任皓：多院区医院网络规划和安全管理

　　解放军总医院是集医疗、保健、教学、科研于一体，向建设世界一流军队医院迈进的大型现代化综合性医院。2019年，医院进行了改革重建，合并了原陆军总医院、海军总医院等多个大型三甲医院，目前下设八个医学中心、海南医院、几十个医疗区和门诊部，形成了总医院、医学中心、医疗区、门诊部多层级的组织架构，由此对总医院的网络规划和安全管理提出了更高的要求。“结合总医院的组织架构，我们对网络进行了重新规划，整体目标是实现全院网络统一管理。”解放军总医院信息科高级工程师任皓在CHIMA 2024演讲时介绍。

统一网络管理

　　在实践中，为了实现网络的统一管理，任皓及同事共开展了两项工作：第一是在总医院网络架构设计时采用了星型架构，将总部作为网络核心，路由管理和流量监控都由总部负责;第二，对整体网络进行重新规划，IP地址重新分配，每个医学中心分配一个B类地址，实现任意一台联网设备都有唯一IP地址，便于后期管理。

　　任皓谈到，在互联互通网络设置方面，医院使用运营商级路由器作为各中心出口设备，院区路由器之间使用OSPF，总部防火墙采用HA架构，上联核心交换机采用VRRP，保障互联互通网络的稳定性，由此确保互联互通网络传输性能良好、网络设备性能良好，具备承载更多业务的能力。

　　“我们的目标是医院的网络管理和组织架构相统一，但由于多种因素影响，在物理链路上往往不能满足。”任皓指出，为了实现医疗区的网络归属医学中心进行管理，我们借助MPLS-VPN技术，打破网络路由限制，突破三层网络透传二层VLAN信息，实现两者之间的逻辑直连。

　　通过互联互通网络建设，解放军总医院保障了各医学中心对外业务不间断：任意医学中心链路故障都可以通过第一医学中心上联到外部网络;如果第一医学中心链路故障，通过静态路由切换的方式将第六医学中心作为第一医学中心的备用出口，这样实现各医学中心对外链路双冗余，保障业务连续。

加强安全管理

　　2020年，解放军总医院完成了整体网络规划后，信息科于2021年组建了网络安全组，该组目前共有30多人。其中，本部有4个人，主要是负责网络规划和管理、全院级的统建项目管理和安全检查督导等工作;每一个分中心的网络安全组平均有3个人，主要开展院区内部的网络运维及安全管理。任皓进一步指出：“网络安全组是一个纵向的业务组，这样能保证总医院各项网络安全工作标准一致、执行效率高，更利于培养专业的网络安全团队。”

　　任皓介绍，2021年网络安全组成立后，开展了体系化建设，分为三个阶段：第一阶段是基础安全，重点关注的是终端侧的安全，完成了终端MAC地址绑定和安装管控软件;第二阶段是实现全院网络的统一监管，在运营工具、人员和工作流程上实现总部和分中心的两级运营机制;第三阶段是尝试新技术在网络安全领域的应用。

　　目前医院已经完成了第一阶段的安全建设，通过严格网络准入，保证合规设备入网，实现人、设备、位置的一一对应。在制度上，要求入网设备责任到人，严格信息设备接入网络的申请流程，实现人和设备的对应;在技术上，采用相应的认证技术对设备网络进行准入控制，将终端MAC地址和交换机端口的绑定，实现设备和位置的对应;再利用终端管理软件将终端的IP地址和MAC地址绑定，这样在全网中就能实现人、设备、位置和IP地址的一一对应，为后续终端管理和网络中安全威胁的处置奠定了基础。历经两年时间，全院入网设备的MAC地址绑定率和终端管控软件的安装率均达到了95%以上。

　　终端管理软件全网部署后，总医院启用了统一的主机安全和准入管理功能。首先，开启强准入策略保证网络里每台终端必须安装管控软件。然后，在管控平台上规划终端分组，终端根据网段、楼宇、楼层和科室创建分组;完善终端信息，在已安装和白名单列表中的每条设备信息详细登记到责任人、IP地址、楼层、科室、房间等，因此利用这一套终端管控平台就可以实现设备的定位和病毒处置。

　　任皓强调：“终端管理软件是我们在日常安全运维中经常使用的工具，为了让其发挥最大的防护作用又不影响医疗业务，我们根据终端配置、用途、管控的要点共梳理了32条安全策略，总体分为通用策略、例外策略和强制策略，全方位保障终端安全。”在完成基础安全建设后，总医院步入第二阶段的建设，于2023年10月建立了全院的安全运营中心，采取两级联动模式：总部人员在平台上监测全网的安全数据，进行告警筛查，生成安全事件后以工单形式下发分中心;分中心人员登入可看到院区内部的安全数据，查看总部下发的工单，进行安全事件的处置并上报结果。

　　截止到目前，运营中心取得了以下效果。

　　1.掌握了网络中的主要威胁：可视化地呈现出当前网络中的主要威胁，为医院开展安全工作提供数据支撑。

　　2.提升了日常安全事件的处置能力：团队成员在安全事件处置过程中不断积累经验，现在利用安全运营平台和终端管理系统对网络中90%的问题可以自行处理;

　　3.全网告警数据明显下降：通过规定安全事件的处置时效，制定事件处置的考评机制，全网的威胁告警从2023年10月每日的3000多条减少到现在的每日300余条，网络中的安全威胁大大减少。

　　4.激发了人员的学习感兴趣：为了胜任运营岗位，团队成员愿意参加各种学习、培训，现有1人通过CISP-PTE认证，6人完成CISP-CISE培训。

　　通过医院网络安全领域的工作实践，任皓得出了以下心得体会。

　　第一，终端管理系统中设备信息的维护很重要，结合802.1x技术它可以成为资产梳理的有效工具;

　　第二，终端管理系统中安全策略的启用范围应由小到大，平稳进行，细化分组适应多个场景，这样才能减小对医院各项业务的影响，不给医护人员带来负担;

　　第三，如果想做资产梳理，单纯依靠安全运营平台中基于流量的资产识别方法不够理想，需要结合其他方法才能做好此项工作，这也是我们正在探索的工作;

　　第四，在网络威胁发现上，可以将运营平台和终端管理系统的数据相结合分析，两者一个是基于流量侧的威胁发现，一个是基于终端侧的信息收集，两者融合起来可以提高威胁发现的准确率。另外，对于安全运营平台和多种安全设备的联动问题，涉及到接口的开发，与不同安全厂家沟通协调，需要医院运维人员付出的精力比较多，因此不必过于追求事件处置的联动。

　　“如果资产掌握比较清楚，定位准确，手动处置也不会影响处置效率。”她分享道。