前 言
为满足医保网络不断扩大外延需求,保证运行在医保网络平台上信息的完整性、及时性和准确性,有效防范各种类型的安全威胁和安全风险。依据国家和有关部门的标准、规范和文件,结合医保核心业务网实际业务需求及网络安全要求,制定《医保核心业务网网络安全接入规范》。
本规范按照GB/1.1-2009给出的标准起草。
本规范为强制性规范。
本规范为首次发布。
本规范起草单位:国家医疗保障局网络安全和信息化领导小组办公室。
本规范由国家医疗保障局网络安全和信息化领导小组办公室负责解释。
医保核心业务网网络安全接入规范
1 概述
本规范用于规范医保核心业务网与其它网络、不同类型用户的连接及数据交换行为,更好地满足医保业务的需要。本规范描述了医保核心业务网整体网络架构、业务承载情况以及纵向、横向连接方式等网络基本情况;列举各种适合医保业务用户接入医保核心业务网的网络接入技术,明确了各类用户接入医保核心业务网的方式;从终端安全、边界安全、认证安全、应用安全、链路安全和VPN远程接入安全等六个方面提出了安全防护措施;明确了各级医保部门对医保核心业务网的管理职责,提出了日常网络运行管理工作内容以及安全检查和通报工作要求。
本规范包括制定原则及适用范围、术语和定义、医保核心业务网网络架构、接入网络技术要求、接入安全、安全管理。
2 规范原则及适用范围
2.1 原则
可控性原则
采取相应的控制措施,保证医保核心业务网的边界可控,与其它网络、服务器等连接和数据交换可控。
可管理性原则
具有规范合理的医保核心业务网接入流程,针对访问医保核心业务网的用户、设备和行为,具有相应的管理措施,能够对接入用户的网络接入行为和业务运行情况进行必要的监控和审计。
可用性原则
应能满足各级医保部门的实际业务需要,技术方案具有可行性,安全管理措施具有可操作性。
安全性原则
应保证接入和数据交换的安全,对终端、网络、应用、数据具备相应的保护与防攻击措施,确保信息不被篡改和非法获取。
规范性原则
本规范的内容,应符合国家法律法规,以及相关政策、标准的规定。
2.2 范围
本规范适用于各级医保部门核心业务网的网络接入和数据交换,是各级医保部门开展网络建设和网络运行管理工作的依据。
3 术语和定义
下列术语和定义适用于本规范。
3.1 医保核心业务网
医保核心业务网是连接各级医保部门的大型网络系统,是国家医保信息系统的运行基础,是各级医保部门开展业务工作及内部办公管理工作的重要支撑。
3.2 医保公共服务网
医保公共服务网是与互联网逻辑隔离的内部局域网络,是各级医保部门为本级内部用户提供互联网接入服务,并通过互联网向社会公众提供医保信息和医保业务服务的网络。
3.3 定点(协议)医药机构
定点医药机构是定点医疗机构和定点零售药店的统称。
定点医疗机构是指与医疗保障经办机构签订服务协议,为参保人提供医疗服务的医疗机构。
定点零售药店是指与经办机构签订服务协议,为参保人提供处方外配和非处方药等零售服务的药店。
3.4 信息资源共享部门
信息资源共享部门是指与医保部门有信息资源共享和数据交换需求的单位,如人社、卫健、民政、公安、财政、税务等。
3.5 纵向连接
纵向连接是指在医保系统内部建立的由国家医疗保障局到省、市(地、州)、县(区)的纵向网络连接。
3.6 横向连接
横向连接是指各级医保核心业务网与同级人社、卫健、民政等部门,以及定点医院、定点药店、商业银行、保险公司等单位之间的网络连接。
3.7 安全隔离与信息交换系统
安全隔离与信息交换系统,是外部单位与医保部门进行数据交换或在医保内部不同安全等级的网络之间进行数据交换的处理系统。该系统由网闸设备和数据交换系统(交换服务器或文件服务器)组成。
3.8 远程办公
远程办公是指医保内部用户在医保核心业务网覆盖范围外,通过医保部门提供的安全接入方式,远程连接到医保核心业务网进行办公的场景。
3.9 点对网连接模式
接入单位只将单个用户或者与其单位网络物理隔离的小型局域网连接到医保核心业务网。
3.10 网对网连接模式
接入单位将其单位内部网络按照一定的安全保障措施连接到医保核心业务网。
4 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术术语
GB/T 22080-2016 信息技术安全技术信息安全管理体系要求
GB/T 22081-2016 信息技术安全技术信息安全管理实用规则
GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求
GB/T 25070-2010 信息安全技术信息系统等级保护安全设计技术要求
国家电子政务外网安全接入平台技术规范
5 医保核心业务网网络架构
医保核心业务网作为支撑医保业务工作的专用网络,为非涉密网络,禁止存储和处理涉密数据,信息安全等级保护级别为三级。医保核心业务网与医保公共服务网之间需要实现自动数据交换的,应采用安全隔离与信息交换系统。
5.1 医保核心业务网结构
医保核心业务网总体架构如下图5-1所示:
图5-1 医保核心业务网网络拓扑结构
医保核心业务网采用树形网络结构为主,纵向主要由各级医保部门按垂直的上下级模式连接成广域骨干网络,由国家医疗保障局连接全国各省级医保局,并向下覆盖到市(地、州)、县(区)医保部门;横向以各级医保部门为中心向同级信息资源共享部门等辐射,并与定点医院、定点药店、银行、保险公司等相关单位连接,形成该级的城域接入网。各单位通过点对网连接模式或网对网连接模式横向连接到医保核心业务网。
医保纵向网络涵盖国家医疗保障局、省、市(地、州)、县(区)医保部门,国家医疗保障局到各省级医保部门的网络构成一级纵向骨干网,省级医保部门到各市(地、州)医保部门构成二级纵向骨干网,市(地、州)医保部门到县级医保部门构成三级纵向骨干网。
医保横向网络分为国家医疗保障局接入网络、省级医保接入网络、市(地、州)级接入网络,分别与本级的人社、卫健、民政、公安、税务等部门,以及定点医院、定点药店、商业银行、保险公司等有关外部单位进行网络互接,按照医保业务需要,定点医院、定点药店、商业银行、保险公司也可以省级或者市(地、州)级网络为统一节点进行网络互接。
医保核心业务网的横向、纵向连接情况如下图5-2所示:
图5-2 医保核心业务网纵向、横向连接示意图
国家医疗保障局到省医保局的纵向一级骨干网络、横向接入网络和内部局域网构成局本级核心业务网,省级到市(地、州)的纵向二级网络和本级横向接入网络、内部局域网构成省级医保核心业务网,市(地、州)级到县(区)的纵向三级网络和本级横向接入网络、内部局域网构成市(地、州)级医保核心业务网。
5.2 国家医疗保障局核心业务网
国家医疗保障局核心业务网逻辑连接图如下图5-3所示:
图5-3国家医疗保障局核心业务网逻辑图
国家医疗保障局核心业务网,纵向接入区下联全国各省级医保局;横向接入区连接人社、卫健、民政、公安、税务及其他信息资源共享部门;内外网数据交换区完成与医保公共服务网、外部其他单位非实时的数据交换业务。
国家医疗保障局核心业务网在局域网上接入国家医疗保障局机关用户,内部按照不同的安全和管理要求,划分多个安全域。
人社、卫健、民政、公安、税务等信息资源共享部门与医保核心业务网之间通过专线建立网对网连接,或通过其内部网络以网对网方式连接到医保核心业务网。
5.3 省市医保部门核心业务网
省市医保部门核心业务网逻辑连接图如图5-4所示:
图5-4省市医保部门核心业务网逻辑连接图
省级、市(地、州)级医保核心业务网,纵向上联上级医保部门核心业务网,下联下级医保部门核心业务网,横向连接各本级的人社、卫健、民政、公安、税务等部门,以及定点医院、定点药店、商业银行、保险公司等有关外部单位和信息资源共享部门。
同级的人社、卫健、民政、公安、税务等部门,以及定点医院、定点药店、商业银行、保险公司等有关外部单位与医保核心业务网通过专线等方式建立网对网连接。医保业务系统将逐步由市(地、州)集中向省级集中模式过渡。各省可根据本省业务实际情况确定网络连接架构,并逐步向省级集中模式过渡。
5.4 医保局域网络
医保核心业务网局域网内部,应根据安全级别和应用需求,合理划分安全区域。逻辑上应包括核心交换区、纵向接入区、横向接入区、内外网数据交换区、安全管理区以及其它业务区。其中,横向接入区实现横向连接单位的网络接入、安全防护、应用访问服务、与内部网络的隔离与信息交换;纵向接入区实现医保内部上下级用户的网络接入、安全防护、应用访问服务。
医保业务非涉密应用部署在医保核心业务网和医保公共服务网。医保公共服务网上的业务主要通过互联网实现业务访问,医保公共服务网与医保核心业务网进行数据交换和数据共享时,应在两者之间建立内外网数据交换区,通过安全隔离与信息交换系统,实现两网之间的双向可控数据交换。
6 医保核心业务网接入网络技术要求
6.1 接入方式
依据医保业务需求和核心业务网特点,结合当前广域网、城域网组网技术,医保系统纵向和横向网络连接主要采用以下方式:
专线
专线是指在广域或城域连接中使用光纤,或者租用运营商SDH/MSTP、DWDM链路、PTN等进行互联的专用线路。xDSL等其他接入方式不属于专线。
电子政务网络
本规范所称电子政务网络是指国家电子政务外网和各级党政部门已建成的非涉密网。
MPLS VPN网络
MPLS VPN网络是指运营商利用MPLS(多协议标记转换) VPN技术提供的网络服务,安全性、可靠性低于专线。
VPDN网络
VPDN虚拟专用拨号网是运营商基于L2TP等技术为客户提供的一种相对可控的网络接入方式。这种接入方式可以提供对终端的认证功能,数据经过隧道传输。
VPDN方案的终端接入方式可以采用有线接入,也可以采用4G/5G无线接入。
6.2 接入方式选择
医保核心业务网接入用户分为医保系统内用户和外部用户,医保系统用户主要通过纵向网络接入,完成医保系统内部上下级之间的网络连接,可通过专线或电子政务网络等方式实现;外部用户包括人社、卫健、民政、公安、税务、其他信息资源共享部门,以及定点医院、定点药店、商业银行、保险公司等,主要通过横向网络接入,完成与医保核心业务网的网络连接,通过专线、电子政务网络、MPLS VPN、VPDN等方式实现;此外内部用户在出差或者外出时,需要远程接入医保核心业务网进行远程办公。对不同的接入用户和接入方式,应在线路安全、边界安全、数据安全、访问控制等方面采取对应的措施。
医保核心业务网为非涉密网络,与互联网物理连接,逻辑隔离。
纵向网络连接
医保纵向网络应采用专线或电子政务网络等作为通讯线路。采用国家电子政务外网的,应通过其专用网络区进行连接。
横向网络连接
医保横向网络连接主要用于人社、卫健、民政、公安、税务、其他信息资源共享部门,以及定点医院、定点药店、商业银行、保险公司等外部用户与医保网络的连接。其中,定点医院、定点药店、商业银行、保险公司采用专线等作为网络连接链路。中央人社、卫健、民政、公安、税务、其他信息资源共享部门采用专线、电子政务网络接入到医保核心业务网;地方人社、卫健、民政、公安、税务、其他信息资源共享部门采用专线、电子政务网络、运营商MPLS VPN或者VPDN等方式接入相应的地方医保核心业务网。VPDN方式连接如下图6-1所示:
图6-1 横向网络连接示意图
按照国家电子政务外网建设要求,横向连接单位可以通过电子政务外网公用网络区连接到医保核心业务网。
远程办公接入
远程办公用于医保工作人员出差或外出时,在医保核心业务网覆盖范围以外访问医保内部业务应用,采用VPDN方式建立网络连接。终端接入方式可以采用有线接入或4G/5G无线接入,并须采用二次认证方式,如图6-2所示。
图6-2 远程办公接入到核心业务网示意图
不同用户可采用的网络接入方式,如下表所示,(可采用指定的接入方式为“√”项)。其中专线、电子政务网络、运营商MPLS VPN、VPDN四种接入方式的安全级别依次递减。
用户类型及接入场景 接入方式
专线 电子政务网络 运营商MPLS VPN VPDN
医保系统用户纵向连接 局本级到省 √
省到市(地、州)、市(地、州)到县(区) √ √ √
医保系统用户远程办公 √
外部用户横向连接 人社部、卫健委、民政部、税务总局、其他信息资源共享部门 √ √
地方人社、卫健、民政、公安、税务、其他信息资源共享部门 √ √ √
定点医院、定点药店、商业银行、保险公司 √ √ √
7 医保核心业务网接入安全
接入安全体系包括终端安全、链路安全、边界安全、认证安全和应用安全等方面。安全产品原则上应采用国产自主可控产品。
7.1 终端安全
接入终端按照用户属性,分为内部用户终端和外部用户终端两类:
1、内部用户终端指各级医保部门等医保系统内部用户使用的终端,包括在医保核心业务网内部通过局域网方式接入的终端以及医保内部用户通过VPDN方式远程接入医保核心业务网的终端。
2、外部用户终端指人社、卫健、民政、公安、税务、其他信息资源共享部门,以及定点医院、定点药店、商业银行、保险公司等医保系统外部用户使用的终端,包括点对网模式接入终端和网对网模式接入终端。
内部用户终端要求
1、内部用户局域网终端要求
医保局域网内部用户应严格遵守国家各项信息安全法律法规,遵守医保内部各项信息安全管理规定。医保内部用户使用终端时,应采取以下措施:
(1)接入终端应专机专用,不得连接互联网及其它网络,严禁处理涉密信息。
(2)终端应安装医保部门指定的客户端安全管理软件,实现实名制注册严格准入,防范违规外联,及时进行补丁升级,提升系统安全性。
(3)终端应安装医保部门指定的杀毒软件,并确保病毒库及时更新,防范恶意代码。
(4)加强移动存储介质管理,严控数据输入输出,防止数据泄漏。
2、内部用户远程办公接入终端要求
医保内部用户远程终端包括便携计算机、平板电脑或手机等设备。
对于便携计算机,应采取以下措施:
(1)采取共享限制、强制锁屏、密码强度控制等措施和必要的加固技术,保证终端安全。
(2)采用VPDN方式接入,4G/5G上网卡应与用户绑定,并采取相应技术措施,确保终端只能访问医保核心业务网。
(3)终端设备应安装客户端安全管理软件进行安全管理。
(4)终端接入时应使用医保颁发的数字证书进行用户身份认证。
(5)应采用加密、沙盒等技术对数据进行保护,防止数据泄漏。原则上数据不允许落地。
对于平板电脑或手机终端,应采取以下措施:
原则上应使用专用的APP访问医保核心业务网。
应采用加密、沙盒等技术对数据进行保护,防止数据泄漏。原则上数据不允许落地。
采用VPDN方式接入,4G/5G上网卡应与用户绑定,并采取相应技术措施,确保终端只能访问医保核心业务网。
终端接入时应使用医保颁发的数字证书进行用户身份认证证书介质可采用SIM卡、SD卡、耳机接口的USBKEY、蓝牙接口的USBKEY等硬件方式。
禁止私自提升终端权限,如获取root权限、越狱等。
终端一旦发生遗失,应有相关技术手段防范数据泄露,如远程擦除手段。
外部用户终端
1、点对网模式接入终端要求
接入终端要符合医保部门的安全规范,并采取以下措施:
(1)接入终端应专机专用,不得连接互联网及其它网络,严禁处理涉密信息。
(2)接入终端原则上应通过客户端安全监控和管理软件、加密或沙盒等技术手段进行安全管理,严格网络准入,及时进行补丁升级,简化相关软件的安装和使用,降低运维成本。
(3)接入终端应安装杀毒软件,并确保病毒库及时更新,防范恶意代码。
(4)应使用医保部门颁发的医保数字证书进行用户身份认证。
(5)加强移动存储介质管理,严控数据输入输出,防止数据泄漏。
2、网对网模式接入终端要求
接入单位网络须符合等保三级要求,接入终端应采取安全防护措施。在访问医保业务应用时,须使用医保部门颁发的数字证书进行用户身份认证。
7.2 边界安全
在医保核心业务网边界建立横向接入区、纵向接入区、内外网数据交换区、安全管理区,保证核心业务网的边界安全,实现安全可控的数据流访问和数据交换,如图7-1所示。
图7-1 医保核心业务网内部分区
纵向接入区实现与上、下级医保部门的连接,纵向接入区划分为路由接入子区、边界防护子区和应用服务子区。
横向连接区实现医保部门与信息资源共享部门,以及定点医院、定点药店、商业银行、保险公司等的连接,横向连接区划分为路由接入子区、边界防护子区、应用服务子区、数据交换子区。
内外网数据交换区实现核心业务网和业务外网的安全数据交换。
横向、纵向连接区的安全功能
以横向连接区为例,具体设备部署如下图7-2所示:
图7-2 各安全子区设备部署示意图
1、路由接入子区
该区域实现各条链路与医保核心业务网的路由接入,主要安全措施为:区分来自不同对象或者不同链路的数据流,实现路由访问控制,保证链路安全接入。
2、边界防护子区
该区域实现接入边界安全保护,主要安全措施为:部署防火墙,实现访问控制、权限管理和应用层防护等功能;部署IDS或IPS,防范恶意入侵和网络嗅探。部署网络审计系统,对网络行为进行审计。
3、应用服务子区
该区域部署应用服务器,主要安全措施包括:部署身份认证系统与授权管理系统,实现身份认证和准入控制;部署防病毒系统,防范恶意代码传播和攻击;进行必要的安全加固,加强服务器安全保障;部署审计系统,对服务器的操作行为进行审计;加强安全管理,防范对医保核心业务网的攻击和信息窃取。
4、安全数据交换子区
该区域实现应用服务子区和医保核心业务网内部的安全隔离和信息交换,该区域部署防火墙或者安全隔离与信息交换系统实现安全隔离和数据交换。安全隔离与信息交换系统实现协议剥离,安全性较高,但实时性不强;防火墙实时性较高,但安全性有所降低,根据实际业务承载情况选择。
内外网数据交换区
根据实际业务需求,医保核心业务网要与医保公共服务网进行数据交换,须在两网之间部署安全隔离与信息交换系统,采用摆渡方式实现协议剥离(禁止使用代理方式),保证安全数据交互。安全隔离与信息交换系统在网闸两侧部署有交换系统,实现在数据交换前后的数据剥离和落地,实现对文件格式的安全检查,包括文件后缀、PE格式、内容安全检查等,并对交换文件进行杀毒处理。如图7-3所示:
图7-3 公共服务网与核心业务网之间的数据交换
7.3 认证安全
应对医保核心业务网接入对象进行身份认证。接入用户使用医保数字证书进行身份认证,接入设备可通过IP/MAC地址、设备码、设备证书等进行身份认证。
7.4 应用安全
应用系统应合理确定其安全等级保护级别,按照国家信息安全等级保护相关政策标准进行开发和管理,实现所要求的安全功能。要开发和部署独立于应用系统的第三方审计系统,保证对应用审计的可信和可追溯,并充分利用身份认证、数字签名、数字信封、时间戳、授权管理等安全功能,确保系统安全。
7.5 链路安全
应根据实际业务情况,优先选择安全性较高的接入方式,可选用IPsec VPN、SSL VPN等方式实现数据加密和完整性保护。
7.5.1 防火墙设备远程接入安全配置要求
防火墙设备必须配置合法登录声明,保护组织对入侵行为进行法律追究的权利,登录声明中禁止包含有助于攻击者的信息(软件版本,设备型号等)。
防火墙登录空闲超时时间不超过15分钟,对于超时的会话,只有在用户重新认证后方可继续访问。
网络中的Internet、Extrenet防火墙Untrust口不可作为管理口,防火墙设备要求使用专用的管理接口管理。
防火墙应限制远程管理的地址范围,除AAA服务器地址外,地址范围限定为网络维护人员日常维护所需网段。
7.5.2 防火墙设备的认证、授权安全配置要求
防火墙设备必须纳入AAA管理系统管理。
防火墙管理用户,除网关监控、配置采集只读用户、临时性变更静态用户和统一版本网络自动化读写用户外,用户密码需采用一次性动态口令。
防火墙设备必须设置本地特权用户及动态密码,本地特权用户具有设备最高管理权限。
AAA管理系统中,针对防火墙的管理用户,至少分为两种权限类型,读写权限和只读权限,读写权限管理用户应授权到个人。
防火墙设备,用户账号在6次无效尝试后,应对该账户进行锁定,在锁定后必须延迟至少30分钟或由管理员进行解锁。
7.5.3 防火墙日志服务安全配置要求
防火墙日志必须发送到专用日志存储服务器,日志包括设备日志和包转发日志。设备日志需记录设备登录认证信息及用户对设备的配置、状态修改的操作记录。
防火墙流量日志保存3个月。防火墙设备日志(不包括流量日志)要求保存1年以上,3个月内的日志要求立即可查。
7.5.4 防火墙防护安全配置要求
防火墙应启用动态包过滤特性,即启动基于状态检测并处理会话连接的功能。
防火墙设备通过对多种常见的网络攻击预先定义了防御机制选项,实际应用中宜根据具体情况启用合适的防火墙防攻击选项,并配置适当的参数。
7.5.5 防火墙设备软件版本、配置管理
防火墙设备需根据医保网络设备版本管理规定及时升级设备软件版本或采取规避措施。
防火墙设备配置需定期备份。
7.5.6 接口设置安全要求
网络设备宜关闭AUX端口。
7.6 VPN远程接入安全
7.6.1 VPN远程接入入口要求
VPN网关接入互联网必须通过防火墙,在防火墙上仅开放必要的VPN通讯端口。
VPN设备必须采用国家法规许可的产品和技术。
7.6.2 VPN设备安全管理要求
采用VPN网关内网口或独立的管理接口对VPN设备进行管理,VPN设备管理用户设置静态密码。
7.6.3 VPN系统用户认证安全配置要求
VPN用户接入认证通过证书方式进行,证书由医保内部证书系统发放。
7.6.4 VPN用户访问控制安全配置要求
通过防火墙等安全设备限制VPN用户可访问的地址、端口,仅允许访问获得批准的资源。
7.6.5 VPN设备日志审计安全配置要求
VPN设备必须记录用户接入VPN系统及断开连接的时间,以及登录时分配的IP地址。并且日志要求记录设备登录认证信息以及用户对设备的配置、状态修改的操作记录。
VPN系统日志要求保存一年以上,三月内的日志要求立即可查。
8 医保核心业务网安全管理
8.1 管理职责划分
国家医疗保障局规划财务和法规司负责全国医保核心业务网接入规划、管理,指导和检查地方开展医保核心业务网网络接入工作。
省级医保信息化部门负责本省医保核心业务网接入的规划、建设和管理,指导和检查下级医保部门的网络接入工作。
8.2 日常运行管理
各级医保信息化部门负责医保核心业务网的日常运行、维护、安全监控等工作。按照国家信息安全相关政策标准和本规范的要求,建立健全本地网络接入各项管理制度。
应明确网络接入运行管理部门及其职责,配备管理人员,形成健全的日常工作机制。
应建立日常巡检机制,确保网络安全。
8.3 用户管理
医保核心业务网用户必须遵守国家计算机网络信息管理的相关法律法规、规章制度和国家医疗保障局信息管理规定,不得利用医保核心业务网查询、复制、制造和传播国家法律法规和国家医疗保障局规章制度禁止的信息。
医保核心业务网用户要严格执行国家、国家医疗保障局安全保密制度和有关信息安全保密管理规定。用户对医保核心业务网数据承担保密和保护义务。
8.4 安全检查和通报
各级医保信息化部门应重视和加强本级核心业务网的安全管控,定期对横向连接的接入方式、安全措施落实情况等进行检查,确保各接入单位符合本规范要求,发现问题及时整改。
各级医保信息化部门对下级部门的网络接入情况进行监督检查,对不符合本规范要求的行为要及时整改,对发现严重安全隐患且整改不力的,予以通报批评。
各级医保信息化部门在发生安全事件时,应采取应急处理措施,将损失降至最低。发生重大安全事件时,应及时上报上级医保部门。各省级医保信息化责任部门应按年度向国家医疗保障局规划财务和法规司报送本省核心业务网网络接入情况、安全事件及处置情况。