高月宏 顾敏 夏丹丹 吴俊

（南通市肿瘤医院信息科 江苏省南通市 226000）

1 医院信息系统现状

随着IT 技术的迅速发展，大部分医院已建成了针对不同需求的信息系统，如：医院信息系统（HIS）、实验室信息系统（LIS）、放射信息系统（RIS）、医学影像系统（PACS）、电子病历、体检系统等。医院信息系统主要有以下几个特点：业务连续性要求高，要求全天候不间断服务，各系统系统架构不同，采用的数据库、架构、编程语言都不一样，各系统间接口众多，复杂程度高，数据保密级别高，安全要求高等方面。

医院信息系统的逐步推广，显著提高了医院的工作质量和效率，但医疗活动对信息系统的依赖程度也逐渐增加。信息系统一旦出现故障，将直接影响到医院业务的正常运行。医院信息系统中存储着大量患者诊疗数据，一旦发生数据泄露，后果不堪设想。因此加强医院信息安全防护体系建设显得尤为重要。信息安全隐患不断显露，信息安全保障盲点也日渐凸现，保障信息安全已经从一个宏观论调转化为新医改工程建设工作中不可规避的基础内容。

2 医院信息安全等级保护要求

信息安全等级保护是我国信息安全保障的基本制度、基本方法和基本策略。贯彻落实国家信息安全等级保护制度，满足医院信息安全等级保护要求，开展等级保护建设相关工作势在必行。

信息安全已成为医院信息系统建设中不可或缺的一部分，主要涉及到数据安全，网络安全等。信息安全等级保护是我国信息安全保障的基本制度。按照卫生部印发了《卫生行业信息安全等级保护工作的指导意见》等相关文件要求，三级甲等医院的核心业务信息系统安全保护等级原则上不低于第三级，按照信息系统定级，备案，系统建设、整改，开展等级测评，信息安全监管部门定期开展监督检查五个流程来提高信息系统的安全防护水平。定级备案是等级保护的首要环节，按等级保护、监管是等级保护的核心，建设整改是等级保护工作落实的关键，等级测评是评价安全保护状况的方法，监督检查是保护能力不断提高的保障。等级保护工作中的五个环节如图1所示。

医院信息系统中存储着大量患者的诊疗信息，如患者基本信息、患者诊断数据、药品信息、住院信息、统方信息等。医院HIS 系统如果数据被泄露或是被篡改，将会对医院、就诊患者乃及公共卫生行政主管部门的合法权益造成严重侵害，并有可能造成医疗安全事故的发生，对社会秩序和公共利益造成损害。信息安全等级保护的提出不仅让国家信息安全政策合规，也更能增加医院自身安全防护的需要，为医院的各大核心业务提供一个稳定、安全的运行环境。

3 医院等保2.0

医院需要明确落实责任制，明确总责、分责人。建立谁主管谁负责的原则；根据当前业务情况，识别出可能的风险因素，参考风险优先级，确定解决思路。主要从空间维度和时间维度两方面建立等级保护防御体系，空间维度主要从物理环境、通信网络、区域边界、计算环境等方面来构建，时间维度从预测、识别、检测、响应、恢复等方面构建事前预防、事中控制、事后响应的动态安全体系。按照业务类型和功能区别，确定各安全域的物理边界和逻辑边界，明确信任关系，并在安全域边界配置不同的安全策略。明确数据分级，通过数据库防护、数据泄露防护，加密等技术，保证医院数据在存储、传输等过程中的保密和完整。通过数据挖掘和分析技术，分析终端操作、威胁时间等行为，并针对风险因素设置各种安装措施，争取将损失降到最低。

4 虚拟化技术简介

虚拟化就是把物理资源转变为逻辑上可以管理的资源，以打破物理结构间的壁垒。虚拟化技术就其本质而言属于一种资源管理技术，它将硬件、软件、网络、存储等硬件设备隔离开来,使用户能更合理、更充分的控制和管理各种资源。虚拟化技术能够充分应用好虚拟技术在物理服务器上，将物理服务器虚拟出诸多个虚拟服务器，将物理服务器整合为一个资源地，再根据业务系统的基本需求，为其分配适当的存储空间和内存空间。

以VMware vSphere 为例，对服务器、存储硬件进行整合，对操作系统和应用进行抽象，将操作系统和应用从硬件中分离出来，ESXi 可以独立安装运行在裸机上的系统，安装完成后通过vSphere Client 远程连接，在 ESXi 服务器上创建多个虚拟机，然后为虚拟机安装各种所需的操作系统，使之成为能为医院信息系统提供服务的虚拟服务器。每台虚拟机都是完全隔离的，很多操作系统可以同时在一个主机上运行。虚拟化技术将一台物理服务器变成多台相互隔离的虚拟服务器，将CPU、内存、磁盘、I/O 等硬件变成动态管理的“资源池”，通过区分各服务器所需资源的优先次序，实现动态资源分配。

服务器虚拟化，可以降低硬件成本投入，便于服务器维护，减少维护成本，提高服务器利用率，实现系统高兼容性，增加信息系统间的交互性和容灾能力，提高数据安全性，提升管理的灵活性。

5 等级保护在虚拟化平台vSphere上的应用

以vSphere 为例，探讨等级保护技术在虚拟化环境下的应用。

（1）身份鉴别：通过设置ESXi 主机上ROOT 账户密码，设置ESXi Shell 和SSH 的连接超时锁定时间，在vCenter 服务器上开启vCenter 主机的口令复杂性要求和口令更换周期限制，设置vSphere Client 客户端连接超时时间，实现登录用户身份鉴别。

（2）访问控制：根据vCenter Server 管理用户的角色分配权限，通过限制角色的访问控制权限实现对不同用户的访问控制。对于vCenter Server 服务器主机操作系统，建议只允许有一个administrator 的系统管理员账户，并设置强口令定期更换，其他的用户账户只设为为power user 或user。所有用户账户开启强制密码策略并设置定期更换口令。

布卢姆斯伯里集团中，凌叔华与伍尔夫关系最近，因此，研究者对她们二人及凌叔华的英文小说《古韵》关注较多。《古韵》是在伍尔夫的鼓励下用英文写作的自传体小说。前述蔡璐《凌叔华与布卢姆斯伯里》第三章即以《古韵》中的女性主义色彩与伍尔夫的女性主义思想暗合展开，认为她们在战争期间的通信体现了女性写作与战争的关系，在反战思想的背后实际上是对男权的否定与质疑。相关论文还有江淼《和伍尔夫一起写作——〈古韵〉的西方视野》、董姝雯的硕士论文《在现代与传统之间——论凌叔华小说创作》等。

（3）安全审计：设置vCenter Server日志记录，导出日志并进行分析统计。

（4）剩余信息保护：对于vCenter 管理服务器主机，定期清理系统垃圾文件和系统缓存，在vCenter Server 服务器主机上严禁互联网或作其他无关操作，严格控制系统用户的访问权限和软件运行权限。

（5）入侵防范：vCenter Server 管理服务器主机可以通过实施密码策略，设置账户锁定策略的方式防止口令猜解。系统只安装vCenter Server 系统软件及其支撑环境软件，严禁安装其他无关软件或“一机多用”。

及时更新windows 操作系统以及ms-sql2005 数据库的补丁，防范来自利用操作系统漏洞进行“提权”的入侵攻击行为。通过启用“本地安全策略”→“软件限制策略”并设置“不允许、不受限和基本用户”的软件运行限制策略，防范利用漏洞上传恶意程序并运行提权的入侵行为。通过对系统文件夹或其他敏感文件夹按系统用户访问权限需要分别设置“安全权限”，允许或拒绝对文件夹的读和执行、读取、写入、修改、列文件夹内容等访问控制权限进行细粒度的配置。

对于windows 系统文件夹在整个vCenter Server 系统配置完毕并不需要进行调整后取消所有非system 和administrator 用户的访问权限，同时取消system 和administrator 对该文件夹的写入和修改权限，并只在需要对操作系统进行重新配置或更新系统补丁的时候恢复修改的权限。通过上述的安全加固措施来防范“非授权的资源访问”、“系统提权以”及“恶意代码”攻击等系统入侵行为。

（1）恶意代码防范：恶意代码的防范除了主机安全加固外，可通过在服务器主机上部署网络版杀毒软件来加强对恶意代码的防范。服务器开启网络防火墙需要将vCenter Server 所需的端口加入访问控制列表并允许访问，主要有：80、389、443、636、902、903、8080、8443、60099、10443、10109、10111。

（2）资源控制：通过配置防火墙属性设置访问控制列表的方式来实现虚拟主机的资源访问控制，在防火墙属性中设置“仅允许从以下网络连接”实现。

6 医院虚拟化安全上等级保护上的具体措施

虚拟化作为医院普遍使用的新技术，业务系统也正逐步向虚拟化平台迁移，根据云计算安全扩展要求，需要重点关注建立虚拟化网络边界的访问控制机制，检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量，虚拟机迁移时访问控制策略随其迁移、检测到恶意代码感染及在虚拟机间蔓延，需要构建可适配虚拟化的安全新技术，将风险控制在虚拟化最小范围之内；参考等级保护对虚拟化安全提出的具体要求，对照目前南通市肿瘤医院的实际需求进行分析，在以下几个方面采取安全措施。

（1）对虚拟机之间网络资源进行隔离，避免网络资源被某项虚拟化业务应用过量占用。

（2）将虚拟化平台的管理流量与实际业务流量进行分离。

（3）通过配置访问控制策略的方式避免虚拟机通过网络非授权访问宿主机，宿主机采用带外管理的方式避免内部网络用户带来的安全威胁。

（4）在虚拟化网络边界部署访问控制机制，并设置访问控制规则。

（5）使用运维堡垒机对远程执行特权命令进行限制并进行审计。

（6）在虚拟化区域边界处部署入侵检测防御措施，防范来自网络的攻击行为，并能记录攻击类型、攻击时间、攻击流量等。

（7）针对重要业务系统提供加固的操作系统镜像。

7 结语

不论从等保2.0 的要求上，还是从医院信息系统的安全来考虑，医院有责任也有需要加强自身安全管理体系和技术方面建设，从而切实提高医院整体的信息系统及相关数据安全级别。医院需要统一思想充分认识到做好信息网络和数据安全保障工作的重要性和紧迫性，加快推进网络安全等级保护测评工作，在等保标准的基础上构建覆盖技术和管理的综合防御体系，提升网络安全风险治理意识，做好安全防护基础工作，加强网络安全防御和检测能力，健全预案开展演练提高应急处置能力，变被动防护为主动防护，变静态防护为动态防护，变单点防护为整体防控，变粗放防护为精准防护，为持续推进智慧医院保驾护航。本文以vSphere 为例，具体分析了等级保护在虚拟化环境中应用，通过多种方式，建立有效的安全防御体系，并根据南通市肿瘤医院实际需求，在虚拟化安全方面提出具体措施，提升医院信息系统安全等级。

在虚拟化环境中，信息安全还面临许多新的问题和挑战，如虚拟机逃逸技术，vSphere 系统软件自身的漏洞和缺陷都会给信息系统的安全造成极大风险。所以虚拟化环境下的信息安全除了要根据安全策略做好访问控制规则，部署安全防护措施外，加强对数据资源的访问控制、审计也是必不可少的安全保护措施。