掃描，增加基于網(wǎng)絡(luò)的設(shè)備識(shí)別等目標(biāo)，從而更準(zhǔn)確、更全面地保障醫(yī)院網(wǎng)絡(luò)信息安全。

2.2 網(wǎng)絡(luò)安全防護(hù)手段

2.2.1 防火墻 防火墻(firewall)是指依照特定規(guī)則，在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間架起的一道防御系統(tǒng)，用來允許或限制數(shù)據(jù)傳輸，它可以是專屬硬件，也可以是架設(shè)在硬件上的軟件。軍隊(duì)醫(yī)院由于業(yè)務(wù)發(fā)展，需要在內(nèi)網(wǎng)與與省市醫(yī)保、新農(nóng)合及區(qū)域醫(yī)療衛(wèi)生服務(wù)系統(tǒng)等對(duì)外醫(yī)療網(wǎng)絡(luò)間進(jìn)行聯(lián)接，通過防火墻將內(nèi)網(wǎng)不同平臺(tái)配置成不同保護(hù)級(jí)別，入侵者必須“穿越”防火墻才能接觸到目標(biāo)平臺(tái)；或是借助防火墻在內(nèi)、外網(wǎng)絡(luò)間部署“芯片級(jí)防火墻”設(shè)備，通過它可以使醫(yī)院內(nèi)網(wǎng)與其他外部網(wǎng)絡(luò)互相隔離，限制網(wǎng)絡(luò)互訪，從而達(dá)到保護(hù)醫(yī)院網(wǎng)絡(luò)目的。

2.2.2 入侵檢測(cè)系統(tǒng)(IDS) IDS(intrusion detection systems)是指通過對(duì)軟、硬件，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行實(shí)時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備，是一種積極主動(dòng)的安全防護(hù)技術(shù)，是對(duì)防火墻的合理補(bǔ)充。醫(yī)院根據(jù)機(jī)房服務(wù)器應(yīng)用實(shí)際，可為核心業(yè)務(wù)服務(wù)器部署基于“主機(jī)模型”的IDS，同時(shí)也可在網(wǎng)絡(luò)內(nèi)部署“基于網(wǎng)絡(luò)模型”的IDS。這兩種模型具有互補(bǔ)性，基于網(wǎng)絡(luò)的模型能夠客觀地反映網(wǎng)絡(luò)活動(dòng)，特別是能夠監(jiān)視到主機(jī)系統(tǒng)審計(jì)的盲區(qū)，但只能監(jiān)控同一監(jiān)控點(diǎn)的主機(jī)，而基于主機(jī)的模型能夠更加精確地對(duì)同一監(jiān)控點(diǎn)內(nèi)的所監(jiān)視主機(jī)中的各種活動(dòng)進(jìn)行監(jiān)控，既能保證關(guān)鍵主機(jī)的精細(xì)化監(jiān)控，又能對(duì)全網(wǎng)進(jìn)行安全監(jiān)測(cè)。

2.2.3 入侵防御系統(tǒng)(IPS) IPS(intrusion protection systems)是能夠監(jiān)視網(wǎng)絡(luò)中網(wǎng)絡(luò)資料傳輸行為的網(wǎng)絡(luò)安全設(shè)備，它不僅檢測(cè)來自外部的入侵行為，同時(shí)也檢測(cè)來自內(nèi)部用戶的未授權(quán)活動(dòng)[4]，是對(duì)防病毒軟件和防火墻的補(bǔ)充。IPS對(duì)那些被明確判斷為攻擊行為，會(huì)對(duì)網(wǎng)絡(luò)、數(shù)據(jù)造成危害的惡意行為進(jìn)行檢測(cè)和防御，能夠即時(shí)中斷、調(diào)整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。IDS和IPS的關(guān)系是相互協(xié)作，并非取代和互斥：IDS是用來檢測(cè)和記錄攻擊的，IPS是用來檢測(cè)、阻斷并記錄攻擊。IPS系統(tǒng)除了具備IDS系統(tǒng)的功能外，還能夠預(yù)防某些攻擊并阻止這些攻擊，同時(shí)可以防止持續(xù)性攻擊。通過IDS的廣泛部署，才能了解了網(wǎng)絡(luò)的實(shí)時(shí)狀況，并據(jù)此根據(jù)需要在網(wǎng)絡(luò)中部署IPS。

2.2.4 安全隔離網(wǎng)閘 安全隔離網(wǎng)閘技術(shù)是在保證兩個(gè)網(wǎng)絡(luò)安全隔離的基礎(chǔ)上實(shí)現(xiàn)信息安全交換和資源共享的技術(shù)[5]。它采用獨(dú)特的硬件設(shè)計(jì)并集成多種軟件防護(hù)策略，在任一時(shí)間只能連接可信網(wǎng)絡(luò)、非可信網(wǎng)絡(luò)之中的一個(gè)，不依賴于操作系統(tǒng)或網(wǎng)絡(luò)協(xié)議，能夠抵御各種已知和未知的病毒、木馬攻擊，顯著提高網(wǎng)絡(luò)間信息交換的安全強(qiáng)度[6]。將其部署于醫(yī)院內(nèi)網(wǎng)與軍隊(duì)專用網(wǎng)絡(luò)之間，可有效對(duì)不同網(wǎng)絡(luò)間的數(shù)據(jù)進(jìn)行控制性傳輸，并可實(shí)現(xiàn)醫(yī)院醫(yī)療數(shù)據(jù)實(shí)時(shí)向上級(jí)衛(wèi)生主管部門直至總后衛(wèi)生部機(jī)關(guān)的傳輸上報(bào)。

[1] 朱玉芝,石磊.談醫(yī)院信息系統(tǒng)與醫(yī)保系統(tǒng)聯(lián)網(wǎng)的安全體系架構(gòu)[J].中國醫(yī)藥導(dǎo)報(bào),2008,5(29):74-75.

[2] 曾幸輝.用VPN解決方案實(shí)現(xiàn)社保局與醫(yī)院聯(lián)網(wǎng)的探討[J].教育技術(shù)導(dǎo)刊,2008,7(9):113-114.

[3] 曾凡,于鴻飛,黃昊.醫(yī)院與醫(yī)保聯(lián)網(wǎng)存在的安全風(fēng)險(xiǎn)和解決方案[J].重慶醫(yī)學(xué),2011,40(35):3562-3564.

[4] 孟剛,倪靜,孟艷秋.淺談軍隊(duì)醫(yī)院網(wǎng)絡(luò)安全控制策略[J].西南國防醫(yī)藥,2009,19(4):440-441.

[5] 胡建理,李小華,周斌.一種基于安全隔離網(wǎng)閘技術(shù)的醫(yī)院內(nèi)部網(wǎng)安全解決方案[J].醫(yī)療衛(wèi)生裝備,2010,31(7):44-45,58.

[6] 戴黎陽,曾凡,黃昊，等.基于安全隔離網(wǎng)閘技術(shù)搭建醫(yī)院預(yù)約診療平臺(tái)[J].中國醫(yī)學(xué)教育技術(shù),2013,27(4):454-457.

610015 成都，成都軍區(qū)聯(lián)勤部衛(wèi)生部(劉 彬，謝建福，王 勤，李立宇)；四川大學(xué)華西口腔醫(yī)院(謝 孟)；解放軍后勤工程學(xué)院(謝嵩源)

謝建福，電話：028-86683286

R 197.324

A

1004-0188(2014)04-0443-02

10.3969/j.issn.1004-0188.2014.04.039

2014-01-16)