XX醫院醫療信息系統安全三級等保建設可行性方案

2023年12月4日發(作者：習慣的養成)

-

XX醫院醫療信息系統安全三級等保建設可行性方案

目 錄 1 、某市三院醫療信息系統現狀分析 ............................................................................... 4

1.1拓撲圖 ...................................................................................................................... 4

1.2網站/BS應用現狀 ............................................................... 錯誤！未定義書簽。

1.3漏洞掃描 ............................................................................... 錯誤！未定義書簽。

1.4邊界入侵保護 ....................................................................... 錯誤！未定義書簽。

1.5安全配置加固 ....................................................................... 錯誤！未定義書簽。

1.6密碼賬號統一管理 .............................................................. 錯誤！未定義書簽。

1.7數據庫審計、行為審計 ...................................................... 錯誤！未定義書簽。

1.8上網行為管理 ....................................................................... 錯誤！未定義書簽。

2 、某市三院醫療信息系統潛在風險 ............................................................................... 5

2.1黑客入侵造成的破壞和數據泄露 ........................................................................ 5

2.2醫療信息系統漏洞問題 ......................................................................................... 6

2.3數據庫安全審計問題 ............................................................................................. 6

2.4平臺系統安全配置問題 ......................................................................................... 7

2.5平臺虛擬化、云化帶來的新威脅 ..................................... 錯誤！未定義書簽。

3、某市三院醫療信息系統安全需求分析 ........................................................................ 7

3.1醫療信息系統建設安全要求 ................................................................................. 7

3.2醫療等級保護要求分析 ......................................................................................... 8

3.3系統安全分層需求分析 ....................................................................................... 13

3.4虛擬化、云計算帶來的安全問題分析 .............................................................. 20

4、醫療信息系統安全保障體系設計 ............................................................................... 24

4.1安全策略設計 ........................................................................................................ 24 4.2安全設計原則 ........................................................................................................ 25

4.3等級保護模型 ........................................................................................................ 26

4.4系統建設依據 ........................................................................................................ 27

4.5遵循的標準和規范 ............................................................................................... 28

5、安全管理體系方案設計 ............................................................................................... 28

5.1組織體系建設建議 ............................................................................................... 29

5.2管理體系建設建議 ............................................................................................... 29

6、安全服務體系方案設計 ............................................................................................... 31

6.1預警通告 ................................................................................................................ 31

6.2技術風險評估 ........................................................................................................ 32

6.3新上線系統評估 .................................................................................................... 32

6.4滲透測試 ................................................................................................................ 32

6.5安全加固 ................................................................................................................ 33

6.6虛擬化安全加固服務 ........................................................................................... 34

6.7應急響應 ................................................................................................................ 34

7、安全技術體系方案設計 ............................................................................................... 35

7.1物理層安全 ............................................................................................................ 35

7.2網絡層安全 ............................................................................................................ 36

7.3主機層安全 ............................................................................................................ 40

7.4應用層安全 ............................................................................................................ 44

7.5數據層安全 ............................................................................................................ 47

7.6虛擬化、云計算安全解決方案 ........................................................................... 49

8、平臺安全建設方案小結 ............................................................................................... 51 8.1安全產品匯總 ........................................................................................................ 51

8.2產品及服務選型 .................................................................................................... 54

1、某市三院醫療信息系統現狀分析

1.1系統現狀

某市第三人民醫院（以下簡稱某三院）作為三級甲等醫院，已經建成全院網絡覆蓋，醫院內網已覆蓋行政樓、老病房1/2F、門診一期、門診二期以及門診一期中心機房，醫院外網與新農合、市社保機構互聯。醫院內網采用“核心-接入”二層交換架構，行政樓、病房、門診通過接入交換機連接至中心機房核心交換機。HIS、LIS系統作為三院核心業務系統直接部署在中心機房，系統服務器直接掛載在中心機房核心交換機上。近期三院將在中心機房區域部署一套電子病歷系統已完善三院醫療信息系統。在出口方向，醫院有兩條出口與外網互聯，一條通過防火墻完成與新農合、市醫保機構的互聯，另一條通過ISA服務器接入互聯網。

2、某市三院醫療信息系統潛在風險

2.1黑客入侵造成的破壞和數據泄露

隨著醫療信息化的普及，個人信息逐漸以電子健康檔案、電子病歷和電子處方為載體，其中包括了個人在疾病控制、體檢、診斷、治療、醫學研究過程中涉及到的肌體特征、健康狀況、遺傳基因、病史病歷等個人信息。其中個人醫療健康信息的秘密處于隱私權的核心部位，而保障病人的隱私安全是醫院和醫護人員的職責。

某市三院醫療信息系統某市三院中心機房匯集了大量的病人隱私信息，而這些數據在傳輸過程中極易被竊取或監聽。同時基于電子健康檔案和電子病歷大量集中存儲的情況，一旦系統被黑客控制，可能導致病人隱私外泄，數據惡意刪除和惡意修改等嚴重后果。病人隱私信息外泄將會給公民的生活、工作以及精神方面帶來很大的負面影響和損失，同時給平臺所轄區域造成不良社會影響，嚴重損害機構的公共形象，甚至可能引發法律糾紛。而數據的惡意刪除和篡改會導致電子健康檔案和電子病歷的丟失以及病人信息的錯誤，給醫護人員的工作造成影響，甚至可能引發醫療事故。另一方面，隨著便攜式數據處理和存儲設備的廣泛應用，由于設備丟失而導致的數據泄漏威脅也越來越嚴重。

因此電子健康檔案和電子病歷數據作為衛生平臺某市三院中心機房的重要資產，必須采取有效措施以防止物理上的丟失和黑客監聽、入侵行為造成的破壞，保證數據的保密性，安全性和可用性。 2.2醫療信息系統漏洞問題

自計算機技術的出現以來，由于技術發展局限、編碼錯誤等種種原因，漏洞無處不在并且已成為直接或間接威脅系統和應用程序的脆弱點。操作系統和應用程序漏洞能夠直接威脅數據的完整性和機密性，流行蠕蟲的傳播通常也依賴與嚴重的安全漏洞，黑客的主動攻擊也往往離不開對漏洞的利用。事實證明，99%以上攻擊都是利用已公布并有修補措施但用戶未修補的漏洞。

某市三院醫療信息系統某市三院中心機房建設涉及到大量的網絡設備，服務器，存儲設備，主機等，其中不可避免地存在著可被攻擊者利用的安全弱點和漏洞，主要表現在操作系統、網絡服務、TCP/IP協議、應用程序（如數據庫、瀏覽器等）、網絡設備等幾個方面。正是這些弱點給蓄意或無意的攻擊者以可乘之機，一旦系統的漏洞利用成功，勢必影響到系統的穩定、可靠運行，更嚴重的導致系統癱瘓和數據丟失，從而影響平臺的公眾形象。因此能夠及時的發現和修補漏洞對于平臺某市三院中心機房網絡安全有著重要意義。另一方面，基于某市三院中心機房設備、系統、應用量大的情況，通過人工進行漏洞發現和修補非常耗費人力和時間，因此有必要借助漏洞掃描設備和補丁服務器機制來實現自動化的漏洞掃描和補丁下發。

2.3數據庫安全審計問題

醫療行業信息化建設在帶來各種便捷的同時也引入了新的隱患。隨著病人信息和藥品信息的數據化，加之內部安全管理制度不夠完善，醫療機構內部運維人員可以借助自身職權，利用數據庫操作竊取藥品統方信息，修改藥品庫存數據，修改醫保報銷項目等，來牟取個人私利。其中藥品統方行為是醫療行業高度重視的問題，其背后涉及的藥品和醫用耗材灰色交易嚴重擾亂醫療行業秩序，敗壞醫德醫風，影響醫院的公眾形象，是醫療機構必須堅決制止和查處的行為。其次修改藥品庫存信息和修改醫保報銷項目等行為也會給醫療機構和社會造成損失。

某市三院醫療信息系統某市三院中心機房匯集的兩大應用系統（HIS、LIS）和即將建設的電子病歷數據庫涉及醫療行業的各方面信息，內部人員的違規操作可能造成嚴重的社會影響和給醫療機構造成重大損失。因此有必要通過有效手段對數據庫的各種操作進行審計，準確記錄各種操作的源、目的、時間、結果等，及時發現各種業務上的違規操作并進行告警和記錄，同時提供詳細的審計記錄以便事后進行追查。

2.4平臺系統安全配置問題

隨著公共衛生，醫療服務，醫療監管，綜合管理，新農合五大業務的應用系統不斷發展，醫療信息系統應用不斷增加，網絡規模日益擴大，其管理、業務支撐系統的網絡結構也變得越來越復雜，各項系統的使用和配置也變得十分復雜，維護和檢查成為一項繁重的工作。

在醫療行業里，隨著各類通信和IT設備采用通用操作系統、通用數據庫，及各類設備間越來越多的使用IP協議進行通信，其配置安全問題更為凸出。在黑客攻擊行為中，利用系統缺省、未修改的安全配置攻入系統已屢見不鮮，因此，加強對網元配置的安全防護成為重點。其中，重要應用和服務器的數量及種類日益增多，一旦發生維護人員誤操作，或者采用一成不變的初始系統設置而忽略了對于安全控制的要求，就可能會極大的影響系統的正常運轉。另外，為了維持整個業務系統生命周期信息安全，必須從入網測試、工程驗收和運行維護等階段，設備全生命周期各個階段加強和落實信息安全要求，也需要有一種方式進行風險的控制和管理。

3、某市三院醫療信息系統安全需求分析

3.1醫療信息系統建設安全要求

基于醫療信息系統信息平臺的可靠安全的運行不僅關系到某市三院中心機房本身的運行，還關系其他業務部門相關系統的運行，因此它的網絡，主機，存儲備份設備，系統軟件，應用軟件等部分應該具有極高的可靠性；同時為保守企業和用戶秘密，維護企業和用戶的合法權益，某市三院中心機房應具備良好的安全策略，安全手段，安全環境及安全管理措施。

眾所周知，信息系統完整的安全體系包括以下四個層次，最底層的是物理級安全，其包括計算機安全，硬件安全等,其次是網絡級安全，主要包括鏈路冗余，防火墻等等，再次是系統級安全包括數據災備，病毒防范等，最后是應用級安全包括統一身份認證，統一權限管理等，而貫穿整個體系的是安全管理制度和安全標準，以實現非法用戶進不來，無權用戶看不到，重要內容改不了，數據操作賴不掉。整個平臺的安全體系如下圖：

平臺安全體系結構圖

3.2醫療等級保護要求分析

醫療機構作為涉及國計民生的重要組成部分，其安全保障事關社會穩定，有必要按照國家信息安全等級保護要求，全面實施信息安全等級保護。 衛生信息平臺的核心數據區、應用服務區及系統運維參照公安部、國家保密局、國家密碼管理局、國務院信息化辦公室聯合印發的《信息安全等級保護管理辦法》（公通字[2007]43號）的要求，數據交換服務區參照二級信息安全等級保護要求建設、核心部分參照三級信息安全等級保護要求建設。

信息系統名稱 安全保護等級

業務信息安全等系統服務安全等級 級

某市第三人民醫院醫療信息系統

3.2.2等級保護技術要求

類別 要求

3 3 3

三級等保要求

網絡設備處理能管理和網絡帶解決方案

根據高峰業務流量選擇高端網絡結構安安全 全 寬冗余；網絡拓撲圖繪制；子網設備，核心交換接入設備采用劃分和地址分配；終端和服務器雙機冗余；合理劃分子網、之間建立安全訪問路徑；邊界和VLAN、安全域，網絡設備帶重要網段之間隔離；網絡擁堵時寬優先級規劃。

對重要主機優先保護；

訪問控制

部署訪問控制設備，啟用訪問控網絡邊界部署防火墻，制定相制功能；根據會話狀態提供允許應ACL策略

/拒絕訪問能力，控制粒度為端口級；按訪問控制規則進行資源訪問控制，粒度到單個用戶；限制撥號訪問用戶數量；網絡信息內容過濾，應用層協議命令級控制；會話終止；網絡流量數和連接數控制；重要網段防地址欺騙

安全審計

網絡設備狀況、網絡流量、用戶部署網絡安全審計系統

行為日志記錄；數據分析和報表

生成；審計記錄保護

邊界完整性檢查

入侵防范

惡意代碼防范

網絡設備防護

身份鑒別；管理員登陸地址限部署等級保護安全配置核查攻擊行為檢測；攻擊日志記錄和部署入侵檢測系統

告警

網絡邊界病毒查殺；病毒庫升級 部署入侵保護系統

安全準入控制和非法外聯監控并進行有效阻斷

部署終端安全管理系統

制；用戶標識唯一；登陸失敗處系統

理；鑒別信息加密；身份鑒別采用2種或以上鑒別技術；特權權限分離

主機身份鑒安全 別

操作系統和數據庫用戶身份鑒部署等級保護安全配置核查別；登錄失敗處理；鑒別信息傳系統

輸加密；用戶唯一性；身份鑒別采用2種或以上鑒別技術

訪問控啟用訪問控制功能；操作系統和部署堡壘機 制 數據庫特權用戶權限分離；默認賬戶配置修改；多余過期用戶刪除；角色權限分配，權限分離和最小權限原則；重要信息敏感標記；強制訪問控制

安全審計

記錄服務器和重要客戶端的系統用戶和數據庫用戶的重要安全相關行為、事件；審計記錄保護；審計報表生成；審計進程保護

部署堡壘機

剩余信息保護

鑒別信息再分配前清除，系統文操作系統及數據庫加固

件、目錄、數據庫記錄再分配前清除

入侵防范

操作系統最小安裝原則，定期升部署網絡入侵檢測系統、終端級；檢測對重要服務器的入侵行管理軟件，漏洞掃描

為；重要程序完整性檢測和破壞后的恢復。

惡意代碼防范

安裝防惡意代碼軟件，定期升級；惡意代碼軟件統一管理；主機和網絡防惡意代碼軟件品牌異構

部署終端殺毒軟件

資源控制

終端登錄控制；終端超時鎖定；安全加固

單個用戶資源限制 應用身份鑒安全 別

啟用身份鑒別機制；登錄失敗處部署CA認證系統

理；身份鑒別采用2種或以上鑒別技術

訪問控制

啟用訪問控制機制，控制用戶對部署CA認證系統

文件、數據庫表等的訪問；啟用訪問控制策略；賬戶最小權限原則和權限制約；重要信息敏感標記；重要信息強制訪問控制

安全審計

啟用安全審計機制，審計每個用部署應用防護系統

戶、系統重要安全事件；審計報表生成

剩余信息保護

鑒別信息再分配前清除，系統文操作系統及數據庫加固

件、目錄、數據庫記錄再分配前清除

通信完整性

通信保密性

抗抵賴

軟件容錯

資源控制

應采用密碼技術保障信息過程中數據完整性

部署PKI體系

會話初始化驗證，通信過程整個部署PKI體系

報文或會話過程加密

提供數據原發或接收證據 部署PKI體系

數據校驗功能，故障時能繼續提代碼審核

供一部分功能

會話超時自動結束，限制最大并安全加固

發連接數，單個賬戶多重會話限制

數據數據完安全整性

與備份恢復

數據保密性

能檢測到系統管理數據、鑒別信VPN加密，數據庫訪問控制

息和業務數據在傳輸和存儲過程中受到的破壞，并采取恢復措施

采用加密或其他措施實現系統管理數據、鑒別信息、重要業務數據傳輸存儲過程保密

備份與恢復

重要信息備份恢復，關鍵網絡設重要信息定期備份，設備冗余

備、線路、數據硬件冗余

信息加密

3.3系統安全分層需求分析

根據《基于健康檔案的區域衛生信息平臺建設指南》中的安全要求部分，并參照等級保護三級的技術要求，通過風險分析及信息安全建設情況調研，確認以下安全需求：

3.3.1物理層安全需求

某市三院中心機房是整個三級醫療信息系統平臺的關鍵節點，是系統運行的基礎，因此必須保證物理環境的安全，主要包括以下幾個方面：

信息基礎設備應安置在專用的機房，具有良好的電磁兼容工作環境，包括防磁、防塵、防水、防火、防靜電、防雷保護，抑制和防止電磁泄漏；

機房環境應達到國家相關標準；

關鍵設備應有冗余后備系統；

具有足夠容量的UPS后備電源；電源要有良好的接地。 3.3.2網絡層安全需求

結構安全：

? 應保證網絡各個部分的帶寬滿足業務高峰期需要；

? 應在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑；

? 應避免將重要網段部署在網絡邊界處且直接連接外部信息系統，重要網段與其他網段之間采取可靠的技術隔離手段；

? 應按照對業務服務的重要次序來指定帶寬分配優先級別，保證在網絡發生擁堵的時候優先保護重要主機。

訪問控制：

? 應在網絡邊界部署訪問控制設備，啟用訪問控制功能；

? 重要網段應采取技術手段防止地址欺騙；

? 應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶；

? 應限制具有撥號訪問權限的用戶數量。

安全審計：

? 應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄，并生成審計報表；

? 應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。

邊界完整性檢查：

? 應能夠對非授權設備私自聯到業務網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷；

? 應能夠對業務網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。 入侵防范：

? 應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、IP碎片攻擊和網絡蠕蟲攻擊等；

? 當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。

惡意代碼防范：

? 應在網絡邊界處對惡意代碼進行檢測和清除；

? 應維護惡意代碼庫的升級和檢測系統的更新。

網絡設備防護：

? 應對網絡設備的管理員登錄地址進行限制；

? 身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；

? 應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施；

? 當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽；

? 應實現設備特權用戶的權限分離。

3.3.3主機層安全需求

身份鑒別：

? 操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換；

? 應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；

? 當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽；

? 應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。

訪問控制：

? 應啟用訪問控制功能，依據安全策略控制用戶對資源的訪問；

? 應根據管理用戶的角色分配權限，實現管理用戶的權限分離，僅授予管理用戶所需的最小權限；

? 應嚴格限制默認帳戶的訪問權限，重命名系統默認帳戶，修改這些帳戶的默認口令，及時刪除多余的、過期的帳戶，避免共享帳戶的存在。

? 應對重要信息資源設置敏感標記；

? 應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。

安全審計：

? 應實現主機系統的安全審計，審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶；

? 審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件；

? 審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等；

? 應能夠根據記錄數據進行分析，并生成審計報表；

? 應保護審計進程，避免受到未預期的中斷；

? 應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。

剩余信息保護：

? 應保證操作系統和數據庫系統用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中；

? 應確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。

入侵防范：

? 應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發生嚴重入侵事件時提供報警；

? 應能夠對重要程序的完整性進行檢測，并在檢測到完整性受到破壞后具有恢復的措施；

? 操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統補丁及時得到更新。

資源控制：

? 應根據安全策略設置登錄終端的操作超時鎖定；

? 應對重要服務器進行監視，包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情況；

? 應限制單個用戶對系統資源的最大或最小使用限度；

? 應能夠對系統的服務水平降低到預先規定的最小值進行檢測和報警。

3.3.4應用層安全需求

（說明：此部分內容需要在應用系統開發與維護過程中予以實現。）

身份鑒別：

? 應對同一用戶采用兩種或兩種以上組合的鑒別技術實現用戶身份鑒別；

? 應提供用戶身份標識唯一和鑒別信息復雜度檢查功能，保證應用系統中不存在重復用戶身份標識，身份鑒別信息不易被冒用；

? 應提供登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；

? 應啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復雜度檢查以及登錄失敗處理功能，并根據安全策略配置相關參數。

訪問控制：

? 應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限；

? 應具有對重要信息資源設置敏感標記的功能；

? 應依據安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。

安全審計：

? 應提供覆蓋到每個用戶的安全審計功能，對應用系統重要安全事件進行審計；

? 應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；

? 審計記錄的內容至少應包括事件的日期、時間、發起者信息、類型、描述和結果等；

? 應提供對審計記錄數據進行統計、查詢、分析及生成審計報表的功能。

剩余信息保護：

? 應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中；

? 應保證系統內的文件、目錄和數據庫記錄等資源所在的存儲空間被釋放或重新分配給其他用戶前得到完全清除。

通信完整性：

? 應采用密碼技術保證通信過程中數據的完整性。

通信保密性：

? 在通信雙方建立連接之前，應用系統應利用密碼技術進行會話初始化驗證；

? 應對通信過程中的整個報文或會話過程進行加密。

抗抵賴：

? 應具有在請求的情況下為數據原發者或接收者提供數據原發證據的功能； ? 應具有在請求的情況下為數據原發者或接收者提供數據接收證據的功能。

軟件容錯：

? 應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統設定要求；

? 應提供自動保護功能，當故障發生時自動保護當前所有狀態，保證系統能夠進行恢復。

資源控制：

? 當應用系統的通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話；

? 應能夠對系統的最大并發會話連接數進行限制；

? 應能夠對單個帳戶的多重并發會話進行限制；

? 應能夠對一個時間段內可能的并發會話連接數進行限制；

? 應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；

? 應能夠對系統服務水平降低到預先規定的最小值進行檢測和報警；

? 應提供服務優先級設定功能，并在安裝后根據安全策略設定訪問帳戶或請求進程的優先級，根據優先級分配系統資源。

3.3.5數據及備份安全需求

數據完整性：

? 應能夠檢測到系統管理數據、鑒別信息和重要業務數據在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施；

? 應能夠檢測到系統管理數據、鑒別信息和重要業務數據在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施。

數據保密性： ? 應采用加密或其他有效措施實現系統管理數據、鑒別信息和重要業務數據傳輸保密性；

? 應采用加密或其他保護措施實現系統管理數據、鑒別信息和重要業務數據存儲保密性。

備份和恢復：

? 應提供本地數據備份與恢復功能，完全數據備份至少每天一次，備份介質場外存放；

? 應提供異地數據備份功能，利用通信網絡將關鍵數據定時批量傳送至備用場地；

? 應采用冗余技術設計網絡拓撲結構，避免關鍵節點存在單點故障；

? 應提供主要網絡設備、通信線路和數據處理系統的硬件冗余，保證系統的高可用性。

3.4虛擬化、云計算帶來的安全問題分析

為了區域衛生平臺云計算應用的健康發展，就不能忽視對云計算面臨的各類安全威脅的研究和分析，從而制定和建立相應的政策、技術體系，應對即將到來的云浪潮。

3.4.1法規遵從

在不同的國家和地區、企業或個人的信息需要符合該國家和地區規定的法規，但在云計算環境下，用戶可能根本無法知道其數據存儲位置，更不用說哪個國家或地區了。目前國家層面、行業層面對各類合規性要求，這些合規性要求IT部門必須全面控制關鍵信息的自主可控性，而云計算依賴虛擬化技術提供服務，數據可能會在某市三院中心機房和物理主機之間移動，以確保負載均衡，如果合規要求必須找出數據的精確位置實現可控目標時，公共云的應用是一個值得考慮的問題。 而且所有數據放在公共云上，并且使用共享資源，就很難證明遵從了法規的要求，云平臺的安全等級建設是否符合所服務業務和數據的安全等級要求也是要考慮的問題。

3.4.2核心技術國產化問題

面對云計算，我們必須認識到：在我國建設云計算平臺，并不能保證我們就能夠控制云平臺中的信息資源，也不能保證我們就是唯一的控制者。由于很多技術仍然控制在國外企業手中，大規模的云計算平臺可能增加了國外控制中國的手段，一些通過購買獲得的自主知識產權而不加以認真研究的所謂自主產品，更在很大程度麻痹了國人，這種自主知識產權的本質就是買下了推廣他人產品的權利。

應該針對云計算所帶來的新的安全需求進行技術研究和開發，預見到未來的技術發展方向，積極探索新形勢下可能出現的信息安全新問題，在部分領域推出有自己特色的云計算平臺和云安全服務平臺，滿足國內信息服務對云計算的應用需求和安全需求，實現對整個鏈條的控制和管理。

3.4.3大量迅猛涌現的Web安全漏洞

在云計算安全梯上僅采用傳統的網絡安全技術是遠遠不夠的。云計算的安全問題還必須考慮比網絡安全更為復雜的問題，比如應用層面安全。云計算服務推動了Internet的Web化趨勢。與傳統的操作系統、數據庫、C/S系統的安全漏洞相比，多客戶、虛擬化、動態、業務邏輯服務復雜、用戶參與等這些Web2.0和云服務的特點對網絡安全來說意味著巨大的挑戰，甚至是災難。

3.4.4拒絕服務攻擊

服務和數據的隨時可用性本身不僅是一項非常重要的安全指標，而且其質量的保證在一個存在惡意攻擊的環境里會造成其實施復雜度大大增加。如何防止以破壞正常應用的DDOS攻擊是一個很大的挑戰。 由于云平臺的大規模與高性能，一旦遭受DDOS（抗拒絕服務攻擊），云平臺服務商是否有能力提供應對的技術手段，使正常的應用不受影響，是評價一個云計算服務提供商重要指標。

拒絕服務攻擊DoS和DDoS不是云服務所特有的。但是，在云服務的技術環境中，企業中的關鍵核心數據、服務離開了企業網，遷移到了云服務中心。更多的應用和集成業務開始依靠互聯網。拒絕服務帶來的后果和破壞將會明顯地超過傳統的企業網環境。

3.4.5內部的數據泄漏和濫用

相對而言，安裝在現有內部環境中的應用更易于檢查，而且我們也擁有了完善的檢查技術，然而，對安裝在外部的云計算應用如果沒有妥善的保護，這些數據可能從外部云計算被非法泄露，而且對其進行檢查的難度非常大。

當用戶的敏感數據在云端處理的時候，企業的重要數據和業務應用處于云服務提供商的IT系統中，用戶無法對風險進行直接的控制，數據的擁有者不能控制，甚至不知道數據的存儲位置，計算任務可能在多臺機器上運行，可能會在多個儲存網絡備份，也可能會在您不知情時導出。

在多用戶環境中，云服務提供商很難提供與單獨客戶環境相同的資源隔離等級和相關保障，該數據甚至可能與競爭對手的應用和數據保存在相同的資源上，如何保證云服務商自身內部的安全管理和職責分離體系、審計保障等？如何避免云計算環境中多客戶共存帶來的潛在風險？這些都成為云計算環境下用戶的最嚴肅的安全顧慮或挑戰之一。 3.4.6身份管理（身份鑒定、授權和審計）

原先為了安全放在防火墻內的數據，現在放在了外部云計算環境中，可以使用簡單的用戶名/密碼進行鑒定，訪問單位付費的計算資源，對穿插于各種服務中的用戶賬號的提供及取消。如何在多項服務中應用角色/策略的管理、多個身份有效管理、身份鑒定均面臨著很大的安全挑戰。

對員工、客戶、參與者和工作負載的身份鑒定、授權和審計是云計算安全性的未來方向。

3.4.7不同云之間的互聯互通（可移植性）

最為云計算平臺用戶關注的是，應當能夠無障、安全、合乎規則地獲得完成其工作所需的所有計算服務，云計算應當保障平臺的安全、合規和可移植性。

但目前云計算廠商各自未戰，尚未在業界形成一個統一的標準化體系，無論是云平臺還是云服務的統一標準都沒有形成，這就給云計算產業的發展帶來了瓶頸，各個企業為了自己的云服務發展推出各自的平臺和服務標準，使得眾多云平臺和用戶的利益和長遠發展得不到保證，更極大地阻礙著云計算通用性和替代性以及軟件的適合性和繼承性的發展。

為爭取國際競爭地位，我國應盡快建立云計算行業標準化組織，積極參與國際標準化組織的活動，推進云計算國際標準化工作。

3.4.8潛在的合同糾紛和法律訴訟

云服務合同、服務商的SLA和IT流程、安全策略、事件處理和分析等都可能存在不完善。虛擬化帶來的物理位置不確定性和國際相關法律法規的復雜性都使得潛在的合同糾紛和法律訴訟成為成功利用云服務的重大威脅。 如果云計算提供商違反了合同，并且涉及到安全問題，應該負多大程度的法律責任，造成的損失又如何評估，這些問題在法律和政策領域都還有待解答。

4、醫療信息系統安全保障體系設計

4.1安全策略設計

為應對上述所面臨的威脅和風險，實現某市三院醫療信息系統的安全建設目標，安全建設應遵循以下總體安全策略和基本安全策略：

總體安全目標：

? 遵循國家相關政策、法規和標準；

? 貫徹等級保護原則，特別是對不同類別關鍵業務的單獨保護。

? 一手抓技術、一手抓管理；管理與技術并重，互為支撐，互為補充，相互協同，形成有效的綜合預防、追查及應急響應的安全保障體系。

總體安全策略：

? 物理安全策略

在現有物理安全措施基礎上，從環境、設備、介質、配電的故障切換、冗余等方面，完善物理安全保障措施，保障某市三院醫療信息系統免受因上述內容破壞造成的服務停止或數據損失。

? 網絡安全策略

明確等級保護措施；合理劃分安全域，確定各安全域的物理邊界和邏輯邊界，明確不同安全域之間的信任關系。在安全域的網絡邊界建立有效的訪問控制措施。通過安全區域最大限度的實施數據源隱藏，結構化和縱深化區域防御防止和抵御各種網絡攻擊，保證某市三院醫療信息系統各個網絡系統的持續、穩定、可靠運行。

? 系統安全策略

對操作系統、數據庫及服務系統進行漏洞修補和安全加固，對關鍵業務的服務器建立嚴格的審核機制。最大限度解決由操作系統、數據庫系統、服務系統、網絡協議漏洞帶來的安全問題，解決黑客入侵、非法訪問、系統缺陷、病毒等安全隱患。

? 應用安全策略

針對某市三院醫療業務系統的安全需求特點，解決服務發布內容更新和審核等方面的權限控制、信息保密、數據完整性、責任認定、不可否認性等幾個方面建立相應措施。

? 安全管理策略

針對某市三院醫療信息系統安全管理需求，在安全管理上需要在完善人員管理、資產管理、站點維護管理、災難管理、應急響應、安全服務、人才管理等方面機制、制度的同時，與管理技術緊密結合，形成一套比較完備的某市三院醫療信息系統安全管理保障體系。

4.2安全設計原則

由于本方案內容涉及很多方面，因此進行分析時要本著多層面、多角度的原則，從理論到實際，從軟件到硬件，從組件到人員，制定詳細的實施方案和安全策略，避免遺漏。為確保本方案能夠在后期順利的推廣和執行，綠盟科技將遵循以下原則：

合規性原則

安全體系的建立必須遵循相關法規，不能與現行法規和標準產生任何沖突。重點遵循的標準有：

? 《信息安全技術信息系統安全等級保護基本要求》

? 衛生部《基于健康檔案的區域衛生信息平臺建設指南》

實用性原則

系統安全設計必須與某市三院醫療現實需求相一致，其采取的安全措施必須針對突出的、亟待解決的安全問題。

整體性原則

安全產品必須能相互配套，并與現有網絡與應用軟件兼容，從而組成一個完整的信息系統。

可靠性和安全性原則

系統設計要具備較高可靠性和安全性，保證安全措施盡可能小地影響某市三院醫療內部業務系統。

高擴展性原則

系統設計所選擇的軟硬件產品應具有一定的通用性，采用標準的技術、結構、系統組件和用戶接口，支持所有流行的網絡標準及協議，便于今后網絡規模和業務的擴展。

先進性原則

安全技術應具有一定的先進性、前瞻性，以實現整個安全保障體系的相對穩定性。

可管理性原則

保證整個信息系統應具備較高的資源利用率并便于管理和維護。

4.3等級保護模型

為了提升網絡安全系統的防護能力，某市三院醫療網絡安全系統在建設過程中充分考慮到整個系統的安全性，將在本期建設中從信息安全管理體系、信息安全服務體系、信息安全技術體系三個方面著手建立統一的安全保障體系，力保網絡信息安全。

在整個系統的安全規劃和建設過程中，在等級保護的指導下，要求以P2DR的安全保障模型為基本建設思路，安全體系將按照事前防護、事中檢測、事后審計的策略來建設。結合安全管理、安全產品及安全服務等多個層次，保障某市三院醫療的信息系統的安全。

圖 1.1 P2DR的安全保障模型圖

安全措施的實施不是一個靜態的過程，它是變化的，經過一次安全策略的實施后，網絡的安全風險和相關的安全漏洞會降低，在一定時期內，網絡的安全問題不再很突出，但是，隨著網絡應用和網絡系統的擴展和豐富，相關系統的安全問題又會增加，而且，黑客攻擊手段的變化，更增加了網絡的安全威脅。這時候，就需要對網絡資產和風險進行評估，實施相應的安全策略，因此，本期網絡安全保障系統的建設也是一個循序漸進的過程，要求在整體的安全策略的控制和指導下，綜合利用安全防護、檢測、響應以及其他輔助措施組成了一個完整的、動態的安全循環，在安全策略的指導下保證信息系統的安全。

4.4系統建設依據

? 《黨中央、國務院關于深化醫藥衛生體制改革的意見》；

? 《國務院醫藥衛生體制改革近期重點實施方案（2009—2011年）》；

? 國家衛生部等5部委發布的《關于公立醫院改革試點的指導意見》；

? 衛生部《電子病歷基本架構與數據標準（試行）》； ? 衛生部《健康檔案基本架構與數據標準（試行）》；

? 衛生部《基于健康檔案的區域衛生信息平臺建設指南》；

? 衛生部《基于健康檔案的區域衛生信息平臺建設技術解決方案（試行）》；

? 《衛生部辦公廳關于印發2010年基于電子健康檔案、電子病歷、門診統籌管理的基層醫療衛生信息系統試點項目管理方案的通知》；

? 《2010年基于電子健康檔案、電子病歷、門診統籌管理的基層醫療衛生信息系統試點項目技術方案》等。

4.5遵循的標準和規范

? 《國家信息化領導小組關于加強信息安全保障工作的意見》（27號文）

? 公通字[2007]43號《信息安全等級保護管理辦法》

? 《信息安全技術信息系統安全等級保護基本要求》

? 《信息安全技術信息安全等級保護定級指南》

? 《信息安全技術信息系統安全等級保護實施指南》

? GB/T 9387.2-1995 開放系統互連 基本參考模型第2部分：安全體系結構

? RFC 1825 TCP/IP安全體系結構

? ISO 10181:1996 信息技術 開放系統互連開放系統安全框架

? GB/T 18237-2000 信息技術 開放系統互連通用高層安全

? AS/NZS 4360: 1999 《風險管理標準》

? GAO/AIMD-00-33《信息安全風險評估》

? IATF《信息保障技術框架》

5、安全管理體系方案設計

根據對某市三院醫療系統的安全需求分析，下面針對某市三院醫療信息系統的組織和管理體系的安全問題提出信息安全管理建議方案。 5.1組織體系建設建議

5.1.1安全組織建設

某市三院醫療信息系統的組織體系應實行“統一組織、分散管理”的方式，在平臺內建立一個獨立的信息安全部門或以信息中心作為某市三院醫療的信息安全管理機構，負責整個平臺范圍的信息安全管理和維護工作。這樣在區域平臺范圍內形成信息安全管理的專一工作，從而各級信息技術部門也因此會很好配合安全推行工作。

5.1.2安全崗位建設

安全崗位是某市三院醫療信息系統安全管理機構根據系統安全需要設定的負責某一個或某幾個安全事務的職位，崗位在系統內部可以是具有垂直領導關系的若干層次的一個序列，一個人可以負責一個或幾個安全崗位，但一個人不得同時兼任安全崗位所對應的系統管理員或具體業務崗位。因此崗位并不是一個機構，它由管理機構設定，由人事機構管理。

5.1.3人員安全培訓

安全培訓是確保信息系統安全的前提。某市三院醫療信息安全培訓的內容應包括：法律法規培訓、內部制度培訓、崗位操作培訓、普遍安全意識和與崗位相關的重點安全意識相結合的培訓、業務素質與技能技巧培訓等。培訓的對象應包括信息系統有關的所有人員（不僅僅是從事安全管理和業務的人員），以提高他們的安全意識和安全技術水平。

5.2管理體系建設建議

除了在某市三院醫療信息系統功能上增加安全技術手段外，安全管理是必要的安全保障條件。安全管理建設強調通過管理手段實現管理方式的安全保護，主要內容包括安全制度管理、資產安全管理、物理安全管理、技術安全管理和安全風險管理五個部分。對這些方面要求的有效執行，可以對上面所有的風險進行影響，包括減小、轉移甚至避免某些風險。

5.2.1安全制度管理

安全管理制度是信息系統內部依據某市三院醫療信息系統必要的安全需求制定的一系列內部規章制度，主要內容包括：安全管理和執行機構的行為規范、崗位設定及其操作規范、崗位人員的素質要求及其行為規范等。安全制度管理是法律管理的形式化、具體化、法規與管理的接口，是信息安全得以實現的重要保證。

5.2.2資產安全管理

資產是構成某市三院醫療信息系統的基本要素，它的安全是整個信息系統安全的直接原因，所有的安全技術和安全管理措施都是圍繞著資產的安全為中心的。資產的安全管理的內容包括信息系統設備的安全、軟件的安全、數據的安全和文檔的安全。

5.2.3物理安全管理

物理安全管理是保護某市三院醫療信息系統網絡設備、設施以及其它媒介免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括機房安全管理、環境安全管理和物理控制管理等方面內容。

5.2.4技術安全管理

建設某市三院醫療技術安全管理的目標是通過各種管理措施實現對網絡、系統、應用生命周期的過程管理，做到如下兩個方面：有效的利用已有的安全技術和專用的安全產品；使用現有網絡設備、主機和應用自身的安全特性進行日常的安全管理。

5.2.5安全風險管理

風險管理是安全管理體系中相當重要的一個部分，只有通過有效的風險管理，才能持續性的發現安全問題并能進行預防性的保護。缺乏安全風險管理機制的組織，經常會遇到發生安全問題以后才進行彌補的情況。根據國際信息安全標準的要求，風險管理需要對資產、威脅和脆弱性的狀況進行管理。風險管理對于如何提供安全性，在那些方面提供安全性以及所應采取的安全控制的類型和力度等方面都有著重要意義。

6、安全服務體系方案設計

6.1預警通告

安全問題目前正以每周新增幾十甚至幾百例的速度在全世界得到反饋，同時涉及信息技術的眾多領域，安全管理員所掌握的安全知識的更新速度所受到的壓力非常大。某市三院醫療信息系統范圍內的系統種類非常多，包括眾多的操作系統和應用系統。這些系統中每一個新增加的安全漏洞，如果不能得到及時的修補，都可能導致一系列的安全事件的發生。

某市三院醫療由于業務范圍的限制，需要將各種資源包括人力資源投放在提高區域衛生平臺的核心競爭力方面，不可能有太多的時間關注數十個不同廠商不定期發布的漏洞信息，更不可能時刻關注整個安全界的技術發展。

綠盟科技從1999年就開始穩定的維護著國內最早，也是最大的中文安全資料庫。綠盟科技安全研究院作為國內領先的安全技術研究中心，在世界范圍內對某些流行的攻擊手段方面的研究走到了攻擊者的前面，幾年來一直負責為綠盟科技和客戶收集整理分析來源于全球的各類安全信息，而且這個信息庫每天還在不斷的增加。

綠盟科技以安全通告的形式為您提供最新的安全動態、技術和定制的安全信息，包括實時安全漏洞通知、定期安全通告匯總、臨時安全解決方案和安全知識庫更新等。 6.2技術風險評估

在網絡安全體系的建設中， 安全掃描工具花費低、效果好、見效快、與網絡的運行相對獨立、安裝運行簡單，可以大規模減少安全管理員的手工勞動，有利于保持全網安全政策的統一和穩定，是進行風險分析的有力工具。安全掃描工作主要是通過評估工具以遠程掃描的方式對評估范圍內的系統和網絡進行安全掃描，發現網絡結構、網絡設備、服務器主機、數據和用戶賬號/口令等安全對象目標存在的安全風險、漏洞和威脅。

本項服務中我們將借助綠盟科技漏洞掃描系統對某市三院醫療信息系統進行全面的掃描，嚴格按照某市三院醫療要求的掃描范圍和掃描時間實施，在獲得結果后及時提交掃描結果、匯總表和報告。

此外，每次掃描結束后，綠盟科技的技術人員將現場協助某市三院醫療的技術人員對掃描結果進行分析，并提供相應的技術建議。

6.3新上線系統評估

新系統上線評估服務即在新系統上線前對其進行安全評估，檢查其是否達到等級保護的安全要求，同時配合代碼級審計和整改，對某市三院中心機房的主要醫療業務系統代碼進行離線分析。從滲透測試的角度對源代碼進行審計，找出編碼中存在安全漏洞和安全隱患的地方，提出對應的漏洞修補和安全優化建議，保證新系統的合規性同時減少上線后的維護成本。

6.4滲透測試

滲透測試過程主要依據安全專家已經掌握的安全漏洞信息，模擬黑客的真實攻擊方法對系統和網絡進行非破壞性質的攻擊性測試。發現區域衛生平臺信息系統網絡中潛在的脆弱點，測試其可被利用的價值以及可能對信息系統造成的破壞，最終給出完整的入侵過程和技術細節，并提供相應的加固建議。

6.5安全加固

系統安全是信息安全中的基礎組成部分，關鍵數據和信息直接由系統平臺提供。支持分布式計算環境中不斷增長的系統平臺面臨各種安全威脅，包括數據竊取、數據篡改、非授權訪問等。這時就需要專業的安全服務以保障運行和存貯在這些系統平臺上的數據的的機密性、完整性和可用性。

綠盟科技的系統安全加固服務利用多種技術手段對您信息系統中的操作系統平臺和重要的網絡設備提供安全加固和配置優化，同時將其集成到客戶已有的環境中。

系統安全加固是指通過一定的技術手段，提高操作系統或網絡設備安全性和抗攻擊能力，通常這些技術手段，只能為實施這項技術的這一臺主機服務。常見的安全加固服務手段有：

1．

2．

3．

4．

5．

6．

7．

8．

基本安全配置檢測和優化

密碼系統安全檢測和增強

系統后門檢測

提供訪問控制策略和工具

增強遠程維護的安全性

文件系統完整性審計

增強的系統日志分析

系統升級與補丁安裝

經過良好配置的系統或設備的抗攻擊性有極大的增強。在對系統作相應的安全配置后，結合定期的安全評估和維護服務就使得系統保持在一個較高的安全線之上。 6.6虛擬化安全加固服務

1、虛擬化某市三院中心機房（VDC）加固要素

虛擬化某市三院中心機房（VDC）面臨的各種威脅與挑戰，相應的解決措施可形成一個技術體系，包括Hypervisor自身加固、虛擬化防火墻、虛擬IDS/IPS、VM鏡像加固和配置優化等，它們自動構成了VDC的加固要素。

2、Hypervisor自身加固

Hypervisor中的各種漏洞攻擊是虛擬機逃逸的根源，因此反虛擬機逃逸、或者漏洞攻擊的防御技術，則成為目前研究者關注的問題。Hypervisor加固歸根到底仍是軟件安全問題，只要是軟件就無法從根本上阻止漏洞的產生，因此安全加固的重點是對漏洞攻擊或漏洞利用的防御上。根據信息安全工程理論及經驗，凡是對某軟件層進行加固的時候，在其下一層軟件做文章通常是最可靠的方法。

3、VM鏡像加固

虛擬某市三院中心機房管理員通常負責維護成百上千的VM，因此VM鏡像（IMG）的加固便顯得極其關鍵。VM鏡像加固，主要是通過技術手段，從VM外圍增強VM鏡像自身或VM中系統安全性，主要考慮VM鏡像完整性保護、補丁技術、反病毒/惡意軟件和配置優化等幾個環節。

6.7應急響應

目前許多衛生平臺自身尚沒有足夠的資源和能力對安全事故作出反應，甚至在當今的信息社會，更多的組織還沒有準備面對信息安全問題的挑戰。網絡安全的發展日新月異，誰也無法實現一勞永逸的安全服務，所以當緊急安全問題發生，一般技術人員又無法迅速解決的時候，及時發現問題、解決問題就必須依靠緊急響應來實現。 綠盟科技的緊急響應服務提供高效的信息安全事故反應體系以幫助客戶盡快對萬一的信息安全破壞事故作出反應。在安全事件發生后，根據您的需求以電話->遠程支持->現場支持的方式提供服務，包括事故處理及恢復、事后的事故描述報告以及后續的安全狀況跟蹤。

當主機或網絡正遭到攻擊或發現入侵成功的痕跡，而又無法當時解決和追查來源時。我們將根據客戶的要求，以最快的速度趕到現場，協助客戶解決問題，查找后門，保存證據和追查來源。此項緊急響應服務由綠盟科技響應安全技術服務小組負責。可以與客戶自己的網絡安全中心以及反應體系配合協作，共同完成對客戶網絡安全事件的緊急響應和處理。

作為一個規范的網絡安全服務商，綠盟科技有一整套完整的緊急響應機制，也有大量具備處理應急事務經驗的專業安全工程師。

7、安全技術體系方案設計

7.1物理層安全

物理安全主要包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護。

該部分內容參考《信息系統安全等級保護基本要求》的三級標準的要求進行建設。

建設過程中可以參考的標準主要包括：

GB50174－93《電子計算機機房設計規范》

GB 50057－1994《建筑物防雷設計規范》

GB 2887-88《計算站場地安全要求》

GB 2887-89《計算站場地技術條件》

BMB4-2000《電磁干擾器技術要求和測試方法》 7.2網絡層安全

網絡層安全主要涉及的方面包括結構安全、訪問控制、安全審計、入侵防范、惡意代碼防范、網絡設備防護幾大類安全控制。

7.2.1安全域劃分

某市三院醫療信息平臺某市三院中心機房規劃以兩臺核心交換機作為某市三院中心機房網絡的核心，通過二條專線接入區域農合以及市醫保機構，網絡邊界通過二臺防火墻設備實現內部網絡與區域外網之間的安全隔離與訪問控制。業務網內部根據業務類型及安全需求劃分為如圖所示的多個安全區域：

外聯區：

與某市三院中心機房核心交換機互聯，在區域衛生平臺外網接入處部署防火墻，通過防火墻進行訪問控制，實現安全隔離。 數據交換區：

用于部署某市三院中心機房的測試服務器、交換服務器及總線服務器等數據交換服務器。

應用服務器區：

用于部署某市三院中心機房的核心業務應用系統，根據相關要求通過部署防火墻來與其它網絡進行安全隔離，同時部署WEB應用防火墻對基于WEB的應用系統進行防護。

核心數據區：

主要部署各業務系統所需的核心數據庫及后臺服務器，該區域依照等保要求架設網絡環境。安全管理運維區域及辦公服務器區域之間通過合理的VLAN劃分及交換機的訪問控制列表來加以隔離。并通過部署審計系統對數據操作進行安全審計。

安全管理區：

用于部署信息系統安全管理及網絡管理的相關服務器及軟硬件系統，依照等保要求架設網絡環境。與業務服務器區域及互聯網遠程接入區域之間通過合理的VLAN劃分及交換機的訪問控制列表來加以隔離。

根據重點業務重點保護的原則，將核心交換區、應用服務區和核心數據區劃分為三級安全區域，依據等級保護三級標準進行相應的安全建設；數據交換區劃分為二級安全區域，依據等級保護二級標準進行相應的安全建設。

7.2.2邊界訪問控制

在網絡結構中，需要對各區域的邊界進行訪問控制，對于區域衛生平臺外網邊界、數據交換區邊界、應用服務區域邊界及核心數據區邊界，需采取部署防火墻的方式實現高級別的訪問控制，各區域訪問控制方式說明如下：

? 外聯區：通過部署高性能防火墻，實現某市三院中心機房網絡與區域衛生平臺外網之間的訪問控制；

? 數據交換區：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對數據交換區的訪問控制。

? 應用服務區：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對應用服務區的訪問控制，通過部署WEB應用防火墻保護基于WEB的應用服務器。

? 核心數據區：通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現對核心數據區的訪問控制。

7.2.3網絡審計

網絡安全審計系統主要用于監視并記錄網絡中的各類操作，偵查系統中存在的現有和潛在的威脅，實時地綜合分析出網絡中發生的安全事件，包括各種外部事件和內部事件。在某市三院中心機房核心交換機處旁路部署網絡行為監控與審計系統，形成對全網網絡數據的流量檢測并進行相應安全審計，同時和其他網絡安全設備共同為集中安全管理提供監控數據用于分析及檢測。

網絡行為監控和審計系統將獨立的網絡傳感器硬件組件連接到網絡中的數據匯聚點設備上，對網絡中的數據包進行分析、匹配、統計，通過特定的協議算法，從而實現入侵檢測、信息還原等網絡審計功能，根據記錄生成詳細的審計報表。網絡行為監控和審計系統采取旁路技術，不用在目標主機中安裝任何組件。同時玩了個審計系統可以與其他網絡安全設備進行聯動，將各自的監控記錄送往安全管理安全域中的安全管理服務器，集中對網絡異常、攻擊和病毒進行分析和檢測。

7.2.4網絡入侵防范

根據某市三院中心機房的業務安全需求和等級保護三級對入侵防范的要求，需要在網絡中部署入侵檢測產品。

入侵檢測和產品通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測產品應支持深度內容檢測、技術。配合實時更新的入侵攻擊特征庫，可檢測網絡攻擊行為，包括病毒、蠕蟲、木馬、間諜軟件、可疑代碼、探測與掃描等各種網絡威脅。當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。

同時基于某市三院中心機房對網絡攻擊行為的可控性，入侵檢測產品有限的響應方式以及和防火墻聯動的延遲和兼容性問題，這里推薦部署入侵保護產品，實現在入侵檢測的基礎上對攻擊行為進行阻斷，實現對入侵行為實時有效的防范。入侵檢測/保護產品部署于外聯區防火墻之后，是某市三院中心機房繼防火墻邊界訪問控制后的第二道防線。

7.2.5邊界惡意代碼防范

根據某市三院中心機房業務風險分析和等級保護三級對邊界惡意代碼防范的要求，需要在互聯網邊界部署防病毒產品。防病毒產品應具備針對HTTP、FTP、SMTP、POP3、IMAP以及MSN協議的內容檢查、清除病毒的能力。支持查殺引導區病毒、文件型病毒、宏病毒、蠕蟲病毒、特洛伊木馬、后門程序、惡意腳本等各種惡意代碼。并定期提供對病毒庫版本的升級。

這里推薦在入侵保護產品上集成防病毒功能，一方面減少網絡出口串聯設備部署數量，減少網絡中單點故障的幾率。另一方面在同一臺設備上同時實現入侵檢測和惡意代碼防范，減少對數據包的二次處理，減少網絡時延。同時要保障網絡防病毒產品與主機防病毒產品來自不同品牌，由兩類病毒防護產品共同構成立體病毒防護體系。 7.2.6網絡設備保護

對于網絡中關鍵的交換機、路由器設備，也需要采用一定的安全設置及安全保障手段來實現網絡層的控制。主要是根據等級保護基本要求配置網絡設備自身的身份鑒別與權限控制，包括：登錄地址、標識符、口令復雜度、失敗處理、傳輸加密、特權用戶權限分配等方面對網絡設備進行安全加固。

由于不同網絡設備安全配置的不同、配置維護工作繁雜，且信息安全是動態變化的，因此這里推薦通過自動化的配置核查設備，對網絡層面和主機層的安全配置進行定期掃描核查，及時發現不滿足基線要求的相關配置，并根據等級保護的安全配置要求提供相對應的安全配置加固指導。

7.3主機層安全

主機層安全主要從身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范、資源控制等方面來進行防護。

7.3.1身份鑒別

為提高主機系統安全性，保障各種應用的正常運行，對主機系統需要進行一系列的加固措施，包括：

? 對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別，且保障用戶名的唯一性。某市三院醫療信息系統所有用戶應當具備獨一無二的標識符以便跟蹤后續行為，從而可以將責任對應到人。用戶ID不得表示用戶的權限級別，比如經理或主管等等。

? 根據基本要求配置用戶名/口令，口令必須具備采用3中以上字符、長度不少于8位并定期更換。

? 啟用登錄失敗處理功能，登錄失敗后采取結束會話、限制非法登錄次數和自動退出等措施，重要的主機系統應對與之相連的服務器或終端設備進行身份標識和鑒別。

? 遠程管理時應啟用SSH等管理方式，加密管理數據，防止被網絡竊聽。

? 對主機管理員登錄采取雙因素認證方式，采用USBkey+密碼進行身份鑒別。

7.3.2強制訪問控制

應在主機層啟用強制訪問控制功能，依據安全策略控制用戶對資源的訪問，對重要信息資源設置敏感標記，安全策略嚴格控制用戶對有敏感標記重要信息資源的操作。

強制訪問控制主要是對核心數據區的文件、數據庫等資源的訪問進行控制，避免越權非法使用。采用的措施主要包括以下幾個方面。

? 啟用訪問控制功能：制定嚴格的訪問控制安全策略，根據策略控制用戶對應用系統的訪問，特別是文件操作、數據訪問等，控制粒度主體為用戶級，客體為文件或者數據庫表級別。

? 權限控制：對于制定的訪問控制規則要能清楚的覆蓋資源訪問相關的主題、客體及它們之間的操作。對于不同的用戶授權原則是進行能夠完成工作的最小化授權，避免授權范圍過大，并在它們之間形成互相支援的關系。

? 賬號管理：嚴格限制默認賬戶的訪問權限，重命名默認賬戶，修改默認口令，及時刪除多余的、過期的賬戶，避免共享賬戶的存在。

? 訪問控制的實現主要是采取兩種方式：采用安全操作系統，或對操作系統進行安全改造，且使用效果要達到以上要求。

對于強制訪問控制中的權限分配和賬號管理部分可以通過等級保護配置核查產品進行定期掃描核查，及時發現與基線要求不符的配置并進行加固。同時賬號管理和權限控制部分還可以通過堡壘機產品來進行強制管控，滿足強制訪問控制的要求。 7.3.3主機入侵防范

根據等級保護三級要求，需要對主機入侵行為進行防范。針對主機的入侵防范，可以從以下多個角度進行處理：

? 部署入侵檢測/保護系統，在防范網絡入侵的同時對關鍵主機的操作系統提供保護，提供根據入侵事件的風險程度進行分類報警。

? 部署漏洞掃描進行安全性檢測，及時發現主機漏洞并進行修補，減少攻擊者可利用的對象。

? 操作系統的安全遵循最小安裝的原則，僅安裝需要的組件和應用程序，關閉多余服務等，減少組件、應用程序和服務中可能存在的漏洞。

? 根據系統類型進行安全配置的加固處理。

7.3.4主機審計

主機層審計記錄系統用戶和數據庫用戶重要的安全相關事件。

系統用戶審計主要包括重要用戶行為、系統資源的異常使用和重要程序功能的執行等；還包括數據文件的打開關閉，具體的行動，諸如讀取、編輯和刪除記錄，以及打印報表等。對于系統用戶審計建議可以通過堡壘機來實現，堡壘機是集賬號權限管控以及用戶行為審計與一體的安全運維產品，能夠通過錄屏，記錄命令行等方式記錄用戶對重要服務器的訪問行為以及所做的各種操作。

數據庫用戶審計主要包括用戶的各種數據庫操作，如插入、更新、刪除、修改等行為。對于某些對數據可用性、保密性和完整性方面十分敏感的應用，要求能夠捕捉到每個所改變記錄的事前和事后的情況。對于數據庫用戶審計建議可以通過網絡審計產品來實現，網絡審計產品以旁路方式接入網絡，不會對網絡造成影響，能夠對所有數據庫操作行為進行細粒度的記錄，以便事后追查。 7.3.5惡意代碼防范

針對病毒風險，應在某市三院中心機房所有服務器和終端主機上部署防病毒系統，加強終端主機的病毒防護能力并及時升級惡意代碼軟件版本以及惡意代碼庫。同時部署防病毒服務器，負責制定終端主機防病毒策略，進行防病毒系統的統一管理。終端防病毒系統應與網絡防病毒系統為不同品牌，以構成立體防護體系。

7.3.6剩余信息保護

為實現剩余信息保護，達到客體安全重用，應及時清除剩余信息存儲空間，建議通過對操作系統及數據庫系統進行安全加固配置，使得操作系統和數據庫系統具備及時清除剩余信息的功能，從而保證用戶的鑒別信息、文件、目錄、數據庫記錄等敏感信息所在的存儲空間（內存、硬盤）被及時釋放或者再分配給其他用戶前得到完全清除。

7.3.7資源控制

對主機層面的資源控制可以通過以下幾個方面來實現：

? 登錄條件限制：在交換、路由設定終端接入控制，或使用主機防護軟件設定終端接入限制，對網絡地址范圍等條件限制用戶終端登錄。

? 用戶可用資源閾值：限制單個用戶對系統資源的最大最小使用限度，保障正常合理的資源占用。

? 設定安全策略對在終端登錄超時的用戶進行鎖定，使用主機監控產品對重要的服務器進行監視，包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情況，并對用戶的資源使用情況做出大小使用度限制。當系統的服務水平降低到預先規定的最小值進行檢測和報警。

? 通過內網終端管理系統實現對用戶的接入方式、登陸超時鎖定、主機資源、網絡資源等進行告警及控制。

建議根據基本要求通過安全加固措施對主機資源進行限定，還可以通過部署監控管理系統進行資源監控。

7.4應用層安全

7.4.1身份鑒別

為提高應用服務安全性，保障各種業務的正常運行，應在應用系統開發過程中進行相應身份鑒別功能的開發，包括：

? 根據基本要求配置用戶名/口令，口令必須具備采用3中以上字符、長度不少于8位并定期更換。

? 保證系統用戶名具有唯一性。

? 啟用登錄失敗處理功能，登錄失敗后采取結束會話、限制非法登錄次數和自動退出等措施。

? 對用戶登錄采取雙因素認證方式，采用USBkey+密碼進行身份鑒別或者通過CA系統進行身份鑒別。

7.4.2訪問控制

應用層訪問控制可以通過以下幾個方面實現：

? 根據等級保護基本要求進行訪問控制的配置，包括：權限定義、默認賬號的權限管理、控制粒度的確定等。

? 通過安全加固措施制定嚴格的用戶權限策略，保證賬號、口令等符合安全策略要求。

? 通過防火墻制定符合基本要求的ACL策略。 7.4.3安全審計

應用層安全審計是對業務應用系統行為的審計，需要與應用系統緊密結合，此審計功能應與應用系統統一開發。

某市三院中心機房業務系統審計應記錄系統重要安全時間的日期、時間、發起者信息、類型、描述和結果等，并保護好審計結果，阻止非法刪除、修改或覆蓋審計記錄。同時能夠對記錄數據進行統計、查詢、分析及生產審計報表。

同時可以部署數據庫審計系統對用戶行為、用戶事件及系統狀態加以審計、范圍覆蓋到每個用戶，從而把握數據庫系統的整體安全性。

7.4.4剩余信息保護

為實現剩余信息保護，達到客體安全重用，應及時清除剩余信息存儲空間，建議通過對操作系統及數據庫系統進行安全加固配置，使得操作系統和數據庫系統具備及時清除剩余信息的功能，從而保證用戶的鑒別信息、文件、目錄、數據庫記錄等敏感信息所在的存儲空間（內存、硬盤）被及時釋放或者再分配給其他用戶前得到完全清除。

7.4.5通信完整性

對于信息傳輸和存儲的完整性校驗可采用消息摘要機制確保完整性校驗，應在應用系統開發過程中進行數據完整性校驗功能開發。

對于信息傳輸的完整性校驗應由傳輸加密系統完成，可以通過部署VPN系統以保證遠程數據傳輸的數據完整性。對于信息存儲的完整性校驗應由應由系統和數據庫系統完成。

7.4.6通信保密性

應用層的通信保密性主要由應用系統完成，應在應用系統開發過程中進行數據加密的開發。在通信雙方建立連接之前，應用系統應利用密碼技術進行繪畫初始化驗證，并對通信過程中的敏感信息字段進行加密。對于信息傳輸的通信保密性應由加密系統完成。可以通過部署VPN系統以保證遠程數據傳輸的數據機密性。

7.4.7抗抵賴性

抗抵賴性可以通過數字簽名技術實現，通過數字簽名及簽名驗證技術，可以判斷數據的發送方是否是真是存在的用戶。數字簽名是不對稱加密算法的典型應用。數字簽名的應用過程是：數據源發送方是用自己的四月對數據校驗和對其他與數據內容有關的便利進行加密處理，完成對數據的合法“簽名”，數據接收方則利用對方的公鑰來解讀收到的“數字簽名”，并將解讀結果用于對數據完整性的檢驗，以確認簽名的合法性的同時，通過對簽名的驗證，可以判斷數據在傳輸過程中是否被更改。從而，可以實現數據的發送方不能對發送的數據進行抵賴，發送的數據是完整的，實現系統的抗抵賴性和完整性需求。

7.4.8軟件容錯

對于軟件容錯應在應用系統開發過程中進行相應容錯功能的開發，并在上線之前進行代碼審核，對輸入數據進行校驗，保證復核規定；且應具備自動保護功能設計，故障后可以恢復。

7.4.9資源控制

應用層面的資源控制可以通過系統安全加固措施進行系統資源限定來實現：

? 會話自動結束：當應用系統的通信雙方中的一方在一段時間內未作任何響應，另一方應能夠自動結束會話，釋放資源；

? 會話限制：對應用系統的最大并發會話連接數進行限制，對一個時間段內可能的并發會話連接數進行限制，對單個帳戶的多重并發會話進行限制，設定相關閾值，保證系統可用性。

? 超時鎖定：根據安全策略設置應用會話超時鎖定。

? 應能夠對一個訪問帳戶或一個請求進程占用的資源分配最大限額和最小限額；

? 應能夠對系統服務水平降低到預先規定的最小值進行檢測和報警；

? 應提供服務優先級設定功能，并在安裝后根據安全策略設定訪問帳戶或請求進程的優先級，根據優先級分配系統資源。

7.5數據層安全

7.5.1數據完整性

某市三院中心機房中傳輸的重要數據，其安全要求較高，尤其是血液系統中的數據信息和精神衛生管理系統中的隱私信息，建議采用消息摘要機制來確保完整性校驗。其方法是：發送方使用散列函數，如（SHA，MD5等）對要發送的信息進行摘要計算，得到信息的鑒別碼，聯通信息一起發送給接收方，將信息也信息摘要進行打包后插入身份鑒別標識，發送給接收方。接收方對接收到的信息，首先確認發送方的身份信息，解包后，重新計算，將得到的鑒別碼與收到的鑒別碼進行比較，若二者相同，則可以判定信息未被篡改，信息完整性沒有受到破壞。在傳輸過程中可以通過VPN系統來保證數據包是完整性、保密性和可用性。

數據存儲過程中的完整性可以通過數據庫的訪問控制來實現。

(1) 讀訪問控制

必須制定相應的控制措施，以確保獲準訪問數據庫或數據庫表的個體，能夠在數據庫數據的信息分類級別的合適的級別得到驗證。通過使用報表或者查詢工具提供的讀訪問必須由數據所有人控制和批準，以確保能夠采取有效的控制措施控制誰可以讀取哪些數據。 (2) 讀取/寫入訪問控制

對于那些提供讀訪問的數據庫而言，每個訪問該數據的自然人以及/或者對象或進程都必須確立相應的賬戶。該ID可以在數據庫內直接建立，或者通過那些提供數據訪問功能的應用予以建立。這些賬戶必須遵從本標準規定的計算機賬戶標準。

用戶驗證機制必須基于防御性驗證技術（比如用戶ID/密碼），這種技術可以應用于每一次登錄嘗試或重新驗證，并且能夠根據登錄嘗試的被拒絕情況指定保護措施。

為了保證數據庫的操作不會繞過應用安全，定義角色的能力不得成為默認的用戶特權。訪問數據庫配置表必須僅限于數據庫管理員，以防未經授權的插入、更新和刪除。

7.5.2數據保密性

關于數據保密性，可以通過一些具體的技術保護手段，在數據和文檔的生命周期過程中對其進行安全相關防護，確保內部數據和文檔在整個生命周期的過程中的安全。

1) 加強對于數據的認證管理

操作系統須設置相應的認證手段；數據本身也須設置相應的認證手段，對于重要的數據應對其本身設置相應的認證機制。

2) 加強對于數據的授權管理

對文件系統的訪問權限進行一定的限制；對網絡共享文件夾進行必要的認證和授權。除非特別必要，可禁止在個人的計算機上設置網絡文件夾共享。

3) 數據和文檔加密

保護數據和文檔的另一個重要方法是進行數據和文檔加密。數據加密后，即使別人獲得了相應的數據和文檔，也無法獲得其中的內容。

網絡設備、操作系統、數據庫系統和應用程序的鑒別信息、敏感的系統管理數據和敏感的用戶數據應采用加密或其他有效措施實現傳輸保密性和存儲保密性。 當使用便攜式和移動式設備時，應加密或者采用可移動磁盤存儲敏感信息。

4) 加強對數據和文檔日志審計管理

使用審計策略對文件夾、數據和文檔進行審計，審計結果記錄在安全日志中，通過安全日志就可查看哪些組或用戶對文件夾、文件進行了什么級別的操作，從而發現系統可能面臨的非法訪問，并通過采取相應的措施，將這種安全隱患減到最低。

5) 進行通信保密

用于特定業務通信的通信信道應符合相關的國家規定，密碼算法和密鑰的使用應符合國家密碼管理規定。

7.5.3備份和恢復

針對數據的備份和恢復要求，應用數據的備份和恢復應具有以下功能：

? 應提供本地數據備份與恢復功能，完全數據備份至少每天一次，備份介質場外存放；

? 應提供異地數據備份功能，利用通信網絡將關鍵數據定時批量傳送至備用場地；

? 應采用冗余技術設計網絡拓撲結構，避免關鍵節點存在單點故障；

? 應提供主要網絡設備、通信線路和數據處理系統的硬件冗余，保證系統的高可用性。

7.6虛擬化、云計算安全解決方案

在云計算虛擬化環境安全保障中，傳統的防護手段所起到的作用是不應該忽視的，云環境的全面安全防護和保障的還是應該采用傳統安全保障技術手段和虛擬化保障技術手段結合的方法。在不同物理實體之間（服務器與服務器、某市三院中心機房和某市三院中心機房）應采用傳統的技術手段與虛擬化的技術手段進行防護。而對于同一物理實體之上的虛擬化應用則應采取有針對性的虛擬化技術手段進行防護。

-