医院信息化安全是现在所有医院面临的重要课题。为了更好的保证医院信息安全2011年底卫生部先后下达85号通知和1126号通知要求全国卫生行业各单位全面开展信息安全等级保护工作于2015年12月30日前完成等保建设整改并通过等级测评。2007年由公安部下发的43号令拉开了各行业信息安全等保建设的序幕2008年颁布的国标《GB/T22239-2008信息安全技术-信息系统安全等级保护基本要求》是信息系统安全等保的建设标准。卫生部下发的“85号通知”中的等保工作指导意见明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级哪些系统是核心业务信息系统则由各地区自己定义比如上海最终规定的核心业务信息系统是HIS、LIS和RIS。图1医院网络现状（如图1所示）医院的网络根据承载业务的不同可划分为内网、外网和设备网其中：ž内网即医院的医务生产网承载所有业务应用系统包括大家熟知的HIS、PACS、LIS等系统；ž外网即与Internet相联的网络承载的业务包括邮件、OA等；ž设备网是一张新兴的网承载IP化的智能化弱电系统包括：公共广播、门禁、楼控、安防视频监控等。各医院实际网络建设模式会有不同。传统的是内外网物理隔离但仍有相当一部分是内外网物理合一、逻辑隔离。内网实际上也有外部连接如医保、公共卫生、新农合、银行等；但这些连接都是内网与内网通过专线连接且通过前置机进行数据访问。医院的网络根据承载介质的不同可分为有线网络和无线网络。根据传统习惯如果不特别说明上述的内网、外网和设备网均特指有线网络。但实际上无线网络承载的业务也有内外网之分。有的医院无线网只承载内网业务如无线查房、无线护理、无线补液等；有的医院无线网不仅承载内网业务还会提供与外网相关的业务如员工外网业务、病房VIPInternet业务等。无线网络中的内网业务都要访问HIS、RIS等核心业务信息系统所以作为有线网络的有效补充无线网络也应是三级安全等保检查中的一部分。如前所述大部分地区规定的核心业务信息系统都是内网业务即三级安全等保只与医院的内网业务系统相关而对于内外网物理隔离的工作场景与传统的以防范Internet业务为主的安全解决方案明显不同。一、安全等保的测评对象GB/T22239-2008中的三级安全等保标准共290项内容由技术（136项）和管理（154项）2部分组成；技术要求中分为物理、网络、主机、应用和数据安全5部分。根据各地的自有特点以提高系统的安全性为目的各地的等保测评机构会进行标准的补充。医院的信息系统有几十种除了明确定级为三级的核心业务信息系统其它业务系统如何处理？拿上海为例HIS、LIS和RIS定级为三级信息系统那么这3个系统之外的如EMR、临床路径系统等如何考虑？实际上等保的第一项工作即是给本单位信息系统分类定级根据系统重要性的不同进行不同级别的定级。如果某个系统与核心业务系统同样重要可另外定为三级；其它系统可以定为二级。定为二级的系统按照二级安全等保标准进行建设和测评。对于二级或三级的业务信息系统其安全运行所需要的机房、链路、网络、服务器、存储、操作系统、应用软件等都是测评对象。二、安全等保网络安全解读作为安全等保的重要组成部分网络安全因其分散、覆盖面广的特点是等保评测的重点也是医院信息安全的难点。在等保三级标准内容中网络安全共分为7部分共33条：l结构安全——7条要求对整体网络架构、带宽和设备性能提出了管理要求；l网络访问控制——8条要求对网络边界控制防范、边界连接的控制提出了管理要求；l安全审计——4条要求对包括设备、事件和用户等目标的日志系统提出管理要求；l边界完整性检查——2条要求对接入规范和防内网外联提出了管理要求；l入侵防范——2条要求对网络边界应用级攻击的检测防范提出了管理要求；l恶意代码防范——2条要求对网络边界恶意代码防范和代码库的升级提出的管理要求；l网络设备防护——8条要求对设备管理的安全性提出了管理要求。经过分析等保网络安全部分的管理要求在很大程度上与边界设备和终端系统直接相关边界设备的安全和管理功能终端系统的功能和用户管理功能可以直接覆盖绝大部分网络安全的管理要求条款。三、H3C三级安全等保解决方案H3C提供的包括网络设备、网络安全融合方案基于iMC的终端管理等业务软件全面覆盖了等保网络安全7大项33小项的绝大部分（如图2所示）。图2H3C医院三级等保网络安全解决方案1.网络访问控制管理一般规模的医院网络都采用二层结构即全院网关终结在核心交换机；同时医院的数据流量绝大部分都是纵向流量（即终端访问服务器的流量）横向流量（终端之间的访问流量）基本没有。在这样的流量模型下尽管内网与公网隔离但还有如下内容要进行安全保护。l服务器区域：要防范的是“家贼”即内部数据泄