互联互通评测中集成平台如何满足三级等保（上篇）

导读 

CHIMA发布的 《2019-2020年中国医院信息化状况调查报告》（公开版）显示，医院信息安全建设的重要性日益凸显。 而作为医院系统互联互通关键枢纽的集成平台，不仅承载医疗机构内部的大部分业务，还需要开放接口给院外，和大量系统有千丝万缕的联系。 因此集成平台的安全性倍受医疗机构的重视。 文章分为上下两篇，上篇(即本篇)主要介绍了三级等保的重要性，并对集成平台在三级等保测评中身份鉴别以及访问控制的要求进行了详细描述，下篇则会对其余四点（备份和恢复、安全审计、通信完整性和保密性、入侵或恶意代码防范）进行探讨。 

为什么集成平台需要三级等保 

三级等保能够衡量医疗机构信息系统安全保护管理措施和技术措施是否具备相应的安全保护能力，能帮助医院更 好了解集成平台安全状况，排查其中的隐患和薄弱环节，并为监管部门开展监督、检查、指导等工作时提供参照。 

• 开展等保工作是一件需要依法履行的安全保护义务 

  2019年12月1日起实施的等保2.0对应的最高国家政策是《中华人民共和国网络安全 法》，要求医疗机构依照“网络安全法”履行网络安全等级保护制度测评工作。 

• 三级等保是互联互通测评、互联网医院等诸多建设的必要要求 

  近年来，多项国家规定中都对医疗机构的三级等保建设提出了要求。

  2016年发布的《三级综合医院评审标准考评办法》规定了重要业务系统必须达到等 保三级标准才满足三级医院评审标准中对于网络安全的要求。

  2018年发布的《互联网医院管理办法(试行)》规定了承载互联网医院的平台必须 通 过等保三级测评。

  2020年发布的《国家医疗健康信息医院信息互联互通标准化成熟度测评方案( 2020 年版)》新增对医院核心业务系统（含平台）完成三级等保备案和测评要 求 (详细内 容参见“ 集成平台如何满足医院互联互通第四、第五章测评要求 ”)。

  …… 

集成平台如何满足三级等保的相关技术要求 

集成平台的三级等 保 要求每年开展一次等级测评，得分为百分制，成绩达到70分以上且无高危风险才基本符合要求（如图1）。 

图1 等保测评结果参考 资料来源： 腾讯安全 

三级等保基本要求分为技术和管理两大项共10小项（如图2），其中和集成平台相关的则是技术要求下属的主机安全、应用安全、数据安全及备份恢复这三项。 

图2 三级等保基本要求框架 

资料来源： 国家信息安全等级保护制度第三级要求  (标黄部分与集成平台相关) 

在这三项中，又有六点需要着重关注，分别是身份鉴别、访问控制、备份和恢复、安全审计、通信完整性和保密性以及入侵或恶意代码防范, 本文将着重对身份鉴别及访问控制进行探讨。 

1. 身份鉴别 

测评关键点： 口令强度、登录失败处理、鉴别信息防窃听、多重鉴别方式 

1.1 口令强度要求： 

医院有时使用较为简单的口令或对口令进行复用，便于日常操作和记忆，然而这也是造成设备被攻陷的最常见原因。 据报告显示，勒索病毒最为流行的攻击手段就是RDP弱口令渗透（占全部勒索事件的61%）。 这里的口令指的是日常登录系统界面时所填写的登录密码（即password，以下为方便理解统称为密码）。 

三级等保也对身份鉴别信息具有复杂度要求。 关于密码复杂度可以参考下列算法（如图3），该算法共分0-4级，根据提供的密码来计算出统计学角度需要多少次试错可以猜出密码信息，从而判断密码的强度等级。 而在医院集成平台建设的场景中，建议强度达到2等，即试错次数需要达到10^9 量级才能被破解。 

图3 密码强度 

医院在实施过程中，可以设置字符长度限制，并通过数字、符号、大小写字母混用等方式提升密码强度。 

集成平台也应提供规则校验，辅助用户设置出强度较高的密码。 

1.2 登录失败/登录超时处理： 

除了增加密码复杂度，集成平台也需要具有登录失败或登录超时处理功能，并能通过修改配置进行更改，例如连续登录失败达到3次就锁定账号，需要等待一定时间才能再次登录； 登录超时处理则是当登录后未进行操作超过一定时间（如30分钟），系统会自动登出的措施。 

1.3 鉴别信息传输： 

医院通常采用HTTP协议进行登录，然而这会使鉴别信息明文传输，一旦在传输途中被窃听或截取，信息就会直接暴露。 

建议集成平台可默认支持访问443端口，采用HTTPs实现加密传输，保证鉴别信息传输过程中数据安全。 

1.4 多种鉴别方式： 

多数医院仅采用用户名+密码方式进行身份鉴别，一旦被攻破就没有其它防御措施，因此三级等保也要求系统“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。 ” 

集成平台可通过客户端服务端双向SSL证书验证，外加用户名密码组合的身份鉴别技术来实现该项等保要求。 SSL客户端服务端双向证书验证功能对用户Web管理界面提供了网络层的身份鉴别保证，只有安装了有效客户端证书的浏览器才能够正常访问Web管理界面，在打开Web管理界面后用户仍需要输入用户名和密码进行二次身份鉴别。 

集成引擎应可实现客户端服务端双向SSL证书验证： 

a. 生成客户端和服务端的CA证书； 

b. 安装服务端证书到引擎服务器内； 

c. 安装客户端证书到客户端的浏览器内。 

2. 访问控制 

测评关键点： 默认账户调整、账户权限管理 

2.1 默认账户： 

在进行三级等保测评过程中，一个常见问题就是医院系统的默认账户Admin长期存在且密码未更改。 由于医院一般都会将默认账户作为具备一定权限的管理账户进行使用，一旦泄露干系甚大。 因此三级等保要求此类默认账户必须要重命名，并且修改默认账户的初始密码。 集成平台也应支持并提示用户在首次登录时直接修改密码。 

2.2 权限管理： 

除了修改默认账户名称和三级等保要求系统应具备各账户的权限管理和控制功能，针对不同岗位的管理员，尽可能授予管理员所需的最小权限。 而集成平台除了设置管理员和监控员外，还应建立审计员角色，并根据业务需要设置各帐户的权限，实现管理用户权限分离。 

 

3. 备份与恢复

测评关键点： 数据备份、容灾措施

3.1 数据备份：

集成平台中消息日志是非常重要的，其中包括消息统计跟踪日志和消息内容日志。 以日均门诊量5000左右的三甲医院为例，每天的消息日志（包含消息内容和跟踪统计数据）大概有10-20G。 一般情况下，在线数据至少要保存1个月的消息内容日志和1年的跟踪日志，需要的数据存储空间建议在1-2T。 离线数据至少要保存半年以上的消息内容，建议预留存储空间在10T以上。

3.2 容灾措施：

除了对关键数据进行备份，集成平台也应具备高可用的容灾方案，通过冗余策略避免在关键节点出现单点故障。 针对于不同规模和集成需求的医疗机构，容灾方式一般会有冷备、热备、双（多）活、集群和云原生等方案，这些方案有着各自的优劣（见图4），具体如下：

图4 各容灾方式优劣概览

• 冷备方案： 技术上的实现相对简单，但在实际应用时，无法在主服务器故障时自动切换备用应用服务器，而是需要手动执行切换过程，这可能会导致医疗业务中断一定时间； 另外单点故障的问题仍然存在。

• 热备方案： 热备方案是目前多数医院使用或关注的灾备方案，而在三级等保的具体实施中，也建议“主要网络设备、服务器双机热备份”。 理想状况下，集成平台中间件内置主备容灾环境，主备服务同时在线，能实现服务无感知切换（亚秒级别切换时间），无需依托任何外部高可用技术 (如Windows故障转移) 并且能做到统一配置管理，统一监控管理，统一数据管理，大幅提升易用性。

• 双（多）活方案： 该方案中部署的各台服务器没有主备之分，均是独立部署，能同时运行项目处理业务，提升了资源的整体利用率，解决了热备方案中备机常年处于闲置状态的问题，在保证高可用的同时也解决了单台服务器处理的性能瓶颈问题。

  不过，双活或多活方案中仍然存在着管理监控不统一以及同步性问题。 任何一台引擎上的配置修改都需要手动同步到其他引擎服务器上。 同时该方案也不适用于对消息处理顺序有要求的项目，因为消息被平均分发到多台服务器后，消息原本的处理顺序无法得到保证。

• 集群方案： 该方案根据医院平台的业务特点在产品设计时就原生实现的集群架构，并非单机系统部署在多台虚拟机上形成的“集群”(其核心仍是单机架构)。 针对如三级医院、医院集团等业务量大，对于高可用性和实时性都有较强需求的医疗机构，能够保证集成平台的高性能及日常运行的长久稳定。 然而，集群方案对资源利用率仍无法突破传统架构束缚。

• 容器化云原生方案： 该方案基于最新容器编排技术Kubernetes (K8s)的PaaS层云原生分布式集群架构，通过容器化技术来提供高可用、高并发、高性能、低延迟的云平台，充分展现微服务和云原生的特性及优势，真正发挥PaaS云计算环境下的动态调动、弹性延展、精细化资源配置等特性，更好地支撑超大规模云计算，而这些能力也都是传统IT架构的引擎在部署到云环境时所无法实现的。 不过，该方案对医院信息部门运维人员的有一定的技术能力要求且整体价格偏高。
   

5. 安全审计

测评关键点： 审计日志备份

审计日志记录了集成平台操作的用户以及用户的一些重要行为，应对审计记录进行保护和定期备份，避免受到未预期的删除、修改或覆盖等。

集成平台需提供审计日志的具体内容，内容要全面并且覆盖全部用户，建议日志记录的内容至少应包括登录登出、增删查改等操作行为、操作人员和操作时间等。

同时，参照2017年6月1号发布的《中华人民共和国网络安全法》第二十一条（三）项规定： 采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。 因此建议审计日志至少备份6个月，同时能够还原指定时间范围的日志数据，以便监管部门调取。

 

6. 通信完整性和保密性

测评关键点： 安全认证、加密算法

这项等保测评要求可分为传输安全和消息内容安全。

6.1 传输安全

为满足通信的保密性，集成平台需具备SSL/TLS安全认证、X.509证书并采用HTTPs进行加密传输，保证传输过程中的安全性。

6.2 消息内容安全

为保证消息内容安全，对各类加密算法的支持也是三级等保建设时的技术关注重点。 三级等保测评中要求应用系统应采用校验码技术或密码技术保证重要数据在传输过程中的完整性和保密性。 完整性主要是通过哈希(Hash)算法来进行验证，例如国密算法中的SM3就能提供数据完整性的算法，而AES、DES等国际算法和国密算法SM4则是提供数据保密性的加密算法（其项目中的数据交换具体示例如图5所示），建议医疗机构在对集成平台选型时，需多留意加密算法的支持能力。

图5 数据交换具体示例图

 

7. 入侵和恶意代码防范

测评关键点： 集成平台定期升级更新

在对于安装集成平台的主机，一般都会通过安全类公司来进行漏洞扫描等安全防范的测试和评估，评估报告会从如下几个方面进行分类和统计： 主机风险等级列表、主机分布信息、漏洞风险分类信息、漏洞风险分布情况、脆弱的帐号口令列表。

根据评估报告，医疗机构可以在检测出漏洞后积极和厂商联系，与厂商技术人员确认后进行漏洞修补、补丁安装、停止服务等。 同时建议集成平台能针对漏洞主动进行定期更新和升级，如果由于其他原因不能及时安装补丁，考虑在对应系统的网络边界、路由器、防火墙上设置严格的访问控制策略，例如对防火墙的规则设定中，选择只开放需要用到的端口，以保证网络的动态安全。

 

结语

集成平台连接大量院内院外系统，其内部信息安全的重要性不言而喻。 一个符合三级等保技术要求的集成平台能助力医疗机构在平台的安全建设过程中少走弯路，在体验集成平台为互联互通带来的便捷的同时，为平台的信息安全保驾护航。