劉炬宏

(徐州市婦幼保健院，江蘇 徐州221009)

一、 信息安全現(xiàn)狀與要求

國家《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T22239—2019)的公布，標(biāo)志著等級(jí)保護(hù)標(biāo)準(zhǔn)正式進(jìn)入2.0 時(shí)代，各單位應(yīng)按要求使用等保2.0 標(biāo)準(zhǔn)建設(shè)整改自己的網(wǎng)絡(luò)。 網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0 國家標(biāo)準(zhǔn)在等保1.0 的基礎(chǔ)上進(jìn)行了以下改動(dòng):增加了對(duì)新技術(shù)、新應(yīng)用的安全保護(hù)對(duì)象和安全保護(hù)領(lǐng)域的全方位覆蓋，特別突出技術(shù)思維和立體防范，注重全方位主動(dòng)防御、動(dòng)態(tài)防御、整體防控和精準(zhǔn)防護(hù)，提出了“一個(gè)中心，三重防護(hù)”的安全保護(hù)體系。 其中“一個(gè)中心”代表要建立安全管理中心，由等保1.0 分類里的管理要求變更為技術(shù)要求，測評(píng)控制點(diǎn)分別為系統(tǒng)管理、審計(jì)管理、安全管理和集中管控，也對(duì)等級(jí)保護(hù)測評(píng)和整改提出了更高的要求，其中涉及生產(chǎn)數(shù)據(jù)以及運(yùn)維操作審計(jì)、運(yùn)維人員身份鑒別等安全問題。

二、 醫(yī)院信息系統(tǒng)安全運(yùn)維存在的問題

高度的醫(yī)院信息化可以支撐醫(yī)院的臨床醫(yī)療效率和后勤行政的管理協(xié)作，減輕各個(gè)工作流程中醫(yī)護(hù)人員的勞動(dòng)強(qiáng)度，提高醫(yī)院整體的工作效率。 醫(yī)院信息系統(tǒng)主要分為醫(yī)療業(yè)務(wù)系統(tǒng)(HIS)、實(shí)驗(yàn)室信息系統(tǒng)(LIS)、醫(yī)學(xué)影像系統(tǒng)(PACS)等管理系統(tǒng)和主要臨床系統(tǒng)，各個(gè)子系統(tǒng)更加繁多，如院內(nèi)感染管理系統(tǒng)、手麻監(jiān)護(hù)系統(tǒng)、財(cái)務(wù)管理系統(tǒng)以及固定資產(chǎn)管理系統(tǒng)等。

隨著信息化程度的越來越高，開發(fā)廠商越來越分散，信息系統(tǒng)的服務(wù)器也越來越多。 這種情況下，不但醫(yī)院信息科員工維護(hù)起來需要耗費(fèi)大量的精力，且對(duì)各家廠商工程師維護(hù)各自服務(wù)器的行為也無法監(jiān)控，從而使整個(gè)運(yùn)維流程由于運(yùn)維人員登錄方式不規(guī)范、賬號(hào)管理靠手工、運(yùn)維權(quán)限無法劃分、認(rèn)證流程簡單、無法監(jiān)控等原因，造成了事前無規(guī)劃、事中無監(jiān)控及事后無審計(jì)的現(xiàn)象。 系統(tǒng)管理員在維護(hù)信息系統(tǒng)時(shí)可能會(huì)產(chǎn)生違規(guī)操作或惡意操作，對(duì)醫(yī)院的正常運(yùn)行產(chǎn)生惡劣影響，造成系統(tǒng)宕機(jī)或病人就醫(yī)隱私數(shù)據(jù)遭泄露等重大管理事故。 因此，加強(qiáng)對(duì)運(yùn)維人員的管理，規(guī)范運(yùn)維行為流程，是穩(wěn)步發(fā)展醫(yī)院信息安全的重要前提條件，也是現(xiàn)代醫(yī)院信息安全管理的重要組成部分。

三、 堡壘機(jī)在安全管理中心的應(yīng)用

等保2.0 指南里的安全管理中心定義了四個(gè)項(xiàng)目，分別為系統(tǒng)管理、審計(jì)管理、安全管理和集中管控，它是最為關(guān)鍵的一點(diǎn)，也是在信息日常業(yè)務(wù)中最不容易達(dá)到的一點(diǎn)，因?yàn)樗蟮缺Ｄ繕?biāo)將技術(shù)和管理相結(jié)合，以真正達(dá)到保護(hù)內(nèi)網(wǎng)網(wǎng)絡(luò)安全的目的。

在堡壘機(jī)風(fēng)靡之前，傳統(tǒng)的網(wǎng)絡(luò)中大多配置了下一代防火墻和日志審計(jì)類設(shè)備，它們可以實(shí)現(xiàn)部分訪問權(quán)限劃分和安全審計(jì)功能，但也存在很多弊端:只能通過采集網(wǎng)絡(luò)流量來審計(jì)運(yùn)維行為，無法審計(jì)加密流量如ssh 等協(xié)議，下一代防火墻雖然可以根據(jù)不同IP 地址來定義訪問網(wǎng)絡(luò)的權(quán)限，但實(shí)現(xiàn)起來太過煩瑣。 而且這種審計(jì)功能屬于事后審計(jì)，在發(fā)生問題后又無法確切地確定問題的出現(xiàn)點(diǎn)，于是在漫長的日常維護(hù)中人們大多會(huì)忽略掉這些設(shè)備的存在，畢竟它們既不像下一代防火墻一樣在網(wǎng)絡(luò)架構(gòu)中那么重要，也不像運(yùn)維監(jiān)控軟件時(shí)時(shí)刻刻出現(xiàn)在管理人員視線中。 那么就需要一個(gè)可以在事前就詳細(xì)劃分權(quán)限，全流程監(jiān)控運(yùn)維操作，事后也方便審計(jì)的安全管理平臺(tái)。 堡壘機(jī)就是一個(gè)既能達(dá)到合規(guī)性，又方便管理人員使用，也不會(huì)有太高的學(xué)習(xí)成本的安全設(shè)備。

廣義上的堡壘機(jī)可以是軟件也可以是硬件，它以提供協(xié)議代理等方式使代理客戶端訪問目標(biāo)設(shè)備的圖形管理界面或字符終端，對(duì)運(yùn)維操作進(jìn)行安全審計(jì)，集中管理運(yùn)維權(quán)限，對(duì)運(yùn)維過程全程進(jìn)行審計(jì)，可以防止對(duì)內(nèi)網(wǎng)網(wǎng)絡(luò)和數(shù)據(jù)的非授權(quán)訪問。 堡壘機(jī)在信息系統(tǒng)和網(wǎng)絡(luò)中的定位類似安全網(wǎng)關(guān)，對(duì)訪問關(guān)鍵網(wǎng)絡(luò)的人和操作進(jìn)行檢查，只有經(jīng)過授權(quán)的操作和命令才被放行，并且記錄訪問日志，沒有通過身份鑒別的用戶、違規(guī)的操作都會(huì)被攔截于外。

四、 堡壘機(jī)具備的功能

(一)設(shè)備賬號(hào)管理

在日常的運(yùn)維管理中，系統(tǒng)管理員面對(duì)的一大問題就是服務(wù)器的賬號(hào)密碼管理，或手寫在本子上或明文存儲(chǔ)在電子表格中，但這兩種方式都不符合等保的安全規(guī)定，靠譜點(diǎn)的方式只能靠人腦死記，相對(duì)安全且合規(guī)的方式就是加密存儲(chǔ)在保密的賬戶或軟件中。

在配置了堡壘機(jī)之后，賬號(hào)管理這一難題就迎刃而解，因?yàn)楣芾韱T不需要再記憶設(shè)備密碼，他們?cè)诒緳C(jī)內(nèi)管理內(nèi)網(wǎng)網(wǎng)絡(luò)資產(chǎn)時(shí)，只需要在第一次配置時(shí)輸入設(shè)備賬戶，便可以實(shí)現(xiàn)對(duì)網(wǎng)內(nèi)的網(wǎng)絡(luò)設(shè)備、服務(wù)器等其他設(shè)備的登錄賬號(hào)進(jìn)行密碼托管統(tǒng)一管理，而且可以使用堡壘機(jī)的自動(dòng)改密功能定期執(zhí)行修改密碼任務(wù)達(dá)到等保要求。 日后如果有服務(wù)器軟件配置時(shí)需要輸入賬戶密碼，還能從堡壘機(jī)導(dǎo)出加密的密碼文件。

(二)管理授權(quán)

堡壘機(jī)可以實(shí)現(xiàn)針對(duì)訪問網(wǎng)絡(luò)設(shè)備、服務(wù)器等其他設(shè)備的協(xié)議和行為的不同來區(qū)分賬號(hào)權(quán)限，用戶登錄時(shí)只能看到自己有權(quán)限訪問的資源，看不到其他網(wǎng)絡(luò)內(nèi)資源，一方面隱藏了內(nèi)網(wǎng)資源不被暴露以免受到橫向攻擊，另一方面實(shí)現(xiàn)了最小權(quán)限原則防止越權(quán)訪問，如網(wǎng)絡(luò)管理員只被允許訪問網(wǎng)絡(luò)設(shè)備，廠商實(shí)施工程師只被允許訪問負(fù)責(zé)維護(hù)的服務(wù)器，其他資源一律不允許訪問。

在實(shí)際使用過程中，信息中心管理人員應(yīng)對(duì)登錄服務(wù)器、網(wǎng)絡(luò)設(shè)備或安全設(shè)備不同身份的人員分配不同的賬號(hào)，如系統(tǒng)管理員、系統(tǒng)操作員和系統(tǒng)審計(jì)員三權(quán)分立，滿足審計(jì)和運(yùn)維人員安全管理要求。

(三)身份認(rèn)證

系統(tǒng)維護(hù)人員登錄時(shí)使用堡壘機(jī)的統(tǒng)一用戶界面登錄，目前市面上的大多數(shù)堡壘機(jī)產(chǎn)品都可以支持靜態(tài)密碼、動(dòng)態(tài)令牌、短信驗(yàn)證碼，支持與AD、LDAP、RADIUS 第三方認(rèn)證平臺(tái)對(duì)接，有的支持微信掃碼，部分支持雙因子認(rèn)證，而最新的軟件版本可以實(shí)現(xiàn)任意幾種認(rèn)證方式組成一個(gè)自定義認(rèn)證組合，根據(jù)使用場景的不同來用戶自定驗(yàn)證方式，提高了安全性。

(四)訪問控制

堡壘機(jī)應(yīng)支持劃分用戶角色，對(duì)各個(gè)角色分配可登錄的設(shè)備和權(quán)限，然后再給用戶分配角色，來達(dá)到各個(gè)用戶有各自相應(yīng)的權(quán)限。 還支持制定不同的使用策略，包括對(duì)用戶指定訪問源地址或指定可登錄堡壘機(jī)系統(tǒng)的時(shí)間，實(shí)現(xiàn)最小權(quán)限原則和細(xì)粒度控制，達(dá)到防止非授權(quán)訪問的效果，最大限度地保護(hù)內(nèi)網(wǎng)資源的安全。

(五)操作審計(jì)

堡壘機(jī)可以審計(jì)的運(yùn)維操作有很多，常用的有命令行字符操作、圖形界面操作、文件傳輸?shù)?，在審?jì)的同時(shí)保存錄像，也可以實(shí)時(shí)查看監(jiān)控。 高級(jí)的堡壘機(jī)可以實(shí)現(xiàn)在審計(jì)回放時(shí)中搜索審計(jì)關(guān)鍵詞來跳轉(zhuǎn)到錄像位置。

(六)高危操作阻斷

在運(yùn)維過程中，系統(tǒng)管理員可能無意或惡意地輸入個(gè)別高危指令，例如Linux 系統(tǒng)中的“rm /”刪除命令。 但國內(nèi)醫(yī)院信息系統(tǒng)大多都還是使用Windows 服務(wù)器系統(tǒng)來搭建業(yè)務(wù)服務(wù)器，Linux 命令行里的高危指令在Windows 服務(wù)器里不適用，現(xiàn)在已經(jīng)有部分廠商的堡壘機(jī)開發(fā)出了面向Windows 服務(wù)器版本的高危操作阻斷功能，例如可以在通過堡壘機(jī)使用圖形界面遠(yuǎn)程維護(hù)Windows 服務(wù)器時(shí)識(shí)別到右鍵文件點(diǎn)擊刪除的指令，然后根據(jù)權(quán)限來判定是否阻斷，可以防止維護(hù)人員使用圖形界面點(diǎn)擊刪除一些系統(tǒng)文件。 高危操作如果無法阻斷則會(huì)對(duì)服務(wù)器造成致命影響，盡管可以通過事后審計(jì)來確定操作人員，但對(duì)業(yè)務(wù)系統(tǒng)造成的危害和損失是不可挽回的，所以堡壘機(jī)應(yīng)對(duì)高危操作有攔截功能，并可以向管理員推送告警。

五、 堡壘機(jī)在實(shí)際使用場景中的案例

自2019 年全新的等保2.0 標(biāo)準(zhǔn)出臺(tái)后，我院就開始根據(jù)等保2.0 的指導(dǎo)著手整改醫(yī)院內(nèi)網(wǎng)架構(gòu)，整改項(xiàng)目其中之一就是添置堡壘機(jī)。 在近兩年的使用中，堡壘機(jī)大大提高了運(yùn)維和管理效率，全面規(guī)范了運(yùn)維管理人員的行為。 在使用堡壘機(jī)運(yùn)維之后，發(fā)生過一次門診叫號(hào)呼叫系統(tǒng)的宕機(jī)事件，事后通過堡壘機(jī)的審計(jì)回放功能發(fā)現(xiàn)，是廠家工程師因?yàn)橄到y(tǒng)盤空間不足，刪除了幾個(gè)占用空間較大的臨時(shí)文件造成了呼叫服務(wù)端軟件停止工作，但是工程師操作前并不知道會(huì)對(duì)程序有影響，事前事后都沒有告知信息科。 發(fā)生這種事件后，我們規(guī)范了廠商工程師的運(yùn)維流程，一人一賬戶且互不借用，詳細(xì)劃分登錄權(quán)限，規(guī)定廠商工程師在維護(hù)生產(chǎn)服務(wù)器、對(duì)軟件功能和系統(tǒng)文件進(jìn)行改動(dòng)前必須上報(bào)信息科審批。 堡壘機(jī)的上線為我院建立安全管理中心、保護(hù)業(yè)務(wù)系統(tǒng)防止非授權(quán)訪問和維護(hù)日常業(yè)務(wù)不間斷使用打下了堅(jiān)實(shí)基礎(chǔ)。

六、 總結(jié)

總而言之，堡壘機(jī)支持高效的資產(chǎn)管理；支持對(duì)運(yùn)維人員操作過程的全流程跟蹤、控制、記錄與回放；支持細(xì)粒度管理運(yùn)維人員權(quán)限，支持阻斷高危、違規(guī)操作。 在運(yùn)維過程中效率是非常重要的，但是高效率的同時(shí)往往伴隨著高風(fēng)險(xiǎn)，而堡壘機(jī)在實(shí)現(xiàn)高效率運(yùn)維的同時(shí)規(guī)避了“人”的風(fēng)險(xiǎn)，成為等保2.0 體系安全管理中心最有力的支撐平臺(tái)之一。 但網(wǎng)絡(luò)安全不是一蹴而就的事情，想要保障業(yè)務(wù)系統(tǒng)服務(wù)不中斷，實(shí)現(xiàn)高可用性，不僅需要采購搭建堡壘機(jī)等安全設(shè)備或軟件，最重要的還是理論與實(shí)際相結(jié)合，規(guī)章制度和安全設(shè)備相互補(bǔ)充，才能不斷完善醫(yī)院的信息網(wǎng)絡(luò)，達(dá)到“一個(gè)中心三重防護(hù)”的安全防護(hù)要求。