互聯(lián)網(wǎng)醫(yī)療健康惠民服務(wù)醫(yī)院前置機說明-預約掛號直連、深度惠民服

XX省互聯(lián)網(wǎng)醫(yī)療健康XX服務(wù)醫(yī)院前置機說明——預約掛號直連、深度XX服務(wù)目錄TOC\o"1-2"\h\u1、前置機概述 21.1網(wǎng)絡(luò)安全 2前置機的網(wǎng)絡(luò)接入，通過基于COS的醫(yī)療智能集XX全網(wǎng)關(guān)接入醫(yī)院內(nèi)網(wǎng)系統(tǒng)，實現(xiàn)內(nèi)外網(wǎng)隔離，前置機部署完成后，可以訪問外網(wǎng)指定IP/端口的服務(wù)器，支持TCP/IP、FTP通訊協(xié)議。 21.2應用安全 41.3數(shù)據(jù)安全 62前置機各項安全指標 72.1物理安全 72.2網(wǎng)絡(luò)安全 82.3主機安全 92.4應用安全 102.5數(shù)據(jù)安全 11 1、前置機概述前置機主要是作為醫(yī)院與掌上醫(yī)院服務(wù)中心平臺的數(shù)據(jù)通道，因目前醫(yī)院一般不支持公網(wǎng)訪問，而院內(nèi)服務(wù)器可以訪問指定端口的外網(wǎng)服務(wù)器，因此，前置機部署在醫(yī)院內(nèi)部，按照醫(yī)院的安全要求進行開發(fā)和部署，提供內(nèi)外網(wǎng)訪問的數(shù)據(jù)通道。1.1網(wǎng)絡(luò)安全前置機的網(wǎng)絡(luò)接入，通過基于COS的醫(yī)療智能集XX全網(wǎng)關(guān)接入醫(yī)院內(nèi)網(wǎng)系統(tǒng)，實現(xiàn)內(nèi)外網(wǎng)隔離，前置機部署完成后，可以訪問外網(wǎng)指定IP/端口的服務(wù)器，支持TCP/IP、FTP通訊協(xié)議。智能網(wǎng)關(guān)結(jié)構(gòu)圖如下：圖1.1智能集成網(wǎng)關(guān)結(jié)構(gòu) 智能網(wǎng)關(guān)在醫(yī)院端的部署結(jié)構(gòu)如下所示：圖1.2智能網(wǎng)關(guān)部署結(jié)構(gòu)圖 其他網(wǎng)絡(luò)安全：軟硬件防火墻；多重結(jié)構(gòu)，防止被攻擊。通訊采用TCP/IP協(xié)議，保證信息的安全性，對通訊數(shù)據(jù)進行非對稱加密。文件傳輸采用FTP協(xié)議，文件傳輸保證斷點續(xù)傳，文件傳輸為單向上傳機制，防止公網(wǎng)用戶拉取文件。網(wǎng)絡(luò)單向訪問，前置機可以訪問公網(wǎng)指定IP端口的服務(wù)器，公網(wǎng)無法訪問前置機。1.2應用安全前置機與XX省XX服務(wù)平臺公網(wǎng)服務(wù)平臺的通訊全部通過TCP/IP協(xié)議實現(xiàn)，前置機應用啟動時，與公網(wǎng)服務(wù)平臺建立長連接，并維持長連接，設(shè)計了有效的長連接維持機制，并采用MQ作為消息緩存組件，前置機的部署結(jié)構(gòu)如下：圖1.3前置機系統(tǒng)通訊結(jié)構(gòu)圖身份認證，支持身份標識（AppKey），簽名驗證（Sign）。時效性控制，異步消息的時效為30s，超時則記錄超時異常。多級IP鑒權(quán)，系統(tǒng)級/APP級/API級1.3數(shù)據(jù)安全前置機訪問的數(shù)據(jù)庫為院內(nèi)數(shù)據(jù)庫，數(shù)據(jù)庫多以中間庫的方式部署在前置機服務(wù)器上，前置機也可訪問醫(yī)院內(nèi)網(wǎng)服務(wù)器，數(shù)據(jù)庫對前置機的訪問提供專門用戶，并按照表權(quán)限為最小權(quán)限粒度，對前置機數(shù)據(jù)庫用戶進行權(quán)限設(shè)置，并區(qū)分讀寫權(quán)限。 數(shù)據(jù)庫的安全模型如下：圖1.4數(shù)據(jù)庫安全模型數(shù)據(jù)安全等級標識，對關(guān)鍵數(shù)據(jù)表，設(shè)置表權(quán)限；并嚴格區(qū)分用戶讀寫權(quán)限。數(shù)據(jù)隱私等級標識，隱私數(shù)據(jù)，需進行數(shù)據(jù)加鹽加密處理。應答數(shù)據(jù)完整性保護，對返回結(jié)果簽名，并返回數(shù)據(jù)長度，保證數(shù)據(jù)完整性。2前置機各項安全指標前置機各項安全指標符合醫(yī)院服務(wù)接入的基 本要求，各項安全指標的匹配如下文所述2.1物理安全測評指標測評項物理位置的選擇a）前置機部署在醫(yī)院的機房內(nèi)，有完善的通風系統(tǒng)，保持常年恒溫、恒濕。物理訪問控制a）機架有專用鑰匙，由機房管理員管理，其他依賴醫(yī)院機房條件。防盜竊和防破壞a）主要設(shè)備放置在醫(yī)院機房制定機架上，依賴醫(yī)院的保護措施。防雷擊a）服務(wù)器采用了ALT防雷擊技術(shù)和IPT智能電源技術(shù)等高可靠設(shè)計，能夠承受由雷擊而造成的4000伏瞬時高壓。防火a）依賴醫(yī)院機房條件。防水和防潮a）依賴醫(yī)院機房條件。防靜電a）服務(wù)器采用接地防靜電措施。b）機房采用防靜電地板。溫濕度控制a）依賴醫(yī)院機房條件。電力供應a）接入機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備。d）接入醫(yī)院備用UPS電源，提供短期的備用電力供應，至少滿足主要設(shè)備在斷電情況下的正常運行要求。電磁防護a）電源線和網(wǎng)線隔離接入服務(wù)器，防止電磁干擾。2.2網(wǎng)絡(luò)安全測評指標測評項結(jié)構(gòu)安全a）醫(yī)院網(wǎng)絡(luò)訪問控制，前置機可訪問指定外網(wǎng)服務(wù)器，外網(wǎng)設(shè)備無法訪問前置機服務(wù)器b）前置機網(wǎng)絡(luò)穩(wěn)定性及安全性依賴醫(yī)院的內(nèi)外網(wǎng)隔離措施。網(wǎng)絡(luò)訪問控制a）前置機可以訪問外網(wǎng)指定服務(wù)器，外部網(wǎng)絡(luò)不可訪問前置機。b）前置機訪問外網(wǎng)服務(wù)器固定端口，控制粒度為端口級；c）對前置機的通訊做限制，只允許TCP/IP、FTP通訊協(xié)議進行通訊；d）應在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接；e）前置機對通訊協(xié)議做修整補充，通訊的頭部加入用戶名密碼校驗，控制粒度為用戶；f）重要網(wǎng)段應采取技術(shù)手段防止地址欺騙；g）其他訪問控制依賴醫(yī)院網(wǎng)絡(luò)控制；邊界完整性檢查a）非法前置機用戶密碼將不能連接外網(wǎng)服務(wù)器入侵防范a）前置機應用收到密集網(wǎng)絡(luò)攻擊將發(fā)出告警2.3主機安全測評指標測評項身份鑒別a）對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進行身份標識和鑒別，主機除了管理員用戶，開設(shè)一個指定目錄的訪問用戶，以便查看系統(tǒng)運行日志。b）操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識使用復雜用戶口令，字母+符號+數(shù)字，長度不小于10。c）啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施d）對服務(wù)器進行遠程管理時，必須通過醫(yī)聯(lián)網(wǎng)絡(luò)進行跳轉(zhuǎn)，防止信息被竊聽。e）為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性訪問控制a）設(shè)置不同的用戶訪問權(quán)限，依據(jù)安全策略控制用戶對資源的訪問b）實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權(quán)用戶的權(quán)限分離d）定期刪除多余的、過期的帳戶，避免共享帳戶的存在安全審計a）審計范圍應覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；b）定期根據(jù)醫(yī)院的安全審計標準對前置機服務(wù)器進行審計；入侵防范a）檢測到對重要服務(wù)器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警；b）服務(wù)器監(jiān)控前置應用的完整性，應用受到破壞時發(fā)出告警；c）操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新。惡意代碼防范a）服務(wù)器安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；c）服務(wù)器支持防惡意代碼的統(tǒng)一管理。資源控制a）指定醫(yī)聯(lián)平臺的服務(wù)器訪問醫(yī)院前置機；b）前置機設(shè)置登陸超時自動鎖定；d）以文件夾訪問權(quán)限為最小粒度，進行資源訪問權(quán)限控制；2.4應用安全測評指標測評項身份鑒別a）應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別訪問控制a）訪問指定數(shù)據(jù)庫，數(shù)據(jù)庫做嚴格的權(quán)限控制b）訪問指定的webservice，做端口訪問控制c）與公網(wǎng)服務(wù)中心信息傳遞做用戶名密碼校驗d）對公網(wǎng)平臺接口采用權(quán)限控制，防止公網(wǎng)平臺調(diào)用無權(quán)限接口安全審計a）提供覆蓋到公網(wǎng)服務(wù)平臺的安全審計功能，對應用系統(tǒng)重要安全事件進行審計通信完整性a）采用校驗碼技術(shù)以及數(shù)據(jù)通訊包長度校驗技術(shù)保證通信過程中數(shù)據(jù)的完整性通信保密性a）前置機連接外網(wǎng)服務(wù)器前，進行用戶名密碼校驗。b）對通訊過程中的敏感信息進行非對稱加密處理抗抵賴a）不接受外網(wǎng)的請求軟件容錯a）提供數(shù)據(jù)有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數(shù)據(jù)格式或長度符合系統(tǒng)設(shè)定要求資源控制a）通信雙方中的一方在30秒內(nèi)未作任何響應，另一方自動結(jié)束會話b）對系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制，最XX接數(shù)為10。c）應