等保2.0 下堡垒机在医院信息系统的应用

刘炬宏

(徐州市妇幼保健院，江苏 徐州221009)

一、 信息安全现状与要求

国家《信息安全技术 网络安全等级保护基本要求》(GB/T22239—2019)的公布，标志着等级保护标准正式进入2.0 时代，各单位应按要求使用等保2.0 标准建设整改自己的网络。 网络安全等级保护制度2.0 国家标准在等保1.0 的基础上进行了以下改动:增加了对新技术、新应用的安全保护对象和安全保护领域的全方位覆盖，特别突出技术思维和立体防范，注重全方位主动防御、动态防御、整体防控和精准防护，提出了“一个中心，三重防护”的安全保护体系。 其中“一个中心”代表要建立安全管理中心，由等保1.0 分类里的管理要求变更为技术要求，测评控制点分别为系统管理、审计管理、安全管理和集中管控，也对等级保护测评和整改提出了更高的要求，其中涉及生产数据以及运维操作审计、运维人员身份鉴别等安全问题。

二、 医院信息系统安全运维存在的问题

高度的医院信息化可以支撑医院的临床医疗效率和后勤行政的管理协作，减轻各个工作流程中医护人员的劳动强度，提高医院整体的工作效率。 医院信息系统主要分为医疗业务系统(HIS)、实验室信息系统(LIS)、医学影像系统(PACS)等管理系统和主要临床系统，各个子系统更加繁多，如院内感染管理系统、手麻监护系统、财务管理系统以及固定资产管理系统等。

随着信息化程度的越来越高，开发厂商越来越分散，信息系统的服务器也越来越多。 这种情况下，不但医院信息科员工维护起来需要耗费大量的精力，且对各家厂商工程师维护各自服务器的行为也无法监控，从而使整个运维流程由于运维人员登录方式不规范、账号管理靠手工、运维权限无法划分、认证流程简单、无法监控等原因，造成了事前无规划、事中无监控及事后无审计的现象。 系统管理员在维护信息系统时可能会产生违规操作或恶意操作，对医院的正常运行产生恶劣影响，造成系统宕机或病人就医隐私数据遭泄露等重大管理事故。 因此，加强对运维人员的管理，规范运维行为流程，是稳步发展医院信息安全的重要前提条件，也是现代医院信息安全管理的重要组成部分。

三、 堡垒机在安全管理中心的应用

等保2.0 指南里的安全管理中心定义了四个项目，分别为系统管理、审计管理、安全管理和集中管控，它是最为关键的一点，也是在信息日常业务中最不容易达到的一点，因为它要求等保目标将技术和管理相结合，以真正达到保护内网网络安全的目的。

在堡垒机风靡之前，传统的网络中大多配置了下一代防火墙和日志审计类设备，它们可以实现部分访问权限划分和安全审计功能，但也存在很多弊端:只能通过采集网络流量来审计运维行为，无法审计加密流量如ssh 等协议，下一代防火墙虽然可以根据不同IP 地址来定义访问网络的权限，但实现起来太过烦琐。 而且这种审计功能属于事后审计，在发生问题后又无法确切地确定问题的出现点，于是在漫长的日常维护中人们大多会忽略掉这些设备的存在，毕竟它们既不像下一代防火墙一样在网络架构中那么重要，也不像运维监控软件时时刻刻出现在管理人员视线中。 那么就需要一个可以在事前就详细划分权限，全流程监控运维操作，事后也方便审计的安全管理平台。 堡垒机就是一个既能达到合规性，又方便管理人员使用，也不会有太高的学习成本的安全设备。

广义上的堡垒机可以是软件也可以是硬件，它以提供协议代理等方式使代理客户端访问目标设备的图形管理界面或字符终端，对运维操作进行安全审计，集中管理运维权限，对运维过程全程进行审计，可以防止对内网网络和数据的非授权访问。 堡垒机在信息系统和网络中的定位类似安全网关，对访问关键网络的人和操作进行检查，只有经过授权的操作和命令才被放行，并且记录访问日志，没有通过身份鉴别的用户、违规的操作都会被拦截于外。

四、 堡垒机具备的功能

(一)设备账号管理

在日常的运维管理中，系统管理员面对的一大问题就是服务器的账号密码管理，或手写在本子上或明文存储在电子表格中，但这两种方式都不符合等保的安全规定，靠谱点的方式只能靠人脑死记，相对安全且合规的方式就是加密存储在保密的账户或软件中。

在配置了堡垒机之后，账号管理这一难题就迎刃而解，因为管理员不需要再记忆设备密码，他们在堡垒机内管理内网网络资产时，只需要在第一次配置时输入设备账户，便可以实现对网内的网络设备、服务器等其他设备的登录账号进行密码托管统一管理，而且可以使用堡垒机的自动改密功能定期执行修改密码任务达到等保要求。 日后如果有服务器软件配置时需要输入账户密码，还能从堡垒机导出加密的密码文件。

(二)管理授权

堡垒机可以实现针对访问网络设备、服务器等其他设备的协议和行为的不同来区分账号权限，用户登录时只能看到自己有权限访问的资源，看不到其他网络内资源，一方面隐藏了内网资源不被暴露以免受到横向攻击，另一方面实现了最小权限原则防止越权访问，如网络管理员只被允许访问网络设备，厂商实施工程师只被允许访问负责维护的服务器，其他资源一律不允许访问。

在实际使用过程中，信息中心管理人员应对登录服务器、网络设备或安全设备不同身份的人员分配不同的账号，如系统管理员、系统操作员和系统审计员三权分立，满足审计和运维人员安全管理要求。

(三)身份认证

系统维护人员登录时使用堡垒机的统一用户界面登录，目前市面上的大多数堡垒机产品都可以支持静态密码、动态令牌、短信验证码，支持与AD、LDAP、RADIUS 第三方认证平台对接，有的支持微信扫码，部分支持双因子认证，而最新的软件版本可以实现任意几种认证方式组成一个自定义认证组合，根据使用场景的不同来用户自定验证方式，提高了安全性。

(四)访问控制

堡垒机应支持划分用户角色，对各个角色分配可登录的设备和权限，然后再给用户分配角色，来达到各个用户有各自相应的权限。 还支持制定不同的使用策略，包括对用户指定访问源地址或指定可登录堡垒机系统的时间，实现最小权限原则和细粒度控制，达到防止非授权访问的效果，最大限度地保护内网资源的安全。

(五)操作审计

堡垒机可以审计的运维操作有很多，常用的有命令行字符操作、图形界面操作、文件传输等，在审计的同时保存录像，也可以实时查看监控。 高级的堡垒机可以实现在审计回放时中搜索审计关键词来跳转到录像位置。

(六)高危操作阻断

在运维过程中，系统管理员可能无意或恶意地输入个别高危指令，例如Linux 系统中的“rm /”删除命令。 但国内医院信息系统大多都还是使用Windows 服务器系统来搭建业务服务器，Linux 命令行里的高危指令在Windows 服务器里不适用，现在已经有部分厂商的堡垒机开发出了面向Windows 服务器版本的高危操作阻断功能，例如可以在通过堡垒机使用图形界面远程维护Windows 服务器时识别到右键文件点击删除的指令，然后根据权限来判定是否阻断，可以防止维护人员使用图形界面点击删除一些系统文件。 高危操作如果无法阻断则会对服务器造成致命影响，尽管可以通过事后审计来确定操作人员，但对业务系统造成的危害和损失是不可挽回的，所以堡垒机应对高危操作有拦截功能，并可以向管理员推送告警。

五、 堡垒机在实际使用场景中的案例

自2019 年全新的等保2.0 标准出台后，我院就开始根据等保2.0 的指导着手整改医院内网架构，整改项目其中之一就是添置堡垒机。 在近两年的使用中，堡垒机大大提高了运维和管理效率，全面规范了运维管理人员的行为。 在使用堡垒机运维之后，发生过一次门诊叫号呼叫系统的宕机事件，事后通过堡垒机的审计回放功能发现，是厂家工程师因为系统盘空间不足，删除了几个占用空间较大的临时文件造成了呼叫服务端软件停止工作，但是工程师操作前并不知道会对程序有影响，事前事后都没有告知信息科。 发生这种事件后，我们规范了厂商工程师的运维流程，一人一账户且互不借用，详细划分登录权限，规定厂商工程师在维护生产服务器、对软件功能和系统文件进行改动前必须上报信息科审批。 堡垒机的上线为我院建立安全管理中心、保护业务系统防止非授权访问和维护日常业务不间断使用打下了坚实基础。

六、 总结

总而言之，堡垒机支持高效的资产管理；支持对运维人员操作过程的全流程跟踪、控制、记录与回放；支持细粒度管理运维人员权限，支持阻断高危、违规操作。 在运维过程中效率是非常重要的，但是高效率的同时往往伴随着高风险，而堡垒机在实现高效率运维的同时规避了“人”的风险，成为等保2.0 体系安全管理中心最有力的支撑平台之一。 但网络安全不是一蹴而就的事情，想要保障业务系统服务不中断，实现高可用性，不仅需要采购搭建堡垒机等安全设备或软件，最重要的还是理论与实际相结合，规章制度和安全设备相互补充，才能不断完善医院的信息网络，达到“一个中心三重防护”的安全防护要求。