互联互通评测中集成平台如何满足三级等保?(下篇)

作者:ODIN 发布时间:2021-05-21
浏览次数:
导读

CHIMA发布的《2019-2020年中国医院信息化状况调查报告》(公开版)显示,,医院信息安全建设这一议题备受关注。而作为医院系统互联互通关键枢纽的集成平台,不仅承载医疗机构内部的大部分业务,还需要开放接口给院外,和大量系统有千丝万缕的联系。因此集成平台的安全性倍受医疗机构的重视。文章分为上下两篇,上篇(详见“互联互通评测中集成平台如何满足三级等保?(上篇))主要介绍了三级等保的重要性,并对集成平台在三级等保测评中身份鉴别以及访问控制的要求进行了详细描述,下篇(即本篇)则会对其余四点(备份和恢复、安全审计、通信完整性和保密性、入侵或恶意代码防范)进行探讨。



集成平台如何满足三级等保的相关技术要求


1. 备份和恢复


测评关键点:数据备份、容灾措施


1.1 数据备份:


集成平台中消息日志是非常重要的,其中包括消息统计跟踪日志和消息内容日志。以日均门诊量5000左右的三甲医院为例,每天的消息日志(包含消息内容和跟踪统计数据)大概有10-20G。一般情况下,在线数据至少要保存1个月的消息内容日志和1年的跟踪日志,需要的数据存储空间建议在1-2T。离线数据至少要保存半年以上的消息内容,建议预留存储空间在10T以上。


1.2 容灾措施:


除了对关键数据进行备份,集成平台也应具备高可用的容灾方案,通过冗余策略避免在关键节点出现单点故障。针对于不同规模和集成需求的医疗机构,容灾方式一般会有冷备、热备、双(多)活、集群和云原生等方案,这些方案有着各自的优劣(见图1),具体如下:

图1 各容灾方式优劣概览


  • 冷备方案:技术上的实现相对简单,但在实际应用时,无法在主服务器故障时自动切换备用应用服务器,而是需要手动执行切换过程,这可能会导致医疗业务中断一定时间;另外单点故障的问题仍然存在。

  • 热备方案:热备方案是目前多数医院使用或关注的灾备方案,而在三级等保的具体实施中,也建议“主要网络设备、服务器双机热备份”。理想状况下,集成平台中间件内置主备容灾环境,主备服务同时在线,能实现服务无感知切换(亚秒级别切换时间),无需依托任何外部高可用技术 (如Windows故障转移) 并且能做到统一配置管理,统一监控管理,统一数据管理,大幅提升易用性。

  • 双(多)活方案:该方案中部署的各台服务器没有主备之分,均是独立部署,能同时运行项目处理业务,提升了资源的整体利用率,解决了热备方案中备机常年处于闲置状态的问题,在保证高可用的同时也解决了单台服务器处理的性能瓶颈问题。


不过,双活或多活方案中仍然存在着管理监控不统一以及同步性问题。任何一台引擎上的配置修改都需要手动同步到其他引擎服务器上。同时该方案也不适用于对消息处理顺序有要求的项目,因为消息被平均分发到多台服务器后,消息原本的处理顺序无法得到保证。


  • 集群方案:该方案根据医院平台的业务特点在产品设计时就原生实现的集群架构,并非单机系统部署在多台虚拟机上形成的“集群”(其核心仍是单机架构)。针对如三级医院、医院集团等业务量大,对于高可用性和实时性都有较强需求的医疗机构,能够保证集成平台的高性能及日常运行的长久稳定。然而,集群方案对资源利用率仍无法突破传统架构束缚。


  • 容器化云原生方案:该方案基于最新容器编排技术Kubernetes (K8s)的PaaS层云原生分布式集群架构,通过容器化技术来提供高可用、高并发、高性能、低延迟的云平台,充分展现微服务和云原生的特性及优势,真正发挥PaaS云计算环境下的动态调动、弹性延展、精细化资源配置等特性,更好地支撑超大规模云计算,而这些能力也都是传统IT架构的引擎在部署到云环境时所无法实现的。不过,该方案对医院信息部门运维人员的有一定的技术能力要求且整体价格偏高。

2. 安全审计


测评关键点:审计日志备份


审计日志记录了集成平台操作的用户以及用户的一些重要行为,应对审计记录进行保护和定期备份,避免受到未预期的删除、修改或覆盖等。


集成平台需提供审计日志的具体内容,内容要全面并且覆盖全部用户,建议日志记录的内容至少应包括登录登出、增删查改等操作行为、操作人员和操作时间等。


同时,参照2017年6月1号发布的《中华人民共和国网络安全法》第二十一条(三)项规定:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。因此建议审计日志至少备份6个月,同时能够还原指定时间范围的日志数据,以便监管部门调取。


3. 通信完整性和保密性


测评关键点:安全认证、加密算法


这项等保测评要求可分为传输安全和消息内容安全。


3.1 传输安全


为满足通信的保密性,集成平台需具备SSL/TLS安全认证、X.509证书并采用HTTPs进行加密传输,保证传输过程中的安全性。


3.2 消息内容安全


为保证消息内容安全,对各类加密算法的支持也是三级等保建设时的技术关注重点。三级等保测评中要求应用系统应采用校验码技术或密码技术保证重要数据在传输过程中的完整性和保密性。完整性主要是通过哈希(Hash)算法来进行验证,例如国密算法中的SM3就能提供数据完整性的算法,而AES、DES等国际算法和国密算法SM4则是提供数据保密性的加密算法(其项目中的数据交换具体示例如图2所示),建议医疗机构在对集成平台选型时,需多留意加密算法的支持能力。

图2 数据交换具体示例图


4. 入侵和恶意代码防范


测评关键点:集成平台定期升级更新


在对于安装集成平台的主机,一般都会通过安全类公司来进行漏洞扫描等安全防范的测试和评估,评估报告会从如下几个方面进行分类和统计:主机风险等级列表、主机分布信息、漏洞风险分类信息、漏洞风险分布情况、脆弱的帐号口令列表。


根据评估报告,医疗机构可以在检测出漏洞后积极和厂商联系,与厂商技术人员确认后进行漏洞修补、补丁安装、停止服务等。同时建议集成平台能针对漏洞主动进行定期更新和升级,如果由于其他原因不能及时安装补丁,考虑在对应系统的网络边界、路由器、防火墙上设置严格的访问控制策略,例如对防火墙的规则设定中,选择只开放需要用到的端口,以保证网络的动态安全。


结语


集成平台连接大量院内院外系统,其内部信息安全的重要性不言而喻。一个符合三级等保技术要求的集成平台能助力医疗机构在平台的安全建设过程中少走弯路,在体验集成平台为互联互通带来的便捷的同时,为平台的信息安全保驾护航。




more