郎义青：医院网络安全设备既要建起来更要用起来

来源：HIT专家网      作者：姜浩 根据录音整理

近年来，医院网络安全建设正面临困境。据统计，近90%的勒索病毒感染事件均是由医院本地局域网引起的。因此，“医院首先要扎紧自身网络安全防护的篱笆，才能抵御外来之敌。同时，网络安全设备并非越多越好，建起来却没有用起来，便形同虚设。”

在长三角（嘉兴）纳米科技产业发展研究院主办的“数字医院建设应用研究高级研修班”上，浙江省人民医院信息中心原主任郎义青提出了上述观点，同时就如何从技术上进行网络安全防范、如何在制度管理上做好网络安全等话题分享了自己的经验与见解。

医院内网已不存在绝对隔离、绝对安全

据郎义青介绍，浙江省人民医院的网络安全架构由安全区域、网络安全、终端安全、服务器安全及安全管理五要素组成。

“所谓安全区域即对医院的网络进行合理划分，一般医院会将网络分为内外网。”郎义青认为，医院内网已不存在绝对隔离、绝对安全。在医院网络中划分出安全区域， 继而通过防火墙、IPS（Intrusion Prevention System，入侵防御系统）设备实现边界安全，可避免出现“牵一发而动全身”的网络安全危机。

网络安全指通过防火墙、IPS、WAF（Web Application Firewall，Web应用防护系统）、上网行为管理等手段实现网络在线防护能力。

终端安全指通过自安全平台、桌面杀毒软件、桌面管控软件实现终端安全。“终端安全风险极大，很多网络安全问题都来自于终端。”郎义青表示，医院的终端不仅指PC机，还包括很多医疗设备，如CT、核磁共振等仪器，甚至有一些进口的医疗设备不允许安装杀毒软件，但其数据与医院整体信息网络相连接。对于这类终端，更要提高网络安全防护意识。

服务器安全指通过服务器防护软件、数据备份软件等设备实现服务器安全。医院在引入服务器虚拟化技术后，如何对数十台物理机、数百台虚拟机进行统一管理？如何为服务器部署防护软件、杀毒软件？如何对服务器进行数据备份？“虚拟化技术带来了相应的虚拟化安全挑战，医院需要根据自身实际情况做好虚拟化安全防护，以保障服务器安全。”

安全管理指通过堡垒机、日志审计、数据库审计等网络安全设备与系统，结合防统方等医院管理制度，实现运维管理能力。“任何数据库操作漏洞，都可以通过审计进行追踪并实现“原音”重现，进而查漏补缺，提高数据资产安全性。”郎义青讲到。

态势感知平台，建起来更要用起来

为保障医院网络安全架构的稳定，浙江省人民医院制定了相应的安全防护措施，构建成了完整的安全防护体系。该体系主要包含六部分内容：态势感知平台、服务器安全加固、终端准入系统、桌面终端管控、防止内网外联和物联网终端防护。

其中，态势感知平台是医院网络安全的“大脑”，具备六方面能力：监测与发现能力，侦测网络上的数据变化，判断医院网络是否被入侵，数据是否被篡改；威胁感知能力，第一时间获知网络上的数据异常波动，根据“蛛丝马迹”预防安全威胁；安全事件关联、溯源能力，对安全威胁进行溯源、追踪并封堵漏洞；协同防御能力，通过综合部署及网络安全防控体系做好共同防御；资产感知及管理能力，对入网设备及软件进行分析，判断设备是否经过审批、软件系统有无漏洞；资产脆弱性感知及验证能力，目前浙江省人民医院已全面禁用移动硬盘及U盘等脆弱资产。

有的医院在购买态势感知系统后便对其“置之不顾”。对此，郎义青表示：“医院的态势感知平台等网络安全设备，既要建起来，更要用起来。”

服务器安全加固的具体做法为：对医院信息系统的网络层进行漏洞扫描防护；对应用层进行应用级代码攻击防护；对操作系统层进行系统文件攻击防护；对系统内核层进行内核级脚本攻击防护。其主要手段包括：安全加固、防爆破、WebShell、后门检测、攻击溯源、资产清点、风险扫描、行为学习、病毒查杀、合规基线等。“服务器安全加固是医院网络安全防护最后的堡垒。”郎义青表示，即便病毒或威胁绕过了身份认证，突破了防火墙、入侵检测和防御、WAF和漏洞扫描等重重防护手段，依然无法对系统内核进行破坏，也无法对服务器防护的Web应用进行篡改。

服务器安全加固过程可分为三个阶段：事前预防阶段，梳理资产，关联资产安全风险，修复已知漏洞，缩小黑客攻击面；事中控制阶段，对网络攻击进行实时监控分析、安全响应与处置；事后追溯阶段，对第二阶段进行回溯分析总结，取证溯源，复盘改进并输出分析报告。

终端准入系统指医院通过建立自安全网络管理平台，防止非法终端接入网络。一般大型三甲医院的终端数量可达四五千台（个），包括部分已报废的电脑终端。郎义青表示，信息中心很难掌握医院终端的具体数量，而对于依旧在使用的“活”终端资产，却一定要做到一清二楚。同时医院需要具备自安全能力，包括：终端信息自动收集，审批准入；业务随行，网络配置自动下发；网络异常精确定位，自动排障等。

桌面终端管理方法可总结为：补丁软件，统一分发；统一屏保，定时关机；网卡监测，防止外联；外设控制，USB防护。其具体操作手段包括：桌面加固、严控外设使用、严禁违规外联、性能监控、能耗管理、远程控制等。

浙江省人民医院防止内网外联的措施为：每隔几秒轮询检测当前PC是否能连通互联网，一旦发现设备连通互联网，立即发出警示并自动断网；除特需设备外，默认禁用双网卡；默认封闭USB存储设备，对于特殊设备，可将其ID加入白名单。

对于物联网终端防护问题，可部署自安全管理平台，做到用户、威胁可视可控，策略运维可管可控；部署自安全控制器，实现准入认证功能；部署自安全交换机，抑制病毒传播、网络异常行为。

医院网络安全管理六制度

在技术层面上做好医院网络安全防护的同时，也不能忽视“人”的作用。医院应做好网络安全管理建设，以保证医院网络安全防护体系能够有效运行。根据自身实践经验，郎义青特别强调了以下六点安全管理制度的重要性：

首先是授权。相关人员进入机房，需经过批准并登记，操作设备需有陪同人员，如有高危操作，需经多人确认；相关设备接入内网环境，需经批准并登记IP信息；运维单位通过VPN进行远程运维，需提出申请并签订协议书；医院对新设备及返修设备需进行严格控制；信息中心需对服务器、数据库、网络、安全等设备的最高权限账户密码进行严格管理。

其次是记录溯源。医院信息中心需编写进出机房登记手册并定期统计存档；详细记录接入内网环境的设备，做到回溯可查；记录VPN远程运维登录日志及操作过程；统计离场设备详细信息并拍照留底；将堡垒机、数据库审计等设备中的访问系统日志信息定期存档。

再次是保密性。医院需与运维单位签订保密协议；禁止运维单位通过VPN远程拷贝文件；监控运维单位有关数据文件的操作；限定各运维单位对服务器及数据库的访问权限；对运维账号设定有效期，建议时间为一个月。

第四是接入控制。医院信息中心需对接入内网的电脑安装医院统一的终端防护软件；对接入设备进行准入控制并安装相关补丁；禁止内网电脑使用移动U盘等移动介质；通过堡垒机确保VPN远程运维安全；划定运维区域，制定运维电脑并实施管控。

第五是安全审计。医院信息中心应保障运维工程师一人一账号并做到对应审计；通过堡垒机、数据审计库等设备保障访问安全；对运维工程师每次操作内容进行审计；对用户名及口令的复杂度及更改周期进行管理；在机房内部部署视频监控系统，对设备操作进行记录；对传输到服务器的文件进行严格审查。

最后是安全操作。当相关人员对数据库进行操作时，需有信息部门人员授权；信息中心应保存操作系统及网络设备调试的操作日志；运维单位在服务器上安装相关软件及工具时，需先进行测试；运维单位不得擅自下发业务软件版本；运维单位在更换相关设备时需提交详细实施方案及应急措施。

三分技术、七分管理。郎义青认为，只有兼顾安全防护技术与安全管理建设，才能掌控全局，将安全规划落实到边边角角，不留盲区；才能真正扎紧医院网络安全防护之篱，将一切来犯之敌拒之门外。

【责任编辑：秦勉】