醫(yī)院信息化系統(tǒng)等級保護(hù)設(shè)計(jì)方案培訓(xùn)講學(xué)

1、學(xué)習(xí) 好資料更多精品文檔醫(yī)院信息化系統(tǒng)等級保護(hù)設(shè)計(jì)方案2013 年 4 月學(xué) 好資料目錄1 項(xiàng)目背景 32 方案設(shè)計(jì)原則 33 安全等級劃分 34 技術(shù)方案設(shè)計(jì) 44.1 總體設(shè)計(jì) 44.1.1 總體安全技術(shù)框架 44.1.2 安全域劃分 64.1.3 總體部署 74.2 詳細(xì)設(shè)計(jì) 74.2.1 物理安全設(shè)計(jì) 74.2.2 安全計(jì)算環(huán)境設(shè)計(jì) 94.2.3 安全區(qū)域邊界設(shè)計(jì) 124.2.4 安全通信網(wǎng)絡(luò)設(shè)計(jì) 144.2.5 安全管理中心設(shè)計(jì) 165 安全管理體系設(shè)計(jì) 165.1 管理機(jī)構(gòu)建設(shè) 175.2 完善安全管理制度 175.3 加強(qiáng)人才隊(duì)伍建設(shè) 185.4 遵循安全法規(guī)標(biāo)準(zhǔn) 195.5 重

2、視安全管理手段 195.6 建立應(yīng)急響應(yīng)機(jī)制 196 需要增加的設(shè)備 21更多精品文檔學(xué)習(xí)-好資料1項(xiàng)目背景2方案設(shè)計(jì)原則根據(jù)國家信息安全保障政策法規(guī)和技術(shù)標(biāo)準(zhǔn)要求，同時(shí)參照相關(guān)行業(yè)規(guī)定， 確定信息安全體系規(guī)劃和設(shè)計(jì)時(shí)遵循以下原則：3安全等級劃分信息化系統(tǒng)包括應(yīng)用服務(wù)系統(tǒng)等。信息包括公文信息、通訊錄、文件、日 程安排、執(zhí)法數(shù)據(jù)等，這些信息由于涉及到醫(yī)療機(jī)構(gòu)敏感信息， 對數(shù)據(jù)的完整性 和機(jī)密性要求具有較高需求，一旦遭到破壞或竊取，就會(huì)給用戶查詢提供錯(cuò)誤數(shù) 據(jù)或泄漏敏感信息，影響社會(huì)秩序和公共利益。1 .業(yè)務(wù)系統(tǒng)安全受到破壞時(shí)所侵害的客體信息化系統(tǒng)系統(tǒng)一旦遭到破壞或被竊取，所侵害的客體是公民、法人

3、和其 它組織的合法權(quán)益以及社會(huì)秩序、公共利益。2 .對客體的侵害程度業(yè)務(wù)系統(tǒng)安全受到破壞時(shí)對社會(huì)秩序、公共利益的侵害程度表現(xiàn)為嚴(yán)重?fù)p害，具體表現(xiàn)為業(yè)務(wù)系統(tǒng)受到破壞或竊取后，會(huì)影響醫(yī)療機(jī)構(gòu)行使社會(huì)管理和公 共服務(wù)的職能，并對醫(yī)療機(jī)構(gòu)形象造成社會(huì)不良影響， 并對公民、法人和其他組 織的合法權(quán)益造成損失。3 .業(yè)務(wù)系統(tǒng)安全等級根據(jù)上述分析結(jié)果，結(jié)合等級保護(hù)定級指南，XX系統(tǒng)安全等級為:業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第二級社會(huì)秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級4 技術(shù)方案設(shè)計(jì)根據(jù)差距分析

4、，確定整改技術(shù)方案的設(shè)計(jì)原則，建立總體技術(shù)框架結(jié)構(gòu)，從業(yè)務(wù)安全、物理環(huán)境、通信網(wǎng)絡(luò)、計(jì)算環(huán)境、區(qū)域邊界、安全管理中心等方面設(shè)計(jì)落實(shí)基本技術(shù)要求的物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全要求的技術(shù)路線。4.1 總體設(shè)計(jì)4.1.1 總體安全技術(shù)框架根據(jù)國家相關(guān)信息安全保護(hù)政策，在安全設(shè)計(jì)框架上，形成 “一個(gè)中心”保障下的“三重縱深防御防護(hù)體系”架構(gòu) （一個(gè)中心是指安全管理中心， 三層縱深防御體系則由安全計(jì)算環(huán)境、安全區(qū)域邊界以及安全通信網(wǎng)絡(luò)組成） 。在安全物理基礎(chǔ)環(huán)境上， 進(jìn)一步強(qiáng)調(diào)了管理中心、 計(jì)算環(huán)境、 區(qū)域邊界及網(wǎng)絡(luò)傳輸?shù)目尚判裕?使得其在整個(gè)生命周期中都建立有完整的信任鏈， 確保它們始終都在安全

5、管理中心的統(tǒng)一管控下有序地運(yùn)行， 從而確保了平臺(tái)的安全性不會(huì)遭受破壞， 如下圖所示：圖1等級保護(hù)總體安全技術(shù)框架物理安全是支撐信息系統(tǒng)安全運(yùn)行的基礎(chǔ)保障設(shè)施的安全，是整個(gè)信息系統(tǒng)安全的基礎(chǔ)，也是信息系統(tǒng)最基本的安全基礎(chǔ)。安全計(jì)算環(huán)境是對平臺(tái)的信息存儲(chǔ)與處理進(jìn)行安全保護(hù)的部件。安全計(jì)算環(huán) 境由平臺(tái)中完成信息存儲(chǔ)與處理的計(jì)算機(jī)系統(tǒng)硬件和系統(tǒng)軟件以及外部設(shè)備及 其聯(lián)接部件組成，也可以是單一的計(jì)算機(jī)系統(tǒng)。安全計(jì)算環(huán)境保護(hù)包括主機(jī)系統(tǒng)（操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)）和應(yīng)用系統(tǒng)，以及主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)的備份與恢復(fù)。安全區(qū)域邊界是對平臺(tái)的安全計(jì)算環(huán)境的邊界， 以及計(jì)算環(huán)境與通信網(wǎng)絡(luò)之 間實(shí)現(xiàn)連接功能進(jìn)行安全保護(hù)的部

6、件。安全區(qū)域邊界保護(hù)主要是指對計(jì)算環(huán)境以 及進(jìn)出計(jì)算環(huán)境的信息進(jìn)行保護(hù)，以及邊界設(shè)備的備份與恢復(fù)。安全通信網(wǎng)絡(luò)是對平臺(tái)安全計(jì)算環(huán)境之間進(jìn)行信息傳輸實(shí)施安全保護(hù)的部 件。安全通信網(wǎng)絡(luò)保護(hù)主要指對數(shù)據(jù)通信的保護(hù)及通信設(shè)備的備份與恢復(fù)安全管理中心對平臺(tái)的安全策略及計(jì)算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)上的安全 機(jī)制實(shí)施統(tǒng)一管理的平臺(tái)，又指各類安全保護(hù)系統(tǒng)的管理中心構(gòu)成一個(gè)綜合性的管理中心。安全技術(shù)方案設(shè)計(jì)包括各級系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)及其安全互聯(lián)的設(shè)計(jì)，各級系統(tǒng)安全保護(hù)環(huán)境由相應(yīng)級別的安全計(jì)算環(huán)境、 安全區(qū)域邊界、 安全通信網(wǎng)絡(luò)和安全管理中心組成。 平臺(tái)安全互聯(lián)由安全互聯(lián)部件和跨系統(tǒng)安全管理中心組成。4.1.

7、2 安全域劃分安全域是指同一系統(tǒng)內(nèi)根據(jù)信息的性質(zhì)、使用主體、安全目標(biāo)和策略等元素的不同來劃分的不同邏輯子網(wǎng)或網(wǎng)絡(luò)，每一個(gè)邏輯區(qū)域有相同的安全保護(hù)需求，具有相同的安全訪問控制和邊界控制策略， 區(qū)域間具有相互信任關(guān)系， 而且相同的網(wǎng)絡(luò)安全域共享同樣的安全策略。本次建設(shè)中，醫(yī)療HIS計(jì)算機(jī)網(wǎng)絡(luò)安全域的劃分不能單純從安全角度考慮，而是應(yīng)該以業(yè)務(wù)角度為主， 輔以安全角度， 并充分參照現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和管理現(xiàn)狀，才能以較小的代價(jià)完成安全域劃分和網(wǎng)絡(luò)梳理，而又能保障其安全性。綜上所述，我們將依據(jù)下述的原則完成安全域的劃分：根據(jù)系統(tǒng)服務(wù)劃分對 資源信息訪問控制；對 與其相關(guān)的信息訪問控制；對 其它資源的訪問控制；

8、按系統(tǒng)功能類型劃分根據(jù)功能類型或提供的服務(wù)類型劃分子系統(tǒng)， 劃分時(shí)除了考慮到對用戶提供設(shè)計(jì)服務(wù)的系統(tǒng)、 管理系統(tǒng)等外， 還應(yīng)考慮到對前兩類系統(tǒng)提供承載、 支撐和管理作用的支持系統(tǒng)。按照網(wǎng)絡(luò)區(qū)域劃分根據(jù)資源使用情況及應(yīng)用系統(tǒng)地理上分布的情況，在資源訪問控制、管理模式等存在較大差異，所以可按照信息系統(tǒng)運(yùn)行所在的網(wǎng)絡(luò)區(qū)域進(jìn)行子系統(tǒng)劃分。安全要求相似性原則在信息安全的三個(gè)基本屬性方面， 同一區(qū)域內(nèi)的信息資產(chǎn)應(yīng)具有相似的安全性要求、完整性要求和可用性要求。根據(jù)上述安全域的劃分規(guī)則， 醫(yī)療 HIS 整體網(wǎng)絡(luò)可以劃分出以下幾大部分區(qū)更多精品文檔學(xué)習(xí) 好資料域：4.1.3 總體部署4.2 詳細(xì)設(shè)計(jì)4.2.1

9、物理安全設(shè)計(jì) 物理位置的選擇中心機(jī)房的物理位置按以下要求進(jìn)行選擇：在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。 物理訪問控制中心機(jī)房的物理訪問控制應(yīng)按以下措施建設(shè)：機(jī)房出入口安排專人值守并配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員；對進(jìn)入機(jī)房的來訪人員應(yīng)經(jīng)過申請和審批流程， 并限制和監(jiān)控其活動(dòng)范圍；對機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域；重要區(qū)域應(yīng)配置第二道電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。 防盜竊和防破壞中心機(jī)房的防盜和防破壞應(yīng)按以下措施

10、建設(shè)：將主要設(shè)備放置在機(jī)房內(nèi)；將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)記；將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中；對介質(zhì)分類標(biāo)識，存儲(chǔ)在介質(zhì)庫或檔案室中；利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；對機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。 防雷擊中心機(jī)房防雷按以下措施建設(shè)：機(jī)房所在的建筑安裝避雷裝置。機(jī)房內(nèi)設(shè)置防雷保安器，防止感應(yīng)雷；機(jī)房設(shè)置交流電源地線。 防火中心機(jī)房防火按以下措施建設(shè)：機(jī)房安裝火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測火情、自動(dòng)報(bào)警，并自動(dòng)滅火；機(jī)房及相關(guān)的工作房間和輔助房采用具有耐火等級的建筑材料；機(jī)房采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離開。4.2.1

11、.6 防水和防潮中心機(jī)房防火和防潮按以下措施建設(shè)：水管安裝，不得穿過機(jī)房屋頂和活動(dòng)地板下；采取措施防止雨水通過機(jī)房窗戶、屋頂和墻壁滲透；采取措施防止機(jī)房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透；安裝對水敏感的檢測儀表或元件，對機(jī)房進(jìn)行防水檢測和報(bào)警。 防靜電中心機(jī)房防靜電按以下措施建設(shè)：所有設(shè)備采用接地防靜電措施；機(jī)房采用防靜電地板；有條件的情況下，采用靜電消除器等裝置，減少靜電的產(chǎn)生。 溫濕度控制中心機(jī)房溫濕度按以下措施建設(shè)：在機(jī)房安裝溫濕度自動(dòng)調(diào)節(jié)設(shè)備，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。 電力供應(yīng)中心機(jī)房電力供應(yīng)按以下措施建設(shè)：在機(jī)房供電線

12、路上配置穩(wěn)壓器和過電壓防護(hù)設(shè)備；安裝UP繇統(tǒng)，提供不小于1小時(shí)的供電要求；設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；0 電磁防護(hù)中心機(jī)房電磁防護(hù)按以下措施建設(shè)：采用接地方式防止外界電磁干擾和設(shè)備寄生耦合干擾；電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾；對保密性要求較高的服務(wù)器，放置屏蔽機(jī)柜和屏蔽室內(nèi)。4.2.2 安全計(jì)算環(huán)境設(shè)計(jì) 用戶身份識別根據(jù)國家政策在應(yīng)用安全方面的要求， 應(yīng)對 涉及接觸移動(dòng)政務(wù)業(yè)務(wù)敏感信息的用戶群體（以下簡稱敏感用戶 ） ，采取滿足要求的數(shù)字證書身份認(rèn)證機(jī)制，具體安全保障措施如下：基于數(shù)字證書和PIN碼的多因子身份鑒別機(jī)制基于 PKI 技術(shù)體

13、系的數(shù)字證書認(rèn)證機(jī)制通過將數(shù)字證書與用戶的真實(shí)身份進(jìn)行唯一綁定， 可滿足三級安全等保要求實(shí)現(xiàn)鑒別信息不可被重用和被冒用， 從而可確保系統(tǒng)中的用戶身份不可假冒， 實(shí)現(xiàn)了強(qiáng)身份認(rèn)證； 同時(shí)， 數(shù)字證書的使用通過結(jié)合PIN 碼保護(hù)機(jī)制， 滿足了三級安全等保中關(guān)于 “應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別”的要求。因此，敏感用戶必須持有其數(shù)字證書才能進(jìn)入管理平臺(tái)進(jìn)行相關(guān)的業(yè)務(wù)操作， 從而從應(yīng)用訪問源頭上防止了非法用戶的非法登錄， 確保了進(jìn)入移動(dòng)政務(wù)平 臺(tái)的每一位用戶身份都是合法的。同時(shí)， 數(shù)字證書是用戶登錄系統(tǒng)的身份憑證， 應(yīng)防止被其它非法用戶所使用。因此，根據(jù)用戶終端設(shè)備為手持

14、設(shè)備或便攜設(shè)備，應(yīng)采取基于SD SIM卡的PIN碼保護(hù)機(jī)制，實(shí)現(xiàn)對數(shù)字證書的安全存儲(chǔ)和安全使用。注明：SD SIM卡內(nèi)部集成多種密碼算法，各種運(yùn)算直接可以在其內(nèi)部封閉的環(huán)境下進(jìn)行；同時(shí)，存儲(chǔ)在其內(nèi)部的用戶私鑰無法導(dǎo)出和復(fù)制，且通過帶有PIN 保護(hù)，能有效抵御蠻力嘗試。攻擊者如果想冒充敏感用戶的身份進(jìn)入醫(yī)療HIS,不僅需要竊取到用戶的SD SIM卡，還需要知道保護(hù)口令。因此，大大提高了認(rèn)證的安全強(qiáng)度，也使得身份冒充變得更加困難。部署安全中間件實(shí)現(xiàn)對登錄用戶進(jìn)行身份標(biāo)識和鑒別根據(jù)第三級安全等保中關(guān)于 “應(yīng)提供專用的登錄控制模塊對登錄用戶進(jìn)行身更多精品文檔學(xué)習(xí) 好資料份標(biāo)識和鑒別”的要求，應(yīng)在用戶終

15、端和服務(wù)器端部署安全中間件，通過用戶終 端和應(yīng)用服務(wù)器兩端的安全組件和安全控件互相驗(yàn)證各自證書， 確認(rèn)各自身份的 真實(shí)性?？蛻舳酥虚g件應(yīng)可以內(nèi)嵌到 Web頁面中，也可以被專用 Client程序調(diào)用， 對用戶的使用應(yīng)該是透明的；服務(wù)器端中間件部署在應(yīng)用服務(wù)器上， 接受并處理 由客戶端發(fā)送過來的安全認(rèn)證、數(shù)據(jù)加解密和簽名驗(yàn)證等系列安全處理請求，為 應(yīng)用系統(tǒng)提供安全保護(hù)?？蛻舳朔?wù)端m i=r應(yīng)用層腳本語百ActiveXAPI (.dll )硬件驅(qū)動(dòng)軟證書KEY應(yīng)用層接口 /組件ATL/jar/擴(kuò)展庫API (.dll/.so/.a/.o )硬件驅(qū)動(dòng)密碼設(shè)備軟證書安全中間件應(yīng)面向業(yè)務(wù)應(yīng)用提供以下功能

16、：數(shù)字簽名：為應(yīng)用系統(tǒng)提供重要業(yè)務(wù)數(shù)據(jù)及關(guān)鍵操作行為的數(shù)字簽名， 應(yīng)用系統(tǒng)通過這些數(shù)字簽名記錄， 在發(fā)生糾紛時(shí)對數(shù)字簽名進(jìn)行驗(yàn)證， 真正實(shí)現(xiàn) 重要業(yè)務(wù)數(shù)據(jù)和關(guān)鍵操作的完整性和不可抵賴性；數(shù)字證書解析：對數(shù)字證書域進(jìn)行解析，將解析后的證書內(nèi)容，如證書序列號、用戶身份證號碼、單位組織機(jī)構(gòu)代碼提交應(yīng)用系統(tǒng)供應(yīng)用系統(tǒng)使用；數(shù)字信封：提供數(shù)字信封加密機(jī)制，提升數(shù)據(jù)加密效率和加密強(qiáng)度；密鑰分割：采用門限算法，可以將加密密鑰分割成若干份提供給多人保 管，當(dāng)需要調(diào)取密鑰時(shí)，根據(jù)預(yù)先約定的密鑰持有策略在多人在場情況下將完成 密鑰的重新組裝得到原有密鑰。時(shí)間戳功能：通過獲取標(biāo)準(zhǔn)時(shí)間源信息，對標(biāo)準(zhǔn)時(shí)間進(jìn)行簽名，提供

17、具有法律效力的時(shí)間戳服務(wù)。服務(wù)端證書管理功能：在應(yīng)用服務(wù)器上提供B/S 方式的證書管理工具，用戶可以使用該工具很方便的配置和管理服務(wù)器證書。XM慮名：實(shí)現(xiàn)了通過擴(kuò)展標(biāo)記語言（XMQ來創(chuàng)建、驗(yàn)證和管理數(shù)字簽 名。軟件完整性保護(hù)采取代碼簽名證書對原始發(fā)布的軟件進(jìn)行完整性保護(hù)基于手機(jī)服務(wù)的應(yīng)用系統(tǒng)普遍采用 C/S 架構(gòu)， 終端用戶運(yùn)行手機(jī)應(yīng)用程序軟件訪問應(yīng)用系統(tǒng)， 存在客戶端軟件被仿冒和篡改的風(fēng)險(xiǎn)。 公務(wù)員用戶使用移動(dòng)終端訪問醫(yī)療HIS 處理移動(dòng)辦公、移動(dòng)執(zhí)法等業(yè)務(wù)時(shí)，如果運(yùn)行仿冒的程序軟件，其業(yè)務(wù)中的信息數(shù)據(jù)將面臨被竊取、篡改的危險(xiǎn)。因此， 建議對北京醫(yī)療HIS 的終端應(yīng)用程序軟件簽發(fā)代碼簽名證書

18、， 防范軟件被仿冒和篡改的風(fēng)險(xiǎn)， 使用戶免遭病毒和黑客程序的侵?jǐn)_， 為軟件的完整性提 供可靠的保障。 惡意代碼防范對各服務(wù)器平臺(tái)部署網(wǎng)絡(luò)防病毒系統(tǒng)， 實(shí)現(xiàn)對計(jì)算環(huán)境內(nèi)惡意代碼檢測與阻殺，定級對防病毒系統(tǒng)病毒庫特征碼進(jìn)行升級，保持最新的惡意代碼檢測庫。 WEB 應(yīng)用系統(tǒng)防護(hù)部署入侵防御系統(tǒng)或WEB防火墻實(shí)現(xiàn)對WEB應(yīng)用程序安全保護(hù)。由于大部 分服務(wù)系統(tǒng)都是采用 WEB方式向外界提供服務(wù)，而由于目前針對 WEB服務(wù)的攻 擊除了利用其IE 漏洞、數(shù)據(jù)庫漏洞、操作系統(tǒng)漏洞外，還利用編程語言程序設(shè)計(jì)漏洞，如SQL注入攻擊是最常用的 WEB應(yīng)用攻擊。目前大部分安全防護(hù)都是針對應(yīng)

19、用層以下的攻擊， 而對應(yīng)用層本層的防護(hù)甚少， 因此采用入侵防御系統(tǒng)或WEB防火墻從應(yīng)用層上對WEB服務(wù)提供防護(hù)。入侵防御系統(tǒng)或 WEB防火墻采用專用入侵異常檢測技術(shù)，對WEB應(yīng)用實(shí)施全面、深度防御，能夠有效識別、阻止日益盛行的 WEB 應(yīng)用黑客攻擊（如 SQL 注入、釣魚攻擊、表單繞過、緩沖區(qū)溢出、CGI掃描、目錄遍歷、命令注入、Cookie 注入、跨站腳本（XSS）敏感信息泄露、惡意代碼、錯(cuò)誤配置、隱藏字段、會(huì)話 劫持、參數(shù)篡改、緩沖區(qū)溢出、應(yīng)用層拒絕服務(wù)、弱口令等。網(wǎng)頁防篡改系統(tǒng)實(shí)現(xiàn)防止WEB應(yīng)用程序URL鏈以及WEB應(yīng)用程序非法篡改。 可用性與數(shù)據(jù)安全為提高醫(yī)療HIS高可用

20、性，應(yīng)用系統(tǒng)服務(wù)器應(yīng)采集群方式進(jìn)行部署，實(shí)現(xiàn)應(yīng) 用服務(wù)的高可用性和負(fù)載。為了保障應(yīng)用系統(tǒng)數(shù)據(jù)安全， 對關(guān)鍵數(shù)據(jù)應(yīng)采用密碼機(jī)對應(yīng)用數(shù)據(jù)進(jìn)行加密存儲(chǔ)。同時(shí)采用數(shù)據(jù)備份軟件和磁帶機(jī)對數(shù)據(jù)庫數(shù)據(jù)進(jìn)行備份。4.2.3 安全區(qū)域邊界設(shè)計(jì) 防火墻在網(wǎng)絡(luò)邊界部署防火墻系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)及應(yīng)用的訪問控制機(jī)制。 防火墻采用基于連接狀態(tài)檢測的包過濾模塊， 從系統(tǒng)內(nèi)核層對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析和處理， 將屬于同一連接的所有數(shù)據(jù)包作為一個(gè)整體的數(shù)據(jù)流看待， 同一連接只在第一個(gè)包到來時(shí)檢查規(guī)則一次， 后續(xù)包則只需要檢查其連接狀態(tài)， 系統(tǒng)內(nèi)部高效維護(hù)了一張連接狀態(tài)表。對于基于UDP協(xié)議、ICMP這種無連接狀態(tài)的協(xié)議處理時(shí)

21、，會(huì)為其建立虛擬的連接狀態(tài)表， 因此同樣能夠?qū)B接過程狀態(tài)進(jìn)行監(jiān)控。 防火墻通過規(guī)則表與連接狀態(tài)表的共同配合， 大大地提高了系統(tǒng)的性能和安全性。 防火墻的包過濾控制策略細(xì)致靈活， 不僅可以對數(shù)據(jù)包的進(jìn)/ 出網(wǎng)絡(luò)接口、 協(xié)議（ TCP、 UDP、ICMR以及其他非IP協(xié)議）、源IP、目的IP、源端口、目的端口、IP選項(xiàng)等進(jìn)行 控制，還可采用基于時(shí)間、用戶以及服務(wù)（群組）的控制策略。防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性， 并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。 由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻， 所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣

22、外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。 防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源品&由攻擊和ICMP重定向中的 重定向路徑。防火墻可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。如果所有的訪問都經(jīng)過防火墻， 那么， 防火墻就能記錄下這些訪問并作出日志記錄， 同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。 當(dāng)發(fā)生可疑動(dòng)作時(shí)， 防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警， 并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。 另外， 收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。 首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊， 并且清楚防火墻的控制是否充足。 而網(wǎng)絡(luò)使用統(tǒng)計(jì)對網(wǎng)絡(luò)需求分析和威脅

23、分析等而言也是非常重要的。在以下區(qū)域邊界部署防火墻，實(shí)現(xiàn)有效的安全邊界劃分和訪問控制：在運(yùn)營商接入邊界各部署防火墻；在LNS接入域與醫(yī)療HIS之間部署防火墻在平臺(tái)互聯(lián)網(wǎng)出口出部署防火墻在平臺(tái)的出口和外網(wǎng)出口處部署防火墻 異常流量管理在與外部網(wǎng)絡(luò)通信時(shí)， 對網(wǎng)絡(luò)邊界的各類攻擊， 其中惡意流量攻擊是最主要的方式之一，通過部署抗系統(tǒng)，實(shí)現(xiàn)對SYNFlood、 UDP Flood、 UDP DNS QueryFlood、（M）Stream Flood、ICMP Flood HTTP Get Flood以及連接耗盡這些常見的DOS/DDO敢擊行為能夠有效識別,并通過集成的機(jī)制實(shí)時(shí)對這些攻擊

24、流量進(jìn)行 阻斷。異常流量管理系統(tǒng)的實(shí)時(shí)流量分析器提供了網(wǎng)絡(luò)、應(yīng)用以及IP 地址的實(shí)時(shí)流量采集、分析和展現(xiàn)功能，用戶可以通過IP 地址 （ 用戶 ） 、應(yīng)用、通道、帶寬等方式直觀的查看整個(gè)網(wǎng)絡(luò)中帶寬的詳細(xì)使用情況。它是 IT 管理員優(yōu)化網(wǎng)絡(luò)帶寬、 解決帶寬惡意使用的有力的管理工具， 為后續(xù)的帶寬優(yōu)化與管控、 網(wǎng)絡(luò)規(guī)劃提供科學(xué)的依據(jù)?；谙到y(tǒng)內(nèi)嵌的DPI智能分類引擎，系統(tǒng)可以探測和跟蹤動(dòng)態(tài)端口的分配， 并通過比對協(xié)議的特征庫， 能夠識別變動(dòng)端口的會(huì)話流， 并能夠?qū)κ褂猛欢丝诘牟煌瑓f(xié)議進(jìn)行自動(dòng)識別， 實(shí)現(xiàn)網(wǎng)絡(luò)流量的全面可視化。 用戶可以自定義應(yīng)用的特征碼，避免產(chǎn)生不明流量，清理非法數(shù)據(jù)包及IP 碎

25、片，輸出符合TCP/IPB議的數(shù)據(jù)包。 入侵防御在核心交換機(jī)與服務(wù)域之間部署入侵防御系統(tǒng)， 實(shí)現(xiàn)對各類入侵行為進(jìn)行檢測與阻斷。入侵防御系統(tǒng)能夠識別多種L2L7層的網(wǎng)絡(luò)協(xié)議和應(yīng)用軟件，涵蓋了目前主流的各種應(yīng)用，包括P2P、 VoIP、 IM（ 即時(shí)通訊 ）、視頻 /流媒體、網(wǎng)絡(luò)游戲、炒股軟件、企業(yè)內(nèi)部應(yīng)用、網(wǎng)絡(luò)管理協(xié)議、安全協(xié)議等，對邊界對確認(rèn)的入侵行為進(jìn)行檢測并阻斷， 防止惡意攻擊行為通過邊界進(jìn)入到內(nèi)部網(wǎng)絡(luò)， 破壞網(wǎng)絡(luò)邊界的完整性。 網(wǎng)絡(luò)入侵防御系統(tǒng)能通過對監(jiān)測網(wǎng)絡(luò)的高速報(bào)文捕獲， 進(jìn)行深入?yún)f(xié)議分析， 結(jié)合模式匹配、 統(tǒng)計(jì)以及行為關(guān)聯(lián)分析， 可以對各種類型的事件和流量、 原始報(bào)文

26、進(jìn)行全面深入的監(jiān)測。 通過預(yù)設(shè)的策略條件自動(dòng)執(zhí)行對網(wǎng)絡(luò)中的行為事件的響應(yīng)，主要的幾種響應(yīng)方式：告警，日志，阻斷，自定義響應(yīng)方式。 負(fù)載均衡考慮大量用戶同時(shí)訪問醫(yī)療HIS 時(shí)，將面臨大流量合法用戶的訪問，會(huì)造成應(yīng)用服務(wù)性能受到很大挑戰(zhàn)，很容易因合法用戶造成對應(yīng)用服務(wù)的拒絕服務(wù)攻擊， 因此， 針對應(yīng)用系統(tǒng)采用網(wǎng)絡(luò)負(fù)載均衡機(jī)制， 實(shí)現(xiàn)對合法用戶流量訪問均衡分擔(dān)，避免大流量合法用戶訪問造成應(yīng)用服務(wù)宕機(jī)。4.2.4 安全通信網(wǎng)絡(luò)設(shè)計(jì) 安全接入為保障外部網(wǎng)絡(luò)用戶安全接入到醫(yī)療HIS,采用基于密碼技術(shù)的機(jī)制實(shí)現(xiàn)接入用戶的安全身份認(rèn)證、授權(quán)控制、數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄员Ｗo(hù)。 SS

27、LVPN系統(tǒng)采用SSE全協(xié)議的隧道封裝模式，采用國家密碼主管部門審批的專用算法SM1 等手段來保證廣域網(wǎng)傳輸?shù)耐暾裕?利用密碼技術(shù)保證傳輸數(shù)據(jù)內(nèi)容的完整性，防止篡改傳輸數(shù)據(jù)或被破壞。SSL VPhW關(guān)能夠滿足不同用戶的這種安全需求，支持多種不同強(qiáng)度的身份認(rèn)證方式，如用戶名+ 口令、RADIUS AD、LDAR USB Key證書、證書+ 口令、雙因子認(rèn)證等。適用于豐富的終端及操作系統(tǒng)，還包括一些高端的PDA、智能手機(jī)、 3G 手機(jī)。操作系統(tǒng)方面不僅支持Windows 2000/XP/2003/Vista 等通用的 PC平臺(tái)， 還支持用戶使用 Windows Mobile 平臺(tái)接入， 并且在

28、Windows Mobile 平臺(tái)上能夠提供任意的基于IP的訪問，也支持非 Windows的操作平臺(tái)的遠(yuǎn)程接入。這種支持多平臺(tái)特性為用戶提供了方便的訪問特性， 極大地滿足用戶的需要。 SSLVPN 網(wǎng)關(guān)支持雙機(jī)熱備，可以提供主從，主主兩種業(yè)務(wù)模式，并且其HA 功能可以在不同的型號之間實(shí)現(xiàn)。SSL VPNR關(guān)所使用的基于角色的訪問控制便于管理員制定靈活的控制規(guī)則。通過角色將系統(tǒng)的訪問用戶同系統(tǒng)保護(hù)資源聯(lián)系起來，既直觀， 而且在訪問控制策略發(fā)生變化的時(shí)候無須為每一種資源或者每一個(gè)用戶修改權(quán)限；只需要修改某一種服務(wù)/角色 /用戶的屬性。 SSL VPN 網(wǎng)關(guān)同時(shí)支持對終端環(huán)境的安全檢查。4.2.4.

29、2 虛擬專用網(wǎng)絡(luò)虛擬專用網(wǎng)( Virtual Private Network )技術(shù)是指采用隧道技術(shù)以及加密、身份認(rèn)證等方法， 在公眾網(wǎng)絡(luò)上構(gòu)建專用網(wǎng)絡(luò)的技術(shù)， 數(shù)據(jù)通過安全的 “加密管道”在公眾網(wǎng)絡(luò)中傳播。VPN 技術(shù)實(shí)現(xiàn)了內(nèi)部網(wǎng)信息在公眾信息網(wǎng)中的傳輸，就如同在茫茫的廣域網(wǎng)中為用戶拉出一條專線。 對于用戶來講， 公眾網(wǎng)絡(luò)起到了 “虛擬專用” 的效果。通過 VPN ，網(wǎng)絡(luò)對每個(gè)使用者也是專用的。也就是說， VPN 根據(jù)使用者的身份和權(quán)限，直接將使用者接入他所應(yīng)該接觸的信息中。所以 VPN 對于每個(gè)用戶，也是 “專用” 的。 目前構(gòu)建虛擬專用網(wǎng)的國際標(biāo)準(zhǔn)主要有IPSec、 SSL、 SOCKS

30、 、PPTP 、 L2TP 等協(xié)議。本方案中采用的是國際上使用最廣泛的 IPSEC 協(xié)議。IPSec 提供的安全服務(wù)包括：保密性IPSec在傳輸數(shù)據(jù)包之前將其加密以保證數(shù)據(jù)的保密性完整性IPSec在目的地要驗(yàn)證數(shù)據(jù)包，以保證該數(shù)據(jù)包任傳輸過程中沒有被修改或替換真實(shí)性IPSec端要驗(yàn)證所有受 IPSec 保護(hù)的數(shù)據(jù)包防重放IPSec防止了數(shù)據(jù)包被捕捉并重新投放到網(wǎng)上，即目的地會(huì)拒絕老的或重復(fù)的數(shù)據(jù)包，它通過報(bào)文的序列號實(shí)現(xiàn)。 網(wǎng)絡(luò)安全審計(jì)在網(wǎng)絡(luò)環(huán)境中部署網(wǎng)絡(luò)安全審計(jì)系統(tǒng)實(shí)現(xiàn)各類用戶對應(yīng)用系統(tǒng)、 數(shù)據(jù)庫及網(wǎng)絡(luò)訪問行為進(jìn)行安全審計(jì)，以便發(fā)現(xiàn)違規(guī)行為進(jìn)行安全審計(jì)及事后追蹤。

31、 入侵檢測網(wǎng)絡(luò)安全防護(hù)不但需要防外， 還需要從內(nèi)部進(jìn)行防護(hù)。 入侵行為除了來自網(wǎng)絡(luò)邊界外， 同時(shí)也需要對網(wǎng)絡(luò)內(nèi)的合法用戶的入侵行為進(jìn)行檢測， 因此， 部署入侵檢測系統(tǒng)實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)的入侵行為進(jìn)行檢測與報(bào)警。 入侵檢測系統(tǒng)通過對監(jiān)測網(wǎng)絡(luò)的高速報(bào)文捕獲， 進(jìn)行深入?yún)f(xié)議分析， 結(jié)合模式匹配、 統(tǒng)計(jì)以及行為關(guān)聯(lián)分析， 可以對各種類型的事件和流量、 原始報(bào)文進(jìn)行全面深入的監(jiān)測。 通過預(yù)設(shè)的策略條件自動(dòng)執(zhí)行對網(wǎng)絡(luò)中的行為事件的響應(yīng)，主要的幾種響應(yīng)方式：告警，日志，自定義響應(yīng)方式。4.2.5 安全管理中心設(shè)計(jì)安全管理中心可能由一個(gè)或幾個(gè)安全系統(tǒng)的管理中心共同組成， 各安全系統(tǒng)都實(shí)現(xiàn)三權(quán)分離管理。4.2.5.

32、1 系統(tǒng)管理應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運(yùn)行進(jìn)行配置、 控制和管理， 包括： 用戶身份管理，系統(tǒng)資源配置，系統(tǒng)加載和啟動(dòng)，系統(tǒng)運(yùn)行的異常處理，以及支持管理本地和 / 或異地災(zāi)難備份與恢復(fù)等；應(yīng)對系統(tǒng)管理員進(jìn)行嚴(yán)格的身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對這些操作進(jìn)行審計(jì)。 安全管理應(yīng)通過安全管理員對系統(tǒng)中的主體、 客體進(jìn)行統(tǒng)一標(biāo)記， 進(jìn)行系統(tǒng)安全監(jiān)測，并為安全計(jì)算環(huán)境、 安全區(qū)域邊界、 安全通信網(wǎng)絡(luò)配置統(tǒng)一的安全策略； 應(yīng)對安全管理員進(jìn)行嚴(yán)格的身份鑒別， 并只允許其通過特定的命令或操作界面進(jìn)行安全管理操作，并進(jìn)行審計(jì)。安全管理設(shè)備應(yīng)能過對安全設(shè)備進(jìn)行統(tǒng)一

33、的策略下發(fā)，使得各安全產(chǎn)品共同一個(gè)完整的安全防御體系。 審計(jì)管理應(yīng)通過安全審計(jì)員對分布在系統(tǒng)各個(gè)組成部分的安全審計(jì)機(jī)制進(jìn)行集中管理， 包括： 根據(jù)安全審計(jì)策略對審計(jì)記錄進(jìn)行分類； 提供按時(shí)間段開啟和關(guān)閉相應(yīng)類型的安全審計(jì)機(jī)制； 對各類審計(jì)記錄進(jìn)行存儲(chǔ)、 管理和查詢等； 對審計(jì)記錄進(jìn)行分析， 并根據(jù)分析結(jié)果進(jìn)行處理； 對安全審計(jì)員進(jìn)行嚴(yán)格的身份鑒別， 并只允許其通過特定的命令或操作界面進(jìn)行安全審計(jì)操作。5 安全管理體系設(shè)計(jì)僅有安全技術(shù)防護(hù)， 而無嚴(yán)格的安全管理相配合， 是難以保障網(wǎng)絡(luò)系統(tǒng)運(yùn)行安全的。 因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員的使用方面， 這是計(jì)算機(jī)網(wǎng)絡(luò)安全必須考

34、慮和高度重視的基本問題。嚴(yán)格的安全管理制度， 明確的安全職責(zé)劃分， 合理的人員角色定義， 完備的應(yīng)急響應(yīng)機(jī)制， 都可以在很大程度上減少安全隱患。 因此， 醫(yī)療 HIS 的安全建設(shè)、更多精品文檔學(xué)習(xí) 好資料運(yùn)行、維護(hù)、管理都要重視安全管理，嚴(yán)格按制度進(jìn)行辦事，嚴(yán)格按制度辦事， 明確責(zé)任權(quán)力，規(guī)范操作，加強(qiáng)人員、設(shè)備的管理以及人員的培訓(xùn)，提高安全管 理水平。醫(yī)療HIS安全管理模型如下圖所示：控制點(diǎn)管理 楣工手砂業(yè)務(wù)成用與并朝點(diǎn).人詞的代HE系人員分城管理 權(quán)RL訴任全系統(tǒng)安全布控 同堵.主機(jī).應(yīng)用密產(chǎn)人員布擰 *硬fh軟件 8, 安全管埋中心軟件人員.就毒、4悟.安全制度.密金計(jì)廿（安全設(shè)族管事安

35、拿人員菁屏MXt fir*5.1 管理機(jī)構(gòu)建設(shè)醫(yī)療HIS安全事關(guān)醫(yī)療機(jī)構(gòu)重要政務(wù)的處理和醫(yī)療機(jī)構(gòu)形象以及生命安全， 需要從戰(zhàn)略高度充分認(rèn)識安全防護(hù)的重要性和緊迫性。因此，需要在現(xiàn)有組織設(shè)置的基礎(chǔ)上，進(jìn)一步明確安全管理的相關(guān)組織、機(jī)構(gòu)和職責(zé)，建立集中統(tǒng)一、分 工協(xié)作、各司其職的安全管理責(zé)任機(jī)制。成立經(jīng)安全領(lǐng)導(dǎo)小組，負(fù)責(zé)醫(yī)療 HIS建設(shè)和運(yùn)行維護(hù)過程中有關(guān)安全事 務(wù)的組織協(xié)調(diào)工作。健全安全責(zé)任制，進(jìn)一步明確各部門、單位的安全職責(zé)，包括系統(tǒng)運(yùn)行、 維護(hù)、資產(chǎn)管理等責(zé)任部門，并落實(shí)各項(xiàng)安全工作的具體負(fù)責(zé)人。按最小特權(quán)原則和職責(zé)分離原則，配備系統(tǒng)管理員、安全管理員、安全 審計(jì)員，分工明確，責(zé)任到人。建立

36、定期安全檢查、協(xié)調(diào)機(jī)制，及時(shí)掌握醫(yī)療 HIS的安全狀態(tài)和安全管 理制度執(zhí)行情況。5.2 完善安全管理制度為保證醫(yī)療HIS系統(tǒng)正常運(yùn)行，必須首先建立、健全一套與之相應(yīng)的安全管理制度，需要制定和完善的安全管理制度包括但不限于以下制度規(guī)范：信息安全管理規(guī)范：明確安全目標(biāo)、安全原則、管理組織、職責(zé)和人員、機(jī)房、設(shè)備、軟件、信息介質(zhì)、技術(shù)文檔、安全審計(jì)、應(yīng)急處理等方面的總的管理要求。人員管理相關(guān)制度：明確安全管理人員錄用、培訓(xùn)、調(diào)離、獎(jiǎng)懲等方面的具體要求和各類管理人員的具體職責(zé)。機(jī)房管理相關(guān)制度：明確機(jī)房管理、機(jī)房出入、設(shè)備出入、機(jī)房值班、日常維護(hù)、定期維護(hù)、故障處理、電源管理、消防管理、信息保密等方面

37、的具體管理要求。設(shè)備管理相關(guān)制度： 明確設(shè)備購置、 使用、 維修等方面的具體管理要求。軟件管理相關(guān)制度：明確軟件采購、測試、安裝、登記、保管、使用、維護(hù)、防病毒等方面的具體管理要求。信息介質(zhì)管理相關(guān)制度：明確各類信息介質(zhì)的采購、登記、借用、復(fù)制、銷毀、儲(chǔ)存等方面的具體管理要求。技術(shù)文檔管理相關(guān)制度：明確技術(shù)文檔歸檔、借閱、復(fù)制、備份、銷毀等方面的具體管理要求。安全審計(jì)管理相關(guān)制度：明確安全審計(jì)內(nèi)容、周期、審計(jì)流程以及日志保存時(shí)間、處理等方面的具體管理要求。應(yīng)急處理管理相關(guān)制度：明確處理各類信息安全緊急事件的應(yīng)急組織、人員、響應(yīng)流程、處理步驟等。5.3 加強(qiáng)人才隊(duì)伍建設(shè)由于信息安全的復(fù)雜性、 專業(yè)性、 特殊性， 醫(yī)療 HIS 相關(guān)單位需要重視網(wǎng)絡(luò)安全人員的培養(yǎng)、使用和管理。在人才隊(duì)伍建設(shè)方面，應(yīng)采取以下措施：錄用一定數(shù)量的責(zé)任心強(qiáng)、守紀(jì)律、懂技術(shù)的安全人員，同時(shí)加強(qiáng)安全技術(shù)交流，定期對系統(tǒng)管理員、安全管理員、審計(jì)管理員進(jìn)行專業(yè)的安全培訓(xùn)，