医院内外网部署方案

医院版

内外网隔离安全方案

二0—二年五月

第1章、医院信息化发展与网络安全现状1.1 医院信息化概述

目前在省立医院网络物理上为一张网，逻辑（比如通过VLAN等技术措施）上分为两部分，外部服务部分通常为办公，内部服务部分通常为医院业务系统。

对外运行的业务情况：

主要为0A系统，完成医院的行政办公、文件审批、邮件收发等业务流程。

医院网站系统，主要完成医院的宣传、论坛、网上挂号等业务。随着业务的发展，在保证信息安全的前提下，网站上将提供更多的业务，比如：将体检、影像等结果通过外网提供给病人。

对内运行的业务情况：

HIS系统：该系统是医院的核心业务系统，医院信息系统对医院及其所属各部门对人流、物流、财流进行综合管理，对在医疗活动各阶段中产生的数据进行采集、存贮、处理、提取、传输、汇总、加工生成各种信息，从而为医院的整体运行提供全面的、自动化的管理及各种服务的信息系统。医院信息应该以病人医疗信息为核心，采集、整理、传输、汇总、分析与之相关的财务、管理、统计、决策等信息。

其他业务系统：PACS影像、检验系统、CIS电子病历、体检等系统（本部分还需做详细调研）

1.2 现有安全风险简析

文件数据拷贝风险：

目前采用U盘拷贝两网的数据，拷贝的数据中可能存在恶意代码（如：病毒、

蠕虫、木马等），将外网的恶意代码扩散到内网的风险。

由于有业务联动的需求，如果在两网间部署网关类安全设备（如：防火墙、UTM等），这存在外部黑客通过网关穿透到内部核心业务服务器的可能。通过实

验，目前的穿墙技术能穿过大部分国产防火墙。

应用和系统漏洞风险：

针对xxX医院的两网信息隔离交换需求，如果不是物理隔离方案，无论采用什

么安全设备，都存在因为设备自身应用、操作系统、数据库的漏洞风险。随着漏洞挖掘技术及漏洞提交机制的完善，将会有更多的安全漏洞将会公布于众，针对特定漏洞带来的定向攻击将会增加。随着网络攻击技术的门槛不断降低，网络攻击工具使用不断简便，这种针对特定漏洞的攻击行为几乎每时每刻都会发生，再加上软件厂商更新不及时和经济利益的影响，所以针对这种漏洞的攻击防不胜防。

业务数据风险：

一但医院两网通过网关设备（而不是采用接近物理隔离）连接起来，内网数据的安全性得不到保障，很多安全事件发生于外部黑客发起攻击，窃取单位内部敏感数据。医院内部HIS系统的数据库中存在医嘱数据、处方数据，一旦外泄对本医院损伤很大。

例如：一些黑客组织把病毒木马等恶意软件的制作商业化，通过让特定需求者定购个性化的恶意软件并自动发送，来获得特殊利益，即MAAS（malware as a service ，恶意软件即服务）。进一步还可通过各种恶意软件控制的僵尸网络迅速

大规模地对政府、企事业单位的基础网络设施进行攻击。目前除了政府部分和金融服务业外，大多数行业对于这类攻击几乎毫无准备，其中包括医疗、电信、运输、服务业、化工和物流业。

第2章、内外网部署技术发展

2.1 方案一：继续物理隔离

采用人工拷贝方式进行两网的数据交换（文件和数据库），实际实施过程中存在以下几个问题：

1、不及时

2、效率低

3、很多医院要求对U盘杀毒，但操作人员因为繁琐未完全实施。

4、部分恶意代码是杀毒软件检测不到的。

2.2 方案二：采用网关设备

部分医院采用防火墙隔离两网，有的单位采用UTM防火墙产品主要包括包过滤防火墙，状态检测包过滤防火墙和应用层代理防火墙，采用此方案存在以下几个问题：

1、其最大的局限性就是防火墙自身不能保证其准许放行的数据是否安全。

2、不能防御绕过防火墙的攻击行为：从根本上讲，防火墙是一种被动的防

御手段，只能守株待兔式地对通过它的数据报进行检查，如果该数据由于某

种原因没有通过防火墙，则防火墙就不会采取任何的措施。

3、不能防御完全新的威胁：防火墙只能防御已知的威胁，但是人们发现可

信赖的服务中存在新的侵袭方法，可信赖的服务就变成不可信赖的了。

4、防火墙不能防御数据驱动的攻击：虽然防火墙扫描分析所有通过的信

息，但是这种扫描分析多半是针对IP 地址和端口号或者协议内容的，而非

数据细节。这样一来，基于数据驱动的攻击，比如病毒，可以附在诸如电子

邮件之类的东西上面进入你的系统中并发动攻击。

5、目前国内防火墙本身的软件、操作系统、数据库等方面有缺陷，通过实

验，很多穿墙技术能穿过大部分国产防火墙。

2.3 方案三：采用前置机加交换系统

有少部分医疗机构在方案二的基础上再进行数据操作和数据交换进行检查过滤。实现方式就是在两网前段加前置设备，同时通过应用开发商再开发交换数据接口（定义格式和API）在交换设备上安装交换系统实现内外网的交换。

该方案存在以下问题：

1、当业务扩充了，需要开发商支持

2、投入大，交换前置设备投入、软件开发投入

3、仍然没有从网络层面隔离，数据在两网的穿透仍然带有协议，协议

本身就存在缺陷，存在安全风险

2.4 方案四：采用接近物理隔离设备隔离两网

目前公安部门、保密部门已经将网闸定义为接近物理隔离的设备（备注：传