医疗信息系统的整体安全解决方案背景目前以经济核算和资源管理为主的HIS在医院中已广泛被采用,部分医院已经或正在实施CIS和OA。随着医疗体制改革特别是医疗保险制度改革的深入,作为病人医疗信息的拥有者和提供者的医院地位已经渐渐地由主动变得被动起来,从原来的固定客户变成今天的医院找病人,原来简单的医—患双边关系转换为医院—患者—保险—单位—银行复杂的多边关系。这就要求HIS不仅仅帮助医院内部提高管理水平、改善服务质量,还要求它能及时、准确地向医保部门提供病人结算数据报表,同时也必须能够提供合法的、合格的、保证医院利益的相关临床信息。因而,HIS建设也相应地从以收费为核心的管理信息系统(HospitalManagementInformationSystem逐渐转向以病人为中心的临床信息系统CIS,以进一步满足医疗服务质量的需求。三年前突如其来的那场SARS确实给我们带来了一场灾难,却恰恰暴漏出卫生信息系统建设的严重缺陷---面对突发公共卫生事件而显得无能为力。也正是由于这个原因,医疗信息系统建设才再度受到党和国家各级政府的高度重视,正向纵深快速发展。HIS从简单的“单机版”收费挂号到院内局域网“客户机——服务器”模式的网络形态,再由院内局域网扩展为医疗城域网,直至将来的全国联网。一方面医院需要为患者提供更多的服务,需要为内部移动用户提供VPN接入,为病人提供网上预约挂号,为专家提供远程会诊等;另一方面由于医院是整个社会保障体系中必不可少的一环,又肩负着科、教、研的重任,要求医院信息系统逐步从封闭走向开放。因此,医院信息系统正在变成医疗体系结构中不可或缺的基础架构。该架构的网络安全和数据可用变得异常重要。任何的系统停机或数据丢失轻则降低患者的满意度、医院的信誉丢失,重则引起医患纠纷、法律问题或社会问题。和其它行业的信息系统一样,医疗信息系统在日常运行中面临各种风险带来的应用服务停机和数据丢失或泄密,例如:网络病毒、攻击造成停机与数据丢失黑客入侵造成信息泄密人为错误造成数据删除磁盘(阵列)损坏造成数据丢失及停机服务器故障、交换机故障造成应用停顿不可抗因素如火灾、地震等造成信息中心毁坏而随着医院信息系统的深入发展,其IT环境会变得越来越复杂。不仅有不同厂家的存储、服务器、网络等硬件平台,还会有Oracle、SQLserver、中间件等异构的软件平台。虽然异构为医院带来低成本和高适应性,但是同时带来复杂性,引起性能和高可用性问题。因此不论是医疗保险制度改革带给医院的压力,还是政府疾病防御和控制给医院信息化建设带来了机会,医院信息系统在发展过程中首当其冲要解决的问题是解决因外部及内部原因引起的网络系统安全、数据安全问题,保证信息系统的扩展性和高效连续运行。本方案将从医疗信息系统的安全现状出发,讨论如何建立适应未来发展的信息系统的安全和可用性架构。第一部分:医疗信息系统网络安全解决方案1.需求分析虽然目前绝大多数医院都已经购买了防病毒软件和边界防火墙,也采取了VLAN等技术保护网络安全,但医院网络仍然经常受到蠕虫病毒、木马程序等多种恶意代码的攻破。当前的攻击手段已经由原来单纯的病毒或者穿透防火墙,破解用户密码等手段发展为混合式攻击,即综合利用多种手段进行攻击:如利用即时通讯工具(MSN、QQ等)传播病毒,利用病毒植入木马程序并绕过防火墙,漏洞早期攻击等。现阶段几乎所有的医院对于网络安全采取的办法主要有以下几种:(1)内外网物理或逻辑隔绝。理论上,这种方式肯定是万无一失的——如果内部网络与外界根本没有任何连接,那么来自外界的攻击是绝不可能实现的。但问题也就出在“隔绝”上面,由于隔断了所有网络间的连接,所以正常需要的信息交流也被隔断。但信息的沟通、共享是客观存在的,所以就会有很多用户利用软盘、光盘、USB盘等方式共享文件,甚至还有临时拉一条网线实现访客笔记本电脑与内部一台计算机的网络对接。那么,接下来会发生的事情就显而易见了——蠕虫病毒、木马程序在内网肆意泛滥。因此,内外网隔绝并不能真正实现,更糟糕的是内外网隔绝对于用户自发的信息共享方式无法有效控制,当然也就没有安全性可言;(2)边界防火墙。事实上很多医院都有外网连接的线路,那么,购买一台边界防火墙架设在网关处,封闭不必要的端口,从而尽可能阻挡来自外网的黑客攻击就成为一个理所当然的选择。但是简单的边界防火墙并不能使我们的网络安全达到您所期望的水平。作为网关处的一个设备,边界防火墙无法防御来自内部的攻击(来自内部的攻击可能并不是内部员工的恶意行为,有可能是某台内部计算机中病毒之后转而攻击其他计算机以及服务器的行为)。另外,大多数防火墙仍然采用落后的包过滤技术,对进出数据流的检测并不彻底,常有漏网之鱼;(3)网络防病毒。目前所有的防病毒软件都采用特征码识别的方法查杀病毒,所以,这种方法决定了防病毒软件只对已知的病毒具有识别能力。那么,一旦某一台计算机的病毒定义码更新不及时,则很有可能中了病毒没有人知道。还有一些用户因为使用原因卸载了防病毒软件,导致一些工作站成为内网安全的漏洞。另外,防病毒软件仅仅针对计算机病毒,对于混合式攻击没有有效的防护手段。而边界病毒墙同样难于发现早期漏洞攻击,反而有时影响网络访问的整体性能。从以上分析可以看到,当前的防护手段都有一些共同的弱点:安全策略的制定和策略的执行严重脱节;不能真正有效、全面地监控内外网信息交流的渠道;安全防护手段滞后于安全漏洞和新威胁的发现。综合以上分析,要达到医院网络安全的要求,医院需要的是一套能够全面防护、强制执行安全策略的解决方案。2.解决方案医院信息系统的网络安全建设需要从如下几个层面入手:加强信息安全管理策略。即制定符合医疗行业的信息安全管理制度和执行流程。加强对网关的安全访问控制。对已经部署的网关安全设备进行调整,加强防火墙的安全级别,提高医疗内网抵御混合性威胁的能力。对医院可疑网络活动的监控。在一些信息系统安全级别相对较高的网段部署安全监控措施,有效地对可疑的网络行为进行阻断、告警。加强对整体终端访问控制力度。一方面提升每一台终端自身的安全防护力度,控制网络蠕虫、病毒在内网的泛滥。另一方面,部署网络内部强制访问控制策略,对于那些不符合安全策略标准的终端,可以在网络设备的接入点进行强制控制,以保证内网的安全性。当然,医疗行业的信息安全建设是一个循序渐进的过程,在不同时期满足不同的安全要求。每一阶段的展开都是围绕着医疗单位制定的安全管理策略而推进的。2.1网络入侵检测与防御解决方案防火墙是网络门户的第一道守卫者,是部署在网络的信任区域和非信任区域的网关型安全设备;目前医院主要有两种网络结构模式,一种是内外网物理隔离的网络结构,另一种是内外网逻辑隔离(VLAN)的网络结构,对于第一种情况由于是内外网物理隔离,网关处安全的压力主要体现在外网,因此在外网和Internet边界处大多部署了防火墙设备;第二种情况是在医院整体“内网”和外网(Internet)边界处部署防火墙设备,在交换机上根据不同的业务应用划分虚网,然后在主干三层交换机上启用相关虚网间的路由访问策略。但近年来随着大规模DOS攻击、黑客攻击、蠕虫病毒、垃圾邮件等的大量泛滥,城门一次次“失守”,为什么我们寄予厚望的的安全产品仿佛一夜间变得如此脆弱了呢?这里固然有安全环境的变化的原因,更重要的是我们对于安全产品的部署和认识存在着误区,首先认为防火墙是“万能”的;第二是防火墙产品本身技术上的不足:被动式的防御措施不能防范来自网络内部的攻击、及网络旁路的存在不能防范新的威胁和攻击不能防范基于内容的攻击很多情况下,病毒的传播来源于网络内部,由于内部没有设防,病毒迅速泛滥,造成大面积服务器停机。入侵检测与阻断(IDS/IPS)技术能够实时检测网络动态,并对危险的攻击立即阻断。入侵检测与防御需要部署在网关防火墙后面及内部各重要网段上,配合防火墙防范已知和未知、外部和内部的攻击。Symantec提供先进的入侵检测与阻断产品SymantecNetworkSecurity(以下简称SNS)。SNS可以监控整个医疗网络的通信信息,不需要另外安装任何代理程序,对网络结构的影响也几乎没有。SNS的网络监控模式可以选择IPS或IDS。SNS7100IPS模式可以支持多个in-linepair(内嵌对),同时支持报警和拦截模式。管理员可以使用SNS的“单键防御”技术在这两种模式间切换。从而可以采用不同的安全策略应对变化的网络。报警模式:SNS串接在网络上,发现可疑行为后发出报警通知管理员,不截会话。拦截模式:SNS直接串接在网络上,发现恶意攻击、非法请求,立即拦截。如果使用IPS部署模式,不用更改交换机配置,无需额外占用交换机端口资源,SNS7100支持802.1qtrunk协议。在透明模式下,IPS不会影响医疗单位现有网络应用。SNS对经过监控网卡的数据包进行分析,将恶意请求,非法访问直接拦截。在IPS(入侵拦截模式)下,SNS设备直接串接在医疗网络中。为了防止因为SNS在正常设备时的重启或服务暂止而影响网络通信中断,建议在部署SNS时,同时配合部署SNS旁路设备保持网络通畅。SNS旁路设备,会监听SNS的运行状态,并在SNS不能提供正常服务时,自动接管网络通信,保证网络的畅通。SNS对网络监控的部署模式是非常灵活的,完全可以满足医疗网的不同需求。防火墙VPNInternetInternet其它医疗单位网络用户网上预约远程诊疗HIS/EPR/LIS门诊网段住院网段办公网段IDS/IPS7100IDS/IPS7100IDS/IPS7100IDS/IPS7100附图1.SNS对医疗内网的网络活动监控方案特点:满足高速环境的检测需求。SymantecNetworkSecurity7100就多千兆高速通信监控设置了新标准,允许在医疗内网的任何级别执行检测功能,且不会丢弃数据包。对攻击主动拦截。SNS设备可以工作在透明模式下,在不改变网络结构的前提下,自动拦截非法的网络访问,实现主动防御。混合检测体系结构,识别零时间攻击。SymantecNetworkSecurity7100组合协议异常检测、状态特征签名、漏洞攻击拦截、通信速率监控、IDS逃避处理、数据流策略冲突、IP地址拆分重组以及自定义增强特征签名描述语言来收集恶意活动的证据。SymantecNetworkSecurity7100的协议异常检测有助于检测以前未知的攻击和新攻击(在它们发生时检测)。此功能称为“零时间”检测。实时事件关联和分析,快速定位医疗网威胁来源。SymantecNetworkSecurity7100的关联和分析引擎可滤掉冗余数据而只分析相关信息,从而使得提供的威胁通知不会出现数据超载。SNS使用跨节点分析在医疗网内收集信息,从而快速地帮助管理员弄清楚趋势并在相关事件和事故发生时识别它们。自动的Symantec安全更新。来自Symantec安全响应中心(世界领先的Internet安全研究和支持机构)的定期、快速响应安全更新可提供顶尖的安全保护和最新的安全上下文信息,包括利用和漏洞信息、事件说明以及用于防御不断增多的威胁的事件细化规则。这些操作大大减少了医疗内网管理员的维护作量。2.2网关统一威胁管理解决方案上节分析了只在网关设置防火墙不能防御所有的网络攻击,需要在网关及网络内部部署IDS/IPS,加强对网络的实时监控,抵御来自外部或内部已知和未知的威胁。实际上,防火墙对病毒也无能为力,用户下载的文件或接收的邮件中有病毒,防火墙是视而不见的。对垃圾邮件更是浑然不知。为了尽量将攻击拦截在网关外,提高内部网络的效率和性能,降低停机风险,有些医院还在网关处部署防病毒(病毒墙)和反垃圾邮件功能。但是这些功能模块之间如何协调才能够既保证网络性能和效率,又使各个部件真正发挥作用呢?网关统一威胁管理的概念就源于这种需求:采用单个设备涵盖所有功能,从而降低复杂性、减少维护量(通常都是即插即用)、协同工作、更容易排错。赛门铁克的UTM解决方案SymantecGatewaySecurity(以下简称SGS)采用了多