網(wǎng)絡(luò)安全等級保護(hù)-醫(yī)院三級等保合規(guī)方案

1、某市三院醫(yī)療信息系統(tǒng)現(xiàn)狀分析 4 4 錯誤!未定義書簽。 錯誤!未定義書簽。 錯誤!未定義書簽。 錯誤!未定義書簽。 錯誤!未定義書簽。 錯誤!未定義書簽。 錯誤!未定義書簽。 4 4 52.3數(shù)據(jù)庫安全審計問題 52.4平臺系統(tǒng)安全配置問題 6 錯誤!未定義書簽。3、某市三院醫(yī)療信息系統(tǒng)安全需求分析 7 73.2醫(yī)療等級保護(hù)要求分析 73.3系統(tǒng)安全分層需求分析 3.4虛擬化、云計算帶來的安全問題分析 4、醫(yī)療信息系統(tǒng)安全保障體系設(shè)計 4.1安全策略設(shè)計 4.2安全設(shè)計原則 4.3等級保護(hù)模型 4.4系統(tǒng)建設(shè)依據(jù) 4.5遵循的標(biāo)準(zhǔn)和規(guī)范 5.1組織體系建設(shè)建議 5.2管理體系建設(shè)建議 6.1預(yù)警通告 6.2技術(shù)風(fēng)險評估 6.3新上線系統(tǒng)評估 6.4滲透測試 6.5安全加固 6.6虛擬化安全加固服務(wù) 6.7應(yīng)急響應(yīng) 7.1物理層安全 7.6虛擬化、云計算安全解決方案 8.1安全產(chǎn)品匯總 8.2產(chǎn)品及服務(wù)選型 1.1系統(tǒng)現(xiàn)狀2.1黑客入侵造成的破壞和數(shù)據(jù)泄露隨著醫(yī)療信息化的普及，個人信息逐漸以電子健康檔案、電子病歷和電子處方為載體，其中包括了個人在疾病控制、體檢、診斷、治療、醫(yī)學(xué)研究過程中涉及到的肌體特征、健康狀況、遺傳基因、病史病歷等個人信息。其中個人醫(yī)療健康信息的秘密處于隱私權(quán)的核心部位，而保障病人的隱私安全是醫(yī)院和醫(yī)護(hù)人員的職責(zé)。某市三院醫(yī)療信息系統(tǒng)某市三院中心機(jī)房匯集了大量的病人隱私信息，而這些數(shù)據(jù)在傳輸過程中極易被竊取或監(jiān)聽。同時基于電子健康檔案和電子病歷大量集中存儲的情況，一旦系統(tǒng)被黑客控制，可能導(dǎo)致病人隱私外泄，數(shù)據(jù)惡意刪除和惡意修改等嚴(yán)重后果。病人隱私信息外泄將會給公民的生活、工作以及精神方面帶來很大的負(fù)面影響和損失，同時給平臺所轄區(qū)域造成不良社會影響，嚴(yán)重?fù)p害機(jī)構(gòu)的公共形象，甚至可能引發(fā)法律糾紛。而數(shù)據(jù)的惡意刪除和篡改會導(dǎo)致電子健康檔案和電子病歷的丟失以及病人信息的錯誤，給醫(yī)護(hù)人員的工作造成影響，因此電子健康檔案和電子病歷數(shù)據(jù)作為衛(wèi)生平臺某市三院中心機(jī)房的重要2.2醫(yī)療信息系統(tǒng)漏洞問題重的安全漏洞，黑客的主動攻擊也往往離不開對漏洞的利2.3數(shù)據(jù)庫安全審計問題2.4平臺系統(tǒng)安全配置問題3.1醫(yī)療信息系統(tǒng)建設(shè)安全要求基于醫(yī)療信息系統(tǒng)信息平臺的可靠安全的運(yùn)行不僅關(guān)系到某市三院中心機(jī)房本身的運(yùn)行，還關(guān)系其他業(yè)務(wù)部門相關(guān)系統(tǒng)的運(yùn)行，因此它的網(wǎng)絡(luò)，主機(jī)，存儲備份設(shè)備，系統(tǒng)軟件，應(yīng)用軟件等部分應(yīng)該具有極高的可靠性；同時為保守企業(yè)和用戶秘密，維護(hù)企業(yè)和用戶的合法權(quán)益，某市三院中心機(jī)房應(yīng)具備良好的安全策略，安全手段，安全環(huán)境及安全管理措施。眾所周知，信息系統(tǒng)完整的安全體系包括以下四個層次，最底層的是物理級防火墻等等，再次是系統(tǒng)級安全包括數(shù)據(jù)災(zāi)備，病毒防范等，最后是應(yīng)用級安全包括統(tǒng)一身份認(rèn)證，統(tǒng)一權(quán)限管理等，而貫穿整個體系的是安全管理制度和安全標(biāo)準(zhǔn)，以實(shí)現(xiàn)非法用戶進(jìn)不來，無權(quán)用戶看不到，重要內(nèi)容改不了，數(shù)據(jù)操作賴不掉。整個平臺的安全體系如下圖：與標(biāo)準(zhǔn)網(wǎng)絡(luò)安全平臺安全體系結(jié)構(gòu)圖3.2醫(yī)療等級保護(hù)要求分析醫(yī)療機(jī)構(gòu)作為涉及國計民生的重要組成部分，其安全保障事關(guān)社會穩(wěn)定，有辦法》(公通字[2007]43號)的要求，數(shù)據(jù)交換服務(wù)區(qū)參照二級333三級等保要求解決方案結(jié)構(gòu)安全網(wǎng)絡(luò)設(shè)備處理能管理和網(wǎng)絡(luò)帶寬冗余；網(wǎng)絡(luò)拓?fù)鋱D繪制；子網(wǎng)劃分和地址分配；終端和服務(wù)器之間建立安全訪問路徑；邊界和重要網(wǎng)段之間隔離；網(wǎng)絡(luò)擁堵時對重要主機(jī)優(yōu)先保護(hù)；根據(jù)高峰業(yè)務(wù)流量選擇高端設(shè)備，核心交換接入設(shè)備采用雙機(jī)冗余；合理劃分子網(wǎng)、VLAN、安全域，網(wǎng)絡(luò)設(shè)備帶寬優(yōu)先級規(guī)劃。制部署訪間控制設(shè)備，啟用訪問控制功能；根據(jù)會話狀態(tài)提供允許/拒絕訪問能力，控制粒度為端訪問控制，粒度到單個用戶；限制撥號訪問用戶數(shù)量；網(wǎng)絡(luò)信息內(nèi)容過濾，應(yīng)用層協(xié)議命令級控制；會話終止；網(wǎng)絡(luò)流量數(shù)和連接數(shù)控制；重要網(wǎng)段防地址欺騙網(wǎng)絡(luò)邊界部署防火墻，制定相應(yīng)ACL策略安全審計網(wǎng)絡(luò)設(shè)備狀況、網(wǎng)絡(luò)流量、用戶生成；審計記錄保護(hù)部署網(wǎng)絡(luò)安全審計系統(tǒng)查安全準(zhǔn)入控制和非法外聯(lián)監(jiān)控并進(jìn)行有效阻斷部署終端安全管理系統(tǒng)范部署入侵檢測系統(tǒng)惡意代碼防范部署入侵保護(hù)系統(tǒng)網(wǎng)絡(luò)設(shè)備防護(hù)身份鑒別；管理員登陸地址限用2種或以上鑒別技術(shù)；特權(quán)權(quán)限分離部署等級保護(hù)安全配置核查系統(tǒng)身份鑒別別；登錄失敗處理；鑒別信息傳輸加密；用戶唯一性；身份鑒別采用2種或以上鑒別技術(shù)部署等級保護(hù)安全配置核查系統(tǒng)制啟用訪問控制功能；操作系統(tǒng)和數(shù)據(jù)庫特權(quán)用戶權(quán)限分離；默認(rèn)賬戶配置修改；多余過期用戶刪記；強(qiáng)制訪問控制安全審計用戶和數(shù)據(jù)庫用戶的重要安全相關(guān)行為、事件；審計記錄保護(hù)；剩余信息保護(hù)鑒別信息再分配前清除，系統(tǒng)文清除操作系統(tǒng)及數(shù)據(jù)庫加固范級；檢測對重要服務(wù)器的入侵行為；重要程序完整性檢測和破壞后的恢復(fù)。部署網(wǎng)絡(luò)入侵檢測系統(tǒng)、終端管理軟件，漏洞掃描惡意代碼防范安裝防惡意代碼軟件，定期升級；惡意代碼軟件統(tǒng)一管理；主機(jī)和網(wǎng)絡(luò)防惡意代碼軟件品牌異構(gòu)部署終端殺毒軟件資源控制終端登錄控制；終端超時鎖定；單個用戶資源限制安全加固應(yīng)用身份鑒別啟用身份鑒別機(jī)制；登錄失敗處別技術(shù)部署CA認(rèn)證系統(tǒng)制啟用訪問控制機(jī)制，控制用戶對文件、數(shù)據(jù)庫表等的訪問；啟用訪問控制策略；賬戶最小權(quán)限原部署CA認(rèn)證系統(tǒng)安全審計啟用安全審計機(jī)制，審計每個用表生成部署應(yīng)用防護(hù)系統(tǒng)剩余信息保護(hù)鑒別信息再分配前清除，系統(tǒng)文清除操作系統(tǒng)及數(shù)據(jù)庫加固應(yīng)采用密碼技術(shù)保障信息過程中數(shù)據(jù)完整性部署PKI體系報文或會話過程加密部署PKI體系提供數(shù)據(jù)原發(fā)或接收證據(jù)部署PKI體系軟件容錯代碼審核資源控制發(fā)連接數(shù)，單個賬戶多重會話限制安全加固數(shù)據(jù)完VPN加密，數(shù)據(jù)庫訪問控制據(jù)傳輸存儲過程保密信息加密備份與恢復(fù)備、線路、數(shù)據(jù)硬件冗余3.3系統(tǒng)安全分層需求分析3.3.2網(wǎng)絡(luò)層安全需求應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，重要網(wǎng)應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能；重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙；應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量。應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志應(yīng)對審計記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到業(yè)務(wù)網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，應(yīng)能夠?qū)I(yè)務(wù)網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除；應(yīng)維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新。應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)>當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離。操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點(diǎn)，口應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動當(dāng)對服務(wù)器進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別。應(yīng)啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；應(yīng)根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管應(yīng)嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限，重命名系統(tǒng)默認(rèn)帳戶，修改這些帳戶應(yīng)對重要信息資源設(shè)置敏感標(biāo)記；應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作。應(yīng)實(shí)現(xiàn)主機(jī)系統(tǒng)的安全審計，審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計報表；應(yīng)保護(hù)審計進(jìn)程，避免受到未預(yù)期的中斷；應(yīng)保護(hù)審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息所在的存儲空間，被釋放應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間，被釋應(yīng)能夠檢測到對重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴(yán)應(yīng)能夠?qū)χ匾绦虻耐暾赃M(jìn)行檢測，并在檢測到完整性受到破壞后具操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定；應(yīng)對重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)應(yīng)限制單個用戶對系統(tǒng)資源的最大或最小使用限度；應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報警。3.3.4應(yīng)用層安全需求應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動應(yīng)啟用身份鑒別、用戶身份標(biāo)識唯一性檢查、用戶身份鑒別信息復(fù)雜度應(yīng)由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；應(yīng)具有對重要信息資源設(shè)置敏感標(biāo)記的功能；應(yīng)依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作。應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行應(yīng)保證無法單獨(dú)中斷審計進(jìn)程，無法刪除、修改或覆蓋審計記錄；審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描應(yīng)提供對審計記錄數(shù)據(jù)進(jìn)行統(tǒng)計、查詢、分析及生成審計報表的功能。應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。在通信雙方建立連接之前，應(yīng)用系統(tǒng)應(yīng)利用密碼技術(shù)進(jìn)行會話初始化驗應(yīng)對通信過程中的整個報文或會話過程進(jìn)行加密。應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)接收證據(jù)的功能。應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機(jī)接口輸入或通過通信接口輸應(yīng)提供自動保護(hù)功能，當(dāng)故障發(fā)生時自動保護(hù)當(dāng)前所有狀態(tài)，保證系統(tǒng)當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何響應(yīng)，另一方應(yīng)應(yīng)能夠?qū)ο到y(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制；應(yīng)能夠?qū)蝹€帳戶的多重并發(fā)會話進(jìn)行限制；應(yīng)能夠?qū)σ粋€時間段內(nèi)可能的并發(fā)會話連接數(shù)進(jìn)行限制；應(yīng)能夠?qū)σ粋€訪問帳戶或一個請求進(jìn)程占用的資源分配最大限額和最小應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報警；應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或3.3.5數(shù)據(jù)及備份安全需求應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中完應(yīng)能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲過程中完應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)應(yīng)采用加密或其他保護(hù)措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介應(yīng)提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備應(yīng)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)3.4虛擬化、云計算帶來的安全問題分析安全威脅的研究和分析，從而制定和建立相應(yīng)3.4.2核心技術(shù)國產(chǎn)化問題推出有自己特色的云計算平臺和云安全服務(wù)平臺，滿足3.4.3大量迅猛涌現(xiàn)的Web安全漏洞Web2.0和云服務(wù)的特點(diǎn)對網(wǎng)絡(luò)安全來說意味著巨大的挑戰(zhàn)，甚至3.4.4拒絕服務(wù)攻擊由于云平臺的大規(guī)模與高性能，一旦遭受DDOS(抗拒絕服務(wù)攻擊),云平拒絕服務(wù)攻擊DoS和DDoS不是云服務(wù)所特有的。但是，在云服務(wù)的3.4.5內(nèi)部的數(shù)據(jù)泄漏和濫用相對而言，安裝在現(xiàn)有內(nèi)部環(huán)境中的應(yīng)用更易于檢完善的檢查技術(shù)，然而，對安裝在外部的云計算應(yīng)用服務(wù)提供商的IT系統(tǒng)中，用戶無法對風(fēng)險進(jìn)行直接的控制，數(shù)等級和相關(guān)保障，該數(shù)據(jù)甚至可能與競爭對手的應(yīng)上，如何保證云服務(wù)商自身內(nèi)部的安全管理和職責(zé)分離體系、審計保障等?如何避免云計算環(huán)境中多客戶共存帶來的潛在風(fēng)險?這些都成為云計算環(huán)境下用3.4.6身份管理(身份鑒定、授權(quán)和審計)務(wù)中的用戶賬號的提供及取消。如何在多項服務(wù)中應(yīng)3.4.7不同云之間的互聯(lián)互通(可移植性)但目前云計算廠商各自未戰(zhàn)，尚未在業(yè)界形成一個統(tǒng)一的標(biāo)準(zhǔn)化體系，無論是云平臺還是云服務(wù)的統(tǒng)一標(biāo)準(zhǔn)都沒有形成，這就給云計算產(chǎn)業(yè)的發(fā)展帶來了瓶頸，各個企業(yè)為了自己的云服務(wù)發(fā)展推出各自的平臺和服務(wù)標(biāo)準(zhǔn)，使得眾多云平臺和用戶的利益和長遠(yuǎn)發(fā)展得不到保證，更極大地阻礙著云計算通用性和替代性以及軟件的適合性和繼承性的發(fā)展。為爭取國際競爭地位，我國應(yīng)盡快建立云計算行業(yè)標(biāo)準(zhǔn)化組織，積極參與國際標(biāo)準(zhǔn)化組織的活動，推進(jìn)云計算國際標(biāo)準(zhǔn)化工作。3.4.8潛在的合同糾紛和法律訴訟云服務(wù)合同、服務(wù)商的SLA和IT流程、安全策略、事件處理和分析等都可能存在不完善。虛擬化帶來的物理位置不確定性和國際相關(guān)法律法規(guī)的復(fù)雜性都使得潛在的合同糾紛和法律訴訟成為成功利用云服務(wù)的重大威脅。如果云計算提供商違反了合同，并且涉及到安全問題，應(yīng)該負(fù)多大程度的法律責(zé)任，造成的損失又如何評估，這些問題在法律和政策領(lǐng)域都還有待解4.1安全策略設(shè)計為應(yīng)對上述所面臨的威脅和風(fēng)險，實(shí)現(xiàn)某市三院醫(yī)療信息系統(tǒng)的安全建設(shè)目標(biāo)，安全建設(shè)應(yīng)遵循以下總體安全策略和基本安全策略：總體安全目標(biāo)：●遵循國家相關(guān)政策、法規(guī)和標(biāo)準(zhǔn)；●貫徹等級保護(hù)原則，特別是對不同類別關(guān)鍵業(yè)務(wù)的單獨(dú)保護(hù)?！褚皇肿ゼ夹g(shù)、一手抓管理；管理與技術(shù)并重，互為支撐，互為補(bǔ)充，相互協(xié)同，形成有效的綜合預(yù)防、追查及應(yīng)急響應(yīng)的安全保障體系。總體安全策略：在現(xiàn)有物理安全措施基礎(chǔ)上，從環(huán)境、設(shè)備、介質(zhì)、配電的故障切換、冗余等方面，完善物理安全保障措施，保障某市三院醫(yī)療信息系統(tǒng)免受因上述內(nèi)容破策略，避免遺漏。為確保本方案能夠在后期順利的推廣和4.3等級保護(hù)模型全問題不再很突出，但是，隨著網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)系統(tǒng)的脅。這時候，就需要對網(wǎng)絡(luò)資產(chǎn)和風(fēng)險進(jìn)行評估，實(shí)此，本期網(wǎng)絡(luò)安全保障系統(tǒng)的建設(shè)也是一個循序漸進(jìn)全策略的控制和指導(dǎo)下，綜合利用安全防護(hù)、檢測、響成了一個完整的、動態(tài)的安全循環(huán)，在安全策略的●《國務(wù)院醫(yī)藥衛(wèi)生體制改革近期重點(diǎn)實(shí)施方案(2009—2011年)》;●國家衛(wèi)生部等5部委發(fā)布的《關(guān)于公立醫(yī)院改革試點(diǎn)的指導(dǎo)意見》;●衛(wèi)生部《電子病歷基本架構(gòu)與數(shù)據(jù)標(biāo)準(zhǔn)(試行)》;●衛(wèi)生部《健康檔案基本架構(gòu)與數(shù)據(jù)標(biāo)準(zhǔn)(試行)》;●衛(wèi)生部《基于健康檔案的區(qū)域衛(wèi)生信息平臺建設(shè)技術(shù)解決方案(試●《衛(wèi)生部辦公廳關(guān)于印發(fā)2010年基于電子健康檔案、電子病歷、門診統(tǒng)籌管理的基層醫(yī)療衛(wèi)生信息系統(tǒng)試點(diǎn)項目管理方案的通知》;●《2010年基于電子健康檔案、電子病歷、門診統(tǒng)籌管理的基層醫(yī)療衛(wèi)生信息系統(tǒng)試點(diǎn)項目技術(shù)方案》等。4.5遵循的標(biāo)準(zhǔn)和規(guī)范●《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(27號文)●公通字[2007]43號《信息安全等級保護(hù)管理辦法》●《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》●《信息安全技術(shù)信息安全等級保護(hù)定級指南》●《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南》●GB/T9387.2-1995開放系統(tǒng)互連基本參考模型第2部分：安全體系結(jié)構(gòu)●IS010181:1996信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架●GB/T18237-2000信息技術(shù)開放系統(tǒng)互連通用高層安全根據(jù)對某市三院醫(yī)療系統(tǒng)的安全需求分析，下面針對某市三院醫(yī)療信息系統(tǒng)的組織和管理體系的安全問題提出信息安全管理建議方案。5.1組織體系建設(shè)建議某市三院醫(yī)療信息系統(tǒng)的組織體系應(yīng)實(shí)行“統(tǒng)一組織、分散管理”的方式，在平臺內(nèi)建立一個獨(dú)立的信息安全部門或以信息中心作為某市三院醫(yī)療的信息安全崗位是某市三院醫(yī)療信息系統(tǒng)安全管理機(jī)構(gòu)根據(jù)系統(tǒng)安全需要設(shè)定的括信息系統(tǒng)有關(guān)的所有人員(不僅僅是從事安全管理和業(yè)務(wù)的人員),以提高他5.2管理體系建設(shè)建議安全管理制度是信息系統(tǒng)內(nèi)部依據(jù)某市三院醫(yī)療信息系統(tǒng)必要的安全需求5.2.2資產(chǎn)安全管理5.2.3物理安全管理5.2.4技術(shù)安全管理5.2.5安全風(fēng)險管理6.2技術(shù)風(fēng)險評估作主要是通過評估工具以遠(yuǎn)程掃描的方式對評估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全掃描，發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)、數(shù)據(jù)本項服務(wù)中我們將借助***漏洞掃描系統(tǒng)對某市三此外，每次掃描結(jié)束后，***的技術(shù)人員將現(xiàn)場協(xié)助某市三院醫(yī)療的技術(shù)人6.5安全加固2.密碼系統(tǒng)安全檢測和增強(qiáng)3.系統(tǒng)后門檢測4.提供訪問控制策略和工具8.系統(tǒng)升級與補(bǔ)丁安裝6.6虛擬化安全加固服務(wù) 6.7應(yīng)急響應(yīng)7.1物理層安全7.2網(wǎng)絡(luò)層安全(待建)核心數(shù)據(jù)區(qū)行政樓老庸房樓作老病房樓2F門診二明新農(nóng)合外聯(lián)區(qū)：通過部署高性能防火墻，實(shí)現(xiàn)某市三院中心機(jī)房網(wǎng)絡(luò)與區(qū)域衛(wèi)數(shù)據(jù)交換區(qū)：通過核心交換機(jī)的VLAN劃分、訪問控制列表以及在出口應(yīng)用服務(wù)區(qū)：通過核心交換機(jī)的VLAN劃分、訪問控制列表以及在出口核心數(shù)據(jù)區(qū)：通過核心交換機(jī)的VLAN劃分、訪問控制列表以及在出口7.2.4網(wǎng)絡(luò)入侵防范7.2.5邊界惡意代碼防范對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別，且保障用戶根據(jù)基本要求配置用戶名/口令，口令必須具備采用3中以上字符、長度不少于8位并定期更換。啟用登錄失敗處理功能，登錄失敗后采取結(jié)束會話、限制非法登錄次數(shù)對主機(jī)管理員登錄采取雙因素認(rèn)證方式，采用USBkey+密碼進(jìn)行身份鑒啟用訪問控制功能：制定嚴(yán)格的訪問控制安全策略，根據(jù)策略控制用戶權(quán)限控制：對于制定的訪問控制規(guī)則要能清楚的覆蓋資源訪問相關(guān)的主賬號管理：嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限，重命名默認(rèn)賬戶，修改默認(rèn)訪問控制的實(shí)現(xiàn)主要是采取兩種方式：采用安全操作系統(tǒng)，或?qū)Σ僮飨祵τ趶?qiáng)制訪問控制中的權(quán)限分配和賬號管理部分可以通過等級保護(hù)配置核7.3.3主機(jī)入侵防范部署入侵檢測/保護(hù)系統(tǒng)，在防范網(wǎng)絡(luò)入侵的同時對關(guān)鍵主機(jī)的操作系統(tǒng)部署漏洞掃描進(jìn)行安全性檢測，及時發(fā)現(xiàn)主機(jī)漏洞并進(jìn)行修補(bǔ)，減少攻操作系統(tǒng)的安全遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，根據(jù)系統(tǒng)類型進(jìn)行安全配置的加固處理。7.3.4主機(jī)審計庫記錄等敏感信息所在的存儲空間(內(nèi)存、硬盤)被及時釋放或者再分配給其他7.3.7資源控制登錄條件限制：在交換、路由設(shè)定終端接入控制，或使用主機(jī)防護(hù)軟件用戶可用資源閾值：限制單個用戶對系統(tǒng)資源的最大最小使用限度，保設(shè)定安全策略對在終端登錄超時的用戶進(jìn)行鎖定，使用主機(jī)監(jiān)控產(chǎn)品對通過內(nèi)網(wǎng)終端管理系統(tǒng)實(shí)現(xiàn)對用戶的接入方式、登陸超時鎖定、主機(jī)資7.4應(yīng)用層安全根據(jù)基本要求配置用戶名/口令，口令必須具備采用3中以上字符、長度不少于8位并定期更換。保證系統(tǒng)用戶名具有唯一性。根據(jù)等級保護(hù)基本要求進(jìn)行訪問控制的配置，包括：權(quán)限定義、默認(rèn)賬通過安全加固措施制定嚴(yán)格的用戶權(quán)限策略，保證賬號、口令等符合安通過防火墻制定符合基本要求的ACL策略。7.4.4剩余信息保護(hù)庫記錄等敏感信息所在的存儲空間(內(nèi)存、硬盤)被及時釋放或者再分配給其他7.4.5通信完整性7.4.6通信保密性7.4.7抗抵賴性與數(shù)據(jù)內(nèi)容有關(guān)的便利進(jìn)行加密處理，完成對則利用對方的公鑰來解讀收到的“數(shù)字簽名”7.4.9資源控制會話自動結(jié)束：當(dāng)應(yīng)用系統(tǒng)的通信雙方中的一方在一段時間內(nèi)未作任何會話限制：對應(yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)進(jìn)行限制，對一個時間段超時鎖定：根據(jù)安全策略設(shè)置應(yīng)用會話超時鎖定。應(yīng)能夠?qū)σ粋€訪問帳戶或一個請求進(jìn)程占用的資源分配最大限額和最應(yīng)能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測和報警；應(yīng)提供服務(wù)優(yōu)先級設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或(1)讀訪問控制對于那些提供讀訪問的數(shù)據(jù)庫而言，每個訪問該數(shù)據(jù)的象或進(jìn)程都必須確立相應(yīng)的賬戶。該ID可以在數(shù)據(jù)庫內(nèi)直接建立，或者通過那用戶驗證機(jī)制必須基于防御性驗證技術(shù)(比如用戶ID/密碼),這種技術(shù)可以數(shù)據(jù)和敏感的用戶數(shù)據(jù)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)傳輸保密性和存儲保密應(yīng)提供本地數(shù)據(jù)備份與恢復(fù)功能，完全數(shù)據(jù)備份至少每天一次，備份介應(yīng)提供異地數(shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備應(yīng)采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，避免關(guān)鍵節(jié)點(diǎn)存在單點(diǎn)故障；應(yīng)提供主要網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余，保證系統(tǒng)7.6.1虛擬化漏洞管理和配置核查7.6.2虛擬化綜合安全網(wǎng)關(guān)側(cè)重從協(xié)議層角度實(shí)施訪問控制。綠盟虛擬化綜合安全網(wǎng)關(guān)——NSFOCUS網(wǎng)絡(luò)通信中具體請求或行為(如基于網(wǎng)絡(luò)的Oday漏洞攻擊)來報警或阻斷(IDSAPI為基礎(chǔ)實(shí)現(xiàn)了虛擬IDS/IPS,但對VMsafe的調(diào)用層次低于虛擬防火墻，行政樓老病房樓1F(待津)老病房樓2F入侵防護(hù)門診二期配置核查8.1安全產(chǎn)品匯總通過應(yīng)用入侵防御系統(tǒng)的虛擬系統(tǒng)功能，物理上2臺心交換機(jī)之間，而邏輯上虛擬成8臺設(shè)備。通過核心交換設(shè)備虛擬化功能的配分別執(zhí)行不同的規(guī)則集，達(dá)到通過2臺入侵防御系(待建)系統(tǒng)核心數(shù)據(jù)區(qū)老病房樓1F系純老病房樓2F市醫(yī)保新農(nóng)合8.1.3堡壘機(jī)應(yīng)用防護(hù)系統(tǒng)主要對某市三院中心機(jī)房應(yīng)用服務(wù)區(qū)中基于WEB的業(yè)務(wù)系應(yīng)用防護(hù)系統(tǒng)物理上旁路部署1臺在某市三院中心機(jī)房應(yīng)用服務(wù)區(qū)交換機(jī)合核心交換設(shè)備的虛擬化功能，能夠把所有基于WEB的業(yè)務(wù)系統(tǒng)流量鏡像到物理應(yīng)用防護(hù)系統(tǒng)，而物理應(yīng)用防護(hù)系統(tǒng)則根據(jù)流量來自的業(yè)務(wù)系統(tǒng)由不同的邏輯應(yīng)用防護(hù)系統(tǒng)進(jìn)行處理。從而實(shí)現(xiàn)應(yīng)用防護(hù)與業(yè)務(wù)系統(tǒng)的實(shí)際物理部署位置無關(guān)，能夠針對不同業(yè)務(wù)系統(tǒng)執(zhí)行不同的應(yīng)用防護(hù)策略，且每個虛擬系統(tǒng)能夠獨(dú)立提供其所防護(hù)的業(yè)務(wù)系統(tǒng)的詳細(xì)日志，方便管理員查看并及時發(fā)現(xiàn)和定位問題所在，很大程度上減輕了后期的運(yùn)維工作。8.1.6等級保護(hù)安全配置核查系統(tǒng)通過定期對網(wǎng)絡(luò)設(shè)備、服務(wù)器和業(yè)務(wù)系統(tǒng)進(jìn)行相