某醫(yī)院信息安全建設(shè)整體規(guī)劃方案

密級(jí)：秘密

XX大學(xué)附屬XX醫(yī)院

（信息安全建設(shè)整體規(guī)劃方案）

XX有限公司

2010年4月8日

I錄

1工程項(xiàng)目背景...........................................................6

2安全建設(shè)路線............................................................7

2.1設(shè)計(jì)原則.............................................................7

2.1.1等級(jí)保護(hù)建設(shè)原則....................................................7

2.1.2體系化的設(shè)計(jì)原則....................................................7

2.1.3產(chǎn)品的先進(jìn)性原則....................................................7

2.1.4按步驟有序建設(shè)原則..................................................7

2.1.5安全服務(wù)細(xì)致化原則..................................................8

2.2等級(jí)化建設(shè)思路.......................................................8

3系統(tǒng)分析................................................................9

3.1網(wǎng)絡(luò)結(jié)構(gòu)分析.........................................................9

3.1.1業(yè)務(wù)內(nèi)網(wǎng)............................................................9

3.1.2辦公外網(wǎng)...........................................................10

3.2業(yè)務(wù)系統(tǒng)分析........................................................11

3.2.1業(yè)務(wù)內(nèi)網(wǎng)...........................................................11

3.2.2辦公外網(wǎng)...........................................................11

4等級(jí)保護(hù)建設(shè)流程.......................................................13

5方案參照標(biāo)準(zhǔn)...........................................................15

6安全風(fēng)險(xiǎn)與需求分析.....................................................16

6.1安全技術(shù)需求分析....................................................16

6.1.1物理安全風(fēng)險(xiǎn)與需求分析.............................................16

6.1.2計(jì)算環(huán)境安全風(fēng)險(xiǎn)與需求分析........................................17

6.1.3區(qū)域邊界安全風(fēng)險(xiǎn)與需求分析........................................19

6.1.4通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與需求分析........................................20

6.2安全管理需求分析..........................................................22

7技術(shù)體系方案設(shè)計(jì).............................................................22

7.1方案設(shè)計(jì)目標(biāo)...............................................................22

7.2方案設(shè)計(jì)框架...............................................................23

7.3安全技術(shù)體系設(shè)計(jì).........................................................24

7.3.1物理安全設(shè)計(jì).......................................................................................................................24

7.3.2計(jì)算環(huán)境安全設(shè)計(jì)...............................................................................................................26

身份鑒別............................................................26

73.2.2訪問(wèn)控制............................................................27

7.323系統(tǒng)安全審計(jì)........................................................28

7.3.2.4入侵防范........................................................29

73.2.5主機(jī)惡意代碼防范....................................................30

73.2.6軟件容錯(cuò)............................................................30

73.2.7數(shù)據(jù)完整性與保密性..................................................30

73.2.8備份與恢復(fù)..........................................................31

73.2.9資源控制............................................................32

0客體安全重用....................................................33

1抗抵賴...........................................................33

7.3.3區(qū)域邊界安全設(shè)計(jì).............................................................................................................34

7.3.3.1邊界訪問(wèn)控制........................................................34

7.33.2安全隔離網(wǎng)閘........................................................35

7.333流量控制............................................................36

7.3.3.4邊界完整性檢查......................................................38

73.3.5邊界入侵防御........................................................39

73.3.6邊界安全審計(jì)（上網(wǎng)行為管理）........................................39

7.3.3.7網(wǎng)頁(yè)防篡改...........................................................40

7.33.8邊界惡意代碼防范（防毒墻）..........................................40

7.3.4通信網(wǎng)絡(luò)安全設(shè)計(jì)..............................................................................................41

7.3.4.1網(wǎng)絡(luò)結(jié)構(gòu)安全........................................................41

7.3.4.2網(wǎng)絡(luò)安全審計(jì)........................................................41

73.4.3網(wǎng)絡(luò)設(shè)備防護(hù)..........................................................42

73.4.4通信完整性...........................................................43

73.4.5通信保密性...........................................................43

7.3.4.6網(wǎng)絡(luò)可信接入.....................................................43

7.3.5安全管理中心設(shè)計(jì)..............................................................................................44

系統(tǒng)管理..............................................................45

審計(jì)管理..............................................................46

網(wǎng)絡(luò)運(yùn)維及應(yīng)用監(jiān)控管理系統(tǒng)............................................47

7.3.6不同等級(jí)系統(tǒng)互聯(lián)互通........................................................................................48

8安全管理體系設(shè)計(jì)............................................................48

9安全運(yùn)維服務(wù)設(shè)計(jì)............................................................50

9.1安全掃描...................................................................50

9.2人工檢查...................................................................51

9.3安全加固...................................................................51

9.3.1流程........................................................................................................................52

9.3.2內(nèi)容........................................................................................................................52

9.3.3風(fēng)險(xiǎn)規(guī)避................................................................................................................54

9.4日志分析...................................................................55

9.4.1流程........................................................................................................................55

9.4.2內(nèi)容........................................................................................................................56

9.5補(bǔ)丁管理...................................................................56

9.5.1流程........................................................................................................................57

9.5.2內(nèi)容........................................................................................................................57

9.6安全監(jiān)控...................................................................58

9.6.1流程...............................................................58

9.6.2內(nèi)容...............................................................59

9.7安全通告...........................................................60

9.8應(yīng)急響應(yīng)...........................................................61

9.8.1入侵調(diào)查...........................................................61

9.8.2主機(jī)、網(wǎng)絡(luò)異常響應(yīng)................................................61

9.8.3其他緊急事件.......................................................61

9.8.4響應(yīng)流程...........................................................62

9.9安全運(yùn)維服務(wù)的客戶價(jià)值.............................................63

10整體配置方案..........................................................63

10.1安全產(chǎn)品部署說(shuō)明..................................................65

11方案合規(guī)性分析........................................................66

12信息安全產(chǎn)品選型及配置清單.............................................67

12.1產(chǎn)品選型.........................................................67

12.1.1選型建議.........................................................67

12.1.2選型要求.........................................................67

12.2信息安全建設(shè)配置清單.............................................68

12.2.1業(yè)務(wù)內(nèi)網(wǎng)安全產(chǎn)品配置清單........................................68

12.2.2辦公外網(wǎng)安全產(chǎn)品配置清單:........................................69

1工程項(xiàng)目背景

醫(yī)院是一個(gè)信息和技術(shù)密集型的行業(yè)，其計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)完善的辦公網(wǎng)

絡(luò)系統(tǒng)，作為一個(gè)現(xiàn)代化的醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò),除了要滿足高效的內(nèi)部自動(dòng)化辦公需

求以外，還應(yīng)對(duì)外界的通訊保證暢通。結(jié)合醫(yī)院復(fù)雜的HIS、RIS、PACS等應(yīng)用系

統(tǒng)，要求網(wǎng)絡(luò)必須能夠滿足數(shù)據(jù)、語(yǔ)音、圖像等綜合業(yè)務(wù)的傳輸要求，所以在這

樣的網(wǎng)絡(luò)上應(yīng)運(yùn)用多種高性能設(shè)備和先進(jìn)技術(shù)來(lái)保證系統(tǒng)的正常運(yùn)作和穩(wěn)定的

效率。同時(shí)醫(yī)院的網(wǎng)絡(luò)系統(tǒng)連接著Internet、醫(yī)保網(wǎng)和高校等，訪問(wèn)人員比較

復(fù)雜，所以如何保證醫(yī)院網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)安全問(wèn)題尤為重要。在日新月異的現(xiàn)

代化社會(huì)進(jìn)程中，計(jì)算機(jī)網(wǎng)絡(luò)幾乎延伸到了世界每一個(gè)角落，它不停的改變著我

們的工作生活方式和思維方式，但是，計(jì)算機(jī)信息網(wǎng)絡(luò)安全的脆弱性和易受攻擊

性是不容忽視的。由于網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議等安全技術(shù)上的漏

洞和管理體制上的不嚴(yán)密，都會(huì)使計(jì)算機(jī)網(wǎng)絡(luò)受到威脅。我們可以想象一下，對(duì)

于一個(gè)需要高速信息傳達(dá)的現(xiàn)代化醫(yī)院，如果遭到致命攻擊，會(huì)給社會(huì)造成多大

的影響。

在醫(yī)院行業(yè)的信息化建設(shè)過(guò)程中，信息安全的建設(shè)雖然只是一個(gè)很小的部

分，但其重要性不容忽視。便捷、開(kāi)放的網(wǎng)絡(luò)環(huán)境，是醫(yī)院信息化建設(shè)的基礎(chǔ)，

在數(shù)據(jù)傳遞和共享的過(guò)程當(dāng)中，數(shù)據(jù)的安全性要切實(shí)地得到保障，才能保障醫(yī)院

信息化業(yè)務(wù)的正常運(yùn)行。然而，我們的數(shù)據(jù)卻面臨著越來(lái)越多的安全風(fēng)險(xiǎn)，時(shí)刻

對(duì)業(yè)務(wù)的正常運(yùn)行帶來(lái)威脅。

為此，國(guó)家公安部、保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化領(lǐng)導(dǎo)小組辦公

室于2007年聯(lián)合頒布了861號(hào)文件《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)

定級(jí)工作的通知》和《信息安全等級(jí)保護(hù)管理辦法》，要求涉及國(guó)計(jì)民生的信息

系統(tǒng)應(yīng)達(dá)到一定的安全等級(jí)，根據(jù)文件精神和等級(jí)劃分的原則，醫(yī)院信息系統(tǒng)構(gòu)

筑至少應(yīng)達(dá)到二級(jí)或以上防護(hù)要求。

所以，在XXX大學(xué)XXX醫(yī)院的信息化建設(shè)過(guò)程中，我們應(yīng)當(dāng)正視可能面

臨的各種安全風(fēng)險(xiǎn)，對(duì)網(wǎng)絡(luò)威脅給予充分的重視。為了XXX醫(yī)院信息網(wǎng)絡(luò)的安

全穩(wěn)定運(yùn)行，確保醫(yī)院信息系統(tǒng)建設(shè)項(xiàng)目的順利實(shí)施，結(jié)合具體的網(wǎng)絡(luò)和應(yīng)用系

統(tǒng)情況，作為有著豐富醫(yī)療行業(yè)大型安全項(xiàng)目實(shí)施經(jīng)驗(yàn)的XXX有限公司，將以

極大的信心和飽滿的熱情，根據(jù)XXX醫(yī)院目前的計(jì)算機(jī)信息網(wǎng)網(wǎng)絡(luò)特點(diǎn)及安全

需求，本著切合實(shí)際、保護(hù)投資、著眼未來(lái)的原則，提出本技術(shù)方案。

2安全建設(shè)路線

2.1設(shè)計(jì)原則

2.1.1等級(jí)保護(hù)建設(shè)原則

XX醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)屬國(guó)計(jì)民生的重要信息系統(tǒng)，其安全建設(shè)不能忽視

國(guó)家相關(guān)政策要求，在安全保障體系建設(shè)上最終所要達(dá)到的保護(hù)效果應(yīng)符合《信

息系統(tǒng)安全等級(jí)保護(hù)基本要求》。

2.1.2體系化的設(shè)計(jì)原則

系統(tǒng)設(shè)計(jì)應(yīng)充分考慮到各個(gè)層面的安全風(fēng)險(xiǎn)，構(gòu)建完整的安全防護(hù)體系，充

分保證系統(tǒng)的安全性。同時(shí)，應(yīng)確保方案中使用的信息安全產(chǎn)品和技術(shù)方案在設(shè)

計(jì)和實(shí)現(xiàn)的全過(guò)程中有具體的措施來(lái)充分保證其安全性。

2.1.3產(chǎn)品的先進(jìn)性原則

xx醫(yī)院的安全保障體系建設(shè)規(guī)模龐大，意義深遠(yuǎn)。對(duì)所需的各類安全產(chǎn)品

提出了很高的要求。必須認(rèn)真考慮各安全產(chǎn)品的技術(shù)水平、合理性、先進(jìn)性、安

全性和穩(wěn)定性等特點(diǎn)，共同打好工程的技術(shù)基礎(chǔ)。

2.1.4按步驟有序建設(shè)原則

xx醫(yī)院的安全保障體系的建設(shè)是一項(xiàng)長(zhǎng)期的工程，并非?蹴而就解決所有

安全問(wèn)題。因此，在實(shí)際建設(shè)過(guò)程中要根據(jù)實(shí)際情況分輕重緩急，分期、分批的

進(jìn)行部署。

2.1.5安全服務(wù)細(xì)致化原則

要使得安全保障體系發(fā)揮最大的功效，除安全產(chǎn)品的部署外還應(yīng)提供有效的

安全服務(wù)，根據(jù)xx醫(yī)院的網(wǎng)絡(luò)系統(tǒng)具體現(xiàn)狀及承載的重要業(yè)務(wù)，全面而細(xì)致的

安全服務(wù)會(huì)提升日常運(yùn)維及應(yīng)急處理風(fēng)險(xiǎn)的能力。安全服務(wù)就需要把安全服務(wù)商

的專業(yè)技術(shù)經(jīng)驗(yàn)與行業(yè)經(jīng)驗(yàn)相結(jié)合，結(jié)合XX醫(yī)院的實(shí)際信息系統(tǒng)量身定做才可

以保障其信息系統(tǒng)安全穩(wěn)定的運(yùn)行。

2.2等級(jí)化建設(shè)思路

“等級(jí)化安全體系”是依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度，根據(jù)系統(tǒng)在不同階段

的需求、業(yè)務(wù)特性及應(yīng)用重點(diǎn)，采用等級(jí)化與體系化相結(jié)合的安全體系設(shè)計(jì)方法,

幫助構(gòu)建一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的安全防御體系。

根據(jù)等級(jí)化安全保障體系的設(shè)計(jì)思路，等級(jí)保護(hù)的設(shè)計(jì)與實(shí)施通過(guò)以下步驟

進(jìn)行：

1.系統(tǒng)識(shí)別與定級(jí)：通過(guò)分析系統(tǒng)所屬類型、所屬信息類別、服務(wù)范圍以

及業(yè)務(wù)對(duì)系統(tǒng)的依賴程度確定系統(tǒng)的等級(jí)。通過(guò)此步驟充分了解系統(tǒng)狀

況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等級(jí)，為下一步安

全域設(shè)計(jì)、安全保障體系框架設(shè)計(jì)、安全要求選擇以及安全措施選擇提

供依據(jù)。

2.安全域設(shè)計(jì)：根據(jù)第一步的結(jié)果，通過(guò)分析系統(tǒng)業(yè)務(wù)流程、功能模塊，

根據(jù)安全域劃分原則設(shè)計(jì)系統(tǒng)安全域架構(gòu)。通過(guò)安全域設(shè)計(jì)將系統(tǒng)分解

為多個(gè)層次，為下一步安全保障體系框架設(shè)計(jì)提供基礎(chǔ)框架。

3.安全保障體系框架設(shè)計(jì)：根據(jù)安全域框架，設(shè)計(jì)系統(tǒng)各個(gè)層次的安全保

障體系框架（包括策略、組織、技術(shù)和運(yùn)作），各層次的安全保障體系框

架形成系統(tǒng)整體的安全保障體系框架。

4.確定安全域安全要求：參照國(guó)家相關(guān)等級(jí)保護(hù)安全要求，設(shè)計(jì)等級(jí)安全

指標(biāo)庫(kù)。通過(guò)安全域適用安全等級(jí)選擇方法確定系統(tǒng)各區(qū)域等級(jí)，明確

各安全域所需采用的安全指標(biāo)。

5.評(píng)估現(xiàn)狀：根據(jù)各等級(jí)的安全要求確定各等級(jí)的評(píng)估內(nèi)容，根據(jù)國(guó)家相

關(guān)風(fēng)險(xiǎn)評(píng)估方法，對(duì)系統(tǒng)各層次安全域進(jìn)行有針對(duì)性的等級(jí)風(fēng)險(xiǎn)評(píng)估。

通過(guò)等級(jí)風(fēng)險(xiǎn)評(píng)估，可以明確各層次安全域相應(yīng)等級(jí)的安全差距，為下

一步安全技術(shù)解決方案設(shè)計(jì)和安全管理建設(shè)提供依據(jù)。

6.安全技術(shù)解決方案設(shè)計(jì)：針對(duì)安全要求，建立安全技術(shù)措施庫(kù)。通過(guò)等

級(jí)風(fēng)險(xiǎn)評(píng)估結(jié)果，設(shè)計(jì)系統(tǒng)安全技術(shù)解決方案。

7.安全管理建設(shè)：針對(duì)安全要求，建立安全管理措施庫(kù)。通過(guò)等級(jí)風(fēng)險(xiǎn)評(píng)

估結(jié)果，進(jìn)行安全管理建設(shè)。

通過(guò)如上步驟，XX醫(yī)院的網(wǎng)絡(luò)信息系統(tǒng)可以形成整體的等級(jí)化的安全保障

體系，同時(shí)根據(jù)安全技術(shù)建設(shè)和安全管理建設(shè)，保障系統(tǒng)整體的安全。

3系統(tǒng)分析

3.1網(wǎng)絡(luò)結(jié)構(gòu)分析

從目前xx醫(yī)院的全局網(wǎng)絡(luò)結(jié)構(gòu)上看，可以分為兩大部分，用于日常醫(yī)療信

息交換的業(yè)務(wù)網(wǎng)以及實(shí)時(shí)獲取Internet信息資源的辦公網(wǎng)。其中，醫(yī)院內(nèi)部業(yè)務(wù)

網(wǎng)是醫(yī)院業(yè)務(wù)開(kāi)展的重要平臺(tái)，承載著核心業(yè)務(wù)，同時(shí)具有相應(yīng)鏈路與衛(wèi)生局、

社保和銀行等其他機(jī)構(gòu)交換數(shù)據(jù)；而辦公網(wǎng)主要對(duì)外提供信息發(fā)布門(mén)戶，對(duì)內(nèi)提

供Internet網(wǎng)絡(luò)接入等服務(wù)。

3.1.1業(yè)務(wù)內(nèi)網(wǎng)

XX醫(yī)院的業(yè)務(wù)內(nèi)網(wǎng)是由在建的新辦公大樓中心機(jī)房、各業(yè)務(wù)大樓（如：門(mén)

診大樓、急診大樓、住院大樓、科學(xué)樓、醫(yī)技樓、肝病大樓等）以及蘿崗醫(yī)院（包

括災(zāi)備中心）等幾部分組成，其中新辦公大樓中心機(jī)房是整個(gè)業(yè)務(wù)網(wǎng)絡(luò)的核心，

主要提供醫(yī)療數(shù)據(jù)交換、存儲(chǔ)和醫(yī)院業(yè)務(wù)系統(tǒng)的運(yùn)維。各業(yè)務(wù)大樓主要提供奏護(hù)

人員的日常業(yè)務(wù)的開(kāi)展。

整個(gè)XX醫(yī)院的業(yè)務(wù)網(wǎng)絡(luò)由核心層、匯聚層和接入層的網(wǎng)絡(luò)交換設(shè)備組成網(wǎng)

絡(luò)的骨干，然后通過(guò)各樓層交換機(jī)接入到各個(gè)業(yè)務(wù)大樓，為了防止網(wǎng)絡(luò)設(shè)備由于

單點(diǎn)故障而影響業(yè)務(wù)系統(tǒng)的可用性，在主要的核心節(jié)點(diǎn)設(shè)備上都采用了雙機(jī)冗余

的方式在線運(yùn)行。此外，還有相應(yīng)的VPN專線連接到衛(wèi)生局、社保和銀行等外

部單位，進(jìn)行相關(guān)的醫(yī)療業(yè)務(wù)數(shù)據(jù)交換。

XX醫(yī)院的業(yè)務(wù)內(nèi)網(wǎng)拓樸圖所下所示：

PACS以及HIS等

服務(wù)器群

敷揖中，小

門(mén)診樓中入

【圖一：XX醫(yī)院業(yè)務(wù)內(nèi)網(wǎng)】

3.1.2辦公外網(wǎng)

辦公外網(wǎng)主要由門(mén)診樓中心機(jī)房、各接入業(yè)務(wù)大樓、Internet接入?yún)^(qū)和中大

校園網(wǎng)出口等幾部分組成；辦公外網(wǎng)的組網(wǎng)方式與業(yè)務(wù)網(wǎng)有些類似，但其主要職

能是供本院醫(yī)職人員的互聯(lián)網(wǎng)瀏覽服務(wù)以及對(duì)外網(wǎng)站的發(fā)布，所以辦公外網(wǎng)采用

的是成本更低廉單核心網(wǎng)絡(luò)架構(gòu)，以滿足一般性的外網(wǎng)業(yè)務(wù)需求。

XX醫(yī)院的辦公外網(wǎng)拓?fù)鋱D如下所示:

3.2業(yè)務(wù)系統(tǒng)分析

3.2.1業(yè)務(wù)內(nèi)網(wǎng)

經(jīng)過(guò)近十多年的發(fā)展，XX醫(yī)院信息系統(tǒng)(HospitalInformationSystem,HIS)

建設(shè)初具規(guī)模，日趨完善。信息系統(tǒng)的發(fā)展經(jīng)歷了從單機(jī)系統(tǒng)、局部網(wǎng)絡(luò)系統(tǒng)到

整個(gè)醫(yī)院信息系統(tǒng)的多個(gè)階段，可以說(shuō)，HIS系統(tǒng)是XX醫(yī)院醫(yī)療信息化的最核

心資產(chǎn)。

另外，內(nèi)網(wǎng)還運(yùn)行有CLS系統(tǒng)、PACS系統(tǒng)、ES系統(tǒng)、CRS系統(tǒng)和B超等

業(yè)務(wù)應(yīng)用系統(tǒng)，它們也是XX醫(yī)院日常業(yè)務(wù)正常開(kāi)展的重要組成部分。

3.2.2辦公外網(wǎng)

辦公外網(wǎng)是XX醫(yī)院對(duì)外綜合性服務(wù)系統(tǒng)的載體，和Internet直接連接，并且

按照醫(yī)院相關(guān)規(guī)定和運(yùn)行HIS系統(tǒng)的業(yè)務(wù)內(nèi)網(wǎng)物理隔離。主要應(yīng)用有：

＞信息發(fā)布網(wǎng)站：各級(jí)醫(yī)療系統(tǒng)的Web網(wǎng)站是其公眾形象的重要體現(xiàn)形式

之一，其主要功能是發(fā)布正式的醫(yī)院官方的文件和信息等。

郵件和Internet瀏覽服務(wù)：除了提供對(duì)外網(wǎng)站發(fā)布服務(wù)，醫(yī)院辦公網(wǎng)絡(luò)

系統(tǒng)還對(duì)內(nèi)部人員提供郵件服務(wù)和Internet瀏覽服務(wù)。

外網(wǎng)0A系統(tǒng)：則主要指用于日常辦公的終端、辦公自動(dòng)化應(yīng)用服務(wù)器

和數(shù)據(jù)庫(kù)，對(duì)于XX醫(yī)院0A系統(tǒng)，主要包含的應(yīng)用有：電子郵件、公

文傳遞及批復(fù)、文件傳輸和內(nèi)部主頁(yè)等日常辦公文件處理。

4等級(jí)保護(hù)建設(shè)流程

XXX公司提出的“按需防御的等級(jí)化安全體系”是依據(jù)國(guó)家信息安全等級(jí)保

護(hù)制度，根據(jù)系統(tǒng)在不同階段的需求、業(yè)務(wù)特性及應(yīng)用重點(diǎn)，采用等級(jí)化的安全

體系設(shè)計(jì)方法，幫助構(gòu)建一套覆蓋全面、重點(diǎn)突出、節(jié)約成本、持續(xù)運(yùn)行的等級(jí)

化安全防御體系。

“等級(jí)化”設(shè)計(jì)方法，是根據(jù)需要保護(hù)的信息系統(tǒng)確定不同的安全等級(jí)，根據(jù)

安全等級(jí)確定不同等級(jí)的安全目標(biāo)，形成不同等級(jí)的安全措施進(jìn)行保護(hù)。等級(jí)保

護(hù)的精髓思想就是“等級(jí)化”。等級(jí)保護(hù)可以把業(yè)務(wù)系統(tǒng)、信息資產(chǎn)、安全邊界

等進(jìn)行“等級(jí)化”，分而治之，從而實(shí)現(xiàn)信息安全等級(jí)保護(hù)的“等級(jí)保護(hù)、適度

安全”思想。

整體的安全保障體系包括技術(shù)和管理兩大部分，其中技術(shù)部分根據(jù)《信息系

統(tǒng)安全等級(jí)保護(hù)基本要求》分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)

據(jù)安全五個(gè)方面進(jìn)行建設(shè)；而管理部分根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

則分為安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維

管理五個(gè)方面。

整個(gè)安全保障體系各部分既有機(jī)結(jié)合，又相互支撐。之間的關(guān)系可以理解為

“構(gòu)建安全管理機(jī)構(gòu)，制定完善的安全管理制度及安全策略，由相關(guān)人員，利用

技術(shù)工手段及相關(guān)工具，進(jìn)行系統(tǒng)建設(shè)和運(yùn)行維護(hù)。”

根據(jù)等級(jí)化安全保障體系的設(shè)計(jì)思路，等級(jí)保護(hù)的設(shè)計(jì)與實(shí)施通過(guò)以下步驟

進(jìn)行：

1.系統(tǒng)識(shí)別與定級(jí)：確定保護(hù)對(duì)象，通過(guò)分析系統(tǒng)所屬類型、所屬信息類

別、服務(wù)范圍以及業(yè)務(wù)對(duì)系統(tǒng)的依賴程度確定系統(tǒng)的等級(jí)。通過(guò)此步驟

充分了解系統(tǒng)狀況，包括系統(tǒng)業(yè)務(wù)流程和功能模塊，以及確定系統(tǒng)的等

級(jí)，為下一步安全域設(shè)計(jì)、安全保障體系框架設(shè)計(jì)、安全要求選擇以及

安全措施選擇提供依據(jù)。

2.安全域設(shè)計(jì)：根據(jù)第一步的結(jié)果，通過(guò)分析醫(yī)院系統(tǒng)業(yè)務(wù)流程、功能模

塊，根據(jù)安全域劃分原則設(shè)計(jì)系統(tǒng)安全域架構(gòu)。通過(guò)安全域設(shè)計(jì)將系統(tǒng)

分解為多個(gè)層次，為下一步安全保障體系框架設(shè)計(jì)提供基礎(chǔ)框架。

3.確定安全域安全要求：參照國(guó)家相關(guān)等級(jí)保護(hù)安全要求，設(shè)計(jì)不同安全

域的安全要求。通過(guò)安全域適用安全等級(jí)選擇方法確定系統(tǒng)各區(qū)域等級(jí),

明確各安全域所需采用的安全指標(biāo)。

4.評(píng)估現(xiàn)狀：根據(jù)各等級(jí)的安全要求確定各等級(jí)的評(píng)估內(nèi)容，根據(jù)國(guó)家相

關(guān)風(fēng)險(xiǎn)評(píng)估方法，對(duì)系統(tǒng)各層次安全域進(jìn)行有針對(duì)性的等級(jí)風(fēng)險(xiǎn)評(píng)估。

并找出系統(tǒng)安全現(xiàn)狀與等級(jí)要求的差距，形成完整準(zhǔn)確的按需防御的安

全需求。通過(guò)等級(jí)風(fēng)險(xiǎn)評(píng)估，可以明確各層次安全域相應(yīng)等級(jí)的安全差

距，為下一步安全技術(shù)解決方案設(shè)計(jì)和安全管理建設(shè)提供依據(jù)。

5.安全保障體系方案設(shè)計(jì)：根據(jù)安全域框架，設(shè)計(jì)系統(tǒng)各個(gè)層次的安全保

障體系框架以及具體方案。包括：各層次的安全保障體系框架形成系統(tǒng)

整體的安全保障體系框架；詳細(xì)安全技術(shù)設(shè)計(jì)、安全管理設(shè)計(jì)。

6.安全建設(shè)：根據(jù)方案設(shè)計(jì)內(nèi)容逐步進(jìn)行安全建設(shè)，滿足方案設(shè)計(jì)并要符

合的安全需求，滿足等級(jí)保護(hù)相應(yīng)等級(jí)的基本要求，實(shí)現(xiàn)按需防御。

7.持續(xù)安全運(yùn)維：通過(guò)安全預(yù)警、安全監(jiān)控、安全加固、安全審計(jì)、應(yīng)急

響應(yīng)等，從事前、事中、事后三個(gè)方面進(jìn)行安全運(yùn)行維護(hù)，確保系統(tǒng)的

持續(xù)安全，滿足持續(xù)性按需防御的安全需求。

通過(guò)如上步驟，系統(tǒng)可以形成整體的等級(jí)化的安全保障體系，同時(shí)根據(jù)安全

技術(shù)建設(shè)和安全管理建設(shè)，保障XX醫(yī)院系統(tǒng)整體的安全。而應(yīng)該特別注意的是:

等級(jí)保護(hù)不是一個(gè)項(xiàng)目，它應(yīng)該是一個(gè)不斷循環(huán)的過(guò)程,所以通過(guò)整個(gè)安全項(xiàng)目、

安全服務(wù)的實(shí)施，來(lái)保證XX醫(yī)院等級(jí)保護(hù)的建設(shè)能夠持續(xù)的運(yùn)行，能夠使整個(gè)

系統(tǒng)隨著環(huán)境的變化達(dá)到持續(xù)的安全。

5方案參照標(biāo)準(zhǔn)

?GB/T21052-2007信息安全等級(jí)保護(hù)信息系統(tǒng)物理安全技術(shù)要求

?信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求

?信息安全技術(shù)信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南

?信息安全技術(shù)信息安全等級(jí)保護(hù)實(shí)施指南

?信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)指南

?GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求

?GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求

?GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

?GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求

?GB/T20281-2006信息安全技術(shù)防火墻技術(shù)要求與測(cè)試評(píng)價(jià)方法

?GB/T20275-2006信息安全技術(shù)入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法

?GB/T20278-2006信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求

?GB/T20277-2006信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測(cè)試評(píng)價(jià)方法

?GB/T20279-2006信息安全技術(shù)網(wǎng)絡(luò)端設(shè)備隔離部件技術(shù)耍求

?GB/T20280-2006信息安全技術(shù)網(wǎng)絡(luò)端設(shè)備隔離部件測(cè)試評(píng)價(jià)方法

等。

6安全風(fēng)險(xiǎn)與需求分析

伴隨著xx醫(yī)院信息化的快速發(fā)展，信息安全問(wèn)題日益顯現(xiàn)。從醫(yī)院安全建

設(shè)角度，目前還沒(méi)有成規(guī)模的部署安全產(chǎn)品，采用最多的只是桌面防病毒、網(wǎng)絡(luò)

防火墻和IDS入侵檢測(cè)等傳統(tǒng)安全技術(shù)手段，無(wú)論是業(yè)務(wù)網(wǎng)還是辦公網(wǎng)均面臨

著來(lái)自網(wǎng)絡(luò)外部和內(nèi)部的一系列新型復(fù)雜的安全威脅；因此，必須認(rèn)清威脅，明

確需求，采取措施“攘外”與“安內(nèi)”并舉，才能確保XX醫(yī)院信息化的順利進(jìn)

行。

需要說(shuō)明的是，業(yè)務(wù)網(wǎng)上承載著最核心HIS系統(tǒng)，整個(gè)安全建設(shè)將圍繞保障

業(yè)務(wù)系統(tǒng)的安全運(yùn)行為目標(biāo)。其次是辦公外網(wǎng)，既在諸如終端防護(hù)上具備和業(yè)務(wù)

網(wǎng)類似的安全需求，又因邊界的不同屬性需要采取不同的個(gè)性化解決方案。

6.1安全技術(shù)需求分析

6.1.1物理安全風(fēng)險(xiǎn)與需求分析

物理安全風(fēng)險(xiǎn)主要是指網(wǎng)絡(luò)周邊的環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路

的不可使用，從而會(huì)造成網(wǎng)絡(luò)系統(tǒng)的不可使用，甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。它是

整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提和基礎(chǔ)，只有保證了物理層的可用性，才能使得整個(gè)網(wǎng)

絡(luò)的可用性，進(jìn)而提高整個(gè)網(wǎng)絡(luò)的抗破壞力。例如：

?機(jī)房缺乏控制，人員隨意出入帶來(lái)的風(fēng)險(xiǎn)；

?網(wǎng)絡(luò)設(shè)備被盜、被毀壞；

?線路老化或是有意、無(wú)意的破壞線路；

?設(shè)備在非預(yù)測(cè)情況下發(fā)生故障、停電等；

?自然災(zāi)害如地震、水災(zāi)、火災(zāi)、雷擊等；

?電磁干擾等。

因此，在通盤(pán)考慮安全風(fēng)險(xiǎn)時(shí)，應(yīng)優(yōu)先考慮物理安全風(fēng)險(xiǎn)。保證網(wǎng)絡(luò)正常運(yùn)

行的前提是將物理層安全風(fēng)險(xiǎn)降到最低或是盡量考慮在非正常情況下物理層出

現(xiàn)風(fēng)險(xiǎn)問(wèn)題時(shí)的應(yīng)對(duì)方案。

6.1.2計(jì)算環(huán)境安全風(fēng)險(xiǎn)與需求分析

計(jì)算環(huán)境的安全主要指主機(jī)以及應(yīng)用層面的安全風(fēng)險(xiǎn)與需求分析，包括：身

份鑒別、訪問(wèn)控制、系統(tǒng)審計(jì)、入侵防范、惡意代碼防范、軟件容錯(cuò)、數(shù)據(jù)完整

性與保密性、備份與恢復(fù)、資源合理控制、剩余信息保護(hù)、抗抵賴等方面。

?身份鑒別

身份鑒別包括主機(jī)和應(yīng)用兩個(gè)方面。

主機(jī)操作系統(tǒng)登錄、數(shù)據(jù)庫(kù)登陸以及應(yīng)用系統(tǒng)登錄均必須進(jìn)行身份驗(yàn)證。過(guò)

于簡(jiǎn)單的標(biāo)識(shí)符和口令容易被窮舉攻擊破解。同時(shí)非法用戶可以通過(guò)網(wǎng)絡(luò)進(jìn)行竊

聽(tīng)，從而獲得管理員權(quán)限，可以對(duì)任何資源非法訪問(wèn)及越權(quán)操作。因此必須提高

用戶名/口令的復(fù)雜度，且防止被網(wǎng)絡(luò)竊聽(tīng)；同時(shí)應(yīng)考慮失敗處理機(jī)制。

?訪問(wèn)控制

訪問(wèn)控制包括主機(jī)和應(yīng)用兩個(gè)方面。

訪問(wèn)控制主要為了保證用戶對(duì)主機(jī)資源和應(yīng)用系統(tǒng)資源的合法使用。非法用

戶可能企圖假冒合法用戶的身份進(jìn)入系統(tǒng)，低權(quán)限的合法用戶也可能企圖執(zhí)行高

權(quán)限用戶的操作，這些行為將給主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)帶來(lái)了很大的安全風(fēng)險(xiǎn)。用

戶必須擁有合法的用戶標(biāo)識(shí)符，在制定好的訪問(wèn)控制策略下進(jìn)行操作，杜絕越權(quán)

非法操作。

?系統(tǒng)審計(jì)

系統(tǒng)審計(jì)包括主機(jī)審計(jì)和應(yīng)用審計(jì)兩個(gè)方面。

對(duì)于登陸主機(jī)后的操作行為則需要進(jìn)行主機(jī)審計(jì)。對(duì)于服務(wù)器和重要主機(jī)需

要進(jìn)行嚴(yán)格的行為控制，對(duì)用戶的行為、使用的命令等進(jìn)行必要的記錄審計(jì)，便

于日后的分析、調(diào)查、取證，規(guī)范主機(jī)使用行為。而對(duì)于應(yīng)用系統(tǒng)同樣提出了應(yīng)

用審計(jì)的要求，即對(duì)應(yīng)用系統(tǒng)的使用行為進(jìn)行審計(jì)。重點(diǎn)審計(jì)應(yīng)用層信息，和業(yè)

務(wù)系統(tǒng)的運(yùn)轉(zhuǎn)流程息息相關(guān)。能夠?yàn)榘踩录峁┳銐虻男畔ⅲc身份認(rèn)證與訪

問(wèn)控制聯(lián)系緊密，為相關(guān)事件提供審計(jì)記錄。

?入侵防范

主機(jī)操作系統(tǒng)面臨著各類具有針對(duì)性的入侵威脅，常見(jiàn)操作系統(tǒng)存在著各種

安全漏洞，并且現(xiàn)在漏洞被發(fā)現(xiàn)與漏洞被利用之間的時(shí)間差變得越來(lái)越短，這就

使得操作系統(tǒng)本身的安全性給整個(gè)系統(tǒng)帶來(lái)巨大的安全風(fēng)險(xiǎn)，因此對(duì)于主機(jī)操作

系統(tǒng)的安裝，使用、維護(hù)等提出了需求，防范針對(duì)系統(tǒng)的入侵行為。

?惡意代碼防范

病毒、蠕蟲(chóng)等惡意代碼是對(duì)計(jì)算環(huán)境造成危害最大的隱患，當(dāng)前病毒威脅非

常嚴(yán)峻，特別是蠕蟲(chóng)病毒的爆發(fā)，會(huì)立刻向其他子網(wǎng)迅速蔓延，發(fā)動(dòng)網(wǎng)絡(luò)攻擊和

數(shù)據(jù)竊密。大量占據(jù)正常業(yè)務(wù)十分有限的帶寬，造成網(wǎng)絡(luò)性能嚴(yán)重下降、服務(wù)器

崩潰甚至網(wǎng)絡(luò)通信中斷，信息損壞或泄漏。嚴(yán)重影響正常業(yè)務(wù)開(kāi)展。因此必須部

署惡意代碼防范軟件進(jìn)行防御。同時(shí)保持惡意代碼庫(kù)的及時(shí)更新。

?軟件容錯(cuò)

軟件容錯(cuò)的主要目的是提供足夠的冗余信息和算法程序，使系統(tǒng)在實(shí)際運(yùn)行

時(shí)能夠及時(shí)發(fā)現(xiàn)程序設(shè)計(jì)錯(cuò)誤,采取補(bǔ)救措施，以提高軟件可靠性，保證整個(gè)計(jì)算

機(jī)系統(tǒng)的正常運(yùn)行。

?數(shù)據(jù)安全

主要指數(shù)據(jù)的完整性與保密性。數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。所有的措施最

終無(wú)不是為了業(yè)務(wù)數(shù)據(jù)的安全。因此數(shù)據(jù)的備份十分重要，是必須考慮的問(wèn)題。

應(yīng)采取措施保證數(shù)據(jù)在傳輸過(guò)程中的完整性以及保密性；保護(hù)鑒別信息的保密性

?備份與恢復(fù)

數(shù)據(jù)是信息資產(chǎn)的直接體現(xiàn)。所有的措施最終無(wú)不是為了業(yè)務(wù)數(shù)據(jù)的安全。

因此數(shù)據(jù)的備份十分重要，是必須考慮的問(wèn)題。對(duì)于關(guān)鍵數(shù)據(jù)應(yīng)建立數(shù)據(jù)的備份

機(jī)制，而對(duì)于網(wǎng)絡(luò)的關(guān)鍵設(shè)備、線路均需進(jìn)行冗余配置，備份與恢復(fù)是應(yīng)對(duì)突發(fā)

事件的必要措施。

?資源合理控制

資源合理控制包括主機(jī)和應(yīng)用兩個(gè)方面。

主機(jī)系統(tǒng)以及應(yīng)用系統(tǒng)的資源是有限的，不能無(wú)限濫用。系統(tǒng)資源必須能夠

為正常用戶提供資源保障。否則會(huì)出現(xiàn)資源耗盡、服務(wù)質(zhì)量下降甚至服務(wù)中斷等

后果。因此對(duì)于系統(tǒng)資源進(jìn)行控制，制定包括：登陸條件限制、超時(shí)鎖定、用戶

可用資源閾值設(shè)置等資源控制策略。

?剩余信息保護(hù)

對(duì)于正常使用中的主機(jī)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)等，經(jīng)常需要對(duì)用戶的鑒別信

息、文件、目錄、數(shù)據(jù)庫(kù)記錄等進(jìn)行臨時(shí)或長(zhǎng)期存儲(chǔ)，在這些存儲(chǔ)資源重新分配

前，如果不對(duì)其原使用者的信息進(jìn)行清除，將會(huì)引起用戶信息泄漏的安全風(fēng)險(xiǎn)，

因此，需要確保系統(tǒng)內(nèi)的用戶鑒別信息文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存

儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完全清除

對(duì)于動(dòng)態(tài)管理和使用的客體資源，應(yīng)在這些客體資源重新分配前，對(duì)其原使

用者的信息進(jìn)行清除，以確保信息不被泄漏。

?抗抵賴

對(duì)于數(shù)據(jù)安全，不僅面臨著機(jī)密性和完整性的問(wèn)題，同樣還面臨著抗抵賴性

（不可否認(rèn)性）的問(wèn)題，應(yīng)采用技術(shù)手段防止用戶否認(rèn)其數(shù)據(jù)發(fā)送和接收行為，

為數(shù)據(jù)收發(fā)雙方提供證據(jù)。

6.1.3區(qū)域邊界安全風(fēng)險(xiǎn)與需求分析

區(qū)域邊界的安全主要包括：邊界訪問(wèn)控制、邊界完整性檢測(cè)、邊界入侵防范

以及邊界安全審計(jì)等方面。

?邊界訪問(wèn)控制

對(duì)于各類邊界最基本的安全需求就是訪問(wèn)控制，對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)

信息進(jìn)行控制，阻止非授權(quán)及越權(quán)訪問(wèn)O

?邊界完整性檢測(cè)

邊界的完整性如被破壞則所有控制規(guī)則將失去效力，因此需要對(duì)內(nèi)部網(wǎng)絡(luò)中

出現(xiàn)的內(nèi)部用戶未通過(guò)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，維護(hù)邊界完整

性。

?邊界入侵防范

各類網(wǎng)絡(luò)攻擊行為既可能來(lái)自于大家公認(rèn)的互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)，在內(nèi)部也同

樣存在。通過(guò)安全措施，要實(shí)現(xiàn)主動(dòng)阻斷針對(duì)信息系統(tǒng)的各種攻擊，如病毒、木

馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS等，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層以及業(yè)務(wù)系

統(tǒng)的安全防護(hù)，保護(hù)核心信息資產(chǎn)的免受攻擊危害。

?邊界安全審計(jì)

在安全區(qū)域邊界需要建立必要的審計(jì)機(jī)制，對(duì)進(jìn)出邊界的各類網(wǎng)絡(luò)行為進(jìn)行

記錄與審計(jì)分析，可以和主機(jī)審計(jì)、應(yīng)用審計(jì)以及網(wǎng)絡(luò)審計(jì)形成多層次的審計(jì)系

統(tǒng)。并可通過(guò)安全管理中心集中管理。

?邊界惡意代碼防范

現(xiàn)今，病毒的發(fā)展呈現(xiàn)出以下趨勢(shì):病毒與黑客程序相結(jié)合、蠕蟲(chóng)病毒更加

泛濫，目前計(jì)算機(jī)病毒的傳播途徑與過(guò)去相比已經(jīng)發(fā)生了很大的變化，更多的以

網(wǎng)絡(luò)（包括Internet,廣域網(wǎng)、局域網(wǎng)）形態(tài)進(jìn)行傳播，因此為了安全的防護(hù)手

段也需以變應(yīng)變。迫切需要網(wǎng)關(guān)型產(chǎn)品在網(wǎng)絡(luò)層面對(duì)病毒予以查殺。

6.1.4通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與需求分析

xx醫(yī)院通信網(wǎng)絡(luò)的安全主要包括：網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)安全審計(jì)、網(wǎng)絡(luò)設(shè)

備防護(hù)、通信完整性與保密性等方面。

?網(wǎng)絡(luò)結(jié)構(gòu)

網(wǎng)絡(luò)結(jié)構(gòu)是否合理直接影響著是否能夠有效的承載業(yè)務(wù)需要。因此網(wǎng)絡(luò)結(jié)構(gòu)

需要具備一定的冗余性；帶寬能夠滿足業(yè)務(wù)高峰時(shí)期數(shù)據(jù)交換需求；并合理的劃

分網(wǎng)段和VLAN。

?網(wǎng)絡(luò)安全審計(jì)

由于用戶的計(jì)算機(jī)相關(guān)的知識(shí)水平參差不齊，一旦某些安全意識(shí)薄弱的管理

用戶誤操作，將給信息系統(tǒng)帶來(lái)致命的破壞。沒(méi)有相應(yīng)的審計(jì)記錄將給事后追查

帶來(lái)困難。有必要進(jìn)行基于網(wǎng)絡(luò)行為的審計(jì)。從而威懾那些心存僥幸、有惡意企

圖的少部分用戶，以利于規(guī)范正常的網(wǎng)絡(luò)應(yīng)用行為。

?網(wǎng)絡(luò)設(shè)備防護(hù)

由于XX醫(yī)院在建網(wǎng)絡(luò)系統(tǒng)將會(huì)使用大量的網(wǎng)絡(luò)設(shè)備和安全設(shè)備，如交換

機(jī)、防火墻、入侵檢測(cè)設(shè)備等。這些設(shè)備的自身安全性也會(huì)直接關(guān)系到涉密網(wǎng)和

各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)行。如果發(fā)生網(wǎng)絡(luò)設(shè)備被不法分子攻擊，將導(dǎo)致設(shè)備不能

正常運(yùn)行。更加嚴(yán)重情況是設(shè)備設(shè)置被篡改，不法分子輕松獲得網(wǎng)絡(luò)設(shè)備的控制

權(quán)，通過(guò)網(wǎng)絡(luò)設(shè)備作為跳板攻擊服務(wù)器，將會(huì)造成無(wú)法想象的后果。例如，交換

機(jī)口令泄漏、防火墻規(guī)則被篡改、入侵檢測(cè)設(shè)備失靈等都將成為威脅網(wǎng)絡(luò)系統(tǒng)正

常運(yùn)行的風(fēng)險(xiǎn)因素。

?通信完整性與保密性

由于網(wǎng)絡(luò)協(xié)議及文件格式均具有標(biāo)準(zhǔn)、開(kāi)發(fā)、公開(kāi)的特征，因此數(shù)據(jù)在網(wǎng)上

存儲(chǔ)和傳輸過(guò)程中，不僅僅面臨信息丟失、信息重復(fù)或信息傳送的自身錯(cuò)誤，而

且會(huì)遭遇信息攻擊或欺詐行為，導(dǎo)致最終信息收發(fā)的差異性。因此，在信息傳輸

和存儲(chǔ)過(guò)程中，必須要確保信息內(nèi)容在發(fā)送、接收及保存的一致性；并在信息遭

受篡改攻擊的情況下，應(yīng)提供有效的察覺(jué)與發(fā)現(xiàn)機(jī)制，實(shí)現(xiàn)通信的完整性。

而數(shù)據(jù)在傳輸過(guò)程中，為能夠抵御不良企圖者采取的各種攻擊，防止遭到竊

取，應(yīng)采用加密措施保證數(shù)據(jù)的機(jī)密性。

?網(wǎng)絡(luò)可信接入

對(duì)于一個(gè)不斷發(fā)展的網(wǎng)絡(luò)而言，為方便辦公，在網(wǎng)絡(luò)設(shè)計(jì)時(shí)保留大量的接入

端口，這對(duì)于隨時(shí)隨地快速接入到XX醫(yī)院業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行辦公是非常便捷的，但

同時(shí)也引入了安全風(fēng)險(xiǎn)，一旦外來(lái)用戶不加阻攔的接入到網(wǎng)絡(luò)中來(lái)，就有可能破

壞網(wǎng)絡(luò)的安全邊界，使得外來(lái)用戶具備對(duì)網(wǎng)絡(luò)進(jìn)行破壞的條件，由此而引入諸如

蠕蟲(chóng)擴(kuò)散、文件泄密等安全問(wèn)題。因此需要對(duì)非法客戶端實(shí)現(xiàn)禁入，能監(jiān)控網(wǎng)絡(luò),

對(duì)于沒(méi)有合法認(rèn)證的外來(lái)機(jī)器，能夠阻斷其網(wǎng)絡(luò)訪問(wèn)，保護(hù)好已經(jīng)建立起來(lái)的安

全環(huán)境。

6.2安全管理需求分析

“三分技術(shù)、七分管理”更加突出的是管理層面在安全體系中的重要性。除

了技術(shù)管理措施外，安全管理是保障安全技術(shù)手段發(fā)揮具體作用的最有效手段，

建立健全安全管理體系不但是國(guó)家等級(jí)保護(hù)中的要求，也是作為一個(gè)安全體系來(lái)

講，不可或缺的重要組成部分。

安全管理體系依賴于國(guó)家相關(guān)標(biāo)準(zhǔn)、行業(yè)規(guī)范、國(guó)際安全標(biāo)準(zhǔn)等規(guī)范和標(biāo)準(zhǔn)

來(lái)指導(dǎo)，形成可操作的體系。主要包括：

?安全管理制度

?安全管理機(jī)構(gòu)

?人員安全管理

?系統(tǒng)建設(shè)管理

?系統(tǒng)運(yùn)維管理

根據(jù)等級(jí)保護(hù)的要求在上述方面建立一系列的管理制度與操作規(guī)范，并明確

執(zhí)行。

7技術(shù)體系方案設(shè)計(jì)

7.1方案設(shè)計(jì)目標(biāo)

三級(jí)系統(tǒng)安全保護(hù)環(huán)境的設(shè)計(jì)目標(biāo)是：落實(shí)GB17859-1999對(duì)三級(jí)系統(tǒng)的安

全保護(hù)要求，在二級(jí)安全保護(hù)環(huán)境的基礎(chǔ)上，通過(guò)實(shí)現(xiàn)基于安全策略模型和標(biāo)記

的強(qiáng)制訪問(wèn)控制以及增強(qiáng)系統(tǒng)的審計(jì)機(jī)制，使得系統(tǒng)具有在統(tǒng)一安全策略管控

下，保護(hù)敏感資源的能力。

通過(guò)為滿足物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面

基本技術(shù)要求進(jìn)行技術(shù)體系建設(shè)；為滿足安全管理制度、安全管理機(jī)構(gòu)、人員安

全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面基本管理要求進(jìn)行管理體系建設(shè)。

使得XX醫(yī)院網(wǎng)絡(luò)系統(tǒng)的等級(jí)保護(hù)建設(shè)方案最終既可以滿足等級(jí)保護(hù)的相關(guān)要

求，又能夠全方面為XX醫(yī)院的業(yè)務(wù)系統(tǒng)提供立體、縱深的安全保障防御體系，

保證信息系統(tǒng)整體的安全保護(hù)能力。

7.2方案設(shè)計(jì)框架

根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，分為技術(shù)和管理兩大類要求，具

體如下圖所示：

本方案將嚴(yán)格根據(jù)技術(shù)與管理要求進(jìn)行設(shè)計(jì)。首先應(yīng)根據(jù)本級(jí)具體的基本要

求設(shè)計(jì)本級(jí)系統(tǒng)的保護(hù)環(huán)境模型，根據(jù)《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》,

保護(hù)環(huán)境按照安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心進(jìn)行

設(shè)計(jì)，內(nèi)容涵蓋基本要求的5個(gè)方面。同時(shí)結(jié)合管理要求，形成如下圖所示的保

護(hù)環(huán)境模型：

三級(jí)系統(tǒng)安全保護(hù)環(huán)境建設(shè)框架

安全安全管理平臺(tái)系統(tǒng)管理，審計(jì)管理「安圣百逋安全

管理管理

通信網(wǎng)絡(luò)安全計(jì)算環(huán)境安全區(qū)域邊界安全

安

IA系

r一一身存驟期一……■：

全

員

網(wǎng)絡(luò)結(jié)構(gòu)安全統(tǒng)

邊界訪問(wèn)控制

管?……縈藐妥至市用…

安

________________7>建

理

全

.…又紅蔭祗—設(shè)

網(wǎng)絡(luò)安全審計(jì)______.........J

制

管

「正就蒸叁神而防南；管

度邊界完整性檢查i

理

網(wǎng)絡(luò)設(shè)備防護(hù);:…一扇麗居廉扇一一:SJ.

!_________________!

;荻祚客稽?邊界入侵防范;

通信完整性;

■.................

系

安

奉福寫(xiě)恢置……:

統(tǒng)

全邊界安全審計(jì)

運(yùn)

管通信保密性i

....__........._____'資源控制

維

理\……譽(yù)襪委至.蕾甬

管

機(jī)網(wǎng)絡(luò)可信接入邊界惡意代碼防范

理

構(gòu)抗抵賴

一

物理安全［物理選址i機(jī)房環(huán)境i機(jī)房管理設(shè)備與介質(zhì)管理

信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全性等級(jí)和系統(tǒng)服務(wù)保證性等級(jí)較

高者決定，因此，對(duì)某一個(gè)定級(jí)后的信息系統(tǒng)的安全保護(hù)的側(cè)重點(diǎn)可以有多種組

合。對(duì)于3級(jí)保護(hù)系統(tǒng)，其組合為：(在SIA3G3,S2A3G3,S3A3G3,S3A2G3,

S3A1G3選擇)。以下對(duì)XX醫(yī)院詳細(xì)方案設(shè)計(jì)時(shí)應(yīng)將每個(gè)項(xiàng)目進(jìn)行相應(yīng)的組合

級(jí)別說(shuō)明。

7.3安全技術(shù)體系設(shè)計(jì)

7.3.1物理安全設(shè)計(jì)

物理環(huán)境安全策略的目的是保護(hù)網(wǎng)絡(luò)中計(jì)算機(jī)網(wǎng)絡(luò)通信有一個(gè)良好的電磁

兼容工作環(huán)境，并防止非法用戶進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。

?機(jī)房選址

機(jī)房和辦公場(chǎng)地選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)。機(jī)房場(chǎng)地應(yīng)

避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。

?機(jī)房管理

機(jī)房出入口安排專人值守，控制、鑒別和記錄進(jìn)入的人員；

需進(jìn)入機(jī)房的來(lái)訪人員須經(jīng)過(guò)申請(qǐng)和審批流程，并限制和監(jiān)控其活動(dòng)范圍。

對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域

前設(shè)置交付或安裝等過(guò)渡區(qū)域；

重要區(qū)域應(yīng)配置電子門(mén)禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員。

?機(jī)房環(huán)境

合理規(guī)劃設(shè)備安裝位置，應(yīng)預(yù)留足夠的空間作安裝、維護(hù)及操作之用。房間

裝修必需使用阻燃材.料，耐火等級(jí)符合國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)定。機(jī)房門(mén)大小應(yīng)滿足系

統(tǒng)設(shè)備安裝時(shí)運(yùn)輸需要。機(jī)房墻壁及天花板應(yīng)進(jìn)行表面處理，防止塵埃脫落，機(jī)

房應(yīng)安裝防靜電活動(dòng)地板。

機(jī)房安裝防雷和接地線，設(shè)置防雷保安器，防止感應(yīng)雷，要求防雷接地和機(jī)

房接地分別安裝，且相隔一定的距離；機(jī)房設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢

測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐

火等級(jí)的建筑材料；機(jī)房應(yīng)采取區(qū)域隔離防火措施，將重要設(shè)備與其他設(shè)備隔離

開(kāi)。配備空調(diào)系統(tǒng)，以保持房間恒濕、恒溫的工作環(huán)境；在機(jī)房供電線路上配置

穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；提供短期的備用電力供應(yīng)，滿足關(guān)鍵設(shè)備在斷電情況

下的正常運(yùn)行要求。設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；建立備

用供電系統(tǒng)。鋪設(shè)線纜要求電源線和通信線纜隔離鋪設(shè)，避免互相干擾。對(duì)關(guān)鍵

設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽。

?設(shè)備與介質(zhì)管理

為了防止無(wú)關(guān)人員和不法分子非法接近網(wǎng)絡(luò)并使用網(wǎng)絡(luò)中的主機(jī)盜取信息、

破壞網(wǎng)絡(luò)和主機(jī)系統(tǒng)、破壞網(wǎng)絡(luò)中的數(shù)據(jù)的完整性和可用性，必須采用有效的區(qū)

域監(jiān)控、防盜報(bào)警系統(tǒng)，阻止非法用戶的各種臨近攻擊。此外，必須制定嚴(yán)格的

出入管理制度和環(huán)境監(jiān)控制度，以保障區(qū)域監(jiān)控系統(tǒng)和環(huán)境監(jiān)控系統(tǒng)的有效運(yùn)

行。對(duì)介質(zhì)進(jìn)行分類標(biāo)識(shí)，存儲(chǔ)在介質(zhì)庫(kù)或檔案室中。利用光、電等技術(shù)設(shè)置機(jī)

房防盜報(bào)警系統(tǒng)；對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。

7.3.2計(jì)算環(huán)境安全設(shè)計(jì)

身份鑒別

身份鑒別可分為主機(jī)身份鑒別和應(yīng)用身份鑒別兩個(gè)方面：

主機(jī)身份鑒別：

為提高主機(jī)系統(tǒng)安全性，保障各種應(yīng)用的正常運(yùn)行，對(duì)主機(jī)系統(tǒng)需要進(jìn)行一

系列的加固措施，包括：

?對(duì)登錄操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，且保證用戶

名的唯一性。

?根據(jù)基本要求配置用戶名/口令；口令必須具備采用3種以上字符、長(zhǎng)度

不少于8位并定期更換；

?啟用登陸失敗處理功能，登陸失敗后采取結(jié)束會(huì)話、限制非法登錄次數(shù)

和自動(dòng)退出等措施。

?遠(yuǎn)程管理時(shí)應(yīng)啟用SSH等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡(luò)竊聽(tīng)。

?對(duì)主機(jī)管理員登錄進(jìn)行雙因素認(rèn)證方式，采用USBkey+密碼進(jìn)行身份鑒

別

應(yīng)用身份鑒別：

為提高應(yīng)用系統(tǒng)系統(tǒng)安全性應(yīng)用系統(tǒng)需要進(jìn)行一系列的加固措施，包括：

對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別，且保證用戶名的唯一性。

根據(jù)基本要求配置用戶名/口令，必須具備一定的復(fù)雜度；口令必須具備采

用3種以上字符、長(zhǎng)度不少于8位并定期更換；

啟用登陸失敗處理功能，登陸失敗后采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自

動(dòng)退出等措施。

應(yīng)用系統(tǒng)如具備上述功能則需要開(kāi)啟使用，若不具備則需進(jìn)行相應(yīng)的功能開(kāi)

發(fā)，且使用效果要達(dá)到以上要求。

對(duì)于三級(jí)系統(tǒng)，要求對(duì)用戶進(jìn)行兩種或兩種以上組合的鑒別技術(shù)，因此可采

用雙因素認(rèn)證（USBkey+密碼）或者構(gòu)建PKI體系，采用CA證書(shū)的方式進(jìn)行

身份鑒別。

訪問(wèn)控制

三級(jí)系統(tǒng)一個(gè)重要要求是實(shí)現(xiàn)自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制。自主訪問(wèn)控制

實(shí)現(xiàn):在安全策略控制范圍內(nèi)，使用戶對(duì)自己創(chuàng)建的客體具有各種訪問(wèn)操作權(quán)限,

并能將這些權(quán)限的部分或全部授予其他用戶；自主訪問(wèn)控制主體的粒度應(yīng)為用戶

級(jí)，客體的粒度應(yīng)為文件或數(shù)據(jù)庫(kù)表級(jí)；自主訪問(wèn)操作應(yīng)包括對(duì)客體的創(chuàng)建、讀、

寫(xiě)、修改和刪除等。